《会计信息系统审计.ppt》由会员分享,可在线阅读,更多相关《会计信息系统审计.ppt(84页珍藏版)》请在金锄头文库上搜索。
1、众环海华会计师事务所会计信息系统控制审计会计信息系统控制审计众环海华会计师事务所会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接众环海华会计师事务所会计信息系统工作原理会计信息系统工作原理从关注点出发从关注点出发IT审计关注财务审计关注众环海华会计师事务所会计信息系统工作原理会计信息系统工作原理外部结构外部结构众环海华会计师事务所服务器、工作站、打印机网线交换机Windows、UNIX、IOS、AndroidDB2 数据库数据库财务报告销售收入 2000万利润 100万销售业务系统销售业务系统财务核算系统财务核算系统信息系统安全信息系统安全与应急计划与应急计划系
2、统的开发系统的开发获得、维护获得、维护及数据处理及数据处理会计信息系统工作原理会计信息系统工作原理内部结构内部结构众环海华会计师事务所一般控制管理控制系统实施控制运行控制软件控制硬件控制物理访问控制逻辑访问控制应用控制输入控制处理控制输出控制保障*控制灾难恢复与应急计划环境控制设备来源控制*会计信息系统工作原理会计信息系统工作原理管理控制管理控制众环海华会计师事务所会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接众环海华会计师事务所INTOSAI(最高审计机关国际组织 ): 信息系统审计是:一个通过获取并评估证据,以判断IT系统是否保护了组织的资产,有效率地利用
3、组织的资源,保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。 基本理论基本理论概念概念众环海华会计师事务所4基本理论基本理论类型类型众环海华会计师事务所内控信息系统审计审计准则C-SOX,SOX,COSO审计操作指南基本理论基本理论审计依据分类审计依据分类众环海华会计师事务所基本理论基本理论审计依据分类审计依据分类众环海华会计师事务所序序号号审计内容审计内容审计依据审计依据1物理环境ANSI/TIA-942:20052安全管理ISO/IEC27001:20133运维管理ISO/IEC 20000-1:20114业务连续性BS25777:20085系统漏洞CVE及相关厂家提供的工具
4、6报告出具ISACA7其他参考ISACA相关标准;Cobit5.0子需求子需求主要依据主要依据其他参考其他参考审计框架COSO审计控制目标Cobit5.0企业内部控制审计指引风险管理全面性ISO31000RiskmanagementPrinciplesandguidelinesonimplementationIT风险评估方法ISO13335InformationtechnologyGuidelinesforthemanagementofITSecurity应对措施有效性ISO27004Informationtechnology-Securitytechniques-Informationsec
5、uritymanagement-MeasurementsISO13335-4 Information technology -Security techniques Guidelines for themanagement of IT security- Selection ofsafeguards信息安全管理ISO27002-InformationtechnologySecuritytechniquesCodeofpracticeforinformationsecuritymanagementISO20000InformationtechnologyServicemanagement信息安全
6、策略和安全组织结构ISO27001InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsISO20000InformationtechnologyServicemanagement开发控制CMMICobit4.1-A12维护控制ISO/IEC14764SoftwareEngineeringSoftwareLifeCycleProcessesMaintenance系统安全GBT+22239信息安全技术+信息系统安全等级保护基本要求网络安全GAT387计算机信息系统安全等级保护网络技术要求结构安全信息系
7、统等级保护安全设计技术技术要求物理及环境安全GB/T21052信息安全技术 信息系统物理安全技术要求灾难恢复ISO24762信息与通讯技术灾难恢复服务指南重要信息系统灾难恢复指南业务连续性计划BS25777-Informationandcommunicationstechnologycontinuitymanagement25999-1 Code of practice for businesscontinuitymanagement外包服务管理ISACA-G4OUTSOURCINGOFISACTIVITIESTOOTHERORGANISATIONSISO27001-A.11-访问控制IT对关
8、键业务的支持Cobit5.0SAP评估Cobi5.0GeneralControl/ProcessControl/ApplicationControlISO15408通用安全评估标准IT审计规划Cobit5.0物理防护物理防护通用防护信息安全技术 信息系统物理安全技术要求(报批稿)布线GB/T-50311-2007(2)防电磁泄露GB/T-8702-1988(3)防雷GB/T-7450(4),GB/T-50057(5),GB/T-50343-2004(6),防雷装置安全检测技术规范防火GBJ16-2001(7)防静电YD-T754(8)接地GB/T-50169(9)火灾报警GB/T-50166(
9、10)活动地板GB/T-6650(11),SJ-T10796-2001(12)场地GB/T-2887(13),GB/T-50174(14),GB/T-9361(15),网络防护网络防护GAT-387-2002(16),GB/T-20271-2006(17),GB/T-10818(18),GB/T-21050-2007(19)系统防护系统防护GB/T-21028-2007(20),GB/T-20271-2006(17),信息系统安全等级保护基本要求)基本理论基本理论其他依据其他依据众环海华会计师事务所基本理论基本理论信息安全信息安全众环海华会计师事务所基本理论基本理论IT运维运维众环海华会计师事
10、务所基本理论基本理论CObit众环海华会计师事务所能力等级能力等级特点特点关键过程关键过程第一级第一级 初始初始级(最低级)级(最低级)软件工程管理制度缺乏,过程缺乏定义、混乱无序。成功依靠的是个人的才能和经验,经常由于缺乏管理和计划导致时间、费用超支。管理方式属于反应式,主要用来应付危机。过程不可预测,难以重复。第二级第二级 可重可重复级复级基于类似项目中的经验,建立了基本的项目管理制度,采取了一定的措施控制费用和时间。管理人员可及时发现问题,采取措施。一定程度上可重复类似项目的软件开发。需求管理,项目计划,项目跟踪和监控,软件子合同管理,软件配置管理,软件质量保障第三级第三级 已定已定义级
11、义级已将软件过程文档化、标准化,可按需要改进开发过程,采用评审方法保证软件质量。可借助CASE工具提高质量和效率。组织过程定义,组织过程焦点,培训大纲,软件集成管理,软件产品工程,组织协调,专家审评第四级第四级 已管已管理级理级针对制定质量、效率目标,并收集、测量相应指标。利用统计工具分析并采取改进措施。对软件过程和产品质量有定量的理解和控制。定量的软件过程管理和产品质量管理第五级第五级 优化优化级(最高级)级(最高级)基于统计质量和过程控制工具,持续改进软件过程。质量和效率稳步改进。缺陷预防,过程变更管理和技术变更管理基本理论基本理论CMM众环海华会计师事务所标准标准 确定信息系统审计和报告
12、的法定要求指引指引 为信息系统审计准则的运用提供指引程序程序 举例说明信息系统审计师在审计项目中可遵循的程序可在以下网址查阅信息系统审计和控制协会(“ISACA”) 准则和指引 (http:/www.isaca.org/stand1.htm)基本理论基本理论标准框架标准框架众环海华会计师事务所扫描工具:ISS、Dbscanner、webscanner、日志分析:网站日志、系统日志、数据库日志行为分析:攻击类工具工具工具信息技术类业务分析类ACLSPSSSAS基本理论基本理论审计工具审计工具众环海华会计师事务所审计程序网络拓扑;防病毒;物理环境;系统补丁;负载均衡常规控制流程控制帐号设置;权限设
13、置;日志分析;控制规则应用控制应急管理;变更管理;可用性管理;故障管理;业务连续性等。审计目的审计目的审计章程审计章程审计方案审计方案审计风险审计风险基本理论基本理论审计程序审计程序众环海华会计师事务所基本理论基本理论审计工具审计工具众环海华会计师事务所基本理论基本理论审计工具(续)审计工具(续)众环海华会计师事务所基本理论基本理论审计工具(续)审计工具(续)众环海华会计师事务所会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接众环海华会计师事务所会计信息系统审计会计信息系统审计与财务报表之间的关系与财务报表之间的关系众环海华会计师事务所会计信息系统审计会计信息系
14、统审计会计信息系统会计信息系统众环海华会计师事务所信息技术已成为支持公司业务、财务、管理的重要基础构架,提供内部、外部、第三方等用户对公司信息的访问。会计信息系统审计会计信息系统审计会计信息系统结构会计信息系统结构众环海华会计师事务所会计信息系统审计会计信息系统审计可能产生的危害可能产生的危害众环海华会计师事务所根据一家国际机构的数据统计,自2004年至2008年6月30日,在内控无效的美国上市公司中,大约17%25%的公司在IT内部控制方面存在重大缺陷:根据统计和分析,导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型: 程序控制上的缺陷 软件开发/实施 职责分离 用户对系统的访问授权
15、 对数据访问的监管和控制会计信息系统审计会计信息系统审计利用会计系统犯罪的趋势利用会计系统犯罪的趋势众环海华会计师事务所会计信息系统审计会计信息系统审计会计系统控制内容会计系统控制内容众环海华会计师事务所会计信息系统审计会计信息系统审计公司层面控制公司层面控制众环海华会计师事务所应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例如:u许多应用系统中根据业务的需求(“业务规则”)设置了很多编辑检查来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或合理性检查(如:最大支付金额)u如果在录入数据时某一
16、项“业务规则”未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟进和处理u如果企业依赖带有关键编辑检查功能的应用系统支持业务,那这些应用控制的有效性必须建立在信息系统一般控制的基础之上会计信息系统审计会计信息系统审计公司层面控制(续)公司层面控制(续)众环海华会计师事务所会计信息系统审计会计信息系统审计一般控制一般控制众环海华会计师事务所会计信息系统审计会计信息系统审计一般控制(续)一般控制(续)众环海华会计师事务所会计信息系统审计会计信息系统审计一般控制范围及缺失产生影响一般控制范围及缺失产生影响 如果计算机环境发现了信息技术如果计算机环
17、境发现了信息技术如果计算机环境发现了信息技术如果计算机环境发现了信息技术一般控制的缺陷,则会影响系统整一般控制的缺陷,则会影响系统整一般控制的缺陷,则会影响系统整一般控制的缺陷,则会影响系统整体的体的体的体的可信程度,例如:可信程度,例如:可信程度,例如:可信程度,例如: 程序变更控制缺陷可能导致未程序变更控制缺陷可能导致未程序变更控制缺陷可能导致未程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式授权人员对检查录入数据字段格式授权人员对检查录入数据字段格式授权人员对检查录入数据字段格式的的的的编程逻辑编程逻辑编程逻辑编程逻辑进行修改,导致系统接进行修改,导致系统接进行修改,导致系统接进
18、行修改,导致系统接受不准确的录入受不准确的录入受不准确的录入受不准确的录入数数数数 与安全和访问权限相关的控制与安全和访问权限相关的控制与安全和访问权限相关的控制与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕缺陷可能导致数据录入不恰当地绕缺陷可能导致数据录入不恰当地绕缺陷可能导致数据录入不恰当地绕过过过过合理性合理性合理性合理性检查,而该合理性检查在检查,而该合理性检查在检查,而该合理性检查在检查,而该合理性检查在其他方面将使系统无法处理金额超其他方面将使系统无法处理金额超其他方面将使系统无法处理金额超其他方面将使系统无法处理金额超过最大过最大过最大过最大容差容差容差容差范围的支付操
19、作范围的支付操作范围的支付操作范围的支付操作信息系统信息系统的开发和实施:的开发和实施: 开发与实施活动的管理、项目发起、分析开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、与设计、自开发系统的建设与软件包的选择、测试测试和质量保证和质量保证、数据转换、上线、文档与、数据转换、上线、文档与培训培训等信息系统等信息系统的变更和维护的变更和维护: 维护活动的管理、规格说明、授权和跟踪维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、变更申请、系统编程、测试和质量保证、迁迁移到生产环境移到生产环境的授权、文档和培训的授权、文档和培训等信息系等信息系统
20、统的操作和运行的操作和运行: 对系统操作的总体控制、工作计划和批处对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作理、备份管理、管理数据中心环境、从操作失败中失败中恢复恢复、用户帮助部门的功能、服务水、用户帮助部门的功能、服务水平协议平协议等程序等程序和数据的接触安全和数据的接触安全: 安全组织和管理、安全政策和流程、应用安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、系统的安全管理、数据安全、操作系统安全、内部内部网络网络安全、边界网络安全、物理安全等安全、边界网络安全、物理安全等众环海华会计师事务所会计信息系统审计会计信息系统审计一般控
21、制范围一般控制范围信息系统的开发和实施信息系统的开发和实施 目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标,包括考虑:程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标 具体控制领域包括:用户需求测试和质量确保数据迁移程序实施记录和培训职责分离信息系统的变更和维护信息系统的变更和维护 目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标 具体控制领域包括:对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离众环海华会计师事务所信
22、息系统的操作和运行信息系统的操作和运行 目标是确保生产系统根据管理层的控制目标、完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性 具体控制领域包括:计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格程序和数据的接触安全程序和数据的接触安全 目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的 具体控制领域包括:安全活动管理安全管理数据安全操作系统安全网络安全物理安全会计信息系统审计会计信息系统审计一般控制范围(续)一般控制范围(续)众环海华会计师事务所信息技术一般控制举例:信息技术一般控制举例:1.1系统开发和重大变更流程:控制点:
23、 用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。 变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。 系统的开发和测试环境必须与生产环境分离;相冲突的职责被适当分离。 制定并保存详细的数据迁移计划,计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试,确保数据的完整,准确和有效。 对于外包的IT项目,公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。 管理层应在系统上线前对其进行检查和审批。1.2 系统日常变更流程:控制点: 一般的程序变更请求需要由用户部门管理层审批并存档保留。 在移植到生产环境前,应当对程序变更进
24、行测试。测试的级别与变更的大小相当。 在程序变更过程中对相冲突的职责实施有效的分离。 程序变更上线之前需要经过管理层的检查和审批。 开发和测试环境在逻辑或物理上与生产环境分离。会计信息系统审计会计信息系统审计一般控制举例一般控制举例众环海华会计师事务所信息技术一般控制举例:信息技术一般控制举例:2.1 用户账号管理用户创建/修改/删除的授权审批:控制点:重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批;关于删除离职或调职用户的权限,被评估机构确立了正式的流程;2.2 用户账号管理权限定期检查:控制点:用户部门管理层应该定期检查系统中用户帐号和授权,并根据检查结果进行帐号清理。信息
25、技术一般控制举例:信息技术一般控制举例:3.1 备份管理-备份检查:控制点:对重要数据(包括支持重要财务信息和应用程序的数据)进行适当的备份,并及时检查备份完成情况。3.2问题及应急事件处理:控制点:IT运行问题或事件应该及时进行识别、解决、审核和分析。会计信息系统审计会计信息系统审计一般控制举例(续)一般控制举例(续)众环海华会计师事务所应用系统是提供业务功能的软件,从而用户可以:与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动,并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息,因此,保护对于这些应用程序的访问权限至关重要,从而降
26、低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险会计信息系统审计会计信息系统审计应用控制应用控制众环海华会计师事务所会计信息系统审计会计信息系统审计应用控制分类应用控制分类配置控制登陆权限、岗位分离控制实时校验、编辑检查自动计算系统接口、对账程序众环海华会计师事务所配置控制:主要关注的是系统中维护的重要参数是否准确,这些参数对于系统的运行和业务处理的正确性起着非常重要的作用,此类控制多属于人工依赖系统控制举例:财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后,K/3系统自动将对应的暂估应付账款进行冲回。系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。会计信息系
27、统审计会计信息系统审计配置控制配置控制众环海华会计师事务所登录权限/岗位分离应用系统中用户的权限设置是否合理,是否按照职责需要进行授权,是否考虑到岗位分离的情况。举例:会计凭证在金蝶K/3系统中的录入,一般此项操作需要一人制单,一人复核及过账。会计信息系统审计会计信息系统审计登陆权限登陆权限/岗位分离岗位分离众环海华会计师事务所实时校验和编辑检查也称为系统录入控制,此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性,在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查,以防止一些非法的或不真实的数据被系统接受,造成系统数据的不真实和大量垃圾数据的产生。
28、举例:会计科目维护时系统存在录入控制,对科目代码进行校验,限制过长或过短的科目代码。系统设定了录入信息模板,只能按照模板规定的格式录入信息。会计信息系统审计会计信息系统审计实时校验和编辑检查实时校验和编辑检查众环海华会计师事务所自动计算系统根据设定的业务逻辑进行自动计算,此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中。举例:金蝶K/3系统正确计算物料的当月采购平均单价。K/3系统每月将当月所有入库单自动汇总成本计算单_汇总显示。会计信息系统审计会计信息系统审计自动计算自动计算众环海华会计师事务所自动系统接口/对账例行程序:主要关注不同应用系统之间传输数据的准确性和完整性,一
29、般属于系统自动控制举例:仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作,确认信息由仓库系统上传到K/3系统。会计信息系统审计会计信息系统审计系统接口系统接口/对账程序对账程序众环海华会计师事务所l应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度l信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接会计信息系统审计会计信息系统审计应用控制需要考虑的因素应用控制需要考虑的因素众环海华会计师事务所l每个应用系统的控制都有所区别:企业的业务性质企业的组织和人员企业的管理需求所采
30、用的技术其他的考虑,如监管要求等l应用控制要持续有效,必需有相关的配套支持:政策、制度人员(业务和信息技术)检查和维护机制(包括信息系统一般性控制)会计信息系统审计会计信息系统审计应用控制(续)应用控制(续)众环海华会计师事务所会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-背景背景l信息技术在金融领域日益广泛的应用;l新技术的风险;l不仅要审计信息系统产生的电子数据,而且要对信息系统本身进行审计;l各家商业银行纷纷推出具有自身特色的个人消费信贷产品。众环海华会计师事务所l商业银行个人消费信贷系统:个人消费信贷子系统、储蓄前台会计核算管理子系统和后台系统管理子系统构成。l采用
31、双层结构会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-概况概况众环海华会计师事务所1.开展审前调查、制定审计方案;2.明确审计重点、确定测试项目;3.实施系统审计4.进行审计评价、提出审计建议会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计程序审计程序众环海华会计师事务所1.提交明确资料需求;2.进行人员沟通;3.熟悉软件主要功能;4.收集系统的文档技术资料5.收集个人消费信贷业务的法规制度在此基础上,拟定审计工作方案,明确审计目标,界定审计范围,突出审计重点,确定审计方法和步骤。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审前调
32、查、制定方案审前调查、制定方案众环海华会计师事务所1.对已收集的系统文档资料进行研究分析,重点围绕审阅系统文档和价差应用程序两方面进行。2.审计人员设计一套有关一般控制、应用控制方面的调查表格,观察系统运行使用现状。3.了解软件系统中存在哪些控制、在哪里控制、如何控制等信息,选定个别输入程序流程,追踪检查输入样本业务。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计重点、测试项目审计重点、测试项目众环海华会计师事务所1、检查程序运行结果:分析该软件系统的数据字典,掌握保存程序运行结果的库表结构与分布情况,要求某商业银行完整下载审计所需的近100个数据库文件,通过运用审计数
33、据采集与分析软件等处理工作,对下载的数据文件进行转换,对照法律法规要求设定各种运算条件,使用工具软件中的查询、排序、计算、重组、分析等项功能,对电子数据进行整理、加工用于检查,发现较多疑点,并与调阅的纸质数据、账表和凭证进行比较取证,以确定系统的功能是否合法、正确。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-实施审计实施审计众环海华会计师事务所2、数据检测:审计组制定了较为详尽的测试计划与细则,对运行环境中的程序模块处理功能进行数据检测。测试数据项包括正常、有效的交易数据,不正常、无效的交易数据,破坏性数据,进行多种额度及权限下的有关交易测试。最后将程序运行结果与预期结果
34、进行比较,判断有关程序的控制与处理功能是否恰当、有效。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-实施审计实施审计众环海华会计师事务所3、平行模拟:由审计人员运用SQL语言编写相同的处理及控制功能模拟程序,用来处理贷款交易历史文件中当期的实际数据,得到新的处理结果。比较两个结果,对不符情况,全面调阅有关账证,进行重点检查。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-实施审计实施审计众环海华会计师事务所根据审计中的发现,对系统做出审计评价,并针对存在的问题提出改进建议。1、系统功能不够完善,部分功能模块存在漏洞与缺陷;2、总体业务设计尚有欠缺;3、系统
35、使用管理与控制不够有力;4、业务风险控制措施不力;5、交易监督管理功能薄弱。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所1、系统功能不够完善:(1)输入控制存在缺陷,数据关联度不够,输入校验不足:已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后,只能开立新账号重新登陆,而贷款户参数表中仍记录实际已作废的出错业务。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所1、系统功能不够完善:(2)逻辑控制存在薄弱环节,数据真实性、完整性、准确性不够:系统“贷款户参数表
36、”中“贷款账号”地段编码规则未统一,如新旧账号长度不等(贷款新账号长度16位,格式为贷款机构+贷款+期限档次+账号顺序+校验位;旧帐号则长度不统一,甚至出现仅为两位数的情况),未作统一的转换设计。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所1、系统功能不够完善:(3)系统参数管理及控制功能薄弱,部分参数设置、使用违规:如用于业务限额控制的参数数据表“贷款业务种类表”中各贷种最高贷款额均设定为1000万元,最低贷款额为0,最长贷款期限为480个月,最高贷款比例为100%,而根据商业银行总行的规定,在保证或担保方式下,个人消费额度贷款最高额
37、度为60万元(AAA级),期限最长为5年。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所2、总体业务设计尚有欠缺:(1)对个人住房贷款系统业务电子数据贷款户动态明细表、贷款户参数表进行分析检查,发现逾期本金、呆滞本金总额与业务报表差异明显,原因在于贷款形态转列时,系统并未自动转换,仅提供提示,仍由人工干预调整。(2)系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所2、总体业务设计尚有欠缺:(3)执行查询操作时,无法选择时点
38、,查询结果仅为实时数据,统计功能不够强大,无法实现查询条件的任意组合,有关查询部分的信息不能打印。(4)还款方式不够灵活多样,信用卡批量扣款无法实现部分扣款;(5)没有实现整个分行系统内部信息的共享,需求尚未真正实现。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所3、系统使用管理与控制不够有力:(1)贷款业务审批人员也拥有具体经办人员操作权限密码。(2)访问控制不强,口令未定期更新。(3)系统未安装防杀病毒软件。(4)无具体的安全管理规定。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务
39、所4、业务风险控制措施不力:(1)大量发放超限额及无指定用途的个人消费贷款;(2)放松信贷条件,存在个人住房贷款“零首付”、开发商担保的方式;(3)个人住房贷款还款能力风险评估不足,一人贷款购买多套房屋,信贷风险难以控制;(4)发放个人住房贷款用于购买本行处置的抵债资产。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所5、交易监督管理功能薄弱审计眼神发现部分发放的个人消费贷款被改变用用途,挪用于股票认购、投资及股本,权益性交易等,甚至流入股市,扰乱金融秩序,加大市场风险。(1)借用个人名义获取个人消费贷款投入股市;(2)使用消费贷款购买个人
40、所在企业改制后的股份;(3)将个人消费贷款用于向企业员工分红;(4)个人住房被企业改用于支付货款、归还借款;(5)以个人消费贷款名义变相发放开发企业贷款。会计信息系统审计会计信息系统审计个人消费贷款系统个人消费贷款系统-审计建议审计建议众环海华会计师事务所会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接众环海华会计师事务所衔接衔接如何开展如何开展众环海华会计师事务所有自动复杂计算功能的系统系统技术落后,供应商已不在提供支持服务没有被广泛应用的新兴技术客户自行开发软件,或者对市场常规软件有重大修改的软件企业资源规划系统(ERP)系统与系统间存在大量自定义的接口处理
41、大量交易的系统为一个复杂企业处理的系统复杂的信息技术设施衔接衔接什么时候必须测试信息技术一般控制什么时候必须测试信息技术一般控制众环海华会计师事务所依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序未经授权的数据访问会导致数据损坏或者被不正当的修改,包括未经授权地记录不存在的交易或者不正确的交易未经授权修改主数据库中的数据未经授权修改系统或者程序未能对系统或程序进行必要的修改不恰当的人为干预丢失数据的可能性衔接衔接信息技术一般控制的特定风险信息技术一般控制的特定风险众环海华会计师事务所访问程序和数据的权限、程序变更这两个方面总是与测试相关的,它们的复杂程度和审计证据的类型在审计客户中是
42、有巨大的差异的。程序开发只有当新系统的运行会对财务报告内部控制以及重大错报风险有影响时,才与测试相关。如果对于当年的财务报表和财务报告内部控制没有影响,就不需要测试。计算机运行只有在可以直接与重要账户的认定相关或者与特定风险相关时,这项测试是相关的(通常发生在交易量庞大,信息系统复杂的行业,比如银行)。衔接衔接与与测试相关的测试相关的众环海华会计师事务所性质:询问、观察、检查、重新执行;也有审阅系统参数设置时间:安排在应用系统控制测试之前范围:运用职业判断确定测试范围衔接衔接性质、时间、范围性质、时间、范围众环海华会计师事务所衔接衔接一般控制一般控制的的问题问题众环海华会计师事务所衔接衔接如何
43、评测如何评测众环海华会计师事务所测试一个样本就足够了,但是要覆盖自动化控制中涉及的一系列属性如果信赖自动化应用控制,需要测试信息技术一般控制并得到满意的结果我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制衔接衔接如何测试如何测试众环海华会计师事务所一组文档内的下述数据被汇总计算:文件数量合计金额哈希汇总把批总数输入系统并且与系统计算的结果相比较。衔接衔接是否进行分批总计处理是否进行分批总计处理众环海华会计师事务所由一定范围内连续的数据组成系统不接受重复的数据系统不接受无效数据对数据遗漏报告进行跟进调查衔接衔接开展顺序检查开展顺序检查众环海华会计师事务所将文档的顺序号与可接受列表进行比
44、较如果数据不相符,文档仅在授权后才可被处理不符项必须被跟进检查以确保控制技术的有效执行衔接衔接进行计算匹配进行计算匹配众环海华会计师事务所确保每一个文件都与经计算机处理的详细文件清单相符合成本高耗时长必须获得所有的原始数据衔接衔接一对一检查一对一检查众环海华会计师事务所合理性检查从属检查存在性检查格式检验极限检查数学精确度检验校验数位验证预录输入匹配衔接衔接编辑检查程序编辑检查程序众环海华会计师事务所衔接衔接测试应用控制测试应用控制自动化控制是系统功能的一部分,因此如果它们被正确执行一次,理论上说它们会一直被正确地执行下去为了评估自动化控制的运行效率,测试的样本数量通常只限于确保该控制的所有相
45、关属性有效执行一次(即“测试一次”)我们往往可以通过穿行测试取得自动化控制的实施证据众环海华会计师事务所1、情况描述:自动化控制确保同一发票号码不会被重复录入信息处理目标:完整性2、测试步骤:在以下几种情况下测试运行中的控制:l输入一个正确的发票号码l输入一个重复的发票号码l输入一个空的发票号码3、测试结论:通过执行以上测试,我们已经测试了这项控制的所有重要属性衔接衔接举例举例众环海华会计师事务所控制执行异常未必会对审计产生影响,或者需要作为重大缺陷报告治理层。当我们发现控制执行异常时,审计小组应该:l判断执行异常个体或者汇总是否被认定为内部控制的缺陷,或重大缺陷。所有的重大缺陷都必须与公司治
46、理层沟通l确定对审计方法的影响确保所有在控制测试中发现的执行异常都被记录下来衔接衔接异常与缺陷的判断异常与缺陷的判断众环海华会计师事务所如果信息技术一般控制失效,我们就不能依赖自动控制?针对信息技术一般控制,应用控制和重要的会计流程:l如果信息技术一般控制是有效的,滚动测试只需要涵盖信息系统一般控制l如果信息技术一般控制失效,那么可以:对于已整改的信息技术一般控制,测试信息技术一般控制和相关的应用控制如果信息技术一般控制未被整改,需要对所有关键自动应用控制进行滚动测试,或者对与失效的信息技术一般控制相关的重要会计流程进行测试衔接衔接异常与缺陷的判断(续)异常与缺陷的判断(续)众环海华会计师事务所审计师介入的时间人员和技术的要求审计方法:执行实质性测试的局限被审单位和实施方的关系对发现的问题整改的责任与其他审计工作的结合衔接衔接关注点关注点众环海华会计师事务所致谢致谢欢迎交流
