会计信息系统论文会计信息化论文.pdf

Practice 实务 内部审计信息化建设 2010 858 中国内部审计 财务报表的重要账户 报表附注资产负债表利润表 Practice 实务 内部审计信息化建设 一 在内部控制体系中开展信息系统审计的内容 信息系统审计通常包括对组织层面信息技术控制 信息技术一般性控制及业务流程层面相关应用控制的审 计 或者根据企业实际情况可以分为总体控制和应用控 制 如图 1 所示 企业内部控制体系中信息系统审计的内容和方法 鲁海波 包括变更管理 日常变更流程 紧急变更流程等 五是信息 系统日常运作 包括机房环境控制 系统日常运作监控 批 处理作业调度管理 备份与恢复 问题管理等 六是最终用 户操作 包括最终用户计算机操作安全制度 电子表格管理 等 其中 对最终用户操作的检查 并在关键环节建立关键 控制点 通过手工测试或者开发计算机软件来证明其内部 控制的有效性 由于目前电子表格越来越多的应用在办公 系统 财务报表和财务处理过程 且越来越复杂 但是电子 表格使用存在一些缺点 9 1 的电子表格存在错误 超过 2 0 0 行的表格将1 0 0 地存在错误 这些问题可能导致巨大 的风险 因此 必须关注与财务报表相关的电子表格 即电 子表格将直接或间接影响财务报表或信息披露事项 1 表 格可能包括E x c e l A c c e s s 文本文件等 根据电子表格的 用途 可以分为 一是操作型 指用来对流程进行审核 跟 踪和监控的电子表格 如订单列表 未开出的发票列表等 通常这些信息已经在纸质文件或其他系统中存在 用电子 表格来监控财务交易执行的准确性和完整性 二是分析 管 理型 指用来进行分析和管理决策的电子表格 通常用来评 估财务数据的合理性和准确性 三是财务型 指直接用于财 务报表交易数据和余额的电子表格 并导入到总账和 或财 务报表中 2 表格可能很简单 也可能很复杂 简单电子 表格 一般作为电子日志 数据输入和信息跟踪等 如待处 理订单 存货清单等 复杂电子表格 包括复杂的计算公式 和计算模型 如税务计算 成本摊销 计算存货周转 金融 衍生计算等 通常需要把这类型的电子表格作为一个独立 的应用系统看待 3 表格的管理流程 第一 制定电子表 格的总体策略 对电子表格进行分类 登记电子表格 登记 内容包括名称 版本 负责人 用户 开发人 变更频率和 程度 电子表格内容概要和影响的财务科目 第二 评估电 子表格的用途和复杂性 确定是否纳入管理范围 并说明理 1 信息系统总体控制制度体系 旨在保证整个公司范 围内更加科学 规范地应用信息技术 提高企业在信息技术 开发 实施 运营活动方面的控制能力 增强日常信息工作 效率 更好地保护信息资产 提高信息技术对业务的支持力 度 其目标是对信息技术管理和运行有效性的检查 信息系 统总体控制审计目的是通过全面准确的信息系统内部控制 制度的评价 保证其有效地发挥作用 信息系统总体控制审 计应重点关注六个方面 一是控制环境 包括信息系统总体 控制环境 信息与沟通 风险评估 监控等 二是信息安全 情况 包括信息安全管理组织 逻辑安全 物理安全 网络 安全 计算机病毒防护 第三方安全管理 信息安全事件响 应等 三是项目建设管理 包括项目建设方法论 项目立项 审批 商业软件及硬件的外购 项目启动 项目需求分析 项目设计 系统开发实施 系统测试 数据移植 系统上线 项目验收和上线后评估 用户培训等 四是系统变更管理 图1 在内部控制体系中开展信息系统审计内容 实务 Practice内部审计信息化建设 59 2010 8中国内部审计 由 对纳入范围的电子表格明确其是重要电子表格还是一 般电子表格 评估应考虑以下因素 复杂度 用途 用户数 量 文档的完备性 变更频率和程度 是否测试等 第三 决定需要实施的控制措施 重要电子表格应实施安全控制 版本控制 变更管理 开发管理 定期审阅 备份管理 存 档管理等控制措施 一般电子表格应实施安全控制 版本控 制 变更管理等控制措施 第四 测试现有电子表格 设计 有效性测试 主要评估电子表格是否存在相关的控制措施 执行有效性测试 主要评估这些控制措施是否得到有效执 行 测试中发现的例外情况需记录下来 并进行评估是否为 缺陷 第四 对控制缺陷进行整改 对确认的缺陷制定相应 整改方案 将电子表格控制提高到必要的水平 有时甚至要 重新开发电子表格 对每个整改方案分配责任人 确定日期 和优先级 2 信息系统应用控制测试指对会计信息系统中具体的 数据处理功能的控制 是为适合各种数据处理的特殊控制 要求 保证数据处理能完整 准确地完成而建立的内部控 制 其目标是对业务层面的关键信息系统应用控制设计和 执行有效性的检查 应用系统主要用于有关重要交易事项 的生成 授权 记录 处理和报告 生成的表单和数据以及 财务报表 供财务部门直接作为记账依据和相关利益者使 用 或者为其他作为记账依据或生成财务报表的系统使用 当信息技术被用于生成 授权 记录 处理或报告交易事项 以及其他将在财务报告中体现的财务数据时 信息系统和 程序可能包括与重要科目及披露信息认定相关的控制 或 对依赖于系统的人工控制的有效性有着关键的影响 对应 用系统的依赖程度 取决于是否存在相应的计算 检查 核 对过程的控制 并且控制措施是否可以通过手工控制达到 控制目标 弥补风险 信息系统应用控制审计内容 1 应 用程序审计 信息系统的核心就是程序编码 程序质量的高 低 直接决定了信息系统整体水平的高低 因此 应用程序 的审计是信息系统审计的重要内容 也是信息系统审计中 最困难的任务之一 应用程序审计主要包括 一是应用程 序内部控制的健全性和有效性 访问控制 只有经授权的 操作员才能登录系统相应模块进行相应的操作 如系统初 始化时 只有经授权的操作员才能变更账务结构 职责分 离 数据录入时输入项目的完整性控制 如会计核算岗只有 将凭证的重要内容填列完整才能在系统中生成新凭证 如 缺失责任中心 总账科目 明细科目 金额等的任何一项 系统均不允许保存该凭证等 输入控制 根据不相容职责分 离原则 用户在系统中被授予设置相应的权限 如日常会计 处理系统权限根据不相容职责分离原则设定 用户不能同 时具有账务结构维护的权限和与其冲突的相关权限等 处 理控制 系统处理过程中 按照业务处理步骤进行系统操作 的控制 如只有经过审核的凭证才能够在系统中记账 记账 凭证的编号由系统自动生成并连续编号 每月末 记账凭证 只有被执行审核及记账 完成 汇总操作后才能在系统中进 行账务结转 否则系统提示错误信息等内容 输出控制 生 成报告的数据及访问路径安全 如系统生成的财务报表只 可以将上报报表存放至指定的专门路径 只有负责报表人 员具有访问该路径的权限 二是应用程序的合法性 即应用 程序中的编码是否符合规章制度的要求 不包含非法的编 码 三是应用程序的正确性 即应用程序中的编码是否正确 地进行了逻辑处理 不包含无意中造成错误的编码 四是应 用程序的效率性 即应用程序是否以最小的系统开销和时 间成本完成程序执行任务 2 信息系统数据文件审计 要 对会计信息系统输出信息的真实性 正确性 合法性等进行 评价 必须对数据文件进行审计 数据文件审计包括对打印 输出的数据文件的审计和存贮在磁性介质上的数据文件的 审计 包括审查数据文件的一般控制 应用控制的健全性 有效性和内容的真实性 正确性 二 在内部控制体系中开展信息系统审计的方法 信息系统审计过程分为准备阶段 实施阶段和报告阶 段 其中 准备阶段和报告阶段所涉及的技术方法与财务审 计所运用的技术方法区别不大 而实施阶段所涉及的技术 方法则具有信息技术的特色 既包括一般方法即手工方法 也包括应用计算机审计的方法 实施阶段可以分为三个层 次 即了解 描述和测试 1 信息系统审计基本方法 信息系统审计基本方法为 询问 观察 检查和再执行 其中 询问是指通过口头或书 面的方式对执行控制的相关人员提出问题 根据被询问人 的回答确定控制是否存在以及控制执行人对控制的理解程 度 询问前应收集相关的背景资料 确定合适的询问对象 询问过程中应做好记录并要求被询问对象签字 询问后应 对谈话的内容进行评价和总结 观察是指对信息系统的物 理环境 硬件设施和办公场所以及对信息系统的开发设计 构成和操作情况进行了解或者现场见证正在执行的控制 从而判断控制是否存在 观察过程中做好记录并对观察结 果进行评价和总结 检查是指通过查看与控制相关的文档 性记录 以了解信息系统的总体情况 控制情况以及开发设 计情况等 并对控制有效性做出判断 检查中应做好相应记 录并将检查过程和结果记入工作底稿中 再执行是指通过 重新执行控制活动以确定控制是否有效 根据最新的国际 审计准则 只使用 询问 一种方法是不够的 必须同时使 用检查 观察或再执行中的至少一种方法 才可以称为有效 Practice 实务 内部审计信息化建设 2010 860 中国内部审计 的测试 2 利用计算机辅助技术与工具开展信息系统测试的方 法 在信息系统审计中 为了达到审计目的 必须收集大量 存储于计算机的数据 并借助于计算机对这些数据进行分 析 得出结论 目前 计算机辅助审计技术与工具主要包括 以下几种 一是通用和专业审计软件 是一组能够读取 计 算 分析计算机可读记录的程序 通用审计软件具有较强的 扩充能力和较为广泛的适用范围和应用前景 专业审计软 件是指适用范围较小 功能和专用性强 主要功能一是数据 读取和转换 查询 计算 分类 抽样选择 排序和数据文 件联结 比较 合并等 二是实用工具软件 包括 评估安 全性和完整性的工具软件 如访问控制分析软件 熟悉系统 的工具软件 如系统配置分析软件 流程图制作器 评价数 据质量的工具软件 如查询工具 数据比较软件 评估程序 质量的工具软件 如程序比较软件 测试数据生成器 辅助 审计程序开发的工具软件 如程序生成器 辅助生成有关审 计文档的工具软件 如文档生成器 办公软件 三是性能度 量工具 包括硬件监测器 软件监测器 固件监测器 混合 监测器 四是测试数据法 平行模拟法 是指开发一个与 被审计单位信息系统或程序模块功能完全相同的模拟系统 通过编制模拟程序输入测试数据与实际应用程序结果比较 以评价系统 平行模拟的优点是测试不会干扰被审计单位 信息系统的运行 缺点是对审计人员的程序设计能力要求 高 具有很大的限制性 五是连续在线审计 可以利用信息 技术在不中断被审计业务系统的正常运行的情况下 对业 务系统的内部控制进行检查与评估 连续监测系统运作 评 价系统安全性 有效性以及数据的真实性和完整性 目前常 用的连续在线审计方法有以下几种 1 系统控制审计检查 文件 嵌入式审计模型 S C A R F E A M 通过在应用系统中 嵌入特殊的审计软件模块 实现对系统有选择的监测 审 计人员在认为重要的控制点上嵌入审计模块对系统中的事 务进行连续的监控 将收集的信息写入一个特殊的审计文 件 S C A R F 主文件 如图 2 所示 2 整体测试法 通 过在系统中建立虚拟实体 用正常系统运行 对结果进行比 较分析 判断控制 适用于一般测试数据不能有效测试系统 控制的情况 如图3 所示 在实施整体测试方法时要注意测 试数据可能会进入被审计系统的真实数据环境 3 快照 对输入业务标记 记录业务的处理轨迹 适用于需要记录审 计轨迹的情况 如图4 所示 4 持续性与间歇性模拟 C I S 采用计算机系统模拟事务 交易的执行 当事务 交易满足 预定的标准 对该事务 交易进行检查 否则等待下一个满 足标准事务 交易的输入 适用于在已确定满足某种条件的 数据需要被检查的情况 如图5 所示 5 审计钩 在应用 系统中嵌入审计钩程序 在审计人员既定的错误或不规范 问题失控之前引导审计人员进行检查 并实施相应的控制 这种方法针对特定的业务或过程进行检查 目前 多数E R P 软件包 操作系统和网络管理软件等都提供了连续监控与 连续审计工具的采样器 如果适当的配置 应用相关规则 设置参数和公式 投入生产后可以获得预期的例外交易清 单 这也是实施连续在线审计的具体事例 六是审计专家系 统 作为一种决策支持工具 专家系统可以为审计人员提供 指导及有价值的信息 七是其他特殊的审计软件 以上工 具或技术可以帮助审计人员对交易与账面数据的详细测试 实施分析性的检查过程 对信息系统一般控制与应用控制 进行符合性测试 对操作系统脆弱性进行评估及实施穿透 性测试等 图2 系统控制审计检查文件 嵌入式审计模型 图3 整体测试法 图4 快照 实务 Practice内部审计信息化建设 61 2010 8中国内部审计 3 审计抽样测试方法 审计抽样是从审计总体中选取 一定数量的样本进行测试 并根据测试结果 推断审计对 象总体特征的一种方法 审计抽样分类的方法有很多种 常用的分类方法 一是按抽样决策的依据不同分为统计抽 样和非统计抽样 统计抽样是在计算正式抽样结果时采用 统计推断技术的方法 非统计抽样是凭审计人员主观标准 和个人经验评价样本结果 并对总体做出结论的方法 两 者最根本的区别是非统计抽样不能量化抽样风险 而统计 抽样可以 二是依据所了解的总体特征的不同分为属性抽 样和变量抽样 属性抽样是用来估计一个控制或一组相关 控制的发生概率 主要用来测试控制 与符合性测试相关 在进行控制测试时可分为以下三种基本方法 固定样本量 抽样 常用于估计审计对象总体中某种偏差的发生比例 其特点是预先确定样本量 在执行抽样计划的过程中不再 进行变动 停 走抽样 是在固定样本量抽样的基础上的 一种改进形式 从预计总体误差为零开始 采用边抽样边 审查评价的方式 可以克服固定样本量抽样样本过多的缺 点 提高工作效率 发现抽样 是一种特殊形式 主要用 于查找非法重大事件 其理论依据是如果总体偏差率大于 或等于某一特定比率 那么在既定的可信赖程度下 从一 个足够大的样本中至少能查出一个偏差 变量抽样是根据 总体的抽样来估计总体的金额数或其他衡量单位 其主要 目的是验证可能存在于程序或功能中的因控制失效导致重 大影响的重大金额 与实质性测试相关 在选用这种方法 时 必须满足以下三个条件 设计分层样本的能力 审计 价值与账目价值之间的差异不能太大 资料的可得性 变 量抽样法主要运用在实质性测试中 通常有以下几种常用 方法 分层单位平均估计抽样 先对样本总体进行分层 在 不同分层中进行抽样检查确定样本的平均值 根据样本平 均值推断总体的平均值和总值 不分层单位平均估计抽 样 通过抽样检查确定样本的平均值 根据样本平均值推 断总体的平均值和总值 差额估计抽样 以样本实际价值 与账面价值的平均差额来估计总体实际价值与账面价值的 平均差额 然后再以这个平均差额乘以总