公司內(nèi)部控制審計工作底稿-實施階段-信息系統(tǒng)測試模版

信息系統(tǒng)一般控制（ITGC）測試（穿行測試）,,,,,

,,,,索引號：,ITGC-1

被審計單位：,,編制人：,,編制日期：,

截止日期：,,復(fù)核人：,,復(fù)核日期：,

,,,,,,

一、ITGC測試目的,,,,,

對每個相關(guān)ITGC(ITGENERALCONTROL)種類進(jìn)行穿行測試。我們進(jìn)行ITGC穿行測試以確認(rèn)我們對于ITGC設(shè)計及其已被執(zhí)行的理解。,,,,,

,,,,,,

二、ITGC穿行測試程序,,,,,

由于多個應(yīng)用程序間存在通用的ITGC，因此，通常會對支持一組通用ITGC的IT技術(shù)環(huán)境執(zhí)行穿行測試。IT技術(shù)環(huán)境的例子包括：跨越多個應(yīng)用程序的通用管理變更控制、支持多個應(yīng)用程序的技術(shù)平臺，或擁有特定區(qū)域支持的應(yīng)用程序通用的一組ITGC的數(shù)據(jù)中心。,,,,,

,,,,,,

,,,,,,

在下面的空白處，識別由此項穿行測試所涵蓋的“IT技術(shù)環(huán)境”及與“IT技術(shù)環(huán)境”相關(guān)的“應(yīng)用程序”。,,,,,

IT技術(shù)環(huán)境名稱,,,,與IT技術(shù)環(huán)境相關(guān)的應(yīng)用程序,

,

,,,,

,,,,,,

,,,,,,

注：信息系統(tǒng)環(huán)境的技術(shù)構(gòu)成包括：應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)和互聯(lián)網(wǎng)/遠(yuǎn)程訪問等,,,,,

常見的應(yīng)用系統(tǒng)包括：金蝶、用友、SAP、OracleFinancials或者企業(yè)自行開發(fā)的應(yīng)用系統(tǒng)等,,,,,

常見的數(shù)據(jù)庫管理系統(tǒng)包括：Oracle、DB2、MicrosoftSQLServer等,,,,,

網(wǎng)絡(luò)是指共同分享溝通的計算機(jī)群和相關(guān)設(shè)備，通常共享存儲在計算機(jī)服務(wù)器上的資源,,,,,

互聯(lián)網(wǎng)/遠(yuǎn)程訪問是指把應(yīng)用系統(tǒng)用戶從外部資源鏈接到信息系統(tǒng)環(huán)境的方法、流程和技術(shù),,,,,

,,,,,,

對于計劃依賴ITGC的應(yīng)用程序，我們應(yīng)對能夠達(dá)到每個相關(guān)“ITGC種類”目標(biāo)的ITGC執(zhí)行穿行測試。ITGC的失敗可能對會計報表或披露產(chǎn)生影響時，應(yīng)包括“其他ITGC”種類。選出應(yīng)當(dāng)執(zhí)行穿行測試的“ITGC種類”,,,,,

,,,,,,

管理變更,,請選擇,,,

邏輯存取,,請選擇,,,

其他ITGC，包括IT運行,,請選擇,,,

,,,,,,

三、ITGC穿行測試,,,,,

（一）管理變更,,,,,

1、管理變更穿行測試,,,,,

目標(biāo)：只允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進(jìn)行經(jīng)過適當(dāng)授權(quán)、測試和批準(zhǔn)的變更。記錄我們對于客戶針對“管理變更”種類的程序的了解或參考客戶的ITGC文檔。,,,,,

,,,,,,

內(nèi)容,,,請描述流程,,

管理變更程序（授權(quán)、測試和批準(zhǔn)）,,,,,

監(jiān)控“管理變更種類”的ITGC,,,,,

管理變更的不相容職責(zé)的分工,,,,,

,,,,,,

回答下列每個問題:,,,,,

安排開發(fā)或變更的人員不會批準(zhǔn)程序開發(fā)或變更、將程序移入或移出生產(chǎn)環(huán)節(jié)，或執(zhí)行對程序開發(fā)和變更相關(guān)控制的監(jiān)控。,,,,,請選擇

執(zhí)行對程序開發(fā)和變更相關(guān)控制的監(jiān)控的人員不會批準(zhǔn)程序開發(fā)或變更、安排開發(fā)或變更，或?qū)⒊绦蛞迫牖蛞瞥錾a(chǎn)環(huán)節(jié)。,,,,,請選擇

如果如果對上面任一問題的回答為“NO(否)”，則應(yīng)描述能夠?qū)Σ幌嗳萋氊?zé)進(jìn)行分工的替代控制。,,,,,

描述為“管理變更”種類所執(zhí)行的ITGC穿行測試以及為確認(rèn)我們對ITGC的設(shè)計及其已被執(zhí)行的了解所獲得的證據(jù)。,,,,,

,,,,,,

2、管理變更程序（授權(quán)、測試和批準(zhǔn)）,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

變更經(jīng)過授權(quán),,,,,

變更經(jīng)過測試,,,,,

變更經(jīng)過批準(zhǔn),,,,,

,,,,,,

監(jiān)控“管理變更種類”的ITGC,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

變更受到監(jiān)控,,,,,

,,,,,,

管理變更的不相容職責(zé)的分工,,,,,

程序,客戶控制,穿行測試,穿行測試,,發(fā)現(xiàn)

管理變更環(huán)境下不相容職責(zé)的分工,,,,,

,,,,,,

（二）邏輯存取,,,,,

1、邏輯存取穿行測試,,,,,

目標(biāo):只允許經(jīng)授權(quán)的人員訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的職能（例如：詢問、執(zhí)行和更新）。記錄我們對于客戶針對“邏輯存取”種類的程序的了解或參考客戶的ITGC文檔。,,,,,

,,,,,,

內(nèi)容,,,請描述流程,,

一般系統(tǒng)安全設(shè)置,,,,,

密碼設(shè)置,,,,,

對特許IT功能的訪問,,,,,

對系統(tǒng)資源和實用程序的訪問,,,,,

用戶訪問管理,,,,,

物理訪問,,,,,

監(jiān)控“邏輯存取”種類的ITGC,,,,,

邏輯存取的不相容職責(zé)的分工,,,,,

,,,,,,

回答下列每個問題:,,,,,

不同人員批準(zhǔn)用戶訪問權(quán)限、設(shè)置用戶訪問權(quán)限及監(jiān)控訪問違規(guī)/違規(guī)企圖。,,,,,請選擇

具有特許用戶訪問權(quán)限的人員不會執(zhí)行對特許用戶訪問的監(jiān)控。,,,,,請選擇

如果對上面任一問題的回答為“NO(否)”，則應(yīng)描述能夠?qū)Σ幌嗳萋氊?zé)進(jìn)行分工的替代控制。,,,,,

描述為“邏輯存取”種類所執(zhí)行的ITGC穿行測試以及為確認(rèn)我們對ITGC的設(shè)計及其已被執(zhí)行的了解所獲得的證據(jù)。,,,,,

,,,,,,

2、一般系統(tǒng)安全設(shè)置,,,,,

一般系統(tǒng)安全設(shè)置,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

一般系統(tǒng)安全設(shè)置是恰當(dāng)?shù)摹?,,,,

,,,,,,

密碼設(shè)置,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

密碼設(shè)置是恰當(dāng)?shù)摹?,,,,

,,,,,,

對特許IT功能的訪問,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

對特許IT功能的訪問限于適當(dāng)人員。,,,,,

,,,,,,

對系統(tǒng)資源和實用程序的訪問,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

對系統(tǒng)資源和實用程序的訪問限于適當(dāng)人員。,,,,,

,,,,,,

用戶訪問管理,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

用戶訪問經(jīng)授權(quán)且適當(dāng)設(shè)置。,,,,,

,,,,,,

物理訪問,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

對計算機(jī)硬件的物理訪問限于適當(dāng)人員。,,,,,

,,,,,,

監(jiān)控“邏輯存取”種類的ITGC,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

邏輯存取過程受到監(jiān)控。,,,,,

,,,,,,

邏輯存取的不相容職責(zé)的分工,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

邏輯存取環(huán)境下的不相容職責(zé)分工。,,,,,

,,,,,,

（三）其他ITGC，包括IT運行,,,,,

1、其他ITGC，包括IT運行的穿行測試,,,,,

"目標(biāo)：正確備份支持財務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問題時，可以準(zhǔn)確完整地恢復(fù)此類數(shù)據(jù)（即備份和恢復(fù)）。按計劃執(zhí)行程序，及時識別并消除按計劃處理時產(chǎn)生的偏差（即時間安排）。及時識別、解決、復(fù)核和分析IT運行問題或事件(即問題和事件的管理及監(jiān)控)。在相關(guān)控制的失敗可能對會計報表或披露產(chǎn)生影響時，應(yīng)包括其他ITGC，包括IT運行種類。記錄我們對于客戶針對“其他ITGC,包括IT運行”種類的程序的了解或參考客戶的ITGC文檔。",,,,,

"記錄我們對于客戶針對“其他ITGC,包括IT運行”種類的程序的了解或參考客戶的ITGC文檔。",,,,,

內(nèi)容,,,請描述流程,,

財務(wù)數(shù)據(jù)的備份和恢復(fù),,,,,

時間安排,,,,,

問題和事件的管理及監(jiān)控,,,,,

,,,,,,

2、描述為“其他ITGC，包括IT運行”種類所執(zhí)行的ITGC穿行測試以及為確認(rèn)我們對ITGC的設(shè)計及其已被執(zhí)行的了解所獲得的證據(jù)。,,,,,

,,,,,,

財務(wù)數(shù)據(jù)的備份和恢復(fù),,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

財務(wù)數(shù)據(jù)已備份且可恢復(fù)。,,,,,

,,,,,,

時間安排,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

及時識別并消除按計劃處理時產(chǎn)生的偏差。,,,,,

,,,,,,

問題和事件的管理及監(jiān)控,,,,,

程序,客戶控制,,穿行測試,,發(fā)現(xiàn)

及時識別、解決、復(fù)核和分析IT運行問題或事件。,,,,,

,,,,,,

三、結(jié)論,,,,,

,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,,,,,

,,