IT审计控制缺陷报告.pdfVIP

索引号： 页次： 被审计单位： XX 股份有限公司 编制人： 日期： 2013.12.28 财务报表截止日期： 2013 年 12 月 31 日 复核人： 日期： 2013.12.30 IT 审计发现问题汇总分析 公司层面信息技术控制 观察所得 风险分析 底稿索引号 管理建议 书索引 公司没有建立 IT 风险评估方 缺乏有效的 IT 风险评估机制，可能导致 ELC-E3.1 第 3 页 法和机制。 IT 风险发生时，企业无法采取有效的应 对措施消除不良影响。 信息技术一般性控制 - 系统开发 观察所得 风险分析 底稿索引号 管理建议 书索引 SAP 系统权限设置与权限分 没有通过信息系统控制实现按照业务要 ITGC-D5.1 第 4 页 配表存在不一致的情况。 求的职位分离， 加大了不相容职责分离的 难度 EHR 系统在用户测试阶段完 未出具正式的系统测试报告， 无法保证系 ITGC-D6.1 第 4 页 成后，未出具正式的系统测 统测试成果达到预期效果，不利于对 EHR 试报告。 系统在用户测试阶段的工作进行监控验 收。 上线计划中没有涉及关于制 一旦上线失败，可能导致业务中断。 ITGC-D7.1 第 4 页 定“应急预案”相关规定 信息技术一般性控制 - 变更管理 观察所得 风险分析 底稿索引号 管理建议 书索引 程序变更时，没有关于系统 没有详细的说明指导实际活动， 容易造成 ITGC-C5.1 第 4 页 回退的控制说明。 行为不规范，从而带来隐患。 制度中没有明确规定用户培 系统变更后永不不能得到及时有效的培 ITGC-C7.1 第 4 页 训的时机与规范。 训，会造成业务混乱。 信息技术一般性控制 - 信息安全 观察所得 风险分析 底稿索引号 管理建议书 索引 SAP 系统实际密码策略设置与 密码管理不规范加大了系统被未经授 ITGC-S1.2 第 4 页 制度规定不符。 权访问的风险， 从而影响财务和业务数 据的准确性。 OA 系统账户申请