PDF《立信会计师事务所（特殊普通合伙） 关于优刻得科技股份有限...》

②计费系统变更清单;

立信会计师事务所(特殊普通合伙) 关于优刻得科技股份有限公司 首次公开发行股票并在科创板上市申请文件的 第二轮审核问询函之回复 8-2-3 ③2016-2018 年的纸质《计费系统变更审批表》 ;

④计费系统开发环境、测试环境以及生产环境服务器 IP 地址截图;

⑤计费系统服务器操作系统用户列表;

⑥计费系统数据库用户列表. (3)分析结论: 通过检查计费系统变更清单及计费系统变更上线审批单, 发现报告期内共有

65 项系统变更,其中有

2 项系统变更缺失对应的纸质上线审批记录,其他变更 项均经过有效的上线审核. 通过检查缺失的

2 项变更在 Gitlab 中所保存的代码版 本, 确认其变更内容为产品配置的一般变更, 不会对报告期内财务数据的真实性、 准确性、完整性产生影响.

2、针对发行人未定期梳理用户权限并形成文档记录的不足 (1)核查范围和程序: 核查 2016-2018 年计费系统的运行情况,具体程序如下: ①访谈了解公司核心业务系统架构情况;

②访谈计费系统负责人,了解计费系统操作系统、数据库权限管理流程;

③获取计费系统跳板机的用户列表及《跳板机帐号开通工单》 ,检查跳板机 帐号授权审批的执行情况;

④获取公司系统中的《离职流程》 ,检查员工离职账号处理流程;

⑤检查跳板机内记录的用户操作日志,了解日志记录内容及保存情况. (2)所获取的核查证据: ①计费系统跳板机用户列表;

②《跳板机用户开通工单》 ;

③《离职流程》 ;

立信会计师事务所(特殊普通合伙) 关于优刻得科技股份有限公司 首次公开发行股票并在科创板上市申请文件的 第二轮审核问询函之回复 8-2-4 ④跳板机用户操作日志. (3)分析结论: 云计算控制台和计费系统分别为 B/S 架构中的 Browser 端和 Server 端, 无应 用层概念,故不存在应用层用户;

申报会计师获取并查看了计费系统后台数据库 用户列表,其中数据库管理员账号由指定的发行人高级管理人员掌握. 发行人使用跳板机对操作系统的访问进行控制. 申报会计师检查了跳板机的 访问控制流程,确认了用户须通过跳板机才能对操作系统进行访问,跳板机已开 启用户操作记录功能. 为了验证生产环境的数据未被恶意篡改,申报会计师随机抽取了报告期内

25 天的历史备份数据,并与生产环境的业务数据进行比对,确认历史备份数据 和生产环境的订单汇总金额和订单笔数一致. 发行人授权及禁用审批等控制措施能保障发行人用户权限明确,授权合理. 用户权限定期梳理控制是对用户权限管理方面的进一步加强, 定期梳理用户权限 并形成文档记录是对发行人信息系统管理提升的优化建议. 发行人所使用的跳板 机访问控制机制能够预防业务数据被恶意篡改, 并且发行人的数据备份机制能够 提供业务数据的完整性和可用性的保障, 能够弥补未形成用户权限定期梳理记录 的控制执行不足.

3、针对发行人未开通计费系统数据库的日志审计功能的不足 (1)核查范围和程序: 核查 2016-2018 年云计算控制台、计费系统的运行情况,具体程序如下: ①访谈公司安全运维负责人,了解公司安全政策,数据库日志存储机制和数 据库访问控制流程;

②检查跳板机内记录的用户数据库维度的操作日志, 检查日志记录内容及保 存情况;