第十章 计算机信息系统环境下的审计

1、陈汉文/主编,厦门大学出版社,审 计,2,第十章 计算机信息系统环境下的审计 第一节 计算机信息系统对审计的影响 第二节 计算机信息系统的内部控制及其测试 第三节 计算机信息系统环境下的其他因素,21世纪会计学系列教材,3,第一节 计算机信息系统对审计的影响,4,计算机信息系统的基本特点,（一）数据存储电子化 信息系统计算机化（亦称“电算化”）后，相关数据一般以电子化的形式存储在磁盘、光盘等电子存储设备中，具有存取方便、易于修改与删除等特点。但恰恰是这一特点可能导致以下问题的产生： （1）输入文件不可视。 （2）交易轨迹不可视。 （3）输出文件不可视。,5,计算机信息系统的基本特点,（二）数据

2、处理自动化 在手工信息系统中，数据处理由不同人员按照一定的工作流程来协同完成，整个处理过程清晰可见，易于为审计人员所检查。 信息系统电算化之后，绝大部分的数据处理由计算机自动完成，处理结果是否真实可靠，在很大程度上取决于数据处理过程所使用的计算机硬件系统和软件系统是否准确可靠、操作运行以及处理流程是否符合要求等等。,6,计算机信息系统的基本特点,（三）信息系统集成化 （四）对操作人员素质要求提高 （五）内部控制的程序化 计算机信息系统的内部控制在许多环节上实现程序化控制，其在控制环境、控制程序、监督等内控要素方面的内容发生了变化，主要包括以下几个方面： 1.设备及其实物控制 2.数据和计算机程

3、序的接近控制 3.职责分工 4.授权方法 5.监督,7,计算机信息系统对审计的影响,在计算机信息系统环境下审计的一些基本原则也是保持不变的： （1）审计的目标不变。 （2）审计的依据不变。 （3）对审计证据的要求不变。 （一）对审计风险的影响 审计人员应当考虑计算机信息系统影响审计风险的独特方式。 由于计算机信息系统不但使得数据的处理高度自动化、数据的存储高度电子化，而且使得会计信息系统与其他系统高度集成，造成系统的复杂程度加大，所有这些都增加了审计的风险。,8,计算机信息系统对审计的影响,（二）对审计内容的影响 计算机信息系统的特点及其固有的风险决定了审计的内容不但要包括传统方式下对系统输出

4、结果(即财务报表及相关信息)的审查，而且要包括对信息系统本身的审查。 （三）对审计技术的影响 首先，在计算机信息系统环境下，如果审计仍然采用常规的手工系统的那一套审计技术，就不可能达到审计的目的。 其次，由于审计的内容扩大到信息系统本身，迫使审计人员采用计算机辅助审计技术，用日益先进的计算机审计软件去对付单机、网络、多用户等各种工作平台下的信息系统。,9,计算机信息系统对审计的影响,（四）对收集与评价审计证据的影响 随着计算机信息系统和内部控制技术的日益复杂，审计证据评价的难度也越来越大。 计算机系统的错误产生的结果比手工系统更为严重。 （五）对审计人员素质要求的影响 为了有效地利用计算机进行

5、审计，审计人员还要能够使用或开发各种辅助审计软件，以适应计算机信息系统所特有的属性和风险。,10,计算机信息系统对审计的影响,（六）对审计准则的影响 由于计算机信息系统的应用，审计轨迹、审计内容以及审计技术手段等方面发生了一系列的变化，因此，计算机信息系统环境要求有一套与之相适应的新的审计准则。 （七）对审计计划的影响 1.计算机信息系统的使用范围 2.计算机信息系统的复杂程度 3.计算机信息系统的组织结构 4.审计人员所能获取的资料 5.计算机辅助审计技术的应用 6.对计算机专家的利用,11,第二节 计算机信息系统的内部控制及其测试,12,计算机信息系统的内部控制,在计算机信息环境下，内部控

6、制分为自动化成分和人工化成分两个有机部分。 对以下情形，自动化的控制更适合：针对大量或重复发生的交易，事先可预见的错误能够通过自动化控制得以防范或发现，控制活动得以适当设计和自动化处理。 尽管信息技术下的内部控制比传统手工环境下的内部控制在控制效率和效果上有了很大提高，但是计算机信息系统的引入也带来了一些传统手工会计系统下所没有的风险。,13,计算机信息系统的内部控制,由于计算机信息条件下的内部控制存在上述固有局限性，很多时候内部控制的人工成分在处理涉及主观判断的状况或交易事项时可能更适当。 为合理保证内部控制在计算机信息条件下的效率和效果，计算机信息系统应具备的必要的控制可以分为三种类型：

7、一般控制 应用控制 用户控制,14,计算机信息系统的控制测试,图10-1是计算机信息系统的控制测试流程图。,图10-1 计算机信息系统的控制测试流程图,15,计算机信息系统的控制测试,（一）了解计算机信息系统的内部控制 1.组织结构 审计人员不仅要了解传统的公司部门设置等组织结构，还需要了解电子数据处理部门的组织结构的以下内容： （1）公司计算机设备使用情况， （2）电子数据处理过程的组织结构、各项具体的电子数据处理过程的流程以及有关的组织部门。 2.权责划分 审计人员要取得以下资料以对职责划分和授权情况进行评价： （1）公司的会计处理以及其他业务处理手册，特别是电算化会计操作手册； （2）电

8、子数据处理部门各个岗位的工作说明书。,16,计算机信息系统的控制测试,3.控制活动 审计人员需要了解以下控制计算机信息系统运行的方法： （1）计算机信息系统职能的组织和运作； （2）系统设计标准是否存在及其实际应用情况； （3）新程序和程序修改的授权、记录和测试流程； （4）对数据文件、程序和计算机硬件的接近控制及其程度； （5）计算机信息系统是否提供预算、绩效等实施管理控制方法的内部报表； （6）内部审计部门对计算机信息系统的开发、控制、评估与测试的参与程度，以及对电算化会计系统的审查情况； （7）设计、记录和测试系统的流程； （8）硬件控制和环境控制的存在性； （9）文件备份的程度； （1

9、0）灾难恢复计划的存在性，包括替代处理场所； （11）数据控制组的职能。,17,计算机信息系统的控制测试,（二）测试计算机信息系统的内部控制 1.一般控制的测试 （1）组织控制 组织控制的关键控制点是职责是否充分分离。 （2）接近控制 在某种意义上，接近控制也就是测试计算机信息系统操作的 授权控制。 （3）系统开发和维护控制 在研究系统开发和文档控制的政策和程序时，审计人员应当特别注意被审计单位的授权政策以及规定系统和系统修改的文档记录要求。 （4）处理操作控制 计算机会计系统和手工方式对数据加工的方法和流程截然不同，因而检查和纠正错误的方法也不同。,18,计算机信息系统的控制测试,（5）环境

10、控制 计算机信息系统是在一定的环境下运行的，这些环境因素主要包括硬件、操作系统以及其他应用软件。 2.应用控制的测试 应用控制测试的主要内容是测试被审计单位电子数据处理系统的输入、处理和输出的准确性与完整性。 审计人员可以采用“绕过计算机审计”(auditing around the computer)和“透过计算机审计”(auditing through the computer)的方式对应用控制进行测试。图10-2是这两种方法的比较。,19,计算机信息系统的控制测试,图10-2 绕过计算机审计与透过计算机审计的比较,20,计算机信息系统的控制测试,（1）绕过计算机审计 绕过计算机审计的一个

11、主要方法是并行模拟法(parallel simulation approach)。并行模拟法要求审计人员设计一套模拟被审计单位信息系统的数据处理系统，运用模拟系统处理被审计单位的实际数据，比较实际系统和模拟系统的输出。 并行模拟法实际上是一种自动化的绕过计算机审计测试技术，它对输入和输出的比较忽略了被审计单位处理系统的基本特征，如果输出是一样的，则被审计单位的电子数据处理系统正确地处理了交易。 图10-3是并行模拟法的示意图，图10-4是并行模拟法的一个具体应用。 绕过计算机审计具有易于理解的优点，因为从原始文档追踪到输出不要求深入研究应用软件。然而，它的一个主要的缺点是由于审计并没有直接测试

12、控制，因而无法确认处理过程。,21,计算机信息系统的控制测试,图10-3 并行模拟法的示意图,22,计算机信息系统的控制测试,图10-4 并行模拟法的应用,23,计算机信息系统的控制测试,（2）透过计算机审计 透过计算机审计(白盒法)不再视计算机为一个“黑箱”，而是直接测试计算机信息系统，它具有使审计人员在简单和复杂的系统中都能进行控制测试的优点，亦可以使审计人员对交易的处理做出直接的认定。 测试数据法(test data approach) 测试数据法也叫模拟数据法，是利用模拟业务数据来测试计算机信息系统内部控制的一种方法。 测试数据法包含四个步骤： （1）审计人员获得客户程序的副本和相关的

13、数据文件； （2）设计模拟测试数据，并根据程序说明书的描述得出预期结果； （3）将测试数据转换成计算机可读形式，并输入被审计单位的处理系统； （4）将处理结果与预期结果进行比较，以确定控制的有效性。 图10-5是测试数据法的示意图。,24,计算机信息系统的控制测试,图10-5 测试数据法的示意图,25,计算机信息系统的控制测试,理想的测试数据应当含有处理逻辑要求的所有输入内容。测试数据可以是从企业真实交易中抽取出来的，也可以是审计人员自己想像出来的虚拟交易数据。 审计人员输入一系列以上虚假交易的数据，待系统处理后，看看能否产生事先预期的错误信息提示（如图10-6所示）。,26,计算机信息系统的

14、控制测试,图10-6 测试数据法的应用,27,计算机信息系统的控制测试,测试数据法存在三个主要的缺陷： （1）审计人员较难设计出有效的测试数据，以彻底测试被审计单位电子数据处理系统的控制。 （2）由于测试数据是在客户的电子数据处理系统中运行的，因此必须把虚构的测试数据及其结果从系统中清除，这样才不会破坏客户的数据库文件。 （3）审计人员必须保证所测试的程序的确是被审计单位处理交易时实际使用的程序。 整合测试法(integrated test facility approach) 整合测试法也称虚拟主体法，是对测试数据法的改良。虚拟主体法是审计人员在系统设计阶段，在被审计单位的实际数据文件中创建

15、一个虚拟的主体，虚拟主体的数据作为被审计单位数据的一部分进入正常的处理程序。 图10-7是虚拟主体法的示意图。,28,计算机信息系统的控制测试,图10-7 整合测试法（虚拟主体法）的示意图,29,计算机信息系统的控制测试,标记追踪法(tagging and tracing approach) 标记追踪法是审计人员对客户的输入数据予以标记，在交易处理过程中，标记触发“快照”，快照被储存起来，只能由审计人员使用。审计人员通过专门的审计软件来跟踪该输入数据在电子数据处理系统中处理的完整路径，以便了解程序之间的联系和逻辑图，帮助判断程序是否有效运行。 图10-8是标记追踪法的示意图。 标记追踪法可以保

16、留审计轨迹，便于追查交易流程，可以在复杂的系统中追溯数据处理全过程。,30,计算机信息系统的控制测试,图10-8 标记追踪法的示意图,31,计算机信息系统的控制测试,嵌入测试法（embedded test facility approach） 嵌入式测试程序是由审计人员提供的程序代码的一部分，并且与客户的处理程序合成一体，由审计人员决定嵌入点，以测试控制的有效性。 嵌入测试法通常有两种具体的方法： 一是系统控制审计复核文件法（system control audit review file, SCARF）， 二是样本审计复核文件法（sampling audit review file, SAR

17、F）。 突击审计法（surprise audit approach） 突击审计是在计划的期间和期终审计阶段之外，审计人员以不事先通知的方式，要求检查被审计单位特定的电子数据处理过程。 3.用户控制的测试,32,计算机信息系统的审计风险,（一）降低重大错报风险的估计水平 （二）确定检查风险 为了将检查风险控制在合理的水平，审计人员应当在重大错报风险评估的基础上仔细考虑下述的计算机信息系统特征和内部控制测试方法： （1）由于在线实时处理系统和EDI系统的无纸化，审计人员应当更多地介入系统的设计。 （2）由于计算机信息系统的复杂性以及测试可能给文件带来破坏，除了自行对计算机信息有关程序和数据进行备份

18、外，计算机审计专家参与审计小组也是很有必要的。 （3）经常（每季或每月）走访被审计单位的办公场所，执行控制测试和实质性测试。 （4）由于通过计算机可以修改数据库并伪造交易文档，审计人员必须对管理当局舞弊可能性的增加保持警惕。,33,第三节 计算机信息系统环境下的其他因素,34,通用审计软件,通用审计软件（Generalized Audit Software，GAS）是预先设计好的标准化的一系列程序包，用以协助审计人员读取、计算、分析并处理电子数据，执行一定程度的审计功能。 （一）通用审计软件的开发步骤 1定义审计目标 2执行可行性分析 3进行应用设计 4测试和评估,35,通用审计软件,（二）通

19、用审计软件的功能 1验算 2选取审计样本 3核对不同文件中的数据 4浏览业务数据以发现异常 5汇总或重新排列数据并进行分析 （三）通用审计软件的优缺点 采用通用审计软件有以下优点： （1）在某些审计程序的应用上可以大大提高审计效率，减少审计成本； （2）能扩大审计范围，使审计人员更深入地分析潜在的问题；,36,通用审计软件,通用审计软件也存在缺点： （1）通用审计软件在不同品牌计算机、不同设备组合的电子数据处理系统、使用不同的程序语言以及不同的数据与文件配置时可能不兼容； （2）通用审计软件仅能验证数据处理过程的逻辑； （3）通用审计软件适用于常规的一般性审计业务，无法处理特殊的审计工作； （

20、4）如果业务类似的客户数量不多，开发通用审计软件将不符合成本效益原则。,37,微机辅助审计技术,（一）第一阶段：某些审计程序的自动化 这是微机的典型应用，它可以替代原先审计人员的手工调整、汇总、过账等机械性工作。 微机可以用于编制试算平衡表以及工作底稿，从而提高审计效率。 （二）第二阶段：基本审计功能 审计人员可以利用微机处理一些较为复杂、工作量较大的审计任务。 （三）第三阶段：高级审计功能 某些大型的会计师事务所利用微机已能够实现一些高级的审计功能。 （四）第四阶段：未来的展望,38,专家系统,专家系统是指在计算机中建立的一套存放许多专家的知识与经验的数据库。 专家系统可以在特定领域内做出具有专家质量的决策，它对于财务报表审计具有两方面的好处。 第一，可以增加对专家知识的利用。 第二，有助于业务执行中的一致性，增加训练新决策者的效率。 专家系统一般由两部分构成： 一套专家知识基础和一系列的决策参数。 另一种类型的专家系统神经网络系统则更为先进。,39,计算机舞弊,计算机舞弊从广义上称作计算机滥用（computer abuse），从狭义上称作计算机欺诈（com