43_信息系统审计方法与操作指引.pptVIP

信息系统审计方法及操作指引;

一、信息系统审计方法

IT一般控制和应用控制审计概要;IT一般控制审计程序

■IT一般控制概念

?信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进行测试与评估就显得尤为重要。

?IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为“IT一般控制”。

■IT一般控制分类

?变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。

?逻辑访问:只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如:询问、执行和更

新）。

?其他IT一般控制（包括IT运行）:正确备份支持财务信息数据，以便在发生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计划执行程序，并及时识别和

消除按计划处理时产生的偏差。及时识别、解决、复核和分析IT运行问题或事故。;

?用户账号变更管理

?超级用户访问授权

?关键系统资源和工具访问授权

?权限定期检查

?超级用户日志

?职责分离

?安全参数设置

?远程访问

?网络安全;IT一般控制审计程序

■变更管理

1.1总体目标

仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。

1.2影响变更管理测试性质和范围因素

1.2.1IT环境技术组成要素

在风险评估过程中，应确定IT环境中以下哪些技术组成要素会影响变更管理种类，并且在测试范围内:

?应用程序

?界面（IT控制）?数据库

?操作系统/网络;IT一般控制审计程序

■影响变更管理测试性质和范围因素(续)

1.2.2变更类型

要确定最适当的??试方法，了解和记录用于变更管理过程，包括针对以下变更类型和IT环境技术组成要素过程:

?程序开发/采购—开发和实施新应用程序或界面。

?程序变更—对现有应用程序和界面进行的变更。

?系统软件维护—对数据库、操作系统和其他系统软件进行的技术变更（例如:补丁程序和升级）。

?紧急变更—在紧急情况下进行的变更。

?配置/参数变更—对IT环境各种技术组成要素总体配置和参数设置进行的变更相关，包括对新应用程序的配置设置进行初始设置。;IT一般控制审计程序

■影响变更管理测试性质和范围因素(续)

1.2.3识别对IT环境进行的变更（测试总体）

根据确定的测试方法，获取从审计期间期初到测试日期以来IT环境相关组成要素变更完整清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些IT环境变更和技术组成要素。应用以下与获取程序变更清单相关的方法:

?选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单，并且确定变更清单是完整的、有效的。

如果系统生成清单不可用，可以考虑以下组合:

√获取被审计公司变更清单（手工维护清单或来自自动跟踪系统清单）；

√确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单，从该清单中选择一个在此期间发生的变更样本，并验证从被审计机构那里获取的变更清单上是否存在该变更。

?如果没有任何变更，则核实范围内技术组成要素必威体育精装版编译日期不在审计期间内，以确定没有发生变更。;IT一般控制审计程序

■影响变更管理测试性质和范围因素(续)

1.2.4授权、测试和批准变更

?已授权—确定请求的变更已经过适当授权。根据被审计机构政策具体确定，某些情况下（如较小变更，可能被定义为那些需要程序员花费时间少于特定小时数的变更），变更可能不需

要特定授权。

?已测试—确定用户是否执行了测试以确认变更按设计意图运行。否则，应确认