中国移动内部审计培训资料

中国移动内部审计培训财务审计中的IT审计IT内审内容概要©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。财务审计中的IT审计IT内审内容概要©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。公司层面的控制流程层面的控制信息技术整体控制控制类型及测试 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 介绍财务审计中的IT审计©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。控制环境风险评估信息及沟通监控公司层面的控制©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍财务审计中的IT审计©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。流程层面的控制©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。采集预处理批价月出账财务数据生成流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。采集风险：话单数据采集不真实、不完整、不准确、不及时控制目标：合理确保计费话单数据采集的真实性、准确性、完整性和及时性控制举例：话单文件连续生成采集监控拨打测试流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。预处理风险：话单数据预处理不真实、不完整、不准确、不及时控制目标：合理确保计费话单数据采集及预处理的真实性、准确性、完整性和及时性控制举例：格式转换前后话单文件的平衡性检查分拣前后话单的平衡性检查错单、重单、异常话单的处理和 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。批价风险：话单批价和计费不准确、不及时控制目标：合理确保话单批价及资费计算准确性、及时性控制举例：计费信息、用户资料、产品信息的同步批价前后话单的平衡性检查信息和资料无法匹配导致无法批价的话单的处理和记录流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。月出账风险：出账（月出账）数据不及时，账单金额不准确、不完整控制目标：合理确保出账（月出账）数据的准确性、完整性、及时性控制举例：批量销账的平衡性检查系统自动按参数设置出账余额不足时部分扣减的设置销账规则设置流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。财务数据生成风险：传递到MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时控制目标：合理确保传递到MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性控制举例：数据生成、传输、导入的权限设置接口文件的完整性校验BOSS与MIS代码不匹配时的错误报告对匹配规则及财务数据的审阅流程层面的控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍财务审计中的IT审计©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。信息技术审计范围的确定确定关键会计科目确定影响关键会计科目的重要业务流程确定支持重要业务流程的信息系统，作为信息技术审计测试范围内的系统信息技术整体控制©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。审计内容对程序和数据的访问程序变更管理程序开发管理系统运行终端用户计算信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。对程序和数据的访问审计目标建立足够的对程序和数据的访问控制，以降低被审计单位与财务报告相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。控制目标确定信息安全是否得到管理以指导安全措施的一贯实施，以及确定信息系统使用者是否了解与财务报告数据相关的企业信息安全政策。确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制来适当限定信息技术资源的逻辑访问和物理访问。确定被审计单位已建立相关制度，及时对用户帐号进行增、删、改。确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进行监控。确定被审计单位已在关键流程设置和执行了适当的职责分离控制。信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。程序变更管理审计目标建立足够的程序变更管理控制，以确保对现有系统/程序的变更经过授权、测试、批准、实施，并相应记录。控制目标确定被审计单位已采取控制措施，以确保用于控制财务报告流程的系统/应用程序的任何变更经过相应管理层的适当批准。确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的变更在上线前均已经过测试、验证和批准。确定被审计单位已采取控制措施，以确保将与财务报告流程相关的系统和应用程序的变更迁移至生产环境时设有适当的权限控制。确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的配置变更均已经过验证、批准和测试。确定被审计单位已对与系统/程序的配置有关的紧急变更采取适当控制措施。信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。程序开发管理审计目标：建立足够的程序开发相关的控制，以确保新系统/程序的开发或购置经过授权、测试、批准、实施，并相应记录。控制目标：确定被审计单位已采取控制措施，以确保新开发或购置的系统或应用程序已经过相应级别的信息技术管理人员及业务部门管理人员的审批。确定被审计单位已制定了恰当的程序开发方法，且将其运用于与财务报告流程相关的系统或应用程序的开发或购置过程。确定被审计单位已采取控制措施，以确保与财务报告流程相关的系统或应用程序在开发或购置过程中已经过充分测试，并且该测试结果已经过相应级别的信息技术管理人员及业务部门管理人员的批准。确定被审计单位已采取控制措施，以确保与财务报告流程相关的新旧系统或应用程序在进行数据移植操作时，数据的完整性。信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。系统运行审计目标建立足够的系统运行相关的控制，以确保系统/程序的运行经过适当的授权及安排，并且异常情况得到及时发现和解决。控制目标确定管理层已实施了相关程序，以确保与财务报告相关的系统作业处理（包括批处理作业和系统接口作业）的准确性、完整性和及时性。确定管理层已采取了适当的控制程序，以确保财务报告所需的系统和数据进行定期备份，并使相关的数据、交易和程序能够在需要时得以恢复。确定管理层已采取了有效的控制程序，定期测试与财务报告所需的系统和数据有关的恢复程序的有效性及备份介质的质量。确定管理层已采取了适当的控制程序，对备份介质进行访问控制。确定管理层已制定并实施了问题管理程序，以及时记录、分析和解决与财务报告流程相关的系统和应用程序所发生的事故、问题及差错。信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。终端用户计算审计目标：建立足够的政策及程序，以确保信息技术整体控制被有效应用于终端用户计算。控制目标：确定管理层已实施了适当的政策和程序，以确保信息技术一般性控制恰当应用于最终用户计算环境，包括控制：程序及数据的访问权限程序变更管理程序开发管理，以及系统运行信息技术整体控制（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。公司层面的控制流程层面的控制信息技术整体控制控制类型及测试方法介绍财务审计中的IT审计©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。控制类型介绍©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。各控制类型分别是预防性还是侦探性？控制类型预防性/侦探性授权及批准预防性系统设置/科目映射预防性职责分工预防性接口/数据转换控制预防性系统访问权限预防性例外情况报告侦测性关键绩效指标侦测性管理层审阅侦测性核对侦测性预防性侦测性观察–观察内部控制运行的实际情况，例如，实地观察存货盘点；询问–向相关人员询问内部控制运行的情况，例如：对于存货盘点的控制，可以询问财务部人员或仓库保管人员盘点的范围、程序，以及对盘点差异将会采取的跟进措施；重新执行控制-重新执行内部控制程序，证明其正确性，例如：重新执行对账程序，证明其结果是一致的；检查–检查证明或支持内部控制运行的记录与文件，例如：检查机房访问日志，以作为内部控制有效实施的证据；测试方法介绍©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。验证性询问-向企业中其他人员确认内部控制的实际情况，以验证应用程序的正确性和一致性以及内部控制是有效运行的。能力评估-综合运用询问、文件检查和重新履行等手段，测试某个管理人员在某一领域的知识或其实施某项控制的胜任能力。系统取证验证-测试信息系统中的自动控制，验证其运行的正确性，例如：系统按照定义好的规则将例外情况检查出来，例外情况也会关联到验证输入的完整性和正确性和应用的输出。系统中的权限设置，实现必要的职责分工以保证业务处理的合理性。测试方法介绍（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。控制点测试举例©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。接口/数据转换控制控制点描述：BOSS系统，经营分析系统和MIS系统间进行数据传输过程中，相关数据接口对传输的接口文件进行完整性校验，发生错误时系统会提示出错信息，由操作人员重新传输、以合理确保收入数据在传输过程中的完整性和准确性。流程：收入和计费业务流程-计费账务业务子流程流程目标：合理确保传递到MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性风险：传递到MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时测试方法:设计有效性测试方法询问关于数据文件从BOSS到BI或从BOSS到MIS传输中的错误检测机制。获取并查阅相关文件，以确认数据文件从BOSS到BI或从BOSS到MIS传输过程中的错误检测机制。执行有效性测试方法根据接口数据的传输频率获取并查阅系统日志，以确定数据是否得到正确传输。获取并查阅跟踪处理记录，以确定关于数据传输异常处理的过程、方法及处理人均被完整正确记录下来。控制点测试举例（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。系统访问权限控制点描述：对于服务/内容提供商提供的业务和产品，只有经过授权的服务/内容提供商可以在相关的业务管理平台上提交资费申请。流程：收入和计费业务流程-新业务与产品定价业务子流程流程目标：合理确保资费 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 被正确、及时和有效的执行风险：资费标准在系统中的设置不及时、不准确测试方法:设计有效性测试方法询问有关负责人以获知服务提供商在新业务管理平台上提交费率增加/变更申请的流程。获取并查阅相关文档以确定移动公司是否建立了对新业务管理平台访问权限的限制措施的 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 。执行有效性测试方法获取并查阅具有在新业务管理平台上提交费率增加/变更申请权限的服务提供商列表。从列表中选取样本，获取服务提供商接入新业务管理平台的授权书，以确定他们是否经过正确的授权。控制点测试举例（续）©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。例外情况报告控制点描述：批价过程中，计费系统自动对计费资源信息、产品信息、用户资料等无法匹配的服务使用记录或服务使用记录错误进行单独处理和记录。流程：收入和计费业务流程-计费账务业务子流程流程目标：合理确保话单批价及资费计算准确性、及时性风险：话单批价和计费不准确、不及时测试方法:设计有效性测试方法询问话单批价的工作流程以获取对错单监控和分析的了解。获取并查阅关于批价流程的计费系统设计相关文档来确定这些文档是否规范了监控、分析和审阅错单文件的流程。执行有效性测试方法获取并查阅重单及错单的月分析报告来确定核对的结果，错单分析方法和结果以及管理层审阅是否得到合适的记录。获取并查阅错单日志来确定是否无主话单已被回收。财务审计中的IT审计IT内审内容概要©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。外部审计与内部审计的关系内部审计方法IT内控框架IT内审©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。范围不同侧重点不同方法不同外部审计与内部审计的关系©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。外部审计与内部审计的关系内部审计方法IT内控框架IT内审©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。内部审计方法战略分析企业风险评估制定内审 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 内审项目执行报告问题的解决和跟踪规划执行外部审计与内部审计的关系内部审计方法IT内控框架IT内审©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。COBITITILISO17799IT内控框架©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。问题讨论©2007毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。