会计信息系统审计

会计信息系统控制审计目前一页\总数八十四页\编于十一点会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接目前二页\总数八十四页\编于十一点会计信息系统工作原理—从关注点出发IT审计关注财务审计关注目前三页\总数八十四页\编于十一点会计信息系统工作原理—外部结构目前四页\总数八十四页\编于十一点服务器、工作站、打印机网线交换机……Windows、UNIX、IOS、AndroidDB2数据库财务报告销售收入2000万利润100万……销售业务系统财务核算系统信息系统安全与应急计划系统的开发获得、维护及数据处理会计信息系统工作原理—内部结构目前五页\总数八十四页\编于十一点一般控制管理控制系统实施控制运行控制软件控制硬件控制物理访问控制逻辑访问控制应用控制输入控制处理控制输出控制保障*控制灾难恢复与应急计划环境控制设备来源控制*会计信息系统工作原理—管理控制目前六页\总数八十四页\编于十一点会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接目前七页\总数八十四页\编于十一点INTOSAI（最高审计机关国际组织）：

信息系统审计是：一个通过获取并评估证据，以判断IT系统是否保护了组织的资产，有效率地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织的业务目标的过程。

基本理论—概念目前八页\总数八十四页\编于十一点4基本理论—类型目前九页\总数八十四页\编于十一点内控信息系统审计审计准则C-SOX，SOX，COSO审计操作指南基本理论—审计依据分类目前十页\总数八十四页\编于十一点基本理论—审计依据分类目前十一页\总数八十四页\编于十一点序号审计内容审计依据1物理环境ANSI/TIA-942:2005<TelecommunicationsInfrastructureStandardforDataCenters>2安全管理ISO/IEC27001：2013<Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Requirements>3运维管理ISO/IEC20000-1:2011<Informationtechnology—Servicemanagement—Part1:Servicemanagementsystemrequirements>4业务连续性BS25777:2008<Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice>5系统漏洞CVE及相关厂家提供的工具6报告出具ISACA<ISAUDITINGSTANDARDREPORTING>7其他参考ISACA相关标准；Cobit5.0

子需求主要依据其他参考

审计框架COSO

审计控制目标Cobit5.0《企业内部控制审计指引》

风险管理全面性ISO31000Riskmanagement—Principlesandguidelinesonimplementation

IT风险评估方法ISO13335Informationtechnology—GuidelinesforthemanagementofITSecurity

应对措施有效性ISO27004Informationtechnology--Securitytechniques--Informationsecuritymanagement--MeasurementsISO13335-4Informationtechnology-Securitytechniques–GuidelinesforthemanagementofITsecurity-Selectionofsafeguards

信息安全管理ISO27002-Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritymanagementISO20000Informationtechnology—Servicemanagement

信息安全策略和安全组织结构ISO27001Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemsISO20000Informationtechnology—Servicemanagement

开发控制CMMICobit4.1-A12

维护控制ISO/IEC14764SoftwareEngineering—SoftwareLifeCycleProcesses—Maintenance

系统安全GBT+22239信息安全技术+信息系统安全等级保护基本要求

网络安全GAT387计算机信息系统安全等级保护网络技术要求

结构安全信息系统等级保护安全设计技术技术要求

物理及环境安全GB/T21052信息安全技术信息系统物理安全技术要求

灾难恢复ISO24762《信息与通讯技术灾难恢复服务指南》

《重要信息系统灾难恢复指南》

业务连续性计划BS25777-Informationandcommunicationstechnologycontinuitymanagement25999-1Codeofpracticeforbusinesscontinuitymanagement

外包服务管理ISACA-G4《OUTSOURCINGOFISACTIVITIESTOOTHERORGANISATIONS》ISO27001-A.11-访问控制

IT对关键业务的支持Cobit5.0

SAP评估Cobi5.0GeneralControl/ProcessControl/ApplicationControlISO15408《通用安全评估标准》

IT审计规划Cobit5.0

物理防护通用防护《信息安全技术信息系统物理安全技术要求》（报批稿）

布线GB/T-50311-2007（2）

防电磁泄露GB/T-8702-1988（3）

防雷GB/T-7450（4），GB/T-50057（5），GB/T-50343-2004（6），《防雷装置安全检测技术规范》

防火GBJ16-2001（7）

防静电YD-T754（8）

接地GB/T-50169（9）

火灾报警GB/T-50166（10）

活动地板GB/T-6650（11），SJ-T10796-2001（12）

场地GB/T-2887（13），GB/T-50174（14），GB/T-9361（15），

网络防护GAT-387-2002（16），GB/T-20271-2006（17），GB/T-10818（18），GB/T-21050-2007（19）

系统防护GB/T-21028-2007（20），GB/T-20271-2006（17），《信息系统安全等级保护基本要求》）

基本理论—其他依据目前十二页\总数八十四页\编于十一点基本理论—信息安全目前十三页\总数八十四页\编于十一点基本理论—IT运维目前十四页\总数八十四页\编于十一点基本理论—CObit目前十五页\总数八十四页\编于十一点能力等级特点关键过程第一级初始级（最低级）软件工程管理制度缺乏，过程缺乏定义、混乱无序。成功依靠的是个人的才能和经验，经常由于缺乏管理和计划导致时间、费用超支。管理方式属于反应式，主要用来应付危机。过程不可预测，难以重复。

第二级可重复级基于类似项目中的经验，建立了基本的项目管理制度，采取了一定的措施控制费用和时间。管理人员可及时发现问题，采取措施。一定程度上可重复类似项目的软件开发。需求管理,项目计划,项目跟踪和监控,软件子合同管理,软件配置管理,软件质量保障第三级已定义级已将软件过程文档化、标准化，可按需要改进开发过程，采用评审方法保证软件质量。可借助CASE工具提高质量和效率。组织过程定义,组织过程焦点,培训大纲,软件集成管理,软件产品工程,组织协调,专家审评第四级已管理级针对制定质量、效率目标，并收集、测量相应指标。利用统计工具分析并采取改进措施。对软件过程和产品质量有定量的理解和控制。定量的软件过程管理和产品质量管理第五级优化级（最高级）基于统计质量和过程控制工具，持续改进软件过程。质量和效率稳步改进。缺陷预防,过程变更管理和技术变更管理基本理论—CMM目前十六页\总数八十四页\编于十一点标准

确定信息系统审计和报告的法定要求指引

为信息系统审计准则的运用提供指引程序

举例说明信息系统审计师在审计项目中可遵循的程序可在以下网址查阅信息系统审计和控制协会(“ISACA”)准则和指引（/stand1.htm）基本理论—标准框架目前十七页\总数八十四页\编于十一点扫描工具：ISS、Dbscanner、webscanner、日志分析：网站日志、系统日志、数据库日志行为分析：攻击类工具工具信息技术类业务分析类ACLSPSSSAS基本理论—审计工具目前十八页\总数八十四页\编于十一点审计程序网络拓扑；防病毒；物理环境；系统补丁；负载均衡常规控制流程控制帐号设置；权限设置；日志分析；控制规则应用控制应急管理；变更管理；可用性管理；故障管理；业务连续性等。审计目的审计章程审计方案审计风险基本理论—审计程序目前十九页\总数八十四页\编于十一点基本理论—审计工具目前二十页\总数八十四页\编于十一点基本理论—审计工具（续）目前二十一页\总数八十四页\编于十一点基本理论—审计工具（续）目前二十二页\总数八十四页\编于十一点会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接目前二十三页\总数八十四页\编于十一点会计信息系统审计—与财务报表之间的关系目前二十四页\总数八十四页\编于十一点会计信息系统审计—会计信息系统目前二十五页\总数八十四页\编于十一点信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。会计信息系统审计—会计信息系统结构目前二十六页\总数八十四页\编于十一点会计信息系统审计—可能产生的危害目前二十七页\总数八十四页\编于十一点根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%～25%的公司在IT内部控制方面存在重大缺陷：根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：•程序控制上的缺陷•软件开发/实施•职责分离•用户对系统的访问授权•对数据访问的监管和控制会计信息系统审计—利用会计系统犯罪的趋势目前二十八页\总数八十四页\编于十一点会计信息系统审计—会计系统控制内容目前二十九页\总数八十四页\编于十一点会计信息系统审计—公司层面控制目前三十页\总数八十四页\编于十一点应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：

许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上会计信息系统审计—公司层面控制（续）目前三十一页\总数八十四页\编于十一点会计信息系统审计—一般控制目前三十二页\总数八十四页\编于十一点会计信息系统审计—一般控制（续）目前三十三页\总数八十四页\编于十一点会计信息系统审计—一般控制范围及缺失产生影响如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度，例如：√程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数√与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作信息系统的开发和实施：•开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护：•维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的操作和运行：•对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：•安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等目前三十四页\总数八十四页\编于十一点会计信息系统审计—一般控制范围信息系统的开发和实施•目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标•具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离信息系统的变更和维护•目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标•具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离目前三十五页\总数八十四页\编于十一点信息系统的操作和运行•目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性•具体控制领域包括：计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格程序和数据的接触安全•目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的•具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全会计信息系统审计—一般控制范围（续）目前三十六页\总数八十四页\编于十一点信息技术一般控制举例：1.1系统开发和重大变更流程:控制点：•用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。•变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。•系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。•制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。•对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。•管理层应在系统上线前对其进行检查和审批。1.2系统日常变更流程：控制点：•一般的程序变更请求需要由用户部门管理层审批并存档保留。•在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当。•在程序变更过程中对相冲突的职责实施有效的分离。•程序变更上线之前需要经过管理层的检查和审批。•开发和测试环境在逻辑或物理上与生产环境分离。会计信息系统审计—一般控制举例目前三十七页\总数八十四页\编于十一点信息技术一般控制举例：2.1用户账号管理－用户创建/修改/删除的授权审批：控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；关于删除离职或调职用户的权限，被评估机构确立了正式的流程；2.2用户账号管理－权限定期检查：控制点：用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。信息技术一般控制举例：3.1备份管理-备份检查：控制点：对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检查备份完成情况。3.2问题及应急事件处理：控制点：IT运行问题或事件应该及时进行识别、解决、审核和分析。会计信息系统审计—一般控制举例（续）目前三十八页\总数八十四页\编于十一点应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些应用程序的访问权限至关重要，从而降低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险会计信息系统审计—应用控制目前三十九页\总数八十四页\编于十一点会计信息系统审计—应用控制分类配置控制登陆权限、岗位分离控制实时校验、编辑检查自动计算系统接口、对账程序目前四十页\总数八十四页\编于十一点•配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制举例：•财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后，K/3系统自动将对应的暂估应付账款进行冲回。•系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。会计信息系统审计—配置控制目前四十一页\总数八十四页\编于十一点•登录权限/岗位分离应用系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况。举例：•会计凭证在金蝶K/3系统中的录入，一般此项操作需要一人制单，一人复核及过账。会计信息系统审计—登陆权限/岗位分离目前四十二页\总数八十四页\编于十一点•实时校验和编辑检查也称为系统录入控制，此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量垃圾数据的产生。举例：•会计科目维护时系统存在录入控制，对科目代码进行校验，限制过长或过短的科目代码。•系统设定了录入信息模板，只能按照模板规定的格式录入信息。会计信息系统审计—实时校验和编辑检查目前四十三页\总数八十四页\编于十一点•自动计算系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中。举例：•金蝶K/3系统正确计算物料的当月采购平均单价。•K/3系统每月将当月所有入库单自动汇总《成本计算单_汇总显示》。会计信息系统审计—自动计算目前四十四页\总数八十四页\编于十一点•自动系统接口/对账例行程序:主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制举例：•仓管员根据K/3系统《销售出库单》的出库或退库指令在仓库系统进行出库或退库操作，确认信息由仓库系统上传到K/3系统。会计信息系统审计—系统接口/对账程序目前四十五页\总数八十四页\编于十一点应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接会计信息系统审计—应用控制需要考虑的因素目前四十六页\总数八十四页\编于十一点每个应用系统的控制都有所区别：企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑，如监管要求等应用控制要持续有效，必需有相关的配套支持：政策、制度人员（业务和信息技术）检查和维护机制（包括信息系统一般性控制）会计信息系统审计—应用控制（续）目前四十七页\总数八十四页\编于十一点会计信息系统审计—个人消费贷款系统-背景信息技术在金融领域日益广泛的应用；新技术的风险；不仅要审计信息系统产生的电子数据，而且要对信息系统本身进行审计；各家商业银行纷纷推出具有自身特色的个人消费信贷产品。目前四十八页\总数八十四页\编于十一点商业银行个人消费信贷系统：个人消费信贷子系统、储蓄前台会计核算管理子系统和后台系统管理子系统构成。采用双层结构会计信息系统审计—个人消费贷款系统-概况目前四十九页\总数八十四页\编于十一点开展审前调查、制定审计方案；明确审计重点、确定测试项目；实施系统审计进行审计评价、提出审计建议会计信息系统审计—个人消费贷款系统-审计程序目前五十页\总数八十四页\编于十一点提交明确资料需求；进行人员沟通；熟悉软件主要功能；收集系统的文档技术资料收集个人消费信贷业务的法规制度

在此基础上，拟定审计工作方案，明确审计目标，界定审计范围，突出审计重点，确定审计方法和步骤。会计信息系统审计—个人消费贷款系统-审前调查、制定方案目前五十一页\总数八十四页\编于十一点对已收集的系统文档资料进行研究分析，重点围绕审阅系统文档和价差应用程序两方面进行。审计人员设计一套有关一般控制、应用控制方面的调查表格，观察系统运行使用现状。了解软件系统中存在哪些控制、在哪里控制、如何控制等信息，选定个别输入程序流程，追踪检查输入样本业务。会计信息系统审计—个人消费贷款系统-审计重点、测试项目目前五十二页\总数八十四页\编于十一点1、检查程序运行结果：

分析该软件系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，要求某商业银行完整下载审计所需的近100个数据库文件，通过运用审计数据采集与分析软件等处理工作，对下载的数据文件进行转换，对照法律法规要求设定各种运算条件，使用工具软件中的查询、排序、计算、重组、分析等项功能，对电子数据进行整理、加工用于检查，发现较多疑点，并与调阅的纸质数据、账表和凭证进行比较取证，以确定系统的功能是否合法、正确。会计信息系统审计—个人消费贷款系统-实施审计目前五十三页\总数八十四页\编于十一点2、数据检测：

审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能进行数据检测。

测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后将程序运行结果与预期结果进行比较，判断有关程序的控制与处理功能是否恰当、有效。会计信息系统审计—个人消费贷款系统-实施审计目前五十四页\总数八十四页\编于十一点3、平行模拟：

由审计人员运用SQL语言编写相同的处理及控制功能模拟程序，用来处理贷款交易历史文件中当期的实际数据，得到新的处理结果。比较两个结果，对不符情况，全面调阅有关账证，进行重点检查。会计信息系统审计—个人消费贷款系统-实施审计目前五十五页\总数八十四页\编于十一点根据审计中的发现，对系统做出审计评价，并针对存在的问题提出改进建议。1、系统功能不够完善，部分功能模块存在漏洞与缺陷；2、总体业务设计尚有欠缺；3、系统使用管理与控制不够有力；4、业务风险控制措施不力；5、交易监督管理功能薄弱。会计信息系统审计—个人消费贷款系统-审计建议目前五十六页\总数八十四页\编于十一点1、系统功能不够完善：（1）输入控制存在缺陷，数据关联度不够，输入校验不足：已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后，只能开立新账号重新登陆，而贷款户参数表中仍记录实际已作废的出错业务。会计信息系统审计—个人消费贷款系统-审计建议目前五十七页\总数八十四页\编于十一点1、系统功能不够完善：（2）逻辑控制存在薄弱环节，数据真实性、完整性、准确性不够：系统“贷款户参数表”中“贷款账号”地段编码规则未统一，如新旧账号长度不等（贷款新账号长度16位，格式为贷款机构+贷款+期限档次+账号顺序+校验位；旧帐号则长度不统一，甚至出现仅为两位数的情况），未作统一的转换设计。会计信息系统审计—个人消费贷款系统-审计建议目前五十八页\总数八十四页\编于十一点1、系统功能不够完善：（3）系统参数管理及控制功能薄弱，部分参数设置、使用违规：如用于业务限额控制的参数数据表“贷款业务种类表”中各贷种最高贷款额均设定为1000万元，最低贷款额为0，最长贷款期限为480个月，最高贷款比例为100%，而根据商业银行总行的规定，在保证或担保方式下，个人消费额度贷款最高额度为60万元（AAA级），期限最长为5年。会计信息系统审计—个人消费贷款系统-审计建议目前五十九页\总数八十四页\编于十一点2、总体业务设计尚有欠缺：（1）对个人住房贷款系统业务电子数据贷款户动态明细表、贷款户参数表进行分析检查，发现逾期本金、呆滞本金总额与业务报表差异明显，原因在于贷款形态转列时，系统并未自动转换，仅提供提示，仍由人工干预调整。（2）系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。会计信息系统审计—个人消费贷款系统-审计建议目前六十页\总数八十四页\编于十一点2、总体业务设计尚有欠缺：（3）执行查询操作时，无法选择时点，查询结果仅为实时数据，统计功能不够强大，无法实现查询条件的任意组合，有关查询部分的信息不能打印。（4）还款方式不够灵活多样，信用卡批量扣款无法实现部分扣款；（5）没有实现整个分行系统内部信息的共享，需求尚未真正实现。会计信息系统审计—个人消费贷款系统-审计建议目前六十一页\总数八十四页\编于十一点3、系统使用管理与控制不够有力：（1）贷款业务审批人员也拥有具体经办人员操作权限密码。（2）访问控制不强，口令未定期更新。（3）系统未安装防杀病毒软件。（4）无具体的安全管理规定。会计信息系统审计—个人消费贷款系统-审计建议目前六十二页\总数八十四页\编于十一点4、业务风险控制措施不力：（1）大量发放超限额及无指定用途的个人消费贷款；（2）放松信贷条件，存在个人住房贷款“零首付”、开发商担保的方式；（3）个人住房贷款还款能力风险评估不足，一人贷款购买多套房屋，信贷风险难以控制；（4）发放个人住房贷款用于购买本行处置的抵债资产。会计信息系统审计—个人消费贷款系统-审计建议目前六十三页\总数八十四页\编于十一点5、交易监督管理功能薄弱审计眼神发现部分发放的个人消费贷款被改变用用途，挪用于股票认购、投资及股本，权益性交易等，甚至流入股市，扰乱金融秩序，加大市场风险。（1）借用个人名义获取个人消费贷款投入股市；（2）使用消费贷款购买个人所在企业改制后的股份；（3）将个人消费贷款用于向企业员工分红；（4）个人住房被企业改用于支付货款、归还借款；（5）以个人消费贷款名义变相发放开发企业贷款。会计信息系统审计—个人消费贷款系统-审计建议目前六十四页\总数八十四页\编于十一点会计信息系统工作原理信息系统审计基本理论会计信息系统审计财务审计与IT审计的衔接目前六十五页\总数八十四页\编于十一点衔接—如何开展目前六十六页\总数八十四页\编于十一点•有自动复杂计算功能的系统•系统技术落后，供应商已不在提供支持服务•没有被广泛应用的新兴技术•客户自行开发软件，或者对市场常规软件有重大修改的软件•企业资源规划系统(ERP)•系统与系统间存在大量自定义的接口•处理大量交易的系统•为一个复杂企业处理的系统•复杂的信息技术设施衔接—什么时候必须测试信息技术一般控制目前六十七页\总数八十四页\编于十一点•依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序•未经授权的数据访问会导致数据损坏或者被不正当的修改，包括未经授权地记录不存在的交易或者不正确的交易•未经授权修改主数据库中的数据•未经授权修改系统或者程序•未能对系统或程序进行必要的修改•不恰当的人为干预•丢失数据的可能性衔接—信息技术一般控制的特定风险目前六十八页\总数八十四页\编于十一点•访问程序和数据的权限、程序变更这两个方面总是与测试相关的，它们的复杂程度和审计证据的类型在审计客户中是有巨大的差异的。•程序开发只有当新系统的运行会对财务报告内部控制以及重大错报风险有影响时，才与测试相关。如果对于当年的财务报表和财务报告内部控制没有影响，就不需要测试。•计算机运行只有在可以直接与重要账户的认定相关或者与特定风险相关时，这项测试是相关的(通常发生在交易量庞大，信息系统复杂的行业,比如银行)。衔接—与测试相关的目前六十九页\总数八十四页\编于十一点性质：•询问、观察、检查、重新执行；•也有审阅系统参数设置时间：安排在应用系统控制测试之前范围：运用职业判断确定测试范围衔接—性质、时间、范围目前七十页\总数八十四页\编于十一点衔接—一般控制的问题目前七十一页\总数八十四页\编于十一点衔接—如何评测目前七十二页\总数八十四页\编于十一点•测试一个样本就足够了，但是要覆盖自动化控制中涉及