《中国移动内部审计培训(1).ppt》由会员分享,可在线阅读,更多相关《中国移动内部审计培训(1).ppt(37页珍藏版)》请在三一办公上搜索。
1、,中国移动内部审计培训,财务审计中的IT审计IT内审,内容概要,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,财务审计中的IT审计IT内审,内容概要,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍,财务审计中的IT审计,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,控制环境风险评估 信息及沟通 监控,公司层面的控制,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国
2、际的中国成员。版权所有,不得转载。中国印刷。,公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍,财务审计中的IT审计,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,流程层面的控制,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,采集预处理批价月出账财务数据生成,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,采集风险:话单数据采集不真实、不完整、不准确、不及时控制目标:合理确保计费话单数据采集的真实
3、性、准确性、完整性和及时性控制举例:话单文件连续生成采集监控拨打测试,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,预处理风险:话单数据预处理不真实、不完整、不准确、不及时控制目标:合理确保计费话单数据采集及预处理的真实性、准确性、完整性和及时性控制举例:格式转换前后话单文件的平衡性检查分拣前后话单的平衡性检查错单、重单、异常话单的处理和记录,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,批价风险:话单批价和计费不准确、不及时控制目标:合理确保
4、话单批价及资费计算准确性、及时性控制举例:计费信息、用户资料、产品信息的同步批价前后话单的平衡性检查信息和资料无法匹配导致无法批价的话单的处理和记录,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,月出账风险:出账(月出账)数据不及时,账单金额不准确、不完整控制目标:合理确保出账(月出账)数据的准确性、完整性、及时性控制举例:批量销账的平衡性检查系统自动按参数设置出账余额不足时部分扣减的设置销账规则设置,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷
5、。,财务数据生成风险:传递到MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时控制目标:合理确保传递到MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性控制举例:数据生成、传输、导入的权限设置接口文件的完整性校验BOSS与MIS代码不匹配时的错误报告对匹配规则及财务数据的审阅,流程层面的控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍,财务审计中的IT审计,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转
6、载。中国印刷。,信息技术审计范围的确定确定关键会计科目确定影响关键会计科目的重要业务流程确定支持重要业务流程的信息系统,作为信息技术审计测试范围内的系统,信息技术整体控制,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,审计内容对程序和数据的访问程序变更管理程序开发管理系统运行终端用户计算,信息技术整体控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,对程序和数据的访问审计目标建立足够的对程序和数据的访问控制,以降低被审计单位与财务报告相关的应用系统或数据遭到未经授权访问或不当访问
7、所带来的风险。控制目标确定信息安全是否得到管理以指导安全措施的一贯实施,以及确定信息系统使用者是否了解与财务报告数据相关的企业信息安全政策。确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制来适当限定信息技术资源的逻辑访问和物理访问。确定被审计单位已建立相关制度,及时对用户帐号进行增、删、改。确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进行监控。确定被审计单位已在关键流程设置和执行了适当的职责分离控制。,信息技术整体控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,程序变更管理审计目标建立足够的程序变更管理控
8、制,以确保对现有系统/程序的变更经过授权、测试、批准、实施,并相应记录。控制目标确定被审计单位已采取控制措施,以确保用于控制财务报告流程的系统/应用程序的任何变更经过相应管理层的适当批准。确定被审计单位已采取控制措施,以确保与财务报告相关的系统和应用程序的变更在上线前均已经过测试、验证和批准。确定被审计单位已采取控制措施,以确保将与财务报告流程相关的系统和应用程序的变更迁移至生产环境时设有适当的权限控制。确定被审计单位已采取控制措施,以确保与财务报告相关的系统和应用程序的配置变更均已经过验证、批准和测试。确定被审计单位已对与系统/程序的配置有关的紧急变更采取适当控制措施。,信息技术整体控制(续
9、),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,程序开发管理审计目标:建立足够的程序开发相关的控制,以确保新系统/程序的开发或购置经过授权、测试、批准、实施,并相应记录。控制目标:确定被审计单位已采取控制措施,以确保新开发或购置的系统或应用程序已经过相应级别的信息技术管理人员及业务部门管理人员的审批。确定被审计单位已制定了恰当的程序开发方法,且将其运用于与财务报告流程相关的系统或应用程序的开发或购置过程。确定被审计单位已采取控制措施,以确保与财务报告流程相关的系统或应用程序在开发或购置过程中已经过充分测试,并且该测试结果已经过相应级别的信
10、息技术管理人员及业务部门管理人员的批准。确定被审计单位已采取控制措施,以确保与财务报告流程相关的新旧系统或应用程序在进行数据移植操作时,数据的完整性。,信息技术整体控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,系统运行审计目标建立足够的系统运行相关的控制,以确保系统/程序的运行经过适当的授权及安排,并且异常情况得到及时发现和解决。控制目标确定管理层已实施了相关程序,以确保与财务报告相关的系统作业处理(包括批处理作业和系统接口作业)的准确性、完整性和及时性。确定管理层已采取了适当的控制程序,以确保财务报告所需的系统和数据进行定期备
11、份,并使相关的数据、交易和程序能够在需要时得以恢复。确定管理层已采取了有效的控制程序,定期测试与财务报告所需的系统和数据有关的恢复程序的有效性及备份介质的质量。确定管理层已采取了适当的控制程序,对备份介质进行访问控制。确定管理层已制定并实施了问题管理程序,以及时记录、分析和解决与财务报告流程相关的系统和应用程序所发生的事故、问题及差错。,信息技术整体控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,终端用户计算审计目标:建立足够的政策及程序,以确保信息技术整体控制被有效应用于终端用户计算。控制目标:确定管理层已实施了适当的政策和程序
12、,以确保信息技术一般性控制恰当应用于最终用户计算环境,包括控制:程序及数据的访问权限 程序变更管理程序开发管理,以及系统运行,信息技术整体控制(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍,财务审计中的IT审计,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,控制类型介绍,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,各控制类型分别是预防性还是侦探性?,预防性,侦
13、测性,观察 观察内部控制运行的实际情况,例如,实地观察存货盘点;询问 向相关人员询问内部控制运行的情况,例如:对于存货盘点的控制,可以询问财务部人员或仓库保管人员盘点的范围、程序,以及对盘点差异将会采取的跟进措施;重新执行控制-重新执行内部控制程序,证明其正确性,例如:重新执行对账程序,证明其结果是一致的;检查 检查证明或支持内部控制运行的记录与文件,例如:检查机房访问日志,以作为内部控制有效实施的证据;,测试方法介绍,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,验证性询问-向企业中其他人员确认内部控制的实际情况,以验证应用程序的正确性和
14、一致性以及内部控制是有效运行的。能力评估-综合运用询问、文件检查和重新履行等手段,测试某个管理人员在某一领域的知识或其实施某项控制的胜任能力。系统取证验证-测试信息系统中的自动控制,验证其运行的正确性,例如:系统按照定义好的规则将例外情况检查出来,例外情况也会关联到验证输入的完整性和正确性和应用的输出。系统中的权限设置,实现必要的职责分工以保证业务处理的合理性。,测试方法介绍(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,控制点测试举例,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。
15、,接口/数据转换控制控制点描述:BOSS系统,经营分析系统和MIS系统间进行数据传输过程中,相关数据接口对传输的接口文件进行完整性校验,发生错误时系统会提示出错信息,由操作人员重新传输、以合理确保收入数据在传输过程中的完整性和准确性。流程:收入和计费业务流程-计费账务业务子流程流程目标:合理确保传递到MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性风险:传递到MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时测试方法:设计有效性测试方法询问关于数据文件从BOSS到BI或从BOSS到MIS传输中的错误检测机制。获取并查阅相关文件,以确认数据文件从BOSS到BI或从BO
16、SS到MIS传输过程中的错误检测机制。执行有效性测试方法根据接口数据的传输频率获取并查阅系统日志,以确定数据是否得到正确传输。获取并查阅跟踪处理记录,以确定关于数据传输异常处理的过程、方法及处理人均被完整正确记录下来。,控制点测试举例(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,系统访问权限控制点描述:对于服务/内容提供商提供的业务和产品,只有经过授权的服务/内容提供商可以在相关的业务管理平台上提交资费申请。流程:收入和计费业务流程-新业务与产品定价业务子流程流程目标:合理确保资费标准被正确、及时和有效的执行风险:资费标准在系统中的
17、设置不及时、不准确测试方法:设计有效性测试方法询问有关负责人以获知服务提供商在新业务管理平台上提交费率增加/变更申请的流程。获取并查阅相关文档以确定移动公司是否建立了对新业务管理平台访问权限的限制措施的规范。执行有效性测试方法获取并查阅具有在新业务管理平台上提交费率增加/变更申请权限的服务提供商列表。从列表中选取样本,获取服务提供商接入新业务管理平台的授权书,以确定他们是否经过正确的授权。,控制点测试举例(续),2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,例外情况报告控制点描述:批价过程中,计费系统自动对计费资源信息、产品信息、用户资料等
18、无法匹配的服务使用记录或服务使用记录错误进行单独处理和记录。流程:收入和计费业务流程-计费账务业务子流程流程目标:合理确保话单批价及资费计算准确性、及时性风险:话单批价和计费不准确、不及时测试方法:设计有效性测试方法询问话单批价的工作流程以获取对错单监控和分析的了解。获取并查阅关于批价流程的计费系统设计相关文档来确定这些文档是否规范了监控、分析和审阅错单文件的流程。执行有效性测试方法获取并查阅重单及错单的月分析报告来确定核对的结果,错单分析方法和结果以及管理层审阅是否得到合适的记录。获取并查阅错单日志来确定是否无主话单已被回收。,财务审计中的IT审计IT内审,内容概要,2007 毕马威华振会计
19、师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,外部审计与内部审计的关系内部审计方法IT内控框架,IT内审,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,范围不同侧重点不同方法不同,外部审计与内部审计的关系,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,外部审计与内部审计的关系内部审计方法IT内控框架,IT内审,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,内部审计方法,外部审计与内部审计的关系内部审计方法
20、IT内控框架,IT内审,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,COBITITILISO17799,IT内控框架,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,问题讨论,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有,不得转载。中国印刷。,谢谢,所载资料仅供一般参考用,并非针对任何个人或团体的个别情况而提供。虽然本所已致力提供准确和及时的资料,但本所不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。,
