449信息系統(tǒng)應用控制概述課件_第1頁
449信息系統(tǒng)應用控制概述課件_第2頁
449信息系統(tǒng)應用控制概述課件_第3頁
449信息系統(tǒng)應用控制概述課件_第4頁
449信息系統(tǒng)應用控制概述課件_第5頁
已閱讀5頁,還剩45頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

信息系統(tǒng)應用控制概述

-內部培訓資料

2009年7月信息系統(tǒng)應用控制概述

第三部分:信息系統(tǒng)應用控制的分類

第二部分:應用系統(tǒng)范圍和控制如何確定

第一部分:信息系統(tǒng)應用控制介紹培訓內容分為四大部分:

第四部分:應用控制與一般性控制的關系第三部分:信息系統(tǒng)應用控制的分類第二部分:應用系統(tǒng)范圍和

第一部分:信息系統(tǒng)應用控制介紹第一部分:信息系統(tǒng)應用控制介紹第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的概念應用系統(tǒng)是處理業(yè)務交易的系統(tǒng)軟件,比如工資系統(tǒng)、存貨系統(tǒng)、計費系統(tǒng),以及集成度較高的ERP系統(tǒng)等。這些系統(tǒng)內置了企業(yè)的業(yè)務流程、交易規(guī)則、復雜的計算邏輯以及相關的財務報表處理等。單機版區(qū)域版集團版部署結構只能在單臺計算機上獨立運行的應用軟件,比如久其報表系統(tǒng)網絡版應用軟件,根據職能劃分區(qū)域管理,比如各省公司單獨運行網絡版應用軟件,全集團集中管理,各分支機構以客戶端的身份接入在企業(yè)實際使用中,有不同部署的結構:第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的概念單機版區(qū)域版集團第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的邏輯結構基礎服務-----計算機網絡、硬件設備等數據服務-----提供數據存儲,Oracle/SqlServer等應用服務-----提供業(yè)務邏輯、計算規(guī)則等接入服務-----提供用戶界面和入口訪問大多數用戶通過提供的系統(tǒng)登錄界面統(tǒng)一進行權限驗證訪問資源包含了業(yè)務流程和交易規(guī)則,比如財務數據、服務流程等,以及復雜的計算公式等極少數用戶擁有直接訪問數據庫的權限,比如管理員權限主要是網絡安全服務,包括內網與外網的安全訪問第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的邏輯結構基礎服務--第一部分:信息系統(tǒng)應用控制介紹為什么要對應用系統(tǒng)進行審計呢?應用系統(tǒng)財務報表銷售管理存貨管理固定資產管理收款管理付款管理。。。存在風險業(yè)務流程:流轉是否合理數據規(guī)則:計算是否正確權限劃分:分配是否適當報表處理:處理是否準確財務報表的重要科目和信息存在影響第一部分:信息系統(tǒng)應用控制介紹為什么要對應用系統(tǒng)進行審計呢?第一部分:信息系統(tǒng)應用控制介紹信息系統(tǒng)應用控制概念應用控制是控制特定應用系統(tǒng)的風險(如工資、應收賬款和采購應用系統(tǒng)等)的一系列控制活動,用來避免或者降低風險至可接受程度。業(yè)務流程:流轉是否合理數據規(guī)則:計算是否正確權限劃分:分配是否適當報表處理:處理是否準確從設計上審閱其合理性,比如不同級別審批的內容不一樣比如增加平衡校驗比如職責分離、定期審閱用戶權限比如業(yè)會核對、報表平衡檢查第一部分:信息系統(tǒng)應用控制介紹信息系統(tǒng)應用控制概念業(yè)務流程:第一部分:信息系統(tǒng)應用控制介紹完善信息系統(tǒng)應用控制是符合內控要求一般情況下,應用系統(tǒng)在設計初期乃至設計運行后,對風險和內控的考慮很少,盡管在某種程度上滿足了業(yè)務操作要求,但卻不能滿足內控以及風險管理的要求。所以,完善應用系統(tǒng)控制符合內控要求是一種趨勢。第一部分:信息系統(tǒng)應用控制介紹完善信息系統(tǒng)應用控制是符合內控第一部分:信息系統(tǒng)應用控制介紹高低成本控制環(huán)境藍圖設計開發(fā)/二次開發(fā)測試用戶接受測試(UAT)實施上線開發(fā)期間實施前實施后開始完成項目建設不同時期所花費的成本曲線第一部分:信息系統(tǒng)應用控制介紹高低成本控制環(huán)境藍圖設計開發(fā)/

第二部分:應用系統(tǒng)范圍和控制如何確定第二部分:應用系統(tǒng)范圍和控制如何確定第二部分:應用系統(tǒng)范圍和控制如何確定當你審計應用系統(tǒng)時,遇到的第一個問題就是:哪些系統(tǒng)需要做應用系統(tǒng)審計或控制測試呢?究竟對這些應用系統(tǒng)做哪些控制測試呢?第二個問題就是:第二部分:應用系統(tǒng)范圍和控制如何確定當你審計應用系統(tǒng)時,遇到控制識別及測試范圍確定第二部分:應用系統(tǒng)范圍和控制如何確定確定應用系統(tǒng)范圍和控制的方法論:確定重要科目確定重要流程確定重要系統(tǒng)了解系統(tǒng)流程識別風險和控制控制活動描述開展控制測試控制識別及測試范圍確定第二部分:應用系統(tǒng)范圍和控制如何確定確第二部分:應用系統(tǒng)范圍和控制如何確定控制識別:第一步:了解并理解這些應用系統(tǒng)所運轉的業(yè)務功能或者活動??梢酝ㄟ^一些學習與研究,或者通過訪談第二步:識別潛在風險(與業(yè)務功能/活動相關),可能出錯的地方是什么?出錯的可能性有多大?第三步:這些風險是如何被處理和應對的,針對這些風險采取的措施是什么?(即控制是什么)。所以,對信息系統(tǒng)審計師來講,需要知道它的業(yè)務以及流程,此時需要的知識背景是復雜的,不單單是信息技術方面的知識。第二部分:應用系統(tǒng)范圍和控制如何確定控制識別:

第三部分:信息系統(tǒng)應用控制分類第三部分:信息系統(tǒng)應用控制分類第三部分:應用控制分類半自動/手工控制依賴于自動的應用控制或者自動的會計處理過程的手工應用控制自動的應用控制已經設計在計算機應用程序中用來實現(xiàn)信息處理目標自動的會計程序已經設計在計算機應用程序中不需要人工干預的會計處理過程手工的應用控制手工執(zhí)行主要在業(yè)務流程操作層面執(zhí)行,確保信息處理目標的實現(xiàn)第三部分:應用控制分類半自動/手工控制依賴于自動的應用控制或應用控制舉例自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到信息處理目標的控制,例如:許多應用系統(tǒng)中根據業(yè)務的需求(“業(yè)務規(guī)則”)設置了很多編輯檢查來幫助確保錄入數據的準確性,編輯檢查可能包括格式檢查(如:日期格式或數字格式),存在性檢查(如:客戶編碼存在于客戶主數據文檔之中),或合理性檢查(如:最大支付金額)如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查,那么系統(tǒng)可能拒絕錄入該數據或系統(tǒng)可能將該錄入數據包括在系統(tǒng)生成的例外報告之中,留待后續(xù)跟進和處理應用控制舉例自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到第三部分:應用控制分類根據不同的應用系統(tǒng)部署結構,其測試方法也會不同單機版區(qū)域版集團版部署結構對測試范圍內的應用系統(tǒng)分別采取單點測試采取區(qū)域集中測試,比如省公司集中的系統(tǒng),可以在省公司集中測試;同時還要考慮總部集團的系統(tǒng)測試采取總部集團統(tǒng)一測試,對測試范圍內的分支機構展開流程控制測試第三部分:應用控制分類根據不同的應用系統(tǒng)部署結構,其測試方法

第四部分:應用控制與一般控制的關系第四部分:應用控制與一般控制的關系第四部分應用控制與一般控制的關系信息系統(tǒng)一般性控制(ITGC,InformationTechnologyGeneralControls)是指為了保證信息系統(tǒng)的安全,對整個信息系統(tǒng)以及外部各種環(huán)境要素實施的、對所有的應用或控制模塊具有普遍影響的控制措施信息系統(tǒng)運行安全對程序和數據

的訪問權限信息系統(tǒng)

控制環(huán)境信息系統(tǒng)開發(fā)信息系統(tǒng)變更第四部分應用控制與一般控制的關系信息系統(tǒng)一般性控制(ITG第四部分應用控制與一般控制的關系財務報表的重要科目、信息資產負債表損益表現(xiàn)金流量表報表附注其他業(yè)務流程/交易分類收入支出應用系統(tǒng)財務管理資產管理人力資源信息技術基礎架構數據庫操作系統(tǒng)網絡應用控制完整性準確性有效性訪問控制等信息系統(tǒng)一般控制控制環(huán)境系統(tǒng)開發(fā)系統(tǒng)變更系統(tǒng)安全訪問信息系統(tǒng)運營對信息系統(tǒng)的信心增加,審計師可以采取更有效率的審計手段,減少實質性測試工作有效的應用控制增加對系統(tǒng)支持處理交易的信心有效的信息系統(tǒng)一般控制增加對應用控制的信心第四部分應用控制與一般控制的關系財務報表的重要科目、信息資第四部分應用控制與一般控制的關系自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到信息處理目標的控制,例如:許多應用系統(tǒng)中根據業(yè)務的需求(“業(yè)務規(guī)則”)設置了很多編輯檢查來幫助確保錄入數據的準確性,編輯檢查可能包括格式檢查(如:日期格式或數字格式),存在性檢查(如:客戶編碼存在于客戶主數據文檔之中),或合理性檢查(如:最大支付金額)如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查,那么系統(tǒng)可能拒絕錄入該數據或系統(tǒng)可能將該錄入數據包括在系統(tǒng)生成的例外報告之中,留待后續(xù)跟進和處理如果帶有關鍵的編輯檢查功能的應用系統(tǒng)是被審計師所依賴,作為支持審計工作的,那這些應用控制是否有效必須建立在信息技術一般控制的基礎之上第四部分應用控制與一般控制的關系自動應用控制是設計在計算機第四部分應用控制與一般控制的關系如果計算機環(huán)境發(fā)現(xiàn)了信息技術一般控制的缺陷,審計師可能就不能信賴上述編輯檢查功能按設計發(fā)揮作用例如:程序變更控制缺陷可能導致未授權人員對檢查錄入數據字段格式的編程邏輯進行修改,導致系統(tǒng)接受不準確的錄入數據與安全和訪問權限相關的控制缺陷可能導致數據錄入不恰當地繞過合理性檢查,而該合理性檢查在其他方面將使系統(tǒng)無法處理金額超過最大容差范圍的支付操作第四部分應用控制與一般控制的關系如果計算機環(huán)境發(fā)現(xiàn)了信息技第四部分應用控制與一般控制的關系自動會計程序是由計算機系統(tǒng)代替人執(zhí)行的計算、分類、評估、或其他會計程序,例如:投資會計系統(tǒng)可能用來根據不同投資類型的業(yè)務規(guī)則計算該類型投資的市場價值,貸款系統(tǒng)可能根據用戶錄入的貸款期限自動運算分期償還債務安排,或應收帳款系統(tǒng)可能用來將應收帳款歸入適當的帳齡組信息技術一般控制缺陷可能影響審計師依賴客戶應用系統(tǒng)中的自動會計程序,例如:如果缺失了重要的程序開發(fā)控制,除了實質性驗證運算操作,審計師可能難以確定管理層是否對該自動會計程序的按計劃運行進行了適當測試如果控制缺陷導致非授權人員訪問程序,那么管理層將有機會篡改自動會計程序結果,而這可能影響審計師對于客戶舞弊風險的評估結果第四部分應用控制與一般控制的關系自動會計程序是由計算機系統(tǒng)第三部分應用控制與一般控制的關系包括業(yè)務績效審閱在內的系統(tǒng)生成報告常用于手工控制執(zhí)行過程中為評估使用系統(tǒng)生成報告的手工控制的有效性,審計師有必要了解與生成報告并保護報告數據的計算機環(huán)境相關的信息技術一般控制的有效性,例如:使用預先編號文檔時的完整性控制錄入交易時,系統(tǒng)識別缺失或重復的文檔編號并將其包括在例外報告之中,留待后續(xù)跟進和處理第三部分應用控制與一般控制的關系包括業(yè)務績效審閱在內的系統(tǒng)問答Q&A?問答Q&A?信息系統(tǒng)應用控制概述

-內部培訓資料

2009年7月信息系統(tǒng)應用控制概述

第三部分:信息系統(tǒng)應用控制的分類

第二部分:應用系統(tǒng)范圍和控制如何確定

第一部分:信息系統(tǒng)應用控制介紹培訓內容分為四大部分:

第四部分:應用控制與一般性控制的關系第三部分:信息系統(tǒng)應用控制的分類第二部分:應用系統(tǒng)范圍和

第一部分:信息系統(tǒng)應用控制介紹第一部分:信息系統(tǒng)應用控制介紹第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的概念應用系統(tǒng)是處理業(yè)務交易的系統(tǒng)軟件,比如工資系統(tǒng)、存貨系統(tǒng)、計費系統(tǒng),以及集成度較高的ERP系統(tǒng)等。這些系統(tǒng)內置了企業(yè)的業(yè)務流程、交易規(guī)則、復雜的計算邏輯以及相關的財務報表處理等。單機版區(qū)域版集團版部署結構只能在單臺計算機上獨立運行的應用軟件,比如久其報表系統(tǒng)網絡版應用軟件,根據職能劃分區(qū)域管理,比如各省公司單獨運行網絡版應用軟件,全集團集中管理,各分支機構以客戶端的身份接入在企業(yè)實際使用中,有不同部署的結構:第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的概念單機版區(qū)域版集團第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的邏輯結構基礎服務-----計算機網絡、硬件設備等數據服務-----提供數據存儲,Oracle/SqlServer等應用服務-----提供業(yè)務邏輯、計算規(guī)則等接入服務-----提供用戶界面和入口訪問大多數用戶通過提供的系統(tǒng)登錄界面統(tǒng)一進行權限驗證訪問資源包含了業(yè)務流程和交易規(guī)則,比如財務數據、服務流程等,以及復雜的計算公式等極少數用戶擁有直接訪問數據庫的權限,比如管理員權限主要是網絡安全服務,包括內網與外網的安全訪問第一部分:信息系統(tǒng)應用控制介紹應用系統(tǒng)的邏輯結構基礎服務--第一部分:信息系統(tǒng)應用控制介紹為什么要對應用系統(tǒng)進行審計呢?應用系統(tǒng)財務報表銷售管理存貨管理固定資產管理收款管理付款管理。。。存在風險業(yè)務流程:流轉是否合理數據規(guī)則:計算是否正確權限劃分:分配是否適當報表處理:處理是否準確財務報表的重要科目和信息存在影響第一部分:信息系統(tǒng)應用控制介紹為什么要對應用系統(tǒng)進行審計呢?第一部分:信息系統(tǒng)應用控制介紹信息系統(tǒng)應用控制概念應用控制是控制特定應用系統(tǒng)的風險(如工資、應收賬款和采購應用系統(tǒng)等)的一系列控制活動,用來避免或者降低風險至可接受程度。業(yè)務流程:流轉是否合理數據規(guī)則:計算是否正確權限劃分:分配是否適當報表處理:處理是否準確從設計上審閱其合理性,比如不同級別審批的內容不一樣比如增加平衡校驗比如職責分離、定期審閱用戶權限比如業(yè)會核對、報表平衡檢查第一部分:信息系統(tǒng)應用控制介紹信息系統(tǒng)應用控制概念業(yè)務流程:第一部分:信息系統(tǒng)應用控制介紹完善信息系統(tǒng)應用控制是符合內控要求一般情況下,應用系統(tǒng)在設計初期乃至設計運行后,對風險和內控的考慮很少,盡管在某種程度上滿足了業(yè)務操作要求,但卻不能滿足內控以及風險管理的要求。所以,完善應用系統(tǒng)控制符合內控要求是一種趨勢。第一部分:信息系統(tǒng)應用控制介紹完善信息系統(tǒng)應用控制是符合內控第一部分:信息系統(tǒng)應用控制介紹高低成本控制環(huán)境藍圖設計開發(fā)/二次開發(fā)測試用戶接受測試(UAT)實施上線開發(fā)期間實施前實施后開始完成項目建設不同時期所花費的成本曲線第一部分:信息系統(tǒng)應用控制介紹高低成本控制環(huán)境藍圖設計開發(fā)/

第二部分:應用系統(tǒng)范圍和控制如何確定第二部分:應用系統(tǒng)范圍和控制如何確定第二部分:應用系統(tǒng)范圍和控制如何確定當你審計應用系統(tǒng)時,遇到的第一個問題就是:哪些系統(tǒng)需要做應用系統(tǒng)審計或控制測試呢?究竟對這些應用系統(tǒng)做哪些控制測試呢?第二個問題就是:第二部分:應用系統(tǒng)范圍和控制如何確定當你審計應用系統(tǒng)時,遇到控制識別及測試范圍確定第二部分:應用系統(tǒng)范圍和控制如何確定確定應用系統(tǒng)范圍和控制的方法論:確定重要科目確定重要流程確定重要系統(tǒng)了解系統(tǒng)流程識別風險和控制控制活動描述開展控制測試控制識別及測試范圍確定第二部分:應用系統(tǒng)范圍和控制如何確定確第二部分:應用系統(tǒng)范圍和控制如何確定控制識別:第一步:了解并理解這些應用系統(tǒng)所運轉的業(yè)務功能或者活動??梢酝ㄟ^一些學習與研究,或者通過訪談第二步:識別潛在風險(與業(yè)務功能/活動相關),可能出錯的地方是什么?出錯的可能性有多大?第三步:這些風險是如何被處理和應對的,針對這些風險采取的措施是什么?(即控制是什么)。所以,對信息系統(tǒng)審計師來講,需要知道它的業(yè)務以及流程,此時需要的知識背景是復雜的,不單單是信息技術方面的知識。第二部分:應用系統(tǒng)范圍和控制如何確定控制識別:

第三部分:信息系統(tǒng)應用控制分類第三部分:信息系統(tǒng)應用控制分類第三部分:應用控制分類半自動/手工控制依賴于自動的應用控制或者自動的會計處理過程的手工應用控制自動的應用控制已經設計在計算機應用程序中用來實現(xiàn)信息處理目標自動的會計程序已經設計在計算機應用程序中不需要人工干預的會計處理過程手工的應用控制手工執(zhí)行主要在業(yè)務流程操作層面執(zhí)行,確保信息處理目標的實現(xiàn)第三部分:應用控制分類半自動/手工控制依賴于自動的應用控制或應用控制舉例自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到信息處理目標的控制,例如:許多應用系統(tǒng)中根據業(yè)務的需求(“業(yè)務規(guī)則”)設置了很多編輯檢查來幫助確保錄入數據的準確性,編輯檢查可能包括格式檢查(如:日期格式或數字格式),存在性檢查(如:客戶編碼存在于客戶主數據文檔之中),或合理性檢查(如:最大支付金額)如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查,那么系統(tǒng)可能拒絕錄入該數據或系統(tǒng)可能將該錄入數據包括在系統(tǒng)生成的例外報告之中,留待后續(xù)跟進和處理應用控制舉例自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到第三部分:應用控制分類根據不同的應用系統(tǒng)部署結構,其測試方法也會不同單機版區(qū)域版集團版部署結構對測試范圍內的應用系統(tǒng)分別采取單點測試采取區(qū)域集中測試,比如省公司集中的系統(tǒng),可以在省公司集中測試;同時還要考慮總部集團的系統(tǒng)測試采取總部集團統(tǒng)一測試,對測試范圍內的分支機構展開流程控制測試第三部分:應用控制分類根據不同的應用系統(tǒng)部署結構,其測試方法

第四部分:應用控制與一般控制的關系第四部分:應用控制與一般控制的關系第四部分應用控制與一般控制的關系信息系統(tǒng)一般性控制(ITGC,InformationTechnologyGeneralControls)是指為了保證信息系統(tǒng)的安全,對整個信息系統(tǒng)以及外部各種環(huán)境要素實施的、對所有的應用或控制模塊具有普遍影響的控制措施信息系統(tǒng)運行安全對程序和數據

的訪問權限信息系統(tǒng)

控制環(huán)境信息系統(tǒng)開發(fā)信息系統(tǒng)變更第四部分應用控制與一般控制的關系信息系統(tǒng)一般性控制(ITG第四部分應用控制與一般控制的關系財務報表的重要科目、信息資產負債表損益表現(xiàn)金流量表報表附注其他業(yè)務流程/交易分類收入支出應用系統(tǒng)財務管理資產管理人力資源信息技術基礎架構數據庫操作系統(tǒng)網絡應用控制完整性準確性有效性訪問控制等信息系統(tǒng)一般控制控制環(huán)境系統(tǒng)開發(fā)系統(tǒng)變更系統(tǒng)安全訪問信息系統(tǒng)運營對信息系統(tǒng)的信心增加,審計師可以采取更有效率的審計手段,減少實質性測試工作有效的應用控制增加對系統(tǒng)支持處理交易的信心有效的信息系統(tǒng)一般控制增加對應用控制的信心第四部分應用控制與一般控制的關系財務報表的重要科目、信息資第四部分應用控制與一般控制的關系自動應用控制是設計在計算機應用系統(tǒng)中的有助于達到信息處理目標的控制,例如:許多應用系統(tǒng)中根據業(yè)務的需求(“業(yè)務規(guī)則”)設置了很多編輯檢查來幫助確保錄入數據的準確性,編輯檢查可能包括格式檢查(如:日期格式或數字格式),存在性檢查(如:客戶編碼存在于客戶主數據文檔之中),或合理性檢查(如:最大支付金額)如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查,那么系統(tǒng)可能拒絕錄入該數據或系統(tǒng)可能將該錄入數據包括在系統(tǒng)生成的例外報告之中,留待后續(xù)跟進和處理如果帶有關鍵的編輯檢

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論