热门游戏:
大型互联网游戏公司的内部审计和外部审计肯定包括:财务审计、IT审计。
或许还会有合规审计,以及一直比较流行的风险管理。
但是目前国内大型互联网游戏公司绝大多数已经在美国上市,在美上市公司需要严格按照SOX法案执行,并且在SOX法案404条款关于内部控制的框架指导下实施内部审计和第三方外部审计。
我只做过在美上市公司的审计,并且是IT审计,IT审计是财务审计的延伸和支撑,就好比IT是服务于业务一样的道理。IT审计涉及的范围非常广,也很杂,在国际上有通用的审计方法和与此相关的资格认证,有兴趣的朋友可以了解一下。以下仅仅就“游戏公司的审计应该关注什么”的问题简单谈一下:
先说明:就目前来看,除去内外审各自的特性,IT审计的内审和外审关注的点和测试方法大体一致,以下都是通用的。
首要要明白:如何确定审计范围,这也是回答审计应该关注什么的前提。
根据SOX404,首先要严格关注与财报相关的各个流程,以及与此流程相关的信息资产(包括数据、系统、人、物理安全等)。这是个大原则,一切审计活动都是以此为依据开展的。
然后再说游戏公司,根据游戏公司的特点,最应该关注游戏收入相关的流程和信息资产。
玩家从充值买点到最终在系统内实际消费购买虚拟物品,后台有关此流程数据传输、存储的整个过程,这个过程中涉及到的每个环节,包括应用系统、操作系统、数据库、程序、网络等相关都很重要,因为它们覆盖了整个数据流程,是财务做收入确认的依据并且最终体现在财报上。因此,公司内的IT部门以及IT内部控制的目标是:
保证系统、程序、数据的机密性、一致性、准确性、完整性和可用性来确保财务报告的准确性、完整性和及时性。
从IT审计的角度,我们需要通过以下几个点来做基于风险的IT审计,下面是我之前给别人培训时使用的PPT截图:
1、SOX404 IT内部控制及对财务报表的影响
2、ITGC(IT General Control,IT总体控制)(此部分为IT审计通用关注点)
(1)系统开发:按照系统开发生命周期进行管理和审计
(2)系统变更:对变更流程的控制
(3)系统运维:
-1、数据备份与恢复
-2、故障处理
-3、系统日志和权限例行检查
-4、数据库服务器日志和权限例行检查
-5、应用日志和权限例行检查
-6、批次作业记录
-7、服务器硬件维护/机房管理
……
(4)安全管理:
1、权限、账号管理(申请、变更、删除)
2、网络、服务器安全漏洞扫描
3、安全日志检查
4、配置管理
5、Token管理(申请、变更、撤销)
......
3、ITAC(IT Application Control,IT应用控制)(此部分更侧重游戏行业的特色)
(1)游戏配平
(2)游戏计费:完成游戏计费流程的有效性的测试抽样。例:
-1、按照内审部抽取的游戏玩家充值样本,分别各个传输节点查找相应记录并截屏,以验证相应排重、批次作业部署正常,数据记录准确无误。
-2、游戏玩家人数(最高在线人数、付费用户数等)抽样统计。
-3、游戏开卡数据抽样统计。
-4、用户权限检查。
(3)新游戏上线对其计费(收入)相关测试(新游戏预测试):方法同上(2)
大概如此,其中一个点都可以展开来说很多,就不赘述了,
重申一点:对于互联网游戏行业来讲,他们还是看重收入,所以IT审计多是围绕此展开的。
此外,基于SOX404做的审计都有其局限性,现在我更多是考虑如何突破这一局限,在保证通过SOX404的前提下,IT审计有新的发展。
