1、计算机会计信息系统内部控制与审计1第1页课程目 掌握和了解在计算机和网络环境中会计核实 职能是怎样实现和完成;能以信息技术发展眼光去了解会计;能够应用分析和设计工具正确地描述不一样时 期不一样企业会计数据和信息处理流程;能够依据会计核实和管理要求确定会计信 息系统基本功效;能够依据会计核实和控制要求提出内部控 制方案;能够正确地了解和评价电算化会计信息系统。2第2页第一节第一节 计算机审计目标、内容与审计程序计算机审计目标、内容与审计程序第第第第 七七七七 章章章章 计算机审计计算机审计第四节第四节 计算机会计信息系统审计技术方法计算机会计信息系统审计技术方法第三节第三节 计算机会计信息系统内
2、部控制与审计计算机会计信息系统内部控制与审计第二节第二节 计算机会计信息系统审计计划制订计算机会计信息系统审计计划制订第五节第五节 计算机审计软件计算机审计软件第六节第六节 计算机舞弊伎俩与防范计算机舞弊伎俩与防范3第3页第一节 计算机审计目标、内容与审计程序 审计线索对审计极为主要。在计算机信息系统环境下,审计线索对审计极为主要。在计算机信息系统环境下,账务处理全部由计算机系统按一定程序指令完成,手工系统账务处理全部由计算机系统按一定程序指令完成,手工系统下审计线索基本消失。下审计线索基本消失。(二)对审计线索影响(一)对审计环境影响1 1、审计人员除了要与知道审计术语财务管理人员和会计专、
3、审计人员除了要与知道审计术语财务管理人员和会计专家进行交流,还须同使用另一个行业术语电子数据处理家进行交流,还须同使用另一个行业术语电子数据处理管理人员和计算机教授进行交流。管理人员和计算机教授进行交流。2 2、在信息化社会里控制和审计客观要求下,审计客户将、在信息化社会里控制和审计客观要求下,审计客户将遍布每个行业和各类系统,庞大审计需求将造成审计巨遍布每个行业和各类系统,庞大审计需求将造成审计巨大压力。大压力。一、计算机信息系统对审计影响4第4页 计算机系统对审计线索详细影响以下:1.原始凭证一旦转换到机器可读介质上,就不再在处理过程中使用。2、在一些系统中(如联机系统),传统原始凭证可能
4、不复存在。3、在主文件中可能看不出计算机汇总所依据明细数据,而明细数据作为过程文件已不存在。4、数据处理过程不一定提供业务日常统计,若要提供需要采取专门程序。5、系统不一定或不可能打印出全部原始统计,普通只打印汇总结果。6、保留在光电介质上数据除非依靠计算机和应用程序,不然无法阅读,而且易于损坏。7、计算机程序和数据处理难以直接观察。第一节 计算机审计目标、内容与审计程序5第5页 因为审计环境、审计线索和审计过程发生改变,因为审计环境、审计线索和审计过程发生改变,手工操作下审计标准和审计准则中一些部分会不再手工操作下审计标准和审计准则中一些部分会不再适用。应建立电子数据处理环境下审计准则。适用
5、。应建立电子数据处理环境下审计准则。(四)对审计准则影响(三)对审计过程和审计内容影响1 1、审计过程分为两个主要阶段:即对计算机系统评价和、审计过程分为两个主要阶段:即对计算机系统评价和对计算机系统所产生会计数据评价,并应以着重评价计算对计算机系统所产生会计数据评价,并应以着重评价计算机系统内部控制为主要内容。机系统内部控制为主要内容。2 2、对计算机程序控制进行测试,以证实其处理正当性、正、对计算机程序控制进行测试,以证实其处理正当性、正确性、完整性及系统安全可靠性是审计重点和前提。确性、完整性及系统安全可靠性是审计重点和前提。第一节 计算机审计目标、内容与审计程序6第6页 审计线索改变要
6、求审计人员重新检验系统审计审计线索改变要求审计人员重新检验系统审计步骤。因为数据处理系统复杂性和数据集中,要求步骤。因为数据处理系统复杂性和数据集中,要求审计人员熟悉电子数据处理系统计划、程序和统计。审计人员熟悉电子数据处理系统计划、程序和统计。(六)对审计人员影响(五)对审计技术和审计方法影响1 1、计算机审计方法是常规手工系统审计方法和电算化系统、计算机审计方法是常规手工系统审计方法和电算化系统审计方法结合。审计方法结合。2 2、对计算机信息系统审计基本方法可分为:、对计算机信息系统审计基本方法可分为:绕过计算机审绕过计算机审绕过计算机审绕过计算机审计、穿过计算机审计和使用计算机审计三种计
7、、穿过计算机审计和使用计算机审计三种计、穿过计算机审计和使用计算机审计三种计、穿过计算机审计和使用计算机审计三种。第一节 计算机审计目标、内容与审计程序7第7页二、计算机审计目标审计总体目标审计总体目标是对被审计单位会计报表正当性、是对被审计单位会计报表正当性、公允性和会计处理方法一贯性发表审计意见。公允性和会计处理方法一贯性发表审计意见。计算机审计详细目标包含:计算机审计详细目标包含:1.1.系统正当性系统正当性2.2.系统安全性系统安全性3.3.系统完整性系统完整性4.4.系统效率性系统效率性5.5.系统经济性和效益性系统经济性和效益性第一节 计算机审计目标、内容与审计程序8第8页三、计算
8、机审计内容(一一)、计算机审计含义、计算机审计含义1 1、以计算机信息系统为对象审计。、以计算机信息系统为对象审计。2 2、以计算机技术为伎俩进行审计。、以计算机技术为伎俩进行审计。3 3、用手工或电算化方法、技术和程序对电算化、用手工或电算化方法、技术和程序对电算化或手工信息系统所进行审计。或手工信息系统所进行审计。在我国,计算机审计主要指前两方面内容。在我国,计算机审计主要指前两方面内容。(二)、计算机审计内容(二)、计算机审计内容1 1、对计算机会计信息系统进行审计、对计算机会计信息系统进行审计第一节 计算机审计目标、内容与审计程序9第9页(二)、计算机审计内容(二)、计算机审计内容1
9、1、对计算机会计信息系统进行审计、对计算机会计信息系统进行审计(1).(1).对内部控制系统审计对内部控制系统审计(2).(2).对系统开发审计对系统开发审计(3).(3).对系统应用程序审计对系统应用程序审计(4).(4).对系统数据文件审计对系统数据文件审计2 2、以计算机作为审计工具进行审计、以计算机作为审计工具进行审计(1).(1).手工会计信息系统计算机辅助审计手工会计信息系统计算机辅助审计(2).(2).计算机会计信息系统计算机辅助审计计算机会计信息系统计算机辅助审计(3).(3).审计项目管理系统计算机辅助审计技术。包含利用计算审计项目管理系统计算机辅助审计技术。包含利用计算机编
10、制审计计划、利用计算机分析审计结果、利用计算机建机编制审计计划、利用计算机分析审计结果、利用计算机建立审计数据库、利用计算机编制审计工作底稿。立审计数据库、利用计算机编制审计工作底稿。第一节 计算机审计目标、内容与审计程序10第10页四、计算机会计信息系统审计程序计算机会计信息系统审计程序与手工会计信息系统审计计算机会计信息系统审计程序与手工会计信息系统审计程序基本相同包含以下三个主要阶段:程序基本相同包含以下三个主要阶段:1 1、计划准备阶段。计划准备阶段。计划准备阶段。计划准备阶段。依据审计目标对被审计单位计算机会计依据审计目标对被审计单位计算机会计信息系统进行初步调查、组织计算机审计小组
11、、发出审计通信息系统进行初步调查、组织计算机审计小组、发出审计通知书或审计业务约定书、编制审计计划等。知书或审计业务约定书、编制审计计划等。2 2、审计实施阶段审计实施阶段审计实施阶段审计实施阶段。对被审计单位内部控制制度建立及恪守。对被审计单位内部控制制度建立及恪守情况进行符合性测试,对系统处理功效及处理结果进行实质情况进行符合性测试,对系统处理功效及处理结果进行实质性测试。性测试。3 3。审计完成阶段审计完成阶段审计完成阶段审计完成阶段。整理、评价搜集到审计证据,复核审计。整理、评价搜集到审计证据,复核审计工作底稿,编写审计汇报。工作底稿,编写审计汇报。第一节 计算机审计目标、内容与审计程
12、序11第11页第二节 计算机会计信息系统审计计划制订审计计划审计计划审计计划审计计划是指为了完成各项审计任务,到达预期审计目标,是指为了完成各项审计任务,到达预期审计目标,在执行审计程序之前编制工作计划。在执行审计程序之前编制工作计划。审计计划包含总体审计计划和详细审计计划。审计计划包含总体审计计划和详细审计计划。总体审计计划总体审计计划总体审计计划总体审计计划是对审计预期范围和实施方式所做规划,是是对审计预期范围和实施方式所做规划,是注册会计师从接收审计委托到出具审计汇报整个过程基本工作注册会计师从接收审计委托到出具审计汇报整个过程基本工作内容综累计划内容综累计划。详细审计计划详细审计计划详
13、细审计计划详细审计计划是依据总体审计计划制订,对实施总体审计计划是依据总体审计计划制订,对实施总体审计计划所需要审计程序性质、时间和范围所做详细规划和说明。所需要审计程序性质、时间和范围所做详细规划和说明。详细审计计划包含审计目标、审计步骤、执行人及执行时间、审详细审计计划包含审计目标、审计步骤、执行人及执行时间、审计工作底稿索引号及其它相关内容。计工作底稿索引号及其它相关内容。一、审计计划及其作用12第12页1 1、设计审计程序(应该执行任务和步骤)、设计审计程序(应该执行任务和步骤)2 2、制订检验清单、制订检验清单3 3、分析风险、分析风险4 4、执行分析性复核程序、执行分析性复核程序5
14、 5、日程安排和费用预算、日程安排和费用预算二、利用计算机编制审计计划第二节 计算机会计信息系统审计计划制订13第13页三、制订计算机审计计划注意方面(一一)、计算机信息系统独特特征、计算机信息系统独特特征1 1、缺乏交易轨迹。比如可能缺乏输入文件、缺乏可见、缺乏交易轨迹。比如可能缺乏输入文件、缺乏可见业务轨迹、缺乏可见输出。业务轨迹、缺乏可见输出。2 2、同类交易处理一致性。、同类交易处理一致性。3 3、缺乏职责分工。、缺乏职责分工。4 4、在特定方面发生错误与舞弊行为可能性较大。、在特定方面发生错误与舞弊行为可能性较大。5 5、交易授权、执行与手工处理存在差异。、交易授权、执行与手工处理存
15、在差异。6 6、其它内部控制依赖于计算机处理。、其它内部控制依赖于计算机处理。7 7、有利于加强管理监督。、有利于加强管理监督。8 8、有利于计算机辅助审计技术利用。、有利于计算机辅助审计技术利用。第二节 计算机会计信息系统审计计划制订14第14页第三节 计算机会计信息系统内部控制与审计1 1 1 1。内部控制含义。内部控制含义。内部控制含义。内部控制含义内部控制内部控制内部控制内部控制是企业经营者为维护企业资产完整性,确保会计统计是企业经营者为维护企业资产完整性,确保会计统计正确性和可靠性,以及对经济活动进行综合计划、调整和评正确性和可靠性,以及对经济活动进行综合计划、调整和评价而制订制度、
16、组织方法和手续总称。价而制订制度、组织方法和手续总称。内部控制既是被审计单位对其经济活动进行组织、制约、考评和内部控制既是被审计单位对其经济活动进行组织、制约、考评和调整主要工具,又是审计人员用以确定审计程序主要依据。调整主要工具,又是审计人员用以确定审计程序主要依据。2 2 2 2。内部控制分类。内部控制分类。内部控制分类。内部控制分类依据控制实施范围分为依据控制实施范围分为:普通控制普通控制普通控制普通控制和和应用控制应用控制应用控制应用控制。依据控制意图分为依据控制意图分为:预防性控制预防性控制预防性控制预防性控制、检验性控制检验性控制检验性控制检验性控制和和纠正性控制纠正性控制纠正性控
17、制纠正性控制。依据控制所采取伎俩分为依据控制所采取伎俩分为:手工控制和程序化控制。:手工控制和程序化控制。依据实施控制部门分为依据实施控制部门分为:电算化部门控制和用户部门控制。:电算化部门控制和用户部门控制。一、计算机会计信息系统内部控制及分类15第15页普通控制有时称管理控制,是指对计算机会计信息系统组织、普通控制有时称管理控制,是指对计算机会计信息系统组织、开发、应用环境等方面进行控制。开发、应用环境等方面进行控制。(一一一一)、普通控制目标及详细目标、普通控制目标及详细目标、普通控制目标及详细目标、普通控制目标及详细目标目标目标目标目标是建立对计算机信息系统活动整体控制框架,并对到达是
18、建立对计算机信息系统活动整体控制框架,并对到达内部控制整体目标提供合理依赖程序。内部控制整体目标提供合理依赖程序。详细目标详细目标详细目标详细目标以下:以下:1.1.经过普通或特殊授权规则确保相关活动开展具备正当手续。经过普通或特殊授权规则确保相关活动开展具备正当手续。2.2.负责资产保管人员无权接触统计资产情况信息处理。负责资产保管人员无权接触统计资产情况信息处理。3.3.负责信息处理人员不负责执行或同意经济业务。负责信息处理人员不负责执行或同意经济业务。4.4.电子数据处理部门内部对不相容职能进行适当分离。电子数据处理部门内部对不相容职能进行适当分离。5.5.电子数据处理部门不能纠正电子数
19、据部门以外错误。电子数据处理部门不能纠正电子数据部门以外错误。二、普通控制第三节 计算机会计信息系统内部控制与审计16第16页(二二二二)、普通控制内容、普通控制内容、普通控制内容、普通控制内容1 1、组织与管理控制组织与管理控制组织与管理控制组织与管理控制。基本要求是权责划分和职能分离。基本要求是权责划分和职能分离。包含电算部门与用户部门职责分离,电算包含电算部门与用户部门职责分离,电算部门内部职责分离,人事控制,业务授权。部门内部职责分离,人事控制,业务授权。2 2、应用系统开发与维护控制应用系统开发与维护控制应用系统开发与维护控制应用系统开发与维护控制。为确保计算机。为确保计算机AISA
20、IS开发过程中各开发过程中各项活动正当性和有效性而设计控制。项活动正当性和有效性而设计控制。3 3、计算机操作控制计算机操作控制计算机操作控制计算机操作控制。用于控制系统操作,其目标是经过标准。用于控制系统操作,其目标是经过标准计算机操作来确保信息处理高质量、降低差错发生和未经同意计算机操作来确保信息处理高质量、降低差错发生和未经同意而使用数据和程序机会。而使用数据和程序机会。包含操作计划、机房守则、操作规程、上机日志统计。包含操作计划、机房守则、操作规程、上机日志统计。二、普通控制第三节 计算机会计信息系统内部控制与审计17第17页(二二二二)、普通控制内容、普通控制内容、普通控制内容、普通
21、控制内容4 4、硬件和软件控制硬件和软件控制硬件和软件控制硬件和软件控制。经过硬件、软件控制来尽可能发觉错误。经过硬件、软件控制来尽可能发觉错误。5 5、系统安全控制系统安全控制系统安全控制系统安全控制。是指预防影响系统安全原因危及系统安全,发。是指预防影响系统安全原因危及系统安全,发觉系统中安全问题,并处理这些问题使系统恢复正常办法及实施。觉系统中安全问题,并处理这些问题使系统恢复正常办法及实施。包含硬件安全控制、程序与数据安全控制、环境安全控制、防病毒包含硬件安全控制、程序与数据安全控制、环境安全控制、防病毒软件接触系统等。软件接触系统等。6 6、系统文档控制系统文档控制系统文档控制系统文
22、档控制。要建立文档管理制度及安全保密制度。要建立文档管理制度及安全保密制度。二、普通控制第三节 计算机会计信息系统内部控制与审计18第18页(三三三三)、普通控制测试方法与重点、普通控制测试方法与重点、普通控制测试方法与重点、普通控制测试方法与重点1 1、普通控制测试方法普通控制测试方法普通控制测试方法普通控制测试方法。可分为手工和计算机审计技术,而以手工。可分为手工和计算机审计技术,而以手工方法为主。方法为主。普通而言,测试组织与管理控制、系统开发和维护控制可用普通而言,测试组织与管理控制、系统开发和维护控制可用手工方手工方手工方手工方法法法法;计算机操作控制、数据和程序控制可用;计算机操作
23、控制、数据和程序控制可用手工方法手工方法手工方法手工方法,同时也需要,同时也需要计算机辅助审计技术计算机辅助审计技术计算机辅助审计技术计算机辅助审计技术;系统应用软件控制主要是采取;系统应用软件控制主要是采取计算机辅助审计算机辅助审计算机辅助审计算机辅助审计技术计技术计技术计技术。2 2、测试重点测试重点测试重点测试重点。系统开发测试是普通控制测试重点。系统开发测试是普通控制测试重点。二、普通控制第三节 计算机会计信息系统内部控制与审计19第19页应用控制是系统会计应用方面详细控制。应用控制是系统会计应用方面详细控制。(一一一一)、应用控制目标及详细目标、应用控制目标及详细目标、应用控制目标及
24、详细目标、应用控制目标及详细目标目标目标目标目标是对会计应用建立详细控制过程,从而确保全部经济业务是对会计应用建立详细控制过程,从而确保全部经济业务都经过授权和统计,并进行完整、准确和及时处理。都经过授权和统计,并进行完整、准确和及时处理。详细目标详细目标详细目标详细目标以下:以下:1.1.全部经允许处理数据均应转换到介质上并加以处理,而且处全部经允许处理数据均应转换到介质上并加以处理,而且处理结果可经过适当方式加以输出。理结果可经过适当方式加以输出。2.2.全部输入、转换、处理和输出均应政党时间里准确地进行。全部输入、转换、处理和输出均应政党时间里准确地进行。3.3.全部系统输出均反应为经同
25、意有效经济业务。全部系统输出均反应为经同意有效经济业务。三、应用控制第三节 计算机会计信息系统内部控制与审计20第20页(二二二二)、应用控制内容、应用控制内容、应用控制内容、应用控制内容1 1、输入控制输入控制输入控制输入控制。输入控制用于确保:第一,经济业务在计算机处理。输入控制用于确保:第一,经济业务在计算机处理之前经过适当同意;第二,经济业务被准确地转换为机器可读形式之前经过适当同意;第二,经济业务被准确地转换为机器可读形式并统计于计算机数据文件;第三,经济业务没有丢失或不适当地增并统计于计算机数据文件;第三,经济业务没有丢失或不适当地增加、复制、改动;第四,拒绝、更正不适当经济业务,
26、必要时,及加、复制、改动;第四,拒绝、更正不适当经济业务,必要时,及时重新补救。时重新补救。包含以下几个方面:包含以下几个方面:数据采集控制数据采集控制数据采集控制数据采集控制。办法有用户部门内部职责分离、标准化凭证格式、。办法有用户部门内部职责分离、标准化凭证格式、制订凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制订凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制等。制等。数据输入控制数据输入控制数据输入控制数据输入控制。注意凭证输入过程中可能出现错误及对应控制办法。注意凭证输入过程中可能出现错误及对应控制办法。三、应用控制第三节 计算机会计信息系统内部控制与审计21第21
27、页(二二二二)、应用控制内容、应用控制内容、应用控制内容、应用控制内容2 2、计算机处理与数据文件控制计算机处理与数据文件控制计算机处理与数据文件控制计算机处理与数据文件控制。用于确保:第一,经济业务。用于确保:第一,经济业务(包含系包含系统生成统生成)由计算机正确地处理;第二,经济业务没有丢失或不适当地由计算机正确地处理;第二,经济业务没有丢失或不适当地增加、复制、改动;第三,计算机处理错误被及时地判别并更正。增加、复制、改动;第三,计算机处理错误被及时地判别并更正。包含以下几个方面:包含以下几个方面:业务时序控制业务时序控制业务时序控制业务时序控制。数据有效性检验数据有效性检验数据有效性检
28、验数据有效性检验。办法主要有文件标签校验、业务编码校验、次序校。办法主要有文件标签校验、业务编码校验、次序校验。验。程序化处理有效性检验程序化处理有效性检验程序化处理有效性检验程序化处理有效性检验。发觉错误方法有:计算正确性测试、数据合。发觉错误方法有:计算正确性测试、数据合理性检验、交叉汇总检验、错误更正控制、数据点技术。账务处理系理性检验、交叉汇总检验、错误更正控制、数据点技术。账务处理系统中可采取以下控制方法:余额合理性检验、试算平衡检验、总账和统中可采取以下控制方法:余额合理性检验、试算平衡检验、总账和明细账查对检验。明细账查对检验。三、应用控制第三节 计算机会计信息系统内部控制与审计
29、22第22页(二二二二)、应用控制内容、应用控制内容、应用控制内容、应用控制内容3 3、输出控制输出控制输出控制输出控制。输出控制用于确保:第一,计算机处理输出结果准确无误;输出控制用于确保:第一,计算机处理输出结果准确无误;第二,输出结果仅限于经过同意人员;第三,输出及时地提供给适当经过同第二,输出结果仅限于经过同意人员;第三,输出及时地提供给适当经过同意人员。意人员。输出主要有屏幕输出、打印输出、存入磁性介质、网络传输等方式。输出主要有屏幕输出、打印输出、存入磁性介质、网络传输等方式。主要控制办法有:主要控制办法有:输出授权控制输出授权控制输出授权控制输出授权控制。输入过程控制总数与输出得
30、到控制总数相查对输入过程控制总数与输出得到控制总数相查对输入过程控制总数与输出得到控制总数相查对输入过程控制总数与输出得到控制总数相查对。审校输出结果,检验正确性、完整性。审校输出结果,检验正确性、完整性。审校输出结果,检验正确性、完整性。审校输出结果,检验正确性、完整性。将正常业务汇报与例外汇报中相关数据进行分析对比。将正常业务汇报与例外汇报中相关数据进行分析对比。将正常业务汇报与例外汇报中相关数据进行分析对比。将正常业务汇报与例外汇报中相关数据进行分析对比。设置输出汇报改送登记簿,统计汇报恬送份数、时间、接收人等事项。设置输出汇报改送登记簿,统计汇报恬送份数、时间、接收人等事项。设置输出汇
31、报改送登记簿,统计汇报恬送份数、时间、接收人等事项。设置输出汇报改送登记簿,统计汇报恬送份数、时间、接收人等事项。制订输犯错误纠正和对主要数据进行处理要求。制订输犯错误纠正和对主要数据进行处理要求。制订输犯错误纠正和对主要数据进行处理要求。制订输犯错误纠正和对主要数据进行处理要求。三、应用控制第三节 计算机会计信息系统内部控制与审计23第23页(三三三三)、应用控制测试、应用控制测试、应用控制测试、应用控制测试针对不一样应用控制,能够采取不一样测试方法:针对不一样应用控制,能够采取不一样测试方法:1 1、使用者实施人工控制使用者实施人工控制使用者实施人工控制使用者实施人工控制。假如系统使用者所
32、实施人工控制能够为系统假如系统使用者所实施人工控制能够为系统输入、处理、输出等完整性、准确性和经过同意提供合理确实信,审计人员输入、处理、输出等完整性、准确性和经过同意提供合理确实信,审计人员仅对使用者人工控制进行测试。仅对使用者人工控制进行测试。2 2、系统输出控制系统输出控制系统输出控制系统输出控制。如除了对使用者人工控制进行测试外,还能够对系统如除了对使用者人工控制进行测试外,还能够对系统输出经过人工或计算机辅助审计技术进行测试。这些系统输出可能是光电介输出经过人工或计算机辅助审计技术进行测试。这些系统输出可能是光电介质或打印输出形式。质或打印输出形式。3 3、程序控制程序控制程序控制程
33、序控制。如在某种情况下,对使用者人工控制或系统输出控制测试如在某种情况下,对使用者人工控制或系统输出控制测试是不可能或不可行,此时,审计人员可考虑利用计算机辅助审计技术重新对是不可能或不可行,此时,审计人员可考虑利用计算机辅助审计技术重新对数据或程序进行测试。数据或程序进行测试。对对计算机应用系统处理控制测试计算机应用系统处理控制测试计算机应用系统处理控制测试计算机应用系统处理控制测试是应用控制测试是应用控制测试重点重点重点重点,也是计,也是计算机信息系统环境下审计主要内容。算机信息系统环境下审计主要内容。三、应用控制第三节 计算机会计信息系统内部控制与审计24第24页内部控制评价目标内部控制
34、评价目标内部控制评价目标内部控制评价目标在于评价企业内部控制系统在预防和发觉财务报表在于评价企业内部控制系统在预防和发觉财务报表数据发生重大误述方面作用,并为确定审计程序、范围和重点提供依数据发生重大误述方面作用,并为确定审计程序、范围和重点提供依据。据。对内部控制评价可分三步进行:对内部控制评价可分三步进行:1 1、了解与描述计算机了解与描述计算机了解与描述计算机了解与描述计算机AISAISAISAIS内部控制内部控制内部控制内部控制。对内部了解能够经过问询被审计单位主要管理人员、查阅被审计单位对内部了解能够经过问询被审计单位主要管理人员、查阅被审计单位相关文件统计、观察被审计单位业务活动及
35、其运行情况、考虑以前年相关文件统计、观察被审计单位业务活动及其运行情况、考虑以前年度审计过程中所了解到相关情况及其改变。内部控制描述方法主要有:度审计过程中所了解到相关情况及其改变。内部控制描述方法主要有:调查表法、方案描述阖、流程图法调查表法、方案描述阖、流程图法调查表法、方案描述阖、流程图法调查表法、方案描述阖、流程图法。2 2、符合性测试符合性测试符合性测试符合性测试。是对内部控制在企业中实际恪守及内部控制办法发。是对内部控制在企业中实际恪守及内部控制办法发挥预期作用情况测试。测试检验重点是:必要内部控制是否主要?挥预期作用情况测试。测试检验重点是:必要内部控制是否主要?是是是是否按要求
36、执行否按要求执行否按要求执行否按要求执行?由谁执行?由谁执行?四、内部控制评价第三节 计算机会计信息系统内部控制与审计25第25页2 2、符合性测试符合性测试符合性测试符合性测试。符合性测试步骤:符合性测试步骤:(1).(1).确定符合性测试次序。确定符合性测试次序。(2).(2).确定测试对象。确定测试对象。(3).(3).确定是否有互补测试。确定是否有互补测试。(4).(4).选择测试工具或技术。选择测试工具或技术。(5).(5).设计测试数据。设计测试数据。(6).(6).进行测试。进行测试。(7).(7).分析和评价测试结果。分析和评价测试结果。3 3、内部控制评价内部控制评价内部控制
37、评价内部控制评价。在符合性测试后,依据系统应有内部控制及控制目标对比实际有效内部在符合性测试后,依据系统应有内部控制及控制目标对比实际有效内部控制,对系统内部控制是否完整有效和能够依赖作出评价。控制,对系统内部控制是否完整有效和能够依赖作出评价。系统内部控制信赖程度,决定是否能够较多地依赖和利用内部控制,对系统内部控制信赖程度,决定是否能够较多地依赖和利用内部控制,对应降低应降低实质性测试实质性测试实质性测试实质性测试审计程序数量和范围。审计程序数量和范围。四、内部控制评价第三节 计算机会计信息系统内部控制与审计26第26页第四节 计算机会计信息系统审计技术方法1 1 1 1、系统开发审计含义
38、、系统开发审计含义、系统开发审计含义、系统开发审计含义系统开发审计系统开发审计系统开发审计系统开发审计是审计人员对计算机是审计人员对计算机AISAIS开发过程中各项活动开发过程中各项活动及由此产生系统文档所进行审核与评价。及由此产生系统文档所进行审核与评价。2 2 2 2、系统开发审计目标、系统开发审计目标、系统开发审计目标、系统开发审计目标见见P429P4293 3 3 3、系统开发审计内容、系统开发审计内容、系统开发审计内容、系统开发审计内容(1).(1).(1).(1).系统分析阶段审计。系统分析阶段审计。系统分析阶段审计。系统分析阶段审计。方法见教材方法见教材P429P429。在系统分
39、析阶段,因为新生系统还未设计,审计人员提议易在系统分析阶段,因为新生系统还未设计,审计人员提议易被被接收,审计提议对其它各阶段都有影响。接收,审计提议对其它各阶段都有影响。(2).(2).(2).(2).系统设计阶段审计系统设计阶段审计系统设计阶段审计系统设计阶段审计一、计算机会计信息系统开发审计27第27页3 3 3 3、系统开发审计内容、系统开发审计内容、系统开发审计内容、系统开发审计内容(2).(2).(2).(2).系统设计阶段审计系统设计阶段审计系统设计阶段审计系统设计阶段审计系统总体设计控制点为:系统总体设计控制点为:系统总体设计控制点为:系统总体设计控制点为:系统设计应采取结构化
40、设计方法,模块系统设计应采取结构化设计方法,模块系统设计应采取结构化设计方法,模块系统设计应采取结构化设计方法,模块划分应遵照划分应遵照划分应遵照划分应遵照“高聚合、低耦合高聚合、低耦合高聚合、低耦合高聚合、低耦合”标准,系统文档应清楚、健全。标准,系统文档应清楚、健全。标准,系统文档应清楚、健全。标准,系统文档应清楚、健全。详细设计阶段审计方法见教材详细设计阶段审计方法见教材详细设计阶段审计方法见教材详细设计阶段审计方法见教材P430P430P430P430(3).(3).(3).(3).系统实施阶段审计系统实施阶段审计系统实施阶段审计系统实施阶段审计审计方法见教材审计方法见教材审计方法见教
41、材审计方法见教材P430P430P430P430(4).(4).(4).(4).系统运行与维护阶段审计系统运行与维护阶段审计系统运行与维护阶段审计系统运行与维护阶段审计审计方法见教材审计方法见教材审计方法见教材审计方法见教材P430P430P430P430一、计算机会计信息系统开发审计第四节 计算机会计信息系统审计技术方法28第28页应用程序审计是计算机应用程序审计是计算机AISAIS审计重点和难点。审计重点和难点。(一一一一)、应用程序审计目标、应用程序审计目标、应用程序审计目标、应用程序审计目标一是测试应用系统控制符合性;二是经过检验程序运算和逻辑一是测试应用系统控制符合性;二是经过检验程
42、序运算和逻辑正确性到达实质性测试目标。正确性到达实质性测试目标。(二二二二)、应用程序测试方法、应用程序测试方法、应用程序测试方法、应用程序测试方法1 1 1 1、不处理数据测试法。、不处理数据测试法。、不处理数据测试法。、不处理数据测试法。是指审计人员不经过计算机处理任何数据是指审计人员不经过计算机处理任何数据而是经过审核和分析而是经过审核和分析评审或判定意见书评审或判定意见书、程序流程图、程序编码、程、程序流程图、程序编码、程序运行统计、程序运行结果等来到达审计目标方法序运行统计、程序运行结果等来到达审计目标方法。包含:计算机包含:计算机AISAIS是否经过评审或判定,程序流程图检验法,程
43、序编码是否经过评审或判定,程序流程图检验法,程序编码检验法,程序运行统计检验法,程序运行结果检验法。检验法,程序运行统计检验法,程序运行结果检验法。二、计算机会计信息系统应用程序审计第四节 计算机会计信息系统审计技术方法29第29页2 2 2 2、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。是指用户单位计算机程序处理是指用户单位计算机程序处理实际数据以确定应用控制可靠性一个方法。实际数据以确定应用控制可靠性一个方法。处理实际数据程序测试方法包含:处理实际数据程序测试方法包含:(1).(1).(1).(1).控制处理法:控制处理法
44、:控制处理法:控制处理法:审计人员经过程序对实际会计业务处理进行监控,审计人员经过程序对实际会计业务处理进行监控,审计人员经过程序对实际会计业务处理进行监控,审计人员经过程序对实际会计业务处理进行监控,判别处理和控制功效是否按设计要求起作用。判别处理和控制功效是否按设计要求起作用。判别处理和控制功效是否按设计要求起作用。判别处理和控制功效是否按设计要求起作用。(2).(2).(2).(2).控制再处理法:控制再处理法:控制再处理法:控制再处理法:审计人员在被审计单位正常业务处理以外时间审计人员在被审计单位正常业务处理以外时间审计人员在被审计单位正常业务处理以外时间审计人员在被审计单位正常业务处
45、理以外时间里亲自进行或监督进行,将某批处理过业务再处理一次,比较两次处里亲自进行或监督进行,将某批处理过业务再处理一次,比较两次处里亲自进行或监督进行,将某批处理过业务再处理一次,比较两次处里亲自进行或监督进行,将某批处理过业务再处理一次,比较两次处理结果,以确定程序是否被非法篡改、处理和控制功效是否恰当有效。理结果,以确定程序是否被非法篡改、处理和控制功效是否恰当有效。理结果,以确定程序是否被非法篡改、处理和控制功效是否恰当有效。理结果,以确定程序是否被非法篡改、处理和控制功效是否恰当有效。控制再处理法工作原理见教材控制再处理法工作原理见教材控制再处理法工作原理见教材控制再处理法工作原理见教
46、材P433P433P433P433图图图图9-1,9-1,9-1,9-1,图图图图9-2.9-2.9-2.9-2.二、计算机会计信息系统应用程序审计第四节 计算机会计信息系统审计技术方法30第30页2 2 2 2、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。(3).(3).(3).(3).嵌入审计程序法嵌入审计程序法嵌入审计程序法嵌入审计程序法:也称联机审计控制法。审计人员在被审计单也称联机审计控制法。审计人员在被审计单也称联机审计控制法。审计人员在被审计单也称联机审计控制法。审计人员在被审计单位计算机位计算机位计算机位计算机A
47、ISAISAISAIS开发阶段,在被子审应用程序中人为嵌入为执行特定审开发阶段,在被子审应用程序中人为嵌入为执行特定审开发阶段,在被子审应用程序中人为嵌入为执行特定审开发阶段,在被子审应用程序中人为嵌入为执行特定审计功效设计程序,用来搜集审计人员感兴趣资料,并建一个审计文件计功效设计程序,用来搜集审计人员感兴趣资料,并建一个审计文件计功效设计程序,用来搜集审计人员感兴趣资料,并建一个审计文件计功效设计程序,用来搜集审计人员感兴趣资料,并建一个审计文件存放这些资料,经过对这些资料审核确定应用程序处理和控制功效可存放这些资料,经过对这些资料审核确定应用程序处理和控制功效可存放这些资料,经过对这些资
48、料审核确定应用程序处理和控制功效可存放这些资料,经过对这些资料审核确定应用程序处理和控制功效可靠性。靠性。靠性。靠性。嵌入审计程序法工作原理见教材嵌入审计程序法工作原理见教材嵌入审计程序法工作原理见教材嵌入审计程序法工作原理见教材P434P434P434P434图图图图9-39-39-39-3。(4).(4).(4).(4).平行模拟法平行模拟法平行模拟法平行模拟法:审计人员自己或请计算机专业人员编写与被审应审计人员自己或请计算机专业人员编写与被审应审计人员自己或请计算机专业人员编写与被审应审计人员自己或请计算机专业人员编写与被审应用程序处理和控制功效相同模拟程序,并用模拟程序处理实际数据,用
49、程序处理和控制功效相同模拟程序,并用模拟程序处理实际数据,用程序处理和控制功效相同模拟程序,并用模拟程序处理实际数据,用程序处理和控制功效相同模拟程序,并用模拟程序处理实际数据,将处理结果与被审程序处理结果进行对比,评价被审计程序处理和控将处理结果与被审程序处理结果进行对比,评价被审计程序处理和控将处理结果与被审程序处理结果进行对比,评价被审计程序处理和控将处理结果与被审程序处理结果进行对比,评价被审计程序处理和控制功效是否可靠。工作原理见教材制功效是否可靠。工作原理见教材制功效是否可靠。工作原理见教材制功效是否可靠。工作原理见教材P435P435P435P435图图图图9-49-49-49-
50、4二、计算机会计信息系统应用程序审计第四节 计算机会计信息系统审计技术方法31第31页2 2 2 2、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。、处理实际数据程序测试方法。(5).(5).(5).(5).标识追踪标识追踪标识追踪标识追踪:也审计人员在被测试程序中安插一些审计程序段,也审计人员在被测试程序中安插一些审计程序段,也审计人员在被测试程序中安插一些审计程序段,也审计人员在被测试程序中安插一些审计程序段,并事先对输入数据做好标识,当带有标识数据经过审计程序时,将并事先对输入数据做好标识,当带有标识数据经过审计程序时,将并事先对输入数据做好标识,当带
