应用系统处理控制审计—第3205号内部审计实务指南第四章第3节

2021-01-25

内部审计 IT审计 3205号文

一、数据转换控制审计

(一)业务概述
数据转换控制,是指对系统采集外部数据和转换过程中的各项操作进行安全控制,使其符合国家、行业或组织的数据转换标准、格式规范及安全保护等方面的要求。

(二)审计目标和内容
从合规性和完整准确性两方面,检查:

1、信息系统的数据转换功能是否符合国家、行业或者单位的数据转换标准和格式规范。

2、数据转换是否按照预定的业务逻辑进行,数据转换后结果是否完整、是否准确,异常值是否已进行了处理。

(三)常见问题和风险

1、数据转换的身份与权限控制不存在或不健全,未根据用户需要约束其使用数据转换功能,或虽然建立了权限控制但未建立相关约束用户数据转换操作的制度规范。

2、系统功能不完善,造成无法记录用户数据转换操作,或虽有日志功能但未正式使用,造成数据转换操作的相关信息缺失,导致无据可查。

3、系统的数据转换功能不符合国家、行业、组织规范,或存在未经许可的数据转换接口。

4、数据转换结果不准确、不完整,或错误的数据被转换进入信息系统。

5、转换的数据文件格式不符合规范要求。

(四)审计的主要方法和程序

1、审阅组织制度流程、岗位职责和用户授权文档,确认涉及数据转换的岗位及其职责与权限;审阅信息系统的开发文档,了解被审计单位信息系统的数据转换功能的需求、设计实现情况,判断是否符合国家、行业或者单位规范。

2、设定不同权限的测试用户,对系统进行穿行测试,检查系统是否严格限定只有满足权限要求的用户使用数据转换功能;检查系统日志是否按照规定记录了用户的数据转换操作;设定模拟转换数据,检查转换后的数据的完整准确性;抽取一部分已处理过的业务进行核对,以证实数据转换的完整准确性。

二、数据整理控制审计

(一)业务概述
数据整理控制,是指采集数据的分类入库、数据库中相关数据的清洗、数据库间和数据表间的数据抽取与合并、数据库或者数据表的生成与报废等功能的控制要符合系统需求和设计要求。

(二)审计目标和内容

从合规性和完整准确性两方面,检查:

1、数据整理功能是否符合系统需求和设计需求。

2、数据整理的结果是否完整,是否准确。

(三)常见问题和风险

1、数据整理的身份与权限控制不存在或不健全,未根据用户需要约束其使用数据整理功能,或虽然建立了权限控制但未建立相关约束用户数据整理操作的制度规范。

2、系统功能不完善,造成无法记录用户数据整理操作,或虽有日志功能但未正式使用,造成数据整理操作的相关信息缺失,导致无据可查。

3、系统的数据整理功能与信息系统设计不符,不符合系统需求和设计需求。

4、数据整理结果不准确,不符合业务逻辑或数据整理结果不完整,缺失实际业务数据。

(四)审计的主要方法和程序

1、审阅组织制度流程、岗位职责和用户授权文档,确认涉及数据整理的岗位及其职责与权限;审阅信息系统的开发文档,了解被审计单位信息系统的数据整理功能的需求、设计实现情况;对系统进行穿行测试,检查系统是否严格限定只有满足权限要求的用户使用数据整理功能。

2、设定不同权限的测试用户,对系统进行穿行测试,完成数据整理流程,检查结果是否符合业务逻辑、是否符合预定的数据整理逻辑;抽取一部分已处理过的真实业务进行核对,以证实数据整理的完整性、准确性。

三、数据计算控制审计

(一)业务概述
数据计算控制,是指系统中经济业务活动的计量、计费、核算、分析以及数据平衡等计算功能的控制要符合国家、行业或组织的相关规定与规范。

(二)审计目标和内容
从合规性和有效性两方面,检查:

1、信息系统的数据计算控制是否符合国家、行业或者单位相关规定和规范。

2、数据计算控制是否能够按照预计条件完成数据计算过程中的正确控制。

(三)常见问题和风险

1、信息系统的数据计算控制不符合国家、行业、组织规范。

2、信息系统存在未经许可的数据计算功能。

3、存在数据计算控制失效的情况。

(四)审计的主要方法和程序

1、审阅组织的信息系统开发文档,了解业务系统的数据计算需求与设计情况;访谈管理人员,了解关键的数据计算流程;确定信息系统中关键的数据计算控制点和控制逻辑;对比国家、行业或者单位规范,检查关键数据计算控制点和控制逻辑是否符合国家、行业或者单位规范。

2、设定不同权限的测试用户,对系统进行穿行测试,检查系统中的关键数据计算控制点和控制逻辑的有效性;检查系统是否存在未经许可的数据计算功能;抽取一部分巳处理过的真实业务进行核对,以证实数据计算控制的有效性。

四、数据汇总控制审计

(一)业务概述

数据汇总控制,是指检查系统中经济业务活动的财务科目汇总、报表汇总和相关业务汇总等功能实现的控制要符合国家、行业或者组织的相关规定和规范。

(二)审计目标和内容

从合规性和准确性两方面,检查:

1、信息系统的数据汇总功能的汇总逻辑、计算方法、计算过程、计算口径等是否符合国家、行业或者单位的相关规定和规范。

2、信息系统的数据在通过正确的汇总过程后,是否正确,是否能够真实反映实际的业务情况。

(三)常见问题和风险

1、系统的数据汇总功能不符合国家、行业或组织的规范。

2、系统功能不完善,造成无法记录用户数据汇总操作,或虽有日志功能但未正常使用,造成数据汇总操作的相关信息缺失,导致无据可查。

3、数据汇总结果不准确。

(四)审计的主要方法和程序

1、审阅信息系统的开发文档,了解组织信息系统的数据汇总功能的需求、设计实现情况;对比国家、行业或者单位规范,检查系统设置的数据汇总功能是否符合国家、行业或者单位规范;访谈管理人员,了解组织数据汇总的工作流程。

2、设定不同权限的测试用户,对系统进行穿行测试,检查系统是否严格限定只有满足权限要求的用户使用数据汇总功能;检查系统日志是否按照规定记录了用户的数据汇总操作;抽取部分日志进行分析,判断是否符合相关规定;设定模拟汇总数据,检查汇总后的数据的准确性;抽取一部分已处理过的业务进行核对,以证实数据汇总的准确性。