IT审计控制缺陷报告.docxVIP

被审计单位： XX股份有限公司 索引号： 页次： 编制人： 日期： 2013.12.28 财务报表截止日期： 2013年12月31日 复核人： 日期： 2013.12.30 IT审计发现问题汇总分析 公司层面信息技术控制 观察所得 风险分析 底稿索引号 管理建议书索引 公司没有建立IT风险评估方法和机制。 缺乏有效的IT风险评估机制，可能导致IT风险发生时，企业无法采取有效的应对措施消除不良影响。 ELC-E3.1 第3页 信息技术一般性控制-系统开发 观察所得 风险分析 底稿索引号 管理建议书索引 SAP系统权限设置与权限分配表存在不一致的情况。 没有通过信息系统控制实现按照业务要求的职位分离，加大了不相容职责分离的难度 ITGC-D5.1 第4页 EHR系统在用户测试阶段完成后，未出具正式的系统测试报告。 未出具正式的系统测试报告，无法保证系统测试成果达到预期效果，不利于对EHR系统在用户测试阶段的工作进行监控验收。 ITGC-D6.1 第4页 上线计划中没有涉及关于制定“应急预案”相关规定 一旦上线失败，可能导致业务中断。 ITGC-D7.1 第4页 信息技术一般性控制-变更管理 观察所得 风险分析 底稿索引号 管理建议书索引 程序变更时，没有关于系统回退的控制说明。 没有详细的说明指导实际活动，容易造成行为不规范，从而带来隐患。 ITGC-C5.1 第4页 制度中没有明确规定用户培训的时机与规范。 系统变更后永不不能得到及时有效的培训，会造成业务混乱。 ITGC-C7.1 第4页 信息技术一般性控制-信息安全 观察所得 风险分析 底稿索引号 管理建议书索引 SAP系统实际密码策略设置与制度规定不符。 密码管理不规范加大了系统被未经授权访问的风险，从而影响财务和业务数据的准确性。 ITGC-S1.2 第4页 OA系统账户申请表未按制度要求填制。 OA系统账户申请及变更申请工作开展不够规范，对OA系统账户申请及变更申请的把控不够严格，可能导致OA系统账户申请及变更工作开展混乱，对OA系统产生不利影响。 ITGC-S1.1 第4页 公司没有建立系统超级用户的授权管理机制 没有有效的账号管理，无法对账号的申请、批准、添加、变更、删除进行规范的管理，加大了系统被未经授权访问的风险，从而影响财务和业务数据的准确性。 ITGC-S1.3 第4页 对于超级用户的系统日志没有做定期审阅。 超级用户的操作得不到监控，存在非法操作的风险。 ITGC-S1.3 第4页 公司没有安装统一的防病毒软件，不能保证防病毒软件的有效运行及病毒库的及时更新。 缺乏有效的防病毒措施，企业的信息资源可能受到病毒的侵害，导致业务中断。 ITGC-S3.1 第4页 公司信息科没有定期审阅防火墙安全规则。 不进行适当的网络控制，包括防火墙和入侵检测，将不能有效的阻止对系统的入侵和未经授权的访问。 ITGC-S4.1 第4页 机房巡检实际频率为每十天一次，没有按照公司《网络信息管理制度》中规定的每周一次进行巡检。 不定期巡检机房不能及时发现机房物理环境、网络设备的潜在问题。 ITGC-S5.2 第4页 信息技术一般性控制-运行维护 观察所得 风险分析 底稿索引号 管理建议书索引 信息系统安全制度中对于备份数据恢复性测试及检查与内控手册中的描述不一致 容易导致混淆而造成行为不规范。 ITGC-O1.2 第4页 公司并没有按照内控手册中的要求建立《系统管理日志》详细记录数据恢复性测试的过程和结果。 如果不定期抽取足够的备份介质进行恢复测试，会导致备份介质损坏的情况不能被及时了解，在真正需要备份恢复时会时会影响恢复工作的准确性。 ITGC-O1.5 第5页 OA系统没有进行过数据恢复性测试。 ITGC-O1.5 第5页 公司没有制定灾难恢复计划。 如果没有灾难恢复计划，并进行定期测试，在出现意外的时候，信息系统将会无法及时恢复而使业务受到重大的损失 ITGC-O2.1 第5页 公司没有建立明确的问题上报的制度及处理流程。 缺乏明确的权责制度，容易导致用户不能够得到必要支持，影响业务的正常运行。 ITGC-O3.1 第5页 信息技术应用控制 观察所得 风险分析 底稿索引号 管理建议书索引 公司SAP系统存在过度授权的现象，授权没有做到不相容职责分离。 sap系统用户过度授权加大非法访问系统数据的风险，增加舞弊的几率。 ITAC1.1 第8页 公司EHR系统未能与SAP系统财务管理模块关联，HR系统中薪酬报表经审核后，以纸介形式交财务记帐，未实现数据连接。 财务人员以手工输入系统，会产生系统数据风险 ITAC5.1 HR系统中薪酬报表提供了企业常用的统计和分析报表，但未实现提供银行报盘功能 财务人员以手工输入系统，会产生系统数据风险 ITAC5.1