內(nèi)部控制手冊調(diào)研工作培訓資料-畢馬威

1、審計 稅務 咨詢中國移動（香港）有限公司內(nèi)部控制手冊調(diào)研工作培訓資料畢馬威華振會計師事務所風險咨詢服務部0信息技術(shù)控制介紹主要內(nèi)容知識財產(chǎn)限制本所特別為中國移動（香港）有限公司編撰本文件，當中載有畢馬威的機密或?qū)Ｓ匈Y料。向任何人士透露這些資料都可能會使其處于競爭優(yōu)勢。除衡量本所的工作外，本文件不得用于其它用途。未經(jīng)本所書面同意，不得披露和引述本文件的全部和部分內(nèi)容。上述限制適用于本文件內(nèi)的一切資料。1為什么信息技術(shù)在薩班斯法案 中占重要地位審計準則 #50 審計準則 #40 “ 需要測試的控制包括其它控制所依賴的信息技術(shù)整體控制” “ 程序開發(fā)，程序變更，系統(tǒng)運行，程序和數(shù)據(jù)訪問等方面的控制保

2、證了業(yè)務處理的有效進行” 審計準則 #75 “AU sec. 319 即 Consideration of Internal Control in a Financial Statement Audit的16段至20段, 30 段至32段, 77段至79段, 討論了信息技術(shù)對財務報告的內(nèi)控作用”審計準則 #85審計準則 #85 “ 不足的預防型控制可由有效的發(fā)現(xiàn)型控制彌補”“ 對財務報告有效的內(nèi)部控制包括事前預防型控制和事后發(fā)現(xiàn)型控制的結(jié)合，審計師通常將這兩種控制結(jié)合在一起測試” 審計準則 #98 “.審計師測試控制的時間段隨控制的性質(zhì)和發(fā)生頻率而改變” 審計準則 #43-45 “公司應對與會

3、計報表認定相關(guān)的會計科目和披露設計相應的控制。記錄該類控制設計的文檔是管理層對財務報告內(nèi)控有效性評估的證明記錄控制設計的文檔不充分為公司財務報告內(nèi)控的缺陷”上市公司會計監(jiān)管委員會第2號審計準則2為什么信息技術(shù)在薩班斯法案 中占重要地位上市公司會計監(jiān)管委員會第2號審計準則審計準則 #47, 79 “追蹤與財務報告相關(guān)的信息系統(tǒng)的交易數(shù)據(jù)” 審計準則 #105“ 在信息技術(shù)整體控制有效的前提下，僅測試一個自動的控制應可以充分保證控制的有效執(zhí)行” PCAOB 問題與解答 (11/04)#A-35 審計準則 A-38“ 審計師不能使用管理層或其它人員對期末財務報告流程控制的測試，包括將交易總金額錄入總

4、帳系統(tǒng)的流程的控制，與財務報告認定相關(guān)的重大會計科目和披露的開始、記錄、處理和報告”“無效的信息技術(shù)整體控制的設計或執(zhí)行也是不足之處 。 應用程序控制可以是信息技術(shù)執(zhí)行的自動控制程序（舉例：計算、入賬、生成報表、輸入及控制程序）。應用程序控制也可以是有賴于信息技術(shù)的手工控制。當信息技術(shù)被用于開立，授權(quán)，記錄，處理，報告流程或其它財務報告中的財務數(shù)據(jù)時，系統(tǒng)和程序可能包括與重大會計科目或披露認定相關(guān)的自動的應用程序控制” 審計準則 #77“ 審計師應評估信息技術(shù)在期末財務報告生成流程中的參與程度” 信息技術(shù)是薩班斯法案整體要求的不可缺少的一部分3什么是信息技術(shù)控制信息技術(shù)控制主要指對信息系統(tǒng)的整

5、體控制及對業(yè)務系統(tǒng)中特定風險的基于信息系統(tǒng)的控制措施：公司層面信息技術(shù)控制信息技術(shù)整體控制應用系統(tǒng)控制4什么是信息技術(shù)控制（續(xù)）公司層面信息系統(tǒng)控制公司層面信息系統(tǒng)控制相關(guān)問題，例如信息技術(shù)組織結(jié)構(gòu)信息技術(shù)計劃、戰(zhàn)略規(guī)劃信息技術(shù)整體控制信息技術(shù)整體控制，例如對程序及數(shù)據(jù)的訪問控制、程序變更控制、程序開發(fā)控制、系統(tǒng)運行控制及最終用戶運算應用系統(tǒng)控制基于應用系統(tǒng)的控制，例如話單采集完整性檢查計費系統(tǒng)出賬時自動平衡性檢查信息技術(shù)相關(guān)的手工控制信息技術(shù)相關(guān)的手工控制，例如對自動錯誤報告的跟進調(diào)查對系統(tǒng)產(chǎn)生的帳齡報告的分析5什么是信息技術(shù)控制（續(xù)）信息技術(shù)整體控制應用系統(tǒng)控制業(yè)務流程財務報告重要會計科目

6、相關(guān)重要業(yè)務流程相關(guān)重要信息系統(tǒng)包括財務報告生成過程中使用的各系統(tǒng)不能因系統(tǒng)規(guī)模小或復雜程度低而忽略系統(tǒng)可能不是所有的系統(tǒng)都在信息技術(shù)部的統(tǒng)一控制下必須與業(yè)務流程層面的信息技術(shù)控制一同考慮控制的有效性現(xiàn)有的組織形式/本地實際情況可能導致一些要求不能達到6信息技術(shù)控制的總體架構(gòu)確定所有范圍內(nèi)的流程確定所有范圍內(nèi)的關(guān)鍵系統(tǒng)范圍確定及記錄關(guān)鍵流程的自動化控制所有范圍內(nèi)應用系統(tǒng)的信息技術(shù)整體控制，覆蓋應用系統(tǒng)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡BOSS系統(tǒng)智能網(wǎng)系統(tǒng)MISC系統(tǒng)MIS系統(tǒng)終端用戶開發(fā)的應用程序其它系統(tǒng)訪問、編輯報告、系統(tǒng)配置、各個程序接口、分工等信息技術(shù)控制系統(tǒng)地 體現(xiàn)在三個方面: 整體控制環(huán)境中

7、信息技術(shù)的考慮 / 業(yè)務流程層面的信息技術(shù)控制 / 信息技術(shù)整體控制收入和計費流程營運支出資本性支出流程交易通過一個或多個系統(tǒng)考慮相關(guān)財務報表認定：C:完整性 E: 存在和發(fā)生 V:價值 和分攤 O:權(quán)利和義務 P：表述及披露對程序和數(shù)據(jù)的訪問控制、程序變更、程序開發(fā)、系統(tǒng)運行7目前納入范圍內(nèi)的應用系統(tǒng) BOSS系統(tǒng) MIS 財務系統(tǒng) OA 系統(tǒng) 智能網(wǎng)系統(tǒng) WAP系統(tǒng)網(wǎng)絡和基礎(chǔ)設施 MISC 系統(tǒng) 經(jīng)營分析系統(tǒng) 彩鈴系統(tǒng) 久其系統(tǒng) 交換機8信息技術(shù)整體控制信息系統(tǒng)整體控制并不針對某一特定應用系統(tǒng)，而強調(diào)的是信息系統(tǒng)所處的整體信息技術(shù)環(huán)境，是其他基于信息系統(tǒng)的應用控制措施的基礎(chǔ)。其主要包括：對

8、程序和數(shù)據(jù)的訪問控制程序變更管理程序開發(fā)系統(tǒng)運行最終用戶計算9信息技術(shù)整體控制子流程對程序及數(shù)據(jù)的訪問控制安全組織架構(gòu)信息安全政策系統(tǒng)密碼政策用戶帳號申請變更刪除管理超級用戶管理用戶系統(tǒng)權(quán)限分配用戶權(quán)限審核網(wǎng)絡安全病毒防范機房物理安全程序變更管理程序變更申請審批變更測試變更移植到生產(chǎn)環(huán)境管理配置變更管理日常變更管理緊急變更管理10信息技術(shù)整體控制子流程 （續(xù)）程序開發(fā)程序開發(fā)方法論項目審批項目管理系統(tǒng)測試和用戶測試上線審批管理數(shù)據(jù)移植系統(tǒng)運行系統(tǒng)日常運作監(jiān)控備份和恢復系統(tǒng)作業(yè)管理故障及問題管理最終用戶計算最終用戶計算時使用的程序和電子表格的管理，包括邏輯安全、程序變更、數(shù)據(jù)備份和操作復核11信

9、息技術(shù)整體控制控制目標對程序和數(shù)據(jù)的訪問控制對于與財務報告相關(guān)的信息，公司應制定相關(guān)的安全管理辦法并使員工意識到公司對信息安全重要性的重視。對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風險。建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準確性和及時性。確保定期對系統(tǒng)中的用戶的訪問權(quán)限進行審閱，以減少非法或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。確保在關(guān)鍵流程中存在適當?shù)穆殭?quán)分離。12信息技術(shù)整體控制控制目標（續(xù)）程序變更管理確保對財務報告有影響的系統(tǒng)或應用程序的任何變更都經(jīng)過適當?shù)?/p>

10、管理層的授權(quán)。確保在財務報表生成過程中涉及到的應用程序/系統(tǒng)的任何變更，在發(fā)布到生產(chǎn)環(huán)境運行之前經(jīng)過了測試，校驗和批準。確保財務報表生成過程中涉及到的系統(tǒng)和應用程序在遷移到生產(chǎn)環(huán)境過程中,沒有非法的訪問以避免對系統(tǒng)及數(shù)據(jù)的非法修改。確保在對生成財務報表產(chǎn)生涉及到的應用程序的變更被遷移至生產(chǎn)環(huán)境后，對應用系統(tǒng)文件/參數(shù)沒有未經(jīng)授權(quán)的變更。對系統(tǒng)、應用程序和基礎(chǔ)架構(gòu)配置的緊急變更，存在相應的控制管理流程。13信息技術(shù)整體控制控制目標（續(xù)）程序開發(fā)管理確保公司管理層有充分的控制保證新的應用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)和采購是經(jīng)過適當級別的信息技術(shù)和公司管理層的審批。確保在財務報告的過程中涉及到的系統(tǒng)有適

11、當?shù)目刂?以保證有合適的程序開發(fā)方法,并在開發(fā)和實施過程中遵守了相應的方法。確保在生成財務報表流程中涉及的系統(tǒng)/應用程序在開發(fā)或?qū)嵤┻M行了充分的測試，并且該測試結(jié)果經(jīng)過信息技術(shù)部門、用戶和管理層的批準。確保系統(tǒng)的數(shù)據(jù)遷移過程中有足夠的控制保證數(shù)據(jù)的完整性。14信息技術(shù)整體控制控制目標（續(xù)）系統(tǒng)運行確保管理層實施了適當?shù)目刂票ＷC與財務報告相關(guān)的應用程序和數(shù)據(jù)的系統(tǒng)處理和接口的準確性，完整性和及時性。確保管理層實施了適當?shù)膫浞莺突謴统绦虮ＷC對財務報告必要的數(shù)據(jù)，交易和程序能夠在需要時進行恢復。對在財務報表生過程中使用的系統(tǒng)/數(shù)據(jù)進行定期的恢復測試，以保證備份數(shù)據(jù)的質(zhì)量存在有效的程序。確保對財務報表

12、生成過程中涉及到的應用程序和系統(tǒng)的備份介質(zhì)存在適當?shù)目刂疲ㄖ挥薪?jīng)授權(quán)的人才可以訪問磁帶和磁帶存儲庫。確保管理層定義和實施了問題管理流程來及時記錄、分析、解決在生成財務報表過程中涉及到的系統(tǒng)和應用程序中的問題和錯誤。15信息技術(shù)整體控制控制目標（續(xù)）最終用戶計算管理層已經(jīng)制定了相關(guān)政策和流程來確保最終用戶計算壞境下已施行了信息技術(shù)整體控制。16信息技術(shù)整體控制舉例分析業(yè)務流程子流程流程目標風險控制點描述業(yè)務流程名稱子流程名稱流程目標流程層面影響流程目標實現(xiàn)的風險內(nèi)部控制點的描述信息技術(shù)整體控制對程序及數(shù)據(jù)的訪問控制 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)

13、的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風險。缺乏必要的物理訪問及邏輯訪問管理機制，導致對信息資源的未經(jīng)授權(quán)的訪問, 非法修改系統(tǒng)數(shù)據(jù)。信息技術(shù)部門對系統(tǒng)訪問密碼制定密碼政策及規(guī)則，并根據(jù)對密碼政策及規(guī)則在系統(tǒng)中進行相應設置，以避免用戶使用弱密碼。 17信息技術(shù)整體控制舉例分析（續(xù)）業(yè)務流程子流程流程目標風險控制點描述業(yè)務流程名稱子流程名稱流程目標流程層面影響流程目標實現(xiàn)的風險內(nèi)部控制點的描述信息技術(shù)整體控制程序變更管理確保在財務報表生成過程中涉及到的應用程序/系統(tǒng)的任何變更，在發(fā)布到生產(chǎn)環(huán)境運行之前經(jīng)過了測試，校驗和批準。對財務報告有影響的系統(tǒng)或應用程序的變更，在發(fā)布到生產(chǎn)

14、環(huán)境運行之前未經(jīng)測試，變更后的程序功能不能滿足用戶需求，缺陷未被及時發(fā)現(xiàn)。變更程序開發(fā)完成后由信息技術(shù)部門及業(yè)務部門制定測試文檔（包含測試用例），由信息技術(shù)部門和業(yè)務部門共同進行測試，并填寫測試結(jié)果及簽字確認。如未通過規(guī)定的測試，變更程序不得被移植入生產(chǎn)環(huán)境。18信息技術(shù)整體控制舉例分析（續(xù)）業(yè)務流程子流程流程目標風險控制點描述業(yè)務流程名稱子流程名稱流程目標流程層面影響流程目標實現(xiàn)的風險內(nèi)部控制點的描述信息技術(shù)整體控制程序開發(fā)確保在生成財務報表流程中涉及的系統(tǒng)/應用程序在開發(fā)或?qū)嵤┻M行了充分的測試，并且該測試結(jié)果經(jīng)過信息技術(shù)部門、用戶和管理層的批準。開發(fā)的程序未經(jīng)測試就投入使用，程序功能上的缺

15、陷未能及時發(fā)現(xiàn)，導致系統(tǒng)運行的不穩(wěn)定。公司采用的系統(tǒng)開發(fā)方法論規(guī)定了系統(tǒng)上線前必須經(jīng)過充分測試，包括系統(tǒng)測試和用戶接收測試，測試完成后，由相關(guān)的信息技術(shù)人員和用戶對測試結(jié)果進行簽字確認，測試文檔由項目管理部門進行歸檔保存。19信息技術(shù)整體控制舉例分析（續(xù)）業(yè)務流程子流程流程目標風險控制點描述業(yè)務流程名稱子流程名稱流程目標流程層面影響流程目標實現(xiàn)的風險內(nèi)部控制點的描述信息技術(shù)整體控制系統(tǒng)運行對在財務報表生過程中使用的系統(tǒng)/數(shù)據(jù)進行定期的恢復測試，以保證備份數(shù)據(jù)的質(zhì)量。備份的數(shù)據(jù)未定期做恢復性測試，備份介質(zhì)的質(zhì)量無法保證，導致備份數(shù)據(jù)不可恢復。備份策略中明確規(guī)定對本地及異地磁帶恢復性測試的要求和步

16、驟，一般對于重要業(yè)務數(shù)據(jù)每季進行一次恢復性測試，測試完成后應由測試人員對測試結(jié)果進行記錄。信息技術(shù)整體控制終端用戶計算管理層已經(jīng)制定了相關(guān)政策和流程來確保最終用戶計算壞境下已施行了信息技術(shù)整體控制。對影響財務報表的重要電子表格和其他用戶自編程序，及其處理的系統(tǒng)數(shù)據(jù)作經(jīng)授權(quán)的訪問和非法修改。各部門應對影響財務報表的重要電子表格的公式、格式等預設模版設定密碼保護防止非授權(quán)人員進行更改。密碼應由使用者以外的授權(quán)人員掌握，并負責對電子表格的維護更新進行監(jiān)督。電子表格模版的維護更新必須經(jīng)過部門主管的書面審批。20應用系統(tǒng)控制應用系統(tǒng)控制主要指重要業(yè)務流程中基于信息系統(tǒng)的控制措施。一般涵蓋對某一特定系統(tǒng)功

17、能的訪問權(quán)限，對數(shù)據(jù)輸入，處理及輸出的控制等。應用系統(tǒng)控制之有別于信息技術(shù)整體控制，在于其多針對某一特定業(yè)務流程/子流程，強調(diào)特定業(yè)務風險或財務報表風險。21應用系統(tǒng)控制類型針對各具體業(yè)務流程，應用系統(tǒng)控制可能包括：授權(quán)及批準系統(tǒng)/功能配置配置帳項映射控制系統(tǒng)異常情況報告和預警報告系統(tǒng)訪問權(quán)限職責分工22應用系統(tǒng)控制舉例分析-收入和計費業(yè)務流程應用系統(tǒng)控制類別子流程流程目標風險控制點描述授權(quán)及批準新業(yè)務與產(chǎn)品定價業(yè)務流程資費標準被正確、及時和有效的執(zhí)行資費標準在系統(tǒng)中的設置不及時、不準確。服務/內(nèi)容提供商所維護的資費標準，必須由具有相關(guān)權(quán)限的市場經(jīng)營部門或數(shù)據(jù)業(yè)務管理部門人員在相關(guān)的業(yè)務管理平

18、臺上進行審批。 系統(tǒng)訪問權(quán)限與電信營運商結(jié)算業(yè)務流程確保網(wǎng)間結(jié)算收入和支出計算結(jié)果的準確性，同時確保相關(guān)財務處理的真實性、準確性、完整性和及時性網(wǎng)間結(jié)算收入和支出的計算不準確，相關(guān)財務處理不真實、不準確、不完整和不及時。只有計費賬務部門的授權(quán)人員具有網(wǎng)間結(jié)算系統(tǒng)操作權(quán)限，在結(jié)算系統(tǒng)中進行網(wǎng)間結(jié)算報表的生成操作。系統(tǒng)設置計費及收入流程確保傳遞到MIS財務系統(tǒng)中的財務數(shù)據(jù)的真實性、準確性、完整性和及時性傳遞到MIS財務系統(tǒng)中的財務數(shù)據(jù)的不真實,不準確、不完整性和不及時在經(jīng)營分析系統(tǒng)中通過系統(tǒng)設置禁止任何人對財務數(shù)據(jù)進行修改。23應用系統(tǒng)控制舉例分析-收入和計費業(yè)務流程（續(xù)）應用系統(tǒng)控制類別子流程流

19、程目標風險控制點描述異常情況報告和預警報告計費及收入流程確保話單批價及資費計算準確性、及時性話單數(shù)據(jù)、批價和計費不準確、不及時計費系統(tǒng)自動對計費資源信息、產(chǎn)品信息、用戶資料等無法匹配的服務使用記錄或服務使用記錄錯誤進行單獨處理和記錄。職責分工收款和應收賬款管理確保收取現(xiàn)金被安全地保存收取的現(xiàn)金未得到安全保護營業(yè)員不能保存尾款；尾款清點的金額記錄在交接本上由營業(yè)員與值班長/現(xiàn)金保管人員雙方簽字交接后存入保險柜/金庫；由授權(quán)人員保管保險柜/金庫鑰匙。配置帳項映射控制系統(tǒng)業(yè)務受理業(yè)務流程確保業(yè)務及時、準確的開通、變更或取消。業(yè)務辦理及系統(tǒng)執(zhí)行不及時和不準確。短信內(nèi)容與受理的業(yè)務類型通過BOSS系統(tǒng)或

20、業(yè)務管理平臺中的對照表建立相互映射關(guān)系。發(fā)送的短信內(nèi)容如不符合映射關(guān)系，相關(guān)業(yè)務不會被受理。 24 針對前一段集中記錄工作結(jié)果，目前發(fā)現(xiàn)的信息系統(tǒng)控制缺失包括以下類型：內(nèi)部審閱和監(jiān)控程序的缺失 政策和流程的缺失信息技術(shù)系統(tǒng)缺陷信息技術(shù)控制缺陷分析25信息技術(shù)整體控制缺陷舉例涉及的業(yè)務單元（總部或省公司）子流程缺陷類型控制缺陷建議總部和省公司 程序及數(shù)據(jù)訪問內(nèi)部審閱和監(jiān)控程序的缺失在公司層面缺乏獨立于信息系統(tǒng)運行部門的信息安全負責人，信息技術(shù)部門內(nèi)部的安全管理員同時負責系統(tǒng)運行維護等不相容職責，缺乏職責分工。 在公司層面應考慮設立獨立于信息系統(tǒng)運行部門的信息安全負責人，負責對各信息部門政策的審閱及各信息部門安全政策執(zhí)行情況的監(jiān)督。總部和省公司 程序及數(shù)據(jù)訪問政策和流程的缺失 缺乏對機房門禁系統(tǒng)日志的定期審閱機制。安全管理員每月應對機房門禁日志/機房進出記錄進行審閱，檢查是否有異常進出情況。26信息技術(shù)整體控制缺陷舉例（續(xù)）涉及