计算机审计的基本理论和方法

1、第十章 计算机审计的基本理论和方法 教学目的与要求：本章阐述了计算机审计计划及其制定，计算机信息系统的内控制度及其审计，计算机信息系统开发系统的审计，计算机信息系统应用程序审计等。通过对这些内容的学习，应全面掌握计算机审计的基本理论与方法。计算机在管理信息处理领域的应用越来越广泛，特别是在会计信息系统的应用致使会计处理在诸多方面（如内部控制、信息处理流程、信息存取等）均已发生了很大变化。这些变化不仅对审计技术和方法产生了极大影响，而且使计算机成为有力的审计工具，促进了审计技术的现代化。掌握一套新的审计技术，成为审计人员面临的新课题。审计人员要想在计算机环境下有效地开展审计工作，必须掌握和熟练地

2、应用计算机审计技术与方法。计算机会计信息系统审计计划的制定会计师事务所在接受了审计委托之后，下一步工作就是制定审计计划。我国独立审计基本准则第11条指出：“注册会计师执行审计业务，应当编制审计计划，对审计工作做出合理安排。”为了规范我国注册会计师编制审计计划，及时、有效地执行审计业务，中国注册会计师协会根据独立审计基本准则，制定和发布了独立审计具体准则第3号审计计划。在独立审计具体准则第20号计算机信息系统环境下的审计中进一步规范了计算机信息系统环境下审计计划的制定。注册会计师在计算机信息系统环境下执行审计任务，应严格按照审计准则的要求，做好审计计划工作。一、审计计划及其作用 审计计划是指注册

3、会计师为了完成各项审计任务，达到预期的审计目标，在具体执行审计程序之前编制的工作计划。 审计计划通常可分为总体审计计划和具体审计计划。 总体审计计划是对审计的预期范围和实施方式所做的规划，是注册会计师从接受审计委托到出又审计报告整个过程基本工作内容的综合计划。总体审计计划的基本内容包括： l、被审计单位的基本情况 主要是被审计单位的业务性质、经营背景、组织结构、主要管理人员简介及经营政策、人事和会计、财务管理等情况。 2、审计目的、审计范围及审计策略 主要说明所接受的是由董事会委托的例行年度财务审计，还是为股票上市审计，或者是其他的专项审计。 3、重要会计问题及重点审计领域 这主要是根据被审计

4、单位业务的复杂程度和账户的重要性，对固有风险与控制风险的评价和注册会计师以往的审计经验来决定。 4、审计工作进度及时间、费用预算 主要是指对审计工作何时开始实施、有限制的审计程序何时执行、检查各个账户所需要的时间、会计报表截止日前所要完成的工作、现场工作结束日及报告签发日等方向的规划和说明。 5、审计小组组成及人员分工 主要指在审计小组人员的选派上要充分考虑其数量、经历、经验，合理分工。 6、审计重要性问确定及审计风险的评估 7、对专家、内审人员及其他注册会计师工作的利用 8、其它有关内容。 具体审计计划是依据总体审计计划制定的，对实施总体审计计划所需要的审计程序的性质、时间和范围所做的详细规

5、划和说明。具体审计计划，在实际工作中，一般是通过编制审计程序表的方式体现的。具体审计计划包括各具体项目的以下内容： l、审计目标； 2、审计步骤； 3、执行人及执行时间； 4、审计工作底稿的索引号； 5、其他有关内容。 审计计划通常由审计项目负责人于现场审计工作开始前起草，是对审计工作的预先规划。审计计划的繁简程度取决于被审计单位的经营规模和预定审计工作的复杂程度。在执行审计计划的过程中，情况会不断发生变化，常常会产生预期计划与实际不一致的情况。对审计计划的补充、修改贯穿于整个审计工作的准备和实施阶段之中。 审计计划具有以下几方面作用： 第一，通过制定和实施审计计划，可使注册会计师能根据具体情

6、况收集充分、适当的证据。 第二，通过制定审计计划，可以保持合理的审计成本，提高审计工作的效率和质量。例如，通过审计计划，审计项目负责人可以全面了解审计工作的整体安排和各项审计步骤的具体时间安排，适当掌握好审计工作的进度。 第三，通过制定审计计划，可以避免与被审计单位之间发生误解。 对于任何一个审计项目，对于任何一家会计师事务所而言，不论其规模大小，审计计划都是至关重要的。用计算机编制审计计划 审计项目负责人可以利用计算机编制各项审计计划。通常可以利用计算机编制以下几方面的审计计划： 1、设计审计程序 审计程序说明审计过程中应该执行的任务和步骤，好的审计程序能够指导审计人员进行有效的审计。在审计

7、和所执行的各种审计步骤之间，存在着许多相同和不同的方面，但并不妨碍在计算机系统中存储通用的审计程序，以根据具体审计环境制定具体的审计程序。这种通用的审计程序为审计人员提供了进行选择的主体程序，审计人员可以将主要精力集中在与具体审计有关的具体审计程序之上。 2、制定检查清单 使用计算机制定检查清单，要求审计人员在计算机中列出详尽的内部控制问题。这些问题最好是分门别类，例如，关于批准原始业务的控制问题。审计人员要逐一检查这些问题，并在内部控制检查清单中加以取舍。审计人员可以修改某些问题，或根据具体审计任务提出新问题，计算机可以将这些补充的问题存储起来，供以后的审计使用。 3、分析风险 审计人员可以

8、利用审计软件进行审计风险分析。审计人员需要事先确定并衡量风险的特征，然后由计算机算出风险水平，说明需要投入的审计资源。也可以利用计算机对控制系统的某一部分、具体的应用或具体人员的职责，进行风险分析。 4、执行分析性复核程序 利用电子表软件执行分析性复核程序。分析性复核程序是指通过对被审计单位本期财务信息与前期可比信息、预计结果、类似行业信息等的比较，研究财务信息要素之间、财务与非财务信息之间可能存在的关系，来评价财务信息。这类程序包括简单的比较和使用涉及许多关系和数据的复杂数学与统计模型。进行电子表格分析，能够表明财务数据之间的联系和比例。 5、日程安排和费用预算在编制总体审计计划中，时间预算

9、是一个十分重要的内容。计算机可以帮助审计人员编制日程安排和费用预算。日程安排与各项审计费用预算之间是相互联系的。为了有效地完成审计工作，审计人员必须事先编制预算，分配审计资源。计算机能保证审计人员进行例外情况分析，并记录审计的进展和状况。制定审计计划时应着重对计算机信息系统了解的几方面与手工系统相比，计算机信息系统有如下几方面的特征： l、缺乏交易轨迹 计算机的指令操作，比手工提供的可见证据少得多。如：（1）可能缺少输入文件。数据可能直接进入计算机系统而没有相应的支持凭证。诸如，某些联机系统中，单个的批准数据输入（如批准定单）的书面证据可能被其他程序取代；嵌入计算机程序的批准控制等。（2）对能

10、缺乏可见的业务轨迹。在计算机信息系统环境下，经济业务踪迹大部分是以机器可读的形式存在，也可能仅存在于有限的一段时间。而且，如果应用系统复杂、执行很多处理步骤，就可能没有一个完整的踪迹。因此，对经济业务的审查就不可能像手工系统那样易于操作。（3）可能缺乏可见的输出。在某些计算机信息系统中，繁杂的经济业务或其处理结果可能没有打印输出或只有汇总数据才能打印输出。 2、同类交易处理的一致性 计算机处理一律以相同的处理指令处理类似的经济业务，因此，与手工处理相关的抄写错误实际上都消除了。但另一方面，程序错误（或其他软件、硬件错误）通常将导致错误地处理所有的业务。此外，对计算机系统的一项输入可能会自动更新

11、与该业务有关的所有记录（如货物出库装运单可更新销售、应收账款、存货等文件），因此，一项错误的输入可能造成多个会计账户的错误。 3、缺乏职责分工 许多在手工系统中由多人分工执行的控制程序，在计算机信息系统中都被集中起来。因此，存取计算机程序、数据和信息处理的一个人可能处于某种执行不可分的多种职责的位置。 4、在特定方面发生错误与舞弊行为的可能性较大 由于计算机信息系统的固有限制，在系统开发、维护和执行过程中人为错误的可能性比手工系统大。主要表现在： （1）数据和计算机程序可在计算机上或经使用网络上的计算机设备而被存取或改动。因此，在缺少适当控制时，被审计单位内部或外部人员未经批准存取或不留可见证

12、据地改动数据和程序的可能性将提高。 （2）数据和程序存储介质的易损性。计算机的数据和程序一般存储在光电介质上，这些介质容易被盗、丢失或损害。 （3）计算机信息系统环境下，处理会计信息的人员少了，同时也降低了发现错误和误差的可能性。设计或修改程序时所发现的错误、舞弊等可能在长时间内不能发现。 5、交易授权、执行与手工处理存在差异 计算机信息系统可能有自动生成或引起执行某种类型的经济业务的能力。因此，某些业务可能由计算机系统自动产生而无需输入凭证，这些经济业务或过程的授权不像手工系统那样以凭证方式被记录下来，管理当局的授权隐含在系统设计的认同及此后的修改中（如利息可按照计算机程序中包含的预先批准的

13、条件自动计算并划转到客户的账户余额中）。 6、其他内部控制依赖于计算机处理 计算机处理能产生用于执行手工控制程序中所使用的报告和其他输出。这些手工控制过程的效果依赖于计算机处理完整性和准确性的控制效果。而计算机应用中经济业务处理控制的有效性和执行的一致性通常依赖于计算机信息系统一般控制的效果。 7、有利于加强管理监督 计算机信息系统能够提供给管理人员多种分析性工具，以分析、控制、检查和监督单位的经济活动。 8、有利于计算机辅助审计技术的利用 在处理和分析大量数据的情况下，注册会计师利用计算机信息系统可获得应用一般或特殊计算机技术或工具的机会。 为了做好审计计划工作，审计人员对计算机信息系统的了

14、解应关注以下与手工系统不同的方面： l、组织结构 在计算机信息系统环境下，被审计单位必须建立组织结构及管理系统的活动。包括硬件的组成、网络系统的设置、软件的设计、人员的配置等。 2、内部控制 在计算机信息系统环境下，控制技术和程序与手工迥然不同。计算机信息系统的内部控制包括手工过程和计算机控制过程。 3、信息处理 计算机按照一定的程序指令操作，数据以机器可读形式存储和传递，因此，计算机信息系统比手工系统提供的可见证据要少。 4、程序设计 计算机信息系统是由审计好的程序来执行的，信息处理由程序控制，其执行具有一贯性或由系统自动生成经济业务，存储介质具有易损性。 审计人员在对可能受计算机信息系统环

15、境影响的审计工作制定审计计划时，应当着重了解计算机信息系统的以下几个方面： l、计算机信息系统的重要性 计算机信息系统的重要性与受计算机处理影响的会计报表认定的重要性直接相关。 2、计算机信息系统的复杂程度 审计人员应当了解计算机信息系统的组织结构和计算机开发及应用在整个单位的集中和分散程度。当出现下列情况时，计算机处理系统被看作是复杂的：（1）经济业务数量较大，被审计单位感到在处理过程中鉴别和改正错误有困难；（2）计算机系统自动生成重要的经济业务或分录，直接进入其他应用。 3、审计所需信息的可获得性 在计算机信息系统环境下，审计人员所需要的某些审计证据、计算机文件及其他证据性资料可能仅存在一

16、段时间或仅以机器可读形式存在。而在某些计算机系统，输入文件根本不存在，因为信息直接进入系统。在这些情况下，审计人员可能要求被审计单位将相关信息保存一段时间或在其运行时执行审计程序。此外，被审计单位的计算机信息系统可能生成某些内部管理报告，这些报告在执行实质性测试（特别是分析性复核）时可能会很有用。制定和实施审计程序时，应当考虑的因素 计算机信息系统环境大大提高了会计信息处理的速度和准确性，但同时也对手工环境下的会计信息处理和内部控制带来了变革，继而对审计提出了新的挑战。因而，在计算机信息系统环境下，制定和实施审计程序时，应当考虑以下因素： 1、计算机信息系统环境对审计线索的影响 手工系统下，填

17、制凭证、登记账簿及编制会计报表，每一步的审计线索都很清楚。但在计算机信息系统环境下，账务处理全部由计算机系统按一定的程序指令完成，手工系统下的审计线索基本消失。计算机系统对审计线索的具体影响如下： （1）原始凭证一旦转换到机器可读的介质上，就不再在处理过程中使用； （2）在某些系统中，传统的原始凭证可能不复存在（如联机系统）； （3）在主文件中可能看不出计算汇总所依据的明细数据，而明细数据作为过程文件已不存在； （4）数据处理过程不一定提供业务的日常记录，若要提供需要采用专门的程序； （5）系统不一定或不可能打印出全部的原始资料，一般只打印汇总结果； （6）保存在光电介质上的数据不依靠计算机和

18、应用程序，则无法阅读，而且易于损坏；（7）计算机程序和数据处理难以直接观察。上述计算机信息系统对审计线索的影响，使得对数据输入、处理和输出的控制以及计算机的操作过程成为审计的重要内容，因此，计算机信息系统环境对审计的时间安排、测试的性质和重点及测试的范围均有较大的影响。2、计算机信息系统对审计内容的影响计算机信息系统环境下，会计信息处理和内部控制的变革使审计的内容和侧重点有较大的变化。如由于程序化处理的一致性，像手工系统中的疏忽大意、笔误而引起的计算或过账错误已大大减少，但同时程序错误或被非法篡改则将一直错下去，直到被发现，其后果不堪设想。因此，对计算机程序控制的测试，以证实其处理的合法性、正

19、确性、完整性及系统的安全可靠性是审计的重点和前提。除了对已使用计算机信息系统进行审计以外，还应注意在系统开发阶段的事前、事中审计。数据和程序存储介质的易损性要求审计人员必须注意其有无必要的保护措施及复制留存和复原控制。审计的重点多放在异常业务的处理及系统变化的测试上，而不在于对相同业务取大样本进行测试上。3、计算机信息系统对审计技术的影响在手工系统下，可采用顺查、逆查、审阅、分析、比较等方法进计审计。但在计算机信息系统环境下，仅采用这些方法难以实现审计目的。计算机信息系统的特点决定了审计技术应相应改变，手工审计技术仍是有效和必需的，但是，计算机辅助审计技术效率更高，在有些情况下，甚至是必不可少

20、的审计技术。4、计算机信息系统对审计方法的影响计算机信息系统环境对会计的影响，特别是内部控制的变化，使审计方法也产生了较大的变化，内部控制及其测试的方法与重点将在下节阐述。在对会计资料所进行的实质性测试过程中，因为大量的信息都是以机器可读形式存放于一定的介质上，对这些数据文件的测试方法与手工截然不同。具体的测试方法包括：（1）不处理数据文件的实质性测试方法；（2）处理实际数据文件的实质性测试方法；（3）处理模拟数据文件的实质性测试方法；上述三种方法与应用程序测试所叙述的方法基本一致。实际上，数据文件的测试可以与应用程序控制测试同时进行，也可以认为是计算机信息系统环境下的“双重测试”。计算机会计

21、信息系统的内部控制与审计由于传统的分工控制在电子数据处理系统中大部分失去了作用，对会计处理过程中的错误与舞弊的防止和揭露变得更加困难，会计系统处理结果的正确性更多地依赖于内部控制制度的完善。因而，对电子数据处理系统的审计需要把内部控制，尤其是组织结构和管理控制列为重点。由于在计算机会计信息系统中，有形记录大为减少，使经济业务处理过程缺少审计线索。所以，对数据输入、处理和输出的控制以及电子计算机的操作过程成为审计的重要内容。一、计算机会计信息系统的内部控制及分类在计算机会计信息系统环境中内部控制之所以重要的基本原因在于：（1）管理部门对由计算机会计信息系统所产生的记录的依赖性越来越大；而这些记录

22、的准确性和可靠性在数据处理中涉及控制职能；（2）计算机会计信息系统所产生的信息日益增多，为了确保这些信息得到有效利用，完善的控制过程成为必要；（3）在计算机会计信息系统中，存在许多潜在的控制问题，带来了风险，如程序舞弊、记录被毁、存储资料的安全及计算效率不高等情况都源于控制上存在的问题；（4）1996年6月10日财政部发布的会计电算化工作规范要求建立会计电算化内部管理制度，增加了管理部门在有效地设计和执行内部控制制度方面的责任。 所谓内部控制，是企业经营者为维护企业资产的完整性，确保会计记录的正确性和可靠性，以及对经济活动进行综合的计划、调整和评价而制定的制度，组织方法和手续的总称。内部控制制

23、度既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具，又是审计人员用以确定审计程序的重要依据。 内部控制有两个涉及面广又相互关联的目标：一是保护企业资产的安全完整；二是为企业内部和外部提供可靠的财会记录。审计人员可以利用内部控制的目标，验证企业相关的内部控制制度是否有效执行，以评估控制风险，证实经济业务记录的可靠性。 对不同类型内部控制的考察，便于充分理解电子数据处理环境中内部控制的含义。 （一）依据控制实施的范围，可以将计算机会计信息系统内部控制分为一般控制和应用控制。目前世界上主要国家电子数据处理系统审计准则均以此种分类规定对内部控制评价的步骤和主要内容。一般控制有时称管理控制

24、，是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制。一般控制所采用的控制措施为每一个应用系统提供环境，普遍适用于某一单位的会计和其他管理系统。一般控制主要包括组织与管理控制，系统开发与维护控制、系统操作控制、硬件和软件控制、系统安全及文档控制等。应用控制是指对计算机会计信息系统中具体的数据处理功能的控制。应用控制有特殊性，不同的应用系统有不同的控制要求，但应用系统一般都包括会计数据的输入控制、处理控制和输出结果控制三个方面。一般控制是应用控制的基础，应用控制是一般控制的深化。一般控制以程序为主，而应用控制以数据为主，审计人员可以独立于应用控制之外评价程序。本节将以此种分类进行讲述

25、。 （二）依据控制的意图，可以将内部控制分为预防性控制、检查性控制和纠正性控制。预防性控制用来防止不利条件发生的原因；纠正性控制用来提供必要的信息帮助调查和纠正已被发现的问题的原回。预防性控制是一种积极的控制，在于事先进行计算检查。检查性控制主要是指试图在不利事件发时就能够发现。纠正性控制是一种相对消极的控制，是使用审计线索，纠正己发现的错误和问题。这种分类的价值不仅在于它们表示了控制的意图，更在于它们表明了如何使用这些控制。 （三）依据控制所采用的手段，可以将内部控制分为手工控制和程序化控制。手工控制是直接通过手工操作实施的控制。程序化控制是由计算机程序完成的控制。手工控制不仅适用于手工系统

26、，在计算机会计信息系统内部控制中非并全部采用程序化控制，手工控制仍然起着非常重要的作用。（四）依据实施控制的部门不同，可将内部控制分为电算化部门控制和用户部门控制。电算化部门控制是指由电算化部门人员或计算机程序实施的控制。用户部门控制是指数据使用部门对计算机数据处理施加的控制。这两种控制在一定程度上是互补的，用户部门控制有时可以弥补电算化部门控制的不足。一般控制 一般控制的强弱，直接影响到每项计算机应用的成败。 （一）一般控制的目的及具体目标 一般控制是计算机信息系统的总体控制，其目的是建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的整体目标提供合理的依赖程序。 一般控制的具体目

27、标是： 1、通过一般或特殊的授权规则保证下列活动的开展具备正当的手续：（1）将原始凭证输入系统内进行处理；（2）设计、实施和使用计算机程序；（3）更改计算机程序；（4）接触和使用计算机主文件和其他重要数据文件；（5）分发系统输出报告等。2、负责资产保管人员无权接触记录资产情况的信息处理。3、负责信息处理的人员不负责执行或批准经济业务。 4、电子数据处理部门内部对不相容职能进行适当分离。 5、电子数据处理部门不能纠正电子数据部门以外的错误。 6、通过适当的沟通方法和程序，使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求，并保证遵循这些要求。 7、主管人员能够充分地控制授权要求的

28、遵守，以保证违背要求的行为能予以记录、调查和纠正。 （二）一般控制的内容 审计人员在研究和评价一般控制时，应当考虑以下主要因素： 1、组织与管理控制 计算机会计信息系统组织与管理控制，用于建立对计算机信息系统活动进行控制的组织结构，其基本目标是减少发生错误和舞弊的可能性。其基本要求是权责的划分和职能的分离。组织与管理控制的主要内容包括以下几个方面： （1）电算部门与用户部门的职责分离。电算部门的主要职责是对数据进行处理和控制。用户部门是指产生原始数据或使用计算机处理所得信息的部门或人员。两者之间应尽可能保持不相容职责（业务授权、执行保管和记录）的分离。电算部门不能负责业务的批准和执行，不能保管

29、除计算机系统以外的任何资产，只执行业务记录的职能。用户即各业务部门是业务批准、执行和保管的部门。电算部门负责控制该部门内进行的数据处理，检查处理中发现的错误并纠正本部门产生的错误，控制在更正错误后重新输入并处理是电算部门的责任；用户部门负责更正产生于电算部门以外的错误，并将更正后的数据更新传递到电算部门进行处理。 （2）电算部门内部的职责分离。计算机会计信息系统的建立导致新的职能工作的产生，由于计算机信息处理的特点是将数据集中起来统一处理，会使得本应分离的某些职责集中化。为保证系统可靠运行，防止错误和舞弊发生，电算部门内部职责也应分离：系统开发职能与数据处理职能分离，系统开发负责系统的分析、设

30、计、编程并为应用提供文档资料，负责新旧系统转换。现有系统的改进及数据库的设计与控制，数据处理负责业务数据的处理与控制，所有参与系统分析、设计、编程和数据库管理人员都不能参与日常业务数据处理操作，操作人员也不能参与程序的编制与修改；独立的档案保管职能有助于防止任何未经批准而使用程序、数据文件和系统资料的行为；独立的控制职能有利于单独检查系统的输出，监督和保证数据处理的准确性。 （3）人事控制。计算机会计信息系统是人机系统，内部控制的好坏还取决于有关人员的素质，高素质的人员才可能建立高质量的系统。要建立人员招聘、在职教育、定期评价、轮换任职。奖惩制度等控制措施，对工作人员的知识、技能、职业道德提出

31、更高的要求。 （4）业务授权。所有由计算机会计信息系统处理的业务都应经过授权管理。凡不是由计算机会计信息系统生成的业务，都应在计算机处理之前通过审核与批准。 2、应用系统开发与维护控制 系统开发控制是为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行而设计的控制。系统开发一般要经历系统分析、系统设计、程序设计、系统测试、系统实施等阶段。为了建立一个符合需求的系统，系统开发过程中的各项研制、设计、维护活动及由此产生的文档，均应遵循一定标准、规则和要求。系统开发控制作为数据处理环境中一般控制的一个方面，其具体措施方法多种多样，并依组织规模的大小存在一些差异。一般情况下，系统开发与维护控制

32、的主要控制措施是： （l）系统开发标准，是以总的方面规定开发活动要求。 （2）结构化系统开发方法，系统开发通常采用结构化生命周期法。 （3）项目管理，包括项目计划、项目控制、项目报告。 （4）编程规则，程序设计按一定规则进行，能提高系统的可审性。 （5）阶段保证，保证系统开发进度和质量的保证措施。 （6）系统测试控制，系统实施前检出错误使系统按设计要求可靠运行的控制。 （7）系统转换控制，防止在新旧系统转换过程中发生数据遗失、重复等现象。 （8）新系统批准程序，确保管理部门对新系统和系统转换计划进行审批。 （9）程序变更控制，保证程序改动经严格测试，并得到适当的核准和授权。 （IO）系统文档，

33、保证所有系统开发资料按规定予以整理和归档。 3、计算机操作控制 计算机操作控制用于控制系统的操作，其目的是通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会，确保：（1）系统仅用于经过批准的目的；（2）仅限于经过批准的人员进行计算机操作；（3）仅使用批准的程序；（4）查出并更正计算机处理中的错误。 计算机操作控制是通过指定和执行操作规程实现的，主要包括以下方面： （1）操作计划。电子数据处理部门需要制订年度操作计划和相应的日程安排。这些工作计划应涉及系统发展、成本预算、人员培训和用户安排等诸多方面。 （2）机房守则。其目的在于使机房保持良好的工作秩序，以

34、减少造成数据和程序损失和被破坏的风险。主要是关于机房工作的一般规定，涉及设备的使用、对进出机房的人员和物品的限定、文件的存放和处置、出现紧急状态的应急措施等。 （3）操作规程。计算机操作人员应遵循具体的操作规程。操作规程一般包括在操作指南中主要描述计算机业务处理过程的具体操作步骤。 （4）上机日志记录。是对每个上机操作者所完成的任务及运行情况的记录。上机日志记录的作用是提供检查线索和准备，或故障发生时的数据恢复，是计算机审计取证的主要对象。上机操作日志可以由操作员记录，也可由系统自动生成。 4、硬件和软件控制 硬件控制亦称设备控制。是由计算机生产厂家在计算机设备中实现的控制技术和方法。硬件控制

35、能自动查出某些类型的错误，而无需程序或操作人员送入任何特殊指令。硬件控制的失效会削弱其他控制措施的作用，影响系统的可靠性，因此，审计人员应定期对其控制效果进行测试。硬件控制一般包括： （1）重复处理控制，通过重复进行同样的处理操作，将结果进行比较以发现错误。 （2）冗余校验，在数据编码中设置冗余位，依据冗余位编码与数据编码中位数的逻辑关系检测是否存在数据传送或处理错误。 （3）回波检验，主要用来检查数据传送（特别是远途传送）过程中是否发生错误。 （4）设备较验，将控制手段构造在计算机集成电路板中，检查并更正错误。 （5）有效性校验，利用计算机实际操作与有效操作进行对比检测错误。 利用系统软件如

36、操作系统、数据库管理系统实现控制，是电子数据处理系统内部控制机制的一个显著特色。控制功能主要包括： （l）错误处理，操作系统能检测和纠正因硬件和软件问题引起的错误，如计算机在工作中发生读写困难；或读写的字符过长，操作系统会指出发生的错误并作相应处理； （2）程序保护，用户防止处理过程中受到其它程序干扰、防止模块调用的错误和防止未授权改动应用程序； （3）文件保护，对存储的文件进行控制以防止未经授权的使用和修改，采用的主要措施是内部文件标签防止误用文件，过早抹去数据，防止未经批准存取和使用文件，保证数据全部被处理； （4）安全保护，防止未经许可使用系统，采用分级可变式口令控制对系统的接触，同时通

37、过操作系统自动建立使用系统的人员和活动的记录等； （5）自我保护，系统软件是一种控制工具，它也可以被用来破坏系统的内部控制，因此，要对系统软件本身加以保护。 系统应用软件控制用于确保软件的取得或开发是经过授权并以有效的方式进行的，包括： （1）授权、批准、测试、实施和记录新建和修改应用软件； （2）系统应用软件和记录的存取仅限于经过授权的人员。 5、系统安全控制 系统安全控制是指防止影响系统安全的因素危及系统的安全，发现系统中的安全问题，并解决这些问题使系统恢复正常的措施及实施。系统安全控制包括： （1）硬件安全控制。制定计算机房及设备管理制度、岗位责任和操作规程，严格限制无关人员接触计算机系

38、统。防范自然灾害（火灾、水、污染等），减少损失。通过谨慎选择供货厂家、加强在职人员培训、建立后备系统等措施，防止系统故障。 （2）程序与数据的安全控制。程序与数据的安全控制用于保证：l）对经济业务进入系统建立授权结构；2）数据和程序的存取仅限于经过授权的人员。通过数据处理与存储相隔离、操作人员身份的密码控制、操作权限制、数据加密等措施保证数据的完整和保密；通过日志和各种软、硬件技术防范数据丢失或非法修改保证真实性；数据备份是一种恢复性控制手段，在使用中的数据丢失后，可以使用备份恢复和重建数据。 （3）环境安全控制。是为计算机系统提供正常运行环境的控制措施，如电源的控制，系统配备不间断电源，当万

39、一断电时，不间断电源自动向系统以额定电压供电，保证系统正常运行；机房配备稳压电源，保证系统电压的稳定等。常见的环境控制措施还有：机房设置空调、防火、防水、防尘和抽湿装置，对系统温度、湿度、洁净度等实行监测。 （4）防止有病毒的软件接触系统，使用防病毒工具如防病毒卡等。 6、系统文档控制 系统文档包括计算机会计信息系统中的凭证、账簿、报表及有关软件技术文件（如系统可行性报告、系统分析与设计说明书、程序流程图、操作手册等）。系统文档可为维护和改进系统提供必要的资料，也为系统监督人员和审计人员了解和审查系统提供了依据。要建立文档管理制度及安全保密制度。文档应由专人保管，数据在纳入计算机会计信息系统之

40、前，必须经系统主管人员的审检批准；计算机打印输出书面资料，应由输出和审核人员共同签字才是合法的会计档案，使用时必须经过批准，而且任何资料的借阅都要登记；存储在磁性介质上的文件应有加密保护，防止被任意调用或篡改破坏；系统软件、应用程序和数据文件应复制备份，防止数据丢失或文件损坏后无法恢复。此外，还应根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份的间隔期及调用档案的手续等。 （三）一般控制的研究、评价和风险评估的方法与重点 一般控制的弱点产生的危害极大，这是由一般控制的地位所决定的。一般控制的运用对应用控制的有效性至关重要，因此，审计人员应考虑一般控制对应用控制的影响，在测试应用控制

41、之前，测试一般控制可能会更有效率。 一般控制的测试和技术大致可分为手工和计算机审计技术，而以手工方法为主。一般而言，测试组织与管理控制、系统开发和维护控制可以用手工方法；计算机操作控制、数据和程序控制可用手工方法，同时也需要计算机辅助审计技术；系统应用软件控制主要是采取计算机辅助审计技术。 系统开发的测试是一般控制的测试的重点。系统开发控制测试是指对计算机信息系统开发过程中各项活动及由此产生的系统文件所进行的审核和评价。一个符合要求的新系统的建立，系统开发过程中的各项研制、设计、维护活动以及由此产生的系统文件均应遵循或符合一定的标准、规程和要求。否则，将给审计人员带来许多麻烦和问题，同时使系统

42、的质量和可靠性受到极大的影响。如设计者将不符合会计准则的会计处理原则编入了应用程序，可能使系统为舞弊者留下可乘之机；系统开发过程中因没有留下必要的系统文件，而缺少系统开发的审计线索。通过系统开发审计也可以给审计人员提供要求增加服务功能的机会，如嵌入审计程序或应用时的有关控制。三、应用控制 应用控制是会计系统应用方面的具体控制。 （一）应用控制的目的及其具体目标 应用控制的目的是对会计应用建立具体控制过程，从而确保全部的经济业务都经过授权和记录，并做完整、准确和及时的处理。 应用控制的具体目标是： l、所有经允许处理的数据均应转换到介质上并加以处理，并且处理的结果可通过适当的方式加以输出。 2、

43、所有输入、转换、处理和输出均应在正常的时间里准确地进行。 3、所有系统的输出均反映为经批准的有效的经济业务。 （二）应用控制的内容 研究和评价应用控制时，应考虑的主要因素包括： l、输入控制 输入控制用于确保：（1）经济业务在计算机处理之前经过适当的批准；（2）经济业务被准确地转换为机器可读形式并记录于计算机数据文件；（3）经济业务没有丢失或不适当地增加、复制、改动；（4）拒绝、改正不适当的经济业务，必要时可及时补救。 输入控制主要包括： （l）数据采集控制 采集数据是用户部门的工作。数据采集控制的目的在于确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据。其控制措施主要

44、有： l）、用户部门内部的职责分离。资产保管与数据采集职能分离，业务授权与资产保管职能分离，业务授权与原始凭证填制职能分离、填制原始凭证与审核原始凭证职能分离。 2）、标准化的凭证格式。设计和使用标准凭证格式能减少发生错误的概率。 3）、制定凭证编制程序。明确要使用的凭证、编制凭证的时间、编码的使用、凭证传递的程序和时间等。 4）、凭证审核。指定专人负责凭证的审核，以发现和纠正凭证上的错误。 5）、手续控制。业务批准人，资产保管人、凭证的编制人、审核人应在凭证上签字，以明确责任。 6）、凭证更正规程。数据处理部门发现原始数据有错应交用户部门更正，用户部门更正后再将凭证传递到数据处理部门再处理。

45、 7）、批量控制。为每批凭证编号以便凭证的交接（用户部门送电算部门或其他部门），计算批量总数（如业务总数、数量总数、金额总数等），以便检查凭证传递、输入、处理中的错误。 （2）数据输入控制 数据输入控制是为防止输入数据时的遗漏或重复，检查输入数据是否有错误的控制措施。计算机会计信息系统中，数据输入的依据可以是原始凭证，也可以是记账凭证，还可以是这两者的合并。其中以记账凭证作为输入主要依据的方式在目前使用的系统中较为常见，这里就介绍以记账凭证为输入设置的控制。 以记账凭证为依据输入数据时可能发生的问题和错误主要有：（1）会计科目输入错误，如输入了没有设置的科目或误用其他会计科目；（2）借、贷方向

46、错误；（3）金额错误，如未计、多计或少计；（4）对应关系错；（5）由于是键盘输入，输入的速度较慢等。 对于可能发生的问题和错误可采用以下控制措施： l）设置会计科目代码与名称对照文件。当输入科目代码时，系统先在对照文件中进行查找，如果找到，可以给用户汉字提示以确认是否为正确科目；如果找不到，应重新输入正确的科目代码。 2）设置对应关系参照文件。会计科目输入正确还不能保证对经济业务的处理就是正确的，还有可能发生账户对应关系错误。对应关系参照文件根据业务间的相互关系事先确定对应的会计科目，当输入一张记账凭证后，查询对应关系参照文件，检查和判断输入的科目之间是否存在正确的对应关系。 3）顺序校验。检

47、查凭证号码的顺序是否连续，有无重复和遗漏，这项工作可由程序自动控制完成。 4）合理性校验。对某些输入的数据确定合理的范围，若输入数据超出合理范围，系统就会给予提示，要求检查输入的数据，如材料的最高、最低储备等作为合理范围的标准。 5）平衡校验。通过数据间应有的平衡关系检查数据输入是否有错，如当一张凭证输入完毕后系统自动进行“借方科目金额合计贷方科目金额合计”的检查；总账金额与所控制的明细账金额合计应该相等等平衡关系的检查。 6）人工校验。由计算机会计信息系统将输入的数据打印出来或在屏幕上再次显示，供输入操作人员或审核人员根据原始数据进行检查核对。 7）重复输入控制。将同样数据向计算机系统输入两

48、次，由系统自动核对两次输入的结果，并对不一致的记录作标记，核对完毕后由输入员对所标记错误的记录进行修改。 需要说明的是：在系统程序设计中，将控制关系考虑进去，既方便用户操作，又提高输入数据的正确性和可靠性。但上述控制方法各有利弊，实际使用时，应根据成本效益原则选取。 2、计算机处理与数据文件控制 计算机处理与数据文件控制，用于确保：（l）经济业务（包括系统生成的）由计算机正确地处理；（2）经济业务没有丢失或不允许增加、复制、改动；（ 3）计算机处理的错误被及时地鉴别并改正。 数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠

49、起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，而且多是程序控制。计算机处理与数据文件控制主要包括： （1）业务时序控制 会计业务数据处理有时序性，某一处理过程的运行结果取决于若干相关条件过程处理的完成，例如凭证输入计算机后在审核之前不能登账，结账后才能输出账表等。在数据处理过程中如果颠倒了业务处理时序，会导致数据处理混乱，破坏系统中数据间的相互关系。 （2）数据有效性检验 要保证所处理的数据来自正确文件和记录，可采用的控制措施主要有： 1）文件标签校验。在处

50、理数据文件之前，操作员要认真检查文件的外部标签，确认所要处理的文件；计算机在对数据文件处理前，检查文件的内部标签。外部标签的设置是手工控制，内部标签属于程序化控制。 2）业务编码校验。业务数据文件包含各种类型的业务数据，业务类型可由业务编码识别。在应用程序中，先读出业务编码，以决定由相应的程序处理，业务编码校验控制可提高程序处理不同业务的准确性。 3）顺序校验。应用程序通过比较每一项业务或记录的主关键字与前一项业务或记录的主关键字来检查文件记录的是否有错，防止因使用了错误的文件或出现排序与合并错误而导致的业务记录丢失。 （3）程序化处理有效性检验 数据处理错误的产生是因为硬件、系统软件或应用软

51、件有问题。发现处理错误的有效性检验方法是： 1）计算正确性测试。通过使用重复运算（同一计算重复进行，比较计算结果）、逆向运算（可以是乘除的逆运算，也可以是加减的逆运算）、溢出测试（检测计算结果是否超过确定的数据项长度）等方法来发现运算中的逻辑错误。 2）数据合理性检验。用来发现结果超出预料结果（合理变化限值）的错误。 3）交叉汇总检查。包括表格中横向数字与纵向数字的汇总检查和其他任何具有内在关系但属不同来源渠道数字的汇总检查。 （4）错误更正控制 根据错误处理的方式建立相应的控制。对于有效性检验发现的错误，将错误数据先写入待处理文件，更正后与同批或其他批次业务数据一起再输入、处理；对于处理过程

52、结束后发现的错误，不能采用直接删除原有错误记录的方式，要输入两次数据更正错误，一次输入冲销原有的错误，一次输入正确的数据。应设置专门的控制日志，记录错误的传递。更正与再输入情况。 （5）断点技术 断点是由一条指令或其他条件所规定的程序中的一个点。断点技术是指在这个点上，程序运行能被外部干预或为监督程序中断，程序运行中断以后，可以直观检查、打印输出或作其他分析。在断点可以通过计算控制数据（主文件金额数、记录数、前一程序指令的序号等），发现错误可能出在程序运行的哪一个环节，从而及时更正错误，并从断点开始继续处理数据。 （6）账务处理系统中几种特殊处理技术 在计算机账务处理系统中除可用到上述各种处理

53、技术，还可以采用以下控制方法： 1）余额合理性检查。在“账结”法下，实账户期末有余额，而虚账户期末一般应无余额，而且在借贷记账法下，资产类账户余额一般在借方，负债及所有者权益类账户余额一般在贷方。可以将余额合理性标准编入程序，在程序运行时对账户余额进行合理性检查。 2）试算平衡检查。根据试算平衡原理编制程序，对全部账户的期末余额和本期发生额进行检查，一旦发现不平衡，即说明处理有误，应进行查找和更正。 3）总账和明细账核对检查。将总账和其所属的明细账合计数进行校对相符性检查。 3、输出控制 输出控制，用于确保：（1）计算机处理的输出结果准确无误；（2）输出结果仅限于经过批准的人员；（3）输出资料

54、及时地提供给适当的经过批准的人员。计算机数据处理结果输出主要有屏幕显示输出、打印输出、存入磁性介质如磁盘、网络传输等方式。在输出环节可能会发生输出结果未经授权输出、未送给指定部门或未及时送到，输出结果不正确、不完整或不易懂等错误和问题。针对这些错误和问题设置的主要控制措施如下： （1）输出授权控制。只有经过批准的人才能进行输出操作。 （2）输入过程的控制总数与输出得到的控制总数相核对。 （3）审校输出结果，检查正确性、完整性。 （4）将正常业务报告与例外报告中有关数据作分析对比。 （5）设置输出报告发送登记簿，记录报告发送份数、时间、接受人等事项。 （6）制订输出错误纠正和对重要数据进行处理的

55、规定。 不同的单位和不同的计算机会计信息系统内部控制的技术方法会有很大差异。应用控制的一个重要问题是必须保留审计线索。输入、处理、输出是计算机数据处理过程中相互关联的三个环节，一个环节上的控制将影响到其他环节的数据处理，所以控制应从整体角度加以考虑。 （三）应用控制的研究、评价和评估方法 针对不同的应用控制，可以采用不同的测试方法： l、使用者实施的人工控制。如果系统的使用者所实施的人工控制能够为系统输入、处理、输出等的完整性、准确性和经过批准提供资料的合理性等确信，则审计人员仅对使用者的人工控制进行测试即可。 2、系统输出控制。除了对使用者人工控制进行测试外，还可以对系统输出通过人工或计算机

56、辅助审计技术进行测试。这些系统输出可能是光电介质或打印输出的形式。 3、程序控制。在某种情况下，对使用者人工控制或系统输出控制的测试是不可能的或不可行的，此时，审计人员可考虑利用计算机辅助审计技术重新对数据或程序进行测试。对计算机应用系统处理控制的测试是应用控制测试的重点，也是计算机信息系统环境下审计的重要内容。计算机信息系统主要由硬件、系统软件和应用程序（即应用系统处理程序）组成，只有三者都可靠，整个系统才是可靠的。而硬件和系统软件由厂商提供，一般较为可靠。因此，系统的可靠性在很大程度上取决于应用程序的正确性。四、内部控制的评价 内部控制评价的目的在于评价企业内部控制系统在防止和发现财务报表

57、数据发生重大错误方面的作用，并为确定审计程序、范围和重点提供依据。对企业会计电算化工作，尤其是会计核算软件功能方面财政部发布了一系列规定，其中很多属于内部控制方面的内容，所以内部控制系统本身的合规性也应成为评价的目标。 计算机会计信息系统是人机系统，绝大多数业务数据处理是人机共同完成的，电子数据处理环境中的内部控制评价不能仅限于电算部门内的控制，更不能仅限于程序化控制，有些控制的实施是由电算部门和业务部门相互制约共同实现的。计算机会计信息系统的内部控制由一般控制和应用控制构成，因为特定的应用控制是否有效，常视一般控制是否有效而定，所以审计人员对系统内部控制的检查与评价，通常从一般控制开始。 在

58、计算机信息系统环境下，固有风险和控制风险的评估应考虑以下事项： 1、风险可能产生于普遍的或个别的影响。固有风险和控制风险都对重大错报的可能性产生普遍的和个别的影响：风险可能产生于普遍的计算机信息系统活动（如程序开发、系统软件操作、计算机信息系统的物理安全等）；风险也可能产生于个别应用程序、个别数据库或主文件、个别处理活动中的错误和舞弊行为。而且，新的计算机信息系统技术的应用，如微机主机连接系统、分散的数据库系统、终端处理系统及直接提供信息给可见系统的企业管理系统等，增加了计算机信息系统整体复杂性和它们所影响的具体应用的复杂性，结果也增加了相应的风险。 2、审计人员在评价固有风险和控制风险时，还

59、应考虑以下事项： （1）被审计单位使用的计算机信息系统是自行开发的而非外部购买； （2）被审计单位内、外部环境可能影响系统的开发和运行； （3）使用者有能力改变数据和开发报告（如改变电子表格上的数据或公式）； （4）一般控制影响所有应用系统的可靠性，其影响程度取决于具体应用的范围和风险水平； （5）计算机信息系统记录内容的性质和范围影响系统环境的复杂性和其面临的固有风险（如电子资金转移系统误差风险可能增加，复杂的系统环境错误的风险较高）； （6）影响可获得审计证据的系统因素，如无纸环境增加了审计证据不完整、不可靠或难于取得的可能性； （7）操作者缺乏计算机相关知识、技能、纪律等对计算机处理的影

60、响。 对内部控制的评价可分三步进行： 1、了解与描述计算机会计信息系统内部控制 审计人员为了确认财务报表内潜在的错误和考虑该错误的风险影响，以及为制定和完善更进一步的实质性测试程序，要对内部控制取得充分的了解。对内部控制的了解通常可以通过下面几种方法进行： 询问被审计单位的主要管理人员； 查阅被审计单位的相关文件记录； 观察被审计单位的业务活动及其运行情况； 考虑以前年度审计过程中所了解到的相关情况及其变化； 复核以前年度的审计工作底稿。 内部控制的描述方法主要有： （l）调查表法 调查表法亦称问卷法，以表格的形式，通过问题的征询和回答描述系统内部控制状况。调查表的设计要层次清晰、避免重复、内