一致性测试审计程序-IntosaiCommunityPortal.pptVIP

应用控制介绍 第13讲 目标 重新考虑通用控制和应用控制的关系 解释应用控制的重要性 识别应用用户的角色和职责 审视外部财务审计师如何依赖客户的应用控制 通用和应用控制 通用控制确保系统作为一个整体的完整性，包括运行在系统上的程序和产生的数据文件。 应用控制确保业务的精确性、完整性和完全性。 应用控制 控制目标还是一样 应用控制可以使以前由财务人员完成的控制过程自动化 趋势是更加自动化的系统 应用控制＝手工＋自动 应用控制的类型 文件完整性控制 程序安全控制 数据输入控制 处理控制 输出控制 主文件和标准数据控制 程序用户 所有者 管理员 普通用户 程序所有者 一个高级用户 对程序负有最终的责任 不包括程序的详细运行 委托日常责任 程序管理员 任务包括： 确保逻辑访问控制按预期的工作而且是最新的 检查程序已经备份 解答用户的询问 对问题的识别、监视和汇报 程序文档存储和分发 与IT部门、其他系统用户和软件供应商的联络员 IT功能的成员或者财务的成员？ 普通用户 这些用户占程序用户的绝大部分。 他们把程序作为工具实现企业目标 他们受过如何使用程序完成工作的培训 程序分类 批量数据输入系统 在线查询的批量数据输入 在线查询的批量处理 实时系统 外部审计依赖于应用控制 审计师应该采取有效的、高效的审计方法 审计师应该获得对系统和内部控制的理解 会包括对基于IT的内部控制系统的依赖 如果控制包含审计目标，并且是健壮的，审计师应该进行一致性测试 一致性测试审计程序 程序要包括: 要测试的控制的描述 我们期望得到的证据 规划测试的范围，包括样本大小 组成控制失败的因素 可以容许多少这种失败 一致性测试的证据 控制工作的证据可能是下列形式：访问控制列表、自动用户授权限制、安全记录、更改要求表格等。 通过使用以下组合得到： 观察 询问 测试 取样（计算机辅助的审计方法） IT控制的问题 已经应用了自动控制的证据 许多应用控制本质上是预防性的 计算机控制的范围 对黑客或“智能”贼的担心 计算机控制通常是预防性的 多少控制测试？ 主要基于审计判断和“统计”的组合(如果使用了统计模型) 判断取决于： 控制的频率 依赖于控制的程度 证据的来源/本质 控制的连续性本质 控制（和业务）的重要性 IT audit training IT CONTROLS: S13/ * for March 2007 AUDIT PROGRAMME Page * IT audit training IT CONTROLS: S13/ * for March 2007