资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Slide,97,Renmin University of China,计算机会计学Accounting Information System,第十章 计算机信息系统环境下的审计,主要内容,第一节 计算机信息系统环境下的审计概述,第二节 计算机信息系统环境下审计计划的制定,第三节 计算机信息系统环境下的内部控制与符合性测试,第四节 计算机辅助审计技术,第五节 计算机信息系统环境下的开发审计,第六节 计算机审计软件,第七节 计算机网络环境下的审计,第一节 计算机信息系统环境下的审计概述,计算机信息系统环境及其对审计的影响,计算机信息系统环境下审计的目标,计算机信息系统环境下审计的内容,计算机信息系统环境下审计的程序,一、计算机信息系统环境的定义,“注册会计师审计的重要会计信息由计算机处理生成的情形”,“当一个单位对审计有重要影响的会计信息是由任何类型或大小的计算机处理生成时,就存在计算机信息系统环境,而无论该计算机由本单位操作还是由第三者操作”,我国:,国际审计准则:,计算机信息系统环境对审计的影响,审计线索,审计内容,审计技术,审计方法,审计人员,二、计算机信息系统环境下审计的目标,鉴证目标,系统的合法性,系统的安全性,数据的完整性,管理目标,系统的效率性,系统的经济性和效益性,三、计算机信息系统环境下审计的内容,对计算机会计信息系统进行审计,对内部控制系统的审计,对系统开发的审计,对系统应用程序的审计,对系统数据文件的审计,以计算机作为审计工具进行审计,手工会计信息系统的计算机辅助审计,计算机会计信息系统的计算机辅助审计,审计项目管理系统的计算机辅助审计,计划准备阶段,符合性测试阶段,实质性测试阶段,开始,检查被审计单位的基本情况,检查一般控制和,应用控制情况,计划符合性测试和实质性测试的程序,实施,符合性测试,评价,测试结果,确定对内部控制,的信赖程度,实施,实质性测试,评价,测试结果,审,计,报,告,签发,审计报告,结束,四、计算机信息系统环境下的审计程序,第二节 计算机信息系统环境下审计计划的制定,在计算机信息系统环境下制定审计计划时,应着重对计算机信息系统了解的方面,计算机信息系统环境下制定审计计划的基本程序和步骤,利用计算机编制审计计划,一、在计算机信息系统环境下制定审计计划时,应当着重对计算机信息系统了解的几个方面,独立审计具体准则关于“审计计划”的规定,制定审计计划时,充分了解信息系统环境下的内部控制,了解计算机信息系统的重要性、复杂程序及审计所需信息的可获得性,了解计算机信息系统环境,并考虑其对固有风险和控制风险评估的影响,关于重要性、复杂程度、可获得性,计算机信息系统的重要性,与会计报表认定的重要性相关,计算机信息系统的复杂程度,经济业务数量较大,被审计单位感到在处理过程中鉴别和改正错误有困难,计算机系统自动生成重要的经济业务或分录,直接进入其他应用。,审计所需信息的可获得性,CPA特别关注,计算机信息系统与手工系统不同的方面,组织结构,内部控制,信息处理,程序设计,二、计算机信息系统环境下制定审计计划的基本程序和步骤,了解客户及控制环境,了解会计系统,了解控制活动,制定交易及余额的详细测试计划,了解客户及控制环境,目的,便于审计师评估会计系统中电算化部分的范围及复杂性,以及所需的计算机审计专家协助的比重,需要获取的信息,计算机设备的种类及其结构,系统软件的种类,计算机处理活动的组织结构(EDP部门的组织结构、人员安排),电算化会计应用的数目及性质(应用的范围和程度),了解会计系统,目的,了解业务经过会计系统中手工部分和电算化部分的路径,并了解计算机介入的性质和程度,在重要的会计应用中,需要获取的信息,应用的目的,计算机应用中输入的来源、容量及形式,处理的方式及频率,应用中输出的形式及输出的分布,了解控制活动,目的,了解系统的一般控制,对一般控制是否有效进行判断,向客户提供服务的机会,对一般控制的审核,询问或观察客户的EDP部门的职员;,检查现存的文件, 确定下列事项:,EDP部门内部及EDP与使用者之间的职责是否分离,开发的、买入的或变更的程序在执行之前是否经过批准和测试,对数据文件的接触是否只限于经过批准的使用者和程序,交易测试的计划,交易类别测试,若在重大会计领域应用了电算化,而且交易类别的具体控制目标的实现要依赖于计算机处理的结果,必须在控制风险的评估中考虑EDP控制(应用控制和一般控制)的作用,在一般控制有效的基础上,测试EDP的应用控制,手工:从会计应用处理的交易类别中选取样本,应用审计程序证实数据的有效性、完整性、和准确性。,计算机辅助:测试在会计应用中使用的计算机程序(对程序化会计程序和程序化控制程序的运行进行测试)。,余额详细测试的计划,余额的直接测试,当审计师在年末进行余额的直接测试时,通常不必依赖于计算机,当余额的直接测试的范围依赖于与计算机相关的控制程序或在应用期中进行余额的直接测试,则必须对一般控制的有效性进行考虑,当审计师决定在对以计算机可读形式存在的客户文件实施余额的直接测试中使用计算机予以辅助时,必须制定更详细的计划,三、利用计算机编制审计计划,设计审计程序,制定检查清单,分析风险,执行分析性复核程序,日程安排和费用预算,.,第三节 计算机信息系环境下的内部控制与符合性测试,计算机信息系统环境下的内部控制及其分类,一般控制,应用控制,内部控制的符合性测试及评价,一、计算机信息系统内部控制及分类,含义,是企业经营者为维护企业资产的完整性,确保会计记录的正确性和可靠性,以及对经济活动进行综合的计划、调整和评价而制定的制度、组织方法和手续的总称。,目标,保护企业资产的安全完整,为企业内部和外部提供可靠的财会记录,计算机信息系统内部控制的分类,按实施的对象和范围划分,一般控制,应用控制,按控制的目标划分,预防性控制,检测性控制,纠正性控制,按控制实现的方法划分,人工控制,程序控制,按实施控制的部门划分,电算化部门控制,用户部门控制,二、一般控制,目的:,一般控制是计算机信息系统的总体控制;,建立对计算机信息系统活动整体控制的框架环境,并对达到内部控制的整体目标提供合理的依赖程序。,一般控制的具体目标:,通过一般或特殊的授权规则保证下列活动的开展具备正当的手续:,将原始凭证输入系统内进行处理;,设计、实施和使用计算机程序;,更改计算机程序;,接触和使用计算机主文件和其他重要数据文件;,分发系统输出报告等。,负责资产保管人员无权接触记录资产情况的信息处理。,负责信息处理的人员不负责执行或批准的经济业务。,电子数据处理部门内部对不相容职能进行适当分离。,电子数据处理部门不能纠正电子数据部门以外的错误。,通过适当的沟通方法和程序,使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求,并保证遵循这些要求。,主管人员能够充分地控制授权要求的遵守,以保证违背要求的行为能予以记录、调查和纠正。,一般控制,的内容,组织与管理控制,应用系统开发与维护控制,计算机操作控制,硬件和软件控制,系统安全控制,系统文档控制,组织与管理控制,基本目标,减少发生错误和舞弊的可能性,基本要求,权责的划分和职能的分离,主要内容,电算部门与用户部门的职责分离,电算部门内部的职责分离,人事控制,业务授权,应用系统开发与维护控制,基本目标,为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行,基本要求,系统开发过程中的各项研制、设计、维护活动及由此产生的文档,均应遵循一定标准、规则和要求,主要内容,系统开发标准,以总的方面规定开发活动要求。,结构化系统开发方法,系统开发通常采用系统开发生命周期法。,项目管理,包括项目计划、项目控制、项目报告。,编程规则,程序设计按一定规则进行,能提高系统的可审性。,阶段保证,保证系统开发进度和质量的重要措施。,系统测试控制,系统实施前检出错误使系统按设计要求可靠运行的控制。,系统转换控制,防止在新旧系统转换过程中发生数据遗失、重复等现象。,新系统批准程序,确保管理部门对新系统和系统转换计划进行审批。,程序变更控制,保证程序改动经严格测试,并得到适当的核准和授权。,系统文档,保证所有系统开发资料按规定予以整理和归档。,计算机操作控制,基本目标,通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会,具体目标,系统仅用于经过批准的目的;,仅限于经过批准的人员进行计算机操作;,仅使用批准的程序;,查出并更正计算机处理中的错误。,主要内容,操作计划,机房守则,操作规程,上机日志记录,硬件和软件控制,硬件控制,硬件控制的失效会消弱其他控制措施的作用,影响系统的可靠性,系统软件控制,利用系统软件如操作系统、数据库管理系统实现控制,是电子数据处理系统内部控制机制的一个显著特色,应用软件控制,确保软件的取得或开发是以经过授权并以有效的方式进行的,授权、批准、测试、实施和记录新建和修改应用软件;,系统应用软件和记录的存取仅限于经过授权的人员。,系统安全控制,基本目标,防止影响系统安全的因素危及系统的安全,发现系统中的安全问题,并解决这些问题使系统恢复正常的措施及实施,主要内容,硬件安全控制,程序与数据的安全控制,环境安全控制,防病毒的软件接触系统,系统文档控制,基本目标,建立文档管理制度及安全保密制度,主要内容,专人保管;,数据在纳入计算机会计信息系统之前,须经系统主管人员的审检批准;,计算机打印输出书面资料,应由输出和审核人员共同签字才是合法的会计档案;,会计档案使用时必须经过批准,任何资料的借取都要登记;,存储在磁性介质上的文件应有加密保护;,系统软件、应用程序和数据文件应复制备份;,根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份的间隔期及调用档案的手续等。,一般控制的地位,一般控制的运用对应用控制的有效性至关重要,一般控制的测试和技术,手工,组织与管理控制,系统开发和维护控制,计算机辅助审计技术,系统应用软件控制,手工方法与计算机辅助审计技术相结合,计算机操作控制,数据和程序控制,一般控制的测试的重点,系统开发的测试,一般控制的研究、评价和风险评估的方法与重点,三、应用控制,基本目标,对会计应用建立具体控制过程,从而确保全部的经济业务都经过授权和记录,并做完整、准确和及时的处理。,具体目标,所有经允许处理的数据均应转换到介质上并加以处理,并且处理的结果可通过适当的方式加以输出。,所有输入、转换、处理和输出均应在正常的时间里准确地进行。,所有系统的输出均反映为经批准的有效的经济业务。,应用控制的内容,输入控制,处理控制,输出控制,输入控制,控制目标,经济业务在计算机处理之前经过适当的批准;,经济业务被准确地转换为机器可读形式并记录于计算机数据文件;,经济业务没有丢失或不适当地增加、复制、改动;,拒绝、改正不适当的经济业务,必要时,及时重新补救。,控制内容,数据采集控制,数据输入控制,数据采集控制,控制目标,确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据,控制措施,用户部门内部的职责分离,标准化的凭证格式,制定凭证编制程序,凭证审核,手续控制,凭证更正规程,批量控制,数据输入控制,控制目标,防止输入数据时的遗漏或重复,检查输入数据是否有错误,例:以记账凭证为主要内容的数据输入控制,1),会计科目输入错误,如输入了没有设置的科目或误用其他会计科目;,2),借、贷方向输错;,3),金额输错,如未计、多计或少计;,4),对应关系搞错。,1),设置会计科目代码与名称对照文件;,2),设置对应关系参照文件;,3),合理性校验;,4),平衡校验;,5),人工校验;,6),重输入控制,计算机处理与数据文件控制,控制目标,经济业务(包括系统生成的)由计算机正确地处理;,经济业务没有丢失或不适当地增加、复制、改动;,计算机处理的错误被及时地鉴别并改正。,控制措施,业务时序控制,数据有效性检验,程序化处理有效性检验,错误更正控制,断点技术,输出控制,控制目标,计算机处理的输出结果准确无误;,输出结果仅限于经过批准的人员;,输出及时地提供给适当的经过批准的人员。,控制措施,输出授权控制;,输入过程的控制总数与输出得到的控制总数相核对;,审校输出结果,检查正确性、完整性;,将正常业务报告与例外报告中有关数据作分析对比;,设置输出报告发送登记簿,记录报告发送份数、时间、接受人等事项;,制订输出错误纠正和对重要数据进行处理的规定。,方法,使用者实施的人工控制,系统输出控制,程序控制,测试重点,应用系统的处理控制,应用控制的研究、评价和评估方法,四、内部控制的符合性测试及评价,目的,评价企业内部控制系统在防止和发现财务报表数据发生重大误述方面的作用,并为确定审计程序、范围和重点提供依据,内容,一般控制与应用控制,步骤,了解与描述计算机会计信息系统内部控制,IQC法(Interview面谈法、Questionaries问卷法、Control flowchat控制流程图法),符合性测试,评价内部控制(,是否完整有效和可否依赖),符合性测试,符合性测试检查的重点:,必要的内部控制是否重要?,是否按规定执行?,由谁执行?,符合性测试的步骤,确定符合性测试的顺序,确定测试对象,确定是否有互补测试,选择测试工具或技术,设计测试数据,进行测试,分析和评价测试结果,内部控制评价,评价,计算机会计信息系统内部控制的方法与评价手工会计信息系统内部控制的方法没有本质区别,如果审计人员评价系统内部控制为高信赖程度,即控制风险为最低,则可以较多地依赖和利用内部控制,相应减少实质性测试审计程序的数量和范围,如果评价内部控制为低信赖程度,即重要内部控制明显失效,应放弃对内部控制的依赖,扩大实质性测试的范围,完善、修正和补充实质性测试程序,第四节 计算机辅助审计技术,计算机信息系统环境下应用程序的审计,计算机信息系统环境下数据文件的审计,利用被审计单位计算机信息系统的功能辅助审计,计算机辅助审计抽样,一、计算机信息系统环境下应用程序审计,目标,测试应用系统控制的符合性;,通过检查程序运算和逻辑的正确性达到实质性测试的目的,。,方法,不处理数据的测试方法,处理实际数据的程序测试方法,处理模拟数据的程序测试方法,(一)不处理数据的程序测试方法,特点,审计人员不通过计算机处理的任何数据而是通过审核和分析评审或鉴定意见书、程序流程图、程序编码、程序运行记录、程序运行结果等来达到审计目的。,具体方法,计算机会计信息系统是否通过评审或鉴定,程序流程图检查法,程序编码检查法,程序运行记录检查法,程序运行结果检查法,打印输出测试法,(二)处理实际数据的程序测试方法,特点,使用用户单位的计算机程序处理实际数据以确定应用控制可靠性,审计人员可以利用已形成的实际数据,无需再设计测试数据,而且用程序处理的结果能表明程序控制的强弱。,具体方法,控制处理法,控制再处理法,嵌入审计程序法,平行模拟法,标记追踪法,控制处理法,概念,审计人员通过程序,对实际会计业务的处理进行监控,,判别,程序处理和控制功能,是否按设计要求起作用,主要优点,审计技术简单,对审计人员的计算机专业知识要求不高;,若采取突击检查的方式,可保证被审程序与实际使用程序的一致性,从而保证审计结论的可靠性。,主要缺点,审计人员对实际业务数据的监督、控制及比较分析,可能影响被审单位正常的数据处理及工作效率;,选择的实际业务数据可能不足以评价各种处理和控制功能。,适用条件,无需专门的测试环境,适用于难以提供测试环境的网络化信息系统的审计,控制再处理法,概念,审计人员在,被审单位正常业务处理以外的时间,里亲自进行或监督进行,将某,批处理过的业务再处理一次,,比较两次处理的结果,以确定程序是否被非法篡改、处理和控制功能是否恰当有效。,适用条件,只用于再次审计,不可用于首次审计,以前处理过的业务数据,当前运行的被审程序,处理,结果,以前处理结果,比较,当前被审程序处理过的业务数据,审计人员保存的被审程序副本,处理,结果,当前被审程序的处理结果,比较,控制再处理法,主要优点,所需测试数据是现成的,审计人员没有必要再根据需要筛选数据;,可以在审计人员和被审单位都方便时进行测试,不干扰被审单位的正常业务。,主要缺点,有些单位已处理过的业务文件可能只保留很短时间,而主文件可能已经多次更新,难于获取重新处理所需的文件;,着重在于对结果的分析,若结果不相同,则要进一步分析原因,因而对控制措施的判断不直接;,若结果一致时,由于采集数据的局限性及潜在的被修改的可能性,所以并不一定能据此判定程序控制的有效性。,嵌入审计程序法,概念,审计人员在被审计算机会计信息系统,开发设计阶段,,在被审的应用程序中,嵌入为执行特定审计功能设计的程序,,用来收集审计人员感兴趣的资料,并,建一个审计文件,存储这些资料,通过对这些资料的审核确定应用程序处理和控制功能的可靠性。,嵌入程序分类,主要在一些特定点上对系统的运行进行实时监控,只有在审计人员调用时才起作用,实际业务数据文 件,被审程序(包括嵌入程序段),实际业务,处理结果,审计文件,输出,程序,审计资料,被审单位使用,审计人员使用,嵌入审计程序法,主要优点,在被审单位处理业务数据的同时获取审计证据,弥补了在数据处理过后进行审计时,难以确认被审程序与实际运行程序一致性的缺陷;,审计程序段与系统程序同时运行,因而所进行的测试是经常性的,只要被测试程序开始运行,审计程序段就处理监督状态。,主要缺点,审计人员必须事先确定对何种程序进行审计,需要获取何种审计资料,并要据此审计相应的审计程序段,如果应用程序修改,审计程序段可能也要修改;,审计人员要参与到被审单位的系统分析与设计,实际上是将审计的重点告知了设计人员。,适用条件,审计人员在系统开发阶段对嵌入审计程序的功能提出需求,实际业务,数据文件,模拟,程序,被测试,程序,处理结果,处理结果,比较,差异报告,平行模拟法,概念,审计人员自己或请计算机专业人员编写与被审应用程序,处理和控制功能相同的模拟程序,,并用,模拟程序处理实际数据,,将处理结果与被审程序处理结果进行对比,评价被审程序的处理和控制功能是否可靠,适用条件,一个模拟系统可以用于多个单位的审计,或者审计人员可以低成本取得模拟系统,优点,能独立地处理实际数据,不依赖于被审计单位的人力和设备,能客观地进行审计评价,缺点,如果开发的模拟系统比较复杂,则开发难度较大且成本较高,标记追踪法,概念,审计人员在被测试的程序中安插一些审计程序段,并,事先对输入数据作好标记,,当带有标记的数据通过审计程序时,将该数据存储起来,等程序运行完毕后,比较处理前和处理后数据的差异。,作用,用这种方法来追踪作标记的数据在程序中是如何处理的。,主要优点,可列示被审计程序中什么指令已执行以及按何种顺序执行,可查出被审程序中的非法指令。,主要缺点,要求审计人员具有编写应用程序的知识,且跟踪并分析结果可能费时费力。因此,这种方法在实际审计工作中并不常用。,(三)处理虚拟数据的程序测试方法,特点,通过处理事先设计的测试数据来确定应用程序的可靠性。,通过设计少量测试数据,对局部或大部分应用程序进行测试,也可据需要对某特定控制措施进行测试。,测试过程,设计测试数据;,手工处理设计好的数据;,用被测试程序处理已设计好的数据;,比较上述两种方式处理的结果,并推断应用控制的可靠性。,具体方法,测试数据法,模拟单位法,测试数据法,概念,审计人员根据测试的要求,设计一套,模拟业务的数据,,利用被测试程序对模拟数据进行处理,再将处理结果与应当出现的结果进行核对,以检验应用程序是否可靠。,适用,用来测试整个系统的全部应用程序;,也可用来测试个别程序;,或测试程序中某个或某几个控制措施,测试数据,正常的、无误的业务数据,有错漏、不完整、不合理、不正常的业务数据,测试数据法的应用,实际结果与预计结果,的差异,系统,主文件,测 试,数 据,应 用 程 序,测试,的结果,审计人员比较,预期,的结果,用户测试数据,审计人员测试数据,软件生成测试数据,测试数据法分析,主要优点,在审计线索间断或不完整的情况下,使用这种方法能对应用程序作出评价;,这是一种抽样方法,用于测试处理量大的系统比较经济;,使用范围广,对审计人员的计算机知识和技能的要求不高。,主要缺点,当全面测试系统或程序时,必须保证测试数据的综合性,否则难以保证能测试到所有的应用控制措施;,难以保证被测试的程序就是被审计单位实际使用的程序;,测试数据的设计比较困难;,如果用测试数据增加、删除、修改文件中的记录,可能破坏被审计单位的主文件。,模拟单位法,概念,审计人员在被审计的计算机会计信息系统中建立一个,虚拟的实体,(,如车间、某一往来客户,),,利用被审程序,,对该虚构实体数据与实际业务数据一同处理,,将处理结果与预期结果比较,以确定应用程序的处理和控制功能是否恰当可靠。,虚拟实体,业务数据,实际业务,数据,手工,处理,被审程序,预期,结果,虚拟业务处理结果,实际业务处理结果,比较,模拟单位法分析,主要优点,在正常业务时间里处理测试数据,不影响被审计单位的业务活动;,应用范围较广,尤其适用于实行内部部门核算的企业和联机批处理网络系统的测试,且能用于测试各种内部控制;,能确定被测试程序就是被审计单位实际使用的程序;,将虚拟数据与实际数据区别开,在一定程度上避免测试数据法可能破坏被审计单位文件的缺陷。,主要缺点,如果没有及时消除虚拟数据,可能破坏重要的数据文件,或影响重要会计报表的正确性;,由于虚拟单位性质的限制,所设定的测试数据不一定能测试出程序中的全部错误或隐患;,不适用联机,实时,系统的测试。,二、计算机信息系统环境下数据文件审计,实质性测试需要确定,实质性测试的范围,实质性测试的时间,数据抽样的标准,方法,不处理数据文件的实质性测试方法;,处理实际数据文件的实质性测试方法;,处理虚拟数据文件的实质性测试方法。,(一)不处理数据文件的实质性测试方法,概念,审计人员对数据文件进行实质性测试时,,只检查数据文件的打印输出,,不将数据文件通过电子数据处理系统处理。这种方法与手工会计信息系统中直接审查会计凭证、账簿和会计报表的做法相同。审核数据文件的打印输出,就是为了收集会计业务的记录、计算、记账等是否恰当的证据。,特点,这种方法不需要计算机知识和电子数据处理技能,容易理解,但是审计人员难于确认打印输出是否就是真实数据文件的数据。,(二)处理实际数据文件的实质性测试方法,测试方法,直接测试法,用专用数据传输线,将被审单位装有计算机会计信息系统的计算机接口与审计用的计算机接口,联接,起来,形成类似于简单的局部网络系统;,启动计算机会计信息系统和计算机审计系统,通过接口,利用专用,审计软件,,直接将计算机会计信息系统中的数据文件读到审计计算机中,以便审计时查阅。,或将专用的审计软件,直接,在被审单位装有计算机会计信息系统的计算机中运行,直接查阅审计计算机会计信息系统的数据文件。,间接测试法,审计人员可将,备份数据文件,放在审计用的计算机系统中直接运行审计程序进行查阅。,如果被审单位没有备份的数据文件,审计人员可先制作备份,然后依上述方法审查。,(三)处理虚拟数据文件的实质性测试方法,可采用测试数据法(,设计模拟业务数据生成模拟数据文件),和虚构单位法,(设立虚拟实体,模拟业务数据生成模拟数据文件),进行实质性测试以确定系统处理的正确性。,采用这种测试方法,审计人员需先对测试的问题进行分类,然后进行测试,而且只能对已知的情况加以测试,因此要处理的数据量会比实际数据文件少。,三、利用被审单位计算机信息系统辅助审计,利用商品化会计软件中建立多个账套的功能辅助信息系统处理与控制功能的审计,利用系统查询、统计、财务分析、通用报表、银行对账等功能辅助信息系统数据文件审计,例:利用系统的跟踪查询功能,可从报表追查至总账、明细账、记账凭证、甚至原始凭证。,利用财务软件的导出功能辅助审计,四、计算机辅助审计抽样,被审计对象,(审计总体),具有代表性的对象,(审计样本),样本,结果,总体,特征,抽样,检查,推断,抽样审计的基本过程,计算机辅助确定样本量的选取,例,货币单位抽样法需要考虑四个因素:,抽样总体N,可靠程度系数( R,0,可信赖程度),审计结论精确限度( P,r,可容忍的最大误差),预计总体误差率( 属性抽样)或标准差S,d,( 变量抽样),公式:n=(N*R,0,*,S,d,/P,r,),2,审计人员按提示输入要求的可靠程度、预计的违反率和可容忍的最大违反率,然后由计算机系统计算并提示样本量。,第五节 计算机信息系统环境下的开发审计,自行开发软件的开发审计,商品化会计软件的开发审计,一、自行开发软件的开发审计,系统规划阶段审计,系统分析阶段审计,系统设计阶段审计,系统实施阶段审计,系统运行与维护阶段审计,系统规划阶段审计,从审计角度提出对系统的需求,审查确定用户是否正确充分表达了对系统的需求,开发小组情况,询问与项目有关的部门主管,是否各部门派员参加系统开发;,与各部门指定的参与系统开发人员交谈,确定其是否熟悉所属部门的工作范围和责任权限;,分析各部门指派的人员中否有足够的时间投入指派的工作等。,进行可行性分析情况,向用户及有关主管查询系统是否按成本、效益原则分析,确定其是否同意与本身职责相关的成本、效益计算;,与系统分析员共同研究新系统在经济、组织、技术上的可行性。,审查可行性分析报告,系统分析阶段审计,对现行系统进行调查和分析情况,复核系统分析人员是否取得了现行系统的全部资料;,检查系统分析人员是否与用户有充分的交流;,向用户查询系统分析人员所建立的新系统目标能否满足其处理及内部控制上的需要。,审查为建立新系统所提出的业务重组方案各用户部门是否了解与接受,可能出现什么问题,人员和其他条件是否满足业务重组的需要,审查系统分析报告,参与系统分析报告的审批,系统设计阶段审计概念设计,审计人员会关注系统的概念设计,因为系统的可审计性取决于设计特征,有些计算机辅助审计技术要求系统具有特殊的审计功能,这些审计功能在概念设计阶段必须予以详细说明。,系统设计阶段审计选择与评估,审计人员在评估与选择阶段最关注的是尽可能精确地度量建议系统的经济可行性,审计人员应当特别明确以下事项:,计算成本时,只考虑可节省的成本;,度量现金流量现值时,使用合理的利率;,完整、准确地报告一次性和经常性成本;,比较互斥项目时,使用实际有效的系统预期寿命;,对无形效益赋予合理的财务度量。,系统设计阶段审计详细设计,代码设计审计,抽查部分代码看其是否按照国家、行业颁布的标准设计;,审阅代码本,看其是否全面系统,能否满足数据处理要求,代码与其名称是否符合唯一性原则;,询问用户和管理部门,查明代码设计能否满足本单位检算与管理需要。,文件设计审计,询问用户,查明所设计的数据文件能否满足输入数据和输出信息的要求;,检查数据文件是否有内外标签,是否有控制措施,未经授权人员能否接触数据文件。,输入、输出,复核系统的输入、输出设计、是否符合会计核算软件基本功能规范要求;,详查系统的输入、输出环节,查明是否有适当的控制措施;,是否具有识别错误的功能,对系统拒绝接受的错误数据,是否提供适当的更正程序;,复核输入、输出设计,查明是否留有适当的审计线索。,处理功能设计,查明系统设计的处理功能是否符合会计核算软件基本功能规范及用户的要求;,详查系统处理环节是否有适当的控制措施;,审阅有关文档,查明所需处理功能是否全部通过系统处理功能设计纳入系统。,系统实施阶段审计,程序设计及测试情况,向程序设计员询问在程序中是否设计了必要的内部控制;,选择部分程序流程图或源程序进行正确性检查;,检查程序文档的编制是否规范、完整。,系统调试情况,复核测试数据,查明其是否包括足以检查应有的处理及控制功能的各种类型业务数据;,审计人员可考虑自行设计一组测试数据,进行独立测试;,在测试结束后,审计人员应就系统开发阶段的适当性、系统使用后能否按预期功能运行向管理当局提出意见。,系统实施阶段审计(续),系统试运行情况,复核系统试运行结果,(,试运行期限不低于三个月,),,确定是否达到预期目标,系统有无问题;,询问系统管理员,是否有未经授权人员在试运行期间接触系统,(,尤其是程序员,),;,检查试运行记录,确定运行的系统与原设计是否存在差异,差异是否合理,系统能否正式投入使用。,编制操作手册及制定控制制度情况,检查是否规定由不同人员负责执行业务、输入、处理等工作;,按业务处理流程,看其业务处理是否能顺查由原始输入凭证至报表,或逆查由报表至原始输入凭证;,复核所编制的操作手册和制定的管理制度是否包括控制事项。,系统运行与维护阶段审计,实地观察系统人员操作情况,查明输入数据是否经过审核,正确的数据是否能被准确地输入系统,错误的数据是否能被发现并按适当的规程进行更正;,对系统进行实地测试,确定是否有未经授权、不掌握密码的人接触并修改数据与程序;,检查上机记录,查明有无异常情况,系统故障是否能及时排除;,审阅系统操作管理制度,查明人员的工作职责和权限是否适当划分。,实地观察系统运行状况,检查系统运行是否正常;,审阅系统管理制度,查明是否制定了计算机软、硬件维护制度,制度是否符合内部控制,是否得到有效执行;,检查系统有关修改的文档资料,查明修改是否按规程进行,文档是否齐备。,二、商品化会计软件的开发审计,商品化会计软件评审的相关规定,1989年始商品化会计软件必须由财政部门进行评审,1994年财政部颁布商品化会计核算软件评审规则,2000年以来,会计软件的评审原则上不再由政府主管部门进行,商品化会计软件开发审计,商品化会计软件公司对开发过程的自我控制,软件功能符合财政部门的要求,提供必要的供审计使用的接口,用户在选择商品化会计软件时对软件的功能进行必要的审查,对存在的问题要求软件公司改进或制定相应的管理制度进行控制,不能出于自身的“考虑”,对软件公司的产品提出设置非法功能的要求,第六节 计算机审计软件,计算机审计软件的种类,会计数据接口标准及被审单位计算机会计信息系统数据的采集,计算机审计软件的功能,利用办公自动化软件辅助审计,一、计算机审计软件的种类,通用审计软件,根据会计业务的共性设计的适用于对各类或多数计算机会计信息系统审计的计算机程序,通常用于同一行业所有被审的计算机会计信息系统的审计。,专用审计软件,为特定被审计的计算机会计信息系统,或为执行特定审计任务设计的审计软件。,目前我国应用的主要审计软件,审计法规管理系统,审计抽样软件,工具箱式通用审计软件,以表格为模型的审计软件,为在特定条件下完成特定任务的各种专用审计软件,二、会计数据接口标准及被审单位计算机会计信息系统数据的采集,会计数据接口标准,应用GB/T19581-2004信息技术 会计核算软件数据接口标准输出的会计数据进行计算机审计的过程与方法,会计数据接口标准,GB/T19581-2004信息技术 会计核算软件数据接口国家标准的制定,GB/T19581-2004信息技术 会计核算软件数据接口国家标准的体系结构,GB/T19581-2004信息技术 会计核算软件数据接口国家标准的应用,应用GB/T19581-2004信息技术 会计核算软件数据接口标准输出的会计数据进行计算机审计的过程与方法,会计数据加工成审计数据的基本原理,如何接收符合GB/T19581-2004信息技术 会计核算软件数据接口的会计数据,数据接入格式与数据导入,接收数据接口标准输出会计数据的管理和使用策略,三、通用审计软件的功能,审计资源管理,机构管理,业务项目管理,会计资料与数据管理,客户基本情况,会计数据,审计计划,业务委托,审计计划,审计工具,数据查询,法规查询,审计抽样,计算与汇总,分析性符合,审计标识,审计跟踪,符合性测试,内控评估,符合性测试,管理建议书,实质性测试,报表项目及期后事项测试,合并报表,审计终结,审计调整与汇总,审计完成,编制审计报告,三级复核,四、利用办公自动化软件辅助审计,Word和Excel在出具审计报告时的结合应用,利用电子表格软件Excel辅助审计编制工作底稿,利用Excel辅助分析性复核,第七节 计算机网络环境下的审计,计算机网络环境下会计信息系统的特点与风险,电子商务环境下会计信息系统的内部控制及审计的重点,计算机网络环境下会计信息系统审计应考虑的问题,注册会计师网上誉证业务(,CPA-,WebTrust,),一、计算机网络环境下会计信息系统的特点与风险,特点,会计数据共享,会计功能共享,会计数据分布式输入,会计数据安全性要求高,风险,物理风险,对会计信息保密性的破坏,对会计信息完整性的破坏,对系统运行的干扰,二、电子商务环境下会计信息系统内部控制审计的重点,内部控制的目标是合理保证经营活动的效果和效益、财务报告的可靠性和相关法律法规的遵循。在电子商务环境下,控制目标的实现,取决于电子商务环境下信息系统的,安全性,。,电子商务环境下信息系统内部控制的首要控制目标,是保证电子商务环境下信息系统的安全。具体表现在满足以下要求:,对电子商务环境下信息系统的质量及安全要求,包括信息的机密性、完整性、可用性等;,对电子商务环境下信息系统的经营性要求,包括系统运行的效率和效果、信息的可靠性和法令的遵循。,所以,电子商务环境下信息系统内部控制审计的重点在于信息系统的安全性和效益性。,三、计算机网络环境下会计系统审计应考虑的问题,审计范围的问题,审计方式的选择,实时审计,远程审计,审计方法的选择,受控处理法和模拟单位法的应用,四、注册会计师网上誉证业务,(CPA-WebTrust),注册会计师根据既定的标准对开展电子商务的网站在经营业务披露、信息安全性、交易完全性等方面进行测试,对符合标准的网站签发电子鉴证的一种业务。,背景与发展状况,注册会计师网上誉证业务流程,网上誉证业务产生的背景,电子商务发展迅速,但存在效益、安全合法问题,电子商务可提供网上交易和管理等全过程的服务,具有广告宣传、咨询洽谈、网上订购、网上支付、电子账户、服务传递、意见征询、交易管理等各项功能,由于信息传递方式和人们所习惯的物质交易不同,加以的有效性、安全性和厂商的信誉,以及对纠纷的处理,成为人们最关心的问题,网上誉证业务的提出,美国注册会计师协会(AICPA)和加拿大会计师协会(CICA)为解决顾客对安全和隐私问题的担心,提出网上誉证(WebTrust)计划。,1997年9月发起网上誉证业务。,1999年6月提出“网上誉证准则”第一稿;,1999年底提出第二稿:针对“企业对消费者(B2C)”模式下,电子商务中存在的安全和合法问题作出反应;,2001年1月1日提出第三稿:颁布CPA 从事网上誉证业务的资格。同时在英格兰、苏格兰、澳大利亚等国家和地区推广网上誉证业务。,网上誉证业务流程,管理当局声明,获得注册会计师的电子印,继续持有注册会计师的电子印鉴,管理当局声明,电子商务网站的管理部门应就特定时期内,对“注册会计师网上誉证准则”所要求的三个方面,向具有网上誉证资格的执业注册会计师发表声明,交易业务和交易的安全性:已披露所从事的业务和为交易所做的保密措施,并依照所披露的措施进行交易。,交易的真实性:已采取有效的控制手段,以确保消费者通过电子商务进行的交易是按照双方认定的协议来旅行并开具账单的。,客户信息的安全性:已采取有效的控制手段,确保消费者在电子商务中提供的个人信息不会被用于和企业无关的事项,获得注册会计师的电子印,具有网上誉证执业资格的注册会计师在执业准则的指导下,对企业的声明进行必要的测试,并出具意见书。,企业必须达到注册会计师往上誉证准则规定的要求,并满足以下两个条件,才能获得注册会计师的电子印鉴:,聘请具有网上誉证执业资格的注册会计师,获得注册会计师签发的无保留意见书,继续持有注册会计师的电子印鉴,企业聘请的注册会计师必须定期对企业声明进行坚定,从而更新鉴定意见书。,注册会计师誉证业务的时间间隔应取决于以下事项:,企业业务的性质和复杂性,网站发生重大变化的频率,企业监控的有效程度,企业为了和“网上誉证准则”保持一致所做的管理控制的变更的有效性,注册会计师的职业判断,思考题,计算机信息系统环境下的审计要经过哪几个主要阶段?它们之间的关系如何?,与IT环境相关的内部控制分类包括哪些方面?其目的及具体目标有哪些?,什么是计算机辅助审计技术?在非计算机信息系统环境下是否能使用计算机辅助审计技术?为什么?,计算机信息系统环境下,实施审计程序可采用哪几种方式?,审计人员对系统开发过程进行审计的目的是什么?审计人员在系统开发审计中应发挥怎样的作用?,审计软件的主要作用是什么?上网查询不同审计软件公司开发的审计软件,进行审计软件功能的比较,讨论通用审计软件应具备哪些基本功能?,举出Excel辅助审计的例子,讨论会计数据接口标准在数据转换中的应用,计算机网络环境下审计方法是否发生变化?,
展开阅读全文