會計信息系統(tǒng)審計

1、眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)控制審計會計信息系統(tǒng)控制審計眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)工作原理信息系統(tǒng)審計基本理論會計信息系統(tǒng)審計財務(wù)審計與IT審計的銜接眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)工作原理會計信息系統(tǒng)工作原理從關(guān)注點出發(fā)從關(guān)注點出發(fā)IT審計關(guān)注財務(wù)審計關(guān)注眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)工作原理會計信息系統(tǒng)工作原理外部結(jié)構(gòu)外部結(jié)構(gòu)眾環(huán)海華會計師事務(wù)所服務(wù)器、工作站、打印機網(wǎng)線交換機Windows、UNIX、IOS、AndroidDB2 數(shù)據(jù)庫數(shù)據(jù)庫財務(wù)報告銷售收入 2000萬利潤 100萬銷售業(yè)務(wù)系統(tǒng)銷售業(yè)務(wù)系統(tǒng)財務(wù)核算系統(tǒng)財務(wù)核算系統(tǒng)信息系統(tǒng)安全信息系統(tǒng)安全與應急計劃與應急計劃系

2、統(tǒng)的開發(fā)系統(tǒng)的開發(fā)獲得、維護獲得、維護及數(shù)據(jù)處理及數(shù)據(jù)處理會計信息系統(tǒng)工作原理會計信息系統(tǒng)工作原理內(nèi)部結(jié)構(gòu)內(nèi)部結(jié)構(gòu)眾環(huán)海華會計師事務(wù)所一般控制管理控制系統(tǒng)實施控制運行控制軟件控制硬件控制物理訪問控制邏輯訪問控制應用控制輸入控制處理控制輸出控制保障*控制災難恢復與應急計劃環(huán)境控制設(shè)備來源控制*會計信息系統(tǒng)工作原理會計信息系統(tǒng)工作原理管理控制管理控制眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)工作原理信息系統(tǒng)審計基本理論會計信息系統(tǒng)審計財務(wù)審計與IT審計的銜接眾環(huán)海華會計師事務(wù)所INTOSAI（最高審計機關(guān)國際組織 ）： 信息系統(tǒng)審計是：一個通過獲取并評估證據(jù)，以判斷IT系統(tǒng)是否保護了組織的資產(chǎn)，有效率地利用

3、組織的資源，保障數(shù)據(jù)的安全性和一致性，以及有效地達到組織的業(yè)務(wù)目標的過程。 基本理論基本理論概念概念眾環(huán)海華會計師事務(wù)所4基本理論基本理論類型類型眾環(huán)海華會計師事務(wù)所內(nèi)控機場ISACA信息系統(tǒng)審計審計署審計準則C-SOX，SOX，COSO審計操作指南基本理論基本理論審計依據(jù)分類審計依據(jù)分類眾環(huán)海華會計師事務(wù)所基本理論基本理論審計依據(jù)分類審計依據(jù)分類眾環(huán)海華會計師事務(wù)所序序號號審計內(nèi)容審計內(nèi)容審計依據(jù)審計依據(jù)1物理環(huán)境ANSI/TIA-942:20052安全管理ISO/IEC27001：20133運維管理ISO/IEC 20000-1:20114業(yè)務(wù)連續(xù)性BS 25777:20085系統(tǒng)漏洞CV

4、E及相關(guān)廠家提供的工具6報告出具ISACA 7其他參考ISACA相關(guān)標準；Cobit 5.0子需求子需求主要依據(jù)主要依據(jù)其他參考其他參考審計框架COSO 審計控制目標Cobit5.0企業(yè)內(nèi)部控制審計指引風險管理全面性ISO31000 Risk management Principles and guidelines on implementation IT風險評估方法ISO13335 Information technology Guidelines forthe management of IT Security 應對措施有效性ISO27004 Information technology

5、- Security techniques - Information security management - MeasurementsISO13335-4 Information technology - Security techniques Guidelines for the management of IT security- Selection of safeguards信息安全管理ISO27002-Information technology Security techniques Code of practice for information security manag

6、ementISO20000 Information technology Service management信息安全策略和安全組織結(jié)構(gòu)ISO27001 Information technology Security techniques Information security management systemsISO20000 Information technology Service management開發(fā)控制CMMICobit4.1-A12維護控制ISO/IEC 14764 Software Engineering Software Life Cycle Processes Ma

7、intenance 系統(tǒng)安全GBT+22239信息安全技術(shù)+信息系統(tǒng)安全等級保護基本要求 網(wǎng)絡(luò)安全GAT 387計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 結(jié)構(gòu)安全信息系統(tǒng)等級保護安全設(shè)計技術(shù)技術(shù)要求 物理及環(huán)境安全GB/T 21052信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求 災難恢復ISO24762 信息與通訊技術(shù)災難恢復服務(wù)指南 重要信息系統(tǒng)災難恢復指南業(yè)務(wù)連續(xù)性計劃BS25777-Information and communications technology continuity management25999-1 Code of practice for business continu

8、ity management外包服務(wù)管理ISACA-G4 OUTSOURCING OF IS ACTIVITIES TO OTHER ORGANISATIONSISO27001-A.11-訪問控制IT對關(guān)鍵業(yè)務(wù)的支持Cobit5.0 SAP評估Cobi5.0 General Control/Process Control/Application ControlISO15408 通用安全評估標準IT審計規(guī)劃Cobit5.0 物理防護物理防護通用防護信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（報批稿）布線GB/T-50311-2007（2）防電磁泄露GB/T-8702-1988（3）防雷GB/T-74

9、50（4），GB/T-50057（5），GB/T-50343-2004（6），防雷裝置安全檢測技術(shù)規(guī)范防火GBJ16-2001（7）防靜電YD-T 754（8）接地GB/T-50169（9）火災報警GB/T-50166（10）活動地板GB/T-6650（11），SJ-T 10796-2001（12）場地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），網(wǎng)絡(luò)防護網(wǎng)絡(luò)防護GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）系統(tǒng)防護系統(tǒng)防護GB/T-21028-2007（20

10、），GB/T-20271-2006（17），信息系統(tǒng)安全等級保護基本要求）基本理論基本理論其他依據(jù)其他依據(jù)眾環(huán)海華會計師事務(wù)所基本理論基本理論信息安全信息安全眾環(huán)海華會計師事務(wù)所基本理論基本理論IT運維運維眾環(huán)海華會計師事務(wù)所基本理論基本理論CObit眾環(huán)海華會計師事務(wù)所能力等級能力等級特點特點關(guān)鍵過程關(guān)鍵過程第一級第一級 初始初始級（最低級）級（最低級）軟件工程管理制度缺乏，過程缺乏定義、混亂無序。成功依靠的是個人的才能和經(jīng)驗，經(jīng)常由于缺乏管理和計劃導致時間、費用超支。管理方式屬于反應式，主要用來應付危機。過程不可預測，難以重復。第二級第二級 可重可重復級復級基于類似項目中的經(jīng)驗，建立了基本

11、的項目管理制度，采取了一定的措施控制費用和時間。管理人員可及時發(fā)現(xiàn)問題，采取措施。一定程度上可重復類似項目的軟件開發(fā)。需求管理,項目計劃,項目跟蹤和監(jiān)控,軟件子合同管理,軟件配置管理,軟件質(zhì)量保障第三級第三級 已定已定義級義級已將軟件過程文檔化、標準化，可按需要改進開發(fā)過程，采用評審方法保證軟件質(zhì)量。可借助CASE工具提高質(zhì)量和效率。組織過程定義,組織過程焦點,培訓大綱,軟件集成管理,軟件產(chǎn)品工程,組織協(xié)調(diào),專家審評第四級第四級 已管已管理級理級針對制定質(zhì)量、效率目標，并收集、測量相應指標。利用統(tǒng)計工具分析并采取改進措施。對軟件過程和產(chǎn)品質(zhì)量有定量的理解和控制。定量的軟件過程管理和產(chǎn)品質(zhì)量管理

12、第五級第五級 優(yōu)化優(yōu)化級（最高級）級（最高級）基于統(tǒng)計質(zhì)量和過程控制工具，持續(xù)改進軟件過程。質(zhì)量和效率穩(wěn)步改進。缺陷預防,過程變更管理和技術(shù)變更管理基本理論基本理論CMM眾環(huán)海華會計師事務(wù)所標準標準 確定信息系統(tǒng)審計和報告的法定要求指引指引 為信息系統(tǒng)審計準則的運用提供指引程序程序 舉例說明信息系統(tǒng)審計師在審計項目中可遵循的程序可在以下網(wǎng)址查閱信息系統(tǒng)審計和控制協(xié)會(“ISACA”) 準則和指引 （/stand1.htm）基本理論基本理論標準框架標準框架眾環(huán)海華會計師事務(wù)所掃描工具：ISS、Dbscanner、web scanner、日志分析：網(wǎng)站日志、系

13、統(tǒng)日志、數(shù)據(jù)庫日志行為分析：攻擊類工具工具工具信息技術(shù)類業(yè)務(wù)分析類ACLSPSSSAS基本理論基本理論審計工具審計工具眾環(huán)海華會計師事務(wù)所審計程序網(wǎng)絡(luò)拓撲；防病毒；物理環(huán)境；系統(tǒng)補?。回撦d均衡常規(guī)控制流程控制帳號設(shè)置；權(quán)限設(shè)置；日志分析；控制規(guī)則應用控制應急管理；變更管理；可用性管理；故障管理；業(yè)務(wù)連續(xù)性等。審計目的審計目的審計章程審計章程審計方案審計方案審計風險審計風險基本理論基本理論審計程序?qū)徲嫵绦虮姯h(huán)海華會計師事務(wù)所基本理論基本理論審計工具審計工具眾環(huán)海華會計師事務(wù)所基本理論基本理論審計工具（續(xù)）審計工具（續(xù)）眾環(huán)海華會計師事務(wù)所基本理論基本理論審計工具（續(xù)）審計工具（續(xù)）眾環(huán)海華會計師

14、事務(wù)所會計信息系統(tǒng)工作原理信息系統(tǒng)審計基本理論會計信息系統(tǒng)審計財務(wù)審計與IT審計的銜接眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計與財務(wù)報表之間的關(guān)系與財務(wù)報表之間的關(guān)系眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計會計信息系統(tǒng)會計信息系統(tǒng)眾環(huán)海華會計師事務(wù)所 信息技術(shù)已成為支持公司業(yè)務(wù)、財務(wù)、管理的重要基礎(chǔ)構(gòu)架，提供內(nèi)部、外部、第三方等用戶對公司信息的訪問。會計信息系統(tǒng)審計會計信息系統(tǒng)審計會計信息系統(tǒng)結(jié)構(gòu)會計信息系統(tǒng)結(jié)構(gòu)眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計可能產(chǎn)生的危害可能產(chǎn)生的危害眾環(huán)海華會計師事務(wù)所根據(jù)一家國際機構(gòu)的數(shù)據(jù)統(tǒng)計，自2004年至2008年6月30

15、日，在內(nèi)控無效的美國上市公司中，大約17%25%的公司在IT內(nèi)部控制方面存在重大缺陷：根據(jù)統(tǒng)計和分析，導致內(nèi)控無效的信息系統(tǒng)方面重大控制缺陷主要有以下幾種類型： 程序控制上的缺陷 軟件開發(fā)/實施 職責分離 用戶對系統(tǒng)的訪問授權(quán) 對數(shù)據(jù)訪問的監(jiān)管和控制會計信息系統(tǒng)審計會計信息系統(tǒng)審計利用會計系統(tǒng)犯罪的趨勢利用會計系統(tǒng)犯罪的趨勢眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計會計系統(tǒng)控制內(nèi)容會計系統(tǒng)控制內(nèi)容眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計公司層面控制公司層面控制眾環(huán)海華會計師事務(wù)所應用控制是設(shè)計在計算機應用系統(tǒng)中的有助于達到信息處理目標的控制，例如：u 許多應用系統(tǒng)中根據(jù)業(yè)

16、務(wù)的需求（“業(yè)務(wù)規(guī)則”）設(shè)置了很多編輯檢查來幫助確保錄入數(shù)據(jù)的準確性，編輯檢查可能包括格式檢查（如：日期格式或數(shù)字格式），存在性檢查（如：客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如：最大支付金額）u如果在錄入數(shù)據(jù)時某一項“業(yè)務(wù)規(guī)則”未通過編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)包括在系統(tǒng)生成的例外報告之中，留待后續(xù)跟進和處理u如果企業(yè)依賴帶有關(guān)鍵編輯檢查功能的應用系統(tǒng)支持業(yè)務(wù)，那這些應用控制的有效性必須建立在信息系統(tǒng)一般控制的基礎(chǔ)之上會計信息系統(tǒng)審計會計信息系統(tǒng)審計公司層面控制（續(xù)）公司層面控制（續(xù)）眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制一般控

17、制眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制（續(xù)）一般控制（續(xù)）眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制范圍及缺失產(chǎn)生影響一般控制范圍及缺失產(chǎn)生影響 如果計算機環(huán)境發(fā)現(xiàn)了信息技術(shù)如果計算機環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷，則會影響系統(tǒng)整一般控制的缺陷，則會影響系統(tǒng)整體的體的可信程度，例如：可信程度，例如： 程序變更控制缺陷可能導致未程序變更控制缺陷可能導致未授權(quán)人員對檢查錄入數(shù)據(jù)字段格式授權(quán)人員對檢查錄入數(shù)據(jù)字段格式的的編程邏輯編程邏輯進行修改，導致系統(tǒng)接進行修改，導致系統(tǒng)接受不準確的錄入受不準確的錄入數(shù)數(shù) 與安全和訪問權(quán)限相關(guān)的控制與安全和訪問權(quán)限相關(guān)的

18、控制缺陷可能導致數(shù)據(jù)錄入不恰當?shù)乩@缺陷可能導致數(shù)據(jù)錄入不恰當?shù)乩@過過合理性合理性檢查，而該合理性檢查在檢查，而該合理性檢查在其他方面將使系統(tǒng)無法處理金額超其他方面將使系統(tǒng)無法處理金額超過最大過最大容差容差范圍的支付操作范圍的支付操作信息系統(tǒng)信息系統(tǒng)的開發(fā)和實施：的開發(fā)和實施： 開發(fā)與實施活動的管理、項目發(fā)起、分析開發(fā)與實施活動的管理、項目發(fā)起、分析與設(shè)計、自開發(fā)系統(tǒng)的建設(shè)與軟件包的選擇、與設(shè)計、自開發(fā)系統(tǒng)的建設(shè)與軟件包的選擇、測試測試和質(zhì)量保證和質(zhì)量保證、數(shù)據(jù)轉(zhuǎn)換、上線、文檔與、數(shù)據(jù)轉(zhuǎn)換、上線、文檔與培訓培訓等信息系統(tǒng)等信息系統(tǒng)的變更和維護的變更和維護： 維護活動的管理、規(guī)格說明、授權(quán)和跟蹤維

19、護活動的管理、規(guī)格說明、授權(quán)和跟蹤變更申請、系統(tǒng)編程、測試和質(zhì)量保證、變更申請、系統(tǒng)編程、測試和質(zhì)量保證、遷遷移到生產(chǎn)環(huán)境移到生產(chǎn)環(huán)境的授權(quán)、文檔和培訓的授權(quán)、文檔和培訓等信息系等信息系統(tǒng)統(tǒng)的操作和運行的操作和運行： 對系統(tǒng)操作的總體控制、工作計劃和批處對系統(tǒng)操作的總體控制、工作計劃和批處理、備份管理、管理數(shù)據(jù)中心環(huán)境、從操作理、備份管理、管理數(shù)據(jù)中心環(huán)境、從操作失敗中失敗中恢復恢復、用戶幫助部門的功能、服務(wù)水、用戶幫助部門的功能、服務(wù)水平協(xié)議平協(xié)議等程序等程序和數(shù)據(jù)的接觸安全和數(shù)據(jù)的接觸安全： 安全組織和管理、安全政策和流程、應用安全組織和管理、安全政策和流程、應用系統(tǒng)的安全管理、數(shù)據(jù)安全、

20、操作系統(tǒng)安全、系統(tǒng)的安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、內(nèi)部內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)安全、邊界網(wǎng)絡(luò)安全、物理安全等安全、邊界網(wǎng)絡(luò)安全、物理安全等眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制范圍一般控制范圍信息系統(tǒng)的開發(fā)和實施信息系統(tǒng)的開發(fā)和實施 目標是確保系統(tǒng)的開發(fā)、配置和實施能夠?qū)崿F(xiàn)管理層的應用控制目標，包括考慮： 程序開發(fā)活動的全面管理 項目啟動控制應當確保項目的計劃、資源配置和啟動可以支持實現(xiàn)管理層的應用控制目標 具體控制領(lǐng)域包括： 用戶需求 測試和質(zhì)量確保 數(shù)據(jù)遷移 程序?qū)嵤?記錄和培訓 職責分離信息系統(tǒng)的變更和維護信息系統(tǒng)的變更和維護 目標是確保對程序和相關(guān)基礎(chǔ)組件的變更是經(jīng)過請求

21、、授權(quán)、執(zhí)行、測試和實施的，以達到管理層的應用控制目標 具體控制領(lǐng)域包括： 對維護活動的管理 對變更請求的規(guī)范、授權(quán)與跟蹤 對程序變更實施過程的控制 測試和質(zhì)量確保 程序?qū)嵤?記錄和培訓 職責分離眾環(huán)海華會計師事務(wù)所信息系統(tǒng)的操作和運行信息系統(tǒng)的操作和運行 目標是確保生產(chǎn)系統(tǒng)根據(jù)管理層的控制目標、完整準確地運行，確保運行問題被完整準確地識別并解決，以維護財務(wù)數(shù)據(jù)的完整性 具體控制領(lǐng)域包括： 計算機運行活動的總體管理 批處理 實時處理 備份和問題管理 災難恢復 重要電子表格程序和數(shù)據(jù)的接觸安全程序和數(shù)據(jù)的接觸安全 目標是確保分配的訪問程序和數(shù)據(jù)的權(quán)限是經(jīng)過用戶身份認證并經(jīng)過授權(quán)的 具體控制領(lǐng)域包

22、括： 安全活動管理 安全管理 數(shù)據(jù)安全 操作系統(tǒng)安全 網(wǎng)絡(luò)安全 物理安全會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制范圍（續(xù)）一般控制范圍（續(xù)）眾環(huán)海華會計師事務(wù)所信息技術(shù)一般控制舉例：信息技術(shù)一般控制舉例：1.1系統(tǒng)開發(fā)和重大變更流程:控制點： 用戶需求文檔以及其他系統(tǒng)設(shè)計文檔應該經(jīng)過用戶所在部門管理層審批并妥善保存。 變更在被移植到生產(chǎn)環(huán)境前被測試。測試的級別應當和變更的大小相當。 系統(tǒng)的開發(fā)和測試環(huán)境必須與生產(chǎn)環(huán)境分離；相沖突的職責被適當分離。 制定并保存詳細的數(shù)據(jù)遷移計劃，計劃應涵蓋具體的數(shù)據(jù)遷移步驟。數(shù)據(jù)遷移的過程應當在原始位置和目的地之間進行測試，確保數(shù)據(jù)的完整，準確和有效。 對于外包

23、的IT項目，公司的項目管理組應該對服務(wù)商的運作以及控制的有效性進行檢查。 管理層應在系統(tǒng)上線前對其進行檢查和審批。1.2 系統(tǒng)日常變更流程：控制點： 一般的程序變更請求需要由用戶部門管理層審批并存檔保留。 在移植到生產(chǎn)環(huán)境前，應當對程序變更進行測試。測試的級別與變更的大小相當。 在程序變更過程中對相沖突的職責實施有效的分離。 程序變更上線之前需要經(jīng)過管理層的檢查和審批。 開發(fā)和測試環(huán)境在邏輯或物理上與生產(chǎn)環(huán)境分離。會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制舉例一般控制舉例眾環(huán)海華會計師事務(wù)所信息技術(shù)一般控制舉例：信息技術(shù)一般控制舉例：2.1 用戶賬號管理用戶創(chuàng)建/修改/刪除的授權(quán)審批：控制點：重

24、要系統(tǒng)和應用程序中用戶帳號的創(chuàng)建/修改必須由管理部門進行審批；關(guān)于刪除離職或調(diào)職用戶的權(quán)限，被評估機構(gòu)確立了正式的流程；2.2 用戶賬號管理權(quán)限定期檢查：控制點：用戶部門管理層應該定期檢查系統(tǒng)中用戶帳號和授權(quán)，并根據(jù)檢查結(jié)果進行帳號清理。信息技術(shù)一般控制舉例：信息技術(shù)一般控制舉例：3.1 備份管理-備份檢查：控制點：對重要數(shù)據(jù)（包括支持重要財務(wù)信息和應用程序的數(shù)據(jù)）進行適當?shù)膫浞?，并及時檢查備份完成情況。3.2問題及應急事件處理：控制點：IT運行問題或事件應該及時進行識別、解決、審核和分析。會計信息系統(tǒng)審計會計信息系統(tǒng)審計一般控制舉例（續(xù)）一般控制舉例（續(xù)）眾環(huán)海華會計師事務(wù)所應用系統(tǒng)是提供業(yè)

25、務(wù)功能的軟件，從而用戶可以： 與電腦之間產(chǎn)生互動 輸入和取出數(shù)據(jù) 執(zhí)行業(yè)務(wù)處理功能等應用系統(tǒng)能夠支持業(yè)務(wù)活動，并且允許用戶更加有效率地履行他們的職責有些應用系統(tǒng)可以被用于訪問和修改業(yè)務(wù)及財務(wù)信息，因此，保護對于這些應用程序的訪問權(quán)限至關(guān)重要，從而降低任何與對于關(guān)鍵業(yè)務(wù)與財務(wù)相關(guān)數(shù)據(jù)擁有不合理的訪問權(quán)限相關(guān)的風險會計信息系統(tǒng)審計會計信息系統(tǒng)審計應用控制應用控制眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計應用控制分類應用控制分類配置控制登陸權(quán)限、崗位分離控制實時校驗、編輯檢查自動計算系統(tǒng)接口、對賬程序眾環(huán)海華會計師事務(wù)所 配置控制：主要關(guān)注的是系統(tǒng)中維護的重要參數(shù)是否準確，這些參數(shù)對于系統(tǒng)

26、的運行和業(yè)務(wù)處理的正確性起著非常重要的作用，此類控制多屬于人工依賴系統(tǒng)控制舉例：財務(wù)管理部會計進行采購發(fā)票勾稽并做外購入庫暫估沖回后，K/3系統(tǒng)自動將對應的暫估應付賬款進行沖回。系統(tǒng)能根據(jù)預先的設(shè)置根據(jù)科目余額表余額生成資產(chǎn)負債表和利潤表。會計信息系統(tǒng)審計會計信息系統(tǒng)審計配置控制配置控制眾環(huán)海華會計師事務(wù)所 登錄權(quán)限/崗位分離應用系統(tǒng)中用戶的權(quán)限設(shè)置是否合理，是否按照職責需要進行授權(quán)，是否考慮到崗位分離的情況。舉例： 會計憑證在金蝶K/3系統(tǒng)中的錄入，一般此項操作需要一人制單，一人復核及過賬。會計信息系統(tǒng)審計會計信息系統(tǒng)審計登陸權(quán)限登陸權(quán)限/崗位分離崗位分離眾環(huán)海華會計師事務(wù)所 實時校驗和編輯

27、檢查也稱為系統(tǒng)錄入控制，此類控制主要是系統(tǒng)自動控制。這類控制點的主要作用是確保錄入到系統(tǒng)中的數(shù)據(jù)的準確性，在進行業(yè)務(wù)錄入時系統(tǒng)會對重要字段的合理性、合規(guī)性和準確性進行檢查，以防止一些非法的或不真實的數(shù)據(jù)被系統(tǒng)接受，造成系統(tǒng)數(shù)據(jù)的不真實和大量垃圾數(shù)據(jù)的產(chǎn)生。舉例： 會計科目維護時系統(tǒng)存在錄入控制，對科目代碼進行校驗，限制過長或過短的科目代碼。 系統(tǒng)設(shè)定了錄入信息模板，只能按照模板規(guī)定的格式錄入信息。會計信息系統(tǒng)審計會計信息系統(tǒng)審計實時校驗和編輯檢查實時校驗和編輯檢查眾環(huán)海華會計師事務(wù)所 自動計算系統(tǒng)根據(jù)設(shè)定的業(yè)務(wù)邏輯進行自動計算，此類控制多為系統(tǒng)自動控制。此類控制一般在程序開發(fā)時已經(jīng)嵌入到系統(tǒng)中

28、。舉例： 金蝶K/3系統(tǒng)正確計算物料的當月采購平均單價。 K/3系統(tǒng)每月將當月所有入庫單自動匯總成本計算單_匯總顯示。會計信息系統(tǒng)審計會計信息系統(tǒng)審計自動計算自動計算眾環(huán)海華會計師事務(wù)所 自動系統(tǒng)接口/對賬例行程序:主要關(guān)注不同應用系統(tǒng)之間傳輸數(shù)據(jù)的準確性和完整性，一般屬于系統(tǒng)自動控制舉例： 倉管員根據(jù)K/3系統(tǒng)銷售出庫單的出庫或退庫指令在倉庫系統(tǒng)進行出庫或退庫操作，確認信息由倉庫系統(tǒng)上傳到K/3系統(tǒng)。會計信息系統(tǒng)審計會計信息系統(tǒng)審計系統(tǒng)接口系統(tǒng)接口/對賬程序?qū)~程序眾環(huán)海華會計師事務(wù)所l 應用系統(tǒng)的復雜程度 復雜的計算需求或業(yè)務(wù)規(guī)則 跨國或復雜的信息系統(tǒng)架構(gòu) 應用技術(shù)的采用 信息系統(tǒng)所提供的

29、功能 信息系統(tǒng)在企業(yè)應用的廣泛程度l 信息系統(tǒng)在企業(yè)的應用 所支持的業(yè)務(wù)交易 業(yè)務(wù)對系統(tǒng)的依賴程度 系統(tǒng)之間的鏈接會計信息系統(tǒng)審計會計信息系統(tǒng)審計應用控制需要考慮的因素應用控制需要考慮的因素眾環(huán)海華會計師事務(wù)所l 每個應用系統(tǒng)的控制都有所區(qū)別： 企業(yè)的業(yè)務(wù)性質(zhì) 企業(yè)的組織和人員 企業(yè)的管理需求 所采用的技術(shù) 其他的考慮，如監(jiān)管要求等l 應用控制要持續(xù)有效，必需有相關(guān)的配套支持： 政策、制度 人員（業(yè)務(wù)和信息技術(shù)） 檢查和維護機制（包括信息系統(tǒng)一般性控制）會計信息系統(tǒng)審計會計信息系統(tǒng)審計應用控制（續(xù)）應用控制（續(xù)）眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系

30、統(tǒng)-背景背景l(fā) 信息技術(shù)在金融領(lǐng)域日益廣泛的應用；l 新技術(shù)的風險；l 不僅要審計信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)，而且要對信息系統(tǒng)本身進行審計；l 各家商業(yè)銀行紛紛推出具有自身特色的個人消費信貸產(chǎn)品。眾環(huán)海華會計師事務(wù)所l 商業(yè)銀行個人消費信貸系統(tǒng)：個人消費信貸子系統(tǒng)、儲蓄前臺會計核算管理子系統(tǒng)和后臺系統(tǒng)管理子系統(tǒng)構(gòu)成。l 采用雙層結(jié)構(gòu)會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-概況概況眾環(huán)海華會計師事務(wù)所1. 開展審前調(diào)查、制定審計方案；2. 明確審計重點、確定測試項目；3. 實施系統(tǒng)審計4. 進行審計評價、提出審計建議會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸

31、款系統(tǒng)-審計程序?qū)徲嫵绦虮姯h(huán)海華會計師事務(wù)所1.提交明確資料需求；2.進行人員溝通；3.熟悉軟件主要功能；4.收集系統(tǒng)的文檔技術(shù)資料5.收集個人消費信貸業(yè)務(wù)的法規(guī)制度在此基礎(chǔ)上，擬定審計工作方案，明確審計目標，界定審計范圍，突出審計重點，確定審計方法和步驟。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審前調(diào)查、制定方案審前調(diào)查、制定方案眾環(huán)海華會計師事務(wù)所1.對已收集的系統(tǒng)文檔資料進行研究分析，重點圍繞審閱系統(tǒng)文檔和價差應用程序兩方面進行。2.審計人員設(shè)計一套有關(guān)一般控制、應用控制方面的調(diào)查表格，觀察系統(tǒng)運行使用現(xiàn)狀。3.了解軟件系統(tǒng)中存在哪些控制、在哪里控制、如何控制等

32、信息，選定個別輸入程序流程，追蹤檢查輸入樣本業(yè)務(wù)。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計重點、測試項目審計重點、測試項目眾環(huán)海華會計師事務(wù)所1、檢查程序運行結(jié)果：分析該軟件系統(tǒng)的數(shù)據(jù)字典，掌握保存程序運行結(jié)果的庫表結(jié)構(gòu)與分布情況，要求某商業(yè)銀行完整下載審計所需的近100個數(shù)據(jù)庫文件，通過運用審計數(shù)據(jù)采集與分析軟件等處理工作，對下載的數(shù)據(jù)文件進行轉(zhuǎn)換，對照法律法規(guī)要求設(shè)定各種運算條件，使用工具軟件中的查詢、排序、計算、重組、分析等項功能，對電子數(shù)據(jù)進行整理、加工用于檢查，發(fā)現(xiàn)較多疑點，并與調(diào)閱的紙質(zhì)數(shù)據(jù)、賬表和憑證進行比較取證，以確定系統(tǒng)的功能是否合法、正確。會計

33、信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-實施審計實施審計眾環(huán)海華會計師事務(wù)所2、數(shù)據(jù)檢測：審計組制定了較為詳盡的測試計劃與細則，對運行環(huán)境中的程序模塊處理功能進行數(shù)據(jù)檢測。測試數(shù)據(jù)項包括正常、有效的交易數(shù)據(jù)，不正常、無效的交易數(shù)據(jù)，破壞性數(shù)據(jù)，進行多種額度及權(quán)限下的有關(guān)交易測試。最后將程序運行結(jié)果與預期結(jié)果進行比較，判斷有關(guān)程序的控制與處理功能是否恰當、有效。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-實施審計實施審計眾環(huán)海華會計師事務(wù)所3、平行模擬：由審計人員運用SQL語言編寫相同的處理及控制功能模擬程序，用來處理貸款交易歷史文件中當期的實際數(shù)據(jù)，

34、得到新的處理結(jié)果。比較兩個結(jié)果，對不符情況，全面調(diào)閱有關(guān)賬證，進行重點檢查。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-實施審計實施審計眾環(huán)海華會計師事務(wù)所根據(jù)審計中的發(fā)現(xiàn)，對系統(tǒng)做出審計評價，并針對存在的問題提出改進建議。1、系統(tǒng)功能不夠完善，部分功能模塊存在漏洞與缺陷；2、總體業(yè)務(wù)設(shè)計尚有欠缺；3、系統(tǒng)使用管理與控制不夠有力；4、業(yè)務(wù)風險控制措施不力；5、交易監(jiān)督管理功能薄弱。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所1、系統(tǒng)功能不夠完善：（1）輸入控制存在缺陷，數(shù)據(jù)關(guān)聯(lián)度不夠，輸入校驗不足：已經(jīng)上傳進行審批

35、或已審批的貸款客戶資料不能進行修改。系統(tǒng)前端發(fā)生輸入錯誤后，只能開立新賬號重新登陸，而貸款戶參數(shù)表中仍記錄實際已作廢的出錯業(yè)務(wù)。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所1、系統(tǒng)功能不夠完善：（2）邏輯控制存在薄弱環(huán)節(jié)，數(shù)據(jù)真實性、完整性、準確性不夠：系統(tǒng)“貸款戶參數(shù)表”中“貸款賬號”地段編碼規(guī)則未統(tǒng)一，如新舊賬號長度不等（貸款新賬號長度16位，格式為貸款機構(gòu)+貸款+期限檔次+賬號順序+校驗位；舊帳號則長度不統(tǒng)一，甚至出現(xiàn)僅為兩位數(shù)的情況），未作統(tǒng)一的轉(zhuǎn)換設(shè)計。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議

36、審計建議眾環(huán)海華會計師事務(wù)所1、系統(tǒng)功能不夠完善：（3）系統(tǒng)參數(shù)管理及控制功能薄弱，部分參數(shù)設(shè)置、使用違規(guī)：如用于業(yè)務(wù)限額控制的參數(shù)數(shù)據(jù)表“貸款業(yè)務(wù)種類表”中各貸種最高貸款額均設(shè)定為1000萬元，最低貸款額為0，最長貸款期限為480個月，最高貸款比例為100%，而根據(jù)商業(yè)銀行總行的規(guī)定，在保證或擔保方式下，個人消費額度貸款最高額度為60萬元（AAA級），期限最長為5年。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所2、總體業(yè)務(wù)設(shè)計尚有欠缺：（1）對個人住房貸款系統(tǒng)業(yè)務(wù)電子數(shù)據(jù)貸款戶動態(tài)明細表、貸款戶參數(shù)表進行分析檢查，發(fā)現(xiàn)逾期本金、呆滯本

37、金總額與業(yè)務(wù)報表差異明顯，原因在于貸款形態(tài)轉(zhuǎn)列時，系統(tǒng)并未自動轉(zhuǎn)換，僅提供提示，仍由人工干預調(diào)整。（2）系統(tǒng)控制功能調(diào)整未與國家有關(guān)個人消費貸款業(yè)務(wù)法規(guī)的變化保持一致。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所2、總體業(yè)務(wù)設(shè)計尚有欠缺：（3）執(zhí)行查詢操作時，無法選擇時點，查詢結(jié)果僅為實時數(shù)據(jù)，統(tǒng)計功能不夠強大，無法實現(xiàn)查詢條件的任意組合，有關(guān)查詢部分的信息不能打印。（4）還款方式不夠靈活多樣，信用卡批量扣款無法實現(xiàn)部分扣款；（5）沒有實現(xiàn)整個分行系統(tǒng)內(nèi)部信息的共享，需求尚未真正實現(xiàn)。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人

38、消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所3、系統(tǒng)使用管理與控制不夠有力：（1）貸款業(yè)務(wù)審批人員也擁有具體經(jīng)辦人員操作權(quán)限密碼。（2）訪問控制不強，口令未定期更新。（3）系統(tǒng)未安裝防殺病毒軟件。（4）無具體的安全管理規(guī)定。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所4、業(yè)務(wù)風險控制措施不力：（1）大量發(fā)放超限額及無指定用途的個人消費貸款；（2）放松信貸條件，存在個人住房貸款“零首付”、開發(fā)商擔保的方式；（3）個人住房貸款還款能力風險評估不足，一人貸款購買多套房屋，信貸風險難以控制；（4）發(fā)放個人住房貸款用于購買本行處置的抵債資產(chǎn)

39、。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所5、交易監(jiān)督管理功能薄弱審計眼神發(fā)現(xiàn)部分發(fā)放的個人消費貸款被改變用用途，挪用于股票認購、投資及股本，權(quán)益性交易等，甚至流入股市，擾亂金融秩序，加大市場風險。（1）借用個人名義獲取個人消費貸款投入股市；（2）使用消費貸款購買個人所在企業(yè)改制后的股份；（3）將個人消費貸款用于向企業(yè)員工分紅；（4）個人住房被企業(yè)改用于支付貨款、歸還借款；（5）以個人消費貸款名義變相發(fā)放開發(fā)企業(yè)貸款。會計信息系統(tǒng)審計會計信息系統(tǒng)審計個人消費貸款系統(tǒng)個人消費貸款系統(tǒng)-審計建議審計建議眾環(huán)海華會計師事務(wù)所會計信息系統(tǒng)工

40、作原理信息系統(tǒng)審計基本理論會計信息系統(tǒng)審計財務(wù)審計與IT審計的銜接眾環(huán)海華會計師事務(wù)所銜接銜接如何開展如何開展眾環(huán)海華會計師事務(wù)所 有自動復雜計算功能的系統(tǒng) 系統(tǒng)技術(shù)落后，供應商已不在提供支持服務(wù) 沒有被廣泛應用的新興技術(shù) 客戶自行開發(fā)軟件，或者對市場常規(guī)軟件有重大修改的軟件 企業(yè)資源規(guī)劃系統(tǒng) (ERP) 系統(tǒng)與系統(tǒng)間存在大量自定義的接口 處理大量交易的系統(tǒng) 為一個復雜企業(yè)處理的系統(tǒng) 復雜的信息技術(shù)設(shè)施銜接銜接什么時候必須測試信息技術(shù)一般控制什么時候必須測試信息技術(shù)一般控制眾環(huán)海華會計師事務(wù)所 依賴不能正確處理數(shù)據(jù)或者處理出來的數(shù)據(jù)不正確的系統(tǒng)或者程序 未經(jīng)授權(quán)的數(shù)據(jù)訪問會導致數(shù)據(jù)損壞或者被不

41、正當?shù)男薷?，包括未?jīng)授權(quán)地記錄不存在的交易或者不正確的交易 未經(jīng)授權(quán)修改主數(shù)據(jù)庫中的數(shù)據(jù) 未經(jīng)授權(quán)修改系統(tǒng)或者程序 未能對系統(tǒng)或程序進行必要的修改 不恰當?shù)娜藶楦深A 丟失數(shù)據(jù)的可能性銜接銜接信息技術(shù)一般控制的特定風險信息技術(shù)一般控制的特定風險眾環(huán)海華會計師事務(wù)所 訪問程序和數(shù)據(jù)的權(quán)限、程序變更這兩個方面總是與測試相關(guān)的，它們的復雜程度和審計證據(jù)的類型在審計客戶中是有巨大的差異的。 程序開發(fā)只有當新系統(tǒng)的運行會對財務(wù)報告內(nèi)部控制以及重大錯報風險有影響時，才與測試相關(guān)。如果對于當年的財務(wù)報表和財務(wù)報告內(nèi)部控制沒有影響，就不需要測試。 計算機運行只有在可以直接與重要賬戶的認定相關(guān)或者與特定風險相關(guān)時，這項測試是相關(guān)的 (通常發(fā)生在交易量龐大，信息系統(tǒng)復雜的行業(yè), 比如銀行)。銜接銜接與測試相關(guān)的與測試相關(guān)的眾環(huán)海華會計師事務(wù)所性質(zhì)： 詢問、觀察、檢查、重新執(zhí)行； 也有審閱系統(tǒng)參數(shù)設(shè)置時間：安排在應用系統(tǒng)控制測試之前范圍：運用職業(yè)判斷確定測試范圍銜接銜接性質(zhì)、時間、范圍性質(zhì)、時間、范圍眾環(huán)