系统按照定义好的规则将例外情况检查出来，例外情况 也会关联到验证输入的完整性和正确性和应用的输出。 系统中的权限设置，实现必要的职责分工以保证业务处 理的合理性。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
控制点测试举例
接口/数据转换控制
控制点描述： BOSS系统，经营分析系统和MIS系统间进行数据传输过程中，相关数 据接口对传输的接口文件进行完整性校验，发生错误时系统会提示出错信息，由操作人 员重新传输、以合理确保收入数据在传输过程中的完整性和准确性。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制
集团 漫游话单
1860
通信机
计费表
客户数据库
部分话单
FTAM MSC TCP/IP
采集机
程序及数据的访问权限 程序变更管理 程序开发管理，以及 系统运行
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
侦测性
测试方法介绍
观察 – 观察内部控制运行的实际情况，例如，实地观 察存货盘点； 询问 – 向相关人员询问内部控制运行的情况，例如： 对于存货盘点的控制，可以询问财务部人员或仓库保 管人员盘点的范围 、程序，以及对盘点差异将会采取 的跟进措施； 重新执行控制 - 重新执行内部控制程序，证明其正确性， 例如：重新执行对账程序，证明其结果是一致的； 检查 – 检查证明或支持内部控制运行的记录与文件， 例如：检查机房访问日志，以作为内部控制有效实施 的证据；
预处理
风险：话单数据预处理不真实、不完整、不准 确、不及时 控制目标：合理确保计费话单数据采集及预处 理的真实性、准确性、完整性和及时性 控制举例：
格式转换前后话单文件的平衡性检查 分拣前后话单的平衡性检查 错单、重单、异常话单的处理和记录
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制
流程层面的控制（续）
月出账
风险：出账（月出账）数据不及时，账单金额 不准确、不完整 控制目标：合理确保出账（月出账）数据的准 确性、完整性、及时性 控制举例：
批量销账的平衡性检查 系统自动按参数设置出账 余额不足时部分扣减的设置 销账规则设置
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
批价
风险：话单批价和计费不准确、不及时 控制目标：合理确保话单批价及资费计算准确 性、及时性 控制举例：
计费信息、用户资料、产品信息的同步 批价前后话单的平衡性检查 信息和资料无法匹配导致无法批价的话单的 处理和记录
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
采集
风险：话单数据采集不真实、不完整、不准确、 不及时 控制目标：合理确保计费话单数据采集的真实 性、准确性、完整性和及时性 控制举例：
话单文件连续生成 采集监控 拨打测试
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
流程层面的控制（续）
财务数据生成
风险：传递到MIS财务系统中的计费账务数据的 不真实、不准确、不完整性和不及时 控制目标：合理确保传递到MIS财务系统中的计 费账务数据的真实性、准确性、完整性和及时性 控制举例：
数据生成、传输、导入的权限设置 接口文件的完整性校验 BOSS与MIS代码不匹配时的错误报告 对匹配规则及财务数据的审阅
。
GMSC
。
DC
。
N
。 DD
。
N
。
采集 服务器(
备份)
采集 服务器
SMSC
网间话单 FTP
计费参数 局数据
预处理 计费
错单回收
预处理、计费
预处理 一次批价 分检
查重 二次批价 出帐
预处理 一次批价 分检
查重 二次批价 出帐
无效话 单
错单
数据统计
结算处理
互联互通协 议
错单回收 对帐报告
客服
前台服务
SIM卡管理
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
程序变更管理 审计目标
建立足够的程序变更管理控制，以确保对现有系统/程序的变更经过授权、测 试、批准、实施，并相应记录。
控制目标
确定被审计单位已采取控制措施，以确保用于控制财务报告流程的系统/应用 程序的任何变更经过相应管理层的适当批准。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的 变更在上线前均已经过测试、验证和批准。 确定被审计单位已采取控制措施，以确保将与财务报告流程相关的系统和应用 程序的变更迁移至生产环境时设有适当的权限控制。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的 配置变更均已经过验证、批准和测试。 确定被审计单位已对与系统/程序的配置有关的紧急变更采取适当控制措施。
控制类型介绍
各控制类型分别是预防性还是侦探性？
预防性
控制类型 授权及批准 系统设置/科目映射 职责分工 接口/数据转换控制 系统访问权限 例外情况报告 关键绩效指标 管理层审阅 核对
预防性/侦探性 预防性 预防性 预防性 预防性 预防性 侦测性 侦测性 侦测性 侦测性
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
公司层面的控制
控制环境 风险评估 信息及沟通 监控
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
终端用户计算 审计目标：
建立足够的政策及程序，以确保信息技术整体控制被有效应用于终端 用户计算。
控制目标： 确定管理层已实施了适当的政策和程序，以确保信息技术一般性 控制恰当应用于最终用户计算环境，包括控制：
获取并查阅相关文件，以确认数据文件从BOSS到BI或从BOSS到MIS传输过程 中的错误检测机制。
执行有效性测试方法
根据接口数据的传输频率获取并查阅系统日志，以确定数据是否得到正确传输。
信息技术审计范围的确定 确定关键会计科目 确定影响关键会计科目的重要业务流程 确定支持重要业务流程的信息系统，作为信息技术审计测 试范围内的系统
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
审计内容 对程序和数据的访问 程序变更管理 程序开发管理 系统运行 终端用户计算
流程：
收入和计费业务流程 -计费账务业务子流程
流程目标：
合理确保传递到MIS财务系统中的计费账务数据的真实性、准确性、完
整性和及时性
风险： 不及时
传递到MIS财务系统中的计费账务数据的不真实、不准确、不完整性和
测试方法:
设计有效性测试方法
询问关于数据文件从BOSS到BI或从BOSS到MIS传输中的错误检测机制。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
测试方法介绍（续）
验证性询问 - 向企业中其他人员确认内部控制的实际情 况，以验证应用程序的正确性和一致性以及内部控制 是有效运行的。 能力评估 - 综合运用询问、文件检查和重新履行等手段， 测试某个管理人员在某一领域的知识或其实施某项控 制的胜任能力。 系统取证验证 - 测试信息系统中的自动控制，验证其运 行的正确性，例如：
中国移动内部审计培训
内容概要
财务审计中的IT审计 IT内审
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
内容概要
财务审计中的IT审计 IT内审
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
对程序和数据的访问 审计目标
建立足够的对程序和数据的访问控制，以降低被审计单位与财务报告 相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。
控制目标
确定信息安全是否得到管理以指导安全措施的一贯实施，以及确定信 息系统使用者是否了解与财务报告数据相关的企业信息安全政策。 确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制 来适当限定信息技术资源的逻辑访问和物理访问。 确定被审计单位已建立相关制度，及时对用户帐号进行增、删、改。 确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进 行监控。 确定被审计单位已在关键流程设置和执行了适当的职责分离合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。