计算机审计课件

计算机审计教学课件北京服装学院商学院1目录第一章计算机审计概论第二章电算化会计信息系统内部控制的审计第三章会计信息系统开发审计第四章会计信息系统应用程序的审计

第五章会计信息系统数据审计第六章审计软件的应用第七章EXCEL在审计中的应用第八章计算机信息系统舞弊的控制和审计第九章网络审计第十章计算机审计的发展趋势课程简介2

课程简介课程性质：《计算机审计》是一门计算机应用和审计结合的新兴边缘管理学科，本课程是会计学专业的必修课程。课程目的：通过本课程教学和实验，使学生对计算机审计有一个比较全面的概括的了解和掌握，使学生基本掌握计算机审计的基本原理和基本方法，熟悉计算机审计业务活动的具体运作方式、规则，从而为以后从事计算机审计的理论研究与实际工作打下较为坚实的专业基础。

一、计算机审计课程性质、教学目的3

三、本课程教学的重点与难点

课程简介计算机审计的概念与发展电算化会计信息系统的内部控制及其审计电算化会计信息系统数据审计审计软件与相关工具软件的使用5

课程简介学时安排：本课程为考查课，讲课24学时，上机20学时；本课程从第1周开始到12周结束。各章讲课学时安排：

第二章为4学时；第一、三、四、五、七、八章为2学时；第六、九、十章为1学时；机动1学时。

四、学时安排6

课程简介五、考试安排考试安排：本课程的成绩由三部分组成；考试卷面成绩占总成绩的70％，上机作业占15％，考勤成绩占15％。7第一章

计算机审计概论

目录上一页下一页退出9

本章教学目的与要求通过本章的教学要求学生达到下列要求：⑴了解计算机审计的产生和发展⑵熟练掌握计算机审计的含义和内容⑶了解计算机审计的目的⑷掌握计算机审计的方法、步骤⑸理解计算机会计信息系统对审计的影响10

本章教学内容

EDPAA、ISACA计算机审计、信息系统审计、CAAT计算机审计的内容计算机审计的目的、方法、步骤CAIS对计算机审计的影响11

本章教学难点⑴计算机审计及其相关概念的区别与联系⑵计算机审计的方法13第一节计算机审计的产生和发展一、计算机审计产生的背景与原因

信息处理的电算化是计算机审计产生的一个直接原因。从审计工作自身的角度来说，有两个方面的原因促使计算机审计的产生。1．审计业务范围的不断扩大。随着社会经济的发展，审计由原来单纯的以差错防弊为主的财政财务收支审计，发展到经营管理审计、经济责任审计和经济效益审计。审计作为一项具有独立性的监督、评价或鉴证的活动，它产生于受托经济责任关系，因此，它总是与查明、考核和评价经济责任有关。随着外部审计向内部审计的发展，以及事后审计发展到事前审计、事中审计，利用传统的方法进行审计已显得越来越“力不从心”，所以有必要使用先进的计算机技术来及时完成审计任务，因此产生了计算机审计。2．人们对电子数据处理过程及其影响的认识不断深入。会计实现电算化以后，对计算机信息处理系统的安全性、可靠性及效率进行检查、监督与评价就越发必要。计算机舞弊和犯罪的案件不断出现，给审计职业界带来了压力，从而使审计人员认识到，要对被审单位的经济活动作出客观、公正的评价，必须使用计算机辅助审计技术对电子数据处理系统进行审计。14第一节计算机审计的产生和发展二、计算机审计的发展阶段为了发展同计算机审计相适应的理论与实务，世界各国的审计机关和组织都进行了积极的研究和探索。美国执业会计师协会早在1968年就出版了《电子数据处理系统与审计》一书，该书较详细地探讨了审计与电子数据处理系统的关系，提出了若干计算机辅助审计的电子数据处理系统的方法。在20世纪70年代，国际性组织——内部审计师协会又出版了《系统控制与审计》一书，进一步总结了电子数据处理系统的控制与审计实务，提出了不少行之有效的计算机辅助审计的方法和技术。1978年，美国注册公共会计师协会的计算机服务执行委员会出版了《计算机辅助审计技术》一书，详细地介绍了如何利用计算机辅助审计，提出了许多实用和有效的计算机辅助审计技术。1984年，美国EDP审计人员协会发布了一套EDP控制标准——《EDP控制目标》，提出了电算化系统一系列总的控制标准。目前，大多数发达国家已普遍实行了计算机审计，许多重要单位的电子数据处理系统相互联结成大型的计算机网络，审计机关或大型的会计师事务所通过企业局域网和广域网，可以把自己的计算机终端联到这些大型的计算机网络上。 15第二节计算机审计的概念二、计算机审计的特点从对象上看：1.审计范围的广泛性。2.审计线索的隐蔽性、易逝性。3.审计取证的实时性和动态性。4.审计技术的复杂性。从手段上看：1.审计过程自动控制。2.审计信息自动存储。3.改变了审计作业小组成分。4.转移了审计技术的主体。17第二节计算机审计的概念三、计算机审计的目的保护系统资源的安全和完整保证信息的可靠性维护法纪，保护社会和国家利益促进计算机应用效率、效果和效益的提高促进内部控制系统的完善18第二节计算机审计的概念四、计算机审计的内容1、审计项目管理系统的计算机辅助审计2、手工会计系统的计算机辅助审计3、电算化会计信息系统（CAIS）审计由于审计的具体目的不同，审计的内容也有所不同，但总的来说，电算化会计信息系统（CAIS）审计包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等内容。19绕过计算机审计绕过计算机审计是指审计人员不审查机内程序和文件，只审查输入数据和打印输出资料及其管理制度的方法。这种审计方法的理论基础是“黑箱原理”，审计时，审计人员追查审计线索直到输入计算机，然后核对计算机的输入与输出，如果输入与输出不匹配，则可以肯定计算机的处理过程是错误的。优点:审计技术简单;较少干扰被审系统的工作缺点:只有打印文件充分时才适用;要求输入与输出联系比较密切;审计结果不太可靠21通过计算机审计通过计算机审计是指除了审查输入和输出数据外，还要对计算机内的程序和文件进行审查。这种方法是以计算机系统为基础的审计，计算机系统成了审计的对象。比如，通过对系统的处理和控制功能的审查，确定凭证和账务文件审查的范围和数量。优点:审计结果较为可靠;审计独立性较强缺点:审计技术较复杂;审计成本较高22利用计算机审计利用计算机审计是指利用计算机的设备和软件进行审计。专用审计软件是为了对某个特定的系统或某个审计项目进行审计而研制的；通用审计软件可适用于多种审计工作.除了审计软件外，审计人员还可以利用一些实用程序、数据库管理系统（FoxPro等）、被审单位的子模块（如查询、财务分析等）利用计算机审计的优缺点与通过计算机审计的优缺点基本相同。

23实施阶段（一）对被审计系统的内部控制制度进行健全性调查和符合性测试1.经过测试，对审计系统现行的内部控制制度中有哪些满意或比较满意的控制制度。2.各项控制制度是否确实发挥作用，其符合程度如何。3.各项控制制度是否可以依赖，其符合程度如何。（二）对账表单证或数据文件的实质性审查检查、取证、分析和评价核对，复核各种计算，如折旧计算、成本计算、利息计算等，对财务报表进行分析等。所不同的是，上述工作主要是由计算机来进行，审计人员可通过审计软件和被审计会计电算化系统的查询、分析等模块进行实质性审查。25终结阶段（一）整理归纳审计资料（二）撰写审计报告（三）发出审计结论和决定（四）审计资料的归档和管理26对审计技术手段的影响过去审计人员进行审计都是手工操作的，但随着会计信息系统广泛地应用了电子计算机技术，审计人员若仍以手工操作方式进行审计，显然难以达到目的。因此，审计的技术手段也应由手工操作向电子计算机操作转变。当然这并不是说在审计中能用电子计算机完全替代手工操作，而是审计人员应该掌握电子计算机科学及其应用技术，把电子计算机当作一种有力的审计工具来使用。29对会计系统内部控制的影响在会计电算化系统中，会计信息的处理和存储高度集中于计算机，使手工系统中的某些职责分离、互相牵制的控制失效。为了系统的安全可靠，为了系统处理和存储会计信息的准确完整，必须考虑会计电算化系统的特点，针对其固有的风险，建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外，还包括了不少建立在系统应用程序之中，由计算机运行时的程序进行的控制。在会计电算化条件下，审计人员必须研究电算系统的内部控制，掌握其审计方法。对于程序控制，审计人员要利用计算机辅助审计技术进行审计。30对审计技术方法的影响传统的记账方法是每登记一笔账，便可以在账上看到一笔记录，而电子计算机却不能，一般是定期打印，供人们使用。平时这些记录只能在计算机上阅读，若要几笔业务对照来看，则很难做到。这种情况下审计取证的方法、对证据进行检验和审核的方法必须进行相应的改变。传统的手工记账一般可从字迹上辨认登记人以明确责任，而计算机只能提供统一模式的输入资料，无法从记录上辨认登记人，这样，计算机中的记录可轻易被改变而不留痕迹。这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。31对审计标准和准则的影响由于审计的对象有了重大变化，审计线索、审计方法及审计手段也受到影响而发生变化，过去审计标准和准则中的某些已不再适用，需要与新情况相适应的新的审计标准与准则，如电算化审计人员培训考核标准、电算化管理信息系统开发审计准则及其内部控制审计准则、审计应用软件标准等都有待建立。32对审计人员的影响审计人员面临着更新知识的需要，他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依据；而且还要掌握计算机和会计电算化方面的知识和技能，了解如何审计计算机系统，如何利用计算机进行审计；要有效地使用计算机、利用计算机进行审计，还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。33对审计内容的影响在CAIS条件下，审计的监督职能并没有发生变化，审计内容发生了相应的变化。在CAIS中，各会计事项都是由计算机按程序进行自动处理，它可以使因疏忽大意等原因造成的错误不致发生，但若系统应用程序有错误或被人篡改，计算机则只能以错误的方法处理所有的会计事项，后果不堪设想；若应用程序中被非法嵌入舞弊程序，则可帮助犯罪分子贪污国家或集体的财产，或在某种情况下使系统处于瘫痪。CAIS的特点及其固有的风险，决定了其审计的内容包括对CAIS的处理和控制功能进行审查，这是手工系统下审计所没有也不能审查的内容，这就要求审计人员具有计算机会计和计算机审计的知识和技能来进行审查。对电算化会计系统的审查着重审查系统的应用程序，审查其处理功能是否符合会计制度及其有关规定，是否能合法正确地处理各项业务，应用程序中的控制程序是否恰当有效，是否能达到控制目的。审计人员如果不懂计算机知识就无法进行审计工作。34思考题

1．计算机审计是如何产生并发展的？2．如何理解计算机审计的含义?3．计算机审计与信息系统审计、CAAT有何联系与区别？4．计算机会计信息系统对审计有哪些影响？5．计算机审计的基本方法有哪些？计算机审计的基本步骤与传统手工审计有何区别？35第二章

电算化会计信息系统内部控制的审计目录上一页下一页退出36

本章教学目的与要求通过本章的教学要求学生达到下列要求：⑴了解CAIS对传统内部控制的影响⑵熟练掌握CAIS内部控制的分类及相关概念⑶理解计算机环境下的审计风险及其分析与控制⑷掌握CAIS的一般控制和应用控制的主要内容⑸了解CAIS内部控制的审计步骤与内容37

本章教学内容

CAIS内部控制的变化与特点CAIS内部控制的分类CAIS的风险、计算机环境下的审计风险及分析和控制一般控制与应用控制的具体内容CAIS内部控制的审计38

本章教学的重点为了实现本章教学目的，在教学过过程中应以下列内容作为本章教学重点：⑴CAIS内部控制的分类⑵一般控制⑶应用控制⑷CAIS的风险分析39

本章教学难点⑴正确理解CAIS内部控制⑵一般控制的含义与具体内容⑶应用控制的含义与具体内容⑷CAIS的风险与审计风险40第一节CAIS的内部控制概述

一、电算化系统内部控制的重要性 二、CAIS传统内部控制的影响三、CAIS内部控制的目标 四、CAIS内部控制的分类 五、CAIS内部控制的特点 41第二节计算机环境下的审计风险一、CAIS的风险分析 二、计算机环境下的审计风险 三、CAIS的审计风险控制措施 42第三节会计电算化系统的一般控制

一、组织控制 二、硬件和系统软件控制 三、系统安全控制 四、系统开发与维护控制五、操作控制43一般控制的概念一般控制是指为了控制信息系统的风险，对整个信息系统的构成要素以及内外部各种环境要素实施的、对系统所有的应用或功能模块具有普遍影响的控制措施，主要包括系统全范围、全生命周期的总体控制。44组织控制

组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。一、电算化部门和用户部门职能的分离

（一）用户部门的职能用户部门依然负责业务的授权、产生、执行、记录、资产的保管等。用户部门内部的职能分离基本上同手工系统。45组织控制（二）电算化部门的职能电算化部门负责电算化信息系统的建立、使用和管理。当然，在建立一个新的电算化系统或者对现有电算化系统进行修改时，需要用户部门的积极参与。46组织控制（三）用户部门和电算化部门之间的关系1、电算化部门根据用户部门的需要进行数据的处理。2、当然，用户部门也可以将已经产生的原始数据进行整理并转化为计算机可读的形式，然后传递给电算化部门。3、电算化部门只能根据用户部门的要求进行数据的输入、处理和输出，而不能自行增加、修改或减少相应的数据。4、电算化部门和用户部门保持独立，用户部门不可以根据自己的需要自行修改处理结果或者处理程序。47组织控制（四）对错误的处理方法在数据处理过程中发生的错误，除了由于电算化部门人员的误操作而产生的错误可以由电算化部门自行改正外，其他错误均不能由电算化部门人员改正，而必须交由用户部门的人员进行判断和修改。也就是说，错误是由哪个部门造成的，就责成哪个部门修改。48组织控制二、电算化部门内部的职能分离

（一）电算化信息系统开发小组电算化信息系统开发小组负责电算化信息系统的建立和维护工作。小组成员包括系统分析员、系统设计员、程序员、数据库管理员等。（二）电算化信息系统使用小组电算化信息系统使用小组负责电算化信息系统的日常操作和处理工作。小组成员包括数据输入人员、数据处理人员、数据控制人员、数据资料保管人员等。49组织控制三、加强对员工的管理

（一）强化安全意识1、要在企业文化中提倡、培育安全观念。2、在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。3、在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工，在聘用合同中要列明责任。4、要加强领导的管理和内部审计部门的监督。50组织控制（二）识别敏感岗位1、该岗位接触到关键资源的机会2、是否能够有实施舞弊行为的时间3、作为个人是否具有舞弊的能力4、作为个人是否具有舞弊的动机51组织控制（三）加强对敏感岗位的控制1、聘用员工时要仔细考核，不仅考核其业务水平，还要考核其品质。2、岗位轮换。定期或不定期地实行岗位轮换。3、强制休假。4、计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。5、进一步加强内部审计和监控。52组织控制如果发现员工出现下列情形，并不一定意味着员工有舞弊行为，但可能需要格外关注和注意观察：1、富裕裕程度明显超出工资和等级水平。2、消费习惯从节俭突然变得大手大脚。3、和竞争对手企业联系紧密。4、对企业和领导不在乎，经常迟到早退，不尊重领导等。5、即使没有必要也经常找借口留下来加班。53硬件及系统软件控制

一、硬件及系统软件控制概述

一个电算化的信息系统是必须运行在硬件和系统软件上的。硬件和系统软件的运行状况决定了具体的信息系统的运行环境，如果它们出现问题，影响的将是整个电算化信息系统。所以，硬件及系统软件控制问题属于一般控制范畴。很多人认为，随着信息技术的发展，硬件和系统软件的生产厂家已经在硬件及系统软件中内置了必要的、可靠的和有效的控制，审计人员可以放心地认为这些控制运作良好，不需要对此进行检测。但是在实际的应用中，情况并非如此。例如，有些小型的计算机硬件及系统软件中没有设置足够的控制机制；并不是所有的系统软件都同样可靠；系统软件往往是模块化的，用户并不一定选择安装所有的部分，有可能遗漏了安全控制环节；硬件和系统软件控制可能已经存在，但是尚未被应用程序所利用；系统软件最初也许是可靠的，但是以后对它的修改有可能会削弱控制环节；系统软件具有强大的控制功能，但是这种控制能力如果被滥用，将会成为破坏工具；硬件和系统软件的控制机制会因为缺乏良好的组织控制和操作控制而失效。54硬件及系统软件控制常见的硬件控制措施包括：1.冗余校验它是在数据编码中设置冗余位，依据冗余位编码与数据编码的逻辑关系来检测是否所有读入的数据均已正确地传送到计算机的其他部位的控制方法。2.回波校验将输入设备所接收的数据传送到数据的来源处，一般与原始数据进行比较。3.重复处理校验这是通过重复进行同样的操作处理，将结果进行比较以发现错误的一种控制。例如，写后读校验是将已经写出的数据再次读入，以便与内部处理单元中的数据进行核对；重读校验是重复将输入数据读入，再将这两次读入的数据进行比较。4.设备校验这是将控制手段构造在计算机集成电路板中，检查并更正错误的一种方法。具体控制功能包括错误自动诊断和自动重新输入。5.有效性校验这是利用计算机实际操作与有效操作进行对比而检测错误的一种控制。具体包括操作有效性、字符或字段有效性、地址有效性。6.作业控制这是指由人来完成的各种计算机硬件控制。包括存储介质控制、计算机工作环境控制、电源控制、设备维修与更新、偶然事件控制等。55硬件及系统软件控制系统软件的主要功能包括管理系统操作、辅助和控制应用程序的运行等内容。较为理想的系统软件控制包括以下几个方面：1.错误处理系统软件能检测和纠正因为硬件和软件问题引起的一些错误。例如读写错误处理、记录长度检查、存储装置检查等。2.程序保护这项控制的目的是防止在处理过程中各应用程序相互干扰，防止程序调用的错误，防止未经授权而对应用程序进行改动。例如，边界保护、程序调用控制等。3.文件保护这项控制是要防止未经授权使用或修改数据，具体包括内部文件标签检查、存储保护、内存清理、地址比较等。4.安全保护这项控制是要防止未经授权使用计算机系统。具体包括日志控制、口令控制等。5.自我保护需要对系统软件本身加以保护，防止被滥用。例如：加强系统软件开发阶段的监控；记录系统软件的维护情况；尽量将系统软件的维护工作与其他工作分离开来等。56系统安全控制

电算化信息系统的安全问题，指组成电算化信息系统的各方面资源的安全问题。包括：硬件、软件、数据、人员。57系统安全控制一、硬件的安全（一）硬件运行环境的控制1、机房环境2、火灾3、水灾4、灰尘5、恶劣天气6、电磁波7、静电58系统安全控制（二）硬件防护1、计算机系统对供电电源的要求（1）直接供电（2）经过隔离变压器供电（3）交流稳压器供电（4）不间断电源（UPS）供电2、双重系统59系统安全控制（三）硬件接触控制1、机房地址不要选择在人流热闹的地方。2、对机房加锁。3、对进出机房的人采用身份识别技术。4、采用闭路电视进行多角度的监控。5、计算机设备上可以加上标签，这样当有人试图将其带出时，会发出警报。60系统安全控制二、软件的安全（一）软件的接触控制1、采用口令控制方式（1）口令应该定期更改。（2）口令的位数不应该过短。（3）口令的设置不要和使用者的个人情况有太多的联系。（4）口令不要传播给别人。（5）系统要对口令输错的情况进行监控和分析，防止有人蓄意试探口令。2、采用权限控制方式61系统安全控制（二）防止计算机病毒的侵害1、加强机房管理，避免使用来路不明的软盘和非法拷贝的软件，也不要接收异常的电子邮件，在下载时也要小心；2、购置反病毒软件，经常对硬盘和软盘进行病毒检测；3、对重要资料进行经常的备份；4、确定自己的危险程度，制定一旦病毒入侵需要采取的方案，制定相应的恢复措施。62系统安全控制三、数据的安全（一）数据的接触控制1、口令控制方式2、加强对存储介质的管理3、磁介质上数据的加密保护硬加密技术63系统安全控制

（二）数据的加密1、数据的加密和解密（1）密钥的管理（2）加密/解密算法的设计2、数据的完整性64系统安全控制（三）数据的备份制度1、临时的方法：偶尔将个人文件拷贝到软盘上。2、谨慎的方法：定期进行备份拷贝。3、专业的方法：祖父/父亲/儿子方案。

（四）防止计算机病毒的侵害65系统安全控制四、人员的安全

工作在电算化信息系统环境下的人员可能会遭到一些安全问题。重复性紧张损伤应该考虑人类工程学。66系统开发与维护控制开发计划控制开发过程的人员控制：内审人员参与，分析员不编程，编程员不测试等系统设计控制编程和测试控制开发过程系统文档控制系统维护控制67操作控制操作控制指通过操作手册和操作程序等的严格规定和遵从，从而保证电算化信息系统操作上的正确性。68操作控制

一、操作控制的基本内容

（一）严格的上机操作手册（二）严格的软件操作规程（三）硬件和软件的使用记录制度（四）系统的运行指标的考核（五）定期的维护和保养（六）系统错误记录和分析报告（七）保证机房设施安全和电子计算机正常运转的措施（八）会计数据和会计核算软件安全保密的措施69第四节会计电算化系统的应用控制

一、输入控制 二、处理控制 三、输出控制 70应用控制

每一个具体的应用系统或程序所要解决的问题是不同的，所涉及到的数据和处理方法等均各具特点。针对这些具体的应用系统或程序所进行的有针对性的控制，就是应用控制。71应用控制应用控制的目的在于：1、保证所有经过审核批准的交易均经处理完毕，并且每一项交易只处理一次。2、保证交易资料的完整和正确。3、保证交易的处理正确无误，符合要求。4、保证处理的结果用于预定的用途，并能产生预期的效益。5、保证应用程序能正常运作，并持续维护其功能。72应用控制应用控制和一般控制是相互支持的。一般控制着重于对整体环境的控制，而应用控制着重于对其中具体环节的控制。73输入控制

一、输入控制的重要性应用控制最为强调的控制环节就是输入环节的控制。

74输入控制二、输入控制主要控制措施包括：防止遗漏和重复检查错误编制书面文件设计格式建立收发记录，计算控制总数数据输入核对计算机编辑检查75输入控制三、例：CAIS的输入控制记账凭证完整性、合理性检验建立科目名称和代码对照文件设计科目代码校验位设立对应关系参照文件试算平衡控制顺序检查屏幕检查二次输入法控制总数法76输入控制会计信息系统的输入环节

会计信息系统的输入方式主要有采用键盘手工输入、软盘转入和网络传输等几种。（一）账务处理模块的输入环节账务处理模块在正式启用之前，必须进行初始化设置。在账务处理模块正常运作以后，输入数据主要是会计凭证。既可以是记账凭证，也可以是原始凭证。在记账凭证输入中，又有几种不同的输入格式。77输入控制如果账务处理模块和其他业务核算模块能够进行数据交流，形成一个有机的会计信息系统时，则其他业务核算模块可以将核算的结果自动传递到账务处理模块，这时的凭证一般称为机制凭证。在自动结转情况下，又分为这样两种情况。一种是其他业务核算模块已经将机制转账凭证做好以后传递给账务处理模块，一种是其他业务核算模块将业务处理结果（也就相当于原始凭证）传递到账务处理模块，然后由账务处理模块根据这些资料进行处理，生成记账凭证。78输入控制（二）其他业务核算模块的输入环节其他业务核算模块包括工资核算模块、固定资产核算模块、存货核算模块等。这些业务核算模块需要向账务处理模块传递数据，作为账务处理模块的输入来源。同时，这些业务核算模块本身也需要接受输入，进行后续的处理。业务核算模块的输入同样分为系统运作初始的初始化工作和系统正常运作以后的正常输入工作。79输入控制会计信息系统的输入控制方法

输入控制的目的是保证输入工作的正确性、完整性和经过授权。输入控制要针对输入数据中的重要字段进行。80输入控制（一）批控制总数的方法1、数量、金额控制总数2、记录数控制总数3、杂项控制总数批控制总数的方法并不仅仅适用于批处理方式，也完全可以在联机实时方式下采用。同样，批控制总数的方法也并不仅仅适用于输入环节的控制，同样也可以在处理和输出环节采用。

81输入控制（二）输入画面友好人机的交流可以采用的具体方式分为：1、问答的方式2、菜单的方式3、填表的方式4、图形化用户界面82输入控制具体到会计信息系统的输入问题，有的时候采用菜单驱动的方式选择需要的处理功能，有的时候采用回答问题的方式决定是否进行某项处理，但更多的是采用填表的方式。要考虑到用户的接受程度。可以考虑尽可能将输入画面和用户所熟悉的纸质凭证相一致。在会计信息系统的输入画面设计中，越来越多地采用了图形化用户界面的技术。83输入控制（三）存在性校验存在性校验要求在初始化时在会计信息系统中建立一个会计科目名称和会计科目代码一一对应的会计科目词典库。84输入控制（四）校验位校验在会计信息系统中广泛用到代码。这些代码的形式大多是数字型。所谓校验位，是在原来代码的最后加上的一位。加上这一位后，使得整个的代码（连同校验位）具有某种数学的特征，比如，可以被某个数整除。1、首先对每位代码加权2、然后取模85输入控制（五）对应关系检查记账凭证存在着借方科目和贷方科目这两个方面的对应关系。可以对凭证种类和其借贷方进行检查86输入控制（六）平衡关系校验会计中广泛存在着平衡关系。可以利用这些平衡关系进行检查。87输入控制（七）界限、极值校验会计信息系统中有些字段的取值是有一定界限或极值的。88输入控制（八）完整性校验输入时有些字段是一定要输入的。在记账之前，软件应该检查审核字段是否已经填有内容。完整性校验还包括检查凭证是否“有借有贷”。对于授权的检查也是一种完整性校验。89输入控制（九）连续性校验有些字段项目是连续的。对于这些连续的字段项目，可以进行顺序检查，以查找出跳号、重复号、空号等情况。90输入控制（十）静态检查法对于已经输入计算机的信息，可以通过屏幕将这些信息一条一条地调出来进行逐一的检查，也可以以清单的方式打印出来进行对照。91输入控制（十一）二次输入法二次输入法指对于重要的记录或者字段可以分别由两个不同的操作人员进行输入，输入完成以后再进行匹配检查，看是否完全一致。92输入控制会计信息系统输入控制中要注意的问题

这些控制方法并不能够保证会计信息系统的输入环节完全正确。这些方法的综合运用要比单独只采用某一种方法要好，更为全面。另外，对于在输入控制中检查出来的错误信息的处理，必须非常慎重。93输入控制要对错误的信息进行跟踪管理，要检查这些错误的信息是否退回到相关的负责部门进行检查、更正，是否重新输入，是否没有遗漏，是否没有重复，更正后是否正确等。如果采用的是控制总数的控制方法，则在控制总数中需要扣除这些错误的、留待下个批次处理的数据。在用户部门和电算部门都会设置控制岗位对输入环节进行检查。94处理控制

一、处理控制的目的

处理控制的目的是要保证信息系统的处理按照各个模块所预先设定的程序进行，这些处理活动必须经过授权，所有经过授权的处理都被系统进行过而没有遗漏，任何未经授权的处理都没有进行过。在整个处理的过程中是正确的、及时的、有效的。95处理控制二、信息系统的处理

信息系统中对数据的加工处理方法包括分类、汇总、合并、排序等。96处理控制三、会计信息系统的处理环节会计信息系统中的账务处理模块的处理工作包括做账、做表。对于工资核算模块来说，主要的处理工作是计算各个员工的应发工资和实发工资，逐级汇总各个部门的工资发放情况，并进行工资的分配，同时产生相应的计提工资转账凭证。97处理控制对于固定资产模块来说，主要的处理工作是计提折旧。要根据固定资产上月末或本月初的余额、当前的折旧率与使用状态计算折旧，同时产生相应的计提折旧转账凭证。对于存货核算模块，其工作流程主要就是存货的收、发、存工作，同时产生相应的转账凭证。等等。总的来说，各个业务核算模块的处理工作根据业务的不同各有不同的侧重点和流程及处理方法，但都要产生相应的转账凭证以便作为账务处理模块的输入。98处理控制四、会计信息系统的处理控制方法

处理控制往往包含在计算机程序之中。所能检查或者防止的错误类型包括：

1、未将所有有待处理的数据加以处理，或将某些数据重复处理了多次。2、处理了其他的数据。3、对不合理的或不合逻辑的数据进行处理。4、在处理过程中遗漏或者损坏资料。99处理控制（一）控制总数的方法在输入时已经计算得到控制总数，在处理过程的各个时点（如一项重要的处理完成以后）可以重新计算各个控制总数，然后进行比较，以判断处理环节中是否对所有的输入数据都进行了正确的处理，没有遗漏，也没有重复。100处理控制（二）文件标签检查文件标签分为外部标签和内部标签。外部标签就是保存有数据的磁带或者磁盘的外包装上所记载的文件的名称等信息。文件的内部标签是由计算机在存储数据记录时产生的，可以用计算机加以检查，以确定所打开并处理的文件确实是要处理的文件。101处理控制（三）界限、极值校验例如员工的应付工资。还有些数字不可能为负数，如结余的存货数量。对于账务处理程序，资产类账户的期末余额一般在借方，负债、所有者权益类账户的期末余额一般在贷方，收入、费用类账户经结转后一般没有期末余额。102处理控制（四）平衡及勾稽关系校验在总分类账或者明细分类账中，存在着一个基本的关系：期初余额+本期借方发生额-本期贷方发生额=期末余额。对于存货类，则：期初库存+本月增加库存-本月减少库存=期末库存。根据会计等式可知，资产类账户的期初余额、本期发生额、期末余额和负债、所有者权益账户的期初余额、本期发生额、期末余额应该试算平衡。103处理控制总分类账户的发生额、余额和其所有明细分类账户的发生额、余额应该相符。报表中的小计、合计、净值等计算关系应该可以复核。有些报表项目之间存在着勾稽关系，这些关系可能是等于、大于或者是小于关系。例如：资产负债表中“未分配利润”项目与利润分配表中“未分配利润”104处理控制对于处理控制中发现的错误，必须分别情况进行处理：（一）错误可以立即更正（二）错误必须返回用户部门进行更正（三）错误已经对主文件造成影响105输出控制

一、输出控制的目的

从系统的角度来看，输入和输出是相对的。输出分为两种，一种是中间性的输出，一种是最终的面向用户的输出。输出对用户来说是至关重要的。输出控制的目的是要保证信息系统所处理的资料完整、正确，所处理的结果正确，并且保证只有经过授权的部门和人员才能获得这些输出资料。106输出控制二、信息系统的输出

信息系统常见的输出方式有两种：打印输出和查询输出。输出的格式通常有三种：简单形式输出、棋盘式表格输出、图形输出。107输出控制三、会计信息系统的输出环节会计信息系统中的账务处理模块应当提供对机内会计数据的查询功能。账务处理模块还必须提供会计凭证、会计账簿、会计报表的打印输出功能。工资核算模块应当可以输出有关工资的各类汇总表、工资单、工资分配表及人民币票面张数取用数等。108输出控制固定资产核算模块可以根据用户自行设定的项目进行固定资产的分类、汇总、查询和统计，并打印输出有关固定资产的账册或表格等等。在其他业务核算模块的输出中，还包括根据有关业务自动生成的机制凭证的输出。另外，商品化会计软件必须充分考虑用户实际使用的各类打印机的情况，必须具有与各类打印机控制代码互相转换的功能，供用户使用。109输出控制四、会计信息系统的输出控制方法（一）输出信息内容和格式的控制输出信息必须符合用户的要求。在内容上，要做到有用、完整、正确、及时。为了对内容进行控制，要求电算部门在将输出信息传递给用户之前，先要进行控制总数等方法的校验。输出信息的格式也必须符合用户的要求。（二）输出信息传送过程的控制必须对输出信息的传送进行控制。110输出控制五、会计信息系统输出控制中要注意的问题在会计信息的输出过程中必须同时注意两方面的控制，一个是内容和格式，一个是传送途径。只有这样，才能保证经过授权的用户得到了所需要的资料。如果输出控制中发现错误，同样需要对这些错误进行登记，分析错误的产生原因，并做出相应的补救措施。111第五节CAIS内部控制的审计 一、内部控制评审的目标 二、CAIS内部控制评审的内容三、CAIS内部控制的审计步骤

112CAIS内部控制的审计审计目的：确定系统的内部控制设置是否完善适当；已有的控制是否恰当地发挥了作用，达到了原来的设计目标；针对系统控制的缺陷和薄弱环节提出改进的建议，并以此为依据调整实质性测试阶段的范围、内容和深度。

113CAIS内部控制的审计（一）一般控制的审计

目的：对系统一般控制的完善性和有效性进行审计

一般控制的评审包括两个方面：

1、对被审计单位信息系统背景信息评审。内容有：

（1）被审计单位信息系统的规模；

（2）硬件和网络的技术复杂性；

（3）被审计单位信息系统会计核算和业务系统等应用软件取得的方式；

（4）系统的管理情况；

（5）被审计单位信息系统处理业务流程等。

目的：通过对以上背景信息评审，基本收集了被审计单位信息系统硬件和软件的基本情况

114CAIS内部控制的审计2、对被审计单位信息系统控制环境评审。内容有：

（1）系统控制措施；

（2）不相容职能分离控制措施；

（3）访问控制措施；

（4）系统的安全性和灾难恢复控制措施；

目的：是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。115CAIS内部控制的审计（二）应用控制的审计

目的：检查存在于各具体应用程序中的输入控制、处理控制和输出控制的情况的完善性和有效性。

应用控制的评审包括：1、输入控制审计

目的：审查输入控制在确保输入数据的精确、完整、有效以及数据输入的合法性的情况。输入控制的审计的主要内容包括：

（1）输入权限控制；

（2）输入完整性控制；

（3）数据有效性控制；

（4）输入格式检查； （5）输入数据范围检查；（6）校验；（7）有效性检查；（8）相容性检查；（9）数据重复控制；（10）数据相关性检查；（11）输入异常处理。116CAIS内部控制的审计2、处理控制的审计

目的：审查处理控制是否能确保数据被正确的处理、所有数据都被处理、数据未被重复处理、处理的数据是有效的，等。处理控制的审计的主要内容包括：（1）数据被处理前后保持一致；（2）数据有效性检查；（3）处理与数据的非相关检查；（4）数据处理的完整性与一致性；（5）处理的有效性；（6）文件访问冲突控制；（7）错误控制。117CAIS内部控制的审计3、输出控制的审计

目的：审查输出数据控制是否能确保输出数据的完整、有效、保密等。

处理控制的审计的主要内容包括：（1）输出异常的处理；（2）数据输出完整性；（3）输出数据的保护；（4）输出结果符合要求；（5）输出数据的及时性；（6）输出被合适地发布。118CAIS内部控制的审计步骤(一)了解并描述内部控制

调查方法：询问、观察、查阅文档资料、检测工具描述方法：文字描述法、内部控制调查表法、流程图法

(二)符合性测试

人工控制审查方法：询问、观察、检查文档资料、发放调查问卷等程序控制审查方法：人工控制审查方法、计算机辅助审计技术

(三)评价内部控制

评价目标：确定被审单位的内部控制是否达到了电算化条件下应有的控制目标，内部控制是否有重大缺陷，有无过控或欠控之处，已设立的控制是否有效执行。结果处理：对被审单位控制的薄弱环节提出管理建议，并形成文档——管理建议书；调整。119CAIS内部控制的审计步骤内部控制评价指标简介：

内部控制的审计评价指标通常分为一般性指标和具体指标（一）信息系统内部控制审计评价的一般性指标

指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标，包括：1、信息系统内部控制的完整性；2、信息系统内部控制的合理性；

3、信息系统内部控制的有效性。（二）信息系统内部控制审计评价的具体指标

指对信息系统内部控制相关内容方面的审计评价指标，是对信息系统内部控制相关内容的具体评价。120第六节内部控制审计实例

一、被审单位基本情况 二、被审电算化系统——销售和收款系统说明 三、系统的内部控制制度 四、收集审计证据 五、审计证据的分析与报告

121实例某审计机构对对某酒店开展了信息系统审计。审计目的：酒店信息系统的安全性、可靠性审计步骤：1、计划阶段。通过了解情况、评估内部控制等环节，根据审计目的，确定了：审计重点：年审日报汇总系统、会议团体客房转账和业务系统与财务核算系统手工传输数据三个系统模块作为对信息系统进行安全性、可靠性测试的重点。涉及方法：绘制组织机构图、系统流程图和现场走访等方式。2、审计实施。

（1）通过详细了解信息系统的数据库结构，对比数据库中表文件的记录数量大小和字段完整程度，确定需要查询的数据库表文件，将主表的数据完整性作为重点的测试目标。122实例（2）通过测试数据的真实完整性来审计信息系统的安全性和可靠性。（3）通过摸清酒店的业务流程，跟踪基础数据流在业务流程中的走向，锁定数据的大量运算点，从而确定审计方向的关键。（4）针对数据在运算、自动传输和手工传输过程中存在发生错误和被调整修改的可能性，因此利用计算机辅助审计技术进行了验证。（5）在验证过程中，通过分步骤编写查询语句和程序，调出数据生成中间表进行比对，发现疑点，根据疑点特征继续比对，直到发现错误点。3、审计完成

通过审计测试，发现信息系统在数据传输和运算上存在错误，通过数据验证，证明错误产生的原因是由信息系统本身缺陷造成的。上述审计结果得到了被审计单位的认可，促使被审计单位更换了信息系统，提高了计算机管理水平。123思考题

1．CAIS的内部控制与传统控制相比有何变化？2．CAIS的内部控制有哪些分类标准?3．CAIS的风险有哪些?如何理解计算机环境下的审计风险？4．CAIS的一般控制有哪些?5．CAIS的应用控制有哪些？6．如何对CAIS的内部控制进行审计?124练习题

1、MMI是一个制药公司，通过直接邮寄的方式折价销售处方药。MMI有几个系统程序员负责设计和编写MMI的客户化软件。MMI经历了重大的销售增长，与此同时，处方药的成本在增长，销售额增长的一个结果是MMI自建了计算机硬件设施。计算机中心安装在两层总部大楼的底层，有巨大的玻璃窗户展示公司成就以吸引客户和投资者的关注。计算机区域安装了高科技的防火设备和备用电力供应设备。MMI雇用了少量计算机运维人员来维护计算机中心。MMI系统和开发人员也在同一个楼里，他们可以进入计算机中心，并在运维人员不够时自行测试新的程序并进行程序变更。当系统数量和开发人员数量都很少时，工作需求增长了，系统代码开发文档只在有时间的时候才会编写。MMI对程序和数据定期进行异地备份。很不幸，因为连续几天的大雨，MMI的建筑遭受了严重的大水，一楼漫过几英寸，影响到硬件设备、数据和程序。请指出MMI的两处与计算机相关的内部控制缺陷，并提出纠正性措施。125练习题

2、在一个计算机环境下，下列哪一种访问设置是适当的？ 对生产数据的修改访问权 对生产程序的修改访问权 用户拥有 应用程序员拥有用户拥有应用程序员拥有 A、是 否 否 否B、是 否 否 是C、否 是 是 否D、否 是 是 是答案：A解题思路：A、正确。用户需要通过应用程序修改数据。B、不正确。应用程序员应不能直接修改生产程序，而应该将修改内容提交给变动控制部门。C、不正确。应用程序员不能直接修改生产数据，用户也不应修改生产程序。D、不正确。126练习题

3、要防止将字母符号输入到完全是数字识别的区域，可以应用以下哪种技术

Ａ、存在性检验

Ｂ、检验数位

Ｃ、相关性检验

Ｄ、格式检验

答案：Ｄ

解题思路：答案A、B、C均不正确。见题解Ｄ。

答案Ｄ正确。格式检验检查字符内容的特征，长度，或某个数据字段的符号。127练习题

4、在一个大型组织里，信息中心帮助平台没有配备足够人员的最大的风险是

Ａ、增加了实施应用审计的难度

B、应用系统缺乏足够的文档

C、增加了使用未经授权的程序代码的可能性

D、用户操作系统时不断出现错误

答案：D

解题思路：答案A、B、C均不正确。见题解D。

答案D正确。信息中心帮助平台没有配备足够人员的最大风险是用户在和系统交互过程中将无意识地持续出错。128练习题

5、以下哪项是信息系统安全性有关的高层管理人员的重要责任。

A、评价风险；

B、分配访问特权；

C、明确数据的所有权；

D、就安全事项培训雇员。

答案：A

解题思路：答案A正确。评价风险是信息系统安全性有关的高层管理人员的重要责任。

答案B、C、D均不正确。见题解A。129练习题

6、在审查某公司对外出售已用过微机的政策时，审计人员最关心的是以下哪项内容？

A、硬盘驱动器上已经删除的文件是否彻底消除

B、电脑是否有病毒

C、电脑上的所有软件是否获得恰当许可

D、电脑上是否存在终端仿真软件

答案：A

解题思路：答案A正确。多数删除程序只是删除文件的指针，而并不清除相关的数据，公司要彻底清除数据就必须使用特殊的工具，因为微机上可能存有机密的数据，所以这样做很重要。

答案B、C、D均不正确。见题解A。130第三章

会计信息系统开发审计

目录上一页下一页退出131

本章教学目的与要求通过本章的教学要求学生达到下列要求：⑴了解系统开发审计的目标⑵掌握系统开发审计的内容⑶学会系统开发审计方法⑷了解相关规范与标准132

本章教学内容

系统开发审计的目标系统开发各个阶段的审计内容与方法CMMi、开发项目的管理规范

133

本章教学的重点为了实现本章教学目的，在教学过过程中应以下列内容作为本章教学重点：⑴系统开发各个阶段的审计内容⑵系统开发审计的方法及依据134

本章教学难点⑴系统开发审计的内容⑵如何进行系统开发的审计135第一节系统开发审计的目标

一、系统开发审计及其必要性系统开发过程审计指当企业开始开发一个新的电算化会计信息系统时（需要指出的是，本章所讲的系统更多时候指的是电算化的信息系统，其实并不是仅限于会计系统），或者当企业对一个原有的电算化信息系统进行较大修改时，审计人员需要对这个过程进行审计。这里强调的是一种事前或事中的审计。系统开发过程的审计可以由内部审计人员或外部审计人员来做。因为系统开发过程周期比较长，内部审计人员更可能全程参与，及时开展各种审计工作。外部审计人员的参与往往是在几个重要的时点，如系统开发由一个阶段转向另一个阶段、系统要交付实际运行等。136第一节系统开发审计的目标

必要性一、可以尽早提出针对系统的建议和意见二、可以更深入地对软件进行评价三、可以预留审计线索和接口四、可以提高软件开发的效率和效果137第一节系统开发审计的目标

二、系统开发审计的目标（一）、审查系统的可行性 （二）、审查系统的合规性、合法性 （三）、审查系统内部控制的适当性 （四）、审查系统的可审性 （五）、审查系统测试的全面性、恰当性 （六）、审查系统文档资料的完整性 （七）、审查系统的可维护性 138第二节系统开发审计的内容和方法 一、系统分析阶段的审计内容与方法 二、系统设计阶段的审计内容与方法 三、系统实施阶段的审计内容与方法 四、系统运行与维护阶段的审计内容与方法

139系统分析阶段的审计内容与方法1、审查用户的要求2、审查系统的成本和效益分析资料3、审查系统的可行性分析过程4、审查备选方案是否考虑了相应的控制问题5、可行性研究报告等是否经过高层管理人员的批准140系统分析阶段的审计内容与方法6、指导委员会是否根据企业发展的计划评价软件开发项目，并可能对计划或项目作出调整。7、审查用户部门及相关部门的参与情况8、在需求分析中是否采用了各种有效的手段来了解用户的需求9、是否采用了一些原型的软件来帮助用户界定需求10、是否让用户及时地了解了可能会用到的新技术或新方法141系统分析阶段的审计内容与方法11、需求界定中是否包括了有关控制的细节和有关审计线索的问题12、系统的逻辑模型是否恰当13、文档资料是否齐全14、审计工作应该怎样进一步开展142系统设计阶段的审计内容与方法1、审查系统的设计工作和系统的分析工作是否相一致2、审查系统配置是否合理3、审查系统设计工作是否遵循了“结构化设计”的思想4、审查代码设计是否合理5、审查在输入环节设计中是否考虑了控制因素6、审查在处理环节设计中是否考虑了控制因素7、审查在输出环节设计中是否考虑了控制因素8、审查项目管理工作143系统实施阶段的审计内容与方法1、新的系统是否和原先的设计方案一致、和用户的需求一致2、审查程序编写是否符合结构化编程风格3、审查测试计划4、审查测试数据是否全面5、审查测试数据的数据量大小144系统实施阶段的审计内容与方法6、用户是否接受了培训7、审查使用性文档资料是否齐全8、审查并行测试情况9、审查文件转入过程10、审查新旧系统转换的过程145系统运行与维护阶段的审计内容与方法

1、考察新系统是否符合原先的设计想法和要求2、审查控制措施是否运行正常有效3、考察系统的可审计性问题4、审查工作程序问题5、审查维护工作是否及时、合规146第三节系统开发审计的依据

一、CMMiCMMi（CapabilityMaturityModelIntegration,软件能力成熟度集成模型）：1991年，CMMi由美国卡内基梅隆大学的软件工程研究所(SEI)创立。2006年8月，SEI发布CMMIV1.2版，现在，CMMi已经演进为一种为软件开发、系统工程及研发提供流程改进指导的框架。该框架通常被用来提高产品和服务质量，加快开发效率以及降低与开发项目相关的风险。它具有5个不同的“成熟度”级别，每个级别都代表着一套企业在实施流程改进时所必须的最佳实践标准。CMMi主要指导在软件开发、系统工程、研发及其他活动中的流程改进。

147第三节系统开发审计的依据二、开发项目的相关规范如PRINCE：早在20世纪70年代，英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳SimpactSystems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上，20世纪80年代年英国政府计算机和电信中心（CCTA）（后来并入英国政府商务部（OGC））出资研究开发PRINCE，1989年Prince正式替代PROMPT成为英国政府IT项目的管理标准。PRINCE，一种对项目管理的某些特定方面提供支持的方法。它是ProjectsINControlledEnvironments（受控环境中的项目）的首字母缩写。是组织、管理和控制项目的方法。自从Prince的引进，Prince就广泛的被用于公共和私人部门。虽然开发Prince的原意是用于IT项目，但实际运用中，许多非IT项目也采纳了该标准。148思考题

1．为什么要进行系统开发的审计？2．系统开发有哪些阶段?3．系统各个阶段的主要审计内容有哪些？4．系统开发审计的依据有哪些？149练习题

1．系统设计及实施审计业务包括在各个关键点的检查，以保证开发过程受到恰当地控制和管理。这些检查包括以下所有各项，除了a．对可用的硬件、软件和技术性资源进行技术可行性研究。b．在实施的每一阶段都要检查用户参与水平。c．验证用于程序开发、代码转换和测试的控制和质量保证技术的使用。d．确定系统、用户和运行文档是否符合正式标准。答案：a解题思路：a.正确。可行性研究应该在系统分析阶段进行。，b.不正确。用户参与到开发过程的各阶段是非常重要的。c.不正确。这能保证开发过程各个阶段的质量。d.不正确。没有良好的文档，信息系统很难运行、维护和使用150练习题

2．通过以下哪种方式可以最好地防止拥有充分技术的人员绕过安全程序对生产程序进行修改？A、将已完工工作的报告进行检查B、将生产程序与独立控制的拷贝进行比较C、定期运行测试数据D、制定合适的职责分离答案：D解题思路：A、不正确。对已处理作业进行检查只能发现非法访问的事实，但不能防止其发生。B、不正确。比较生产程序和受控拷贝只能发现程序改变的事实，但不能防止其发生。C、不正确。定期运行检测数据可以发现改变，但不能防止改变。D、正确。在职责分离的情况下，用户无法获得程序的详细知识，而计算机操作员很难不受监督地接触生产程序。151练习题

3.某电子公司决定通过应用快速应用程序开发技术来实现某新系统。以下哪项内容将被包括在该新系统的开发之中？

A、将系统文档编制的需要延迟到最后模块完成之时

B、把项目管理责任从开发小组转移出去

C、分模块创建系统直至系统完成

D、将以往编码的使用减少到最低程度

答案：C

解题思路：答案：A、B、D均不正确。见题解C。

答案C正确。快速应用开发方法根据系统需求的紧迫程序边开发边使用，因此新系统应该分模块开发直至完成。

152第四章

会计信息系统应用程序的审计

目录上一页下一页退出153

本章教学目的与要求通过本章的教学要求学生达到下列要求：⑴了解应用程序审计的内容⑵掌握应用程序审计的方法154

本章教学内容

应用程序审计的内容程序流程图检查法、程序编码检查法程序运行记录检查法、程序运行结果检查法检测数据法、整体检测法、程序编码比较法受控处理法、受控再处理法、平行模拟法嵌入审计程序法、程序跟踪法155

本章教学的重点

为了实现本章教学目的，在教学过过程中应以下列内容作为本章教学重点：⑴应用程序审计的内容⑵程序运行结果检查法⑶检测数据法⑷受控再处理法⑸平行模拟法156

本章教学难点⑴理解应用程序审计的内容⑵整体检测法⑶平行模拟法157第一节会计信息系统应用程序的审计内容

一、审查程序控制是否健全有效 二、审查程序的合法性 三、审查程序编码的正确性 四、审查程序的有效性 158第二节会计信息系统应用程序的审计方法

一、手工审计的方法程序流程图检查法程序编码检查法程序运行记录检查法程序运行结果检查法

159程序流程图检查法即利用被审计单位的CAIS现有的程序流程图来检查程序的控制功能是否可靠、处理数据的逻辑是否正确的方法。首先确定程序流程图中包含了哪些处理功能和控制措施，然后证实程序流程图中所包含的处理功能和控制措施是否在被审单位的实际运行程序正在执行。160程序编码检查法在查阅源程序代码时，首先要检查一下所编写的源程序的个数是否和程序结构图中描述得一致，各个程序的功能是否和IPO图中描述得一致。源程序中所包含的基本结构是否仅限于顺序、选择（或称分支）、循环结构，思路是否清晰，层次关系是否明了，是否有游离于程序功能之外的程序段。在查阅源程序代码时，可以设定一些数据，沿着这些程序的语句逐步深入下去，检查程序是否走得通，是否能够得到预期的结果。除了检查程序本身逻辑上的正确性以外，还需要对程序的效率性进行判断和评价。161程序运行记录检查法在系统实际运行时，需要对运行情况进行记录，这就形成了操作日志。操作日志可以是操作人员进行记录，也可以是由系统自动记录。在操作日志中，需要反映系统的开机时间、操作人员的代号、口令、操作的模块功能、操作的时间等信息。尤其对于系统运行中出现的错误，更要加以仔细记录，并要做细致的分析。通过查阅操作日志，审计人员真切地了解到系统的实际效果，对于程序文件的效率和效果可以进行客观的评价。针对系统运行中出现的错误情况进行总结和分析，可以有效地查找出系统可能存在的漏洞。162程序运行结果检查法即对数据处理的结果进行检查，这种方法与手工AIS的凭证、账簿、报表的审查一样，通过对系统打印输出的结果检查，来推断被审计程序处理功能的正确性和控制措施的健全有效性。AIS打印输出主要包括错误清单、业务清单、记账凭证、日记账、分类账、会计报表以及其他各种报表。对输出结果的检查，可以推断有效业务处理功能是否正常有效。163手工审计方法评价优点：（1）因为不需要获得或者构造测试数据，也不需要占用机器时间进行测试，所以成本比较低；（2）通过文档查阅的方法，可以较快地从全局角度把握整个系统的情况，可以从整体上把握各个程序文件的逻辑和流程；（3）基本上不打扰被审计企业的系统运作过程。缺点：（1）这种方法要求系统的文档必须齐全并可以获得，但在很多情况下，系统的文档可能不全，或者不是真实情况的反映，或者不能获得（如审计人员往往很难得到商品化软件的开发性文档）；（2）这种方法还要求审计人员具有较多的系统开发和使用经验，能够看得懂相关文档；（3）这种方法是静态的，得到的结论和实际情况不一定一致，不一定可靠。164第二节会计信息系统应用程序的审计方法

二、计算机辅助审计方法 检测数据法整体检测法程序编码比较法受控处理法受控再处理法平行模拟法嵌入审计程序法程序跟踪法165检测数据法概念审计人员根据测试的要求，设计一套模拟业务的数据，利用被测试程序对模拟数据进行处理，再将处理结果与应当出现的结果进行核对，以检验应用程序是否可靠。适用用来测试整个系统的全部应用程序；也可用来测试个别程序；或测试程序中某个或某几个控制措施

测试数据正常的、无误的业务数据有错漏、不完整、不合理、不正常的业务数据166检测数据法实际结果与预计结果的差异系统主文件测试数据应用程序测试的结果审计人员比较预期的结果用户测试数据审计人员测试数据软件生成测试数据167检测数据法主要优点在审计线索间断或不完整的情况下，使用这种方法能对应用程序作出评价；这是一种抽样方法，用于测试处理量大的系统比较经济；使用范围广，对审计人员的计算机知识和技能的要求不高。主要缺点当全面测试系统或程序时，必须保证测试数据的综合性，否则难以保证能测试到所有的应用控制措施；难以保证被测试的程序就是被审计单位实际使用的程序；测试数据的设计比较困难；如果用测试数据增加、删除、修改文件中的记录，可能破坏被审计单位的主文件。168整体检测法（虚拟实体法）概念审计人员在被审计的计算机会计信息系统中建立一个虚拟的实体(如车间、某一往来客户)，利用被审程序，对该虚构实体数据与实际业务数据一同处理，将处理结果与预期结果比较，以确定应用程序的处理和控制功能是否恰当可靠。

虚拟实体业务数据实际业务数据手工处理被审程序预期结果虚拟业务处理结果实际业务处理结果比较169整体检测法（虚拟实体法）主要优点在正常业务时间里处理测试数据，不影响被审计单位的业务活动；应用范围较广，尤其适用于实行内部部门核算的企业和联机批处理网络系统的测试，且能用于测试各种内部控制；能确定被测试程序就是被审计单位实际使用的程序；将虚拟数据与实际数据区别开，在一定程度上避免测试数据法可能破坏被审计单位文件的缺陷。主要缺点如果没有及时消除虚拟数据，可能破坏重要的数据文件，或影响重要会计报表的正确性；由于虚拟单位性质的限制，所设定的测试数据不一定能测试出程序中的全部错误或隐患；不适用联机实时系统的测试。

170程序编码比较法指比较两个独立保管的被审程序版本，以确定被审程序是否经过了改变。发现改变，评估改变带来的结果。可与程序编码检查法或检测数据法等结合起来使用。171受控处理法概念审计人员通过程序对实际会计业务的处理进行监控，判别程序处理和控制功能是否按设计要求起作用主要优点审计技术简单，对审计人员的计算机专业知识要求不高；若采取突击检查的方式，可保证被审程序与实际使用程序的一致性，从而保证审计结论的可靠性。主要缺点审计人员对实际业务数据的监督、控制及比较分析，可能影响被审单位正常的数据处理及工作效率；选择的实际业务数据可能不足以评价各种处理和控制功能。适用条件无需专门的测试环境，适用于难以提供测试环境的网络化信息系统的审计172受控再处理法概念审计人员在被审单位正常业务处理以外的时间里亲自进行或监督进行，将某批处理过的业务再处理一次，比较两次处理的结果，以确定程序是否被非法篡改、处理和控制功能是否恰当有效。适用条件只用于再次审计，不可用于首次审计以前处理过的业务数据当前运行的被审程序处理结果以前处理结果比较当前被审程序处理过的业务数据审计人员保存的被审程序副本处理结果当前被审程序的处理结果比较173受控再处理法主要优点所需测试数据是现成的，审计人员没有必要再根据需要筛选数据；可以在审计人员和被审单位都方便时进行测试，不干扰被审单位的正常业务。主要缺点有些单位已处理过的业务文件可能只保留很短时间，而主文件可能已经多次更新，难于获取重新处理所需的文件；着重在于对结果的分析，若结果不相同，则要进一步分析原因，因而对控制措施的判断不直接；若结果一致时，由于采集数据的局限性及潜在的被修改的可能性，所以并不一定能据此判定程序控制的有效性。174实际业务数据文件模拟程序被测试程序处理结果处理结果比较差异报告平行模拟法概念审计人员自己或请计算机专业人员编写与被审应用程序处理和控制功能相同的模拟程序，并用模拟程序处理实际数据，将处理结果与被审程序处理结果进行对比，评价被审程序的处理和控制功能是否可靠

适用条件一个模拟系统可以用于多个单位的审计，或者审计人员可以低成本取得模拟系统优点能独立地处理实际数据，不依赖于被审计单位的人力和设备，能客观地进行审计评价缺点如果开发的模拟系统比较复杂，则开发难度较大且成本较高175嵌入审计程序法概念审计人员在被审计算机会计信息系统开发设计阶段，在被审的应用程序中嵌入为执行特定审计功能设计的程序，用来收集审计人员感兴趣的资料，并建一个审计文件存储这些资料，通过对这些资料的审核确定应用程序处理和控制功能的可靠性。

嵌入程序分类主要在一些特定点上对系统的运行进行实时监控只有在审计人员调用时才起作用实际业务数据文件被审程序（包括嵌入程序段）实际业务处理结果审计文件输出程序审计资料被审单位使用审计人员使用176嵌入审计程序法主要优点在被审单位处理业务数据的同时获取审计证据，弥补了在数据处理过后进行审计时，难以确认被审程序与实际运行程序一致性的缺陷；审计程序段与系统程序同时运行，因而所进行的测试是经常性的，只要被测试程序开始运行，审计程序段就处理监督状态。主要缺点审计人员必须事先确定对何种程序进行审计，需要获取何种审计资料，并要据此设计相应的审计程序段，如果应用程序修改，审计程序段可能也要修改；审计人员要参与到被审单位的系统分析与设计，实际上是将审计的重点告知了设计人员。适用条件审计人员在系统开发阶段对嵌入审计程序的功能提出需求177程序跟踪法概念审计人员在被测试的程序中安插一些审计程序段，并事先对输入数据作好标记，当带有标记的数据通过审计程序时，将该数据存储起来，等程