信息系统一般控制审计

（⼀）信息技术⼀般性控制审计信息系统⼀般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应⽤或控制模块具有普遍影响的控制措施。

信息技术⼀般控制通常会对实现部分或全部财务报告认定做出间接贡献。

有些情况下，信息技术⼀般控制也可能对实现信息处理⽬标和财务报告认定做出直接贡献。

这。

由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运⾏，注册会计师需要对上述三个领域实施控制测试。

信息技术⼀般控制包括程序开发、程序变更、程序和数据访问以及系统运⾏等四个⽅⾯。

1．程序开发程序开发领域的⽬标是确保系统的开发、配置和实施能够实现管理层的应⽤控制⽬标。

程序开发控制的⼀般要素包括:（1）对开发和实施活动的管理；（2）项⽬启动、分析和设计；（3）对程序开发实施过程的控制软件包的选择；（4）测试和质量确保；（5）数据迁移；（6）程序实施；（7）记录和培训；（8）职责分离。

2．程序变更程序变更领域的⽬标是确保对程序和相关基础组件的变更是经过请求、授权、执⾏、测试和实施的，以达到管理层的应⽤控制⽬标。

程序变更的⼀般包括以下要素：（1）对维护活动的管理；（2）对变更请求的规范、授权与跟踪；（3）测试和质量确保；（4）程序实施；（5）记录和培训；（6）职责分离。

3．程序和数据访问程序和数据访问这⼀领域的⽬标是确保分配的访问程序和数据的权限是经过⽤户⾝份认证并经过授权的。

程序和数据访问的⼦组件⼀般包括安全活动管理、安全管理、数据安全、操作系统安全、络安全和物理安全。

4．计算机运⾏计算机运⾏这⼀领域的⽬标是确保⽣产系统根据管理层的控制⽬标完整准确地运⾏，确保运⾏问题被完整准确地识别并解决，以维护财务数据的完整性。

计算机运⾏的⼦组件⼀般包括计算机运⾏活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

信息系统一般控制审计过程实例解析作者：张玉琳贺颖奇来源：《财会学习》2013年第11期随着信息技术在企业应用越来越广泛，信息系统控制和审计已经成为很多企业面临的迫切问题。

信息系统控制包括一般控制和应用控制两部分，一般控制包括规划与组织控制、系统建设控制、日常运行控制等。

应用控制与实际系统的业务有关，主要包括输入控制、处理控制、输出控制。

对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全，计算机信息系统是否按规定的制度和规程工作，控制的作用是否达到了预期的结果。

一、信息系统审计的计划阶段计划阶段是信息系统审计过程的起点。

计划阶段的主要任务是了解被审计单位以及业务和系统运营情况；识别风险和内部控制；以及确定审计的性质、范围和重点等。

（一）了解被审计单位业务和系统运营情况审计人员首先需要了解被审单位的基本情况，主要包括业务和系统运营情况。

通过对这些基本情况的调查了解，可以对被审单位审计的固有风险进行初步评价。

本文对信息系统一般控制的审计实例以一家提供医疗保险服务的公司（以下以R公司代称）为背景。

R公司总部位于上海，在全国多地拥有分公司和业务部门。

公司信息部负责整个公司信息系统的管理和维护工作。

公司现在用的主要业务系统——医疗保险管理系统（HIMS）是由公司2003年自主研发的，系统于2005年进行测试，2006年3月正式运行使用。

到今天系统经过了多次改版和升级。

系统采用进行开发，后台数据库为SQL Server2005，医疗保险管理系统采用了B/s结构模式，现在服务器端操作系统为windows 7.0，客户端操作系统主要为Windows XP。

公司每年都投入资金对其硬件环境进行升级改造，目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台，打印机103台。

公司机房在上海总部办公大楼一楼，放置了温度、湿度探测器，同时配备了UPS不间断电源和自动灭火系统，为系统正常运行提供了保障。

信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计（一）业务概述组织的信息系统开发根据方式不同，通常包括自主开发、外委开发、或者二者兼有的开发方式。

组织在进行信息系统开发时，应当根据自身技术力量、资金状况、发展目标等实际情况，选择适合自身的开发方式和合作伙伴。

应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。

（二）审计目标和内容审计目标：通过规范开发程序，提高信息系统开发的可控性、安全性、可靠性和经济性，揭示信息系统开发环节存在的风险及问题，提出完善信息系统开发控制的审计意见和建议，实现组织目标。

审计内容：开发组织机构设置、资源配置情况。

开发过程中与业务部门的沟通情况。

系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。

（三）常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险：1.组织未成立专门的开发建设项目组，可能导致信息系统开发建设责任制未落实的风险。

2.信息系统开发工作缺乏必要支持。

组织内部无专业技术人员或是缺乏必要的财务支持，导致开发失败的风险。

3.信息系统开发过程没有业务部门人员参与，未定期与业务部门共同审核信息系统的开发建设情况，未及时发现系统不能满足业务的需要，可能导致与业务需求不相符的风险。

4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系，不能有效控制开发质量；开发过程中未进行必要的安全控制，未对源代码进行有效管理和严格审查可能导致的风险。

5.项目需求说明书阐述业务范围及内容不清晰，未能结合需求制定出最优化的技术设计方案的风险。

开发环境、测试环境和生产环境未分离，网络未有效隔离，设备未独立于生产系统，开发人员直接接触生产系统，直接使用未经批准并脱敏的生产数据，导致泄密或造成生产系统受损的风险。

信息系统审计内容一、信息系统审计内容概述信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。

信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括：（一）控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。

信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。

审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。

信息系统一般性控制审计应当重点考虑下列控制活动：（一）系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

IT审计概述：IT审计是分为：信息技术一般控制审计（ITGC)和应用层面控制审计（ITAC）1，ITAC（支持财审做对一些对具体余额的认定进行审计）ITAC即针对某一个应用软件的控制，例如对于银行来说，就有银行利息的计算软件。

那么审计这个计算过程对不对，就是ITAC了。

IT审计员会在系统中查看这个程序的源代码，看看利息是不是用借款乘以利率算出来的，另外，也会在系统中生成一个存款，然后看看系统计算的对不对。

2，ITGC（IT一般控制）但是我们知道，我们只能在一年中某已一个点来测试ITAC，如何保证在过去的一个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就可以得出这个利率计算过程是有效的。

ITGC内容（可以先不看）：（1）ELC（entity level control）控制。

就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。

（2）系统开发和变更。

就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

IT审计简述IT审计概述：IT审计是分为：信息技术⼀般控制审计（ITGC)和应⽤层⾯控制审计（ITAC）1，ITAC（⽀持财审做对⼀些对具体余额的认定进⾏审计）ITAC即针对某⼀个应⽤软件的控制，例如对于银⾏来说，就有银⾏利息的计算软件。

那么审计这个计算过程对不对，就是ITAC了。

IT审计员会在系统中查看这个程序的源代码，看看利息是不是⽤借款乘以利率算出来的，另外，也会在系统中⽣成⼀个存款，然后看看系统计算的对不对。

2，ITGC（IT⼀般控制）但是我们知道，我们只能在⼀年中某已⼀个点来测试ITAC，如何保证在过去的⼀个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就可以得出这个利率计算过程是有效的。

ITGC内容（可以先不看）：（1）ELC（entity level control）控制。

就是看看客户在IT治理⽅⾯的相关组织架构是否合理，书⾯的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及⼀些⽐较虚的总纲类的书⾯管理制度如《IT 管理制度》等等。

（2）系统开发和变更。

就是关注系统开发和系统后续⼩变更中的⼀些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看⼀看，再看系统开发是否经过了需求提出、可⾏性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取⼀些内控痕迹和表单，如《××系统需求报告》、《××系统可⾏性报告》、《××系统⽴项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更⽅⾯⽐较重要的就是《变更审批单》，这个⼀般来说还要进⾏抽样，⽽上⾯的开发流程⼀般来说做⼀两个穿⾏测试就⾏了。

计算机信息系统的控制及其审计[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整，为防止或及时发现差错及舞弊行为的发生，信息系统的控制就显得尤为重要。

本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。

本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。

第一节信息系统控制的重要性信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据，因此，如何才能确保信息的有效、准确、及时、完整和安全，是我们在设计和运行信息系统时所需考虑的一个重要问题，而这一问题的关键在于如何完善信息系统的控制。

一、控制的定义对一个企业来说，所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性，确保企业方针政策的贯彻执行，促进各项工作与企业经营效率的提高而实施的各项措施。

内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。

一个良好的企业控制系统应具有以下4个方面的功能：1. 确保企业各种经济资源的安全。

一个企业，如果没有一套良好的控制企业经济资源的措施，就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象，使企业蒙受损失。

所以，要采取有力的控制措施，有效地提高企业各种经济资源的安全，保护企业所有者的利益。

2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。

只有及时、准确、完整的经济信息，才能引导企业经营管理者正确地作出各种经济预测和决策，圆满实现企业的经营目标；反之，则会对企业的生产经营起误导作用，使企业在面临各种问题时，作出错误的选择。

可见，建立良好的信息系统控制，是保证信息质量的重要途径。

3.促进企业各部门工作效率的提高，使企业保持良好的运行效率。

提高企业各部门工作效率是保证企业良好运行，顺利实现企业经营目标的重要途径。

因此，在企业内建立一套有效的业绩考核和评估体系，使企业内形成一种相互激励，相互约束的竟争机制，可以大大提高企业对各种经济资源、人力资源的利用率，使企业保持良好的运行效率。

信息系统一般控制审计（上）（来源：《中国注册会计师》，2018-09-12）编者按：在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。

注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。

同时，信息化也对注册会计师的审计技术和方法带来革命性变化。

为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。

本刊约请作者加以摘编，分期连载，以飨读者。

注册会计师在完成信息系统审计工作计划之后，就要进入信息系统审计的执行工作。

我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。

信息系统一般控制是整个信息系统审计的基础和内核，对被审计单位的应用控制和数据保驾护航，对整个财务报表产生普遍性的影响。

如果信息系统一般控制没有得到有效设计或运行，依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡，无法对财务报表提供有效的支撑。

因此，如果信息系统一般控制和应用控制均在审计范围内，我们一般应该先安排执行信息系统一般控制的审计工作。

在大致确保一般控制整体有效的前提下，再进行相关的应用控制审计的执行工作。

如果一般控制整体无效或部分无效，我们需要评估无效的控制点对依赖其上的应用控制的影响，确认是否仍然可以依赖该应用控制点，以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。

简言之，应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。

因此，信息系统一般控制审计在整个审计过程中具有举足轻重的作用。

一、系统建设（一）系统建设活动中与审计相关的特定风险注册会计师在执行财务报表审计时，需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。

例如，信息系统建设活动是否与财务报表相关？相关程度如何？如果新建的信息系统与财务报表不相关（如工程辅助设计系统），注册会计师并不需要将其纳入审计范围。

企业内部控制体系中信息系统审计的内容和方法一、在内部控制体系中开展信息系统审计的内容信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计，或者根据企业实际情况可以分为总体控制和应用控制（如图1所示）。

图1在内部控制体系中开展信息系统审计内容1、信息系统总体控制制度体系，旨在保证整个公司范围内更加科学、规范地应用信息技术，提高企业在信息技术开发、实施、运营活动方面的控制能力，增强日常信息工作效率，更好地保护信息资产，提高信息技术对业务的支持力度，其目标是对信息技术管理和运行有效性的检查。

信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价，保证其有效地发挥作用。

信息系统总体控制审计应重点关注六个方面：一是控制环境。

包括信息系统总体控制环境、信息与沟通、风险评估、监控等。

二是信息安全情况。

包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。

三是项目建设管理。

包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。

四是系统变更管理。

包括变更管理、日常变更流程、紧急变更流程等。

五是信息系统日常运作。

包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。

六是最终用户操作。

包括最终用户计算机操作安全制度、电子表格管理等。

其中，对最终用户操作的检查，并在关键环节建立关键控制点，通过手工测试或者开发计算机软件来证明其内部控制的有效性。

由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程，且越来越复杂。

但是电子表格使用存在一些缺点，91%的电子表格存在错误，超过200行的表格将100%地存在错误。

这些问题可能导致巨大的风险，因此，必须关注与财务报表相关的电子表格，即电子表格将直接或间接影响财务报表或信息披露事项。

签名
编制索引号P221-10
复核页次 1
工作指引：
1. 完成信息系统主要负责人员调查表。

2. 完成重大业务流程和信息系统匹配表，根据信息系统调查问卷，具体评估各项信息系统
复杂程度的调查问卷。

3. 确定信息系统控制审计的范围。

4. 针对信息系统一般控制在控制环境、程序开发、程序变更、程序和数据访问以及计算机
运行等方面进行了解。

(二) 重大业务流程和信息系统匹配表
编制说明：
1.“系统名称”填写系统的名称，如费用支付系统。

系统可以是商业软件系统，或是企
业自己开发、定制的系统，也可以包括其他终端用户所使用的重要工具，如利用 Excel 等
电子表格编制的模型、填报工具等。

2. “系统平台”填写系统的操作平台，如Microsoft、Unix等。

3. “设备所在地点”填写系统的所在地点，如分布各省公司
4. “上线年份”填写初始上线年份。

5.“所支持的业务流程/科目”填写流程名称，如采购、费用支付流程等。

6. “复杂程度”根据各项信息系统调查的结果评价系统的复杂程度，填写高或低。

对信息系统的评估不是一个纯粹客观的过程，也需要依靠注册会计师的职业判断。

7. “是否纳入测试范围”根据系统的复杂程度明确系统是否纳入测试范围，填写是或否。

(三) ××信息系统调查
编制说明：
重大业务流程和信息系统匹配表中列示的各项信息系统均应填制本表，作为评价其复杂程度的依据。

信息系统审计内容及重点、步骤和方法一、审计内容（一）信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。

（二）信息系统应用控制情况1.信息系统业务流程控制情况；2.数据输入、处理和输出控制情况；3.信息共享和业务协同情况。

二、审计重点及审计步骤和方法（一）一般控制审计1.总体控制审计审计思路：通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险，形成信息系统总体控制的审计评价和结论。

审计方法：召开座谈会、发放调查问卷、查阅文件等。

审计步骤：（1）战略规划评价。

检查被审计单位是否建立了信息系统战略发展规划，是否明确了战略目标、整体规划、实现指标和相应的实施机制。

（2）组织架构评价。

检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构，以及行业内各层级的信息化工作机构，是否建立了各类机构的权力责任和制约机制。

（3）制度体系评价。

检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。

4）岗位职责评价。

检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。

（5）内部监督评价。

检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制，是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。

2.信息安全技术控制审计审计思路：通过检查被审计单位信息系统的信息安全技术及其控制的整体方案，检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计，检查信息系统的安全技术配置和防护措施，发现并揭示信息系统安全技术控制的缺失，分析并评价风险程度，形成信息安全技术控制的审计结论。

审计方法：实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法，以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。

信息系统一般控制审计（下）（2018-09-20）编者按：在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。

注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。

同时，信息化也对注册会计师的审计技术和方法带来革命性变化。

为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。

本刊约请作者加以摘编，分期连载，以飨读者。

本文拟从系统运行和维护、系统访问权限两个角度，探讨信息系统一般控制审计。

一、系统运维（一）系统运维活动中与审计相关的特定风险注册会计师在执行企业财务报表审计时，需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。

注册会计师需要进一步考虑系统运维活动中与财务报表审计相关的特定风险，主要体现在以下几个方面（如表1所示）。

表1 系统运维各阶段的主要审计风险系统运维要素特定风险事务处理活动未经授权的批处理作业变更导致事务处理不完整、不准确、不及时；对批处理作业的人为干预造成事务数据处理不完整、不准确、不及时；系统间事务记录传递不完整、不准确、不及时；问题管理与响应影响系统平稳运行，造成各类事务数据处理不完整、不准确、不及时；机房/数据中心运维活事务记录丢失；动数据无法恢复；备份数据出错，影响备份恢复完整性、准确性；信息系统基础设施性能不稳定，无法正常支撑业务开展；灾难事件导致企业业务中断，无法在预期的时间内恢复正常运作；（二）系统运维审计领域相关控制系统运维审计领域相关控制是围绕系统运维活动的一系列程序或机制，它们能够确保信息系统是根据管理层的应用控制目标运行的，确保运行中发生的问题得到及时的识别和解决，从而保证事务处理的准确性和完整性。

系统运维审计领域的相关控制要保证系统的事务处理作业的运行与数据的备份是在受控的环境中执行的，任何运行中产生的异常也会得到及时处理。