信息系统审计方法与操作指引ppt课件.pptx

《信息系统审计方法与操作指引ppt课件.pptx》由会员分享，可在线阅读，更多相关《信息系统审计方法与操作指引ppt课件.pptx（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统审计方法及操作指引为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能一、信息系统审计方法IT一般控制和应用控制审计概要为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会

2、主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序nIT一般控制概念一般控制概念信息技术广泛应用于信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程企业日常交易处理中，是涉及整个财务报表交易流程的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进控制进行测试与评估就显得尤为重要。行测试与评估就

3、显得尤为重要。IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为集都有效，所以被称为“IT一般控制一般控制”。nIT一般控制分类一般控制分类变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。测试和批准的变更。逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、逻辑

4、访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行和更新）。和更新）。其他其他ITIT一般控制一般控制（包括（包括ITIT运行）：正确备份支持财务信息数据，以便在发运行）：正确备份支持财务信息数据，以便在发生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、解划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、

5、解决、复核和分析决、复核和分析ITIT运行问题或事故。运行问题或事故。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序nIT一般控制包含控制流程一般控制包含控制流程主要包括三主要包括三个方面个方面变更管理变更管理逻辑访问逻辑访问其它其它IT一般控制一般控制平稳解决创平稳解决创新管理问题新管理问题IT一般控制审计一般控制审计Enterprise Enterprise datadatamodelmodelMast

6、er/Master/reference reference datadataTechnology Technology and tools and tools standardsstandards信息系统审计指南和标准信息系统审计指南和标准用户账号变更管理用户账号变更管理超级用户访问授权超级用户访问授权关键系统资源和工具访问授权关键系统资源和工具访问授权权限定期检查权限定期检查超级用户日志超级用户日志职责分离职责分离安全参数设置安全参数设置远程访问远程访问网络安全网络安全备份管理备份管理备份恢复备份恢复物理安全物理安全批处理批处理第三方管理第三方管理问题及应急事件处理问题及应急事件处理业务持续

7、性计划灾业务持续性计划灾难恢复难恢复系统开发和重大变更系统开发和重大变更程序变更程序变更配置配置/参数变更参数变更基础架构变更基础架构变更紧急程序变更紧急程序变更数据修改数据修改为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序n变更管理变更管理1.2.1 IT环境技术环境技术组成要素组成要素在风险评估过程中，应确定在风险评估过程中，应确定IT环境中以下哪些技术组成要素会影环境中以下哪些技术组成要素会影响变更管

8、理种类，并且在响变更管理种类，并且在测试范围测试范围内：内：应用程序应用程序 界面（界面（IT控制）控制）数据库数据库操作系统操作系统/网络网络 1.2 影响变更管理测试性质和影响变更管理测试性质和范围因素范围因素仅允许对应用程序、界面、数据库和操作系统进行适当授权、测仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更试和批准的变更。1.1 总体目标总体目标为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT

9、一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素(续续)1.2.2 变更类型变更类型要确定最适当的测试方法，要确定最适当的测试方法，了解和记录用于变更管理过程了解和记录用于变更管理过程，包括，包括针对以下变更类型和针对以下变更类型和ITIT环境技术组成要素过程环境技术组成要素过程：程序开发程序开发/采购采购 开发和实施新应用程序或界面。开发和实施新应用程序或界面。程序变更程序变更 对现有应用程序和界面进行的变更。对现有应用程序和界面进行的变更。系统软件维护系统软件维护 对数据库、操作系统和其他系统软件进对数据库、操作系统和其他系统软件进行的技术变更（例如：行的技术

10、变更（例如：补丁程序和升级）。补丁程序和升级）。紧急变更紧急变更 在紧急情况下进行的变更。在紧急情况下进行的变更。配置配置/参数变更参数变更 对对ITIT环境各种技术组成要素总体配置和环境各种技术组成要素总体配置和参数设置进行的变更相关参数设置进行的变更相关，包括对新应用程序的配置设置，包括对新应用程序的配置设置进行初始设置。进行初始设置。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序n影响变更管理测试性质

11、和范围因素影响变更管理测试性质和范围因素(续续)选择变更管理样本首选方法是：直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单，并且确定变更清单是完整的、有效的。如果系统生成清单不可用，可以考虑以下组合：如果系统生成清单不可用，可以考虑以下组合：获取被审计公司变更清单（手工维护清单或来自自动跟踪系统清单）；确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单，从该清单中选择一个在此期间发生的变更样本，并验证从被审计机构那里获取的变更清单上是否存在该变更。如果没有任何变更，则核实范围内技术组成要素最新编译日期不在审计期间内，以确定没有发生变更

12、。1.2.3 识别对识别对ITIT环境进行的变更（测试总体）环境进行的变更（测试总体）根据确定的测试方法，获取从审计期间期初到测试日期以来根据确定的测试方法，获取从审计期间期初到测试日期以来ITIT环境相关组成要素环境相关组成要素变更完整变更完整清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些ITIT环境变更和技术组成要素。环境变更和技术组成要素。应用应用以下与获取程序变更清单相关的方法：以下与获取程序变更清单相关的方法：为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学

13、习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素(续续)已授权 确定请求的变更已经过适当授权。根据被审计机构政策具体确定，某些情况下（如较小变更，可能被定义为那些需要程序员花费时间少于特定小时数的变更），变更可能不需要特定授权。已测试 确定用户是否执行了测试以确认变更按设计意图运行。否则，应确认确实进行了其他适当测试。有些情况下（如：基础结构变更），根据被审计机构政策，可以接受纯IT测试。已批准 确定在变更移入生

14、产环境之前，应用程序所有者和IT人员是否批准了这些变更。有些情况下（如：基础结构变更），可以接受纯IT批准。1.2.4 授权、测试和批准变更授权、测试和批准变更 1.2.5 变更管理职责分工补偿性控制变更管理职责分工补偿性控制由于组织结构或其他原因无法进行变更管理不相容职责分工情况下，补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有：变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。

15、变更控制会议，以讨论和跟进移入生产环境中的最新变更。变更控制会议，以讨论和跟进移入生产环境中的最新变更。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序n逻辑访问逻辑访问2.1 总体目标总体目标只只允许授权人员访问数据和应用程序（包括程序、表格以及相关资源）允许授权人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的功能（例如：询问、执行和，并且这些人员只能执行明确授权的功能（

16、例如：询问、执行和更新更新等）。等）。需要考虑需要考虑 ITGC 逻辑访问测试是否提供了有关适当的限制或不相容逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下，职责分工的足够证据。有些情况下，ITGC 测试不能为我们提供足够的测试不能为我们提供足够的证据，以明确断定是否为各个交易适当限制或分离了逻辑访问。此时，证据，以明确断定是否为各个交易适当限制或分离了逻辑访问。此时，应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下，作为应用控制测试的一部分，我们将对应用程序层次访这种情况下，作为应用

17、控制测试的一部分，我们将对应用程序层次访问或不相容职责分工控制执行特定测试。问或不相容职责分工控制执行特定测试。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序2.2 影响影响逻辑访问逻辑访问测试性质和范围因素测试性质和范围因素对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括：2.2.1 逻辑访问路径逻辑访问路径应

18、用程序应用程序 操作系统，操作系统，包括使用安全软件包括使用安全软件 数据库数据库 网络网络 互联网互联网/远程访问远程访问 穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中：所有逻辑访问所有逻辑访问ITGC均应用于应用程序层次均应用于应用程序层次；并非所有逻辑访问并非所有逻辑访问ITGC都应用于操作系统和都应用于操作系统和数据库层次；数据库层次；只有极少数逻辑访问只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。可能应用于网络、远程访问或互联网层次。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党

19、的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序n影响影响逻辑访问逻辑访问测试性质和范围因素测试性质和范围因素(续续)与离职和调动用户相关的ITGC通常是补偿性控制，用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户，我们应考虑以下程序：2.2.2 定期用户权限复核控制的补偿性控制定期用户权限复核控制的补偿性控制测试程序测试程序 离职用户：获取审计期间离职用户：获取审计期间离职职员离职职员清单，并确定它是完整清单，并确定它是完整的、有效的。选择适当样本的、有效的。选择适当样本，确定是否及

20、时删除或撤消了系统，确定是否及时删除或撤消了系统访问权限。访问权限。测试程序测试程序 调动用户：获取审计期间调动用户：获取审计期间调动职员调动职员清单，并确定它是完整清单，并确定它是完整的、有效的。的、有效的。确定确定用户访问用户访问对于其工作职能来说是否适当，其以前的系统对于其工作职能来说是否适当，其以前的系统访访问权限是否问权限是否已被删除或撤消。已被删除或撤消。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审

21、计程序n其他其他IT一般控制一般控制备份和恢复：正确备份支持财务信息的数据，以便在出现系统中断或数据完备份和恢复：正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以准确完整地恢复此类数据。整性问题时，可以准确完整地恢复此类数据。任务排程：按计划执行程序，及时识别并消除按计划处理时产生的偏差。任务排程：按计划执行程序，及时识别并消除按计划处理时产生的偏差。批处理：正确维护批处理过程，持续监控批处理，以保证数据安全。批处理：正确维护批处理过程，持续监控批处理，以保证数据安全。问题和事件管理及监控：及时识别、解决、复核和分析问题和事件管理及监控：及时识别、解决、复核和分析ITIT

22、运行问题或事件。运行问题或事件。3.1 总体目标总体目标3.2 影响其他影响其他IT一般控制测试性质和一般控制测试性质和范围因素范围因素3.2.1 IT环境技术环境技术组成要素组成要素在风险评估过程中，我们应确定在风险评估过程中，我们应确定ITIT环境中以下哪些技术组成要素会影响其环境中以下哪些技术组成要素会影响其他他ITIT一般控制，并且在一般控制，并且在测试范围测试范围内：内：应用程序应用程序 数据库数据库 操作系统操作系统/网络网络 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精

23、神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n测试方法测试方法测试人员需要根据具体情况，决定采用不同测试方法，包括：询问、测试人员需要根据具体情况，决定采用不同测试方法，包括：询问、观察、检查、重新执行四种。注意：对某一个控制点测试可能需要结观察、检查、重新执行四种。注意：对某一个控制点测试可能需要结合各种不同测试方法，譬如用户账号管理流程关于用户初始密码必须合各种不同测试方法，譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。及时更改这个控制点。询问：通过向相关人员访谈了解各个系统是否存在用户初始密码更改控询问：通过向相关人员访谈了解各个系

24、统是否存在用户初始密码更改控制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。观察：观察一个系统新用户初次登陆时，系统是否提示修改密码。观察：观察一个系统新用户初次登陆时，系统是否提示修改密码。检查：检查系统安全参数设置，确保使用正确的参数强制用户在初次检查：检查系统安全参数设置，确保使用正确的参数强制用户在初次登录后修改密码。登录后修改密码。重新执行：申请一个测试账号，在系统中初次登录时查看系统是否强重新执行：申请一个测试账号，在系统中初次登录时查看系统是否强制要求修改密码。制要求修改密码。为深入学习习近平新时代中国特色社

25、会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论为了解为了解IT流程流程，参与评估人员，参与评估人员需要在内控文档中对如下内容进行关注：需要在内控文档中对如下内容进行关注：5个个W(WHO,WHEN,WHAT,WHERE,WHY)与与1个个H(HOW)谁来做的谁来做的-Who何时做的何时做的-When-When做的什么做的什么-What-What在哪做的在哪做的-Where-Where做的原因做的原因-Why-Why如何做的如何做的-

26、How-Hown了解了解IT流程方法流程方法为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论IT一般控制测试流程一般控制测试流程缺陷报告缺陷报告文文档档整改整改控制矩阵控制矩阵测试测试访谈访谈再评估再评估为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学

27、图书室育人功能IT一般控制审计程序方法论IT一般控制流程主要关注点举例一般控制流程主要关注点举例-用户账户维护流程用户账户维护流程 注：所列内容仅为注：所列内容仅为简单样简单样例例需求部门需求部门如何提出如何提出用户用户账户账户维护申请维护申请该申请由该申请由谁来授权，谁来授权，如何授权如何授权以及以及授权授权哪些内容哪些内容需求申请及需求申请及授权确认授权确认记录在哪里记录在哪里具体谁负责具体谁负责执行执行及如何执行及如何执行 负责人负责人完成维护完成维护操作后，操作后，如何通知如何通知需求部门需求部门或授权人或授权人启动启动授权授权记录记录流程处理流程处理汇报汇报询问、观察询问、观察和检查

28、和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计方法论了解被评估了解被评估单位的单位的ITIT一一般控制流程般控制流程根据流程根据流程描述，识描述，识别风险与别风险与控制的关控制的关系系根据应用根据应用系统配置系统配置清单，判清单，判断测试范断测试范围围根据测试根据测试范围设计范围

29、设计测试方法测试方法执行穿行执行穿行测试测试/控控制测试制测试根据测试根据测试结果，进结果，进行控制评行控制评价价填写缺陷填写缺陷报告、制报告、制定整改计定整改计划划流程描述流程描述/流程图流程图I IT T一一般般控控制制评评估估风险控制风险控制矩阵矩阵系统配置系统配置清单清单测试模板测试模板穿行、控制测试报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使用相关流使用相关流程描述方法程描述方法表示被评估表示被评估单位某个具单位某个具体业务处理体业务处理过程。过程。风险控制矩阵是风险控制矩阵是对风险所导致负对风险所导致负面影响的量化，面影响的量化，从严重性、发生从严重性、发生概率和所

30、涉及范概率和所涉及范围等方面进行描围等方面进行描述，使得对风险述，使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。识别出关键系统识别出关键系统的系统配置，包的系统配置，包括系统描述、应括系统描述、应用系统来源、计用系统来源、计算机平台、算机平台、操作操作系统、数据库名系统、数据库名称称和版本等有关和版本等有关系统的信息。系统的信息。根据对信息系统根据对信息系统的初步了解，设的初步了解，设计出相应的测试计出相应的测试模板，包括风险模板，包括风险点、控制点、测点、控制点、测试范围、测试时试范围、测试时间、测试步骤等间、测试步骤等信息信息对相关风险点所针对的每个控制进对相关风险点所针对的每个控

31、制进行测试，并得出结论（即：确定行测试，并得出结论（即：确定ITGCITGC是否有效）。测试结论所依赖是否有效）。测试结论所依赖的审计证据一定要真实可靠。的审计证据一定要真实可靠。对所测试的控制对所测试的控制 未按照设计方式未按照设计方式运行的情况进行运行的情况进行总结归纳；同时总结归纳；同时找出原因和影响找出原因和影响范围，并对其提范围，并对其提出整改意见。出整改意见。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控

32、制审计程序方法论n流程描述流程描述/流程图流程图系统系统变更变更流程适用范围流程适用范围-针对针对XXXXXX系统系统需求需求申请申请需求可行性分析需求可行性分析 业务需求文档编写业务需求文档编写系统开发系统开发测试测试上线上线上线后跟进上线后跟进为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n风险控制风险控制矩阵矩阵风险风险控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及控制矩阵是对

33、风险所导致负面影响的量化，从严重性、发生概率和所涉及范围等方面进行描述，使得对风险的刻画更为有效和清晰。包括风险点、控制范围等方面进行描述，使得对风险的刻画更为有效和清晰。包括风险点、控制点、控制存在的证明性资料、实际控制描述等信息。点、控制存在的证明性资料、实际控制描述等信息。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n穿行穿行测试测试、控制测试定义控制测试定义穿行测试：穿行测试：追踪交易实际执

34、行或在信息系统中的处理过程，并检查文件存档和信息追踪交易实际执行或在信息系统中的处理过程，并检查文件存档和信息流，以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序，而是将流，以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序，而是将多种审计程序按特定审计多种审计程序按特定审计需要结合需要结合运用的方法。通过追踪运用的方法。通过追踪交易处理交易处理过程过程，证实，证实审计审计人员对控制的了解、评价控制人员对控制的了解、评价控制设计有效性设计有效性以及确定控制是否得到执行。以及确定控制是否得到执行。控制测试：控制测试：测试被审计单位系统控制测试被审计单位系统控制设计合理性设计

35、合理性和和执行有效性执行有效性。在测试控制。在测试控制运行运行有效性有效性时，应当从下列方面获取关于控制是否有效运行的审计证据时，应当从下列方面获取关于控制是否有效运行的审计证据：控制在所审计期间不同时点是如何运行的；控制在所审计期间不同时点是如何运行的；控制控制是否得到一贯执行是否得到一贯执行；控制控制由谁执行由谁执行；控制控制以何种方式运行（如人工控制或自动控制）。以何种方式运行（如人工控制或自动控制）。穿行测试穿行测试：评价控制设计：评价控制设计有效性有效性。穿行测试主要是在了解内部控制时运用，但在执行穿穿行测试主要是在了解内部控制时运用，但在执行穿行测试时，也能获取部分控制运行有效性的

36、审计证据。行测试时，也能获取部分控制运行有效性的审计证据。控制测试控制测试：评价：评价控制设计有效性并确定控制设计有效性并确定控制是否控制是否得到有效执行得到有效执行。n穿行测试、穿行测试、控制测试区别控制测试区别为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n穿行测试穿行测试样本量样本量穿行穿行测试是随机选择审计期间的一个样本进行测试。测试是随机选择审计期间的一个样本进行测试。n控制测试样本量控制测

37、试样本量在制定用于执行控制测试的测试策略时，应考虑这样一个事实：执行足够多程序是在制定用于执行控制测试的测试策略时，应考虑这样一个事实：执行足够多程序是为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行控制测试的基本测试范围指引：控制测试的基本测试范围指引：控制性质及执行频率控制性质及执行频率全面控制测试全面控制测试 -要测试的最少样要测试的最少样本数量（控制测试范围）本数量（控制测试范围）每天执行许多次的手工控制每天执行许多次的手工控制2525每天执行一次的手工控制每天执行一次的手工控制*2525每

38、周执行一次的手工控制每周执行一次的手工控制5 5每月执行一次的手工控制每月执行一次的手工控制2 2每季执行一次的手工控制每季执行一次的手工控制2 2每年执行一次的手工控制每年执行一次的手工控制1 1自动控制自动控制1 1（区别不同交易类型）（区别不同交易类型）*某些控制可能是频繁执行的，但不是每天都执行。对于这种控制，应使用某些控制可能是频繁执行的，但不是每天都执行。对于这种控制，应使用上面指引上面指引推算样本量。通常，对于在一年中推算样本量。通常，对于在一年中出现出现 50 50 至至 250 250 次的控制，使用次的控制，使用上面表格上面表格推算的最低样本量大约是发生数量的推算的最低样本

39、量大约是发生数量的10%10%。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n测试模板测试模板根据对被审计单位信息系统的初步了解，设计出相应的测试模板，包括风险点、控根据对被审计单位信息系统的初步了解，设计出相应的测试模板，包括风险点、控制点、测试范围、测试时间、测试步骤等信息。制点、测试范围、测试时间、测试步骤等信息。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代

40、中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT一般控制审计程序方法论n缺陷报告、整改计划缺陷报告、整改计划对所测试的控制没有按照设定方式运行情况进行总结归纳；同时找出原因和影响范对所测试的控制没有按照设定方式运行情况进行总结归纳；同时找出原因和影响范围，并对其提出有针对性的整改意见。围，并对其提出有针对性的整改意见。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能

41、充分发挥中小学图书室育人功能IT一般控制审计程序方法论IT一般控制与应用控制关系一般控制与应用控制关系人工控制人工控制自动控制自动控制（纯）人工控制（纯）人工控制应用程序控制应用程序控制人工依赖人工依赖IT控制控制IT一般控制一般控制人工人工检查性检查性控制控制人工人工预防性预防性控制控制为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT应用控制审计方法论nIT应用控制概念应用控制概念应用控制是在应用系统中由程序执行的控制，用

42、以替代很多由人工完成的基础应用控制是在应用系统中由程序执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用控制普遍适用于各种交易处理，所以应用控制是否有效性检查工作。由于应用控制普遍适用于各种交易处理，所以应用控制是否有效对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。nIT应用控制类型应用控制类型为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图

43、书室育人功能IT应用控制审计方法论了解了解核心核心应用系统相应用系统相关的关的重要重要业业务流程务流程确定业确定业务流程与务流程与应用系统应用系统的对应关的对应关系系根据业根据业务流程描务流程描述，识别述，识别风险与控风险与控制制执行穿行执行穿行测试测试/控制控制测试测试 根据测根据测试结果，试结果，进行控制进行控制评价评价 填写缺填写缺陷报告，陷报告，制定整改制定整改计划计划流程描述流程描述/流程图流程图应应用用控控制制层层面面评评估估系统规划图系统规划图风险控制风险控制矩阵矩阵穿行、控制测试报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使用既定的使用既定的流程描述方流程描述方法

44、表示被审法表示被审计机构某个计机构某个具体业务处具体业务处理过程。理过程。描述各个系统之描述各个系统之间信息传递关系间信息传递关系和系统与系统相和系统与系统相关接口。关接口。对已选择风险点所针对的每个控制对已选择风险点所针对的每个控制进行测试，并得出结论。测试结论进行测试，并得出结论。测试结论所依赖的审计证据一定要真实可靠。所依赖的审计证据一定要真实可靠。对所测试的控制对所测试的控制并未按照针对该并未按照针对该交易或控制运行交易或控制运行发生而设计的方发生而设计的方式运行进行总结式运行进行总结归纳；同时找出归纳；同时找出原因和影响范围，原因和影响范围，并对其提出整改并对其提出整改意见。意见。风

45、险控制矩阵是风险控制矩阵是对风险所导致负对风险所导致负面影响的量化，面影响的量化，从严重性、发生从严重性、发生概率和所涉及范概率和所涉及范围等方面进行描围等方面进行描述，使得对风险述，使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能IT应用控制审计方法论风险控制矩阵也是流程层面控制矩阵的一部分，其中包括人工控制、系统自动控风险控制矩阵也是流程层面控制矩阵的一部分，其中包括人工

46、控制、系统自动控制和人工依赖制和人工依赖ITIT系统控制三类控制。样例如下：系统控制三类控制。样例如下：存在存在/发生、完整性、权发生、完整性、权利和义务、计价和分摊、利和义务、计价和分摊、准确性、截止、分类准确性、截止、分类为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能二、信息系统审计准则与操作指引为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教

47、育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统审计准则与操作指引 行业内控指引行业内控指引商业银行商业银行内部控制指引内部控制指引证券公司内部控制指引证券公司内部控制指引寿险公司内部控制评价办法寿险公司内部控制评价办法上市公司内控指引上市公司内控指引上交所内控指引上交所内控指引深交所内控指引深交所内控指引证券交易所证券交易所行业监管机构行业监管机构企业内部控制基本规范企业内部控制基本规范财政部财政部证监会证监会审计署审计署银监会银监会保监会保监会企业内部控制评价指引企业内部控制审计指引证证券券交交易易所所、行行业业监监管管机机构构均均出出台台了

48、了一一系系列列内内部部控控制制指指引引，为为企企业业建建立立和和实实施施内内部部控控制制制制度度提提供供一一些些行行业业性指引。性指引。中国注册会计师审计准则第中国注册会计师审计准则第1211号号了解被审计了解被审计单位及其环境并评估重大错报风险单位及其环境并评估重大错报风险要求注册会计师要求注册会计师了解了解信息技术对内部控制产生的特定风险信息技术对内部控制产生的特定风险，并且应当，并且应当了解与信息处理有关的控制活动，包括信息技术一般了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。控制和应用控制。财财政政部部牵牵头头五五部部委委出出台台企企业业内内部部控控制制基基本本规规范范

49、，为为企企业业提提供供了了完完整整和和公公认认的的内内部部控控制制框框架架，同同时时以以法法规规的的形形式式要要求求上上市市公公司司对对本本公公司司内内部部控控制制的的有有效效性性进进行自我评价。行自我评价。企企业业内内部部控控制制评评价价指指引引具具体体规规范范了了内内控控评评价价的的内内容容和和标标准准，评评价价的的程程序序和和方方法法，内内控控缺缺陷陷的的认认定定，以以及规定了评价报告的相关内容。及规定了评价报告的相关内容。企企业业内内部部控控制制应应用用指指引引在在每每个个具具体体流流程程中中规规定定了了该该指指引引的的目目的的，相相关关定定义义，该该流流程程的的主主要要风风险险，岗岗

50、位位分工及授权批准，及主要流程的控制程序。分工及授权批准，及主要流程的控制程序。企企业业内内部部控控制制审审计计指指引引为为指指导导注注册册会会计计师师执执行行内内部控制审计业务的具体指引。部控制审计业务的具体指引。企业内部控制应用指引为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能企业内部控制基本规范-信息系统控制企业内部控制基本规范企业内部控制基本规范第五章中第四十一条对第五章中第四十一条对信息系统内部控制进行了要求：信息系