信息系統(tǒng)審計方法與操作指引共43頁課件

1、信息系統(tǒng)審計方法及操作指引劉麗萍 2019/01一、信息系統(tǒng)審計方法IT一般控制和應(yīng)用控制審計概要7/24/20222IT一般控制審計程序IT一般控制概念信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個財務(wù)報表交易流程的重要組成部分，它影響財務(wù)數(shù)據(jù)的一致性、完整性和準(zhǔn)確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險增加，因此對IT控制進(jìn)行測試與評估就顯得尤為重要。IT一般控制是指為保證在一段時期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪問等方面的系統(tǒng)控制。因為這些控制對一個以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱為“IT一般控制”。 IT一般控制分類變更管理：只允許對應(yīng)用程序、界面、數(shù)據(jù)

2、庫和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測試和批準(zhǔn)的變更。 邏輯訪問：只有經(jīng)過授權(quán)的人員，才可以訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新）。其他IT一般控制（包括IT運(yùn)行）：正確備份支持財務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問題時，能夠準(zhǔn)確、完整地恢復(fù)這類數(shù)據(jù)。按計劃執(zhí)行程序，并及時識別和消除按計劃處理時產(chǎn)生的偏差。及時識別、解決、復(fù)核和分析IT運(yùn)行問題或事故。 7/24/20223IT一般控制審計程序IT一般控制包含控制流程主要包括三個方面變更管理邏輯訪問其它IT一般控制平穩(wěn)解決創(chuàng)新管理問題IT一般控制審計Enterprise datamo

3、delMaster/ reference dataTechnology and tools standards信息系統(tǒng)審計指南和標(biāo)準(zhǔn)用戶賬號變更管理超級用戶訪問授權(quán)關(guān)鍵系統(tǒng)資源和工具訪問授權(quán)權(quán)限定期檢查超級用戶日志職責(zé)分離安全參數(shù)設(shè)置遠(yuǎn)程訪問網(wǎng)絡(luò)安全備份管理備份恢復(fù)物理安全批處理第三方管理問題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計劃災(zāi)難恢復(fù)系統(tǒng)開發(fā)和重大變更程序變更配置/參數(shù)變更基礎(chǔ)架構(gòu)變更緊急程序變更數(shù)據(jù)修改7/24/20224IT一般控制審計程序變更管理1.2.1 IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響變更管理種類，并且在測試范圍內(nèi)：應(yīng)用程序 界面（IT控制）

4、 數(shù)據(jù)庫操作系統(tǒng)/網(wǎng)絡(luò) 1.2 影響變更管理測試性質(zhì)和范圍因素僅允許對應(yīng)用程序、界面、數(shù)據(jù)庫和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測試和批準(zhǔn)的變更。1.1 總體目標(biāo)7/24/20225IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))1.2.2 變更類型要確定最適當(dāng)?shù)臏y試方法，了解和記錄用于變更管理過程，包括針對以下變更類型和IT環(huán)境技術(shù)組成要素過程：程序開發(fā)/采購 開發(fā)和實施新應(yīng)用程序或界面。 程序變更 對現(xiàn)有應(yīng)用程序和界面進(jìn)行的變更。 系統(tǒng)軟件維護(hù) 對數(shù)據(jù)庫、操作系統(tǒng)和其他系統(tǒng)軟件進(jìn)行的技術(shù)變更（例如：補(bǔ)丁程序和升級）。 緊急變更 在緊急情況下進(jìn)行的變更。 配置/參數(shù)變更 對IT環(huán)境各種技術(shù)組成要

5、素總體配置和參數(shù)設(shè)置進(jìn)行的變更相關(guān)，包括對新應(yīng)用程序的配置設(shè)置進(jìn)行初始設(shè)置。7/24/20226IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))選擇變更管理樣本首選方法是：直接從表明自審計期間期初到測試日期實際進(jìn)行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。 如果系統(tǒng)生成清單不可用，可以考慮以下組合： 獲取被審計公司變更清單（手工維護(hù)清單或來自自動跟蹤系統(tǒng)清單）； 確定程序變更清單是完整的。通過查找編譯日期在審計期間內(nèi)的可執(zhí)行模塊來獲取實際變更清單，從該清單中選擇一個在此期間發(fā)生的變更樣本，并驗證從被審計機(jī)構(gòu)那里獲取的變更清單上是否存在該變更。 如果沒有任何變更，

6、則核實范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計期間內(nèi)，以確定沒有發(fā)生變更。1.2.3 識別對IT環(huán)境進(jìn)行的變更（測試總體）根據(jù)確定的測試方法，獲取從審計期間期初到測試日期以來IT環(huán)境相關(guān)組成要素變更完整清單（變更管理清單）。應(yīng)盡可能進(jìn)一步分離變更管理清單，使其只包括在范圍內(nèi)的那些IT環(huán)境變更和技術(shù)組成要素。 應(yīng)用以下與獲取程序變更清單相關(guān)的方法：7/24/20227IT一般控制審計程序影響變更管理測試性質(zhì)和范圍因素(續(xù))已授權(quán) 確定請求的變更已經(jīng)過適當(dāng)授權(quán)。根據(jù)被審計機(jī)構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費(fèi)時間少于特定小時數(shù)的變更），變更可能不需要特定授權(quán)。 已測

7、試 確定用戶是否執(zhí)行了測試以確認(rèn)變更按設(shè)計意圖運(yùn)行。否則，應(yīng)確認(rèn)確實進(jìn)行了其他適當(dāng)測試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計機(jī)構(gòu)政策，可以接受純IT測試。 已批準(zhǔn) 確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準(zhǔn)了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準(zhǔn)。1.2.4 授權(quán)、測試和批準(zhǔn)變更 1.2.5 變更管理職責(zé)分工補(bǔ)償性控制由于組織結(jié)構(gòu)或其他原因無法進(jìn)行變更管理不相容職責(zé)分工情況下，補(bǔ)償性控制可以用來保證不會發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補(bǔ)償性控制設(shè)計為發(fā)現(xiàn)何時因不相容職責(zé)分工問題而規(guī)避現(xiàn)有其他變更管理控制。補(bǔ)償性IT一般控制示例有：變更日志復(fù)核，以

8、確定只有批準(zhǔn)的變更被移到生產(chǎn)環(huán)境中，同時確認(rèn)變更日志是完整的。 變更控制會議，以討論和跟進(jìn)移入生產(chǎn)環(huán)境中的最新變更。 7/24/20228IT一般控制審計程序邏輯訪問2.1 總體目標(biāo)只允許授權(quán)人員訪問數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢問、執(zhí)行和更新等）。 需要考慮 ITGC 邏輯訪問測試是否提供了有關(guān)適當(dāng)?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，ITGC 測試不能為我們提供足夠的證據(jù)，以明確斷定是否為各個交易適當(dāng)限制或分離了邏輯訪問。此時，應(yīng)用程序?qū)哟蔚脑L問控制對于我們的風(fēng)險評估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測試的一部分

9、，我們將對應(yīng)用程序?qū)哟卧L問或不相容職責(zé)分工控制執(zhí)行特定測試。7/24/20229IT一般控制審計程序2.2 影響邏輯訪問測試性質(zhì)和范圍因素對于ITGC審計范圍每個應(yīng)用程序,應(yīng)確定用于保護(hù)財務(wù)系統(tǒng)程序和數(shù)據(jù)訪問的邏輯訪問路徑每個技術(shù)組成要素關(guān)鍵程度。邏輯訪問路徑可能的技術(shù)組成要素包括：2.2.1 邏輯訪問路徑應(yīng)用程序 操作系統(tǒng)，包括使用安全軟件 數(shù)據(jù)庫 網(wǎng)絡(luò) 互聯(lián)網(wǎng)/遠(yuǎn)程訪問 穿行測試應(yīng)記錄邏輯訪問路徑中的哪些位置存在不同授權(quán)訪問過程。在大多數(shù)環(huán)境中：所有邏輯訪問ITGC均應(yīng)用于應(yīng)用程序?qū)哟?；并非所有邏輯訪問ITGC都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫層次； 只有極少數(shù)邏輯訪問ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠(yuǎn)程訪

10、問或互聯(lián)網(wǎng)層次。 7/24/202210IT一般控制審計程序影響邏輯訪問測試性質(zhì)和范圍因素(續(xù))與離職和調(diào)動用戶相關(guān)的ITGC通常是補(bǔ)償性控制，用于彌補(bǔ)定期用戶訪問復(fù)核過程的缺陷。如果審計方法表明需要測試離職和調(diào)動用戶，我們應(yīng)考慮以下程序：2.2.2 定期用戶權(quán)限復(fù)核控制的補(bǔ)償性控制測試程序 離職用戶：獲取審計期間離職職員清單，并確定它是完整的、有效的。選擇適當(dāng)樣本，確定是否及時刪除或撤消了系統(tǒng)訪問權(quán)限。測試程序 調(diào)動用戶：獲取審計期間調(diào)動職員清單，并確定它是完整的、有效的。確定用戶訪問對于其工作職能來說是否適當(dāng)，其以前的系統(tǒng)訪問權(quán)限是否已被刪除或撤消。7/24/202211IT一般控制審計程

11、序其他IT一般控制備份和恢復(fù)：正確備份支持財務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問題時，可以準(zhǔn)確完整地恢復(fù)此類數(shù)據(jù)。 任務(wù)排程：按計劃執(zhí)行程序，及時識別并消除按計劃處理時產(chǎn)生的偏差。 批處理：正確維護(hù)批處理過程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問題和事件管理及監(jiān)控：及時識別、解決、復(fù)核和分析IT運(yùn)行問題或事件。3.1 總體目標(biāo)3.2 影響其他IT一般控制測試性質(zhì)和范圍因素3.2.1 IT環(huán)境技術(shù)組成要素在風(fēng)險評估過程中，我們應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會影響其他IT一般控制，并且在測試范圍內(nèi)：應(yīng)用程序 數(shù)據(jù)庫 操作系統(tǒng)/網(wǎng)絡(luò) 7/24/202212IT一般控制審計程序方法論測試

12、方法測試人員需要根據(jù)具體情況，決定采用不同測試方法，包括：詢問、觀察、檢查、重新執(zhí)行四種。注意：對某一個控制點(diǎn)測試可能需要結(jié)合各種不同測試方法，譬如用戶賬號管理流程關(guān)于用戶初始密碼必須及時更改這個控制點(diǎn)。詢問：通過向相關(guān)人員訪談了解各個系統(tǒng)是否存在用戶初始密碼更改控制，由什么崗位負(fù)責(zé)這項工作，是否有制度對初始密碼作出規(guī)定等。 觀察：觀察一個系統(tǒng)新用戶初次登陸時，系統(tǒng)是否提示修改密碼。 檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強(qiáng)制用戶在初次登錄后修改密碼。 重新執(zhí)行：申請一個測試賬號，在系統(tǒng)中初次登錄時查看系統(tǒng)是否強(qiáng)制要求修改密碼。7/24/202213IT一般控制審計程序方法論為了解IT

13、流程，參與評估人員需要在內(nèi)控文檔中對如下內(nèi)容進(jìn)行關(guān)注：5個W(WHO, WHEN, WHAT,WHERE, WHY )與1個H( HOW )誰來做的-Who何時做的-When做的什么- What在哪做的- Where做的原因- Why如何做的- How了解IT流程方法7/24/202214IT一般控制審計程序方法論IT一般控制測試流程缺陷報告文檔整改控制矩陣測試訪談再評估7/24/202215IT一般控制審計程序方法論IT一般控制流程主要關(guān)注點(diǎn)舉例-用戶賬戶維護(hù)流程 注：所列內(nèi)容僅為簡單樣例需求部門如何提出用戶賬戶維護(hù)申請該申請由誰來授權(quán)，如何授權(quán)以及授權(quán)哪些內(nèi)容需求申請及授權(quán)確認(rèn)記錄在哪里具

14、體誰負(fù)責(zé)執(zhí)行及如何執(zhí)行 負(fù)責(zé)人完成維護(hù)操作后，如何通知需求部門或授權(quán)人啟動授權(quán)記錄流程處理匯報詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查詢問、觀察和檢查7/24/202216IT一般控制審計方法論了解被評估單位的IT一般控制流程根據(jù)流程描述，識別風(fēng)險與控制的關(guān)系根據(jù)應(yīng)用系統(tǒng)配置清單，判斷測試范圍根據(jù)測試范圍設(shè)計測試方法執(zhí)行穿行測試/控制測試根據(jù)測試結(jié)果，進(jìn)行控制評價填寫缺陷報告、制定整改計劃流程描述/流程圖IT一般控制評估風(fēng)險控制矩陣系統(tǒng)配置清單測試模板穿行、控制測試報告缺陷報告、整改計劃使用相關(guān)流程描述方法表示被評估單位某個具體業(yè)務(wù)處理過程。 風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致

15、負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對風(fēng)險的刻畫更為有效和清晰。識別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)用系統(tǒng)來源、計算機(jī)平臺、操作系統(tǒng)、數(shù)據(jù)庫名稱和版本等有關(guān)系統(tǒng)的信息。根據(jù)對信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點(diǎn)、控制點(diǎn)、測試范圍、測試時間、測試步驟等信息對相關(guān)風(fēng)險點(diǎn)所針對的每個控制進(jìn)行測試，并得出結(jié)論（即：確定ITGC是否有效）。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制 未按照設(shè)計方式運(yùn)行的情況進(jìn)行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。7/24/202217IT一般控制審計程序方法論流程描述/流程圖系統(tǒng)變更流程適

16、用范圍-針對XXX系統(tǒng)需求申請需求可行性分析 業(yè)務(wù)需求文檔編寫系統(tǒng)開發(fā)測試上線上線后跟進(jìn)7/24/202218IT一般控制審計程序方法論風(fēng)險控制矩陣風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對風(fēng)險的刻畫更為有效和清晰。包括風(fēng)險點(diǎn)、控制點(diǎn)、控制存在的證明性資料、實際控制描述等信息。7/24/202219IT一般控制審計程序方法論穿行測試、控制測試定義穿行測試：追蹤交易實際執(zhí)行或在信息系統(tǒng)中的處理過程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測試不是單獨(dú)的一種審計程序，而是將多種審計程序按特定審計需要結(jié)合運(yùn)用的方法。通過追蹤交易處

17、理過程，證實審計人員對控制的了解、評價控制設(shè)計有效性以及確定控制是否得到執(zhí)行?？刂茰y試：測試被審計單位系統(tǒng)控制設(shè)計合理性和執(zhí)行有效性。在測試控制運(yùn)行有效性時，應(yīng)當(dāng)從下列方面獲取關(guān)于控制是否有效運(yùn)行的審計證據(jù)：控制在所審計期間不同時點(diǎn)是如何運(yùn)行的；控制是否得到一貫執(zhí)行；控制由誰執(zhí)行；控制以何種方式運(yùn)行（如人工控制或自動控制）。 穿行測試：評價控制設(shè)計有效性。穿行測試主要是在了解內(nèi)部控制時運(yùn)用，但在執(zhí)行穿行測試時，也能獲取部分控制運(yùn)行有效性的審計證據(jù)。控制測試：評價控制設(shè)計有效性并確定控制是否得到有效執(zhí)行。穿行測試、控制測試區(qū)別7/24/202220IT一般控制審計程序方法論穿行測試樣本量穿行測試

18、是隨機(jī)選擇審計期間的一個樣本進(jìn)行測試?？刂茰y試樣本量在制定用于執(zhí)行控制測試的測試策略時，應(yīng)考慮這樣一個事實：執(zhí)行足夠多程序是為了作出控制有效運(yùn)行結(jié)論。下表匯總了我們在下列情況下針對某個特定控制執(zhí)行控制測試的基本測試范圍指引：控制性質(zhì)及執(zhí)行頻率全面控制測試 - 要測試的最少樣本數(shù)量（控制測試范圍）每天執(zhí)行許多次的手工控制25每天執(zhí)行一次的手工控制*25每周執(zhí)行一次的手工控制5每月執(zhí)行一次的手工控制2每季執(zhí)行一次的手工控制2每年執(zhí)行一次的手工控制1自動控制1（區(qū)別不同交易類型）* 某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對于這種控制，應(yīng)使用上面指引推算樣本量。通常，對于在一年中出現(xiàn) 50 至

19、250 次的控制，使用上面表格推算的最低樣本量大約是發(fā)生數(shù)量的10%。7/24/202221IT一般控制審計程序方法論測試模板根據(jù)對被審計單位信息系統(tǒng)的初步了解，設(shè)計出相應(yīng)的測試模板，包括風(fēng)險點(diǎn)、控制點(diǎn)、測試范圍、測試時間、測試步驟等信息。7/24/202222IT一般控制審計程序方法論缺陷報告、整改計劃對所測試的控制沒有按照設(shè)定方式運(yùn)行情況進(jìn)行總結(jié)歸納；同時找出原因和影響范圍，并對其提出有針對性的整改意見。7/24/202223IT一般控制審計程序方法論IT一般控制與應(yīng)用控制關(guān)系人工控制自動控制（純）人工控制應(yīng)用程序控制人工依賴IT控制IT一般控制人工檢查性控制人工預(yù)防性控制7/24/202

20、224IT應(yīng)用控制審計方法論IT應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對于財務(wù)報表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。IT應(yīng)用控制類型7/24/202225IT應(yīng)用控制審計方法論了解核心應(yīng)用系統(tǒng)相關(guān)的重要業(yè)務(wù)流程確定業(yè)務(wù)流程與應(yīng)用系統(tǒng)的對應(yīng)關(guān)系根據(jù)業(yè)務(wù)流程描述，識別風(fēng)險與控制執(zhí)行穿行測試/控制測試 根據(jù)測試結(jié)果，進(jìn)行控制評價 填寫缺陷報告，制定整改計劃流程描述/流程圖應(yīng)用控制層面評估系統(tǒng)規(guī)劃圖風(fēng)險控制矩陣穿行、控制測試報告缺陷報告、整改計劃使用既定的流程描述方法表示

21、被審計機(jī)構(gòu)某個具體業(yè)務(wù)處理過程。 描述各個系統(tǒng)之間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相關(guān)接口。對已選擇風(fēng)險點(diǎn)所針對的每個控制進(jìn)行測試，并得出結(jié)論。測試結(jié)論所依賴的審計證據(jù)一定要真實可靠。對所測試的控制并未按照針對該交易或控制運(yùn)行發(fā)生而設(shè)計的方式運(yùn)行進(jìn)行總結(jié)歸納；同時找出原因和影響范圍，并對其提出整改意見。風(fēng)險控制矩陣是對風(fēng)險所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對風(fēng)險的刻畫更為有效和清晰。7/24/202226IT應(yīng)用控制審計方法論風(fēng)險控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動控制和人工依賴IT系統(tǒng)控制三類控制。樣例如下：存在/發(fā)生、完整性、權(quán)利和

22、義務(wù)、計價和分?jǐn)?、?zhǔn)確性、截止、分類7/24/202227二、信息系統(tǒng)審計準(zhǔn)則與操作指引7/24/202228信息系統(tǒng)審計準(zhǔn)則與操作指引 行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)部控制指引證券公司內(nèi)部控制指引壽險公司內(nèi)部控制評價辦法上市公司內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引證券交易所行業(yè)監(jiān)管機(jī)構(gòu)企業(yè)內(nèi)部控制基本規(guī)范財政部證監(jiān)會審計署銀監(jiān)會保監(jiān)會企業(yè)內(nèi)部控制評價指引企業(yè)內(nèi)部控制審計指引證券交易所、行業(yè)監(jiān)管機(jī)構(gòu)均出臺了一系列內(nèi)部控制指引，為企業(yè)建立和實施內(nèi)部控制制度提供一些行業(yè)性指引。中國注冊會計師審計準(zhǔn)則第1211號了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險要求注冊會計師了解信息技術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險，并且

23、應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。財政部牽頭五部委出臺企業(yè)內(nèi)部控制基本規(guī)范，為企業(yè)提供了完整和公認(rèn)的內(nèi)部控制框架，同時以法規(guī)的形式要求上市公司對本公司內(nèi)部控制的有效性進(jìn)行自我評價。企業(yè)內(nèi)部控制評價指引具體規(guī)范了內(nèi)控評價的內(nèi)容和標(biāo)準(zhǔn)，評價的程序和方法，內(nèi)控缺陷的認(rèn)定，以及規(guī)定了評價報告的相關(guān)內(nèi)容。企業(yè)內(nèi)部控制應(yīng)用指引在每個具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險，崗位分工及授權(quán)批準(zhǔn)，及主要流程的控制程序。企業(yè)內(nèi)部控制審計指引為指導(dǎo)注冊會計師執(zhí)行內(nèi)部控制審計業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引7/24/202229企業(yè)內(nèi)部控制基本規(guī)范- 信息系統(tǒng)控制

24、企業(yè)內(nèi)部控制基本規(guī)范第五章中第四十一條對信息系統(tǒng)內(nèi)部控制進(jìn)行了要求：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運(yùn)行?！?/24/202230企業(yè)內(nèi)部控制評價指引- 信息系統(tǒng)控制7/24/202231企業(yè)內(nèi)部控制應(yīng)用指引第18號-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開發(fā)（5條） 信息系統(tǒng)運(yùn)行與維護(hù)（6條） 7/24/202232中國注冊會計師審計準(zhǔn)則第1211號-了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險第五十九條 注冊會計師應(yīng)當(dāng)從下列方面了解信息技

25、術(shù)對內(nèi)部控制產(chǎn)生的特定風(fēng)險：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時并存；（二）在未得到授權(quán)情況下訪問數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪問權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對系統(tǒng)或程序作出必要的修改；（七）不恰當(dāng)?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險或不能訪問所需要的數(shù)據(jù)。第八十六條 注冊會計師應(yīng)當(dāng)了解與信息處理有關(guān)控制活動，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個應(yīng)

26、用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購置、修改及維護(hù)控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護(hù)控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計算準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查，以及對例外報告進(jìn)行人工干預(yù)。7/24/202233信息系統(tǒng)審計準(zhǔn)則與操作指引 信息系統(tǒng)審計與控制協(xié)會（ISACA）制定并頒布了11大類審計準(zhǔn)則、29條審計指引和9

27、條審計程序。審計指引審計準(zhǔn)則審計程序?qū)徲嫓?zhǔn)則：IT審計準(zhǔn)則是整個審計準(zhǔn)則體系總綱，是IT審計師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計指南和審計程序的基礎(chǔ)依據(jù)。審計指引：審計指引是依據(jù)審計準(zhǔn)則制定的，是審計準(zhǔn)則的具體化，它詳細(xì)規(guī)定了IT審計師執(zhí)行各項審計業(yè)務(wù)、出具審計報告的具體指引，為審計師在執(zhí)行審計業(yè)務(wù)中如何遵守審計準(zhǔn)則提供指導(dǎo)。審計程序：IT審計程序是依據(jù)審計準(zhǔn)則和審計指引制定的。它為審計師提供了一般審計業(yè)務(wù)的程序和步驟，是遵守審計準(zhǔn)則和審計指引的一些通用審計程序。審計程序為審計師提供了很好的工作范例。IT審計準(zhǔn)則框架7/24/202234信息系統(tǒng)審計準(zhǔn)則與操作指引 ISACA信息系統(tǒng)審

28、計準(zhǔn)則審計章程獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)專業(yè)勝任能力審計計劃實施審計工作報告后續(xù)審計違法和違規(guī)行為IT治理在審計計劃中使用風(fēng)險評估方法7/24/202235信息系統(tǒng)審計準(zhǔn)則與操作指引 ISACA信息系統(tǒng)審計準(zhǔn)則（續(xù)）審計章程審計章程中載明IT審計目的、責(zé)任、權(quán)限和職責(zé)。獨(dú)立性獨(dú)立性是指IT審計活動獨(dú)立與他們所審查的活動之外，可以理解為審計部門的獨(dú)立性和審計人員獨(dú)立性。IT審計部門是否獲得獨(dú)立性應(yīng)考慮因素IT審計部門設(shè)置是否在經(jīng)董事會、審計委員會、相關(guān)治理機(jī)構(gòu)和高級管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定IT審計部門向誰負(fù)責(zé)和報告工作首席執(zhí)行官能否與董事會、審計委員會或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息，

29、能否參加有關(guān)審計、財務(wù)報告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)會議首席審計執(zhí)行官的任免由何種層次的領(lǐng)導(dǎo)層決定審計委員會由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度7/24/202236信息系統(tǒng)審計準(zhǔn)則與操作指引 ISACA信息系統(tǒng)審計準(zhǔn)則（續(xù)）專業(yè)勝任能力審計是一門邊緣性學(xué)科，跨越傳統(tǒng)審計理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計算機(jī)科學(xué)四個科學(xué)領(lǐng)域。出色的口頭和書面表達(dá)能力，以便清楚有效地表達(dá)審計目的、審計評價工作、審計結(jié)論和審計建議擁有良好的人際交流技能 接受后續(xù)專業(yè)教育，以保持專業(yè)技術(shù)適應(yīng)性其他必備技能，包括對組織所在行業(yè)深入了解，實施和改進(jìn)財務(wù)和運(yùn)營方面所涉及流程的知識和技能審計師知識、技能和專業(yè)勝任能力熟練應(yīng)用內(nèi)部審計實務(wù)標(biāo)準(zhǔn)、程序和技術(shù)，理解管理原則，深入領(lǐng)會會計學(xué)、經(jīng)濟(jì)學(xué)、商法、稅收、金融和信息技術(shù)7/24/202237信息系統(tǒng)審計準(zhǔn)則與操作指引 ISACA信息系統(tǒng)審計準(zhǔn)則（續(xù)）計劃以相應(yīng)法律和審計準(zhǔn)則為基礎(chǔ)基于風(fēng)險審計方法制定詳細(xì)審計計劃制定審計程序和步驟審計工作實施審計人員受到適當(dāng)監(jiān)督獲取證據(jù)審計底稿7/24/202238信息系統(tǒng)審計準(zhǔn)則與操作指引 ISACA信息系統(tǒng)審計準(zhǔn)則（續(xù)）報告IT審