4.4.9 信息系统应用控制概述.ppt

Page* Page* 内部培训资料，注意必威体育官网网址 信息系统应用控制概述 -内部培训资料 2009年7月 第三部分：信息系统应用控制的分类 第二部分：应用系统范围和控制如何确定 第一部分：信息系统应用控制介绍 培训内容 分为四大部分： 第四部分：应用控制与一般性控制的关系 第一部分：信息系统应用控制介绍 第一部分：信息系统应用控制介绍 应用系统的概念 应用系统是处理业务交易的系统软件，比如工资系统、存货系统、计费系统，以及集成度较高的ERP系统等。这些系统内置了企业的业务流程、交易规则、复杂的计算逻辑以及相关的财务报表处理等。 部署结构 只能在单台计算机上独立运行的应用软件，比如久其报表系统 网络版应用软件，根据职能划分区域管理，比如各省公司单独运行 网络版应用软件，全集团集中管理，各分支机构以客户端的身份接入 在企业实际使用中，有不同部署的结构： 第一部分：信息系统应用控制介绍 应用系统的逻辑结构 基础服务计算机网络、硬件设备等 数据服务提供数据存储，Oracle/Sql Server 等 应用服务提供业务逻辑、计算规则等 接入服务提供用户界面和入口访问 大多数用户通过提供的系统 登录界面统一进行权限验证 访问资源 包含了业务流程和交易规则， 比如财务数据、服务流程等， 以及复杂的计算公式等 极少数用户拥有直接访问数据库的权限，比如管理员权限 主要是网络安全服务，包括内网与外网的安全访问 第一部分：信息系统应用控制介绍 为什么要对应用系统进行审计呢？ 存 在 风 险 业务流程：流转是否合理 数据规则：计算是否正确 权限划分：分配是否适当 报表处理：处理是否准确 财务报表 的重要科目 和信息 存 在 影响 第一部分：信息系统应用控制介绍 信息系统应用控制概念 应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等）的一系列控制活动，用来避免或者降低风险至可接受程度。 业务流程：流转是否合理 数据规则：计算是否正确 权限划分：分配是否适当 报表处理：处理是否准确 从设计上审阅其合理性，比如不同级别审批的内容不一样 比如增加平衡校验 比如职责分离、定期审阅用户权限 比如业会核对、报表平衡检查 第一部分：信息系统应用控制介绍 完善信息系统应用控制是符合内控要求 一般情况下，应用系统在设计初期乃至设计运行后，对风险和内控的考虑很少，尽管在某种程度上满足了业务操作要求，但却不能满足内控以及风险管理的要求。所以，完善应用系统控制符合内控要求是一种趋势。 第一部分：信息系统应用控制介绍 高 低 成本控制 环境蓝图 设计 开发/二次开发 测试 用户接受测试（UAT） 实施 上线 开发期间 实施前 实施后 开始 完成 项目建设不同时期所花费的成本曲线 第二部分：应用系统范围和控制如何确定 第二部分：应用系统范围和控制如何确定 当你审计应用系统时，遇到的第一个问题就是： 哪些系统需要做应用系统审计或控制测试呢？ 究竟对这些应用系统做哪些控制测试呢？ 第二个问题就是： 控制识别及测试 范围确定 第二部分：应用系统范围和控制如何确定 确定应用系统范围和控制的方法论： 第二部分：应用系统范围和控制如何确定 控制识别： 第一步：了解并理解这些应用系统所运转的业务功能或者活动。可以通过一些学习与研究，或者通过访谈 第二步：识别潜在风险（与业务功能/活动相关），可能出错的地方是什么？出错的可能性有多大？ 第三步：这些风险是如何被处理和应对的，针对这些风险采取的措施是什么？（即控制是什么）。 所以，对信息系统审计师来讲，需要知道它的业务以及流程，此时需要的知识背景是复杂的，不单单是信息技术方面的知识。 第三部分：信息系统应用控制分类 第三部分：应用控制分类 应用控制举例 自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如： 许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额） 如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理 第三部分：应用控制分类 根据不同的应用系统部署结构，其测试方法也会不同 部署结构 对测试范围内的应用系统分别采取单点测试 采取区域集中测试，比如省公司集中的系统，可以在 省公司集中测试；同时还要考虑总部集团的系统测试 采取总部集团统一测试，对测试范围内的分支机构 展开流程控制测试 第四部分：