信息系统审计方法与操作指引

信息系统审计方法及操作指引刘丽萍2013/012019/10/62一、信息系统审计方法IT一般控制和应用控制审计概要2019/10/63IT一般控制审计程序IT一般控制概念信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进行测试与评估就显得尤为重要。IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为“IT一般控制”。IT一般控制分类变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行和更新）。其他IT一般控制（包括IT运行）：正确备份支持财务信息数据，以便在发生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、解决、复核和分析IT运行问题或事故。2019/10/64IT一般控制审计程序IT一般控制包含控制流程主要包括三个方面变更管理逻辑访问其它IT一般控制平稳解决创新管理问题IT一般控制审计EnterprisedatamodelMaster/referencedataTechnologyandtoolsstandards信息系统审计指南和标准•用户账号变更管理•超级用户访问授权•关键系统资源和工具访问授权•权限定期检查•超级用户日志•职责分离•安全参数设置•远程访问•网络安全•备份管理•备份恢复•物理安全•批处理•第三方管理•问题及应急事件处理•业务持续性计划／灾难恢复•系统开发和重大变更•程序变更•配置/参数变更•基础架构变更•紧急程序变更•数据修改2019/10/65IT一般控制审计程序变更管理1.2.1IT环境技术组成要素在风险评估过程中，应确定IT环境中以下哪些技术组成要素会影响变更管理种类，并且在测试范围内：►应用程序►界面（IT控制）►数据库►操作系统/网络1.2影响变更管理测试性质和范围因素仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。1.1总体目标2019/10/66IT一般控制审计程序影响变更管理测试性质和范围因素(续)1.2.2变更类型要确定最适当的测试方法，了解和记录用于变更管理过程，包括针对以下变更类型和IT环境技术组成要素过程：►程序开发/采购—开发和实施新应用程序或界面。►程序变更—对现有应用程序和界面进行的变更。►系统软件维护—对数据库、操作系统和其他系统软件进行的技术变更（例如：补丁程序和升级）。►紧急变更—在紧急情况下进行的变更。►配置/参数变更—对IT环境各种技术组成要素总体配置和参数设置进行的变更相关，包括对新应用程序的配置设置进行初始设置。2019/10/67IT一般控制审计程序影响变更管理测试性质和范围因素(续)选择变更管理样本首选方法是：直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单，并且确定变更清单是完整的、有效的。如果系统生成清单不可用，可以考虑以下组合：获取被审计公司变更清单（手工维护清单或来自自动跟踪系统清单）；确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单，从该清单中选择一个在此期间发生的变更样本，并验证从被审计机构那里获取的变更清单上是否存在该变更。如果没有任何变更，则核实范围内技术组成要素最新编译日期不在审计期间内，以确定没有发生变更。1.2.3识别对IT环境进行的变更（测试总体）根据确定的测试方法，获取从审计期间期初到测试日期以来IT环境相关组成要素变更完整清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些IT环境变更和技术组成要素。应用以下与获取程序变更清单相关的方法：2019/10/68IT一般控制审计程序影响变更管理测试性质和范围因素(续)已授权—确定请求的变更已经过适当授权。根据被审计机构政策具体确定，某些情况下（如较小变更，可能被定义为那些需要程序员花费时间少于特定小时数的变更），变更可能不需要特定授权。已测试—确定用户是否执行了测试以确认变更按设计意图运行。否则，应确认确实进行了其他适当测试。有些情况下（如：基础结构变更），根据被审计机构政策，可以接受纯IT测试。已批准—确定在变更移入生产环境之前，应用程序所有者和IT人员是否批准了这些变更。有些情况下（如：基础结构变更），可以接受纯IT批准。1.2.4授权、测试和批准变更1.2.5变更管理职责分工补偿性控制由于组织结构或其他原因无法进行变更管理不相容职责分工情况下，补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有：►变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。►变更控制会议，以讨论和跟进移入生产环境中的最新变更。2019/10/69IT一般控制审计程序逻辑访问2.1总体目标只允许授权人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的功能（例如：询问、执行和更新等）。需要考虑ITGC逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下，ITGC测试不能为我们提供足够的证据，以明确断定是否为各个交易适当限制或分离了逻辑访问。此时，应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下，作为应用控制测试的一部分，我们将对应用程序层次访问或不相容职责分工控制执行特定测试。2019/10/610IT一般控制审计程序2.2影响逻辑访问测试性质和范围因素对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括：2.2.1逻辑访问路径►应用程序►操作系统，包括使用安全软件►数据库►网络►互联网/远程访问穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中：►所有逻辑访问ITGC均应用于应用程序层次；►并非所有逻辑访问ITGC都应用于操作系统和数据库层次；►只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。2019/10/611IT一般控制审计程序影响逻辑访问测试性质和范围因素(续)与离职和调动用户相关的ITGC通常是补偿性控制，用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户，我们应考虑以下程序：2.2.2定期用户权限复核控制的补偿性控制测试程序—离职用户：获取审计期间离职职员清单，并确定它是完整的、有效的。选择适当样本，确定是否及时删除或撤消了系统访问权限。测试程序—调动用户：获取审计期间调动职员清单，并确定它是完整的、有效的。确定用户访问对于其工作职能来说是否适当，其以前的系统访问权限是否已被删除或撤消。2019/10/612IT一般控制审计程序其他IT一般控制备份和恢复：正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以准确完整地恢复此类数据。任务排程：按计划执行程序，及时识别并消除按计划处理时产生的偏差。批处理：正确维护批处理过程，持续监控批处理，以保证数据安全。问题和事件管理及监控：及时识别、解决、复核和分析IT运行问题或事件。3.1总体目标3.2影响其他IT一般控制测试性质和范围因素3.2.1IT环境技术组成要素在风险评估过程中，我们应确定IT环境中以下哪些技术组成要素会影响其他IT一般控制，并且在测试范围内：应用程序数据库操作系统/网络IT一般控制审计程序方法论测试方法测试人员需要根据具体情况，决定采用不同测试方法，包括：询问、观察、检查、重新执行四种。注意：对某一个控制点测试可能需要结合各种不同测试方法，譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。询问：通过向相关人员访谈了解各个系统是否存在用户初始密码更改控制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。观察：观察一个系统新用户初次登陆时，系统是否提示修改密码。检查：检查系统安全参数设置，确保使用正确的参数强制用户在初次登录后修改密码。重新执行：申请一个测试账号，在系统中初次登录时查看系统是否强制要求修改密码。2019/10/613IT一般控制审计程序方法论2019/10/614为了解IT流程，参与评估人员需要在内控文档中对如下内容进行关注：5个W(WHO,WHEN,WHAT,WHERE,WHY)与1个H(HOW)授权authorized汇报reported记录recorded流程处理processed启动initiated谁来做的-Who何时做的-When做的什么-What在哪做的-Where做的原因-Why如何做的-How了解IT流程方法IT一般控制审计程序方法论2019/10/615IT一般控制测试流程缺陷报告文档整改控制矩阵测试访谈再评估IT一般控制审计程序方法论2019/10/616IT一般控制流程主要关注点举例-用户账户维护流程注：所列内容仅为简单样例需求部门如何提出用户账户维护申请该申请由谁来授权，如何授权以及授权哪些内容需求申请及授权确认记录在哪里具体谁负责执行及如何执行负责人完成维护操作后，如何通知需求部门或授权人启动授权记录流程处理汇报►询问、观察和检查►询问、观察和检查►询问、观察和检查►询问、观察和检查►询问、观察和检查2019/10/617IT一般控制审计方法论了解被评估单位的IT一般控制流程根据流程描述，识别风险与控制的关系根据应用系统配置清单，判断测试范围根据测试范围设计测试方法执行穿行测试/控制测试根据测试结果，进行控制评价填写缺陷报告、制定整改计划流程描述/流程图IT一般控制评估风险控制矩阵系统配置清单测试模板穿行、控制测试报告缺陷报告、整改计划使用相关流程描述方法表示被评估单位某个具体业务处理过程。风险控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及范围等方面进行描述，使得对风险的刻画更为有效和清晰。识别出关键系统的系统配置，包括系统描述、应用系统来源、计算机平台、操作系统、数据库名称和版本等有关系统的信息。根据对信息系统的初步了解，设计出相应的测试模板，包括风险点、控制点、测试范围、测试时间、测试步骤等信息对相关风险点所针对的每个控制进行测试，并得出结论（即：确定ITGC是否有效）。测试结论所依赖的审计证据一定要真实可靠。对所测试的控制未按照设计方式运行的情况进行总结归纳；同时找出原因和影响范围，并对其提出整改意见。IT一般控制审计程序方法论2019/10/618流程描述/流程图系统变更系统需求管理流程需求申请测试系统开发可行性分析需求分析与业务需求文档编写跟进上线本部/事业部项目管理部信息技术部MOT测试职能单元（支/分公司）开始SAF初步分析/需求整合修改SAF确认进行可行性/优先级别评估Y延期进行Y登记SAF/需求分析N确认进行Y需求分析文档（BR）编写用户签名确认（BR）登记/项目优先级调整/开发时间表开发进程评估系统开发测试安排Testplan编写进行测试结果正确用户签名Y测试报告上线安排上线/更新需求状态需求文档资料归档上线通知上线跟进结果确认Y结束NN技术文档资料（TS）填写“交付测试报告”/更新需求状态NN▶流程适用范围-针对XXX系统▶需求申请▶需求可行性分析▶业务需求文档编写▶系统开发▶测试▶上线▶上线后跟进IT一般控制审计程序方法论2019/10/619风险控制矩阵风险控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及范围等方面进行描述，使得对风险的刻画更为有效和清晰。包括