《信息系统审计》 第7章.ppt

InformationSystemAuditchapter7 信息系统审计 南京审计学院主讲教师 吕新民 第7章 第七章信息系统应用程序审计 应用程序是信息系统的核心 对经济业务的处理是否合规 合法 正确等 以及应用控制的有效性 都直接依赖于应用程序 另外 应用程序也是差错与舞弊最容易发生的地方 因此需要 对信息系统应用程序实施审计 审查内容 程序的输入部分是否编制了控制措施 控制措施能否保证未经授权批准 的业务不能输入计算机 经过授权批准的业务能否完整 准确地输入计算机中 审查内容 是否建立了必要的处理控制措施 控制措施能否保证输入计算机中的正确业务被完整准确地处理 对输入环节的不正确业务能否检查出来 并拒绝处理 2 程序中处理控制的审计处理控制措施 3 程序中输出控制的审计输出控制措施 审查内容 是否建立了必要的输出控制措施 经计算机处理的数据能否按被审计单位的要求完整 准确地输出 二 审查程序的合法性审查内容 审查程序中是否含有非法的编码 即为了舞弊目的而设计的编码 三 审查程序编码的正确性审查内容 审查程序编码是否有错误 即无意造成的执行错误功能的编码 错误编码的影响 可能会使会计业务进行错误处理 或错误地计算成本 税金 利润等 程序编码错误的主要原因有 1 目标和任务不明确 2 系统设计差错 3 程序设计说明书错误 4 程序语法或逻辑错误 四 审查程序的有效性审查内容 审查程序中是否含有无效的或效率较差的编码 无效的或效率较差的编码的影响 降低系统的运行效率 程序的运行效率与详细设计阶段所确定的算法效率直接有关 审查程序运行效率 主要是查明当把详细设计转变为源程序时 是否遵循了下列指导原则 在具体编写程序前应简化算术表达式及逻辑表达式 细心地分析多层嵌套循环 以确定能否把一些语句或表达式移到循环体之外 尽量避免采用多维数组 尽量避免采用指针及复杂的表 采用 快 的算法 不要把不同的数据类型混在一起 只要可能就采用整形数的算法运算和布尔表达式 手工审计方法 如程序编码检查法 程序运行记录检查法 程序运行结果检查法等 计算机辅助审计方法 即利用计算机对被审程序进行审查 以确定其处理和控制功能是否可靠的方法 一 程序编码检查法程序编码检查法 指对被审程序的指令逐条加以审查 以验证程序的合法性 完整性和程序逻辑的正确性 该方法一般适用于审查自行开发的信息系统软件 如会计软件 的下列几种情况 1 要详细了解一个高度敏感或重要的程序 2 要详细了解一个相对简单程序或程序系列 3 要详细查明某一程序控制的实现 4 要详细了解某特定程序中的某一计算方法或某一特定的处理 5 要证实某一程序是否按程序说明书和逻辑流程图编写 采用程序编码检查法检查处理和控制功能的可能性和有效性 通常决定于下列因素 1 被审程序的复杂性 2 被审程序编写的语言和编写的方式 即可读性 3 审计人员对被审程序语言及编程技术的精通程度 主要优点 可以详细地了解程序中每一个处理和控制功能 程序中各种错弊都可以使用该方法检查 主要缺点 要求审计人员具有较高的编程语言和编程技术的知识 且相当费时 另外 还面临所审查的程序与被审计单位实际使用的程序是不同的的风险 针对该风险 采用该方法进行审查之前 应检查程序的一般控制是否健全有效 对此 可采用下列方法 1 检查被审程序变动控制 接触控制是否正常 2 如被审单位备有程序管理登记簿 则应加以复核 3 应采用突击审计的方式 拷贝被审系统正在运行的被审程序进行审查 二 程序运行记录检查法程序运行记录 包括操作的起止时间 中断 故障 终端等方面的信息 由系统自动记录 运用该方法 可以推测被审程序的处理和控制功能是否正常 如突然中断则可能说明程序中语法或逻辑等有错误 三 程序运行结果检查法程序运行结果检查法 指对数据处理的结果进行检查 通过对系统打印输出结果的检查 来推断被审程序处理功能的正确性和控制措施的健全有效性 主要优点 审计技术简单 审计成本较低 主要缺点 只能推测系统中的控制与处理功能是否正常 实际究竟如何 还必须采用其它的审计方法进一步审查 数据处理的打印输出主要包括 错误清单 业务清单 记帐凭证 日记帐 分类帐 会计报表以及其它各种报表 等 其中错误清单具有下列用途 1 错误清单中记录的错误的多寡 可作为评价被审程序内部控制有效性的主要依据 2 根据错误清单上所列的错误类型及其处理方法 可找出造成错误的原因及其处理是否适当 3 若以手工抽查计算结果与计算机输出内容不符 而错误清单中未列有该错误时 被审程序的内部控制可能还存在若干缺陷 主要优点 审计人员不必具备较高的计算机知识 只需熟悉手工审计的技巧 主要缺点 所获得的输出可能并非被审程序的实际处理结果 被审程序中的错弊不可能全部出现在一份或多份的打印输出资料上 四 检测数据法检测数据法 指审计人员把一批预先设计好的检测数据 利用被审程序加以处理 并把处理的结果与预期的结果作比较 以确定被审程序的控制与处理功能是否恰当 有效 该方法的工作原理可参见下图 检测数据法可用来审查信息系统的全部程序 也可用来审查个别程序 还可以用来审查某个程序中的某个或某几个控制措施 以确定这些控制是否能发挥有效功能 检测数据法一般适用于下列三种情况 1 被审信息系统的关键控制建立在计算机程序中 2 被审信息系统的可见审计线索有缺陷 难以由输入直接跟踪到输出 3 被审单位信息系统程序较多 用该方法比直接用手工方法进行审查更经济 效率更高 该方法的关键问题 选择或设计合适的检测数据 检测数据按其来源可分为 1 被审单位以往设计的检测数据 2 由审计人员自行设计的检测数据 一般来说 可采用下列几种方式自行设计检测数据 A 根据被审程序控制及处理功能和主文件 设计若干虚拟的业务 并逐笔制作成模拟检测数据 B 根据被审计单位以前月份或年度的输入数据 稍加修改后利用 C 运用审计软件产生检测数据 无论检测数据的来源如何 检测数据中应包括下列两类业务 1 正常的 有效的业务 以确定被审程序对有效数据的处理是否正确 2 不正常的 无效的业务 以确定被审程序能否将这些业务检测出来 拒绝接受 并给出错误信息 以便修改 主要优点 1 对审计人员的计算机知识和技能的要求不太高 2 适用范围较广 3 在审计线索间断或不完整的情况下 使用该方法也能对程序的功能作出评价 4 该方法是一种抽样审计方法 用于测试比较复杂的被审程序比较经济 五 整体检测法整体检测法 指审计人员在被审的信息系统中建立一个虚拟的实体 如虚拟的部门 车间 经销商 顾客 职员 帐户或其它任何会计信息的累计单位 然后利用被审程序 在正常的业务处理时间里 与真实业务一起 对此虚拟实体建立的有关检测业务由同一被审程序进行处理 并把被审程序对这些检测业务处理的结果与预期的结果进行比较 以确定被审程序的处理和控制功能是否恰当 可靠的方法 该方法的工作原理可参见下图 采用整体测试法的步骤 1 确定需要审查的程序以及需要审查的处理及控制功能 2 虚拟一个实体 3 设计与虚拟实体有关的业务 并用手工计算出预期的结果 4 将虚拟实体的业务数据与被审计单位的实际业务数据一并输入被审系统 由被审程序进行处理 5 将被审程序的处理结果与手工计算的预期结果进行比较 作出评价 6 消除虚拟实体的业务数据 以免影响真实数据处理结果的正确性 采用整体检测法两种常见的使用方式 1 让检测业务如真实业务一样从头到尾通过整个系统 得到最终的输出 该方法下 审计人员要准备一些会计分录等冲销检测业务 以防影响被审计单位数据文件的正确性 2 对被审信息系统的被审程序作适当的修改 以便检测业务在进入总分类帐或重要的输出之前被删除 不致影响被审计单位的正常业务和财务报表 该方法成本较高 也很困难 较少采用 主要优点 1 检测数据可与被审计单位日常处理的真实业务一起输入 并进行处理 较其它审计方法更为经济有效 2 可根据需要随时输入检测数据 从而能够进行经常性的直接测试 保证被审程序是实际运行的程序 保证审计结果的可靠性 3 应用范围广泛 既适用于在线实时系统 也适用于批处理系统 主要缺点 1 如果没有及时或完全消除检测数据 可能会影响被审计数据文件和财务报表正确性 2 如果检测数据选择不全面 则不能审查出被审程序中的全部错弊 另外 如果被审计单位的数据处理人员知道检测业务 也可能会加以干预 从而影响审计结果 六 程序编码比较法程序编码比较法 指比较两个独立保管的被审程序版本 以确定被审程序是否经过了改变 该方法 不仅适用于源程序编码之间的比较 也可运用于目标程序码之间的比较 确定下列一般控制是否被确实执行 可采用程序编码比较法 进行符合性测试 1 目前正在使用的被审程序未遭非法的改动 2 所有经核准的程序变动 均有适当的控制 3 程序变动的原因及其预期影响均作成适当的文件记录 4 被审计单位规定的程序管理制度 确已被正确执行 程序编码比较法审查程序的一般步骤 1 审计人员控制一个经审查其处理和控制功能恰当的被审程序副本 2 取得被审计单位正在运行的被审程序 注意点 应确保为在用程序 3 取得比较两个程序的软件 4 在被审计单位或审计人员的计算机上进行比较 若有差异 应证实是否是经过批准的改动 5 评价检测结果 该方法前提条件 以前对此应用程序进行过审查 并证实它原来的处理和控制功能是恰当 有效的 因此 这种方法只能用于再次审计 主要优点 技术简单 使用方便 可以检查出被审程序任何的修改 主要缺点 如果程序改动较大 要分析和评价发现的差异 是困难和费时的 另外 如果比较的两个时点期间程序已经过了非法改变并已恢复的话 运用此法则无法检查出来 七 受控处理法受控处理法 指审计人员通过被审程序对实际会计业务的处理进行监控 查明被审程序的处理和控制功能是否恰当 有效的方法 主要优点 审计技术简单 省时省力 不需要具有较高的计算机知识 只要采取突击审计方式 就可保证审计结论的可靠性 主要缺点 选择的实际业务数据可能不足以评价各种处理和控制功能 要求审计人员具有相当的操作知识与技能 以便对被审程序运行过程进行有效的控制与监督 可能会影响被审计单位的正常数据处理及工作效率 八 受控再处理法受控再处理法 指在被审计单位正常业务处理以外的时间里 由审计人员亲自进行或在审计人员的监督下 把某一批处理过的业务进行再处理 比较两次处理的结果 以确定被审程序有无被非法篡改 被审程序的处理和控制功能是否恰当 有效 前提条件 用于再次审计受控再处理法的两种不同方法 1 审计人员保存一批在以前审计时已由当时经审查证实处理和控制功能恰当 有效的被审程序处理过的业务及当时处理的结果 基本工作原理参见下图 2 审计人员保存有以前审计时已经审查证实其处理和控制功能恰当 有效的被审程序副本 把当前被审程序处理过的业务输入被审程序副本进行处理 基本工作原理参见下图 主要优点 测试数据是现成的 而且可在审计人员和被审单位都感到方便时进行测试 不干扰被审计单位的正常业务 主要缺点 被审计单位已经处理过的业务文件可能只保留很短的时间 而主文件可能经过了多次更新 难以获得重新处理所需的文件 九 平行模拟法平行模拟法 指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序 用这种程序处理当期的实际数据 并以处理的结果与被审程序的处理结果进行比较 以评价被审程序的处理和控制功能是否可靠的一种方法 该方法的原理可参见下图 该方法的一般步骤 1 根据审计的目的和要求 确定被审程序 2 了解该程序所涉及文件的记录格式 文件类型 数据处理步骤和计算规则 输入输出的格式和内容 输入 处理 输出控制措施等 3 编制审计模拟程序 4 分别用被审程序和模拟程序处理实际业务数据 5 对处理结果进行比较分析 并对被审程序的处理和控制功能作出评价 该方法 既可模拟被审程序的全部功能 也可只模拟某一处理功能或控制功能 一般可用于计算量大有一定的数学模型方面 如工资计算 材料成本差异的计算等方面 程序的模拟较为简单 主要优点 能独立地处理实际数据 不依赖被审计单位的人力和设备 审计结果较为准确 主要缺点 开发模拟系统难度较大且成本较高 另外 首先要证明模拟程序是正确的 也是一个额外的困难 十 嵌入审计程序法嵌入审计程序法 指在被审信息系统的设计和开发阶段 在被审的应用程序中嵌入为执行特定的审计功能而设计的程序段 这些程序段可以用来收集审计人员感兴趣的资料 并且建立一个审计控制文件 SCARF 用来存储这些资料 审计人员通过这些资料的审核来确定被审程序的处理和控制功能可靠性 该方法的工作原理参见下图 审计程序段主要有两种 1 不经常起作用的 只有审计人员在执行特定的审计任务才激活的审计程序 如在应收帐款核算程序中嵌入的给债务人打印审计函证书的审计程序段 只有在审计人员要打印审计函证书时才使用 2 在被审程序中连续监控某些特定点上的处理的程序 如 在现金核算过程中 要检查有无违反现金管理制度 可检查每笔现金收付业务是否超出范围和限额 若超出 则把这笔业务记入到审计控制文件中 主要优点 可以防止审核时难以确信被审程序是否是实际应