中国移动内部审计培训讲义(ppt 37页)

目录：
一、财务审计中的IT审计
1、公司层面的控制
2、流程层面的控制
3、信息技术整体控制
4、控制类型及测试方法介绍
二、IT内审
1、外部审计与内部审计的关系
2、内部审计方法
3、IT内控框架

内容简介：
对程序和数据的访问
审计目标
建立足够的对程序和数据的访问控制，以降低被审计单位与财务报告相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。
控制目标
确定信息安全是否得到管理以指导安全措施的一贯实施，以及确定信息系统使用者是否了解与财务报告数据相关的企业信息安全政策。
确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制来适当限定信息技术资源的逻辑访问和物理访问。
确定被审计单位已建立相关制度，及时对用户帐号进行增、删、改。
确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进行监控。
确定被审计单位已在关键流程设置和执行了适当的职责分离控制。
程序开发管理
审计目标：
建立足够的程序开发相关的控制，以确保新系统/程序的开发或购置经过授权、测试、批准、实施，并相应记录。
控制目标：
确定被审计单位已采取控制措施，以确保新开发或购置的系统或应用程序已经过相应级别的信息技术管理人员及业务部门管理人员的审批。
确定被审计单位已制定了恰当的程序开发方法，且将其运用于与财务报告流程相关的系统或应用程序的开发或购置过程。
确定被审计单位已采取控制措施，以确保与财务报告流程相关的系统或应用程序在开发或购置过程中已经过充分测试，并且该测试结果已经过相应级别的信息技术管理人员及业务部门管理人员的批准。
确定被审计单位已采取控制措施，以确保与财务报告流程相关的新旧系统或应用程序在进行数据移植操作时，数据的完整性。

..............................