计算机会计信息系统的内部控制和审计的一个入门级课程

计算机会计信息系统内部控制与审计1第1页课程目

掌握和了解在计算机和网络环境中会计核实职能是怎样实现和完成；

能以信息技术发展眼光去了解会计；

能够应用分析和设计工具正确地描述不一样时期不一样企业会计数据和信息处理流程；

能够依据会计核实和管理要求确定会计信息系统基本功效；

能够依据会计核实和控制要求提出内部控制方案；

能够正确地了解和评价电算化会计信息系统。2第2页第一节计算机审计目标、内容与审计程序第七章计算机审计第四节计算机会计信息系统审计技术方法第三节计算机会计信息系统内部控制与审计第二节计算机会计信息系统审计计划制订第五节计算机审计软件第六节计算机舞弊伎俩与防范3第3页第一节计算机审计目标、内容与审计程序

审计线索对审计极为主要。在计算机信息系统环境下，账务处理全部由计算机系统按一定程序指令完成，手工系统下审计线索基本消失。

（二）对审计线索影响（一）对审计环境影响1、审计人员除了要与知道审计术语财务管理人员和会计专家进行交流，还须同使用另一个行业术语电子数据处理管理人员和计算机教授进行交流。2、在信息化社会里控制和审计客观要求下，审计客户将遍布每个行业和各类系统，庞大审计需求将造成审计巨大压力。一、计算机信息系统对审计影响4第4页

计算机系统对审计线索详细影响以下：

1.原始凭证一旦转换到机器可读介质上，就不再在处理过程中使用。

2、在一些系统中(如联机系统)，传统原始凭证可能不复存在。

3、在主文件中可能看不出计算机汇总所依据明细数据，而明细数据作为过程文件已不存在。

4、数据处理过程不一定提供业务日常统计，若要提供需要采取专门程序。

5、系统不一定或不可能打印出全部原始统计，普通只打印汇总结果。

6、保留在光电介质上数据除非依靠计算机和应用程序，不然无法阅读，而且易于损坏。

7、计算机程序和数据处理难以直接观察。

第一节计算机审计目标、内容与审计程序5第5页因为审计环境、审计线索和审计过程发生改变，手工操作下审计标准和审计准则中一些部分会不再适用。应建立电子数据处理环境下审计准则。（四）对审计准则影响（三）对审计过程和审计内容影响1、审计过程分为两个主要阶段：即对计算机系统评价和对计算机系统所产生会计数据评价，并应以着重评价计算机系统内部控制为主要内容。2、对计算机程序控制进行测试，以证实其处理正当性、正确性、完整性及系统安全可靠性是审计重点和前提。第一节计算机审计目标、内容与审计程序6第6页审计线索改变要求审计人员重新检验系统审计步骤。因为数据处理系统复杂性和数据集中，要求审计人员熟悉电子数据处理系统计划、程序和统计。（六）对审计人员影响（五）对审计技术和审计方法影响1、计算机审计方法是常规手工系统审计方法和电算化系统审计方法结合。2、对计算机信息系统审计基本方法可分为：绕过计算机审计、穿过计算机审计和使用计算机审计三种。第一节计算机审计目标、内容与审计程序7第7页二、计算机审计目标审计总体目标是对被审计单位会计报表正当性、公允性和会计处理方法一贯性发表审计意见。计算机审计详细目标包含：1.系统正当性2.系统安全性3.系统完整性4.系统效率性5.系统经济性和效益性第一节计算机审计目标、内容与审计程序8第8页三、计算机审计内容(一)、计算机审计含义1、以计算机信息系统为对象审计。2、以计算机技术为伎俩进行审计。3、用手工或电算化方法、技术和程序对电算化或手工信息系统所进行审计。在我国，计算机审计主要指前两方面内容。（二）、计算机审计内容1、对计算机会计信息系统进行审计第一节计算机审计目标、内容与审计程序9第9页（二）、计算机审计内容1、对计算机会计信息系统进行审计(1).对内部控制系统审计(2).对系统开发审计(3).对系统应用程序审计(4).对系统数据文件审计2、以计算机作为审计工具进行审计(1).手工会计信息系统计算机辅助审计(2).计算机会计信息系统计算机辅助审计(3).审计项目管理系统计算机辅助审计技术。包含利用计算机编制审计计划、利用计算机分析审计结果、利用计算机建立审计数据库、利用计算机编制审计工作底稿。第一节计算机审计目标、内容与审计程序10第10页四、计算机会计信息系统审计程序计算机会计信息系统审计程序与手工会计信息系统审计程序基本相同包含以下三个主要阶段：1、计划准备阶段。依据审计目标对被审计单位计算机会计信息系统进行初步调查、组织计算机审计小组、发出审计通知书或审计业务约定书、编制审计计划等。2、审计实施阶段。对被审计单位内部控制制度建立及恪守情况进行符合性测试，对系统处理功效及处理结果进行实质性测试。3。审计完成阶段。整理、评价搜集到审计证据，复核审计工作底稿，编写审计汇报。第一节计算机审计目标、内容与审计程序11第11页第二节计算机会计信息系统审计计划制订审计计划是指为了完成各项审计任务，到达预期审计目标，在执行审计程序之前编制工作计划。审计计划包含总体审计计划和详细审计计划。总体审计计划是对审计预期范围和实施方式所做规划，是注册会计师从接收审计委托到出具审计汇报整个过程基本工作内容综累计划。详细审计计划是依据总体审计计划制订，对实施总体审计计划所需要审计程序性质、时间和范围所做详细规划和说明。详细审计计划包含审计目标、审计步骤、执行人及执行时间、审计工作底稿索引号及其它相关内容。一、审计计划及其作用12第12页1、设计审计程序（应该执行任务和步骤）2、制订检验清单3、分析风险4、执行分析性复核程序5、日程安排和费用预算二、利用计算机编制审计计划第二节计算机会计信息系统审计计划制订13第13页三、制订计算机审计计划注意方面(一)、计算机信息系统独特特征1、缺乏交易轨迹。比如可能缺乏输入文件、缺乏可见业务轨迹、缺乏可见输出。2、同类交易处理一致性。3、缺乏职责分工。4、在特定方面发生错误与舞弊行为可能性较大。5、交易授权、执行与手工处理存在差异。6、其它内部控制依赖于计算机处理。7、有利于加强管理监督。8、有利于计算机辅助审计技术利用。第二节计算机会计信息系统审计计划制订14第14页第三节计算机会计信息系统内部控制与审计1。内部控制含义内部控制是企业经营者为维护企业资产完整性，确保会计统计正确性和可靠性，以及对经济活动进行综合计划、调整和评价而制订制度、组织方法和手续总称。内部控制既是被审计单位对其经济活动进行组织、制约、考评和调整主要工具，又是审计人员用以确定审计程序主要依据。2。内部控制分类依据控制实施范围分为：普通控制和应用控制。依据控制意图分为：预防性控制、检验性控制和纠正性控制。依据控制所采取伎俩分为：手工控制和程序化控制。依据实施控制部门分为：电算化部门控制和用户部门控制。一、计算机会计信息系统内部控制及分类15第15页普通控制有时称管理控制，是指对计算机会计信息系统组织、开发、应用环境等方面进行控制。(一)、普通控制目标及详细目标目标是建立对计算机信息系统活动整体控制框架，并对到达内部控制整体目标提供合理依赖程序。详细目标以下：1.经过普通或特殊授权规则确保相关活动开展具备正当手续。2.负责资产保管人员无权接触统计资产情况信息处理。3.负责信息处理人员不负责执行或同意经济业务。4.电子数据处理部门内部对不相容职能进行适当分离。5.电子数据处理部门不能纠正电子数据部门以外错误。二、普通控制第三节计算机会计信息系统内部控制与审计16第16页(二)、普通控制内容1、组织与管理控制。基本要求是权责划分和职能分离。包含电算部门与用户部门职责分离，电算部门内部职责分离，人事控制，业务授权。2、应用系统开发与维护控制。为确保计算机AIS开发过程中各项活动正当性和有效性而设计控制。3、计算机操作控制。用于控制系统操作，其目标是经过标准计算机操作来确保信息处理高质量、降低差错发生和未经同意而使用数据和程序机会。包含操作计划、机房守则、操作规程、上机日志统计。二、普通控制第三节计算机会计信息系统内部控制与审计17第17页(二)、普通控制内容4、硬件和软件控制。经过硬件、软件控制来尽可能发觉错误。5、系统安全控制。是指预防影响系统安全原因危及系统安全，发觉系统中安全问题，并处理这些问题使系统恢复正常办法及实施。包含硬件安全控制、程序与数据安全控制、环境安全控制、防病毒软件接触系统等。6、系统文档控制。要建立文档管理制度及安全保密制度。二、普通控制第三节计算机会计信息系统内部控制与审计18第18页(三)、普通控制测试方法与重点1、普通控制测试方法。可分为手工和计算机审计技术，而以手工方法为主。普通而言，测试组织与管理控制、系统开发和维护控制可用手工方法；计算机操作控制、数据和程序控制可用手工方法，同时也需要计算机辅助审计技术；系统应用软件控制主要是采取计算机辅助审计技术。2、测试重点。系统开发测试是普通控制测试重点。二、普通控制第三节计算机会计信息系统内部控制与审计19第19页应用控制是系统会计应用方面详细控制。(一)、应用控制目标及详细目标目标是对会计应用建立详细控制过程，从而确保全部经济业务都经过授权和统计，并进行完整、准确和及时处理。详细目标以下：1.全部经允许处理数据均应转换到介质上并加以处理，而且处理结果可经过适当方式加以输出。2.全部输入、转换、处理和输出均应政党时间里准确地进行。3.全部系统输出均反应为经同意有效经济业务。三、应用控制第三节计算机会计信息系统内部控制与审计20第20页(二)、应用控制内容1、输入控制。输入控制用于确保：第一，经济业务在计算机处理之前经过适当同意；第二，经济业务被准确地转换为机器可读形式并统计于计算机数据文件；第三，经济业务没有丢失或不适当地增加、复制、改动；第四，拒绝、更正不适当经济业务，必要时，及时重新补救。包含以下几个方面：数据采集控制。办法有用户部门内部职责分离、标准化凭证格式、制订凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制等。数据输入控制。注意凭证输入过程中可能出现错误及对应控制办法。三、应用控制第三节计算机会计信息系统内部控制与审计21第21页(二)、应用控制内容2、计算机处理与数据文件控制。用于确保：第一，经济业务(包含系统生成)由计算机正确地处理；第二，经济业务没有丢失或不适当地增加、复制、改动；第三，计算机处理错误被及时地判别并更正。包含以下几个方面：业务时序控制。数据有效性检验。办法主要有文件标签校验、业务编码校验、次序校验。程序化处理有效性检验。发觉错误方法有：计算正确性测试、数据合理性检验、交叉汇总检验、错误更正控制、数据点技术。账务处理系统中可采取以下控制方法：余额合理性检验、试算平衡检验、总账和明细账查对检验。三、应用控制第三节计算机会计信息系统内部控制与审计22第22页(二)、应用控制内容3、输出控制。输出控制用于确保：第一，计算机处理输出结果准确无误；第二，输出结果仅限于经过同意人员；第三，输出及时地提供给适当经过同意人员。输出主要有屏幕输出、打印输出、存入磁性介质、网络传输等方式。主要控制办法有：输出授权控制。输入过程控制总数与输出得到控制总数相查对。审校输出结果，检验正确性、完整性。将正常业务汇报与例外汇报中相关数据进行分析对比。设置输出汇报改送登记簿，统计汇报恬送份数、时间、接收人等事项。制订输犯错误纠正和对主要数据进行处理要求。三、应用控制第三节计算机会计信息系统内部控制与审计23第23页(三)、应用控制测试针对不一样应用控制，能够采取不一样测试方法：1、使用者实施人工控制。假如系统使用者所实施人工控制能够为系统输入、处理、输出等完整性、准确性和经过同意提供合理确实信，审计人员仅对使用者人工控制进行测试。2、系统输出控制。如除了对使用者人工控制进行测试外，还能够对系统输出经过人工或计算机辅助审计技术进行测试。这些系统输出可能是光电介质或打印输出形式。3、程序控制。如在某种情况下，对使用者人工控制或系统输出控制测试是不可能或不可行，此时，审计人员可考虑利用计算机辅助审计技术重新对数据或程序进行测试。对计算机应用系统处理控制测试是应用控制测试重点，也是计算机信息系统环境下审计主要内容。三、应用控制第三节计算机会计信息系统内部控制与审计24第24页内部控制评价目标在于评价企业内部控制系统在预防和发觉财务报表数据发生重大误述方面作用，并为确定审计程序、范围和重点提供依据。对内部控制评价可分三步进行：1、了解与描述计算机AIS内部控制。对内部了解能够经过问询被审计单位主要管理人员、查阅被审计单位相关文件统计、观察被审计单位业务活动及其运行情况、考虑以前年度审计过程中所了解到相关情况及其改变。内部控制描述方法主要有：调查表法、方案描述阖、流程图法。2、符合性测试。是对内部控制在企业中实际恪守及内部控制办法发挥预期作用情况测试。测试检验重点是：必要内部控制是否主要？是否按要求执行？由谁执行？四、内部控制评价第三节计算机会计信息系统内部控制与审计25第25页2、符合性测试。符合性测试步骤：(1).确定符合性测试次序。(2).确定测试对象。(3).确定是否有互补测试。(4).选择测试工具或技术。(5).设计测试数据。(6).进行测试。(7).分析和评价测试结果。3、内部控制评价。在符合性测试后，依据系统应有内部控制及控制目标对比实际有效内部控制，对系统内部控制是否完整有效和能够依赖作出评价。系统内部控制信赖程度，决定是否能够较多地依赖和利用内部控制，对应降低实质性测试审计程序数量和范围。四、内部控制评价第三节计算机会计信息系统内部控制与审计26第26页第四节计算机会计信息系统审计技术方法1、系统开发审计含义系统开发审计是审计人员对计算机AIS开发过程中各项活动及由此产生系统文档所进行审核与评价。2、系统开发审计目标见P4293、系统开发审计内容(1).系统分析阶段审计。方法见教材P429。在系统分析阶段，因为新生系统还未设计，审计人员提议易被接收，审计提议对其它各阶段都有影响。(2).系统设计阶段审计一、计算机会计信息系统开发审计27第27页3、系统开发审计内容(2).系统设计阶段审计系统总体设计控制点为：系统设计应采取结构化设计方法，模块划分应遵照“高聚合、低耦合”标准，系统文档应清楚、健全。详细设计阶段审计方法见教材P430(3).系统实施阶段审计审计方法见教材P430(4).系统运行与维护阶段审计审计方法见教材P430一、计算机会计信息系统开发审计第四节计算机会计信息系统审计技术方法28第28页应用程序审计是计算机AIS审计重点和难点。(一)、应用程序审计目标一是测试应用系统控制符合性；二是经过检验程序运算和逻辑正确性到达实质性测试目标。(二)、应用程序测试方法1、不处理数据测试法。是指审计人员不经过计算机处理任何数据而是经过审核和分析评审或判定意见书、程序流程图、程序编码、程序运行统计、程序运行结果等来到达审计目标方法。包含：计算机AIS是否经过评审或判定，程序流程图检验法，程序编码检验法，程序运行统计检验法，程序运行结果检验法。二、计算机会计信息系统应用程序审计第四节计算机会计信息系统审计技术方法29第29页2、处理实际数据程序测试方法。是指用户单位计算机程序处理实际数据以确定应用控制可靠性一个方法。处理实际数据程序测试方法包含：(1).控制处理法：审计人员经过程序对实际会计业务处理进行监控，判别处理和控制功效是否按设计要求起作用。(2).控制再处理法：审计人员在被审计单位正常业务处理以外时间里亲自进行或监督进行，将某批处理过业务再处理一次，比较两次处理结果，以确定程序是否被非法篡改、处理和控制功效是否恰当有效。控制再处理法工作原理见教材P433图9-1,图9-2.二、计算机会计信息系统应用程序审计第四节计算机会计信息系统审计技术方法30第30页2、处理实际数据程序测试方法。(3).嵌入审计程序法:也称联机审计控制法。审计人员在被审计单位计算机AIS开发阶段，在被子审应用程序中人为嵌入为执行特定审计功效设计程序，用来搜集审计人员感兴趣资料，并建一个审计文件存放这些资料，经过对这些资料审核确定应用程序处理和控制功效可靠性。嵌入审计程序法工作原理见教材P434图9-3。(4).平行模拟法：审计人员自己或请计算机专业人员编写与被审应用程序处理和控制功效相同模拟程序，并用模拟程序处理实际数据，将处理结果与被审程序处理结果进行对比，评价被审计程序处理和控制功效是否可靠。工作原理见教材P435图9-4二、计算机会计信息系统应用程序审计第四节计算机会计信息系统审计技术方法31第31页2、处理实际数据程序测试方法。(5).标识追踪:也审计人员在被测试程序中安插一些审计程序段，并事先对输入数据做好标识，当带有标识数据经过审计程序时，将该数据存放起来，等程序运行完成后，比较处理前和处理后数据差异。3、处理虚拟数据程序测试方法。即经过处理事先设计测试数据来确定应用程序可靠性。测试过程包含：设计测试数据、手工处理设计好数据、用被测试程序处理已设计好数据、比较上述两种方式处理结果，并推断应用控制可靠性。处理虚拟数据程序测试方法包含测试数据法和模拟单位法。二、计算机会计信息系统应用程序审计第四节计算机会计信息系统审计技术方法32第32页在计算机AIS中，实质性测试对象是数据文件。计算机AIS实质性测试与手工AIS实质性测试在内容和目标上相同，不一样是测试伎俩、方法和时机。1、实质性测试范围普通情况下，符合性测试表明：内部控制可信赖程度越高，实质性测试范围就越小；反之，内部控制可信赖程度越低，实质性测试范围就越大。2、实质性测试时间取决于以下原因：数据文件保留时间，应在数据文件被清理前进行测试；被审计单位报表报送时间，审计人员要对被审计单位会计报表发表审计意见，应在报表报送之前进行测试；特殊审计需求；系统改变时间，应在系统改变前完成审计。三、计算机会计信息系统数据文件审计第四节计算机会计信息系统审计技术方法33第33页3、数据抽样标准。有以下几个标准：主要性，如在数据文件中选取娄额较大数据进行测试敏感性，如选取外界群体比较敏感数据统计进行检验统计抽样，如按照抽样原理进行随机抽样或分层抽样异常或例外项目，如经过分析性复核选取数据进行测试。4、确定实质性测试方法(1).不处理数据文件实质性测试方法(2).处理实际数据文件实质性测试方法(3).处理虚拟数据文件实质性测试方法三、计算机会计信息系统数据文件审计第四节计算机会计信息系统审计技术方法34第34页(一)、计算机网络会计系统特点与风险与单机处理方式相比，计算机网络会计系统特点以下：1、会计数据共享。2、会计功效共享。3、会计数据分布式输入。4、会计数据安全性要求更高。计算机网络会计系统风险以下：1、物理风险。2、对会计信息保密性破坏。3、对会计信息完整性破坏。4、对系统运行干扰。四、计算机网络会计系统审计第四节计算机会计信息系统审计技术方法35第35页(二)、计算机网络会计系统审计应注意问题对计算机网络会计系统审计目标与单机会计系统审计目标相同。不过在执行计算机网络会计系统审计时，应注意以下几方面问题：1、审计范围问题。（要包括到服务器、工作站、传输介质、计算机网络会计软件等部分）2、审计方式选择。（采取在线实时审计方式）3、审计方法选择。（采取受控处理法和虚拟单位法等进行系统测试审计方法，在系统运行同时进行审计，对审计人员审查和评价整个计算机会计系统显得尤为主要。）四、计算机网络会计系统审计第四节计算机会计信息系统审计技术方法36第36页(三)、计算机网络会计系统审计1、审查计算机网络会计系统硬件。（应对硬件责任性与相容性进行测试）2、审查计算机网络会计系统控制事项。（应就控制适当性、控制标准制订以及控制主动性等方面进行测试）3、审查计算机网络会计系统处理事项。（应就系统处理能力完备性与可制订性、操作人员训练适当性等进行测试。）四、计算机网络会计系统审计第四节计算机会计信息系统审计技术方法37第37页(三)、计算机网络会计系统审计4、审查计算机网络会计系统数据。（应就数据共同使用、数据库控制方法以及数据定义等方面进行测试）5、审查计算机网络会计系统安全事项。（应就传输线路安全、资源指派灵活性等方面进行测试）四、计算机网络会计系统审计第四节计算机会计信息系统审计技术方法38第38页第五节计算机审计软件1、按照适用范围分类通用审计软件：依据会计业务共性设计适合用于对各类或多数计算机AIS审计计算机程序，通惯用于同一行业全部被审计算机AIS审计。专用审计软件：是为特定被审计计算机AIS，或为执行特定审计任务设计审计软件。专门审计软件是专门为处理详细问题编写程序，所以它运行效率通常较高。不过，专用审计软件开发与使用成本相对说来也比较高。一、计算机审计软件种类39第39页2、按照应用目标分类审计法规管理软件：是利用计算机进行审计法规管理审计软件。审计抽样软件：是利用计算机进行辅助抽样软件。工具箱式通用审计软件：是为审计人员提供计算机审计中惯用工具和伎俩。以表格为模型审计软件：是利用计算机辅助编制表格审计软件。在特定条件下完成特定任务各种专用审计软件：为完成特定任务审计软件。一、计算机审计软件种类第五节计算机审计软件40第40页当前在Windows环境上开发通用审计软件普通包含以下功效：(一)、审计资源管理1、审计机构管理。机构管理、部门管理、职员管理、档案管理等。2、业务项目管理。项目登记、项目归档。(二)、会计资料与数据管理1、客户基本情况。2、会计数据。客户数据录入、数据转换（将计算机AIS数据文件转换为审计软件可处理数据文件）、会计科目与账目生成(三)、审计计划1、业务委托。业务约定书模板2、审计计划。总体计划、审计程序、计划审核二、计算机审计软件功效第五节计算机审计软件41第41页(四)、符合性测试1、内控评定。机生成相关内控调查表，并生成工作底稿。2、符合性测试。确定是否进行符合性测试及测试范围，生成测试表。3、管理提议书。生成管理提议书。(五)、实质性测试1、报表项目及期后事项测试。2、合并报表。提供报表合并工作平台及抵消分录编辑工具。(六)、审计终止1、审计调整与汇总。调整分录汇总、审计差异汇总、生成调整后会计报表。2、审计完成。待决事项及处理、审计查对、审计总结、下次审计注意事项二、计算机审计软件功效第五节计算机审计软件42第42页(六)、审计终止3、编制审计汇报。审计注意事项4、三级复核。审为每级复核人员提供复核工作底稿平台。二、计算机审计软件功效第五节计算机审计软件43第43页(七)、审计工具1、数据查询。提供各种组合查询，方便编制工作底稿。2、法规查询。提供对法规浏