KS6-2对信息系统一般控制的了解和测试.doc

对信息系统一般控制的了解和测试 以下以一家A股上市的大型企业为例，针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明，并未列示项目组所有应当考虑的控制，所列示的孔也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本规模进行测试（本例中样本规模的选取方法仅作参考）。 一、与信息技术控制环境相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 CE－1 权限管理 建立和实施权限管理，确保系统内权限的分配是适当的。 1.访谈了解帐号及权限管理机制： （1）是否制定了正式的帐号及权限管理制度，对帐号及权限的日常变动、帐号及权限的定期审阅管理进行正式规定； （2）访谈了解内审部门是否对帐号及权限进行适当监控。 2.获取帐号及权限管理制度，检查制度设计的有效性。 1.XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到： （1）XX单位正式下发了《会计核算单位及用户管理细则》； （2）XX单位XX系统管理员负责总部的帐号／权限的新增、变更和删除操作及管理； （3）XX单位内审部对帐号及权限进行审阅及监控。 2.我们获取了《会计核算单位及用户管理细则》，检查发现： （1）针对账号及权限的日常增删改管理，制度规定各单位对财务信息化各系统普通用户、访问权限的增加、变更以及注销进行审批。财务信息化各系统应用系统管理员应根据审批通过的《用户权限申请（变更、注销）表》对用户和权限参数进行设置，并通知申请人员签收。 （2）针对账号及权限的定期审阅，制度规定：“财务信息化各系统的用户权限设置和对数据资源、访问情况应至少每半年进行一次检查，发现问题及时处理。” 未发现异常 CE2 IT系统管理制度 建立和适当实施 IT系统管理制度。 1.访谈了解 IT系统管理 （1）客户是否建立正式的 IT系统管理制度，包括是否得以制定； （2）内审部门是否参与了 IT系统管理办法的制定过程。 2.获取IT系统管理制度，检查制度设计的有效性。 1. X X日，通过询问XX单位财务部应用系统管理员XX，我们了解到： （1）X X单位统一制定了 IT管理制息化管理办法》包括《X X单位财务信息化管理发现办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》、在制度中对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定； （2）IT管理制度由 X X起草，经逐级审批通过后执行。X X单位的内审部门参与 IT系统管理制度的制定过程。 2.我们获取了《X X单位财务信息化管理办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》，检查发现制度对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定。 未发现异常 《XX单位财务信信息化管理办法》 《财务信息系统团建管理细则》 《会计核算单位及用户管理细则》《财务信息系统运营维护管理细则》《财务信息系统安全管理细则》 不适用 CE3 备份管理 建立和实施备份管理，确保 生产系统数据 的可用性。 访谈了解客户的备份管理机制，包括： （1）备份：总部集中执行备份还是下属单位分别执行备份；（2 ）备份检查：总部单位集中检查备份结果还是下属单位分别检查备份结果。 XX日，通过询问XX单位信息中心OSDB管理员XX，我们了解到：XX单位的服务器的备份操作均由总部统一执行，备份结果由总部统一检查。关于备份执行有效性，参见对备份策赂、备份结果检查的执行有效性的测试结果。 参见XX 参见XX 参见XX 二、与程序开发相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 PD1 系统测试 单元、系统和用户测试应执行，并且用户接受性测试应在系统移植前签署。开发和用户接受性测试应有单独的环境，并且程序师/开发人员不应有权限 进入用户接受性测试环境。 1.询问确认新系统移植到实用环境前存在业务所有者/用户适当的授权（签署等）。 2.检查以下文档： （1）测试计划和结果； （2）用户接受性测试签署表（现场核实有 3 个分离的环境·生产、测试、开发），如果可能取得截屏。 3.重新测试： （1）记账（过账）； （2）开账、结账； 查询系统安全审计日志，确认系统日志是否存在取消记账、重新打开等操作。 X X日，通过询问 X X单位财务部应 用系统管理员 X X，我们了解到