信息系统审计基础培训

1、2007 德勤华永会计师事务所 信息系统审计基础培训. 1信息系统审计基础培训 2007 德勤华永会计师事务所 课程目录 信息系统审计基础 通用计算机控制审计 应用系统控制审计 计算机辅助审计技术介绍 信息技术控制缺陷的评估 对外包服务商内部控制的考虑 交流与回答 2信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统审计基础 3信息系统审计基础培训 2007 德勤华永会计师事务所 IT审计的定义 为了信息系统的安全、可靠与有效，由独立于审计对象的IT审 计师，以第三方的客观立场对以计算机为核心的信息系统进 行综合的检查与评价，向IT审计对象的最高领导，提出问题与 建议的一连串的活动

2、。 IT审计的要点： 独立性 综合性 IT审计师资格 IT审计报告 促进信息系统安全、可靠与有效 4信息系统审计基础培训 2007 德勤华永会计师事务所 IT审计 vs. 财务审计 Assess Engagement Quality (Ch. 27) Perform Post-Engagement Activities Engagement Reporting (Ch. 26) Prepare Audit Summary Memorandum (Ch. 24) Obtain Management Representations (Ch. 23) Perform Subsequent Event

3、s Review (Ch. 22) Conclude & Report Perform Financial Statement Review (Ch. 21) Overall Evaluation of Misstatements & the Scope of our Audit (Ch.20) Perform Tests of Operating Effectiveness of Controls (Ch. 17) Perform the Audit Plan Determine Planning Materiality (Ch. 11) Perform Preliminary Analyt

4、ical Review (Ch. 10) Understand the Accounting Process (Ch. 9) Understanding Internal Control (Ch. 8) Understand the Entity and Its Environment (Ch. 7.) Strategic Audit Planning (Ch. 6) Perform Preliminary Planning Establish Terms of Engagement (Ch. 5) Select the Engagement Team (Ch. 4) Assess & Res

5、pond to Engagement Risk (Ch. 3) Perform Pre- Engagement Activities Prepare, Review and Control Working Papers (Ch. 25) Assess and Manage Risk Audit Quality Manage the Audit Engagement (Ch. 2) Plan an intermediate level of substantive procedures (Ch. 15) Plan to obtain audit evidence about the operat

6、ing effectiveness of controls, in the current audit period or together with our work performed in the prior 2 audits, & plan a basic level of sub-stantive procedures (Ch. 14 & 15) Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moder

7、ate level of substantive procedures (Ch. 14 & 15) Plan a focused level of substantive procedures (Ch. 15) Develop the Audit Plan Summarize & Communicate the Audit Plan (Ch 16) Plan to Rely on Operating Effectiveness of Controls (Ch. 13) Specific Identified Risk (Ch. 12) YesNo Yes No Yes No 3.01.70.7

8、2.0 . Perform Substantive Procedures SAP (Ch. 18) &/or Tests of Details (Ch. 19) No Specific Identified Risk (Ch. 12) Assess Risk at the Potential-Error Level (Ch. 12) Design & implementation of controls was adequate (Ch. 9) No 5信息系统审计基础培训 2007 德勤华永会计师事务所 内部控制构成要素（COSO） 确保相关信息得到及时识别与传达的程序确保相关信息得到及时识

9、别与传达的程序 来自高管的信息 来自高管的信息 政策与程序 政策与程序 培训 培训 道德准则 道德准则 组织的控制意识。组织的控制意识。“高层论调高层论调” 道德准则 道德准则 成文的政策与程序 成文的政策与程序 文化评估 文化评估 对影响组织绩效的内外部因素的评估对影响组织绩效的内外部因素的评估 业务风险管理 业务风险管理 程序风险管理 程序风险管理 内部审计风险评估 内部审计风险评估 确定内部控制是否得到正确地设计、有效和因确定内部控制是否得到正确地设计、有效和因 地制宜地执行的程序地制宜地执行的程序 管理分析 管理分析 披露委员会 披露委员会 内部审计 内部审计 确保风险管理措施得到及时

10、执行的政策与程序确保风险管理措施得到及时执行的政策与程序 授权审批 授权审批 普通程序和系统 普通程序和系统 职责分隔 职责分隔 客户对帐 客户对帐 信息技术控制 信息技术控制 6信息系统审计基础培训 2007 德勤华永会计师事务所 IT穿插在企业内部控制的各个环节 控制环境控制环境 IT控制环境是公司整体控制环境的重要组 成部分 在公司“老总”层面要听得到关于信息技术 的声音 信息技术的控制职责和签字权力必须明确 信息技术的控制政策和规程必须成文 风险评估风险评估 应当有专门的信息技术风险评估程序 应当对信息技术内控计划的制定加以监督 信息技术风险包括安全、运行、可用性等，都 会影响财务报告

11、的可靠性 管理层必须意识到信息技术的风险与信息技术 的控制息息相关 信息与沟通信息与沟通 部署用以支持沟通的架构、标准和流程 信息能够准确、及时地向上传递 方便地获取信息技术相关的政策、流程、职位描述和职责定义 准确地对财务数据和报告进行整理和沟通 监督监督 对信息技术内控进行持续监督，确保其实质有效实际并运行 对信息技术文档的充分性进行监督 信息技术内审复核. 对弥补和升级程序进行监控. 持续的安全监督 7信息系统审计基础培训 2007 德勤华永会计师事务所 了解企业内部控制的程序 识别主要活动,程序和控制, 以应对内控的 各实体层次构成要素。 了解监管负责人员如何应对风险 评估控制的设计与

12、执行 对以下作出结论： 对实现有效内部控制和可靠财务信息处理的帮助。 它是否提高或降低内部控制的有效性 8信息系统审计基础培训 2007 德勤华永会计师事务所 IT控制是内部控制的重要组成部分 Entity Level ControlsEntity Level Controls Entity-level controls set the tone and culture of the organization. IT entity-level controls are part of a companys overall control environment. Controls includ

13、e:Controls include: Strategies and plans Policies and procedures Risk assessment activities Training and education Quality assurance Internal audit IT General ControlsIT General Controls Controls embedded within IT processes that provide a reliable operating environment and support the effective ope

14、ration of application controls. Controls include:Controls include: Program development Program changes Access to programs and data Computer operations Application ControlsApplication Controls Controls embedded within business process applications directly support financial control objectives. Contro

15、ls include:Controls include: Control objectives/assertions include: Completeness Accuracy Existence/authorization Presentation/disclosure 9信息系统审计基础培训 2007 德勤华永会计师事务所 控制 vs. 风险 风险是特定的威胁利用资产的脆弱性从而造成对资产的一种 潜在损害，风险的严重程度与资产价值程度及威胁发生的频 度成正比 为了将风险控制在管理层可接受的程度，就必须对识别出的 各类风险实施相关的控制。在实施时须考虑如下因素： 比较控制成本与减少风险所得

16、的收益 管理层的风险喜好（如，管理层准备接受的残余风险水平） 愿意采取的风险降低的方式（如，终止风险、减少发生的可能、 减少影响、转移或保险） 10信息系统审计基础培训 2007 德勤华永会计师事务所 控制的分类 预防性控制 在事情发生前监测问题 监控运营和输入 在问题发生前预测潜在问题 避免错误、疏忽或蓄意行为的发生 检测性控制 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生 纠正性控制 减少危害影响 修复检查性控制发现的问题 找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未 来问题发生的可能性 11信息系统审计基础培训 2007 德勤华永会计师事务所 内部控制目标 内部控制就是

17、要通过实施一系列特定的控制活动，达到所预 期的结果或目的。通常包括： 内部会计控制主要针对会计操作，即资产安全、财务资料准 确可靠 运营控制针对日常运营、职能和活动，用于确保运营达到企 业目标 管理控制关注职能部门的运作效率及运营控制符合管理政策 的程度，是以提高经营效率和保证管理方针、政策的实施为目标 的控制 技术环境控制保护信息资产，符合组织的方针策略及法律法 规的要求，信息输入输出，交易处理的准确性及完整性，数据处 理的可靠性，备份与恢复，业务经营的效率与效果 12信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统控制目标 内部控制目标可以运用在所有人工及自动化控制部分，常见

18、 的信息系统控制目标如： 保护信息系统以防止不当存取，并确保及时更新 保护计算机操作系统及网络操作系统的完整性 保护敏感的、重要的应用系统（如财务及管理应用系统）的机密 性和完整性： 保证信息系统的运营效率与效果 符合用户的需求、组织的方针、策略与程序，并遵守法律法规的 要求 制定业务持续计划及灾难恢复计划 制定应急响应及处理程序 13信息系统审计基础培训 2007 德勤华永会计师事务所 实施信息系统审计 信息系统审计是检查评估自动化信息处理系统、与其有关的 非自动化程序和两者之间的接口等。实施信息系统审计需要 如下几个步骤： 充分的审计计划（短期、长期） 为有效地利用审计资源，审计机构必须评

19、估所有风险（一般控制 与应用控制领域） 制定审计计划，包括审计目标与审计程序 搜集证据、对现有控制进行评估与测试 编写审计报告，并与管理层沟通审计发现 14信息系统审计基础培训 2007 德勤华永会计师事务所 测试和评估信息系统控制的方法 信息系统审计师必须理解和掌握测试评估信息系统控制的方 法： 使用通用审计软件调查数据文件的内容（包括系统日志） 使用专用软件来评估操作系统参数文件（如测试系统参数设置漏 洞） 用流程图的方式来图示业务流程及应用系统 使用操作系统中内置的审计报告 进行文档检查 观察 15信息系统审计基础培训 2007 德勤华永会计师事务所 符合性测试 vs. 实质性测试 符合

20、性测试确定控制的执行符合管理层制定的方针政策的程 度。测试目的是为信息系统审计师提供保证其在初步评 价中确定的关键控制点是可以信赖的。 实质性测试验证实际处理的完整性。例如对于贷款利息计算， 信息系统审计师可能采取详细的利息计算测试，也可能采取 统计抽样技术，得出全部贷款利息正确的结论。 需要进行实质性测试的数量与内部控制水平直接相关。（德 勤的方法中样本数量可相差10倍） 16信息系统审计基础培训 2007 德勤华永会计师事务所 审计证据 证据是审计师安全审计标准及目标的要求， 在对某一实体或 数据进行审计时所采用的信息。审计证据包括审计人员的观 察、询问的记录、从内部文件或信件中获取的资料

21、、审计测 试程序所产生的结果。审计证据的可靠性取决于以下因素： 提供审计证据人员的独立性 提供审计信息或证据人员的资格 审计证据的客观性 审计证据的实效性 17信息系统审计基础培训 2007 德勤华永会计师事务所 审计证据的获得 获取审计证据的技术有： 检查信息系统组织结构 检查信息系统方针政策 检查信息系统标准 检查信息系统文件 约见相关人员并进行会谈 观察处理过程和员工的实际表现 审计工作不仅仅包括查询程序，还包括对控制和审计证据的审计工作不仅仅包括查询程序，还包括对控制和审计证据的 测试验证，得出审计测试的结论测试验证，得出审计测试的结论 18信息系统审计基础培训 2007 德勤华永会计

22、师事务所 通用计算机控制审计 19信息系统审计基础培训 2007 德勤华永会计师事务所 通用计算机审计涵盖的领域 信息系统运作 信息安全 应用系统的实施及维护 数据库的实施及维护 网络支持 系统软件支持 信息资源战略及规划 与外包供应商的关系 业务连续性计划 硬件支持 20信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 所有进行批处理和在线作业及产生报表之生产程序均能及时 运行并正常完成 仅执行有效的生产程序 依照法律,法规或公司政策保存数据,以便必要时可随时取得 计算机处理环境的服务水平达到或超过管理当局的期望 用户得到有关应用系统使用的适当培训 用户获得适当的支持以确保

23、应用系统的功能依照其预定的目 标运行 21信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 所有进行批处理和在线作业及产生报表之生产程序均能及时 运行并正常完成 管理当局应监督计算机处理（包括复核及解决任何例外情形）以 确保处理成功和及时地完成 非正常处理的例外情形应记入日志、经管理当局复核并立即解决 对批次及在线处理程序进行定义，以确保该工作和/或交易被正常 地处理及完成、或被恢复及重新处理 22信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 仅执行有效的生产程序 自动化编排工具（scheduling tool）已被执行以确保处理流程经 授权及完整 对生

24、产处理控制语言和可执行程序的访问权限进行定义，使得只 有适当人员才能具有执行、修改、删除或创建的能力 管理当局或用户复核完成的处理以确保其正确性、完整性及已经 授权 23信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 依照法律,法规或公司政策保存数据,以便必要时可随时取得 通过恢复或其他方法定期测试备份和保留数据的持续可读性 管理当局和用户制定数据备份和保留的计划及时间；对不再需要 保留的数据应进行删除并释放介质的储存空间。管理当局定期复 核数据保留及释放的记录 所有介质（磁带、手册、指引等）都存放在安全的、可进行环境 调控的地点 可移动的介质应贴上标签以便适当识别 自动化

25、数据保留储存工具经管理当局的批准并得到实施以管理数 据备份及保留的计划和时间 对数据进行异地备份存档(archived off-site)以便最大限度减少数 据丢失 24信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 计算机处理环境的服务水平达到或超过管理当局的期望 对服务水平的衡量准则进行定义，该定义应征得受影响的人员同 意 管理当局监督信息系统的服务水平，且当服务表现未达到期望的 服务水平时制定修正措施 对计算机处理环境的性能和能力的利用应被衡量、报告和经管理 当局复核 25信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 用户得到有关应用系统使用的适

26、当培训 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的 系统的使用培训。管理当局应监督该程序的执行情况。应为新聘 用的员工及实体内调职的员工提供相关应用系统的正式培训 用户可随时访问应用系统中现有的用户文件 对支持的申请应定期向管理当局汇总并报告。管理当局监督支持 申请的性质及频率以确定是否需要改善用户培训、支持的资源和/ 或文件 26信息系统审计基础培训 2007 德勤华永会计师事务所 信息系统运作 用户获得适当的支持以确保应用系统的功能依照其预定的目 标运行 管理当局监督问题的统计及趋势，以识别及消除该问题重复出现 的根本原因 信息系统架构应包括帮助中心(helpdesk)的功能

27、以便用户进行有关 系统的查询。所提出的问题应记录在中央问题日志之中。帮助中 心(helpdesk)工作人员应监督日志以确保及时解决所有用户的查询 用户可随时访问应用系统中现有的用户文件 对支持的申请应定期向管理当局汇总并报告。管理当局监督支持 申请的性质及频率以确定是否需要改善用户培训、支持的资源和/ 或文件 27信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 逻辑安全 物理安全 信息系统政策 28信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 须保护的计算机设备 29信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 面临的威胁 30信息系统审计基

28、础培训 2007 德勤华永会计师事务所 信息安全 物理安全 UPS 31信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 逻辑安全 Public Network 32信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 逻辑安全 Public Network 33信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 实施及配置逻辑安全管理工具和技术来限制对程序,数据及其 他信息资源的访问 逻辑安全管理工具和技术得到适当管理，以限制对程序、数 据和其他信息资源的访问 实施和管理物理访问限制，以确保仅有经适当的授权人员可 以访问和使用信息资源 所有信息资源均配备必

29、要的实体和逻辑安全措施 实体的程序、数据及其他信息资源均受到保护以防病毒侵害 实体计算机系统中软件的安装和/或使用遵循授权协议的规定 及经管理当局授权 保护信息资源免受环境灾害及相关损害的影响 34信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 实施及配置逻辑安全管理工具和技术来限制对程序,数据及其 他信息资源的访问 应修改应用程序、系统和通信及网络软件中的厂商默认密码 要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加 以区分及确立可追踪性 终端设备和工作站应设有保护程序，该保护程序在经过一段设备 预设的闲置时间之后会自动激活 敏感数据在传输过程中应作加

30、密处理 信息安全工具与技术用于限制对信息资源(如：数据文件、公用程 式(utility)、交易、程序）的访问权限。管理当局应复核及核准信 息安全工具与技术的实施和配置 35信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 实施及配置逻辑安全管理工具和技术来限制对程序,数据及其 他信息资源的访问 系统应通过密码或其他识别机制识别（本地或远程的）用户。应 制定有关密码使用的政策 - 定期修改密码、保密性和密码格式 （如：密码长度、字母与数字混合的内容） 应制定安全政策为信息安全的总体方向及执行提供指引 只有适当的人员才有能力修改整体系统的安全参数 应激活信息安全工具的功能以便记录及报

31、告信息安全政策所规定 的安全事项（如安全违规报告）；应定期复核该工具所产生的报 告并采取必要的行动 36信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 逻辑安全管理工具和技术得到适当管理，以限制对程序、数 据和其他信息资源的访问 要求用户拥有唯一的用户识别代码(identifier)以便对不同的用户加 以区分及确立可追踪性 应用程序所有者对用户访问特权的性质和程度进行授权，且应用 程序所有者应定期复核该访问特权以确保维持其适当性。用户的 访问权限应通过密码或其他机制加以限制。密码应定期修改 对未授权的企图访问信息资源的行为应记入日志并在安全违规报 告中记录；应定期复核该日志及报

32、告并采取必要的行动 对敏感数据（如人事记录）经授权的访问应记入日志；应定期复 核该日志以评估对该数据的访问及使用是否适当 37信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 逻辑安全管理工具和技术得到适当管理，以限制对程序、数 据和其他信息资源的访问 应激活信息安全工具的功能以便记录及报告信息安全政策所规定 的安全事项（如安全违规报告）；应定期复核该工具所产生的报 告并采取必要的行动 定义并指派与信息安全管理相关的职位和责任 只有适当的人员才有权限管理信息安全 只有适当的人员才有特许的访问权限（所谓超级用户），对该 权限的使用应记入日志并进行复核 38信息系统审计基础培训 20

33、07 德勤华永会计师事务所 信息安全 实施和管理物理访问限制，以确保仅有经适当的授权人员可 以访问和使用信息资源 应监督存放计算机设备的楼层及区域的人员进出，且应限制只有 相关工作职责的人员才可进入该区域；在经管理当局核准后才可 获准进入该区域 已执行涉及商业信息资源评估、以及识别与评估现有风险水平的 风险评估来确定适当的具合理成本的信息安全架构。该风险评估 应定期更新，且管理当局已实施合适的信息安全架构以确保适当 的人员进出和逻辑安全控制 39信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 所有信息资源均配备必要的实体和逻辑安全措施 应用程序所有者对用户访问特权的性质和程度进

34、行授权，且应用 程序所有者应定期复核该访问特权以确保维持其适当性。用户的 访问权限应通过密码或其他机制加以限制。密码应定期修改 应监督存放计算机设备的楼层及区域的人员进出，且应限制只有 相关工作职责的人员才可进入该区域；在经管理当局核准后才可 获准进入该区域 已执行涉及商业信息资源评估、以及识别与评估现有风险水平的 风险评估来确定适当的具合理成本的信息安全架构。该风险评估 应定期更新，且管理当局已实施合适的信息安全架构以确保适当 的人员进出和逻辑安全控制 40信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 实体的程序、数据及其他信息资源均受到保护以防病毒侵害 所有软件和数据在载

35、入实体的系统之前应先进行查毒 所有实体的计算机及任何连接实体网络的计算机应安装防病毒软 件。该防病毒软件应设置为当下载数据或程序、打开数据文件或 执行程序时都须进行病毒扫描。应监督该政策的遵循情况 定期对网络上或有可能感染病毒的程序和数据文件进行病毒扫描 要求用户更新其防病毒软件中的病毒定义列表，且所有外部的程 序和数据在下载到他们的计算机之前都须进行病毒扫描 应定期复核病毒扫描的结果，并对发现的问题采取适当的解决方 案 41信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 实体计算机系统中软件的安装和/或使用遵循授权协议的规定 及经管理当局授权 管理当局已确立正式的政策以确保在

36、对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 存在正式的软件政策及标准，并传达给所有员工 应定期把安装到实体计算机中的软件与授权软件的明细表相核对。 如发现未经许可或未授权安装的软件，应获得该软件的授权许可 或对软件进行删除 在购买新软件之前应核实该软件的购买及安装以遵循公司的授权 许可要求 42信息系统审计基础培训 2007 德勤华永会计师事务所 信息安全 保护信息资源免受环境灾害及相关损害的影响 管理当局定期监督环境控制机制的有效性，并评估对实体信息资 源的潜

37、在威胁的商业影响 管理当局提供备用电源(如：不间断电源(UPS)、发电机) 管理当局应确保有充足的烟雾/火警探测器和灭火设备 数据中心的环境状况(如：温度、湿度)应被监督及调控 计算机设施的所在地及其设计应尽量避免受外部环境（如：风、 水、火）威胁 43信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 44信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 45信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 46信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 47信息系统审计基础培训 20

38、07 德勤华永会计师事务所 应用系统的实施及维护 Production Turnover (Program Change Controls) Documentation 48信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 新的应用系统的购买、开发均符合管理当局的意愿 新应用系统得到适当地实施且其功能符合管理当局的意愿 当新应用系统实施完成后，原系统的数据能完整、准确且有 效地转入新系统 应用系统可得到有效的维护与技术支持 现有系统的必要修改均能及时实施 正确实施现有应用系统的修改且其修改后的功能符合管理当 局的意愿 49信息系统审计基础培训 2007 德勤华永会计师

39、事务所 应用系统的实施及维护 新的应用系统的购买、开发均符合管理当局的意愿 管理当局核准所有购买或开发应用系统的决策，以确保系统的购 买和开发与公司的系统规划和战略保持一致 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当 利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 50信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 新应用系统得到适当地实施且其功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，

40、已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行 测试(parallel testing)、容量测试及用户验收测试)对新的应用系统 和现行应用系统的修改进行测试 已确立的执行程序包括确保操作、技术和用户文件保持适时性及 可供适当人员获取 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的 系统的使用培训。管理当局应监督该程序的执行情况。应为新聘 用的员工及实体内调职的员工提供相关应用系统的正式培训 51信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 新

41、应用系统得到适当地实施且其功能符合管理当局的意愿 应在独立于生产环境之外的环境中开发、修改及测试应用系统 适当限制对测试和生产环境的访问权限 使用完整和具代表性的一组测试数据，而不是生产数据来执行测 试 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有 文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响 进行评估；在该建议实施到生产之前应经管理当局的复核以最大 限度减少对营运的干扰 52信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 应用系统可得到有效的维护与技术支持 实体对外部承包商和/或软件厂商获得的应用程序或技术

42、支持有正 式的协议，以确保能获得该支持。管理当局应监督该协议的遵循 情况 已确立的执行程序包括确保操作、技术和用户文件保持适时性及 可供适当人员获取 管理当局监督所购买的应用系统、网络和通信软件及系统软件的 支持版已投入使用，且新的版本正被应用 使用管理当局已核准的一套通用准则来进行软件开发与维护，以 确保实体内的开发与维护活动保持一致 开发人员经充分培训且熟悉公司所使用的通用准则、技术和工具 更改管理程序以确保源代码与可执行代码的同步 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有 文件，以确保生产程序的可执行性 53信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统

43、的实施及维护 现有系统的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识别出低效率的性能时已 立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布 的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规 划及管理当局的意愿，应予以执行 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统 软件修改的执行，管理当局应监督该项目已达到原定的目标且符 合预算及时间的要求 54信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的

44、实施及维护 正确实施现有应用系统的修改且其修改后的功能符合管理当 局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行 测试(parallel testing)、容量测试及用户验收测试)对新的应用系统 和现行应用系统的修改进行测试 已确立的执行程序包括确保操作、技术和用户文件保持适时性及 可供适当人员获取 应在独立于生产环境之外的环境中开发、修改及测试应用系统 管理当局

45、保留应用系统和/或数据先前的版本以备发生处理问题时 进行系统/数据恢复 55信息系统审计基础培训 2007 德勤华永会计师事务所 应用系统的实施及维护 正确实施现有应用系统的修改且其修改后的功能符合管理当 局的意愿 在生产环境中对应用系统的修改申请应进行存档并经管理当局核 准。管理当局应监督所有该修改的执行 更改管理程序以确保源代码与可执行代码的同步 56信息系统审计基础培训 2007 德勤华永会计师事务所 数据库的实施及支持 数据库管理系统（或同等系统）所定义的数据结构已适当实 施且其功能符合管理当局的意愿 现有数据结构的必要修改均能及时实施 现有数据结构的修改实施正确且修改后的数据结构功能

46、符合 管理当局的意愿 57信息系统审计基础培训 2007 德勤华永会计师事务所 数据库的实施及支持 数据库管理系统（或同等系统）所定义的数据结构已适当实 施且其功能符合管理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供 及使用现有的数据库和数据库管理系统文件 实体的数据结构应遵循信息系统规划及管理当局的意愿进行定义 及执行 数据结构的修改在执行之前应在测试环境中

47、进行评估 依照测试计划(包括(如适当)：界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据 结构的修改进行测试 58信息系统审计基础培训 2007 德勤华永会计师事务所 数据库的实施及支持 数据库管理系统（或同等系统）所定义的数据结构已适当实 施且其功能符合管理当局的意愿 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的 系统的使用培训。管理当局应监督该程序的执行情况。应为新聘 用的员工及实体内调职的员工提供相关应用系统的正式培训 实体的数据库管理系统应包括自动对任何数据库的变更进行更新 的活动数据字典(Active Data D

48、ictionary) 适当限制对测试和生产环境的访问权限 负责管理及定义数据库组件(database compenents)的职责应指派 给适当的人员 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有 文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响 进行评估；在该建议实施到生产之前应经管理当局的复核以最大 限度减少对营运的干扰 59信息系统审计基础培训 2007 德勤华永会计师事务所 数据库的实施及支持 现有数据结构的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识别出低效率的性能时已 立即采取足够的措施，且制定及执行相应的解决方案

49、 用户和其他对应用系统修改的申请(包括系统更新和厂商定期发布 的补丁程序)应经管理当局核准，且如果该修改符合信息系统的规 划及管理当局的意愿，应予以执行 用户和其他对数据结构修改的申请(包括更新和厂商定期发布的补 丁程序)应经管理当局核准，且如果该修改符合信息系统的规划及 管理当局的意愿，应予以执行 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统 软件修改的执行，管理当局应监督该项目已达到原定的目标且符 合预算及时间的要求 60信息系统审计基础培训 2007 德勤华永会计师事务所 数据库的实施及支持 现有数据结构的修改实施正确且修改后的数据结构功能符合 管理当局的意愿 管理当局已确立

50、正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 在安装和/或维护数据库和/或使用该数据库的应用系统时，应提供 及使用现有的数据库和数据库管理系统文件 数据结构的修改在执行之前应在测试环境中进行评估 依照测试计划(包括(如适当)：界面测试、并行测试(parallel testing)、容量测试及用户验收测试)对新的数据结构和现行的数据 结构的修改进行测试 61信息系统审计基础培训 2007 德勤华永会计

51、师事务所 数据库的实施及支持 现有数据结构的修改实施正确且修改后的数据结构功能符合 管理当局的意愿 实体的数据库管理系统应包括自动对任何数据库的变更进行更新 的活动数据字典(Active Data Dictionary) 在生产环境中对数据结构的修改申请应进行存档并经管理当局核 准。管理当局应监督所有该修改的执行 62信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持 新的网络和通信软件的购买符合管理当局的意愿 新的网络和通信软件得到适当地实施且其功能符合管理当局 的意愿 网络和通信软件可得到有效的维护与技术支持 现有网络和通信软件的必要修改均能及时实施 正确实施现有网络和通信软件

52、的修改且修改后的功能符合管 理当局的意愿 63信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持 新的网络和通信软件的购买符合管理当局的意愿 管理当局核准对网络和通信软件及系统的购买，以确保该购买和 开发符合公司的系统规划及战略 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当 利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 64信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持 新的网络和通信软件得到适当地实施且其功能符合管理当局 的意愿 管理当局已确立正式的政策以确保在对应用系统、数

53、据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 网络和通信软件及硬件在执行之前应首先在测试环境中进行安装 与评估 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软 件、和网络拓朴(Network Topology)文件 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行 测试(parallel testing)、容量测试及用户验收测试)对新的网络和通 信软件与现行的网络和通信软件修改进行测试 65信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持

54、新的网络和通信软件得到适当地实施且其功能符合管理当局 的意愿 系统实施的程序应包括对用户提供有关新系统或经大幅度修改的 系统的使用培训。管理当局应监督该程序的执行情况。应为新聘 用的员工及实体内调职的员工提供相关应用系统的正式培训 适当限制对测试和生产环境的访问权限 使用完整和具代表性的一组测试数据，而不是生产数据来执行测 试 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有 文件，以确保生产程序的可执行性 应对硬件、应用系统、数据结构、和系统软件的修改建议的影响 进行评估；在该建议实施到生产之前应经管理当局的复核以最大 限度减少对营运的干扰 66信息系统审计基础培训 2007 德勤

55、华永会计师事务所 网络支持 网络和通信软件可得到有效的维护与技术支持 实体对外部承包商和/或软件厂商获得的应用程序或技术支持有正 式的协议，以确保能获得该支持。管理当局应监督该协议的遵循 情况 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软 件、和网络拓朴(Network Topology)文件 管理当局监督所购买的应用系统、网络和通信软件及系统软件的 支持版已投入使用，且新的版本正被应用 使用管理当局已核准的一套通用准则来进行软件开发与维护，以 确保实体内的开发与维护活动保持一致 维护源代码及技术文件-包括有关数据库和数据库管理系统的现有 文件，以确保生产程序的可执行性 67信息

56、系统审计基础培训 2007 德勤华永会计师事务所 网络支持 现有网络和通信软件的必要修改均能及时实施 管理当局复核系统性能报告并监督确保识别出低效率的性能时已 立即采取足够的措施，且制定及执行相应的解决方案 用户和其他对网络基础设施及通信软件修改的申请(包括更新和厂 商定期发布的补丁程序)应经管理当局核准，且如果该修改符合信 息系统的规划及管理当局的意愿，应予以执行 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 对于现有硬件、应用系统、数据库结构、网络和通信软件及系统 软件修改的执行，管理当局应监督该项目已达到原定的目标且符 合预算及时间的要求 6

57、8信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持 正确实施现有网络和通信软件的修改且修改后的功能符合管 理当局的意愿 管理当局已确立正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 网络和通信软件及硬件在执行之前应首先在测试环境中进行安装 与评估 在安装和/或维护网络时，应提供及使用现有的网络软件、通信软 件、和网络拓朴(Network Topology)文件 依照测试计划(包括(如适当

58、)：系统和单元测试、界面测试、并行 测试(parallel testing)、容量测试及用户验收测试)对新的网络和通 信软件与现行的网络和通信软件修改进行测试 69信息系统审计基础培训 2007 德勤华永会计师事务所 网络支持 正确实施现有网络和通信软件的修改且修改后的功能符合管 理当局的意愿 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 在生产环境中对网络和通信软件的修改申请应进行存档并经管理 当局核准。管理当局应监督所有该修改的执行 70信息系统审计基础培训 2007 德勤华永会计师事务所 系统软件支持 新的系统软件的购买符合管理当局的意愿 新

59、的系统软件得到适当地实施且其功能符合管理当局的意愿 系统软件可得到有效的维护与技术支持 现有系统软件的必要修改均能及时实施 正确实施现有系统软件的修改且修改后的功能符合管理当局 的意愿 71信息系统审计基础培训 2007 德勤华永会计师事务所 系统软件支持 新的系统软件的购买符合管理当局的意愿 管理当局核准对计算机系统软件的购买，以确保该购买和开发符 合公司的系统规划及战略 对项目进行优先顺序区分及指派，以确保有限的信息资源被适当 利用且与公司的业务目标保持一致 使用正式的方法或程序为硬件、应用系统、网络和通信软件及系 统软件的购买、开发或维护提供指引 72信息系统审计基础培训 2007 德勤

60、华永会计师事务所 系统软件支持 新的系统软件得到适当地实施且其功能符合管理当局的意愿 在安装和/或维护软件时，应提供及使用现有的系统软件文件 管理当局已确立正式的政策以确保在对应用系统、数据结构、网 络及通信软件、和系统软件及硬件或其操作环境作修改之前，已 联系所有受影响的人员并与其协调该修改的时间安排，从而最大 限度降低该修改对其他处理活动的影响 执行的方式应容许必要时可将系统还原至原来的环境 系统软件的修改(包括升级、修改和对配置参数的修改)在实施到生 产环境之前应首先在测试环境中进行安装与评估 依照测试计划(包括(如适当)：系统和单元测试、界面测试、并行 测试(parallel test