计算机审计概论

1、更多企业学院： 中小企业治理全能版183套讲座+89700份资料总经理、高层治理49套讲座+16388份资料中层治理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各时期职员培训学院77套讲座+ 324份资料职员治理企业学院67套讲座+ 8720份资料工厂生产治理学院52套讲座+ 13920份资料财务治理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料计算机审计概论两个方面的缘故促进计算机审计的产生审计业务范围的不断扩大对电子数据处理的不断深入中国计算机审计的进展报表检查时期：

2、在20世纪80年代往常，计算机要紧应用于人民银行合同联行队长和专业统计工作，在那个时期的稽查差不多是由计算机应用的业务部门和科技部门负责，要紧对象是数据正确性，报表平衡关系，是否及时上报，设备安全和程序安全。程序功能审计时期：20世纪80年代后期，计算机应用于各个行业的各个领域，这些应用领域差不多上各行业业务工作的重要领域，直接关系着各个行业资金的运营，期间出现了一些地点利用计算犯罪的案例，在这种情况下，计算机审计应运而生，设置计算机审计机构，开始培训专业人员学习计算机知识。全面网络审计时期：进入21世纪，计算机审计工作在各个行业差不多得到了普遍的重视，范围也涉及打各行业各个领域，随着计算应用

3、领域不断扩大，涉及工作越来越跟不上各个行业信息化进展的需求。在这种情况下，许多行业单位的审计部门开始配备自己的计算机审计人员，现在计算机审计差不多成为各个行业审计的重要组成部分。金审工程：总体目标是：用若干年时刻，建成对依法同意审计监督的财政收支或者财务收支的真实、合法和效益实施有效审计监督的信息化系统。逐步实现审计监督的三个“转变”，即从单一的事后审计转变为事后审计与事中审计相结合，从单一的静态审计转变为静态审计与动态审计相结合，从单一的现场审计转变为现场审计与远程审计相结合。增强审计机关在计算机环境下查错纠弊、规范治理、揭露腐败、打击犯罪的能力，维护经济秩序，促进廉洁高效政府的建设，更好地

4、履行审计法定监督职责。计算机审计包括两方面内容对会计信息系统的设计进行审计，对会计信息系统的数据处理过程与处理结果进行审计。审计人员利用计算辅助审计。将计算机及网络技术等各种手段引入审计工作，建立审计信息系统，实现审计办公自动化。计算机审计的特点电算化信息系统审计特点审计范围的广泛性审计线索的隐蔽性，易逝性审计取证的实时性，动态性审计技术的复杂性计算机辅助审计的特点审计过程自动操纵审计信息自动存储改变了审计作业的小组成分转移了审计技术主体计算机审计的目的爱护系统资源和安全的完整性保证信息的可靠性维护法纪，爱护社会和国家利益促进计算机应用效率，效果和效益的提高促进内部操纵系统的完善 计算机审计的

5、内容审计项目治理系统的计算机辅助审计手工会计系统的计算机辅助审计会计信息系统审计内部操纵系统审计：一般操纵，应用操纵（输入、输出、处理）系统开发审计应用操纵审计数据审计计算机审计的差不多方法绕过计算机审计：指审计人员不检查机内程序和文件，职审查输入数据和打印输出资料及其治理制度的方法。优点：1 审计技术简单 2 较少干扰被审计系统的工作缺点：1 只有打印充分时才适用 2 要求输入输出联系比较紧密 3 审计结果不太可靠通过计算机审计：指除了审查输入输出数据外，还要对进内的程序和文件进行审计优点：1审计结果较为可靠 2 审计独立性强缺点：1 审计技术较为复杂 2 审计成本较高利用计算机审计：指利用

6、计算机设备和软件进行审计优缺点同（2）综合：（1）适用于简单系统，（2）（3）适用于复杂系统，（2）（3）往往紧密县官，(3)是（2）的延伸。第二章 电算化会计信息系统内部操纵审计1内部操纵分类（一）按实施的范围和对象分类：一般操纵和应用操纵（二）按操纵的目标分类：预防性操纵，探测性操纵，纠正性操纵（三）按操纵实现的方法分类：程序操纵，人工操纵2 审计风险模型审计风险=重大错报风险 * 检查风险 =固有风险*操纵风险*检查风险固有风险：计算机条件下，不考虑信息系统内部操纵可靠性的情况下，因系统中存在的难以消除的各种因素导致的资源损失或记录出错的可能性。例如：信息系统治理人员和会计人员存在利用会

7、计信息系统进行舞弊的可能。信息系统中的电子数据存在被盗窃，滥用，篡改和丢失的可能。电子数据存在的审计线索易于减少或消逝的可能原始数据的录入存在错漏的可能操纵风险：因为内部操纵不能预防，检测和纠正所有出现的资源损失或记录出错的可能性。例如：(1)设置权限密码实现职责分工的约束机制有失效的可能网络传输和数据存储故障或软件的不完善，有使嗲子数据出现异常错误的可能。系统开发和维护存在隐患的可能3 安全操纵（1）系统接触操纵（2）环境安全操纵（3）安全保密操纵：软件加密法，硬件加密法，软硬结合法（4）防病毒操纵4应用操纵分类（1）输入操纵（2）处理操纵（3）输出操纵（4）通信操纵：1 数据加密 2 数字

8、签名 3 信息摘要 4 确认/重传5数据库治理操纵（1）用户身份认证（2）数据库存取操纵（3）数据库完整性操纵（4）数据库保密操纵（5）数据库恢复操纵6 内部操纵初步审查结果评价（1）退出审计（2）对一般操纵和应用操纵进一步进行详细的审查（3）决定不依靠于内部操纵在COSO内部操纵整合框架中，定义为 ：由一个企业的董事会、治理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。COSO内部操纵整合框架把内部操纵划分为五个相互关联的要素，分不是（1）操纵环境；（2）风险评估；（3）操纵活动；（4）信息与沟通；（5）监控。

9、每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。COSO报告中内部操纵的组成1.操纵环境（Control environment） 它包括组织人员的老实、伦理价值和能力；治理层哲学和经营模式；治理层分配权限和责任、组织、进展职员的方式；董事会提供的关注和方向。操纵环境阻碍职员的治理意识，是其他部分的基础。 2.风险评估（risk assessment） 是确认和分析实现目标过程中的相关风险，是形成治理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 3.操纵活动（control activities） 是关心执行治理

10、指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产爱护和职责分离等。 4.信息的沟通与交流（information and communication） 信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的操纵成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在操纵系统中所处的位置，以及相互的关系；必须认真对待操纵给予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。 5.对环境的监控（monitoring） 监控在经营过程中进行，

11、通过对正常的治理和操纵活动以及职员执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的的有效性。关于内部操纵的缺陷要及时向上级报告，严峻的问题要报告到治理层高层和董事会。 COBIT意义COBIT将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。 （1）IT准则维集中反映了企业的战略目标，要紧从质量、成本、时刻、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； （2）IT资源要紧包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是过程的要紧对象； （3）IT过程维则是在I

12、T准则的指导下，对信息及相关资源进行规划与处理，从I规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的操纵目标和审计方针对IT处理过程进行评估。 COBIT信息技术的操纵目标（1）有效性（Effectiveness）是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。 （2）高效性（Efficiency）关于如何最佳（最高产和最经济）利用资源来提供信息。 （3）机密性（Confidentiality）涉及对敏感信息的爱护，以防止未经授权的披露 （4）完整性（Integrity）涉及信息的精确性和完全性，以及与商业评价和期望相一

13、致 COBIT信息技术的操纵目标 （5）可用性（Availability）指在现在和今后的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。 （6）符合性（Compliance）遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。 （7）信息可靠性（Reliability of Information）为治理者的日常经营治理以及履行财务报告责任提供适当的信息。 信息技术操纵目标中定义的信息技术资源*数据（Data）指最广义（例如，表面的和内在的）的对象，包括结构化和非结构化、图表、声音等等。 *应用系统（Application Systems）人工程序和电脑程序

14、的总和。 *技术（Technology）包括硬件、数据库治理系统、网络、多媒体等等。 *设备（Facilities）用来存放和支持信息系统的一切资源。 *人员（People）包括用来打算、组织、猎取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。 COBIT是一个特不有用的工具，也特不易于理解和实施，能够关心在治理层、IT审计之间交流的鸿沟上搭建桥梁，提供了彼此之间沟通的共同语言。第三章 会计信息系统开发审计1 系统开发审计的目的(1)审查系统的可行性(2)审查系统的合规性，合法性(3)审查系统内部操纵的适当性(4)审查系统的可审性(5)审查系统测试的全面性，恰当性(6)审查系

15、统文档资料的完整性(7)审查系统的可维护性2 系统分析时期的审计（1）系统目标的确定 （2）分析已有系统 （3）可行性分析 （4）需求分析3 系统设计时期的审计（1）总体设计：高内聚，低耦合（2）详细设计：数据库文件设计，代码设计，输入输出设计，处理功能设计第四章 会计信息系统应用程序审计1 应用程序审计内容（1）应用程序操纵有效性审计（输入，处理，输出）（2）应用程序合法性审计（3）程序有效性审计（4）程序编码正确性的审计2 应用程序审计的方法（1）手工审计方法：1 程序流程图检查法 2 程序编码检查法 3 程序运行记录检查法 4 程序运行结果检查法 （2）计算机辅助审计法：1 检测数据发

16、2 整体检测法（虚拟实体法） 3 程序编码比较法 4 受控处理法 5 受控再处理法 6 平行模拟法 7 嵌入审计程序法第五章 会计信息系统数据审计1 数据审计的预备工作（1）数据采集的方法1 利用被审计单位应用系统的数据转出功能采集数据2 利用被审计单位业务系统所使用的数据库系统的转出功能采集数据3 使用审计软件自带的数据转出工具采集数据4 通过直接拷贝数据文件的方式采集数据5 使用通用的数据转出工具ODBC采集数据（2）被审计数据存在的主观问题1 值缺失问题2 空值问题3 数据冗余问题4 数据值域不完整问题5 字段类型不合法问题（3）数据清理的差不多技术1 使用EXCEL清理数据2 使用SQ

17、L语言清理数据3 其他技术（*.MDB 用ACCESS的更新查询）（4）数据转换一 数据转换要紧内容1 数据类型转换2 日期 时刻格式转换3 代码转换4 金额值表示方式转换5 数据抽选二 数据转换差不多技术1 利用数据库治理系统自带的转换工具转换2 利用审计软件转换3 利用SQL语言进行转换（5）数据检验（真实，正确，完整）差不多内容：1 核对记录数 2 核对总金额 3 检查借贷平衡性 4 验证凭证号断号和重号 5 验证数据的勾稽关系第八章 计算机信息系统舞弊的操纵和审计1 计算机信息系统舞弊概述（1）计算机舞弊与传统舞弊有着专门大差不，计算机舞弊是利用计算机系统或者计算机系统实施的舞弊行为，

18、其目的具有非正当性（2）计算机犯罪是指行为人利用计算机操作所实施的危害计算机信息系统安全和其他严峻危害社会的犯罪行为（3）计算机信息系统舞弊行为包括1 篡改输入 2 篡改文件 3 篡改程序4 违法操作 5 篡改输出 6 其他手段2 计算机信息系统舞弊审计对输入系统的审查 能够应用传统方法审查手工记账凭证与原始凭证的合法性应用抽样审计技术，将机内部分记账凭证与手工记账凭证进行核对，审查输入凭证的真实性测试数据的完整性对输出报告进行分析对数据进行安全性审查对操作权限进行审查对程序类信息系统的审查 方法 (1)程序编码检查法 （2）程序比较法 （3）测试数据法 （4）程序追踪法对输出类信息系统舞弊的

19、审计一般方法：询问能观看到敏感数据运动的数据处理人员检查计算机硬件设施附近是否有窃听或者无线电发射装置检查计算机系统的使用日志，看数据文件是否被存取过，是否属于正常工作检查无关或作废的打印资料是否及时销毁，临时不用的磁盘，磁带上是否有残留数据。对接触类信息系统舞弊的审计检查系统的物理安全设施，查明无关人员能否解除计算机系统检查计算机硬件设施附件是或否有窃听或无线电发射装置注意使用杀毒软件第九章 网络审计 1 网络审计的概念(1)从网络计算机审计的角度界定：指通过网络的远程计算机审计，即通过计算机网络监控与访问被审计单位的计算机信息系统，收集审计证据，执行审计任务。（2）从审计对象角度：指综合运用网络及其相关技术对网络经济子网络系统进行审查的新型审计。2 网络审计的要素（1）网络审计主体 （2）网络审