IT审计控制缺陷报告计划.docx

精品文档 精品文档 PAGE PAGE3 精品文档 PAGE 被审计单位： XX股份有限公司 索引号： 页次： 编制人： 日期： 2013.12.28 财务报表截止日期： 2013年12月31日 复核人： 日期： 2013.12.30 IT审计发现问题汇总剖析 公司层面信息技术控制 察看所得 公司没有成立 IT风险评估方 法和体制。  风险剖析 缺乏有效的 IT风险评估体制，可能致使 IT风险发生时，公司无法采取有效的应  稿本索引号ELC-E3.1  管理建议 书索引 第3页 对举措除去不良影响。 信息技术一般性控制-系统开发 察看所得 风险剖析 稿本索引号 管理建议 书索引 SAP系统权限设置与权限分 没有经过信息系统控制实现按照业务要 ITGC-D5.1 第4页 配表存在不一致的情况。 求的职位分别，加大了不相容职责分别的 难度 EHR系统在用户测试阶段完 未出具正式的系统测试报告，无法保证系 ITGC-D6.1 第4页 成后，未出具正式的系统测 统测试成果达到预期效果，不利于对EHR 试报告。 系统在用户测试阶段的工作进行监控验 收。 上线计划中没有波及对于制 一旦上线失败，可能致使业务中止。 ITGC-D7.1 第4页 定“应急预案”有关规定 信息技术一般性控制  -变更管理 察看所得 程序变更时，没有对于系统 回退的控制说明。 制度中没有明确规定用户培 训的时机与规范。  风险剖析 没有详尽的说明指导实际活动， 容易造成 行为不规范，进而带来隐患。 系统变更后永不不能得到实时有效的培 训，会造成业务杂乱。  稿本索引号ITGC-C5.1ITGC-C7.1  管理建议 书索引 第4页 第4页 信息技术一般性控制-信息安全 察看所得 风险剖析 稿本索引号 管理建议书 索引 SAP系统实际密码策略设置与 密码管理不规范加大了系统被未经授 ITGC-S1.2 第4页 制度规定不符。 权接见的风险，进而影响财务和业务数 据的正确性。 OA系统账户申请表未按制度 OA系统账户申请及变更申请工作开展ITGC-S1.1 第4页 要求填制。 不够规范，对OA系统账户申请及变更 申请的把控不够严格，可能致使 OA系 统账户申请及变更工作开展杂乱，对 OA系统产生不利影响。 公司没有成立系统超级用户的 没有有效的账号管理，无法对账号的申 ITGC-S1.3 第4页 授权管理体制 请、批准、增添、变更、删除进行规范 的管理，加大了系统被未经授权接见的 风险，进而影响财务和业务数据的正确 性。 对于超级用户的系统日志没有 超级用户的操作得不到监控，存在非法 ITGC-S1.3 第4页 做定期审阅。 操作的风险。 公司没有安装统一的防病毒软 缺乏有效的防病毒举措，公司的信息资 ITGC-S3.1 第4页 件，不能保证防病毒软件的有 源可能受到病毒的损害，致使业务中 效运行及病毒库的实时更新。 断。 公司信息科没有定期审阅防火 不进行适合的网络控制，包括防火墙和 ITGC-S4.1 第4页 墙安全规则。 入侵检测，将不能有效的阻止对系统的 入侵和未经授权的接见。 机房巡检实际频次为每十天一 不定期巡检机房不能实时发现机房物 ITGC-S5.2 第4页 次，没有按照公司《网络信息 理环境、网络设施的潜在问题。 管理制度》中规定的每周一次 进行巡检。 信息技术一般性控制 -运行维护 察看所得 信息系统安全制度中对于备份数据恢复性测试及检查与内控手册中的描绘不一致 公司并没有按照内控手册中的要求成立《系统管理日志》详尽记录数据恢复性测试的过程和结果。 OA系统没有进行过数据恢复性测试。  风险剖析 稿本索引号 管理建议书 索引 容易致使混杂而造成行为不规范。 ITGC-O1.2 第4页 如果不定期抽取足够的备份介质进行 ITGC-O1.5 第5页 恢复测试，会致使备份介质破坏的情况 不能被实时认识，在真实需要备份恢复 时会时会影响恢复工作的正确性。 ITGC-O1.5 第5页 公司没有拟订灾难恢复计划。 如果没有灾难恢复计划，并进行定期测 ITGC-O2.1 第5页 试，在出现意外的时候，信息系统将会 无法实时恢复而使业务受到重要的损 失 公司没有成立明确的问题上报 缺乏明确的权责制度，容易致使用户不 ITGC-O3.1 第5页 的制度及办理流程。 可以得到必要支持，影响业务的正常运 行。 信息技术应用控制 察看所得 风险剖析 稿本索引号 管理建议书索 引 公司SAP系统存在过分授权的 sap系统用户过分授权加大非法访 ITAC1.1 第8页 现象，授权没有做到不相容职 问系统数据的风险，增加舞弊的几 责分别。 率。 公司EHR系统未能与 SAP系统 财务人员以手工输入系统，会产生 ITAC5.1 财务管理模块关系， HR系统中 系统