会计信息系统审计知识培训

会计信息系统

AccountingInformationSystem

第10章会计信息系统审计会计信息系统审计知识培训第1页学习目标掌握会计信息系统审计目标和基本程序。了解会计信息系统内部控制作用及计算机辅助审计技术应用。了解会计信息系统与审计信息系统之间关系。会计信息系统审计知识培训第2页主要内容第一节会计信息系统审计概述第二节会计信息系统主要审计方法第三节审计软件会计信息系统审计知识培训第3页第一节会计信息系统审计计算机信息系统环境及其对审计影响会计信息系统审计目标与内容会计信息系统审计基本程序会计信息系统审计知识培训第4页一、计算机信息系统环境及其对审计影响“注册会计师审计主要会计信息由计算机处理生成情形”“当一个单位对审计有主要影响会计信息是由任何类型或大小计算机处理生成时，就存在计算机信息系统环境，而不论该计算机由本单位操作还是由第三者操作”我国：国际审计准则：计算机信息系统环境定义会计信息系统审计知识培训第5页计算机信息系统环境对审计影响审计线索审计内容审计技术审计方法审计人员．．．．．．会计信息系统审计知识培训第6页二、会计信息系统审计目标与内容鉴证目标系统正当性系统安全性数据完整性管理目标系统效率性系统经济性和效益性会计信息系统审计知识培训第7页会计信息系统审计内容对计算机会计信息系统进行审计对内部控制系统审计对系统开发审计对系统应用程序审计对系统数据文件审计会计信息系统审计知识培训第8页计划准备阶段控制测试阶段实质性测试阶段开始检验被审计单位基本情况检验普通控制和应用控制情况计划符合性测试和实质性测试程序实施符合性测试评价测试结果确定对内部控制信赖程度实施实质性测试评价测试结果审

计报

告签发审计汇报结束三、会计信息系统审计基本程序会计信息系统审计知识培训第9页第二节会计信息系统审计主要方法会计信息系统审计计划制订会计信息系统内部控制与符合性测试计算机辅助审计技术与实质性测试会计信息系统审计知识培训第10页制订审计计划应关注与了解方面《独立审计详细准则》关于“审计计划”要求制订审计计划时，充分了解信息系统环境下内部控制了解计算机信息系统主要性、复杂程序及审计所需信息可取得性了解计算机信息系统环境，并考虑其对固有风险和控制风险评定影响会计信息系统审计知识培训第11页关于主要性、复杂程度、可取得性计算机信息系统主要性与会计报表认定主要性相关计算机信息系统复杂程度经济业务数量较大，被审计单位感到在处理过程中判别和更正错误有困难计算机系统自动生成主要经济业务或分录，直接进入其它应用。审计所需信息可取得性会计信息系统审计知识培训第12页制订审计计划基本程序和步骤了解客户及控制环境了解会计系统了解控制活动制订交易及余额详细测试计划会计信息系统审计知识培训第13页了解客户及控制环境目标便于审计师评定会计系统中电算化部分范围及复杂性，以及所需计算机审计教授帮助比重需要获取信息计算机设备种类及其结构系统软件种类计算机处理活动组织结构（EDP部门组织结构、人员安排）电算化会计应用数目及性质（应用范围和程度）会计信息系统审计知识培训第14页了解会计系统目标了解业务经过会计系统中手工部分和电算化部分路径，并了解计算机介入性质和程度在主要会计应用中，需要获取信息应用目标计算机应用中输入起源、容量及形式处理方式及频率应用中输出形式及输出分布会计信息系统审计知识培训第15页了解控制活动目标了解系统普通控制，对普通控制是否有效进行判断，向客户提供服务机会对普通控制审核问询或观察客户EDP部门职员；检验现存文件，确定以下事项：EDP部门内部及EDP与使用者之间职责是否分离开发、买入或变更程序在执行之前是否经过同意和测试对数据文件接触是否只限于经过同意使用者和程序会计信息系统审计知识培训第16页交易测试计划交易类别测试若在重大会计领域应用了电算化，而且交易类别详细控制目标实现要依赖于计算机处理结果，必须在控制风险评定中考虑EDP控制（应用控制和普通控制）作用在普通控制有效基础上，测试EDP应用控制手工：从会计应用处理交易类别中选取样本，应用审计程序证实数据有效性、完整性、和准确性。计算机辅助：测试在会计应用中使用计算机程序（对程序化会计程序和程序化控制程序运行进行测试）。会计信息系统审计知识培训第17页余额详细测试计划余额直接测试当审计师在年末进行余额直接测试时，通常无须依赖于计算机当余额直接测试范围依赖于与计算机相关控制程序或在应用期中进行余额直接测试，则必须对普通控制有效性进行考虑当审计师决定在对以计算机可读形式存在客户文件实施余额直接测试中使用计算机给予辅助时，必须制订更详细计划会计信息系统审计知识培训第18页利用计算机编制审计计划设计审计程序制订检验清单分析风险执行分析性复核程序日程安排和费用预算…...会计信息系统审计知识培训第19页二、会计信息系统内部控制与符合性测试会计信息系统内部控制及其分类普通控制应用控制内部控制符合性测试及评价会计信息系统审计知识培训第20页会计信息系统内部控制及分类按实施范围划分普通控制应用控制按控制意图划分预防性控制检测性控制纠正性控制按控制所采取伎俩划分人工控制程序控制会计信息系统审计知识培训第21页普通控制目标：普通控制是计算机信息系统总体控制；建立对计算机信息系统活动整体控制框架环境，并对到达内部控制整体目标提供合理依赖程序。普通控制详细目标：经过普通或特殊授权规则确保以下活动开展具备正当手续：将原始凭证输入系统内进行处理；设计、实施和使用计算机程序；更改计算机程序；接触和使用计算机主文件和其它主要数据文件；分发系统输出汇报等。负责资产保管人员无权接触统计资产情况信息处理。负责信息处理人员不负责执行或同意经济业务。电子数据处理部门内部对不相容职能进行适当分离。电子数据处理部门不能纠正电子数据部门以外错误。经过适当沟通方法和程序，使数据处理部门人员和其它部门人员能了解主管人员普通和特殊授权要求，并确保遵照这些要求。主管人员能够充分地控制授权要求恪守，以确保违反要求行为能给予统计、调查和纠正。会计信息系统审计知识培训第22页普通控制内容组织与管理控制应用系统开发与维护控制计算机操作控制硬件和软件控制系统安全控制数据通讯控制系统文档控制会计信息系统审计知识培训第23页组织与管理控制

基本目标降低发生错误和舞弊可能性基本要求权责划分和职能分离主要内容电算部门与用户部门职责分离电算部门内部职责分离人事控制业务授权会计信息系统审计知识培训第24页应用系统开发与维护控制

基本目标为确保计算机会计信息系统开发过程中各项活动正当性和有效进行基本要求系统开发过程中各项研制、设计、维护活动及由此产生文档，均应遵照一定标准、规则和要求主要内容系统开发标准，以总方面要求开发活动要求。结构化系统开发方法，系统开发通常采取系统开发生命周期法。项目管理，包含项目计划、项目控制、项目汇报。编程规则，程序设计按一定规则进行，能提升系统可审性。阶段确保，确保系统开发进度和质量主要办法。系统测试控制，系统实施前检犯错误使系统按设计要求可靠运行控制。系统转换控制，预防在新旧系统转换过程中发生数据遗失、重复等现象。新系统同意程序，确保管理部门对新系统和系统转换计划进行审批。程序变更控制，确保程序改动经严格测试，并得到适当核准和授权。系统文档，确保全部系统开发资料按要求给予整理和归档。会计信息系统审计知识培训第25页计算机操作控制

基本目标经过标准计算机操作来确保信息处理高质量、降低差错发生和未经同意而使用数据和程序机会详细目标系统仅用于经过同意目标；仅限于经过同意人员进行计算机操作；仅使用同意程序；查出并更正计算机处理中错误。主要内容操作计划机房守则操作规程上机日志统计会计信息系统审计知识培训第26页硬件和软件控制

硬件控制硬件控制失效会消弱其它控制办法作用，影响系统可靠性系统软件控制利用系统软件如操作系统、数据库管理系统实现控制，是电子数据处理系统内部控制机制一个显著特色应用软件控制确保软件取得或开发是以经过授权并以有效方式进行授权、同意、测试、实施和统计新建和修改应用软件；系统应用软件和统计存取仅限于经过授权人员。

会计信息系统审计知识培训第27页系统安全控制

基本目标预防影响系统安全原因危及系统安全，发觉系统中安全问题，并处理这些问题使系统恢复正常办法及实施主要内容硬件安全控制程序与数据安全控制环境安全控制防病毒软件接触系统会计信息系统审计知识培训第28页数据通讯控制

防火墙技术数据加密技术一次性口令技术回叫机制会计信息系统审计知识培训第29页系统文档控制

基本目标建立文档管理制度及安全保密制度主要内容专员保管；数据在纳入计算机会计信息系统之前，须经系统主管人员审检同意；计算机打印输出书面资料，应由输出和审核人员共同签字才是正当会计档案；会计档案使用时必须经过同意，任何资料借取都要登记；存放在磁性介质上文件应有加密保护；系统软件、应用程序和数据文件应复制备份；依据会计档案管理要求制订文档保管数量、保管时间、定时备份间隔期及调用档案手续等。会计信息系统审计知识培训第30页普通控制地位普通控制利用对应用控制有效性至关主要普通控制测试和技术手工组织与管理控制系统开发和维护控制计算机辅助审计技术系统应用软件控制手工方法与计算机辅助审计技术相结合计算机操作控制数据和程序控制普通控制测试重点系统开发测试普通控制研究、评价和风险评定

方法与重点会计信息系统审计知识培训第31页应用控制基本目标对会计应用建立详细控制过程，从而确保全部经济业务都经过授权和统计，并做完整、准确和及时处理。详细目标全部经允许处理数据均应转换到介质上并加以处理，而且处理结果可经过适当方式加以输出。全部输入、转换、处理和输出均应在正常时间里准确地进行。全部系统输出均反应为经同意有效经济业务。会计信息系统审计知识培训第32页应用控制内容输入控制处理控制输出控制会计信息系统审计知识培训第33页输入控制控制目标经济业务在计算机处理之前经过适当同意；经济业务被准确地转换为机器可读形式并统计于计算机数据文件；经济业务没有丢失或不适当地增加、复制、改动；拒绝、更正不适当经济业务，必要时，及时重新补救。控制内容数据采集控制数据输入控制会计信息系统审计知识培训第34页数据采集控制控制目标确保应用系统在合理授权基础上完整地搜集、正确地编制、安全地传递输入数据控制办法用户部门内部职责分离标准化凭证格式制订凭证编制程序凭证审核手续控制凭证更正规程批量控制会计信息系统审计知识培训第35页数据输入控制控制目标预防输入数据时遗漏或重复，检验输入数据是否有错误例：以记账凭证为主要内容数据输入控制1）会计科目输入错误，如输入了没有设置科目或误用其它会计科目；2）借、贷方向输错；

3）金额输错，如未计、多计或少计；

4）对应关系搞错。1）设置会计科目代码与名称对照文件；2）设置对应关系参考文件；3）合理性校验；4）平衡校验；5）人工校验；6）重输入控制会计信息系统审计知识培训第36页计算机处理与数据文件控制控制目标经济业务（包含系统生成）由计算机正确地处理；经济业务没有丢失或不适当地增加、复制、改动；计算机处理错误被及时地判别并更正。控制办法业务时序控制数据有效性检验程序化处理有效性检验错误更正控制断点技术会计信息系统审计知识培训第37页输出控制控制目标计算机处理输出结果准确无误；输出结果仅限于经过同意人员；输出及时地提供给适当经过同意人员。控制办法输出授权控制；输入过程控制总数与输出得到控制总数相查对；审校输出结果，检验正确性、完整性；将正常业务汇报与例外汇报中相关数据作分析对比；设置输出汇报发送登记簿，统计汇报发送份数、时间、接收人等事项；制订输犯错误纠正和对主要数据进行处理要求。会计信息系统审计知识培训第38页方法使用者实施人工控制系统输出控制程序控制测试重点应用系统处理控制应用控制研究、评价和评定方法会计信息系统审计知识培训第39页内部控制符合性测试及评价目标评价企业内部控制系统在预防和发觉财务报表数据发生重大误述方面作用，并为确定审计程序、范围和重点提供依据内容普通控制与应用控制内部控制评价与风险评定步骤了解与描述计算机会计信息系统内部控制调查表法、文字表述法、流程图法符合性测试评价内部控制（是否完整有效和可否依赖）会计信息系统审计知识培训第40页符合性测试符合性测试检验重点：必要内部控制是否主要？是否按要求执行？由谁执行？符合性测试步骤确定符合性测试次序确定测试对象确定是否有互补测试选择测试工具或技术设计测试数据进行测试分析和评价测试结果会计信息系统审计知识培训第41页内部控制评价评价计算机会计信息系统内部控制方法与评价手工会计信息系统内部控制方法没有本质区分假如审计人员评价系统内部控制为高信赖程度，即控制风险为最低，则能够较多地依赖和利用内部控制，对应降低实质性测试审计程序数量和范围假如评价内部控制为低信赖程度，即主要内部控制显著失效，应放弃对内部控制依赖，扩大实质性测试范围，完善、修正和补充实质性测试程序会计信息系统审计知识培训第42页三、计算机辅助审计技术与实质性测试应用程序审计数据文件审计会计信息系统审计知识培训第43页应用程序审计目标测试应用系统控制符合性；经过检验程序运算和逻辑正确性到达实质性测试目标。方法不处理数据测试方法处理实际数据程序测试方法处理模拟数据程序测试方法会计信息系统审计知识培训第44页不处理数据程序测试方法特点审计人员不经过计算机处理任何数据而是经过审核和分析评审或判定意见书、程序流程图、程序编码、程序运行统计、程序运行结果等来到达审计目标。详细方法计算机会计信息系统是否经过评审或判定程序流程图检验法程序编码检验法程序运行统计检验法程序运行结果检验法打印输出测试法会计信息系统审计知识培训第45页处理实际数据程序测试方法特点使用用户单位计算机程序处理实际数据以确定应用控制可靠性审计人员能够利用已形成实际数据，无需再设计测试数据，而且用程序处理结果能表明程序控制强弱。详细方法控制处理法

控制再处理法

嵌入审计程序法平行模拟法标识追踪法

会计信息系统审计知识培训第46页控制处理法概念审计人员经过程序对实际会计业务处理进行监控，判别程序处理和控制功效是否按设计要求起作用主要优点审计技术简单，对审计人员计算机专业知识要求不高；若采取突击检验方式，可确保被审程序与实际使用程序一致性，从而确保审计结论可靠性。主要缺点审计人员对实际业务数据监督、控制及比较分析，可能影响被审单位正常数据处理及工作效率；选择实际业务数据可能不足以评价各种处理和控制功效。适用条件无需专门测试环境，适合用于难以提供测试环境网络化信息系统审计会计信息系统审计知识培训第47页控制再处理法概念审计人员在被审单位正常业务处理以外时间里亲自进行或监督进行，将某批处理过业务再处理一次，比较两次处理结果，以确定程序是否被非法篡改、处理和控制功效是否恰当有效。适用条件只用于再次审计，不可用于首次审计以前处理过业务数据当前运行被审程序处理结果以前处理结果比较当前被审程序处理过业务数据审计人员保留被审程序副本处理结果当前被审程序处理结果比较会计信息系统审计知识培训第48页控制再处理法主要优点所需测试数据是现成，审计人员没有必要再依据需要筛选数据；能够在审计人员和被审单位都方便时进行测试，不干扰被审单位正常业务。主要缺点有些单位已处理过业务文件可能只保留很短时间，而主文件可能已经屡次更新，难于获取重新处理所需文件；着重在于对结果分析，若结果不相同，则要深入分析原因，因而对控制办法判断不直接；若结果一致时，因为采集数据不足及潜在被修改可能性，所以并不一定能据此判定程序控制有效性。会计信息系统审计知识培训第49页嵌入审计程序法概念审计人员在被审计算机会计信息系统开发设计阶段，在被审应用程序中嵌入为执行特定审计功效设计程序，用来搜集审计人员感兴趣资料，并建一个审计文件存放这些资料，经过对这些资料审核确定应用程序处理和控制功效可靠性。

嵌入程序分类主要在一些特定点上对系统运行进行实时监控只有在审计人员调用时才起作用实际业务数据文件被审程序（包含嵌入程序段）实际业务处理结果审计文件输出程序审计资料被审单位使用审计人员使用会计信息系统审计知识培训第50页嵌入审计程序法主要优点在被审单位处理业务数据同时获取审计证据，填补了在数据处理过后进行审计时，难以确认被审程序与实际运行程序一致性缺点；审计程序段与系统程序同时运行，因而所进行测试是经常性，只要被测试程序开始运行，审计程序段就处理监督状态。主要缺点审计人员必须事先确定对何种程序进行审计，需要获取何种审计资料，并要据此审计对应审计程序段，假如应用程序修改，审计程序段可能也要修改；审计人员要参加到被审单位系统分析与设计，实际上是将审计重点通知了设计人员。适用条件审计人员在系统开发阶段对嵌入审计程序功效提出需求会计信息系统审计知识培训第51页实际业务数据文件模拟程序被测试程序处理结果处理结果比较差异汇报平行模拟法概念审计人员自己或请计算机专业人员编写与被审应用程序处理和控制功效相同模拟程序，并用模拟程序处理实际数据，将处理结果与被审程序处理结果进行对比，评价被审程序处理和控制功效是否可靠

适用条件一个模拟系统能够用于多个单位审计，或者审计人员能够低成本取得模拟系统优点能独立地处理实际数据，不依赖于被审计单位人力和设备，能客观地进行审计评价缺点假如开发模拟系统比较复杂，则开发难度较大且成本较高会计信息系统审计知识培训第52页标识追踪法概念审计人员在被测试程序中安插一些审计程序段，并事先对输入数据作好标识，当带有标识数据经过审计程序时，将该数据存放起来，等程序运行完成后，比较处理前和处理后数据差异。作用用这种方法来追踪作标识数据在程序中是怎样处理。主要优点可列示被审计程序中什么指令已执行以及按何种次序执行，可查出被审程序中非法指令。主要缺点要求审计人员含有编写应用程序知识，且跟踪并分析结果可能费时费劲。所以，这种方法在实际审计工作中并不惯用。

会计信息系统审计知识培训第53页处理虚拟数据程序测试方法特点经过处理事先设计测试数据来确定应用程序可靠性。经过设计少许测试数据，对局部或大部分应用程序进行测试，也可据需要对某特定控制办法进行测试。测试过程设计测试数据；手工处理设计好数据；用被测试程序处理已设计好数据；比较上述两种方式处理结果，并推断应用控制可靠性。详细方法测试数据法模拟单位法

会计信息系统审计知识培训第54页测试数据法概念审计人员依据测试要求，设计一套模拟业务数据，利用被测试程序对模拟数据进行处理，再将处理结果与应该出现结果进行查对，以检验应用程序是否可靠。适用用来测试整个系统全部应用程序；也可用来测试个别程序；或测试程序中某个或某几个控制办法

测试数据正常、无误业务数据有错漏、不完整、不合理、不正常业务数据会计信息系统审计知识培训第55页测试数据法应用实际结果与预计结果差异系统主文件测试数据应用程序测试结果审计人员比较预期结果用户测试数据审计人员测试数据软件生成测试数据会计信息系统审计知识培训第56页测试数据法分析主要优点在审计线索间断或不完整情况下，使用这种方法能对应用程序作出评价；这是一个抽样方法，用于测试处理量大系统比较经济；使用范围广，对审计人员计算机知识和技能要求不高。主要缺点当全方面测试系统或程序时，必须确保测试数据综合性，不然难以确保能测试到全部应用控制办法；难以确保被测试程序就是被审计单位实际使用程序；测试数据设计比较困难；假如用测试数据增加、删除、修改文件中统计，可能破坏被审计单位主文件。会计信息系统审计知识培训第57页模拟单位法概念审计人员在被审计计算机会计信息系统中建立一个虚拟实体(如车间、某一往来客户)，利用被审程序，对该虚构实体数据与实际业务数据一同处理，将处理结果与预期结果比较，以确定应用程序处理和控制功效是否恰当可靠。

虚拟实体业务数据实际业务数据手工处理被审程序预期结果虚拟业务处理结果实际业务处理结果比较会计信息系统审计知识培训第58页模拟单位法分析主要优点在正常业务时间里处理测试数据，不影响被审计单位业务活动；应用范围较广，尤其适合用于实施内部部门核实企业和联机批处理网络系统测试，且能用于测试各种内部控制；能确定被测试程序就是被审计单位实际使用程序；将虚拟数据与实际数据区分开，在一定程度上防止测试数据法可能破坏被审计单位文件缺点。主要缺点假如没有及时消除虚拟数据，可能破坏主要数据文件，或影响主要会计报表正确性；因为虚拟单位性质限制，所设定测试数据不一定能测试出程序中全部错误或隐患；不适用联机实时系统测试。

会计信息系统审计知识培训第59页数据文件审计实质性测试需要确定实质性测试范围

实质性测试时间

数据抽样标准方法

不处理数据文件实质性测试方法；处理实际数据文件实质性测试方法；处理虚拟数据文件实质性测试方法。会计信息系统审计知识培训第60页不处理数据文件实质性测试方法概念审计人员对数据文件进行实质性测试时，只检验数据文件打印输出，不将数据文件经过电子数据处理系统处理。这种方法与手工会计信息系统中直接审查会计凭证、账簿和会计报表做法相同。审核数据文件打印输出，就是为了搜集会计业务统计、计算、记账等是否恰当证据。特点这种方法不需要计算机知识和电子数据处理技能，轻易了解，不过审计人员难于确认打印输出是否就是真实数据文件数据。会计信息系统审计知识培训第61页处理实际数据文件实质性测试方法测试方法直接测试法用专用数据传输线，将被审单位装有计算机会计信息系统计算机接口与审计用计算机接口联接起来，形成类似于简单局部网络系统；开启计算机会计信息系统和计算机审计系统，经过接口，利用专用审计软件，直接将计算机会计信息系统中数据文件读到审计计算机中，方便审计时查阅。或将专用审计软件直接在被审单位装有计算机会计信息系统计算机中运行，直接查阅审计计算机会计信息系统数据文件。间接测试法审计人员可将备份数据文件放在审计用计算机系统中直接运行审计程序进行查阅。假如被审单位没有备份数据文件，审计人员可先制作备份，然后依上述方法审查。会计信息系统审计知识培训第62页处理虚拟数据文件实质性测试方法可采取测试数据法（设计模拟业务数据生成模拟数据文件）和虚构单位法（设置虚拟实体，模拟业务数据生成模拟数据文件）进行实质性测试以确定系统处理正确性。采取这种测试方法，审计人员需先对测试问题进行分类，然后进行测试，而且只能对已知情况加以测试，所以要处理数据量会比实际数据文件少。会计信息系统审计知识培训第63页采取计算机辅助审计技术应考虑原因审计人员计算机知识、专业技能与经验计算机信息技术可用性和适当计算机设备不能进行手工测试审计测试效果和效率时间性考虑会计信息系统