會(huì)計(jì)信息系統(tǒng)審計(jì)

會(huì)計(jì)信息系統(tǒng)控制審計(jì)當(dāng)前第1頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理信息系統(tǒng)審計(jì)基本理論會(huì)計(jì)信息系統(tǒng)審計(jì)財(cái)務(wù)審計(jì)與IT審計(jì)的銜接當(dāng)前第2頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理—從關(guān)注點(diǎn)出發(fā)IT審計(jì)關(guān)注財(cái)務(wù)審計(jì)關(guān)注當(dāng)前第3頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理—外部結(jié)構(gòu)當(dāng)前第4頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)服務(wù)器、工作站、打印機(jī)網(wǎng)線交換機(jī)……Windows、UNIX、IOS、AndroidDB2數(shù)據(jù)庫(kù)財(cái)務(wù)報(bào)告銷售收入2000萬(wàn)利潤(rùn)100萬(wàn)……銷售業(yè)務(wù)系統(tǒng)財(cái)務(wù)核算系統(tǒng)信息系統(tǒng)安全與應(yīng)急計(jì)劃系統(tǒng)的開發(fā)獲得、維護(hù)及數(shù)據(jù)處理會(huì)計(jì)信息系統(tǒng)工作原理—內(nèi)部結(jié)構(gòu)當(dāng)前第5頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)一般控制管理控制系統(tǒng)實(shí)施控制運(yùn)行控制軟件控制硬件控制物理訪問控制邏輯訪問控制應(yīng)用控制輸入控制處理控制輸出控制保障*控制災(zāi)難恢復(fù)與應(yīng)急計(jì)劃環(huán)境控制設(shè)備來(lái)源控制*會(huì)計(jì)信息系統(tǒng)工作原理—管理控制當(dāng)前第6頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理信息系統(tǒng)審計(jì)基本理論會(huì)計(jì)信息系統(tǒng)審計(jì)財(cái)務(wù)審計(jì)與IT審計(jì)的銜接當(dāng)前第7頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)INTOSAI（最高審計(jì)機(jī)關(guān)國(guó)際組織）：

信息系統(tǒng)審計(jì)是：一個(gè)通過獲取并評(píng)估證據(jù)，以判斷IT系統(tǒng)是否保護(hù)了組織的資產(chǎn)，有效率地利用組織的資源，保障數(shù)據(jù)的安全性和一致性，以及有效地達(dá)到組織的業(yè)務(wù)目標(biāo)的過程。

基本理論—概念當(dāng)前第8頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)4基本理論—類型當(dāng)前第9頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)內(nèi)控信息系統(tǒng)審計(jì)審計(jì)準(zhǔn)則C-SOX，SOX，COSO審計(jì)操作指南基本理論—審計(jì)依據(jù)分類當(dāng)前第10頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—審計(jì)依據(jù)分類當(dāng)前第11頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)序號(hào)審計(jì)內(nèi)容審計(jì)依據(jù)1物理環(huán)境ANSI/TIA-942:2005<TelecommunicationsInfrastructureStandardforDataCenters>2安全管理ISO/IEC27001：2013<Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements>3運(yùn)維管理ISO/IEC20000-1:2011<Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements>4業(yè)務(wù)連續(xù)性BS25777:2008<Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice>5系統(tǒng)漏洞CVE及相關(guān)廠家提供的工具6報(bào)告出具ISACA<ISAUDITINGSTANDARDREPORTING>7其他參考ISACA相關(guān)標(biāo)準(zhǔn)；Cobit5.0

子需求主要依據(jù)其他參考

審計(jì)框架COSO

審計(jì)控制目標(biāo)Cobit5.0《企業(yè)內(nèi)部控制審計(jì)指引》

風(fēng)險(xiǎn)管理全面性ISO31000Riskmanagement—Principlesandguidelinesonimplementation

IT風(fēng)險(xiǎn)評(píng)估方法ISO13335Informationtechnology—GuidelinesforthemanagementofITSecurity

應(yīng)對(duì)措施有效性ISO27004Informationtechnology--Securitytechniques--Informationsecuritymanagement--MeasurementsISO13335-4Informationtechnology-Securitytechniques–GuidelinesforthemanagementofITsecurity-Selectionofsafeguards

信息安全管理ISO27002-Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritymanagementISO20000Informationtechnology—Servicemanagement

信息安全策略和安全組織結(jié)構(gòu)ISO27001Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemsISO20000Informationtechnology—Servicemanagement

開發(fā)控制CMMICobit4.1-A12

維護(hù)控制ISO/IEC14764SoftwareEngineering—SoftwareLifeCycleProcesses—Maintenance

系統(tǒng)安全GBT+22239信息安全技術(shù)+信息系統(tǒng)安全等級(jí)保護(hù)基本要求

網(wǎng)絡(luò)安全GAT387計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求

結(jié)構(gòu)安全信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)技術(shù)要求

物理及環(huán)境安全GB/T21052信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求

災(zāi)難恢復(fù)ISO24762《信息與通訊技術(shù)災(zāi)難恢復(fù)服務(wù)指南》

《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》

業(yè)務(wù)連續(xù)性計(jì)劃BS25777-Informationandcommunicationstechnologycontinuitymanagement25999-1Codeofpracticeforbusinesscontinuitymanagement

外包服務(wù)管理ISACA-G4《OUTSOURCINGOFISACTIVITIESTOOTHERORGANISATIONS》ISO27001-A.11-訪問控制

IT對(duì)關(guān)鍵業(yè)務(wù)的支持Cobit5.0

SAP評(píng)估Cobi5.0GeneralControl/ProcessControl/ApplicationControlISO15408《通用安全評(píng)估標(biāo)準(zhǔn)》

IT審計(jì)規(guī)劃Cobit5.0

物理防護(hù)通用防護(hù)《信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求》（報(bào)批稿）

布線GB/T-50311-2007（2）

防電磁泄露GB/T-8702-1988（3）

防雷GB/T-7450（4），GB/T-50057（5），GB/T-50343-2004（6），《防雷裝置安全檢測(cè)技術(shù)規(guī)范》

防火GBJ16-2001（7）

防靜電YD-T754（8）

接地GB/T-50169（9）

火災(zāi)報(bào)警GB/T-50166（10）

活動(dòng)地板GB/T-6650（11），SJ-T10796-2001（12）

場(chǎng)地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），

網(wǎng)絡(luò)防護(hù)GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）

系統(tǒng)防護(hù)GB/T-21028-2007（20），GB/T-20271-2006（17），《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》）

基本理論—其他依據(jù)當(dāng)前第12頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—信息安全當(dāng)前第13頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—IT運(yùn)維當(dāng)前第14頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—CObit當(dāng)前第15頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)能力等級(jí)特點(diǎn)關(guān)鍵過程第一級(jí)初始級(jí)（最低級(jí)）軟件工程管理制度缺乏，過程缺乏定義、混亂無(wú)序。成功依靠的是個(gè)人的才能和經(jīng)驗(yàn)，經(jīng)常由于缺乏管理和計(jì)劃導(dǎo)致時(shí)間、費(fèi)用超支。管理方式屬于反應(yīng)式，主要用來(lái)應(yīng)付危機(jī)。過程不可預(yù)測(cè)，難以重復(fù)。

第二級(jí)可重復(fù)級(jí)基于類似項(xiàng)目中的經(jīng)驗(yàn)，建立了基本的項(xiàng)目管理制度，采取了一定的措施控制費(fèi)用和時(shí)間。管理人員可及時(shí)發(fā)現(xiàn)問題，采取措施。一定程度上可重復(fù)類似項(xiàng)目的軟件開發(fā)。需求管理,項(xiàng)目計(jì)劃,項(xiàng)目跟蹤和監(jiān)控,軟件子合同管理,軟件配置管理,軟件質(zhì)量保障第三級(jí)已定義級(jí)已將軟件過程文檔化、標(biāo)準(zhǔn)化，可按需要改進(jìn)開發(fā)過程，采用評(píng)審方法保證軟件質(zhì)量?？山柚鶦ASE工具提高質(zhì)量和效率。組織過程定義,組織過程焦點(diǎn),培訓(xùn)大綱,軟件集成管理,軟件產(chǎn)品工程,組織協(xié)調(diào),專家審評(píng)第四級(jí)已管理級(jí)針對(duì)制定質(zhì)量、效率目標(biāo)，并收集、測(cè)量相應(yīng)指標(biāo)。利用統(tǒng)計(jì)工具分析并采取改進(jìn)措施。對(duì)軟件過程和產(chǎn)品質(zhì)量有定量的理解和控制。定量的軟件過程管理和產(chǎn)品質(zhì)量管理第五級(jí)優(yōu)化級(jí)（最高級(jí)）基于統(tǒng)計(jì)質(zhì)量和過程控制工具，持續(xù)改進(jìn)軟件過程。質(zhì)量和效率穩(wěn)步改進(jìn)。缺陷預(yù)防,過程變更管理和技術(shù)變更管理基本理論—CMM當(dāng)前第16頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)標(biāo)準(zhǔn)

確定信息系統(tǒng)審計(jì)和報(bào)告的法定要求指引

為信息系統(tǒng)審計(jì)準(zhǔn)則的運(yùn)用提供指引程序

舉例說明信息系統(tǒng)審計(jì)師在審計(jì)項(xiàng)目中可遵循的程序可在以下網(wǎng)址查閱信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(“ISACA”)準(zhǔn)則和指引（/stand1.htm）基本理論—標(biāo)準(zhǔn)框架當(dāng)前第17頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)掃描工具：ISS、Dbscanner、webscanner、日志分析：網(wǎng)站日志、系統(tǒng)日志、數(shù)據(jù)庫(kù)日志行為分析：攻擊類工具工具信息技術(shù)類業(yè)務(wù)分析類ACLSPSSSAS基本理論—審計(jì)工具當(dāng)前第18頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)審計(jì)程序網(wǎng)絡(luò)拓?fù)洌环啦《?；物理環(huán)境；系統(tǒng)補(bǔ)??；負(fù)載均衡常規(guī)控制流程控制帳號(hào)設(shè)置；權(quán)限設(shè)置；日志分析；控制規(guī)則應(yīng)用控制應(yīng)急管理；變更管理；可用性管理；故障管理；業(yè)務(wù)連續(xù)性等。審計(jì)目的審計(jì)章程審計(jì)方案審計(jì)風(fēng)險(xiǎn)基本理論—審計(jì)程序當(dāng)前第19頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—審計(jì)工具當(dāng)前第20頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—審計(jì)工具（續(xù)）當(dāng)前第21頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)基本理論—審計(jì)工具（續(xù)）當(dāng)前第22頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理信息系統(tǒng)審計(jì)基本理論會(huì)計(jì)信息系統(tǒng)審計(jì)財(cái)務(wù)審計(jì)與IT審計(jì)的銜接當(dāng)前第23頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—與財(cái)務(wù)報(bào)表之間的關(guān)系當(dāng)前第24頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—會(huì)計(jì)信息系統(tǒng)當(dāng)前第25頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)信息技術(shù)已成為支持公司業(yè)務(wù)、財(cái)務(wù)、管理的重要基礎(chǔ)構(gòu)架，提供內(nèi)部、外部、第三方等用戶對(duì)公司信息的訪問。會(huì)計(jì)信息系統(tǒng)審計(jì)—會(huì)計(jì)信息系統(tǒng)結(jié)構(gòu)當(dāng)前第26頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—可能產(chǎn)生的危害當(dāng)前第27頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)根據(jù)一家國(guó)際機(jī)構(gòu)的數(shù)據(jù)統(tǒng)計(jì)，自2004年至2008年6月30日，在內(nèi)控?zé)o效的美國(guó)上市公司中，大約17%～25%的公司在IT內(nèi)部控制方面存在重大缺陷：根據(jù)統(tǒng)計(jì)和分析，導(dǎo)致內(nèi)控?zé)o效的信息系統(tǒng)方面重大控制缺陷主要有以下幾種類型：?程序控制上的缺陷?軟件開發(fā)/實(shí)施?職責(zé)分離?用戶對(duì)系統(tǒng)的訪問授權(quán)?對(duì)數(shù)據(jù)訪問的監(jiān)管和控制會(huì)計(jì)信息系統(tǒng)審計(jì)—利用會(huì)計(jì)系統(tǒng)犯罪的趨勢(shì)當(dāng)前第28頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—會(huì)計(jì)系統(tǒng)控制內(nèi)容當(dāng)前第29頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—公司層面控制當(dāng)前第30頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的有助于達(dá)到信息處理目標(biāo)的控制，例如：

許多應(yīng)用系統(tǒng)中根據(jù)業(yè)務(wù)的需求（“業(yè)務(wù)規(guī)則”）設(shè)置了很多編輯檢查來(lái)幫助確保錄入數(shù)據(jù)的準(zhǔn)確性，編輯檢查可能包括格式檢查（如：日期格式或數(shù)字格式），存在性檢查（如：客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如：最大支付金額）如果在錄入數(shù)據(jù)時(shí)某一項(xiàng)“業(yè)務(wù)規(guī)則”未通過編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)包括在系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理如果企業(yè)依賴帶有關(guān)鍵編輯檢查功能的應(yīng)用系統(tǒng)支持業(yè)務(wù)，那這些應(yīng)用控制的有效性必須建立在信息系統(tǒng)一般控制的基礎(chǔ)之上會(huì)計(jì)信息系統(tǒng)審計(jì)—公司層面控制（續(xù)）當(dāng)前第31頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制當(dāng)前第32頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制（續(xù)）當(dāng)前第33頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制范圍及缺失產(chǎn)生影響如果計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷，則會(huì)影響系統(tǒng)整體的可信程度，例如：√程序變更控制缺陷可能導(dǎo)致未授權(quán)人員對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，導(dǎo)致系統(tǒng)接受不準(zhǔn)確的錄入數(shù)√與安全和訪問權(quán)限相關(guān)的控制缺陷可能導(dǎo)致數(shù)據(jù)錄入不恰當(dāng)?shù)乩@過合理性檢查，而該合理性檢查在其他方面將使系統(tǒng)無(wú)法處理金額超過最大容差范圍的支付操作信息系統(tǒng)的開發(fā)和實(shí)施：?開發(fā)與實(shí)施活動(dòng)的管理、項(xiàng)目發(fā)起、分析與設(shè)計(jì)、自開發(fā)系統(tǒng)的建設(shè)與軟件包的選擇、測(cè)試和質(zhì)量保證、數(shù)據(jù)轉(zhuǎn)換、上線、文檔與培訓(xùn)等信息系統(tǒng)的變更和維護(hù)：?維護(hù)活動(dòng)的管理、規(guī)格說明、授權(quán)和跟蹤變更申請(qǐng)、系統(tǒng)編程、測(cè)試和質(zhì)量保證、遷移到生產(chǎn)環(huán)境的授權(quán)、文檔和培訓(xùn)等信息系統(tǒng)的操作和運(yùn)行：?對(duì)系統(tǒng)操作的總體控制、工作計(jì)劃和批處理、備份管理、管理數(shù)據(jù)中心環(huán)境、從操作失敗中恢復(fù)、用戶幫助部門的功能、服務(wù)水平協(xié)議等程序和數(shù)據(jù)的接觸安全：?安全組織和管理、安全政策和流程、應(yīng)用系統(tǒng)的安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、內(nèi)部網(wǎng)絡(luò)安全、邊界網(wǎng)絡(luò)安全、物理安全等當(dāng)前第34頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制范圍信息系統(tǒng)的開發(fā)和實(shí)施?目標(biāo)是確保系統(tǒng)的開發(fā)、配置和實(shí)施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標(biāo)，包括考慮：程序開發(fā)活動(dòng)的全面管理項(xiàng)目啟動(dòng)控制應(yīng)當(dāng)確保項(xiàng)目的計(jì)劃、資源配置和啟動(dòng)可以支持實(shí)現(xiàn)管理層的應(yīng)用控制目標(biāo)?具體控制領(lǐng)域包括：用戶需求測(cè)試和質(zhì)量確保數(shù)據(jù)遷移程序?qū)嵤┯涗浐团嘤?xùn)職責(zé)分離信息系統(tǒng)的變更和維護(hù)?目標(biāo)是確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更是經(jīng)過請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施的，以達(dá)到管理層的應(yīng)用控制目標(biāo)?具體控制領(lǐng)域包括：對(duì)維護(hù)活動(dòng)的管理對(duì)變更請(qǐng)求的規(guī)范、授權(quán)與跟蹤對(duì)程序變更實(shí)施過程的控制測(cè)試和質(zhì)量確保程序?qū)嵤┯涗浐团嘤?xùn)職責(zé)分離當(dāng)前第35頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)信息系統(tǒng)的操作和運(yùn)行?目標(biāo)是確保生產(chǎn)系統(tǒng)根據(jù)管理層的控制目標(biāo)、完整準(zhǔn)確地運(yùn)行，確保運(yùn)行問題被完整準(zhǔn)確地識(shí)別并解決，以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性?具體控制領(lǐng)域包括：計(jì)算機(jī)運(yùn)行活動(dòng)的總體管理批處理實(shí)時(shí)處理備份和問題管理災(zāi)難恢復(fù)重要電子表格程序和數(shù)據(jù)的接觸安全?目標(biāo)是確保分配的訪問程序和數(shù)據(jù)的權(quán)限是經(jīng)過用戶身份認(rèn)證并經(jīng)過授權(quán)的?具體控制領(lǐng)域包括：安全活動(dòng)管理安全管理數(shù)據(jù)安全操作系統(tǒng)安全網(wǎng)絡(luò)安全物理安全會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制范圍（續(xù)）當(dāng)前第36頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)信息技術(shù)一般控制舉例：1.1系統(tǒng)開發(fā)和重大變更流程:控制點(diǎn)：?用戶需求文檔以及其他系統(tǒng)設(shè)計(jì)文檔應(yīng)該經(jīng)過用戶所在部門管理層審批并妥善保存。?變更在被移植到生產(chǎn)環(huán)境前被測(cè)試。測(cè)試的級(jí)別應(yīng)當(dāng)和變更的大小相當(dāng)。?系統(tǒng)的開發(fā)和測(cè)試環(huán)境必須與生產(chǎn)環(huán)境分離；相沖突的職責(zé)被適當(dāng)分離。?制定并保存詳細(xì)的數(shù)據(jù)遷移計(jì)劃，計(jì)劃應(yīng)涵蓋具體的數(shù)據(jù)遷移步驟。數(shù)據(jù)遷移的過程應(yīng)當(dāng)在原始位置和目的地之間進(jìn)行測(cè)試，確保數(shù)據(jù)的完整，準(zhǔn)確和有效。?對(duì)于外包的IT項(xiàng)目，公司的項(xiàng)目管理組應(yīng)該對(duì)服務(wù)商的運(yùn)作以及控制的有效性進(jìn)行檢查。?管理層應(yīng)在系統(tǒng)上線前對(duì)其進(jìn)行檢查和審批。1.2系統(tǒng)日常變更流程：控制點(diǎn)：?一般的程序變更請(qǐng)求需要由用戶部門管理層審批并存檔保留。?在移植到生產(chǎn)環(huán)境前，應(yīng)當(dāng)對(duì)程序變更進(jìn)行測(cè)試。測(cè)試的級(jí)別與變更的大小相當(dāng)。?在程序變更過程中對(duì)相沖突的職責(zé)實(shí)施有效的分離。?程序變更上線之前需要經(jīng)過管理層的檢查和審批。?開發(fā)和測(cè)試環(huán)境在邏輯或物理上與生產(chǎn)環(huán)境分離。會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制舉例當(dāng)前第37頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)信息技術(shù)一般控制舉例：2.1用戶賬號(hào)管理－用戶創(chuàng)建/修改/刪除的授權(quán)審批：控制點(diǎn)：重要系統(tǒng)和應(yīng)用程序中用戶帳號(hào)的創(chuàng)建/修改必須由管理部門進(jìn)行審批；關(guān)于刪除離職或調(diào)職用戶的權(quán)限，被評(píng)估機(jī)構(gòu)確立了正式的流程；2.2用戶賬號(hào)管理－權(quán)限定期檢查：控制點(diǎn)：用戶部門管理層應(yīng)該定期檢查系統(tǒng)中用戶帳號(hào)和授權(quán)，并根據(jù)檢查結(jié)果進(jìn)行帳號(hào)清理。信息技術(shù)一般控制舉例：3.1備份管理-備份檢查：控制點(diǎn)：對(duì)重要數(shù)據(jù)（包括支持重要財(cái)務(wù)信息和應(yīng)用程序的數(shù)據(jù)）進(jìn)行適當(dāng)?shù)膫浞荩⒓皶r(shí)檢查備份完成情況。3.2問題及應(yīng)急事件處理：控制點(diǎn)：IT運(yùn)行問題或事件應(yīng)該及時(shí)進(jìn)行識(shí)別、解決、審核和分析。會(huì)計(jì)信息系統(tǒng)審計(jì)—一般控制舉例（續(xù)）當(dāng)前第38頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)應(yīng)用系統(tǒng)是提供業(yè)務(wù)功能的軟件，從而用戶可以：與電腦之間產(chǎn)生互動(dòng)輸入和取出數(shù)據(jù)執(zhí)行業(yè)務(wù)處理功能等應(yīng)用系統(tǒng)能夠支持業(yè)務(wù)活動(dòng)，并且允許用戶更加有效率地履行他們的職責(zé)有些應(yīng)用系統(tǒng)可以被用于訪問和修改業(yè)務(wù)及財(cái)務(wù)信息，因此，保護(hù)對(duì)于這些應(yīng)用程序的訪問權(quán)限至關(guān)重要，從而降低任何與對(duì)于關(guān)鍵業(yè)務(wù)與財(cái)務(wù)相關(guān)數(shù)據(jù)擁有不合理的訪問權(quán)限相關(guān)的風(fēng)險(xiǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—應(yīng)用控制當(dāng)前第39頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—應(yīng)用控制分類配置控制登陸權(quán)限、崗位分離控制實(shí)時(shí)校驗(yàn)、編輯檢查自動(dòng)計(jì)算系統(tǒng)接口、對(duì)賬程序當(dāng)前第40頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?配置控制：主要關(guān)注的是系統(tǒng)中維護(hù)的重要參數(shù)是否準(zhǔn)確，這些參數(shù)對(duì)于系統(tǒng)的運(yùn)行和業(yè)務(wù)處理的正確性起著非常重要的作用，此類控制多屬于人工依賴系統(tǒng)控制舉例：?財(cái)務(wù)管理部會(huì)計(jì)進(jìn)行采購(gòu)發(fā)票勾稽并做外購(gòu)入庫(kù)暫估沖回后，K/3系統(tǒng)自動(dòng)將對(duì)應(yīng)的暫估應(yīng)付賬款進(jìn)行沖回。?系統(tǒng)能根據(jù)預(yù)先的設(shè)置根據(jù)科目余額表余額生成資產(chǎn)負(fù)債表和利潤(rùn)表。會(huì)計(jì)信息系統(tǒng)審計(jì)—配置控制當(dāng)前第41頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?登錄權(quán)限/崗位分離應(yīng)用系統(tǒng)中用戶的權(quán)限設(shè)置是否合理，是否按照職責(zé)需要進(jìn)行授權(quán)，是否考慮到崗位分離的情況。舉例：?會(huì)計(jì)憑證在金蝶K/3系統(tǒng)中的錄入，一般此項(xiàng)操作需要一人制單，一人復(fù)核及過賬。會(huì)計(jì)信息系統(tǒng)審計(jì)—登陸權(quán)限/崗位分離當(dāng)前第42頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?實(shí)時(shí)校驗(yàn)和編輯檢查也稱為系統(tǒng)錄入控制，此類控制主要是系統(tǒng)自動(dòng)控制。這類控制點(diǎn)的主要作用是確保錄入到系統(tǒng)中的數(shù)據(jù)的準(zhǔn)確性，在進(jìn)行業(yè)務(wù)錄入時(shí)系統(tǒng)會(huì)對(duì)重要字段的合理性、合規(guī)性和準(zhǔn)確性進(jìn)行檢查，以防止一些非法的或不真實(shí)的數(shù)據(jù)被系統(tǒng)接受，造成系統(tǒng)數(shù)據(jù)的不真實(shí)和大量垃圾數(shù)據(jù)的產(chǎn)生。舉例：?會(huì)計(jì)科目維護(hù)時(shí)系統(tǒng)存在錄入控制，對(duì)科目代碼進(jìn)行校驗(yàn)，限制過長(zhǎng)或過短的科目代碼。?系統(tǒng)設(shè)定了錄入信息模板，只能按照模板規(guī)定的格式錄入信息。會(huì)計(jì)信息系統(tǒng)審計(jì)—實(shí)時(shí)校驗(yàn)和編輯檢查當(dāng)前第43頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?自動(dòng)計(jì)算系統(tǒng)根據(jù)設(shè)定的業(yè)務(wù)邏輯進(jìn)行自動(dòng)計(jì)算，此類控制多為系統(tǒng)自動(dòng)控制。此類控制一般在程序開發(fā)時(shí)已經(jīng)嵌入到系統(tǒng)中。舉例：?金蝶K/3系統(tǒng)正確計(jì)算物料的當(dāng)月采購(gòu)平均單價(jià)。?K/3系統(tǒng)每月將當(dāng)月所有入庫(kù)單自動(dòng)匯總《成本計(jì)算單_匯總顯示》。會(huì)計(jì)信息系統(tǒng)審計(jì)—自動(dòng)計(jì)算當(dāng)前第44頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?自動(dòng)系統(tǒng)接口/對(duì)賬例行程序:主要關(guān)注不同應(yīng)用系統(tǒng)之間傳輸數(shù)據(jù)的準(zhǔn)確性和完整性，一般屬于系統(tǒng)自動(dòng)控制舉例：?倉(cāng)管員根據(jù)K/3系統(tǒng)《銷售出庫(kù)單》的出庫(kù)或退庫(kù)指令在倉(cāng)庫(kù)系統(tǒng)進(jìn)行出庫(kù)或退庫(kù)操作，確認(rèn)信息由倉(cāng)庫(kù)系統(tǒng)上傳到K/3系統(tǒng)。會(huì)計(jì)信息系統(tǒng)審計(jì)—系統(tǒng)接口/對(duì)賬程序當(dāng)前第45頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)應(yīng)用系統(tǒng)的復(fù)雜程度復(fù)雜的計(jì)算需求或業(yè)務(wù)規(guī)則跨國(guó)或復(fù)雜的信息系統(tǒng)架構(gòu)應(yīng)用技術(shù)的采用信息系統(tǒng)所提供的功能信息系統(tǒng)在企業(yè)應(yīng)用的廣泛程度信息系統(tǒng)在企業(yè)的應(yīng)用所支持的業(yè)務(wù)交易業(yè)務(wù)對(duì)系統(tǒng)的依賴程度系統(tǒng)之間的鏈接會(huì)計(jì)信息系統(tǒng)審計(jì)—應(yīng)用控制需要考慮的因素當(dāng)前第46頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)每個(gè)應(yīng)用系統(tǒng)的控制都有所區(qū)別：企業(yè)的業(yè)務(wù)性質(zhì)企業(yè)的組織和人員企業(yè)的管理需求所采用的技術(shù)其他的考慮，如監(jiān)管要求等應(yīng)用控制要持續(xù)有效，必需有相關(guān)的配套支持：政策、制度人員（業(yè)務(wù)和信息技術(shù)）檢查和維護(hù)機(jī)制（包括信息系統(tǒng)一般性控制）會(huì)計(jì)信息系統(tǒng)審計(jì)—應(yīng)用控制（續(xù)）當(dāng)前第47頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-背景信息技術(shù)在金融領(lǐng)域日益廣泛的應(yīng)用；新技術(shù)的風(fēng)險(xiǎn)；不僅要審計(jì)信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)，而且要對(duì)信息系統(tǒng)本身進(jìn)行審計(jì)；各家商業(yè)銀行紛紛推出具有自身特色的個(gè)人消費(fèi)信貸產(chǎn)品。當(dāng)前第48頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)商業(yè)銀行個(gè)人消費(fèi)信貸系統(tǒng)：個(gè)人消費(fèi)信貸子系統(tǒng)、儲(chǔ)蓄前臺(tái)會(huì)計(jì)核算管理子系統(tǒng)和后臺(tái)系統(tǒng)管理子系統(tǒng)構(gòu)成。采用雙層結(jié)構(gòu)會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-概況當(dāng)前第49頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)開展審前調(diào)查、制定審計(jì)方案；明確審計(jì)重點(diǎn)、確定測(cè)試項(xiàng)目；實(shí)施系統(tǒng)審計(jì)進(jìn)行審計(jì)評(píng)價(jià)、提出審計(jì)建議會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)程序當(dāng)前第50頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)提交明確資料需求；進(jìn)行人員溝通；熟悉軟件主要功能；收集系統(tǒng)的文檔技術(shù)資料收集個(gè)人消費(fèi)信貸業(yè)務(wù)的法規(guī)制度

在此基礎(chǔ)上，擬定審計(jì)工作方案，明確審計(jì)目標(biāo)，界定審計(jì)范圍，突出審計(jì)重點(diǎn)，確定審計(jì)方法和步驟。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審前調(diào)查、制定方案當(dāng)前第51頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)對(duì)已收集的系統(tǒng)文檔資料進(jìn)行研究分析，重點(diǎn)圍繞審閱系統(tǒng)文檔和價(jià)差應(yīng)用程序兩方面進(jìn)行。審計(jì)人員設(shè)計(jì)一套有關(guān)一般控制、應(yīng)用控制方面的調(diào)查表格，觀察系統(tǒng)運(yùn)行使用現(xiàn)狀。了解軟件系統(tǒng)中存在哪些控制、在哪里控制、如何控制等信息，選定個(gè)別輸入程序流程，追蹤檢查輸入樣本業(yè)務(wù)。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)重點(diǎn)、測(cè)試項(xiàng)目當(dāng)前第52頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)1、檢查程序運(yùn)行結(jié)果：

分析該軟件系統(tǒng)的數(shù)據(jù)字典，掌握保存程序運(yùn)行結(jié)果的庫(kù)表結(jié)構(gòu)與分布情況，要求某商業(yè)銀行完整下載審計(jì)所需的近100個(gè)數(shù)據(jù)庫(kù)文件，通過運(yùn)用審計(jì)數(shù)據(jù)采集與分析軟件等處理工作，對(duì)下載的數(shù)據(jù)文件進(jìn)行轉(zhuǎn)換，對(duì)照法律法規(guī)要求設(shè)定各種運(yùn)算條件，使用工具軟件中的查詢、排序、計(jì)算、重組、分析等項(xiàng)功能，對(duì)電子數(shù)據(jù)進(jìn)行整理、加工用于檢查，發(fā)現(xiàn)較多疑點(diǎn)，并與調(diào)閱的紙質(zhì)數(shù)據(jù)、賬表和憑證進(jìn)行比較取證，以確定系統(tǒng)的功能是否合法、正確。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-實(shí)施審計(jì)當(dāng)前第53頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)2、數(shù)據(jù)檢測(cè)：

審計(jì)組制定了較為詳盡的測(cè)試計(jì)劃與細(xì)則，對(duì)運(yùn)行環(huán)境中的程序模塊處理功能進(jìn)行數(shù)據(jù)檢測(cè)。

測(cè)試數(shù)據(jù)項(xiàng)包括正常、有效的交易數(shù)據(jù)，不正常、無(wú)效的交易數(shù)據(jù)，破壞性數(shù)據(jù)，進(jìn)行多種額度及權(quán)限下的有關(guān)交易測(cè)試。最后將程序運(yùn)行結(jié)果與預(yù)期結(jié)果進(jìn)行比較，判斷有關(guān)程序的控制與處理功能是否恰當(dāng)、有效。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-實(shí)施審計(jì)當(dāng)前第54頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)3、平行模擬：

由審計(jì)人員運(yùn)用SQL語(yǔ)言編寫相同的處理及控制功能模擬程序，用來(lái)處理貸款交易歷史文件中當(dāng)期的實(shí)際數(shù)據(jù)，得到新的處理結(jié)果。比較兩個(gè)結(jié)果，對(duì)不符情況，全面調(diào)閱有關(guān)賬證，進(jìn)行重點(diǎn)檢查。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-實(shí)施審計(jì)當(dāng)前第55頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)根據(jù)審計(jì)中的發(fā)現(xiàn)，對(duì)系統(tǒng)做出審計(jì)評(píng)價(jià)，并針對(duì)存在的問題提出改進(jìn)建議。1、系統(tǒng)功能不夠完善，部分功能模塊存在漏洞與缺陷；2、總體業(yè)務(wù)設(shè)計(jì)尚有欠缺；3、系統(tǒng)使用管理與控制不夠有力；4、業(yè)務(wù)風(fēng)險(xiǎn)控制措施不力；5、交易監(jiān)督管理功能薄弱。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第56頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)1、系統(tǒng)功能不夠完善：（1）輸入控制存在缺陷，數(shù)據(jù)關(guān)聯(lián)度不夠，輸入校驗(yàn)不足：已經(jīng)上傳進(jìn)行審批或已審批的貸款客戶資料不能進(jìn)行修改。系統(tǒng)前端發(fā)生輸入錯(cuò)誤后，只能開立新賬號(hào)重新登陸，而貸款戶參數(shù)表中仍記錄實(shí)際已作廢的出錯(cuò)業(yè)務(wù)。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第57頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)1、系統(tǒng)功能不夠完善：（2）邏輯控制存在薄弱環(huán)節(jié)，數(shù)據(jù)真實(shí)性、完整性、準(zhǔn)確性不夠：系統(tǒng)“貸款戶參數(shù)表”中“貸款賬號(hào)”地段編碼規(guī)則未統(tǒng)一，如新舊賬號(hào)長(zhǎng)度不等（貸款新賬號(hào)長(zhǎng)度16位，格式為貸款機(jī)構(gòu)+貸款+期限檔次+賬號(hào)順序+校驗(yàn)位；舊帳號(hào)則長(zhǎng)度不統(tǒng)一，甚至出現(xiàn)僅為兩位數(shù)的情況），未作統(tǒng)一的轉(zhuǎn)換設(shè)計(jì)。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第58頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)1、系統(tǒng)功能不夠完善：（3）系統(tǒng)參數(shù)管理及控制功能薄弱，部分參數(shù)設(shè)置、使用違規(guī)：如用于業(yè)務(wù)限額控制的參數(shù)數(shù)據(jù)表“貸款業(yè)務(wù)種類表”中各貸種最高貸款額均設(shè)定為1000萬(wàn)元，最低貸款額為0，最長(zhǎng)貸款期限為480個(gè)月，最高貸款比例為100%，而根據(jù)商業(yè)銀行總行的規(guī)定，在保證或擔(dān)保方式下，個(gè)人消費(fèi)額度貸款最高額度為60萬(wàn)元（AAA級(jí)），期限最長(zhǎng)為5年。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第59頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)2、總體業(yè)務(wù)設(shè)計(jì)尚有欠缺：（1）對(duì)個(gè)人住房貸款系統(tǒng)業(yè)務(wù)電子數(shù)據(jù)貸款戶動(dòng)態(tài)明細(xì)表、貸款戶參數(shù)表進(jìn)行分析檢查，發(fā)現(xiàn)逾期本金、呆滯本金總額與業(yè)務(wù)報(bào)表差異明顯，原因在于貸款形態(tài)轉(zhuǎn)列時(shí)，系統(tǒng)并未自動(dòng)轉(zhuǎn)換，僅提供提示，仍由人工干預(yù)調(diào)整。（2）系統(tǒng)控制功能調(diào)整未與國(guó)家有關(guān)個(gè)人消費(fèi)貸款業(yè)務(wù)法規(guī)的變化保持一致。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第60頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)2、總體業(yè)務(wù)設(shè)計(jì)尚有欠缺：（3）執(zhí)行查詢操作時(shí)，無(wú)法選擇時(shí)點(diǎn)，查詢結(jié)果僅為實(shí)時(shí)數(shù)據(jù)，統(tǒng)計(jì)功能不夠強(qiáng)大，無(wú)法實(shí)現(xiàn)查詢條件的任意組合，有關(guān)查詢部分的信息不能打印。（4）還款方式不夠靈活多樣，信用卡批量扣款無(wú)法實(shí)現(xiàn)部分扣款；（5）沒有實(shí)現(xiàn)整個(gè)分行系統(tǒng)內(nèi)部信息的共享，需求尚未真正實(shí)現(xiàn)。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第61頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)3、系統(tǒng)使用管理與控制不夠有力：（1）貸款業(yè)務(wù)審批人員也擁有具體經(jīng)辦人員操作權(quán)限密碼。（2）訪問控制不強(qiáng)，口令未定期更新。（3）系統(tǒng)未安裝防殺病毒軟件。（4）無(wú)具體的安全管理規(guī)定。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第62頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)4、業(yè)務(wù)風(fēng)險(xiǎn)控制措施不力：（1）大量發(fā)放超限額及無(wú)指定用途的個(gè)人消費(fèi)貸款；（2）放松信貸條件，存在個(gè)人住房貸款“零首付”、開發(fā)商擔(dān)保的方式；（3）個(gè)人住房貸款還款能力風(fēng)險(xiǎn)評(píng)估不足，一人貸款購(gòu)買多套房屋，信貸風(fēng)險(xiǎn)難以控制；（4）發(fā)放個(gè)人住房貸款用于購(gòu)買本行處置的抵債資產(chǎn)。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第63頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)5、交易監(jiān)督管理功能薄弱審計(jì)眼神發(fā)現(xiàn)部分發(fā)放的個(gè)人消費(fèi)貸款被改變用用途，挪用于股票認(rèn)購(gòu)、投資及股本，權(quán)益性交易等，甚至流入股市，擾亂金融秩序，加大市場(chǎng)風(fēng)險(xiǎn)。（1）借用個(gè)人名義獲取個(gè)人消費(fèi)貸款投入股市；（2）使用消費(fèi)貸款購(gòu)買個(gè)人所在企業(yè)改制后的股份；（3）將個(gè)人消費(fèi)貸款用于向企業(yè)員工分紅；（4）個(gè)人住房被企業(yè)改用于支付貨款、歸還借款；（5）以個(gè)人消費(fèi)貸款名義變相發(fā)放開發(fā)企業(yè)貸款。會(huì)計(jì)信息系統(tǒng)審計(jì)—個(gè)人消費(fèi)貸款系統(tǒng)-審計(jì)建議當(dāng)前第64頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)會(huì)計(jì)信息系統(tǒng)工作原理信息系統(tǒng)審計(jì)基本理論會(huì)計(jì)信息系統(tǒng)審計(jì)財(cái)務(wù)審計(jì)與IT審計(jì)的銜接當(dāng)前第65頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)銜接—如何開展當(dāng)前第66頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?有自動(dòng)復(fù)雜計(jì)算功能的系統(tǒng)?系統(tǒng)技術(shù)落后，供應(yīng)商已不在提供支持服務(wù)?沒有被廣泛應(yīng)用的新興技術(shù)?客戶自行開發(fā)軟件，或者對(duì)市場(chǎng)常規(guī)軟件有重大修改的軟件?企業(yè)資源規(guī)劃系統(tǒng)(ERP)?系統(tǒng)與系統(tǒng)間存在大量自定義的接口?處理大量交易的系統(tǒng)?為一個(gè)復(fù)雜企業(yè)處理的系統(tǒng)?復(fù)雜的信息技術(shù)設(shè)施銜接—什么時(shí)候必須測(cè)試信息技術(shù)一般控制當(dāng)前第67頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?依賴不能正確處理數(shù)據(jù)或者處理出來(lái)的數(shù)據(jù)不正確的系統(tǒng)或者程序?未經(jīng)授權(quán)的數(shù)據(jù)訪問會(huì)導(dǎo)致數(shù)據(jù)損壞或者被不正當(dāng)?shù)男薷?，包括未?jīng)授權(quán)地記錄不存在的交易或者不正確的交易?未經(jīng)授權(quán)修改主數(shù)據(jù)庫(kù)中的數(shù)據(jù)?未經(jīng)授權(quán)修改系統(tǒng)或者程序?未能對(duì)系統(tǒng)或程序進(jìn)行必要的修改?不恰當(dāng)?shù)娜藶楦深A(yù)?丟失數(shù)據(jù)的可能性銜接—信息技術(shù)一般控制的特定風(fēng)險(xiǎn)當(dāng)前第68頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?訪問程序和數(shù)據(jù)的權(quán)限、程序變更這兩個(gè)方面總是與測(cè)試相關(guān)的，它們的復(fù)雜程度和審計(jì)證據(jù)的類型在審計(jì)客戶中是有巨大的差異的。?程序開發(fā)只有當(dāng)新系統(tǒng)的運(yùn)行會(huì)對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制以及重大錯(cuò)報(bào)風(fēng)險(xiǎn)有影響時(shí)，才與測(cè)試相關(guān)。如果對(duì)于當(dāng)年的財(cái)務(wù)報(bào)表和財(cái)務(wù)報(bào)告內(nèi)部控制沒有影響，就不需要測(cè)試。?計(jì)算機(jī)運(yùn)行只有在可以直接與重要賬戶的認(rèn)定相關(guān)或者與特定風(fēng)險(xiǎn)相關(guān)時(shí)，這項(xiàng)測(cè)試是相關(guān)的(通常發(fā)生在交易量龐大，信息系統(tǒng)復(fù)雜的行業(yè),比如銀行)。銜接—與測(cè)試相關(guān)的當(dāng)前第69頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)性質(zhì)：?詢問、觀察、檢查、重新執(zhí)行；?也有審閱系統(tǒng)參數(shù)設(shè)置時(shí)間：安排在應(yīng)用系統(tǒng)控制測(cè)試之前范圍：運(yùn)用職業(yè)判斷確定測(cè)試范圍銜接—性質(zhì)、時(shí)間、范圍當(dāng)前第70頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)銜接—一般控制的問題當(dāng)前第71頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)銜接—如何評(píng)測(cè)當(dāng)前第72頁(yè)\共有84頁(yè)\編于星期四\19點(diǎn)?測(cè)試一個(gè)樣本就足夠了，但是要覆蓋自動(dòng)化控制中涉及的一系列屬性?