您现在的位置:

博客精选 >

对游戏公司的审计应该关注的几个问题

  大型互联网游戏公司的内部审计和外部审计肯定包括:财务审计、IT审计。

  或许还会有合规审计,以及一直比较流行的风险管理。

  但是目前国内大型互联网游戏公司绝大多数已经在美国上市,在美上市公司需要严格按照SOX法案执行,并且在SOX法案404条款关于内部控制的框架指导下实施内部审计和第三方外部审计。

  我只做过在美上市公司的审计,并且是IT审计,IT审计是财务审计的延伸和支撑,就好比IT是服务于业务一样的道理。IT审计涉及的范围非常广,也很杂,在国际上有通用的审计方法和与此相关的资格认证,有兴趣的朋友可以了解一下。以下仅仅就“游戏公司的审计应该关注什么”的问题简单谈一下:

  先说明:就目前来看,除去内外审各自的特性,IT审计的内审和外审关注的点和测试方法大体一致,以甘肃治疗癫痫病的医院哪家好下都是通用的。

  首要要明白:如何确定审计范围,这也是回答审计应该关注什么的前提。

  根据SOX404,首先要严格关注与财报相关的各个流程,以及与此流程相关的信息资产(包括数据、系统、人、物理安全等)。这是个大原则,一切审计活动都是以此为依据开展的。

  然后再说游戏公司,根据游戏公司的特点,最应该关注游戏收入相关的流程和信息资产。

  玩家从充值买点到最终在系统内实际消费购买虚拟物品,后台有关此流程数据传输、存储的整个过程,这个过程中涉及到的每个环节,包括应用系统、操作系统、数据库、程序、网络等相关都很重要,因为它们覆盖了整个数据流程,是财务做收入确认的依据并且最终体现在财报上。因此,公司内的IT部门以及IT内部控制的目标是:

  保证系统、程序、数据的机密性、一致性、准确性、完整性和可用性来确保财务报告的内蒙古癫痫临床治疗方法准确性、完整性和及时性。

  从IT审计的角度,我们需要通过以下几个点来做基于风险的IT审计,下面是我之前给别人培训时使用的PPT截图:

  1、SOX404 IT内部控制及对财务报表的影响

  2、ITGC(IT General Control,IT总体控制)(此部分为IT审计通用关注点)

  (1)系统开发:按照系统开发生命周期进行管理和审计

  (2)系统变更:对变更流程的控制

  (3)系统运维:

  -1、数据备份与恢复

  -2、故障处理

  -3、系统日志和权限例行检查

  -4、数据库服务器日志和权限例行检查

  -5、应用日志和权限例行检查

  -6、批次作那里治疗小儿癫痫专业业记录

  -7、服务器硬件维护/机房管理

  ……

  (4)安全管理:

  1、权限、账号管理(申请、变更、删除)

  2、网络、服务器安全漏洞扫描

  3、安全日志检查

  4、配置管理

  5、Token管理(申请、变更、撤销)

  ......

  3、ITAC(IT Application Control,IT应用控制)(此部分更侧重游戏行业的特色)

  (1)游戏配平

  (2)游戏计费:完成游戏计费流程的有效性的测试抽样。例:

  -1、按照内审部抽取的游戏玩家充值样本,分别各个传输节点查找相应记录并截屏,以验证相应排重、批次作业部署正常,治疗小儿癫痫病哪里比较好数据记录准确无误。

  -2、游戏玩家人数(最高在线人数、付费用户数等)抽样统计。

  -3、游戏开卡数据抽样统计。

  -4、用户权限检查。

  (3)新游戏上线对其计费(收入)相关测试(新游戏预测试):方法同上(2)

  大概如此,其中一个点都可以展开来说很多,就不赘述了,

  重申一点:对于互联网游戏行业来讲,他们还是看重收入,所以IT审计多是围绕此展开的。

  此外,基于SOX404做的审计都有其局限性,现在我更多是考虑如何突破这一局限,在保证通过SOX404的前提下,IT审计有新的发展。

  

责任编辑:黑色幽默

© xinwen.ysfbw.com  乌海新闻网    版权所有  京ICP备12007688号