德勤审计讲义

©2007德勤华永会计师事务所信息系统审计基础培训2信息系统审计基础培训.施建俊企业风险服务德勤华永会计师事务所2007年12月18日©2007德勤华永会计师事务所信息系统审计基础培训3课程目录•信息系统审计基础•通用计算机控制审计•应用系统控制审计•计算机辅助审计技术介绍•信息技术控制缺陷的评估•对外包服务商内部控制的考虑•交流与回答©2007德勤华永会计师事务所信息系统审计基础培训4信息系统审计基础©2007德勤华永会计师事务所信息系统审计基础培训5IT审计的定义•为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。•IT审计的要点：–独立性–综合性–IT审计师资格–IT审计报告–促进信息系统安全、可靠与有效©2007德勤华永会计师事务所信息系统审计基础培训6IT审计vs.财务审计AssessEngagementQuality(Ch.27)PerformPost-EngagementActivitiesEngagementReporting(Ch.26)PrepareAuditSummaryMemorandum(Ch.24)ObtainManagementRepresentations(Ch.23)PerformSubsequentEventsReview(Ch.22)Conclude&ReportPerformFinancialStatementReview(Ch.21)OverallEvaluationofMisstatements&theScopeofourAudit(Ch.20)PerformTestsofOperatingEffectivenessofControls(Ch.17)PerformtheAuditPlanDeterminePlanningMateriality(Ch.11)PerformPreliminaryAnalyticalReview(Ch.10)UnderstandtheAccountingProcess(Ch.9)UnderstandingInternalControl(Ch.8)UnderstandtheEntityandItsEnvironment(Ch.7.)StrategicAuditPlanning(Ch.6)PerformPreliminaryPlanningEstablishTermsofEngagement(Ch.5)SelecttheEngagementTeam(Ch.4)Assess&RespondtoEngagementRisk(Ch.3)PerformPre-EngagementActivitiesPrepare,ReviewandControlWorkingPapers(Ch.25)AssessandManageRiskAuditQualityManagetheAuditEngagement(Ch.2)Plananintermediatelevelofsubstantiveprocedures(Ch.15)Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiodortogetherwithourworkperformedintheprior2audits,&planabasiclevelofsub-stantiveprocedures(Ch.14&15)Plantoobtainauditevidenceabouttheoperatingeffectivenessofcontrols,inthecurrentauditperiod,&planamoderatelevelofsubstantiveprocedures(Ch.14&15)Planafocusedlevelofsubstantiveprocedures(Ch.15)DeveloptheAuditPlanSummarize&CommunicatetheAuditPlan(Ch16)PlantoRelyonOperatingEffectivenessofControls(Ch.13)SpecificIdentifiedRisk(Ch.12)YesNoYesNoYesNo3.01.70.72.0.PerformSubstantiveProcedures[SAP(Ch.18)&/orTestsofDetails(Ch.19)]NoSpecificIdentifiedRisk(Ch.12)AssessRiskatthePotential-ErrorLevel(Ch.12)Design&implementationofcontrolswasadequate(Ch.9)No©2007德勤华永会计师事务所信息系统审计基础培训7内部控制构成要素（COSO）确保相关信息得到及时识别与传达的程序•来自高管的信息•政策与程序•培训•道德准则组织的控制意识。“高层论调”•道德准则•成文的政策与程序•文化评估对影响组织绩效的内外部因素的评估业务风险管理程序风险管理内部审计风险评估确定内部控制是否得到正确地设计、有效和因地制宜地执行的程序•管理分析•披露委员会•内部审计确保风险管理措施得到及时执行的政策与程序•授权审批•普通程序和系统•职责分隔•客户对帐•信息技术控制©2007德勤华永会计师事务所信息系统审计基础培训8IT穿插在企业内部控制的各个环节控制环境•IT控制环境是公司整体控制环境的重要组成部分•在公司“老总”层面要听得到关于信息技术的声音•信息技术的控制职责和签字权力必须明确•信息技术的控制政策和规程必须成文风险评估•应当有专门的信息技术风险评估程序•应当对信息技术内控计划的制定加以监督•信息技术风险包括安全、运行、可用性等，都会影响财务报告的可靠性•管理层必须意识到信息技术的风险与信息技术的控制息息相关信息与沟通•部署用以支持沟通的架构、标准和流程•信息能够准确、及时地向上传递•方便地获取信息技术相关的政策、流程、职位描述和职责定义•准确地对财务数据和报告进行整理和沟通监督•对信息技术内控进行持续监督，确保其实质有效实际并运行•对信息技术文档的充分性进行监督•信息技术内审复核.•对弥补和升级程序进行监控.•持续的安全监督©2007德勤华永会计师事务所信息系统审计基础培训9了解企业内部控制的程序识别主要活动,程序和控制,以应对内控的各实体层次构成要素。了解监管负责人员如何应对风险评估控制的设计与执行对以下作出结论：•对实现有效内部控制和可靠财务信息处理的帮助。•它是否提高或降低内部控制的有效性©2007德勤华永会计师事务所信息系统审计基础培训10IT控制是内部控制的重要组成部分EntityLevelControlsEntity-levelcontrolssetthetoneandcultureoftheorganization.ITentity-levelcontrolsarepartofacompany’soverallcontrolenvironment.Controlsinclude:•Strategiesandplans•Policiesandprocedures•Riskassessmentactivities•Trainingandeducation•Qualityassurance•InternalauditITServicesOS/Data/Telecom/Continuity/NetworksBusinessProcessFinanceReportBusinessProcessCustomerBankingBusinessProcessLoanBusinessProcessInvestmentExecutiveManagementITGeneralControlsControlsembeddedwithinITprocessesthatprovideareliableoperatingenvironmentandsupporttheeffectiveoperationofapplicationcontrols.Controlsinclude:•Programdevelopment•Programchanges•Accesstoprogramsanddata•ComputeroperationsApplicationControlsControlsembeddedwithinbusinessprocessapplicationsdirectlysupportfinancialcontrolobjectives.Controlsinclude:Controlobjectives/assertionsinclude:•Completeness•Accuracy•Existence/authorization•Presentation/disclosure©2007德勤华永会计师事务所信息系统审计基础培训11控制vs.风险•风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值程度及威胁发生的频度成正比•为了将风险控制在管理层可接受的程度，就必须对识别出的各类风险实施相关的控制。在实施时须考虑如下因素：–比较控制成本与减少风险所得的收益–管理层的风险喜好（如，管理层准备接受的残余风险水平）–愿意采取的风险降低的方式（如，终止风险、减少发生的可能、减少影响、转移或保险）©2007德勤华永会计师事务所信息系统审计基础培训12控制的分类•预防性控制–在事情发生前监测问题–监控运营和输入–在问题发生前预测潜在问题–避免错误、疏忽或蓄意行为的发生•检测性控制–使用控制检查和报告发生的错误、疏漏或蓄意行为的发生•纠正性控制–减少危害影响–修复检查性控制发现的问题–找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未来问题发生的可能性©2007德勤华永会计师事务所信息系统审计基础培训13内部控制目标•内部控制就是要通过实施一系列特定的控制活动，达到所预期的结果或目的。通常包括：–内部会计控制——主要针对会计操作，即资产安全、财务资料准确可靠–运营控制——针对日常运营、职能和活动，用于确保运营达到企业目标–管理控制——关注职能部门的运作效率及运营控制符合管理政策的程度，是以提高经营效率和保证管理方针、政策的实施为目标的控制–技术环境控制——保护信息资产，符合组织的方针策略及法律法规的要求，信息输入输出，交易处理的准确性及完整性，数据处理的可靠性，备份与恢复，业务经营的效率与效果©2007德勤华永会计师事务所信息系统审计基础培训14信息系统控制目标•内部控制目标可以运用在所有人工及自动化控制部分，常见的信息系统控制目标如：–保护信息系统以防止不当存取，并确保及时更新–保护计算机操作系统及网络操作系统的完整性–保护敏感的、重要的应用系统（如财务及管理应用系统）的机密性和完整性：–保证信息系统的运营效率与效果–符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求–制定业务持续计划及灾难恢复计划–制定应急响应及处理程序–……©2007德勤华永会计师事务所信息系统审计基础培训15实施信息系统审计•信息系统审计是检查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如下几个步骤：–充分的审计计划（短期、长期）–为有效地利用审计资源，审计机构必须评估所有风险（一般控制与应用控制领域）–制定审计计划，包括审计目标与审计程序–搜集证据、对现有控制进行评估与测试–编写审计报告，并与管理层沟通审计发现©2007德勤华永会计师事务所信息系统审计基础培训16测试和评估信息系统控制的方法•信息系统审计师必须理解和掌握测试评估信息系统控制的方法：–使用通用审计软件调查数据文件的内容（包括系统日志）–使用专用软