IT审计控制缺陷报告

1、被审计单位：XX股份有限公司索引号：页次：编制人：日期：2013.12.28财务报表截止日期：2013年12月31日复核人：日期：2013.12.30IT审计发现问题汇总分析公司层面信息技术控制观察所得风险分析底稿索引号管理建议书索引公司没有建立IT风险评估方 法和机制。缺之有效的IT风险评估机制，可能导致 IT风险发生时，企业无法采取有效的应 对措施消除不良影响。ELC-E3.1第3页信息技术一般性控制-系统开发观察所得风险分析底稿索引号管理建议书索引SAP系统权限设置与权限分 配表存在不一致的情况。没有通过信息系统控制实现按照业务要 求的职位分离，加大了不相容职责分离的 难度ITGC-D5

2、.1第4页EHR系统在用户测试阶段完 成后，未出具正式的系统测 试报告。未出具正式的系统测试报告，无法保证系 统测试成果达到预期效果，不利于对EHR系统在用户测试阶段的工作进行监控验 收。ITGC-D6.1第4页上线计划中没有涉及关于制 定“应急预案”相关规定一旦上线失败，可能导致业务中断。ITGC-D7.1第4页信息技术一般性控制-变更管理观察所得风险分析底稿索引号管理建议 书索引程序变更时，没有关于系统 回退的控制说明。没有详细的说明指导实际活动，容易造成 行为不规范，从而带来隐患。ITGC-C5.1第4页制度中没有明确规定用户培 训的时机与规范。系统变更后永不不能得到及时有效的培 训，会

3、造成业务混乱。ITGC-C7.1第4页信息技术一般性控制-信息安全观察所得风险分析底稿索引号管理建议书 索引SAP系统实际密码策略设置与 制度规定不符。密码管理不规范加大了系统被未经授 权访问的风险，从而影响财务和业务数 据的准确性。ITGC-S1.2第4页OA系统账户申请表未按制度 要求填制。OA系统账户申请及变更申请工作开展 不够规范，对0A系统账户申请及变更 申请的把控不够严格，可能导致 0A系 统账户申请及变更工作开展混乱，对 0A系统产生不利影响。ITGC-S1.1第4页公司没有建立系统超级用户的 授权管理机制没有有效的账号管理，无法对账号的申 请、批准、添加、变更、删除进行规范 的

4、管理，加大了系统被未经授权访问的 风险，从而影响财务和业务数据的准确 性。ITGC-S1.3第4页对于超级用户的系统日志没有 做定期审阅。超级用户的操作得不到监控，存在非法 操作的风险。ITGC-S1.3第4页公司没有安装统一的防病毒软 件，不能保证防病毒软件的有 效运行及病毒库的及时更新。缺之有效的防病毒措施，企业的信息资 源可能受到病毒的侵害，导致业务中 断。ITGC-S3.1第4页公司信息科没有定期审阅防火 墙安全规则。不进行适当的网络控制，包括防火墙和 入侵检测，将不能有效的阻止对系统的 入侵和未经授权的访问。ITGC-S4.1第4页机房巡检实际频率为每十天一 次，没有按照公司网络信息

5、 管理制度中规定的每周一次 进行巡检。不定期巡检机房不能及时发现机房物 理环境、网络设备的潜在冋题。ITGC-S5.2第4页信息技术一般性控制-运行维护观察所得风险分析底稿索引号管理建议书 索引信息系统安全制度中对于备份 数据恢复性测试及检查与内控 手册中的描述不一致容易导致混淆而造成行为不规范。ITGC-O1.2第4页公司并没有按照内控手册中的 要求建立系统管理日志详 细记录数据恢复性测试的过程 和结果。如果不定期抽取足够的备份介质进行 恢复测试，会导致备份介质损坏的情况 不能被及时了解，在真正需要备份恢复 时会时会影响恢复工作的准确性。ITGC-O1.5第5页OA系统没有进行过数据恢复 性

6、测试。ITGC-O1.5第5页公司没有制定灾难恢复计划。如果没有灾难恢复计划，并进行定期测 试，在出现意外的时候，信息系统将会 无法及时恢复而使业务受到重大的损 失ITGC-02.1第5页公司没有建立明确的问题上报 的制度及处理流程。缺之明确的权责制度，容易导致用户不 能够得到必要支持，影响业务的正常运 行。ITGC-03.1第5页信息技术应用控制观察所得风险分析底稿索引号管理建议书索 引公司SAP系统存在过度授权的 现象，授权没有做到不相容职 责分离。sap系统用户过度授权加大非法访 问系统数据的风险，增加舞弊的几 率。ITAC1.1第8页公司EHR系统未能与SAP系统 财务管理模块关联，HR系统中 薪酬报表经审核后，以纸介形式 交财务记帐，未实现数据连接。财务