KS6-2對(duì)信息系統(tǒng)一般控制的了解和測(cè)試

1、 亞太（集團(tuán)）會(huì)計(jì)師事務(wù)所被審計(jì)單位： 編制： 日期： 索引號(hào)：財(cái)務(wù)報(bào)表截止日： 年 月 日 復(fù) 核： 日期： 頁(yè) 次：對(duì)信息系統(tǒng)一般控制的了解和測(cè)試以下以一家A股上市的大型企業(yè)為例，針對(duì)項(xiàng)目組在執(zhí)行信息系統(tǒng)一般控制測(cè)試時(shí)可以考慮的要素和方面進(jìn)行說(shuō)明，并未列示項(xiàng)目組所有應(yīng)當(dāng)考慮的控制，所列示的孔也不一定適用于所有審計(jì)項(xiàng)目的具體情況。項(xiàng)目組在實(shí)務(wù)工作中需要根據(jù)企業(yè)的具體情況識(shí)別控制，并根據(jù)對(duì)風(fēng)險(xiǎn)的評(píng)估選取適當(dāng)?shù)臉颖疽?guī)模進(jìn)行測(cè)試（本例中樣本規(guī)模的選取方法僅作參考）。 一、與信息技術(shù)控制環(huán)境相關(guān)的控制控制編號(hào)控制目標(biāo)控制描述測(cè)試程序測(cè)試內(nèi)容測(cè)試結(jié)論外部文檔例外描述CE1權(quán)限管理建立和實(shí)施權(quán)限管理，確

2、保系統(tǒng)內(nèi)權(quán)限的分配是適當(dāng)?shù)摹?.訪談了解帳號(hào)及權(quán)限管理機(jī)制：（1）是否制定了正式的帳號(hào)及權(quán)限管理制度，對(duì)帳號(hào)及權(quán)限的日常變動(dòng)、帳號(hào)及權(quán)限的定期審閱管理進(jìn)行正式規(guī)定；（2）訪談了解內(nèi)審部門是否對(duì)帳號(hào)及權(quán)限進(jìn)行適當(dāng)監(jiān)控。2.獲取帳號(hào)及權(quán)限管理制度，檢查制度設(shè)計(jì)的有效性。1.XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到：（1）XX單位正式下發(fā)了會(huì)計(jì)核算單位及用戶管理細(xì)則；（2）XX單位XX系統(tǒng)管理員負(fù)責(zé)總部的帳號(hào)權(quán)限的新增、變更和刪除操作及管理；（3）XX單位內(nèi)審部對(duì)帳號(hào)及權(quán)限進(jìn)行審閱及監(jiān)控。2.我們獲取了會(huì)計(jì)核算單位及用戶管理細(xì)則，檢查發(fā)現(xiàn)：（1）針對(duì)賬號(hào)及權(quán)限的日常增刪改管理，制

3、度規(guī)定各單位對(duì)財(cái)務(wù)信息化各系統(tǒng)普通用戶、訪問(wèn)權(quán)限的增加、變更以及注銷進(jìn)行審批。財(cái)務(wù)信息化各系統(tǒng)應(yīng)用系統(tǒng)管理員應(yīng)根據(jù)審批通過(guò)的用戶權(quán)限申請(qǐng)（變更、注銷）表對(duì)用戶和權(quán)限參數(shù)進(jìn)行設(shè)置，并通知申請(qǐng)人員簽收。"（2）針對(duì)賬號(hào)及權(quán)限的定期審閱，制度規(guī)定：“財(cái)務(wù)信息化各系統(tǒng)的用戶權(quán)限設(shè)置和對(duì)數(shù)據(jù)資源、訪問(wèn)情況應(yīng)至少每半年進(jìn)行一次檢查，發(fā)現(xiàn)問(wèn)題及時(shí)處理。”未發(fā)現(xiàn)異常CE2IT系統(tǒng)管理制度建立和適當(dāng)實(shí)施 IT系統(tǒng)管理制度。1.訪談了解 IT系統(tǒng)管理（1）客戶是否建立正式的 IT系統(tǒng)管理制度，包括是否得以制定；（2）內(nèi)審部門是否參與了 IT系統(tǒng)管理辦法的制定過(guò)程。2.獲取IT系統(tǒng)管理制度，檢查制度設(shè)計(jì)的

4、有效性。1. X X日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到：（1）X X單位統(tǒng)一制定了 IT管理制息化管理辦法包括X X單位財(cái)務(wù)信息化管理發(fā)現(xiàn)辦法、財(cái)務(wù)信息系統(tǒng)軟件管理細(xì)則、會(huì)計(jì)核算單位及用戶管理細(xì)則、財(cái)務(wù)信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理細(xì)則和財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則、在制度中對(duì)財(cái)務(wù)系統(tǒng)的設(shè)備安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全、病毒防范管理以及密碼的管理都作出了詳細(xì)的規(guī)定；（2）IT管理制度由 X X起草，經(jīng)逐級(jí)審批通過(guò)后執(zhí)行。X X單位的內(nèi)審部門參與 IT系統(tǒng)管理制度的制定過(guò)程。2.我們獲取了X X單位財(cái)務(wù)信息化管理辦法、財(cái)務(wù)信息系統(tǒng)軟件管理細(xì)則、會(huì)計(jì)核算單位及用戶

5、管理細(xì)則、財(cái)務(wù)信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理細(xì)則和財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則，檢查發(fā)現(xiàn)制度對(duì)財(cái)務(wù)系統(tǒng)的設(shè)備安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全、病毒防范管理以及密碼的管理都作出了詳細(xì)的規(guī)定。未發(fā)現(xiàn)異常XX單位財(cái)務(wù)信信息化管理辦法財(cái)務(wù)信息系統(tǒng)團(tuán)建管理細(xì)則會(huì)計(jì)核算單位及用戶管理細(xì)則財(cái)務(wù)信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理細(xì)則財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則不適用CE3備份管理建立和實(shí)施備份管理，確保 生產(chǎn)系統(tǒng)數(shù)據(jù) 的可用性。訪談了解客戶的備份管理機(jī)制，包括：（1）備份：總部集中執(zhí)行備份還是下屬單位分別執(zhí)行備份；（2 ）備份檢查：總部單位集中檢查備份結(jié)果還是下屬單位分別檢查備份結(jié)果。XX日，通過(guò)詢問(wèn)XX單位信息中心O

6、S&DB管理員XX，我們了解到：XX單位的服務(wù)器的備份操作均由總部統(tǒng)一執(zhí)行，備份結(jié)果由總部統(tǒng)一檢查。關(guān)于備份執(zhí)行有效性，參見(jiàn)對(duì)備份策賂、備份結(jié)果檢查的執(zhí)行有效性的測(cè)試結(jié)果。參見(jiàn)XX參見(jiàn)XX參見(jiàn)XX二、與程序開(kāi)發(fā)相關(guān)的控制控制編號(hào)控制目標(biāo)控制描述測(cè)試程序測(cè)試內(nèi)容測(cè)試結(jié)論外部文檔例外描述PD1系統(tǒng)測(cè)試單元、系統(tǒng)和用戶測(cè)試應(yīng)執(zhí)行，并且用戶接受性測(cè)試應(yīng)在系統(tǒng)移植前簽署。開(kāi)發(fā)和用戶接受性測(cè)試應(yīng)有單獨(dú)的環(huán)境，并且程序師/開(kāi)發(fā)人員不應(yīng)有權(quán)限 進(jìn)入用戶接受性測(cè)試環(huán)境。1.詢問(wèn)確認(rèn)新系統(tǒng)移植到實(shí)用環(huán)境前存在業(yè)務(wù)所有者/用戶適當(dāng)?shù)氖跈?quán)（簽署等）。2.檢查以下文檔：（1）測(cè)試計(jì)劃和結(jié)果；（2）用戶接受性測(cè)試

7、簽署表（現(xiàn)場(chǎng)核實(shí)有 3 個(gè)分離的環(huán)境·生產(chǎn)、測(cè)試、開(kāi)發(fā)），如果可能取得截屏。3.重新測(cè)試：（1）記賬（過(guò)賬）；（2）開(kāi)賬、結(jié)賬；查詢系統(tǒng)安全審計(jì)日志，確認(rèn)系統(tǒng)日志是否存在"取消記賬"、"重新打開(kāi)"等操作。 X X日，通過(guò)詢問(wèn) X X單位財(cái)務(wù)部應(yīng) 用系統(tǒng)管理員 X X，我們了解到 X X系統(tǒng)于 X X年 X月×日完成系統(tǒng)上線驗(yàn)收 X X年總部依賴 X X系統(tǒng)出具了年度財(cái)務(wù)報(bào)告。 X X年總部未發(fā)生系統(tǒng)開(kāi)發(fā)活動(dòng)。該控制在 X X年審計(jì)工作中不適用。 無(wú)樣本無(wú)樣本不適用不適用PD2上線程序控制系統(tǒng)上線的決定應(yīng)該經(jīng)過(guò)項(xiàng)目發(fā)起人/所有者及信息部

8、門管理層的批準(zhǔn)，該批準(zhǔn)從業(yè)務(wù)和信息技術(shù)方面、基于質(zhì)量審計(jì)檢查。1.詢問(wèn)確認(rèn)存在系統(tǒng)移植到實(shí)用環(huán)境的適當(dāng)批準(zhǔn)程序。2.檢查上線批準(zhǔn)表。XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員X X，我們了解到XX系統(tǒng)于XX年X月X日完成系統(tǒng)上線驗(yàn)收，XX年公司依賴XX系統(tǒng)出具了年度財(cái)務(wù)報(bào)告。XX年總部未發(fā)生準(zhǔn)，該批準(zhǔn)從系統(tǒng)開(kāi)發(fā)活動(dòng)。該控制在XX年審計(jì)工作中不適用。無(wú)樣本無(wú)樣本不適用不適用PD3數(shù)據(jù)轉(zhuǎn)換控制執(zhí)行數(shù)據(jù)轉(zhuǎn)換確保生產(chǎn)數(shù)據(jù)的完整性、準(zhǔn)確性和可靠性。1.詢問(wèn)確認(rèn)存在數(shù)據(jù)轉(zhuǎn)換的控制程序，確認(rèn)完整性和可靠性的目標(biāo)實(shí)現(xiàn)。2.獲取并檢查數(shù)據(jù)轉(zhuǎn)換報(bào)告。XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到X

9、X系統(tǒng)于X X年X月X日完成系統(tǒng)上線驗(yàn)收XX年公司依賴XX系統(tǒng)出具了年度財(cái)務(wù)報(bào)告。XX年總部未發(fā)生系統(tǒng)開(kāi)發(fā)活動(dòng)。該控制在X X年審計(jì)工作中不適用。無(wú)樣本無(wú)樣本不適用不適用三、與程序變更相關(guān)的控制控制編號(hào)控制目標(biāo)控制描述測(cè)試程序測(cè)試內(nèi)容測(cè)試結(jié)論外部文檔例外描述測(cè)試和質(zhì)量保證PCl變更測(cè)試建立測(cè)試環(huán)境，測(cè)試環(huán)境應(yīng)與實(shí)用環(huán)境相隔離。1.訪談了解變更測(cè)試流程，以及測(cè)試環(huán)境和實(shí)用環(huán)撓隔離的情況。2.實(shí)地觀察測(cè)試環(huán)境和實(shí)用環(huán)境隔離情況。1.XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到X X單位財(cái)務(wù)信息化軟件管理細(xì)則規(guī)定：“需求變更的補(bǔ)丁或版本更新需在測(cè)試環(huán)撓中經(jīng)過(guò)測(cè)試小組測(cè)試并做好測(cè)試記錄

10、?！盭X單位建立了獨(dú)立的測(cè)試環(huán)境，在測(cè)試環(huán)境對(duì)升級(jí)補(bǔ)丁測(cè)試通過(guò)后才會(huì)移植到實(shí)用環(huán)境中。2.我們實(shí)地觀察了測(cè)試環(huán)境服務(wù)器為IP：XX，實(shí)用環(huán)境服務(wù)器為IP：XX，且存在于不同的物理機(jī)器上。測(cè)試環(huán)境與實(shí)用環(huán)境是物理隔離的。未發(fā)現(xiàn)異常測(cè)試環(huán)境和實(shí)用環(huán)境分別截屏不適用PC2變更測(cè)試根據(jù)實(shí)際需要進(jìn)行適當(dāng)?shù)南到y(tǒng)變更測(cè)試，確保變更后系統(tǒng)功能，且不影響生產(chǎn)系統(tǒng)的運(yùn)行。1.訪談了解是否存在用戶接受測(cè)試，測(cè)試結(jié)果有沒(méi)有記錄。2.檢查測(cè)試，文檔有沒(méi)有用戶接受測(cè)試的結(jié)果確認(rèn)。1.XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到系統(tǒng)維護(hù)工程師在收到XX單位提交的變更需求匯總之后，進(jìn)行需求開(kāi)發(fā)。完成后由應(yīng)用系

11、統(tǒng)管理員對(duì)需求解決' 情況進(jìn)行評(píng)價(jià)。評(píng)價(jià)通過(guò)后，由提出需求單位的財(cái)務(wù)人員在測(cè)試環(huán)境中進(jìn)行測(cè)試，但未形成書(shū)面確認(rèn)記錄。2我們獲取并檢查了系統(tǒng)補(bǔ)丁管理工具中的已安裝補(bǔ)丁列表，發(fā)現(xiàn)XX年XX系統(tǒng)共安裝升級(jí)補(bǔ)了XX個(gè)，拍取了45次升級(jí)補(bǔ)丁作為樣本，并對(duì)用戶接受測(cè)試記錄進(jìn)行檢查。發(fā)現(xiàn)異常發(fā)現(xiàn)異常系統(tǒng)升級(jí)補(bǔ)丁列表X X系統(tǒng)安裝的升級(jí)補(bǔ)丁進(jìn)行了用戶接受性測(cè)試，但未形成書(shū)面確認(rèn)記錄。關(guān)于遷移到實(shí)用環(huán)境的授權(quán)PC3變更上線測(cè)試通過(guò)后的變更需經(jīng)過(guò)有效審批才能執(zhí)行上線，執(zhí)行人員必須得到授權(quán)，應(yīng)該制定相應(yīng)的上線退回機(jī)制，對(duì)于多級(jí)系統(tǒng)，同時(shí)更新服務(wù)器端和所有的客戶端。1.訪談了解變更上線流程，確定相關(guān)審批人員和

12、上線人員，以及服務(wù)器端與客戶端同步更新情況。2.檢查上線審批文檔，是否所有的變更上線都經(jīng)過(guò)有效審批。1.XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到XX單位財(cái)務(wù)信息化軟件管理細(xì)則第五章規(guī)定軟件系統(tǒng)上線前必須由項(xiàng)目負(fù)責(zé)人填寫(xiě)系統(tǒng)上線審批表，由財(cái)務(wù)及信息部門負(fù)責(zé)人審批確認(rèn)。"實(shí)際執(zhí)行中，在對(duì)升級(jí)補(bǔ)丁進(jìn)行評(píng)價(jià)并完成用戶接受性測(cè)試后，正式發(fā)布系統(tǒng)升級(jí)補(bǔ)丁。 2. X X年XX系統(tǒng)共安裝升級(jí)補(bǔ)丁××個(gè)，抽取了 45次升級(jí)補(bǔ)丁作為樣本，并對(duì)上線審批文檔進(jìn)行檢查。經(jīng)與××確認(rèn)，有兩個(gè)功能需求變更，補(bǔ)丁上線前未經(jīng)過(guò)相關(guān)負(fù)責(zé)人的審批。發(fā)現(xiàn)異常發(fā)現(xiàn)

13、異常X X系統(tǒng)升級(jí)補(bǔ)丁列表系統(tǒng)的升級(jí)補(bǔ)丁上線未經(jīng)過(guò)相關(guān)負(fù)責(zé)人的審批。關(guān)于遷移到生產(chǎn)環(huán)境的授權(quán)PC4變更上線變更程序正式發(fā)布之后，相關(guān)單位及時(shí)完整地執(zhí)行了正式發(fā)布的變更程序。1.訪談變更程序執(zhí)行的流程，確定相關(guān)單位是否及時(shí)完整地執(zhí)行了正式發(fā)布的變更程序。 2.獲取系統(tǒng)變更日志，檢查是否存在未執(zhí)行的變更程序。3.獲取系統(tǒng)變更日志，檢查相關(guān)單位是否在變更發(fā)布日之后的3日內(nèi)實(shí)施了系統(tǒng)變更。1. X X日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到由于安裝升級(jí)補(bǔ)丁需要暫停服務(wù)器，所以X X都選擇在財(cái)務(wù)操作較少的月份進(jìn)行補(bǔ)丁升級(jí)，避免影響正常的財(cái)務(wù)業(yè)務(wù)操作。由此導(dǎo)致系統(tǒng)變更升級(jí)有時(shí)不夠及時(shí)。 2

14、. X X年總部 X X系統(tǒng)共安裝升級(jí)補(bǔ)丁X X個(gè)，抽取了 45次升級(jí)補(bǔ)丁作為樣本，對(duì)其發(fā)布日期及應(yīng)用升級(jí)時(shí)間進(jìn)行檢查，發(fā)現(xiàn)均未在補(bǔ)丁發(fā)布后 3日內(nèi)及時(shí)安裝。發(fā)現(xiàn)異常發(fā)現(xiàn)異常XX年XX系統(tǒng)待升級(jí)補(bǔ)丁列表總部未對(duì)發(fā)布的XX系統(tǒng)升級(jí)補(bǔ)丁進(jìn)行及時(shí)更新（見(jiàn)控制缺陷評(píng)價(jià)匯總表）。四、與程序和數(shù)據(jù)訪問(wèn)相關(guān)的控制控制編號(hào)控制目標(biāo)控制描述測(cè)試程序測(cè)試內(nèi)容測(cè)試結(jié)論外部文檔例外描述安全組織和管理APD1信息安全人員管理信息安全相關(guān)技術(shù)人員和業(yè)務(wù)人員的職責(zé)明確定義，技能要求滿足工作需要，并且滿足職責(zé)分離的要求，對(duì)于敏感職位人員，制定了特定的人事政策和流程。1.訪談確定信息安全相關(guān)技術(shù)人員和業(yè)務(wù)人員。2.檢查相關(guān)人員

15、的崗位職責(zé)說(shuō)明書(shū)，是否明確定義了崗位職責(zé)以及崗位要求，是否滿足職責(zé)分離的要求。XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX、信息中心系統(tǒng)管理員XX及數(shù)據(jù)庫(kù)管理員XX，我們了解到財(cái)務(wù)部制定了會(huì)計(jì)核算單位及用戶管理細(xì)則，其中對(duì)應(yīng)用系統(tǒng)管理員的崗位職責(zé)進(jìn)行了規(guī)定；信息中心制定了信息中心崗位職責(zé)分工，其中對(duì)日常維護(hù)流程中涉及的信息安全方面的崗位及其職責(zé)作出規(guī)定。日常工作中XX系統(tǒng)應(yīng)用系統(tǒng)管理員由財(cái)務(wù)部XX擔(dān)任，操作系統(tǒng)管理員由信息中心XX擔(dān)任，數(shù)據(jù)庫(kù)管理員由信息中心XX擔(dān)任，符合職責(zé)分離要求。 通過(guò)詢問(wèn)XX，我們了解到其清楚自己的崗位職責(zé)，且清楚財(cái)務(wù)系統(tǒng)安全相關(guān)的基本要求，如密碼應(yīng)超過(guò)8位，并應(yīng)由

16、數(shù)字和字母組成等。我們獲取并檢查了會(huì)計(jì)核算單位及用戶管理細(xì)則，發(fā)現(xiàn)其中規(guī)定應(yīng)用系統(tǒng)管理員的職責(zé)包括依照審批后的用戶權(quán)限申請(qǐng)表進(jìn)行財(cái)務(wù)信息化系統(tǒng)用戶權(quán)限管理；負(fù)責(zé)財(cái)務(wù)信息化系統(tǒng)的更新管理工作，妥善保管各版本軟件產(chǎn)品；每月至少對(duì)財(cái)務(wù)信息化系統(tǒng)日志及權(quán)限檢查一次，及時(shí)采取相應(yīng)的措施解決發(fā)現(xiàn)的異常情況。" 我們獲取并檢查了信息中心崗位職責(zé)分工，確認(rèn)其中對(duì)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、安全管理員等崗位及其工作內(nèi)容進(jìn)行了說(shuō)明。 未發(fā)現(xiàn)異常未發(fā)現(xiàn)異常信息中心崗位職責(zé)分工會(huì)計(jì)核算單位及用戶管理細(xì)則不適用應(yīng)用安全管理APD2用戶賬號(hào)及權(quán)限申請(qǐng)應(yīng)用系統(tǒng)的賬號(hào)及權(quán)限的申請(qǐng)需要經(jīng)過(guò)有效的審批或授權(quán)，審批時(shí)應(yīng)對(duì)照

17、實(shí)際業(yè)務(wù)進(jìn)行檢查，確保用戶權(quán)限符合業(yè)務(wù)需要和職責(zé)分離要求。1.訪談了解是否存在正式的應(yīng)用系統(tǒng)層面用戶賬號(hào)及權(quán)限管理的流程。2.檢查賬號(hào)及權(quán)限新增/變更/刪除的適當(dāng)性：（1）獲取賬號(hào)及權(quán)限變更日志，了解被更新的賬號(hào)，并以賬號(hào)更新次數(shù)為樣本總體；（2）適當(dāng)抽取樣本，并獲取相應(yīng)的權(quán)限申請(qǐng)單，檢查是否經(jīng)過(guò)有效審批。3.檢查系統(tǒng)中用戶的實(shí)際權(quán)限，查看是否與申請(qǐng)單中一致；檢查系統(tǒng)中賬號(hào)及權(quán)限維護(hù)的時(shí)間是否與申請(qǐng)表單一致。4.詢問(wèn)樣本賬號(hào)涉及部門及人力資源負(fù)責(zé)人，了解系統(tǒng)中賬號(hào)及權(quán)限維護(hù)的時(shí)間是否與實(shí)際情況一致。XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX，我們了解到XX單位制定了會(huì)計(jì)核算單位及用戶管理

18、細(xì)則，其中對(duì)應(yīng)用系統(tǒng)層面用戶賬號(hào)和權(quán)限管理流程進(jìn)行了規(guī)定。日常操作中，應(yīng)用系統(tǒng)層面的用戶新增、刪除和權(quán)限變更需填寫(xiě)用戶權(quán)限申請(qǐng)表，注明用戶名、申請(qǐng)內(nèi)容等，并經(jīng)過(guò)財(cái)務(wù)處處長(zhǎng)簽字確認(rèn)后，由應(yīng)用系統(tǒng)管理員 X X進(jìn)行系統(tǒng)中的賬號(hào)和權(quán)限分配。我們獲取并檢查了XX年1月1日至本審計(jì)時(shí)點(diǎn)的應(yīng)用系統(tǒng)日志，統(tǒng)計(jì)發(fā)現(xiàn)XX年度共發(fā)生用戶新增XX次、權(quán)限變更XX次、刪除XX次，共計(jì)XX次，需抽取XX份用戶權(quán)限申請(qǐng)表進(jìn)行檢查。發(fā)現(xiàn)異常發(fā)現(xiàn)異常會(huì)計(jì)核算單位及用戶管理細(xì)則應(yīng)用系統(tǒng)日志應(yīng)用系統(tǒng)用戶權(quán)限申請(qǐng)表部分用戶 及權(quán)限的新增修改 缺少書(shū)面的申請(qǐng)審批記錄。APD3用戶賬號(hào)及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱與財(cái)務(wù)報(bào)告有關(guān)

19、的應(yīng)用系統(tǒng)權(quán)限以確定授予權(quán)限的適當(dāng)性。1.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層和系統(tǒng)所有者對(duì)權(quán)限檢查結(jié)果的確認(rèn)。3.導(dǎo)出應(yīng)用系統(tǒng)權(quán)限清單，并從人力資源部門獲取財(cái)務(wù)人員名單，重新執(zhí)行檢查，確認(rèn)賬號(hào)及權(quán)限適當(dāng)性：（1）從應(yīng)用系統(tǒng)權(quán)限清單出發(fā)，檢查清單中的人員是否均包含在人力資源部門提供的財(cái)務(wù)人員名單之中，確保應(yīng)用系統(tǒng)中是否存在冗余賬號(hào)及測(cè)試時(shí)點(diǎn)系統(tǒng)賬號(hào)的適當(dāng)性；（2）以財(cái)務(wù)人員系統(tǒng)賬號(hào)為樣本總體，適當(dāng)抽取樣本，比照崗位說(shuō)明書(shū)檢查系統(tǒng)權(quán)限與崗位職責(zé)是否一致。4.導(dǎo)出應(yīng)用系統(tǒng)權(quán)限清單，以財(cái)務(wù)人員系統(tǒng)賬號(hào)為樣本總體，適當(dāng)抽取樣本重新執(zhí)行檢查，確

20、認(rèn)不相容崗位職責(zé)是否分離（不相容職責(zé)），具體需要檢查的不相容職責(zé)包括：（1）應(yīng)用系統(tǒng)管理員是否擁有財(cái)務(wù)操作權(quán)限，普通用戶是否擁有應(yīng)用系統(tǒng)管理員權(quán)限；（2）應(yīng)用系統(tǒng)管理員是否同時(shí)擁有操作系統(tǒng)管理權(quán)限（或了解"操作系統(tǒng)管理員賬號(hào)"的登陸密碼）；（3）應(yīng)用系統(tǒng)管理員是否同時(shí)擁有數(shù)據(jù)庫(kù)管理權(quán)限（或了解"數(shù)據(jù)庫(kù)管理員賬號(hào)"的登陸密碼）；（4）賬套設(shè)立和財(cái)務(wù)操作是否分離；（5）固定資產(chǎn)基礎(chǔ)數(shù)據(jù)維護(hù)和固定資產(chǎn)卡片管理權(quán)限是否分離； （6）憑證錄人與審核是否分離；（7）出納和會(huì)計(jì)權(quán)限是否分離。X X日，通過(guò)詢問(wèn) X X單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員 X X，我們了解到會(huì)計(jì)核算

21、單位及用戶管理細(xì)則第四章中對(duì)用戶賬號(hào)及權(quán)限的定期審閱進(jìn)行了規(guī)定，包括要求"應(yīng)用系統(tǒng)管理員每月至少對(duì)財(cái)務(wù)信息化系統(tǒng)日志及權(quán)限檢查一次，及時(shí)采取相應(yīng)的措施解決發(fā)現(xiàn)的異常情況。"但目前財(cái)務(wù)部管理層和系統(tǒng)管理員均未定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。我們檢查了系統(tǒng)的權(quán)限設(shè)置，發(fā)現(xiàn)其分為用戶、崗位與職責(zé)三個(gè)層次，每個(gè)用戶對(duì)應(yīng)不同的崗位，每個(gè)崗位分配一定的職責(zé)，以保證每個(gè)用戶根據(jù)其任職單位級(jí)別和個(gè)人崗位職責(zé)在系統(tǒng)中分配合理的權(quán)限。具體抽樣結(jié)果請(qǐng)參見(jiàn)明細(xì)表。XX系統(tǒng)存在系統(tǒng)自動(dòng)控制，不允許制單人與審核人為同一人，憑證均由獨(dú)立人員進(jìn)行復(fù)核。財(cái)務(wù)部在過(guò)賬前會(huì)復(fù)核交易流水賬等原始憑證，并與會(huì)計(jì)憑證進(jìn)行

22、核對(duì)，從而可及時(shí)發(fā)現(xiàn)未授權(quán)的數(shù)據(jù)修改。具體外部文件請(qǐng)參見(jiàn)：用戶崗位職責(zé)及賬號(hào)權(quán)限截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常用戶崗位職責(zé)及賬號(hào)權(quán)限截屏財(cái)務(wù)處人員清單及新增、轉(zhuǎn)崗、離職說(shuō)明冗余賬號(hào)的憑證制單和審核記錄財(cái)務(wù)部管理層和系統(tǒng)管理員均未定期審閱財(cái)務(wù)系統(tǒng)用戶和權(quán)限。應(yīng)用系統(tǒng)中存在冗余賬號(hào)，包括離職人員賬號(hào)、外部軟件工程師賬號(hào)。應(yīng)用系統(tǒng)管理員XX的系統(tǒng)維護(hù)權(quán)限與財(cái)務(wù)操作權(quán)限未分離。應(yīng)用系統(tǒng)管理員XX了解操作系統(tǒng)的管理員賬號(hào)密碼，不符合職責(zé)分離要求。數(shù)據(jù)安全APD4數(shù)據(jù)訪問(wèn)管理層實(shí)施了數(shù)據(jù)直接訪問(wèn)的正式流程。1.訪談了解是否存在數(shù)據(jù)直接訪問(wèn)的正式流程以及是否發(fā)生數(shù)據(jù)訪問(wèn)。2.獲取數(shù)據(jù)直接訪問(wèn)的相關(guān)文檔，檢查是否與流程

23、要求相符。XX日，通過(guò)詢問(wèn)XX單位信息中心數(shù)據(jù)庫(kù)管理員XX，我們了解到XX單位日常不允許進(jìn)行數(shù)據(jù)庫(kù)直接訪問(wèn)操作。不適用不適用不適用不適用APD5用戶賬號(hào)及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)庫(kù)用戶及權(quán)限以確定授予權(quán)限的適當(dāng)性。l.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)庫(kù)用戶和權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層和系統(tǒng)所有者對(duì)于權(quán)限檢查結(jié)果的確認(rèn)。 3.檢查數(shù)據(jù)庫(kù)中用戶及權(quán)限的適當(dāng)性。XX日，通過(guò)詢問(wèn)XX單位信息中心數(shù)據(jù)庫(kù)管理員XX，我們了解到財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則中第二十條規(guī)定定期進(jìn)行數(shù)據(jù)庫(kù)系統(tǒng)日志和權(quán)限檢查，填寫(xiě)數(shù)據(jù)庫(kù)日志和權(quán)限例行檢查表。&quo

24、t;XX在每周的系統(tǒng)巡檢中對(duì)財(cái)務(wù)系統(tǒng)使用的數(shù)據(jù)庫(kù)用戶帳號(hào)進(jìn)行檢查，若發(fā)現(xiàn)問(wèn)題在巡檢記錄中予以登記，沒(méi)有問(wèn)題則不登記。2010年未發(fā)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)用戶賬號(hào)問(wèn)題，因此未形成數(shù)據(jù)庫(kù)系統(tǒng)用戶賬號(hào)檢查的書(shū)面記錄。目前XX系統(tǒng)使用的數(shù)據(jù)庫(kù)版本為 XX，我們獲取并檢查了數(shù)據(jù)庫(kù)用戶賬號(hào)列表，發(fā)現(xiàn)目前數(shù)據(jù)庫(kù)中共有XX個(gè)用戶賬號(hào)，其中：（1）系統(tǒng)自帶管理賬號(hào)共2個(gè)，分別為SYS、SYSTEM，由數(shù)據(jù)庫(kù)管理員XX日常運(yùn)營(yíng)維護(hù)使用；（2）應(yīng)用程序連接賬號(hào) X X為軟件連接使用。經(jīng)檢查發(fā)現(xiàn)不存在異?；蛉哂噘~號(hào)。具體情況請(qǐng)參見(jiàn)：數(shù)據(jù)庫(kù)用戶賬號(hào)列表截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常數(shù)據(jù)庫(kù)用戶賬號(hào)列表截屏XX在每周的系統(tǒng)巡檢中會(huì)對(duì)財(cái)務(wù)系統(tǒng)使

25、用的數(shù)據(jù)庫(kù)的用戶賬號(hào)進(jìn)行檢測(cè)查，但未形成數(shù)據(jù)庫(kù)系統(tǒng)用戶賬號(hào)檢查的書(shū)面記錄。操作系統(tǒng)安全APD6用戶賬號(hào)及權(quán)限檢查管理層或系統(tǒng)所有者定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)權(quán)限以確定授予權(quán)限的適當(dāng)性1.訪談了解管理層或系統(tǒng)所有者是否定期審閱財(cái)務(wù)系統(tǒng)相關(guān)的操作系統(tǒng)權(quán)限。2.獲取權(quán)限檢查單，檢查是否存在管理層或系統(tǒng)所有者對(duì)于權(quán)限檢查結(jié)果的確認(rèn)。3.檢查操作系統(tǒng)中用戶及權(quán)限的適當(dāng)性。XX日，通過(guò)詢問(wèn)XX單位信息中心 操作系統(tǒng)管理員XX，我們了解到財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則中第十八條規(guī)定：“定期進(jìn)行操作系統(tǒng)日志和權(quán)限檢查，填寫(xiě)操作系統(tǒng)日志和權(quán)限例行檢查表?！比粘９ぷ髦?，XX在每周的系統(tǒng)巡檢中會(huì)對(duì)財(cái)務(wù)系統(tǒng)所在服務(wù)器的

26、操作系統(tǒng)用戶賬號(hào)進(jìn)行檢查，若發(fā)現(xiàn)問(wèn)題則在巡檢記錄中予以登記，沒(méi)有問(wèn)題則不登記。XX年未發(fā)現(xiàn)操作系統(tǒng)用戶賬號(hào)問(wèn)題，因此未形成操作系統(tǒng)用戶賬號(hào)檢查的書(shū)面記錄。具體情況請(qǐng)參見(jiàn)：操作系統(tǒng)用戶賬號(hào)列表截屏發(fā)現(xiàn)異常發(fā)現(xiàn)異常操作系統(tǒng)XX在每周的系統(tǒng)巡檢中會(huì)對(duì)財(cái)務(wù)系統(tǒng)所在服務(wù)器的操作系統(tǒng)用戶賬號(hào)進(jìn)行檢查，但未形成操作系統(tǒng)用戶賬號(hào)檢查的書(shū)面記錄。密碼安全APD7密碼安全定正式的操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)密碼配置來(lái)確保系統(tǒng)安全。1.訪談了解操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)密碼策略。2.獲取操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)密碼設(shè)置策略檢查其是否按照要求執(zhí)行。具體檢查內(nèi)容包括：（1）密碼長(zhǎng)度；（2）密碼復(fù)雜度；（3）密碼過(guò)期設(shè)置

27、。XX日，通過(guò)詢問(wèn)XX單位財(cái)務(wù)部應(yīng)用系統(tǒng)管理員XX、信息中心操作系統(tǒng)管理員XX及數(shù)據(jù)庫(kù)管理員XX , 我們了解到：1.XX單位制定了財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則，其中對(duì)系統(tǒng)密碼進(jìn)行規(guī)定，包括：所有系統(tǒng)的特權(quán)賬號(hào)密碼至少一個(gè)季度更改一次；所有的用戶級(jí)密碼至少六個(gè)月更改一次；密碼長(zhǎng)度應(yīng)該至少不低于八位字符且使用不易被猜測(cè)的密碼；2.應(yīng)用系統(tǒng)功能無(wú)法實(shí)現(xiàn)對(duì)密碼進(jìn)行統(tǒng)一管理和配置；數(shù)據(jù)庫(kù)未進(jìn)行密碼配置；操作系統(tǒng)未對(duì)密碼的長(zhǎng)度復(fù)雜度等參數(shù)進(jìn)行合理配置。我們檢查應(yīng)用系統(tǒng)、操作系統(tǒng)及數(shù)據(jù)庫(kù)的密碼設(shè)置，發(fā)現(xiàn)：（1）應(yīng)用系統(tǒng)：密碼修改策略中設(shè)置為密碼永不過(guò)期，無(wú)定期更換要求。我們檢查了用戶的實(shí)際密碼設(shè)置，發(fā)現(xiàn)如果密

28、碼長(zhǎng)度小于6，系統(tǒng)會(huì)自動(dòng)提示"太短并不允許通過(guò)，即應(yīng)用系統(tǒng)對(duì)密碼長(zhǎng)度有自動(dòng)控制，密碼長(zhǎng)度應(yīng)大于6位；如果密碼組成只包含數(shù)字不包含字母，系統(tǒng)會(huì)自動(dòng)提示密碼強(qiáng)度為"弱但允許通過(guò)，即應(yīng)用系統(tǒng)對(duì)密碼復(fù)雜度只有提醒，未提供自動(dòng)控制強(qiáng)制密碼設(shè)置為數(shù)字和字母結(jié)合等合理的復(fù)雜度的功能。具體情況請(qǐng)參見(jiàn)：應(yīng)用系統(tǒng)密碼設(shè)置具體情況請(qǐng)參見(jiàn)：數(shù)據(jù)庫(kù)系統(tǒng)密碼設(shè)置（2）操作系統(tǒng)：我們獲取并檢查了操作系統(tǒng)的密碼配置，發(fā)現(xiàn)操作系統(tǒng)未對(duì)密碼的長(zhǎng)度、復(fù)雜度等參數(shù)進(jìn)行合理配置?，F(xiàn)場(chǎng)觀察了操作系統(tǒng)管理員XX輸入操作系統(tǒng)管理員密碼，發(fā)現(xiàn)密碼長(zhǎng)度超過(guò)8位，復(fù)雜度為數(shù)字和字母組合。具體情況請(qǐng)參見(jiàn)XX單位_ITGC_APD_8操作系統(tǒng)密碼設(shè)置發(fā)現(xiàn)異常發(fā)現(xiàn)異常財(cái)務(wù)信息系統(tǒng)安全管理細(xì)則應(yīng)用系統(tǒng)密碼設(shè)置數(shù)據(jù)庫(kù)系統(tǒng)密碼設(shè)置操作系統(tǒng)密碼設(shè)置應(yīng)用系統(tǒng)密碼設(shè)置為永不過(guò)期，無(wú)定期更換要求。應(yīng)用系統(tǒng)對(duì)密碼復(fù)雜度只有提醒，未提供自動(dòng)控制制強(qiáng)制密碼設(shè)置為、 數(shù)字和字母結(jié)合等合理的復(fù)雜度的功能。數(shù)據(jù)庫(kù)系統(tǒng)的密碼僅使用系統(tǒng)默認(rèn)的無(wú)限制設(shè)置。操作系統(tǒng)未對(duì)密碼的長(zhǎng)度、復(fù)雜度等參數(shù)進(jìn)行合理配置以確保用戶按照要求合理制定及定期修改密碼。五、與計(jì)算機(jī)操作