《上市公司审计工作底稿模版之信息系统控制测试--对信息系统一般控制的了解和测试.xls》由会员分享,可在线阅读,更多相关《上市公司审计工作底稿模版之信息系统控制测试--对信息系统一般控制的了解和测试.xls(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、底底稿稿目目录录序序号号表表页页名名称称索索引引号号上上级级表表页页名名业业务务负负责责人人类类别别1与信息技术控制环境相关的控制NK-CC-2-001项目负责人2与程序开发相关的控制NK-CC-2-002项目负责人3与程序变更相关的控制NK-CC-2-003项目负责人4与程序和数据访问相关的控制NK-CC-2-004项目负责人5与计算机操作有关的控制NK-CC-2-005项目负责人6示例(以供参考)NK-CC-2项目负责人业业务务执执行行人人姓姓名名与与信信息息技技术术控控制制环环境境相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-001报表截止日:复核:日期:项目:-与
2、信息技术控制环境相关的控制控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述与与信信息息技技术术控控制制环环境境相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-001报表截止日:复核:日期:项目:-与信息技术控制环境相关的控制与与程程序序开开发发相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-002报表截止日:复核:日期:项目:-与程序开发相关的控制控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述与与程程序序开开发发相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-002报表截止日:复核:日期:项目:-与程
3、序开发相关的控制与与程程序序变变更更相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-003报表截止日:复核:日期:项目:-与程序变更相关的控制控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述与与程程序序变变更更相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-003报表截止日:复核:日期:项目:-与程序变更相关的控制与与程程序序和和数数据据访访问问相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-004报表截止日:复核:日期:项目:-与程序和数据访问相关的控制控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述
4、与与程程序序和和数数据据访访问问相相关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-004报表截止日:复核:日期:项目:-与程序和数据访问相关的控制与与计计算算机机操操作作有有关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-005报表截止日:复核:日期:项目:-与计算机操作有关的控制控制编号控制目标控制描述测试程序测试内容测试结论外部文档例外描述与与计计算算机机操操作作有有关关的的控控制制被审计单位:编制:日期:索引号:NK-CC-2-005报表截止日:复核:日期:项目:-与计算机操作有关的控制对对信信息息系系统统一一般般控控制制的的了了解解和和测测试试工工作作
5、底底稿稿示示例例 以下以一家 A 股上市的大型企业为例,针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明,并未列示项目组所有应当考虑的控制,所列示的控制也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试(本例中样本规模的选取方法仅作参考)。控控制制编编号号控控制制目目标标控控制制描描述述测测试试程程序序一一、与与信信息息技技术术控控制制环环境境相相关关的的控控制制CE1权限管理建立和实施权限管理,确保系统内权限的分配是适当的。建立和实施权限管理,确保系统内权限的分配是适当的。1访谈了解账号及权限
6、管理机制:(1)是否制定了正式的账号及权限管理制度,对账号及权限的日常变动、账号及权限的定期审阅管理进行正式规定;(2)访谈了解内审部门是否对账号及权限进行适当监控。2获取账号及权限管理制度,检查制度设计的有效性。CE2IT系统管理制度建立和适当实施IT系统管理制度。1访谈了解IT系统管理制度(1)客户是否建立正式的IT系统管理制度,包括是否得以执行;(2)内审部门是否参与了IT系统管理办法的制定过程。2获取IT系统管理制度,检查制度设计的有效性。CE3备份管理建立和实施备份管理,确保生产系统数据的可用性。访谈了解客户的备份管理机制,包括:(1)备份:总部集中执行备份还是下属单位分别执行备份;
7、(2)备份检查:总部单位集中检查备份结果还是下属单位分别检查备份结果。二二、与与程程序序开开发发相相关关的的控控制制PD1系统测试单元、系统和用户测试应执行,并且用户接受性测试应在系统移植前签署。开发和用户接受性测试应有单独的环境,并且程序师开发人员不应有权限进入用户接受性测试环境。1询问确认新系统移植到实用环境前存在业务所有者用户适当的授权(签署等)。2检查以下文档:(1)测试计划和结果;(2)用户接受性测试签署表(现场核实有3个分离的环境:生产、测试、开发),如果可能取得截屏。3重新测试:(1)记账(过账);(2)开账、结账;查询系统安全审计日志,确认系统日志是否存在“取消记账”、“重新打
8、开”等操作。PD2上线程序控制系统上线的决定应该经过项目发起人所有者及信息部门管理层的批准,该批准从业务和信息技术方面、基于质量审计检查。1询问确认存在系统移植到实用环境的适当批准程序。2检查上线批准表。PD3数据转换控制执行数据转换确保生产数据的完整性、准确性和可靠性。1询问确认存在数据转换的控制程序,确认完整性和可靠性的目标实现。2获取并检查数据转换报告。三三、与与程程序序变变更更相相关关的的控控制制测测试试和和质质量量保保证证PC1变更测试建立测试环境,测试环境应与实用环境相隔离。1访谈了解变更测试流程,以及测试环境和实用环境隔离的情况。2实地观察测试环境和实用环境隔离情况。PC2变更测
9、试根据实际需要进行适当的系统变更测试,确保变更后系统功能,且不影响生产系统的运行。1访谈了解是否存在用户接受测试,测试结果有没有记录。2检查测试文档,有没有用户接受测试的结果确认。关关于于迁迁移移到到实实用用环环境境的的授授权权PC3变更上线测试通过后的变更需经过有效审批才能执行上线,执行人员必须得到授权,应该制定相应的上线退回机制,对于多级系统,同时更新服务器端和所有的客户端。1访谈了解变更上线流程,确定相关审批人员和上线人员,以及服务器端与客户端同步更新情况。2检查上线审批文档,是否所有的变更上线都经过有效审批。关关于于迁迁移移到到生生产产环环境境的的授授权权PC4变更上线变更程序正式发布
10、之后,相关单位及时完整地执行了正式发布的变更程序。1访谈变更程序执行的流程,确定相关单位是否及时完整地执行了正式发布的变更程序。2获取系统变更日志,检查是否存在未执行的变更程序。3获取系统变更日志,检查相关单位是否在变更发布日之后的3日内实施了系统变更。四四、与与程程序序和和数数据据访访问问相相关关的的控控制制安安全全组组织织和和管管理理APD1信息安全人员管理信息安全相关技术人员和业务人员的职责明确定义,技能要求满足工作需要,并且满足职责分离的要求,对于敏感职位人员,制定了特定的人事政策和流程。1访谈确定信息安全相关技术人员和业务人员。2检查相关人员的岗位职责说明书,是否明确定义了岗位职责以
11、及岗位要求,是否满足职责分离的要求。应应用用安安全全管管理理APD2用户账号及权限申请应用系统的账号及权限的申请需要经过有效的审批或授权,审批时应对照实际业务进行检查,确保用户权限符合业务需要和职责分离要求。1访谈了解是否存在正式的应用系统层面用户账号及权限管理的流程。2检查账号及权限新增变更删除的适当性:(1)获取账号及权限变更日志,了解被更新的账号,并以账号更新次数为样本总体;(2)适当抽取样本,并获取相应的权限申请单,检查是否经过有效审批。3检查系统中用户的实际权限,查看是否与申请单中一致;检查系统中账号及权限维护的时间是否与申请表单一致。4询问样本账号涉及部门及人力资源负责人,了解系统
12、中账号及权限维护的时间是否与实际情况一致。APD3用户账号及权限检查管理层或系统所有者定期审阅与财务报告有关的应用系统权限以确定授予权限的适当性。1访谈了解管理层或系统所有者是否定期审阅财务系统用户和权限。2获取权限检查单,检查是否存在管理层和系统所有者对权限检查结果的确认。3导出应用系统权限清单,并从人力资源部门获取财务人员名单,重新执行检查,确认账号及权限适当性:(1)从应用系统权限清单出发,检查清单中的人员是否均包含在人力资源部门提供的财务人员名单之中,确保应用系统中是否存在冗余账号及测试时点系统账号的适当性;(2)以财务人员系统账号为样本总体,适当抽取样本,比照岗位说明书检查系统权限与
13、岗位职责是否一致。(3)应用系统管理员是否拥有财务操作权限,普通用户是否拥有应用系统管理员权限;4导出应用系统权限清单,以财务人员系统账号为样本总体,适当抽取样本重新执行检查,确认不相容岗位职责是否分离(不相容职责),具体需要检查的不相容职责包括:(1)应用系统管理员是否拥有财务操作权限,普通用户是否拥有应用系统管理员权限;(2)应用系统管理员是否同时拥有操作系统管理权限(或了解“操作系统管理员账号”的登陆密码);(3)应用系统管理员是否同时拥有数据库管理权限(或了解“数据库管理员账号”的登陆密码);(4)账套设立和财务操作是否分离;(5)固定资产基础数据维护和固定资产卡片管理权限是否分离;(
14、6)凭证录入与审核是否分离;(7)出纳和会计权限是否分离。数数据据安安全全APD4数据访问管理层实施了数据直接访问的正式流程。1访谈了解是否存在数据直接访问的正式流程以及是否发生数据访问。2获取数据直接访问的相关文档,检查是否与流程要求相符。APD5用户账号及权限检查管理层或系统所有者定期审阅财务系统相关的数据库用户及权限以确定授予权限的适当性。1访谈了解管理层或系统所有者是否定期审阅财务系统相关的数据库用户和权限。2获取权限检查单,检查是否存在管理层和系统所有者对于权限检查结果的确认。3检查数据库中用户及权限的适当性。操操作作系系统统安安全全APD6用户账号及权限检查用户账号及权限检查管理层
15、或系统所有者定期审阅财务系统相关的操作系统权限以确定授予权限的适当性。1访谈了解管理层或系统所有者是否定期审阅财务系统相关的操作系统权限。2获取权限检查单,检查是否存在管理层或系统所有者对于权限检查结果的确认。3检查操作系统中用户及权限的适当性。密密码码安安全全APD7密码安全制定正式的操作系统、数据库及应用系统密码配置来确保系统安全。1访谈了解操作系统、数据库及应用系统密码策略。2获取操作系统、数据库及应用系统密码设置策略检查其是否按照要求执行。具体检查内容包括:(1)密码长度;(2)密码复杂度;(3)密码过期设置。五五、与与计计算算机机操操作作有有关关的的控控制制备备份份管管理理CO1备份
16、策略制定和更新制定适当的备份策略,以保证所需要的数据、交易及流程能在意外情况下得到恢复,备份策略随着业务需要进行更新1访谈了解是否存在正式的备份策略,以及备份策略更新的流程。2获取备份策略,检查是否随业务需要进行更新,是否满足业务需要。CO2备份状态检查指定专门人员对备份结果进行检查,确保备份有效,检查结果进行记录。管理层定期察看备份检查结果。1访谈了解相关制度中是否对备份结果检查及记录、异地备份及备份恢复测试等内容进行正式规范。2访谈了解备份状态检查情况以及管理层是否定期察看备份检查结果。3获取备份结果检查记录,检查是否按照备份频率记录了备份结果,是否存在管理层的检查记录。4获取备份日志,检
17、查备份日志是否提示备份成功;适当检查相关路径下的备份数据,确保备份结果成功。5检查是否存在异地备份。6检查是否定期执行备份恢复测试并留有相关报告。测测试试内内容容测测试试结结论论外外部部文文档档1日,通过询问单位财务部应用系统管理员,我们了解到:(1)单位正式下发了会计核算单位及用户管理细则;(2)单位系统管理员负责总部的账号权限的新增、变更和删除操作及管理;(3)单位内审部对账号及权限进行审阅及监控。2我们获取了会计核算单位及用户管理细则,检查发现:(1)针对账号及权限的日常增删改管理,制度规定:“各单位对财务信息化各系统普通用户、访问权限的增加、变更以及注销进行审批。财务信息化各系统应用系
18、统管理员应根据审批通过的用户权限申请(变更、注销)表对用户和权限参数进行设置,并通知申请人员签收。”(2)针对账号及权限的定期审阅,制度规定:“财务信息化各系统的用户权限设置和对数据资源访问情况应至少每半年进行一次检查,发现问题及时处理。”未发现异常制度设计有效性:未发现异常会计核算单位及用户管理细则1日,通过询问单位财务部应用系统管理员,我们了解到:(1)单位统一制定了IT管理制度,包括单位财务信息化管理办法、财务信息系统软件管理细则、会计核算单位及用户管理细则、财务信息系统运营维护管理细则和财务信息系统安全管理细则,在制度中对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统
19、安全、病毒防范管理以及密码的管理都作出了详细的规定;(2)IT管理制度由起草,经逐级审批通过后执行。单位的内审部门参与IT系统管理制度的制定过程。2我们获取了单位财务信息化管理办法、财务信息系统软件管理细则、会计核算单位及用户管理细则、财务信息系统运营维护管理细则和财务信息系统安全管理细则,检查发现制度对财务系统的设备安全、网络安全、操作系统安全、数据库安全、应用系统安全、病毒防范管理以及密码的管理都作出了详细的规定。未发现异常单位财务信息化管理办法财务信息系统软件管理细则会计核算单位及用户管理细则财务信息系统运营维护管理细则财务信息系统安全管理细则日,通过询问单位信息中心OS&DB管理员,我
20、们了解到:单位的服务器的备份操作均由总部统一执行,备份结果由总部统一检查。关于备份执行有效性,参见对备份策略、备份结果检查的执行有效性的测试结果。参见参见日,通过询问单位财务部应用系统管理员,我们了解到系统于年X月日完成系统上线验收,年总部依赖系统出具了年度财务报告。年总部未发生系统开发活动。该控制在年审计工作中不适用。无样本无样本不适用日,通过询问单位财务部应用系统管理员,我们了解到系统于年月日完成系统上线验收,年公司依赖系统出具了年度财务报告。年总部未发生系统开发活动。该控制在年审计工作中不适用。无样本无样本不适用日,通过询问单位财务部应用系统管理员,我们了解到系统于年月日完成系统上线验收
21、,年公司依赖系统出具了年度财务报告。年总部未发生系统开发活动。该控制在年审计工作中不适用。无样本无样本不适用对对信信息息系系统统一一般般控控制制的的了了解解和和测测试试工工作作底底稿稿示示例例 以下以一家 A 股上市的大型企业为例,针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明,并未列示项目组所有应当考虑的控制,所列示的控制也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试(本例中样本规模的选取方法仅作参考)。1日,通过询问单位财务部应用系统管理员,我们了解到单位财务信息化软件管理细则规定:“
22、需求变更的补丁或版本更新需在测试环境中经过测试小组测试并做好测试记录。”单位建立了独立的测试环境,在测试环境对升级补丁测试通过后才会移植到实用环境中。2我们实地观察了测试环境服务器为IP:,实用环境服务器为IP:,且存在于不同的物理机器上。测试环境与实用环境是物理隔离的。未发现异常未发现异常测试环境和实用环境分别截屏1日,通过询问单位财务部应用系统管理员,我们了解到系统维护工程师在收到单位提交的变更需求汇总之后,进行需求开发。完成后由应用系统管理员对需求解决情况进行评价。评价通过后,由提出需求单位的财务人员在测试环境中进行测试,但未形成书面确认记录。2我们获取并检查了系统补丁管理工具中的已安装
23、补丁列表,发现年系统共安装升级补丁个,抽取了45次升级补丁作为样本,并对用户接受测试记录进行检查。发现异常发现异常系统升级补丁列表1日,通过询问单位财务部应用系统管理员,我们了解到单位财务信息化软件管理细则第五章规定:“软件系统上线前必须由项目负责人填写系统上线审批表,由财务及信息部门负责人审批确认。”实际执行中,在对升级补丁进行评价并完成用户接受性测试后,正式发布系统升级补丁。2年系统共安装升级补丁 个,抽取了45次升级补丁作为样本,并对上线审批文档进行检查。经与 确认,有两个功能需求变更,补丁上线前未经过相关负责人的审批。发现异常发现异常系统升级补丁列表1日,通过询问单位财务部应用系统管理
24、员,我们了解到由于安装升级补丁需要暂停服务器,所以都选择在财务操作较少的月份进行补丁升级,避免影响正常的财务业务操作。由此导致系统变更升级有时不够及时。2年总部系统共安装升级补丁个,抽取了45次升级补丁作为样本,对其发布日期及应用升级时间进行检查,发现均未在补丁发布后3日内及时安装。发现异常发现异常年系统待升级补丁列表日,通过询问单位财务部应用系统管理员、信息中心系统管理员及数据库管理员,我们了解到财务部制定了会计核算单位及用户管理细则,其中对应用系统管理员的岗位职责进行了规定;信息中心制定了信息中心岗位职责分工,其中对日常维护流程中涉及的信息安全方面的岗位及其职责作出规定。日常工作中,系统应
25、用系统管理员由财务部担任,操作系统管理员由信息中心担任,数据库管理员由信息中心担任,符合职责分离要求。通过询问,我们了解到其清楚自己的岗位职责,且清楚财务系统安全相关的基本要求,如密码应超过8位,并应由数字和字母组成等。我们获取并检查了会计核算单位及用户管理细则,发现其中规定应用系统管理员的职责包括:“依照审批后的用户权限申请表进行财务信息化系统用户权限管理;负责财务信息化系统的更新管理工作,妥善保管各版本软件产品;每月至少对财务信息化系统日志及权限检查一次,及时采取相应的措施解决发现的异常情况。”我们获取并检查了信息中心岗位职责分工,确认其中对系统管理员、数据库管理员、安全管理员等岗位及其工
26、作内容进行了说明。未发现异常未发现异常信息中心岗位职责分工会计核算单位及用户管理细则日,通过询问单位财务部应用系统管理员,我们了解到单位制定了会计核算单位及用户管理细则,其中对应用系统层面用户账号和权限管理流程进行了规定。日常操作中,应用系统层面的用户新增、删除和权限变更需填写用户权限申请表,注明用户名、申请内容等,并经过财务处处长签字确认后,由应用系统管理员进行系统中的账号和权限分配。我们获取并检查了年1月1日至本审计时点的应用系统日志,统计发现年度共发生用户新增次、权限变更次、删除次,共计次,需抽取份用户权限申请表进行检查。发现异常发现异常会计核算单位及用户管理细则应用系统日志应用系统用户
27、权限申请表日,通过询问单位财务部应用系统管理员,我们了解到会计核算单位及用户管理细则第四章中对用户账号及权限的定期审阅进行了规定,包括要求“应用系统管理员每月至少对财务信息化系统日志及权限检查一次,及时采取相应的措施解决发现的异常情况。”但目前财务部管理层和系统管理员均未定期审阅财务系统用户和权限。我们检查了系统的权限设置,发现其分为用户、岗位与职责三个层次,每个用户对应不同的岗位,每个岗位分配一定的职责,以保证每个用户根据其任职单位级别和个人岗位职责在系统中分配合理的权限。具体抽样结果请参见明细表。系统存在系统自动控制,不允许制单人与审核人为同一人,凭证均由独立人员进行复核。财务部在过账前会
28、复核交易流水账等原始凭证,并与会计凭证进行核对,从而可及时发现未授权的数据修改。具体外部文件请参见:用户岗位职责及账号权限截屏发现异常发现异常用户岗位职责及账号权限截屏财务处人员清单及新增、转岗、离职说明冗余账号的凭证制单和审核记录日,通过询问单位信息中心数据库管理员,我们了解到单位日常不允许进行数据库直接访问操作。不适用不适用不适用日,通过询问单位信息中心数据库管理员,我们了解到财务信息系统安全管理细则中第二十条规定:“定期进行数据库系统日志和权限检查,填写数据库日志和权限例行检查表。”在每周的系统巡检中对财务系统使用的数据库用户账号进行检查,若发现问题在巡检记录中予以登记,没有问题则不登记
29、。2010年未发现数据库系统用户账号问题,因此未形成数据库系统用户账号检查的书面记录。目前系统使用的数据库版本为,我们获取并检查了数据库用户账号列表,发现目前数据库中共有个用户账号,其中:(1)系统自带管理账号共2个,分别为SYS、SYSTEM,由数据库管理员日常运营维护使用;(2)应用程序连接账号为软件连接使用。经检查发现不存在异常或冗余账号。具体情况请参见:数据库用户账号列表截屏发现异常发现异常数据库用户账号列表截屏日,通过询问单位信息中心操作系统管理员,我们了解到财务信息系统安全管理细则中第十八条规定:“定期进行操作系统日志和权限检查,填写操作系统日志和权限例行检查表。”日常工作中,在每
30、周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查,若发现问题则在巡检记录中予以登记,没有问题则不登记。年未发现操作系统用户账号问题,因此未形成操作系统用户账号检查的书面记录。具体情况请参见:操作系统用户账号列表截屏发现异常发现异常操作系统用户账号列表拷屏日,通过询问单位财务部应用系统管理员、信息中心操作系统管理员及数据库管理员,我们了解到:1单位制定了财务信息系统安全管理细则,其中对系统密码进行规定,包括:所有系统的特权账号密码至少一个季度更改一次;所有的用户级密码至少六个月更改一次;密码长度应该至少不低于八位字符且使用不易被猜测的密码;2应用系统功能无法实现对密码进行统一管理和
31、配置;数据库未进行密码配置;操作系统未对密码的长度、复杂度等参数进行合理配置。我们检查应用系统、操作系统及数据库的密码设置,发现:(1)应用系统:密码修改策略中设置为密码永不过期,无定期更换要求。小于6,系统会自动提示“太短”,并不允许通过,即应用系统对密码长度有自动控制,密码长度应大于6位;如果密码组成只包含数字不包含字母,系统会自动提示密码强度为“弱”,但允许通过,即应用系统对密码复杂度只有提醒,未提供自动控制强制密码设置为数字和字母结合等合理的复杂度的功能。具体情况请参见:应用系统密码设置具体情况请参见:数据库系统密码设置我们检查了用户的实际密码设置,发现如果密码长度(2)操作系统:我们
32、获取并检查了操作系统的密码配置,发现操作系统未对密码的长度、复杂度等参数进行合理配置。现场观察了操作系统管理员输入操作系统管理员密码,发现密码长度超过8位,复杂度为数字和字母组合。具体情况请参见:单位_ITGC_APD_8操作系统密码设置发现异常发现异常财务信息系统安全管理细则应用系统密码设置数据库系统密码设置操作系统密码设置1日,通过询问单位信息中心操作系统管理员,我们了解到信息中心岗位职责分工中对数据备份频率进行了规定,要求进行日备份、周备份和月备份。单位使用备份软件对财务数据进行备份,具体备份策略(略)。2我们获取并检查了备份软件中设置的备份计划,确认设置与规定相同。具体情况请参见:备份
33、计划设置未发现异常未发现异常信息中心岗位职责分工备份计划设置1日,通过询问单位信息中心操作系统管理员,我们了解到在每天的系统巡检中会对日周备份日志状态进行检查,并将检查结果登记在单位备份检查记录表中。2我们获取并检查了单位备份检查记录表,发现按照备份频率对备份结果进行了检查,记录了备份日期、备份数据源、备份类型(实例数据库)、备份方式(增量全备)、备份介质、备份数据大小及备份完成情况等。3抽取次备份日志进行检查,发现备份均成功执行。我们检查了保存在异地的备份数据,发现相关文件目录下存在备份生成的备份数据文件。年度未进行备份恢复测试。具体情况请参见:单位备份检查记录表备份日志截屏发现异常发现异常
34、单位备份检查记录表备份日志截屏异地备份数据截屏例例外外描描述述制度设计有效性:不适用不适用参见不适用不适用不适用 以下以一家 A 股上市的大型企业为例,针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明,并未列示项目组所有应当考虑的控制,所列示的控制也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本规模进行测试(本例中样本规模的选取方法仅作参考)。不适用系统安装的升级补丁进行了用户接受性测试,但未形成书面确认记录。系统的升级补丁上线未经过相关负责人的审批。总部未对发布的系统升级补丁进行及时更新(见控制缺陷评价
35、汇总表)。不适用部分用户及权限的新增修改缺少书面的申请审批记录。财务部管理层和系统管理员均未定期审阅财务系统用户和权限。应用系统中存在冗余账号,包括离职人员账号、外部软件工程师账号。应用系统管理员的系统维护权限与财务操作权限未分离。应用系统管理员了解操作系统的管理员账号密码,不符合职责分离要求。不适用在每周的系统巡检中会对财务系统使用的数据库的用户账号进行检则查,但未形成数据库系统用户账号检查的书面记录。在每周的系统巡检中会对财务系统所在服务器的操作系统用户账号进行检查,但未形成操作系统用户账号检查的书面记录。应用系统密码设置为永不过期,无定期更换要求。应用系统对密码复杂度只有提醒,未提供自动控制强制密码设置为数字和字母结合等合理的复杂度的功能。数据库系统的密码仅使用系统默认的无限制设置。操作系统未对密码的长度、复杂度等参数进行合理配置以确保用户按照要求合理制定及定期修改密码。不适用年度未进行备份恢复性测试。