信息系统审计方法的和操作指引.pptVIP

信息系统审计方法及操作指引 刘丽萍 201301 、信息系统审计方法 I一般控制和应用控制审计概要 2014-326 I一般控制审计程序 IT一般控制概念 信息技术广泛应用于企业日常交易处理中,是涉及整个财务报表交易流程 的重要组成部分,它影响财务数据的一致性、完整性和准确性。随着信息 科技日益发展,信息系统日趋复杂,使得业务风险增加,因此对IT控制进 行测试与评估就显得尤为重要。 T一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效,所以被称为“IT一般控制”。 IT一般控制分类 变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权 测试和批准的变更。 逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序 表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行 和更新)。 其他IT一般控制(包括IT运行):正确备份支持财务信息数据,以便在发 生系统中断或数据完整性问题时,能够准确、完整地恢复这类数据。按计 划执行程序,并及时识别和消除按计划处理时产生的偏差。及时识别、解 决、复核和分析IT运行问题或事故。 2014-326 I一般控制审计程序 ■IT一般控制包含控制流程 IT一般控制审计 主要包括三个方面 变更管理 逻辑访问 其它IT一般控制 系统开发和重大变更 用户账号变更管理 备份管理 超级用户访问授权 备份恢复 程序变更 键系统资源和工具访问授权 物理安全 配置/参数变更 权限定期检查 批处理 超级用户日志 基础架构变更 第三方管理 职责分离 问题及应急事件处理 紧急程序变更 安全参数设置 业务持续性计划/灾 数据修改 远程访问 难恢复 网络安全 信息系统审计指南和标准 2014-326 I一般控制审计程序 变更管理 11总体目标 仅允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。 12影响变更管理测试性质和范围因素 1.21IT环境技术组成要素 在风险评估过程中,应确定I环境中以下哪些技术组成要素会影 响变更管理种类,并且在测试范围内: 应用程序 界面(IT控制) 数据库 操作系统/网络 I一般控制审计程序 影响变更管理测试性质和范围因素(续) 12.2变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和I环境技术组成要素过程: 程序开发/采购一开发和实施新应用程序或界面。 程序变更一对现有应用程序和界面进行的变更。 系统软件维护一对数据库、操作系统和其他系统软件进 行的技术变更(例如:补丁程序和升级) 紧急变更一在紧急情况下进行的变更 配置/参数变更一对IT环境各种技术组成要素总体配置和 参数设置进行的变更相关,包括对新应用程序的配置设置 进行初始设置。 2014326 I一般控制审计程序 影响变更管理测试性质和范围因素(续) 1.23识别对IT环境进行的变更(测试总体) 根据确定的测试方法,获取从审计期间期初到测试日期以来I环境相关组成要素变更完 整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的 那些IT环境变更和技术组成要素。应用以下与获取程序变更清单相关的方法 选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日 期实际进行全部变更的变更管理系统获取清单,并且确定变更清单是 完整的、有效的。 如果系绕生成清单不可用,可以考虑以下组合: √获取被审计公司变更清单(手工维护清单或来自自动跟踪系统清单) √确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来 获取实际变更清单,从该清单中选择一个在此期间发生的变更样本,并验证从 被审计机构那里获取的变更清单上是否存在该变更 如果没有任何变更,则核实范围内技术组成要素最新编译日期不在审 计期间内,以确定没有发生变更。 2014326 I一般控制审计程序 影响变更管理测试性质和范围因素(续) 124授权、测试和批准变更 已授权—确定请求的变更己经过适当授权。根据被审计机构政策具体确定 某些情况下(如较小变更,可能被定义为那些需要程序员花费时间少于特定小 数的变更),变更可能不需要特定授权。 已测试—确定用户是否执行了测试以确认变更按设计意图运行。否则,应确 认确实进行了其他适当测试。有些情况下(如:基础结构变更),根据被审计 机构政策,可以接受纯I测试 已批准一—确定在变更移入生产环境之前,应用程序所有者和I人员是否批准 了这些变更。有些情况下(如:基础结构变更),可以接受纯I批准。 12.5变更管理职责分工补偿性控制 由于组织结构或其他原因无法进行变更管理不相容职责分工情况下,补偿性控 制可以用来保证不会发生未经授权的程序或数