计算机会计第10讲计算机信息系统环境下的审计.ppt

Slide 1Renmin University of China 计算机会计学 Accounting Information System 第十章 计算机信息系统环境下的审计 Slide 2Renmin University of China 主要内容 第一节 计算机信息系统环境下的审计概述 第二节 计算机信息系统环境下审计计划的制定 第三节 计算机信息系统环境下的内部控制与符合性测试 第四节 计算机辅助审计技术 第五节 计算机信息系统环境下的开发审计 第六节 计算机审计软件 第七节 计算机网络环境下的审计 Slide 3Renmin University of China 第一节 计算机信息系统环境下的审 计概述 n计算机信息系统环境及其对审计的影响 n计算机信息系统环境下审计的目标 n计算机信息系统环境下审计的内容 n计算机信息系统环境下审计的程序 Slide 4Renmin University of China 一、计算机信息系统环境的定义 “注册会计师审计的重要会计信息由计算机 处理生成的情形” “当一个单位对审计有重要影响的会计信 息是由任何类型或大小的计算机处理生成时 ，就存在计算机信息系统环境，而无论该计 算机由本单位操作还是由第三者操作” 我国： 国际审计准则： Slide 5Renmin University of China 计算机信息系统环境对审计的 影响 审计线索 审计内容 审计技术 审计方法 审计人员 Slide 6Renmin University of China 二、计算机信息系统环境下审计的目 标 鉴证目标 系统的合法性 系统的安全性 数据的完整性 管理目标 系统的效率性 系统的经济性和效益性 Slide 7Renmin University of China 三、计算机信息系统环境下审计的 内容 对计算机会计信息系统进行审计 对内部控制系统的审计 对系统开发的审计 对系统应用程序的审计 对系统数据文件的审计 以计算机作为审计工具进行审计 手工会计信息系统的计算机辅助审计 计算机会计信息系统的计算机辅助审计 审计项目管理系统的计算机辅助审计 Slide 8Renmin University of China 计计划准备阶备阶 段符合性测试阶测试阶 段实质实质 性测试阶测试阶 段 开始 检查 被审计单 位 的基本情况 检查 一般控制和 应用控制情况 计划符合性测试 和实质 性测试 的 程序 实施 符合性测试 评价 测试结 果 确定对内部控制 的信赖程度 实施 实质 性测试 评价 测试结 果 审 计 报 告 签发 审计报 告 结束 四、计算机信息系统环境下的审计程序 Slide 9Renmin University of China 第二节 计算机信息系统环境下审计计划 的制定 n 在计算机信息系统环境下制定审计计划时，应 着重对计算机信息系统了解的方面 n 计算机信息系统环境下制定审计计划的基本程 序和步骤 n 利用计算机编制审计计划 Slide 10Renmin University of China 一、在计算机信息系统环境下制定审计计 划时，应当着重对计算机信息系统了解的 几个方面 独立审计具体准则关于“审计计划”的规定 制定审计计划时，充分了解信息系统环境下的内部控 制 了解计算机信息系统的重要性、复杂程序及审计所需 信息的可获得性 了解计算机信息系统环境，并考虑其对固有风险和控 制风险评估的影响 Slide 11Renmin University of China 关于重要性、复杂程度、可获得性 计算机信息系统的重要性 与会计报表认定的重要性相关 计算机信息系统的复杂程度 经济业务数量较大，被审计单位感到在处理过程中鉴别和改正错 误有困难 计算机系统自动生成重要的经济业务或分录，直接进入其他应用 。 审计所需信息的可获得性 Slide 12Renmin University of China CPA特别关注 计算机信息系统与手工系统不同的方面 组织结构 内部控制 信息处理 程序设计 Slide 13Renmin University of China 二、计算机信息系统环境下制定审 计计划的基本程序和步骤 了解客户及控制环境 了解会计系统 了解控制活动 制定交易及余额的详细测试计 划 Slide 14Renmin University of China 了解客户及控制环境 目的 便于审计师评估会计系统中电算化部分的范围及复 杂性，以及所需的计算机审计专家协助的比重 需要获取的信息 计算机设备的种类及其结构 系统软件的种类 计算机处理活动的组织结构（EDP部门的组织结构 、人员安排） 电算化会计应用的数目及性质（应用的范围和程度 ） Slide 15Renmin University of China 了解会计系统 目的 了解业务经过会计系统中手工部分和电算化部分的 路径，并了解计算机介入的性质和程度 在重要的会计应用中，需要获取的信息 应用的目的 计算机应用中输入的来源、容量及形式 处理的方式及频率 应用中输出的形式及输出的分布 Slide 16Renmin University of China 了解控制活动 目的 了解系统的一般控制，对一般控制是否有效进行判断，向 客户提供服务的机会 对一般控制的审核 询问或观察客户的EDP部门的职员； 检查现存的文件， 确定下列事项： EDP部门内部及EDP与使用者之间的职责是否分离 开发的、买入的或变更的程序在执行之前是否经过批准和测试 对数据文件的接触是否只限于经过批准的使用者和程序 Slide 17Renmin University of China 交易测试的计划 交易类别测试 若在重大会计领域应用了电算化，而且交易类别的 具体控制目标的实现要依赖于计算机处理的结果， 必须在控制风险的评估中考虑EDP控制（应用控制 和一般控制）的作用 在一般控制有效的基础上，测试EDP的应用控制 手工：从会计应用处理的交易类别中选取样本，应用审计程序证 实数据的有效性、完整性、和准确性。 计算机辅助：测试在会计应用中使用的计算机程序（对程序化会 计程序和程序化控制程序的运行进行测试）。 Slide 18Renmin University of China 余额详细测试的计划 余额的直接测试 当审计师在年末进行余额的直接测试时，通常不必依赖 于计算机 当余额的直接测试的范围依赖于与计算机相关的控制程 序或在应用期中进行余额的直接测试，则必须对一般控 制的有效性进行考虑 当审计师决定在对以计算机可读形式存在的客户文件实 施余额的直接测试中使用计算机予以辅助时，必须制定 更详细的计划 Slide 19Renmin University of China 三、利用计算机编制审计计 划 设计审计程序 制定检查清单 分析风险 执行分析性复核程序 日程安排和费用预算 . Slide 20Renmin University of China 第三节 计算机信息系环境下的 内部控制与符合性测试 计算机信息系统环境下的内部控制及其分类 一般控制 应用控制 内部控制的符合性测试及评价 Slide 21Renmin University of China 一、计算机信息系统内部控制及 分类 含义 是企业经营者为维护企业资产的完整性， 确保会计记录的正确性和可靠性，以及对 经济活动进行综合的计划、调整和评价而 制定的制度、组织方法和手续的总称。 目标 保护企业资产的安全完整 为企业内部和外部提供可靠的财会记录 Slide 22Renmin University of China 计算机信息系统内部控制的分 类 按实施的对象和范围划分 一般控制 应用控制 按控制的目标划分 预防性控制 检测性控制 纠正性控制 按控制实现的方法划分 人工控制 程序控制 按实施控制的部门划分 电算化部门控制 用户部门控制 Slide 23Renmin University of China 二、一般控制 目的： 一般控制是计算机信息系统的总体控制； 建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的 整体目标提供合理的依赖程序。 一般控制的具体目标： n 通过一般或特殊的授权规则保证下列活动的开展具备正当的手续： n 将原始凭证输入系统内进行处理； n 设计、实施和使用计算机程序； n 更改计算机程序； n 接触和使用计算机主文件和其他重要数据文件； n 分发系统输出报告等。 n 负责资产保管人员无权接触记录资产情况的信息处理。 n 负责信息处理的人员不负责执行或批准的经济业务。 n 电子数据处理部门内部对不相容职能进行适当分离。 n 电子数据处理部门不能纠正电子数据部门以外的错误。 n 通过适当的沟通方法和程序，使数据处理部门人员和其他部门人员能理 解主管人员的一般和特殊授权要求，并保证遵循这些要求。 n 主管人员能够充分地控制授权要求的遵守，以保证违背要求的行为能予 以记录、调查和纠正。 Slide 24Renmin University of China 一般控制的内容 组织与管理控制 应用系统开发与维护控制 计算机操作控制 硬件和软件控制 系统安全控制 系统文档控制 Slide 25Renmin University of China 组织与管理控制 基本目标 减少发生错误和舞弊的可能性 基本要求 权责的划分和职能的分离 主要内容 电算部门与用户部门的职责分离 电算部门内部的职责分离 人事控制 业务授权 Slide 26Renmin University of China 应用系统开发与维护控制 基本目标 为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行 基本要求 系统开发过程中的各项研制、设计、维护活动及由此产生的文档，均 应遵循一定标准、规则和要求 主要内容 n 系统开发标准，以总的方面规定开发活动要求。 n 结构化系统开发方法，系统开发通常采用系统开发生命周期法。 n 项目管理，包括项目计划、项目控制、项目报告。 n 编程规则，程序设计按一定规则进行，能提高系统的可审性。 n 阶段保证，保证系统开发进度和质量的重要措施。 n 系统测试控制，系统实施前检出错误使系统按设计要求可靠运行的控 制。 n 系统转换控制，防止在新旧系统转换过程中发生数据遗失、重复等现 象。 n 新系统批准程序，确保管理部门对新系统和系统转换计划进行审批。 n 程序变更控制，保证程序改动经严格测试，并得到适当的核准和授权 。 n 系统文档，保证所有系统开发资料按规定予以整理和归档。 Slide 27Renmin University of China 计算机操作控制 基本目标 通过标准的计算机操作来保证信息处理的高质量、减少差错的 发生和未经批准而使用数据和程序的机会 具体目标 系统仅用于经过批准的目的； 仅限于经过批准的人员进行计算机操作； 仅使用批准的程序； 查出并更正计算机处理中的错误。 主要内容 操作计划 机房守则 操作规程 上机日志记录 Slide 28Renmin University of China 硬件和软件控制 硬件控制 硬件控制的失效会消弱其他控制措施的作用，影响系统的可靠 性 系统软件控制 利用系统软件如操作系统、数据库管理系统实现控制，是电子数据处 理系统内部控制机制的一个显著特色 应用软件控制 确保软件的取得或开发是以经过授权并以有效的方式进行的 授权、批准、测试、实施和记录新建和修改应用软件； 系统应用软件和记录的存取仅限于经过授权的人员。 Slide 29Renmin University of China 系统安全控制 基本目标 防止影响系统安全的因素危及系统的安全，发现 系统中的安全问题，并解决这些问题使系统恢复 正常的措施及实施 主要内容 硬件安全控制 程序与数据的安全控制 环境安全控制 防病毒的软件接触系统 Slide 30Renmin University of China 系统文档控制 基本目标 建立文档管理制度及安全保密制度 主要内容 专人保管； 数据在纳入计算机会计信息系统之前，须经系统主管人员的审检批准 ； 计算机打印输出书面资料，应由输出和审核人员共同签字才是合法的 会计档案； 会计档案使用时必须经过批准，任何资料的借取都要登记； 存储在磁性介质上的文件应有加密保护； 系统软件、应用程序和数据文件应复制备份； 根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份 的间隔期及调用档案的手续等。 Slide 31Renmin University of China 一般控制的地位 一般控制的运用对应用控制的有效性至关重要 一般控制的测试和技术 手工 组织与管理控制 系统开发和维护控制 计算机辅助审计技术 系统应用软件控制 手工方法与计算机辅助审计技术相结合 计算机操作控制 数据和程序控制 一般控制的测试的重点 系统开发的测试 一般控制的研究、评价和风险评估 的 方法与重点 Slide 32Renmin University of China 三、应用控制 基本目标 对会计应用建立具体控制过程，从而确保全部的经济业务都经 过授权和记录，并做完整、准确和及时的处理。 具体目标 所有经允许处理的数据均应转换到介质上并加以处理，并且处 理的结果可通过适当的方式加以输出。 所有输入、转换、处理和输出均应在正常的时间里准确地进行 。 所有系统的输出均反映为经批准的有效的经济业务。 Slide 33Renmin University of China 应用控制的内容 输入控制 处理控制 输出控制 Slide 34Renmin University of China 输入控制 控制目标 经济业务在计算机处理之前经过适当的批准； 经济业务被准确地转换为机器可读形式并记录于计算 机数据文件； 经济业务没有丢失或不适当地增加、复制、改动； 拒绝、改正不适当的经济业务，必要时，及时重新补 救。 控制内容 数据采集控制 数据输入控制 Slide 35Renmin University of China 数据采集控制 控制目标 确保应用系统在合理授权的基础上完整地收集、正确地编制、安 全地传递输入数据 控制措施 用户部门内部的职责分离 标准化的凭证格式 制定凭证编制程序 凭证审核 手续控制 凭证更正规程 批量控制 Slide 36Renmin University of China 数据输入控制 控制目标 防止输入数据时的遗漏或重复，检查输入数据是否有错误 例：以记账凭证为主要内容的数据输入控制 1）会计科目输入错误，如输入了没有设 置的科目或误用其他会计科目； 2）借、贷方向输错； 3）金额输错，如未计、多计或少计； 4）对应关系搞错。 1）设置会计科目代码与名称对照文件； 2）设置对应关系参照文件； 3 ）合理性校验； 4） 平衡校验； 5）人 工校验； 6）重输 入控制 Slide 37Renmin University of China 计算机处理与数据文件控制 控制目标 经济业务（包括系统生成的）由计算机正确地处理； 经济业务没有丢失或不适当地增加、复制、改动； 计算机处理的错误被及时地鉴别并改正。 控制措施 业务时序控制 数据有效性检验 程序化处理有效性检验 错误更正控制 断点技术 Slide 38Renmin University of China 输出控制 控制目标 计算机处理的输出结果准确无误； 输出结果仅限于经过批准的人员； 输出及时地提供给适当的经过批准的人员。 控制措施 输出授权控制； 输入过程的控制总数与输出得到的控制总数相核对； 审校输出结果，检查正确性、完整性； 将正常业务报告与例外报告中有关数据作分析对比； 设置输出报告发送登记簿，记录报告发送份数、时间、接受人等 事项； 制订输出错误纠正和对重要数据进行处理的规定。 Slide 39Renmin University of China 方法 使用者实施的人工控制 系统输出控制 程序控制 测试重点 应用系统的处理控制 应用控制的研究、评价和评估 方法 Slide 40Renmin University of China 四、内部控制的符合性测试及 评价 目的 评价企业内部控制系统在防止和发现财务报表数据发生重大误 述方面的作用，并为确定审计程序、范围和重点提供依据 内容 一般控制与应用控制 步骤 了解与描述计算机会计信息系统内部控制 IQC法（Interview面谈法、Questionaries问卷法、Control flowchat控制流程图法） 符合性测试 评价内部控制（是否完整有效和可否依赖） Slide 41Renmin University of China 符合性测试 符合性测试检查的重点： 必要的内部控制是否重要？ 是否按规定执行？ 由谁执行？ 符合性测试的步骤 确定符合性测试的顺序 确定测试对象 确定是否有互补测试 选择测试工具或技术 设计测试数据 进行测试 分析和评价测试结果 Slide 42Renmin University of China 内部控制评价 评价计算机会计信息系统内部控制的方法与评价 手工会计信息系统内部控制的方法没有本质区别 如果审计人员评价系统内部控制为高信赖程度，即控制 风险为最低，则可以较多地依赖和利用内部控制，相应 减少实质性测试审计程序的数量和范围 如果评价内部控制为低信赖程度，即重要内部控制明显 失效，应放弃对内部控制的依赖，扩大实质性测试的范 围，完善、修正和补充实质性测试程序 Slide 43Renmin University of China 第四节 计算机辅助审计技术 n计算机信息系统环境下应用程序的审计 n计算机信息系统环境下数据文件的审计 n利用被审计单位计算机信息系统的功能 辅助审计 n计算机辅助审计抽样 Slide 44Renmin University of China 一、计算机信息系统环境下 应用程序审计 目标 测试应用系统控制的符合性； 通过检查程序运算和逻辑的正确性达到实质 性测试的目的 。 方法 不处理数据的测试方法 处理实际数据的程序测试方法 处理模拟数据的程序测试方法 Slide 45Renmin University of China （一）不处理数据的程序测试方法 特点 审计人员不通过计算机处理的任何数据而是通过审核和分析评 审或鉴定意见书、程序流程图、程序编码、程序运行记录、程 序运行结果等来达到审计目的。 具体方法 计算机会计信息系统是否通过评审或鉴定 程序流程图检查法 程序编码检查法 程序运行记录检查法 程序运行结果检查法 打印输出测试法 Slide 46Renmin University of China （二）处理实际数据的程序测试方 法 特点 使用用户单位的计算机程序处理实际数据以确定应用控 制可靠性 审计人员可以利用已形成的实际数据，无需再设计测试 数据，而且用程序处理的结果能表明程序控制的强弱。 具体方法 控制处理法 控制再处理法 嵌入审计程序法 平行模拟法 标记追踪法 Slide 47Renmin University of China 控制处理法 概念 审计人员通过程序对实际会计业务的处理进行监控，判别程序处理和控 制功能是否按设计要求起作用 主要优点 审计技术简单，对审计人员的计算机专业知识要求不高； 若采取突击检查的方式，可保证被审程序与实际使用程序的一致性，从 而保证审计结论的可靠性。 主要缺点 审计人员对实际业务数据的监督、控制及比较分析，可能影响被审单位 正常的数据处理及工作效率； 选择的实际业务数据可能不足以评价各种处理和控制功能。 适用条件 无需专门的测试环境，适用于难以提供测试环境的网络化信息系统的审 计 Slide 48Renmin University of China 控制再处理法 概念 审计人员在被审单位正常业 务处理以外的时间里亲自进 行或监督进行，将某批处理 过的业务再处理一次，比较 两次处理的结果，以确定程 序是否被非法篡改、处理和 控制功能是否恰当有效。 适用条件 只用于再次审计，不可 用于首次审计 以前处 理过的 业务数 据 当前运 行的被 审程序 处理 结果 以前处 理结果 比 较 当前被 审程序 处理过 的业务 数据审计人员 保存的被 审程序副 本 处理 结果 当前被审程序的 处理结果 比 较 Slide 49Renmin University of China 控制再处理法 主要优点 所需测试数据是现成的，审计人员没有必要再根据需要筛选数据 ； 可以在审计人员和被审单位都方便时进行测试，不干扰被审单位 的正常业务。 主要缺点 有些单位已处理过的业务文件可能只保留很短时间，而主文件可 能已经多次更新，难于获取重新处理所需的文件； 着重在于对结果的分析，若结果不相同，则要进一步分析原因， 因而对控制措施的判断不直接； 若结果一致时，由于采集数据的局限性及潜在的被修改的可能性 ，所以并不一定能据此判定程序控制的有效性。 Slide 50Renmin University of China 嵌入审计程序法 概念 审计人员在被审计算机会计信息系统开发设计阶段，在被审的应用程序中嵌入为执 行特定审计功能设计的程序，用来收集审计人员感兴趣的资料，并建一个审计文件 存储这些资料，通过对这些资料的审核确定应用程序处理和控制功能的可靠性。 嵌入程序分类 主要在一些特定点上对系统的运行进行实时监控 只有在审计人员调用时才起作用 实际业务 数据文 件 被审程序（包 括嵌入程序段） 实际业务 处理结果 审计文件 输出 程序 审计资料 被审单位使用 审计人员使用 Slide 51Renmin University of China 嵌入审计程序法 主要优点 在被审单位处理业务数据的同时获取审计证据，弥补了在数据处 理过后进行审计时，难以确认被审程序与实际运行程序一致性的 缺陷； 审计程序段与系统程序同时运行，因而所进行的测试是经常性的 ，只要被测试程序开始运行，审计程序段就处理监督状态。 主要缺点 审计人员必须事先确定对何种程序进行审计，需要获取何种审计 资料，并要据此审计相应的审计程序段，如果应用程序修改，审 计程序段可能也要修改； 审计人员要参与到被审单位的系统分析与设计，实际上是将审计 的重点告知了设计人员。 适用条件 审计人员在系统开发阶段对嵌入审计程序的功能提出需求 Slide 52Renmin University of China 实际业务 数据文件 模拟 程序 被测试 程序 处理结果 处理结果 比 较 差异报告 平行模拟法 概念 审计人员自己或请计算机专业人员编 写与被审应用程序处理和控制功能相 同的模拟程序，并用模拟程序处理实 际数据，将处理结果与被审程序处理 结果进行对比，评价被审程序的处理 和控制功能是否可靠 适用条件 一个模拟系统可以用于多个单位的审 计，或者审计人员可以低成本取得模 拟系统 优点 能独立地处理实际数据，不依赖于被 审计单位的人力和设备，能客观地进 行审计评价 缺点 如果开发的模拟系统比较复杂，则开 发难度较大且成本较高 Slide 53Renmin University of China 标记追踪法 概念 审计人员在被测试的程序中安插一些审计程序段，并事先对输入 数据作好标记，当带有标记的数据通过审计程序时，将该数据存 储起来，等程序运行完毕后，比较处理前和处理后数据的差异。 作用 用这种方法来追踪作标记的数据在程序中是如何处理的。 主要优点 可列示被审计程序中什么指令已执行以及按何种顺序执行，可查 出被审程序中的非法指令。 主要缺点 要求审计人员具有编写应用程序的知识，且跟踪并分析结果可能 费时费力。因此，这种方法在实际审计工作中并不常用。 Slide 54Renmin University of China （三）处理虚拟数据的程序测试方 法 特点 通过处理事先设计的测试数据来确定应用程序的可靠性 。 通过设计少量测试数据，对局部或大部分应用程序进行 测试，也可据需要对某特定控制措施进行测试。 测试过程 n 设计测试数据； n 手工处理设计好的数据； n 用被测试程序处理已设计好的数据； n 比较上述两种方式处理的结果，并推断应用控制的可靠 性。 具体方法 测试数据法 模拟单位法 Slide 55Renmin University of China 测试数据法 概念 审计人员根据测试的要求，设计一套模拟业务的数据 ，利用被测试程序对模拟数据进行处理，再将处理结 果与应当出现的结果进行核对，以检验应用程序是否 可靠。 适用 用来测试整个系统的全部应用程序； 也可用来测试个别程序； 或测试程序中某个或某几个控制措施 测试数据 正常的、无误的业务数据 有错漏、不完整、不合理、不正常的业务数据 Slide 56Renmin University of China 测试数据法的应用 实际结果与预计结果 的差异 系统 主文件 测 试 数 据 应 用 程 序 测试 的结果 审计人员比较 预期 的结果 用户测试数据 审计人员测试数据 软件生成测试数据 Slide 57Renmin University of China 测试数据法分析 主要优点 在审计线索间断或不完整的情况下，使用这种方法能对应用程序作 出评价； 这是一种抽样方法，用于测试处理量大的系统比较经济； 使用范围广，对审计人员的计算机知识和技能的要求不高。 主要缺点 当全面测试系统或程序时，必须保证测试数据的综合性，否则难以 保证能测试到所有的应用控制措施； 难以保证被测试的程序就是被审计单位实际使用的程序； 测试数据的设计比较困难； 如果用测试数据增加、删除、修改文件中的记录，可能破坏被审计 单位的主文件。 Slide 58Renmin University of China 模拟单位法 概念 审计人员在被审计的计算 机会计信息系统中建立一 个虚拟的实体(如车间、某 一往来客户)，利用被审程 序，对该虚构实体数据与 实际业务数据一同处理， 将处理结果与预期结果比 较，以确定应用程序的处 理和控制功能是否恰当可 靠。 虚拟实体 业务数据 实际业务 数据 手工 处理 被审程序 预期 结果 虚拟业 务处理 结果 实际业 务处理 结果 比 较 Slide 59Renmin University of China 模拟单位法分析 主要优点 在正常业务时间里处理测试数据，不影响被审计单位的业务活动； 应用范围较广，尤其适用于实行内部部门核算的企业和联机批处理 网络系统的测试，且能用于测试各种内部控制； 能确定被测试程序就是被审计单位实际使用的程序； 将虚拟数据与实际数据区别开，在一定程度上避免测试数据法可能 破坏被审计单位文件的缺陷。 主要缺点 如果没有及时消除虚拟数据，可能破坏重要的数据文件，或影响重 要会计报表的正确性； 由于虚拟单位性质的限制，所设定的测试数据不一定能测试出程序 中的全部错误或隐患； 不适用联机实时系统的测试。 Slide 60Renmin University of China 二、计算机信息系统环境下 数据文件审计 实质性测试需要确定 实质性测试的范围 实质性测试的时间 数据抽样的标准 方法 不处理数据文件的实质性测试方法； 处理实际数据文件的实质性测试方法； 处理虚拟数据文件的实质性测试方法。 Slide 61Renmin University of China （一）不处理数据文件的实质性测试方 法 概念 审计人员对数据文件进行实质性测试时，只检查数据文 件的打印输出，不将数据文件通过电子数据处理系统处 理。这种方法与手工会计信息系统中直接审查会计凭证 、账簿和会计报表的做法相同。审核数据文件的打印输 出，就是为了收集会计业务的记录、计算、记账等是否 恰当的证据。 特点 这种方法不需要计算机知识和电子数据处理技能，容易 理解，但是审计人员难于确认打印输出是否就是真实数 据文件的数据。 Slide 62Renmin University of China （二）处理实际数据文件的实质性 测试方法 测试方法 直接测试法 用专用数据传输线，将被审单位装有计算机会计信息系统的计算机接口 与审计用的计算机接口联接起来，形成类似于简单的局部网络系统； 启动计算机会计信息系统和计算机审计系统，通过接口，利用专用审计 软件，直接将计算机会计信息系统中的数据文件读到审计计算机中，以 便审计时查阅。 或将专用的审计软件直接在被审单位装有计算机会计信息系统的计算机 中运行，直接查阅审计计算机会计信息系统的数据文件。 间接测试法 审计人员可将备份数据文件放在审计用的计算机系统中直接运行审计程 序进行查阅。 如果被审单位没有备份的数据文件，审计人员可先制作备份，然后依上 述方法审查。 Slide 63Renmin University of China （三）处理虚拟数据文件的实质性测试 方法 可采用测试数据法（设计模拟业务数据生成模拟数据文件 ）和虚构单位法（设立虚拟实体，模拟业务数据生成模拟 数据文件）进行实质性测试以确定系统处理的正确性。 采用这种测试方法，审计人员需先对测试的问题进行分类 ，然后进行测试，而且只能对已知的情况加以测试，因此 要处理的数据量会比实际数据文件少。 Slide 64Renmin University of China 三、利用被审单位计算机信息系统 辅助审计 利用商品化会计软件中建立多个账套的功能辅助信息系统 处理与控制功能的审计 利用系统查询、统计、财务分析、通用报表、银行对账等 功能辅助信息系统数据文件审计 例：利用系统的跟踪查询功能，可从报表追查至总账、 明细账、记账凭证、甚至原始凭证。 利用财务软件的导出功能辅助审计 Slide 65Renmin University of China 四、计算机辅助审计抽样 被审计对象 （审计总体） 具有代表性的对象 （审计样本） 样本 结果 总体 特征 抽 样 检 查 推 断 抽样审计的基本过程 Slide 66Renmin University of China 计算机辅助确定样本量的选取 例，货币单位抽样法需要考虑四个因素： 抽样总体N 可靠程度系数（ R0可信赖程度） 审计结论精确限度（ Pr 可容忍的最大误差） 预计总体误差率（ 属性抽样）或标准差Sd （ 变量抽 样） 公式：n=(N*R0* Sd /Pr)2 审计人员按提示输入要求的可靠程度、预计的违 反率和可容忍的最大违反率，然后由计算机系统 计算并提示样本量。 Slide 67Renmin University of China 第五节 计算机信息系统环境下的开 发审计 n自行开发软件的开发审计 n商品化会计软件的开发审计 Slide 68Renmin University of China 一、自行开发软件的开发审 计 系统规划阶段审计 系统分析阶段审计 系统设计阶段审计 系统实施阶段审计 系统运行与维护阶段审计 Slide 69Renmin University of China 系统规划阶段审计 从审计角度提出对系统的需求，审查确定用户是否正确充分表达了对 系统的需求 开发小组情况 询问与项目有关的部门主管，是否各部门派员参加系统开发； 与各部门指定的参与系统开发人员交谈，确定其是否熟悉所属部门的工作 范围和责任权限； 分析各部门指派的人员中否有足够的时间投入指派的工作等。 进行可行性分析情况 向用户及有关主管查询系统是否按成本、效益原则分析，确定其是否同意 与本身职责相关的成本、效益计算； 与系统分析员共同研究新系统在经济、组织、技术上的可行性。 审查可行性分析报告 Slide 70Renmin University of China 系统分析阶段审计 对现行系统进行调查和分析情况 复核系统分析人员是否取得了现行系统的全部资料； 检查系统分析人员是否与用户有充分的交流； 向用户查询系统分析人员所建立的新系统目标能否满足其处理及内 部控制上的需要。 审查为建立新系统所提出的业务重组方案各用户部门是否 了解与接受 可能出现什么问题 人员和其他条件是否满足业务重组的需要 审查系统分析报告，参与系统分析报告的审批 Slide 71Renmin University of China 系统设计阶段审计概念设计 审计人员会关注系统的概念设计，因为 系统的可审计性取决于设计特征，有些 计算机辅助审计技术要求系统具有特殊 的审计功能，这些审计功能在概念设计 阶段必须予以详细说明。 Slide 72Renmin University of China 系统设计阶段审计选择与评 估 审计人员在评估与选择阶段最关注的是尽可能精 确地度量建议系统的经济可行性，审计人员应当 特别明确以下事项： 计算成本时，只考虑可节省的成本； 度量现金流量现值时，使用合理的利率； 完整、准确地报告一次性和经常性成本； 比较互斥项目时，使用实际有效的系统预期寿命； 对无形效益赋予合理的财务度量。 Slide 73Renmin University of China 系统设计阶段审计详细设计 代码设计审计 抽查部分代码看其是否按照国家、行业颁布的标准设计； 审阅代码本，看其是否全面系统，能否满足数据处理要求，代码与其名称是否符合 唯一性原则； 询问用户和管理部门，查明代码设计能否满足本单位检算与管理需要。 文件设计审计 询问用户，查明所设计的数据文件能否满足输入数据和输出信息的要求； 检查数据文件是否有内外标签，是否有控制措施，未经授权人员能否接触数据文件 。 输入、输出 复核系统的输入、输出设计、是否符合会计核算软件基本功能规范要求； 详查系统的输入、输出环节，查明是否有适当的控制措施； 是否具有识别错误的功能，对系统拒绝接受的错误数据，是否提供适当的更正程序 ； 复核输入、输出设计，查明是否留有适当的审计线索。 处理功能设计 查明系统设计的处理功能是否符合会计核算软件基本功能规范及用户的要求； 详查系统处理环节是否有适当的控制措施； 审阅有关文档，查明所需处理功能是否全部通过系统处理功能设计纳入系统。 Slide 74Renmin University of China 系统实施阶段审计 程序设计及测试情况 向程序设计员询问在程序中是否设计了必要的内部控制 ； 选择部分程序流程图或源程序进行正确性检查； 检查程序文档的编制是否规范、完整。 系统调试情况 复核测试数据，查明其是否包括足以检查应有的处理及 控制功能的各种类型业务数据； 审计人员可考虑自行设计一组测试数据，进行独立测试 ； 在测试结束后，审计人员应就系统开发阶段的适当性、 系统使用后能否按预期功能运行向管理当局提出意见。 Slide 75Renmin University of China 系统实施阶段审计（续） 系统试运行情况 复核系统试运行结果(试运行期限不低于三个月)，确定是否 达到预期目标，系统有无问题； 询问系统管理员，是否有未经授权人员在试运行期间接触系 统(尤其是程序员)； 检查试运行记录，确定运行的系统与原设计是否存在差异， 差异是否合理，系统能否正式投入使用。 编制操作手册及制定控制制度情况 检查是否规定由不同人员负责执行业务、输入、处理等工作 ； 按业务处理流程，看其业务处理是否能顺查由原始输入凭证 至报表，或逆查由报表至原始输入凭证； 复核所编制的操作手册和制定的管理制度是否包括控制事项 。 Slide 76Renmin University of China 系统运行与维护阶段审计 实地观察系统人员操作情况 查明输入数据是否经过审核，正确的数据是否能被准确地输入系统 ，错误的数据是否能被发现并按适当的规程进行更正； 对系统进行实地测试，确定是否有未经授权、不掌握密码的人接触 并修改数据与程序； 检查上机记录，查明有无异常情况，系统故障是否能及时排除； 审阅系统操作管理制度，查明人员的工作职责和权限是否适当划分 。 实地观察系统运行状况 检查系统运行是否正常； 审阅系统管理制度，查明是否制定了计算机软、硬件维护制度，制 度是否符合内部控制，是否得到有效执行； 检查系统有关修改的文档资料，查明修改是否按规程进行，文档是 否齐备。 Slide 77Renmin University of China 二、商品化会计软件的开发 审计 商品化会计软件评审的相关规定 1989年始商品化会计软件必须由财政部门进行评审 1994年财政部颁布商品化会计核算软件评审规则 2000年以来，会计软件的评审原则上不再由政府主管部门进行 商品化会计软件开发审计 商品化会计软件公司对开发过程的自我控制 软件功能符合财政部门的要求 提供必要的供审计使用的接口 用户在选择商品化会计软件时对软件的功能进行必要的审查 对存在的问题要求软件公司改进或制定相应的管理制度进行控制 不能出于自身的“考虑”，对软件公司的产品提出设置非法功能的要求 Slide 78Renmin University of China 第六节 计算机审计软件 n计算机审计软件的种类 n会计数据接口标准及被审单位计算机会 计信息系统数据的采集 n计算机审计软件的功能 n利用办公自动化软件辅助审计 Slide 79Renmin University of China 一、计算机审计软件的种类 通用审计软件 根据会计业务的共性设计的适用于对各类或 多数计算机会计信息系统审计的计算机程序 ，通常用于同一行业所有被审的计算机会计 信息系统的审计。 专用审计软件 为特定被审计的计算机会计信息系统，或为 执行特定审计任务设计的审计软件。 Slide 80Renmin University of China 目前我国应用的主要审计软 件 审计法规管理系统 审计抽样软件 工具箱式通用审计软件 以表格为模型的审计软件 为在特定条件下完成特定任务的各种 专用审计软件 Slide 81Renmin University of China 二、会计数据接口标准及被审 单位计算机会计信息系统数据 的采集 会计数据接口标准 应用GB/T19581-2004信息技术 会计核 算软件数据接口标准输出的会计数据进 行计算机审计的过程与方法 Slide 82Renmin University of China 会计数据接口标准 GB/T19581-2004信息技术 会计核算软 件数据接口国家标准的制定 GB/T19581-2004信息技术 会计核算软 件数据接口国家标准的体系结构 GB/T19581-2004信息技术 会计核算软 件数据接口国家标准的应用 Slide 83Renmin University of China 应用GB/T19581-2004信息技术 会计核算软件数 据接口标准输出的会计数据进行计算机审计的过 程与方法 会计数据加工成审计数据的基本原理 如何接收符合GB/T19581-2004信息技 术 会计核算软件数据接口的会计数据 数据接入格式与数据导入 接收数据接口标准输出会计数据的管理和 使用策略 Slide 84Renmin University of China 三、通用审计软件的功能 审计资源 管理 机构管理 业务项目管 理 会计资料与 数据管理 客户基本情 况 会计数据 审计计划 业务委托 审计计划 审计工具 数据查询 法规查询 审计抽样 计算与汇总 分析性符合 审计标识 审计跟踪 n符合性测试 n内控评估 n符合性测试 n管理建议书 n实质性测试 n报表项目及期 后事项测试 n合并报表 n审计终结 n审计调整与汇 总 n审计完成 n编制审计报告 n三级复核 Slide 85Renmin University of China 四、利用办公自动化软件辅助 审计 Word和Excel在出具审计报告时的结合应 用 利用电子表格软件Excel辅助审计编制工 作底稿 利用Excel辅助分析性复核 Slide 86Renmin University of China 第七节 计算机网络环境下的审计 n 计算机网络环境下会计信息系统的特点与风险 n 电子商务环境下会计信息系统的内部控制及审计 的重点 n 计算机网络环境下会计信息系统审计应考虑的问 题 n 注册会计师网上誉证业务（CPA-WebTrust） Slide 87Renmin University of China 一、计算机网络环境下会计信 息系统的特点与风险 特点 会计数据共享 会计功能共享 会计数据分布式输入 会计数据安全性要求高 风险 物理风险 对会计信息保密性的破坏 对会计信息完整性的破坏 对系统运行的干扰 Slide 88Renmin University of China 二、电子商务环境下会计信息系统内部 控制 审计的重点 内部控制