计算机会计信息系统的内部控制与审计的一个入门级课程.PPT.ppt

1,计算机会计信息系统的内部控制与审计,2,课程目的,掌握和了解在计算机和网络环境中会计核算职能是如何实现和完成的；,能以信息技术发展的眼光去理解会计；,能够应用分析和设计工具正确地描述不同时期不同企业的会计数据和信息处理流程；,能够根据会计核算和管理的要求确定会计信息系统的基本功能；,能够根据会计核算和控制的要求提出内部控制方案；,能够正确地理解和评价电算化会计信息系统。,3,第一节计算机审计的目标、内容与审计程序,第七章计算机审计,第四节计算机会计信息系统审计的技术方法,第三节计算机会计信息系统的内部控制与审计,第二节计算机会计信息系统审计计划的制定,第五节计算机审计软件,第六节计算机舞弊的手段与防范,4,第一节计算机审计的目标、内容与审计程序,审计线索对审计极为重要。在计算机信息系统环境下，账务处理全部由计算机系统按一定的程序指令完成，手工系统下的审计线索基本消失。,（二）对审计线索的影响,（一）对审计环境的影响1、审计人员除了要与懂得审计术语的财务管理人员和会计专家进行交流，还须同使用另一种行业术语的电子数据处理的管理人员和计算机专家进行交流。2、在信息化社会里控制和审计的客观要求下，审计的客户将遍及每个行业和各类系统，庞大的审计需求将造成审计的巨大压力。,一、计算机信息系统对审计的影响,5,计算机系统对审计线索的具体影响如下：1.原始凭证一旦转换到机器可读的介质上，就不再在处理过程中使用。2、在某些系统中(如联机系统)，传统的原始凭证可能不复存在。3、在主文件中可能看不出计算机汇总所依据的明细数据，而明细数据作为过程文件已不存在。4、数据处理过程不一定提供业务的日常记录，若要提供需要采用专门的程序。5、系统不一定或不可能打印出全部的原始记录，一般只打印汇总结果。6、保存在光电介质上的数据除非依靠计算机和应用程序，否则无法阅读，而且易于损坏。7、计算机程序和数据处理难以直接观察。,第一节计算机审计的目标、内容与审计程序,6,由于审计环境、审计线索和审计过程发生变化，手工操作下的审计标准和审计准则中的某些部分会不再适用。应建立电子数据处理环境下的审计准则。,（四）对审计准则的影响,（三）对审计过程和审计内容的影响,1、审计过程分为两个主要的阶段：即对计算机系统的评价和对计算机系统所产生的会计数据的评价，并应以着重评价计算机系统的内部控制为主要内容。2、对计算机程序控制进行测试，以证实其处理的合法性、正确性、完整性及系统的安全可靠性是审计的重点和前提。,第一节计算机审计的目标、内容与审计程序,7,审计线索的改变要求审计人员重新检查系统的审计步骤。由于数据处理系统的复杂性和数据的集中，要求审计人员熟悉电子数据处理系统的计划、程序和记录。,（六）对审计人员的影响,（五）对审计技术和审计方法的影响,1、计算机审计方法是常规的手工系统审计方法和电算化系统审计方法的结合。2、对计算机信息系统审计的基本方法可分为：绕过计算机审计、穿过计算机审计和使用计算机审计三种。,第一节计算机审计的目标、内容与审计程序,8,二、计算机审计的目标,审计的总体目标是对被审计单位会计报表的合法性、公允性和会计处理方法的一贯性发表审计意见。计算机审计的具体目标包括：1.系统的合法性2.系统的安全性3.系统的完整性4.系统的效率性5.系统的经济性和效益性,第一节计算机审计的目标、内容与审计程序,9,三、计算机审计的内容,(一)、计算机审计的含义1、以计算机信息系统为对象的审计。2、以计算机技术为手段进行的审计。3、用手工或电算化的方法、技术和程序对电算化或手工的信息系统所进行的审计。在我国，计算机审计主要指前两方面的内容。（二）、计算机审计的内容1、对计算机会计信息系统进行审计,第一节计算机审计的目标、内容与审计程序,10,（二）、计算机审计的内容1、对计算机会计信息系统进行审计(1).对内部控制系统的审计(2).对系统开发的审计(3).对系统应用程序的审计(4).对系统数据文件的审计2、以计算机作为审计工具进行审计(1).手工会计信息系统的计算机辅助审计(2).计算机会计信息系统的计算机辅助审计(3).审计项目管理系统的计算机辅助审计技术。包括利用计算机编制审计计划、利用计算机分析审计结果、利用计算机建立审计数据库、利用计算机编制审计工作底稿。,第一节计算机审计的目标、内容与审计程序,11,四、计算机会计信息系统审计的程序,计算机会计信息系统审计的程序与手工会计信息系统审计的程序基本相同包括以下三个主要阶段：1、计划准备阶段。根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织计算机审计小组、发出审计通知书或审计业务约定书、编制审计计划等。2、审计实施阶段。对被审计单位的内部控制制度的建立及遵守情况进行符合性测试，对系统处理功能及处理结果进行实质性测试。3。审计完成阶段。整理、评价收集到的审计证据，复核审计工作底稿，编写审计报告。,第一节计算机审计的目标、内容与审计程序,12,第二节计算机会计信息系统审计计划的制定,审计计划是指为了完成各项审计任务，达到预期的审计目标，在执行审计程序之前编制的工作计划。审计计划包括总体审计计划和具体审计计划。总体审计计划是对审计的预期范围和实施方式所做的规划，是注册会计师从接受审计委托到出具审计报告整个过程基本工作内容的综合计划。具体审计计划是依据总体审计计划制定的，对实施总体审计计划所需要的审计程序的性质、时间和范围所做的详细规划和说明。具体审计计划包括审计目标、审计步骤、执行人及执行时间、审计工作底稿的索引号及其他有关内容。,一、审计计划及其作用,13,1、设计审计程序（应该执行的任务和步骤）2、制定检查清单3、分析风险4、执行分析性复核程序5、日程安排和费用预算,二、利用计算机编制审计计划,第二节计算机会计信息系统审计计划的制定,14,三、制定计算机审计计划的注意方面,(一)、计算机信息系统的独特特征1、缺乏交易轨迹。比如可能缺少输入文件、缺乏可见的业务轨迹、缺乏可见的输出。2、同类交易处理的一致性。3、缺乏职责分工。4、在特定方面发生错误与舞弊行为的可能性较大。5、交易授权、执行与手工处理存在的差异。6、其他内部控制依赖于计算机处理。7、有利于加强管理监督。8、有利于计算机辅助审计技术的利用。,第二节计算机会计信息系统审计计划的制定,15,第三节计算机会计信息系统的内部控制与审计,1。内部控制含义内部控制是企业经营者为维护企业资产的完整性，确保会计记录的正确性和可靠性，以及对经济活动进行综合的计划、调整和评价而制定的制度、组织方法和手续的总称。内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具，又是审计人员用以确定审计程序的重要依据。2。内部控制的分类依据控制实施的范围分为：一般控制和应用控制。依据控制的意图分为：预防性控制、检查性控制和纠正性控制。依据控制所采用的手段分为：手工控制和程序化控制。依据实施控制的部门分为：电算化部门控制和用户部门控制。,一、计算机会计信息系统的内部控制及分类,16,一般控制有时称管理控制，是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制。(一)、一般控制的目的及具体目标目的是建立对计算机信息系统活动整体控制的框架，并对达到内部控制的整体目标提供合理的依赖程序。具体目标如下：1.通过一般或特殊的授权规则保证有关活动的开展具备正当的手续。2.负责资产保管人员无权接触记录资产情况的信息处理。3.负责信息处理的人员不负责执行或批准的经济业务。4.电子数据处理部门内部对不相容职能进行适当分离。5.电子数据处理部门不能纠正电子数据部门以外的错误。,二、一般控制,第三节计算机会计信息系统的内部控制与审计,17,(二)、一般控制的内容1、组织与管理控制。基本要求是权责的划分和职能的分离。包括电算部门与用户部门的职责分离，电算部门内部的职责分离，人事控制，业务授权。2、应用系统开发与维护控制。为保证计算机AIS开发过程中各项活动的合法性和有效性而设计的控制。3、计算机操作控制。用于控制系统的操作，其目的是通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会。包括操作计划、机房守则、操作规程、上机日志记录。,二、一般控制,第三节计算机会计信息系统的内部控制与审计,18,(二)、一般控制的内容4、硬件和软件控制。通过硬件、软件控制来尽可能发现错误。5、系统安全控制。是指防止影响系统安全的因素危及系统的安全，发现系统中的安全问题，并解决这些问题使系统恢复正常的措施及实施。包括硬件安全控制、程序与数据的安全控制、环境安全控制、防病毒的软件接触系统等。6、系统文档控制。要建立文档管理制度及安全保密制度。,二、一般控制,第三节计算机会计信息系统的内部控制与审计,19,(三)、一般控制的测试方法与重点1、一般控制的测试方法。可分为手工和计算机审计技术，而以手工方法为主。一般而言，测试组织与管理控制、系统开发和维护控制可用手工方法；计算机操作控制、数据和程序控制可用手工方法，同时也需要计算机辅助审计技术；系统应用软件控制主要是采取计算机辅助审计技术。2、测试重点。系统开发的测试是一般控制的测试重点。,二、一般控制,第三节计算机会计信息系统的内部控制与审计,20,应用控制是系统会计应用方面的具体控制。(一)、应用控制的目的及具体目标目的是对会计应用建立具体控制过程，从而确保全部的经济业务都经过授权和记录，并进行完整、准确和及时的处理。具体目标如下：1.所有经允许处理的数据均应转换到介质上并加以处理，并且处理的结果可通过适当的方式加以输出。2.所有输入、转换、处理和输出均应政党的时间里准确地进行。3.所有系统的输出均反映为经批准的有效的经济业务。,三、应用控制,第三节计算机会计信息系统的内部控制与审计,21,(二)、应用控制的内容1、输入控制。输入控制用于确保：第一，经济业务在计算机处理之前经过适当的批准；第二，经济业务被准确地转换为机器可读形式并记录于计算机数据文件；第三，经济业务没有丢失或不适当地增加、复制、改动；第四，拒绝、改正不适当的经济业务，必要时，及时重新补救。包括以下几个方面：数据采集控制。措施有用户部门内部的职责分离、标准化的凭证格式、制定凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制等。数据输入控制。注意凭证输入过程中可能出现的错误及相应的控制措施。,三、应用控制,第三节计算机会计信息系统的内部控制与审计,22,(二)、应用控制的内容2、计算机处理与数据文件控制。用于确保：第一，经济业务(包括系统生成的)由计算机正确地处理；第二，经济业务没有丢失或不适当地增加、复制、改动；第三，计算机处理的错误被及时地鉴别并改正。包括以下几个方面：业务时序控制。数据有效性检验。措施主要有文件标签校验、业务编码校验、顺序校验。程序化处理有效性检验。发现错误的方法有：计算正确性测试、数据合理性检验、交叉汇总检查、错误更正控制、数据点技术。账务处理系统中可采用以下控制方法：余额合理性检查、试算平衡检查、总账和明细账核对检查。,三、应用控制,第三节计算机会计信息系统的内部控制与审计,23,(二)、应用控制的内容3、输出控制。输出控制用于确保：第一，计算机处理的输出结果准确无误；第二，输出结果仅限于经过批准的人员；第三，输出及时地提供给适当的经过批准的人员。输出主要有屏幕输出、打印输出、存入磁性介质、网络传输等方式。主要控制措施有：输出授权控制。输入过程的控制总数与输出得到的控制总数相核对。审校输出结果，检查正确性、完整性。将正常业务报告与例外报告中有关数据进行分析对比。设置输出报告改送登记簿，记录报告恬送份数、时间、接受人等事项。制定输出错误纠正和对重要数据进行处理的规定。,三、应用控制,第三节计算机会计信息系统的内部控制与审计,24,(三)、应用控制的测试针对不同的应用控制，可以采用不同的测试方法：1、使用者实施的人工控制。如果系统的使用者所实施的人工控制能够为系统输入、处理、输出等的完整性、准确性和经过批准提供合理的确信，审计人员仅对使用者的人工控制进行测试。2、系统输出控制。如除了对使用者人工控制进行测试外，还可以对系统输出通过人工或计算机辅助审计技术进行测试。这些系统输出可能是光电介质或打印输出的形式。3、程序控制。如在某种情况下，对使用者人工控制或系统输出控制的测试是不可能的或不可行的，此时，审计人员可考虑利用计算机辅助审计技术重新对数据或程序进行测试。对计算机应用系统处理控制的测试是应用控制测试的重点，也是计算机信息系统环境下审计的重要内容。,三、应用控制,第三节计算机会计信息系统的内部控制与审计,25,内部控制评价的目的在于评价企业内部控制系统在防止和发现财务报表数据发生重大误述方面的作用，并为确定审计程序、范围和重点提供依据。对内部控制的评价可分三步进行：1、了解与描述计算机AIS内部控制。对内部的了解可以通过询问被审计单位的主要管理人员、查阅被审计单位的相关文件记录、观察被审计单位的业务活动及其运行情况、考虑以前年度审计过程中所了解到的相关情况及其变化。内部控制的描述方法主要有：调查表法、方案描述阖、流程图法。2、符合性测试。是对内部控制在企业中实际遵守及内部控制措施发挥预期作用情况的测试。测试检查的重点是：必要的内部控制是否重要？是否按规定执行？由谁执行？,四、内部控制的评价,第三节计算机会计信息系统的内部控制与审计,26,2、符合性测试。符合性测试的步骤：(1).确定符合性测试的顺序。(2).确定测试对象。(3).确定是否有互补测试。(4).选择测试工具或技术。(5).设计测试数据。(6).进行测试。(7).分析和评价测试结果。3、内部控制评价。在符合性测试后，根据系统应有的内部控制及控制目标对比实际有效的内部控制，对系统的内部控制是否完整有效和可以依赖作出评价。系统内部控制的信赖程度，决定是否可以较多地依赖和利用内部控制，相应减少实质性测试审计程序的数量和范围。,四、内部控制的评价,第三节计算机会计信息系统的内部控制与审计,27,第四节计算机会计信息系统审计的技术方法,1、系统开发审计的含义系统开发审计是审计人员对计算机AIS开发过程中各项活动及由此产生的系统文档所进行的审核与评价。2、系统开发审计的目的见P4293、系统开发审计的内容(1).系统分析阶段审计。方法见教材P429。在系统分析阶段，由于新生系统尚未设计，审计人员的建议易被接受，审计建议对其他各阶段均有影响。(2).系统设计阶段审计,一、计算机会计信息系统开发审计,28,3、系统开发审计的内容(2).系统设计阶段审计系统总体设计的控制点为：系统设计应采用结构化设计方法，模块的划分应遵循“高聚合、低耦合”的原则，系统文档应清晰、健全。详细设计阶段的审计方法见教材P430(3).系统实施阶段审计审计方法见教材P430(4).系统运行与维护阶段审计审计方法见教材P430,一、计算机会计信息系统开发审计,第四节计算机会计信息系统审计的技术方法,29,应用程序审计是计算机AIS审计的重点和难点。(一)、应用程序审计的目的一是测试应用系统控制的符合性；二是通过检查程序运算和逻辑的正确性达到实质性测试的目的。(二)、应用程序的测试方法1、不处理数据测试法。是指审计人员不通过计算机处理的任何数据而是通过审核和分析评审或鉴定意见书、程序流程图、程序编码、程序运行记录、程序运行结果等来达到审计目的的方法。包括：计算机AIS是否通过评审或鉴定，程序流程图检查法，程序编码检查法，程序运行记录检查法，程序运行结果检查法。,二、计算机会计信息系统应用程序审计,第四节计算机会计信息系统审计的技术方法,30,2、处理实际数据的程序测试方法。是指用户单位的计算机程序处理实际数据以确定应用控制可靠性的一种方法。处理实际数据的程序测试方法包括：(1).控制处理法：审计人员通过程序对实际会计业务的处理进行监控，判别处理和控制功能是否按设计要求起作用。(2).控制再处理法：审计人员在被审计单位正常业务处理以外的时间里亲自进行或监督进行，将某批处理过的业务再处理一次，比较两次处理的结果，以确定程序是否被非法篡改、处理和控制功能是否恰当有效。控制再处理法的工作原理见教材P433图9-1,图9-2.,二、计算机会计信息系统应用程序审计,第四节计算机会计信息系统审计的技术方法,31,2、处理实际数据的程序测试方法。(3).嵌入审计程序法:也称联机审计控制法。审计人员在被审计单位计算机AIS开发阶段，在被子审的应用程序中人为嵌入为执行特定审计功能设计的程序，用来收集审计人员感兴趣的资料，并建一个审计文件存储这些资料，通过对这些资料的审核确定应用程序处理和控制功能的可靠性。嵌入审计程序法工作原理见教材P434图9-3。(4).平行模拟法：审计人员自己或请计算机专业人员编写与被审应用程序处理和控制功能相同的模拟程序，并用模拟程序处理实际数据，将处理结果与被审程序处理结果进行对比，评价被审计程序的处理和控制功能是否可靠。工作原理见教材P435图9-4,二、计算机会计信息系统应用程序审计,第四节计算机会计信息系统审计的技术方法,32,2、处理实际数据的程序测试方法。(5).标记追踪:也审计人员在被测试的程序中安插一些审计程序段，并事先对输入数据做好标记，当带有标记的数据通过审计程序时，将该数据存储起来，等程序运行完毕后，比较处理前和处理后数据的差异。3、处理虚拟数据的程序测试方法。即通过处理事先设计的测试数据来确定应用程序的可靠性。测试过程包括：设计测试数据、手工处理设计好的数据、用被测试程序处理已设计好的数据、比较上述两种方式处理的结果，并推断应用控制的可靠性。处理虚拟数据的程序测试方法包括测试数据法和模拟单位法。,二、计算机会计信息系统应用程序审计,第四节计算机会计信息系统审计的技术方法,33,在计算机AIS中，实质性测试的对象是数据文件。计算机AIS的实质性测试与手工AIS实质性测试在内容和目的上相同，不同的是测试手段、方法和时机。1、实质性测试的范围一般情况下，符合性测试表明：内部控制的可信赖程度越高，实质性测试的范围就越小；反之，内部控制的可信赖程度越低，实质性测试的范围就越大。2、实质性测试的时间取决于以下因素：数据文件的保留时间，应在数据文件被清理前进行测试；被审计单位报表报送的时间，审计人员要对被审计单位的会计报表发表审计意见，应在报表报送之前进行测试；特殊审计需求；系统变化的时间，应在系统变化前完成审计。,三、计算机会计信息系统数据文件审计,第四节计算机会计信息系统审计的技术方法,34,3、数据抽样的标准。有以下几个标准：重要性，如在数据文件中选取娄额较大的数据进行测试敏感性，如选取外界群体比较敏感的数据记录进行检查统计抽样，如按照抽样原理进行随机抽样或分层抽样异常或例外项目，如通过分析性复核选取数据进行测试。4、确定实质性测试的方法(1).不处理数据文件的实质性测试方法(2).处理实际数据文件的实质性测试方法(3).处理虚拟数据文件的实质性测试方法,三、计算机会计信息系统数据文件审计,第四节计算机会计信息系统审计的技术方法,35,(一)、计算机网络会计系统的特点与风险与单机处理方式相比，计算机网络会计系统的特点如下：1、会计数据共享。2、会计功能共享。3、会计数据分布式输入。4、会计数据安全性要求更高。计算机网络会计系统的风险如下：1、物理风险。2、对会计信息保密性的破坏。3、对会计信息完整性的破坏。4、对系统运行的干扰。,四、计算机网络会计系统的审计,第四节计算机会计信息系统审计的技术方法,36,(二)、计算机网络会计系统审计应注意的问题对计算机网络会计系统的审计目的与单机会计系统审计的目的相同。但是在执行计算机网络会计系统审计时，应注意以下几方面问题：1、审计范围的问题。（要涉及到服务器、工作站、传输介质、计算机网络会计软件等部分）2、审计方式的选择。（采用在线实时审计的方式）3、审计方法的选择。（采用受控处理法和虚拟单位法等进行系统测试的审计方法，在系统运行的同时进行审计，对审计人员审查和评价整个计算机会计系统显得尤为重要。）,四、计算机网络会计系统的审计,第四节计算机会计信息系统审计的技术方法,37,(三)、计算机网络会计系统的审计1、审查计算机网络会计系统的硬件。（应对硬件的责任性与相容性进行测试）2、审查计算机网络会计系统的控制事项。（应就控制的适当性、控制标准的制定以及控制的主动性等方面进行测试）3、审查计算机网络会计系统的处理事项。（应就系统处理能力的完备性与可制定性、操作人员训练的适当性等进行测试。）,四、计算机网络会计系统的审计,第四节计算机会计信息系统审计的技术方法,38,(三)、计算机网络会计系统的审计4、审查计算机网络会计系统的数据。（应就数据的共同使用、数据库的控制方法以及数据定义等方面进行测试）5、审查计算机网络会计系统的安全事项。（应就传输线路的安全、资源指派的灵活性等方面进行测试）,四、计算机网络会计系统的审计,第四节计算机会计信息系统审计的技术方法,39,第五节计算机审计软件,1、按照适用范围分类通用审计软件：根据会计业务的共性设计的适用于对各类或多数计算机AIS审计的计算机程序，通常用于同一行业所有被审的计算机AIS的审计。专用审计软件：是为特定被审计的计算机AIS，或为执行特定审计任务设计的审计软件。专门审计软件是专门为解决具体问题编写的程序，所以它的运行效率通常较高。但是，专用审计软件的开发与使用成本相对说来也比较高。,一、计算机审计软件的种类,40,2、按照应用目的分类审计法规管理软件：是利用计算机进行审计法规管理的审计软件。审计抽样软件：是利用计算机进行辅助抽样的软件。工具箱式通用审计软件：是为审计人员提供计算机审计中常用的工具和手段。以表格为模型的审计软件：是利用计算机辅助编制表格的审计软件。在特定条件下完成特定任务的各种专用审计软件：为完成特定任务的审计软件。,一、计算机审计软件的种类,第五节计算机审计软件,41,目前在Windows环境上开发的通用审计软件一般包括以下功能：(一)、审计资源管理1、审计机构管理。机构管理、部门管理、职员管理、档案管理等。2、业务项目管理。项目登记、项目归档。(二)、会计资料与数据管理1、客户基本情况。2、会计数据。客户数据录入、数据转换（将计算机AIS的数据文件转换为审计软件可处理的数据文件）、会计科目与账目生成(三)、审计计划1、业务委托。业务约定书模板2、审计计划。总体计划、审计程序、计划审核,二、计算机审计软件的功能,第五节计算机审计软件,42,(四)、符合性测试1、内控评估。机生成有关内控的调查表，并生成工作底稿。2、符合性测试。确定是否进行符合性测试及测试范围，生成测试表。3、管理建议书。生成管理建议书。(五)、实质性测试1、报表项目及期后事项测试。2、合并报表。提供报表合并工作平台及抵消分录的编辑工具。(六)、审计终结1、审计调整与汇总。调整分录汇总、审计差异汇总、生成调整后的会计报表。2、审计完成。待决事项及处理、审计核对、审计总结、下次审计注意事项,二、计算机审计软件的功能,第五节计算机审计软件,43,(六)、审计终结3、编制审计报告。审计注意事项4、三级复核。审为每级复核人员提供复核工作底稿的平台。,二、计算机审计软件的功能,第五节计算机审计软件,44,(七)、审计工具1、数据查询。提供各种组合