1、眾環海華會計師事務所會計信息系統控制審計會計信息系統控制審計眾環海華會計師事務所會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接眾環海華會計師事務所會計信息系統工作原理會計信息系統工作原理從關注點出發從關注點出發IT審計關注財務審計關注眾環海華會計師事務所會計信息系統工作原理會計信息系統工作原理外部結構外部結構眾環海華會計師事務所服務器、工作站、打印機網線交換機Windows、UNIX、IOS、AndroidDB2 數據庫數據庫財務報告銷售收入 2000萬利潤 100萬銷售業務系統銷售業務系統財務核算系統財務核算系統信息系統安全信息系統安全與應急計劃與應急計劃系

2、統的開發系統的開發獲得、維護獲得、維護及數據處理及數據處理會計信息系統工作原理會計信息系統工作原理內部結構內部結構眾環海華會計師事務所一般控制管理控制系統實施控制運行控制軟件控制硬件控制物理訪問控制邏輯訪問控制應用控制輸入控制處理控制輸出控制保障*控制災難恢復與應急計劃環境控制設備來源控制*會計信息系統工作原理會計信息系統工作原理管理控制管理控制眾環海華會計師事務所會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接眾環海華會計師事務所INTOSAI（最高審計機關國際組織 ）： 信息系統審計是：一個通過獲取并評估證據，以判斷IT系統是否保護了組織的資產，有效率地利用

3、組織的資源，保障數據的安全性和一致性，以及有效地達到組織的業務目標的過程。 基本理論基本理論概念概念眾環海華會計師事務所4基本理論基本理論類型類型眾環海華會計師事務所內控機場ISACA信息系統審計審計署審計準則C-SOX，SOX，COSO審計操作指南基本理論基本理論審計依據分類審計依據分類眾環海華會計師事務所基本理論基本理論審計依據分類審計依據分類眾環海華會計師事務所序序號號審計內容審計內容審計依據審計依據1物理環境ANSI/TIA-942:20052安全管理ISO/IEC27001：20133運維管理ISO/IEC 20000-1:20114業務連續性BS 25777:20085系統漏洞CV

4、E及相關廠家提供的工具6報告出具ISACA 7其他參考ISACA相關標準；Cobit 5.0子需求子需求主要依據主要依據其他參考其他參考審計框架COSO 審計控制目標Cobit5.0企業內部控制審計指引風險管理全面性ISO31000 Risk management Principles and guidelines on implementation IT風險評估方法ISO13335 Information technology Guidelines forthe management of IT Security 應對措施有效性ISO27004 Information technology

5、- Security techniques - Information security management - MeasurementsISO13335-4 Information technology - Security techniques Guidelines for the management of IT security- Selection of safeguards信息安全管理ISO27002-Information technology Security techniques Code of practice for information security manag

6、ementISO20000 Information technology Service management信息安全策略和安全組織結構ISO27001 Information technology Security techniques Information security management systemsISO20000 Information technology Service management開發控制CMMICobit4.1-A12維護控制ISO/IEC 14764 Software Engineering Software Life Cycle Processes Ma

7、intenance 系統安全GBT+22239信息安全技術+信息系統安全等級保護基本要求 網絡安全GAT 387計算機信息系統安全等級保護網絡技術要求 結構安全信息系統等級保護安全設計技術技術要求 物理及環境安全GB/T 21052信息安全技術 信息系統物理安全技術要求 災難恢復ISO24762 信息與通訊技術災難恢復服務指南 重要信息系統災難恢復指南業務連續性計劃BS25777-Information and communications technology continuity management25999-1 Code of practice for business continu

8、ity management外包服務管理ISACA-G4 OUTSOURCING OF IS ACTIVITIES TO OTHER ORGANISATIONSISO27001-A.11-訪問控制IT對關鍵業務的支持Cobit5.0 SAP評估Cobi5.0 General Control/Process Control/Application ControlISO15408 通用安全評估標準IT審計規劃Cobit5.0 物理防護物理防護通用防護信息安全技術 信息系統物理安全技術要求（報批稿）布線GB/T-50311-2007（2）防電磁泄露GB/T-8702-1988（3）防雷GB/T-74

9、50（4），GB/T-50057（5），GB/T-50343-2004（6），防雷裝置安全檢測技術規范防火GBJ16-2001（7）防靜電YD-T 754（8）接地GB/T-50169（9）火災報警GB/T-50166（10）活動地板GB/T-6650（11），SJ-T 10796-2001（12）場地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），網絡防護網絡防護GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）系統防護系統防護GB/T-21028-2007（20

10、），GB/T-20271-2006（17），信息系統安全等級保護基本要求）基本理論基本理論其他依據其他依據眾環海華會計師事務所基本理論基本理論信息安全信息安全眾環海華會計師事務所基本理論基本理論IT運維運維眾環海華會計師事務所基本理論基本理論CObit眾環海華會計師事務所能力等級能力等級特點特點關鍵過程關鍵過程第一級第一級 初始初始級（最低級）級（最低級）軟件工程管理制度缺乏，過程缺乏定義、混亂無序。成功依靠的是個人的才能和經驗，經常由于缺乏管理和計劃導致時間、費用超支。管理方式屬于反應式，主要用來應付危機。過程不可預測，難以重復。第二級第二級 可重可重復級復級基于類似項目中的經驗，建立了基本

11、的項目管理制度，采取了一定的措施控制費用和時間。管理人員可及時發現問題，采取措施。一定程度上可重復類似項目的軟件開發。需求管理,項目計劃,項目跟蹤和監控,軟件子合同管理,軟件配置管理,軟件質量保障第三級第三級 已定已定義級義級已將軟件過程文檔化、標準化，可按需要改進開發過程，采用評審方法保證軟件質量。可借助CASE工具提高質量和效率。組織過程定義,組織過程焦點,培訓大綱,軟件集成管理,軟件產品工程,組織協調,專家審評第四級第四級 已管已管理級理級針對制定質量、效率目標，并收集、測量相應指標。利用統計工具分析并采取改進措施。對軟件過程和產品質量有定量的理解和控制。定量的軟件過程管理和產品質量管理

12、第五級第五級 優化優化級（最高級）級（最高級）基于統計質量和過程控制工具，持續改進軟件過程。質量和效率穩步改進。缺陷預防,過程變更管理和技術變更管理基本理論基本理論CMM眾環海華會計師事務所標準標準 確定信息系統審計和報告的法定要求指引指引 為信息系統審計準則的運用提供指引程序程序 舉例說明信息系統審計師在審計項目中可遵循的程序可在以下網址查閱信息系統審計和控制協會(“ISACA”) 準則和指引 （/stand1.htm）基本理論基本理論標準框架標準框架眾環海華會計師事務所掃描工具：ISS、Dbscanner、web scanner、日志分析：網站日志、系

13、統日志、數據庫日志行為分析：攻擊類工具工具工具信息技術類業務分析類ACLSPSSSAS基本理論基本理論審計工具審計工具眾環海華會計師事務所審計程序網絡拓撲；防病毒；物理環境；系統補丁；負載均衡常規控制流程控制帳號設置；權限設置；日志分析；控制規則應用控制應急管理；變更管理；可用性管理；故障管理；業務連續性等。審計目的審計目的審計章程審計章程審計方案審計方案審計風險審計風險基本理論基本理論審計程序審計程序眾環海華會計師事務所基本理論基本理論審計工具審計工具眾環海華會計師事務所基本理論基本理論審計工具（續）審計工具（續）眾環海華會計師事務所基本理論基本理論審計工具（續）審計工具（續）眾環海華會計師

14、事務所會計信息系統工作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接眾環海華會計師事務所會計信息系統審計會計信息系統審計與財務報表之間的關系與財務報表之間的關系眾環海華會計師事務所會計信息系統審計會計信息系統審計會計信息系統會計信息系統眾環海華會計師事務所 信息技術已成為支持公司業務、財務、管理的重要基礎構架，提供內部、外部、第三方等用戶對公司信息的訪問。會計信息系統審計會計信息系統審計會計信息系統結構會計信息系統結構眾環海華會計師事務所會計信息系統審計會計信息系統審計可能產生的危害可能產生的危害眾環海華會計師事務所根據一家國際機構的數據統計，自2004年至2008年6月30

15、日，在內控無效的美國上市公司中，大約17%25%的公司在IT內部控制方面存在重大缺陷：根據統計和分析，導致內控無效的信息系統方面重大控制缺陷主要有以下幾種類型： 程序控制上的缺陷 軟件開發/實施 職責分離 用戶對系統的訪問授權 對數據訪問的監管和控制會計信息系統審計會計信息系統審計利用會計系統犯罪的趨勢利用會計系統犯罪的趨勢眾環海華會計師事務所會計信息系統審計會計信息系統審計會計系統控制內容會計系統控制內容眾環海華會計師事務所會計信息系統審計會計信息系統審計公司層面控制公司層面控制眾環海華會計師事務所應用控制是設計在計算機應用系統中的有助于達到信息處理目標的控制，例如：u 許多應用系統中根據業

16、務的需求（“業務規則”）設置了很多編輯檢查來幫助確保錄入數據的準確性，編輯檢查可能包括格式檢查（如：日期格式或數字格式），存在性檢查（如：客戶編碼存在于客戶主數據文檔之中），或合理性檢查（如：最大支付金額）u如果在錄入數據時某一項“業務規則”未通過編輯檢查，那么系統可能拒絕錄入該數據或系統可能將該錄入數據包括在系統生成的例外報告之中，留待后續跟進和處理u如果企業依賴帶有關鍵編輯檢查功能的應用系統支持業務，那這些應用控制的有效性必須建立在信息系統一般控制的基礎之上會計信息系統審計會計信息系統審計公司層面控制（續）公司層面控制（續）眾環海華會計師事務所會計信息系統審計會計信息系統審計一般控制一般控

17、制眾環海華會計師事務所會計信息系統審計會計信息系統審計一般控制（續）一般控制（續）眾環海華會計師事務所會計信息系統審計會計信息系統審計一般控制范圍及缺失產生影響一般控制范圍及缺失產生影響 如果計算機環境發現了信息技術如果計算機環境發現了信息技術一般控制的缺陷，則會影響系統整一般控制的缺陷，則會影響系統整體的體的可信程度，例如：可信程度，例如： 程序變更控制缺陷可能導致未程序變更控制缺陷可能導致未授權人員對檢查錄入數據字段格式授權人員對檢查錄入數據字段格式的的編程邏輯編程邏輯進行修改，導致系統接進行修改，導致系統接受不準確的錄入受不準確的錄入數數 與安全和訪問權限相關的控制與安全和訪問權限相關的

18、控制缺陷可能導致數據錄入不恰當地繞缺陷可能導致數據錄入不恰當地繞過過合理性合理性檢查，而該合理性檢查在檢查，而該合理性檢查在其他方面將使系統無法處理金額超其他方面將使系統無法處理金額超過最大過最大容差容差范圍的支付操作范圍的支付操作信息系統信息系統的開發和實施：的開發和實施： 開發與實施活動的管理、項目發起、分析開發與實施活動的管理、項目發起、分析與設計、自開發系統的建設與軟件包的選擇、與設計、自開發系統的建設與軟件包的選擇、測試測試和質量保證和質量保證、數據轉換、上線、文檔與、數據轉換、上線、文檔與培訓培訓等信息系統等信息系統的變更和維護的變更和維護： 維護活動的管理、規格說明、授權和跟蹤維

19、護活動的管理、規格說明、授權和跟蹤變更申請、系統編程、測試和質量保證、變更申請、系統編程、測試和質量保證、遷遷移到生產環境移到生產環境的授權、文檔和培訓的授權、文檔和培訓等信息系等信息系統統的操作和運行的操作和運行： 對系統操作的總體控制、工作計劃和批處對系統操作的總體控制、工作計劃和批處理、備份管理、管理數據中心環境、從操作理、備份管理、管理數據中心環境、從操作失敗中失敗中恢復恢復、用戶幫助部門的功能、服務水、用戶幫助部門的功能、服務水平協議平協議等程序等程序和數據的接觸安全和數據的接觸安全： 安全組織和管理、安全政策和流程、應用安全組織和管理、安全政策和流程、應用系統的安全管理、數據安全、

20、操作系統安全、系統的安全管理、數據安全、操作系統安全、內部內部網絡網絡安全、邊界網絡安全、物理安全等安全、邊界網絡安全、物理安全等眾環海華會計師事務所會計信息系統審計會計信息系統審計一般控制范圍一般控制范圍信息系統的開發和實施信息系統的開發和實施 目標是確保系統的開發、配置和實施能夠實現管理層的應用控制目標，包括考慮： 程序開發活動的全面管理 項目啟動控制應當確保項目的計劃、資源配置和啟動可以支持實現管理層的應用控制目標 具體控制領域包括： 用戶需求 測試和質量確保 數據遷移 程序實施 記錄和培訓 職責分離信息系統的變更和維護信息系統的變更和維護 目標是確保對程序和相關基礎組件的變更是經過請求

21、、授權、執行、測試和實施的，以達到管理層的應用控制目標 具體控制領域包括： 對維護活動的管理 對變更請求的規范、授權與跟蹤 對程序變更實施過程的控制 測試和質量確保 程序實施 記錄和培訓 職責分離眾環海華會計師事務所信息系統的操作和運行信息系統的操作和運行 目標是確保生產系統根據管理層的控制目標、完整準確地運行，確保運行問題被完整準確地識別并解決，以維護財務數據的完整性 具體控制領域包括： 計算機運行活動的總體管理 批處理 實時處理 備份和問題管理 災難恢復 重要電子表格程序和數據的接觸安全程序和數據的接觸安全 目標是確保分配的訪問程序和數據的權限是經過用戶身份認證并經過授權的 具體控制領域包

22、括： 安全活動管理 安全管理 數據安全 操作系統安全 網絡安全 物理安全會計信息系統審計會計信息系統審計一般控制范圍（續）一般控制范圍（續）眾環海華會計師事務所信息技術一般控制舉例：信息技術一般控制舉例：1.1系統開發和重大變更流程:控制點： 用戶需求文檔以及其他系統設計文檔應該經過用戶所在部門管理層審批并妥善保存。 變更在被移植到生產環境前被測試。測試的級別應當和變更的大小相當。 系統的開發和測試環境必須與生產環境分離；相沖突的職責被適當分離。 制定并保存詳細的數據遷移計劃，計劃應涵蓋具體的數據遷移步驟。數據遷移的過程應當在原始位置和目的地之間進行測試，確保數據的完整，準確和有效。 對于外包

23、的IT項目，公司的項目管理組應該對服務商的運作以及控制的有效性進行檢查。 管理層應在系統上線前對其進行檢查和審批。1.2 系統日常變更流程：控制點： 一般的程序變更請求需要由用戶部門管理層審批并存檔保留。 在移植到生產環境前，應當對程序變更進行測試。測試的級別與變更的大小相當。 在程序變更過程中對相沖突的職責實施有效的分離。 程序變更上線之前需要經過管理層的檢查和審批。 開發和測試環境在邏輯或物理上與生產環境分離。會計信息系統審計會計信息系統審計一般控制舉例一般控制舉例眾環海華會計師事務所信息技術一般控制舉例：信息技術一般控制舉例：2.1 用戶賬號管理用戶創建/修改/刪除的授權審批：控制點：重

24、要系統和應用程序中用戶帳號的創建/修改必須由管理部門進行審批；關于刪除離職或調職用戶的權限，被評估機構確立了正式的流程；2.2 用戶賬號管理權限定期檢查：控制點：用戶部門管理層應該定期檢查系統中用戶帳號和授權，并根據檢查結果進行帳號清理。信息技術一般控制舉例：信息技術一般控制舉例：3.1 備份管理-備份檢查：控制點：對重要數據（包括支持重要財務信息和應用程序的數據）進行適當的備份，并及時檢查備份完成情況。3.2問題及應急事件處理：控制點：IT運行問題或事件應該及時進行識別、解決、審核和分析。會計信息系統審計會計信息系統審計一般控制舉例（續）一般控制舉例（續）眾環海華會計師事務所應用系統是提供業

25、務功能的軟件，從而用戶可以： 與電腦之間產生互動 輸入和取出數據 執行業務處理功能等應用系統能夠支持業務活動，并且允許用戶更加有效率地履行他們的職責有些應用系統可以被用于訪問和修改業務及財務信息，因此，保護對于這些應用程序的訪問權限至關重要，從而降低任何與對于關鍵業務與財務相關數據擁有不合理的訪問權限相關的風險會計信息系統審計會計信息系統審計應用控制應用控制眾環海華會計師事務所會計信息系統審計會計信息系統審計應用控制分類應用控制分類配置控制登陸權限、崗位分離控制實時校驗、編輯檢查自動計算系統接口、對賬程序眾環海華會計師事務所 配置控制：主要關注的是系統中維護的重要參數是否準確，這些參數對于系統

26、的運行和業務處理的正確性起著非常重要的作用，此類控制多屬于人工依賴系統控制舉例：財務管理部會計進行采購發票勾稽并做外購入庫暫估沖回后，K/3系統自動將對應的暫估應付賬款進行沖回。系統能根據預先的設置根據科目余額表余額生成資產負債表和利潤表。會計信息系統審計會計信息系統審計配置控制配置控制眾環海華會計師事務所 登錄權限/崗位分離應用系統中用戶的權限設置是否合理，是否按照職責需要進行授權，是否考慮到崗位分離的情況。舉例： 會計憑證在金蝶K/3系統中的錄入，一般此項操作需要一人制單，一人復核及過賬。會計信息系統審計會計信息系統審計登陸權限登陸權限/崗位分離崗位分離眾環海華會計師事務所 實時校驗和編輯

27、檢查也稱為系統錄入控制，此類控制主要是系統自動控制。這類控制點的主要作用是確保錄入到系統中的數據的準確性，在進行業務錄入時系統會對重要字段的合理性、合規性和準確性進行檢查，以防止一些非法的或不真實的數據被系統接受，造成系統數據的不真實和大量垃圾數據的產生。舉例： 會計科目維護時系統存在錄入控制，對科目代碼進行校驗，限制過長或過短的科目代碼。 系統設定了錄入信息模板，只能按照模板規定的格式錄入信息。會計信息系統審計會計信息系統審計實時校驗和編輯檢查實時校驗和編輯檢查眾環海華會計師事務所 自動計算系統根據設定的業務邏輯進行自動計算，此類控制多為系統自動控制。此類控制一般在程序開發時已經嵌入到系統中

28、。舉例： 金蝶K/3系統正確計算物料的當月采購平均單價。 K/3系統每月將當月所有入庫單自動匯總成本計算單_匯總顯示。會計信息系統審計會計信息系統審計自動計算自動計算眾環海華會計師事務所 自動系統接口/對賬例行程序:主要關注不同應用系統之間傳輸數據的準確性和完整性，一般屬于系統自動控制舉例： 倉管員根據K/3系統銷售出庫單的出庫或退庫指令在倉庫系統進行出庫或退庫操作，確認信息由倉庫系統上傳到K/3系統。會計信息系統審計會計信息系統審計系統接口系統接口/對賬程序對賬程序眾環海華會計師事務所l 應用系統的復雜程度 復雜的計算需求或業務規則 跨國或復雜的信息系統架構 應用技術的采用 信息系統所提供的

29、功能 信息系統在企業應用的廣泛程度l 信息系統在企業的應用 所支持的業務交易 業務對系統的依賴程度 系統之間的鏈接會計信息系統審計會計信息系統審計應用控制需要考慮的因素應用控制需要考慮的因素眾環海華會計師事務所l 每個應用系統的控制都有所區別： 企業的業務性質 企業的組織和人員 企業的管理需求 所采用的技術 其他的考慮，如監管要求等l 應用控制要持續有效，必需有相關的配套支持： 政策、制度 人員（業務和信息技術） 檢查和維護機制（包括信息系統一般性控制）會計信息系統審計會計信息系統審計應用控制（續）應用控制（續）眾環海華會計師事務所會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系

30、統-背景背景l 信息技術在金融領域日益廣泛的應用；l 新技術的風險；l 不僅要審計信息系統產生的電子數據，而且要對信息系統本身進行審計；l 各家商業銀行紛紛推出具有自身特色的個人消費信貸產品。眾環海華會計師事務所l 商業銀行個人消費信貸系統：個人消費信貸子系統、儲蓄前臺會計核算管理子系統和后臺系統管理子系統構成。l 采用雙層結構會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-概況概況眾環海華會計師事務所1. 開展審前調查、制定審計方案；2. 明確審計重點、確定測試項目；3. 實施系統審計4. 進行審計評價、提出審計建議會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸

31、款系統-審計程序審計程序眾環海華會計師事務所1.提交明確資料需求；2.進行人員溝通；3.熟悉軟件主要功能；4.收集系統的文檔技術資料5.收集個人消費信貸業務的法規制度在此基礎上，擬定審計工作方案，明確審計目標，界定審計范圍，突出審計重點，確定審計方法和步驟。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審前調查、制定方案審前調查、制定方案眾環海華會計師事務所1.對已收集的系統文檔資料進行研究分析，重點圍繞審閱系統文檔和價差應用程序兩方面進行。2.審計人員設計一套有關一般控制、應用控制方面的調查表格，觀察系統運行使用現狀。3.了解軟件系統中存在哪些控制、在哪里控制、如何控制等

32、信息，選定個別輸入程序流程，追蹤檢查輸入樣本業務。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計重點、測試項目審計重點、測試項目眾環海華會計師事務所1、檢查程序運行結果：分析該軟件系統的數據字典，掌握保存程序運行結果的庫表結構與分布情況，要求某商業銀行完整下載審計所需的近100個數據庫文件，通過運用審計數據采集與分析軟件等處理工作，對下載的數據文件進行轉換，對照法律法規要求設定各種運算條件，使用工具軟件中的查詢、排序、計算、重組、分析等項功能，對電子數據進行整理、加工用于檢查，發現較多疑點，并與調閱的紙質數據、賬表和憑證進行比較取證，以確定系統的功能是否合法、正確。會計

33、信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-實施審計實施審計眾環海華會計師事務所2、數據檢測：審計組制定了較為詳盡的測試計劃與細則，對運行環境中的程序模塊處理功能進行數據檢測。測試數據項包括正常、有效的交易數據，不正常、無效的交易數據，破壞性數據，進行多種額度及權限下的有關交易測試。最后將程序運行結果與預期結果進行比較，判斷有關程序的控制與處理功能是否恰當、有效。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-實施審計實施審計眾環海華會計師事務所3、平行模擬：由審計人員運用SQL語言編寫相同的處理及控制功能模擬程序，用來處理貸款交易歷史文件中當期的實際數據，

34、得到新的處理結果。比較兩個結果，對不符情況，全面調閱有關賬證，進行重點檢查。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-實施審計實施審計眾環海華會計師事務所根據審計中的發現，對系統做出審計評價，并針對存在的問題提出改進建議。1、系統功能不夠完善，部分功能模塊存在漏洞與缺陷；2、總體業務設計尚有欠缺；3、系統使用管理與控制不夠有力；4、業務風險控制措施不力；5、交易監督管理功能薄弱。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所1、系統功能不夠完善：（1）輸入控制存在缺陷，數據關聯度不夠，輸入校驗不足：已經上傳進行審批

35、或已審批的貸款客戶資料不能進行修改。系統前端發生輸入錯誤后，只能開立新賬號重新登陸，而貸款戶參數表中仍記錄實際已作廢的出錯業務。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所1、系統功能不夠完善：（2）邏輯控制存在薄弱環節，數據真實性、完整性、準確性不夠：系統“貸款戶參數表”中“貸款賬號”地段編碼規則未統一，如新舊賬號長度不等（貸款新賬號長度16位，格式為貸款機構+貸款+期限檔次+賬號順序+校驗位；舊帳號則長度不統一，甚至出現僅為兩位數的情況），未作統一的轉換設計。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議

36、審計建議眾環海華會計師事務所1、系統功能不夠完善：（3）系統參數管理及控制功能薄弱，部分參數設置、使用違規：如用于業務限額控制的參數數據表“貸款業務種類表”中各貸種最高貸款額均設定為1000萬元，最低貸款額為0，最長貸款期限為480個月，最高貸款比例為100%，而根據商業銀行總行的規定，在保證或擔保方式下，個人消費額度貸款最高額度為60萬元（AAA級），期限最長為5年。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所2、總體業務設計尚有欠缺：（1）對個人住房貸款系統業務電子數據貸款戶動態明細表、貸款戶參數表進行分析檢查，發現逾期本金、呆滯本

37、金總額與業務報表差異明顯，原因在于貸款形態轉列時，系統并未自動轉換，僅提供提示，仍由人工干預調整。（2）系統控制功能調整未與國家有關個人消費貸款業務法規的變化保持一致。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所2、總體業務設計尚有欠缺：（3）執行查詢操作時，無法選擇時點，查詢結果僅為實時數據，統計功能不夠強大，無法實現查詢條件的任意組合，有關查詢部分的信息不能打印。（4）還款方式不夠靈活多樣，信用卡批量扣款無法實現部分扣款；（5）沒有實現整個分行系統內部信息的共享，需求尚未真正實現。會計信息系統審計會計信息系統審計個人消費貸款系統個人

38、消費貸款系統-審計建議審計建議眾環海華會計師事務所3、系統使用管理與控制不夠有力：（1）貸款業務審批人員也擁有具體經辦人員操作權限密碼。（2）訪問控制不強，口令未定期更新。（3）系統未安裝防殺病毒軟件。（4）無具體的安全管理規定。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所4、業務風險控制措施不力：（1）大量發放超限額及無指定用途的個人消費貸款；（2）放松信貸條件，存在個人住房貸款“零首付”、開發商擔保的方式；（3）個人住房貸款還款能力風險評估不足，一人貸款購買多套房屋，信貸風險難以控制；（4）發放個人住房貸款用于購買本行處置的抵債資產

39、。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所5、交易監督管理功能薄弱審計眼神發現部分發放的個人消費貸款被改變用用途，挪用于股票認購、投資及股本，權益性交易等，甚至流入股市，擾亂金融秩序，加大市場風險。（1）借用個人名義獲取個人消費貸款投入股市；（2）使用消費貸款購買個人所在企業改制后的股份；（3）將個人消費貸款用于向企業員工分紅；（4）個人住房被企業改用于支付貨款、歸還借款；（5）以個人消費貸款名義變相發放開發企業貸款。會計信息系統審計會計信息系統審計個人消費貸款系統個人消費貸款系統-審計建議審計建議眾環海華會計師事務所會計信息系統工

40、作原理信息系統審計基本理論會計信息系統審計財務審計與IT審計的銜接眾環海華會計師事務所銜接銜接如何開展如何開展眾環海華會計師事務所 有自動復雜計算功能的系統 系統技術落后，供應商已不在提供支持服務 沒有被廣泛應用的新興技術 客戶自行開發軟件，或者對市場常規軟件有重大修改的軟件 企業資源規劃系統 (ERP) 系統與系統間存在大量自定義的接口 處理大量交易的系統 為一個復雜企業處理的系統 復雜的信息技術設施銜接銜接什么時候必須測試信息技術一般控制什么時候必須測試信息技術一般控制眾環海華會計師事務所 依賴不能正確處理數據或者處理出來的數據不正確的系統或者程序 未經授權的數據訪問會導致數據損壞或者被不

41、正當的修改，包括未經授權地記錄不存在的交易或者不正確的交易 未經授權修改主數據庫中的數據 未經授權修改系統或者程序 未能對系統或程序進行必要的修改 不恰當的人為干預 丟失數據的可能性銜接銜接信息技術一般控制的特定風險信息技術一般控制的特定風險眾環海華會計師事務所 訪問程序和數據的權限、程序變更這兩個方面總是與測試相關的，它們的復雜程度和審計證據的類型在審計客戶中是有巨大的差異的。 程序開發只有當新系統的運行會對財務報告內部控制以及重大錯報風險有影響時，才與測試相關。如果對于當年的財務報表和財務報告內部控制沒有影響，就不需要測試。 計算機運行只有在可以直接與重要賬戶的認定相關或者與特定風險相關時，這項測試是相關的 (通常發生在交易量龐大，信息系統復雜的行業, 比如銀行)。銜接銜接與測試相關的與測試相關的眾環海華會計師事務所性質： 詢問、觀察、檢查、重新執行； 也有審閱系統參數設置時間：安排在應用系統控制測試之前范圍：運用職業判斷確定測試范圍銜接銜接性質、時間、范圍性質、時間、范圍眾環