收藏
下载资源

内部控制手册调研工作培训资料毕马威

上传人:e****s 文档编号:258750999 上传时间:2022-02-24 格式:PPT 页数:30 大小:373.50KB
返回 下载 相关 举报
内部控制手册调研工作培训资料毕马威_第1页
第1页 / 共30页
内部控制手册调研工作培训资料毕马威_第2页
第2页 / 共30页
内部控制手册调研工作培训资料毕马威_第3页
第3页 / 共30页
内部控制手册调研工作培训资料毕马威_第4页
第4页 / 共30页
内部控制手册调研工作培训资料毕马威_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《内部控制手册调研工作培训资料毕马威》由会员分享,可在线阅读,更多相关《内部控制手册调研工作培训资料毕马威(30页珍藏版)》请在金锄头文库上搜索。

1、审计 税务 咨询中国移动(香港)内部控制手册调研工作培训资料毕马 威华振会计师 事务所风险 咨询服务部 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术控制介绍主要内容知识财产限制本所特别为中国移动(香港)有限公司编撰本文件,当中载有毕马威的机密或专有资料。向任何人士透露这些资料都可能会使其处于竞争优势。除衡量本所的工作外,本文件不得用于其它用途。未经本所书面同意,不得披露和引述本文件的全部和部分内容。上述限制适用于本文件内的一切资料。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。为

2、什么信息技术在萨班斯法案 中占重要地位审计准则 #50 审计准则 #40 “ 需要测试的控制包括其它控制所依赖的信息技术整体控制” “ 程序开发,程序变更,系统运行,程序和数据访问等方面的控制保证了业务处理的有效进行” 审计准则 #75 “AU sec. 319 即 Consideration of Internal Control in a Financial Statement Audit的16段至20段, 30 段至32段, 77段至79段, 讨论了信息技术对财务报告的内控作用”审计准则 #85审计准则 #85 “ 不足的预防型控制可由有效的发现型控制弥补”“ 对财务报告有效的内部控制包

3、括事前预防型控制和事后发现型控制的结合,审计师通常将这两种控制结合在一起测试” 审计准则 #98 “.审计师测试控制的时间段随控制的性质和发生频率而改变” 审计准则 #43-45 “公司应对与会计报表认定相关的会计科目和披露设计相应的控制。记录该类控制设计的文档是管理层对财务报告内控有效性评估的证明记录控制设计的文档不充分为公司财务报告内控的缺陷”上市公司会计监管委员会第2号审计准则 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。为什么信息技术在萨班斯法案 中占重要地位上市公司会计监管委员会第2号审计准则审计准则 #47, 79 “追踪与财务

4、报告相关的信息系统的交易数据” 审计准则 #105“ 在信息技术整体控制有效的前提下,仅测试一个自动的控制应可以充分保证控制的有效执行” PCAOB 问题与解答 (11/04)#A-35 审计准则 A-38“ 审计师不能使用管理层或其它人员对期末财务报告流程控制的测试,包括将交易总金额录入总帐系统的流程的控制,与财务报告认定相关的重大会计科目和披露的开始、记录、处理和报告”“无效的信息技术整体控制的设计或执行也是不足之处 。 应用程序控制可以是信息技术执行的自动控制程序(举例:计算、入账、生成报表、输入及控制程序)。应用程序控制也可以是有赖于信息技术的手工控制。当信息技术被用于开立,授权,记录

5、,处理,报告流程或其它财务报告中的财务数据时,系统和程序可能包括与重大会计科目或披露认定相关的自动的应用程序控制” 审计准则 #77“ 审计师应评估信息技术在期末财务报告生成流程中的参与程度” 信息技术术是萨萨班斯法案整体要求的不可缺少的一部分 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。什么是信息技术控制信息技术控制主要指对信息系统的整体控制及对业务系统中特定风险的基于信息系统的控制措施:公司层面信息技术控制信息技术整体控制应用系统控制 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。什么

6、是信息技术控制(续)公司层层面信息系统统控制公司层面信息系统控制相关问题,例如信息技术组织结 构信息技术计划、战略规划信息技术术整体控制信息技术整体控制,例如对程序及数据的访问控制、程序变更控制、程序开发控制、系统运行控制及最终用户运算应应用系统统控制基于应用系统的控制,例如话单采集完整性检查计费系统出账时自动平衡性检查信息技术术相关的手工控制信息技术相关的手工控制,例如对自动错误报 告的跟进调查对系统产生的帐龄报 告的分析 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。什么是信息技术控制(续)信息技术整体控制应用系统控制业务流程财务报告重要

7、会计科目相关重要业务流程相关重要信息系统包括财务报告生成过程中使用的各系统不能因系统规模小或复杂程度低而忽略系统可能不是所有的系统都在信息技术部的统一控制下必须与业务流程层面的信息技术控制一同考虑控制的有效性现有的组织形式/本地实际情况可能导致一些要求不能达到 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术控制的总体架构确定所有范围内的流程确定所有范围内的关键系统范围确定及记录关键流程的自动化控制所有范围内应用系统的信息技术整体控制,覆盖应用系统,操作系统、数据库、网络BOSS系统统智能网系统统MISC系统统MIS系统统终终端用户户开

8、发发的应应用程序其它系统访问、编辑报告、系统配置、各个程序接口、分工等信息技术术控制系统统地 体现现在三个方面: 整体控制环环境中信息技术术的考虑虑 / 业务业务 流程层层面的信息技术术控制 / 信息技术术整体控制收入和计费流程营运支出资本性支出流程交易通过一个或多个系统考虑相关财务报表认定:C:完整性 E: 存在和发生 V:价值 和分摊 O:权利和义务 P:表述及披露对程序和数据的访问控制、程序变更、程序开发、系统运行 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。目前纳入范围内的应用系统 BOSS系统 MIS 财务系统 OA 系统 智能网

9、系统 WAP系统网络和基础设施 MISC 系统 经营分析系统 彩铃系统 久其系统 交换机 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制信息系统整体控制并不针对某一特定应用系统,而强调的是信息系统所处的整体信息技术环境,是其他基于信息系统的应用控制措施的基础。其主要包括:对程序和数据的访问控制程序变更管理程序开发系统运行最终用户计算 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制子流程对程序及数据的访问控制安全组织架构信息安全政策系统密码政策用户帐号申请变更删

10、除管理超级用户管理用户系统权限分配用户权限审核网络安全病毒防范机房物理安全程序变更管理程序变更申请审批变更测试变更移植到生产环境管理配置变更管理日常变更管理紧急变更管理 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制子流程 (续)程序开发程序开发方法论项目审批项目管理系统测试和用户测试上线审批管理数据移植系统运行系统日常运作监控备份和恢复系统作业管理故障及问题管理最终用户计算最终用户计算时使用的程序和电子表格的管理,包括逻辑安全、程序变更、数据备份和操作复核 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。

11、版权所有,不得转载。中国印刷。信息技术整体控制控制目标对程序和数据的访问控制对于与财务报告相关的信息,公司应制定相关的安全管理办法并使员工意识到公司对信息安全重要性的重视。对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。确保定期对系统中的用户的访问权限进行审阅,以减少非法或不适当的对系统或数据进行访问而带来的风险。确保在关键流程中存在适当的职权分离。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版

12、权所有,不得转载。中国印刷。信息技术整体控制控制目标(续)程序变更管理确保对财务报告有影响的系统或应用程序的任何变更都经过适当得管理层的授权。确保在财务报表生成过程中涉及到的应用程序/系统的任何变更,在发布到生产环境运行之前经过了测试,校验和批准。确保财务报表生成过程中涉及到的系统和应用程序在迁移到生产环境过程中,没有非法的访问以避免对系统及数据的非法修改。确保在对生成财务报表产生涉及到的应用程序的变更被迁移至生产环境后,对应用系统文件/参数没有未经授权的变更。对系统、应用程序和基础架构配置的紧急变更,存在相应的控制管理流程。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员

13、。版权所有,不得转载。中国印刷。信息技术整体控制控制目标(续)程序开发管理确保公司管理层有充分的控制保证新的应用系统及硬件基础架构的开发和采购是经过适当级别的信息技术和公司管理层的审批。确保在财务报告的过程中涉及到的系统有适当的控制,以保证有合适的程序开发方法,并在开发和实施过程中遵守了相应的方法。确保在生成财务报表流程中涉及的系统/应用程序在开发或实施进行了充分的测试,并且该测试结果经过信息技术部门、用户和管理层的批准。确保系统的数据迁移过程中有足够的控制保证数据的完整性。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制控制

14、目标(续)系统运行确保管理层实施了适当的控制保证与财务报告相关的应用程序和数据的系统处理和接口的准确性,完整性和及时性。确保管理层实施了适当的备份和恢复程序保证对财务报告必要的数据,交易和程序能够在需要时进行恢复。对在财务报表生过程中使用的系统/数据进行定期的恢复测试,以保证备份数据的质量存在有效的程序。确保对财务报表生成过程中涉及到的应用程序和系统的备份介质存在适当的控制,包括只有经授权的人才可以访问磁带和磁带存储库。确保管理层定义和实施了问题管理流程来及时记录、分析、解决在生成财务报表过程中涉及到的系统和应用程序中的问题和错误。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中

15、国成员。版权所有,不得转载。中国印刷。信息技术整体控制控制目标(续)最终用户计算管理层已经制定了相关政策和流程来确保最终用户计算坏境下已施行了信息技术整体控制。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制举例分析业务流程子流程流程目标风险控制点描述业务业务流程名称子流程名称流程目标标流程层层面影响流程目标实现标实现的风险风险内部控制点的描述信息技术整体控制对程序及数据的访问控制 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。缺乏必

16、要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访问, 非法修改系统数据。信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在系统中进行相应设置,以避免用户使用弱密码。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。信息技术整体控制举例分析(续)业务流程子流程流程目标风险控制点描述业务业务流程名称子流程名称流程目标标流程层层面影响流程目标实现标实现 的风风险险内部控制点的描述信息技术整体控制程序变更管理确保在财务报表生成过程中涉及到的应用程序/系统的任何变更,在发布到生产环境运行之前经过了测试,校验和批准。对财务报告有影响的系统或应用程序的变更,在发布到生产环境运行之前未经测试,变更后的程序功能不能满足用户需求,缺陷未被及时发现。变更程序开发完成后由信息技术部门及业务部门制定测试文档(包含测试用例),由信息技术部门和业务部门共同进行测试,并填写测试结果及签字确认。如未通过规定的测试,变更程序不得被移植入生产环境。 2004 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 经济/贸易/财会 > 经济学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号