KS6-2對信息系統(tǒng)一般控制的了解和測試

1、 亞太（集團(tuán)）會計(jì)師事務(wù)所被審計(jì)單位： 編制： 日期： 索引號：財(cái)務(wù)報表截止日： 年 月 日 復(fù) 核： 日期： 頁 次：對信息系統(tǒng)一般控制的了解和測試以下以一家A股上市的大型企業(yè)為例，針對項(xiàng)目組在執(zhí)行信息系統(tǒng)一般控制測試時可以考慮的要素和方面進(jìn)行說明，并未列示項(xiàng)目組所有應(yīng)當(dāng)考慮的控制，所列示的孔也不一定適用于所有審計(jì)項(xiàng)目的具體情況。項(xiàng)目組在實(shí)務(wù)工作中需要根據(jù)企業(yè)的具體情況識別控制，并根據(jù)對風(fēng)險的評估選取適當(dāng)?shù)臉颖疽?guī)模進(jìn)行測試（本例中樣本規(guī)模的選取方法僅作參考）。 一、與信息技術(shù)控制環(huán)境相關(guān)的控制控制編號控制目標(biāo)控制描述測試程序測試內(nèi)容測試結(jié)論外部文檔例外描述CE1權(quán)限管理建立和實(shí)施權(quán)限管理，確

2、保系統(tǒng)內(nèi)權(quán)限的分配是適當(dāng)?shù)摹?.訪談了解帳號及權(quán)限管理機(jī)制：（1）是否制定了正式的帳號及權(quán)限管理制度，對帳號及權(quán)限的日常變動、帳號及權(quán)限的定期審閱管理進(jìn)行正式規(guī)定；（2）訪談了解內(nèi)審部門是否對帳號及權(quán)限進(jìn)行適當(dāng)監(jiān)控。2.獲取帳號及權(quán)限管理制度，檢查制度設(shè)計(jì)的有效性。1.XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到：（1）XX單位正式下發(fā)了會計(jì)核算單位及用戶管理細(xì)則；（2）XX單位XX系統(tǒng)管理員負(fù)責(zé)總部的帳號權(quán)限的新增、變更和刪除操作及管理；（3）XX單位內(nèi)審部對帳號及權(quán)限進(jìn)行審閱及監(jiān)控。2.我們獲取了會計(jì)核算單位及用戶管理細(xì)則，檢查發(fā)現(xiàn)：（1）針對賬號及權(quán)限的日常增刪改管理，制

3、度規(guī)定各單位對財(cái)務(wù)信息化各系統(tǒng)普通用戶、訪問權(quán)限的增加、變更以及注銷進(jìn)行審批。財(cái)務(wù)信息化各系統(tǒng)應(yīng)用系統(tǒng)管理員應(yīng)根據(jù)審批通過的用戶權(quán)限申請（變更、注銷）表對用戶和權(quán)限參數(shù)進(jìn)行設(shè)置，并通知申請人員簽收。"（2）針對賬號及權(quán)限的定期審閱，制度規(guī)定：“財(cái)務(wù)信息化各系統(tǒng)的用戶權(quán)限設(shè)置和對數(shù)據(jù)資源、訪問情況應(yīng)至少每半年進(jìn)行一次檢查，發(fā)現(xiàn)問題及時處理?！蔽窗l(fā)現(xiàn)異常CE2IT系統(tǒng)管理制度建立和適當(dāng)實(shí)施 IT系統(tǒng)管理制度。1.訪談了解 IT系統(tǒng)管理（1）客戶是否建立正式的 IT系統(tǒng)管理制度，包括是否得以制定；（2）內(nèi)審部門是否參與了 IT系統(tǒng)管理辦法的制定過程。2.獲取IT系統(tǒng)管理制度，檢查制度設(shè)計(jì)的

4、有效性。1. X X日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到：（1）X X單位統(tǒng)一制定了 IT管理制息化管理辦法包括X X單位財(cái)務(wù)信息化管理發(fā)現(xiàn)辦法、財(cái)務(wù)信息系統(tǒng)軟件管理細(xì)則、會計(jì)核算單位及用戶管理細(xì)則、財(cái)務(wù)信息系統(tǒng)運(yùn)營維護(hù)管理細(xì)則和財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則、在制度中對財(cái)務(wù)系統(tǒng)的設(shè)備安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全、病毒防范管理以及密碼的管理都作出了詳細(xì)的規(guī)定；（2）IT管理制度由 X X起草，經(jīng)逐級審批通過后執(zhí)行。X X單位的內(nèi)審部門參與 IT系統(tǒng)管理制度的制定過程。2.我們獲取了X X單位財(cái)務(wù)信息化管理辦法、財(cái)務(wù)信息系統(tǒng)軟件管理細(xì)則、會計(jì)核算單位及用戶

5、管理細(xì)則、財(cái)務(wù)信息系統(tǒng)運(yùn)營維護(hù)管理細(xì)則和財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則，檢查發(fā)現(xiàn)制度對財(cái)務(wù)系統(tǒng)的設(shè)備安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全、病毒防范管理以及密碼的管理都作出了詳細(xì)的規(guī)定。未發(fā)現(xiàn)異常XX單位財(cái)務(wù)信信息化管理辦法財(cái)務(wù)信息系統(tǒng)團(tuán)建管理細(xì)則會計(jì)核算單位及用戶管理細(xì)則財(cái)務(wù)信息系統(tǒng)運(yùn)營維護(hù)管理細(xì)則財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則不適用CE3備份管理建立和實(shí)施備份管理，確保 生產(chǎn)系統(tǒng)數(shù)據(jù) 的可用性。訪談了解客戶的備份管理機(jī)制，包括：（1）備份：總部集中執(zhí)行備份還是下屬單位分別執(zhí)行備份；（2 ）備份檢查：總部單位集中檢查備份結(jié)果還是下屬單位分別檢查備份結(jié)果。XX日，通過詢問XX單位信息中心O

6、S&DB管理員XX，我們了解到：XX單位的服務(wù)器的備份操作均由總部統(tǒng)一執(zhí)行，備份結(jié)果由總部統(tǒng)一檢查。關(guān)于備份執(zhí)行有效性，參見對備份策賂、備份結(jié)果檢查的執(zhí)行有效性的測試結(jié)果。參見XX參見XX參見XX二、與程序開發(fā)相關(guān)的控制控制編號控制目標(biāo)控制描述測試程序測試內(nèi)容測試結(jié)論外部文檔例外描述PD1系統(tǒng)測試單元、系統(tǒng)和用戶測試應(yīng)執(zhí)行，并且用戶接受性測試應(yīng)在系統(tǒng)移植前簽署。開發(fā)和用戶接受性測試應(yīng)有單獨(dú)的環(huán)境，并且程序師/開發(fā)人員不應(yīng)有權(quán)限 進(jìn)入用戶接受性測試環(huán)境。1.詢問確認(rèn)新系統(tǒng)移植到實(shí)用環(huán)境前存在業(yè)務(wù)所有者/用戶適當(dāng)?shù)氖跈?quán)（簽署等）。2.檢查以下文檔：（1）測試計(jì)劃和結(jié)果；（2）用戶接受性測試

7、簽署表（現(xiàn)場核實(shí)有 3 個分離的環(huán)境·生產(chǎn)、測試、開發(fā)），如果可能取得截屏。3.重新測試：（1）記賬（過賬）；（2）開賬、結(jié)賬；查詢系統(tǒng)安全審計(jì)日志，確認(rèn)系統(tǒng)日志是否存在"取消記賬"、"重新打開"等操作。 X X日，通過詢問 X X單位財(cái)務(wù)部應(yīng) 用系統(tǒng)管理員 X X，我們了解到 X X系統(tǒng)于 X X年 X月×日完成系統(tǒng)上線驗(yàn)收 X X年總部依賴 X X系統(tǒng)出具了年度財(cái)務(wù)報告。 X X年總部未發(fā)生系統(tǒng)開發(fā)活動。該控制在 X X年審計(jì)工作中不適用。 無樣本無樣本不適用不適用PD2上線程序控制系統(tǒng)上線的決定應(yīng)該經(jīng)過項(xiàng)目發(fā)起人/所有者及信息部

8、門管理層的批準(zhǔn)，該批準(zhǔn)從業(yè)務(wù)和信息技術(shù)方面、基于質(zhì)量審計(jì)檢查。1.詢問確認(rèn)存在系統(tǒng)移植到實(shí)用環(huán)境的適當(dāng)批準(zhǔn)程序。2.檢查上線批準(zhǔn)表。XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員X X，我們了解到XX系統(tǒng)于XX年X月X日完成系統(tǒng)上線驗(yàn)收，XX年公司依賴XX系統(tǒng)出具了年度財(cái)務(wù)報告。XX年總部未發(fā)生準(zhǔn)，該批準(zhǔn)從系統(tǒng)開發(fā)活動。該控制在XX年審計(jì)工作中不適用。無樣本無樣本不適用不適用PD3數(shù)據(jù)轉(zhuǎn)換控制執(zhí)行數(shù)據(jù)轉(zhuǎn)換確保生產(chǎn)數(shù)據(jù)的完整性、準(zhǔn)確性和可靠性。1.詢問確認(rèn)存在數(shù)據(jù)轉(zhuǎn)換的控制程序，確認(rèn)完整性和可靠性的目標(biāo)實(shí)現(xiàn)。2.獲取并檢查數(shù)據(jù)轉(zhuǎn)換報告。XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到X

9、X系統(tǒng)于X X年X月X日完成系統(tǒng)上線驗(yàn)收XX年公司依賴XX系統(tǒng)出具了年度財(cái)務(wù)報告。XX年總部未發(fā)生系統(tǒng)開發(fā)活動。該控制在X X年審計(jì)工作中不適用。無樣本無樣本不適用不適用三、與程序變更相關(guān)的控制控制編號控制目標(biāo)控制描述測試程序測試內(nèi)容測試結(jié)論外部文檔例外描述測試和質(zhì)量保證PCl變更測試建立測試環(huán)境，測試環(huán)境應(yīng)與實(shí)用環(huán)境相隔離。1.訪談了解變更測試流程，以及測試環(huán)境和實(shí)用環(huán)撓隔離的情況。2.實(shí)地觀察測試環(huán)境和實(shí)用環(huán)境隔離情況。1.XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到X X單位財(cái)務(wù)信息化軟件管理細(xì)則規(guī)定：“需求變更的補(bǔ)丁或版本更新需在測試環(huán)撓中經(jīng)過測試小組測試并做好測試記錄

10、?！盭X單位建立了獨(dú)立的測試環(huán)境，在測試環(huán)境對升級補(bǔ)丁測試通過后才會移植到實(shí)用環(huán)境中。2.我們實(shí)地觀察了測試環(huán)境服務(wù)器為IP：XX，實(shí)用環(huán)境服務(wù)器為IP：XX，且存在于不同的物理機(jī)器上。測試環(huán)境與實(shí)用環(huán)境是物理隔離的。未發(fā)現(xiàn)異常測試環(huán)境和實(shí)用環(huán)境分別截屏不適用PC2變更測試根據(jù)實(shí)際需要進(jìn)行適當(dāng)?shù)南到y(tǒng)變更測試，確保變更后系統(tǒng)功能，且不影響生產(chǎn)系統(tǒng)的運(yùn)行。1.訪談了解是否存在用戶接受測試，測試結(jié)果有沒有記錄。2.檢查測試，文檔有沒有用戶接受測試的結(jié)果確認(rèn)。1.XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到系統(tǒng)維護(hù)工程師在收到XX單位提交的變更需求匯總之后，進(jìn)行需求開發(fā)。完成后由應(yīng)用系

11、統(tǒng)管理員對需求解決' 情況進(jìn)行評價。評價通過后，由提出需求單位的財(cái)務(wù)人員在測試環(huán)境中進(jìn)行測試，但未形成書面確認(rèn)記錄。2我們獲取并檢查了系統(tǒng)補(bǔ)丁管理工具中的已安裝補(bǔ)丁列表，發(fā)現(xiàn)XX年XX系統(tǒng)共安裝升級補(bǔ)了XX個，拍取了45次升級補(bǔ)丁作為樣本，并對用戶接受測試記錄進(jìn)行檢查。發(fā)現(xiàn)異常發(fā)現(xiàn)異常系統(tǒng)升級補(bǔ)丁列表X X系統(tǒng)安裝的升級補(bǔ)丁進(jìn)行了用戶接受性測試，但未形成書面確認(rèn)記錄。關(guān)于遷移到實(shí)用環(huán)境的授權(quán)PC3變更上線測試通過后的變更需經(jīng)過有效審批才能執(zhí)行上線，執(zhí)行人員必須得到授權(quán)，應(yīng)該制定相應(yīng)的上線退回機(jī)制，對于多級系統(tǒng)，同時更新服務(wù)器端和所有的客戶端。1.訪談了解變更上線流程，確定相關(guān)審批人員和

12、上線人員，以及服務(wù)器端與客戶端同步更新情況。2.檢查上線審批文檔，是否所有的變更上線都經(jīng)過有效審批。1.XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到XX單位財(cái)務(wù)信息化軟件管理細(xì)則第五章規(guī)定軟件系統(tǒng)上線前必須由項(xiàng)目負(fù)責(zé)人填寫系統(tǒng)上線審批表，由財(cái)務(wù)及信息部門負(fù)責(zé)人審批確認(rèn)。"實(shí)際執(zhí)行中，在對升級補(bǔ)丁進(jìn)行評價并完成用戶接受性測試后，正式發(fā)布系統(tǒng)升級補(bǔ)丁。 2. X X年XX系統(tǒng)共安裝升級補(bǔ)丁××個，抽取了 45次升級補(bǔ)丁作為樣本，并對上線審批文檔進(jìn)行檢查。經(jīng)與××確認(rèn)，有兩個功能需求變更，補(bǔ)丁上線前未經(jīng)過相關(guān)負(fù)責(zé)人的審批。發(fā)現(xiàn)異常發(fā)現(xiàn)

13、異常X X系統(tǒng)升級補(bǔ)丁列表系統(tǒng)的升級補(bǔ)丁上線未經(jīng)過相關(guān)負(fù)責(zé)人的審批。關(guān)于遷移到生產(chǎn)環(huán)境的授權(quán)PC4變更上線變更程序正式發(fā)布之后，相關(guān)單位及時完整地執(zhí)行了正式發(fā)布的變更程序。1.訪談變更程序執(zhí)行的流程，確定相關(guān)單位是否及時完整地執(zhí)行了正式發(fā)布的變更程序。 2.獲取系統(tǒng)變更日志，檢查是否存在未執(zhí)行的變更程序。3.獲取系統(tǒng)變更日志，檢查相關(guān)單位是否在變更發(fā)布日之后的3日內(nèi)實(shí)施了系統(tǒng)變更。1. X X日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到由于安裝升級補(bǔ)丁需要暫停服務(wù)器，所以X X都選擇在財(cái)務(wù)操作較少的月份進(jìn)行補(bǔ)丁升級，避免影響正常的財(cái)務(wù)業(yè)務(wù)操作。由此導(dǎo)致系統(tǒng)變更升級有時不夠及時。 2

14、. X X年總部 X X系統(tǒng)共安裝升級補(bǔ)丁X X個，抽取了 45次升級補(bǔ)丁作為樣本，對其發(fā)布日期及應(yīng)用升級時間進(jìn)行檢查，發(fā)現(xiàn)均未在補(bǔ)丁發(fā)布后 3日內(nèi)及時安裝。發(fā)現(xiàn)異常發(fā)現(xiàn)異常XX年XX系統(tǒng)待升級補(bǔ)丁列表總部未對發(fā)布的XX系統(tǒng)升級補(bǔ)丁進(jìn)行及時更新（見控制缺陷評價匯總表）。四、與程序和數(shù)據(jù)訪問相關(guān)的控制控制編號控制目標(biāo)控制描述測試程序測試內(nèi)容測試結(jié)論外部文檔例外描述安全組織和管理APD1信息安全人員管理信息安全相關(guān)技術(shù)人員和業(yè)務(wù)人員的職責(zé)明確定義，技能要求滿足工作需要，并且滿足職責(zé)分離的要求，對于敏感職位人員，制定了特定的人事政策和流程。1.訪談確定信息安全相關(guān)技術(shù)人員和業(yè)務(wù)人員。2.檢查相關(guān)人員

15、的崗位職責(zé)說明書，是否明確定義了崗位職責(zé)以及崗位要求，是否滿足職責(zé)分離的要求。XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX、信息中心系統(tǒng)管理員XX及數(shù)據(jù)庫管理員XX，我們了解到財(cái)務(wù)部制定了會計(jì)核算單位及用戶管理細(xì)則，其中對應(yīng)用系統(tǒng)管理員的崗位職責(zé)進(jìn)行了規(guī)定；信息中心制定了信息中心崗位職責(zé)分工，其中對日常維護(hù)流程中涉及的信息安全方面的崗位及其職責(zé)作出規(guī)定。日常工作中XX系統(tǒng)應(yīng)用系統(tǒng)管理員由財(cái)務(wù)部XX擔(dān)任，操作系統(tǒng)管理員由信息中心XX擔(dān)任，數(shù)據(jù)庫管理員由信息中心XX擔(dān)任，符合職責(zé)分離要求。 通過詢問XX，我們了解到其清楚自己的崗位職責(zé)，且清楚財(cái)務(wù)系統(tǒng)安全相關(guān)的基本要求，如密碼應(yīng)超過8位，并應(yīng)由

16、數(shù)字和字母組成等。我們獲取并檢查了會計(jì)核算單位及用戶管理細(xì)則，發(fā)現(xiàn)其中規(guī)定應(yīng)用系統(tǒng)管理員的職責(zé)包括依照審批后的用戶權(quán)限申請表進(jìn)行財(cái)務(wù)信息化系統(tǒng)用戶權(quán)限管理；負(fù)責(zé)財(cái)務(wù)信息化系統(tǒng)的更新管理工作，妥善保管各版本軟件產(chǎn)品；每月至少對財(cái)務(wù)信息化系統(tǒng)日志及權(quán)限檢查一次，及時采取相應(yīng)的措施解決發(fā)現(xiàn)的異常情況。" 我們獲取并檢查了信息中心崗位職責(zé)分工，確認(rèn)其中對系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全管理員等崗位及其工作內(nèi)容進(jìn)行了說明。 未發(fā)現(xiàn)異常未發(fā)現(xiàn)異常信息中心崗位職責(zé)分工會計(jì)核算單位及用戶管理細(xì)則不適用應(yīng)用安全管理APD2用戶賬號及權(quán)限申請應(yīng)用系統(tǒng)的賬號及權(quán)限的申請需要經(jīng)過有效的審批或授權(quán)，審批時應(yīng)對照

17、實(shí)際業(yè)務(wù)進(jìn)行檢查，確保用戶權(quán)限符合業(yè)務(wù)需要和職責(zé)分離要求。1.訪談了解是否存在正式的應(yīng)用系統(tǒng)層面用戶賬號及權(quán)限管理的流程。2.檢查賬號及權(quán)限新增/變更/刪除的適當(dāng)性：（1）獲取賬號及權(quán)限變更日志，了解被更新的賬號，并以賬號更新次數(shù)為樣本總體；（2）適當(dāng)抽取樣本，并獲取相應(yīng)的權(quán)限申請單，檢查是否經(jīng)過有效審批。3.檢查系統(tǒng)中用戶的實(shí)際權(quán)限，查看是否與申請單中一致；檢查系統(tǒng)中賬號及權(quán)限維護(hù)的時間是否與申請表單一致。4.詢問樣本賬號涉及部門及人力資源負(fù)責(zé)人，了解系統(tǒng)中賬號及權(quán)限維護(hù)的時間是否與實(shí)際情況一致。XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到XX單位制定了會計(jì)核算單位及用戶管理

18、細(xì)則，其中對應(yīng)用系統(tǒng)層面用戶賬號和權(quán)限管理流程進(jìn)行了規(guī)定。日常操作中，應(yīng)用系統(tǒng)層面的用戶新增、刪除和權(quán)限變更需填寫用戶權(quán)限申請表，注明用戶名、申請內(nèi)容等，并經(jīng)過財(cái)務(wù)處處長簽字確認(rèn)后，由應(yīng)用系統(tǒng)管理員 X X進(jìn)行系統(tǒng)中的賬號和權(quán)限分配。我們獲取并檢查了XX年1月1日至本審計(jì)時點(diǎn)的應(yīng)用系統(tǒng)日志，統(tǒng)計(jì)發(fā)現(xiàn)XX年度共發(fā)生用戶新增XX次、權(quán)限變更XX次、刪除XX次，共計(jì)XX次，需抽取XX份用戶權(quán)限申請表進(jìn)行檢查。發(fā)現(xiàn)異常發(fā)現(xiàn)異常會計(jì)核算單位及用戶管理細(xì)則應(yīng)用系統(tǒng)日志應(yīng)用系統(tǒng)用戶權(quán)限申請表部分用戶 及權(quán)限的新增修改 缺少書面的申請審批記錄。APD3用戶賬號及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱與財(cái)務(wù)報告有關(guān)

19、的應(yīng)用系統(tǒng)權(quán)限以確定授予權(quán)限的適當(dāng)性。1.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層和系統(tǒng)所有者對權(quán)限檢查結(jié)果的確認(rèn)。3.導(dǎo)出應(yīng)用系統(tǒng)權(quán)限清單，并從人力資源部門獲取財(cái)務(wù)人員名單，重新執(zhí)行檢查，確認(rèn)賬號及權(quán)限適當(dāng)性：（1）從應(yīng)用系統(tǒng)權(quán)限清單出發(fā)，檢查清單中的人員是否均包含在人力資源部門提供的財(cái)務(wù)人員名單之中，確保應(yīng)用系統(tǒng)中是否存在冗余賬號及測試時點(diǎn)系統(tǒng)賬號的適當(dāng)性；（2）以財(cái)務(wù)人員系統(tǒng)賬號為樣本總體，適當(dāng)抽取樣本，比照崗位說明書檢查系統(tǒng)權(quán)限與崗位職責(zé)是否一致。4.導(dǎo)出應(yīng)用系統(tǒng)權(quán)限清單，以財(cái)務(wù)人員系統(tǒng)賬號為樣本總體，適當(dāng)抽取樣本重新執(zhí)行檢查，確

20、認(rèn)不相容崗位職責(zé)是否分離（不相容職責(zé)），具體需要檢查的不相容職責(zé)包括：（1）應(yīng)用系統(tǒng)管理員是否擁有財(cái)務(wù)操作權(quán)限，普通用戶是否擁有應(yīng)用系統(tǒng)管理員權(quán)限；（2）應(yīng)用系統(tǒng)管理員是否同時擁有操作系統(tǒng)管理權(quán)限（或了解"操作系統(tǒng)管理員賬號"的登陸密碼）；（3）應(yīng)用系統(tǒng)管理員是否同時擁有數(shù)據(jù)庫管理權(quán)限（或了解"數(shù)據(jù)庫管理員賬號"的登陸密碼）；（4）賬套設(shè)立和財(cái)務(wù)操作是否分離；（5）固定資產(chǎn)基礎(chǔ)數(shù)據(jù)維護(hù)和固定資產(chǎn)卡片管理權(quán)限是否分離； （6）憑證錄人與審核是否分離；（7）出納和會計(jì)權(quán)限是否分離。X X日，通過詢問 X X單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員 X X，我們了解到會計(jì)核算

21、單位及用戶管理細(xì)則第四章中對用戶賬號及權(quán)限的定期審閱進(jìn)行了規(guī)定，包括要求"應(yīng)用系統(tǒng)管理員每月至少對財(cái)務(wù)信息化系統(tǒng)日志及權(quán)限檢查一次，及時采取相應(yīng)的措施解決發(fā)現(xiàn)的異常情況。"但目前財(cái)務(wù)部管理層和系統(tǒng)管理員均未定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。我們檢查了系統(tǒng)的權(quán)限設(shè)置，發(fā)現(xiàn)其分為用戶、崗位與職責(zé)三個層次，每個用戶對應(yīng)不同的崗位，每個崗位分配一定的職責(zé)，以保證每個用戶根據(jù)其任職單位級別和個人崗位職責(zé)在系統(tǒng)中分配合理的權(quán)限。具體抽樣結(jié)果請參見明細(xì)表。XX系統(tǒng)存在系統(tǒng)自動控制，不允許制單人與審核人為同一人，憑證均由獨(dú)立人員進(jìn)行復(fù)核。財(cái)務(wù)部在過賬前會復(fù)核交易流水賬等原始憑證，并與會計(jì)憑證進(jìn)行

22、核對，從而可及時發(fā)現(xiàn)未授權(quán)的數(shù)據(jù)修改。具體外部文件請參見：用戶崗位職責(zé)及賬號權(quán)限截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常用戶崗位職責(zé)及賬號權(quán)限截屏財(cái)務(wù)處人員清單及新增、轉(zhuǎn)崗、離職說明冗余賬號的憑證制單和審核記錄財(cái)務(wù)部管理層和系統(tǒng)管理員均未定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。應(yīng)用系統(tǒng)中存在冗余賬號，包括離職人員賬號、外部軟件工程師賬號。應(yīng)用系統(tǒng)管理員XX的系統(tǒng)維護(hù)權(quán)限與財(cái)務(wù)操作權(quán)限未分離。應(yīng)用系統(tǒng)管理員XX了解操作系統(tǒng)的管理員賬號密碼，不符合職責(zé)分離要求。數(shù)據(jù)安全APD4數(shù)據(jù)訪問管理層實(shí)施了數(shù)據(jù)直接訪問的正式流程。1.訪談了解是否存在數(shù)據(jù)直接訪問的正式流程以及是否發(fā)生數(shù)據(jù)訪問。2.獲取數(shù)據(jù)直接訪問的相關(guān)文檔，檢查是否與流程

23、要求相符。XX日，通過詢問XX單位信息中心數(shù)據(jù)庫管理員XX，我們了解到XX單位日常不允許進(jìn)行數(shù)據(jù)庫直接訪問操作。不適用不適用不適用不適用APD5用戶賬號及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)庫用戶及權(quán)限以確定授予權(quán)限的適當(dāng)性。l.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)庫用戶和權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層和系統(tǒng)所有者對于權(quán)限檢查結(jié)果的確認(rèn)。 3.檢查數(shù)據(jù)庫中用戶及權(quán)限的適當(dāng)性。XX日，通過詢問XX單位信息中心數(shù)據(jù)庫管理員XX，我們了解到財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則中第二十條規(guī)定定期進(jìn)行數(shù)據(jù)庫系統(tǒng)日志和權(quán)限檢查，填寫數(shù)據(jù)庫日志和權(quán)限例行檢查表。&quo

24、t;XX在每周的系統(tǒng)巡檢中對財(cái)務(wù)系統(tǒng)使用的數(shù)據(jù)庫用戶帳號進(jìn)行檢查，若發(fā)現(xiàn)問題在巡檢記錄中予以登記，沒有問題則不登記。2010年未發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)用戶賬號問題，因此未形成數(shù)據(jù)庫系統(tǒng)用戶賬號檢查的書面記錄。目前XX系統(tǒng)使用的數(shù)據(jù)庫版本為 XX，我們獲取并檢查了數(shù)據(jù)庫用戶賬號列表，發(fā)現(xiàn)目前數(shù)據(jù)庫中共有XX個用戶賬號，其中：（1）系統(tǒng)自帶管理賬號共2個，分別為SYS、SYSTEM，由數(shù)據(jù)庫管理員XX日常運(yùn)營維護(hù)使用；（2）應(yīng)用程序連接賬號 X X為軟件連接使用。經(jīng)檢查發(fā)現(xiàn)不存在異常或冗余賬號。具體情況請參見：數(shù)據(jù)庫用戶賬號列表截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常數(shù)據(jù)庫用戶賬號列表截屏XX在每周的系統(tǒng)巡檢中會對財(cái)務(wù)系統(tǒng)使

25、用的數(shù)據(jù)庫的用戶賬號進(jìn)行檢測查，但未形成數(shù)據(jù)庫系統(tǒng)用戶賬號檢查的書面記錄。操作系統(tǒng)安全APD6用戶賬號及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)權(quán)限以確定授予權(quán)限的適當(dāng)性1.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層或系統(tǒng)所有者對于權(quán)限檢查結(jié)果的確認(rèn)。3.檢查操作系統(tǒng)中用戶及權(quán)限的適當(dāng)性。XX日，通過詢問XX單位信息中心 操作系統(tǒng)管理員XX，我們了解到財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則中第十八條規(guī)定：“定期進(jìn)行操作系統(tǒng)日志和權(quán)限檢查，填寫操作系統(tǒng)日志和權(quán)限例行檢查表。”日常工作中，XX在每周的系統(tǒng)巡檢中會對財(cái)務(wù)系統(tǒng)所在服務(wù)器的

26、操作系統(tǒng)用戶賬號進(jìn)行檢查，若發(fā)現(xiàn)問題則在巡檢記錄中予以登記，沒有問題則不登記。XX年未發(fā)現(xiàn)操作系統(tǒng)用戶賬號問題，因此未形成操作系統(tǒng)用戶賬號檢查的書面記錄。具體情況請參見：操作系統(tǒng)用戶賬號列表截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常操作系統(tǒng)XX在每周的系統(tǒng)巡檢中會對財(cái)務(wù)系統(tǒng)所在服務(wù)器的操作系統(tǒng)用戶賬號進(jìn)行檢查，但未形成操作系統(tǒng)用戶賬號檢查的書面記錄。密碼安全APD7密碼安全定正式的操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)密碼配置來確保系統(tǒng)安全。1.訪談了解操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)密碼策略。2.獲取操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)密碼設(shè)置策略檢查其是否按照要求執(zhí)行。具體檢查內(nèi)容包括：（1）密碼長度；（2）密碼復(fù)雜度；（3）密碼過期設(shè)置

27、。XX日，通過詢問XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX、信息中心操作系統(tǒng)管理員XX及數(shù)據(jù)庫管理員XX , 我們了解到：1.XX單位制定了財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則，其中對系統(tǒng)密碼進(jìn)行規(guī)定，包括：所有系統(tǒng)的特權(quán)賬號密碼至少一個季度更改一次；所有的用戶級密碼至少六個月更改一次；密碼長度應(yīng)該至少不低于八位字符且使用不易被猜測的密碼；2.應(yīng)用系統(tǒng)功能無法實(shí)現(xiàn)對密碼進(jìn)行統(tǒng)一管理和配置；數(shù)據(jù)庫未進(jìn)行密碼配置；操作系統(tǒng)未對密碼的長度復(fù)雜度等參數(shù)進(jìn)行合理配置。我們檢查應(yīng)用系統(tǒng)、操作系統(tǒng)及數(shù)據(jù)庫的密碼設(shè)置，發(fā)現(xiàn)：（1）應(yīng)用系統(tǒng)：密碼修改策略中設(shè)置為密碼永不過期，無定期更換要求。我們檢查了用戶的實(shí)際密碼設(shè)置，發(fā)現(xiàn)如果密

28、碼長度小于6，系統(tǒng)會自動提示"太短并不允許通過，即應(yīng)用系統(tǒng)對密碼長度有自動控制，密碼長度應(yīng)大于6位；如果密碼組成只包含數(shù)字不包含字母，系統(tǒng)會自動提示密碼強(qiáng)度為"弱但允許通過，即應(yīng)用系統(tǒng)對密碼復(fù)雜度只有提醒，未提供自動控制強(qiáng)制密碼設(shè)置為數(shù)字和字母結(jié)合等合理的復(fù)雜度的功能。具體情況請參見：應(yīng)用系統(tǒng)密碼設(shè)置具體情況請參見：數(shù)據(jù)庫系統(tǒng)密碼設(shè)置（2）操作系統(tǒng)：我們獲取并檢查了操作系統(tǒng)的密碼配置，發(fā)現(xiàn)操作系統(tǒng)未對密碼的長度、復(fù)雜度等參數(shù)進(jìn)行合理配置?，F(xiàn)場觀察了操作系統(tǒng)管理員XX輸入操作系統(tǒng)管理員密碼，發(fā)現(xiàn)密碼長度超過8位，復(fù)雜度為數(shù)字和字母組合。具體情況請參見XX單位_ITGC_APD_8操作系統(tǒng)密碼設(shè)置發(fā)現(xiàn)異常發(fā)現(xiàn)異常財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則應(yīng)用系統(tǒng)密碼設(shè)置數(shù)據(jù)庫系統(tǒng)密碼設(shè)置操作系統(tǒng)密碼設(shè)置應(yīng)用系統(tǒng)密碼設(shè)置為永不過期，無定期更換要求。應(yīng)用系統(tǒng)對密碼復(fù)雜度只有提醒，未提供自動控制制強(qiáng)制密碼設(shè)置為、 數(shù)字和字母結(jié)合等合理的復(fù)雜度的功能。數(shù)據(jù)庫系統(tǒng)的密碼僅使用系統(tǒng)默認(rèn)的無限制設(shè)置。操作系統(tǒng)未對密碼的長度、復(fù)雜度等參數(shù)進(jìn)行合理配置以確保用戶按照要求合理制定及定期修改密碼。五、與計(jì)算機(jī)操作