2650 评估无效的ITGCs对审计的影响

2650无效IT般控制内部备忘录瑞华会计师事务所RUIHUACERTIFIEDPUBLICACCOUNTANTS无效IT一般控制内部备忘录被审计单位：索引号：2650页次：编制人：日期：财务报表截止日/期间：复核人：日期：编制说明：本备忘录用于评估无效的IT般控制大类对审计策略的影响。本份备忘录用以记录被评价为“无效的ITGC大类”（即系统开发、管理变更、信息安全、及运行维护）对以下事项的影响：我们实施的综合风险评估。我们采用的依赖应用程序控制、依靠IT的手工控制及电子审计证据（电子审计证据）的审计策略。我们对被审计单位的财务报表审计执行的相关审计程序。如果我们识别并测试的其他ITGCs或手动控制能使与“无效ITGC大类”相关的重大错报风险充分降低至可接受的水平，则相关ITGC大类应评价为“有效”因此不包括在本备忘录中。本备忘录包含以下文件：无效的ITGC大类及受其影响的重大交易类别（SCOT）和重大账户的汇总表。关于无效的ITGC对应用程序控制及依靠IT的手工控制所产生的影响的评估结果。关于无效的ITGC对我们对电子审计证据的审计策略所产生的影响的评估结果。执行整合审计项目时，应增加以下措辞：“本备忘录用以支持与我们执行财务报表审计程序相关的评价及结论。ITGC缺陷对我们执行的财务报告内部控制评价产生的影响，请见控无效的IT般控制大类受其影响的重大交易类别受其影响的重大账户瑞华会计师事务所RUIHUACERTIFIEDPUBLICACCOUNTANTS一、无效的IT般控制大类及受其影响的重大交易类别（SCOT）和重大账户的汇总2650无效IT般控制内部备忘录2650无效IT般控制内部备忘录二、无效的ITGC对应用程序控制及依靠IT的手工控制的影响应用系统无效的ITGC大类受影响的SCOT受影响的应用程序控制及依靠IT的手工控制1.ITGC缺陷不影响控制依赖策略的原因2.已执行的额外程序额外程序的执行结果及结论3.受影响的相关认定对综合风险评估的影响记录已执行的实质性程序插入ITGC大类被评价为“无效”的应用系统的名称选择无效的ITGC大类一系统开发、变更管理、信息安全、运行维护插入与第一栏内的应用系统相关的SCOT的名称分别为每一个受影响的应用程序控制及依靠IT的手工控制插入一行如果我们认为ITGC缺陷不影响我们的控制依赖策略，我们需要记录支持这一判断的基本理由。如已充分记录了该基本理由，则可跳过其余栏目。否则，请继续完成下一栏如果我们认为ITGC缺陷会影响我们的控制依赖策略，我们应记录已执行额外程序的性质、时间及范围描述额外程序的执行结果及关于其是否能够支持我们可以依赖应用程序控制及依靠IT的手工控制的结论。如果结果证明我们可依赖于该控制，可跳过其余栏目否则，请继续完成下一栏插入每一受影响的财务报表认定的名称记录对综合风险评估的影响记录已执行的相关实质性程序PeopleSoft软件变更管理工资工资：PeopleSoft系统的授权访问机制防止人力部门的员工处理工资事务。（应用系统控制）本项应用程序控制不受变更管理缺陷的影响；因此，我们认为此项ITGC缺陷未对该控制产生影响。不需采取进步的措施。不适用不适用不适用不适用不适用2650无效IT般控制内部备忘录应用系统无效的ITGC大类受影响的SCOT受影响的应用程序控制及依靠IT的手工控制1.ITGC缺陷不影响控制依赖策略的原因2.已执行的额外程序额外程序的执行结果及结论3.受影响的相关认定对综合风险评估的影响记录已执行的实质性程序PeopleSoft软件变更管理工资工资：在每一工资结算期内，将PeopleSoft软件中的工资登记簿与总帐进行核对。（依靠IT的手工控制）此ITGC缺陷影响我们的控制依赖策略；因此，需要执行额外程序。请转至卜一栏。为了应对开发人员能够访问并进行程序变更的ITGC缺陷，我们取得了系统日志并对其进行复核，以确定开发人员是否进入了生产系统并进行了非法操作。对系统日志的复核表明，虽然开发人员能够访问并做出程序变更，但是他们并未使用这些权限。尽管ITGC是无效的，我们仍可依赖于此项依靠IT的手工控制，不需采取进步的措施。不适用不适用不适用PeopleSoft软件变更管理工资工资：在每一工资结算期内，将PeopleSoft软件中的工资登记簿与总帐进行核对。（依靠IT的手工控制）此ITGC缺陷影响我们的控制依赖策略；因此，需要执行额外程序。请转至卜一栏。我们未对系统日志进行复核，但取得了截至xx年9月30日和xx年12月31日的工资登记簿，对工资计算进行了抽样测试,并对报告进行了合计和交叉计算，以确定工资登未发现例外情况。不需采取进一步的措施。不适用不适用不适用2650无效IT般控制内部备忘录应用系统无效的ITGC大类受影响的SCOT受影响的应用程序控制及依靠IT的手工控制1.ITGC缺陷不影响控制依赖策略的原因2.已执行的额外程序额外程序的执行结果及结论3.受影响的相关认定对综合风险评估的影响记录已执行的实质性程序记簿的准确性。SAP软件信息安全-逻辑访问应付账款应付账款：SAP软件在付款前，执行对采购订单、收货单和发票的三单匹配验证。此ITGC缺陷影响我们的控制依赖策略；因此，需要执行额外程序。请转至卜一栏。未发现合适的额外程序，以应对此类无效的ITGC大类的风险。我们需要评价其对综合风险评估及实质性程序的影响。请转至下一栏。费用-完整性费用-存在将控制风险调整为最大选择金额超过XX美兀的所有发票，以确保发票和订单一致（注：蓝色字体为说明内容，红色字体部分为举例）此部分包含以下内容：ITGC大类被评价为“无效”的应用系统。哪个或哪些ITGC大类（即系统开发、管理变更、信息安全、及运行维护）是无效的。受“无效的ITGC大类”影响的SCOT，以及相关的应用程序控制及依靠IT的手工控制。我们需要评估“无效的ITGC大类”对每一个应用程序控制及依靠IT的手工控制的影响。具体的评估流程如下：1、确定每一个应用程序控制及依靠IT的手工控制受ITGC缺陷影响的程度对于ITGC大类被评价为无效的应用系统中的应用程序控制和依靠IT的手工控制，我们要确定该应用程序控制及依靠IT的手工控制受ITGC缺陷影响的程度。如果我们认定某些应用程序控制和/或依靠IT的手工控制不受ITGC缺陷的影响，则无需改变我们依赖相关控制的审计策略，我们需要在附件A“ITGC缺陷不影响控制依赖策略的原因”中记录我们的理由，同时，我们对ITGC的综合评估结果定为“支持”并依赖这些控制。2、执行额外程序2650无效IT般控制内部备忘录对于那些受ITGC缺陷影响，并进而影响到我们的控制依赖策略的应用程序控制和依靠IT的手工控制，我们需要执行额外程序，以支持我们的控制依赖策略。我们的额外程序及相关结论分别记录于附件A中“已执行的额外程序”一栏和“额外程序的执行结果及结论”一栏。额外程序由以下任意一项构成：执行实质性程序，以合理确信不存在与无效的ITGC有关的重大错报风险（例如，复核全部系统日志，以确定具有不当授权的用户实际并未执行不正当操作）直接测试相关应用程序控制或依靠IT的手工控制，以合理确信相关控制在审计期间内持续有效运行（例如，按照手工控制抽样标准，在审计期间内选取25个样本，对应用程序控制进行测试）o对于依靠IT的手工控制和电子审计证据，我们需要测试报告的准确性（以应对程序变更中的缺陷），并从文件的信息源开始测试报告数据（以应对逻辑访问中的缺陷）。每次测试依靠IT的手工控制时，我们都执行上述测试。例如：测试应收账款账龄的月度审核时，如果我们在整个审计期间内选取两个月的月度审核进行测试，我们不仅要确认审核这项控制能够有效运行，还要测试这两个月度报告的准确性和文件中基础数据的完整性。对于通过执行额外程序，使我们确信相关应用程序控制和依靠IT的手工控制值得依赖的情况，我们会将该控制的执行有效性评价为“有效”，并继续采用控制信赖策略。对于即使执行额外程序，也无法使我们确信相关应用程序和依靠IT的手工控制值得信赖的情况，我们将这些控制的执行有效性评价为“无效”，并不再采用控制依赖策略。3、重新执行综合风险评估如果我们不能识别及测试与重大交易类别相关的手工预防及检查程序，以充分降低重大错报风险，那么，对于那些通过执行额外程序仍无法使我们确信其可依赖性的应用程序控制及依靠IT的手工控制，我们需将其评价结果定为“无效”将与其相关的会计报表认定改为不依赖控制策略，并进一步考虑这一结果对我们的综合风险评估及相关实质性程序的影响。2650无效IT般控制内部备忘录我们对综合风险评估和实质性程序作出的变更需要在附件A“对综合风险评估的影响”和“记录已执行的实质性程序”中予以更新。三、无效的ITGC对依赖电子审计证据的审计策略的影响应用系统无效的ITGC大类受影响的重大账户受影响的电子审计证据记录已执行的实质性程序ITGC大类被评价为“无效”的应用系统的名称无效的ITGC大类-系统开发、变更管理、信息安全、运行维护插入那些依赖于由第一栏内的应用系统产生的电子审计证据的重大账户名称插入受“无效的ITGC大类”影响的具体电子审计证据项目（例如报告或数据摘要）记录已执行的实质性程序，以取得有关电子审计证据完整性和准确性的合理保证SAP信息安全-逻辑访问现金应付账款费用应付账款登记簿对年末应付账款登记簿上的金额进行合计，对报告上的项目进行抽样测试并与相关证据（年末后开具的发票、订单等）比对（注：蓝色字体为说明内容，红色字体部分为举例）此部分包含以下内容：ITGC大类被评价为“无效”的应用系统。哪个或哪些ITGC大类是无效的。受“无效的ITGC大类”影响的重大账户，这有助于评估我们的审计策略是否设计得当以便于我们对电子审计证据的完整性及准确性采取信赖策略。我们的实质性程序准备信赖电子审计证据时，我们需要为这一信赖策略建立一个基础，其中包括：确定电子审计证据的来源（比如，是哪个系统产生的电子审计证据）。测试电子审计证据的准确性（以应对变更管理的缺陷）。测试电子数据，以确定从源文档导出数据的完整性及添加到源文档的数据的完整性（以应对信息安全逻辑访问的缺陷）。2650无效IT般控制内部备忘录对ITGC大类被评价为“无效”的应用系统，我们需要记录该无效的ITGC大类对我们依赖电子审计证据的审计策略产生了何种影响（如有）我们还需考虑我们的实质性程序是否需要修改以验证电子审计证据的准确性，同时我们还需执行电子数据测试，以确定从源文档导出数据的完整性和添加到源文档的数据的完整性。我们就无效的ITGC对我们依赖电子审计证据的审计策略的影响在附件B中进行记录。同样，我们对综合风险评估及实质性程序作出的任何变更均需记录于该附件中。