449信息系统应用控制概述课件

信息系统应用控制概述

-内部培训资料

2009年7月信息系统应用控制概述

第三部分：信息系统应用控制的分类

第二部分：应用系统范围和控制如何确定

第一部分：信息系统应用控制介绍培训内容分为四大部分：

第四部分：应用控制与一般性控制的关系第三部分：信息系统应用控制的分类第二部分：应用系统范围和

第一部分：信息系统应用控制介绍第一部分：信息系统应用控制介绍第一部分：信息系统应用控制介绍应用系统的概念应用系统是处理业务交易的系统软件，比如工资系统、存货系统、计费系统，以及集成度较高的ERP系统等。这些系统内置了企业的业务流程、交易规则、复杂的计算逻辑以及相关的财务报表处理等。单机版区域版集团版部署结构只能在单台计算机上独立运行的应用软件，比如久其报表系统网络版应用软件，根据职能划分区域管理，比如各省公司单独运行网络版应用软件，全集团集中管理，各分支机构以客户端的身份接入在企业实际使用中，有不同部署的结构：第一部分：信息系统应用控制介绍应用系统的概念单机版区域版集团第一部分：信息系统应用控制介绍应用系统的逻辑结构基础服务-----计算机网络、硬件设备等数据服务-----提供数据存储，Oracle/SqlServer等应用服务-----提供业务逻辑、计算规则等接入服务-----提供用户界面和入口访问大多数用户通过提供的系统登录界面统一进行权限验证访问资源包含了业务流程和交易规则，比如财务数据、服务流程等，以及复杂的计算公式等极少数用户拥有直接访问数据库的权限，比如管理员权限主要是网络安全服务，包括内网与外网的安全访问第一部分：信息系统应用控制介绍应用系统的逻辑结构基础服务--第一部分：信息系统应用控制介绍为什么要对应用系统进行审计呢？应用系统财务报表销售管理存货管理固定资产管理收款管理付款管理。。。存在风险业务流程：流转是否合理数据规则：计算是否正确权限划分：分配是否适当报表处理：处理是否准确财务报表的重要科目和信息存在影响第一部分：信息系统应用控制介绍为什么要对应用系统进行审计呢？第一部分：信息系统应用控制介绍信息系统应用控制概念应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等）的一系列控制活动，用来避免或者降低风险至可接受程度。业务流程：流转是否合理数据规则：计算是否正确权限划分：分配是否适当报表处理：处理是否准确从设计上审阅其合理性，比如不同级别审批的内容不一样比如增加平衡校验比如职责分离、定期审阅用户权限比如业会核对、报表平衡检查第一部分：信息系统应用控制介绍信息系统应用控制概念业务流程：第一部分：信息系统应用控制介绍完善信息系统应用控制是符合内控要求一般情况下，应用系统在设计初期乃至设计运行后，对风险和内控的考虑很少，尽管在某种程度上满足了业务操作要求，但却不能满足内控以及风险管理的要求。所以，完善应用系统控制符合内控要求是一种趋势。第一部分：信息系统应用控制介绍完善信息系统应用控制是符合内控第一部分：信息系统应用控制介绍高低成本控制环境蓝图设计开发/二次开发测试用户接受测试（UAT）实施上线开发期间实施前实施后开始完成项目建设不同时期所花费的成本曲线第一部分：信息系统应用控制介绍高低成本控制环境蓝图设计开发/

第二部分：应用系统范围和控制如何确定第二部分：应用系统范围和控制如何确定第二部分：应用系统范围和控制如何确定当你审计应用系统时，遇到的第一个问题就是：哪些系统需要做应用系统审计或控制测试呢？究竟对这些应用系统做哪些控制测试呢？第二个问题就是：第二部分：应用系统范围和控制如何确定当你审计应用系统时，遇到控制识别及测试范围确定第二部分：应用系统范围和控制如何确定确定应用系统范围和控制的方法论：确定重要科目确定重要流程确定重要系统了解系统流程识别风险和控制控制活动描述开展控制测试控制识别及测试范围确定第二部分：应用系统范围和控制如何确定确第二部分：应用系统范围和控制如何确定控制识别：第一步：了解并理解这些应用系统所运转的业务功能或者活动。可以通过一些学习与研究，或者通过访谈第二步：识别潜在风险（与业务功能/活动相关），可能出错的地方是什么？出错的可能性有多大？第三步：这些风险是如何被处理和应对的，针对这些风险采取的措施是什么？（即控制是什么）。所以，对信息系统审计师来讲，需要知道它的业务以及流程，此时需要的知识背景是复杂的，不单单是信息技术方面的知识。第二部分：应用系统范围和控制如何确定控制识别：

第三部分：信息系统应用控制分类第三部分：信息系统应用控制分类第三部分：应用控制分类半自动/手工控制依赖于自动的应用控制或者自动的会计处理过程的手工应用控制自动的应用控制已经设计在计算机应用程序中用来实现信息处理目标自动的会计程序已经设计在计算机应用程序中不需要人工干预的会计处理过程手工的应用控制手工执行主要在业务流程操作层面执行，确保信息处理目标的实现第三部分：应用控制分类半自动/手工控制依赖于自动的应用控制或应用控制举例自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理应用控制举例自动应用控制是设计在计算机应用系统中的有助于达到第三部分：应用控制分类根据不同的应用系统部署结构，其测试方法也会不同单机版区域版集团版部署结构对测试范围内的应用系统分别采取单点测试采取区域集中测试，比如省公司集中的系统，可以在省公司集中测试；同时还要考虑总部集团的系统测试采取总部集团统一测试，对测试范围内的分支机构展开流程控制测试第三部分：应用控制分类根据不同的应用系统部署结构，其测试方法

第四部分：应用控制与一般控制的关系第四部分：应用控制与一般控制的关系第四部分应用控制与一般控制的关系信息系统一般性控制（ITGC，InformationTechnologyGeneralControls）是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施信息系统运行安全对程序和数据

的访问权限信息系统

控制环境信息系统开发信息系统变更第四部分应用控制与一般控制的关系信息系统一般性控制（ITG第四部分应用控制与一般控制的关系财务报表的重要科目、信息资产负债表损益表现金流量表报表附注其他业务流程/交易分类收入支出应用系统财务管理资产管理人力资源信息技术基础架构数据库操作系统网络应用控制完整性准确性有效性访问控制等信息系统一般控制控制环境系统开发系统变更系统安全访问信息系统运营对信息系统的信心增加，审计师可以采取更有效率的审计手段，减少实质性测试工作有效的应用控制增加对系统支持处理交易的信心有效的信息系统一般控制增加对应用控制的信心第四部分应用控制与一般控制的关系财务报表的重要科目、信息资第四部分应用控制与一般控制的关系自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果带有关键的编辑检查功能的应用系统是被审计师所依赖，作为支持审计工作的，那这些应用控制是否有效必须建立在信息技术一般控制的基础之上第四部分应用控制与一般控制的关系自动应用控制是设计在计算机第四部分应用控制与一般控制的关系如果计算机环境发现了信息技术一般控制的缺陷，审计师可能就不能信赖上述编辑检查功能按设计发挥作用例如：程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作第四部分应用控制与一般控制的关系如果计算机环境发现了信息技第四部分应用控制与一般控制的关系自动会计程序是由计算机系统代替人执行的计算、分类、评估、或其他会计程序，例如：投资会计系统可能用来根据不同投资类型的业务规则计算该类型投资的市场价值，贷款系统可能根据用户录入的贷款期限自动运算分期偿还债务安排，或应收帐款系统可能用来将应收帐款归入适当的帐龄组信息技术一般控制缺陷可能影响审计师依赖客户应用系统中的自动会计程序，例如：如果缺失了重要的程序开发控制，除了实质性验证运算操作，审计师可能难以确定管理层是否对该自动会计程序的按计划运行进行了适当测试如果控制缺陷导致非授权人员访问程序，那么管理层将有机会篡改自动会计程序结果，而这可能影响审计师对于客户舞弊风险的评估结果第四部分应用控制与一般控制的关系自动会计程序是由计算机系统第三