信息系统一般控制审计(下).doc

信息系统一般控制审计（下）

（2018-09-20）

编者按：在信息化环境下，企业运用信息技术编制财务报表，设

计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必

须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和

方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，

中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信

息系统环境下的财务报表审计》一书，即将出版。本刊约请作者加以

摘编，分期连载，以飨读者。

本文拟从系统运行和维护、系统访问权限两个角度，探讨信息系

统一般控制审计。

一、系统运维

（一）系统运维活动中与审计相关的特定风险

注册会计师在执行企业财务报表审计时，需要考虑被审计单位的

信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师

需要进一步考虑系统运维活动中与财务报表审计相关的特定风险，主

要体现在以下几个方面（如表1所示）。

表1系统运维各阶段的主要审计风险

系统运维要素特定风险

事务处理活动?未经授权的批处理作业变更导致事务处理不完整、不准确、

不及时；

?对批处理作业的人为干预造成事务数据处理不完整、不准

确、不及时；

?系统间事务记录传递不完整、不准确、不及时；

1

问题管理与响应?影响系统平稳运行，造成各类事务数据处理不完整、不准确、

不及时；

机房/数据中心运维活

?事务记录丢失；

动

?数据无法恢复；

?备份数据出错，影响备份恢复完整性、准确性；

?信息系统基础设施性能不稳定，无法正常支撑业务开展；

?灾难事件导致企业业务中断，无法在预期的时间内恢复正常

运作；

（二）系统运维审计领域相关控制

系统运维审计领域相关控制是围绕系统运维活动的一系列程序

或机制，它们能够确保信息系统是根据管理层的应用控制目标运行的，

确保运行中发生的问题得到及时的识别和解决，从而保证事务处理的

准确性和完整性。系统运维审计领域的相关控制要保证系统的事务处

理作业的运行与数据的备份是在受控的环境中执行的，任何运行中产

生的异常也会得到及时处理。

系统运维审计领域相关控制的一般要素包括：

1.对系统运维活动的整体管理；

2.事务处理活动管理；

3.问题管理；

4.机房/数据中心运维管理。

系统运维各阶段面临的财务报表审计相关特定风险，与控制目标、

COBIT5模型及常见控制机制的对应关系如下（如表2所示）。

表2风险与控制目标、COBIT5模型及常见控制机制的对应关系

要素风险控制目标

与COBIT5模型

的映射关系

常见的控制机制

事务处理未经授权的批处理保证事务处理BAI10使用自动化作业调

活动管理

作业变更导致事务

处理不完整、不准

确、不及时；

作业与业务需

要相匹配。

DSS01

度工具进行批处理

作业的配置和管理。

保证事务处理DSS02对自动化作业调度

2

对批处理作业的人作业的受控访工具、信息系统各层

为干预造成事务数问。DSS03面（应用层面、数据

据处理不完整、不准库层面、操作系统层

确、不及时；保证事务处理DSS06面）的作业配置进行

作业运行正必要的访问控制。

系统间事务记录传常，事务数据

递不完整、不准确、处理完整、准建立自动或人工的

不及时；确、及时。事务处理监控机制，

及时识别、跟进、解

决作业处理异常。

问题管理影响系统平稳运行，保证信息系统DSS03建立自动或人工的

造成各类事务数据平稳运行。问题监控机制，及时

处理不完整、不准识别、跟进、解决各

确、不及时；类信息系统运行异

常。

机房/数据事务记录丢失；保证信息系统BAI09确定与企业业务特

中心运维数据备份的可征和业务需要相匹

管理数据无法恢复；靠性、可用性。BAI10配的数据备份策略

（含异地备份策

备份数据出错，影响保证信息系统DSS01略）。

备份恢复完整性、准基础设施稳定

确性；运行。DSS02使用自动化备份工

具进行数据备份的

信息系统基础设施保证企业信息DSS03配置和管理。

性能不稳定，无法正系统在预期的

常支撑业务开展；时间内恢复事DSS04建立自动或人工的

务处理能力。备份监控机制，及时

灾难事件导致企业DSS06识别、跟进、解决各

业务中断，无法在预类数据备份异常。

期的时间内恢复正

常运作；定期或不定期执行

备份数据恢复性测

试。

建立自动或人工的

系统性能监控机制，

及时识别、跟进、解

决各类性能异常。

制定灾难恢复计划

与业务连续性计划，

并定期或不定期执

行计划演练。

3

（三）系统运维审计领域控制测试的执行

根据《中国注册会计师审计准则第1211号——通过了