信息系统控制的测试.pptxVIP

信息系统控制的测试

议题信息系统与内部控制信息系统控制的内容信息技术一般控制自动化应用控制测试与评价信息系统内部控制2

议题信息系统与内部控制3

内部控制和财务报表认定的关系4

信息系统与内部控制5目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加深，众多企业实施了ERP系统，由于ERP系统的集成度较高，因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。

信息系统与内部控制（续）6

信息系统与内部控制（续）7如果缺乏适当的信息系统内部控制，公司将面临业务、财务等方面的风险，例如：舞弊风险：信息化加快了公司的效率，提供方便的业务处理同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易如果缺乏适当的IT控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞弊现象存在的可能

未授权数据修改的风险：信息系统与内部控制（续）8公司最重要的资产之一就是信息和数据如果没有适当的IT内部控制，例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等，业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制，从而给公司带来巨大的损失

信息系统与内部控制（续）9根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%～25%的公司在信息系统内部控制方面存在重大缺陷。导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制

议题信息系统控制的内容10

信息系统控制的内容11

信息技术一般控制与

自动化应用控制之间的关系12应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）12

信息技术一般控制与

自动化应用控制之间的关系13如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上0102

议题信息技术一般控制14

信息技术一般控制15

信息技术一般控制（续）16

信息技术一般控制（续）17如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度例如：程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作

信息技术一般控制所包括的范围180102开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的开发和实施：维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的变更和维护：

信息技术一般控制所包括的范围1901对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等信息系统的操作和运行：02安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等程序和数据的接触安全：

信息技术一般控制：

信息系统的开发和实施20目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离

信息技术一般控制：

信息系统的变更和维护21目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离

信息技术一般控制：

信息系统的操作和运行22目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财