09IT审计控制缺陷报告.docx

被审计单位:
XX股份有限公司
索引号:
页次:
编制人:
日期:

财务报表截止日期:
2013年12月31日
复核人:
日期:

IT审计发现问题汇总分析
公司层面信息技术控制
观察所得
风险分析
底稿索引号
管理建议书索引
公司没有建立IT风险评估方法和机制。
缺乏有效的IT风险评估机制,可能导致IT风险发生时,企业无法采取有效的应对措施消除不良影响。
ELC-
第3页
信息技术一般性控制-系统开发
观察所得
风险分析
底稿索引号
管理建议书索引
SAP系统权限设置与权限分配表存在不一致的情况。
没有通过信息系统控制实现按照业务要求的职位分离,加大了不相容职责分离的难度
ITGC-
第4页
EHR系统在用户测试阶段完成后,未出具正式的系统测试报告。
未出具正式的系统测试报告,无法保证系统测试成果达到预期效果,不利于对EHR系统在用户测试阶段的工作进行监控验收。
ITGC-
第4页
上线计划中没有涉及关于制定“应急预案”相关规定
一旦上线失败,可能导致业务中断。
ITGC-
第4页
信息技术一般性控制-变更管理
观察所得
风险分析
底稿索引号
管理建议书索引
程序变更时,没有关于系统回退的控制说明。
没有详细的说明指导实际活动,容易造成行为不规范,从而带来隐患。
ITGC-
第4页
制度中没有明确规定用户培训的时机与规范。
系统变更后永不不能得到及时有效的培训,会造成业务混乱。
ITGC-
第4页
信息技术一般性控制-信息安全
观察所得
风险分析
底稿索引号
管理建议书索引
SAP系统实际密码策略设置与制度规定不符。
密码管理不规范加大了系统被未经授权访问的风险,从而影响财务和业务数据的准确性。
ITGC-
第4页
OA系统账户申请表未按制度要求填制。
OA系统账户申请及变更申请工作开展不够规范,对OA系统账户申请及变更申请的把控不够严格,可能导致OA系统账户申请及变更工作开展混乱,对OA系统产生不利影响。
ITGC-
第4页
公司没有建立系统超级用户的授权管理机制
没有有效的账号管理,无法对账号的申请、批准、添加、变更、删除进行规范的管理,加大了系统被未经授权访问的风险,从而影响财务和业务数据的准确性。
ITGC-
第4页
对于超级用户的系统日志没有做定期审阅。
超级用户的操作得不到监控,存在非法操作的风险。
ITGC-
第4页
公司没有安装统一的防病毒软件,不能保证防病毒软件的有效运行及病毒库的及时更新。
缺乏有效的防病毒措施,企业的信息资源可能受到病毒的侵害,导致业务中断。
ITGC-
第4页
公司信息科没有定期审阅防火墙安全规则。
不进行适当的网络控制,包括防火墙和入侵检测,将不能有效的阻止对系统的入侵和未经授权的访问。
ITGC-
第4页
机房巡检实际频率为每十天一次,没有按照公司《网络信息管理制度》中规定的每周一次进行巡检。
不定期巡检机房不能及时发现机房物理环境、网络设备的潜在问题。
ITGC-
第4页
信息技术一般性控制-