会计信息系统第20章会计信息系统评估

1、会计信息系统 第二十章会计信息系统评估20CHAPTER第一节会计信息系统评估的概念一、信息系统评估的研究现状 二、信息系统评估的内容1.系统性能评估 2.业务支持评估 3.应用环境评估 4.效益评估 5.经验和建议 三、建立科学的信息系统评估指标体系图20-1企业信息系统评价指标体系构成第二节会计信息系统评估的方法一、会计信息系统的数据文件实质性测试 1.实质性测试的范围审计人员在对计算机会计信息系统的内部控制进行符合性测试后，需将测试结果与初步评估的结果相对比，重新确定内部控制的可靠性，并据此确定实质性测试的范围。一般情况下，符合性测试表明：内部控制的可信赖程度越高，实质性测试的范围就越小

2、；反之，内部控制的可信赖程度越低，实质性测试的范围就越大。当审计人员认为内部控制完全不可靠或没有必要依赖内部控制时，则可以直接进行实质性测试。第二节会计信息系统评估的方法一、会计信息系统的数据文件实质性测试 在计算机会计信息系统下，审计人员确定实质性测试的范围要考虑两个方面：一是测试哪些数据文件；二是对需要测试的数据文件抽取多大的样本量。前者取决于被审计单位应用的系统、经济业务类型、内部控制的强弱；后者取决于内部控制的可靠程度和经济业务量的大小，需采用审计抽样技术加以确定。在实务中，审计人员从数据文件中抽取数据记录所遵循的标准有：（1）重要性，应抽取数额较大的或性质重要的数据记录进行测试；（2

3、）敏感性，应抽取外界群体比较敏感的数据记录进行检查；（3）随机抽样，应按照统计抽样原理进行随机抽样或分层抽样；（4）异常或例外项目，通过分析性复核选取异常或例外项目数据进行测试。第二节会计信息系统评估的方法一、会计信息系统的数据文件实质性测试 2.实质性测试的时间审计人员在确定何时进行实质性测试时应考虑：（1）数据文件的保留时间，应在数据文件被清理前进行测试；（2）被审计单位报表报送的时间，审计人员要对被审计单位的会计报表发表审计意见，应在报表报送之前进行测试；（3）系统变化的时间，应在系统变化之前完成测试；（4）通过审计风险的评估，如果可接受的检查风险水平高，则实质性测试可以期中审计为主，若

4、可接受的检查风险水平低，则实质性测试应以期末审计和期后审计为主。3.实质性测试的方法图20-2辅助审计的简要程序第二节会计信息系统评估的方法一、会计信息系统的数据文件实质性测试 4.检测数据法所谓检测数据法，是指审计人员把一批先设计好的检测数据，利用被审计程序加以处理，并把处理的结果与预期的结果作比较，以确定被审计程序的控制与处理功能是否恰当、有效的一种方法。检测数据法可以用来审查会计信息系统的全部程序，也可用来审查个别程序，还可以用来审查某个程序中的某个或某几个控制措施，以确定这些控制是否能发挥有效功能。（1）数据来源与内容 （2）实施测试与对比分析 （3）运用检测数据法应注意的问题 第二节

5、会计信息系统评估的方法二、信息系统评估理论的不足信息系统评估理论从引入评估思想到如今指导企业评估实践，经历了很长的发展阶段。从企业的成本、效益分析受到启发产生经济效益分析及其评估指标，到后来从战略高度、从促进企业管理决策的角度对整个企业信息系统建设过程进行分析评估，到现在以复杂系统的观点看待信息系统评估工程，力求对企业信息系统做出客观、全面、准确、完善的评估。通常认为信息系统评估体系的滞后和不完善是企业信息系统建设中的关键问题。第二节会计信息系统评估的方法三、从计算机舞弊看评估的重要性 （一）计算机舞弊的类型1.根据在舞弊行为中计算机是否受到伤害（1）将计算机信息系统作为舞弊工具而实施的舞弊。

6、（2）以计算机资产和信息系统本身为攻击对象的舞弊。2.根据计算机信息系统舞弊的目的（1）计算机操纵。在于牟利、更改或者盗用计算机存储的信息资料。（2）计算机破坏。破坏计算机操作程序和计算机硬件系统。（3）计算机窃密。非法取得或者运作计算机信息和资料，有目的地窃取他人机密（包括商业、军事以及个人秘密）。第二节会计信息系统评估的方法三、从计算机舞弊看评估的重要性 3.根据计算机信息系统舞弊指向的具体对象（1）向计算机信息系统输入欺骗性的虚假数据和记录。（2）未经批准手续就使用计算机信息系统资源。（3）篡改或者窃取信息和文件。（4）盗窃或诈骗系统中的电子货币。（5）破坏计算机资产。第二节会计信息系统

7、评估的方法三、从计算机舞弊看评估的重要性 4.根据计算机信息系统舞弊的效果（1）程序、数据以及各种设备实体的物理性破坏。（2）用计算机盗窃资金。（3）更改程序或者数据。（4）盗用计算机资源。（5）利用计算机进行信用卡犯罪。第二节会计信息系统评估的方法三、从计算机舞弊看评估的重要性 5.根据计算机信息舞弊入侵系统的途径（1）输入类舞弊（import fraud），指发生在系统输入环节的舞弊行为，通过伪造，篡改、冒充他人身份或者输入虚假数据达到非法目的。（2）程序类舞弊（program fraud），指利用程序软件手段，通过篡改、添加或者删除系统达到舞弊目的的行为。（3）输出型舞弊（export

8、fraud），指发生在系统输出环节的舞弊行为，大多通过篡改系统输出报告、盗用系统重要信息、窃取系统机密等方式实现其目的。（4）接触类舞弊（operations fraud），又叫操作类舞弊，指通过非法接触计算机信息系统达到舞弊目的的行为。第二节会计信息系统评估的方法三、从计算机舞弊看评估的重要性 （二）计算机舞弊的方法计算机信息系统舞弊的类型虽然不外乎以上几种，但是具体的手段却是五花八门，如截尾术、特洛伊木马术、意大利香肠术、数据欺骗、冒名顶替、逻辑炸弹、活动天窗、“后门”、超级法、清扫术、计算机病毒、顺手牵羊及信用卡犯罪等。每一种类型都有着不同的舞弊手法。其中很多手段是极其专业化和智能化的，

9、需要极高的专业技巧，显得非常高明和复杂。这是信息系统舞弊区别于传统舞弊手法最明显的特点。只有了解这些手段，才能对症下药，采取有效的措施预防和控制这些舞弊行为。第二节会计信息系统评估的方法下面对计算机舞弊的方法进行简单介绍：截尾术 特洛伊木马术 意大利香肠术（salami technique） 数据欺骗 冒名顶替 逻辑炸弹 活动天窗 “后门” 超级法 清扫术第二节会计信息系统评估的方法（三）计算机舞弊的控制对策 1.建立健全有效的信息系统内部控制制度 （1）各种规章制度的制定要做到切实、有效、具体、有针对性和可操作性。（2）内部控制制度要严格控制，从管理层做好，不能因人而异，搞特殊化。（3）管理层应当切实教育所有员工了解计算机信息系统安全的重要性及计算机犯罪的危害性，使整个组织高度重视系统的安全问题。（4）及时听取内外部审计人员的意见，对内部控制系统的薄弱环节加以完善。（5）实行轮岗制度，定期调整内部控制人员的监管权限，避免少数人钻制度的空子，防止发生内外合谋行为。第二节会计信息系统评估的方法三、从计算机舞