D08 了解和評價內(nèi)部控制-信息應(yīng)用系統(tǒng)

1、1了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機信信息息系系統(tǒng)統(tǒng)被被審審計計單單位位: :索索引引號號：D0801頁頁次次：項項目目：了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機信信息息系系統(tǒng)統(tǒng)編編制制人人：日日期期：財財務(wù)務(wù)報報表表截截止止日日/ /期期間間: :復(fù)復(fù)核核人人：日日期期：信信息息技技術(shù)術(shù)活活動動領(lǐng)領(lǐng)域域控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動控控制制是是否否存存在在( (是是/ /否否) )防防止止和和發(fā)發(fā)現(xiàn)現(xiàn)舞舞弊弊的的控控制制( (是是/ /否否) )控控制制活活動動對對實實現(xiàn)現(xiàn)控控制制目目標標是是否否有有效效（是是/ /

2、否否）控控制制活活動動是是否否得得到到執(zhí)執(zhí)行行（是是/ /否否）是是否否測測試試該該控控制制活活動動運運行行有有效效性性穿穿行行測測試試索索引引號號識識別別的的重重大大錯錯報報風(fēng)風(fēng)險險備備注注A A：訪訪問問控控制制與與信信息息安安全全管管理理用用戶戶帳帳號號管管理理為確保用戶賬號的建立、修改、禁用、刪除處理的合理性和及時性，管理層應(yīng)建立相應(yīng)授權(quán)流程。A1：應(yīng)用系統(tǒng)帳號及權(quán)限的申請、變更及撤銷需要經(jīng)過有效的審批或授權(quán)，審批時應(yīng)確保用戶權(quán)限申請和變更符合職責(zé)分離要求。A2：操作系統(tǒng)、數(shù)據(jù)庫帳號及權(quán)限的申請、變更及撤銷需要經(jīng)過有效的審批或授權(quán)，審批時應(yīng)確保用戶權(quán)限申請和變更符合職責(zé)分離要求。管管理

3、理層層對對用用戶戶帳帳號號的的審審閱閱管理層應(yīng)建立一個控制過程來定期審閱及確認訪問權(quán)限。對現(xiàn)有資源與已記錄的信息進行定期的比較，以減少錯誤、舞弊、誤用或未授權(quán)變更的風(fēng)險。A3：系統(tǒng)擁有部門每季度審核應(yīng)用系統(tǒng)的帳號及權(quán)限，對發(fā)現(xiàn)的問題進行及時跟蹤處理，并在審核記錄中簽字確認。系系統(tǒng)統(tǒng)配配置置（操作系統(tǒng)、數(shù)據(jù)庫以及防火墻的參數(shù)配置）變更管理IT管理層須建立配置基準，而且確保配置更改更改是經(jīng)過授權(quán)的。A4：操作系統(tǒng)管理員、數(shù)據(jù)庫管理員及網(wǎng)絡(luò)管理員應(yīng)按照總部信息部下發(fā)的基準配置方案的要求對服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫及防火墻進行配置，信息安全管理人員每年檢查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫和防火墻的配置是否符合基準配

4、置方案，對于發(fā)現(xiàn)的差異進行記錄，提交信息部門負責(zé)人進行審閱，對需要進行整改的差異進行及時整改。在遠程操作方面，采取特定的措施來確保與遠程站點的連接與中斷被定義，并執(zhí)行。A5：信息部或財務(wù)部負責(zé)人依據(jù)實際業(yè)務(wù)對遠程訪問權(quán)限申請進行審批。信信任任外外方方（第第三三方方）企業(yè)應(yīng)建立對第三方連接及數(shù)據(jù)交換的管理與控制，確保第三方服務(wù)的安全性、準確性、可用性。A6：第三方需要訪問應(yīng)用系統(tǒng)生產(chǎn)環(huán)境時，應(yīng)填寫用戶帳號及權(quán)限申請，說明帳號使用的時間和期限，并得到相關(guān)業(yè)務(wù)部門主管領(lǐng)導(dǎo)的批準。訪問結(jié)束或訪問期限到期，應(yīng)用系統(tǒng)管理員應(yīng)及時收回相應(yīng)的訪問權(quán)限。2了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機信信息息

5、系系統(tǒng)統(tǒng)被被審審計計單單位位: :索索引引號號：D0801頁頁次次：項項目目：了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機信信息息系系統(tǒng)統(tǒng)編編制制人人：日日期期：財財務(wù)務(wù)報報表表截截止止日日/ /期期間間: :復(fù)復(fù)核核人人：日日期期：B B：計計算算機機操操作作建立適當?shù)膫浞莶呗?，并對備份?zhí)行情況進行監(jiān)控B1：備份管理人員檢查并記錄每次的備份工作是否成功，將備份操作處理情況記錄在系統(tǒng)備份工作匯總表中，對于不成功的情況進行跟蹤和應(yīng)急處理。C C：程程序序變變更更需需求求管管理理開發(fā)需求與公司業(yè)務(wù)部門需求相一致。C1：變更需求部門申請變更時應(yīng)提交變更申請，由所在部門負責(zé)人和信息部負責(zé)人審批后進

6、行實施測測試試進行系統(tǒng)測試和用戶接受測試，確保開發(fā)滿足業(yè)務(wù)需求。C2：變更需求部門負責(zé)人（或信息部門負責(zé)人）判斷是否需要對變更進行測試，如果需要測試，負責(zé)變更測試的人員制定測試計劃并在與生產(chǎn)環(huán)境相隔離的測試環(huán)境中進行測試，對測試結(jié)果進行記錄并由業(yè)務(wù)部門負責(zé)人和信息部負責(zé)人審批后簽字確認。了了解解和和評評價價內(nèi)內(nèi)部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理被被審審計計單單位位: :索索引引號號： D0802D0802頁頁次次：項項目目：信信息息應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)- -訪訪問問控控制制與與信信息息安安全全管管理理編編制制人人：日日期期：財財務(wù)務(wù)報報表表截截止止日日/ /期期間間: :復(fù)復(fù)

7、核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述用用戶戶帳帳號號管管理理為確保用戶賬號的建立、修改、禁用、刪除處理的合理性和及時性，管理層應(yīng)建立相應(yīng)授權(quán)流程。A1：應(yīng)用系統(tǒng)帳號及權(quán)限的申請、變更及撤銷需要經(jīng)過有效的審批或授權(quán)，審批時應(yīng)確保用戶權(quán)限申請和變更符合職責(zé)分離要求。1、訪談財務(wù)部負責(zé)人，了解新中大財務(wù)系統(tǒng)用戶帳號管理的流程。2、從人事部獲取在測試期間內(nèi)入職、調(diào)動、離職的與財務(wù)系統(tǒng)相關(guān)的用戶清單，作為樣本總體。3、根據(jù)抽樣原則，隨機抽取XX樣本。檢查樣本對應(yīng)的記

8、錄，是否經(jīng)過適當?shù)膶徟?、檢查系統(tǒng)應(yīng)用層面用戶是否都是經(jīng)過授權(quán)，檢查用戶的權(quán)限與崗位是否一致。A2：操作系統(tǒng)、數(shù)據(jù)庫帳號及權(quán)限的申請、變更及撤銷需要經(jīng)過有效的審批或授權(quán)，審批時應(yīng)確保用戶權(quán)限申請和變更符合職責(zé)分離要求。1、訪談財務(wù)部負責(zé)人，了解新中大財務(wù)系統(tǒng)服務(wù)器數(shù)據(jù)庫和操作系統(tǒng)用戶帳號管理的流程。2、從人事部獲取在測試期間內(nèi)入職、調(diào)動、離職的與財務(wù)系統(tǒng)相關(guān)的用戶清單，作為樣本總體。3、根據(jù)抽樣原則，隨機抽取XX樣本。檢查樣本對應(yīng)的記錄，是否經(jīng)過適當?shù)膶徟?、檢查數(shù)據(jù)庫和操作系統(tǒng)層面的用戶，檢查用戶的權(quán)限與崗位是否一致。管管理理層層對對用用戶戶帳帳號號的的審審閱閱管理層應(yīng)建立一個控制過程來

9、定期審閱及確認訪問權(quán)限。對現(xiàn)有資源與已記錄的信息進行定期的比較，以減少錯誤、舞弊、誤用或未授權(quán)變更的風(fēng)險。A3：系統(tǒng)擁有部門每季度審核應(yīng)用系統(tǒng)的帳號及權(quán)限，對發(fā)現(xiàn)的問題進行及時跟蹤處理，并在審核記錄中簽字確認。1、訪談財務(wù)部負責(zé)人，了解管理層對應(yīng)用系統(tǒng)層面帳號及權(quán)限審閱的流程。2、重做權(quán)限測試，驗證帳戶的權(quán)限是否合理分配。了了解解和和評評價價內(nèi)內(nèi)部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理被被審審計計單單位位: :索索引引號號： D0802D0802頁頁次次：項項目目：信信息息應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)- -訪訪問問控控制制與與信信息息安安全全管管理理編編制制人人：日日期期：財財務(wù)務(wù)報報表表

10、截截止止日日/ /期期間間: :復(fù)復(fù)核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述系系統(tǒng)統(tǒng)配配置置（操作系統(tǒng)、數(shù)據(jù)庫以及防火墻的參數(shù)配置）變更管理IT管理層須建立配置基準，而且確保配置更改更改是經(jīng)過授權(quán)的。A4：操作系統(tǒng)管理員、數(shù)據(jù)庫管理員及網(wǎng)絡(luò)管理員應(yīng)按照總部信息部下發(fā)的基準配置方案的要求對服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫及防火墻進行配置，信息安全管理人員每年檢查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫和防火墻的配置是否符合基準配置方案，對于發(fā)現(xiàn)的差異進行記錄，提交信息部門負責(zé)人進行審閱，對

11、需要進行整改的差異進行及時整改。1、訪談財務(wù)部信息技術(shù)負責(zé)人了解新中大財務(wù)系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)參數(shù)配置情況。2、檢查新中大財務(wù)系統(tǒng)的數(shù)據(jù)庫和操作系統(tǒng)參數(shù)配置是否符合總部下發(fā)的基本配置。遠遠程程操操作作在遠程操作方面，采取特定的措施來確保與遠程站點的連接與中斷被定義，并執(zhí)行。A5：信息部或財務(wù)部負責(zé)人依據(jù)實際業(yè)務(wù)對遠程訪問權(quán)限申請進行審批。1、詢問網(wǎng)絡(luò)負責(zé)人，了解系統(tǒng)遠程登陸申請的審批流程。2、統(tǒng)計發(fā)生的遠程登陸以確定樣本總體，根據(jù)抽樣原則隨機抽取XX個樣本，檢查樣本表單是否經(jīng)過了適當?shù)膶徟Ｐ判湃稳瓮馔夥椒剑ǖ诘谌椒剑┢髽I(yè)應(yīng)建立對第三方連接及數(shù)據(jù)交換的管理與控制，確保第三方服務(wù)的安全

12、性、準確性、可用性。A6：第三方需要訪問應(yīng)用系統(tǒng)生產(chǎn)環(huán)境時，應(yīng)填寫用戶帳號及權(quán)限申請，說明帳號使用的時間和期限，并得到相關(guān)業(yè)務(wù)部門主管領(lǐng)導(dǎo)的批準。訪問結(jié)束或訪問期限到期，應(yīng)用系統(tǒng)管理員應(yīng)及時收回相應(yīng)的訪問權(quán)限。1、詢問信息部負責(zé)人，了解對系統(tǒng)第三方賬號申請的審批流程。2、統(tǒng)計發(fā)生的第三方賬號的申請以確定樣本總體，根據(jù)抽樣原則隨機抽取XX個樣本，檢查樣本表單是否經(jīng)過了適當?shù)膶徟?。訪訪問問控控制制與與信信息息安安全全管管理理的的總總體體測測試試結(jié)結(jié)論論：缺缺陷陷類類型型（設(shè)設(shè)計計、執(zhí)執(zhí)行行）測測試試結(jié)結(jié)論論了了解解和和評評價價內(nèi)內(nèi)部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理缺缺陷陷類類

13、型型（設(shè)設(shè)計計、執(zhí)執(zhí)行行）測測試試結(jié)結(jié)論論了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機操操作作被被審審計計單單位位: :索索引引號號： D0803D0803頁頁次次：項項目目：信信息息應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)計計算算機機操操作作編編制制人人：日日期期：財財務(wù)務(wù)報報表表截截止止日日/ /期期間間: :復(fù)復(fù)核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述建立適當?shù)膫浞莶呗?，并對備份?zhí)行情況進行監(jiān)控B1：備份管理人員檢查并記錄每次的備份工作是否成功，將備份操作處理情況記錄在系統(tǒng)

14、備份工作匯總表中，對于不成功的情況進行跟蹤和應(yīng)急處理。1、訪談新中大財務(wù)系統(tǒng)管理人員，了解系統(tǒng)的備份策略以及備份流程2、檢查新中大財務(wù)系統(tǒng)中備份計劃和備份的日志記錄是否與備份策略一致。3、查看管理員是否定期檢查備份結(jié)果并記錄了備份情況。計計算算機機操操作作的的總總體體測測試試結(jié)結(jié)論論：缺缺陷陷類類型型（設(shè)設(shè)計計、執(zhí)執(zhí)行行）測測試試結(jié)結(jié)論論了了解解和和評評價價內(nèi)內(nèi)部部控控制制計計算算機機操操作作了了解解和和評評價價內(nèi)內(nèi)部部控控制制程程序序變變更更被被審審計計單單位位: :索索引引號號： D0804D0804頁頁次次：項項目目：信信息息應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)程程序序變變更更編編制制人人：日日期期：財財務(wù)

15、務(wù)報報表表截截止止日日/ /期期間間: :復(fù)復(fù)核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述需需求求管管理理開發(fā)需求與公司業(yè)務(wù)部門需求相一致。C1：變更需求部門申請變更時應(yīng)提交變更申請，由所在部門負責(zé)人和信息部負責(zé)人審批后進行實施1、訪談項目經(jīng)理，了解變更需求的審批流程。2、統(tǒng)計測試期間發(fā)生的變更以確定樣本總體，根據(jù)抽樣原則，抽取XX個樣本，檢查樣本變更需求是否經(jīng)過了有效審批。測測試試進行系統(tǒng)測試和用戶接受測試，確保開發(fā)滿足業(yè)務(wù)需求。C2：變更需求部門負責(zé)人（或信息

16、部門負責(zé)人）判斷是否需要對變更進行測試，如果需要測試，負責(zé)變更測試的人員制定測試計劃并在與生產(chǎn)環(huán)境相隔離的測試環(huán)境中進行測試，對測試結(jié)果進行記錄并由業(yè)務(wù)部門負責(zé)人和信息部負責(zé)人審批后簽字確認。1、訪談項目經(jīng)理，了解系統(tǒng)變更測試的流程。2、統(tǒng)計測試期間發(fā)生的變更以確定樣本總體，根據(jù)抽樣原則，抽取XX個樣本，檢查樣本變更的測試是否制定了測試計劃，定義了測試標準，明確了測試步驟。程程序序變變更更的的總總體體測測試試結(jié)結(jié)論論：缺缺陷陷類類型型（設(shè)設(shè)計計、執(zhí)執(zhí)行行）測測試試結(jié)結(jié)論論了了解解和和評評價價內(nèi)內(nèi)部部控控制制程程序序變變更更測測試試表表單位名稱：索引號：D0805信息技術(shù)活動領(lǐng)域：編制人：日期：關(guān)鍵控制活動：復(fù)核人：日期：訪談對象姓名及崗位：期初訪談時間：整改訪談時間：更新訪