内部控制工作底稿-对信息系统一般控制的了解和测试模版.doc

被审计单位： 编制： 日期： 索引号： 财务报表截止日： 年 月 日 复 核： 日期： 页 次： 对信息系统一般控制的了解和测试 以下以一家A股上市的大型企业为例，针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明，并未列示项目组所有应当考虑的控制，所列示的孔也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本规模进行测试（本例中样本规模的选取方法仅作参考）。 一、与信息技术控制环境相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 CE－1 权限管理 建立和实施权限管理，确保系统内权限的分配是适当的。 1.访谈了解帐号及权限管理机制： （1）是否制定了正式的帐号及权限管理制度，对帐号及权限的日常变动、帐号及权限的定期审阅管理进行正式规定； （2）访谈了解内审部门是否对帐号及权限进行适当监控。 2.获取帐号及权限管理制度，检查制度设计的有效性。 1.XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到： （1）XX单位正式下发了《会计核算单位及用户管理细则》； （2）XX单位XX系统管理员负责总部的帐号／权限的新增、变更和删除操作及管理； （3）XX单位内审部对帐号及权限进行审阅及监控。 2.我们获取了《会计核算单位及用户管理细则》，检查发现： （1）针对账号及权限的日常增删改管理，制度规定各单位对财务信息化各系统普通用户、访问权限的增加、变更以及注销进行审批。财务信息化各系统应用系统管理员应根据审批通过的《用户权限申请（变更、注销）表》对用户和权限参数进行设置，并通知申请人员签收。" （2）针对账号及权限的定期审阅，制度规定：“财务信息化各系统的用户权限设置和对数据资源、访问情况应至少每半年进行一次检查，发现问题及时处理。” 未发现异常 CE2 IT系统管理制度 建立和适当实施 IT系统管理制度。 1.访谈了解 IT系统管理 （1）客户是否建立正式的 IT系统管理制度，包括是否得以制定； （2）内审部门是否参与了 IT系统管理办法的制定过程。 2.获取IT系统管理制度，检查制度设计的有效性。 1. X X日，通过询问XX单位财务部应用系统管理员XX，我们了解到： （1）X X单位统一制定了 IT管理制息化管理办法》包括《X X单位财务信息化管理发现办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》、在制度中对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定； （2）IT管理制度由 X X起草，经逐级审批通过后执行。X X单位的内审部门参与 IT系统管理制度的制定过程。 2.我们获取了《X X单位财务信息化管理办法》、《财务信息系统软件管理细则》、《会计核算单位及用户管理细则》、《财务信息系统运营维护管理细则》和《财务信息系统安全管理细则》，检查发现制度对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定。 未发现异常 《XX单位财务信信息化管理办法》 《财务信息系统团建管理细则》 《会计核算单位及用户管理细则》《财务信息系统运营维护管理细则》《财务信息系统安全管理细则》 不适用 CE3 备份管理 建立和实施备份管理，确保 生产系统数据 的可用性。 访谈了解客户的备份管理机制，包括： （1）备份：总部集中执行备份还是下属单位分别执行备份；（2 ）备份检查：总部单位集中检查备份结果还是下属单位分别检查备份结果。 XX日，通过询问XX单位信息中心OS&DB管理员XX，我们了解到：XX单位的服务器的备份操作均由总部统一执行，备份结果由总部统一检查。关于备份执行有效性，参见对备份策赂、备份结果检查的执行有效性的测试结果。 参见XX 参见XX 参见XX 二、与程序开发相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 PD1 系统测试 单元、系统和用户测试应执行，并且用户接受性测试应在系统移植前签署。开发和用户接受性测试应有单独的环境，并且程序师/开发人员不应有权限 进入用户接受性测试环境。 1.询问确认新系统移植到实用环境前存在业务所有者/用户适当的授权（签署等）。 2.检查以下文档： （1）测试计划和结果； （2）用户接受性测试签署表（现场核实有 3 个分离的环境·生产、测试、开发），如果可能取得截屏。 3.重新测试： （1）记账（过账）； （2）开账、结账； 查询系统安全审计日志，确认系统日志是否存在"取消记账"、"重新打开"等操作。 X X日，通过询问 X X单位财务部应 用系统管理员 X X，我们了解到 X X系统于 X X年 X月×日完成系统上线验收 X X年总部依赖 X X系统出具了年度财务报告。 X X年总部未发生系统开发活动。该控制在 X X年审计工作中不适用。 无样本 无样本 不适用 不适用 PD2 上线程序控制 系统上线的决定应该经过项目发起人/所有者及信息部门管理层的批准，该批准从业务和信息技术方面、基于质量审计检查。 1.询问确认存在系统移植到实用环境的适当批准程序。 2.检查上线批准表。 XX日，通过询问XX单位财务部应用系统管理员X X，我们了解到XX系统于XX年X月X日完成系统上线验收，XX年公司依赖XX系统出具了年度财务报告。XX年总部未发生准，该批准从系统开发活动。该控制在XX年审计工作中不适用。 无样本 无样本 不适用 不适用 PD3 数据转换控制 执行数据转换确保生产数据的完整性、准确性和可靠性。 1.询问确认存在数据转换的控制程序，确认完整性和可靠性的目标实现。 2.获取并检查数据转换报告。 XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到XX系统于X X年X月X日完成系统上线验收XX年公司依赖XX系统出具了年度财务报告。XX年总部未发生系统开发活动。该控制在X X年审计工作中不适用。无样本 无样本 不适用 不适用 三、与程序变更相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 测试和质量保证 PCl 变更测试 建立测试环境，测试环境应与实用环境相隔离。 1.访谈了解变更测试流程，以及测试环境和实用环挠隔离的情况。2.实地观察测试环境和实用环境隔离情况。 1.XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到《X X单位财务信息化软件管理细则》规定：“需求变更的补丁或版本更新需在测试环挠中经过测试小组测试并做好测试记录。”XX单位建立了独立的测试环境，在测试环境对升级补丁测试通过后才会移植到实用环境中。 2.我们实地观察了测试环境服务器为IP：XX，实用环境服务器为IP：XX，且存在于不同的物理机器上。测试环境与实用环境是物理隔离的。 未发现异常 测试环境和实用环境分别截屏 不适用 PC2 变更测试 根据实际需要进行适当的系统变更测试，确保变更后系统功能，且不影响生产系统的运行。 1.访谈了解是否存在用户接受测试，测试结果有没有记录。 2.检查测试，文档有没有用户接受测试的结果确认。 1.XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到系统维护工程师在收到XX单位提交的变更需求汇总之后，进行需求开发。完成后由应用系统管理员对需求解决' 情况进行评价。评价通过后，由提出需求单位的财务人员在测试环境中进行测试，但未形成书面确认记录。 2．我们获取并检查了系统补丁管理工具中的已安装补丁列表，发现XX年XX系统共安装升级补了XX个，拍取了45次升级补丁作为样本，并对用户接受测试记录进行检查。 发现异常 发现异常 系统升级补丁列表 X X系统安装的升级补丁进行了用户接受性测试，但未形成书面确认记录。 关于迁移到实用环境的授权 PC3 变更上线 测试通过后的变更需经过有效审批才能执行上线，执行人员必须得到授权，应该制定相应的上线退回机制，对于多级系统，同时更新服务器端和所有的客户端。 1.访谈了解变更上线流程，确定相关审批人员和上线人员，以及服务器端与客户端同步更新情况。 2.检查上线审批文档，是否所有的变更上线都经过有效审批。 1.XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到《XX单位财务信息化软件管理细则》第五章规定软件系统上线前必须由项目负责人填写《系统上线审批表》，由财务及信息部门负责人审批确认。"实际执行中，在对升级补丁进行评价并完成用户接受性测试后，正式发布系统升级补丁。 2. X X年XX系统共安装升级补丁××个，抽取了 45次升级补丁作为样本，并对上线审批文档进行检查。经与××确认，有两个功能需求变更，补丁上线前未经过相关负责人的审批。 发现异常 发现异常 X X系统升级补丁 列表 系统的升级补丁上线未经过相关负责人的审批。 关于迁移到生产环境的授权 PC4 变更上线 变更程序正式发布之后，相关单位及时完整地执行了正式发布的变更程序。 1.访谈变更程序执行的流程，确定相关单位是否及时完整地执行了正式发布的变更程序。 2.获取系统变更日志，检查是否存在未执行的变更程序。 3.获取系统变更日志，检查相关单位是否在变更发布日之后的3日内实施了系统变更。 1. X X日，通过询问XX单位财务部应用系统管理员XX，我们了解到由于安装升级补丁需要暂停服务器，所以X X都选择在财务操作较少的月份进行补丁升级，避免影响正常的财务业务操作。由此导致系统变更升级有时不够及时。 2. X X年总部 X X系统共安装升级补丁X X个，抽取了 45次升级补丁作为样本，对其发布日期及应用升级时间进行检查，发现均未在补丁发布后 3日内及时安装。 发现异常 发现异常 XX年XX系统待升级补丁 列表 总部未对发布的XX系统升级补丁进行及时更新（见控制缺陷评价汇总表）。 四、与程序和数据访问相关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 安全组织和管理 APD1 信息安全人员管理 信息安全相关技术人员和业务人员的职责明确定义，技能要求满足工作需要，并且满足职责分离的要求，对于敏感职位人员，制定了特定的人事政策和流程。 1.访谈确定信息安全相关技术人员和业务人员。 2.检查相关人员的岗位职责说明书，是否明确定义了岗位职责以及岗位要求，是否满足职责分离的要求。 XX日，通过询问XX单位财务部应用系统管理员XX、信息中心系统管理员XX及数据库管理员XX，我们了解到财务部制定了《会计核算单位及用户管理细则》，其中对应用系统管理员的岗位职责进行了规定；信息中心制定了《信息中心岗位职责分工》，其中对日常维护流程中涉及的信息安全方面的岗位及其职责作出规定。 日常工作中XX系统应用系统管理员由财务部XX担任，操作系统管理员由信息中心XX担任，数据库管理员由信息中心XX担任，符合职责分离要求。 通过询问XX，我们了解到其清楚自己的岗位职责，且清楚财务系统安全相关的基本要求，如密码应超过8位，并应由数字和字母组成等。 我们获取并检查了《会计核算单位及用户管理细则》，发现其中规定应用系统管理员的职责包括依照审批后的《用户权限申请表》进行财务信息化系统用户权限管理；负责财务信息化系统的更新管理工作，妥善保管各版本软件产品；每月至少对财务信息化系统日志及权限检查一次，及时采取相应的措施解决发现的异常情况。" 我们获取并检查了《信息中心岗位职责分工》，确认其中对系统管理员、数据库管理员、安全管理员等岗位及其工作内容进行了说明。 未发现异常 未发现异常 《信息中心岗位职责分工》《会计核算单位及用户管理细则》 不适用 应用安全管理 APD2 用户账号及权限申请 应用系统的账号及权限的申请需要经过有效的审批或授权，审批时应对照实际业务进行检查，确保用户权限符合业务需要和职责分离要求。 1.访谈了解是否存在正式的应用系统层面用户账号及权限管理的流程。 2.检查账号及权限新增/变更/删除的适当性： （1）获取账号及权限变更日志，了解被更新的账号，并以账号更新次数为样本总体； （2）适当抽取样本，并获取相应的权限申请单，检查是否经过有效审批。 3.检查系统中用户的实际权限，查看是否与申请单中一致；检查系统中账号及权限维护的时间是否与申请表单一致。 4.询问样本账号涉及部门及人力资源负责人，了解系统中账号及权限维护的时间是否与实际情况一致。 XX日，通过询问XX单位财务部应用系统管理员XX，我们了解到XX单位制定了《会计核算单位及用户管理细则》，其中对应用系统层面用户账号和权限管理流程进行了规定。 日常操作中，应用系统层面的用户新增、删除和权限变更需填写《用户权限申请表》，注明用户名、申请内容等，并经过财务处处长签字确认后，由应用系统管理员 X X进行系统中的账号和权限分配。 我们获取并检查了XX年1月1日至本审计时点的应用系统日志，统计发现XX年度共发生用户新增XX次、权限变更XX次、删除XX次，共计XX次，需抽取XX份用户权限申请表进行检查。 发现异常 发现异常 《会计核算单位及用户管理细则》 应用系统日志 《应用系统用户权限申请表》 部分用户 及权限的新增修改 缺少书面的申请审批记录。 APD3 用户账号及权限检查 管理层或系统所有者定期审阅与财务报告有关的应用系统权限以确定授予权限的适当性。 1.访谈了解管理层或系统所有者是否定期审阅财务系统用户和权限。 2.获取权限检查单，检查是否存在管理层和系统所有者对权限检查结果的确认。 3.导出应用系统权限清单，并从人力资源部门获取财务人员名单，重新执行检查，确认账号及权限适当性： （1）从应用系统权限清单出发，检查清单中的人员是否均包含在人力资源部门提供的财务人员名单之中，确保应用系统中是否存在冗余账号及测试时点系统账号的适当性； （2）以财务人员系统账号为样本总体，适当抽取样本，比照岗位说明书检查系统权限与岗位职责是否一致。 4.导出应用系统权限清单，以财务人员系统账号为样本总体，适当抽取样本重新执行检查，确认不相容岗位职责是否分离（不相容职责），具体需要检查的不相容职责包括： （1）应用系统管理员是否拥有财务操作权限，普通用户是否拥有应用系统管理员权限； （2）应用系统管理员是否同时拥有操作系统管理权限（或了解"操作系统管理员账号"的登陆密码）； （3）应用系统管理员是否同时拥有数据库管理权限（或了解"数据库管理员账号"的登陆密码）； （4）账套设立和财务操作是否分离； （5）固定资产基础数据维护和固定资产卡片管理权限是否分离； （6）凭证录人与审核是否分离； （7）出纳和会计权限是否分离。 X X日，通过询问 X X单位财务部应用系统管理员 X X，我们了解到《会计核算单位及用户管理细则》第四章中对用户账号及权限的定期审阅进行了规定，包括要求"应用系统管理员每月至少对财务信息化系统日志及权限检查一次，及时采取相应的措施解决发现的异常情况。"但目前财务部管理层和系统管理员均未定期审阅财务系统用户和权限。我们检查了系统的权限设置，发现其分为用户、岗位与职责三个层次，每个用户对应不同的岗位，每个岗位分配一定的职责，以保证每个用户根据其任职单位级别和个人岗位职责在系统中分配合理的权限。 具体抽样结果请参见明细表。 XX系统存在系统自动控制，不允许制单人与审核人为同一人，凭证均由独立人员进行复核。财务部在过账前会复核交易流水账等原始凭证，并与会计凭证进行核对，从而可及时发现未授权的数据修改。 具体外部文件请参见：用户岗位职责及账号权限截屏 发现异常 发现异常 用户岗位职责及账号权限截屏 财务处人员清单及新增、转岗、离职说明 冗余账号的凭证制单和审核记录 财务部管理层和系统管理员均未定期审阅财务系统用户和权限。应用系统中存在冗余账号，包括离职人员账号、外部软件工程师账号。应用系统管理员XX的系统维护权限与财务操作权限未分离。 应用系统管理员XX了解操作系统的管理员账号密码，不符合职责分离要求。 数据安全 APD4 数据访问 管理层实施了数据直接访问的正式流程。 1.访谈了解是否存在数据直接访问的正式流程以及是否发生数据访问。 2.获取数据直接访问的相关文档，检查是否与流程要求相符。 XX日，通过询问XX单位信息中心数据库管理员XX，我们了解到XX单位日常不允许进行数据库直接访问操作。 不适用 不适用 不适用 不适用 APD5 用户账号及权限检查 管理层或系统所有者定期审阅财务系统相关的数据库用户及权限以确定授予权限的适当性。 l.访谈了解管理层或系统所有者是否定期审阅财务系统相关的数据库用户和权限。 2.获取权限检查单，检查是否存在管理层和系统所有者对于权限检查结果的确认。 3.检查数据库中用户及权限的适当性。 XX日，通过询问XX单位信息中心数据库管理员XX，我们了解到《财务信息系统安全管理细则》中第二十条规定定期进行数据库系统日志和权限检查，填写《数据库日志和权限例行检查表》。"XX在每周的系统巡检中对财务系统使用的数据库用户帐号进行检查，若发现问题在巡检记录中予以登记，没有问题则不登记。2010年未发现数据库系统用户账号问题，因此未形成数据库系统用户账号检查的书面记录。 目前XX系统使用的数据库版本为 XX，我们获取并检查了数据库用户账号列表，发现目前数据库中共有XX个用户账号，其中： （1）系统自带管理账号共2个，分别为SYS、SYSTEM，由数据库管理员XX日常运营维护使用； （2）应用程序连接账号 X X为软件连接使用。 经检查发现不存在异常或冗余账号。具体情况请参见：数据库用户账号列表截屏 发现异常 发现异常 数据库用户账号列表截屏 XX在每周的系统巡检中会对财务系统使用的数据库的用户账号进行检测查，但未形成数据库系统用户账号检查的书面记录。 操作系统安全 APD6 用户账号及权限检查 管理层或系统所有者定期审阅财务系统相关的操作系统权限以确定授予权限的适当性 1.访谈了解管理层或系统所有者是否定期审阅财务系统相关的操作系统权限。 2.获取权限检查单，检查是否存在管理层或系统所有者对于权限检查结果的确认。 3.检查操作系统中用户及权限的适当性。 XX日，通过询问XX单位信息中心 操作系统管理员XX，我们了解到《财务信息系统安全管理细则》中第十八条规定：“定期进行操作系统日志和权限检查，填写《操作系统日志和权限例行检查表》。”日常工作中，XX在每周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查，若发现问题则在巡检记录中予以登记，没有问题则不登记。 XX年未发现操作系统用户账号问题，因此未形成操作系统用户账号检查的书面记录。 具体情况请参见：操作系统用户账号列表截屏 发现异常 发现异常 操作系统 XX在每周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查，但未形成操作系统用户账号检查的书面记录。 密码安全 APD7 密码安全 定正式的操作系统、数据库及应用系统密码配置来确保系统安全。 1.访谈了解操作系统、数据库及应用系统密码策略。 2.获取操作系统、数据库及应用系统密码设置策略检查其是否按照要求执行。具体检查内容包括： （1）密码长度； （2）密码复杂度； （3）密码过期设置。 XX日，通过询问XX单位财务部应用系统管理员XX、信息中心操作系统管理员XX及数据库管理员XX , 我们了解到： 1.XX单位制定了《财务信息系统安全管理细则》，其中对系统密码进行规定，包括：所有系统的特权账号密码至少一个季度更改一次；所有的用户级密码至少六个月更改一次；密码长度应该至少不低于八位字符且使用不易被猜测的密码； 2.应用系统功能无法实现对密码进行统一管理和配置；数据库未进行密码配置；操作系统未对密码的长度复杂度等参数进行合理配置。 我们检查应用系统、操作系统及数据库的密码设置，发现： （1）应用系统： 密码修改策略中设置为密码永不过期，无定期更换要求。 我们检查了用户的实际密码设置，发现如果密码长度小于6，系统会自动提示"太短并不允许通过，即应用系统对密码长度有自动控制，密码长度应大于6位；如果密码组成只包含数字不包含字母，系统会自动提示密码强度为"弱但允许通过，即应用系统对密码复杂度只有提醒，未提供自动控制强制密码设置为数字和字母结合等合理的复杂度的功能。 具体情况请参见：应用系统密码设置 具体情况请参见：数据库系统密码设置 （2）操作系统：我们获取并检查了操作系统的密码配置，发现操作系统未对密码的长度、复杂度等参数进行合理配置。 现场观察了操作系统管理员XX输入操作系统管理员密码，发现密码长度超过8位，复杂度为数字和字母组合。 具体情况请参见XX单位_ITGC_APD_8操作系统密码设置 发现异常 发现异常 《财务信息系统安全管理细则》 应用系统密码设置数据库系统密码设置 操作系统 密码设置 应用系统密码设置为永不过期，无定期更换要求。应用系统对密码复杂度只有提醒，未提供自动控制制强制密码设置为、 数字和字母结合等合理的复杂度的功能。 数据库系统的密码仅使用系统默认的无限制设置。 操作系统未对密码的长度、复杂度等参数进行合理配置以确保用户按照要求合理制定及定期修改密码。 五、与计算机操作有关的控制 控制编号 控制目标 控制描述 测试程序 测试内容 测试结论 外部文档 例外描述 备份管理 COl 备份策略制定和更新 制定适当的备份策略，以保证所需要的数据、交易及流程能在意外情况下得到恢复，备份策略随着业务需要进行更新 1.访谈了解是否存在正式的备份策略，以及各份策略更新的流程。 2.获取备份策略，检查是否随业务需要进行更新，是否满足业务需要。 1.XX日，通过询问XX单位信息中心操作系统管理员XX，我们了解到《信息、中心岗位职责分工》中对数据备份频率进行了规定，要求进行日备份、周备份和月备份。XX单位使用备份软件对财务数据进行备份，具体备份策略（略）。 2.我们获取并检查了备份软件中设置的备份计划，确认设置与规定相同。具体情况请参见：备份计划设置 未发现异常 未发现异常 信息中心岗位职责分工 备份计划设置 不适用 CO2 备份状态检查 指定专门人员对备份结果进行检查，确保备份有效，检查结果进行记录。管理层定期察看备份检查结果。 1.访谈了解相关制度中是否对备份结果检查及记录、异地备份及备份恢复测试等内容进行正式规范。 2.访谈了解备份状态检查情况以及管理层是否定期察看备份检查结果。 3.获取备份结果检查记录，检查是否按照备份频率记录了备份结果，是否存在管理正的检查记录。 4.获取备份日志，检查备份日志是否提示备份成功；适当检查相关路径下的备份数据，确保备份结果成功。 5.检查是否存在异地备份。 6.检查是否定期执行备份恢复测试并留有相关报告。 1.XX日，通过询问XX单位信息中心操作系统管理员XX，我们了解到XX在每天的系统巡检中会对日/周备份日志状态进行检查，并将检查结果登记在《XX单位备份检查记录表》中。 2.我们获取并检查了《XX单位备份检查记录表》，发现按照备份频率对备份结果进行了检查，记录了备份日期、备份数据源、备份类型（实例/数据库）、备份方式（增量/全备）、备份介质、备份数据大小及备备份结果，是否存在管理层的份完成情况等。 3.抽取XX次备份日志进行检查，发现备份均成功执行。我们检查了保存在异地的备份数据，发现相关文件目录下存在备份生成的备份数据文件。 XX年度未进行备份恢复测试。 具体情况请参见：单位备份检查记录表 备份日志截屏 发现异常 未发现异常 单位备份检查记录表 备份日志截屏 异地备份数据截屏 XX年度未进行备份恢复性测试。