《信息系统审计》PPT课件

.,1,InformationSystemAuditchapter4,信息系统审计,南京审计学院主讲教师：吕新民,第4章,.,2,第四章信息系统应用控制及审计,信息系统一般控制是对信息系统安全、可靠运行的环境保障，通过它形成应用系统程序的保护层。但会计及业务数据处理的准确、可靠、完整还直接依赖于各业务应用系统的处理过程，因此还必须实施：信息系统应用控制及审计。,信息系统应用控制：是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确的完成而建立的内部控制。应用控制与具体的业务应用系统有关。,任何应用系统，不管其应用领域、数据处理的方式是多么不同，但其数据处理都可划分为以下几部分：,.,3,由此，应用控制按其数据处理特性可分为：输入控制、处理控制、输出控制通过输入控制、处理控制、输出控制以实现应用控制的目标。,信息系统应用控制目标：确保特定应用系统的数据输入、处理和输出的准确、完整、合法合规。,.,4,第一节输入控制,俗语说“垃圾进，垃圾出”。数据输入环节是应用系统数据处理的起点，因此：首先应做好输入控制。,.,5,信息系统数据输入环节可能存在的问题？,输入控制的目标：防止未经授权批准的数据输入信息系统；保证经授权批准的数据能完整、准确地输入并转换为机器可读的形式；错误的数据被拒绝处理并能在改正正确后重新向系统提交处理。,主要包括：数据虚增、虚减、修改、遗漏、延迟、重复、未授权、未审核、非人为等。,如何实施有效输入控制？主要应包括以下方面：,一、数据采集控制数据采集：是指收集准备输入到应用系统的原始数据资料的过程。,.,6,数据采集控制目标：确保输入数据在合理授权的基础上合法、正确地编制，完整地收集、安全地传送。,具体控制目标包括：（1）采集编制的输入凭证业务合法、完整、数据正确、业务分类合理；（2）所有业务经过合理授权；（3）呈送所编制凭证的时间恰当，没有遗漏、重复或丢失；（4）及时发现、更正采集过程中的错误。,如何确保上述控制目标的实现？为此需要：采取下列控制措施：,.,7,（1）建立明确的凭证编制程序；程序应规定：,需要使用的凭证、编制凭证的时间、凭证的编制检查和授权负责人员、输入前有关的签字盖章，等；,（2）制定工作手册目的：规范数据采集过程。,（3）合理设置使用控制总数控制总数：指对成批处理的业务，以某种特征为基础（如凭证张数、数量、金额，等）计算总数并核对每批总数的控制手段。,.,8,该手段可发现：丢失凭证、插入未经审核凭证、未经授权修改凭证等问题,批控制总数主要适用于：批处理系统、实时系统如：银行系统、超市系统，等,该手段常被用于三类控制总数：A、数量金额总数。如销售发票的销售数量合计、金额合计，等B、杂项总数。指对某些数据项目的合计数。如凭证号合计、客户编码合计等。C、记录数总数。指批处理文件中某些凭证张数或业务记录数的合计。,.,9,（4）输入前审查整理后的凭证与原始凭证的合法性、正确性,二、数据输入控制经过数据采集后，必须将其输入应用系统，以进行数据的处理。为保证输入系统数据的准确、完整，为此需进行：数据输入控制。,数据输入控制目标：保证输入系统的数据的合法性、完整性和准确性。,如何实施数据输入控制？涉及：数据输入控制的手段：人工控制、程序化控制,.,10,人工控制：采用人工的方式实施的控制。如输入确认前的核对、操作人员的签字盖章等；程序化控制：通过应用系统程序实施的控制。如应用程序对数据的数据类型、借贷平衡等的校验。,数据输入控制的措施，主要包括：1、编制有关数据输入工作内容、方法及程序要求的书面文件明确规定：数据输入过程中的岗位分工、责任制度、数据传递路径、错误改正程序等；,2、事先设计规定数据格式作用：规范化输入，减少错误,.,11,3、建立数据收发记录，计算控制总数作用：便于发现数据输入错误,5、计算机编辑检验特点：程序化控制，被普遍使用计算机编辑检验：也称逻辑检验，指计算机按照程序指令通过计算机检查输入数据是否准确、完整、合理。,.,12,特点：效率高、准确性高缺点：依赖于应用程序的正确性,利用计算机编辑检验可实现的数据输入控制主要包括：,（1）编码有效性校验作用：防止不合规定的编码数据输入。如科目代码、部门代码、职工代码等。缺陷？（思考）,（2）符号校验作用：对某一字段或字符值的正负进行的检验。如职工工龄、产品价格等。,.,13,（3）数据类型检验作用：对录入数据类型是否符合规定类型检验。如部门名称、数量、金额等。,（4）字段长度校验作用：检查录入数据字段的长度是否与规定长度相符。如一级会计科目编码长度、身份证号码长度、时间位数等。,（5）平衡校验作用：根据某些固有的平衡关系，检验相关的数据是否一致。如借贷平衡、总数与小计合计数平衡等。,.,14,（6）限值校验作用：检验某一数据的值是否在事先规定的合理范围之内。如工龄、加班天数等。,（7）顺序校验作用：检查数据输入顺序错误，可用于发现少输入、重复输入等错误。如凭证号顺序、业务时间顺序等。,（8）二次校验作用：通过同一数据先后两次录入，由计算机按事先编制的程序自动校验。特点：主要用于关键字段数据。如数量、金额。,.,15,（9）完整性校验作用：检查数据输入中遗漏某些字段的错误。如借方金额遗漏、摘要遗漏等,（10）数码校验作用：检验某些关键性编码数据的准确性。如会计科目编码、职工编码等方法：采用数码校验技术。计算机将数据输入前后的校验码相互比较以控制数字正确性。主要适用于：数字型代码的检验。如材料编号、银行帐号、职员、会计科目等,.,16,计算机编辑校验的方式有：即时校验、推延校验,（1）即时校验：指在将数据逐个转化为机读形式后立刻进行的程序化校验。该校验方式下发现错误后，可采取三种处理方式：,A、暂停下一个数据或记录录入，要求操作员改正后才允许录入下一个数据或记录；B、取消该业务数据，接收下一条记录；C、将错误记录写入错误文件，待操作员以后处理。,.,17,（2）推延校验：指数据转化为机读形式时不进行逐项程序化校验，在一批数据输完后或对数据进行处理之前再进行校验。前提条件：在数据库中建立错误文件，并将所有错误记录写入该文件并打印出错误清单，待操作员或业务部门改正后，再进行输入并校验。,另外，不同的信息系统输入数据特点不同，可增加相关特殊控制,.,18,第二节处理控制,会计信息系统的输入数据源为：会计凭证数据,针对会计凭证的内容要求和特点，对输入控制除可采用上述一般输入控制手段外，还可增加一些特殊控制措施，例如：,（2）设立对应关系参照文件作用：检查和判断输入会计凭证科目之间对应关系的正确性,（1）建立科目名称与代码对照文件作用：根据对照文件对会计科目的校验，确保会计科目正确、合法合规,.,19,数据输入后便交由应用系统进行数据自动处理，为保证系统数据处理的正确性，还需：实施处理控制。,信息系统数据处理控制的目标：,保证信息系统对已输入的数据能按既定的要求准确、完整地处理。从而：确保经济业务由计算机正确地进行处理，确保经济业务没有不恰当的增加、改动，确保计算机处理一旦有错误能被及时的发现并改正。,信息系统数据处理控制的特点：主要为程序化控制。,信息系统数据处理环节可能存在的问题？,.,20,主要有：程序逻辑错误、计算错误、用错文件、用错记录、处理非法数据、未授权处理、未按条件要求处理、处理的数据丢失、重复处理、漏处理、处理延迟等,如何有效进行信息系统处理控制？通常可采取以下控制措施：,1、审核处理输出审查方法：（1）审查处理部分程序语句；（2）屏幕显示或打印输出处理结果；,2、进行数据有效性检验,.,21,数据有效性检验属程序化控制目的：防止用错文件、记录和业务数据等情况具体措施主要包括：,（1）文件标签检验：实施文件控制，确保正确的使用文件；,（2）记录标识检测；检测记录标识（关键字），确保数据记录顺序的正确性。,（3）业务代码检测检查被处理业务的代码（代表业务类型），以便正确的业务数据文件被正确的程序调用处理。,.,22,（4）顺序测试通过关键字检查文件记录的顺序，避免记录顺序的混乱。,（5）处理有效性检测方法：,A、运算正确性检测通过使用双重运算、逆运算、溢出检查等方法来发现运算中的逻辑错误。,B、双重存储将同一数据存于两处，通过处理后的比较检验处理的正确性。如总账数据与明细账数据之和的比较。,.,23,C、数据合理性检测检查处理结果是否超出预期结果（合理性界限）,D、数据极限检验检查处理结果是否超出最大限值,E、交叉合计检查通过交叉合计的比较检查错误。如通过负债总额等于各项负债之和与负债等于资产减所有者权益的比较。,（6）错误纠正控制方法：两种情形：,.,24,A、处理有效性检测发现的错误（即在处理检查中发现的错误）：更正后再处理。,B、处理过程结束后人工审核发现的错误：将一笔能抵消错误影响的分录或其他数据过入文件。,（7）保留审计线索方法：可通过日志文件记录处理过程以便审查,（8）断点技术断点：是由一条指令或其他条件所规定的程序中的一个点。该程序点可被外部干预或为监督程序中断。通过程序中设置若干个断点，可检查出错环节。,.,25,会计信息系统中几种特殊的处理控制技术：,（1）处理权限控制防止未授权的处理错误，如篡改处理数据等。,（2）登帐条件检验,（3）防错、纠错控制如：记录数点计、控制总数核对、平衡检验、合理性检验等。,（4）记账过程中非正常中断的恢复措施：设置内存变量及时进行数据备份恢复,（5）修改权限与修改痕迹控制措施：加密、禁止对文件数据的修改、修改使用错账更正方法（禁止直接修改）,.,26,主要有：数据输出错误、数据通过各种设备输出有泄漏和被盗看的可能、数据输出到未批准的人手中，等。,如：打印出的支票有错、或送错地方，可能造成？,可能造成应付款项未付或错付，会使企业信用和折扣等受损；,再如：机密（如重要交易机密数据等）外泄可能使企业经济受损，等。,因此，为了保证处理后输出数据的正确性、保密性，需要：实施输出控制。,.,27,信息系统数据输出控制的目标：保证输出资料的准确、可靠，并能按要求及时送到指定的人手中，而未经批准的人不能接触到系统的输出资料。,如何有效进行信息系统输出控制？通常可采取以下控制措施：,1、控制总数核对方法：将输出控制总数与输入控制总数、处理控制总数相核对。如业务发生数、总金额等。,2、对输出资料的审视检查与合理性检验方法：将输出数据通过屏幕显示或打印输出实施完整性、正确性、合理性检查。,.,28,3、勾稽关系检验方法：利用数据间的勾稽关系实施检查。如资产等于负债加所有者权益、总计数等于小计数之和，等。,4、输出文件的保管与分发措施：未经批准的人不能接触输出文件资料；输出的文件资料应由专职、兼职保管员或操作员保管；打印输出的资料应在系统的操作日志上有所记录，包括记录输出的日期、文件、页数及负责的操作员姓名。,.,29,打印输出的资料应及时送到指定的人手中；打印资料的分发应建立签收制度，收件人应签署收件的日期、文件和签章，等。,5、控制只有经批准的人才能执行输出操作，并要登记,6、打错作废的机密资料应即时销毁,7、网络上多个用户共用一台打印机的情况下，应防止有人窜改队列文件内的数据，如金额、客户名等。,第四节应用控制的审计,.,30,信息系统应用控制是否健全？是否发挥作用？需要：对应用控制进行审计测试,应用控制审计目的：检查应用软件系统输入、输出和内部处理在合法性、正确性、安全性等方面是否存在漏洞和缺陷，客观地评价系统的输入控制、处理控制和输出控制是否合理合规，有无非法或错误的控制。,对应用控制进行审计既需要利用手工审计方法，也需要利用计算机辅助审计测试方法。对手工控制的审查主要利用手工的方法，主要包括：,.,31,一、业务处理规程的审查主要审查：有无业务处理规程；业务处理规程的完整性、恰当性；业务处理规程的实际执行情况；存在哪些漏洞和缺陷。方法：查阅资料、实地观察、座谈会、抽样检查、询问，等。,二、数据输入控制的审查主要审查：是否有输入控制章程；章程是否被严格地遵守执行；输入出错控制；存在哪些漏洞和缺陷。方法：查阅相关文挡（如操作指南、差错登记表等）、询问、实地观察，等。,.,32,三、数据处理控制的审查主要审查：是否存在数据处理的规章制度；规章制度的实际执行；处理错误的控制；存在哪些漏洞和缺陷。方法：检查（如数据流程图、程序流程图、源程序等）、比较法（如打印输出比较等）、实地观察、询问、查阅相关文挡，等。,四、数据输出控制的审计主要审查：是否有输出的规章制度；规章制度是否被严格地遵守执行；输出错误的处理；存在哪些漏洞和缺陷。方法：查阅相关文挡（分发保管制度、日志文件等）、实地观察、比较法，询问等。,.,33,对程序化控制则主要采用计算机辅助审计方法（将在以后章节介绍）,.,34,案例：以某企业的销售与收款信息系统模块为例一、对销售与收款信息系统的有关情况进行调查了解；内容：系统的环境构成；系统的业务处理；系统的总体功能结构；,方法：审阅相关文档（如开发文挡、规章制度、系统配置文档，等）、调查法、询问、实地观察等通过调查了解等，得到：,系统软硬件环境：C/S架构局域网、Windows2000、SQLserver数据库系统；系统的业务处理流程：,.,35,清理应收账款（会计部门）,系统的主要功能涉及：,.,36,.,37,二、对内部控制进行初步评价，确定审计重点；通过评价，确定审计重点为：1、一般控制审计，包括：（1）管理控制审计；（2）硬件控制审计；（3）软件控制审计；（4）数据库服务器控制审计；（5）计算机操作控制审计；（6）安全控制审计；,2、应用控制审计根据销售与收款信息系统的特点和业务流程，对应用控制的审计的重点应包括：（1）业务处理流程控制；（2）部门人员职责分工和授权控制；（3）销售订单录入前的审核控制；（4）录入出错处理的控制；（5）,.,38,出库单录入正确性控制；（6）过账处理控制；（7）过账文件正确性控制；（8）虚拟发票正确性控制；（9）销售发票分类汇总处理控制；（10）专用发票或普通发