ITGC Guidanc Question.docx
《ITGC Guidanc Question.docx》由会员分享,可在线阅读,更多相关《ITGC Guidanc Question.docx(12页珍藏版)》请在冰豆网上搜索。
ITGCGuidancQuestion
CE:
Understand,evaluateandvalidatecontrolcomponentsotherthancontrolactivities–IT
本步骤旨在补充而非重复“领域2000”中所记录的总体内部控制框架分析。
本部分的目的在于记录我们对客户建立和维持一个强有力的IT控制环境和有效的信息技术一般控制(ITGC)的了解和考虑。
针对处理有重大财务影响的应用或数据的公司整体以及各个独立管理的IT机构或IT附属单位,实施以下程序:
a)了解、评估和记录与各内部控制要素相关的IT控制的设计和执行情况。
b)如果审计中计划信赖内部控制,要对确定的客户内部控制框架中与审计相关的各个方面进行验证。
c)在确定对四个ITGC领域中的各个领域所要实施的审计工作的性质、时间和范围时,考虑已经实施的审计工作的结果。
d)确保将已发现的内部控制要素的缺陷与管理层进行沟通,并在评估重大错报风险和确定审计策略及审计计划时予以考虑。
确保已对审计信赖矩阵()和/或审计信赖汇总表()进行更新。
1.控制环境
A.信息系统主要管理
2007年x月x日,通过对xxxx的访谈,我们了解到xx信息技术部门管理范围如下:
•主要应用系统清单:
•重要主机列表:
在信息技术部门的主要政策方面,xxx建立一系列IT部门的有关制度和规定,规定包括:
•xxxxxxx
•xxxxxx
•xxxxxxx
相关规定如何传达到所有需要遵守的员工?
B.信息技术部门的组织架构
•信息部门的主要架构
•信息部门的职责分工和岗位职责说明
•这些架构信息如何传达到员工以规范工作职责
C.信息技术部门人力资源方面以及相应培训
•培训情况
•招聘情况
2.信息沟通
•信息部门内部沟通方式(沟通留下的证据,如会议记录等)
•信息部门与其他部门,高级管理层的沟通方式(沟通留下的证据,如会议记录等)
•人员绩效考核
•重大IT问题的沟通方式
3.风险评估
•如何识别IT中的风险
•年度工作计划,年度工作总结
•年度预算计划
4.监控
•高级管理层如何监控信息部门的工作有效性,如考核等?
•是否聘请外部公司共同监控IT各个方面安全?
PC:
Understand,evaluateandvalidate:
programchanges
程序修改领域的目标是:
“确保对程序和相关基础组件的修改经过请求、授权、执行、测试和实施,达到管理层应用控制的目标。
”程序修改的一般要素包括:
对维护活动的管理-对修改请求的规范、授权与跟踪-对程序修改实施过程的控制-测试和质量保证-程序执行-记录和培训-职责分离
对程序修改这一领域进行了解、评估,如果拟对该领域的控制予以信赖时,验证对生成财务报表账户余额的系统进行程序修改的控制。
在实施程序修改的控制时,客户会采取多种措施。
以下侧重点可能会有助于识别需要评估和验证的控制活动。
仅需考虑与客户财务报告相关的侧重点。
在修订审计程序时,参考记录在信息技术一般控制范围的步骤中关于确定范围的决策。
对维护活动的管理
管理层应当建立程序修改的控制流程并对该流程的有效性进行监督。
考虑以下内容:
1.管理层如何确保对包括应用程序、基础组件、经营管理单位和系统所在地的所有系统修改都遵守了控制流程的规定?
2.管理层如何记录和沟通关于管理政策和程序的修改?
3.管理层如何记录和沟通关于管理层角色和职责的变化?
4.管理层如何对已执行的程序控制的遵守情况进行监督?
对修改请求的规范、授权与跟踪
对修改请求的控制应当确保用户请求被接收、经过授权和区分优先顺序,以支持管理层实现应用控制的目标。
考虑以下内容:
1.管理层如何确保所有要求修改用户的请求被接收?
2.管理层如何确保所有修改用户的请求都保留有适当管理层授权的证据?
3.管理层如何确保在处理修改用户的请求时会识别有问题的管理活动?
4.管理层如何考虑修改请求对有关财务报表的内部控制产生的潜在影响?
对程序修改实施过程的控制
对修改实施过程的控制应当确保修改发生、实施的过程可以支持管理层实现应用控制的目标。
考虑以下内容:
1.管理层如何确保对内部开发的应用程序使用程序编制标准?
2.管理层如何确保所有系统均存在版本控制?
3.管理层如何确保已对集成应用程序和数据文件之间的相关性进行识别和考虑?
测试和质量保证
测试和质量保证控制应当确保适当人员实施了充分测试,确保程序按照预期运行,以实现管理层应用控制的目标。
考虑以下内容:
1.管理层如何确定各项修改的测试性质和范围(即单位测试、用户测试、回归测试)?
2.管理层如何确保实施的测试不但应对已作出的修改,还要确保测试系统中的重要功能不应发生变化?
3.管理层如何确保适当的用户和管理层参与测试,对程序修改可能对财务报告的内部控制产生的影响进行了适当的应对?
4.在修改被推广之前,管理层如何获取用户接受修改的证据?
5.管理层如何确保逻辑环境间的代码迁移受到控制?
6.管理层如何确保修改后的配置选项可以继续满足业务和控制的要求?
程序执行
程序执行控制应当确保只有在进行充分测试并且获得业务用户管理层的适当批准之后,才能由适当的人员将修改后的程序在实际环境中付诸实施。
考虑以下内容:
1.管理层如何确保所有程序修改在实施之前经过适当的业务用户及/或IT管理层的批准?
2.管理层如何确保将修改应用于生产流程时遵守控制流程的规定?
3.管理层如何确保将修改应用于生产流程之后发生的紧急修改被接受、经过记录和批准?
4.管理层如何确保只有适当的经过授权的人员有权限限制,可以将程序修改应用到生产环境之中?
5.管理层如何确保生产流程中运行的程序是已经过测试的最新版本,并得到了业务用户管理层的批准?
6.如果程序在多个地点运行,管理层如何确保程序的所有副本已升级至正确的版本?
记录和培训
记录和培训控制应当确保在实施程序修改的同时,对终端用户和IT支持的文件记录和培训进行更新。
考虑以下内容:
1.管理层如何确保对系统发生的重大变化,用户和技术性文件记录得以及时更新?
2.管理层如何确保对系统发生的重大变化,包括导致财务报告内部控制发生的变化,用户和IT人员能够得到适当的培训?
职责分离
职责分离控制应当确保整个程序修改过程中的角色和职责已得到适当的限制和分离。
考虑以下内容:
1.管理层如何确保对整个程序修改过程中的角色和职责作出适当的分离?
2.管理层如何确保对开发、测试和生产流程保持独立的环境,并且只有适当的人员方可访问这些环境?
3.如何长期维持对职责分离的控制?
PD:
Understand,evaluateandvalidate:
programdevelopment
程序开发领域的目标是:
“确保系统的开发、配置和执行能够实现管理层应用控制的目标。
”程序开发控制的一般要素包括:
对开发和执行活动的管理
项目启动、分析和设计
对程序开发实施过程的控制/软件包选择
测试和质量保证
数据转换
程序执行
记录和培训
职责分离
注:
只有当存在或预期会发生重大开发、执行或转换项目时,才和该程序开发领域的控制相关。
在确定本领域的工作性质、时间和范围时,需要根据各个具体项目的实际情况作出重要的判断。
随着开发项目接近实施阶段,关于程序开发的信息技术一般控制对于财务报告内部控制的重要性和相关性也会增加。
一般最关键的控制会在项目周期的后期产生,例如对系统测试、用户承接和数据转换的控制。
对程序开发这一领域进行了解、评估,如果拟对该领域的控制予以信赖时,验证对当前审计期间已经运行或正在进行中的与财务报告系统相关的所有重大系统开发而实施的程序开发控制。
在实施程序开发控制时,客户会采取多种措施。
以下侧重点可能会有助于识别需要评估和验证的控制活动。
仅需考虑与客户财务报告相关的侧重点。
对开发和执行活动的全面管理
管理层应当建立包括加强主要系统在内的程序开发活动的控制流程,并监督该流程的有效性。
考虑以下内容:
1.公司是否采用了正式的方法和/或明确的政策和程序来管理程序开发活动?
2.管理层如何确保所有重大项目都制定和执行了综合全面的实施计划,包括考虑所希望具有的系统功能、对财务报告的内部控制以及适当的安全和权限控制?
3.管理层如何记录和向参与程序开发活动的个人沟通他们的角色和职责分工?
4.管理层如何确保适当的业务部门协调人和IT项目负责人参与制订需要满足的业务要求、测试计划和测试结果?
5.管理层如何监督程序开发活动和相关控制?
项目启动、分析和设计
项目启动控制应当确保项目的计划、资源配置和启动可以支持管理层应用控制目标的实现。
考虑以下内容:
1.管理层如何确保为程序开发作出的努力与总体业务目标和内部控制目标保持一致?
2.管理层如何确保各项目小组拥有必要的业务和技术技能,包括内部控制知识?
3.管理层如何确保所有项目都已指派业务部门协调人和数据所有者?
4.管理层如何确保对系统要求进行的开发一致而详尽?
5.管理层如何确保项目小组能够考虑到每个项目的系统及接口依存关系、内部控制的要求和安全方面的要求?
6.管理层如何确保在进入项目实施阶段之前获得业务部门协调人的批准?
对程序开发实施过程的控制/软件包选择
对程序开发实施过程的控制和对软件包选择的控制应当确保进行的内部程序开发活动和软件包的选择可以支持管理层应用控制目标的实现。
考虑以下内容:
1.管理层如何确保对内部开发的应用程序使用程序编制标准?
2.管理层如何确保对外购软件包的选择、定制(用户化)和执行进行统一的应用控制?
3.管理层如何确保所有系统均存在版本控制?
4.管理层如何确保已对集成应用程序和数据文件之间的相关性进行识别和考虑?
测试和质量保证
测试和质量保证控制应当确保适当人员实施了充分测试,确保新系统的功能按照预期运行,以实现管理层应用控制的目标。
考虑以下内容:
1.管理层如何确保测试计划适当,能够应对分析和设计阶段提出的要求?
2.管理层如何确定测试的性质和范围(即单位测试、用户测试、回归测试)?
3.管理层如何确保相关IT和/或经营单位人员实施并批准了适当的测试?
4.管理层如何确保在测试中充分应对了对新的或修改过的有关财务报告的内部控制的设计和运行的有效性?
5.管理层如何确保经过测试的程序在投入生产运营之前不被修改?
6.管理层如何确保逻辑环境间的代码迁移受到控制?
7.管理层如何确保选择的应用软件包的配置选项达到了业务和控制的要求?
数据转换
数据转换控制应当确保数据被完整、准确地转入到新系统。
考虑以下内容:
1.管理层如何确保数据字段从原有系统正确地联接到目标系统?
2.管理层如何确保转换后数据的完整性、准确性和有效性?
3.管理层如何确保在数据转换计划中考虑了关键的系统接口?
程序执行
程序执行控制应当确保只有在进行了充分测试,获取了业务部门协调人的批准,并且制定了适当的执行和取消计划之后,才能将新系统在实际环境中付诸实施。
考虑以下内容:
1.管理层如何确保所有程序执行均经过适当的业务部门协调人和IT管理层的批准?
2.管理层如何确保按照一致的流程作出系统投入使用的决策(即执行计划、取消程序等)?
3.管理层如何确保生产流程中运行的程序是已经过测试的最新版本,并得到了业务部门协调人的批准?
4.如果程序在多个站点运行,管理层如何确保程序的所有副本已升级至正确的版本?
5.管理层如何确保在程序执行后的期间能够应对重大的执行风险,尤其是对复杂系统的执行风险(例如运行后复核、运行终结过程的详细控制等)?
记录和培训
记录和培训控制应当确保在程序执行的同时向终端用户和技术支持人员提供充分的文件记录和培训。
考虑以下内容:
1.管理层如何确保对所有新系统的用户和技术文件的记录得以及时编制和沟通?
2.管理层如何确保对所有新系统和相关的内部控制,用户和IT人员能够得到适当的培训?
职责分离
职责分离控制应当确保整个程序开发过程中的角色和职责已得到适当的限制和分离。
考虑以下内容:
1.管理层如何确保对整个程序开发过程中的责任作出适当的分离?
2.管理层如何确保对开发、测试和生产流程保持独立的环境,并且只有适当的人员方可访问这些环境?
ATPD:
Understand,evaluateandvalidate:
accesstoprogamsanddata
程序和数据的访问权限领域的控制目标是:
“确保只有通过身份认证的用户有权访问程序和数据。
”程序和数据的访问权限一般包括下列子项:
安全活动管理、安全管理、数据安全、操作系统安全、网络安全、实物安全
对程序和数据的访问权限这一领域进行了解、评估,如果拟对该领域的控制予以信赖,验证生成财务报表账户余额的系统的安全控制。
在实施安全控制时,客户会采取多种措施。
以下侧重点可能会有助于识别需要评估和验证的控制活动。
仅需考虑与客户财务报告相关的侧重点。
在修订审计程序时,参考记录在信息技术一般控制范围的步骤中关于确定范围的决策。
除了下列侧重点,还可考虑使用Guardian中任何适用的技术平台辅助手段和工作程序,以协助评估对程序和数据的访问权限的控制。
安全活动管理
应当设计和执行一个安全功能及相关的政策和程序以支持客户的信息整合目标。
考虑以下内容:
1.管理层如何从数据所有者的角度确保将经营单位的管理适当地纳入到信息的安全功能中?
2.管理层如何记录和沟通关于安全的角色和职责分工?
3.管理层如何定义、记录和沟通适用于所有相关技术部分的安全政策和程序?
4.管理层如何确保定期及在技术部分发生变化时对安全政策和程序进行更新?
5.管理层如何对IT和业务用户定期培训有关安全责任及相关的政策和程序?
安全管理
安全管理活动应当确保只有经过授权的人员才有权访问应用程序、数据和操作系统,他们的访问权限与其工作职责和管理层的控制目标相匹配。
考虑以下内容:
1.访问权限是否由适当级别的IT和经营单位管理层定义和建立,以实现相关的控制目标,包括IT和业务流程中的职责分离?
2.管理层如何设计安全管理控制,以确保只有经过适当管理人员的批准才能根据需要授予、变更和取消访问权限?
3.安全管理功能如何协助经营单位管理层进行用户权限的定期复核,以确保经过一段时间后访问权限依旧保持与工作职责相匹配?
4.管理层如何定义业务流程中的职责分离目标并将其与访问权限的批准和定期复核相结合?
数据安全
数据安全控制应当确保对数据的直接访问仅限于经过适当授权的人员,监督对数据的访问以防止潜在的XX的访问。
考虑以下内容:
1.管理层如何确保在设计安全管理和安全监督控制时定义和考虑了所有直接的数据访问方法(即从应用程序之外进行访问)?
考虑:
-可用于修改数据文件或数据库信息的操作系统命令
-可用于修改数据但不会显示在清单中的操作系统管理员、数据库管理员以及其他超级用户名
-识别有权访问特定数据文件或数据库的用户,
-可用于授权访问特定数据文件或数据库的操作系统和数据库安全管理性能,
-可用于在应用系统外修改数据的报告书写器和其他有用程序?
2.管理层如何确保将数据环境与以下适当的权限限制进行配置:
-有重要财务影响的应用数据文件和数据库,
-可用于修改数据文件或数据库信息的操作系统命令,
-可用于修改数据但不会显示在清单中的操作系统管理员、数据库管理员以及其他超级用户名
-识别有权访问特定数据文件或数据库的用户,
-可用于授权访问特定数据文件或数据库的操作系统和数据库安全管理性能,
-可用于在应用系统外修改数据的报告书写器和其他有用程序?
3.管理层如何确保对数据访问权限设置(即数据文件许可)的修改在受到控制的情况下完成,包括批准经营单位所有者对数据进行访问?
4.考虑上述识别的访问方法,管理层如何复核对数据的直接访问权限,以确保访问权限与工作职责相匹配?
5.如果使用特别的系统功能来控制对数据的直接访问,那么管理层如何确保对此类功能的使用情况定期进行记录、录入日志和复核?
6.管理层如何监督数据环境以防止潜在的XX的访问活动?
操作系统安全
操作系统安全控制应当确保对操作系统的直接访问仅限于经过适当授权的人员,监督对操作系统的直接访问以防止潜在的XX的访问。
考虑以下内容:
1.管理层如何确保对安全设置的修改得到控制,并与预期设计(即全局安全参数、密码参数、服务的运行等)保持一致?
2.管理层如何定期复核对操作系统的访问权限,以确保安全管理流程按照预期运行,对操作系统的访问权限与工作职责相匹配?
3.管理层如何监督操作系统环境以防止潜在的XX的访问活动?
网络安全
内部和外部网络安全控制可能是必要的,以防止对有重大财务影响的系统进行XX的访问。
取决于对程序和数据访问权限的其他控制的有效性,还可以考虑以下各项:
1.网络设计(例如领域的逻辑分离、信任关系、外部网络连接等)如何确保对有重大财务影响的系统进行适当的保护,以防止XX的访问(例如越过防火墙)?
2.管理层如何确保将验证控制(即密码控制、用户分组、远程访问等)植入网络配置之中?
3.管理层如何确保对内部和外部网络设计作出的所有修改都考虑了适当的安全控制?
4.管理层如何监督和应对内部和外部网络中潜在的安全事项?
实物安全
实物安全控制在某些环境下是必要的,以确保客户的系统免受XX的实物接触。
相关时,考虑管理层如何对向有重大财务影响的系统提供逻辑访问的设施进行实物安全方面的限制。
C0:
Understand,evaluateandvalidate:
computeroperations
计算机运行领域的目标是:
“确保生产系统按照管理层的控制目标完全、正确地运行,运行过程中发现的问题得以完全、正确地解决,以保持财务数据的完整性。
”
对计算机运行这一领域进行了解、评估,如果拟对该领域的控制予以信赖时,验证处理交易和生成财务报表账户余额的系统的计算机运行控制。
在实施计算机运行控制时,客户会采取多种措施。
以下侧重点可能会有助于识别需要评估和验证的控制活动。
仅需考虑与客户财务报告相关的侧重点。
在修订审计程序时,参考记录在信息技术一般控制范围的步骤中关于确定范围的决策。
对计算机运行活动的整体管理
管理层应当建立计算机运行的控制流程并对该流程的有效性进行监督。
考虑以下内容:
1.管理层如何记录和沟通计算机运行的政策和程序?
2.管理层如何记录和沟通计算机运行中的角色和职责分工?
3.管理层如何组织计算机运行的功能以确保职责分离?
4.管理层如何确保计算机运行人员具有履行职责的必要技能?
5.管理层如何监督计算机运行环境以确保识别和解决潜在的运行问题?
批量计划和运行
批量计划和运行控制应当确保已获授权的生产任务得到适当的安排和监督,出现的异常情况得以完全、准确地解决,以帮助实现管理层的应用控制目标。
考虑以下内容:
1.管理层如何确保对工作进度表的添加、更改和删除都经过及时授权和完成?
2.管理层如何确保将批量进度表中的所有工作的依存关系和重新启动/恢复过程记录下来?
3.管理层如何监督对工作的处理流程,以确保其按照批准的工作进度表运行?
4.管理层如何确保只有经过授权的人员有权限使用工作进度表的工具?
实时处理
实时处理控制应当确保交易数据的连续传输和记录完整、准确,以支持管理层实现应用控制的目标。
考虑以下内容:
1.管理层如何确保对实时处理组件(适用时,包括中间件)的配置作出的更改都经过授权并及时完成?
2.管理层如何确保及时发现和解决实时处理出现的故障?
3.管理层如何确保只有经过授权的人员有权限设置用于辅助实时处理的技术组件?
备份和问题管理
备份和恢复控制应当明确界定对备份的要求,从而确保随时可以使用需要的数据,及时发现需要解决的问题,以及对这些问题的恢复得以完全、准确地执行。
考虑以下内容:
1.管理层如何确保对数据备份的内容和频率的要求与经营目标一致?
2.管理层如何确保备份介质在出现紧急情况时的可用性(即介质的外部轮换)?
3.管理层如何确保在需要时能够按照预期从备份介质恢复数据?
4.管理层如何确保及时发现所有重大的运行失误并使之得以完全、准确地解决?
灾难恢复
灾难恢复控制是重要的运行控制,以帮助确保客户在发生灾难时能够继续开展业务。
如果由于所在管辖地监管的要求和/或对持续经营产生重大影响,需要考虑与客户相关的灾难恢复时,才需评估和验证灾难恢复控制。
识别与客户目标有关的灾难恢复活动。
在识别需要评估和验证的灾难恢复活动时,可考虑以下侧重点:
1.管理层如何确保适当减轻所有重要的计算机所在地的环境风险(即火、烟、水、电、温度、湿度等)?
2.管理层如何使用业务影响分析或类似的风险评估手段,确保对所有重要的应用软件和相应的技术组件制定了相应的灾难恢复计划及进行了相关测试?
3.管理层如何确保定期对计划进行测试和更新?
升级会员 