收藏
下载资源

信息系统控制的测试

上传人:ni****g 文档编号:569838720 上传时间:2024-07-31 格式:PPT 页数:60 大小:900.50KB
返回 下载 相关 举报
信息系统控制的测试_第1页
第1页 / 共60页
信息系统控制的测试_第2页
第2页 / 共60页
信息系统控制的测试_第3页
第3页 / 共60页
信息系统控制的测试_第4页
第4页 / 共60页
信息系统控制的测试_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《信息系统控制的测试》由会员分享,可在线阅读,更多相关《信息系统控制的测试(60页珍藏版)》请在金锄头文库上搜索。

1、信息系统控制的测试信息系统控制的测试中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题信息系统与内部控制信息系统控制的内容信息技术一般控制自动化应用控制测试与评价信息系统内部控制2中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题信息系统与内部控制3中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班内部控制和财务报表认定的关系4中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制目前企业的信息化程度越来越高,企业的业务、

2、财务流程对信息系统的依赖日益加深,众多企业实施了ERP系统,由于ERP系统的集成度较高,因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。信息技术已成为支持公司业务、财务、管理的重要基础构架,提供内部、外部、第三方等用户对公司信息的访问。5中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制(续)6中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制(续)如果缺乏适当的信息系统内部控制,公司将面临业务、财务等方面的风险,例如:舞弊风险:信息化加快了公

3、司的效率,提供方便的业务处理同时必须注意到在信息化的公司环境中,舞弊也因为信息系统而变得更加容易如果缺乏适当的IT控制,例如没有严格责任分离或者不适当的用户授权,都将增加舞弊现象存在的可能7中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制(续)未授权数据修改的风险:公司最重要的资产之一就是信息和数据如果没有适当的IT内部控制,例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等,业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制,从而给公司带来巨大的损失8中国注册会计师协会企业内部控制审计业

4、务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制(续)根据一家国际机构的数据统计,自2004年至2008年6月30日,在内控无效的美国上市公司中,大约17%25%的公司在信息系统内部控制方面存在重大缺陷。导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型:程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制9中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题信息系统控制的内容10中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统控制的内容11中国注册会

5、计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制与自动化应用控制之间的关系应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例如:许多应用系统中根据业务的需求(“业务规则”)设置了很多编辑检查来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或合理性检查(如:最大支付金额)12中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制与自动化应用控制之间的关系如果在录入数据时某一项“业务规则”未通过编辑检查,

6、那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务,那这些应用控制的有效性必必须建建立在立在信息系信息系统一般控制的基一般控制的基础之上之上13中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题信息技术一般控制14中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制15中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制(续)16中国注册会计师协会企业内部

7、控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制(续)如果计算机环境发现了信息技术一般控制的缺陷,则会影响系统整体的可信程度例如:程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作17中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制所包括的范围信息系统的开发和实施:开发与实施活动的管理、项目发起、分析与设计、自开发系统

8、的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护:维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等18中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制所包括的范围信息系统的操作和运行:对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全:安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等19中国

9、注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制:信息系统的开发和实施目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标,包括考虑:程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标具体控制领域包括:用户需求测试和质量确保数据迁移程序实施记录和培训职责分离20中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制:信息系统的变更和维护目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标具

10、体控制领域包括:对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离21中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制:信息系统的操作和运行目标是确保生产系统根据管理层的控制目标、完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性具体控制领域包括:计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格22中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制:程序和数据的接触安全目标是确保分

11、配的访问程序和数据的权限是经过用户身份认证并经过授权的具体控制领域包括:安全活动管理安全管理数据安全操作系统安全网络安全物理安全23中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制(续)信息技术一般控制举例:1.1系统开发和重大变更流程:控制点:用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。系统的开发和测试环境必须与生产环境分离;相冲突的职责被适当分离。制定并保存详细的数据迁移计划,计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地

12、之间进行测试,确保数据的完整,准确和有效。对于外包的IT项目,公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。管理层应在系统上线前对其进行检查和审批。24中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例系统日常变更流程控制点:一般的程序变更请求需要由用户部门管理层审批并存档保留在移植到生产环境前,应当对程序变更进行测试。测试的级别与变更的大小相当在程序变更过程中对相冲突的职责实施有效的分离程序变更上线之前需要经过管理层的检查和审批开发和测试环境在逻辑或物理上与生产环境分离25中国注册会计师协会企业内部控制审计业务培训班中国

13、注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例用户账号管理用户创建/修改/删除的授权审批控制点:重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批关于删除离职或调职用户的权限,被评估机构确立了正式的流程26中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例用户账号管理权限定期检查控制点:用户部门管理层应该定期检查系统中用户帐号和授权,并根据检查结果进行帐号清理27中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例备份管理-备份检查控制点:对重要数据(包括

14、支持重要财务信息和应用程序的数据)进行适当的备份,并及时检查备份完成情况问题及应急事件处理控制点:信息系统运行问题或事件应该及时进行识别、解决、审核和分析28中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题自动化应用控制29中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班自动化应用控制应用系统是提供业务功能的软件,从而用户可以:与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动,并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息,因此,保护对于这些应用程

15、序的访问权限至关重要,从而降低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险30中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班自动化应用控制类型的划分 31中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用程序控制类型:实时校验和编辑检查也称为系统录入控制,此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性,在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查,以防止一些非法的或不真实的数据被系统接受,造成系统数据的不真实和大量垃圾数据的产生。举例:会计

16、科目维护时系统存在录入控制,对科目代码进行校验,限制过长或过短的科目代码。系统设定了录入信息模板,只能按照模板规定的格式录入信息。32中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用程序控制类型:登陆权限/岗位分离 应用系统中用户的权限设置是否合理,是否按照职责需要进行授权,是否考虑到岗位分离的情况。举例:会计凭证在ERP系统中的录入,一般此项操作需要一人制单,一人复核及过账。33中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用程序控制类型:自动计算系统根据设定的业务逻辑进行自动计算,此类控制多为系统自动控

17、制。此类控制一般在程序开发时已经嵌入到系统中举例:ERP系统正确计算物料的当月采购平均单价。ERP系统每月将当月所有入库单自动汇总成本计算单_汇总显示。34中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用程序控制类型:配置控制主要关注的是系统中维护的重要参数是否准确,这些参数对于系统的运行和业务处理的正确性起着非常重要的作用,此类控制多属于人工依赖系统控制举例:财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后,K/3系统自动将对应的暂估应付账款进行冲回。系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。35中国注册会计师协会企业内部控

18、制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用程序控制类型自动系统接口/对账例行程序主要关注不同应用系统之间传输数据的准确性和完整性,一般属于系统自动控制举例:仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作,确认信息由仓库系统上传到K/3系统。36中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班自动化应用控制需要考虑的因素应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之

19、间的链接所需要关注的风险所需要支持的业务所需要设置的控制所需要采用的技术所需要参与的人员37中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班自动化应用控制每个应用系统的控制都有所区别:企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑,如监管要求等应用控制要持续有效,必需有相关的配套支持:政策、制度人员(业务和信息技术)检查和维护机制(包括信息系统一般性控制)38中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班应用系统规划图应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系,以确定评估范

20、围内的系统,样例如下:流程编号流程编号系统名称系统名称系统一系统一系统二系统二是否为关键系统是否为关键系统是是流程名称流程名称1财务报表关账2生成与存货流程3销售流程39中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班议题测试与评价信息系统内部控制40中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制和财务报表认定的联系41中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班什么时候必须测试信息技术一般控制?有自动复杂计算功能的系统系统技术落后,供应商已不在提供支持

21、服务没有被广泛应用的新兴技术客户自行开发软件,或者对市场常规软件有重大修改的软件企业资源规划系统(ERP)系统与系统间存在大量自定义的接口处理大量交易的系统为一个复杂企业处理的系统复杂的信息技术设施42中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制的特定风险依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序未经授权的数据访问会导致数据损坏或者被不正当的删改,包括未经授权地记录不存在的交易或者不正确的交易未经授权修改主数据库中的数据未经授权修改系统或者程序未能对系统或程序进行必要的修改不恰当的人为干预丢失数据的可能性43中国注册会

22、计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制:什么是与测试相关的?访问程序和访问程序和数据的权限数据的权限程序变更程序变更这两个方面总是与测试相关的,它们的复杂程度和审计证据的类型在审计客户中是有巨大的差异的。程序开发程序开发只有当新系统的运行会对财务报告内部控制以及重大错报风险有影响时,才与测试相关。即使对于当年的财务报表和财务报告内部控制没有影响,也有可能需要进行测试。计算机运行计算机运行一般是需要测是的,特别是在可以直接与重要账户的认定相关或者与特定风险相关时,这项测试是相关的 (通常发生在交易量庞大,信息系统复杂的行业,比如银行)。44

23、中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班测试信息技术一般控制: 性质、时间、范围性质:询问、观察、检查、重新执行;也有审阅系统参数设置时间:安排在应用系统控制测试之前范围:运用职业判断确定测试范围45中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制的问题46中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班评价信息技术一般控制缺陷47中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班自动化应用控制 测试一个样本就足够

24、了,但是要覆盖自动化控制中涉及的一系列属性如果信赖自动化应用控制,需要测试信息技术一般控制并得到满意的结果我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制48中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班控制技术:分批总计处理一组文档内的下述数据被汇总计算:文件数量合计金额哈希汇总把批总数输入系统并且与系统计算的结果相比较。4 43 3 a da d c b c ba b da b d49中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班控制技术:顺序检查由一定范围内连续的数据组成系统不接受重复的数据系统

25、不接受无效数据对数据遗漏报告进行跟进调查?a b da b d a da d c b c b50中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班控制技术:计算匹配将文档的顺序号与可接受列表进行比较如果数据不相符,文档仅在授权后才可被处理不符项必须被跟进检查以确保控制技术的有效执行 a da d c b c ba b da b d?51中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班控制技术:一对一检查确保每一个文件都与经计算机处理的详细文件清单相符合成本高耗时长必须获得所有的原始数据 a da d c b c ba

26、 b da b d52中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班控制技术:编辑检查程序合理性检查从属检查存在性检查格式检验极限检查数学精确度检验校验数位验证预录输入匹配 a da d c b c ba b da b d53中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班测试自动化控制自动化控制是系统功能的一部分,因此如果它们被正确执行一次,理论上说它们会一直被正确地执行下去为了评估自动化控制的运行效率,测试的样本数量通常只限于确保该控制的所有相关属性有效执行一次(即“测试一次”)我们往往可以通过穿行测试取得自

27、动化控制的实施证据54中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班举例举例例: 自动化控制确保同一发票号码不会被重复录入信息信息处理目理目标: 完整性测试步步骤:在以下几种情况下在以下几种情况下测试运行中的控制运行中的控制:输入一个正确的发票号码输入一个重复的发票号码输入一个空的发票号码通通过执行以上行以上测试,我我们已已经测试了了这项控制的所有重要属性控制的所有重要属性55中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班执行异常还是控制缺陷?控制执行异常未必会对审计产生影响,或者需要作为重大缺陷报告治理层当我

28、当我们发现控制控制执行异常行异常时,审计小小组应该: 判断执行异常个体或者汇总是否被认定为内部控制的缺陷,或重大缺陷。所有的重大缺陷都必须与公司治理层沟通确定对审计方法的影响确保所有在控制确保所有在控制测试中中发现的的执行异常都被行异常都被记录下来下来56中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班问题探讨如果信息技术一般控制失效,我们就不能依赖自动控制?57中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制对测试自动化控制的影响如果信息技术一般控制是有效的,那自动控制可以更有效的利用“对标”(B

29、enchmarking)方法来进行测试如果信息技术一般控制失效,那么:对于已整改的信息技术一般控制,需要考虑测试应用控制以及信息技术一般控制;如果信息技术一般控制未被整改,需要对所有关键自动应用控制进行测试,或者对相对的重要会计流程执行其他的测试工作58中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班信息系统控制审计的要点审计师介入的时间人员和技术的要求审计方法:执行实质性测试的局限被审单位和技术实施方或外包商的关系对发现的问题整改的责任与财务审计工作的结合59中国注册会计师协会企业内部控制审计业务培训班中国注册会计师协会企业内部控制审计业务培训班谢谢!60

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号