信息系统审计与风险控制

1、第10章 信息系统审计与风险控制10.1 信息系统审计的意义计算机信息系统环境下对审计的影响1.计算机信息系统环境对审计线索的影响原始凭证一旦转换到机器的可读介质上，就不再处理过程中使用；在某些系统中，传统的原始凭证可能不得存在在主文件中可能看不出计算汇总所依据的明细数据，而明细数据作用过程文件已不存在数据处理过程不一定提供业务日常记录，若要提供需要采用专门的程序系统不一定或不可能打印出全部原始记录，一般只打印汇总结果保存在光电介质上的数据除非依靠计算机和应用程序，否则无法阅读，而且易损坏计算机程序和数据处理难以直接观察2.计算机信息系统对审计内容影响3.计算机信息系统对审计技术影响4.计算机

2、信息系统对审计方法的影响在计算机信息系统下具体的测试方法不处理数据的实质性的测试方法处理实际数据的实质性的测试方法处理模拟数据文件的实质性的测试方法5.计算机系统对审计人员的影响1）数据处理的集中，要求审计人员评价数据处理部门的组织控制，保证数据处理职能的分离，保证资产的安全，保证有效使用电子数据处理部门的人力和物力资源。2）由于电子数据处理系统的复杂性，文件记录和系统操作都必须标准化，使审计人员有机会确认这种标准是否存在，客户是否执行这种标准。3）处理会计数据和财务数据控制的计算机化，使审计人员有机会评价客户使用的程序控制，确定这种控制是否有效。4）由于越来越多的数据采取机读的形式，审计人员

3、有机会使用计算机完成审计任务，计算机运行的速度之快，使审计人员能在较短的时间里处理和再处理业务文件。5）由于会计数据和经营数据集中在机读形式的文件和数据库中，审计人员可以不用大量时间，就能执行过去根本不可能实施的审计步骤。 10.2 会计信息系统的审计方法注册会计师应考虑的在计算机信息系统环境中的变化了解内部控制程序对固有风险及控制风险的考虑符合性测试及实质性测试程序的审计与执行信息系统审计程序的主要阶段计划准备阶段符合性测试阶段实质性测试阶段开始检查被审计单位的基本情况检查一般控制和应用控制情况计划符合性测试和实质性测试的程序实施符合性测试评价测试结果确定对内部控制的信赖程度计划准备阶段符合

4、性测试阶段实施实质性测试评价测试结果签发审计报告审计报告结束图10-1 信息系统审计的程序计算机信息系统环境下的内部控制与符合性测试1.计算机信息系统环境下的内部控制及分类内部控制的定义 P394内部控制的目标保证企业资产的安全完整为企业内部和外部提供可靠的财会记录内部控制的分类1)按控制实施的范围一般控制应用控制2)按控制的意图预防性控制检查性控制纠正性控制3)依据实施部门的不同电算化部门控制用户部门控制2.一般控制一般控制的目的和具体目标一般控制的内容一般控制研究3.应用控制应用控制的目的和具体目标应用控制的内容应用控制研究、评价和评估方法4.内部控制的评价及符合性测试 计算机系统提供信息

5、的特征缺少交易轨迹同类交易处理的一致性缺乏职责分工在特定方面发生错误与舞弊行为的可能性较大交易授权、执行与手工处理存在差异其他内部控制依赖于计算机处理有利于加强管理监督有利于计算机辅助审计技术的利用在计算机系统环境下，因有风险和控制风险应考虑以下事项风险可能产生于普遍的或个别的影响审计人员在评价固有风险和控制风险时应该考虑的事项内部控制的评价与测试步骤第一步，了解与描述会计信息系统的内部控制内部控制的描述方法调查表法文字表述法流程图法第二步，符合性测试第三步，内部控制评价计算机辅助审计技术(CAATs)1.计算机信息系统环境下应用程序的审计应用程序审计的目的测试应用系统的符合性通过检查程序运算

6、和逻辑运算的正确性达到实质性测试的目的应用程序的测试方法 不处理数据的程序测试方法1)会计信息系统是否通过评审或鉴定2)程序流程图检查法3)程序编码检查法4) 程序运行记录检查法5)程序运行结果检查法处理实际数据的程序测试方法1)控制处理法2)控制再处理法3)嵌入审计程序法4)平行模拟法5)标记追踪法处理模拟数据的程序测试方法1)测试过程设计测试数据手工处理设计好的数据用被测试程序处理已设计好的数据比较上术两种处理方式的结果，并推断应用控制的可靠性2)测试方法测试数据法模拟单位法2.计算机信息系统环境下数据文件的审计对会计信息系统进行实质性测试时，需要考虑以下几个问题实质性测试的范围实质性测试

7、的时间数据抽样的标准确定实质性测试的方法在Windows环境下开发的通用审计软件一般包括的主要功能第一部分，审计资源管理第二部分，会计资料与数据管理第三部分，审计计划第四部分，符合性测试第五部分，实质性测试第六部分，审计终结第七部分，审计工具利用审计软件测试被审计的数据文件通常采用的测试方法 直接测试法 间接测试法 处理模拟数据文件的实质性测试方法审计人员在决定采用计算机辅助审计技术时，应当考虑的因素审计人员的计算机知识、专门技能和经验计算机通信技术的可用性和合适的计算机设备不能施行手工测试审计测试的效率和效果时间性考虑3.利用办公自动化软件辅助审计当前计算机在审计中的应用主要有： 运用Win

8、dows的资源管理器进行审计文档的管理 运用Word编制审计计划、审计总结及审计报告等综合类底稿 运用Excel编制审计工作底稿并建立审计工作底稿间的勾稽关系Word和Excel在出具审计报告时的结合应用。利用电子表格软件Excel辅助审计编制工作底稿利用Excel辅助分析性复核 系统开发审计是指审计人员对会计信息系统开发过程中各项活动及由此产生的系统文档所进行的审核与评价 系统开发过程审核的目的(P431)1、自行开发软件的开发审计 系统规划阶段审计方法 系统分析阶段审计方法 系统设计阶段审计方法 系统实施阶段审计方法 系统运行与维护阶段审计方法2、商品化会计软件的开发审计 根据商品化会计核算软件评审规则进行审计，要达到会计核算软件基本功能规范的要求。10.3 会计信息系统的安全与风险管理 会计信息完整性的破坏是系统的主要风险。 对会计信息完整性的破坏属于主动型破坏，可以篡改会计信息的内容、形式与流向 会计信息系统运行的关键阶段有：数据采集、数据处理、数据库管理和信息生成。 会计信息系统的风险管理