《专业化太高C0901信息系统评估.doc》由会员分享,可在线阅读,更多相关《专业化太高C0901信息系统评估.doc(7页珍藏版)》请在金锄头文库上搜索。
1、信息系统评估被审计单位:索引号:C0901页次:编制人:日期:财务报表截止日/期间:复核人:日期:1. 了解客户的信息系统/信息技术环境 - 取得背景信息重要的信息技术联络人:姓名职位职责客户的信息处理系统和相关的支持活动的管理模式:管理模式是(否)描述集中式管理分散式管理使用程度-主要财务系统:应用项目系统的提供者:供应商/内部设计/终端用户系统平台:运行系统及数据库任何短期内的修改?财务分类账采购订单处理流程销售订单处理流程存货工资固定资产其它(请列明)【注:供应商可为Oracle,Sage,SAP等等。内部设计指客户雇用程序设计师并且“拥有”系统的原始代码。终端用户所开发的系统为非信息技
2、术人士所设计(例如:财务部门开发自己的发票数据库)。系统平台:被普遍使用的操作系统包括Unix、Windows、VMS等等。被普遍使用的数据库包括Oracle、SQL。“短期”的定义为在该会计年度期间之内。】客户的信息技术部门是否以规范(受控制)的方式运作?政策/程序是否为现行的、且得到管理阶层批准的以及适当传播的?需要副本?信息系统/信息技术风险记录是信息系统/信息技术策略否是信息系统/信息技术安全政策否是合理的电子邮件/网络的使用政策是信息技术采购是系统发展/实施是客户端计算机使用需求是运行程序是设备管理程序是企业持续经营计划是信息技术灾难复原计划是【注:项目事务所至少应取得信息系统/信息
3、技术策略及信息系统/信息技术安全政策的复印件,以了解客户明年的计划。如欠缺以上两项政策的复印件,则应针对此提供有关建议。】2. 评估信息系统环境的复杂性问题非复杂(1分)复杂(4分)评分(1 4分)信息技术部门:是否有许多信息技术人员执行技术性任务,以致财务应用程序或其数据的完整性可能受到影响?【注:右栏的“支持”仅包含基本的行政责任,如:增加及移除使用者,但不包括技术上诸如更改数据库的数据的类似任务。】【信息技术部门拥有少于四位员工支持第三者的应用程序及计算机】【信息技术部门的规模较大(或具有签定设备管理合约设备)并且具备支持内部设计应用程序的发展能力】系统整合:各财务应用程序是否得到整合或
4、集中? 【注:已整合的系统通常为现成的软件包,如:CFACS或Sun accounts。ERP系统(例如:SAP及Oracle)容许大量的系统更改,并被视为复杂。】【具有涵括整个关键财务流程的财会程序(例如:采购、销售、存货及工资)】【透过五个或以上的独立交易系统取得财务数据(系统可能分布于不同地点或包括客户端所开发的数据库及表格程序)】交易处理:财务应用程序开始及核准交易至什么程度?【注:租金计算可作为自动开始及核准的例子】【所有交易要求人工核准】【交易的开始并不需要人工授权】系统存取:财务应用程序的存取(或潜在存取)途径增加未经授权的存取风险。有多少数目的计算机/终端机有可能进入拥有财务应
5、用程序的计算机系统?【注:”潜在”意指非财务用户可经由直接/间接的方式存取财会主机的数据。】 【财务系统拥有其独立网络,或整个系统不允许远程访问及连接少于50部计算机】【系统在主要业务网络的上并连接广大地区的远程用户,例如:通过互联网。【特别事件:出现特别的信息系统/信息技术的事件,如:: 系统的修改或重要信息技术人员的更换; 系统操作失败,而并没有立刻恢复 发现舞弊或黑客入侵 【该年并没有发生严重事件】【发生对系统完整性有重要影响的事件】总分【在此部份,财务应用程序包括所有用作取得财务信息的企业应用程序(并不仅限于分类账)】3. 评估信息系统对业务的重要性对业务的重要性非常重要重要不重要请描
6、述如果计算机系统不能运行而给业务造成的中断程度。如果没有计算机公司能合理地运营多久? 请说明如果系统处理发生重大错误会有哪些短期和长期的影响?错误的发现需要多久?以及该错误将如何影响业务?为了及时和准确地处理业务,业务对计算机的依赖程度如何?每天所做的决策是否基于计算机系统的数据? 4.评估信息系统/信息技术风险对事务所审计风险的影响风险不良的信息系统/信息技术行政管理会降低信息技术部门执行其职责的能力增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注:在第一栏填上增加此风险的可能性或影响此风险的事项。可能包含的例子如下:-组织的规模-监管措施,如侵略性风
7、险管理程序在第二栏填上客户为管理或降低风险所做的事项。可能包含的例子如下:-连接资深管理阶层/行政人员/董事会的信息技术部门报告专线-管理此业务的专业机构(例:指导委员会)-信息技术部门内的分工(例:信息技术人士为“正常业务程序”的一部份)-根据业务需求而配备信息技术员工在第三栏描述取得此信息的途径。例子如下:-与信息技术管理阶层的讨论在第四栏做出判断。负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司造成的伤害可能并不亚于不足的控制。】风险 - 系统的完整性可因更改而受破坏增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?
8、【注:在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下:-系统更改的次数-信息技术开发小组的规模-内部信息技术发达程度与对外界厂商的依赖程度的比较在第二栏填上客户为管理或减低风险所做的事项。例子如下:-管理层/指导委员会批准及优先处理的系统重要更改-使用明确的计划管理方法(例:PRINCE2)做出更改-已建立正式的程序/数据更改的控制程序,以避免出现未经批准的临时更改-与外界厂商签订转移风险或指明对数据/系统有限度存取的合约在第三栏描述取得此资料的途径。例子如下:-与信息技术管理层的讨论在第四栏做出判断。负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制
9、对公司的伤害可能并不亚于不足的控制。】风险-不适当的服务提供方式因而增加失败的风险增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注:在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下:-信息系统/系统支持的复杂程度-系统对企业营运的重要性-客户迅速发现错误的能力在第二栏填上客户为管理或减低风险所做的事项。例子如下:-明确订立及遵循正式准则、政策及程序-对活动做出监督-并非仅依赖一名重要工作人员的知识在第三栏描述取得此资料的途径。例子如下:-与信息系统管理层的讨论在第四栏做出判断。负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风
10、险过度的控制对公司的伤害可能并不亚于不足的控制。】风险 - 存取控制不能防止对财务数据不适当的存取增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注:在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下:-被授权的(财务)使用者的规模及地点。-网络的规模(使用网络的总人数)-产业(例:金融机构为较高风险的产业)在第二栏填上客户为管理及减低风险所做的事项。例子如下:-财务服务器硬件被妥善保管。-系统拥有良好质量的密码控制,以减低未经授权的存取风险-系统记录各使用者的行动-网络架构的设计明确的限制非财会人员存取财务系统在第三栏描述取得此资料的途径。例子如
11、下:-与信息技术管理层的讨论在第四栏做出判断。负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司的伤害可能并不亚于不足的控制。 】5. 结论复杂程度:将第二部分的分数加起来。总分超过10分,被视为“复杂”。信息系统环境是否“复杂”(是或否)?_使用程度:根据第一部分被审计单位对信息系统的的使用范围,对被审计单位信息系统的使用程度进行评价被审计单位信息系统的使用属于”广泛” 、”一般”、”局限”?_对业务的重要性:根据第三部分信息系统对业务的影响程度,对被审计单位信息系统对被审计单位业务的影响程度进行评价信息系统对被审计单位业务的影响是”非常重要”、”重要”、
12、”不重要” ?_被审计单位使用计算机的整体分类评价: 基于上述的了解及评价,对被审计单位使用计算机的整体分类评价为:描述高度计算机化中度计算机化轻度计算机化审计风险:将第四部分的结论列在下面的表格:风险范围控制是否令人满意?(是/否)如答案为“否”,事务所应采取什么行动?*不良的信息系统/信息技术行政管理会减低信息技术部门执行其职责的能力系统的完整性可因更改而受破坏非正式的提供服务方式增加失败的风险存取控制不能防止对财务数据不适当的存取根据你的判断,客户的信息系统控制是否不足,以致存在对事务所发表审计意见可能带来负面影响的重大风险? (是/否)?_*行动可包括提出改善或建议信息系统审计团队成员
13、与客户讨论有关问题。【填表指引:在填写本表格时我们应当记录所获取的信息和审计证据的来源。本表格是对被审计单位计算机的使用程度、复杂程度及对业务的重要性进行了解及评估,进而对被审计单位使用计算机的整体情况进行分类。被审计单位使用计算机情况的整体分类为:高度计算机化广泛使用计算机,计算机环境复杂,且计算机系统对业务非常重要。如果被审计单位使用企业资源策划(ERP)系统,如SAP、PeopleSoft或Oracle Financials,或者被审计单位拥有数据库技术(SQL、Oracle等),那么这样的被审计单位通常都属于高度计算机化客户。高度计算机化客户依赖于计算机进行日常运营。他们通常拥有一个或多于一个的网络和/或计算机环境。他们的交易量较大且依赖计算机进行大多数决策。中度计算机化使用计算机程度低于“高度”,但高于“轻度”。中度计算机化被审计单位往往有到两种复杂的计算机系统,这到两种系统被广泛地使用而且对业务是重要的,但就整体而言,被审计单位使用计算机的程度尚不足以归类为“高度”。如果被审计单位使用局域网(LAN)或互联网接入,则通常表明该客户是中度计算机化客户。如果应用程序是集成化的,或使用自动接口程序,那么这个计算机环境通常至少是“中度”的。使用简单的总分类账模块但依赖计算机进行库存管理或销售和订单管理的用户通常也属于中度计算机化。
