1、1了了解解和和評評價價內內部部控控制制計計算算機機信信息息系系統統被被審審計計單單位位: :索索引引號號：C2001頁頁次次：項項目目：了了解解和和評評價價內內部部控控制制計計算算機機信信息息系系統統編編制制人人：日日期期：財財務務報報表表截截止止日日/ /期期間間: :復復核核人人：日日期期：信信息息技技術術活活動動領領域域控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動控控制制是是否否存存在在( (是是/ /否否) )防防止止和和發發現現舞舞弊弊的的控控制制( (是是/ /否否) )控控制制活活動動對對實實現現控控制制目目標標是是否否有有效效（是是/ /

2、否否）控控制制活活動動是是否否得得到到執執行行（是是/ /否否）是是否否測測試試該該控控制制活活動動運運行行有有效效性性穿穿行行測測試試索索引引號號識識別別的的重重大大錯錯報報風風險險備備注注A A：訪訪問問控控制制與與信信息息安安全全管管理理用用戶戶帳帳號號管管理理為確保用戶賬號的建立、修改、禁用、刪除處理的合理性和及時性，管理層應建立相應授權流程。A1：應用系統帳號及權限的申請、變更及撤銷需要經過有效的審批或授權，審批時應確保用戶權限申請和變更符合職責分離要求。A2：操作系統、數據庫帳號及權限的申請、變更及撤銷需要經過有效的審批或授權，審批時應確保用戶權限申請和變更符合職責分離要求。管管理

3、理層層對對用用戶戶帳帳號號的的審審閱閱管理層應建立一個控制過程來定期審閱及確認訪問權限。對現有資源與已記錄的信息進行定期的比較，以減少錯誤、舞弊、誤用或未授權變更的風險。A3：系統擁有部門每季度審核應用系統的帳號及權限，對發現的問題進行及時跟蹤處理，并在審核記錄中簽字確認。系系統統配配置置（操作系統、數據庫以及防火墻的參數配置）變更管理IT管理層須建立配置基準，而且確保配置更改更改是經過授權的。A4：操作系統管理員、數據庫管理員及網絡管理員應按照總部信息部下發的基準配置方案的要求對服務器操作系統、數據庫及防火墻進行配置，信息安全管理人員每年檢查服務器操作系統、數據庫和防火墻的配置是否符合基準配

4、置方案，對于發現的差異進行記錄，提交信息部門負責人進行審閱，對需要進行整改的差異進行及時整改。在遠程操作方面，采取特定的措施來確保與遠程站點的連接與中斷被定義，并執行。A5：信息部或財務部負責人依據實際業務對遠程訪問權限申請進行審批。信信任任外外方方（第第三三方方）企業應建立對第三方連接及數據交換的管理與控制，確保第三方服務的安全性、準確性、可用性。A6：第三方需要訪問應用系統生產環境時，應填寫用戶帳號及權限申請，說明帳號使用的時間和期限，并得到相關業務部門主管領導的批準。訪問結束或訪問期限到期，應用系統管理員應及時收回相應的訪問權限。2了了解解和和評評價價內內部部控控制制計計算算機機信信息息

5、系系統統被被審審計計單單位位: :索索引引號號：C2001頁頁次次：項項目目：了了解解和和評評價價內內部部控控制制計計算算機機信信息息系系統統編編制制人人：日日期期：財財務務報報表表截截止止日日/ /期期間間: :復復核核人人：日日期期：B B：計計算算機機操操作作建立適當的備份策略，并對備份執行情況進行監控B1：備份管理人員檢查并記錄每次的備份工作是否成功，將備份操作處理情況記錄在系統備份工作匯總表中，對于不成功的情況進行跟蹤和應急處理。C C：程程序序變變更更需需求求管管理理開發需求與公司業務部門需求相一致。C1：變更需求部門申請變更時應提交變更申請，由所在部門負責人和信息部負責人審批后進

6、行實施測測試試進行系統測試和用戶接受測試，確保開發滿足業務需求。C2：變更需求部門負責人（或信息部門負責人）判斷是否需要對變更進行測試，如果需要測試，負責變更測試的人員制定測試計劃并在與生產環境相隔離的測試環境中進行測試，對測試結果進行記錄并由業務部門負責人和信息部負責人審批后簽字確認。了了解解和和評評價價內內部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理被被審審計計單單位位: :索索引引號號： C2002C2002頁頁次次：項項目目：信信息息應應用用系系統統- -訪訪問問控控制制與與信信息息安安全全管管理理編編制制人人：日日期期：財財務務報報表表截截止止日日/ /期期間間: :復復

7、核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述用用戶戶帳帳號號管管理理為確保用戶賬號的建立、修改、禁用、刪除處理的合理性和及時性，管理層應建立相應授權流程。A1：應用系統帳號及權限的申請、變更及撤銷需要經過有效的審批或授權，審批時應確保用戶權限申請和變更符合職責分離要求。1、訪談財務部負責人，了解新中大財務系統用戶帳號管理的流程。2、從人事部獲取在測試期間內入職、調動、離職的與財務系統相關的用戶清單，作為樣本總體。3、根據抽樣原則，隨機抽取XX樣本。檢查樣本對應的記

8、錄，是否經過適當的審批。4、檢查系統應用層面用戶是否都是經過授權，檢查用戶的權限與崗位是否一致。A2：操作系統、數據庫帳號及權限的申請、變更及撤銷需要經過有效的審批或授權，審批時應確保用戶權限申請和變更符合職責分離要求。1、訪談財務部負責人，了解新中大財務系統服務器數據庫和操作系統用戶帳號管理的流程。2、從人事部獲取在測試期間內入職、調動、離職的與財務系統相關的用戶清單，作為樣本總體。3、根據抽樣原則，隨機抽取XX樣本。檢查樣本對應的記錄，是否經過適當的審批。4、檢查數據庫和操作系統層面的用戶，檢查用戶的權限與崗位是否一致。管管理理層層對對用用戶戶帳帳號號的的審審閱閱管理層應建立一個控制過程來

9、定期審閱及確認訪問權限。對現有資源與已記錄的信息進行定期的比較，以減少錯誤、舞弊、誤用或未授權變更的風險。A3：系統擁有部門每季度審核應用系統的帳號及權限，對發現的問題進行及時跟蹤處理，并在審核記錄中簽字確認。1、訪談財務部負責人，了解管理層對應用系統層面帳號及權限審閱的流程。2、重做權限測試，驗證帳戶的權限是否合理分配。了了解解和和評評價價內內部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理被被審審計計單單位位: :索索引引號號： C2002C2002頁頁次次：項項目目：信信息息應應用用系系統統- -訪訪問問控控制制與與信信息息安安全全管管理理編編制制人人：日日期期：財財務務報報表表

10、截截止止日日/ /期期間間: :復復核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述系系統統配配置置（操作系統、數據庫以及防火墻的參數配置）變更管理IT管理層須建立配置基準，而且確保配置更改更改是經過授權的。A4：操作系統管理員、數據庫管理員及網絡管理員應按照總部信息部下發的基準配置方案的要求對服務器操作系統、數據庫及防火墻進行配置，信息安全管理人員每年檢查服務器操作系統、數據庫和防火墻的配置是否符合基準配置方案，對于發現的差異進行記錄，提交信息部門負責人進行審閱，對

11、需要進行整改的差異進行及時整改。1、訪談財務部信息技術負責人了解新中大財務系統的操作系統和數據庫系統參數配置情況。2、檢查新中大財務系統的數據庫和操作系統參數配置是否符合總部下發的基本配置。遠遠程程操操作作在遠程操作方面，采取特定的措施來確保與遠程站點的連接與中斷被定義，并執行。A5：信息部或財務部負責人依據實際業務對遠程訪問權限申請進行審批。1、詢問網絡負責人，了解系統遠程登陸申請的審批流程。2、統計發生的遠程登陸以確定樣本總體，根據抽樣原則隨機抽取XX個樣本，檢查樣本表單是否經過了適當的審批。信信任任外外方方（第第三三方方）企業應建立對第三方連接及數據交換的管理與控制，確保第三方服務的安全

12、性、準確性、可用性。A6：第三方需要訪問應用系統生產環境時，應填寫用戶帳號及權限申請，說明帳號使用的時間和期限，并得到相關業務部門主管領導的批準。訪問結束或訪問期限到期，應用系統管理員應及時收回相應的訪問權限。1、詢問信息部負責人，了解對系統第三方賬號申請的審批流程。2、統計發生的第三方賬號的申請以確定樣本總體，根據抽樣原則隨機抽取XX個樣本，檢查樣本表單是否經過了適當的審批。訪訪問問控控制制與與信信息息安安全全管管理理的的總總體體測測試試結結論論：缺缺陷陷類類型型（設設計計、執執行行）測測試試結結論論了了解解和和評評價價內內部部控控制制訪訪問問控控制制與與信信息息安安全全管管理理缺缺陷陷類類

13、型型（設設計計、執執行行）測測試試結結論論了了解解和和評評價價內內部部控控制制計計算算機機操操作作被被審審計計單單位位: :索索引引號號： C2003C2003頁頁次次：項項目目：信信息息應應用用系系統統計計算算機機操操作作編編制制人人：日日期期：財財務務報報表表截截止止日日/ /期期間間: :復復核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述建立適當的備份策略，并對備份執行情況進行監控B1：備份管理人員檢查并記錄每次的備份工作是否成功，將備份操作處理情況記錄在系統

14、備份工作匯總表中，對于不成功的情況進行跟蹤和應急處理。1、訪談新中大財務系統管理人員，了解系統的備份策略以及備份流程2、檢查新中大財務系統中備份計劃和備份的日志記錄是否與備份策略一致。3、查看管理員是否定期檢查備份結果并記錄了備份情況。計計算算機機操操作作的的總總體體測測試試結結論論：缺缺陷陷類類型型（設設計計、執執行行）測測試試結結論論了了解解和和評評價價內內部部控控制制計計算算機機操操作作了了解解和和評評價價內內部部控控制制程程序序變變更更被被審審計計單單位位: :索索引引號號： C2004C2004頁頁次次：項項目目：信信息息應應用用系系統統程程序序變變更更編編制制人人：日日期期：財財務

15、務報報表表截截止止日日/ /期期間間: :復復核核人人：日日期期：控控制制目目標標常常用用的的控控制制活活動動被被審審計計單單位位的的控控制制活活動動測測試試方方法法測測試試程程序序樣樣本本描描述述控控制制缺缺陷陷描描述述需需求求管管理理開發需求與公司業務部門需求相一致。C1：變更需求部門申請變更時應提交變更申請，由所在部門負責人和信息部負責人審批后進行實施1、訪談項目經理，了解變更需求的審批流程。2、統計測試期間發生的變更以確定樣本總體，根據抽樣原則，抽取XX個樣本，檢查樣本變更需求是否經過了有效審批。測測試試進行系統測試和用戶接受測試，確保開發滿足業務需求。C2：變更需求部門負責人（或信息

16、部門負責人）判斷是否需要對變更進行測試，如果需要測試，負責變更測試的人員制定測試計劃并在與生產環境相隔離的測試環境中進行測試，對測試結果進行記錄并由業務部門負責人和信息部負責人審批后簽字確認。1、訪談項目經理，了解系統變更測試的流程。2、統計測試期間發生的變更以確定樣本總體，根據抽樣原則，抽取XX個樣本，檢查樣本變更的測試是否制定了測試計劃，定義了測試標準，明確了測試步驟。程程序序變變更更的的總總體體測測試試結結論論：缺缺陷陷類類型型（設設計計、執執行行）測測試試結結論論了了解解和和評評價價內內部部控控制制程程序序變變更更測測試試表表單單位位名名稱稱：索索引引號號：C2005頁頁次次：信信息息技技術術活活動動領領域域：編編制制人人：日日期期：關關鍵鍵控控制制活活動動：復復核核人人：日日期期：訪談對象姓名及崗位：期初訪談時間：整改訪談時間：更