43-信息系统审计方法与操作指引

信息系统审计方法及操作指引刘丽萍2013/01第一页

，共四十三页。一、信息系统审计方法IT一般控制和应用控制审计概要5/16/20232第二页,共四十三页。IT一般控制审计程序■IT一般控制概念➢信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进行测试与评估就显得尤为重要。➢IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为“IT一般控制”。■IT一般控制分类➢变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。➢逻辑访问:只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如:询问、执行和更新）。➢其他IT一般控制（包括IT运行）:正确备份支持财务信息数据，以便在发生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、解决、复核和分析IT运行问题或事故。5/16/20233第三页,共四十三页。•用户账号变更管理•超级用户访问授权•关键系统资源和工具访问授权•权限定期检查•超级用户日志•职责分离•安全参数设置•远程访问•网络安全•系统开发和重大变更•程序变更•配置/参数变更•基础架构变更•紧急程序变更•数据修改•备份管理•备份恢复•物理安全

•批处理•第三方管理•问题及应急事件处理•业务持续性计划／灾难恢复信息系统审计指南和标准IT一般控制审计主要包括三个方面5/16/20234第四页,共四十三页。IT一般控制审计程序■IT

一般控制包含控制流程其它IT一般控制逻辑访问变更管理IT一般控制审计程序■变更管理1.1总体目标仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。1.2影响变更管理测试性质和范围因素1.2.1IT环境技术组成要素在风险评估过程中，应确定IT环境中以下哪些技术组成要素会影响变更管理种类，并且在测试范围内:►应用程序►界面（IT控制）►数据库►操作系统/网络5/16/20235第五页,共四十三页。IT一般控制审计程序■影响变更管理测试性质和范围因素(续)1.2.2变更类型要确定最适当的测试方法，了解和记录用于变更管理过程，包括针对以下变更类型和IT环境技术组成要素过程:►程序开发/采购—开发和实施新应用程序或界面。►程序变更—对现有应用程序和界面进行的变更。►系统软件维护—对数据库、操作系统和其他系统软件进行的技术变更（例如:补丁程序和升级）。►紧急变更—在紧急情况下进行的变更。►配置/参数变更—对IT环境各种技术组成要素总体配置和参数设置进行的变更相关，包括对新应用程序的配置设置进行初始设置。5/16/20236第六页,共四十三页。IT一般控制审计程序■影响变更管理测试性质和范围因素(续)1.2.3识别对IT环境进行的变更（测试总体）根据确定的测试方法，获取从审计期间期初到测试日期以来IT环境相关组成要素变更完整清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些IT环境变更和技术组成要素。应用以下与获取程序变更清单相关的方法:➢选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单，并且确定变更清单是完整的、有效的。如果系统生成清单不可用，可以考虑以下组合:√获取被审计公司变更清单（手工维护清单或来自自动跟踪系统清单）；√确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单，从该清单中选择一个在此期间发生的变更样本，并验证从被审计机构那里获取的变更清单上是否存在该变更。➢如果没有任何变更，则核实范围内技术组成要素最新编译日期不在审计期间内，以确定没有发生变更。5/16/20237第七页,共四十三页。IT一般控制审计程序■影响变更管理测试性质和范围因素(续)1.2.4授权、测试和批准变更➢已授权—确定请求的变更已经过适当授权。根据被审计机构政策具体确定，某些情况下（如较小变更，可能被定义为那些需要程序员花费时间少于特定小时数的变更），变更可能不需要特定授权。➢已测试—确定用户是否执行了测试以确认变更按设计意图运行。否则，应确认确实进行了其他适当测试。有些情况下（如:基础结构变更），根据被审计机构政策，可以接受纯IT测试。➢已批准—确定在变更移入生产环境之前，应用程序所有者和IT人员是否批准了这些变更。有些情况下（如:基础结构变更），可以接受纯IT批准。1.2.5变更管理职责分工补偿性控制➢由于组织结构或其他原因无法进行变更管理不相容职责分工情况下，补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有:►变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。►变更控制会议，以讨论和跟进移入生产环境中的最新变更。5/16/20238第八页,共四十三页。IT一般控制审计程序■逻辑访问2.1总体目标只允许授权人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的功能（例如:询问、执行和更新等）。➢需要考虑ITGC逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下，ITGC测试不能为我们提供足够的证据，以明确断定是否为各个交易适当限制或分离了逻辑访问。此时，应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下，作为应用控制测试的一部分，我们将对应用程序层次访问或不相容职责分工控制执行特定测试。5/16/20239第九页,共四十三页。IT一般控制审计程序2.2影响逻辑访问测试性质和范围因素2.2.1逻辑访问路径➢对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括:►应用程序►操作系统，包括使用安全软件►数据库►网络►互联网/远程访问➢穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中:►所有逻辑访问ITGC均应用于应用程序层次；►并非所有逻辑访问ITGC都应用于操作系统和数据库层次；►只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。5/16/202310第十页,共四十三页。IT一般控制审计程序■影响逻辑访问测试性质和范围因素(续)2.2.2定期用户权限复核控制的补偿性控制➢与离职和调动用户相关的ITGC通常是补偿性控制，用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户，我们应考虑以下程序:➢测试程序—离职用户:获取审计期间离职职员清单，并确定它是完整的、有效的。选择适当样本，确定是否及时删除或撤消了系统访问权限。➢测试程序—调动用户:获取审计期间调动职员清单，并确定它是完整的、有效的。确定用户访问对于其工作职能来说是否适当，其以前的系统访问权限是否已被删除或撤消。5/16/202311第十一页,共四十三页。IT一般控制审计程序■其他IT一般控制3.1总体目标➢备份和恢复:正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以准确完整地恢复此类数据。➢任务排程:按计划执行程序，及时识别并消除按计划处理时产生的偏差。➢批处理:正确维护批处理过程，持续监控批处理，以保证数据安全。➢问题和事件管理及监控:及时识别、解决、复核和分析IT运行问题或事件。3.2影响其他IT一般控制测试性质和范围因素3.2.1IT环境技术组成要素在风险评估过程中，我们应确定IT环境中以下哪些技术组成要素会影响其他IT一般控制，并且在测试范围内:➢应用程序➢数据库➢操作系统/网络5/16/202312第十二页,共四十三页。IT一般控制审计程序方法论■测试方法测试人员需要根据具体情况，决定采用不同测试方法，包括:询问、观察、检查、重新执行四种。注意:对某一个控制点测试可能需要结合各种不同测试方法，譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。➢询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。➢观察:观察一个系统新用户初次登陆时，系统是否提示修改密码。➢检查:检查系统安全参数设置，确保使用正确的参数强制用户在初次登录后修改密码。➢重新执行:申请一个测试账号，在系统中初次登录时查看系统是否强制要求修改密码。5/16/202313第十三页,共四十三页。IT一般控制审计程序方法论■了解IT流程方法为了解IT流程，参与评估人员需要在内控文档中对如下内容进行关注:5个W(WHO,WHEN,WHAT,WHERE,WHY)与1个H(HOW)授权

author

ized记录

recorded流程处理processed谁来做的-Who何时做的-When做的什么-

What在哪做的-

Where做的原因-

Why如何做的-

How5/16/202314第十四页,共四十三页。启动

in

itiated汇报

reported访谈IT一般控制审计程序方法论5/16/202315第十五页,共四十三页。文

档测试

缺陷报告IT一般控制测试流程控制矩阵再评估整改IT一般控制审计程序方法论IT一般控制流程主要关注点举例-用户账户维护流程注:所列内容仅为简单样例5/16/202316第十六页,共四十三页。负责人完成维护操作后,如何通知需求部门或授权人该申请由谁来授权,如何授权以及授权哪些内容►询问

、观察和检查►询问

、观察和检查►询问

、观察和检查►询问

、观察和检查►询问

、观察和检查具体谁负责

执行及如何执行需求部门如何提出

用户账户维护申请汇报授权启动需求申请及

授权确认

记录在哪里流程处理记录IT一般控制评估IT一般控制审计方法论了解被评估

单位的IT一

般控制流程根据流程

描述

，

识

别风险与

控制的关

系根据应用

系统配置

清单

，

判

断测试范

围测试

设计

方法根范测执行穿行

测试/控制

测试根据测试

结果

，

进

行控制评

价填写缺陷

报告

、制

定整改计划穿行

、控制测试报告5/16/2023

17流程描述/

流程图测试模板风险控制

矩阵系统配置清单缺陷报告

、

整改计划识别出关键系统的系统配置,包括系统描述、应用系统来源、计算机平台、操作系统、数据库名称和版本等有关系统的信息。对相关风险点所针对的每个控制进行测试，并得出结论（即:确定ITGC是否有效）。测试结论所依赖的审计证据一定要真实可靠。对所测试的控制未按照设计方式运行的情况进行总结归纳；同时找出原因和影响范围,并对其提出整改意见。风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。根据对信息系统的初步了解,设计出相应的测试模板,包括风险点、控制点、测试范围、测试时间、测试步骤等信息使用相关流程描述方法

表示被评估单位某个具

体业务处理过程。第十七页,共四十三页。■流程描述/流程图

系统变更▶流程适用范围-针对XXX系统▶需求申请▶需求可行性分析▶业务需求文档编写▶系统开发

▶测试▶上线▶上线后跟进IT一般控制审计程序方法论5/16/202318第十八页,共四十三页。IT一般控制审计程序方法论■风险控制矩阵风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。包括风险点、控制点、控制存在的证明性资料、实际控制描述等信息。5/16/202319第十九页,共四十三页。IT一般控制审计程序方法论■穿行测试、控制测试定义穿行测试:追踪交易实际执行或在信息系统中的处理过程，并检查文件存档和信息流，以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序，而是将多种审计程序按特定审计需要结合运用的方法。通过追踪交易处理过程，证实审计人员对控制的了解、评价控制设计有效性以及确定控制是否得到执行。控制测试:测试被审计单位系统控制设计合理性和执行有效性。在测试控制运行有效性时，应当从下列方面获取关于控制是否有效运行的审计证据:➢控制在所审计期间不同时点是如何运行的；➢控制是否得到一贯执行；➢控制由谁执行；➢控制以何种方式运行（如人工控制或自动控制）。■穿行测试、控制测试区别穿行测试:评价控制设计有效性。穿行测试主要是在了解内部控制时运用，但在执行穿行测试时，也能获取部分控制运行有效性的审计证据。控制测试:评价控制设计有效性并确定控制是否得到有效执行。5/16/202320第二十页，共四十三页。IT一般控制审计程序方法论■穿行测试样本量穿行测试是随机选择审计期间的一个样本进行测试。■控制测试样本量在制定用于执行控制测试的测试策略时，应考虑这样一个事实:执行足够多程序是为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行控制测试的基本测试范围指引:*某些控制可能是频繁执行的,但不是每天都执行。对于这种控制,应使用上面指引推算样本量。通常,对于在一年中出现50至250次的控制,使用上面表格推算的最低样本量大约是发生数量的10%。5/16/202321第二十一页,共四十三页。全面控制测试

-

要测试的最少样本数量（控制测试范围）控制性质及执行频率252552211（区别不同交易类型）每天执行许多次的手工控制每天执行

一

次的手工控制*每周执行

一

次的手工控制每月执行

一

次的手工控制每季执行

一

次的手工控制每年执行

一

次的手工控制自动控制IT一般控制审计程序方法论■测试模板根据对被审计单位信息系统的初步了解,设计出相应的测试模板,包括风险点、控制点、测试范围、测试时间、测试步骤等信息。5/16/202322第二十二页,共四十三页。IT一般控制审计程序方法论■缺陷报告、整改计划对所测试的控制没有按照设定方式运行情况进行总结归纳；同时找出原因和影响范围,并对其提出有针对性的整改意见。5/16/202323第二十三页,共四十三页。IT一般控制审计程序方法论IT一般控制与应用控制关系IT一般控制5/16/202324第二十四页,共四十三页。人工依赖IT控制（纯）

人工控制人工控制自动控制人工预防性控制人工检查性控制应用程序控制IT应用控制审计方法论■IT应用控制概念应用控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础性检查工作。由于应用控制普遍适用于各种交易处理,所以应用控制是否有效对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。实实时校验编编辑检查计算机计算自动系统接口/对账例行程序登陆权限

/岗位分离配置控制应用控制■IT应用控制类型5/16/2023第二十五页,共四十三页。25IT应用控制审计方法论►了解核心应

用系统相关的重要业务流程►确定业务

流程与应用

系统的对应

关系►根据业务

流程描述

，

识别风险与

控制执行穿行测试/控制测试对已选择风险点所针对的每个控制进行测试,并得出结论。测试结论所依赖的审计证据一定要真实可靠。第二十六页,共四十三页。►根据测试

结果

，进行控制评价►填写缺陷

报告

，

制定整改计划5/16/2023

26流程描述/

流程图系统规划图风险控制

矩阵缺陷报告

、

整改计划风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。对所测试的控制并未按照针对该交易或控制运行发生而设计的方式运行进行总结归纳；同时找出原因和影响范围,并对其提出整改意见。使用既定的流程

描述方法表示被审计机构某个具体业务处理过程。描述各个系统之间

信息传递关系和系

统与系统相关接口。应用控制层面评估穿行

、控制测试报告IT应用控制审计方法论风险控制矩阵也是流程层面控制矩阵的一部分，其中包括人工控制、系统自动控制和人工依赖IT系统控制三类控制。样例如下:5/16/202327第二十七页,共四十三页。存在/发生、完整性、权利和

义务、计价和分摊、准确性、

截止、分类5/16/202328第二十八页,共四十三页。二

、信息系统审计准则与操作指引财政部证监会审计署银监会保监会企业内部控制评价指引企业内部控制应用指引企业内部控制审计指引《企业内部控制评价指引》具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。《企业内部控制应用指引》在每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。《企业内部控制审计指引》为指导注册会计师执行内部控制审计业务的具体指引。证券交易所

、行业监管机构均出台了一系列内部控制指引

，

为企业建立和实施内部控制制度提供一些行业性指引。《中国注册会计师审计准则第1211号——了解被审计单位及其环

境并评估重大错报风险》要求注册会计师了解信息技术对内部控制产生的

特定风险，并且应当了解与信息处理有关的控制活动，包括信息

技术一般控制和应用控制。财政部牵头五部委出台《企业内部控制基本规范》

，

为企业提供

了完整和公认的内部控制框架

，

同时以法规的形式要求上市

公司对本公司内部控制的有效性进行自我评价。信息系统审计准则与操作指引行业内控指引

商业银行内部控制指引证券公司内部控制指引寿险公司内部控制评价办法证券交易所

行业监管机构上市公司内控指引

上交所内控指引深交所内控指引企业内部控制基本规范5/16/2023第二十九页,共四十三页。29企业内部控制基本规范-信息系统控制《企业内部控制基本规范》第五章中第四十一条对信息系统内部控制进行了要求:“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全运行。”5/16/202330第三十页,共四十三页。企业内部控制评价指引-信息系统控制5/16/202331第三十一页,共四十三页。控制内容包括

:►信息系统开发（5条）►信息系统运行与维护（

6条）企业内部控制应用指引第18号-信息系统5/16/2023第三十二页,共四十三页。32中国注册会计师审计准则第1211号-了解被审计单位及其环境并评估重大错报风险第五十九条注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:（一）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（二）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（三）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（四）未经授权改变主文档的数据；（五）未经授权改变系统或程序；（六）未能对系统或程序作出必要的修改；（七）不恰当的人为干预；（八）数据丢失的风险或不能访问所需要的数据。第八十六条注册会计师应当了解与信息处理有关控制活动,包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。信息技术应用控制是指主要在业务流程层次运行人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。5/16/2023第三十三页,共四十三页。33审计准则:IT审计准则是整个审计准则体系总纲，是IT审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计指引:审计指引是依据审计准则制定的，是审计准则的具体化,它详细规定了IT审计师执行各项审计业务、出具审计报告的具体指引，为审计师在执行审计业务中如何遵守审计准则提供指导。审计程序:IT审计程序是依据审计准则和审计指引制定的。它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指引的一些通用审计程序。审计程序为审计师提供了很好的工作范例。信息系统审计准则与操作指引■信息系统审计与控制协会（ISACA）

制定并颁布了11大类审

计准则

、29条审计指引和9条审计程序。准则审计指引审计程序IT审计准则框架5/16/2023第三十四页,共四十三页。审计34信息系统审计准则与操作指引■

ISACA信息系统审计准则➢审计章程➢

独立性➢

职业道德和标准➢

专业胜任能力➢审计计划➢实施审计工作➢

报告➢

后续审计➢

违法和违规行为➢

IT治理➢在审计计划中使用风险评估方法5/16/2023第三十五页,共四十三页。35信息系统审计准则与操作指引■ISACA信息系统审计准则（续）➢审计章程►审计章程中载明IT审计目的、责任、权限和职责。➢独立性►独立性是指IT审计活动独立与他们所审查的活动之外,可以理解为审计部门的独立性和审计人员独立性。►IT审计部门是否获得独立性应考虑因素►IT审计部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定►IT审计部门向谁负责和报告工作►首席执行官能否与董事会、审计委员会或其他相关治理机构直接交流和沟通信息,能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议►首席审计执行官的任免由何种层次的领导层决定►审计委员会由何种人员组成➢

职业道德和标准►

职业道德和准则►

职业审慎态度5/16/2023第三十六页,共四十三页。36信息系统审计准则与操作指引■ISACA信息系统审计准则（续）➢专业胜任能力►审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。►熟练应用内部审计实务标准、程序和技术,理解管理原则,深入领会会计学、经济学、商法、税收、金融和信息技术►其他必备技能,包括对组织所在行业深入了解,实施和改进财务和运营方面所涉及流程的知识和技能►拥有良好的人际交流技能审计师知识、技能和专业

胜任能力►出色的口头和书面表达能力,以便清楚有效地表达审计目的、审计评价工作、审计结论和审计建议►接受后续专业教育,以保持专业技术适应性5/16/2023第三十七页,共四十三页。37信息系统审计准则与操作指引■ISACA信息系统审计准则（续）➢

计划►

以相应法律和审计准则为基础►

基于风险审计方法►制定详细审计计划►

制定审计程序和步骤➢

审计工作实施►