會計信息系統控制審計會計信息系統控制審計會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務會計信息系統工作原理—從關注點出發(fā)IT審計關注財務審計關注會計信息系統工作原理—從關注點出發(fā)IT審計關注財務審計關注會計信息系統工作原理—外部結構會計信息系統工作原理—外部結構服務器、工作站、打印機網線交換機……Windows、UNIX、IOS、AndroidDB2數據庫財務報告銷售收入2000萬利潤100萬……銷售業(yè)務系統財務核算系統信息系統安全與應急計劃系統的開發(fā)獲得、維護及數據處理會計信息系統工作原理—內部結構服務器、工作站、打印機網線交換機……Windows、UNIX一般控制管理控制系統實施控制運行控制軟件控制硬件控制物理訪問控制邏輯訪問控制應用控制輸入控制處理控制輸出控制保障*控制災難恢復與應急計劃環(huán)境控制設備來源控制*會計信息系統工作原理—管理控制管理控制系統實施控制運行控制軟件控制硬件控制物理訪問控制邏輯會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務INTOSAI（最高審計機關國際組織）：

信息系統審計是：一個通過獲取并評估證據，以判斷IT系統是否保護了組織的資產，有效率地利用組織的資源，保障數據的安全性和一致性，以及有效地達到組織的業(yè)務目標的過程。

基本理論—概念INTOSAI（最高審計機關國際組織）：基本理論—概念4基本理論—類型4基本理論—類型內控信息系統審計審計準則C-SOX，SOX，COSO審計操作指南基本理論—審計依據分類內控信息系統審計審計準則C-SOX，SOX，COSO審計操作基本理論—審計依據分類基本理論—審計依據分類序號審計內容審計依據1物理環(huán)境ANSI/TIA-942:2005<TelecommunicationsInfrastructureStandardforDataCenters>2安全管理ISO/IEC27001：2013<Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements>3運維管理ISO/IEC20000-1:2011<Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements>4業(yè)務連續(xù)性BS25777:2008<Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice>5系統漏洞CVE及相關廠家提供的工具6報告出具ISACA<ISAUDITINGSTANDARDREPORTING>7其他參考ISACA相關標準；Cobit5.0

子需求主要依據其他參考

審計框架COSO

審計控制目標Cobit5.0《企業(yè)內部控制審計指引》

風險管理全面性ISO31000Riskmanagement—Principlesandguidelinesonimplementation

IT風險評估方法ISO13335Informationtechnology—GuidelinesforthemanagementofITSecurity

應對措施有效性ISO27004Informationtechnology--Securitytechniques--Informationsecuritymanagement--MeasurementsISO13335-4Informationtechnology-Securitytechniques–GuidelinesforthemanagementofITsecurity-Selectionofsafeguards

信息安全管理ISO27002-Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritymanagementISO20000Informationtechnology—Servicemanagement

信息安全策略和安全組織結構ISO27001Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemsISO20000Informationtechnology—Servicemanagement

開發(fā)控制CMMICobit4.1-A12

維護控制ISO/IEC14764SoftwareEngineering—SoftwareLifeCycleProcesses—Maintenance

系統安全GBT+22239信息安全技術+信息系統安全等級保護基本要求

網絡安全GAT387計算機信息系統安全等級保護網絡技術要求

結構安全信息系統等級保護安全設計技術技術要求

物理及環(huán)境安全GB/T21052信息安全技術信息系統物理安全技術要求

災難恢復ISO24762《信息與通訊技術災難恢復服務指南》

《重要信息系統災難恢復指南》

業(yè)務連續(xù)性計劃BS25777-Informationandcommunicationstechnologycontinuitymanagement25999-1Codeofpracticeforbusinesscontinuitymanagement

外包服務管理ISACA-G4《OUTSOURCINGOFISACTIVITIESTOOTHERORGANISATIONS》ISO27001-A.11-訪問控制

IT對關鍵業(yè)務的支持Cobit5.0

SAP評估Cobi5.0GeneralControl/ProcessControl/ApplicationControlISO15408《通用安全評估標準》

IT審計規(guī)劃Cobit5.0

物理防護通用防護《信息安全技術信息系統物理安全技術要求》（報批稿）

布線GB/T-50311-2007（2）

防電磁泄露GB/T-8702-1988（3）

防雷GB/T-7450（4），GB/T-50057（5），GB/T-50343-2004（6），《防雷裝置安全檢測技術規(guī)范》

防火GBJ16-2001（7）

防靜電YD-T754（8）

接地GB/T-50169（9）

火災報警GB/T-50166（10）

活動地板GB/T-6650（11），SJ-T10796-2001（12）

場地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），

網絡防護GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）

系統防護GB/T-21028-2007（20），GB/T-20271-2006（17），《信息系統安全等級保護基本要求》）

基本理論—其他依據序號審計內容審計依據1物理環(huán)境ANSI/TIA-942:20基本理論—信息安全基本理論—信息安全基本理論—IT運維基本理論—IT運維基本理論—CObit基本理論—CObit能力等級特點關鍵過程第一級初始級（最低級）軟件工程管理制度缺乏，過程缺乏定義、混亂無序。成功依靠的是個人的才能和經驗，經常由于缺乏管理和計劃導致時間、費用超支。管理方式屬于反應式，主要用來應付危機。過程不可預測，難以重復。

第二級可重復級基于類似項目中的經驗，建立了基本的項目管理制度，采取了一定的措施控制費用和時間。管理人員可及時發(fā)現問題，采取措施。一定程度上可重復類似項目的軟件開發(fā)。需求管理,項目計劃,項目跟蹤和監(jiān)控,軟件子合同管理,軟件配置管理,軟件質量保障第三級已定義級已將軟件過程文檔化、標準化，可按需要改進開發(fā)過程，采用評審方法保證軟件質量。可借助CASE工具提高質量和效率。組織過程定義,組織過程焦點,培訓大綱,軟件集成管理,軟件產品工程,組織協調,專家審評第四級已管理級針對制定質量、效率目標，并收集、測量相應指標。利用統計工具分析并采取改進措施。對軟件過程和產品質量有定量的理解和控制。定量的軟件過程管理和產品質量管理第五級優(yōu)化級（最高級）基于統計質量和過程控制工具，持續(xù)改進軟件過程。質量和效率穩(wěn)步改進。缺陷預防,過程變更管理和技術變更管理基本理論—CMM能力等級特點關鍵過程第一級初始級（最低級）軟件工程管理制度基本理論—標準框架基本理論—標準框架掃描工具：ISS、Dbscanner、webscanner、日志分析：網站日志、系統日志、數據庫日志行為分析：攻擊類工具工具信息技術類業(yè)務分析類ACLSPSSSAS基本理論—審計工具掃描工具：ISS、Dbscanner、webscanner審計程序網絡拓撲；防病毒；物理環(huán)境；系統補??；負載均衡常規(guī)控制流程控制帳號設置；權限設置；日志分析；控制規(guī)則應用控制應急管理；變更管理；可用性管理；故障管理；業(yè)務連續(xù)性等。審計目的審計章程審計方案審計風險基本理論—審計程序審計程序網絡拓撲；常規(guī)控制流程控制帳號設置；應用控制應急管理基本理論—審計工具基本理論—審計工具基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務會計信息系統審計—與財務報表之間的關系會計信息系統審計—與財務報表之間的關系會計信息系統審計—會計信息系統會計信息系統審計—會計信息系統信息技術已成為支持公司業(yè)務、財務、管理的重要基礎構架，提供內部、外部、第三方等用戶對公司信息的訪問。會計信息系統審計—會計信息系統結構信息技術已成為支持公司業(yè)務、財務、管理的重要基礎構架，提供內會計信息系統審計—可能產生的危害會計信息系統審計—可能產生的危害根據一家國際機構的數據統計，自2004年至2008年6月30日，在內控無效的美國上市公司中，大約17%～25%的公司在IT內部控制方面存在重大缺陷：根據統計和分析，導致內控無效的信息系統方面重大控制缺陷主要有以下幾種類型：?程序控制上的缺陷?軟件開發(fā)/實施?職責分離?用戶對系統的訪問授權?對數據訪問的監(jiān)管和控制會計信息系統審計—利用會計系統犯罪的趨勢根據一家國際機構的數據統計，自2004年至2008年6月30會計信息系統審計—會計系統控制內容會計信息系統審計—會計系統控制內容會計信息系統審計—公司層面控制會計信息系統審計—公司層面控制應用控制是設計在計算機應用系統中的有助于達到信息處理目標的控制，例如：

許多應用系統中根據業(yè)務的需求（“業(yè)務規(guī)則”）設置了很多編輯檢查來幫助確保錄入數據的準確性，編輯檢查可能包括格式檢查（如：日期格式或數字格式），存在性檢查（如：客戶編碼存在于客戶主數據文檔之中），或合理性檢查（如：最大支付金額）如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查，那么系統可能拒絕錄入該數據或系統可能將該錄入數據包括在系統生成的例外報告之中，留待后續(xù)跟進和處理如果企業(yè)依賴帶有關鍵編輯檢查功能的應用系統支持業(yè)務，那這些應用控制的有效性必須建立在信息系統一般控制的基礎之上會計信息系統審計—公司層面控制（續(xù)）應用控制是設計在計算機應用系統中的有助于達到信息處理目標的控會計信息系統審計—一般控制會計信息系統審計—一般控制會計信息系統審計—一般控制（續(xù)）會計信息系統審計—一般控制（續(xù)）會計信息系統審計—一般控制范圍及缺失產生影響如果計算機環(huán)境發(fā)現了信息技術一般控制的缺陷，則會影響系統整體的可信程度，例如：√程序變更控制缺陷可能導致未授權人員對檢查錄入數據字段格式的編程邏輯進行修改，導致系統接受不準確的錄入數√與安全和訪問權限相關的控制缺陷可能導致數據錄入不恰當地繞過合理性檢查，而該合理性檢查在其他方面將使系統無法處理金額超過最大容差范圍的支付操作信息系統的開發(fā)和實施：?開發(fā)與實施活動的管理、項目發(fā)起、分析與設計、自開發(fā)系統的建設與軟件包的選擇、測試和質量保證、數據轉換、上線、文檔與培訓等信息系統的變更和維護：?維護活動的管理、規(guī)格說明、授權和跟蹤變更申請、系統編程、測試和質量保證、遷移到生產環(huán)境的授權、文檔和培訓等信息系統的操作和運行：?對系統操作的總體控制、工作計劃和批處理、備份管理、管理數據中心環(huán)境、從操作失敗中恢復、用戶幫助部門的功能、服務水平協議等程序和數據的接觸安全：?安全組織和管理、安全政策和流程、應用系統的安全管理、數據安全、操作系統安全、內部網絡安全、邊界網絡安全、物理安全等會計信息系統審計—一般控制范圍及缺失產生影響如果計算機環(huán)境會計信息系統審計—一般控制范圍信息系統的開發(fā)和實施?目標是確保系統的開發(fā)、配置和實施能夠實現管理層的應用控制目標，包括考慮：程序開發(fā)活動的全面管理項目啟動控制應當確保項目的計劃、資源配置和啟動可以支持實現管理層的應用控制目標?具體控制領域包括：用戶需求測試和質量確保數據遷移程序實施記錄和培訓職責分離信息系統的變更和維護?目標是確保對程序和相關基礎組件的變更是經過請求、授權、執(zhí)行、測試和實施的，以達到管理層的應用控制目標?具體控制領域包括：對維護活動的管理對變更請求的規(guī)范、授權與跟蹤對程序變更實施過程的控制測試和質量確保程序實施記錄和培訓職責分離會計信息系統審計—一般控制范圍信息系統的開發(fā)和實施信息系統的信息系統的操作和運行?目標是確保生產系統根據管理層的控制目標、完整準確地運行，確保運行問題被完整準確地識別并解決，以維護財務數據的完整性?具體控制領域包括：計算機運行活動的總體管理批處理實時處理備份和問題管理災難恢復重要電子表格程序和數據的接觸安全?目標是確保分配的訪問程序和數據的權限是經過用戶身份認證并經過授權的?具體控制領域包括：安全活動管理安全管理數據安全操作系統安全網絡安全物理安全會計信息系統審計—一般控制范圍（續(xù)）信息系統的操作和運行程序和數據的接觸安全會計信息系統審計—一信息技術一般控制舉例：1.1系統開發(fā)和重大變更流程:控制點：?用戶需求文檔以及其他系統設計文檔應該經過用戶所在部門管理層審批并妥善保存。?變更在被移植到生產環(huán)境前被測試。測試的級別應當和變更的大小相當。?系統的開發(fā)和測試環(huán)境必須與生產環(huán)境分離；相沖突的職責被適當分離。?制定并保存詳細的數據遷移計劃，計劃應涵蓋具體的數據遷移步驟。數據遷移的過程應當在原始位置和目的地之間進行測試，確保數據的完整，準確和有效。?對于外包的IT項目，公司的項目管理組應該對服務商的運作以及控制的有效性進行檢查。?管理層應在系統上線前對其進行檢查和審批。1.2系統日常變更流程：控制點：?一般的程序變更請求需要由用戶部門管理層審批并存檔保留。?在移植到生產環(huán)境前，應當對程序變更進行測試。測試的級別與變更的大小相當。?在程序變更過程中對相沖突的職責實施有效的分離。?程序變更上線之前需要經過管理層的檢查和審批。?開發(fā)和測試環(huán)境在邏輯或物理上與生產環(huán)境分離。會計信息系統審計—一般控制舉例信息技術一般控制舉例：1.2系統日常變更流程：會計信息系統信息技術一般控制舉例：2.1用戶賬號管理－用戶創(chuàng)建/修改/刪除的授權審批：控制點：重要系統和應用程序中用戶帳號的創(chuàng)建/修改必須由管理部門進行審批；關于刪除離職或調職用戶的權限，被評估機構確立了正式的流程；2.2用戶賬號管理－權限定期檢查：控制點：用戶部門管理層應該定期檢查系統中用戶帳號和授權，并根據檢查結果進行帳號清理。信息技術一般控制舉例：3.1備份管理-備份檢查：控制點：對重要數據（包括支持重要財務信息和應用程序的數據）進行適當的備份，并及時檢查備份完成情況。3.2問題及應急事件處理：控制點：IT運行問題或事件應該及時進行識別、解決、審核和分析。會計信息系統審計—一般控制舉例（續(xù)）信息技術一般控制舉例：信息技術一般控制舉例：會計信息系統審計應用系統是提供業(yè)務功能的軟件，從而用戶可以：與電腦之間產生互動輸入和取出數據執(zhí)行業(yè)務處理功能等應用系統能夠支持業(yè)務活動，并且允許用戶更加有效率地履行他們的職責有些應用系統可以被用于訪問和修改業(yè)務及財務信息，因此，保護對于這些應用程序的訪問權限至關重要，從而降低任何與對于關鍵業(yè)務與財務相關數據擁有不合理的訪問權限相關的風險會計信息系統審計—應用控制應用系統是提供業(yè)務功能的軟件，從而用戶可以：會計信息系統審計會計信息系統審計—應用控制分類配置控制登陸權限、崗位分離控制實時校驗、編輯檢查自動計算系統接口、對賬程序會計信息系統審計—應用控制分類配置控制?配置控制：主要關注的是系統中維護的重要參數是否準確，這些參數對于系統的運行和業(yè)務處理的正確性起著非常重要的作用，此類控制多屬于人工依賴系統控制舉例：?財務管理部會計進行采購發(fā)票勾稽并做外購入庫暫估沖回后，K/3系統自動將對應的暫估應付賬款進行沖回。?系統能根據預先的設置根據科目余額表余額生成資產負債表和利潤表。會計信息系統審計—配置控制?配置控制：會計信息系統審計—配置控制?登錄權限/崗位分離應用系統中用戶的權限設置是否合理，是否按照職責需要進行授權，是否考慮到崗位分離的情況。舉例：?會計憑證在金蝶K/3系統中的錄入，一般此項操作需要一人制單，一人復核及過賬。會計信息系統審計—登陸權限/崗位分離?登錄權限/崗位分離會計信息系統審計—登陸權限/崗位分離?實時校驗和編輯檢查也稱為系統錄入控制，此類控制主要是系統自動控制。這類控制點的主要作用是確保錄入到系統中的數據的準確性，在進行業(yè)務錄入時系統會對重要字段的合理性、合規(guī)性和準確性進行檢查，以防止一些非法的或不真實的數據被系統接受，造成系統數據的不真實和大量垃圾數據的產生。舉例：?會計科目維護時系統存在錄入控制，對科目代碼進行校驗，限制過長或過短的科目代碼。?系統設定了錄入信息模板，只能按照模板規(guī)定的格式錄入信息。會計信息系統審計—實時校驗和編輯檢查?實時校驗和編輯檢查會計信息系統審計—實時校驗和編輯檢查?自動計算系統根據設定的業(yè)務邏輯進行自動計算，此類控制多為系統自動控制。此類控制一般在程序開發(fā)時已經嵌入到系統中。舉例：?金蝶K/3系統正確計算物料的當月采購平均單價。?K/3系統每月將當月所有入庫單自動匯總《成本計算單_匯總顯示》。會計信息系統審計—自動計算?自動計算會計信息系統審計—自動計算?自動系統接口/對賬例行程序:主要關注不同應用系統之間傳輸數據的準確性和完整性，一般屬于系統自動控制舉例：?倉管員根據K/3系統《銷售出庫單》的出庫或退庫指令在倉庫系統進行出庫或退庫操作，確認信息由倉庫系統上傳到K/3系統。會計信息系統審計—系統接口/對賬程序?自動系統接口/對賬例行程序:會計信息系統審計—系統接口/應用系統的復雜程度復雜的計算需求或業(yè)務規(guī)則跨國或復雜的信息系統架構應用技術的采用信息系統所提供的功能信息系統在企業(yè)應用的廣泛程度信息系統在企業(yè)的應用所支持的業(yè)務交易業(yè)務對系統的依賴程度系統之間的鏈接會計信息系統審計—應用控制需要考慮的因素應用系統的復雜程度會計信息系統審計—應用控制需要考慮的因素每個應用系統的控制都有所區(qū)別：企業(yè)的業(yè)務性質企業(yè)的組織和人員企業(yè)的管理需求所采用的技術其他的考慮，如監(jiān)管要求等應用控制要持續(xù)有效，必需有相關的配套支持：政策、制度人員（業(yè)務和信息技術）檢查和維護機制（包括信息系統一般性控制）會計信息系統審計—應用控制（續(xù)）每個應用系統的控制都有所區(qū)別：會計信息系統審計—應用控制（續(xù)會計信息系統審計—個人消費貸款系統-背景信息技術在金融領域日益廣泛的應用；新技術的風險；不僅要審計信息系統產生的電子數據，而且要對信息系統本身進行審計；各家商業(yè)銀行紛紛推出具有自身特色的個人消費信貸產品。會計信息系統審計—個人消費貸款系統-背景信息技術在金融領域日商業(yè)銀行個人消費信貸系統：個人消費信貸子系統、儲蓄前臺會計核算管理子系統和后臺系統管理子系統構成。采用雙層結構會計信息系統審計—個人消費貸款系統-概況商業(yè)銀行個人消費信貸系統：個人消費信貸子系統、儲蓄前臺會計核開展審前調查、制定審計方案；明確審計重點、確定測試項目；實施系統審計進行審計評價、提出審計建議會計信息系統審計—個人消費貸款系統-審計程序開展審前調查、制定審計方案；會計信息系統審計—個人消費貸款系提交明確資料需求；進行人員溝通；熟悉軟件主要功能；收集系統的文檔技術資料收集個人消費信貸業(yè)務的法規(guī)制度

在此基礎上，擬定審計工作方案，明確審計目標，界定審計范圍，突出審計重點，確定審計方法和步驟。會計信息系統審計—個人消費貸款系統-審前調查、制定方案提交明確資料需求；會計信息系統審計—個人消費貸款系統-審前調對已收集的系統文檔資料進行研究分析，重點圍繞審閱系統文檔和價差應用程序兩方面進行。審計人員設計一套有關一般控制、應用控制方面的調查表格，觀察系統運行使用現狀。了解軟件系統中存在哪些控制、在哪里控制、如何控制等信息，選定個別輸入程序流程，追蹤檢查輸入樣本業(yè)務。會計信息系統審計—個人消費貸款系統-審計重點、測試項目對已收集的系統文檔資料進行研究分析，重點圍繞審閱系統文檔和價1、檢查程序運行結果：

分析該軟件系統的數據字典，掌握保存程序運行結果的庫表結構與分布情況，要求某商業(yè)銀行完整下載審計所需的近100個數據庫文件，通過運用審計數據采集與分析軟件等處理工作，對下載的數據文件進行轉換，對照法律法規(guī)要求設定各種運算條件，使用工具軟件中的查詢、排序、計算、重組、分析等項功能，對電子數據進行整理、加工用于檢查，發(fā)現較多疑點，并與調閱的紙質數據、賬表和憑證進行比較取證，以確定系統的功能是否合法、正確。會計信息系統審計—個人消費貸款系統-實施審計1、檢查程序運行結果：會計信息系統審計—個人消費貸款系統-實2、數據檢測：

審計組制定了較為詳盡的測試計劃與細則，對運行環(huán)境中的程序模塊處理功能進行數據檢測。

測試數據項包括正常、有效的交易數據，不正常、無效的交易數據，破壞性數據，進行多種額度及權限下的有關交易測試。最后將程序運行結果與預期結果進行比較，判斷有關程序的控制與處理功能是否恰當、有效。會計信息系統審計—個人消費貸款系統-實施審計2、數據檢測：會計信息系統審計—個人消費貸款系統-實施審計3、平行模擬：

由審計人員運用SQL語言編寫相同的處理及控制功能模擬程序，用來處理貸款交易歷史文件中當期的實際數據，得到新的處理結果。比較兩個結果，對不符情況，全面調閱有關賬證，進行重點檢查。會計信息系統審計—個人消費貸款系統-實施審計3、平行模擬：會計信息系統審計—個人消費貸款系統-實施審計根據審計中的發(fā)現，對系統做出審計評價，并針對存在的問題提出改進建議。1、系統功能不夠完善，部分功能模塊存在漏洞與缺陷；2、總體業(yè)務設計尚有欠缺；3、系統使用管理與控制不夠有力；4、業(yè)務風險控制措施不力；5、交易監(jiān)督管理功能薄弱。會計信息系統審計—個人消費貸款系統-審計建議根據審計中的發(fā)現，對系統做出審計評價，并針對存在的問題提出改1、系統功能不夠完善：（1）輸入控制存在缺陷，數據關聯度不夠，輸入校驗不足：已經上傳進行審批或已審批的貸款客戶資料不能進行修改。系統前端發(fā)生輸入錯誤后，只能開立新賬號重新登陸，而貸款戶參數表中仍記錄實際已作廢的出錯業(yè)務。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審1、系統功能不夠完善：（2）邏輯控制存在薄弱環(huán)節(jié)，數據真實性、完整性、準確性不夠：系統“貸款戶參數表”中“貸款賬號”地段編碼規(guī)則未統一，如新舊賬號長度不等（貸款新賬號長度16位，格式為貸款機構+貸款+期限檔次+賬號順序+校驗位；舊帳號則長度不統一，甚至出現僅為兩位數的情況），未作統一的轉換設計。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審1、系統功能不夠完善：（3）系統參數管理及控制功能薄弱，部分參數設置、使用違規(guī)：如用于業(yè)務限額控制的參數數據表“貸款業(yè)務種類表”中各貸種最高貸款額均設定為1000萬元，最低貸款額為0，最長貸款期限為480個月，最高貸款比例為100%，而根據商業(yè)銀行總行的規(guī)定，在保證或擔保方式下，個人消費額度貸款最高額度為60萬元（AAA級），期限最長為5年。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審2、總體業(yè)務設計尚有欠缺：（1）對個人住房貸款系統業(yè)務電子數據貸款戶動態(tài)明細表、貸款戶參數表進行分析檢查，發(fā)現逾期本金、呆滯本金總額與業(yè)務報表差異明顯，原因在于貸款形態(tài)轉列時，系統并未自動轉換，僅提供提示，仍由人工干預調整。（2）系統控制功能調整未與國家有關個人消費貸款業(yè)務法規(guī)的變化保持一致。會計信息系統審計—個人消費貸款系統-審計建議2、總體業(yè)務設計尚有欠缺：會計信息系統審計—個人消費貸款系統2、總體業(yè)務設計尚有欠缺：（3）執(zhí)行查詢操作時，無法選擇時點，查詢結果僅為實時數據，統計功能不夠強大，無法實現查詢條件的任意組合，有關查詢部分的信息不能打印。（4）還款方式不夠靈活多樣，信用卡批量扣款無法實現部分扣款；（5）沒有實現整個分行系統內部信息的共享，需求尚未真正實現。會計信息系統審計—個人消費貸款系統-審計建議2、總體業(yè)務設計尚有欠缺：會計信息系統審計—個人消費貸款系統3、系統使用管理與控制不夠有力：（1）貸款業(yè)務審批人員也擁有具體經辦人員操作權限密碼。（2）訪問控制不強，口令未定期更新。（3）系統未安裝防殺病毒軟件。（4）無具體的安全管理規(guī)定。會計信息系統審計—個人消費貸款系統-審計建議3、系統使用管理與控制不夠有力：會計信息系統審計—個人消費貸4、業(yè)務風險控制措施不力：（1）大量發(fā)放超限額及無指定用途的個人消費貸款；（2）放松信貸條件，存在個人住房貸款“零首付”、開發(fā)商擔保的方式；（3）個人住房貸款還款能力風險評估不足，一人貸款購買多套房屋，信貸風險難以控制；（4）發(fā)放個人住房貸款用于購買本行處置的抵債資產。會計信息系統審計—個人消費貸款系統-審計建議4、業(yè)務風險控制措施不力：會計信息系統審計—個人消費貸款系統5、交易監(jiān)督管理功能薄弱審計眼神發(fā)現部分發(fā)放的個人消費貸款被改變用用途，挪用于股票認購、投資及股本，權益性交易等，甚至流入股市，擾亂金融秩序，加大市場風險。（1）借用個人名義獲取個人消費貸款投入股市；（2）使用消費貸款購買個人所在企業(yè)改制后的股份；（3）將個人消費貸款用于向企業(yè)員工分紅；（4）個人住房被企業(yè)改用于支付貨款、歸還借款；（5）以個人消費貸款名義變相發(fā)放開發(fā)企業(yè)貸款。會計信息系統審計—個人消費貸款系統-審計建議5、交易監(jiān)督管理功能薄弱會計信息系統審計—個人消費貸款系統-會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務銜接—如何開展銜接—如何開展?有自動復雜計算功能的系統?系統技術落后，供應商已不在提供支持服務?沒有被廣泛應用的新興技術?客戶自行開發(fā)軟件，或者對市場常規(guī)軟件有重大修改的軟件?企業(yè)資源規(guī)劃系統(ERP)?系統與系統間存在大量自定義的接口?處理大量交易的系統?為一個復雜企業(yè)處理的系統?復雜的信息技術設施銜接—什么時候必須測試信息技術一般控制?有自動復雜計算功能的系統銜接—什么時候必須測試信息技術一?依賴不能正確處理數據或者處理出來的數據不正確的系統或者程序?未經授權的數據訪問會導致數據損壞或者被不正當的修改，包括未經授權地記錄不存在的交易或者不正確的交易?未經授權修改主數據庫中的數據?未經授權修改系統或者程序?未能對系統或程序進行必要的修改?不恰當的人為干預?丟失數據的可能性銜接—信息技術一般控制的特定風險?依賴不能正確處理數據或者處理出來的數據不正確的系統或者程?訪問程序和數據的權限、程序變更這兩個方面總是與測試相關的，它們的復雜程度和審計證據的類型在審計客戶中是有巨大的差異的。?程序開發(fā)只有當新系統的運行會對財務報告內部控制以及重大錯報風險有影響時，才與測試相關。如果對于當年的財務報表和財務報告內部控制沒有影響，就不需要測試。?計算機運行只有在可以直接與重要賬戶的認定相關或者與特定風險相關時，這項測試是相關的(通常發(fā)生在交易量龐大，信息系統復雜的行業(yè),比如銀行)。銜接—與測試相關的?訪問程序和數據的權限、程序變更銜接—與測試相關的性質：?詢問、觀察、檢查、重新執(zhí)行；?也有審閱系統參數設置時間：安排在應用系統控制測試之前范圍：運用職業(yè)判斷確定測試范圍銜接—性質、時間、范圍性質：銜接—性質、時間、范圍銜接—一般控制的問題銜接—一般控制的問題銜接—如何評測銜接—如何評測?測試一個樣本就足夠了，但是要覆蓋自動化控制中涉及的一系列屬性?如果信賴自動化應用控制,需要測試信息技術一般控制并得到滿意的結果?我們需要理解和審計針對管理層凌駕于控制之上風險而設計的控制銜接—如何測試?測試一個樣本就足夠了，但是要覆蓋自動化控制中涉及的一系列一組文檔內的下述數據被匯總計算：?文件數量?合計金額?哈希匯總把批總數輸入系統并且與系統計算的結果相比較。銜接—是否進行分批總計處理一組文檔內的下述數據被匯總計算：銜接—是否進行分批總計處理?由一定范圍內連續(xù)的數據組成?系統不接受重復的數據?系統不接受無效數據?對數據遺漏報告進行跟進調查銜接—開展順序檢查?由一定范圍內連續(xù)的數據組成銜接—開展順序檢查?將文檔的順序號與可接受列表進行比較?如果數據不相符，文檔僅在授權后才可被處理?不符項必須被跟進檢查以確保控制技術的有效執(zhí)行銜接—進行計算匹配?將文檔的順序號與可接受列表進行比較銜接—進行計算匹配?確保每一個文件都與經計算機處理的詳細文件清單相符合?成本高?耗時長?必須獲得所有的原始數據銜接—一對一檢查?確保每一個文件都與經計算機處理的詳細文件清單相符合銜接—?合理性檢查?從屬檢查?存在性檢查?格式檢驗?極限檢查?數學精確度檢驗?校驗數位驗證?預錄輸入匹配銜接—編輯檢查程序?合理性檢查銜接—編輯檢查程序銜接—測試應用控制自動化控制是系統功能的一部分，因此如果它們被正確執(zhí)行一次，理論上說它們會一直被正確地執(zhí)行下去為了評估自動化控制的運行效率，測試的樣本數量通常只限于確保該控制的所有相關屬性有效執(zhí)行一次（即“測試一次”）我們往往可以通過穿行測試取得自動化控制的實施證據銜接—測試應用控制自動化控制是系統功能的一部分，因此如果它們1、情況描述:

自動化控制確保同一發(fā)票號碼不會被重復錄入信息處理目標:完整性2、測試步驟:

在以下幾種情況下測試運行中的控制:輸入一個正確的發(fā)票號碼輸入一個重復的發(fā)票號碼輸入一個空的發(fā)票號碼3、測試結論：通過執(zhí)行以上測試，我們已經測試了這項控制的所有重要屬性銜接—舉例1、情況描述:銜接—舉例控制執(zhí)行異常未必會對審計產生影響，或者需要作為重大缺陷報告治理層。當我們發(fā)現控制執(zhí)行異常時，審計小組應該:判斷執(zhí)行異常個體或者匯總是否被認定為內部控制的缺陷，或重大缺陷。所有的重大缺陷都必須與公司治理層溝通確定對審計方法的影響確保所有在控制測試中發(fā)現的執(zhí)行異常都被記錄下來銜接—異常與缺陷的判斷控制執(zhí)行異常未必會對審計產生影響，或者需要作為重大缺陷報告治如果信息技術一般控制失效，我們就不能依賴自動控制？針對信息技術一般控制,應用控制和重要的會計流程:如果信息技術一般控制是有效的,滾動測試只需要涵蓋信息系統一般控制如果信息技術一般控制失效,那么可以:對于已整改的信息技術一般控制，測試信息技術一般控制和相關的應用控制如果信息技術一般控制未被整改，需要對所有關鍵自動應用控制進行滾動測試，或者對與失效的信息技術一般控制相關的重要會計流程進行測試銜接—異常與缺陷的判斷（續(xù)）如果信息技術一般控制失效，我們就不能依賴自動控制？銜接—異常?審計師介入的時間?人員和技術的要求?審計方法：執(zhí)行實質性測試的局限?被審單位和實施方的關系?對發(fā)現的問題整改的責任?與其他審計工作的結合銜接—關注點?審計師介入的時間銜接—關注點致謝

歡迎交流致謝歡迎交流會計信息系統控制審計會計信息系統控制審計會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務會計信息系統工作原理—從關注點出發(fā)IT審計關注財務審計關注會計信息系統工作原理—從關注點出發(fā)IT審計關注財務審計關注會計信息系統工作原理—外部結構會計信息系統工作原理—外部結構服務器、工作站、打印機網線交換機……Windows、UNIX、IOS、AndroidDB2數據庫財務報告銷售收入2000萬利潤100萬……銷售業(yè)務系統財務核算系統信息系統安全與應急計劃系統的開發(fā)獲得、維護及數據處理會計信息系統工作原理—內部結構服務器、工作站、打印機網線交換機……Windows、UNIX一般控制管理控制系統實施控制運行控制軟件控制硬件控制物理訪問控制邏輯訪問控制應用控制輸入控制處理控制輸出控制保障*控制災難恢復與應急計劃環(huán)境控制設備來源控制*會計信息系統工作原理—管理控制管理控制系統實施控制運行控制軟件控制硬件控制物理訪問控制邏輯會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務INTOSAI（最高審計機關國際組織）：

信息系統審計是：一個通過獲取并評估證據，以判斷IT系統是否保護了組織的資產，有效率地利用組織的資源，保障數據的安全性和一致性，以及有效地達到組織的業(yè)務目標的過程。

基本理論—概念INTOSAI（最高審計機關國際組織）：基本理論—概念4基本理論—類型4基本理論—類型內控信息系統審計審計準則C-SOX，SOX，COSO審計操作指南基本理論—審計依據分類內控信息系統審計審計準則C-SOX，SOX，COSO審計操作基本理論—審計依據分類基本理論—審計依據分類序號審計內容審計依據1物理環(huán)境ANSI/TIA-942:2005<TelecommunicationsInfrastructureStandardforDataCenters>2安全管理ISO/IEC27001：2013<Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements>3運維管理ISO/IEC20000-1:2011<Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements>4業(yè)務連續(xù)性BS25777:2008<Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice>5系統漏洞CVE及相關廠家提供的工具6報告出具ISACA<ISAUDITINGSTANDARDREPORTING>7其他參考ISACA相關標準；Cobit5.0

子需求主要依據其他參考

審計框架COSO

審計控制目標Cobit5.0《企業(yè)內部控制審計指引》

風險管理全面性ISO31000Riskmanagement—Principlesandguidelinesonimplementation

IT風險評估方法ISO13335Informationtechnology—GuidelinesforthemanagementofITSecurity

應對措施有效性ISO27004Informationtechnology--Securitytechniques--Informationsecuritymanagement--MeasurementsISO13335-4Informationtechnology-Securitytechniques–GuidelinesforthemanagementofITsecurity-Selectionofsafeguards

信息安全管理ISO27002-Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritymanagementISO20000Informationtechnology—Servicemanagement

信息安全策略和安全組織結構ISO27001Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemsISO20000Informationtechnology—Servicemanagement

開發(fā)控制CMMICobit4.1-A12

維護控制ISO/IEC14764SoftwareEngineering—SoftwareLifeCycleProcesses—Maintenance

系統安全GBT+22239信息安全技術+信息系統安全等級保護基本要求

網絡安全GAT387計算機信息系統安全等級保護網絡技術要求

結構安全信息系統等級保護安全設計技術技術要求

物理及環(huán)境安全GB/T21052信息安全技術信息系統物理安全技術要求

災難恢復ISO24762《信息與通訊技術災難恢復服務指南》

《重要信息系統災難恢復指南》

業(yè)務連續(xù)性計劃BS25777-Informationandcommunicationstechnologycontinuitymanagement25999-1Codeofpracticeforbusinesscontinuitymanagement

外包服務管理ISACA-G4《OUTSOURCINGOFISACTIVITIESTOOTHERORGANISATIONS》ISO27001-A.11-訪問控制

IT對關鍵業(yè)務的支持Cobit5.0

SAP評估Cobi5.0GeneralControl/ProcessControl/ApplicationControlISO15408《通用安全評估標準》

IT審計規(guī)劃Cobit5.0

物理防護通用防護《信息安全技術信息系統物理安全技術要求》（報批稿）

布線GB/T-50311-2007（2）

防電磁泄露GB/T-8702-1988（3）

防雷GB/T-7450（4），GB/T-50057（5），GB/T-50343-2004（6），《防雷裝置安全檢測技術規(guī)范》

防火GBJ16-2001（7）

防靜電YD-T754（8）

接地GB/T-50169（9）

火災報警GB/T-50166（10）

活動地板GB/T-6650（11），SJ-T10796-2001（12）

場地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），

網絡防護GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）

系統防護GB/T-21028-2007（20），GB/T-20271-2006（17），《信息系統安全等級保護基本要求》）

基本理論—其他依據序號審計內容審計依據1物理環(huán)境ANSI/TIA-942:20基本理論—信息安全基本理論—信息安全基本理論—IT運維基本理論—IT運維基本理論—CObit基本理論—CObit能力等級特點關鍵過程第一級初始級（最低級）軟件工程管理制度缺乏，過程缺乏定義、混亂無序。成功依靠的是個人的才能和經驗，經常由于缺乏管理和計劃導致時間、費用超支。管理方式屬于反應式，主要用來應付危機。過程不可預測，難以重復。

第二級可重復級基于類似項目中的經驗，建立了基本的項目管理制度，采取了一定的措施控制費用和時間。管理人員可及時發(fā)現問題，采取措施。一定程度上可重復類似項目的軟件開發(fā)。需求管理,項目計劃,項目跟蹤和監(jiān)控,軟件子合同管理,軟件配置管理,軟件質量保障第三級已定義級已將軟件過程文檔化、標準化，可按需要改進開發(fā)過程，采用評審方法保證軟件質量?？山柚鶦ASE工具提高質量和效率。組織過程定義,組織過程焦點,培訓大綱,軟件集成管理,軟件產品工程,組織協調,專家審評第四級已管理級針對制定質量、效率目標，并收集、測量相應指標。利用統計工具分析并采取改進措施。對軟件過程和產品質量有定量的理解和控制。定量的軟件過程管理和產品質量管理第五級優(yōu)化級（最高級）基于統計質量和過程控制工具，持續(xù)改進軟件過程。質量和效率穩(wěn)步改進。缺陷預防,過程變更管理和技術變更管理基本理論—CMM能力等級特點關鍵過程第一級初始級（最低級）軟件工程管理制度基本理論—標準框架基本理論—標準框架掃描工具：ISS、Dbscanner、webscanner、日志分析：網站日志、系統日志、數據庫日志行為分析：攻擊類工具工具信息技術類業(yè)務分析類ACLSPSSSAS基本理論—審計工具掃描工具：ISS、Dbscanner、webscanner審計程序網絡拓撲；防病毒；物理環(huán)境；系統補丁；負載均衡常規(guī)控制流程控制帳號設置；權限設置；日志分析；控制規(guī)則應用控制應急管理；變更管理；可用性管理；故障管理；業(yè)務連續(xù)性等。審計目的審計章程審計方案審計風險基本理論—審計程序審計程序網絡拓撲；常規(guī)控制流程控制帳號設置；應用控制應急管理基本理論—審計工具基本理論—審計工具基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）基本理論—審計工具（續(xù)）會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務會計信息系統審計—與財務報表之間的關系會計信息系統審計—與財務報表之間的關系會計信息系統審計—會計信息系統會計信息系統審計—會計信息系統信息技術已成為支持公司業(yè)務、財務、管理的重要基礎構架，提供內部、外部、第三方等用戶對公司信息的訪問。會計信息系統審計—會計信息系統結構信息技術已成為支持公司業(yè)務、財務、管理的重要基礎構架，提供內會計信息系統審計—可能產生的危害會計信息系統審計—可能產生的危害根據一家國際機構的數據統計，自2004年至2008年6月30日，在內控無效的美國上市公司中，大約17%～25%的公司在IT內部控制方面存在重大缺陷：根據統計和分析，導致內控無效的信息系統方面重大控制缺陷主要有以下幾種類型：?程序控制上的缺陷?軟件開發(fā)/實施?職責分離?用戶對系統的訪問授權?對數據訪問的監(jiān)管和控制會計信息系統審計—利用會計系統犯罪的趨勢根據一家國際機構的數據統計，自2004年至2008年6月30會計信息系統審計—會計系統控制內容會計信息系統審計—會計系統控制內容會計信息系統審計—公司層面控制會計信息系統審計—公司層面控制應用控制是設計在計算機應用系統中的有助于達到信息處理目標的控制，例如：

許多應用系統中根據業(yè)務的需求（“業(yè)務規(guī)則”）設置了很多編輯檢查來幫助確保錄入數據的準確性，編輯檢查可能包括格式檢查（如：日期格式或數字格式），存在性檢查（如：客戶編碼存在于客戶主數據文檔之中），或合理性檢查（如：最大支付金額）如果在錄入數據時某一項“業(yè)務規(guī)則”未通過編輯檢查，那么系統可能拒絕錄入該數據或系統可能將該錄入數據包括在系統生成的例外報告之中，留待后續(xù)跟進和處理如果企業(yè)依賴帶有關鍵編輯檢查功能的應用系統支持業(yè)務，那這些應用控制的有效性必須建立在信息系統一般控制的基礎之上會計信息系統審計—公司層面控制（續(xù)）應用控制是設計在計算機應用系統中的有助于達到信息處理目標的控會計信息系統審計—一般控制會計信息系統審計—一般控制會計信息系統審計—一般控制（續(xù)）會計信息系統審計—一般控制（續(xù)）會計信息系統審計—一般控制范圍及缺失產生影響如果計算機環(huán)境發(fā)現了信息技術一般控制的缺陷，則會影響系統整體的可信程度，例如：√程序變更控制缺陷可能導致未授權人員對檢查錄入數據字段格式的編程邏輯進行修改，導致系統接受不準確的錄入數√與安全和訪問權限相關的控制缺陷可能導致數據錄入不恰當地繞過合理性檢查，而該合理性檢查在其他方面將使系統無法處理金額超過最大容差范圍的支付操作信息系統的開發(fā)和實施：?開發(fā)與實施活動的管理、項目發(fā)起、分析與設計、自開發(fā)系統的建設與軟件包的選擇、測試和質量保證、數據轉換、上線、文檔與培訓等信息系統的變更和維護：?維護活動的管理、規(guī)格說明、授權和跟蹤變更申請、系統編程、測試和質量保證、遷移到生產環(huán)境的授權、文檔和培訓等信息系統的操作和運行：?對系統操作的總體控制、工作計劃和批處理、備份管理、管理數據中心環(huán)境、從操作失敗中恢復、用戶幫助部門的功能、服務水平協議等程序和數據的接觸安全：?安全組織和管理、安全政策和流程、應用系統的安全管理、數據安全、操作系統安全、內部網絡安全、邊界網絡安全、物理安全等會計信息系統審計—一般控制范圍及缺失產生影響如果計算機環(huán)境會計信息系統審計—一般控制范圍信息系統的開發(fā)和實施?目標是確保系統的開發(fā)、配置和實施能夠實現管理層的應用控制目標，包括考慮：程序開發(fā)活動的全面管理項目啟動控制應當確保項目的計劃、資源配置和啟動可以支持實現管理層的應用控制目標?具體控制領域包括：用戶需求測試和質量確保數據遷移程序實施記錄和培訓職責分離信息系統的變更和維護?目標是確保對程序和相關基礎組件的變更是經過請求、授權、執(zhí)行、測試和實施的，以達到管理層的應用控制目標?具體控制領域包括：對維護活動的管理對變更請求的規(guī)范、授權與跟蹤對程序變更實施過程的控制測試和質量確保程序實施記錄和培訓職責分離會計信息系統審計—一般控制范圍信息系統的開發(fā)和實施信息系統的信息系統的操作和運行?目標是確保生產系統根據管理層的控制目標、完整準確地運行，確保運行問題被完整準確地識別并解決，以維護財務數據的完整性?具體控制領域包括：計算機運行活動的總體管理批處理實時處理備份和問題管理災難恢復重要電子表格程序和數據的接觸安全?目標是確保分配的訪問程序和數據的權限是經過用戶身份認證并經過授權的?具體控制領域包括：安全活動管理安全管理數據安全操作系統安全網絡安全物理安全會計信息系統審計—一般控制范圍（續(xù)）信息系統的操作和運行程序和數據的接觸安全會計信息系統審計—一信息技術一般控制舉例：1.1系統開發(fā)和重大變更流程:控制點：?用戶需求文檔以及其他系統設計文檔應該經過用戶所在部門管理層審批并妥善保存。?變更在被移植到生產環(huán)境前被測試。測試的級別應當和變更的大小相當。?系統的開發(fā)和測試環(huán)境必須與生產環(huán)境分離；相沖突的職責被適當分離。?制定并保存詳細的數據遷移計劃，計劃應涵蓋具體的數據遷移步驟。數據遷移的過程應當在原始位置和目的地之間進行測試，確保數據的完整，準確和有效。?對于外包的IT項目，公司的項目管理組應該對服務商的運作以及控制的有效性進行檢查。?管理層應在系統上線前對其進行檢查和審批。1.2系統日常變更流程：控制點：?一般的程序變更請求需要由用戶部門管理層審批并存檔保留。?在移植到生產環(huán)境前，應當對程序變更進行測試。測試的級別與變更的大小相當。?在程序變更過程中對相沖突的職責實施有效的分離。?程序變更上線之前需要經過管理層的檢查和審批。?開發(fā)和測試環(huán)境在邏輯或物理上與生產環(huán)境分離。會計信息系統審計—一般控制舉例信息技術一般控制舉例：1.2系統日常變更流程：會計信息系統信息技術一般控制舉例：2.1用戶賬號管理－用戶創(chuàng)建/修改/刪除的授權審批：控制點：重要系統和應用程序中用戶帳號的創(chuàng)建/修改必須由管理部門進行審批；關于刪除離職或調職用戶的權限，被評估機構確立了正式的流程；2.2用戶賬號管理－權限定期檢查：控制點：用戶部門管理層應該定期檢查系統中用戶帳號和授權，并根據檢查結果進行帳號清理。信息技術一般控制舉例：3.1備份管理-備份檢查：控制點：對重要數據（包括支持重要財務信息和應用程序的數據）進行適當的備份，并及時檢查備份完成情況。3.2問題及應急事件處理：控制點：IT運行問題或事件應該及時進行識別、解決、審核和分析。會計信息系統審計—一般控制舉例（續(xù)）信息技術一般控制舉例：信息技術一般控制舉例：會計信息系統審計應用系統是提供業(yè)務功能的軟件，從而用戶可以：與電腦之間產生互動輸入和取出數據執(zhí)行業(yè)務處理功能等應用系統能夠支持業(yè)務活動，并且允許用戶更加有效率地履行他們的職責有些應用系統可以被用于訪問和修改業(yè)務及財務信息，因此，保護對于這些應用程序的訪問權限至關重要，從而降低任何與對于關鍵業(yè)務與財務相關數據擁有不合理的訪問權限相關的風險會計信息系統審計—應用控制應用系統是提供業(yè)務功能的軟件，從而用戶可以：會計信息系統審計會計信息系統審計—應用控制分類配置控制登陸權限、崗位分離控制實時校驗、編輯檢查自動計算系統接口、對賬程序會計信息系統審計—應用控制分類配置控制?配置控制：主要關注的是系統中維護的重要參數是否準確，這些參數對于系統的運行和業(yè)務處理的正確性起著非常重要的作用，此類控制多屬于人工依賴系統控制舉例：?財務管理部會計進行采購發(fā)票勾稽并做外購入庫暫估沖回后，K/3系統自動將對應的暫估應付賬款進行沖回。?系統能根據預先的設置根據科目余額表余額生成資產負債表和利潤表。會計信息系統審計—配置控制?配置控制：會計信息系統審計—配置控制?登錄權限/崗位分離應用系統中用戶的權限設置是否合理，是否按照職責需要進行授權，是否考慮到崗位分離的情況。舉例：?會計憑證在金蝶K/3系統中的錄入，一般此項操作需要一人制單，一人復核及過賬。會計信息系統審計—登陸權限/崗位分離?登錄權限/崗位分離會計信息系統審計—登陸權限/崗位分離?實時校驗和編輯檢查也稱為系統錄入控制，此類控制主要是系統自動控制。這類控制點的主要作用是確保錄入到系統中的數據的準確性，在進行業(yè)務錄入時系統會對重要字段的合理性、合規(guī)性和準確性進行檢查，以防止一些非法的或不真實的數據被系統接受，造成系統數據的不真實和大量垃圾數據的產生。舉例：?會計科目維護時系統存在錄入控制，對科目代碼進行校驗，限制過長或過短的科目代碼。?系統設定了錄入信息模板，只能按照模板規(guī)定的格式錄入信息。會計信息系統審計—實時校驗和編輯檢查?實時校驗和編輯檢查會計信息系統審計—實時校驗和編輯檢查?自動計算系統根據設定的業(yè)務邏輯進行自動計算，此類控制多為系統自動控制。此類控制一般在程序開發(fā)時已經嵌入到系統中。舉例：?金蝶K/3系統正確計算物料的當月采購平均單價。?K/3系統每月將當月所有入庫單自動匯總《成本計算單_匯總顯示》。會計信息系統審計—自動計算?自動計算會計信息系統審計—自動計算?自動系統接口/對賬例行程序:主要關注不同應用系統之間傳輸數據的準確性和完整性，一般屬于系統自動控制舉例：?倉管員根據K/3系統《銷售出庫單》的出庫或退庫指令在倉庫系統進行出庫或退庫操作，確認信息由倉庫系統上傳到K/3系統。會計信息系統審計—系統接口/對賬程序?自動系統接口/對賬例行程序:會計信息系統審計—系統接口/應用系統的復雜程度復雜的計算需求或業(yè)務規(guī)則跨國或復雜的信息系統架構應用技術的采用信息系統所提供的功能信息系統在企業(yè)應用的廣泛程度信息系統在企業(yè)的應用所支持的業(yè)務交易業(yè)務對系統的依賴程度系統之間的鏈接會計信息系統審計—應用控制需要考慮的因素應用系統的復雜程度會計信息系統審計—應用控制需要考慮的因素每個應用系統的控制都有所區(qū)別：企業(yè)的業(yè)務性質企業(yè)的組織和人員企業(yè)的管理需求所采用的技術其他的考慮，如監(jiān)管要求等應用控制要持續(xù)有效，必需有相關的配套支持：政策、制度人員（業(yè)務和信息技術）檢查和維護機制（包括信息系統一般性控制）會計信息系統審計—應用控制（續(xù)）每個應用系統的控制都有所區(qū)別：會計信息系統審計—應用控制（續(xù)會計信息系統審計—個人消費貸款系統-背景信息技術在金融領域日益廣泛的應用；新技術的風險；不僅要審計信息系統產生的電子數據，而且要對信息系統本身進行審計；各家商業(yè)銀行紛紛推出具有自身特色的個人消費信貸產品。會計信息系統審計—個人消費貸款系統-背景信息技術在金融領域日商業(yè)銀行個人消費信貸系統：個人消費信貸子系統、儲蓄前臺會計核算管理子系統和后臺系統管理子系統構成。采用雙層結構會計信息系統審計—個人消費貸款系統-概況商業(yè)銀行個人消費信貸系統：個人消費信貸子系統、儲蓄前臺會計核開展審前調查、制定審計方案；明確審計重點、確定測試項目；實施系統審計進行審計評價、提出審計建議會計信息系統審計—個人消費貸款系統-審計程序開展審前調查、制定審計方案；會計信息系統審計—個人消費貸款系提交明確資料需求；進行人員溝通；熟悉軟件主要功能；收集系統的文檔技術資料收集個人消費信貸業(yè)務的法規(guī)制度

在此基礎上，擬定審計工作方案，明確審計目標，界定審計范圍，突出審計重點，確定審計方法和步驟。會計信息系統審計—個人消費貸款系統-審前調查、制定方案提交明確資料需求；會計信息系統審計—個人消費貸款系統-審前調對已收集的系統文檔資料進行研究分析，重點圍繞審閱系統文檔和價差應用程序兩方面進行。審計人員設計一套有關一般控制、應用控制方面的調查表格，觀察系統運行使用現狀。了解軟件系統中存在哪些控制、在哪里控制、如何控制等信息，選定個別輸入程序流程，追蹤檢查輸入樣本業(yè)務。會計信息系統審計—個人消費貸款系統-審計重點、測試項目對已收集的系統文檔資料進行研究分析，重點圍繞審閱系統文檔和價1、檢查程序運行結果：

分析該軟件系統的數據字典，掌握保存程序運行結果的庫表結構與分布情況，要求某商業(yè)銀行完整下載審計所需的近100個數據庫文件，通過運用審計數據采集與分析軟件等處理工作，對下載的數據文件進行轉換，對照法律法規(guī)要求設定各種運算條件，使用工具軟件中的查詢、排序、計算、重組、分析等項功能，對電子數據進行整理、加工用于檢查，發(fā)現較多疑點，并與調閱的紙質數據、賬表和憑證進行比較取證，以確定系統的功能是否合法、正確。會計信息系統審計—個人消費貸款系統-實施審計1、檢查程序運行結果：會計信息系統審計—個人消費貸款系統-實2、數據檢測：

審計組制定了較為詳盡的測試計劃與細則，對運行環(huán)境中的程序模塊處理功能進行數據檢測。

測試數據項包括正常、有效的交易數據，不正常、無效的交易數據，破壞性數據，進行多種額度及權限下的有關交易測試。最后將程序運行結果與預期結果進行比較，判斷有關程序的控制與處理功能是否恰當、有效。會計信息系統審計—個人消費貸款系統-實施審計2、數據檢測：會計信息系統審計—個人消費貸款系統-實施審計3、平行模擬：

由審計人員運用SQL語言編寫相同的處理及控制功能模擬程序，用來處理貸款交易歷史文件中當期的實際數據，得到新的處理結果。比較兩個結果，對不符情況，全面調閱有關賬證，進行重點檢查。會計信息系統審計—個人消費貸款系統-實施審計3、平行模擬：會計信息系統審計—個人消費貸款系統-實施審計根據審計中的發(fā)現，對系統做出審計評價，并針對存在的問題提出改進建議。1、系統功能不夠完善，部分功能模塊存在漏洞與缺陷；2、總體業(yè)務設計尚有欠缺；3、系統使用管理與控制不夠有力；4、業(yè)務風險控制措施不力；5、交易監(jiān)督管理功能薄弱。會計信息系統審計—個人消費貸款系統-審計建議根據審計中的發(fā)現，對系統做出審計評價，并針對存在的問題提出改1、系統功能不夠完善：（1）輸入控制存在缺陷，數據關聯度不夠，輸入校驗不足：已經上傳進行審批或已審批的貸款客戶資料不能進行修改。系統前端發(fā)生輸入錯誤后，只能開立新賬號重新登陸，而貸款戶參數表中仍記錄實際已作廢的出錯業(yè)務。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審1、系統功能不夠完善：（2）邏輯控制存在薄弱環(huán)節(jié)，數據真實性、完整性、準確性不夠：系統“貸款戶參數表”中“貸款賬號”地段編碼規(guī)則未統一，如新舊賬號長度不等（貸款新賬號長度16位，格式為貸款機構+貸款+期限檔次+賬號順序+校驗位；舊帳號則長度不統一，甚至出現僅為兩位數的情況），未作統一的轉換設計。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審1、系統功能不夠完善：（3）系統參數管理及控制功能薄弱，部分參數設置、使用違規(guī)：如用于業(yè)務限額控制的參數數據表“貸款業(yè)務種類表”中各貸種最高貸款額均設定為1000萬元，最低貸款額為0，最長貸款期限為480個月，最高貸款比例為100%，而根據商業(yè)銀行總行的規(guī)定，在保證或擔保方式下，個人消費額度貸款最高額度為60萬元（AAA級），期限最長為5年。會計信息系統審計—個人消費貸款系統-審計建議1、系統功能不夠完善：會計信息系統審計—個人消費貸款系統-審2、總體業(yè)務設計尚有欠缺：（1）對個人住房貸款系統業(yè)務電子數據貸款戶動態(tài)明細表、貸款戶參數表進行分析檢查，發(fā)現逾期本金、呆滯本金總額與業(yè)務報表差異明顯，原因在于貸款形態(tài)轉列時，系統并未自動轉換，僅提供提示，仍由人工干預調整。（2）系統控制功能調整未與國家有關個人消費貸款業(yè)務法規(guī)的變化保持一致。會計信息系統審計—個人消費貸款系統-審計建議2、總體業(yè)務設計尚有欠缺：會計信息系統審計—個人消費貸款系統2、總體業(yè)務設計尚有欠缺：（3）執(zhí)行查詢操作時，無法選擇時點，查詢結果僅為實時數據，統計功能不夠強大，無法實現查詢條件的任意組合，有關查詢部分的信息不能打印。（4）還款方式不夠靈活多樣，信用卡批量扣款無法實現部分扣款；（5）沒有實現整個分行系統內部信息的共享，需求尚未真正實現。會計信息系統審計—個人消費貸款系統-審計建議2、總體業(yè)務設計尚有欠缺：會計信息系統審計—個人消費貸款系統3、系統使用管理與控制不夠有力：（1）貸款業(yè)務審批人員也擁有具體經辦人員操作權限密碼。（2）訪問控制不強，口令未定期更新。（3）系統未安裝防殺病毒軟件。（4）無具體的安全