还剩5页未读,继续阅读
文本内容:
利安达会计师事务所有限责任公司信息系统评估被审计单位索引号C0901页次编制人日期财务报表截止日/期间复核人日期
1.了解客户的信息系统/信息技术环境-取得背景信息重要的信息技术联络人姓名职位职责客户的信息处理系统和相关的支持活动的管理模式管理模式是否描述集中式管理分散式管理使用程度-主要财务系统应用项目系统的提供者供应商/内部设计/终端用户系统平台运行系统及数据库任何短期内的修改财务分类账采购订单处理流程销售订单处理流程存货工资固定资产其它(请列明)【注:供应商可为Oracle,Sage,SAP等等内部设计指客户雇用程序设计师并且“拥有”系统的原始代码终端用户所__的系统为非信息技术人士所设计(例如财务部门__自己的__数据库)系统平台被普遍使用的操作系统包括Unix、Windows、VMS等等被普遍使用的数据库包括Oracle、SQL“短期”的定义为在该会计年度期间之内】客户的信息技术部门是否以规范(受控制)的方式运作?政策/程序是否为现行的、且得到管理阶层批准的以及适当传播的?需要副本?信息系统/信息技术风险记录信息系统/信息技术策略是信息系统/信息技术安全政策是合理的____/网络的使用政策信息技术采购系统发展/实施客户端计算机使用需求运行程序设备管理程序企业持续经营计划信息技术灾难复原计划【注项目事务所至少应取得信息系统/信息技术策略及信息系统/信息技术安全政策的复印件,以了解客户明年的计划如欠缺以上两项政策的复印件,则应针对此提供有关建议】
2.评估信息系统环境的复杂性问题非复杂1分复杂4分评分(1–4分)信息技术部门是否有许多信息技术人员执行技术性任务,以致财务应用程序或其数据的完整性可能受到影响?【注右栏的“支持”仅包含基本的行政责任,如增加及移除使用者,但不包括技术上诸如更改数据库的数据的类似任务】【信息技术部门拥有少于四位员工支持第三者的应用程序及计算机】【信息技术部门的规模较大(或具有签定设备管理合约设备)并且具备支持内部设计应用程序的发展能力】系统整合各财务应用程序是否得到整合或集中?【注已整合的系统通常为现成的软件包,如CFACS或SunaccountsERP系统(例如SAP及Oracle)容许大量的系统更改,并被视为复杂】【具有涵括整个关键财务流程的财会程序(例如采购、销售、存货及工资)】【透过五个或以上的__交易系统取得财务数据(系统可能分布于不同地点或包括客户端所__的数据库及表格程序)】交易处理财务应用程序开始及核准交易至什么程度?【注租金计算可作为自动开始及核准的例子】【所有交易要求人工核准】【交易的开始并不需要人工授权】系统存取财务应用程序的存取(或潜在存取)途径增加未经授权的存取风险有多少数目的计算机/终端机有可能进入拥有财务应用程序的计算机系统?【注”潜在”意指非财务用户可经由直接/间接的方式存取财会主机的数据】【财务系统拥有其__网络,或整个系统不允许远程访问及连接少于50部计算机】【系统在主要业务网络的上并连接广大地区的远程用户,例如通过互联网【特别__出现特别的信息系统/信息技术的__,如:系统的修改或重要信息技术人员的更换;系统操作失败,而并没有立刻恢复发现舞弊或黑客入侵【该年并没有发生严重__】【发生对系统完整性有重要影响的__】总分【在此部份,财务应用程序包括所有用作取得财务信息的企业应用程序(并不仅限于分类账)】
3.评估信息系统对业务的重要性对业务的重要性非常重要重要不重要请描述如果计算机系统不能运行而给业务造成的中断程度如果没有计算机公司能合理地运营多久?请说明如果系统处理发生____会有哪些短期和__的影响?错误的发现需要多久?以及该错误将如何影响业务?为了及时和准确地处理业务,业务对计算机的依赖程度如何?每天所做的决策是否基于计算机系统的数据?
4.评估信息系统/信息技术风险对事务所审计风险的影响风险–不良的信息系统/信息技术行政管理会降低信息技术部门执行其职责的能力增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注在第一栏填上增加此风险的可能性或影响此风险的事项可能包含的例子如下-__的规模-监管措施,如侵略性风险管理程序在第二栏填上客户为管理或降低风险所做的事项可能包含的例子如下-连接资深管理阶层/行政人员/董事会的信息技术部门报告专线-管理此业务的专业机构(例指导委员会)-信息技术部门内的分工(例信息技术人士为“正常业务程序”的一部份)-根据业务需求而配备信息技术员工在第三栏描述取得此信息的途径例子如下-与信息技术管理阶层的讨论在第四栏做出判断负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司造成的伤害可能并不亚于不足的控制】风险-系统的完整性可因更改而受破坏增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注在第一栏填上增加此风险的可能性或影响此风险的事项例子如下-系统更改的次数-信息技术__小组的规模-内部信息技术发达程度与对外界厂商的依赖程度的比较在第二栏填上客户为管理或减低风险所做的事项例子如下-管理层/指导委员会批准及优先处理的系统重要更改-使用明确的计划管理方法(例PRIN__2)做出更改-已建立正式的程序/数据更改的控制程序,以避免出现未经批准的临时更改-与外界厂商签订转移风险或指明对数据/系统有限度存取的合约在第三栏描述取得此资料的途径例子如下-与信息技术管理层的讨论在第四栏做出判断负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司的伤害可能并不亚于不足的控制】风险-不适当的服务提供方式因而增加失败的风险增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注在第一栏填上增加此风险的可能性或影响此风险的事项例子如下-信息系统/系统支持的复杂程度-系统对企业营运的重要性-客户迅速发现错误的能力在第二栏填上客户为管理或减低风险所做的事项例子如下-明确订立及遵循正式准则、政策及程序-对活动做出监督-并非仅依赖一名重要工作人员的知识在第三栏描述取得此资料的途径例子如下-与信息系统管理层的讨论在第四栏做出判断负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司的伤害可能并不亚于不足的控制】风险-存取控制不能防止对财务数据不适当的存取增加风险的因素减低风险的控制证明控制营运已完成工作控制设计及营运是否与风险密切配合?【注:在第一栏填上增加此风险的可能性或影响此风险的事项例子如下-被授权的(财务)使用者的规模及地点-网络的规模(使用网络的总人数)-产业(例金融机构为较高风险的产业)在第二栏填上客户为管理及减低风险所做的事项例子如下-财务服务器硬件被妥善保管-系统拥有良好质量的__控制,以减低未经授权的存取风险-系统记录各使用者的行动-网络架构的设计明确的限制非财会人员存取财务系统在第三栏描述取得此资料的途径例子如下-与信息技术管理层的讨论在第四栏做出判断负面因素与正面因素是否平衡?风险是否迟早会发生?公司是否控制过度?风险过度的控制对公司的伤害可能并不亚于不足的控制】
5.结论复杂程度将第二部分的分数加起来总分超过10分,被视为“复杂”信息系统环境是否“复杂”(是或否)?___________使用程度根据第一部分被审计单位对信息系统的的使用范围,对被审计单位信息系统的使用程度进行评价被审计单位信息系统的使用属于”广泛”、”一般”、”局限”?___________对业务的重要性根据第三部分信息系统对业务的影响程度,对被审计单位信息系统对被审计单位业务的影响程度进行评价信息系统对被审计单位业务的影响是”非常重要”、”重要”、”不重要”?___________被审计单位使用计算机的整体分类评价基于上述的了解及评价,对被审计单位使用计算机的整体分类评价为:描述高度计算机化中度计算机化轻度计算机化审计风险将第四部分的结论列在下面的表格风险范围控制是否令人满意?(是/否)如答案为“否”,事务所应采取什么行动?*不良的信息系统/信息技术行政管理会减低信息技术部门执行其职责的能力系统的完整性可因更改而受破坏非正式的提供服务方式增加失败的风险存取控制不能防止对财务数据不适当的存取根据你的判断,客户的信息系统控制是否不足,以致存在对事务所发表审计意见可能带来负面影响的重大风险?是/否?___________*行动可包括提出改善或建议信息系统审计团队成员与客户讨论有关问题【填表指引在填写本表格时﹐我们应当记录所获取的信息和审计证据的来源本表格是对被审计单位计算机的使用程度、复杂程度及对业务的重要性进行了解及评估进而对被审计单位使用计算机的整体情况进行分类被审计单位使用计算机情况的整体分类为:高度计算机化—广泛使用计算机,计算机环境复杂,且计算机系统对业务非常重要如果被审计单位使用企业资源策划(ERP)系统,如SAP、PeopleSoft或OracleFinancials,或者被审计单位拥有数据库技术(SQL、Oracle等),那么这样的被审计单位通常都属于高度计算机化客户高度计算机化客户依赖于计算机进行日常运营他们通常拥有一个或多于一个的网络和/或计算机环境他们的交易量较大且依赖计算机进行大多数决策中度计算机化—使用计算机程度低于“高度”,但高于“轻度”中度计算机化被审计单位往往有—到两种复杂的计算机系统,这—到两种系统被广泛地使用而且对业务是重要的,但就整体而言,被审计单位使用计算机的程度尚不足以归类为“高度”如果被审计单位使用局域网(LAN)或互联网接入,则通常表明该客户是中度计算机化客户如果应用程序是集成化的,或使用自动接口程序,那么这个计算机环境通常至少是“中度”的使用简单的总分类账模块但依赖计算机进行库存管理或销售和订单管理的用户通常也属于中度计算机化如果被审计单位在多个地点使用各自的系统,也属于中度计算机化轻度计算机化—使用计算机的范围局限于处理一些对业务不是十分重要且比较简单的工作如果被审计单位只有一个相对简单的计算机应用程序(如,工资和总分类账)并且不应用于日常运营,那么就将被审计单位归为此类只有3到4人使用计算机系统或大多数工作由手工完成的客户也划归为轻度计算机化对于被分类为高度计算机化的被审计单位需要由信息系统审计团队进行专项的计算机审计;对于被分类为中度计算机化的被审计单位需要与信息系统审计团队讨论是否需要进行计算机系统的专项审计;对于被分类为轻度计算机化的被审计单位亦需记录对被审计单位信息系统的了解及评价】PAGE1。