449信息系統(tǒng)應(yīng)用控制概述課件

信息系統(tǒng)應(yīng)用控制概述

-內(nèi)部培訓(xùn)資料

2009年7月信息系統(tǒng)應(yīng)用控制概述

第三部分：信息系統(tǒng)應(yīng)用控制的分類

第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定

第一部分：信息系統(tǒng)應(yīng)用控制介紹培訓(xùn)內(nèi)容分為四大部分：

第四部分：應(yīng)用控制與一般性控制的關(guān)系第三部分：信息系統(tǒng)應(yīng)用控制的分類第二部分：應(yīng)用系統(tǒng)范圍和

第一部分：信息系統(tǒng)應(yīng)用控制介紹第一部分：信息系統(tǒng)應(yīng)用控制介紹第一部分：信息系統(tǒng)應(yīng)用控制介紹應(yīng)用系統(tǒng)的概念應(yīng)用系統(tǒng)是處理業(yè)務(wù)交易的系統(tǒng)軟件，比如工資系統(tǒng)、存貨系統(tǒng)、計(jì)費(fèi)系統(tǒng)，以及集成度較高的ERP系統(tǒng)等。這些系統(tǒng)內(nèi)置了企業(yè)的業(yè)務(wù)流程、交易規(guī)則、復(fù)雜的計(jì)算邏輯以及相關(guān)的財(cái)務(wù)報(bào)表處理等。單機(jī)版區(qū)域版集團(tuán)版部署結(jié)構(gòu)只能在單臺(tái)計(jì)算機(jī)上獨(dú)立運(yùn)行的應(yīng)用軟件，比如久其報(bào)表系統(tǒng)網(wǎng)絡(luò)版應(yīng)用軟件，根據(jù)職能劃分區(qū)域管理，比如各省公司單獨(dú)運(yùn)行網(wǎng)絡(luò)版應(yīng)用軟件，全集團(tuán)集中管理，各分支機(jī)構(gòu)以客戶端的身份接入在企業(yè)實(shí)際使用中，有不同部署的結(jié)構(gòu)：第一部分：信息系統(tǒng)應(yīng)用控制介紹應(yīng)用系統(tǒng)的概念單機(jī)版區(qū)域版集團(tuán)第一部分：信息系統(tǒng)應(yīng)用控制介紹應(yīng)用系統(tǒng)的邏輯結(jié)構(gòu)基礎(chǔ)服務(wù)-----計(jì)算機(jī)網(wǎng)絡(luò)、硬件設(shè)備等數(shù)據(jù)服務(wù)-----提供數(shù)據(jù)存儲(chǔ)，Oracle/SqlServer等應(yīng)用服務(wù)-----提供業(yè)務(wù)邏輯、計(jì)算規(guī)則等接入服務(wù)-----提供用戶界面和入口訪問大多數(shù)用戶通過提供的系統(tǒng)登錄界面統(tǒng)一進(jìn)行權(quán)限驗(yàn)證訪問資源包含了業(yè)務(wù)流程和交易規(guī)則，比如財(cái)務(wù)數(shù)據(jù)、服務(wù)流程等，以及復(fù)雜的計(jì)算公式等極少數(shù)用戶擁有直接訪問數(shù)據(jù)庫的權(quán)限，比如管理員權(quán)限主要是網(wǎng)絡(luò)安全服務(wù)，包括內(nèi)網(wǎng)與外網(wǎng)的安全訪問第一部分：信息系統(tǒng)應(yīng)用控制介紹應(yīng)用系統(tǒng)的邏輯結(jié)構(gòu)基礎(chǔ)服務(wù)--第一部分：信息系統(tǒng)應(yīng)用控制介紹為什么要對(duì)應(yīng)用系統(tǒng)進(jìn)行審計(jì)呢？應(yīng)用系統(tǒng)財(cái)務(wù)報(bào)表銷售管理存貨管理固定資產(chǎn)管理收款管理付款管理。。。存在風(fēng)險(xiǎn)業(yè)務(wù)流程：流轉(zhuǎn)是否合理數(shù)據(jù)規(guī)則：計(jì)算是否正確權(quán)限劃分：分配是否適當(dāng)報(bào)表處理：處理是否準(zhǔn)確財(cái)務(wù)報(bào)表的重要科目和信息存在影響第一部分：信息系統(tǒng)應(yīng)用控制介紹為什么要對(duì)應(yīng)用系統(tǒng)進(jìn)行審計(jì)呢？第一部分：信息系統(tǒng)應(yīng)用控制介紹信息系統(tǒng)應(yīng)用控制概念應(yīng)用控制是控制特定應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)（如工資、應(yīng)收賬款和采購應(yīng)用系統(tǒng)等）的一系列控制活動(dòng)，用來避免或者降低風(fēng)險(xiǎn)至可接受程度。業(yè)務(wù)流程：流轉(zhuǎn)是否合理數(shù)據(jù)規(guī)則：計(jì)算是否正確權(quán)限劃分：分配是否適當(dāng)報(bào)表處理：處理是否準(zhǔn)確從設(shè)計(jì)上審閱其合理性，比如不同級(jí)別審批的內(nèi)容不一樣比如增加平衡校驗(yàn)比如職責(zé)分離、定期審閱用戶權(quán)限比如業(yè)會(huì)核對(duì)、報(bào)表平衡檢查第一部分：信息系統(tǒng)應(yīng)用控制介紹信息系統(tǒng)應(yīng)用控制概念業(yè)務(wù)流程：第一部分：信息系統(tǒng)應(yīng)用控制介紹完善信息系統(tǒng)應(yīng)用控制是符合內(nèi)控要求一般情況下，應(yīng)用系統(tǒng)在設(shè)計(jì)初期乃至設(shè)計(jì)運(yùn)行后，對(duì)風(fēng)險(xiǎn)和內(nèi)控的考慮很少，盡管在某種程度上滿足了業(yè)務(wù)操作要求，但卻不能滿足內(nèi)控以及風(fēng)險(xiǎn)管理的要求。所以，完善應(yīng)用系統(tǒng)控制符合內(nèi)控要求是一種趨勢(shì)。第一部分：信息系統(tǒng)應(yīng)用控制介紹完善信息系統(tǒng)應(yīng)用控制是符合內(nèi)控第一部分：信息系統(tǒng)應(yīng)用控制介紹高低成本控制環(huán)境藍(lán)圖設(shè)計(jì)開發(fā)/二次開發(fā)測(cè)試用戶接受測(cè)試（UAT）實(shí)施上線開發(fā)期間實(shí)施前實(shí)施后開始完成項(xiàng)目建設(shè)不同時(shí)期所花費(fèi)的成本曲線第一部分：信息系統(tǒng)應(yīng)用控制介紹高低成本控制環(huán)境藍(lán)圖設(shè)計(jì)開發(fā)/

第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定當(dāng)你審計(jì)應(yīng)用系統(tǒng)時(shí)，遇到的第一個(gè)問題就是：哪些系統(tǒng)需要做應(yīng)用系統(tǒng)審計(jì)或控制測(cè)試呢？究竟對(duì)這些應(yīng)用系統(tǒng)做哪些控制測(cè)試呢？第二個(gè)問題就是：第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定當(dāng)你審計(jì)應(yīng)用系統(tǒng)時(shí)，遇到控制識(shí)別及測(cè)試范圍確定第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定確定應(yīng)用系統(tǒng)范圍和控制的方法論：確定重要科目確定重要流程確定重要系統(tǒng)了解系統(tǒng)流程識(shí)別風(fēng)險(xiǎn)和控制控制活動(dòng)描述開展控制測(cè)試控制識(shí)別及測(cè)試范圍確定第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定確第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定控制識(shí)別：第一步：了解并理解這些應(yīng)用系統(tǒng)所運(yùn)轉(zhuǎn)的業(yè)務(wù)功能或者活動(dòng)?？梢酝ㄟ^一些學(xué)習(xí)與研究，或者通過訪談第二步：識(shí)別潛在風(fēng)險(xiǎn)（與業(yè)務(wù)功能/活動(dòng)相關(guān)），可能出錯(cuò)的地方是什么？出錯(cuò)的可能性有多大？第三步：這些風(fēng)險(xiǎn)是如何被處理和應(yīng)對(duì)的，針對(duì)這些風(fēng)險(xiǎn)采取的措施是什么？（即控制是什么）。所以，對(duì)信息系統(tǒng)審計(jì)師來講，需要知道它的業(yè)務(wù)以及流程，此時(shí)需要的知識(shí)背景是復(fù)雜的，不單單是信息技術(shù)方面的知識(shí)。第二部分：應(yīng)用系統(tǒng)范圍和控制如何確定控制識(shí)別：

第三部分：信息系統(tǒng)應(yīng)用控制分類第三部分：信息系統(tǒng)應(yīng)用控制分類第三部分：應(yīng)用控制分類半自動(dòng)/手工控制依賴于自動(dòng)的應(yīng)用控制或者自動(dòng)的會(huì)計(jì)處理過程的手工應(yīng)用控制自動(dòng)的應(yīng)用控制已經(jīng)設(shè)計(jì)在計(jì)算機(jī)應(yīng)用程序中用來實(shí)現(xiàn)信息處理目標(biāo)自動(dòng)的會(huì)計(jì)程序已經(jīng)設(shè)計(jì)在計(jì)算機(jī)應(yīng)用程序中不需要人工干預(yù)的會(huì)計(jì)處理過程手工的應(yīng)用控制手工執(zhí)行主要在業(yè)務(wù)流程操作層面執(zhí)行，確保信息處理目標(biāo)的實(shí)現(xiàn)第三部分：應(yīng)用控制分類半自動(dòng)/手工控制依賴于自動(dòng)的應(yīng)用控制或應(yīng)用控制舉例自動(dòng)應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的有助于達(dá)到信息處理目標(biāo)的控制，例如：許多應(yīng)用系統(tǒng)中根據(jù)業(yè)務(wù)的需求（“業(yè)務(wù)規(guī)則”）設(shè)置了很多編輯檢查來幫助確保錄入數(shù)據(jù)的準(zhǔn)確性，編輯檢查可能包括格式檢查（如：日期格式或數(shù)字格式），存在性檢查（如：客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如：最大支付金額）如果在錄入數(shù)據(jù)時(shí)某一項(xiàng)“業(yè)務(wù)規(guī)則”未通過編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)包括在系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理應(yīng)用控制舉例自動(dòng)應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的有助于達(dá)到第三部分：應(yīng)用控制分類根據(jù)不同的應(yīng)用系統(tǒng)部署結(jié)構(gòu)，其測(cè)試方法也會(huì)不同單機(jī)版區(qū)域版集團(tuán)版部署結(jié)構(gòu)對(duì)測(cè)試范圍內(nèi)的應(yīng)用系統(tǒng)分別采取單點(diǎn)測(cè)試采取區(qū)域集中測(cè)試，比如省公司集中的系統(tǒng)，可以在省公司集中測(cè)試；同時(shí)還要考慮總部集團(tuán)的系統(tǒng)測(cè)試采取總部集團(tuán)統(tǒng)一測(cè)試，對(duì)測(cè)試范圍內(nèi)的分支機(jī)構(gòu)展開流程控制測(cè)試第三部分：應(yīng)用控制分類根據(jù)不同的應(yīng)用系統(tǒng)部署結(jié)構(gòu)，其測(cè)試方法

第四部分：應(yīng)用控制與一般控制的關(guān)系第四部分：應(yīng)用控制與一般控制的關(guān)系第四部分應(yīng)用控制與一般控制的關(guān)系信息系統(tǒng)一般性控制（ITGC，InformationTechnologyGeneralControls）是指為了保證信息系統(tǒng)的安全，對(duì)整個(gè)信息系統(tǒng)以及外部各種環(huán)境要素實(shí)施的、對(duì)所有的應(yīng)用或控制模塊具有普遍影響的控制措施信息系統(tǒng)運(yùn)行安全對(duì)程序和數(shù)據(jù)

的訪問權(quán)限信息系統(tǒng)

控制環(huán)境信息系統(tǒng)開發(fā)信息系統(tǒng)變更第四部分應(yīng)用控制與一般控制的關(guān)系信息系統(tǒng)一般性控制（ITG第四部分應(yīng)用控制與一般控制的關(guān)系財(cái)務(wù)報(bào)表的重要科目、信息資產(chǎn)負(fù)債表損益表現(xiàn)金流量表報(bào)表附注其他業(yè)務(wù)流程/交易分類收入支出應(yīng)用系統(tǒng)財(cái)務(wù)管理資產(chǎn)管理人力資源信息技術(shù)基礎(chǔ)架構(gòu)數(shù)據(jù)庫操作系統(tǒng)網(wǎng)絡(luò)應(yīng)用控制完整性準(zhǔn)確性有效性訪問控制等信息系統(tǒng)一般控制控制環(huán)境系統(tǒng)開發(fā)系統(tǒng)變更系統(tǒng)安全訪問信息系統(tǒng)運(yùn)營(yíng)對(duì)信息系統(tǒng)的信心增加，審計(jì)師可以采取更有效率的審計(jì)手段，減少實(shí)質(zhì)性測(cè)試工作有效的應(yīng)用控制增加對(duì)系統(tǒng)支持處理交易的信心有效的信息系統(tǒng)一般控制增加對(duì)應(yīng)用控制的信心第四部分應(yīng)用控制與一般控制的關(guān)系財(cái)務(wù)報(bào)表的重要科目、信息資第四部分應(yīng)用控制與一般控制的關(guān)系自動(dòng)應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的有助于達(dá)到信息處理目標(biāo)的控制，例如：許多應(yīng)用系統(tǒng)中根據(jù)業(yè)務(wù)的需求（“業(yè)務(wù)規(guī)則”）設(shè)置了很多編輯檢查來幫助確保錄入數(shù)據(jù)的準(zhǔn)確性，編輯檢查可能包括格式檢查（如：日期格式或數(shù)字格式），存在性檢查（如：客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如：最大支付金額）如果在錄入數(shù)據(jù)時(shí)某一項(xiàng)“業(yè)務(wù)規(guī)則”未通過編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)包括在系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理如果帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)是被審計(jì)師所依賴，作為支持審計(jì)工作的，那這些應(yīng)用控制是否有效必須建立在信息技術(shù)一般控制的基礎(chǔ)之上第四部分應(yīng)用控制與一般控制的關(guān)系自動(dòng)應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)第四部分應(yīng)用控制與一般控制的關(guān)系如果計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷，審計(jì)師可能就不能信賴上述編輯檢查功能按設(shè)計(jì)發(fā)揮作用例如：程序變更控制缺陷可能導(dǎo)致未授權(quán)人員對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，導(dǎo)致系統(tǒng)接受不準(zhǔn)確的錄入數(shù)據(jù)與安全和訪問權(quán)限相關(guān)的控制缺陷可能導(dǎo)致數(shù)據(jù)錄入不恰當(dāng)?shù)乩@過合理性檢查，而該合理性檢查在其他方面將使系統(tǒng)無法處理金額超過最大容差范圍的支付操作第四部分應(yīng)用控制與一般控制的關(guān)系如果計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技第四部分應(yīng)用控制與一般控制的關(guān)系自動(dòng)會(huì)計(jì)程序是由計(jì)算機(jī)系統(tǒng)代替人執(zhí)行的計(jì)算、分類、評(píng)估、或其他會(huì)計(jì)程序，例如：投資會(huì)計(jì)系統(tǒng)可能用來根據(jù)不同投資類型的業(yè)務(wù)規(guī)則計(jì)算該類型投資的市場(chǎng)價(jià)值，貸款系統(tǒng)可能根據(jù)用戶錄入的貸款期限自動(dòng)運(yùn)算分期償還債務(wù)安排，或應(yīng)收帳款系統(tǒng)可能用來將應(yīng)收帳款歸入適當(dāng)?shù)膸g組信息技術(shù)一般控制缺陷可能影響審計(jì)師依賴客戶應(yīng)用系統(tǒng)中的自動(dòng)會(huì)計(jì)程序，例如：如果缺失了重要的程序開發(fā)控制，除了實(shí)質(zhì)性驗(yàn)證運(yùn)算操作，審計(jì)師可能難以確定管理層是否對(duì)該自動(dòng)會(huì)計(jì)程序的按計(jì)劃運(yùn)行進(jìn)行了適當(dāng)測(cè)試如果控制缺陷導(dǎo)致非授權(quán)人員訪問程序，那么管理層將有機(jī)會(huì)篡改自動(dòng)會(huì)計(jì)程序結(jié)果，而這可能影響審計(jì)師對(duì)于客戶舞弊風(fēng)險(xiǎn)的評(píng)估結(jié)果第四部分應(yīng)用控制與一般控制的關(guān)系自動(dòng)會(huì)計(jì)程序是由計(jì)算機(jī)系統(tǒng)第三