《ITGC Guidance 中文.docx》由会员分享,可在线阅读,更多相关《ITGC Guidance 中文.docx(13页珍藏版)》请在第一文库网上搜索。
1、IttftSHI:PBC1. I:要梗用系统外衣(见附衣I)2. HT1S主机列农,指出Eie应用系统相应的应用极务冷,(据昨服务器见附衣2)3. 汇整系统在2006年的开发,变更.升级情况(见附表3系统架构图(描述系统间接口情况和通过接口传递的由要数据)4. IT部门处织架构图5. IT部门职费说明书和IT岗位说明书6. IT计划(未来1年内和5年内)7. IT年度预版8. 1T管理制度和规定(包括系统变更流程,系统开发流程和技术视范,系统运维制度,信息安全相关规章制度如操作系统安全规范,数据(库安全规范,应用系统安全规范.内外网络安全规范,机房安全规范,终端用户相关安全规范暮求等)9. 1
2、T部门人员招聘流程(如有)10. IT部人员培训计划及培训记录(如有)11. IT部门人员考核纪录(如年度统效评佶)(如有)12. 审计期间系统椒务器、机房发生有无发生过紧急情况时,向管理层的汇报及向用户部门的通知13. IT部向管理层定期报告IT部门与其他部门或供应商之间的服务水平协议或服务合同CErUnderstand,eva1uateandva1idatecontro1componentsotherthancontro1activities-IT本步骤旨在补充而非重复”领域2000”中所记录的总体内部控制框架分析。本部分的目的在于记录我们对客户建立和维持一个强有力的IT控制环境和有效的信
3、息技术一般控制(ITGC)的了解和考虑。针对处理有重大财务影响的应用或数据的公司整体以及各个独立管理的IT机构或IT附属单位,实施以下程序:a) 了解、评估和记录与各内部控制要素相关的IT控制的设计和执行情况。b) 如果审计中计划信赖内部控制,要对确定的客户内部控制框架中与审计相关的各个方面进行验证。c) 在确定对四个ITGC领域中的各个领域所要实施的审计工作的性质、时间和范围时,考虑已经实施的审计工作的结果。d) 确保将已发现的内部控制要素的缺陷与管理层进行沟通,并在评估重大错报风险和确定审计策略及审计计划时予以考虑。确保已对审计信赖矩阵O和/或审计信赖汇总表O进行更新。1 .控制环境A.信
4、息系统主要管理2007年X月X日,通过对XXXX的访谈,我们了解到XX信息技术部门管理范围如下:主要应用系统清单:重要主机列表:在信息技术部门的主要政策方面,xxx建立一系列IT部门的有关制度和规定,规定包括: XXXXXXX XXXXXX XXXXXXX相关规定如何传达到所有需要遵守的员工?B.信息技术部门的组织架构 信息部门的主要架构 信息部门的职责分工和岗位职责说明 这些架构信息如何传达到员工以规范工作职责C.信息技术部门人力资源方面以及相应培训培训情况招聘情况2 .信息沟通 信息部门内部沟通方式(沟通留下的证据,如会议记录等) 信息部门与其他部门,高级管理层的沟通方式(沟通留下的证据,
5、如会议记录等) 人员考核情况 重大IT问题的沟通方式3 .风险评估 如何识别IT中的风险 年度工作计划,年度工作总结 年度预算计划4 .监控高级管理层如何监控信息部门的工作有效性,如考核等?是否聘请外部公司共同监控各个方面安全?PCrUnderstand,eva1uateandva1idate:progran!changed程序修改领域的目标是:“确保对程序和相关基础组件的修改经过请求、授权、执行、测试和实施,达到管理层应用控制的目标。”程序修改的一般要素包括:对维护活动的管理一对修改请求的规范、授权4跟踪一对程序修改实施过程的控制一测试和侦量保证一程序执行一记录和培训一职责分离对程序修改这领
6、域进行了解、评估,如果拟对该领域的控制予以信赖时,验证对生成财务报表账户余额的系统进行程序修改的控制。在实施程序修改的控制时,客户会采取多种措施。以下侧重点可能会有助于识别需要评估和验证的控制活动。仅需考虑与客户财务报告相关的侧重点。在修订审计程序时,参考记录在信息技术一般控制范围的步骤中关于确定范围的决策。批注SH2:变更大致有以下类型:由业务发展引起的正常变更:由干系统存在bug引起的变更:由于些紧急需求和侍况引起的变更:些ERP系统的参数变更(SAP.OraC1e等),对维护活动的管理管理层应当建立程序修改的控制流程并对该流程的有效性进行监督。考虑以下内容:1管理层如何确保对包括应用程序
7、、基础组件、经营管理单位和系统所在地的所有系统修改都遵守了控制流程的规定?2,管理层如何记录和沟通关于管理政策和程序的修改?3,管理层如何记录和沟通关于管理层角色和职责的变化?1.情理层如何对已执行的程序控制的遵守情况进行监督?对修改请求的规范、授权与跟踪对修改请求的控制应当确保用户请求被接收、经过授权和区分优先顺序,以支持管理层实现应用控制的目标。考虑以下内容:1情理层如何确保所有要求修改用户的请求被接收?I2.借理层如何确保所有修改用户的请求都保留有适当管理层授权的证据?IttftSH3:PBC14 .审计期间系统变更的列表(见附表3)15 .管理层对系统变更状态和优先顺序的跟踪纪录16
8、.经用户部门批准的系统变更请求(加有)17 .测试计划(如系统测试计划,用户测试计划等)18 .用户测试注果与测限蛤收报告(如有)19 .经批准的上践申请与上线计划(如有)20 .上观纪录(如有)21 .技术文档用户文档以及用户培训纪录(如有)对系统变更的外包商的监部纪录(如有)批注SH4:(变更的监督,如变更列表,好月会议的讨论力月的变更效果之类的,以确保管理层和用户及时掌握变更情批注SH7:(变更的审批流程3.管理层如何确保在处理修改用户的请求时会识别有问题的管理!活动雌SH8:同上)4,管理层如何考虑修改请求对有关财务报表的内部控制产生的潜在影响?对程序修改实施过程的控制对修改实施过程的
9、控制应当确保修改发生、实施的过程可以支持管理层实现应用控制的目标。考虑以下内容:1 .管理层如何确保对内部开发的应用程序使用程序编制际准2批注SH9:版本和代科的控制和管理,编程的规范和代码I的-致.2 .管理层如何确保所有系统均存在版本控制?3 .僧理层如何确保已对集成应用程序和数据文件之间的相关性进行识别和考虑?1SHIP诟而处理和开发.变更设计到的话.测试和质量保证批注SH11:用户测试,测试环境和正式环境的版本和数据测试和质量保证控制应当确保适当人员实施了充分测试,确保程序按照预期运行,I转移等_以实现管理层应用控制的目标。考虑以下内容:1,管理层如何确定各项修改的测试性侦和范围(即单
10、位测试、用户测试、回归测试)?2,管理层如何确保实施的测试不但应对已作出的修改,还要确保测试系统中的重要功能不应发生变化?3 .管理层如何确保适当的用户和管理层参与测试,对程序修改可能对财务报告的内部控制产生的影响进行了适当的应对?4 .在修改被推广之前,管理层如何获取用户接受修改的证据?5,管理层如何确保逻辑环境间的代码迁移受到控制?6 .管理层如何确保修改后的配置选项可以继续满足业务和控制的要求?程序执行IItttSH12:用户部门和管理层的SignOff一程序执行控制应当确保只有在进行充分测试并且获得业务用户管理层的适当批准之后,才能由适当的人员将修改后的程序在实际环境中付诸实施。考虑以
11、下内容:1 .管理层如何确保所有程序修改在实施之前经过适当的业务用户及/或IT管理层的批准?2 .管理层如何确保将修改应用于生产流程时遵守控制流程的规定?3 .管理层如何确保将修改应用于生产流程之后发生的紧急修改被接受、经过记录和批准?4 .管理层如何确保只有适当的经过授权的人员有权限限制,可以将程序修改应用到生产环境之中?5 .管理层如何确保生产流程中运行的程序是已经过测试的最新版本,并得到了业务用户管理层的批准?6 .如果程序在多个地点运行,管理层如何确保程序的所有副本已升级至正确的版本?记录和培训记录和培训控制应当确保在实施程序修改的同时,对终端用户和IT支持的文件记录和培训进行更新。考
12、虑以下内容:1 .管理层如何确保对系统发生的重大变化,用户和技术性文件记录得以及时更新?2 .管理层如何确保对系统发生的重大变化,包括导致财务报告内部控制发生的变化,用户和1T人员能够得到适当的培训?职责分离职责分离控制应当确保整个程序修改过程中的角色和职责已得到适当的限制和分离.考虑以下内容:1,管理层如何确保对整个程序修改过程中的角色和职责作出适当的分离2ftSH13:前赢书等.3 .管理层如何确保对开发、测试和生产流程保持独立的环境,并且只有适当的人员方可访问这些!环境2批注SH14:环境的分离.物理分离和逻辑分离一:还有进入各个环境的权限分配.4 .如何长期维持对职责分离的陶制2批注S
13、H15:维护SOD和权限,如果在ATPDgver到的话可以refer.PDrUnderstand,eva1uateandva1idate:programdeve1opment程序开发领域的目标是:“确保系统的开发、配置和执行能够实现管理层应用控制的目标。”程序开发控制的一般要素包括:对开发和执行活动的管理项目启动、分析和设计对程序开发实施过程的控制/软件包选择测试和侦量保证数据转换程序执行记录和培训职责分离注:只有当存在或预期会发生重大开发、执行或转换项目时,才和该程序开发领域的控制相关。在确定本领域的工作性质、时间和范围时,需要根据各个具体项目的实际情况作出重要的判断。随着开发项目接近实施阶
14、段,关于程序开发的信息技术一般控制对于财务报告内部控制的重要性和相关性也会增加。一般最关键的控制会在项目周期的后期产生,例如对系统测试、用户承接和数据转换的控制。对程序开发这领域进行了解、评估,如果拟对该领域的控制予以信赖时,验证对当前审计期间已经运行或正在进行中的与财务报告系统相关的所有重大系统开发而实施的程序开发控制。批注SH16:针对SAP系统受施1 .系统开发可行性分析报告2 .系统开发合同或系统开发项目计划书3 .系统开发需求分析4 .系统测试报告5 .系统的收报告6 .系统上线计划7 .系统上践前的培训纪录8 .系统用户手册9 .系统开发过程的阶段性报告10 .部门与用户部的会议纪
15、录11 .迁移数据收集模板和数据检傻记录12 .数据迁移结果检查记录在实施程序开发控制时,客户会采取多种措施。以下侧重点可能会有助于识别需要评估和验证的控制活动。仅需考虑与客户财务报告相关的侧重点。对开发和执行活动的全面管理管理层应当建立包括加强主要系统在内的程序开发活动的控制流程,并监督该流程的有效性。考虑以下内容:1.公司是否采用了正式的方法和/或明确的政策和程序来管理程序开发活动?2,管理层如何确保所有重大项目都制定和执行了综合全面的实施计划,包括考虑所希望具有的系统功能、对财务报告的内部控制以及适当的安全和权限控制?3,管理层如何记录和向参与程序开发活动的个人沟通他们的角色和职责分工?4.管理层如何确保适当的业务部门协调人和IT项目负责人参与制订需要满足的业务要求、测试计划和测试结果?5,管理层如何监督程序开发活动和相关控制?项目启动