10+计算机信息系统环境下的审计.ppt

计算机会计学accuntinginformationonsystem，第十章计算机信息系统环境下的审计， 主要内容是第1节计算机信息系统环境下的监查概要第2节计算机信息系统环境下的监查计划的制定第3节计算机信息系统环境下的内部控制和适应性测试第4节计算机辅助监查技术第5节计算机信息系统环境下的开发监查第6节计算机监查软件第7节计算机监查软件网络环境下的监查，第1节计算机信息系统环境下的监查概要计算机信息系统环境及其监查的影响计算机信息系统环境下监查的对象计算机信息系统环境下监查的内容计算机信息系统环境下监查的程序， 计算机信息系统环境的定义，在计算机处理中生成了注册会计师审计的重要会计信息的情况、在任何种类或大小的计算机处理中生成了某个单位对审计有重要影响的会计信息的情况下，存在计算机信息系统环境， 无论计算机是在本部门操作还是在第三者操作，中国：国际审计标准：计算机信息系统环境对审计的影响、审计跟踪审计内容审计技术审计方法审计员二、 计算机信息系统环境监察的目标认识目标系统的合法性系统的安全性数据的完整性管理目标系统的效率性系统的经济性和利益性，三， 计算机信息系统环境审计的内容计算机会计信息系统审计内部控制系统审计系统开发审计系统应用程序审计系统数据文件审计以计算机为审计工具审计人工会计信息系统计算机辅助审计计算机会计信息辅助审计项目管理系统的计算机辅助审计、计划准备阶段、适应性测试阶段、实质测试阶段四、计算机信息系统环境下的审计程序、第二节计算机信息系统环境下的审计计划的制定、计算机信息系统环境下的审计计划的制定， 以计算机信息系统的理解为重点，在计算机信息系统环境下制定审计计划的基本程序和程序，利用计算机制定审计计划，另一方面，在计算机信息系统环境下制定审计计划时，着重于对计算机信息系统的了解的几个方面独立审计具体准则在制定“审计计划”规定审计计划时，要了解计算机信息系统在信息系统环境中的重要性、复杂程序和审计所需信息的可用性，并考虑对固有风险和控制风险评估的影响、重要性、复杂性、 计算机信息系统的可获得性与计算机信息系统的重要性和会计报告认定的重要性相关的计算机信息系统的复杂性经济业务数量很大，被审计的机构感到处理中难以识别和纠正错误的计算机系统自动生成重要的经济业务和日记账，直接进入其他应用。审计所需要的信息获取性，CPA特别关注计算机信息系统和手工作业系统的区别，在组织结构内部的控制信息处理程序设计，二是在计算机信息系统环境下制定审计计划的基本步骤和程序，了解客户和控制环境的会计系统，制定交易和剩馀金额的详细测试计划了解客户和控制环境的目的：评审员评估会计系统中计算化部分的范围和复杂性，需要计算机审计专家协作获得比重的信息计算机设备类型及其结构系统软件类型计算机处理活动的组织结构(EDP部门的组织结构、人员配置)计算化会计应用的数量和性质(应用范围和程度) 了解会计系统，了解目标业务通过会计系统中的手工部分和电算部分的路径，是计算机干预的性质和程度非常重要的会计应用程序，应该得到的信息应用程序的目标计算机应用程序中输入的来源， 了解容量和格式处理方式以及频率应用程序输出的格式和输出分布，了解控制活动，了解目标系统的一般控制，判断一般控制是否有效，向顾客提供服务的机会询问一般控制审查，或者观察顾客的EDP部门的职员，检查现有文件。 EDP部门内部与EDP和使用者之间的职责分开开发的、采购或变更的程序在执行前是否被认可与被测试的数据文件接触的使用者和程序，交易测试的计划、交易类别测试在重大会计领域进行了计算化应考虑EDP控制(应用控制和一般控制)在管理风险评估中的作用对一般控制有效，以确定交易类别的具体控制目标的实现是否依赖于计算机处理的结果：从会计应用处理的交易类别中选择样本，进行审计计算机辅助：测试会计应用程序中使用的计算机程序(测试程序会计程序和程序控制程序的执行)。 计划剩馀详细测试，剩馀直接测试审计人员在年底进行剩馀直接测试时，通常不依赖计算机的剩馀直接测试范围在计算机相关控制程序和应用期间进行剩馀直接测试时，应考虑一般控制的有效性。 审计人员对以计算机可读形式存在的客户文件决定在多馀的直接测试中使用计算机时必须制定更详细的计划，三是利用计算机制定审计计划，设计审计程序，分析风险，执行分析性审计程序的时间表和费用预算。 三是计算机信息系统环境下的内部控制和适应性测试，计算机信息系统环境下的内部控制及其分类一般控制应用控制内部控制的适应性测试和评价，一是计算机信息系统内部控制和分类企业经营者为了维持企业资产的完整性，确保会计记录的正确性和可靠性，对经济活动进行综合计划调整评价目标保护企业资产的安全为企业内部和外部提供可靠的会计记录，将计算机信息系统内部控制的分类、一般控制应用控制分为实施对象和范围，按控制实现预防性控制检验性控制纠正性控制的方法将人工控制程序控制分为实施部门。 控制电气化部门的用户部门控制，二是一般控制，目的：一般控制是计算机信息系统的整体控制，构筑控制计算机信息系统活动整体的框架环境，为实现内部控制的整体目标提供合理的依赖程序。一般控件的具体目标：通过一般或特殊授权规则确保以下活动的部署具有合法程序：设计、实施计算机程序，以及更改计算机主文件和其他用于在系统中输入和处理原始证书的计算机程序资产保管人员无权接触记录资产状况的信息处理。 负责信息处理者不负责执行或批准的经济业务。 电子数据处理部门在内部适当分离不兼容的功能。 电子数据处理部门不得纠正电子数据部门以外的错误。 通过适当的沟通方法和程序，确保数据处理部门的人员和其他部门的人员了解负责人的一般和特殊认可要求，并遵循这些要求。 主管人员可以充分控制授权要求的遵守，以保证违反要求的行为可以记录、调查、纠正。 一般控制内容，组织和管理控制应用系统开发和维护控制计算机操作控制硬件和软件控制系统安全控制系统文档控制，组织和管理控制， 基本目标是减少过失和违法发生的可能性基本要求权责划分和功能分离的主要内容电子部门和用户部门的职责分离电子部门内部职责和人力资源控制业务许可，应用系统开发和维护控制基本目标是保证计算机会计信息系统开发过程中各项活动的正当性， 为了在基本要求系统的开发过程中有效地进行各项研发、设计、维护活动和由此产生的文件，必须遵守一定的标准、规则和要求的主要内容系统的开发标准，在综合方面规定开发活动的要求。 在结构化的系统开发方法中，系统开发通常采用系统开发生命周期法。 项目管理，如项目计划、项目管理和项目报告。 编程规则、编程按照一定的规则进行，可以提高系统的审查性。 逐步保证，保证系统开发进度和质量的重要措施。 系统测试控制，系统实施前检测错误，使系统按设计可靠动作的控制。 系统转换控制防止在新旧系统转换过程中数据丢失或重复。 新的系统审批流程确保管理部门审批新的系统和系统转换计划。 流程变更管理确保严格测试流程变更并获得适当的批准和批准。 系统文件保证所有系统开发资料按规定整理归档。 计算机操作控制，基本目标是在标准的计算机操作中保证信息处理的高品质，减少错误的发生，使用未被授权的数据和程序的机会的具体目标系统，是只使用被授权的人才能进行计算机操作的被授权程序的计算机主要内容操作计划室规范操作规程的在线记录、硬件和软件控制、硬件控制硬件控制的故障减弱了其他控制措施的作用，影响系统的可靠性系统软件控制利用了系统软件，如os、数据库管理系统电子数据处理系统内部控制机制的特色应用软件控制确保软件的取得和开发得到认可，以有效的方式进行。 对系统应用程序和记录的访问权限仅限于授权用户。系统安全控制，基本目标是防止影响系统安全的因素威胁系统安全，发现系统安全问题， 解决这些问题并使系统恢复正常的措施和主要内容的硬件安全控制程序和数据的安全控制实施环境安全控制病毒对策的软件接触系统、系统文件控制、 基本目标是文件管理制度和安全保密制度的主要内容负责人保管的数据在编入计算机会计信息系统之前，必须得到系统负责人的审查认可的计算机输出的书面资料， 输出和审核人员必须共同签署的是合法的会计文件。会计文件的使用必须得到批准，任何资料的借用都必须注册的磁性媒体上存储的文件必须受到加密保护。系统软件、应用程序、 数据文件需要复制备份，根据会计文件管理的规定，制定文件保管数、保管时间、定期备份间隔、调用文件的手续等。 普通控制的地位普通控制的运用对应用控制的有效性是重要的普通控制测试和技术的手动组织和管理控制系统开发和维护控制计算机辅助审计技术系统应用软件控制的手动方法和计算机辅助审计技术相结合的计算机操作控制数据和程序控制普通控制测试的重点系统应用测试、一般控制研究、评估和风险评估方法和重点三、控制，基本目标是为会计应用建立具体的控制流程，确保所有经济业务获得认可和记录，完整、准确、及时处理。 特定目标是将所有经处理的数据转换成媒体并进行处理，并且以适当方式输出处理结果。 所有输入、转换、处理、输出都必须在正常的时间内正确进行。 所有系统的输出反映在批准的有效经济业务中。 此外，应用控制内容，输入控制处理的输出控制，输入控制，控制目标经济业务，在计算机处理之前正确批准的经济业务正确地转换为机器可读形式，计算机数据文件中记录的经济业务没有丢失，或者不正确地增加、复制、变更内容数据收集控制数据输入控制、数据收集控制、控制目标是应用系统根据合理认可分离输入数据控制措施的用户部门内部职责，以标准化的证书形式统一控制证书编制程序证书审查过程控制证书纠正规程、数据输入控制、 控制目标是防止数据输入时的遗漏和重复，检查输入数据是否有错误的例子：以记账证书为主要内容的数据输入控制，1 )帐户输入错误，例如输入未设定的帐户，或误用其他帐户2 )借贷方向错误3 )金额错误，例如1 )设定帐户代码和名称对照文件2 )设定对应关系参照文件3 )合理性检查4 )平衡检查5 )手动验证6 )再输入控制：计算机处理和数据文件控制， 控制目标经济业务(包括系统生成)是计算机正确处理的经济业务没有丢失或不适当增加、复制、未变更的计算机处理的错误立即被识别和纠正。 控制措施业务顺序控制数据有效性检查程序处理有效性检查错误纠正控制中断点技术、输出控制、控制对象计算机处理的输出结果无误的输出结果限定于被批准的人员，输出将及时提供给适当的批准人员。 控制措施输出许可控制57348； 将输入过程的控制总数与输出的控制总数进行对照，分析比较蚊子、蚊子、蚊子、蚊子、虾6、正常业务报告书和例外报告书的相关数据。 设定输出报告书发送登记簿，制定记录报告书发送份数、时间、收件人等事项的输出错误的纠正和处理重要数据的规定。方法用户实施的人工控制系统输出控制程序控制测试重点应用系统的处理控制，研究、评价和评价应用控制方法，四是评价内部控制适应性测试和评价目标企业内部控制系统在防止和发现财务报表数据中的重大作用的审计程序， 为了确定范围和重点，提供了适应内容的一般控制和应用控制程序，计算机会计信息系统内部控制IQC法(Interview面谈法、questaries问卷法、Controlflowchat控制流程法)的适应性测试评估内部控制(是否完全有效谁来执行？ 适应性测试的程序确定适应性测试的顺序，确定测试对象是否有互补的测试选择测试工具和技术设计测试数据，测试分析和评价测试结果，内部统制评价， 在评价计算机会计信息系统内部控制的方法和评价手动会计信息系统内部控制的方法中没有本质差异，可以多依赖于内部控制，并相应地减少实质性测试审计程序的数量和范围。 内部控制可靠性低，即重要内部控制明显出现故障，应放弃对内部控制的依赖，扩大实质性测试范围，完善、修正和补充实质性测试程序。 第四节计算机辅助审计技术计算机信息系统环境下的应用程序审计计算机信息系统环境下的数据文件审计，利用所审计的单位计算机信息系统的功能，计算机辅助审计样本，一是计算机信息系统环境下的应用程序目标通过检查测试应用控制适应性的程序运算和逻辑正确性，达到实质性测试目的。 方法不处理数据的测试方法处理实际数据的程序测试方法模拟数据的程序测试方法，(1)不处理数据的程序测试方法，特征审计人员不是计算机处理的数据，而是审查、鉴定意见书、程序流程具体方法计算机会计信息系统是否通过审查或鉴定程序的流程图检查法程序代码检查法程序执行记录检查法程序执行结果检查法印刷输出测试法，(2)处理实际数据的程序测试方法， 通过使用以用户为单位的计算机程序处理实际的数据，利用制作的实际数据，不需要重新设计测试数据，通过程序处理的结果可以显示程序控制的强弱。 具体的方法控制处