财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
公司层面的控制
控制环境 风险评估 信息及沟通 监控
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
。
GMSC
。
DC
。
N
。 DD
。
N
。
采集 服务器(
备份)
采集 服务器
SMSC
网间话单 FTP
计费参数 局数据
预处理 计费
错单回收
预处理、计费
预处理 一次批价 分检
查重 二次批价 出帐
预处理 一次批价 分检
查重 二次批价 出帐
无效话 单
错单
数据统计
结算处理
互联互通协 议
错单回收 对帐报告
客服
前台服务
SIM卡管理
流程层面的控制（续）
财务数据生成
风险：传递到MIS财务系统中的计费账务数据的 不真实、不准确、不完整性和不及时 控制目标：合理确保传递到MIS财务系统中的计 费账务数据的真实性、准确性、完整性和及时性 控制举例：
数据生成、传输、导入的权限设置 接口文件的完整性校验 BOSS与MIS代码不匹配时的错误报告 对匹配规则及财务数据的审阅
信息技术审计范围的确定 确定关键会计科目 确定影响关键会计科目的重要业务流程 确定支持重要业务流程的信息系统，作为信息技术审计测 试范围内的系统
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
审计内容 对程序和数据的访问 程序变更管理 程序开发管理 系统运行 终端用户计算
流程层面的控制（续）
批价
风险：话单批价和计费不准确、不及时 控制目标：合理确保话单批价及资费计算准确 性、及时性 控制举例：
计费信息、用户资料、产品信息的同步 批价前后话单的平衡性检查 信息和资料无法匹配导致无法批价的话单的 处理和记录
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
HLR
帐务处理
固定费
合帐
停机工单
详单库
功能 费
营帐库
手工 MIS总帐
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
采集 预处理 批价 月出账 财务数据生成
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制
集团 漫游话单
1860
通信机
计费表
客户数据库
部分话单
FTAM MSC TCP/IP
采集机
© 2007 毕马威华振会计师事务所ቤተ መጻሕፍቲ ባይዱ瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制
预处理
风险：话单数据预处理不真实、不完整、不准 确、不及时 控制目标：合理确保计费话单数据采集及预处 理的真实性、准确性、完整性和及时性 控制举例：
格式转换前后话单文件的平衡性检查 分拣前后话单的平衡性检查 错单、重单、异常话单的处理和记录
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
月出账
风险：出账（月出账）数据不及时，账单金额 不准确、不完整 控制目标：合理确保出账（月出账）数据的准 确性、完整性、及时性 控制举例：
批量销账的平衡性检查 系统自动按参数设置出账 余额不足时部分扣减的设置 销账规则设置
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
采集
风险：话单数据采集不真实、不完整、不准确、 不及时 控制目标：合理确保计费话单数据采集的真实 性、准确性、完整性和及时性 控制举例：
话单文件连续生成 采集监控 拨打测试
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
流程层面的控制（续）
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
程序变更管理 审计目标
建立足够的程序变更管理控制，以确保对现有系统/程序的变更经过授权、测试、 批准、实施，并相应记录。
控制目标
确定被审计单位已采取控制措施，以确保用于控制财务报告流程的系统/应用程 序的任何变更经过相应管理层的适当批准。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的 变更在上线前均已经过测试、验证和批准。 确定被审计单位已采取控制措施，以确保将与财务报告流程相关的系统和应用 程序的变更迁移至生产环境时设有适当的权限控制。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的 配置变更均已经过验证、批准和测试。 确定被审计单位已对与系统/程序的配置有关的紧急变更采取适当控制措施。
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
信息技术整体控制（续）
对程序和数据的访问 审计目标
建立足够的对程序和数据的访问控制，以降低被审计单位与财务报告 相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。
控制目标
确定信息安全是否得到管理以指导安全措施的一贯实施，以及确定信 息系统使用者是否了解与财务报告数据相关的企业信息安全政策。 确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制 来适当限定信息技术资源的逻辑访问和物理访问。 确定被审计单位已建立相关制度，及时对用户帐号进行增、删、改。 确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进 行监控。 确定被审计单位已在关键流程设置和执行了适当的职责分离控制。
中国移动内部审计培训
内容概要
财务审计中的IT审计 IT内审
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。
内容概要
财务审计中的IT审计 IT内审
© 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。