跳至主要內容

第六章 信息系统控制的测试

约 17628 字大约 59 分钟

第一节 信息技术审计范围的确定

注册会计师在确定审计策略时,需要结合被审计单位

业务流程复杂度
信息系统复杂度
系统生成的交易数量
信息和复杂计算的数量
信息技术环境规模和复杂度

等五个方面,对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比,在具体评估复杂度时,可以从以下几个方面予以考虑。

一、评估业务流程的复杂度(比如销售流程、薪酬流程、采购流程等)

对业务流程复杂度的评估并不是一个纯粹客观的过程,而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素,对业务流程复杂度作出适当判断:

(1)某流程涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清;
(2)某流程涉及大量操作及决策活动;
(3)某流程的数据处理过程涉及复杂的公式和大量的数据录入操作;
(4)某流程需要对信息进行手工处理;
(5)某流程高度依赖对系统生成的报告。

二、评估信息系统的复杂度

与评估业务流程的复杂度相类似,对企业信息系统复杂度的评估也不是一个纯粹客观的过程,评估过程包含大量的职业判断,也受到所使用系统类型(如商业软件或自行研发系统)的影响。

具体来说,评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围,以及企业化程度(对出厂标准配置的变更、变更类型,例如,是仅为报告形式的变更还是对数据处理方式的变更)。

而对于自行研发系统复杂度的评估,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量,包括:

(1)被审计单位是否存在大量交易数据,以至于用户无法识别并更正数据处理错误;

(2)数据是否通过网络传输,如EDI;

(3)是否使用特殊系统,如电子商务系统。

三、信息技术环境的规模和复杂度

评估信息技术环境的规模和复杂度,主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(如本地登录或远程登录)。信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。

在具体审计过程中,注册会计师除了考虑以上所提及的复杂度外,还需要充分考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影响:

(1)管理层如何了解并应对与IT相关的问题;

(2)系统功能中是否发现严重问题或不准确成分,如果是,是否存在可以绕过的程序(如自行修复程序等);

(3)是否发生过信息系统运行出错、安全事件或对固定数据的修改等严重问题,如果是,管理层如何应对这些问题,以及管理层如何确保这些问题得到可靠解决;

(4)内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题;

(5)报告中提及的最普遍的系统问题是什么。

本章附录6-1提供了重大业务流程和信息系统匹配表。

第二节 与信息技术相关的控制

在信息技术环境下,传统的手工控制越来越多地被自动化控制所替代,概括地讲,自动控制能为企业带来以下好处:

(1)自动化控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;自动化控制比较不容易被绕过;

(3)自动信息系统、数据库及操作系统的相关安全控制功能可以实现有效的职责分离;

(4)自动信息系统可以提高信息的及时性、准确性,并使信息更易被获取;

(5)自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

同时,对自动化控制的依赖也可能给企业带来下列财务报表重大错报风险:

(1)信息系统或相关系统程序可能会对数据进行错误处理,也可能会处理本身存在错误的数据;

(2)自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统内数据遭到破坏和系统对非授权交易或不存在的交易作出记录,系统、系统程序、数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等;

(3)数据丢失风险或数据无法访问风险,如系统瘫痪;

(4)不适当的人工干预,或人为绕过自动化控制。

因此,被审计单位采用信息系统处理业务,并不意味着手工控制被完全取代。信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。例如,在基于信息技术的自动信息系统中,系统进行自动操作来实现对交易信息的创建、记录、处理和报告,并将相关信息保存为电子形式(如电子的采购订单、发运凭证和相关会计记录)。但相关控制活动也可能同时包括手工的部分,比如,订单的审批和事后审阅以及会计记录调整之类的手工控制。

因此,与财务报告相关的控制活动一般由一系列手工控制和自动化控制所组成。由于被审计单位信息技术的特点及复杂程度不同,被审计单位的手工及自动化控制的组合方式往往会有所区别。

第三节 信息技术内部控制测试

在信息技术环境下,手工控制的基本原理与方式在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动化控制,就需要从信息技术一般控制测试与信息技术应用控制测试两方面进行考虑。

一、信息技术一般控制测试

信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,通常会对实现部分或全部财务报告认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现财务报告认定作出直接贡献。这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当手工控制依赖系统生成的信息时,信息技术一般控制同样重要。

注册会计师应当清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告,或生成手工日记账时使用系统生成的数据和报告的关系。

由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对这三类控制实施控制测试。

信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。

1.程序开发

程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括:

(1)对开发和实施活动的管理;

(2)项目启动、分析和设计;

(3)对程序开发实施过程的控制软件包的选择;

(4)测试和质量保证;

(5)数据迁移;

(6)程序实施;

(7)记录和培训;

(8)职责分离。

2.程序变更

程序变更领域的目标是确保对程序和相关基础组件的变更是经过申请、授权、执行、测试和实施的,以达到管理层的应用控制目标。程序变更一般包括以下要素:

(1)对维护活动的管理;

(2)对变更请求的规范、授权与跟踪;

(3)测试和质量保证;

(4)程序实施;

(5)记录和培训;

(6)职责分离。

3.程序和数据访问

程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和实物安全。

4.计算机运行

计算机运行这一领域的目标是确保系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

本章附录6-2提供了对信息系统一般控制的了解和测试工作底稿的示例。

二、信息技术应用控制测试

信息技术应用控制一般要经过输入、处理及输出等环节,与手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。然而,自动系统控制造成的影响程度比信息技术一般控制要显著得多,并且需要进一步的手工调查。此外,所有的自动应用控制都会有一个手工控制与之相对应。例如,通过批次汇总的方式验证数据传输的准确性和完整性时,如果出现例外,就需要有相应的手工控制进行跟踪调查。理论上,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。例如,一笔交易被否定或者被作标记了,将会进行一个手工调查流程,并且被记录下来。下面将针对不同的信息处理目标来阐述应用控制的作用。

1.完整性

(1)顺序标号,可以保证系统每笔日记账都是唯一的,并且系统不会接受相同编号,或者在编号范围外的凭证。此时,系统提供一个无编号凭证的报告,如果存在

例外,需要相关人员进行调查跟进。

(2)编辑检查,以确保无重复交易录入,例如发票付款时,检查发票编号。

2.准确性

(1)编辑检查,包括限制检查、合理性检查、存在性检查和格式检查等。

(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

3.授权

(1)交易流程中必须存在恰当的授权。

(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

4.访问跟制

(1)对某些特殊的会计记录的访问,必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限,并且符合职责分离原则。如果存在例外,必须进行调查。

(2)访问控制必须满足适当的职责分离(比如,交易的审批和处理必须由不同的人员执行)。

(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告,管理层必须跟踪这些登录失败的具体原因。

本章附录6-3提供了对销售与收款循环中信息系统相关控制的了解和测试工作底稿的示例。

本章附录6-4提供了对信息系统职责分离相关控制的了解和测试工作底稿的示例。

第四节 信息技术应用控制与信息技术一般控制之间的关系

应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。例如,许多应用系统中包含很多编辑检查来帮助确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式),存在性检查(如客户编码存在于客户主数据文档之中),或合理性检查(如最大支付金额)。如果录入数据的某一要素未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录人数据拖人系统生成的例外报告中,留待后续跟进和处理。

如果带有关键的编辑检查功能的应用系统所依赖的计算机环境存在信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如,程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,以至于系统接受不准确的录人数据。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查的目地是使系统无法处理金额超过最大容差范围的支付操作。

附录6-1:重大业务流程和信息系统匹配表

根据对重要业务流程的了解,记录在重大流程中涉及交易生成、记录、处理和报告的信息系统,这些信息系统即为与重大流程相关的信息系统:

系统名称(注1)系统平台设备所在地点上线年份所支持的业务流程、科目复杂程度(高/低)(注2)是否纳入审计范围(是/否)
填写系统的名称,如费用支付系统系统的操作平台,如Unix系统的所在地点,如分布各省公司初始上线年份,如1998年如采购、费用支付流程明确系统是否在审计范围内

注1:系统可以是商业软件系统,或是企业自己开发、定制的系统,也可以包括其他终端用户所使用的重要工具,如利用]Excel等电子表格编制的模型、填报工具等。

注2:系统的复杂程度取决于多个方面,包括:(1)系统所支持的企业业务流程的复杂度;(2)信息系统自身技术的复杂度;(3)系统处理交易、数据及计算的复杂度;(4)信息技术环境规模的复杂度等方面。

附录6-2:对信息系统一般控制的了解和测试工作底稿的示例

以下以一家A股上市的大型企业为例,针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明,并未列示项目组所有应当考虑的控制,所列示的控制也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试(本例中样本规模的选取方法仅作参考)。

一、与信息技术控制环境相关的控制

控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
CE1权限管理建立和实施权限管理,确保系统内权限的分配是适当的。1.访谈了解账号及权限管理机制:(1)是否制定了正式的账号及权限管理制度,对账号及权限的日常变动、账号及权限的定期审阅管理进行正式规定;(2)访谈了解内审部门是否对账号及权限进行适当监控。2.获取账号及权限管理制度,检查制度设计的有效性。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到:(1)××单位正式下发了《会计核算单位及用户管理细则》;(2)××单位××系统管理员负责总部的账号/权限的新增、变更和删除操作及管理;(3)××单位内审部对账号及权限进行审阅及监控。2.我们获取了《会计核算单位及用户管理细则》,检查发现:(1)针对账号及权限的日常增删改管理,制度规定:“各单位对财务信息化各系统普通用户、访问权限的增加、变更以及注销进行审批。财务信息化各系统应用系统管理员应根据审批通过的《用户权限申请(变更、注销)表》对用户和权限参数进行设置,并通知申请人员签收。”(2)针对账号及权限的定期审阅,制度规定;“财务信息化各系统的用户权限设置和对数据资源访问情况应至少每半年进行一次检查,发现问题及时处理。”未发现异常制度设计有效性:未发现异常《会计核算单位及用户管理细则》制度设计有效性:不适用
CE2IT系统管理制度建立和适当实施IT系统管理制度。1.访谈了解IT系统管理制度:(1)客户是否建立正式的IT系统管理制度,包括是否得以执行;(2)内审部门是否参与了IT系统管理办法的制定过程。2.获取IT系统管理制度,检查制度设计的有效性。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到:(1)××单位统一制定了IT管理制度,包括《××单位财务信息化管理办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》,在制度中对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定;(2)IT管理制度由××起草,经逐级审批通过后执行。××单位的内审部门参与IT系统管理制度的制定过程。2.我们获取了《××单位财务信息化管理办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》,检查发现制度对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定。未发现异常《××单位财务信息化管理办法》《财务信息系统软件管理细则》《会计核算单位及用户管理细则》《财务信息系统运营维护管理细则》《财务信息系统安全管理细则》不适用
CE3备份管理建立和实施备份管理,确保生产系统数据的可用性。访谈了解客户的备份管理机制,包括:(1)备份:总部集中执行备份还是下属单位分别执行备份;(2)备份检查:总部单位集中检查备份结果还是下属单位分别检查备份结果。××日,通过询问××单位信息中心OS&DB管理员××,我们了解到:××单位的服务器的备份操作均由总部统一执行,备份结果由总部统一检查。关于备份执行有效性,参见对备份策略、备份结果检查的执行有效性的测试结果。参见××参见××参见××

二、与程序开发相关的控制

控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
PD1系统测试单元、系统和用户测试应执行,并且用户接受性测试应在系统移植前签署。开发和用户接受性测试应有单独的环境,并且程序师/开发人员不应有权限进入用户接受性测试环境。1.询问确认新系统移植到实用环境前存在业务所有者/用户适当的授权(签署等)。2.检查以下文档:(1)测试计划和结果;(2)用户接受性测试签署表(现场核实有3个分离的环境:生产、测试、开发),如果可能取得截屏。3.重新测试:(1)记账(过账);(2)开账、结账;查询系统安全审计日志,确认系统日志是否存在“取消记账”、“重新打开”等操作。××日,通过询问××单位财务部应用系统管理员××,我们了解到××系统于××年×月×日完成系统上线验收,××年总部依赖x×系统出具了年度财务报告。××年总部未发生系统开发活动。该控制在××年审计工作中不适用。无样本无样本不适用不适用
PD2上线程序控制系统上线的决定应该经过项目发起人/所有者及信息部门管理层的批准,该批准从业务和信息技术方面、基于质量审计检查。1.询问确认存在系统移植到实用环境的适当批准程序。2.检查上线批准表。××日,通过询问××单位财务部应用系统管理员××,我们了解到××系统于××年×月×日完成系统上线验收,××年公司依赖××系统出具了年度财务报告。××年总部未发生系统开发活动。该控制在××年审计工作中不适用。无样本无样本不适用不适用
PD3数据转换控制执行数据转换确保生产数据的完整性、准确性和可靠性。1.询问确认存在数据转换的控制程序,确认完整性和可靠性的目标实现。2.获取并检查数据转换报告。××日,通过询问××单位财务部应用系统管理员××,我们了解到x×系统于××年×月×日完成系统上线验收,××年公司依赖××系统出具了年度财务报告。××年总部未发生系统开发活动。该控制在××年审计工作中不适用。无样本无样本不适用不适用

三、与程序变更相关的控制

控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
测试和质量保证
PC1变更测试建立测试环境,测试环境应与实用环境相隔离。1.访谈了解变更测试流程,以及测试环境和实用环境隔离的情况。2.实地观察测试环境和实用环境隔离情况。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到《××单位财务信息化软件管理细则》规定:“需求变更的补丁或版本更新需在测试环境中经过测试小组测试并做好测试记录。”××单位建立了独立的测试环境,在测试环境对升级补丁测试通过后才会移植到实用环境中。2.我们实地观察了测试环境服务器为IP:××,实用环境服务器为IP:××,且存在于不同的物理机器上。测试环境与实用环境是物理隔离的。未发现异常未发现异常测试环境和实用环境分别截屏不适用
PC2变更测试根据实际需要进行适当的系统变更测试,确保变更后系统功能,且不影响生产系统的运行。1.访谈了解是否存在用户接受测试,测试结果有没有记录。2.检查测试文档,有没有用户接受测试的结果确认。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到系统维护工程师在收到××单位提交的变更需求汇总之后,进行需求开发。完成后由应用系统管理员对需求解决情况进行评价。评价通过后,由提出需求单位的财务人员在测试环境中进行测试,但未形成书面确认记录。2.我们获取并检查了系统补丁管理工具中的已安装补丁列表,发现××年××系统共安装升级补丁××个,抽取了45次升级补丁作为样本,并对用户接受测试记录进行检查。发现异常发现异常系统升级补丁列表××系统安装的升级补丁进行了用户接受性测试,但未形成书面确认记录。
关于迁移到实用环境的授权
PC3变更上线测试通过后的变更需经过有效审批才能执行上线,执行人员必须得到授权,应该制定相应的上线退回机制,对于多级系统,同时更新服务器端和所有的客户端。1.访谈了解变更上线流程,确定相关审批人员和上线人员,以及服务器端与客户端同步更新情况。2.检查上线审批文档,是否所有的变更上线都经过有效审批。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到《××单位财务信息化软件管理细则》第五章规定:“软件系统上线前必须由项目负责人填写《系统上线审批表》,由财务及信息部门负责人审批确认。”实际执行中,在对升级补丁进行评价并完成用户接受性测试后,正式发布系统升级补丁。2.××年××系统共安装升级补丁××个,抽取了45次升级补丁作为样本,并对上线审批文档进行检查。经与××确认,有两个功能需求变更,补丁上线前未经过相关负责人的审批。发现异常发现异常x x系统升级补丁列表系统的升级补丁上线未经过相关负责人的审批。
PC4变更上线变更程序正式发布之后,相关单位及时完整地执行了正式发布的变更程序。1.访谈变更程序执行的流程,确定相关单位是否及时完整地执行了正式发布的变更程序。2.获取系统变更日志,检查是否存在未执行的变更程序。3.获取系统变更日志,检查相关单位是否在变更发布日之后的3日内实施了系统变更。1.××日,通过询问××单位财务部应用系统管理员××,我们了解到由于安装升级补丁需要暂停服务器,所以××都选择在财务操作较少的月份进行补丁升级,避免影响正常的财务业务操作。由此导致系统变更升级有时不够及时。2.××年总部x×系统共安装升级补丁××个,抽取了45次升级补丁作为样本,对其发布日期及应用升级时间进行检查,发现均未在补丁发布后3日内及时安装。发现异常发现异常××年××系统待升级补丁列表总部未对发布的××系统升级补丁进行及时更新(见控制缺陷评价汇总表)。

四、与程序和数据访问相关的控制

控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
安全组织和管理
APD1信息安全人员管理信息安全相关技术人员和业务人员的职责明确定义,技能要求满足工作需要,并且满足职责分离的要求,对于敏感职位人员,制定了特定的人事政策和流程。1.访谈确定信息安全相关技术人员和业务人员。2.检查相关人员的岗位职责说明书,是否明确定义了岗位职责以及岗位要求,是否满足职责分离的要求。××日,通过询问××单位财务部应用系统管理员××、信息中心系统管理员××及数据库管理员×x,我们了解到财务部制定了《会计核算单位及用户管理细则》,其中对应用系统管理员的岗位职责进行了规定;信息中心制定了《信息中心岗位职责分工》,其中对日常维护流程中涉及的信息安全方面的岗位及其职责作出规定。日常工作中,××系统应用系统管理员由财务部××担任,操作系统管理员由信息中心××担任,数据库管理员由信息中心××担任,符合职责分离要求。通过询问××,我们了解到其清楚自己的岗位职责,且清楚财务系统安全相关的基本要求,如密码应超过8位,并应由数字和字母组成等。我们获取并检查了《会计核算单位及用户管理细则》,发现其中规定应用系统管理员的职责包括:“依照审批后的《用户权限申请表》进行财务信息化系统用户权限管理;负责财务信息化系统的更新管理工作,妥善保管各版本软件产品;每月至少对财务信息化系统日志及权限检查一次,及时采取相应的措施解决发现的异常f青况。”我们获取并检查了《信息中心岗位职责分工》,确认其中对系统管理员、数据库管理员、安全管理员等岗位及其工作内容进行了说明。未发现异常未发现异常《信息中心岗位职责分工》《会计核算单位及用户管理细则》不适用
应用安全管理
APD2用户账号及权限申请应用系统的账号及权限的申请需要经过有效的审批或授权,审批时应对照实际业务进行检查,确保用户权限符合业务需要和职责分离要求。1.访谈了解是否存在正式的应用系统层面用户账号及权限管理的流程。2.检查账号及权限新增/变更/删除的适当性:(1)获取账号及权限变更日志,了解被更新的账号,并以账号更新次数为样本总体;(2)适当抽取样本,并获取相应的权限申请单,检查是否经过有效审批。3.检查系统中用户的实际权限,查看是否与申请单中一致;检查系统中账号及权限维护的时间是否与申请表单一致。4.询问样本账号涉及部门及人力资源负责人,了解系统中账号及权限维护的时间是否与实际情况一致。××日,通过询问××单位财务部应用系统管理员××,我们了解到××单位制定了《会计核算单位及用户管理细则》,其中对应用系统层面用户账号和权限管理流程进行了规定。日常操作中,应用系统层面的用户新增、删除和权限变更需填写《用户权限申请表》,注明用户名、申请内容等,并经过财务处处长签字确认后,由应用系统管理员××进行系统中的账号和权限分配。我们获取并检查了×x年1月1日至本审计时点的应用系统日志,统计发现××年度共发生用户新增××次、权限变更××次、删除××次,共计××次,需抽取××份用户权限申请表进行检查。发现异常发现异常《会计核算单位及用户管理细则》应用系统日志《应用系统用户权限申请表》部分用户及权限的新增修改缺少书面的申请审批记录。
APD3用户账号及权限检查管理层或系统所有者定期审阅与财务报告有关的应用系统权限以确定授予权限的适当性。1.访谈了解管理层或系统所有者是否定期审阅财务系统用户和权限。2.获取权限检查单,检查是否存在管理层和系统所有者对权限检查结果的确认。3.导出应用系统权限清单,并从人力资源部门获取财务人员名单,重新执行检查,确认账号及权限适当性:(1)从应用系统权限清单出发,检查清单中的人员是否均包含在人力资源部门提供的财务人员名单之中,确保应用系统中是否存在冗余账号及测试时点系统账号的适当性;(2)以财务人员系统账号为样本总体,适当抽取样本,比照岗位说明书检查系统权限与岗位职责是否一致。4.导出应用系统权限清单,以财务人员系统账号为样本总体,适当抽取样本重新执行检查,确认不相容岗位职责是否分离(不相容职责),具体需要检查的不相容职责包括:(1)应用系统管理员是否拥有财务操作权限,普通用户是否拥有应用系统管理员权限;(2)应用系统管理员是否同时拥有操作系统管理权限(或了解“操作系统管理员账号”的登陆密码);(3)应用系统管理员是否同时拥有数据库管理权限(或了解“数据库管理员账号”的登陆密码);(4)账套设立和财务操作是否分离;(5)固定资产基础数据维护和固定资产卡片管理权限是否分离;(6)凭证录入与审核是否分离;(7)出纳和会计权限是否分离。××日,通过询问××单位财务部应用系统管理员××,我们了解到《会计核算单位及用户管理细则》第四章中对用户账号及权限的定期审阅进行了规定,包括要求“应用系统管理员每月至少对财务信息化系统日志及权限检查一次,及时采取相应的措施解决发现的异常情况。”但目前财务部管理层和系统管理员均未定期审阅财务系统用户和权限。我们检查了系统的权限设置,发现其分为用户、岗位与职责三个层次,每个用户对应不同的岗位,每个岗位分配一定的职责,以保证每个用户根据其任职单位级别和个人岗位职责在系统中分配合理的权限。具体抽样结果请参见明细表。××系统存在系统自动控制,不允许制单人与审核人为同一人,凭证均由独立人员进行复核。财务部在过账前会复核交易流水账等原始凭证,并与会计凭证进行核对,从而可及时发现未授权的数据修改。具体外部文件请参见:用户岗位职责及账号权限截屏发现异常发现异常用户岗位职责及账号权限截屏财务处人员清单及新增、转岗、离职说明冗余账号的凭证制单和审核记录财务部管理层和系统管理员均未定期审阅财务系统用户和权限。应用系统中存在冗余账号,包括离职人员账号、外部软件工程师账号。应用系统管理员××的系统维护权限与财务操作权限未分离。应用系统管理员××了解操作系统的管理员账号密码,不符合职责分离要求。
数据安全
APD4数据访问管理层实施了数据直接访问的正式流程。1.访谈了解是否存在数据直接访问的正式流程以及是否发生数据访问。2.获取数据直接访问的相关文档,检查是否与流程要求相符。××日,通过询问××单位信息中心数据库管理员××,我们了解到××单位日常不允许进行数据库直接访问操作。不适用不适用不适用不适用
APD5用户账号及权限检查管理层或系统所有者定期审阅财务系统相关的数据库用户及权限以确定授予权限的适当性。1.访谈了解管理层或系统所有者是否定期审阅财务系统相关的数据库用户和权限。2.获取权限检查单,检查是否存在管理层和系统所有者对于权限检查结果的确认。3.检查数据库中用户及权限的适当性。××日,通过询问××单位信息中心数据库管理员××,我们了解到《财务信息系统安全管理细则》中第二十条规定:“定期进行数据库系统日志和权限检查,填写《数据库日志和权限例行检查表》。”××在每周的系统巡检中对财务系统使用的数据库用户账号进行检查.若发现问题在巡检记录中予以登记,没有问题则不登记。2010年未发现数据库系统用户账号问题,因此未形成数据库系统用户账号检查的书面记录。目前××系统使用的数据库版本为××,我们获取并检查了数据库用户账号列表,发现目前数据库中共有××个用户账号,其中:(1)系统自带管理账号共2个,分别为SYS、SYSTEM,由数据库管理员××日常运营维护使用;(2)应用程序连接账号××为软件连接使用。经检查发现不存在异常或冗余账号。具体情况请参见:数据库用户账号列表截屏发现异常发现异常数据库用户账号列表截屏××在每周的系统巡检中会对财务系统使用的数据库的用户账号进行检查,但未形成数据库系统用户账号检查的书面记录。
操作系统安全
APD6用户账号及权限检查管理层或系统所有者定期审阅财务系统相关的操作系统权限以确定授予权限的适当性。1.访谈了解管理层或系统所有者是否定期审阅财务系统相关的操作系统权限。2.获取权限检查单,检查是否存在管理层或系统所有者对于权限检查结果的确认。3.检查操作系统中用户及权限的适当性。××日,通过询问××单位信息中心操作系统管理员××,我们了解到《财务信息系统安全管理细则》中第十八条规定:“定期进行操作系统日志和权限检查,填写《操作系统日志和权限例行检查表》。”日常工作中,××在每周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查,若发现问题则在巡检记录中予以登记,没有问题则不登记。x×年未发现操作系统用户账号问题,因此未形成操作系统用户账号检查的书面记录。具体情况请参见:操作系统用户账号列表截屏发现异常发现异常操作系统用户账号列表拷屏××在每周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查,但未形成操作系统用户账号检查的书面记录。
密码安全
APD7密码安全制定正式的操作系统、数据库及应用系统密码配置来确保系统安全。1.访谈了解操作系统、数据库及应用系统密码策略。2.获取操作系统、数据库及应用系统密码设置策略检查其是否按照要求执行。具体检查内容包括:(1)密码长度;(2)密码复杂度;(3)密码过期设置。××日,通过询问××单位财务部应用系统管理员××、信息中心操作系统管理员××及数据库管理员××,我们了解到:1.××单位制定了《财务信息系统安全管理细则》,其中对系统密码进行规定,包括:所有系统的特权账号密码至少一个季度更改一次;所有的用户级密码至少六个月更改一次;密码长度应该至少不低于八位字符且使用不易被猜测的密码;2.应用系统功能无法实现对密码进行统一管理和配置;数据库未进行密码配置;操作系统未对密码的长度、复杂度等参数进行合理配置。我们检查应用系统、操作系统及数据库的密码设置,发现:(1)应用系统:密码修改策略中设置为密码永不过期,无定期更换要求。我们检查了用户的实际密码设置,发现如果密码长度小于6,系统会自动提示“太短”,并不允许通过,即应用系统对密码长度有自动控制,密码长度应大于6位;如果密码组成只包含数字不包含字母,系统会自动提示密码强度为“弱”,但允许通过,即应用系统对密码复杂度只有提醒,未提供自动控制强制密码设置为数字和字母结合等合理的复杂度的功能。具体情况请参见:应用系统密码设置具体情况请参见:数据库系统密码设置(2)操作系统:我们获取并检查了操作系统的密码配置,发现操作系统未对密码的长度、复杂度等参数进行合理配置。现场观察了操作系统管理员××输入操作系统管理员密码,发现密码长度超过8位,复杂度为数字和字母组合。具体情况请参见:××单位一ITGc-APD-8操作系统密码设置发现异常发现异常《财务信息系统安全管理细则》应用系统密码设置数据库系统密码设置操作系统密码设置应用系统密码设置为永不过期,无定期更换要求。应用系统对密码复杂度只有提醒,未提供自动控制强制密码设置为数字和字母结合等合理的复杂度的功能。数据库系统的密码仅使用系统默认的无限制设置。操作系统未对密码的长度、复杂度等参数进行合理配置以确保用户按照要求合理制定及定期修改密码。

五、与计算机操作有关的控制

控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
备份管理
C01备份策略制定和更新制定适当的备份策略,以保证所需要的数据、交易及流程能在意外情况下得到恢复,备份策略随着业务需要进行更新l访谈了解是否存在正式的备份策略,以及备份策略更新的流程。2.获取备份策略,检查是否随业务需要进行更新,是否满足业务需要。1_××日,通过询问××单位信息中心操作系统管理员××,我们了解到《信息中心岗位职责分工》中对数据备份频率进行了规定,要求进行日备份、周备份和月备份。x×单位使用备份软件对财务数据进行备份,具体备份策略(略)。2.我们获取并检查了备份软件中设置的备份计划,确认设置与规定相同。具体情况请参见:备份计划设置未发现异常未发现异常信息中心岗位职责分工备份计划设置不适用
C02备份状态检查指定专门人员对备份结果进行检查,确保备份有效,检查结果进行记录。管理层定期察看备份检查结果。1.访谈了解相关制度中是否对备份结果检查及记录、异地备份及备份恢复测试等内容进行正式规范。2.访谈了解备份状态检查情况以及管理层是否定期察看备份检查结果。3.获取备份结果检查记录,检查是否按照备份频率记录了备份结果,是否存在管理层的检查记录。4.获取备份日志,检查备份日志是否提示备份成功;适当检查相关路径下的备份数据,确保备份结果成功。5.检查是否存在异地备份。6.检查是否定期执行备份恢复测试并留有相关报告。1.××日,通过询问x×单位信息中心操作系统管理员××,我们了解到××在每天的系统巡检中会对日/周备份日志状态进行检查,并将检查结果登记在《××单位备份检查记录表》中。2.我们获取并检查了《××单位备份检查记录表》,发现按照备份频率对备份结果进行了检查,记录了备份日期、备份数据源、备份类型(实例/数据库)、备份方式(增量/全备)、备份介质、备份数据大小及备份完成情况等。3.抽取××次备份日志进行检查,发现备份均成功执行。我们检查了保存在异地的备份数据,发现相关文件目录下存在备份生成的备份数据文件。××年度未进行备份恢复测试。具体情况请参见:单位备份检查记录表备份日志截屏发现异常发现异常单位备份检查记录表备份日志截屏异地备份数据截屏××年度未进行备份恢复性测试。

附录6-3:对销售与收款循环中信息系统相关控制的了解和测试工作底稿的示例

以下以一家大型企业为例,针对注册会计师在实施销售与收款循环中信息系统相关控制测试时可以考虑的要素和方面进行说明,但并非列示注册会计师所有应当考虑的控制,所列示的控制也不一定适用于所有审计项目的具体情况。注册会计师在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试(本例中样本规模的选取方法仅作参考)。

一、与销售循环相关的控制

控制控制编号控制描述财务报表认定自动/人工预防性/检查性频率测试程序穿行测试结果实施有效性测试结果是否发现例外支持性文件
对于客户信息的修改应当被合理审批IT-R&R-01只有被授权人员才能拥有修改客户信息的权限,并且所有变更申请应当被合理审批。存在自动预防性其他1.询问相关负责人,了解系统中客户信息维护权限的设置。2.检查拥有客户信息维护的用户权限列表,从而保证所有用户均为授权用户。询问:通过××日与信息系统服务部权限管理员××的访谈,维护客户信息的权限是由管理服务部权限管理岗集中在系统里进行分配的。并且SAP系统可以记录对于所有客户信息在系统中的维护操作,其记录主要包括时间、操作前信息、变更后信息等。询问:同穿行测试。检查:我们在SAF’系统中获得拥有客户信息维护的用户权限列表,检查发现除了财务部负责公司间销售的人员以及销售公司的相关人员外,还存在服务管理部4个用户也拥有维护客户信息的权限,与实际岗位需求不符。通过访谈系统用户管理员××,我们了解到这些用户为系统管理员。我们对这4个用户其他业务权限进行检查,发现这些用户还拥有创建销售订单、发货过账和发票过账的权限,可能造成未经授权维护客户信息并进行收入确认的风险。测试结果:发现例外。发现例外。“IT-R&R-ol一系统信用额度检查设置”。

二、与订单签订有关的控制

控制控制编号控制描述财务报表认定自动/人工预防性/检查性频率测试程序穿行测试结果测试结果是否发现例外支持性文件
将订单与既定的信用额度进行比较IT-R&R-02提交销售订单时,系统自动将订单金额与财务系统账上该经销商额度进行比较,只有订单金额小于或等于额度时,销售订单才能在系统中建立成功。存在与发生自动预防性其他1.询问相关负责人员,了解系统中是否启用信用额度检查的功能,从而确保独立的经销商及其经销商信息、信用额度的匹配准确完整。2.检查系统是否启用了信用检查的功能。询问:1.通过我们在x日与××公司备件科×x访谈,了解到对于销售业务,首先在系统中创建销售订单,若客户预付款的金额小于销售订单金额,则无法生成销售订单;客户预付款大于销售订单金额时,系统才能生成销售订单,然后订单管理组将销售订单打印,审核签字后,交给经销商。经销商只有拿着有签字记录的销售订单,方可提货。2.通过我们在××日与管理服务部××的访谈,我们了解对于销售业务,系统启用了信用额度检查的功能,使此订单的建立必须满足该经销商的信用额度。询问:同穿行测试观察和检查:我们在管理服务部××的帮助下,检查系统后台中的相关配置,发现在“维护订单种类”的界面中对于信用额度检查的选项为“D:Cred.itmanagerrlent:Auto-matin’creditcontrol”.即表示创建销售订单时系统自动执行信用额度检查,具体请参见附件“lT-R&R-01一系统信用额度检查设置”。未发现例外。“IT-R&R-01一系统信用额度检查设置”。
将销售订单价格与价格主文件中的价格进行比较IT-R&R-03系统在生成销售订单、形成计划清单时,各产品价格是系统默认的,无法更改;并且在创建销售订单时,系统会自动匹配系统中已维护好的经销商折扣信息,计算出销售折扣金额。对于大用户的折扣价,只有将审批后的特殊折扣信息录入到系统中,在创建销售订单时,系统才能自动匹配折扣信息并计算折扣金额。准确自动预防性其他1.询问相关负责人员,了解系统中折扣信息的维护及折扣自动计算的流程。2.检查系统是否能自动匹配经销商对应的折扣信息,形成最后的销售折扣金额。询问与观察:通过我们在××日与销售公司控制部××的访谈了解到,对于普通销售指导价格、一般折扣信息均由该部门进行维护。对于大用户价格的建立首先需要由销售部大用户组在系统中维护大用户审批申请,然后必须由大用户部、销售控制科、执行副总经理三级领导审核批准后,再由销售公司控制部在系统中审批通过,此时价格已在系统中被锁定,销售部大用户组已不能更改该折扣价。如遇极大金额或特殊情况则需要公司总经理批准方可通过。询问与观察:同穿行测试检查:通过我们××日在管理服务部××的帮助下,检查了系统定价过程的配置。具体过程略。未发现例外不适用

三、与开具发票及收入确认相关的控制

控制控制编号控制描述财务报表认定自动/人工预防性/检查性频率测试程序穿行测试结果测试结果是否发现例外支持性文件
确认佣金计算准确。IT-R&R-04销售过程涉及的佣金计算正确,并在向经销商销售时自动计算金额,冲减销售收入,形成销售收入净额。准确自动预防性其他1.询问相关负责人,了解佣金金额计算及冲减过程。2.检查系统中佣金计算过程从而保证佣金计算的真实准确。询问:通过××月××日与销售公司销售控制部××的访谈,我们了解到系统计算原理为:经销商获得销售公司批准的佣金比例及奖励方式,由销售控制部根据审批文件将相关的佣金比例及奖励类型等信息维护到系统中,然后系统按照已经批准的佣金返点比例计算返点佣金后,录入相关账目。销售控制部还需在系统中维护佣金额度,以确保在对经销商以后确认每笔销售收入时,自动按照适用佣金率将佣金算出,即在以后每次向经销商销售时,系统先按照“指导价格×采购数量”确认销售收入,然后按照系统维护的相应比率将佣金算出,冲减销售收入后得出最后的发票价格。询问:同穿行测试检查:我们检查了后台程序中的公式,后台共维护×种佣金计算方式。具体检查过程:略由于上述源代码为公司内部信息,出于保密的要求我们仅现场检查了相应代码,程序逻辑正确,但无法留下相关的审计证据。未发现例外不适用
系统阻止重复发票的生成IT一R&R-05产品在ERP系统中扫描出库后,ERP系统会对出库的商品销售清单赋予一个唯一的发票号,表明该销售清单已经完成,只有具有系统发票号的销售清单,销售部才能从SAP系统的销售票据打印系统中查询到该销售清单,进而开具发票。存在自动预防性其他1.询问相关部门负责人,了解系统中开具销售发票的流程。2.检查被出具发票的销售订单是否被系统阻止,不能进行修改。询问:通过我们在××日与管理服务部××的访谈,我们了解到完成的销售订单将会被系统赋予一个唯一的发票号,并且该订单将同时被阻止访问,即被设为“Blocked”的状态,但系统仍支持查询该订单的状态及具体信息,而且该自动控制属于系统内嵌功能。检查:通过与管理服务部销售模块负责人××确认,该自动控制属于系统内嵌功能,考虑到:ERP系统为成熟的产品已被众多公司所使用,并且通过我们测试的××年一××年信息技术一般控制的结论,系统功能开发和变更相关控制没有重大问题,对于该自动控制,我们参考××年对该自动功能的测试结论。未发现例外不适用
根据设置的会计科目自动录入销售成本rr-R&R-06当销售商品在发货过账时,系统自动选择正确的售出产品成本科目记账,并自动从物料主数据复制产品当前成本作为发货过账的金额。准确自动预防性其他1.询问相关部门负责人,了解系统在执行完产品发货时生成的会计凭证及金额的确认。2.检查是否能够自动选择正确的售出产品成本科目记账,并自动从物料主数据复制产品当前成本作为发货过账的金额。询问:通过我们在×日与财务部成本科××的访谈,了解到系统在执行完产品发货时,系统后台会自动从物料主数据复制产品的单位成本并与销售订单的数量相乘得出业务成本的金额,并生成结转业务成本的会计分录。通过与管理服务部销售模块负责人××确认,该自动控制属于系统内嵌功能,考虑到ERP系统为成熟的产品,已被众多公司所使用,并且通过我们测试的××年~××年信息技术一般控制的结论,系统功能开发和变更相关控制没有重大问题,对于该自动控制,我们参考××年对该自动功能的测试结论。未发现例外不适用
根据设置的会计科目自动录入收人和应收款交易IT-R&R-07应用管理系统记录所有已销售的产成品。当产成品被扫描条形码后,系统自动确认收入。准确自动预防性其他1.询问控制负责人,了解收入科目信息的系统配置流程。2.检查收入科目设置是否符合公司的政策,是否准确。询问:1.通过××日与总账会计××的访谈,了解到当产成品确认销售并扫描其单一的条形码后,管理系统将自动生成会计分录。2.通过××日与管理服务部销售模块负责人××的访谈了解到管理系统中用以对各种产品的销售收入确认的财务科目设置。询问:同穿行测试检查:我们在管理服务部销售模块负责人××处,检查了系统销售科目的设置,发现目前系统中销售收入科目共有14个,分别针对14种产品。未发现例外不适用

附录6-4:对信息系统职责分离相关控制的了解和测试工作底稿的示例

以下以一家大型企业为例,针对注册会计师在实施信息系统应用控制——职责分离相关控制测试时可以考虑的要素和方面(即可能存在冲突的角色)进行说明。由于每家企业所实施的系统及其功能都有所区别,因此,以下举例不能列示所有注册会计师应当考虑的控制,而以下所列示的控制也不一定适用于每一项审计的具体情况。注册会计师在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试。

其中,“x”表示不相容的职责

一、与职责分离相关的权限矩阵

ERP系统职责分离矩阵

ERP系统职责分离矩阵收入与应收采购与应付库存管理财务会计成本会计项目管理生产制造管理设备维护
0102030405060708091011121314151617181920212223242526272829303132333435363738
模块序号业务活动维护客户主数据信用管理价格维护维护销售订单维护借/贷项申请单审批销售订单审批借/贷项申请单外向交货单销售发票维护供应商主数据维护采购订单宙核采购订单维护转储单/调拨单审批转储单/调拨单采购发目校验销售出库其他出库存货入库服务确认维护物料主数据维护服务主数据开关物料期间录入存货差异结果存货差异过账会计科目主数据维护财务专用供应商主数据维护财务专用客户主数据维护会计核算稽核过账总账管理成本主数据维护成本核算项目维护项目审批生产计划主数据维护作业量确认工单维护工单审批
收入与应收1维护客户主数据XXXXXXXXXX
2信用管理XXXXXXXXXXX
3价格维护XXXXXXXXXX
4维护销售订单XXXXXXXXXXX
5维护借/贷项申请单XXXXXXXXX
6审批销售订单XXXXXXXXXX
7审批借/贷项申请单XXXXXXXXX
8外向交货单XXXXXXXXX
9销售发票XXXXXXXXXX
采购与应付10维护供应商主数据XXXXXXX
11维护采购订单XXXXXXXXXXXX
12审核采购订单XXXXXXXXXX
13维护转储单/调拨单XXXXXXXX
14审批转储单/调拨单XXXXXXX
15采购发票校验XXXXXXX
库存管理16销售出库XXXXXXXXXXXXXX
17其他出库XXXXXXXXXXXXXXX
18存货入库XXXXXXXXXXXX
19服务确认XXXXXXXXXXX
20维护物料主数据XXXXXXXXXXX
21维护服务主数据XXXXX
22开关物料期间XXXXXXXX
23录入存货差异结果XXXXX
24存货差异过账XXXXXx■XXXX
财务会计25会计科目主数据维护XXX
26财务专用供应商主数据维护_XXX
27财务专用客户主数据维护1XXX
28会计核算XXXXXXXXXXXXXXXXXXXXXXXXX_XXXXXXXXX
29稽核过账XXXXXXXXXXXXXXXXXXXXXXXXXX_XXXXXXXXX
30总账管理XXXXXXXXXXXXXXXXXXXXXXX_X
成本会计31成本主数据维护XXX_X
32成本核算XXXXXXXXXXXXXXXXXXXXXXXXXXXX1XXXXXX
项目管理33项目维护XXXX_X
34项目审批XXXXX_
生产制造管理35生产计划主数据维护XXXX_X
36作业量确认XXXX_
设备管理37工单维护XXXXX_X
38工单审批XXXXXX_

二、职责分离控制测试

控制控制编号控制描述信息系统控制目标财务报表认定自动/人工预防性/检查性频率测试步骤测试结果是否发现例外支持性文件
用户权限审核REV-AC-03业务系统负责人定期对本部门员工的实际权限与标准核对,对不一致的权限设置进行跟进并作出相对应的处理。访问限制不使用手工依赖系统检查性每季1.询问相关负责人,了解定期审核程序;2.抽取两个季度的审核结果,与相关负责人讨论审核发现,获取并检查后续跟进和相关处理工作。询问:略;检查:我们检查了6月及9月的审核文档,以及相关的27项与标准不符的后续跟进工作,并与业务系统负责人及相关人员所属的部门主管进行讨论。具体检查过程及发现:略未发现例外公司系统安全管理制度财务系统职责分离权限矩阵问题发现清单用户权限变更申请
上次编辑于: