审计业务底稿之了解和评价信息系统一般控制.doc

《审计业务底稿之了解和评价信息系统一般控制.doc》由会员分享，可在线阅读，更多相关《审计业务底稿之了解和评价信息系统一般控制.doc（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、客 户签 名日 期项 目了解和评价信息系统一般控制编制索引号P221-10会计期间复核页 次1工作指引： 1. 完成信息系统主要负责人员调查表。2. 完成重大业务流程和信息系统匹配表，根据信息系统调查问卷，具体评估各项信息系统复杂程度的调查问卷。3. 确定信息系统控制审计的范围。4. 针对信息系统一般控制在控制环境、程序开发、程序变更、程序和数据访问以及计算机运行等方面进行了解。(一) 信息系统主要负责人员调查表部 门人 员岗 位(二) 重大业务流程和信息系统匹配表编制说明：1.“系统名称”填写系统的名称，如费用支付系统。系统可以是商业软件系统，或是企业自己开发、定制的系统，也可以包括其他终端

2、用户所使用的重要工具，如利用 Excel 等电子表格编制的模型、填报工具等。2. “系统平台”填写系统的操作平台，如Microsoft、Unix等。3. “设备所在地点”填写系统的所在地点，如分布各省公司4. “上线年份”填写初始上线年份。5.“所支持的业务流程/科目”填写流程名称，如采购、费用支付流程等。6. “复杂程度”根据各项信息系统调查的结果评价系统的复杂程度，填写高或低。对信息系统的评估不是一个纯粹客观的过程，也需要依靠注册会计师的职业判断。7. “是否纳入测试范围”根据系统的复杂程度明确系统是否纳入测试范围，填写是或否。系统名称系统平台设备所在地点上线年份所支持的业务流程/科目复杂

3、程度是否纳入测试范围(三) 信息系统调查编制说明：重大业务流程和信息系统匹配表中列示的各项信息系统均应填制本表，作为评价其复杂程度的依据。需要调查的内容工作底稿索引1. 了解被审计单位IT治理整体层面环境：1. 询问被审计单位治理层、管理层和内部其他相关人员：1.1 向治理层了解与被审计单位IT治理相关的事项，包括是否存在IT战略委员会或执行类似功能的机构以及实际执行的IT治理结构、组织结构、近期主要IT投资项目情况等，以及被审计单位实施的或准备实施的IT战略；1.2 向管理层了解其关心的主要问题，如企业与业务战略相一致的IT投资项目、IT应用控制、IT运行和维护管理方式；1.3 向财务负责人

4、了解被审计单位采用的财务软件系统、软件记账相关的授权体系以及是否有软件更新或更换计划； 1.4 向管理层或财务负责人了解可能影响财务报告的交易和事项，如公司主营业务收入、生成成本的确认依赖于IT控制；企业属于软件生产商的，了解软件生产管理及财务确认方法；企业属于系统集成商的，了解相关系统交付方式及财务确认原则；企业属于信息平台提供商的，了解相关平台服务的财务确认原则和方法；企业属于网游等营运商的，了解其营运收入及成本的确认方式方法；1.5 向被审计单位内部审计部门询问是否执行信息系统审计，以及执行审计情况，包括执行的内部审计程序和管理层采取的适当的应对措施；1.6 向主办会计了解财务软件的具体

5、的运用情况；1.7 向投资部门了解IT投资活动；1.8向治理层及管理层了解，是否存在企业内部软件的研发、使用、运维情况；1.9 向人力资源部门了解信息系统劳动用工情况，了解从事系统管理员、安全管理员、数据库管理员或执行类似职责的人员的背景；1.10 属于1.4所列举行业的企业，应向销售部门了解市场情况、销售环境、销售模式和客户结构等情况；如向销售总监询问主要产品、行业发展状况等信息，向销售人员询问主要客户和合同、付款条件、主要竞争者、定价政策、营销策略等相关市场信息；1.11 向法律事务部门询问企业既有的IT治理环境下是否有法律法规的限制性要求，如是否涉及可能触及所在国法律法规对隐私等存在法定

6、要求的敏感数据，是否使用存在版权争议的软件或未获得正式授权的软件及各类系统。1.12 向管理层及业务人员了解，企业业务活动对IT治理或者对信息系统的依赖程度。了解诸如：现阶段的IT治理或者IT服务是否已经构成企业无法离开的生存需要?企业是否在紧急情况下可以不依赖IT系统而维持业务活动?1.13 向治理层、管理层及信息系统负责人了解，企业是否存在业务持续计划？是否存在灾难恢复计划？及目前该等计划是否处于持续更新及定期演练。2了解被审计单位信息系统运行环境：2.1了解被审计单位信息系统的相关负责部门或人员情况，并对相关人员进行调查以确定其是否胜任该工作；2.2了解被审计单位信息系统支持情况：2.2

7、.1内部支持的情况，如信息系统部门与业务部门及其他职能部门是否定理信息系统服务水平协议（SLA）或存在类似协议以及协议的执行情况；2.2.2外部支持的情况，如与IT供应商的信息系统服务水平协议（SLA）协议，及协议的执行水平；2.2.3支持响应情况，事件发生时能获得的支持响应情况，包括内部与外部；2.3了解被审计单位对聘用IS人员政策：2.3.1企业是否存在背景调查政策；2.3.2保密政策；2.3.3利益冲突及竞业禁止政策；2.3.4 企业IS人员的职业道德规范；2.3.5企业IS人员是否有轮岗制度，轮岗时间及频率，涉及到的岗位及人员等；是否执行强制休假政策确保每年至少一次由常规人员之外的其他

8、人来代行职责；2.4了解被审计单位信息系统安全情况：2.4.1物理安全：2.4.1.1机房钥匙是否有专人负责；2.4.1.2机房内部是否配备有灭火设备或存在相应的应急响应系统；2.4.1.3出入机房的授权控制是如何进行的，以及该等行为是否得到了记录；2.4.1.4机房内部空调装置是否正常，温度和湿度是否在适当范围；2.4.2逻辑安全：2.4.2.1服务器是否装有防火墙，该防火墙是否得到及时更新；2.4.2.2被审计单位对移动存储设备的使用是否有严格的规范措施；2.4.1.3无线网络是否进行加密，采用何种方式进行加密；2.4.1.4了解信息系统的授权情况，确定是否对相关工作进行职责分离，是否存在

9、不适当的授权；2.4.1.5检查信息系统密码政策：密码最短长度，是否有对密码复杂性的检查，例如纯数字密码，生日密码等；2.5了解被审计单位是否对系统用户进行安全教育、培训，抽查用户的安全意识；2.6了解信息系统的绩效衡量政策，询问相关业务部门，评价信息系统对业务目标的实现程度；2.7了解被审计单位IS人员解聘政策：2.7.1是否归还所有钥匙、ID卡和证件；2.7.2是否及时删除、撤销所分配的登录ID及口令；2.7.3是否通知安全人员及适当人员将该员工状态更改为“离职”；2.7.4是否及时从在职人员工资表中删除该员工；2.7.5是否已归还所有公司财产；3. 信息系统支持的业务流程复杂度3.1 该

10、流程涉及的人员与部门的规模，相关人员及部门间关系的复杂程度和清晰程度。3.2 该流程涉及操作及决策活动的规模。3.3 该流程的数据处理过程涉及公式的复杂程度。3.4 该流程的数据处理过程涉及数据录入操作的数量、规模。3.5 该流程信息处理依赖手工处理的情况。3.6 该流程对信息系统生成的报告的依赖程度。4. 信息系统自身技术的复杂度4.1 如果信息系统是商业软件4.1.1 该系统市场占有份额。4.1.2 该系统实施和运行所需的参数设置范围。4.1.3 该系统的企业化程度（即根据公司需求二次开发的程度，对出厂标准配置的变更、变更类型）4.2 自行研发系统4.2.1 距离上一次系统构架重大变更的时

11、间。4.2.2 系统变更对财务系统的影响结果。4.2.3 系统变更后的运行情况及运行时间。5. 系统处理交易、数据及计算的复杂度5.1 交易数据数量规模，以及对用户识别并更正数据处理错误的情况。5.2 数据通过网络传输（如EDI）的情况。5.3 使用特殊系统（如电子商务系统）的情况。6. 信息技术环境的规模和复杂度6.1 产生财务数据的信息系统数量。6.2 信息部门的结构与规模。6.3 网络规模、用户数量、外包及访问方式（例如本地登录还是远程登录）。7. 观察和检查：7.1 观察被审计单位的IT治理活动，如，业务系统运行情况和IT应用控制活动；7.2 检查文件、记录和IT控制手册：7.2.1

12、被审计单位的IT战略规划；7.2.2 与IT供应商、IT外包商、或其他单位签订的合同、协议；7.2.3 各业务流程手册；7.2.4 IT控制手册；7.2.5 IS员工离职记录。7.3 阅读由管理层和治理层编制的报告：7.3.1 IT战略委员会(或行使类似职权的机构的)会议记录、决议；7.3.2 IT项目相关的高级管理层会议记录；7.3.3 被审计单位内部管理报告以及其他特殊目的报告（如新投资IT项目的可行性分析报告）；7.3.4 被审计单位管理层和员工IT绩效考核政策及各部门的IT绩效报告等。7.4 实地察看被审计单位的财务软件所在服务器及相关设备。8. 其他8.1 管理层如何获取与信息技术相

13、关的问题。8.2 系统功能中发现严重问题或不准确成分的功能，以及是否存在可以绕过的程序（如自动修复程序等）。8.3 发生过的信息系统运行出错、安全事件或对固定数据的修改等严重问题，以及管理层如何应对并确保这些问题得到可靠解决。8.4 内部审计或其他报告中关于信息系统、数据环境或应用系统相关的问题，以及最普遍的系统问题。9. 测试9.1 财务软件系统测试：9.1.1 在取得企业管理层授权后，在企业财务人员在场的情况下，自行操作或要求企业经办人员操作以下内容，以测试财务软件是否进行了适当的授权控制。a.以记账人员身份登录系统，输入任意一笔记账凭证，测试是否存在差错检查、记录操作人员等功能；b.以审核人员身份登录系统，任选一笔进行审核，测试是否存在自我审核的预防功能、记录审核人员操作信息等功能；c.在进行上述测试时，应注意是否存在诸如反结账、反审核、选择性删除等例外功能。d.若系企业人员操作，应注意是否存在共用账户、共享密码或密码过于简单等情况。10. 项目组内部讨论：10.1项目合伙人与项目组其他关键成员讨论被审计单位财务报表存在由于IT系统引起重大错报的可能性，以及是否需要进一步的专业信息系统审计的支持；10.2 与项目组成员或熟悉被审计单位所处行业的其他人员讨论，以获取相关知识、经验和信息。