信息系统应用控制审计.docx

《信息系统应用控制审计.docx》由会员分享，可在线阅读，更多相关《信息系统应用控制审计.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统应用控制审计应用控制是信息系统为适应各种数据处理的特殊控制 要求，保证数据处理的可靠性而建立的内部控制。因此，应 用控制的目标是保证信息系统输入、处理和输出数据和记录 的完整性和准确性。应用控制涉及到各种类型的业务，每种业务及其数 据处理有其特殊流程的要求，这就决定了具体的应用控制的 设计需结合具体的业务，但一般都包括了业务流程控制、数 据应用控制，以及信息共享和业务协同控制三方面的内容。一、核心业务流程控制审计A.业务流程设计审计(-)业务概述业务流程设计，是指组织对其业务流程进行规划与 设计，并确保所设计的流程能满足其业务活动需要。而且根 据业务需求对业务流程进行了整合、还原或再造

2、，避免重复 操作；同时确保关键环节、关键节点和关键岗位落实了授权 审批、访问控制及不相容职责分离等必要的安全控制措施。(二)审计目标和内容从有效性和合规性两方面，检查组织是否对业务流 程进行梳理、合理规划和设计，从而防范业务流程的操作风B.数据检索输出控制审计(-)业务概述数据检索输出控制，是指利用单项检索、组合检索 等检索工具对系统中部分数据或者全部数据的检索输出功 能的身份和权限控制要符合标准规范及组织自身业务的相 关要求。(二)审计目标和内容从合规性、安全性和准确性三方面，检查：L组织是否在信息系统中建立了用户身份与权限体 系，是否制定了控制数据检索输出的制度规范；用户在使用 系统时，是

3、否按照制度规范操作。2 .系统能否发现并阻止非授权用户使用数据检索输 出功能；是否有日志记录；对于敏感的数据的检索操作，是 否有日志记录，并有数据控制责任人的监督、签字。3 .系统是否能够保证用户通过数据检索功能获取并 输出的数据的准确性。C.数据共享输出控制审计(-)业务概述数据共享输出控制，是指系统内部相关子系统之间、 系统与外部系统之间通过信息交换或信息共享方式数据输 出功能的身份与权限控制要符合标准规范及组织自身业务 的相关要求。（二）审计目标和内容从合规性、安全性和准确性三方面，检查：1 .组织是否在信息系统中建立了用户身份与权限体 系，是否制定了控制数据共享输出的制度规范；用户在使

4、用 系统时，是否按照制度规范操作；系统是否严格限定只有满 足权限要求的用户才能使用数据共享输出功能。2 .系统能否发现并阻止非授权用户使用数据共享输出功能；是否有日志记录；对传输的信息是否加密；对于敏 感的数据的共享操作，是否除了信息系统记录日志以外，还 有数据控制责任人的监督、签字。3 .系统是否能够保证用户通过数据共享输出功能输出的数据的准确性。D.备份与恢复输出控制审计（-）业务概述备份与恢复输出控制，是指生产系统向备份系统、 备份系统向恢复系统数据输出的身份与权限控制要确保合 理、有效，并符合标准规范及组织自身业务的相关要求。（二）审计目标和内容从合规性、安全性和准确性三方面，检查：1

5、 .组织是否在信息系统中建立了用户身份与权限体 系，是否制定了控制数据备份与恢复输出的制度规范；用户 在使用系统时，是否按照制度规范操作。2 .系统能否发现并阻止非授权用户使用数据备份与 恢复输出功能；是否有日志记录；对数据备份包的有效性是 否进行了测试。3 .系统是否能够保证用户通过数据备份与恢复输出功能输出的数据的完整、准确、可用。五.信息共享与业务协同审计A.信息资源目录体系测评审计(-)业务概述信息资源目录体系，是指组织以其统一的电子网络为基础，通过构建覆盖多级信息资源目录体系技术总体架构, 采用元数据对共享信息资源特征进行描述形成统一规范的 目录内容，最终提供信息资源的发现定位服务，

6、支持大范围 内跨部门、跨地区的普遍信息共享。(二)审计目标和内容检查组织的信息资源目录体系是否符合国家或行 业的相关规范，是否较好地满足各类业务和管理需要。B.信息资源交换体系测评审计(-)业务概述信息资源交换体系，是指按照统一的标准和规范, 为支持跨部门、地域间、层级间信息共享以及协同而建设的 信息服务体系。(二)审计目标和内容检查信息资源交换体系是否符合国家或行业的相关规范，是否较好地满足信息交换的需要。C.元数据和主数据测评审计(-)业务概述元数据是关于数据的数据，其用于描述信息数据集 的内容、质量、表示方式、管理方式以及数据集的其他特征， 是实现数据集共享的核心内容之一。(二)审计目标

7、和内容检查组织系统中的元数据和主数据是否符合国家、行业或者组织的相关规范，是否较好地满足信息系统建设、 应用和共享的需要。D.数据元素和数据库表测评审计(-)业务概述数据元素是数据的基本单位；数据库表则是数据元素的集合，其包含结构化数据和非结构化数据。因此，在组 织的信息系统中，只有数据元素和数据库表遵循统一的规划 进行规划、设计、运行，才能实现信息的交换和共享。(二)审计目标和内容检查数据元素和数据库表是否符合行业或组织的相关规范，是否较好地满足信息系统建设、应用和共享的需 要。E.内部数据和外部数据测评审计(-)业务概述内部数据是组织信息系统运行时产生的包括预算 管理、会计核算和相关业务的

8、数据，主要反映组织运行和管 理情况。外部数据则是组织为履行其职能或实现经济业务活动而从其他单位获取的数据。该测评指标是基于信息共享 和交换的需要而设计，更多地从内外部数据获取方式、相互 间是否可印证等方面来确认数据的质量。(二)审计目标和内容从完整性、真实性和正确性三方面：1 .检查获取的内部数据是否涵盖了被审计单位预算 管理、会计核算和相关业务的主要方面：获取的外部数据, 是否包括了被审计单位履行职能或者实现经济业务活动需 要的主要数据。2 .在信息系统业务流程控制审计，数据输入、处理 和输出控制审计中，通过相应的审计程序和方法，已可基本 确认被审计单位内部数据的真实性。在内部数据和外部数据

9、 测评中，通过内部、外部数据的相互印证，以进一步确定数 据的真实性。3 .通过内、外部数据的比对，确认数据之间不存在 重大不相符或歧义现象。F.信息资源标准化测评审计(-)业务概述信息资源标准化是组织实现信息共享和交换的前 提。组织各下属单位、各部门的信息系统只有按统一的标准 建设和运行，才能实现共享与交换。因此，该指标用于测评 被审单位信息资源的标准化程度。(二)审计目标和内容检查信息系统是否建立了满足信息共享和业务协 同的信息资源标准和规范，是否执行了国家成者行业的标准 化要求，是否为推进经济业务活动的共享协同提供了有效支 撑。G.公共基础信息建设测评审计(-)业务概述公共基础信息建设，是

10、指组织履行职能或者实现经济业务活动，需要利用人口、法人、空间地理等公共基础信 息。(二)审计目标和内容从真实性、完整性、合规性和连续性四方面，检查：1 .公共基础信息建设项目确实存在，项目的立项申 请或者备案确实发生，不存在虚假项目或者以备案名义变相 审批的情况。2 .所获取的公共基础信息是否涵盖了组织利用该信息履行职能或者实现经济业务活动需要的主要数据，是否满 足组织履行职能或实现经济业务活动的特定时间段需要。3 .公共基础信息的获取，是否来源于该信息产生或发布的合法、权威部门，是否履行了获取该信息的相关手续； 获取的公共基础信息中是否含有信息产生、发布部门的敏感 数据；公共基础信息的存储是

11、否遵循了国家信息安全相关制 度、标准及规范。4 .是否建立了与信息产生或发布部门的定期获取共享信息的制度。险，为实现职责分离提供保证并在业务流程中得以体现，以 及系统流程与实际业务需求相吻合，在满足业务处理要求的 同时，符合合规监管要求。B.业务流程处理审计(-)业务概述业务流程处理，是指组织系统为确保业务处理的正 确性和控制的有效性，在各流程节点的操作上落实组织对业 务活动审批及处理的过程要求，并设置相同业务处理自动批 量操作，对重要业务流程处理实施有效性控制和完整性校验, 同时确保系统接口处理正确、控制有效。(二)审计目标和内容从有效性和完整性两方面，检查组织的主要业务流 程可通过信息系统

12、实现。C.业务流程功能审计(-)业务概述业务流程功能，是指组织为满足业务的需要，通过 应用系统的功能设计实现业务流程中的要求，比如利息计算、 成本核算等。(二)审计目标和内容从有效性和合规性两方面，检查组织的业务流程细 化后各功能点是否完备有效，各功能模块是否实现业务流程 的子目标，各功能点之间的连续性，对业务处理衔接的通畅性，以及业务流程中各功能的实现过程是否符合国家及行业 基本监管规范要求。二、应用系统输入控制审计A.数据录入和导入控制审计(-)业务概述数据录入和导入控制，是指为确保信息系统的数据 录入、导入等数据采集功能符合国家、行业或者组织规范标 准，数据采集者的身份与权限合理有效所采

13、取的一系列控制 措施。(二)审计目标和内容从合规性、安全性、完整性和准确性方面，检查：1 .系统的数据录入、导入接口是否符合国家、行业 或组织自身规范，是否制定数据录入、导入的制度规范；是 否在系统中建立用户账号和权限管理机制，并根据设定的权 限使用数据录入、导入功能，以及监督操作的规范性。2 .系统是否存在未经许可的数据录入、导入接口， 以及是否能阻止非授权用户的数据录入和导入操作，同时具 备日志记录功能。3 .系统是否具备数据准确性检查功能。8 .数据修改和删除控制审计(-)业务概述数据修改和删除控制，是指对系统中的数据修改和 删除功能通过授权管理、限制操作等手段，确保其符合国家、 行业或

14、组织的相关安全规范，同时，确保数据修改或删除功 能符合组织自身的业务管理需要。（二）审计目标和内容该项的审计目标是从合规性、安全性和完整准确性 角度，分别检查：1 .系统的数据修改、删除是否符合国家、行业或组 织自身规范，是否制定数据修改、删除的制度规范；是否在 系统中建立用户账号和权限管理机制，并在用户使用系统时, 根据设定的权限使用数据修改、删除功能，以及监督操作的 规范性。2 .系统是否存在未经许可的数据修改、删除功能， 以及是否能阻止非授权用户的数据修改、删除操作，同时具 备日志记录功能。3 .系统是否具备数据准确性检查功能。C.数据校验控制审计（-）业务概述数据校验控制，是指对数据录

15、入、导入接口等数据 采集功能进行校验控制，确保其符合国家、行业或组织自身 的规定，并且确保系统中校验控制措施的有效性。（二）审计目标和内容从合规性和有效性方面，检查：1 .信息系统的数据录入、导入接口是否设置了数据校验控制，数据校验控制是否符合国家、行业或者单位规范。2.信息系统数据录入、导入接口的数据校验功能是 否能够满足数据校验的要求，数据校验控制是否有效。D.数据入库控制审计(-)业务概述数据入库控制，是指录入、导入接口等采集的数据、 缓冲区数据与进入数据库的最终数据保持一致的相关控制。(二)审计目标和内容从合规性和有效性方面，检查：1 .组织是否制定数据管理规范，规定数据入库的工 作流

16、程和岗位职责，以及数据入库工作是否严格按照规范和 制度执行。2 .信息系统功能是否存在数据入库控制，系统的数 据入库控制是否有效。E.数据共享与交换控制审计(-)业务概述数据共享与交换控制，是指不同信息系统之间的信 息共享与交换需要符合国家、行业及组织的相关质量与安全 要求，要确保用户或系统的数据共享与交换的系统账号与权 限控制合理，数据共享与交换方法和渠道安全可控。（二）审计目标和内容从合规性、安全性和完整准确性这三方面，检查:1 .组织是否在信息系统中建立用户账号与权限管理 机制，制定控制数据共享与交换的制度规范；用户在使用系 统时，是否按照制度规范操作。2 .系统能否发现并阻止非授权用户

17、使用数据共享功 能；是否有日志记录；对信息的传输是否加密，对于敏感数 据的共享与交换操作，是否除了信息系统记录日志以外，还 有数据控制责任人的监督和确认。3 .系统是否能够保证共享与交换数据的完整性和准 确性。F.备份与恢复数据接收控制审计（-）业务概述备份与恢复数据接收控制，是指对备份与恢复中的 数据接收进行身份与权限控制，确保接收数据与输出数据保 持一致。（二）审计目标和内容从合规性、安全性和准确性方面，检查：1 .组织是否在信息系统中建立了用户身份与权限体 系，是否制定了控制数据备份与恢复数据接收的制度规范； 用户在使用系统时，是否按照制度规范操作。2 .系统能否发现并阻止非授权用户使用

18、数据备份与 恢复数据接收功能；是否有日志记录；接收数据备份时对数 据备份包的有效性是否进行了测试。3 .系统是否能够保证用户通过数据备份与恢复数据 接收功能接收的数据的完整、准确、可用。三、应用系统处理控制审计A.数据转换控制审计(-)业务概述数据转换控制，是指对系统采集外部数据和转换过 程中的各项操作进行安全控制，使其符合国家、行业或组织 的数据转换标准、格式规范及安全保护等方面的要求。(二)审计目标和内容从合规性和完整准确性两方面，检查：1 .信息系统的数据转换功能是否符合国家、行业或 者单位的数据转换标准和格式规范。2 .数据转换是否按照预定的业务逻辑进行，数据转 换后结果是否完整、是否

19、准确，异常值是否已进行了处理。B.数据整理控制审计(-)业务概述数据整理控制，是指采集数据的分类入库、数据库 中相关数据的清洗、数据库间和数据表间的数据抽取与合并、 数据库或者数据表的生成与报废等功能的控制要符合系统 需求和设计要求。(二)审计目标和内容从合规性和完整准确性两方面，检查：1 .数据整理功能是否符合系统需求和设计需求。2 .数据整理的结果是否完整，是否准确。C.数据计算控制审计(-)业务概述数据计算控制，是指系统中经济业务活动的计量、 计费、核算、分析以及数据平衡等计算功能的控制要符合国 家、行业或组织的相关规定与规范。(二)审计目标和内容从合规性和有效性两方面，检查：1 .信息

20、系统的数据计算控制是否符合国家、行业或 者单位相关规定和规范。2 .数据计算控制是否能够按照预计条件完成数据计 算过程中的正确控制。D.数据汇总控制审计(-)业务概述数据汇总控制，是指检查系统中经济业务活动的财 务科目汇总、报表汇总和相关业务汇总等功能实现的控制要 符合国家、行业或者组织的相关规定和规范。（二）审计目标和内容从合规性和准确性两方面，检查：1 .信息系统的数据汇总功能的汇总逻辑、计算方法、 计算过程、计算口径等是否符合国家、行业或者单位的相关 规定和规范。2 .信息系统的数据在通过正确的汇总过程后，是否 正确，是否能够真实反映实际的业务情况。应用系统输出控制审计A.数据外设输出控制审计（-）业务概述数据外设输出控制，是指计算机显示、打印和介质 拷贝等数据输出功能的身份与权限控制要符合标准规范及 组织自身业务的相关要求。（二）审计目标和内容从合规性和安全性两方面，检查：1 .组织是否在信息系统中建立了用户身份与权限体 系，是否制定了控制数据外设输出的制度规范，用户在使用 系统时，是否按照制度规范操作。2 .系统能否发现并阻止非授权用户使用数据信息的 计算机显示。打印等外设输出功能：是否有日志记录；对于 微感数据的查看、打印和介质存储操作，是否有日志记录, 并有数据控制责任人的监督、签字。