0-信息技控制测试.doc

信息技术控制与测试 议 题 1. 信息系统与内部控制 2. 信息技术控制的内容 3. 信息技术一般控制 4. 自动化应用控制 5. 测试与评价信息技术控制  1. 信息系统与内部控制 Orcal、SAP ERP:配置清单，数据库（比对原始配置，客户配置）为什么调整参数，理由是否支持调整 Orcal重大缺陷：覆盖性数据库（超过一定期间，以前的数据被覆盖）。  信息技术一般控制 根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型： ? 程序控制上的缺陷 ? 软件开发/实施 ? 职责分离 ? 用户对系统的访问授权 ? 对数据访问的监管和控制  2. 信息系统控制的内容  信息系统控制的内容 信息系统内部控制领域 内容  管理层控制 信息技术一般控制 自动化应用控制 与IT公司治理相关的控制： ? IT组织，IT规划 ? IT 风险管理 ? IT管理制度体系 ? IT内部审计等 IT一般控制： ? 系统开发与程序变更管理 ? 系统访问安全管理 ? IT日常操作管理 ? 物理安全管理等 业务流程中通过系统实现的应用程序 控制： ? 输入控制 ? 验证控制 ? 接口控制 ? 权限控制，职责分工等  ? 公司层面的信息系统控制 IT战略规划 IT组织与职责分工 公 司 层 IT风险管理 面 IT管理制度体系 IT内审  内部环境 风险评估 控制活动 信息与沟通 内部监督  子 业 公 业 务 司 公 务 单 司 分 元 层 部 面  信息技术一般控制与自动化应用控制之间的关系 ? 应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例 如： √ 许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查 来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期 格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档 之中），或合理性检查（如：最大支付金额） ? 如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝 录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待 后续跟进和处理 ? 如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制 的有效性必须建立在信息系统一般控制的基础之上 客户主数据：封死管理，不可更改，CFO或财务总监授权，检查日志看是否有修改 3. 信息技术一般控制 1、网络安全： （1）取得网络拓朴图： （2）是否有防火墙： （3）物理隔离：设备、厂家、清单 （4）逻辑隔离：配置，研发人员不能有操作权限 （5）物理环境是否外包 2、操作系统：了解用什么，微软有漏洞  ? 如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可 信程度 例如： √ 程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程 逻辑进行修改，导致系统接受不准确的录入数据 √ 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理 性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容 差范围的支付操作  信息技术一般控制所包括的范围 信息系统的开发和实施： ? 开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和 质量保证、数据转换、上线、文档与培训等 信息系统的变更和维护： ? 维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产 环境的授权、文档和培训等 信息系统的操作和运行： ? 对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢 复、用户帮助部门的功能、服务水平协议等 程序和数据的接触安全： ? 安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网 络安全、边界网络安全、物理安全等  信息系统的开发和实施 ? 目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑： ? 程序开发活动的全面管理 ? 项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用 控制目标 ? 具体控制领域包括： ? 用户需求 ? 测试和质量确保 ? 数据迁移 ? 程序实施 ? 记录和培训 ? 职责分离  信息技术一般控制（续） 信息系统的变更和维护 ? 目标是确保对程序