《信息系统审计》第7章

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Information System Audit chapter7,信息系统审计,南京审计学院 主讲教师：吕新民,第7章,第七章 信息系统应用程序审计,应用程序是信息系统的核心。对经济业务的处理是否,合规、合法、正确等，以及应用控制的有效性，都直,接依赖于应用程序。另外，应用程序也是差错与舞弊,最容易发生的地方。,因此需要：对信息系统应用程序实施审计,第一节,应用程序审计内容,从审计角度，对应用程序审计主要包括以下几方面：,一、,审查程序控制是否健全有效,主要包括：,1、,程序输入控制的审计,输入控制措施？,审查内容：,程序的输入部分是否编制了控制,措施；控制措施能否保证未经授权批准,的业务不能输入计算机；经过授权批准,的业务能否完整、准确地输入计算机中。,审查内容：,是否建立了必要的处理控制措施；,控制措施能否保证输入计算机中的正确,业务被完整准确地处理；对输入环节的,不正确业务能否检查出来，并拒绝处理。,2、,程序中处理控制的审计,处理控制措施？,3、,程序中输出控制的审计,输出控制措施？,审查内容：,是否建立了必要的输出控制措施；,经计算机处理的数据能否按被审计单位,的要求完整、准确地输出。,二、,审查程序的合法性,审查内容：,审查程序中是否含有非法的编码。即,为了舞弊目的而设计的编码。,三、,审查程序编码的正确性,审查内容：,审查程序编码是否有错误。即无意造,成的执行错误功能的编码。,错误编码的影响：,可能会使会计业务进行错误处,理，或错误地计算成本、税金、利润等。,程序编码错误的主要原因有：,1、,目标和任务不明确；,2、,系统设计差错；,3、,程序设计说明书错误；,4、,程序语法或逻辑错误。,四、,审查程序的有效性,审查内容：,审查程序中是否含有无效的或效率较,差的编码。,无效的或效率较差的编码的影响：,降低系统的运,行效率。,程序的运行效率与详细设计阶段所确定的算法效,率直接有关。,审查程序运行效率，主要是查明当把详细设计转,变为源程序时，,是否遵循了下列指导原则：,在具体编写程序前应简化算术表达式及逻辑表,达式；,细心地分析多层嵌套循环，以确定能否把一些,语句或表达式移到循环体之外；,尽量避免采用多维数组；,尽量避免采用指针及复杂的表；,采用“快”的算法；,不要把不同的数据类型混在一起；,只要可能就采用整形数的算法运算和布尔表达,式。,第二节,应用程序审计方法,如何对应用程序实施审计？涉及：,应用程序审计方法,对,应用程序实施审计可采用,：,手工,审计方法：如,程序编码检查法、程序运行记,录检查法、程序运行结果检查法等。,计算机辅助审计方法：即,利用计算机对被审程序,进行审查，以确定其处理和控制功能是否可,靠的方法。,一、,程序编码检查法,程序编码检查法：,指对被审程序的指令逐条加以,审查，以验证程序的合法性、完整性和程序,逻辑的正确性。,通过该方法，审计人员可能发现下列情况：,（1）,程序中没有设计预定的控制功能，或者控,制无效或效果不大；,（2）,程序应变能力差，即没有考虑例外的情况,或特珠情况；,（3）,程序中含有“特洛依木马”，即程序员设计,了便于营私舞弊的指令或子程序。,该方法一般适用于审查自行开发的信息系统软件,（如会计软件）的下列几种情况：,（1）,要详细了解一个高度敏感或重要的程序；,（2）,要详细了解一个相对简单程序或程序系列；,（3）,要详细查明某一程序控制的实现；,（4）,要详细了解某特定程序中的某一计算方法,或某一特定的处理；,（5）,要证实某一程序是否按程序说明书和逻辑,流程图编写。,采用程序编码检查法检查处理和控制功能的可能,性和有效性，,通常决定于下列因素：,（1）,被审程序的复杂性；,（2）,被审程序编写的语言和编写的方式，即可,读性；,（3）,审计人员对被审程序语言及编程技术的精,通程度。,主要优点：,可以详细地了解程序中每一个处理和,控制功能，程序中各种错弊都可以使用该方,法检查。,主要缺点：,要求审计人员具有较高的编程语言和,编程技术的知识，且相当费时。,另外，,还面临所审查的程序与被审计单位实际使,用的程序是不同的的风险。,针对该风险，,采用该方法进行审查之前，应检查,程序的一般控制是否健全有效，对此，,可采用下,列方法：,（1）,检查被审程序变动控制、接触控制是否正,常；,（2）,如被审单位备有程序管理登记簿，则应加,以复核；,（3）,应采用突击审计的方式，拷贝被审系统正,在运行的被审程序进行审查。,二、,程序运行记录检查法,程序运行记录：,包括操作的起止时间、中断、故,障、终端等方面的信息，由系统自动记录。,运用该方法：,可以推测被审程序的处理和控制功,能是否正常。如突然中断则可能说明程序中,语法或逻辑等有错误。,三、,程序运行结果检查法,程序运行结果检查法：,指对数据处理的结果进行,检查。通过对系统打印输出结果的检查，来,推断被审程序处理功能的正确性和控制措施,的健全有效性。,主要优点：,审计技术简单，审计成本较低；,主要缺点：,只能推测系统中的控制与处理功能是,否正常，实际究竟如何，还必须采用其它的,审计方法进一步审查。,数据处理的打印输出主要包括：,错误清单、业务清单、,记帐凭证、日记帐、分类帐、会计报表以及其它,各种报表，等。,其中错误清单具有下列用途：,（1）,错误清单中记录的错误的多寡，可作为评,价被审程序内部控制有效性的主要依据；,（2）,根据错误清单上所列的错误类型及其处理,方法，可找出造成错误的原因及其处理是,否适当；,（3）,若以手工抽查计算结果与计算机输出内容,不符，而错误清单中未列有该错误时，被,审程序的内部控制可能还存在若干缺陷。,主要优点：,审计人员不必具备较高的计算机知识，,只需熟悉手工审计的技巧；,主要缺点：,所获得的输出可能并非被审程序的实,际处理结果；被审程序中的错弊不可能全部,出现在一份或多份的打印输出资料上。,四、,检测数据法,检测数据法：,指审计人员把一批预先设计好的检,测数据，利用被审程序加以处理，并把处理,的结果与预期的结果作比较，以确定被审程,序的控制与处理功能是否恰当、有效。,该方法的工作原理可参见下图：,检测业务数据,被审程序,手工处理,被审程序处理结果,预期结果,比较核对,检测数据法可用来审查信息系统的全部程序，也,可用来审查个别程序，还可以用来审查某个程序,中的某个或某几个控制措施，以确定这些控制是,否能发挥有效功能。,检测数据法一般适用于下列三种情况：,（1）,被审信息系统的关键控制建立在计算机程,序中；,（2）,被审信息系统的可见审计线索有缺陷，难,以由输入直接跟踪到输出；,（3）,被审单位信息系统程序较多，用该方法比,直接用手工方法进行审查更经济，效率更,高。,该方法的关键问题：,选择或设计合适的检测数据。,检测数据按其来源可分为：,（1）,被审单位以往设计的检测数据；,（2）,由审计人员自行设计的检测数据。一般来,说，,可采用下列几种方式自行设计检测数,据：,A、,根据被审程序控制及处理功能和主文,件，设计若干虚拟的业务，并逐笔制,作成模拟检测数据；,B、,根据被审计单位以前月份或年度的输,入数据，稍加修改后利用；,C、,运用审计软件产生检测数据。,无论检测数据的来源如何，,检测数据中应包括下,列两类业务：,（1）,正常的、有效的业务，以确定被审程序对,有效数据的处理是否正确；,（2）,不正常的、无效的业务，以确定被审程序,能否将这些业务检测出来，拒绝接受，并,给出错误信息，以便修改。,主要优点：,（1）,对审计人员的计算机知识和技能的要求不,太高；,（2）,适用范围较广；,（3）,在审计线索间断或不完整的情况下，使用,该方法也能对程序的功能作出评价；,（4）,该方法是一种抽样审计方法，用于测试比,较复杂的被审程序比较经济。,主要缺点：,（1）,难以保证测试数据的全面性，因而难以对,被审程序做出全面的评价；,（2）,如果利用被审单位实际运行的程序和文件,处理模拟检测数据，可能破坏被审单位的,主文件；,（3）,难以保证被审的程序就是被审单位在整个,被审期间实际使用的程序。,对策：,采取突击审计的方式；应检查系统,的一般控制是否健全、有效。,五、,整体检测法,整体检测法：,指审计人员在被审的信息系统中建,立一个虚拟的实体（如虚拟的部门、车间、,经销商、顾客、职员、帐户或其它任何会计,信息的累计单位），然后利用被审程序，在,正常的业务处理时间里，与真实业务一起，,对此虚拟实体建立的有关检测业务由同一被,审程序进行处理，并把被审程序对这些检测,业务处理的结果与预期的结果进行比较，以,确定被审程序的处理和控制功能是否恰当、,可靠的方法。,该方法的工作原理可参见下图：,实际业务数据,虚拟实体业务数据,被审程序或系统,手工处理,实际业务处理结果,虚拟业务处理结果,预期结果,比较核对,采用整体测试法的步骤：,（1）,确定需要审查的程序以及需要审查的处理,及控制功能；,（2）,虚拟一个实体；,（3）,设计与虚拟实体有关的业务，并用手工计,算出预期的结果；,（4）,将虚拟实体的业务数据与被审计单位的实,际业务数据一并输入被审系统，由被审程,序进行处理；,（5）,将被审程序的处理结果与手工计算的预期,结果进行比较，作出评价；,（6）,消除虚拟实体的业务数据，以免影响真实,数据处理结果的正确性。,采用整体检测法两种常见的使用方式：,（1）,让检测业务如真实业务一样从头到尾通过,整个系统，得到最终的输出。,该方法下，审计人员要准备一些会计分录,等冲销检测业务，以防影响被审计单位数,据文件的正确性。,（2）,对被审信息系统的被审程序作适当的修改，,以便检测业务在进入总分类帐或重要的输,出之前被删除，不致影响被审计单位的正,常业务和财务报表。,该方法成本较高，也很困难，较少采用。,主要优点：,（1）,检测数据可与被审计单位日常处理的真实,业务一起输入，并进行处理，较其它审计,方法更为经济有效；,（2）,可根据需要随时输入检测数据，从而能够,进行经常性的直接测试，保证被审程序是,实际运行的程序，保证审计结果的可靠性；,（3）,应用范围广泛。既适用于在线实时系统，,也适用于批处理系统。,主要缺点：,（1）,如果没有及时或完全消除检测数据，可能,会影响被审计数据文件和财务报表正确性；,（2）,如果检测数据选择不全面，则不能审查出,被审程序中的全部错弊。另外，如果被审,计单位的数据处理人员知道检测业务，也,可能会加以干预，从而影响审计结果。,六、,程序编码比较法,程序编码比较法：,指比较两个独立保管的被审程,序版本，以确定被审程序是否经过了改变。,该方法：,不仅适用于源程序编码之间的比较，也,可运用于目标程序码之间的比较。,确定下列一般控制是否被确实执行，可采用程序,编码比较法，进行符合性测试：,（1）,目前正在使用的被审程序未遭非法的改动；,（2）,所有经核准的程序变动，均有适当的控制；,（3）,程序变动的原因及其预期影响均作成适当,的文件记录；,（4）,被审计单位规定的程序管理制度，确已被,正确执行。,程序编码比较法审查程序的一般步骤：,（1）,审计人员控制一个经审查其处理和控制功,能恰当的被审程序副本；,（2）,取得被审计单位正在运行的被审程序（,注,意点：,应确保为在用程序）；,（3）,取得比较两个程序的软件；,（4）,在被审计单位或审计人员的计算机上进行,比较。若有差异，应证实是否是经过批准,的改动；,（5）,评价检测结果。,该方法前提条件：,以前对此应用程序进行过审查，,并证实它原来的处理和控制功能是恰当、有,效的。因此，这种方法只能用于再次审计。,主要优点：,技术简单，使用方便，可以检查出被,审程序任何的修改。,主要缺点：,如果程序改动较大，要分析和评价发,现的差异，是困难和费时的。另外，如果比,较的两个时点期间程序已经过了非法改变并,已恢复的话，运用此法则无法检查出来。,七、,受控处理法,受控处理法：,指审计人员通过被审程