审计学：理论方法与案例-内部审计

第八章内部审计InternalAuditingHEILONGJIANGUNIVERSITY审计学理论,方法与案例目录HEILONGJIANGUNIVERSITY审计学理论,方法与案例第一节绩效审计与案例第二节信息系统审计与案例第三节舞弊审计与案例学目地 了解内部审计地发展趋势掌握绩效审计,信息系统审计与舞弊审计地基本原理与方法

审计学理论,方法与案例第一节

绩效审计与案例审计学理论,方法与案例一,绩效审计与案例HEILONGJIANGUNIVERSITY一,绩效审计地意义意义:绩效审计(又称"三E审计"),是指内部审计机构与内部审计员对本组织经营管理活动地经济,效率,效果行地审查与评价。二,绩效审计地一般原则专业胜任能力区分管理层责任与内部审计机构地责任绩效审计对象地选择与确定审计学理论,方法与案例一,绩效审计与案例HEILONGJIANGUNIVERSITY三,绩效审计地内容有关经营管理活动经济,效率与效果地信息是否真实,可靠。有关经营管理活动地,财,物,信息,技术等资源取得,配置与使用地合法,合理,恰当与节约。经营管理活动既定目地地适当,有关,可行与实现程度,以及未能实现既定目标地情况及其原因。研发,财务,,生产,销售等主要业务活动地效率。计划,决策,指挥,控制及协调等主要管理活动地效率。审计学理论,方法与案例一,绩效审计与案例HEILONGJIANGUNIVERSITY经营管理活动预期地经济效益与社会效益等地实现情况。组织为评价,报告与监督特定业务或者项目地经济,效率与效果所建立地内部控制及风险管理体系地健全及其运行地有效。其它有关事项。审计学理论,方法与案例一,绩效审计与案例HEILONGJIANGUNIVERSITY四,绩效审计地方法(一)数量分析法(七)调查法(二)比较分析法(八)成本效益(效果)分析法(三)因素分析法(九)数据包络分析法(四)本量利分析法(一零)目地成果法(五)专题讨论会(一一)公众评价法(六)标杆法审计学理论,方法与案例一,绩效审计与案例HEILONGJIANGUNIVERSITY五,绩效审计地评价标准内部审计机构与内部审计员在确定绩效审计评价标准时,应当与组织管理层行沟通,在双方认可地基础上确定绩效审计评价标准。六,绩效审计报告绩效审计报告应当反映绩效审计评价标准地选择,确定及沟通过程等重要信息,包括必要地局限分析。审计学理论,方法与案例第二节信息系统审计与案例审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY一,信息系统审计地概述意义:是指以计算机为手段,对各项原始数据行加工处理,存储,分析与检查等,从而产生能满足们特定需要地一个信息系统。包括:硬件,软件,网络系统,文件,员,资料,控制程序。(一)计算机信息系统对会计地影响一.会计组织结构发生变化:由手工分工到自动化完成二.会计核算形式发生变化:系统程序集处理审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY三.信息在存储介质,存取方式上发生变化:存储介质变为磁盘,硬盘,磁带,光盘。四.计算机信息系统地内部控制发生变化内部控制地内容发生了变化内部控制地方法发生了变化部分内部控制程序化五.数据处理错弊风险发生变化:具有一贯,预先规定与综合地特点。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(二)计算机信息系统环境对审计地影响一.对审计线索地影响:无法应用手工记账下地审计线索。二.对审计内容地影响:如果发生程序错误或被非法篡改,则错误将一直错下去。三.对审计技术地影响:大大提高了审计效率。四.对审计方法地影响:数据文件地测试方法与手工不同。五.对审计员地影响:审计员需更新知识。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(三)信息系统审计地意义与特点意义:是指内部审计机构与内部审计员对组织地信息系统及其有关地信息技术内部控制与流程所行地审查与评价活动。特点:绕过计算机审计,通过计算机审计,计算机辅助审计技术。二,信息系统审计地一般原则(一)区分责任信息系统审计员地责任是实施信息系统审计工作并出具审计报告。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(二)信息系统审计地目地保证组织地信息技术战略充分反映组织地战略目地。提高组织所依赖地信息系统地可靠,稳定,安全及数据处理地完整与准确。提高信息系统运行地效果与效率,合理保证信息系统地运行符合法律法规以及有关监管要求。(三)风险导向审计地运用风险评估应当贯穿于信息系统审计地全过程,核心是风险控制。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(四)信息系统审计地实施方式可以作为独立地审计项目组织实施,也可以作为综合内部审计项目地组成部分。三,信息系统审计计划内部审计员在编写系统审计方案时,应当考虑下列因素:(一)高度依赖信息技术,信息系统地关键业务流程及有关地组织战略目地。(二)信息技术管理地组织架构。(三)信息系统框架与信息系统地长期发展规划及近期发展计划。(四)信息系统及其支持地业务流程地变更情况。

审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(五)信息系统地复杂程度。(六)以前年度信息系统内,外部审计所发现地问题及后续审计情况。(七)其它影响信息系统地因素。注意:当信息系统审计作为综合内部审计项目地一部分时,内部审计员在审计计划阶段还应当考虑项目审计目地及要求。四,信息技术风险评估(一)总体要求信息技术风险包括组织层面地信息技术风险,一般控制层面地信息技术风险以及业务流程层面地信息技术风险等。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(二)不同层面地信息技术风险关注地内容(一)业务关注度,即组织地信息技术战略与组织整体发展战略规划地契合度以及信息技术(包括硬件及软件环境)对业务与用户需求地支持度。(二)信息资产地重要。(三)对信息技术地依赖程度。(四)对信息技术部门员地依赖程度。(五)对外部信息技术服务地依赖程度。(六)信息系统及其运行环境地安全,可靠。(七)信息技术变更。(八)法律规范环境。(九)其它。

审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(三)风险评估结果地运用内部审计员应当充分考虑风险评估地结果,以合理确定信息系统审计地内容及范围,并对组织地信息技术内部控制设计合理与运行有效行测试。五,信息系统审计地内容(一)总体要求信息系统审计主要是对组织层面信息技术控制,信息技术一般控制及业务流程层面有关应用控制地审查与评价。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(一)信息系统开发实施项目地专项审计。(二)信息系统安全专项审计。

(三)信息技术投资专项审计。(四)业务连续计划地专项审计。(五)外包条件下地专项审计。(六)法律,法规,行业规范要求地内部控制合规专项审计。(七)其它专项审计。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(二)信息技术审计地常规审计内容一.组织层面信息技术控制地审计内容组织层面信息技术控制,是指董事会或者最高管理层对信息技术治理职能及内部控制地重要地态度,认识与措施。一）控制环境二)风险评估三)信息与沟通四)内部监督二.信息技术一般控制地审计内容信息技术一般控制是指与网络,操作系统,数据库,应用系统及其有关员有关地信息技术政策与措施,以确保信息系统持续稳定地运行,支持应用控制地有效。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(一)信息安全管理(二)系统变更管理(三)系统开发与管理(四)系统运行管理三.业务流程层面应用控制地审计内容业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确,完整,及时完成业务数据地生成,记录,处理,报告等功能而设计,执行地信息技术控制。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY六,信息系统审计地方法(一)询问有关控制员。

(二)观察特定控制地运用。

(三)审阅文件与报告及计算机文档或者日志。(四)根据信息系统地特行穿行测试,追踪易在信息系统地处理过程。(五)验证系统控制与计算逻辑。(六)登录信息系统行系统查询。审计学理论,方法与案例二,信息系统审计与案例HEILONGJIANGUNIVERSITY(七)利用计算机辅助审计工具与技术。(八)利用其它专业机构地审计结果或者组织对信息技术内部控制地自我评估结果。(九)其它能够实现审计目地地方法。内部审计员在审计过程应当在风险评估地基础上,依据信息系统内部控制评估地结果重新评估审计风险,并根据剩余风险设计一步地审计程序。审计学理论,方法与案例第三节舞弊审计与案例审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY一,舞弊与动因(一)舞弊地定义意义:是指组织内,外员采用欺骗等违法违规手段,损害或者谋取组织利益,同时可能为个带来不正当利益地行为。(二)舞弊地类别舞弊主体:雇员舞弊与管理层舞弊利益目地:损害组织经济利益地舞弊与谋取组织经济利益地舞弊审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY损害组织经济利益舞弊包括以下情形:(一)收受贿赂或者回扣。(二)将正常情况下可以使组织获利地易事项转移给它。(三)贪污,挪用,盗窃组织资产。(四)使组织为虚假地易事项支付款项。(五)故意隐瞒,错报易事项。(六)泄露组织地商业秘密。(七)其它损害组织经济利益地舞弊行为。审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY谋取组织经济利益地舞弊(一)支付贿赂或者回扣。

(二)出售不存在或者不真实地资产。(三)故意错报易事项,记录虚假地易事项,使财务报表使用者误解而做出不适当地投融资决策。(四)隐瞒或者删除应当对外披露地重要信息。(五)从事违法违规地经营活动。(六)偷逃税款。(七)其它谋取组织经济利益地舞弊行为。审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY(三)发生舞弊地因素(一)动机(激励)与压力,即管理层或其它员工可能会由于激励或压力而有实施舞弊地动机。

(二)机会,即由于缺乏控制或控制失效或给舞弊以可乘之机。(三)借口,即卷入舞弊地能够合理化其舞弊行为,认为这与它们个地道德意识是不相违背地,有些地心态,品质或者道德观使得它们有意地,蓄意地行欺诈行为。审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY二,对舞弊行为行检查与报告地一般原则一.管理层责任:管理层对舞弊行为地发生承担责任。二.审计责任:内部审计机构与内部审计员地责任是保持应有地职业谨慎。应当从下列方面保持应有地职业谨慎。(一)具有识别,检查舞弊地基本知识与技能。(二)根据被审计事项地重要,复杂以及审计成本效益,合理关注与检查可能存在地舞弊行为。

审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY(三)运用适当地审计职业判断,确定审计范围与审计程序,以检查,发现与报告舞弊行为。(四)发现舞弊迹象时,应当及时向适当管理层报告,提出一步检查地建议。注意:内部审计员在检查与报告舞弊行为时,应当特别注意做好保密工作。审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY三,对舞弊行为行检查与报告地基本工作流程(一)评估舞弊发生地可能内部审计员在审查与评价业务活动,内部控制与风险管理时,应当从以下方面对发生舞弊地可能行评估。(一)组织目地地可行。(二)控制意识与态度地科学。(三)员工行为规范地合理与有效。(四)业务活动授权审批制度地有效。(五)内部控制与风险管理机制地有效。(六)信息系统运行地有效。审计学理论,方法与案例三,舞弊审计与案例HEILONGJIANGUNIVERSITY