信息系統(tǒng)審計方法與操作指引課件

信息系統(tǒng)審計方法及操作指引劉麗萍2013/01信息系統(tǒng)審計方法及操作指引劉麗萍12022/12/32一、信息系統(tǒng)審計方法IT一般控制和應(yīng)用控制審計概要2022/12/22一、信息系統(tǒng)審計方法2022/12/33IT一般控制審計程序IT一般控制概念信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個財務(wù)報表交易流程的重要組成部分，它影響財務(wù)數(shù)據(jù)的一致性、完整性和準確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險增加，因此對IT控制進行測試與評估就顯得尤為重要。IT一般控制是指為保證在一段時期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪問等方面的系統(tǒng)控制。因為這些控制對一個以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱為“IT一般控制”。IT一般控制分類變更管理：只允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進行適當授權(quán)、測試和批準的變更。邏輯訪問：只有經(jīng)過授權(quán)的人員，才可以訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新）。其他IT一般控制（包括IT運行）：正確備份支持財務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問題時，能夠準確、完整地恢復(fù)這類數(shù)據(jù)。按計劃執(zhí)行程序，并及時識別和消除按計劃處理時產(chǎn)生的偏差。及時識別、解決、復(fù)核和分析IT運行問題或事故。2022/12/23IT一般控制審計程序IT一般控制概念2022/12/34IT一般控制審計程序IT一般控制包含控制流程主要包括三個方面變更管理邏輯訪問其它IT一般控制平穩(wěn)解決創(chuàng)新管理問題IT一般控制審計Enterprisedata

modelMaster/referencedataTechnologyandtoolsstandards信息系統(tǒng)審計指南和標準用戶賬號變更管理超級用戶訪問授權(quán)關(guān)鍵系統(tǒng)資源和工具訪問授權(quán)權(quán)限定期檢查超級用戶日志職責(zé)分離安全參數(shù)設(shè)置遠程訪問網(wǎng)絡(luò)安全備份管理備份恢復(fù)物理安全批處理第三方管理問題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計劃／災(zāi)難恢復(fù)系統(tǒng)開發(fā)和重大變更程序變更配置/參數(shù)變更基礎(chǔ)架構(gòu)變更緊急程序變更數(shù)據(jù)修改2022/12/24IT一般控制審計程序IT一般控制包含控制2022/12/35IT一般控制審計程序變更管理1.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響變更管理種類，并且在測試范圍內(nèi)：應(yīng)用程序界面（IT控制）數(shù)據(jù)庫操作系統(tǒng)/網(wǎng)絡(luò)1.2影響變更管理測試性質(zhì)和范圍因素僅允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進行適當授權(quán)、測試和批準的變更。1.1總體目標2022/12/25IT一般控制審計程序變更管理1.2.12022/12/36IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))1.2.2變更類型要確定最適當?shù)臏y試方法，了解和記錄用于變更管理過程，包括針對以下變更類型和IT環(huán)境技術(shù)組成要素過程：程序開發(fā)/采購—開發(fā)和實施新應(yīng)用程序或界面。程序變更—對現(xiàn)有應(yīng)用程序和界面進行的變更。系統(tǒng)軟件維護—對數(shù)據(jù)庫、操作系統(tǒng)和其他系統(tǒng)軟件進行的技術(shù)變更（例如：補丁程序和升級）。緊急變更—在緊急情況下進行的變更。配置/參數(shù)變更—對IT環(huán)境各種技術(shù)組成要素總體配置和參數(shù)設(shè)置進行的變更相關(guān)，包括對新應(yīng)用程序的配置設(shè)置進行初始設(shè)置。2022/12/26IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/37IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))選擇變更管理樣本首選方法是：直接從表明自審計期間期初到測試日期實際進行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。如果系統(tǒng)生成清單不可用，可以考慮以下組合：獲取被審計公司變更清單（手工維護清單或來自自動跟蹤系統(tǒng)清單）；確定程序變更清單是完整的。通過查找編譯日期在審計期間內(nèi)的可執(zhí)行模塊來獲取實際變更清單，從該清單中選擇一個在此期間發(fā)生的變更樣本，并驗證從被審計機構(gòu)那里獲取的變更清單上是否存在該變更。如果沒有任何變更，則核實范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計期間內(nèi)，以確定沒有發(fā)生變更。1.2.3識別對IT環(huán)境進行的變更（測試總體）根據(jù)確定的測試方法，獲取從審計期間期初到測試日期以來IT環(huán)境相關(guān)組成要素變更完整清單（變更管理清單）。應(yīng)盡可能進一步分離變更管理清單，使其只包括在范圍內(nèi)的那些IT環(huán)境變更和技術(shù)組成要素。應(yīng)用以下與獲取程序變更清單相關(guān)的方法：2022/12/27IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/38IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))已授權(quán)—確定請求的變更已經(jīng)過適當授權(quán)。根據(jù)被審計機構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費時間少于特定小時數(shù)的變更），變更可能不需要特定授權(quán)。已測試—確定用戶是否執(zhí)行了測試以確認變更按設(shè)計意圖運行。否則，應(yīng)確認確實進行了其他適當測試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計機構(gòu)政策，可以接受純IT測試。已批準—確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準。1.2.4授權(quán)、測試和批準變更

1.2.5變更管理職責(zé)分工補償性控制由于組織結(jié)構(gòu)或其他原因無法進行變更管理不相容職責(zé)分工情況下，補償性控制可以用來保證不會發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補償性控制設(shè)計為發(fā)現(xiàn)何時因不相容職責(zé)分工問題而規(guī)避現(xiàn)有其他變更管理控制。補償性IT一般控制示例有：變更日志復(fù)核，以確定只有批準的變更被移到生產(chǎn)環(huán)境中，同時確認變更日志是完整的。變更控制會議，以討論和跟進移入生產(chǎn)環(huán)境中的最新變更。2022/12/28IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/39IT一般控制審計程序邏輯訪問2.1總體目標只允許授權(quán)人員訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新等）。

需要考慮ITGC邏輯訪問測試是否提供了有關(guān)適當?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，ITGC測試不能為我們提供足夠的證據(jù)，以明確斷定是否為各個交易適當限制或分離了邏輯訪問。此時，應(yīng)用程序?qū)哟蔚脑L問控制對于我們的風(fēng)險評估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測試的一部分，我們將對應(yīng)用程序?qū)哟卧L問或不相容職責(zé)分工控制執(zhí)行特定測試。2022/12/29IT一般控制審計程序邏輯訪問2.1總體2022/12/310IT一般控制審計程序2.2影響邏輯訪問測試性質(zhì)和范圍因素對于ITGC審計范圍每個應(yīng)用程序,應(yīng)確定用于保護財務(wù)系統(tǒng)程序和數(shù)據(jù)訪問的邏輯訪問路徑每個技術(shù)組成要素關(guān)鍵程度。邏輯訪問路徑可能的技術(shù)組成要素包括：2.2.1邏輯訪問路徑應(yīng)用程序操作系統(tǒng)，包括使用安全軟件數(shù)據(jù)庫網(wǎng)絡(luò)互聯(lián)網(wǎng)/遠程訪問穿行測試應(yīng)記錄邏輯訪問路徑中的哪些位置存在不同授權(quán)訪問過程。在大多數(shù)環(huán)境中：所有邏輯訪問ITGC均應(yīng)用于應(yīng)用程序?qū)哟?；并非所有邏輯訪問ITGC都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫層次；只有極少數(shù)邏輯訪問ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠程訪問或互聯(lián)網(wǎng)層次。2022/12/210IT一般控制審計程序2.2影響邏輯訪2022/12/311IT一般控制審計程序影響邏輯訪問測試性質(zhì)和范圍因素(續(xù))與離職和調(diào)動用戶相關(guān)的ITGC通常是補償性控制，用于彌補定期用戶訪問復(fù)核過程的缺陷。如果審計方法表明需要測試離職和調(diào)動用戶，我們應(yīng)考慮以下程序：2.2.2定期用戶權(quán)限復(fù)核控制的補償性控制

測試程序—

離職用戶：獲取審計期間離職職員清單，并確定它是完整的、有效的。選擇適當樣本，確定是否及時刪除或撤消了系統(tǒng)訪問權(quán)限。測試程序—

調(diào)動用戶：獲取審計期間調(diào)動職員清單，并確定它是完整的、有效的。確定用戶訪問對于其工作職能來說是否適當，其以前的系統(tǒng)訪問權(quán)限是否已被刪除或撤消。2022/12/211IT一般控制審計程序影響邏輯訪問測試性2022/12/312IT一般控制審計程序其他IT一般控制備份和恢復(fù)：正確備份支持財務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問題時，可以準確完整地恢復(fù)此類數(shù)據(jù)。任務(wù)排程：按計劃執(zhí)行程序，及時識別并消除按計劃處理時產(chǎn)生的偏差。批處理：正確維護批處理過程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問題和事件管理及監(jiān)控：及時識別、解決、復(fù)核和分析IT運行問題或事件。3.1總體目標3.2影響其他IT一般控制測試性質(zhì)和范圍因素3.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，我們應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響其他IT一般控制，并且在測試范圍內(nèi)：應(yīng)用程序數(shù)據(jù)庫操作系統(tǒng)/網(wǎng)絡(luò)

2022/12/212IT一般控制審計程序其他IT一般控制3IT一般控制審計程序方法論測試方法測試人員需要根據(jù)具體情況，決定采用不同測試方法，包括：詢問、觀察、檢查、重新執(zhí)行四種。注意：對某一個控制點測試可能需要結(jié)合各種不同測試方法，譬如用戶賬號管理流程關(guān)于用戶初始密碼必須及時更改這個控制點。詢問：通過向相關(guān)人員訪談了解各個系統(tǒng)是否存在用戶初始密碼更改控制，由什么崗位負責(zé)這項工作，是否有制度對初始密碼作出規(guī)定等。觀察：觀察一個系統(tǒng)新用戶初次登陸時，系統(tǒng)是否提示修改密碼。檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強制用戶在初次登錄后修改密碼。重新執(zhí)行：申請一個測試賬號，在系統(tǒng)中初次登錄時查看系統(tǒng)是否強制要求修改密碼。2022/12/313IT一般控制審計程序方法論測試方法詢問：通過向相關(guān)人員訪談了IT一般控制審計程序方法論2022/12/314為了解IT流程，參與評估人員需要在內(nèi)控文檔中對如下內(nèi)容進行關(guān)注：5個W(WHO,WHEN,WHAT,WHERE,WHY)與1個H(HOW)誰來做的-Who何時做的-When做的什么-What在哪做的-Where做的原因-Why如何做的-How了解IT流程方法IT一般控制審計程序方法論2022/12/214為了解IT流IT一般控制審計程序方法論2022/12/315IT一般控制測試流程缺陷報告文檔整改控制矩陣測試訪談再評估IT一般控制審計程序方法論2022/12/215IT一般控制IT一般控制審計程序方法論2022/12/316IT一般控制流程主要關(guān)注點舉例-用戶賬戶維護流程

注：所列內(nèi)容僅為簡單樣例需求部門如何提出用戶賬戶維護申請該申請由誰來授權(quán)，如何授權(quán)以及授權(quán)哪些內(nèi)容需求申請及授權(quán)確認記錄在哪里具體誰負責(zé)執(zhí)行及如何執(zhí)行

負責(zé)人完成維護操作后，如何通知需求部門或授權(quán)人啟動授權(quán)記錄流程處理 匯報詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查IT一般控制審計程序方法論2022/12/216IT一般控制2022/12/317IT一般控制審計方法論了解被評估單位的IT一般控制流程根據(jù)流程描述，識別風(fēng)險與控制的關(guān)系根據(jù)應(yīng)用系統(tǒng)配置清單，判斷測試范圍根據(jù)測試范圍設(shè)計測試方法執(zhí)行穿行測試/控制測試根據(jù)測試結(jié)果，進行控制評價填寫缺陷報告、制定整改計劃流程描述/流程圖IT一般控制評估風(fēng)險控制矩陣系統(tǒng)配置清單測試模板穿行、控制測試報告缺陷報告、整改計劃使用相關(guān)流程描述方法表示被評估單位某個具體業(yè)務(wù)處理過程。風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。識別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)用系統(tǒng)來源、計算機平臺、操作系統(tǒng)、數(shù)據(jù)庫名稱和版本等有關(guān)系統(tǒng)的信息。根據(jù)對信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點、控制點、測試范圍、測試時間、測試步驟等信息對相關(guān)風(fēng)險點所針對的每個控制進行測試，并得出結(jié)論（即：確定ITGC是否有效）。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制未按照設(shè)計方式運行的情況進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。2022/12/217IT一般控制審計方法論了解被評估單位的IT一般控制審計程序方法論2022/12/318流程描述/流程圖系統(tǒng)變更流程適用范圍-針對XXX系統(tǒng)需求申請需求可行性分析業(yè)務(wù)需求文檔編寫系統(tǒng)開發(fā)測試上線上線后跟進IT一般控制審計程序方法論2022/12/218流程描述/流IT一般控制審計程序方法論2022/12/319風(fēng)險控制矩陣風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。包括風(fēng)險點、控制點、控制存在的證明性資料、實際控制描述等信息。IT一般控制審計程序方法論2022/12/219風(fēng)險控制矩陣IT一般控制審計程序方法論2022/12/320穿行測試、控制測試定義穿行測試：追蹤交易實際執(zhí)行或在信息系統(tǒng)中的處理過程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測試不是單獨的一種審計程序，而是將多種審計程序按特定審計需要結(jié)合運用的方法。通過追蹤交易處理過程，證實審計人員對控制的了解、評價控制設(shè)計有效性以及確定控制是否得到執(zhí)行?？刂茰y試：測試被審計單位系統(tǒng)控制設(shè)計合理性和執(zhí)行有效性。在測試控制運行有效性時，應(yīng)當從下列方面獲取關(guān)于控制是否有效運行的審計證據(jù)：控制在所審計期間不同時點是如何運行的；控制是否得到一貫執(zhí)行；控制由誰執(zhí)行；控制以何種方式運行（如人工控制或自動控制）。穿行測試：評價控制設(shè)計有效性。穿行測試主要是在了解內(nèi)部控制時運用，但在執(zhí)行穿行測試時，也能獲取部分控制運行有效性的審計證據(jù)?？刂茰y試：評價控制設(shè)計有效性并確定控制是否得到有效執(zhí)行。穿行測試、控制測試區(qū)別IT一般控制審計程序方法論2022/12/220穿行測試、控IT一般控制審計程序方法論2022/12/321穿行測試樣本量穿行測試是隨機選擇審計期間的一個樣本進行測試。控制測試樣本量在制定用于執(zhí)行控制測試的測試策略時，應(yīng)考慮這樣一個事實：執(zhí)行足夠多程序是為了作出控制有效運行結(jié)論。下表匯總了我們在下列情況下針對某個特定控制執(zhí)行控制測試的基本測試范圍指引：控制性質(zhì)及執(zhí)行頻率全面控制測試-要測試的最少樣本數(shù)量（控制測試范圍）每天執(zhí)行許多次的手工控制25每天執(zhí)行一次的手工控制*25每周執(zhí)行一次的手工控制5每月執(zhí)行一次的手工控制2每季執(zhí)行一次的手工控制2每年執(zhí)行一次的手工控制1自動控制1（區(qū)別不同交易類型）*

某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對于這種控制，應(yīng)使用上面指引推算樣本量。通常，對于在一年中出現(xiàn)50至250次的控制，使用上面表格推算的最低樣本量大約是發(fā)生數(shù)量的10%。IT一般控制審計程序方法論2022/12/221穿行測試樣本IT一般控制審計程序方法論2022/12/322測試模板根據(jù)對被審計單位信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點、控制點、測試范圍、測試時間、測試步驟等信息。IT一般控制審計程序方法論2022/12/222測試模板根據(jù)IT一般控制審計程序方法論2022/12/323缺陷報告、整改計劃對所測試的控制沒有按照設(shè)定方式運行情況進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出有針對性的整改意見。IT一般控制審計程序方法論2022/12/223缺陷報告、整IT一般控制審計程序方法論2022/12/324IT一般控制與應(yīng)用控制關(guān)系人工控制自動控制（純）人工控制應(yīng)用程序控制人工依賴IT控制IT一般控制人工檢查性控制人工預(yù)防性控制IT一般控制審計程序方法論2022/12/224IT一般控制IT應(yīng)用控制審計方法論2022/12/325IT應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對于財務(wù)報表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。IT應(yīng)用控制類型IT應(yīng)用控制審計方法論2022/12/225IT應(yīng)用控制概念2022/12/326IT應(yīng)用控制審計方法論了解核心應(yīng)用系統(tǒng)相關(guān)的重要業(yè)務(wù)流程確定業(yè)務(wù)流程與應(yīng)用系統(tǒng)的對應(yīng)關(guān)系根據(jù)業(yè)務(wù)流程描述，識別風(fēng)險與控制執(zhí)行穿行測試/控制測試根據(jù)測試結(jié)果，進行控制評價填寫缺陷報告，制定整改計劃流程描述/流程圖應(yīng)用控制層面評估系統(tǒng)規(guī)劃圖風(fēng)險控制矩陣穿行、控制測試報告缺陷報告、整改計劃使用既定的流程描述方法表示被審計機構(gòu)某個具體業(yè)務(wù)處理過程。描述各個系統(tǒng)之間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相關(guān)接口。對已選擇風(fēng)險點所針對的每個控制進行測試，并得出結(jié)論。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制并未按照針對該交易或控制運行發(fā)生而設(shè)計的方式運行進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。2022/12/226IT應(yīng)用控制審計方法論了解核心應(yīng)用系統(tǒng)2022/12/327IT應(yīng)用控制審計方法論風(fēng)險控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動控制和人工依賴IT系統(tǒng)控制三類控制。樣例如下：存在/發(fā)生、完整性、權(quán)利和義務(wù)、計價和分攤、準確性、截止、分類2022/12/227IT應(yīng)用控制審計方法論風(fēng)險控制矩陣也是28二、信息系統(tǒng)審計準則與操作指引2022/12/328二、信息系統(tǒng)審計準則與操作指引2022/12/2信息系統(tǒng)審計準則與操作指引

2022/12/329行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)部控制指引證券公司內(nèi)部控制指引壽險公司內(nèi)部控制評價辦法上市公司內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引證券交易所行業(yè)監(jiān)管機構(gòu)企業(yè)內(nèi)部控制基本規(guī)范財政部證監(jiān)會審計署銀監(jiān)會保監(jiān)會企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制審計指引證券交易所、行業(yè)監(jiān)管機構(gòu)均出臺了一系列內(nèi)部控制指引，為企業(yè)建立和實施內(nèi)部控制制度提供一些行業(yè)性指引?！吨袊詴嫀煂徲嫓蕜t第1211號——了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》要求注冊會計師了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險，并且應(yīng)當了解與信息處理有關(guān)的控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。財政部牽頭五部委出臺《企業(yè)內(nèi)部控制基本規(guī)范》，為企業(yè)提供了完整和公認的內(nèi)部控制框架，同時以法規(guī)的形式要求上市公司對本公司內(nèi)部控制的有效性進行自我評價。《企業(yè)內(nèi)部控制評價指引》具體規(guī)范了內(nèi)控評價的內(nèi)容和標準，評價的程序和方法，內(nèi)控缺陷的認定，以及規(guī)定了評價報告的相關(guān)內(nèi)容?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》在每個具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險，崗位分工及授權(quán)批準，及主要流程的控制程序?！镀髽I(yè)內(nèi)部控制審計指引》為指導(dǎo)注冊會計師執(zhí)行內(nèi)部控制審計業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)審計準則與操作指引2022/12/229行業(yè)內(nèi)控指2022/12/330企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《企業(yè)內(nèi)部控制基本規(guī)范》第五章中第四十一條對信息系統(tǒng)內(nèi)部控制進行了要求：“企業(yè)應(yīng)當利用信息技術(shù)促進信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運行。”2022/12/230企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《2022/12/331企業(yè)內(nèi)部控制評價指引-信息系統(tǒng)控制2022/12/231企業(yè)內(nèi)部控制評價指引-信息系統(tǒng)控制32企業(yè)內(nèi)部控制應(yīng)用指引第18號-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開發(fā)（5條）信息系統(tǒng)運行與維護（6條）2022/12/332企業(yè)內(nèi)部控制應(yīng)用指引第18號-信息系統(tǒng)控制內(nèi)容包括:2033中國注冊會計師審計準則第1211號

-了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險第五十九條注冊會計師應(yīng)當從下列方面了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時并存；（二）在未得到授權(quán)情況下訪問數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對系統(tǒng)或程序作出必要的修改；（七）不恰當?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險或不能訪問所需要的數(shù)據(jù)。第八十六條注冊會計師應(yīng)當了解與信息處理有關(guān)控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當?shù)剡\行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運行控制，系統(tǒng)軟件的購置、修改及維護控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運行人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計算準確性，審核賬戶和試算平衡表，設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查，以及對例外報告進行人工干預(yù)。2022/12/333中國注冊會計師審計準則第1211號

-了解被審計單位及其信息系統(tǒng)審計準則與操作指引

2022/12/334信息系統(tǒng)審計與控制協(xié)會（ISACA）制定并頒布了11大類審計準則、29條審計指引和9條審計程序。審計指引審計準則審計程序?qū)徲嫓蕜t：IT審計準則是整個審計準則體系總綱，是IT審計師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計指南和審計程序的基礎(chǔ)依據(jù)。審計指引：審計指引是依據(jù)審計準則制定的，是審計準則的具體化，它詳細規(guī)定了IT審計師執(zhí)行各項審計業(yè)務(wù)、出具審計報告的具體指引，為審計師在執(zhí)行審計業(yè)務(wù)中如何遵守審計準則提供指導(dǎo)。審計程序：IT審計程序是依據(jù)審計準則和審計指引制定的。它為審計師提供了一般審計業(yè)務(wù)的程序和步驟，是遵守審計準則和審計指引的一些通用審計程序。審計程序為審計師提供了很好的工作范例。IT審計準則框架信息系統(tǒng)審計準則與操作指引2022/12/234信息系統(tǒng)審信息系統(tǒng)審計準則與操作指引

2022/12/335ISACA信息系統(tǒng)審計準則審計章程 獨立性職業(yè)道德和標準專業(yè)勝任能力審計計劃實施審計工作報告后續(xù)審計違法和違規(guī)行為IT治理在審計計劃中使用風(fēng)險評估方法信息系統(tǒng)審計準則與操作指引2022/12/235ISACA信息系統(tǒng)審計準則與操作指引

2022/12/336ISACA信息系統(tǒng)審計準則（續(xù)）審計章程 審計章程中載明IT審計目的、責(zé)任、權(quán)限和職責(zé)。獨立性

獨立性是指IT審計活動獨立與他們所審查的活動之外，可以理解為審計部門的獨立性和審計人員獨立性。IT審計部門是否獲得獨立性應(yīng)考慮因素IT審計部門設(shè)置是否在經(jīng)董事會、審計委員會、相關(guān)治理機構(gòu)和高級管理層批準或認可的內(nèi)審章程中做出規(guī)定IT審計部門向誰負責(zé)和報告工作首席執(zhí)行官能否與董事會、審計委員會或其他相關(guān)治理機構(gòu)直接交流和溝通信息，能否參加有關(guān)審計、財務(wù)報告、機構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)會議首席審計執(zhí)行官的任免由何種層次的領(lǐng)導(dǎo)層決定審計委員會由何種人員組成職業(yè)道德和標準

職業(yè)道德和準則職業(yè)審慎態(tài)度信息系統(tǒng)審計準則與操作指引2022/12/236ISACA信息系統(tǒng)審計準則與操作指引

2022/12/337ISACA信息系統(tǒng)審計準則（續(xù)）專業(yè)勝任能力

審計是一門邊緣性學(xué)科，跨越傳統(tǒng)審計理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計算機科學(xué)四個科學(xué)領(lǐng)域。出色的口頭和書面表達能力，以便清楚有效地表達審計目的、審計評價工作、審計結(jié)論和審計建議擁有良好的人際交流技能接受后續(xù)專業(yè)教育，以保持專業(yè)技術(shù)適應(yīng)性其他必備技能，包括對組織所在行業(yè)深入了解，實施和改進財務(wù)和運營方面所涉及流程的知識和技能審計師知識、技能和專業(yè)勝任能力熟練應(yīng)用內(nèi)部審計實務(wù)標準、程序和技術(shù)，理解管理原則，深入領(lǐng)會會計學(xué)、經(jīng)濟學(xué)、商法、稅收、金融和信息技術(shù)信息系統(tǒng)審計準則與操作指引2022/12/237ISACA信息系統(tǒng)審計準則與操作指引

2022/12/338ISACA信息系統(tǒng)審計準則（續(xù)）計劃

以相應(yīng)法律和審計準則為基礎(chǔ)基于風(fēng)險審計方法制定詳細審計計劃制定審計程序和步驟審計工作實施

審計人員受到適當監(jiān)督獲取證據(jù)審計底稿信息系統(tǒng)審計準則與操作指引2022/12/238ISACA信息系統(tǒng)審計準則與操作指引

2022/12/339ISACA信息系統(tǒng)審計準則（續(xù)）報告

IT審計人員完成審計工作后，應(yīng)向委托者出具按照適當格式編制的審計報告。審計報告應(yīng)當標明機構(gòu)名稱、審計報告報送對象以及報告使用限制。審計報告應(yīng)當說明審計范圍、審計目標、審計工作所涵蓋期間及所執(zhí)行審計工作性質(zhì)和內(nèi)容。審計報告應(yīng)當說明審計人員執(zhí)行審計工作中所發(fā)現(xiàn)的問題、形成的結(jié)論和建議以及審計師關(guān)于審計的任何保留意見。IT審計人員應(yīng)該有充分的、適當?shù)膶徲嬜C據(jù)來支持所報告的審計結(jié)論。審計報告簽發(fā)時，IT審計人員應(yīng)該依據(jù)審計章程或?qū)徲嫎I(yè)務(wù)約定書中規(guī)定簽名、簽署日期再對外發(fā)放。后續(xù)審計

檢查審計發(fā)現(xiàn)問題檢查審計結(jié)論和建議被審計單位是否及時妥善處理相關(guān)問題信息系統(tǒng)審計準則與操作指引2022/12/239ISACA信息系統(tǒng)審計準則與操作指引

2022/12/340ISACA信息系統(tǒng)審計準則（續(xù)）違法和違規(guī)行為

在實施審計程序時，IT審計師應(yīng)當保持一種職業(yè)質(zhì)疑態(tài)度，考慮違法和違規(guī)行為存在可能性，并評價其帶來的風(fēng)險。如果IT審計師識別出重大的違法和違規(guī)行為，或者是獲得了其存在的信息，應(yīng)當及時與適當?shù)墓芾韺舆M行溝通。如果IT審計師識別出管理層或在內(nèi)部控制中擔(dān)任重要角色員工存在重大違法和違規(guī)行為，應(yīng)當及時向適當?shù)谋O(jiān)督者報告。對已向管理層、監(jiān)督人員、執(zhí)法機構(gòu)或其他人員報告的重大違法和違規(guī)行為，IT審計師應(yīng)當記錄所有與此相關(guān)的交流、計劃、結(jié)果、評估和結(jié)論等信息。IT治理

IT審計師應(yīng)當檢查與評估如下內(nèi)容：信息系統(tǒng)職能與組織使命、愿景、價值、目標和戰(zhàn)略是否一致針對信息系統(tǒng)資源與績效管理過程有效性與法律法規(guī)、環(huán)境質(zhì)量、信息質(zhì)量、信用及安全要求符合性組織的控制環(huán)境對信息環(huán)境有負面影響的風(fēng)險在審計計劃中使用風(fēng)險評估方法

信息系統(tǒng)審計準則與操作指引2022/12/240ISACA信息系統(tǒng)審計準則與操作指引

2022/12/341使用ISACA信息系統(tǒng)審計指引考慮審計指引，以決定怎樣實施審計準則在應(yīng)用審計指引時，審計師必須有自己專業(yè)判斷有能力調(diào)整出現(xiàn)的偏離信息系統(tǒng)審計準則與操作指引2022/12/241使用ISA信息系統(tǒng)審計準則與操作指引

2022/12/342信息系統(tǒng)審計相關(guān)重要國際標準CobiTCOSOCMMIITIL信息系統(tǒng)審計國際標準公司層面應(yīng)用控制層面一般控制層面COSO和CobiT是國際通用的IT治理和風(fēng)險管理基本框架，ITIL和CMMI分別是國際通用IT服務(wù)和項目管理方面的先進標準。ISO27000系列是由國際標準組織（ISO）和國際電子技術(shù)委員會（IEC）聯(lián)合制定關(guān)于信息安全管理的國際標準。ISO27000系列信息系統(tǒng)審計準則與操作指引2022/12/242信息系統(tǒng)審信息系統(tǒng)審計方法及操作指引劉麗萍2013/01信息系統(tǒng)審計方法及操作指引劉麗萍432022/12/344一、信息系統(tǒng)審計方法IT一般控制和應(yīng)用控制審計概要2022/12/22一、信息系統(tǒng)審計方法2022/12/345IT一般控制審計程序IT一般控制概念信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個財務(wù)報表交易流程的重要組成部分，它影響財務(wù)數(shù)據(jù)的一致性、完整性和準確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險增加，因此對IT控制進行測試與評估就顯得尤為重要。IT一般控制是指為保證在一段時期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪問等方面的系統(tǒng)控制。因為這些控制對一個以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱為“IT一般控制”。IT一般控制分類變更管理：只允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進行適當授權(quán)、測試和批準的變更。邏輯訪問：只有經(jīng)過授權(quán)的人員，才可以訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新）。其他IT一般控制（包括IT運行）：正確備份支持財務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問題時，能夠準確、完整地恢復(fù)這類數(shù)據(jù)。按計劃執(zhí)行程序，并及時識別和消除按計劃處理時產(chǎn)生的偏差。及時識別、解決、復(fù)核和分析IT運行問題或事故。2022/12/23IT一般控制審計程序IT一般控制概念2022/12/346IT一般控制審計程序IT一般控制包含控制流程主要包括三個方面變更管理邏輯訪問其它IT一般控制平穩(wěn)解決創(chuàng)新管理問題IT一般控制審計Enterprisedata

modelMaster/referencedataTechnologyandtoolsstandards信息系統(tǒng)審計指南和標準用戶賬號變更管理超級用戶訪問授權(quán)關(guān)鍵系統(tǒng)資源和工具訪問授權(quán)權(quán)限定期檢查超級用戶日志職責(zé)分離安全參數(shù)設(shè)置遠程訪問網(wǎng)絡(luò)安全備份管理備份恢復(fù)物理安全批處理第三方管理問題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計劃／災(zāi)難恢復(fù)系統(tǒng)開發(fā)和重大變更程序變更配置/參數(shù)變更基礎(chǔ)架構(gòu)變更緊急程序變更數(shù)據(jù)修改2022/12/24IT一般控制審計程序IT一般控制包含控制2022/12/347IT一般控制審計程序變更管理1.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響變更管理種類，并且在測試范圍內(nèi)：應(yīng)用程序界面（IT控制）數(shù)據(jù)庫操作系統(tǒng)/網(wǎng)絡(luò)1.2影響變更管理測試性質(zhì)和范圍因素僅允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進行適當授權(quán)、測試和批準的變更。1.1總體目標2022/12/25IT一般控制審計程序變更管理1.2.12022/12/348IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))1.2.2變更類型要確定最適當?shù)臏y試方法，了解和記錄用于變更管理過程，包括針對以下變更類型和IT環(huán)境技術(shù)組成要素過程：程序開發(fā)/采購—開發(fā)和實施新應(yīng)用程序或界面。程序變更—對現(xiàn)有應(yīng)用程序和界面進行的變更。系統(tǒng)軟件維護—對數(shù)據(jù)庫、操作系統(tǒng)和其他系統(tǒng)軟件進行的技術(shù)變更（例如：補丁程序和升級）。緊急變更—在緊急情況下進行的變更。配置/參數(shù)變更—對IT環(huán)境各種技術(shù)組成要素總體配置和參數(shù)設(shè)置進行的變更相關(guān)，包括對新應(yīng)用程序的配置設(shè)置進行初始設(shè)置。2022/12/26IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/349IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))選擇變更管理樣本首選方法是：直接從表明自審計期間期初到測試日期實際進行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。如果系統(tǒng)生成清單不可用，可以考慮以下組合：獲取被審計公司變更清單（手工維護清單或來自自動跟蹤系統(tǒng)清單）；確定程序變更清單是完整的。通過查找編譯日期在審計期間內(nèi)的可執(zhí)行模塊來獲取實際變更清單，從該清單中選擇一個在此期間發(fā)生的變更樣本，并驗證從被審計機構(gòu)那里獲取的變更清單上是否存在該變更。如果沒有任何變更，則核實范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計期間內(nèi)，以確定沒有發(fā)生變更。1.2.3識別對IT環(huán)境進行的變更（測試總體）根據(jù)確定的測試方法，獲取從審計期間期初到測試日期以來IT環(huán)境相關(guān)組成要素變更完整清單（變更管理清單）。應(yīng)盡可能進一步分離變更管理清單，使其只包括在范圍內(nèi)的那些IT環(huán)境變更和技術(shù)組成要素。應(yīng)用以下與獲取程序變更清單相關(guān)的方法：2022/12/27IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/350IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))已授權(quán)—確定請求的變更已經(jīng)過適當授權(quán)。根據(jù)被審計機構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費時間少于特定小時數(shù)的變更），變更可能不需要特定授權(quán)。已測試—確定用戶是否執(zhí)行了測試以確認變更按設(shè)計意圖運行。否則，應(yīng)確認確實進行了其他適當測試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計機構(gòu)政策，可以接受純IT測試。已批準—確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準。1.2.4授權(quán)、測試和批準變更

1.2.5變更管理職責(zé)分工補償性控制由于組織結(jié)構(gòu)或其他原因無法進行變更管理不相容職責(zé)分工情況下，補償性控制可以用來保證不會發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補償性控制設(shè)計為發(fā)現(xiàn)何時因不相容職責(zé)分工問題而規(guī)避現(xiàn)有其他變更管理控制。補償性IT一般控制示例有：變更日志復(fù)核，以確定只有批準的變更被移到生產(chǎn)環(huán)境中，同時確認變更日志是完整的。變更控制會議，以討論和跟進移入生產(chǎn)環(huán)境中的最新變更。2022/12/28IT一般控制審計程序影響變更管理測試性質(zhì)2022/12/351IT一般控制審計程序邏輯訪問2.1總體目標只允許授權(quán)人員訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新等）。

需要考慮ITGC邏輯訪問測試是否提供了有關(guān)適當?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，ITGC測試不能為我們提供足夠的證據(jù)，以明確斷定是否為各個交易適當限制或分離了邏輯訪問。此時，應(yīng)用程序?qū)哟蔚脑L問控制對于我們的風(fēng)險評估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測試的一部分，我們將對應(yīng)用程序?qū)哟卧L問或不相容職責(zé)分工控制執(zhí)行特定測試。2022/12/29IT一般控制審計程序邏輯訪問2.1總體2022/12/352IT一般控制審計程序2.2影響邏輯訪問測試性質(zhì)和范圍因素對于ITGC審計范圍每個應(yīng)用程序,應(yīng)確定用于保護財務(wù)系統(tǒng)程序和數(shù)據(jù)訪問的邏輯訪問路徑每個技術(shù)組成要素關(guān)鍵程度。邏輯訪問路徑可能的技術(shù)組成要素包括：2.2.1邏輯訪問路徑應(yīng)用程序操作系統(tǒng)，包括使用安全軟件數(shù)據(jù)庫網(wǎng)絡(luò)互聯(lián)網(wǎng)/遠程訪問穿行測試應(yīng)記錄邏輯訪問路徑中的哪些位置存在不同授權(quán)訪問過程。在大多數(shù)環(huán)境中：所有邏輯訪問ITGC均應(yīng)用于應(yīng)用程序?qū)哟?；并非所有邏輯訪問ITGC都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫層次；只有極少數(shù)邏輯訪問ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠程訪問或互聯(lián)網(wǎng)層次。2022/12/210IT一般控制審計程序2.2影響邏輯訪2022/12/353IT一般控制審計程序影響邏輯訪問測試性質(zhì)和范圍因素(續(xù))與離職和調(diào)動用戶相關(guān)的ITGC通常是補償性控制，用于彌補定期用戶訪問復(fù)核過程的缺陷。如果審計方法表明需要測試離職和調(diào)動用戶，我們應(yīng)考慮以下程序：2.2.2定期用戶權(quán)限復(fù)核控制的補償性控制

測試程序—

離職用戶：獲取審計期間離職職員清單，并確定它是完整的、有效的。選擇適當樣本，確定是否及時刪除或撤消了系統(tǒng)訪問權(quán)限。測試程序—

調(diào)動用戶：獲取審計期間調(diào)動職員清單，并確定它是完整的、有效的。確定用戶訪問對于其工作職能來說是否適當，其以前的系統(tǒng)訪問權(quán)限是否已被刪除或撤消。2022/12/211IT一般控制審計程序影響邏輯訪問測試性2022/12/354IT一般控制審計程序其他IT一般控制備份和恢復(fù)：正確備份支持財務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問題時，可以準確完整地恢復(fù)此類數(shù)據(jù)。任務(wù)排程：按計劃執(zhí)行程序，及時識別并消除按計劃處理時產(chǎn)生的偏差。批處理：正確維護批處理過程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問題和事件管理及監(jiān)控：及時識別、解決、復(fù)核和分析IT運行問題或事件。3.1總體目標3.2影響其他IT一般控制測試性質(zhì)和范圍因素3.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，我們應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響其他IT一般控制，并且在測試范圍內(nèi)：應(yīng)用程序數(shù)據(jù)庫操作系統(tǒng)/網(wǎng)絡(luò)

2022/12/212IT一般控制審計程序其他IT一般控制3IT一般控制審計程序方法論測試方法測試人員需要根據(jù)具體情況，決定采用不同測試方法，包括：詢問、觀察、檢查、重新執(zhí)行四種。注意：對某一個控制點測試可能需要結(jié)合各種不同測試方法，譬如用戶賬號管理流程關(guān)于用戶初始密碼必須及時更改這個控制點。詢問：通過向相關(guān)人員訪談了解各個系統(tǒng)是否存在用戶初始密碼更改控制，由什么崗位負責(zé)這項工作，是否有制度對初始密碼作出規(guī)定等。觀察：觀察一個系統(tǒng)新用戶初次登陸時，系統(tǒng)是否提示修改密碼。檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強制用戶在初次登錄后修改密碼。重新執(zhí)行：申請一個測試賬號，在系統(tǒng)中初次登錄時查看系統(tǒng)是否強制要求修改密碼。2022/12/355IT一般控制審計程序方法論測試方法詢問：通過向相關(guān)人員訪談了IT一般控制審計程序方法論2022/12/356為了解IT流程，參與評估人員需要在內(nèi)控文檔中對如下內(nèi)容進行關(guān)注：5個W(WHO,WHEN,WHAT,WHERE,WHY)與1個H(HOW)誰來做的-Who何時做的-When做的什么-What在哪做的-Where做的原因-Why如何做的-How了解IT流程方法IT一般控制審計程序方法論2022/12/214為了解IT流IT一般控制審計程序方法論2022/12/357IT一般控制測試流程缺陷報告文檔整改控制矩陣測試訪談再評估IT一般控制審計程序方法論2022/12/215IT一般控制IT一般控制審計程序方法論2022/12/358IT一般控制流程主要關(guān)注點舉例-用戶賬戶維護流程

注：所列內(nèi)容僅為簡單樣例需求部門如何提出用戶賬戶維護申請該申請由誰來授權(quán)，如何授權(quán)以及授權(quán)哪些內(nèi)容需求申請及授權(quán)確認記錄在哪里具體誰負責(zé)執(zhí)行及如何執(zhí)行

負責(zé)人完成維護操作后，如何通知需求部門或授權(quán)人啟動授權(quán)記錄流程處理 匯報詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查IT一般控制審計程序方法論2022/12/216IT一般控制2022/12/359IT一般控制審計方法論了解被評估單位的IT一般控制流程根據(jù)流程描述，識別風(fēng)險與控制的關(guān)系根據(jù)應(yīng)用系統(tǒng)配置清單，判斷測試范圍根據(jù)測試范圍設(shè)計測試方法執(zhí)行穿行測試/控制測試根據(jù)測試結(jié)果，進行控制評價填寫缺陷報告、制定整改計劃流程描述/流程圖IT一般控制評估風(fēng)險控制矩陣系統(tǒng)配置清單測試模板穿行、控制測試報告缺陷報告、整改計劃使用相關(guān)流程描述方法表示被評估單位某個具體業(yè)務(wù)處理過程。風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。識別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)用系統(tǒng)來源、計算機平臺、操作系統(tǒng)、數(shù)據(jù)庫名稱和版本等有關(guān)系統(tǒng)的信息。根據(jù)對信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點、控制點、測試范圍、測試時間、測試步驟等信息對相關(guān)風(fēng)險點所針對的每個控制進行測試，并得出結(jié)論（即：確定ITGC是否有效）。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制未按照設(shè)計方式運行的情況進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。2022/12/217IT一般控制審計方法論了解被評估單位的IT一般控制審計程序方法論2022/12/360流程描述/流程圖系統(tǒng)變更流程適用范圍-針對XXX系統(tǒng)需求申請需求可行性分析業(yè)務(wù)需求文檔編寫系統(tǒng)開發(fā)測試上線上線后跟進IT一般控制審計程序方法論2022/12/218流程描述/流IT一般控制審計程序方法論2022/12/361風(fēng)險控制矩陣風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。包括風(fēng)險點、控制點、控制存在的證明性資料、實際控制描述等信息。IT一般控制審計程序方法論2022/12/219風(fēng)險控制矩陣IT一般控制審計程序方法論2022/12/362穿行測試、控制測試定義穿行測試：追蹤交易實際執(zhí)行或在信息系統(tǒng)中的處理過程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測試不是單獨的一種審計程序，而是將多種審計程序按特定審計需要結(jié)合運用的方法。通過追蹤交易處理過程，證實審計人員對控制的了解、評價控制設(shè)計有效性以及確定控制是否得到執(zhí)行。控制測試：測試被審計單位系統(tǒng)控制設(shè)計合理性和執(zhí)行有效性。在測試控制運行有效性時，應(yīng)當從下列方面獲取關(guān)于控制是否有效運行的審計證據(jù)：控制在所審計期間不同時點是如何運行的；控制是否得到一貫執(zhí)行；控制由誰執(zhí)行；控制以何種方式運行（如人工控制或自動控制）。穿行測試：評價控制設(shè)計有效性。穿行測試主要是在了解內(nèi)部控制時運用，但在執(zhí)行穿行測試時，也能獲取部分控制運行有效性的審計證據(jù)?？刂茰y試：評價控制設(shè)計有效性并確定控制是否得到有效執(zhí)行。穿行測試、控制測試區(qū)別IT一般控制審計程序方法論2022/12/220穿行測試、控IT一般控制審計程序方法論2022/12/363穿行測試樣本量穿行測試是隨機選擇審計期間的一個樣本進行測試。控制測試樣本量在制定用于執(zhí)行控制測試的測試策略時，應(yīng)考慮這樣一個事實：執(zhí)行足夠多程序是為了作出控制有效運行結(jié)論。下表匯總了我們在下列情況下針對某個特定控制執(zhí)行控制測試的基本測試范圍指引：控制性質(zhì)及執(zhí)行頻率全面控制測試-要測試的最少樣本數(shù)量（控制測試范圍）每天執(zhí)行許多次的手工控制25每天執(zhí)行一次的手工控制*25每周執(zhí)行一次的手工控制5每月執(zhí)行一次的手工控制2每季執(zhí)行一次的手工控制2每年執(zhí)行一次的手工控制1自動控制1（區(qū)別不同交易類型）*

某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對于這種控制，應(yīng)使用上面指引推算樣本量。通常，對于在一年中出現(xiàn)50至250次的控制，使用上面表格推算的最低樣本量大約是發(fā)生數(shù)量的10%。IT一般控制審計程序方法論2022/12/221穿行測試樣本IT一般控制審計程序方法論2022/12/364測試模板根據(jù)對被審計單位信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點、控制點、測試范圍、測試時間、測試步驟等信息。IT一般控制審計程序方法論2022/12/222測試模板根據(jù)IT一般控制審計程序方法論2022/12/365缺陷報告、整改計劃對所測試的控制沒有按照設(shè)定方式運行情況進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出有針對性的整改意見。IT一般控制審計程序方法論2022/12/223缺陷報告、整IT一般控制審計程序方法論2022/12/366IT一般控制與應(yīng)用控制關(guān)系人工控制自動控制（純）人工控制應(yīng)用程序控制人工依賴IT控制IT一般控制人工檢查性控制人工預(yù)防性控制IT一般控制審計程序方法論2022/12/224IT一般控制IT應(yīng)用控制審計方法論2022/12/367IT應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對于財務(wù)報表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。IT應(yīng)用控制類型IT應(yīng)用控制審計方法論2022/12/225IT應(yīng)用控制概念2022/12/368IT應(yīng)用控制審計方法論了解核心應(yīng)用系統(tǒng)相關(guān)的重要業(yè)務(wù)流程確定業(yè)務(wù)流程與應(yīng)用系統(tǒng)的對應(yīng)關(guān)系根據(jù)業(yè)務(wù)流程描述，識別風(fēng)險與控制執(zhí)行穿行測試/控制測試根據(jù)測試結(jié)果，進行控制評價填寫缺陷報告，制定整改計劃流程描述/流程圖應(yīng)用控制層面評估系統(tǒng)規(guī)劃圖風(fēng)險控制矩陣穿行、控制測試報告缺陷報告、整改計劃使用既定的流程描述方法表示被審計機構(gòu)某個具體業(yè)務(wù)處理過程。描述各個系統(tǒng)之間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相關(guān)接口。對已選擇風(fēng)險點所針對的每個控制進行測試，并得出結(jié)論。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制并未按照針對該交易或控制運行發(fā)生而設(shè)計的方式運行進行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負面影響的量化，從嚴重性、發(fā)生概率和所涉及范圍等方面進行描述，使得對風(fēng)險的刻畫更為有效和清晰。2022/12/226IT應(yīng)用控制審計方法論了解核心應(yīng)用系統(tǒng)2022/12/369IT應(yīng)用控制審計方法論風(fēng)險控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動控制和人工依賴IT系統(tǒng)控制三類控制。樣例如下：存在/發(fā)生、完整性、權(quán)利和義務(wù)、計價和分攤、準確性、截止、分類2022/12/227IT應(yīng)用控制審計方法論風(fēng)險控制矩陣也是70二、信息系統(tǒng)審計準則與操作指引2022/12/328二、信息系統(tǒng)審計準則與操作指引2022/12/2信息系統(tǒng)審計準則與操作指引

2022/12/371行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)部控制指引證券公司內(nèi)部控制指引壽險公司內(nèi)部控制評價辦法上市公司內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引證券交易所行業(yè)監(jiān)管機構(gòu)企業(yè)內(nèi)部控制基本規(guī)范財政部證監(jiān)會審計署銀監(jiān)會保監(jiān)會企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制審計指引證券交易所、行業(yè)監(jiān)管機構(gòu)均出臺了一系列內(nèi)部控制指引，為企業(yè)建立和實施內(nèi)部控制制度提供一些行業(yè)性指引?！吨袊詴嫀煂徲嫓蕜t第1211號——了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》要求注冊會計師了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險，并且應(yīng)當了解與信息處理有關(guān)的控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。財政部牽頭五部委出臺《企業(yè)內(nèi)部控制基本規(guī)范》，為企業(yè)提供了完整和公認的內(nèi)部控制框架，同時以法規(guī)的形式要求上市公司對本公司內(nèi)部控制的有效性進行自我評價?！镀髽I(yè)內(nèi)部控制評價指引》具體規(guī)范了內(nèi)控評價的內(nèi)容和標準，評價的程序和方法，內(nèi)控缺陷的認定，以及規(guī)定了評價報告的相關(guān)內(nèi)容。《企業(yè)內(nèi)部控制應(yīng)用指引》在每個具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險，崗位分工及授權(quán)批準，及主要流程的控制程序。《企業(yè)內(nèi)部控制審計指引》為指導(dǎo)注冊會計師執(zhí)行內(nèi)部控制審計業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)審計準則與操作指引2022/12/229行業(yè)內(nèi)控指2022/12/372企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《企業(yè)內(nèi)部控制基本規(guī)范》第五章中第四十一條對信息系統(tǒng)內(nèi)部控制進行了要求：“企業(yè)應(yīng)當利用信息技術(shù)促進信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運行?！?022/12/230企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《2022/12/373企業(yè)內(nèi)部控制評價指引-信息系統(tǒng)控制2022/12/231企業(yè)內(nèi)部控制評價指引-信息系統(tǒng)控制74企業(yè)內(nèi)部控制應(yīng)用指引第18號-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開發(fā)（5條）信息系統(tǒng)運行與維護（6條）2022/12/332企業(yè)內(nèi)部控制應(yīng)用指引第18號-信息系統(tǒng)控制內(nèi)容包括:2075中國注冊會計師審計準則第1211號

-了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險第五十九條注冊會計師應(yīng)當從下列方面了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時并存；（二）在未得到授權(quán)情況下訪問數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當?shù)男薷模ㄓ涗浳唇?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對系統(tǒng)或程序作出必要的修改；（七）不恰當?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險或不能訪問所需要的數(shù)據(jù)。第八十六條注冊會計師應(yīng)當了解與信息處理有關(guān)控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當?shù)剡\行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運行控制，系統(tǒng)軟件的購置、修改及維護控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運行人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計算準確性，審核賬戶和試算平衡表，設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查，以及對例外報告進行人工干預(yù)。2022/12/333中國注冊會計師審計準則第1211號

-了解被審計單位及其信息系統(tǒng)審計準則與操作指引

2022/12/376信息系統(tǒng)審計與控制協(xié)會（ISACA）制定并頒布了11大類審計準則、29條審計指引和9條審計程序。審計指引審計準則審計程序?qū)徲嫓蕜t：IT審計準則是整個審計準則體系總綱，是IT審計師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計指南和審計程序的基礎(chǔ)依據(jù)。審計指引：審計指引是依據(jù)審計準則制定的，是審計準則的具體化，它詳細規(guī)定了IT審計師執(zhí)行各項審計業(yè)務(wù)、出