中国注册会计师协会企业内部控制审计业务培训班信息系统控制的测试中国注册会计师协会企业内部控制审计业务培训班议 题信息系统与内部控制信息系统控制的内容信息技术一般控制自动化应用控制测试与评价信息系统内部控制2中国注册会计师协会企业内部控制审计业务培训班议 题信息系统与内部控制3中国注册会计师协会企业内部控制审计业务培训班内部控制和财务报表认定的关系4中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制目前企业的信息化程度越来越高，企业的业务、财 务流程对信息系统的依赖日益加深，众多企业实施 了ERP系统，由于ERP系统的集成度较高，因此无 论在ERP的实施阶段还是在后期系统运行维护阶段 均为企业的信息化管理带来了新的挑战。信息技术已成为支持公司业务、财务、管理的重要 基础构架，提供内部、外部、第三方等用户对公司 信息的访问。5中国注册会计师协会企业内部控制审计业务培训班信息系统与内部控制（续）6中国注册会计师协会企业内部控制审计业务培训班 信息系统与内部控制（续）如果缺乏适当的信息系统内部控制，公司将面临业 务、财务等方面的风险，例如：舞弊风险：l信息化加快了公司的效率，提供方便的业务处理l同时必须注意到在信息化的公司环境中，舞弊也因为信 息系统而变得更加容易l如果缺乏适当的IT控制，例如没有严格责任分离或者不 适当的用户授权，都将增加舞弊现象存在的可能7中国注册会计师协会企业内部控制审计业务培训班 信息系统与内部控制（续）未授权数据修改的风险：l公司最重要的资产之一就是信息和数据l如果没有适当的IT内部控制，例如对数据修改的严格管 理或对数据库访问用户不合适授权、没有使用入侵检测 系统等，业务、财务、客户数据信息则有可能被未授权 的用户或者入侵者修改、删除、复制，从而给公司带来 巨大的损失8中国注册会计师协会企业内部控制审计业务培训班 信息系统与内部控制（续）l根据一家国际机构的数据统计，自2004年至2008年6月30 日，在内控无效的美国上市公司中，大约17%25%的公 司在信息系统内部控制方面存在重大缺陷。l导致内控无效的信息系统方面重大控制缺陷主要有以下 几种类型：程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制9中国注册会计师协会企业内部控制审计业务培训班议 题信息系统控制的内容10中国注册会计师协会企业内部控制审计业务培训班信息系统控制的内容11中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制与 自动化应用控制之间的关系 应用控制是设计在计算机应用系统中的有助于达到 信息处理目标的控制，例如：l许多应用系统中根据业务的需求（“业务规则”）设置 了很多编辑检查来帮助确保录入数据的准确性，编辑检 查可能包括格式检查（如：日期格式或数字格式），存 在性检查（如：客户编码存在于客户主数据文档之中） ，或合理性检查（如：最大支付金额）12中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制与 自动化应用控制之间的关系 l如果在录入数据时某一项“业务规则”未通过编辑检查 ，那么系统可能拒绝录入该数据或系统可能将该录入数 据包括在系统生成的例外报告之中，留待后续跟进和处 理l如果企业依赖带有关键编辑检查功能的应用系统支持业 务，那这些应用控制的有效性必须建立在信息系统一般 控制的基础之上13中国注册会计师协会企业内部控制审计业务培训班议 题信息技术一般控制14中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制15中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制（续）16中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制（续）如果计算机环境发现了信息技术一般控制的缺陷， 则会影响系统整体的可信程度例如：l程序变更控制缺陷可能导致未授权人员对检查录入数据 字段格式的编程逻辑进行修改，导致系统接受不准确的 录入数据l与安全和访问权限相关的控制缺陷可能导致数据录入不 恰当地绕过合理性检查，而该合理性检查在其他方面将 使系统无法处理金额超过最大容差范围的支付操作17中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制所包括的范围信息系统的开发和实施：l开发与实施活动的管理、项目发起、分析与设计、自开 发系统的建设与软件包的选择、测试和质量保证、数据 转换、上线、文档与培训等信息系统的变更和维护：l维护活动的管理、规格说明、授权和跟踪变更申请、系 统编程、测试和质量保证、迁移到生产环境的授权、文 档和培训等18中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制所包括的范围信息系统的操作和运行：l对系统操作的总体控制、工作计划和批处理、备份管理 、管理数据中心环境、从操作失败中恢复、用户帮助部 门的功能、服务水平协议等程序和数据的接触安全：l安全组织和管理、安全政策和流程、应用系统的安全管 理、数据安全、操作系统安全、内部网络安全、边界网 络安全、物理安全等19中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制： 信息系统的开发和实施l目标是确保系统的开发、 配置和实施能够实现管理 层的应用控制目标，包括 考虑：程序开发活动的全面管 理项目启动控制应当确保 项目的计划、资源配置 和启动可以支持实现管 理层的应用控制目标l具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离20中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制： 信息系统的变更和维护l目标是确保对程序和相关 基础组件的变更是经过请 求、授权、执行、测试和 实施的，以达到管理层的 应用控制目标l具体控制领域包括：对维护活动的管理对变更请求的规范、授 权与跟踪对程序变更实施过程的 控制测试和质量确保 程序实施记录和培训职责分离21中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制： 信息系统的操作和运行l目标是确保生产系统根据 管理层的控制目标、完整 准确地运行，确保运行问 题被完整准确地识别并解 决，以维护财务数据的完 整性l具体控制领域包括：计算机运行活动的总体 管理批处理实时处理备份和问题管理 灾难恢复重要电子表格22中国注册会计师协会企业内部控制审计业务培训班 信息技术一般控制： 程序和数据的接触安全l目标是确保分配的访问程 序和数据的权限是经过用 户身份认证并经过授权的l具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全23中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制（续）信息技术一般控制举例：1.1系统开发和重大变更流程:控制点：l用户需求文档以及其他系统设计文档应该经过用户所在 部门管理层审批并妥善保存。l变更在被移植到生产环境前被测试。测试的级别应当和 变更的大小相当。l系统的开发和测试环境必须与生产环境分离；相冲突的 职责被适当分离。l制定并保存详细的数据迁移计划，计划应涵盖具体的数 据迁移步骤。数据迁移的过程应当在原始位置和目的地 之间进行测试，确保数据的完整，准确和有效。l对于外包的IT项目，公司的项目管理组应该对服务商的 运作以及控制的有效性进行检查。l管理层应在系统上线前对其进行检查和审批。24中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例系统日常变更流程控制点：l一般的程序变更请求需要由用户部门管理层审批并存档 保留l在移植到生产环境前，应当对程序变更进行测试。测试 的级别与变更的大小相当l在程序变更过程中对相冲突的职责实施有效的分离l程序变更上线之前需要经过管理层的检查和审批l开发和测试环境在逻辑或物理上与生产环境分离25中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例用户账号管理用户创建/修改/删除的授权审批控 制点：l重要系统和应用程序中用户帐号的创建/修改必须由管理 部门进行审批l关于删除离职或调职用户的权限，被评估机构确立了正 式的流程26中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例用户账号管理权限定期检查控制点：l用户部门管理层应该定期检查系统中用户帐号和授权， 并根据检查结果进行帐号清理27中国注册会计师协会企业内部控制审计业务培训班信息技术一般控制举例备份管理-备份检查控制点：l对重要数据（包括支持重要财务信息和应用程序的数据 ）进行适当的备份，并及时检查备份完成情况问题及应急事件处理控制点：l信息系统运行问题或事件应该及时进行识别、解决、审 核和分析28中国注册会计师协会企业内部控制审计业务培训班议 题自动化应用控制29中国注册会计师协会企业内部控制审计业务培训班自动化应用控制l应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入和取出数据执行业务处理功能等l应用系统能够支持业务活动，并且允许用户更加有效率 地履行他们的职责l有些应用系统可以被用于访问和修改业务及财务信息， 因此，保护对于这些应用程序的访问权限至关重要，从 而降低任何与对于关键业务与财务相关数据拥有不合理 的访问权限相关的风险30中国注册会计师协会企业内部控制审计业务培训班 自动化应用控制类型的划分 31中国注册会计师协会企业内部控制审计业务培训班 应用程序控制类型： 实时校验和编辑检查 l也称为系统录入控制，此类控制主要是系统自动控制。 这类控制点的主要作用是确保录入到系统中的数据的准 确性，在进行业务录入时系统会对重要字段的合理性、 合规性和准确性进行检查，以防止一些非法的或不真实 的数据被系统接受，造成系统数据的不真实和大量垃圾 数据的产生。l举例：会计科目维护时系统存在录入控制，对科目代码进行 校验，限制过长或过短的科目代码。系统设定了录入信息模板，只能按照模板规定的格式 录入信息。32中国注册会计师协会企业内部控制审计业务培训班 应用程序控制类型： 登陆权限/岗位分离 应用系统中用户的权限设置是否合理，是否按照职 责需要进行授权，是否考虑到岗位分离的情况。举例：l会计凭证在ERP系统中的录入，一般此项操作需要一人制 单，一人复核及过账。33中国注册会计师协会企业内部控制审计业务培训班 应用程序控制类型： 自动计算l系统根据设定的业务逻辑进行自动计算，此类控制多为 系统自动控制。此类控制一般在程序开发时已经嵌入到 系统中l举例：ERP系统正确计算物料的当月采购平均单价。ERP系统每月将当月所有入库单自动汇总成本计算 单_汇总显示。34中国注册会计师协会企业内部控制审计业务培训班 应用程序控制类型： 配置控制l主要关注的是系统中维护的重要参数是否准确，这些参 数对于系统的运行和业务处理的正确性起着非常重要的 作用，此类控制多属于人工依赖系统控制l举例：财务管理部会计进行采购发票勾稽并做外购入库暂估 冲回后，K/3系统自动将对应的暂估应付账款进行冲 回。系统能根据预先的设置根据科目余额表余额生成资产 负债表和利润表。35中国注册会计师协会企业内部控制审计业务培训班 应用程序控制类型 自动系统接口/对账例行程序 主要关注不同应用系统之间传输数据的准确性和完 整性，一般属于系统自动控制举例：l仓管员根据K/3系统销售出库单的出库或退库指令在 仓库系统进行出库或退库操作，确认信息由仓库系统上 传到K/3系统。36中国注册会计师协会企业内部控制审计业务培训班自动化应用控制需要考虑的因素l应用系统的复杂程度复杂的计算需求或业务 规则跨国或复杂的信息系统 架构应用技术的采用信息系统所提供的功能信息系统在企业应用的 广泛程度l信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接37所需要关注的风险 所需要支持的业务 所需要设置的控制 所需要采用的技术 所需要参与的人员中国注册会计师协会企业内部控制审计业务培训班自动化应用控制l每个应用系统的控制都有 所区别：企业的业务性质企业的组织和人员企业的管理需求所