信息系統(tǒng)審計(jì)方法與操作指引課件

信息系統(tǒng)審計(jì)方法及操作指引劉麗萍2013/01信息系統(tǒng)審計(jì)方法及操作指引劉麗萍12022/12/32一、信息系統(tǒng)審計(jì)方法IT一般控制和應(yīng)用控制審計(jì)概要2022/12/22一、信息系統(tǒng)審計(jì)方法2022/12/33IT一般控制審計(jì)程序IT一般控制概念信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個(gè)財(cái)務(wù)報(bào)表交易流程的重要組成部分，它影響財(cái)務(wù)數(shù)據(jù)的一致性、完整性和準(zhǔn)確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險(xiǎn)增加，因此對(duì)IT控制進(jìn)行測(cè)試與評(píng)估就顯得尤為重要。IT一般控制是指為保證在一段時(shí)期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪(fǎng)問(wèn)等方面的系統(tǒng)控制。因?yàn)檫@些控制對(duì)一個(gè)以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱(chēng)為“IT一般控制”。IT一般控制分類(lèi)變更管理：只允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更。邏輯訪(fǎng)問(wèn)：只有經(jīng)過(guò)授權(quán)的人員，才可以訪(fǎng)問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢(xún)問(wèn)、執(zhí)行和更新）。其他IT一般控制（包括IT運(yùn)行）：正確備份支持財(cái)務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，能夠準(zhǔn)確、完整地恢復(fù)這類(lèi)數(shù)據(jù)。按計(jì)劃執(zhí)行程序，并及時(shí)識(shí)別和消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。及時(shí)識(shí)別、解決、復(fù)核和分析IT運(yùn)行問(wèn)題或事故。2022/12/23IT一般控制審計(jì)程序IT一般控制概念2022/12/34IT一般控制審計(jì)程序IT一般控制包含控制流程主要包括三個(gè)方面變更管理邏輯訪(fǎng)問(wèn)其它IT一般控制平穩(wěn)解決創(chuàng)新管理問(wèn)題IT一般控制審計(jì)Enterprisedata

modelMaster/referencedataTechnologyandtoolsstandards信息系統(tǒng)審計(jì)指南和標(biāo)準(zhǔn)用戶(hù)賬號(hào)變更管理超級(jí)用戶(hù)訪(fǎng)問(wèn)授權(quán)關(guān)鍵系統(tǒng)資源和工具訪(fǎng)問(wèn)授權(quán)權(quán)限定期檢查超級(jí)用戶(hù)日志職責(zé)分離安全參數(shù)設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)安全備份管理備份恢復(fù)物理安全批處理第三方管理問(wèn)題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計(jì)劃／災(zāi)難恢復(fù)系統(tǒng)開(kāi)發(fā)和重大變更程序變更配置/參數(shù)變更基礎(chǔ)架構(gòu)變更緊急程序變更數(shù)據(jù)修改2022/12/24IT一般控制審計(jì)程序IT一般控制包含控制2022/12/35IT一般控制審計(jì)程序變更管理1.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會(huì)影響變更管理種類(lèi)，并且在測(cè)試范圍內(nèi)：應(yīng)用程序界面（IT控制）數(shù)據(jù)庫(kù)操作系統(tǒng)/網(wǎng)絡(luò)1.2影響變更管理測(cè)試性質(zhì)和范圍因素僅允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更。1.1總體目標(biāo)2022/12/25IT一般控制審計(jì)程序變更管理1.2.12022/12/36IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))1.2.2變更類(lèi)型要確定最適當(dāng)?shù)臏y(cè)試方法，了解和記錄用于變更管理過(guò)程，包括針對(duì)以下變更類(lèi)型和IT環(huán)境技術(shù)組成要素過(guò)程：程序開(kāi)發(fā)/采購(gòu)—開(kāi)發(fā)和實(shí)施新應(yīng)用程序或界面。程序變更—對(duì)現(xiàn)有應(yīng)用程序和界面進(jìn)行的變更。系統(tǒng)軟件維護(hù)—對(duì)數(shù)據(jù)庫(kù)、操作系統(tǒng)和其他系統(tǒng)軟件進(jìn)行的技術(shù)變更（例如：補(bǔ)丁程序和升級(jí)）。緊急變更—在緊急情況下進(jìn)行的變更。配置/參數(shù)變更—對(duì)IT環(huán)境各種技術(shù)組成要素總體配置和參數(shù)設(shè)置進(jìn)行的變更相關(guān)，包括對(duì)新應(yīng)用程序的配置設(shè)置進(jìn)行初始設(shè)置。2022/12/26IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/37IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))選擇變更管理樣本首選方法是：直接從表明自審計(jì)期間期初到測(cè)試日期實(shí)際進(jìn)行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。如果系統(tǒng)生成清單不可用，可以考慮以下組合：獲取被審計(jì)公司變更清單（手工維護(hù)清單或來(lái)自自動(dòng)跟蹤系統(tǒng)清單）；確定程序變更清單是完整的。通過(guò)查找編譯日期在審計(jì)期間內(nèi)的可執(zhí)行模塊來(lái)獲取實(shí)際變更清單，從該清單中選擇一個(gè)在此期間發(fā)生的變更樣本，并驗(yàn)證從被審計(jì)機(jī)構(gòu)那里獲取的變更清單上是否存在該變更。如果沒(méi)有任何變更，則核實(shí)范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計(jì)期間內(nèi)，以確定沒(méi)有發(fā)生變更。1.2.3識(shí)別對(duì)IT環(huán)境進(jìn)行的變更（測(cè)試總體）根據(jù)確定的測(cè)試方法，獲取從審計(jì)期間期初到測(cè)試日期以來(lái)IT環(huán)境相關(guān)組成要素變更完整清單（變更管理清單）。應(yīng)盡可能進(jìn)一步分離變更管理清單，使其只包括在范圍內(nèi)的那些IT環(huán)境變更和技術(shù)組成要素。應(yīng)用以下與獲取程序變更清單相關(guān)的方法：2022/12/27IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/38IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))已授權(quán)—確定請(qǐng)求的變更已經(jīng)過(guò)適當(dāng)授權(quán)。根據(jù)被審計(jì)機(jī)構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費(fèi)時(shí)間少于特定小時(shí)數(shù)的變更），變更可能不需要特定授權(quán)。已測(cè)試—確定用戶(hù)是否執(zhí)行了測(cè)試以確認(rèn)變更按設(shè)計(jì)意圖運(yùn)行。否則，應(yīng)確認(rèn)確實(shí)進(jìn)行了其他適當(dāng)測(cè)試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計(jì)機(jī)構(gòu)政策，可以接受純IT測(cè)試。已批準(zhǔn)—確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準(zhǔn)了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準(zhǔn)。1.2.4授權(quán)、測(cè)試和批準(zhǔn)變更

1.2.5變更管理職責(zé)分工補(bǔ)償性控制由于組織結(jié)構(gòu)或其他原因無(wú)法進(jìn)行變更管理不相容職責(zé)分工情況下，補(bǔ)償性控制可以用來(lái)保證不會(huì)發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補(bǔ)償性控制設(shè)計(jì)為發(fā)現(xiàn)何時(shí)因不相容職責(zé)分工問(wèn)題而規(guī)避現(xiàn)有其他變更管理控制。補(bǔ)償性IT一般控制示例有：變更日志復(fù)核，以確定只有批準(zhǔn)的變更被移到生產(chǎn)環(huán)境中，同時(shí)確認(rèn)變更日志是完整的。變更控制會(huì)議，以討論和跟進(jìn)移入生產(chǎn)環(huán)境中的最新變更。2022/12/28IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/39IT一般控制審計(jì)程序邏輯訪(fǎng)問(wèn)2.1總體目標(biāo)只允許授權(quán)人員訪(fǎng)問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢(xún)問(wèn)、執(zhí)行和更新等）。

需要考慮ITGC邏輯訪(fǎng)問(wèn)測(cè)試是否提供了有關(guān)適當(dāng)?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，ITGC測(cè)試不能為我們提供足夠的證據(jù)，以明確斷定是否為各個(gè)交易適當(dāng)限制或分離了邏輯訪(fǎng)問(wèn)。此時(shí)，應(yīng)用程序?qū)哟蔚脑L(fǎng)問(wèn)控制對(duì)于我們的風(fēng)險(xiǎn)評(píng)估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測(cè)試的一部分，我們將對(duì)應(yīng)用程序?qū)哟卧L(fǎng)問(wèn)或不相容職責(zé)分工控制執(zhí)行特定測(cè)試。2022/12/29IT一般控制審計(jì)程序邏輯訪(fǎng)問(wèn)2.1總體2022/12/310IT一般控制審計(jì)程序2.2影響邏輯訪(fǎng)問(wèn)測(cè)試性質(zhì)和范圍因素對(duì)于ITGC審計(jì)范圍每個(gè)應(yīng)用程序,應(yīng)確定用于保護(hù)財(cái)務(wù)系統(tǒng)程序和數(shù)據(jù)訪(fǎng)問(wèn)的邏輯訪(fǎng)問(wèn)路徑每個(gè)技術(shù)組成要素關(guān)鍵程度。邏輯訪(fǎng)問(wèn)路徑可能的技術(shù)組成要素包括：2.2.1邏輯訪(fǎng)問(wèn)路徑應(yīng)用程序操作系統(tǒng)，包括使用安全軟件數(shù)據(jù)庫(kù)網(wǎng)絡(luò)互聯(lián)網(wǎng)/遠(yuǎn)程訪(fǎng)問(wèn)穿行測(cè)試應(yīng)記錄邏輯訪(fǎng)問(wèn)路徑中的哪些位置存在不同授權(quán)訪(fǎng)問(wèn)過(guò)程。在大多數(shù)環(huán)境中：所有邏輯訪(fǎng)問(wèn)ITGC均應(yīng)用于應(yīng)用程序?qū)哟危徊⒎撬羞壿嬙L(fǎng)問(wèn)ITGC都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫(kù)層次；只有極少數(shù)邏輯訪(fǎng)問(wèn)ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠(yuǎn)程訪(fǎng)問(wèn)或互聯(lián)網(wǎng)層次。2022/12/210IT一般控制審計(jì)程序2.2影響邏輯訪(fǎng)2022/12/311IT一般控制審計(jì)程序影響邏輯訪(fǎng)問(wèn)測(cè)試性質(zhì)和范圍因素(續(xù))與離職和調(diào)動(dòng)用戶(hù)相關(guān)的ITGC通常是補(bǔ)償性控制，用于彌補(bǔ)定期用戶(hù)訪(fǎng)問(wèn)復(fù)核過(guò)程的缺陷。如果審計(jì)方法表明需要測(cè)試離職和調(diào)動(dòng)用戶(hù)，我們應(yīng)考慮以下程序：2.2.2定期用戶(hù)權(quán)限復(fù)核控制的補(bǔ)償性控制

測(cè)試程序—

離職用戶(hù)：獲取審計(jì)期間離職職員清單，并確定它是完整的、有效的。選擇適當(dāng)樣本，確定是否及時(shí)刪除或撤消了系統(tǒng)訪(fǎng)問(wèn)權(quán)限。測(cè)試程序—

調(diào)動(dòng)用戶(hù)：獲取審計(jì)期間調(diào)動(dòng)職員清單，并確定它是完整的、有效的。確定用戶(hù)訪(fǎng)問(wèn)對(duì)于其工作職能來(lái)說(shuō)是否適當(dāng)，其以前的系統(tǒng)訪(fǎng)問(wèn)權(quán)限是否已被刪除或撤消。2022/12/211IT一般控制審計(jì)程序影響邏輯訪(fǎng)問(wèn)測(cè)試性2022/12/312IT一般控制審計(jì)程序其他IT一般控制備份和恢復(fù)：正確備份支持財(cái)務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，可以準(zhǔn)確完整地恢復(fù)此類(lèi)數(shù)據(jù)。任務(wù)排程：按計(jì)劃執(zhí)行程序，及時(shí)識(shí)別并消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。批處理：正確維護(hù)批處理過(guò)程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問(wèn)題和事件管理及監(jiān)控：及時(shí)識(shí)別、解決、復(fù)核和分析IT運(yùn)行問(wèn)題或事件。3.1總體目標(biāo)3.2影響其他IT一般控制測(cè)試性質(zhì)和范圍因素3.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會(huì)影響其他IT一般控制，并且在測(cè)試范圍內(nèi)：應(yīng)用程序數(shù)據(jù)庫(kù)操作系統(tǒng)/網(wǎng)絡(luò)

2022/12/212IT一般控制審計(jì)程序其他IT一般控制3IT一般控制審計(jì)程序方法論測(cè)試方法測(cè)試人員需要根據(jù)具體情況，決定采用不同測(cè)試方法，包括：詢(xún)問(wèn)、觀(guān)察、檢查、重新執(zhí)行四種。注意：對(duì)某一個(gè)控制點(diǎn)測(cè)試可能需要結(jié)合各種不同測(cè)試方法，譬如用戶(hù)賬號(hào)管理流程關(guān)于用戶(hù)初始密碼必須及時(shí)更改這個(gè)控制點(diǎn)。詢(xún)問(wèn)：通過(guò)向相關(guān)人員訪(fǎng)談了解各個(gè)系統(tǒng)是否存在用戶(hù)初始密碼更改控制，由什么崗位負(fù)責(zé)這項(xiàng)工作，是否有制度對(duì)初始密碼作出規(guī)定等。觀(guān)察：觀(guān)察一個(gè)系統(tǒng)新用戶(hù)初次登陸時(shí)，系統(tǒng)是否提示修改密碼。檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強(qiáng)制用戶(hù)在初次登錄后修改密碼。重新執(zhí)行：申請(qǐng)一個(gè)測(cè)試賬號(hào)，在系統(tǒng)中初次登錄時(shí)查看系統(tǒng)是否強(qiáng)制要求修改密碼。2022/12/313IT一般控制審計(jì)程序方法論測(cè)試方法詢(xún)問(wèn)：通過(guò)向相關(guān)人員訪(fǎng)談了IT一般控制審計(jì)程序方法論2022/12/314為了解IT流程，參與評(píng)估人員需要在內(nèi)控文檔中對(duì)如下內(nèi)容進(jìn)行關(guān)注：5個(gè)W(WHO,WHEN,WHAT,WHERE,WHY)與1個(gè)H(HOW)誰(shuí)來(lái)做的-Who何時(shí)做的-When做的什么-What在哪做的-Where做的原因-Why如何做的-How了解IT流程方法IT一般控制審計(jì)程序方法論2022/12/214為了解IT流IT一般控制審計(jì)程序方法論2022/12/315IT一般控制測(cè)試流程缺陷報(bào)告文檔整改控制矩陣測(cè)試訪(fǎng)談再評(píng)估IT一般控制審計(jì)程序方法論2022/12/215IT一般控制IT一般控制審計(jì)程序方法論2022/12/316IT一般控制流程主要關(guān)注點(diǎn)舉例-用戶(hù)賬戶(hù)維護(hù)流程

注：所列內(nèi)容僅為簡(jiǎn)單樣例需求部門(mén)如何提出用戶(hù)賬戶(hù)維護(hù)申請(qǐng)?jiān)撋暾?qǐng)由誰(shuí)來(lái)授權(quán)，如何授權(quán)以及授權(quán)哪些內(nèi)容需求申請(qǐng)及授權(quán)確認(rèn)記錄在哪里具體誰(shuí)負(fù)責(zé)執(zhí)行及如何執(zhí)行

負(fù)責(zé)人完成維護(hù)操作后，如何通知需求部門(mén)或授權(quán)人啟動(dòng)授權(quán)記錄流程處理 匯報(bào)詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查IT一般控制審計(jì)程序方法論2022/12/216IT一般控制2022/12/317IT一般控制審計(jì)方法論了解被評(píng)估單位的IT一般控制流程根據(jù)流程描述，識(shí)別風(fēng)險(xiǎn)與控制的關(guān)系根據(jù)應(yīng)用系統(tǒng)配置清單，判斷測(cè)試范圍根據(jù)測(cè)試范圍設(shè)計(jì)測(cè)試方法執(zhí)行穿行測(cè)試/控制測(cè)試根據(jù)測(cè)試結(jié)果，進(jìn)行控制評(píng)價(jià)填寫(xiě)缺陷報(bào)告、制定整改計(jì)劃流程描述/流程圖IT一般控制評(píng)估風(fēng)險(xiǎn)控制矩陣系統(tǒng)配置清單測(cè)試模板穿行、控制測(cè)試報(bào)告缺陷報(bào)告、整改計(jì)劃使用相關(guān)流程描述方法表示被評(píng)估單位某個(gè)具體業(yè)務(wù)處理過(guò)程。風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。識(shí)別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)用系統(tǒng)來(lái)源、計(jì)算機(jī)平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)名稱(chēng)和版本等有關(guān)系統(tǒng)的信息。根據(jù)對(duì)信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論（即：確定ITGC是否有效）。測(cè)試結(jié)論所依賴(lài)的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制未按照設(shè)計(jì)方式運(yùn)行的情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出整改意見(jiàn)。2022/12/217IT一般控制審計(jì)方法論了解被評(píng)估單位的IT一般控制審計(jì)程序方法論2022/12/318流程描述/流程圖系統(tǒng)變更流程適用范圍-針對(duì)XXX系統(tǒng)需求申請(qǐng)需求可行性分析業(yè)務(wù)需求文檔編寫(xiě)系統(tǒng)開(kāi)發(fā)測(cè)試上線(xiàn)上線(xiàn)后跟進(jìn)IT一般控制審計(jì)程序方法論2022/12/218流程描述/流IT一般控制審計(jì)程序方法論2022/12/319風(fēng)險(xiǎn)控制矩陣風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、控制存在的證明性資料、實(shí)際控制描述等信息。IT一般控制審計(jì)程序方法論2022/12/219風(fēng)險(xiǎn)控制矩陣IT一般控制審計(jì)程序方法論2022/12/320穿行測(cè)試、控制測(cè)試定義穿行測(cè)試：追蹤交易實(shí)際執(zhí)行或在信息系統(tǒng)中的處理過(guò)程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測(cè)試不是單獨(dú)的一種審計(jì)程序，而是將多種審計(jì)程序按特定審計(jì)需要結(jié)合運(yùn)用的方法。通過(guò)追蹤交易處理過(guò)程，證實(shí)審計(jì)人員對(duì)控制的了解、評(píng)價(jià)控制設(shè)計(jì)有效性以及確定控制是否得到執(zhí)行?？刂茰y(cè)試：測(cè)試被審計(jì)單位系統(tǒng)控制設(shè)計(jì)合理性和執(zhí)行有效性。在測(cè)試控制運(yùn)行有效性時(shí)，應(yīng)當(dāng)從下列方面獲取關(guān)于控制是否有效運(yùn)行的審計(jì)證據(jù)：控制在所審計(jì)期間不同時(shí)點(diǎn)是如何運(yùn)行的；控制是否得到一貫執(zhí)行；控制由誰(shuí)執(zhí)行；控制以何種方式運(yùn)行（如人工控制或自動(dòng)控制）。穿行測(cè)試：評(píng)價(jià)控制設(shè)計(jì)有效性。穿行測(cè)試主要是在了解內(nèi)部控制時(shí)運(yùn)用，但在執(zhí)行穿行測(cè)試時(shí)，也能獲取部分控制運(yùn)行有效性的審計(jì)證據(jù)?？刂茰y(cè)試：評(píng)價(jià)控制設(shè)計(jì)有效性并確定控制是否得到有效執(zhí)行。穿行測(cè)試、控制測(cè)試區(qū)別IT一般控制審計(jì)程序方法論2022/12/220穿行測(cè)試、控IT一般控制審計(jì)程序方法論2022/12/321穿行測(cè)試樣本量穿行測(cè)試是隨機(jī)選擇審計(jì)期間的一個(gè)樣本進(jìn)行測(cè)試。控制測(cè)試樣本量在制定用于執(zhí)行控制測(cè)試的測(cè)試策略時(shí)，應(yīng)考慮這樣一個(gè)事實(shí)：執(zhí)行足夠多程序是為了作出控制有效運(yùn)行結(jié)論。下表匯總了我們?cè)谙铝星闆r下針對(duì)某個(gè)特定控制執(zhí)行控制測(cè)試的基本測(cè)試范圍指引：控制性質(zhì)及執(zhí)行頻率全面控制測(cè)試-要測(cè)試的最少樣本數(shù)量（控制測(cè)試范圍）每天執(zhí)行許多次的手工控制25每天執(zhí)行一次的手工控制*25每周執(zhí)行一次的手工控制5每月執(zhí)行一次的手工控制2每季執(zhí)行一次的手工控制2每年執(zhí)行一次的手工控制1自動(dòng)控制1（區(qū)別不同交易類(lèi)型）*

某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對(duì)于這種控制，應(yīng)使用上面指引推算樣本量。通常，對(duì)于在一年中出現(xiàn)50至250次的控制，使用上面表格推算的最低樣本量大約是發(fā)生數(shù)量的10%。IT一般控制審計(jì)程序方法論2022/12/221穿行測(cè)試樣本IT一般控制審計(jì)程序方法論2022/12/322測(cè)試模板根據(jù)對(duì)被審計(jì)單位信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息。IT一般控制審計(jì)程序方法論2022/12/222測(cè)試模板根據(jù)IT一般控制審計(jì)程序方法論2022/12/323缺陷報(bào)告、整改計(jì)劃對(duì)所測(cè)試的控制沒(méi)有按照設(shè)定方式運(yùn)行情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出有針對(duì)性的整改意見(jiàn)。IT一般控制審計(jì)程序方法論2022/12/223缺陷報(bào)告、整IT一般控制審計(jì)程序方法論2022/12/324IT一般控制與應(yīng)用控制關(guān)系人工控制自動(dòng)控制（純）人工控制應(yīng)用程序控制人工依賴(lài)IT控制IT一般控制人工檢查性控制人工預(yù)防性控制IT一般控制審計(jì)程序方法論2022/12/224IT一般控制IT應(yīng)用控制審計(jì)方法論2022/12/325IT應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對(duì)于財(cái)務(wù)報(bào)表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。IT應(yīng)用控制類(lèi)型IT應(yīng)用控制審計(jì)方法論2022/12/225IT應(yīng)用控制概念2022/12/326IT應(yīng)用控制審計(jì)方法論了解核心應(yīng)用系統(tǒng)相關(guān)的重要業(yè)務(wù)流程確定業(yè)務(wù)流程與應(yīng)用系統(tǒng)的對(duì)應(yīng)關(guān)系根據(jù)業(yè)務(wù)流程描述，識(shí)別風(fēng)險(xiǎn)與控制執(zhí)行穿行測(cè)試/控制測(cè)試根據(jù)測(cè)試結(jié)果，進(jìn)行控制評(píng)價(jià)填寫(xiě)缺陷報(bào)告，制定整改計(jì)劃流程描述/流程圖應(yīng)用控制層面評(píng)估系統(tǒng)規(guī)劃圖風(fēng)險(xiǎn)控制矩陣穿行、控制測(cè)試報(bào)告缺陷報(bào)告、整改計(jì)劃使用既定的流程描述方法表示被審計(jì)機(jī)構(gòu)某個(gè)具體業(yè)務(wù)處理過(guò)程。描述各個(gè)系統(tǒng)之間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相關(guān)接口。對(duì)已選擇風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論。測(cè)試結(jié)論所依賴(lài)的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制并未按照針對(duì)該交易或控制運(yùn)行發(fā)生而設(shè)計(jì)的方式運(yùn)行進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出整改意見(jiàn)。風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。2022/12/226IT應(yīng)用控制審計(jì)方法論了解核心應(yīng)用系統(tǒng)2022/12/327IT應(yīng)用控制審計(jì)方法論風(fēng)險(xiǎn)控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動(dòng)控制和人工依賴(lài)IT系統(tǒng)控制三類(lèi)控制。樣例如下：存在/發(fā)生、完整性、權(quán)利和義務(wù)、計(jì)價(jià)和分?jǐn)?、?zhǔn)確性、截止、分類(lèi)2022/12/227IT應(yīng)用控制審計(jì)方法論風(fēng)險(xiǎn)控制矩陣也是28二、信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/328二、信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/2信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/329行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)部控制指引證券公司內(nèi)部控制指引壽險(xiǎn)公司內(nèi)部控制評(píng)價(jià)辦法上市公司內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引證券交易所行業(yè)監(jiān)管機(jī)構(gòu)企業(yè)內(nèi)部控制基本規(guī)范財(cái)政部證監(jiān)會(huì)審計(jì)署銀監(jiān)會(huì)保監(jiān)會(huì)企業(yè)內(nèi)部控制評(píng)價(jià)指引企業(yè)內(nèi)部控制審計(jì)指引證券交易所、行業(yè)監(jiān)管機(jī)構(gòu)均出臺(tái)了一系列內(nèi)部控制指引，為企業(yè)建立和實(shí)施內(nèi)部控制制度提供一些行業(yè)性指引。《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》要求注冊(cè)會(huì)計(jì)師了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)，并且應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。財(cái)政部牽頭五部委出臺(tái)《企業(yè)內(nèi)部控制基本規(guī)范》，為企業(yè)提供了完整和公認(rèn)的內(nèi)部控制框架，同時(shí)以法規(guī)的形式要求上市公司對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)?！镀髽I(yè)內(nèi)部控制評(píng)價(jià)指引》具體規(guī)范了內(nèi)控評(píng)價(jià)的內(nèi)容和標(biāo)準(zhǔn)，評(píng)價(jià)的程序和方法，內(nèi)控缺陷的認(rèn)定，以及規(guī)定了評(píng)價(jià)報(bào)告的相關(guān)內(nèi)容?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》在每個(gè)具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險(xiǎn)，崗位分工及授權(quán)批準(zhǔn)，及主要流程的控制程序?！镀髽I(yè)內(nèi)部控制審計(jì)指引》為指導(dǎo)注冊(cè)會(huì)計(jì)師執(zhí)行內(nèi)部控制審計(jì)業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/229行業(yè)內(nèi)控指2022/12/330企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《企業(yè)內(nèi)部控制基本規(guī)范》第五章中第四十一條對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行了要求：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪(fǎng)問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運(yùn)行?！?022/12/230企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《2022/12/331企業(yè)內(nèi)部控制評(píng)價(jià)指引-信息系統(tǒng)控制2022/12/231企業(yè)內(nèi)部控制評(píng)價(jià)指引-信息系統(tǒng)控制32企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開(kāi)發(fā)（5條）信息系統(tǒng)運(yùn)行與維護(hù)（6條）2022/12/332企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)-信息系統(tǒng)控制內(nèi)容包括:2033中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)

-了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)第五十九條注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時(shí)并存；（二）在未得到授權(quán)情況下訪(fǎng)問(wèn)數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對(duì)系統(tǒng)或程序作出必要的修改；（七）不恰當(dāng)?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪(fǎng)問(wèn)所需要的數(shù)據(jù)。第八十六條注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪(fǎng)問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶(hù)和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。2022/12/333中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)

-了解被審計(jì)單位及其信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/334信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）制定并頒布了11大類(lèi)審計(jì)準(zhǔn)則、29條審計(jì)指引和9條審計(jì)程序。審計(jì)指引審計(jì)準(zhǔn)則審計(jì)程序?qū)徲?jì)準(zhǔn)則：IT審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系總綱，是IT審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指引：審計(jì)指引是依據(jù)審計(jì)準(zhǔn)則制定的，是審計(jì)準(zhǔn)則的具體化，它詳細(xì)規(guī)定了IT審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指引，為審計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。審計(jì)程序：IT審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指引制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和步驟，是遵守審計(jì)準(zhǔn)則和審計(jì)指引的一些通用審計(jì)程序。審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。IT審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/234信息系統(tǒng)審信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/335ISACA信息系統(tǒng)審計(jì)準(zhǔn)則審計(jì)章程 獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)專(zhuān)業(yè)勝任能力審計(jì)計(jì)劃實(shí)施審計(jì)工作報(bào)告后續(xù)審計(jì)違法和違規(guī)行為IT治理在審計(jì)計(jì)劃中使用風(fēng)險(xiǎn)評(píng)估方法信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/235ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/336ISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）審計(jì)章程 審計(jì)章程中載明IT審計(jì)目的、責(zé)任、權(quán)限和職責(zé)。獨(dú)立性

獨(dú)立性是指IT審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外，可以理解為審計(jì)部門(mén)的獨(dú)立性和審計(jì)人員獨(dú)立性。IT審計(jì)部門(mén)是否獲得獨(dú)立性應(yīng)考慮因素IT審計(jì)部門(mén)設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定IT審計(jì)部門(mén)向誰(shuí)負(fù)責(zé)和報(bào)告工作首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息，能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)會(huì)議首席審計(jì)執(zhí)行官的任免由何種層次的領(lǐng)導(dǎo)層決定審計(jì)委員會(huì)由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)

職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/236ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/337ISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）專(zhuān)業(yè)勝任能力

審計(jì)是一門(mén)邊緣性學(xué)科，跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。出色的口頭和書(shū)面表達(dá)能力，以便清楚有效地表達(dá)審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)結(jié)論和審計(jì)建議擁有良好的人際交流技能接受后續(xù)專(zhuān)業(yè)教育，以保持專(zhuān)業(yè)技術(shù)適應(yīng)性其他必備技能，包括對(duì)組織所在行業(yè)深入了解，實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)營(yíng)方面所涉及流程的知識(shí)和技能審計(jì)師知識(shí)、技能和專(zhuān)業(yè)勝任能力熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序和技術(shù)，理解管理原則，深入領(lǐng)會(huì)會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、商法、稅收、金融和信息技術(shù)信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/237ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/338ISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）計(jì)劃

以相應(yīng)法律和審計(jì)準(zhǔn)則為基礎(chǔ)基于風(fēng)險(xiǎn)審計(jì)方法制定詳細(xì)審計(jì)計(jì)劃制定審計(jì)程序和步驟審計(jì)工作實(shí)施

審計(jì)人員受到適當(dāng)監(jiān)督獲取證據(jù)審計(jì)底稿信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/238ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/339ISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）報(bào)告

IT審計(jì)人員完成審計(jì)工作后，應(yīng)向委托者出具按照適當(dāng)格式編制的審計(jì)報(bào)告。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱(chēng)、審計(jì)報(bào)告報(bào)送對(duì)象以及報(bào)告使用限制。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)工作所涵蓋期間及所執(zhí)行審計(jì)工作性質(zhì)和內(nèi)容。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)現(xiàn)的問(wèn)題、形成的結(jié)論和建議以及審計(jì)師關(guān)于審計(jì)的任何保留意見(jiàn)。IT審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。審計(jì)報(bào)告簽發(fā)時(shí)，IT審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中規(guī)定簽名、簽署日期再對(duì)外發(fā)放。后續(xù)審計(jì)

檢查審計(jì)發(fā)現(xiàn)問(wèn)題檢查審計(jì)結(jié)論和建議被審計(jì)單位是否及時(shí)妥善處理相關(guān)問(wèn)題信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/239ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/340ISACA信息系統(tǒng)審計(jì)準(zhǔn)則（續(xù)）違法和違規(guī)行為

在實(shí)施審計(jì)程序時(shí)，IT審計(jì)師應(yīng)當(dāng)保持一種職業(yè)質(zhì)疑態(tài)度，考慮違法和違規(guī)行為存在可能性，并評(píng)價(jià)其帶來(lái)的風(fēng)險(xiǎn)。如果IT審計(jì)師識(shí)別出重大的違法和違規(guī)行為，或者是獲得了其存在的信息，應(yīng)當(dāng)及時(shí)與適當(dāng)?shù)墓芾韺舆M(jìn)行溝通。如果IT審計(jì)師識(shí)別出管理層或在內(nèi)部控制中擔(dān)任重要角色員工存在重大違法和違規(guī)行為，應(yīng)當(dāng)及時(shí)向適當(dāng)?shù)谋O(jiān)督者報(bào)告。對(duì)已向管理層、監(jiān)督人員、執(zhí)法機(jī)構(gòu)或其他人員報(bào)告的重大違法和違規(guī)行為，IT審計(jì)師應(yīng)當(dāng)記錄所有與此相關(guān)的交流、計(jì)劃、結(jié)果、評(píng)估和結(jié)論等信息。IT治理

IT審計(jì)師應(yīng)當(dāng)檢查與評(píng)估如下內(nèi)容：信息系統(tǒng)職能與組織使命、愿景、價(jià)值、目標(biāo)和戰(zhàn)略是否一致針對(duì)信息系統(tǒng)資源與績(jī)效管理過(guò)程有效性與法律法規(guī)、環(huán)境質(zhì)量、信息質(zhì)量、信用及安全要求符合性組織的控制環(huán)境對(duì)信息環(huán)境有負(fù)面影響的風(fēng)險(xiǎn)在審計(jì)計(jì)劃中使用風(fēng)險(xiǎn)評(píng)估方法

信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/240ISACA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/341使用ISACA信息系統(tǒng)審計(jì)指引考慮審計(jì)指引，以決定怎樣實(shí)施審計(jì)準(zhǔn)則在應(yīng)用審計(jì)指引時(shí)，審計(jì)師必須有自己專(zhuān)業(yè)判斷有能力調(diào)整出現(xiàn)的偏離信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/241使用ISA信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/342信息系統(tǒng)審計(jì)相關(guān)重要國(guó)際標(biāo)準(zhǔn)CobiTCOSOCMMIITIL信息系統(tǒng)審計(jì)國(guó)際標(biāo)準(zhǔn)公司層面應(yīng)用控制層面一般控制層面COSO和CobiT是國(guó)際通用的IT治理和風(fēng)險(xiǎn)管理基本框架，ITIL和CMMI分別是國(guó)際通用IT服務(wù)和項(xiàng)目管理方面的先進(jìn)標(biāo)準(zhǔn)。ISO27000系列是由國(guó)際標(biāo)準(zhǔn)組織（ISO）和國(guó)際電子技術(shù)委員會(huì)（IEC）聯(lián)合制定關(guān)于信息安全管理的國(guó)際標(biāo)準(zhǔn)。ISO27000系列信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/242信息系統(tǒng)審信息系統(tǒng)審計(jì)方法及操作指引劉麗萍2013/01信息系統(tǒng)審計(jì)方法及操作指引劉麗萍432022/12/344一、信息系統(tǒng)審計(jì)方法IT一般控制和應(yīng)用控制審計(jì)概要2022/12/22一、信息系統(tǒng)審計(jì)方法2022/12/345IT一般控制審計(jì)程序IT一般控制概念信息技術(shù)廣泛應(yīng)用于企業(yè)日常交易處理中，是涉及整個(gè)財(cái)務(wù)報(bào)表交易流程的重要組成部分，它影響財(cái)務(wù)數(shù)據(jù)的一致性、完整性和準(zhǔn)確性。隨著信息科技日益發(fā)展，信息系統(tǒng)日趨復(fù)雜，使得業(yè)務(wù)風(fēng)險(xiǎn)增加，因此對(duì)IT控制進(jìn)行測(cè)試與評(píng)估就顯得尤為重要。IT一般控制是指為保證在一段時(shí)期內(nèi)應(yīng)用控制持續(xù)有效性，而在系統(tǒng)變更和數(shù)據(jù)訪(fǎng)問(wèn)等方面的系統(tǒng)控制。因?yàn)檫@些控制對(duì)一個(gè)以上應(yīng)用程序和數(shù)據(jù)集都有效，所以被稱(chēng)為“IT一般控制”。IT一般控制分類(lèi)變更管理：只允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更。邏輯訪(fǎng)問(wèn)：只有經(jīng)過(guò)授權(quán)的人員，才可以訪(fǎng)問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表和相關(guān)資源），并且他們只能執(zhí)行明確授權(quán)的功能（例如：詢(xún)問(wèn)、執(zhí)行和更新）。其他IT一般控制（包括IT運(yùn)行）：正確備份支持財(cái)務(wù)信息數(shù)據(jù)，以便在發(fā)生系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，能夠準(zhǔn)確、完整地恢復(fù)這類(lèi)數(shù)據(jù)。按計(jì)劃執(zhí)行程序，并及時(shí)識(shí)別和消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。及時(shí)識(shí)別、解決、復(fù)核和分析IT運(yùn)行問(wèn)題或事故。2022/12/23IT一般控制審計(jì)程序IT一般控制概念2022/12/346IT一般控制審計(jì)程序IT一般控制包含控制流程主要包括三個(gè)方面變更管理邏輯訪(fǎng)問(wèn)其它IT一般控制平穩(wěn)解決創(chuàng)新管理問(wèn)題IT一般控制審計(jì)Enterprisedata

modelMaster/referencedataTechnologyandtoolsstandards信息系統(tǒng)審計(jì)指南和標(biāo)準(zhǔn)用戶(hù)賬號(hào)變更管理超級(jí)用戶(hù)訪(fǎng)問(wèn)授權(quán)關(guān)鍵系統(tǒng)資源和工具訪(fǎng)問(wèn)授權(quán)權(quán)限定期檢查超級(jí)用戶(hù)日志職責(zé)分離安全參數(shù)設(shè)置遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)安全備份管理備份恢復(fù)物理安全批處理第三方管理問(wèn)題及應(yīng)急事件處理業(yè)務(wù)持續(xù)性計(jì)劃／災(zāi)難恢復(fù)系統(tǒng)開(kāi)發(fā)和重大變更程序變更配置/參數(shù)變更基礎(chǔ)架構(gòu)變更緊急程序變更數(shù)據(jù)修改2022/12/24IT一般控制審計(jì)程序IT一般控制包含控制2022/12/347IT一般控制審計(jì)程序變更管理1.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會(huì)影響變更管理種類(lèi)，并且在測(cè)試范圍內(nèi)：應(yīng)用程序界面（IT控制）數(shù)據(jù)庫(kù)操作系統(tǒng)/網(wǎng)絡(luò)1.2影響變更管理測(cè)試性質(zhì)和范圍因素僅允許對(duì)應(yīng)用程序、界面、數(shù)據(jù)庫(kù)和操作系統(tǒng)進(jìn)行適當(dāng)授權(quán)、測(cè)試和批準(zhǔn)的變更。1.1總體目標(biāo)2022/12/25IT一般控制審計(jì)程序變更管理1.2.12022/12/348IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))1.2.2變更類(lèi)型要確定最適當(dāng)?shù)臏y(cè)試方法，了解和記錄用于變更管理過(guò)程，包括針對(duì)以下變更類(lèi)型和IT環(huán)境技術(shù)組成要素過(guò)程：程序開(kāi)發(fā)/采購(gòu)—開(kāi)發(fā)和實(shí)施新應(yīng)用程序或界面。程序變更—對(duì)現(xiàn)有應(yīng)用程序和界面進(jìn)行的變更。系統(tǒng)軟件維護(hù)—對(duì)數(shù)據(jù)庫(kù)、操作系統(tǒng)和其他系統(tǒng)軟件進(jìn)行的技術(shù)變更（例如：補(bǔ)丁程序和升級(jí)）。緊急變更—在緊急情況下進(jìn)行的變更。配置/參數(shù)變更—對(duì)IT環(huán)境各種技術(shù)組成要素總體配置和參數(shù)設(shè)置進(jìn)行的變更相關(guān)，包括對(duì)新應(yīng)用程序的配置設(shè)置進(jìn)行初始設(shè)置。2022/12/26IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/349IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))選擇變更管理樣本首選方法是：直接從表明自審計(jì)期間期初到測(cè)試日期實(shí)際進(jìn)行全部變更的變更管理系統(tǒng)獲取清單，并且確定變更清單是完整的、有效的。如果系統(tǒng)生成清單不可用，可以考慮以下組合：獲取被審計(jì)公司變更清單（手工維護(hù)清單或來(lái)自自動(dòng)跟蹤系統(tǒng)清單）；確定程序變更清單是完整的。通過(guò)查找編譯日期在審計(jì)期間內(nèi)的可執(zhí)行模塊來(lái)獲取實(shí)際變更清單，從該清單中選擇一個(gè)在此期間發(fā)生的變更樣本，并驗(yàn)證從被審計(jì)機(jī)構(gòu)那里獲取的變更清單上是否存在該變更。如果沒(méi)有任何變更，則核實(shí)范圍內(nèi)技術(shù)組成要素最新編譯日期不在審計(jì)期間內(nèi)，以確定沒(méi)有發(fā)生變更。1.2.3識(shí)別對(duì)IT環(huán)境進(jìn)行的變更（測(cè)試總體）根據(jù)確定的測(cè)試方法，獲取從審計(jì)期間期初到測(cè)試日期以來(lái)IT環(huán)境相關(guān)組成要素變更完整清單（變更管理清單）。應(yīng)盡可能進(jìn)一步分離變更管理清單，使其只包括在范圍內(nèi)的那些IT環(huán)境變更和技術(shù)組成要素。應(yīng)用以下與獲取程序變更清單相關(guān)的方法：2022/12/27IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/350IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)和范圍因素(續(xù))已授權(quán)—確定請(qǐng)求的變更已經(jīng)過(guò)適當(dāng)授權(quán)。根據(jù)被審計(jì)機(jī)構(gòu)政策具體確定，某些情況下（如較小變更，可能被定義為那些需要程序員花費(fèi)時(shí)間少于特定小時(shí)數(shù)的變更），變更可能不需要特定授權(quán)。已測(cè)試—確定用戶(hù)是否執(zhí)行了測(cè)試以確認(rèn)變更按設(shè)計(jì)意圖運(yùn)行。否則，應(yīng)確認(rèn)確實(shí)進(jìn)行了其他適當(dāng)測(cè)試。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），根據(jù)被審計(jì)機(jī)構(gòu)政策，可以接受純IT測(cè)試。已批準(zhǔn)—確定在變更移入生產(chǎn)環(huán)境之前，應(yīng)用程序所有者和IT人員是否批準(zhǔn)了這些變更。有些情況下（如：基礎(chǔ)結(jié)構(gòu)變更），可以接受純IT批準(zhǔn)。1.2.4授權(quán)、測(cè)試和批準(zhǔn)變更

1.2.5變更管理職責(zé)分工補(bǔ)償性控制由于組織結(jié)構(gòu)或其他原因無(wú)法進(jìn)行變更管理不相容職責(zé)分工情況下，補(bǔ)償性控制可以用來(lái)保證不會(huì)發(fā)生未經(jīng)授權(quán)的程序或數(shù)據(jù)變更。應(yīng)將補(bǔ)償性控制設(shè)計(jì)為發(fā)現(xiàn)何時(shí)因不相容職責(zé)分工問(wèn)題而規(guī)避現(xiàn)有其他變更管理控制。補(bǔ)償性IT一般控制示例有：變更日志復(fù)核，以確定只有批準(zhǔn)的變更被移到生產(chǎn)環(huán)境中，同時(shí)確認(rèn)變更日志是完整的。變更控制會(huì)議，以討論和跟進(jìn)移入生產(chǎn)環(huán)境中的最新變更。2022/12/28IT一般控制審計(jì)程序影響變更管理測(cè)試性質(zhì)2022/12/351IT一般控制審計(jì)程序邏輯訪(fǎng)問(wèn)2.1總體目標(biāo)只允許授權(quán)人員訪(fǎng)問(wèn)數(shù)據(jù)和應(yīng)用程序（包括程序、表格以及相關(guān)資源），并且這些人員只能執(zhí)行明確授權(quán)的功能（例如：詢(xún)問(wèn)、執(zhí)行和更新等）。

需要考慮ITGC邏輯訪(fǎng)問(wèn)測(cè)試是否提供了有關(guān)適當(dāng)?shù)南拗苹虿幌嗳萋氊?zé)分工的足夠證據(jù)。有些情況下，ITGC測(cè)試不能為我們提供足夠的證據(jù)，以明確斷定是否為各個(gè)交易適當(dāng)限制或分離了邏輯訪(fǎng)問(wèn)。此時(shí)，應(yīng)用程序?qū)哟蔚脑L(fǎng)問(wèn)控制對(duì)于我們的風(fēng)險(xiǎn)評(píng)估而言可能至關(guān)重要。在這種情況下，作為應(yīng)用控制測(cè)試的一部分，我們將對(duì)應(yīng)用程序?qū)哟卧L(fǎng)問(wèn)或不相容職責(zé)分工控制執(zhí)行特定測(cè)試。2022/12/29IT一般控制審計(jì)程序邏輯訪(fǎng)問(wèn)2.1總體2022/12/352IT一般控制審計(jì)程序2.2影響邏輯訪(fǎng)問(wèn)測(cè)試性質(zhì)和范圍因素對(duì)于ITGC審計(jì)范圍每個(gè)應(yīng)用程序,應(yīng)確定用于保護(hù)財(cái)務(wù)系統(tǒng)程序和數(shù)據(jù)訪(fǎng)問(wèn)的邏輯訪(fǎng)問(wèn)路徑每個(gè)技術(shù)組成要素關(guān)鍵程度。邏輯訪(fǎng)問(wèn)路徑可能的技術(shù)組成要素包括：2.2.1邏輯訪(fǎng)問(wèn)路徑應(yīng)用程序操作系統(tǒng)，包括使用安全軟件數(shù)據(jù)庫(kù)網(wǎng)絡(luò)互聯(lián)網(wǎng)/遠(yuǎn)程訪(fǎng)問(wèn)穿行測(cè)試應(yīng)記錄邏輯訪(fǎng)問(wèn)路徑中的哪些位置存在不同授權(quán)訪(fǎng)問(wèn)過(guò)程。在大多數(shù)環(huán)境中：所有邏輯訪(fǎng)問(wèn)ITGC均應(yīng)用于應(yīng)用程序?qū)哟?；并非所有邏輯訪(fǎng)問(wèn)ITGC都應(yīng)用于操作系統(tǒng)和數(shù)據(jù)庫(kù)層次；只有極少數(shù)邏輯訪(fǎng)問(wèn)ITGC可能應(yīng)用于網(wǎng)絡(luò)、遠(yuǎn)程訪(fǎng)問(wèn)或互聯(lián)網(wǎng)層次。2022/12/210IT一般控制審計(jì)程序2.2影響邏輯訪(fǎng)2022/12/353IT一般控制審計(jì)程序影響邏輯訪(fǎng)問(wèn)測(cè)試性質(zhì)和范圍因素(續(xù))與離職和調(diào)動(dòng)用戶(hù)相關(guān)的ITGC通常是補(bǔ)償性控制，用于彌補(bǔ)定期用戶(hù)訪(fǎng)問(wèn)復(fù)核過(guò)程的缺陷。如果審計(jì)方法表明需要測(cè)試離職和調(diào)動(dòng)用戶(hù)，我們應(yīng)考慮以下程序：2.2.2定期用戶(hù)權(quán)限復(fù)核控制的補(bǔ)償性控制

測(cè)試程序—

離職用戶(hù)：獲取審計(jì)期間離職職員清單，并確定它是完整的、有效的。選擇適當(dāng)樣本，確定是否及時(shí)刪除或撤消了系統(tǒng)訪(fǎng)問(wèn)權(quán)限。測(cè)試程序—

調(diào)動(dòng)用戶(hù)：獲取審計(jì)期間調(diào)動(dòng)職員清單，并確定它是完整的、有效的。確定用戶(hù)訪(fǎng)問(wèn)對(duì)于其工作職能來(lái)說(shuō)是否適當(dāng)，其以前的系統(tǒng)訪(fǎng)問(wèn)權(quán)限是否已被刪除或撤消。2022/12/211IT一般控制審計(jì)程序影響邏輯訪(fǎng)問(wèn)測(cè)試性2022/12/354IT一般控制審計(jì)程序其他IT一般控制備份和恢復(fù)：正確備份支持財(cái)務(wù)信息的數(shù)據(jù)，以便在出現(xiàn)系統(tǒng)中斷或數(shù)據(jù)完整性問(wèn)題時(shí)，可以準(zhǔn)確完整地恢復(fù)此類(lèi)數(shù)據(jù)。任務(wù)排程：按計(jì)劃執(zhí)行程序，及時(shí)識(shí)別并消除按計(jì)劃處理時(shí)產(chǎn)生的偏差。批處理：正確維護(hù)批處理過(guò)程，持續(xù)監(jiān)控批處理，以保證數(shù)據(jù)安全。問(wèn)題和事件管理及監(jiān)控：及時(shí)識(shí)別、解決、復(fù)核和分析IT運(yùn)行問(wèn)題或事件。3.1總體目標(biāo)3.2影響其他IT一般控制測(cè)試性質(zhì)和范圍因素3.2.1IT環(huán)境技術(shù)組成要素在風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們應(yīng)確定IT環(huán)境中以下哪些技術(shù)組成要素會(huì)影響其他IT一般控制，并且在測(cè)試范圍內(nèi)：應(yīng)用程序數(shù)據(jù)庫(kù)操作系統(tǒng)/網(wǎng)絡(luò)

2022/12/212IT一般控制審計(jì)程序其他IT一般控制3IT一般控制審計(jì)程序方法論測(cè)試方法測(cè)試人員需要根據(jù)具體情況，決定采用不同測(cè)試方法，包括：詢(xún)問(wèn)、觀(guān)察、檢查、重新執(zhí)行四種。注意：對(duì)某一個(gè)控制點(diǎn)測(cè)試可能需要結(jié)合各種不同測(cè)試方法，譬如用戶(hù)賬號(hào)管理流程關(guān)于用戶(hù)初始密碼必須及時(shí)更改這個(gè)控制點(diǎn)。詢(xún)問(wèn)：通過(guò)向相關(guān)人員訪(fǎng)談了解各個(gè)系統(tǒng)是否存在用戶(hù)初始密碼更改控制，由什么崗位負(fù)責(zé)這項(xiàng)工作，是否有制度對(duì)初始密碼作出規(guī)定等。觀(guān)察：觀(guān)察一個(gè)系統(tǒng)新用戶(hù)初次登陸時(shí)，系統(tǒng)是否提示修改密碼。檢查：檢查系統(tǒng)安全參數(shù)設(shè)置，確保使用正確的參數(shù)強(qiáng)制用戶(hù)在初次登錄后修改密碼。重新執(zhí)行：申請(qǐng)一個(gè)測(cè)試賬號(hào)，在系統(tǒng)中初次登錄時(shí)查看系統(tǒng)是否強(qiáng)制要求修改密碼。2022/12/355IT一般控制審計(jì)程序方法論測(cè)試方法詢(xún)問(wèn)：通過(guò)向相關(guān)人員訪(fǎng)談了IT一般控制審計(jì)程序方法論2022/12/356為了解IT流程，參與評(píng)估人員需要在內(nèi)控文檔中對(duì)如下內(nèi)容進(jìn)行關(guān)注：5個(gè)W(WHO,WHEN,WHAT,WHERE,WHY)與1個(gè)H(HOW)誰(shuí)來(lái)做的-Who何時(shí)做的-When做的什么-What在哪做的-Where做的原因-Why如何做的-How了解IT流程方法IT一般控制審計(jì)程序方法論2022/12/214為了解IT流IT一般控制審計(jì)程序方法論2022/12/357IT一般控制測(cè)試流程缺陷報(bào)告文檔整改控制矩陣測(cè)試訪(fǎng)談再評(píng)估IT一般控制審計(jì)程序方法論2022/12/215IT一般控制IT一般控制審計(jì)程序方法論2022/12/358IT一般控制流程主要關(guān)注點(diǎn)舉例-用戶(hù)賬戶(hù)維護(hù)流程

注：所列內(nèi)容僅為簡(jiǎn)單樣例需求部門(mén)如何提出用戶(hù)賬戶(hù)維護(hù)申請(qǐng)?jiān)撋暾?qǐng)由誰(shuí)來(lái)授權(quán)，如何授權(quán)以及授權(quán)哪些內(nèi)容需求申請(qǐng)及授權(quán)確認(rèn)記錄在哪里具體誰(shuí)負(fù)責(zé)執(zhí)行及如何執(zhí)行

負(fù)責(zé)人完成維護(hù)操作后，如何通知需求部門(mén)或授權(quán)人啟動(dòng)授權(quán)記錄流程處理 匯報(bào)詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查詢(xún)問(wèn)、觀(guān)察和檢查IT一般控制審計(jì)程序方法論2022/12/216IT一般控制2022/12/359IT一般控制審計(jì)方法論了解被評(píng)估單位的IT一般控制流程根據(jù)流程描述，識(shí)別風(fēng)險(xiǎn)與控制的關(guān)系根據(jù)應(yīng)用系統(tǒng)配置清單，判斷測(cè)試范圍根據(jù)測(cè)試范圍設(shè)計(jì)測(cè)試方法執(zhí)行穿行測(cè)試/控制測(cè)試根據(jù)測(cè)試結(jié)果，進(jìn)行控制評(píng)價(jià)填寫(xiě)缺陷報(bào)告、制定整改計(jì)劃流程描述/流程圖IT一般控制評(píng)估風(fēng)險(xiǎn)控制矩陣系統(tǒng)配置清單測(cè)試模板穿行、控制測(cè)試報(bào)告缺陷報(bào)告、整改計(jì)劃使用相關(guān)流程描述方法表示被評(píng)估單位某個(gè)具體業(yè)務(wù)處理過(guò)程。風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。識(shí)別出關(guān)鍵系統(tǒng)的系統(tǒng)配置，包括系統(tǒng)描述、應(yīng)用系統(tǒng)來(lái)源、計(jì)算機(jī)平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)名稱(chēng)和版本等有關(guān)系統(tǒng)的信息。根據(jù)對(duì)信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論（即：確定ITGC是否有效）。測(cè)試結(jié)論所依賴(lài)的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制未按照設(shè)計(jì)方式運(yùn)行的情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出整改意見(jiàn)。2022/12/217IT一般控制審計(jì)方法論了解被評(píng)估單位的IT一般控制審計(jì)程序方法論2022/12/360流程描述/流程圖系統(tǒng)變更流程適用范圍-針對(duì)XXX系統(tǒng)需求申請(qǐng)需求可行性分析業(yè)務(wù)需求文檔編寫(xiě)系統(tǒng)開(kāi)發(fā)測(cè)試上線(xiàn)上線(xiàn)后跟進(jìn)IT一般控制審計(jì)程序方法論2022/12/218流程描述/流IT一般控制審計(jì)程序方法論2022/12/361風(fēng)險(xiǎn)控制矩陣風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、控制存在的證明性資料、實(shí)際控制描述等信息。IT一般控制審計(jì)程序方法論2022/12/219風(fēng)險(xiǎn)控制矩陣IT一般控制審計(jì)程序方法論2022/12/362穿行測(cè)試、控制測(cè)試定義穿行測(cè)試：追蹤交易實(shí)際執(zhí)行或在信息系統(tǒng)中的處理過(guò)程，并檢查文件存檔和信息流，以確定是否按照規(guī)定的制度完成。穿行測(cè)試不是單獨(dú)的一種審計(jì)程序，而是將多種審計(jì)程序按特定審計(jì)需要結(jié)合運(yùn)用的方法。通過(guò)追蹤交易處理過(guò)程，證實(shí)審計(jì)人員對(duì)控制的了解、評(píng)價(jià)控制設(shè)計(jì)有效性以及確定控制是否得到執(zhí)行?？刂茰y(cè)試：測(cè)試被審計(jì)單位系統(tǒng)控制設(shè)計(jì)合理性和執(zhí)行有效性。在測(cè)試控制運(yùn)行有效性時(shí)，應(yīng)當(dāng)從下列方面獲取關(guān)于控制是否有效運(yùn)行的審計(jì)證據(jù)：控制在所審計(jì)期間不同時(shí)點(diǎn)是如何運(yùn)行的；控制是否得到一貫執(zhí)行；控制由誰(shuí)執(zhí)行；控制以何種方式運(yùn)行（如人工控制或自動(dòng)控制）。穿行測(cè)試：評(píng)價(jià)控制設(shè)計(jì)有效性。穿行測(cè)試主要是在了解內(nèi)部控制時(shí)運(yùn)用，但在執(zhí)行穿行測(cè)試時(shí)，也能獲取部分控制運(yùn)行有效性的審計(jì)證據(jù)?？刂茰y(cè)試：評(píng)價(jià)控制設(shè)計(jì)有效性并確定控制是否得到有效執(zhí)行。穿行測(cè)試、控制測(cè)試區(qū)別IT一般控制審計(jì)程序方法論2022/12/220穿行測(cè)試、控IT一般控制審計(jì)程序方法論2022/12/363穿行測(cè)試樣本量穿行測(cè)試是隨機(jī)選擇審計(jì)期間的一個(gè)樣本進(jìn)行測(cè)試。控制測(cè)試樣本量在制定用于執(zhí)行控制測(cè)試的測(cè)試策略時(shí)，應(yīng)考慮這樣一個(gè)事實(shí)：執(zhí)行足夠多程序是為了作出控制有效運(yùn)行結(jié)論。下表匯總了我們?cè)谙铝星闆r下針對(duì)某個(gè)特定控制執(zhí)行控制測(cè)試的基本測(cè)試范圍指引：控制性質(zhì)及執(zhí)行頻率全面控制測(cè)試-要測(cè)試的最少樣本數(shù)量（控制測(cè)試范圍）每天執(zhí)行許多次的手工控制25每天執(zhí)行一次的手工控制*25每周執(zhí)行一次的手工控制5每月執(zhí)行一次的手工控制2每季執(zhí)行一次的手工控制2每年執(zhí)行一次的手工控制1自動(dòng)控制1（區(qū)別不同交易類(lèi)型）*

某些控制可能是頻繁執(zhí)行的，但不是每天都執(zhí)行。對(duì)于這種控制，應(yīng)使用上面指引推算樣本量。通常，對(duì)于在一年中出現(xiàn)50至250次的控制，使用上面表格推算的最低樣本量大約是發(fā)生數(shù)量的10%。IT一般控制審計(jì)程序方法論2022/12/221穿行測(cè)試樣本IT一般控制審計(jì)程序方法論2022/12/364測(cè)試模板根據(jù)對(duì)被審計(jì)單位信息系統(tǒng)的初步了解，設(shè)計(jì)出相應(yīng)的測(cè)試模板，包括風(fēng)險(xiǎn)點(diǎn)、控制點(diǎn)、測(cè)試范圍、測(cè)試時(shí)間、測(cè)試步驟等信息。IT一般控制審計(jì)程序方法論2022/12/222測(cè)試模板根據(jù)IT一般控制審計(jì)程序方法論2022/12/365缺陷報(bào)告、整改計(jì)劃對(duì)所測(cè)試的控制沒(méi)有按照設(shè)定方式運(yùn)行情況進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出有針對(duì)性的整改意見(jiàn)。IT一般控制審計(jì)程序方法論2022/12/223缺陷報(bào)告、整IT一般控制審計(jì)程序方法論2022/12/366IT一般控制與應(yīng)用控制關(guān)系人工控制自動(dòng)控制（純）人工控制應(yīng)用程序控制人工依賴(lài)IT控制IT一般控制人工檢查性控制人工預(yù)防性控制IT一般控制審計(jì)程序方法論2022/12/224IT一般控制IT應(yīng)用控制審計(jì)方法論2022/12/367IT應(yīng)用控制概念應(yīng)用控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用控制普遍適用于各種交易處理，所以應(yīng)用控制是否有效對(duì)于財(cái)務(wù)報(bào)表完整性和正確性以及公司內(nèi)部控制有效性有著極為重要的影響。IT應(yīng)用控制類(lèi)型IT應(yīng)用控制審計(jì)方法論2022/12/225IT應(yīng)用控制概念2022/12/368IT應(yīng)用控制審計(jì)方法論了解核心應(yīng)用系統(tǒng)相關(guān)的重要業(yè)務(wù)流程確定業(yè)務(wù)流程與應(yīng)用系統(tǒng)的對(duì)應(yīng)關(guān)系根據(jù)業(yè)務(wù)流程描述，識(shí)別風(fēng)險(xiǎn)與控制執(zhí)行穿行測(cè)試/控制測(cè)試根據(jù)測(cè)試結(jié)果，進(jìn)行控制評(píng)價(jià)填寫(xiě)缺陷報(bào)告，制定整改計(jì)劃流程描述/流程圖應(yīng)用控制層面評(píng)估系統(tǒng)規(guī)劃圖風(fēng)險(xiǎn)控制矩陣穿行、控制測(cè)試報(bào)告缺陷報(bào)告、整改計(jì)劃使用既定的流程描述方法表示被審計(jì)機(jī)構(gòu)某個(gè)具體業(yè)務(wù)處理過(guò)程。描述各個(gè)系統(tǒng)之間信息傳遞關(guān)系和系統(tǒng)與系統(tǒng)相關(guān)接口。對(duì)已選擇風(fēng)險(xiǎn)點(diǎn)所針對(duì)的每個(gè)控制進(jìn)行測(cè)試，并得出結(jié)論。測(cè)試結(jié)論所依賴(lài)的審計(jì)證據(jù)一定要真實(shí)可靠。對(duì)所測(cè)試的控制并未按照針對(duì)該交易或控制運(yùn)行發(fā)生而設(shè)計(jì)的方式運(yùn)行進(jìn)行總結(jié)歸納；同時(shí)找出原因和影響范圍，并對(duì)其提出整改意見(jiàn)。風(fēng)險(xiǎn)控制矩陣是對(duì)風(fēng)險(xiǎn)所導(dǎo)致負(fù)面影響的量化，從嚴(yán)重性、發(fā)生概率和所涉及范圍等方面進(jìn)行描述，使得對(duì)風(fēng)險(xiǎn)的刻畫(huà)更為有效和清晰。2022/12/226IT應(yīng)用控制審計(jì)方法論了解核心應(yīng)用系統(tǒng)2022/12/369IT應(yīng)用控制審計(jì)方法論風(fēng)險(xiǎn)控制矩陣也是流程層面控制矩陣的一部分，其中包括人工控制、系統(tǒng)自動(dòng)控制和人工依賴(lài)IT系統(tǒng)控制三類(lèi)控制。樣例如下：存在/發(fā)生、完整性、權(quán)利和義務(wù)、計(jì)價(jià)和分?jǐn)?、?zhǔn)確性、截止、分類(lèi)2022/12/227IT應(yīng)用控制審計(jì)方法論風(fēng)險(xiǎn)控制矩陣也是70二、信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/328二、信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/2信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/371行業(yè)內(nèi)控指引商業(yè)銀行內(nèi)部控制指引證券公司內(nèi)部控制指引壽險(xiǎn)公司內(nèi)部控制評(píng)價(jià)辦法上市公司內(nèi)控指引上交所內(nèi)控指引深交所內(nèi)控指引證券交易所行業(yè)監(jiān)管機(jī)構(gòu)企業(yè)內(nèi)部控制基本規(guī)范財(cái)政部證監(jiān)會(huì)審計(jì)署銀監(jiān)會(huì)保監(jiān)會(huì)企業(yè)內(nèi)部控制評(píng)價(jià)指引企業(yè)內(nèi)部控制審計(jì)指引證券交易所、行業(yè)監(jiān)管機(jī)構(gòu)均出臺(tái)了一系列內(nèi)部控制指引，為企業(yè)建立和實(shí)施內(nèi)部控制制度提供一些行業(yè)性指引。《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》要求注冊(cè)會(huì)計(jì)師了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)，并且應(yīng)當(dāng)了解與信息處理有關(guān)的控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。財(cái)政部牽頭五部委出臺(tái)《企業(yè)內(nèi)部控制基本規(guī)范》，為企業(yè)提供了完整和公認(rèn)的內(nèi)部控制框架，同時(shí)以法規(guī)的形式要求上市公司對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我評(píng)價(jià)?！镀髽I(yè)內(nèi)部控制評(píng)價(jià)指引》具體規(guī)范了內(nèi)控評(píng)價(jià)的內(nèi)容和標(biāo)準(zhǔn)，評(píng)價(jià)的程序和方法，內(nèi)控缺陷的認(rèn)定，以及規(guī)定了評(píng)價(jià)報(bào)告的相關(guān)內(nèi)容?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》在每個(gè)具體流程中規(guī)定了該指引的目的，相關(guān)定義，該流程的主要風(fēng)險(xiǎn)，崗位分工及授權(quán)批準(zhǔn)，及主要流程的控制程序。《企業(yè)內(nèi)部控制審計(jì)指引》為指導(dǎo)注冊(cè)會(huì)計(jì)師執(zhí)行內(nèi)部控制審計(jì)業(yè)務(wù)的具體指引。企業(yè)內(nèi)部控制應(yīng)用指引信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引2022/12/229行業(yè)內(nèi)控指2022/12/372企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《企業(yè)內(nèi)部控制基本規(guī)范》第五章中第四十一條對(duì)信息系統(tǒng)內(nèi)部控制進(jìn)行了要求：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪(fǎng)問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全運(yùn)行?！?022/12/230企業(yè)內(nèi)部控制基本規(guī)范-信息系統(tǒng)控制《2022/12/373企業(yè)內(nèi)部控制評(píng)價(jià)指引-信息系統(tǒng)控制2022/12/231企業(yè)內(nèi)部控制評(píng)價(jià)指引-信息系統(tǒng)控制74企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)-信息系統(tǒng)控制內(nèi)容包括:信息系統(tǒng)開(kāi)發(fā)（5條）信息系統(tǒng)運(yùn)行與維護(hù)（6條）2022/12/332企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)-信息系統(tǒng)控制內(nèi)容包括:2075中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)

-了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)第五十九條注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)從下列方面了解信息技術(shù)對(duì)內(nèi)部控制產(chǎn)生的特定風(fēng)險(xiǎn)：（一）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時(shí)并存；（二）在未得到授權(quán)情況下訪(fǎng)問(wèn)數(shù)據(jù)，可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?，包括記錄未?jīng)授權(quán)或不存在的交易，或不正確地記錄了交易；（三）信息技術(shù)人員可能獲得超越其履行職責(zé)以外的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，破壞了系統(tǒng)應(yīng)有的職責(zé)分工；（四）未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)；（五）未經(jīng)授權(quán)改變系統(tǒng)或程序；（六）未能對(duì)系統(tǒng)或程序作出必要的修改；（七）不恰當(dāng)?shù)娜藶楦深A(yù)；（八）數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪(fǎng)問(wèn)所需要的數(shù)據(jù)。第八十六條注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與信息處理有關(guān)控制活動(dòng)，包括信息技術(shù)一般控制和應(yīng)用控制。信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪(fǎng)問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶(hù)和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。2022/12/333中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)

-了解被審計(jì)單位及其信息系統(tǒng)審計(jì)準(zhǔn)則與操作指引

2022/12/376信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）制定并頒布了11大類(lèi)審計(jì)準(zhǔn)則、29條審計(jì)指引和9條審計(jì)程序。審計(jì)指引審計(jì)準(zhǔn)則審計(jì)程序?qū)徲?jì)準(zhǔn)則：IT審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系總綱，是IT審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指引：審計(jì)指引是依據(jù)審計(jì)準(zhǔn)則制定的，是審計(jì)準(zhǔn)則的具體化，它詳細(xì)規(guī)定了IT審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出