会计信息系统审计 (2)ppt课件

1、会计信息系统Accounting Information System 安徽工业大学管理学院.第十二讲会计信息系统审计 .本讲主要内容会计信息系统审计概述 会计信息系统审计的主要内容控制符合性测试本质性测试 .1.会计信息系统审计概述为了确保信息系统的有效性和可靠性，必需对系统的运作进展定期检查，即执行信息系统的审计，信息系统的审计又称为电算化审计EDP Auditing，须由EDP审计师执行。信息系统的审计目的与传统的财务审计目的并无根本区别，大多数根本的审计方法、程序亦依然适用。信息系统的审计或EDP审计，普通可分为三个阶段：审计规划、控制符合性测试和本质性测试。.1.会计信息系统审计概述

2、审计规划阶段的一项重要义务是分析审计风险。审计师要确定第二、三阶段测试的性质和范围，就必需对审计的对象有透彻的了解。风险分析包括对企业信息系统的普通控制和运用控制进展全面的评价与检查。在全面检查企业信息系统的普通控制进时，审计师要熟习企业的战略性和操作性政策、运营运作和组织构造。审计师还要了解企业的财务与会计系统，以及这些系统处置运营买卖过程中的控制。.1.会计信息系统审计概述审计规划阶段搜集审计证据的方法包括调查询卷、面谈、审阅系统描画记录和实地察看。在这个过程中，EDP审计师要着重留意能够出问题的环节和相关的控制功能。随后，EDP审计师将执行第二阶段的审计，即对信息系统的现有控制加以符合性

3、测试Compliance tests，从而鉴定有关系统控制的有效性。.1.会计信息系统审计概述符合性测试的主要目的是检查企业的内部控制机制能否健全。为了到达这一目的，EDP审计师需求对信息系统的普通控制和运用控制执行一系列的测试或检验。之后，EDP审计师必需对企业的内部控制的可靠性与效率作出较全面的评价，并且据以确定下一步对财务报表工程所作本质性测试的性质、范围和时间。普通地说，假设企业内部控制可靠，运作效果良好，审计师可以相对地添加对内部控制的依赖程度，适当地减少对财务报表资料进展本质性测试的内容、范围和时间。.1.会计信息系统审计概述本质性测试Substantive tests的重点是对信

4、息系统输出财务报表资料的检查，包括查验会计账户的余额和买卖记录的准确性和可靠性。本质性测试比较费时费力，但本质性测试检查的性质和范围取决于审计过程第二阶段对企业内部控制的符合性测试的结果和评价。cnshu 精品资料网.1.会计信息系统审计概述控制符合性测试和财务报表工程的本质性测试的目的都是为了尽能够地降低审计风险，保证审计结论的正确性。系统控制的符合性测试着重检查企业的内部控制机制。内部控制越强，信息系统出现过失的机率就越小，审计师可以相应地减少本质性测试的范围与数量。反之，内部控制越弱，信息系统出问题的机率就越大，审计师就必需添加第三阶段的本质性测试，以便及时发现财务资料处置与企业运营方面

5、的潜在问题。.2.会计信息系统审计的主要内容2.1控制符合性测试主要是检查以下几方面的控制：操作系统控制资料控制组织构造控制系统开发控制系统维护控制计算机中心平安控制传导通讯控制电子资料交换控制微机控制.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统和周边环境严密关联。为了防止人为的或非人为的毁损破坏，操作必需建立一整套平安防护措施，以便完成以下目的：防护操作系统本身不蒙受运用者作业或者运用程序的毁损；操作系统要能防止不同运用者之间或运用程序之间的相互影响或干扰；.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统必需具备内置防护控制，防止操作系统各个模块的

6、相互窜扰或侵蚀；操作系统要可以抵御外界环境要素骤变如断电和各种自然灾祸的要挟。假设企业的操作系统控制不健全，那么无法实现上述控制目的，并且将影响信息系统的有效运作。.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统审计的重点在于检查各项预先设计的平安措施和控制步骤能否严密和有效，能否足以防护操作系统不受硬件失灵、软件过失、人为缺点和病毒侵蚀等要素的干扰。操作系统的符合性测试着重于检查企业的平安控制政策和计算机病毒控制技术。.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统平安控制政策的有效性可以借助特殊的审计软件来测试。审计师还可以运用以下非技术性测试方法，

7、以便进一步获得有关操作系统控制可靠性的证据：查阅企业的有关政策文件，检查能否建立操作系统通行口令制度，以及对通行口令的授予和更改程序能否合理适当。查阅员工招聘记录，尤其要检查对有权接近和操作信息系统的每位员工能否经过严密平安性审查。cnshu 精品资料网.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试查阅员工记录，确定员工能否均有书面承诺保守企业资料性的责任。企业的保安小组有责任监视和报告任何违反平安控制政策的行为。审计师可以抽查企业的平安控制违规案例记录，经过对这些案例处置结果来评价保安小组的绩效。审计师要查证企业有关人员对各种资料和计算机程序的运用能否符适宜当的授权。检查的方法

8、包括对比企业的买卖或作业授权清单，以及察看实践的授权控制造业关况。.2.会计信息系统审计的主要内容2.1.1操作系统控制的测试控制电脑病毒侵蚀的关键在于严厉执行企业关于防备计算机病毒入侵的政策和措施。审计师要查核这方面的政策能否曾经建立并得以严厉遵照。审计师可以运用以下测试来检查信息系统的抗病毒控制能否充分有效：查阅企业能否规定必需向声誉良好的软件供应商购买抗病毒软件，并检查核对有关的购货单。审查企业的抗病毒软件的运用政策。查核与测试安装于企业计算机系统内的各种作业程序或运用程序能否均有适当的版权和经过正式授权同意。.2.会计信息系统审计的主要内容2.1.2资料资源控制的测试EDP审计师测试资

9、料控制的目的是要检查现有控制措施能否可以保证资料资源的完好和平安。这主要包括两方面的测试：资料的后备拷贝能否足以复原遗失或毁坏的资料；审计师要检查能否建立适当的后备拷贝，能否储存在平安的地点，以及能否配置可靠的措施防备因各种自然灾祸或人为缺点而呵斥的损失。.2.会计信息系统审计的主要内容2.1.2资料资源控制的测试对资料库的存取接近能否严厉于已授权的作业的需求。资料库的存取接近控制至关重要。审计师要查核既定系统能否有着严厉的授权控制，以及授权能否妥当。也就是说，即使授权的系统操作人员和运用者，亦只能由于特定的买卖作业需求而接近存取特定的资料库资料。.2.会计信息系统审计的主要内容2.1.3组织

10、构造控制的测试测试组织构造控制主要是为了检查系统内部职能分割的合理性。审计师必需查核不相容的职能能否均有严厉的分割，以及职能划分能否在实践作业中得以仔细执行。详细测试可包括以下几方面：审阅企业的组织构造文件。审计师要查阅有关的文件，如现行组织构造图、企业运营战略与目的，以及作业手册和重要职能阐明，鉴别信息系统内部主要的职能能否明确分割。cnshu 精品资料网.2.会计信息系统审计的主要内容2.1.3组织构造控制的测试检查系统描画记录。审计师必需抽样检查信息系统的维护记录，以便确定担任系统维护的程序师不是原先的系统程序设计师系统设计和维护职能分割。行为察看。审计师可以经过实地察看，确定各项关键职

11、能任务能否由不同的员工担任，以及职能分割控制的实践作业程序。.2.会计信息系统审计的主要内容2.1.4系统开发控制的测试EDP审计师测试系统开发控制的目的是：系统开发的各个阶段能否都已严厉地执行企业的有关政策和规那么；系统投入运用后有无发现艰苦操作问题或舞弊行为；系统开发各阶段的报告能否均获取运用者和高层主管的认可与签署审批；系统文件记录能否准确完好，便于审计和系统维护。.2.会计信息系统审计的主要内容2.1.4系统开发控制的测试系统开发控制的测试偏重于下述两方面：检查系统开发过程能否有内部审计师的长期与经常性参与。企业的内部审计人员该当参与系统的开发作业，并在每个开发阶段终了时作出审查评价，

12、确定各项系统开发作业能否完全遵照既定的政策与规划。内部审计有助于尽快地发现与纠正系统开发中的失误与弊端。检查整个系统开发周期的文件记录。审计师可以抽查一部分已完成的系统开发文件记录，验证开发作业能否符合的政策与规划。.2.会计信息系统审计的主要内容2.1.5系统维护控制测试EDP审计师测试系统维护的目的在于检查能否存在未经授权擅自修订或更改系统的问题。审计师必需检查与确定以下各事项：系统维护的政策与规那么能否保证运用程序不受非法窜改；各项运用程序不存在艰苦过失；对程序资料库的存取接近均有经过严厉的审批和登记程序。cnshu 精品资料网.2.会计信息系统审计的主要内容2.1.5系统维护控制测试为

13、了检查能否存对运用程序的未经授权的窜改，审计师可执行以下的测试：核对运用程序的版本。审查系统维护的审批手续。.2.会计信息系统审计的主要内容2.1.5系统维护控制测试为了检查运用程序中能否存在艰苦过失，审计师可执行以下几方面的测试：核对程序编码。检查维护作业测试结果记录。重新测试应有程序。.2.会计信息系统审计的主要内容2.1.5系统维护控制测试建立程序资料库及其存取接近控制是防止过失和防止计算机系统舞弊的重要环节。程序资料库集中管理系统内部的各项操作和运用程序，只需程序管理员有权接近程序，存取需求加维护的程序。系统维护的程序编写人员只能经过程序管理员调出和缴回所需维护和测试的计算机系统程序，

14、他们不能直接接近程序资料库。审计师可以抽查系统维护与调试记录，确定能否与程序资料库的程序存取记录相符合。.2.会计信息系统审计的主要内容2.1.6计算机中心的平安测试EDP审计师测试计算机中心平安的目的是要评价计算机中心平安控制的健全和有效性。详细内容包括：评价实体平安措施能否足以维护计算机中心的平安；审查对企业购买的保险金额能否足以赔偿计算机中心能够蒙受的损失；操作作业手册和文件记录能否确保计算机中心的正常运作和有效处置系统缺点；计算机中心的灾情恢复方案能否可行。.2.会计信息系统审计的主要内容2.1.7通讯传导控制的测试EDP审计师测试通讯传导控制的目的是要确定资料传导渠道或媒体的平安与完

15、好。传导渠道的有效控制包括：有效侦查与恢复因设备缺点引起的传送资料遗失；防备对通讯线路的非法窜入者窃取的资料。.2.会计信息系统审计的主要内容2.1.7通讯传导控制的测试资料通讯传导的控制测试包括：从作业记录中抽样检查能否由于通讯线路拥堵呵斥被传送资料的内容失真；检查资料传送的作业记录，确定能否一切的资料均按既定的顺序接纳与发送；检查关于资料编码的平安措施；确定各种敏感资料，如通行口令等到能否经过适当的编码维护。cnshu 精品资料网.2.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试审计电子资料交换控制系统的目的是要确定：一切的电子资料交换均遵照既定政策，并且经过适当的授权；未经

16、事先授权的外部企业或个人一概不得接近买卖资料库；经授权的外部企业商业同伴只能存取与往来买卖相关的特定资料；一切的电子资料交换都要保管审计脉络.2.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试电子资料交换控制的测试主要有以下三种：授权控制的测试。审计师要审核商业同伴进出本企业资料库的运用者身份码均已事先经过审批生效。.2.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试存取资料控制的测试。能否只需经授权的人员才干接近存取供应商和客户资料档；有关通行口令和授权清单能否都经过编码维护处置；商业同伴接近本企业资料库存取资料能否限制于合同规定的范围之内；检查本企业买卖资料库能否能

17、够被非授权人士非法窜入。.2.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试审计脉络控制的测试必需审查电子资料交换的全部过程能否都有作业记录。审计师可以从作业记录中抽样检查关键资料的记录能否准确无误。.2.会计信息系统审计的主要内容2.1.9微机控制的测试EDP审计师对微机控制的测试主要检查以下四个方面：能否存在明确有效的监视管理和规章制度，以保证运用者、程序设计师和操作人员之间适当的职能分割；cnshu 精品资料网.2.会计信息系统审计的主要内容2.1.9微机控制的测试能否只需经授权的人员才干运用企业的微机存取资料或接近程序档案；能否存在完善的后备恢复措施，以防备因计算机缺点引起

18、的资料消逝或者程序失灵；能否建立严厉措施，以保证外部购入的运用程序的性能、质量和妥善维护。.2.会计信息系统审计的主要内容2.2.10测试运用程序的控制系统控制测试包括普通控制测试和运用程序控制测试两个部分。运用程序控制测试通常有两种方法：黑箱绕过计算机法Black box(Around the computer approach)白箱穿过计算机法White box(Through the computer approach。.2.会计信息系统审计的主要内容黑箱法测试所谓黑箱法是指审计师在审计时对计算机系统不心详细了解，只需求经过对系统流程图的分析以及与系统有关人员的面谈，了解企业信息系统的特

19、点功能。一旦了解了信息系统的构造与功能，审计师可以直接分析比较信息系统的输入和系统处置后的输出结果，从而判别系统和有关的运用程序能否运作良好，到达系统的预期目的。由于在采用黑箱法时，审计师并未检查系统内部的实践作业过程，故又被称为“绕过计算机审计法。.2.会计信息系统审计的主要内容黑箱法测试黑箱法的优点是直接测试资料输入与输出结果，不会影响系统的正常运作，尤其适用于对简单运用程序的测试。但是，这一方法不适用于对容量庞大而且功能复杂的运用程序的审计。.2.会计信息系统审计的主要内容白箱法测试白箱法审计不仅要求对系统的内在逻辑具有深化的了解，而且必需对系统的内在逻辑功能加以直接测试。主要测试技术包

20、括以下五种：测试资料法Test data method)根本案例系统评价Base case system evaluation)追溯查验法Tracing method整合测试设备法Integrated test facility approach平行模拟法Parallel simulation technique.2.会计信息系统审计的主要内容测试资料法测试资料法把预选编排的资料输入到需求测试的运用程序加以处置，以检查该程序的完好可靠性。审计师把处置后的输出结果和预先计算的结果加以对比分析，从而对系统的逻辑和控制效果作出客观的评价。它的重要环节之一是编辑测试资料。审计师可利用企业在系统开发过程

21、中设计的测试资料。但假设运用程序在系统实施后忆发生过变动，那么审计师要编排补充性测试资料，偏重于测试系统运用程序中的已修正部分。cnshu 精品资料网.2.会计信息系统审计的主要内容根本案例系统评价测试资料法能够有多种变形。假设用于测试的资料内容广泛，面面俱到，涵盖几乎一切能够发生的买卖类型，那么可称之为根本案例系统评价法。.2.会计信息系统审计的主要内容追溯查验法追溯查验法是测试资料法的另一种变形。追溯查验法对系统运用程序的内在逻辑关系执行追溯性测试，其步骤有三：对需审计的运用程序进展特殊编辑处置，以产生能够追溯查验的踪迹；设计一种或者数种特殊买卖类型作为测试资料；追溯测试资料经过运用程序各

22、个处置阶段的踪迹，列出测试过程中运用程序发出的全部算是指令，供查验其内在逻辑运算关系的正确性。.2.会计信息系统审计的主要内容整合测试设备法整合测试设备法是审计师可以在客户系统正常运作的同时自动直接测试系统的逻辑运算与控制的一种方法。通常整合测试设备在系统开发时就作为一个模块或模块组内置于系统的运用程序之中，在整合测试设备的资料库里，真实的买卖记录和“模拟或测试主档用的记录同时存在。有些企业的信息系统中能够另设一个虚拟买卖档用以存放测试买卖的结果。在系统的日常运作之时，测试买卖和正常买卖将聚集在一同输入系统处置。.2.会计信息系统审计的主要内容平行模拟法平行模拟法要求审计师模拟客户信息系统运用程序的特点、性能编写本人的测试程序，然后用模拟程序处置由客户运用程序处置过的买卖资料。模拟程序的输出结果可以用来和客户运用程序的处置结果相比较，从而对客户系统运用程序的可靠性作出评价。审计师在核对测试结果和实践结果时必需谨慎，由于导致对比结果不同的缘由能够有两方面：一是客户的运用程序确实存在缺陷，二是模拟程序过于粗糙、简单导致过失，而并非客户