近年来,随着企业信息系统的不断完善,企业对于信息系统的依赖日益加强,信息系统审计也随之成了审计中不可或缺的一部分。今天,时代新威和大家聊一聊信息系统审计的过程。
1)调查
该审计步骤用来将控制目标下的相关活动用文档记录下来,对组织声称已实施的控制措施与程序进行识别,并且确认其存在。
与相关的管理者和员工进行会见,以理解:
·业务需求好相关的风险。
·组织结构。
·角色和职责。
·政策和程序。
·法律和法规。
·已有的控制措施。
·管理报告(状态、性能、行动项目)。
用文档记录与过程相关的IT资源,特别是那些被审计的IT流程所影响的IT资源。确认理解了审核的过程、过程的关键性能指标(KPI)、实际的控制状况。例如,可以通过对过程的抽查来进行了解。
2)评价控制
该审计步骤用来评估当前已有控制措施的有效性或达到控制目标的程度,主要是决定测试什么、是否测试及如何测试的问题。
通过对比已确定的标准及行业最佳实践、控制方法的关键成功要素(CSF)和利用审计师的职业判断,来评价待审核过程所应用的控制措施的适宜性。
·存在已文档化的过程。
·存在适宜的输出。
·职责和责任是明确的、有效的。
·在必要时,存在补偿控制。
·对实现控制目标的程度做出结论。
3)评估符合性
该审计步骤用来确定已建立的控制措施是按组织规定的方式,持续地、一致地在起作用,并且对控制环境的适宜性做出结论。
·得到所选项目和阶段的直接或间接的证据,使用直接和间接的证据来保证待审核的项目和阶段一直遵守相关控制程序的要求。
·对过程输出结果的充分性进行有限的审核。
·为了证明IT流程是分的,确定需要进行实质性测试的程度和其他需要进行的工作。
4)证实风险
该审计步骤通过使用分析技术和可选的咨询资源,证实控制目标没有被实现时所带来的风险。目标是支持其审计判断,并督促管理者采取行动。审计师要创造性地寻找和提出通常是敏感的和机密的信息。
·用文档记录下控制弱点及其引起的威胁和漏洞。
·识别并记录实际的影响和潜在的影响,例如,利用因果分析的方法。
·提供比较信息。例如,通过基准比较的方法。
在信息高速爆炸的时代,进行信息系统审计,确保在线、实时的信息的可靠性,有助于整个市场经济的发展。以上就是时代新威为您科普的信息系统审计的过程,更多精彩内容,欢迎持续关注我们哦。
远程审计和it审计的区别。
1、独立性不同:根据IIA国际内部审计师协会于2011年发布的IPPF内部审计实务框架第1100、1110章节,内部审计的独立性包含两方面,一方面是指内审人员履职时免受威胁,另外一方面指审计组织机构的独立,即与董事会的汇报关系的独立。相比外部审计常用的《独立审计准则》,因两者的目标不同和服务对象不同,导致两者独立性不相同。
2、两者的审计目标不同:外部审计的目标常常受到法律和服务合同的限制,如常见业务——财务报表审计的目标是财报的合法性、公允性作出评价,而内部审计的目的是评价和改善风险管理、控制和公司治理流程的有效性,帮助企业实现其目标。
3、两者关注的重点领域不同:外部审计的关注重点领域受到法律和合同的指定,例如财务报表审计中,外部审计主要侧重点是会计信息的质量和合规性,也就是对财报的合法性、公允性作出评价。而内部审计主要侧重点是经济活动的合法合规、目标达成、经营效率等方面。
游戏公司账务税务处理与其他行业的账务税务处理是一样的。
一、网络游戏的分类:
根据收费模式的不同,网络游戏分为计时收费、道具收费和增值服务收费等几种。
1、计时收费:包括点卡收费,指网游公司主要依据游戏玩家的游戏时间收取点卡费,收入与玩家的人数和游戏时间成正比。包月计时收费,是指网络游戏玩家一次性购买一个时段,这个时段内玩家可以随时上网游戏,不管有没有在线游戏,均算作消费。
2、道具收费:指在游戏时间上不再收费,但在游戏中提供道具商城出售一些虚拟道具,如炫丽的服装坐骑和一些影响游戏平衡的道具,玩家可以自愿花钱购买这些虚拟道具以获得更好的游戏体验。
3、增值服务收费:包括付费会员收费(网游玩家根据不同的收费标准获得不同的会员等级以及不同的特权);游戏功能收费(将网游功能切割为多个部分,玩家可根据自己的需要选择购买或租用某些功能)。
网络广告收费;客户端收费(指某些游戏厂商要求玩家购买客户端才能进行游戏,不过游戏本身是免费的);交易收费(游戏本身不收费,官方不出售道具,全部装备由打怪掉落或任务产出。玩家相互交易获得装备道具,官方从中收取一定的交易手续费)等。
二、网络游戏的运营模式:
网络游戏的产业链主要包括:游戏开发商——游戏运营商——游戏平台商——用户。
产业链中的各个环节可能发生重合,比如:游戏开发商可能同时作为运营商负责游戏的运营、平台商同时也可能是游戏运营的主体。由于平台商公司业务类型通常较复杂,并不仅仅涉及网络游戏方面,因此本文仅涉及网游公司作为游戏开发商和运营商角色时的运营模式及收入确认方面的讨论。
虽然各个网络游戏公司(作为开发商和运营商)的业务模式各有特色,细节各有不同,
但总体上来说可分为三种:自营模式、联营模式以及授权运营模式。
(一)自营模式
自营模式是指网络游戏公司通过自有的游戏平台发布并运营游戏。在自主运营模式下,网络游戏公司全面负责游戏产品的推广、客户服务、技术支持和维护等工作。
1、登陆注册
玩家直接登陆网游公司的游戏平台,或从其他推广方的链接登录游戏平台,并注册成为用户。
2、充值消费玩家可以通过网银、第三方支付平台等方式向游戏充值,目前使用较多的充值方式是第三方支付平台,如支付宝、快钱、神州付、易宝等。玩家充值成功后,充值额自动兑换成虚拟游戏币并添加到游戏玩家在游戏中的账户中。
如果是付费游戏,玩家可以使用游戏币进行游戏。如果是免费游戏,玩家可以使用游戏币购买道具等装备。
3、网游公司与第三方支付平台的结算
网游公司一般与第三方支付平台签订服务合同,开立收款账户,按约定期限提取资金并支付渠道使用费。
通常,在每月初,第三方支付平台会出具上月对账单(包含充值平台账户名,充值订单号,充值金额等),网游公司数据中心也会提供一份清单(包含游戏玩家账号、充值订单号、充值金额等),两者应核对一致,如有差异需及时沟通处理。
(二)联营模式
联营模式是指游戏运营商与游戏平台类公司(如:腾讯平台、UC平台、91平台、360手机助手、百度多酷、新浪平台、FACEBOOK等)合作,共同联合运营游戏产品的运营方式。
在联合运营模式下,游戏平台公司负责网游平台的提供和推广、充值服务以及计费系统的管理,游戏运营商负责游戏运营、版本更新、技术支持和维护,并提供客户服务。
在联营模式下,游戏玩家是通过平台公司进行游戏的登录和注册的。如需要充值,则进入网游平台商游戏平台的充值中心,选择充值方式和充值金额,并填写相关支付信息完成充值。
(三)授权运营模式
授权运营模式主要指游戏运营商以版权金或预付款的形式获得游戏开发商产品的代理权,在运营商所获资质的平台上发行。
由运营商负责游戏的发行推广、游戏运营收入的结算,一般使用运营商所获资质的平台运营商的用户管理体系及充值接口,开发商主要负责提供游戏产品、相关的软件及技术支持、部分客服等。
三、各种运营模式下的收入确认方法
(一)自营模式下的收入确认
1、道具收费游戏:网游公司在游戏玩家实际使用虚拟游戏币购买虚拟道具时,即玩家实际消费时确认收入。
尽管几乎所有的网游平台都规定,玩家已经充值到账户的金额不管是否实际使用均不予退回,但考虑到尽管该充值金额不会退回,但其仍在玩家个人的账户中,所有权仍属于游戏玩家,玩家随时都可能将其在游戏规则范围内自主消费,因此在玩家充值但未消费时尚不满足收入确认条件。
同时,在玩家实际使用虚拟游戏币购买道具时方确认收入也符合网络游戏公司的惯例。
此外,还有一些游戏规定,玩家充值的金额如果在一定期限内(如三个月)仍然没有消费,则游戏币失效,不能再消费,此时,网游公司可将该部分失效的游戏币对应的充值金额确认为失效当期的收入。
2、计时收费游戏:
网游公司按照玩家的人数和实际游戏时间确认收入。在付费游戏中,如果存在道具等装备的购买则收入确认方法同上述免费游戏。
(二)联营模式下的收入确认
联营模式下,网游公司(运营商)一般主要提供游戏运营等技术支持方面的工作,游戏玩家是通过网游平台商的充值中心进行充值的,充值金额由联营方收取。
因此对于网游公司(运营商)来说,完成了该期间的应承担的义务,并依据协议获得从联营平台商处取得分成款的权利时即可确认收入。通常,网游公司(运营商)与联营平台之间分成结算的基础是当期游戏玩家的充值金额。
因此,联营模式下,一般是根据网游公司(运营商)与各平台商的合作协议约定,将期间玩家的充值金额扣除支付给第三方的渠道费用后,按照一定的分成比例计算后确认各方应得的收入金额。
通常在月末时,网游平台商在运营平台的端口获取玩家充值情况,按照与网游公司(运营商)约定的日期发布该月结算单,网游公司(运营商)将结算单与平台游戏终端的充值数据进行核对。
双方确认结算数据后,按照合作协议所约定的分成比例及双方确认的充值数据进行结算,网游公司(运营商)据此进行收入确认。
(三)授权运营模式下的收入确认
授权运营模式一般涉及到游戏开发商和运营商。
对于网游公司(开发商)来说,其一般采取的授权运营模式的收款方式为:首先收取一次性的版税金,然后在游戏运营期间在根据双方的协议约定收取分成收入。
版权金收入对于网游公司(开发商)一次性收取的版权金,实务中存在两种确认方式:
①将一次性收取的版权金列为“递延收益”,在协议约定的受益期间内按直线法摊销确认营业收入。
在授权运营模式下,网络游戏公司(开发商)要承担技术支持、游戏升级以及提供部分客服等连续性的义务,该等后续服务对于网络游戏的正常运营来说比较重大,因此通常将初始一次性收取的版权金收入予以递延分期确认收入。
②将版权金一次性确认收入。
此类收入的确认模式是按照特许权使用费收入,如果没有后续提供重大服务的义务,在满足下列条件时,也可以将版权金一次性确认收入。
A、合同已经签订并按照合同的约定取得收入。
B、游戏已经制作完成,版本已经交付,并公测完成上线。
C、不存在与授权相关的尚未履行的其他责任和义务。
D、款项的可回收性有合理的保障。
2、分成收入
在授权运营模式下,网游公司(开发商)是依据协议在获得从游戏运营商处取得分成款的权利时确认收入。
对于网游公司(运营商)来说,其取得授权的网络游戏,可能采取自营方式,也可能采取与其他游戏平台商联营模式运营,其收入确认方法参见前述自营模式和联营模式部分的描述。
四、网游公司的审计关注要点
(一)IT审计
无论网游公司采取的是自营、联营或授权模式,或几种联合的业务模式,其游戏的运营均依赖于游戏网络系统、收入结算的基础数据也均来源于游戏系统,所以在对网游公司执行审计时,必须要进行IT审计。
项目组可参考本所相关规定引入所内IT专家对IT环境进行评估、对自营平台或联营平台等进行系统测试,以确定整个游戏系统是否有效。重点关注收入数据的完整性、准确性和真实性,对信息系统一般性控制的审计(包括开发、变更、安全、运行维护等四个方面)。如:
(1)是否能够区分付费玩家和免费玩家。
(2)是否存在恶意修改游戏数据的内部控制缺陷。
(3)系统管理授权体系是否得到有效执行。
(4)自营游戏平台及联营游戏平台数据是否存在混淆情况。
(5)自营游戏与联营游戏的游戏币的消耗是否存在混淆的情况。
(6)IT专家确认的其他IT审计程序。
(二)其他审计程序
对于自营游戏来说,网游公司收入确认的数据基本来源于游戏系统,因此在完成IT审计,确认网游公司的业务系统是有效的情况下,可重点采用检查、函证、分析等其他审计程序对收入数据的真实、完整性进行进一步审计。
1、检查程序针对每一种游戏,首先应确定其业务模式。如某种游戏收入既有来源于自营也有来源于联营/授权模式(此种情况比较常见),则应区分自营收入和联营/授权收入分别进行检查。
针对不同的业务模式,可执行的审计程序包括(但不限于)以下内容:
自营模式:
(1)获取游戏玩家在报告期内的充值金额及消费金额数据,并与收入明细表相核对。
(2)确认是否以玩家消费金额作为确认收入的依据,如果存在差异,差异原因是什么。
(3)获取第三方支付平台提供的充值数据,与报告期玩家的充值金额相核对。
联营/授权模式:
(4)获取联营方/代理方出具的结算单(内容可能包括充值金额、渠道费用、分成比例、分成金额等),并与公司自有系统数据进行核对。
(5)获取网游公司与联营方/代理方数据核对的资料,判断对结算单的调整是否恰当。
(6)确认是否以经双方确认的结算单作为确认收入的依据。
(7)检查是否存在收入确认的跨期问题:如企业在期后获得资产负债表日之前的结算单,一般应作为资产负债表日后调整事项处理,但如果在资产负债表日后根据双方签订的补充协议等对结算金额确定方式进行了调整的,则调整的影响金额应计入修改后协议生效的当期。
(8)收入确认的金额计算是否与网游公司与联营/授权协议具体条款(如分成比例、扣除渠道成本等约定)相一致。
2、函证程序
如:
(1)对报告期内各充值平台的充值金额进行函证,并与系统平台中的充值数据进行核对。
(2)结合应收账款的审计,对报告期内与较大的联营方/代理方的结算金额进行函证,并与收入确认金额相核对。
3、分析程序
在执行网游企业收入确认的审计时,一般企业使用的分析程序,如年度、月度波动分析、毛利率分析、与其他同行业对比分析等手段仍然适用。在分析波动原因时,需要考虑网游企业的业务特点。
如:考虑不同的运营模式、游戏产品的生命周期、游戏的上线时间、版本更新时间、新功能上线时间、促销政策、资料片发布、推广政策等因素对收入及毛利波动的影响。因其分析方法与一般企业相似,此处不再赘言。
下文仅就网游企业审计中比较有特点的分析方式(非全部)进行介绍:
(1)总体分析
可以采用图表等形式分析各运营模式下的收入金额、充值金额、消费金额的趋势是否正常,比如:
①某游戏自营模式:该游戏采用自营模式,因此各期间收入确认金额与玩家的消费金额相同,曲线重合;消费金额曲线与充值金额曲线的趋势相似,差异不大,基本符合一般游戏玩家的充值、消费规律。
②某游戏联营模式:该游戏采用联营模式,首先消费金额曲线与充值金额曲线趋势一致,且金额差异不大,符合一般游戏玩家的充值、消费规律。
收入确认金额为充值金额扣除渠道费用后按照一定分成比例计算应分得的金额,从图表上看,收入曲线趋势与充值曲线趋势大体一致。
差异部分可能与游戏不同运营期间渠道费用的高低、以及不同充值金额下分成比例的不同相关,需要审计人员根据具体情况进行具体分析,以确定是否存在异常。
(2)玩家数据分析
此外,还可以获取某游戏充值金额、消费金额前若干名(比如前100名)玩家的具体情况,如:账号、支付方式、支付终端信息、充值金额、充值时间、消费时间、消费金额、游戏等级等进行分析。
通常,网络游戏的正常玩家的账号大多具备以下一些类似特征:
①充值时使用同一个支付渠道账户,基本使用相同支付渠道(如支付宝等)。
②单次充值金额及充值时间具有随意性。
③累计消费占累计充值的比例较高,很少出现大量充值却不消费的情况。
④玩家之间金币购买各类道具及增值服务的比例基本相同。
通过分析大额充值玩家数据,审计人员可能发现其中一些异常情况,可以有针对性的进行下一步检查。
但玩家数据分析中出现的异常情况,其中有些可能是正常的,比如:
一个支付账号对应多个游戏账号的情况、账户出现大量游戏币余额等情况可能是商人模式造成的。有的游戏里有商人交易模式。
在该模式中,商人通过在游戏充值活动期间大量充值获得更多作为奖励的免费游戏币,然后在游戏中将游戏币卖给其他游戏玩家,双方可能在第三方支付平台进行场外支付交易。
此类商人玩家可能拥有多个游戏账号,账号的用户名出现有规律的情况(如用连续数字命名);一个账号在多个区创建角色;创建非常明显的商人角色名称;游戏角色等级、战力较低;一个账号对应超过一个支付终端信息等。
再比如,一个账号对应超过一个支付终端信息。该种情况可能系两人或多人同玩一个账号,或账号已被出售给下一玩家所致。不同的游戏规则设置不同,可能出现的情况也不同,因此在对玩家数据分析时,审计人员应针对不同情况具体分析。
4、其他程序
(1)在检查各个游戏充值、消费金额较大的玩家信息时,审计人员还应注意是否存在网游公司自身的员工大量充值的情况。有些网游公司可能存在让公司员工在游戏运营期间测试游戏的情况,审计人员应根据实际情况具体分析该情况是否正常,是否对收入确认产生影响。
(2)通过对游戏玩家的IP地址进行分析,确认是否存在区域集中的情况,是否可能存在虚假收入情况。
(3)必要/可能时,审计人员可以与充值额较大的玩家取得联系,验证系统中记录的情况是否正确。
(4)作为网游公司的审计人员,除了需要对整个游戏行业有所了解外,还应该对被审计单位所涉及各个游戏项目的设置、规则比较熟悉。必要时,审计人员也可以以玩家身份进入游戏,注册账号,充值,消费,以测试游戏系统的运行情况。
计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。例如,北京时代新威信息技术有限公司以信息系统审计服务、信息系统审计工具研发和信息系统审计师培训为核心业务是信息系统审计解决方案提供商,信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中,仍然需要运用大量的手工审计技术。
ITGC主要审以下内容:
一、ELC(entity level control)控制。就是看看客户在IT治理方面的相关组织架构是否合理,书面的管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
二、系统开发和变更。就是关注系统开发和系统后续小变更中的一些控制,具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看,再看系统开发是否经过了需求提出、可行性研究、领导层审批,系统上线之前是不是经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,然后变更方面比较重要的就是《变更审批单》,这个一般来说还要进行抽样,而上面的开发流程一般来说做一两个穿行测试就行了。
三、 *** 作系统及数据库控制。这一块呢具体就是看 *** 作系统和数据库登录是不是要密码,然后把登录界面截个屏作为审计证据K进底稿里,蛮弱智的。然后呢就是调出 *** 作系统及数据库中的一些安全配置,如密码复杂度的要求,密码是不是强制一个月改一次,对系统的敏感 *** 作是否有日志记录,日志是否有人去复核,再者就是看用户权限管理是否按照基于角色来进行权限分配。现在商用方面 *** 作系统用得比较多的是win2000,LINUX,UNIX,银行AIX用得比较多,数据库就是SAP,ORACLE,SQL server等,银行DB2用得也比较多。审计的时候呢,对于安全配置,就是输入一些命令,调出相关配置,四大像安永会有团队专门设计脚本 ,只要放到客户机器上那么一跑,结果自动就出来了,高度傻瓜式,流程化机械化,IT审计师的可替代性更强了,价值更低了。再就是把所有用户的权限列表拉出来,看是不是合理合规,后点关注超级管理员的权限。
四、应用系统控制。关注点同 *** 作系统及数据库。不过应用系统千变万化,比如银行里面比较大的应用系统就有综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等等等。但万变不离其综,这些系统做ITGC思路都是一样的,就看安全配置和用户权限。如果要支持财审进行ITAC的审计,则要具体情况具体分析设计,因此个人认为ITAC的审计是IT审计师能体现自身经验与价值的地方,光做ITGC是没有前途的
五、接口控制与信息安全。各种系统之前会有接口,那么数据从一个系统传输到另一系统中数据的准确性完整性要得到保证。审计程序一般首先看系统中是不是有自动核对的机制,比如银行的核心业务系统基本与每个重要的业务系统都有接口并且每天会进行大量的数据交互,做的好的会有一个核对机制,加入一些校验机制,确认数据的准确完整,有的银行测没有。信息安全就是看看网络管理相关的制度,看看防火墙的结构,内外网是不是分离啊等等,无聊至极。
以上就是关于如何开展IT审计项目,IT审计的实施过程是什么全部的内容,包括:如何开展IT审计项目,IT审计的实施过程是什么、远程审计和it审计的区别、游戏公司账务税务处理等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)