信息系统应用控制审计.docx

《信息系统应用控制审计.docx》由会员分享，可在线阅读，更多相关《信息系统应用控制审计.docx（15页珍藏版）》请在第壹文秘上搜索。

1、信息系统应用控制审计应用控制是信息系统为适应各种数据处理的特殊控制要求，保证数据处理的可靠性而建立的内部控制。因此，应用控制的目标是保证信息系统输入、处理和输出数据和记录的完整性和准确性。应用控制涉及到各种类型的业务，每种业务及其数据处理有其特殊流程的要求，这就决定了具体的应用控制的设计需结合具体的业务，但一般都包括了业务流程控制、数据应用控制，以及信息共享和业务协同控制三方面的内容。一、核心业务流程控制审计A业务流程设计审计(-)业务概述业务流程设计，是指组织对其业务流程进行规划与设计，并确保所设计的流程能满足其业务活动需要。而且根据业务需求对业务流程进行了整合、还原或再造，避免重复操作；同

2、时确保关键环节、关键节点和关键岗位落实了授权审批、访问控制及不相容职责分离等必要的安全控制措施。(二)审计目标和内容从有效性和合规性两方面，检查组织是否对业务流程进行梳理、合理规划和设计，从而防范业务流程的操作风险，为实现职责分离提供保证并在业务流程中得以体现，以及系统流程与实际业务需求相吻合，在满足业务处理要求的同时，符合合规监管要求。B.业务流程处理审计(-)业务概述业务流程处理，是指组织系统为确保业务处理的正确性和控制的有效性，在各流程节点的操作上落实组织对业务活动审批及处理的过程要求，并设置相同业务处理自动批量操作，对重要业务流程处理实施有效性控制和完整性校验,同时确保系统接口处理正确

3、、控制有效。(二)审计目标和内容从有效性和完整性两方面，检查组织的主要业务流程可通过信息系统实现。C.业务流程功能审计(-)业务概述业务流程功能，是指组织为满足业务的需要，通过应用系统的功能设计实现业务流程中的要求，比如利息计算、成本核算等。(二)审计目标和内容从有效性和合规性两方面，检查组织的业务流程细化后各功能点是否完备有效，各功能模块是否实现业务流程的子目标，各功能点之间的连续性，对业务处理衔接的通畅性，以及业务流程中各功能的实现过程是否符合国家及行业基本监管规范要求。二、应用系统输入控制审计A.数据录入和导入控制审计(-)业务概述数据录入和导入控制，是指为确保信息系统的数据录入、导入等

4、数据采集功能符合国家、行业或者组织规范标准，数据采集者的身份与权限合理有效所采取的一系列控制措施。(二)审计目标和内容从合规性、安全性、完整性和准确性方面，检查:1 .系统的数据录入、导入接口是否符合国家、行业或组织自身规范，是否制定数据录入、导入的制度规范；是否在系统中建立用户账号和权限管理机制，并根据设定的权限使用数据录入、导入功能，以及监督操作的规范性。2 .系统是否存在未经许可的数据录入、导入接口，以及是否能阻止非授权用户的数据录入和导入操作，同时具备日志记录功能。3 .系统是否具备数据准确性检查功能。B.数据修改和删除控制审计(-)业务概述数据修改和删除控制，是指对系统中的数据修改和

5、删除功能通过授权管理、限制操作等手段，确保其符合国家、行业或组织的相关安全规范，同时，确保数据修改或删除功能符合组织自身的业务管理需要。（二）审计目标和内容该项的审计目标是从合规性、安全性和完整准确性角度，分别检查：1 .系统的数据修改、删除是否符合国家、行业或组织自身规范，是否制定数据修改、删除的制度规范；是否在系统中建立用户账号和权限管理机制，并在用户使用系统时,根据设定的权限使用数据修改、删除功能，以及监督操作的规范性。2 .系统是否存在未经许可的数据修改、删除功能，以及是否能阻止非授权用户的数据修改、删除操作，同时具备日志记录功能。3 .系统是否具备数据准确性检查功能。C.数据校验控制

6、审计（一）业务概述数据校验控制，是指对数据录入、导入接口等数据采集功能进行校验控制，确保其符合国家、行业或组织自身的规定，并且确保系统中校验控制措施的有效性。（二）审计目标和内容从合规性和有效性方面，检查：1 .信息系统的数据录入、导入接口是否设置了数据校验控制，数据校验控制是否符合国家、行业或者单位规范。2 .信息系统数据录入、导入接口的数据校验功能是否能够满足数据校验的要求，数据校验控制是否有效。D.数据入库控制审计(-)业务概述数据入库控制，是指录入、导入接口等采集的数据、缓冲区数据与进入数据库的最终数据保持一致的相关控制O(二)审计目标和内容从合规性和有效性方面，检查：1.组织是否制定

7、数据管理规范，规定数据入库的工作流程和岗位职责，以及数据入库工作是否严格按照规范和制度执行。3 .信息系统功能是否存在数据入库控制，系统的数据入库控制是否有效。E.数据共享与交换控制审计(-)业务概述数据共享与交换控制，是指不同信息系统之间的信息共享与交换需要符合国家、行业及组织的相关质量与安全要求，要确保用户或系统的数据共享与交换的系统账号与权限控制合理，数据共享与交换方法和渠道安全可控。（二）审计目标和内容从合规性、安全性和完整准确性这三方面，检查:1.组织是否在信息系统中建立用户账号与权限管理机制，制定控制数据共享与交换的制度规范；用户在使用系统时，是否按照制度规范操作。4 .系统能否发

8、现并阻止非授权用户使用数据共享功能；是否有日志记录；对信息的传输是否加密，对于敏感数据的共享与交换操作，是否除了信息系统记录日志以外，还有数据控制责任人的监督和确认。5 .系统是否能够保证共享与交换数据的完整性和准确性。F备份与恢复数据接收控制审计（一）业务概述备份与恢复数据接收控制，是指对备份与恢复中的数据接收进行身份与权限控制，确保接收数据与输出数据保持一致。（二）审计目标和内容从合规性、安全性和准确性方面，检查：1.组织是否在信息系统中建立了用户身份与权限体系，是否制定了控制数据备份与恢复数据接收的制度规范；用户在使用系统时，是否按照制度规范操作。6 .系统能否发现并阻止非授权用户使用数

9、据备份与恢复数据接收功能；是否有日志记录；接收数据备份时对数据备份包的有效性是否进行了测试。7 .系统是否能够保证用户通过数据备份与恢复数据接收功能接收的数据的完整、准确、可用。三、应用系统处理控制审计A.数据转换控制审计(-)业务概述数据转换控制，是指对系统采集外部数据和转换过程中的各项操作进行安全控制，使其符合国家、行业或组织的数据转换标准、格式规范及安全保护等方面的要求。(二)审计目标和内容从合规性和完整准确性两方面，检查：1.信息系统的数据转换功能是否符合国家、行业或者单位的数据转换标准和格式规范。2.数据转换是否按照预定的业务逻辑进行，数据转换后结果是否完整、是否准确，异常值是否已进

10、行了处理。B.数据整理控制审计(-)业务概述数据整理控制，是指采集数据的分类入库、数据库中相关数据的清洗、数据库间和数据表间的数据抽取与合并、数据库或者数据表的生成与报废等功能的控制要符合系统需求和设计要求。(二)审计目标和内容从合规性和完整准确性两方面，检查：1 .数据整理功能是否符合系统需求和设计需求。2 .数据整理的结果是否完整，是否准确。C.数据计算控制审计(-)业务概述数据计算控制，是指系统中经济业务活动的计量、计费、核算、分析以及数据平衡等计算功能的控制要符合国家、行业或组织的相关规定与规范。(二)审计目标和内容从合规性和有效性两方面，检查：1.信息系统的数据计算控制是否符合国家、

11、行业或者单位相关规定和规范。3 .数据计算控制是否能够按照预计条件完成数据计算过程中的正确控制。D.数据汇总控制审计(-)业务概述数据汇总控制，是指检查系统中经济业务活动的财务科目汇总、报表汇总和相关业务汇总等功能实现的控制要符合国家、行业或者组织的相关规定和规范。（二）审计目标和内容从合规性和准确性两方面，检查：1 .信息系统的数据汇总功能的汇总逻辑、计算方法、计算过程、计算口径等是否符合国家、行业或者单位的相关规定和规范。2 .信息系统的数据在通过正确的汇总过程后，是否正确，是否能够真实反映实际的业务情况。四、应用系统输出控制审计A.数据外设输出控制审计（一）业务概述数据外设输出控制，是指

12、计算机显示、打印和介质拷贝等数据输出功能的身份与权限控制要符合标准规范及组织自身业务的相关要求。（二）审计目标和内容从合规性和安全性两方面，检查：1.组织是否在信息系统中建立了用户身份与权限体系，是否制定了控制数据外设输出的制度规范，用户在使用系统时，是否按照制度规范操作。3 .系统能否发现并阻止非授权用户使用数据信息的计算机显示。打印等外设输出功能：是否有日志记录；对于微感数据的查看、打印和介质存储操作，是否有日志记录，并有数据控制责任人的监督、签字。B.数据检索输出控制审计(-)业务概述数据检索输出控制，是指利用单项检索、组合检索等检索工具对系统中部分数据或者全部数据的检索输出功能的身份和

13、权限控制要符合标准规范及组织自身业务的相关要求。(二)审计目标和内容从合规性、安全性和准确性三方面，检查：1.组织是否在信息系统中建立了用户身份与权限体系，是否制定了控制数据检索输出的制度规范；用户在使用系统时，是否按照制度规范操作。2 .系统能否发现并阻止非授权用户使用数据检索输出功能；是否有日志记录；对于敏感的数据的检索操作，是否有日志记录，并有数据控制责任人的监督、签字。3 .系统是否能够保证用户通过数据检索功能获取并输出的数据的准确性。C.数据共享输出控制审计(-)业务概述数据共享输出控制，是指系统内部相关子系统之间、系统与外部系统之间通过信息交换或信息共享方式数据输出功能的身份与权限

14、控制要符合标准规范及组织自身业务的相关要求。（二）审计目标和内容从合规性、安全性和准确性三方面，检查：1.组织是否在信息系统中建立了用户身份与权限体系，是否制定了控制数据共享输出的制度规范；用户在使用系统时，是否按照制度规范操作；系统是否严格限定只有满足权限要求的用户才能使用数据共享输出功能。4 .系统能否发现并阻止非授权用户使用数据共享输出功能；是否有日志记录；对传输的信息是否加密；对于敏感的数据的共享操作，是否除了信息系统记录日志以外，还有数据控制责任人的监督、签字。5 .系统是否能够保证用户通过数据共享输出功能输出的数据的准确性。D.备份与恢复输出控制审计（一）业务概述备份与恢复输出控制

15、，是指生产系统向备份系统、备份系统向恢复系统数据输出的身份与权限控制要确保合理、有效，并符合标准规范及组织自身业务的相关要求。（二）审计目标和内容从合规性、安全性和准确性三方面，检查：1.组织是否在信息系统中建立了用户身份与权限体系，是否制定了控制数据备份与恢复输出的制度规范；用户在使用系统时，是否按照制度规范操作。2.系统能否发现并阻止非授权用户使用数据备份与恢复输出功能；是否有日志记录；对数据备份包的有效性是否进行了测试。3.系统是否能够保证用户通过数据备份与恢复输出功能输出的数据的完整、准确、可用。五、信息共享与业务协同审计A.信息资源目录体系测评审计(-)业务概述信息资源目录体系，是指组织以其统一的电子网络为基础，通过构建覆盖多级信息资源目录体系技术总体架构,采用元数据对共享信息资源特征进行描述形成统一规范的目录内容，最终提供信息资源的发现定位服务，支持大范围内跨部门、跨地区的普遍信息共享。(二)审计目标和内容检查组织的信息资源目录体系是否符合国家或行业的相关规范，是否较好地满足各类业务和管理需要。B.信息资源交换体系测评审计(-)业务概述信息资源交换体系，是指按照统一的标准和规范，为支持跨部门、地域间、层级间信息共享以及协同而建设的