会计信息系统审计.ppt

会计信息系统控制审计,会计信息系统工作原理从关注点出发,IT审计关注,财务审计关注,会计信息系统工作原理外部结构,财务报告 销售收入 2000万 利润 100万 ,销售业务系统,财务核算系统,会计信息系统工作原理内部结构,会计信息系统工作原理管理控制,INTOSAI（最高审计机关国际组织 ）： 信息系统审计是：一个通过获取并评估证据，以判断IT系统是否保护了组织的资产，有效率地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织的业务目标的过程。,基本理论概念,4,基本理论类型,信息系统审计,审计准则,C-SOX，SOX，COSO,审计操作指南,基本理论审计依据分类,基本理论审计依据分类,基本理论其他依据,基本理论信息安全,基本理论IT运维,基本理论CObit,基本理论CMM,标准 确定信息系统审计和报告的法定要求 指引 为信息系统审计准则的运用提供指引 程序 举例说明信息系统审计师在审计项目中可遵循的程序 可在以下网址查阅信息系统审计和控制协会(“ISACA”) 准则和指引 （/stand1.htm）,基本理论标准框架,扫描工具：ISS、Dbscanner、web scanner、 日志分析：网站日志、系统日志、数据库日志 行为分析： 攻击类工具,工具,信息技术类,业务分析类,ACL SPSS SAS,基本理论审计工具,应急管理； 变更管理； 可用性管理； 故障管理； 业务连续性等。,审计目的,审计章程,审计方案,审计风险,基本理论审计程序,基本理论审计工具,基本理论审计工具（续）,基本理论审计工具（续）,会计信息系统审计与财务报表之间的关系,会计信息系统审计会计信息系统,信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。,会计信息系统审计会计信息系统结构,会计信息系统审计可能产生的危害,根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%25%的公司在IT内部控制方面存在重大缺陷：,根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型： 程序控制上的缺陷 软件开发/实施 职责分离 用户对系统的访问授权 对数据访问的监管和控制,会计信息系统审计利用会计系统犯罪的趋势,会计信息系统审计会计系统控制内容,会计信息系统审计公司层面控制,应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如： 许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额） 如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理 如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上,会计信息系统审计公司层面控制（续）,会计信息系统审计一般控制,会计信息系统审计一般控制（续）,会计信息系统审计一般控制范围及缺失产生影响,如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度，例如： 程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作,信息系统的开发和实施： 开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护： 维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的操作和运行： 对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全： 安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等,会计信息系统审计一般控制范围,信息系统的开发和实施 目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑： 程序开发活动的全面管理 项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标 具体控制领域包括： 用户需求 测试和质量确保 数据迁移 程序实施 记录和培训 职责分离,信息系统的变更和维护 目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、 测试和实施的，以达到管理层的应用控制目标 具体控制领域包括： 对维护活动的管理 对变更请求的规范、授权与跟踪 对程序变更实施过程的控制 测试和质量确保 程序实施 记录和培训 职责分离,信息系统的操作和运行 目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性 具体控制领域包括： 计算机运行活动的总体管理 批处理 实时处理 备份和问题管理 灾难恢复 重要电子表格,程序和数据的接触安全 目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的 具体控制领域包括： 安全活动管理 安全管理 数据安全 操作系统安全 网络安全 物理安全,会计信息系统审计一般控制范围（续）,信息技术一般控制举例： 1.1系统开发和重大变更流程: 控制点： 用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。 变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。 系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。 制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。 对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。 管理层应在系统上线前对其进行检查和审批。,1.2 系统日常变更流程： 控制点： 一般的程序变更请求需要由用户部门管理层审批并存档保留。 在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当。 在程序变更过程中对相冲突的职责实施有效的分离。 程序变更上线之前需要经过管理层的检查和审批。 开发和测试环境在逻辑或物理上与生产环境分离。,会计信息系统审计一般控制举例,信息技术一般控制举例： 2.1 用户账号管理用户创建/修改/删除的授权审批： 控制点： 重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；关于删除离职或调职用户的权限，被评估机构确立了正式的流程； 2.2 用户账号管理权限定期检查： 控制点： 用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。,信息技术一般控制举例： 3.1 备份管理-备份检查： 控制点： 对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检查备份完成情况。 3.2问题及应急事件处理： 控制点： IT运行问题或事件应该及时进行识别、解决、审核和分析。,会计信息系统审计一般控制举例（续）,应用系统是提供业务功能的软件，从而用户可以： 与电脑之间产生互动 输入和取出数据 执行业务处理功能等 应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责 有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些应用程序的访问权限至关重要，从而降低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险,会计信息系统审计应用控制,会计信息系统审计应用控制分类,配置控制 登陆权限、岗位分离控制 实时校验、编辑检查 自动计算 系统接口、对账程序, 配置控制： 主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制 举例： 财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后，K/3系统自动将对应的暂估应付账款进行冲回。 系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。,会计信息系统审计配置控制, 登录权限/岗位分离 应用系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况。 举例： 会计凭证在金蝶K/3系统中的录入，一般此项操作需要一人制单，一人复核及过账。,会计信息系统审计登陆权限/岗位分离,2019/11/17,43,可编辑, 实时校验和编辑检查 也称为系统录入控制，此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量垃圾数据的产生。 举例： 会计科目维护时系统存在录入控制，对科目代码进行校验，限制过长或过短的科目代码。 系统设定了录入信息模板，只能按照模板规定的格式录入信息。,会计信息系统审计实时校验和编辑检查, 自动计算 系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中。 举例： 金蝶K/3系统正确计算物料的当月采购平均单价。 K/3系统每月将当月所有入库单自动汇总成本计算单_汇总显示。,会计信息系统审计自动计算, 自动系统接口/对账例行程序: 主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制 举例： 仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作，确认信息由仓库系统上传到K/3系统。,会计信息系统审计系统接口/对账程序,应用系统的复杂程度 复杂的计算需求或业务规则 跨国或复杂的信息系统架构 应用技术的采用 信息系统所提供的功能 信息系统在企业应用的广泛程度 信息系统在企业的应用 所支持的业务交易 业务对系统的依赖程度 系统之间的链接,会计信息系统审计应用控制需要考虑的因素,每个应用系统的控制都有所区别： 企业的业务性质 企业的组织和人员 企业的管理需求 所采用的技术 其他的考虑，如监管要求等 应用控制要持续有效，必需有相关的配套支持： 政策、制度 人员（业务和信息技术） 检查和维护机制（包括信息系统一般性控制）,会计信息系统审计应用控制（续）,会计信息系统审计个人消费贷款系统-背景,信息技术在金融领域日益广泛的应用； 新技术的风险； 不仅要审计信息系统产生的电子数据，而且要对信息系统本身进行审计； 各家商业银行纷纷推出具有自身特色的个人消费信贷产品。,商业银行个人消费信贷系统：个人消费信贷子系统、储蓄前台会计核算管理子系统和后台系统管理子系统构成。 采用双层结构,会计信息系统审计个人消费贷款系统-概况,开展审前调查、制定审计方案； 明确审计重点、确定测试项目； 实施系统审计 进行审计评价、提出审计建议,会计信息系统审计个人消费贷款系统-审计程序,提交明确资料需求； 进行人员沟通； 熟悉软件主要功能； 收集系统的文档技术资料 收集个人消费信贷业务的法规制度 在此基础上，拟定审计工作方案，明确审计目标，界定审计范围，突出审计重点，确定审计方法和步骤。,会计信息系统审计个人消费贷款系统-审前调查、制定方案,对已收集的系统文档资料进行研究分析，重点围绕审阅系统文档和价差应用程序两方面进行。 审计人员设计一套有关一般控制、应用控制方面的调查表格，观察系统运行使用现状。 了解软件系统中存在哪些控制、在哪里控制、如何控制等信息，选定个别输入程序流程，追踪检查输入样本业务。,会计信息系统审计个人消费贷款系统-审计重点、测试项目,1、检查程序运行结果： 分析该软件系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，要求某商业银行完整下载审计所需的近100个数据库文件，通过运用审计数据采集与分析软件等处理工作，对下载的数据文件进行转换，对照法律法规要求设定各种运算条件，使用工具软件中的查询、排序、计算、重组、分析等项功能，对电子数据进行整理、加工用于检查，发现较多疑点，并与调阅的纸质数据、账表和凭证进行比较取证，以确定系统的功能是否合法、正确。,会计信息系统审计个人消费贷款系统-实施审计,2、数据检测： 审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能进行数据检测。 测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后将程序运行结果与预期结果进行比较，判断有关程序的控制与处理功能是否恰当、有效。,会计信息系统审计个人消费贷款系统-实施审计,3、平行模拟： 由审计人员运用SQL语言编写相同的处理及控制功能模拟程序，用来处理贷款交易历史文件中当期的实际数据，得到新的处理结果。比较两个结果，对不符情况，全面调阅有关账证，进行重点检查。,会计信息系统审计个人消费贷款系统-实施审计,根据审计中的发现，对系统做出审计评价，并针对存在的问题提出改进建议。 1、系统功能不够完善，部分功能模块存在漏洞与缺陷； 2、总体业务设计尚有欠缺； 3、系统使用管理与控制不够有力； 4、业务风险控制措施不力； 5、交易监督管理功能薄弱。,会计信息系统审计个人消费贷款系统-审计建议,1、系统功能不够完善： （1）输入控制存在缺陷，数据关联度不够，输入校验不足： 已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后，只能开立新账号重新登陆，而贷款户参数表中仍记录实际已作废的出错业务。,会计信息系统审计个人消费贷款系统-审计建议,1、系统功能不够完善： （2）逻辑控制存在薄弱环节，数据真实性、完整性、准确性不够： 系统“贷款户参数表”中“贷款账号”地段编码规则未统一，如新旧账号长度不等（贷款新账号长度16位，格式为贷款机构+贷款+期限档次+账号顺序+校验位；旧帐号则长度不统一，甚至出现仅为两位数的情况），未作统一的转换设计。,会计信息系统审计个人消费贷款系统-审计建议,1、系统功能不够完善： （3）系统参数管理及控制功能薄弱，部分参数设置、使用违规： 如用于业务限额控制的参数数据表“贷款业务种类表”中各贷种最高贷款额均设定为1000万元，最低贷款额为0，最长贷款期限为480个月，最高贷款比例为100%，而根据商业银行总行的规定，在保证或担保方式下，个人消费额度贷款最高额度为60万元（AAA级），期限最长为5年。,会计信息系统审计个人消费贷款系统-审计建议,2、总体业务设计尚有欠缺： （1）对个人住房贷款系统业务电子数据贷款户动态明细表、贷款户参数表进行分析检查，发现逾期本金、呆滞本金总额与业务报表差异明显，原因在于贷款形态转列时，系统并未自动转换，仅提供提示，仍由人工干预调整。 （2）系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。,会计信息系统审计个人消费贷款系统-审计建议,2、总体业务设计尚有欠缺： （3）执行查询操作时，无法选择时点，查询结果仅为实时数据，统计功能不够强大，无法实现查询条件的任意组合，有关查询部分的信息不能打印。 （4）还款方式不够灵活多样，信用卡批量扣款无法实现部分扣款； （5）没有实现整个分行系统内部信息的共享，需求尚未真正实现。,会计信息系统审计个人消费贷款系统-审计建议,3、系统使用管理与控制不够有力： （1）贷款业务审批人员也拥有具体经办人员操作权限密码。 （2）访问控制不强，口令未定期更新。 （3）系统未安装防杀病毒软件。 （4）无具体的安全管理规定。,会计信息系统审计个人消费贷款系统-审计建议,4、业务风险控制措施不力： （1）大量发放超限额及无指定用途的个人消费贷款； （2）放松信贷条件，存在个人住房贷款“零首付”、开发商担保的方式； （3）个人住房贷款还款能力风险评估不足，一人贷款购买多套房屋，信贷风险难以控制； （4）发放个人住房贷款用于购买本行处置的抵债资产。,会计信息系统审计个人消费贷款系统-审计建议,5、交易监督管理功能薄弱 审计眼神发现部分发放的个人消费贷款被改变用用途，挪用于股票认购、投资及股本，权益性交易等，甚至流入股市，扰乱金融秩序，加大市场风险。 （1）借用个人名义获取个人消费贷款投入股市； （2）使用消费贷款购买个人所在企业改制后的股份； （3）将个人消费贷款用于向企业员工分红； （4）个人住房被企业改用于支付货款、归还借款； （5）以个人消费贷款名义变相发放开发企业贷款。,会计信息系统审计个人消费贷款系统-审计建议,衔接如何开展, 有自动复杂计算功能的系统 系统技术落后，供应商已不在提供支持服务 没有被广泛应用的新兴技术 客户自行开发软件，或者对市场常规软件有重大修改的软件 企业资源规划系统 (ERP) 系统与系统间存在大量自定义的接口 处理大量交易的系统 为一个复杂企业处理的系统 复杂的信息技术设施,衔接什么时候必须测试信息技术一般控制, 依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序 未经授权的数据访问会导致数据损坏或者被不正当的修改，包括未经授 权地记录不存在的交易或者不正确的交易 未经授权修改主数据库中的数据 未经授权修改系统或者程序 未能对系统或程序进行必要的修改 不恰当的人为干预 丢失数据的可能性,衔接信息技术一般控制的特定风险, 访问程序和数据的权限、程序变更 这两个方面总是与测试相关的，它们的复杂程度和审计证据的类型在审计客户中是有巨大的差异的。 程序开发 只有当新系统的运行会对财务报告内部控制以及重大错报风险有影响时，才与测试相关。如果对于当年的财务报表和财务报告内部控制没有影响，就不需要测试。 计算机运行 只有在可以直接与重要账户的认定相关或者与特定风险相关时，这项测试是相关的 (通常发生在交易量庞大，信息系统复杂的行业, 比如银行)。,衔接与测试相关的,性质： 询问、观察、检查、重新执行； 也有审阅系统参数设置 时间：安排在应用系统控制测试之前 范围：运用职业判断确定测试范围,衔接性质、时间、范围,衔接一般控制的问题,衔接如何评测, 测试一个样本就足够了，但是要覆盖自动化控制中涉及的一系列属性 如果信赖自动化应用控制, 需要测试信息技术一般控制并得到满意的结果 我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制,衔接如何测试,一组文档内的下述数据被汇总计算： 文件数量 合计金额 哈希汇总 把批总数输入系统并且与系统计算的结果相比较。,衔接是否进行分批总计处理, 由一定范围内连续的数据组成 系统不接受重复的数据 系统不接受无效数据 对数据遗漏报告进行跟进调查,衔接开展顺序检查, 将文档的顺序号与可接受列表进行比较 如果数据不相符，文档仅在授权后才可被处理 不符项必须被跟进检查以确保控制技术的有效执行