會計信息系統(tǒng)審計 (2)ppt課件

1、會計信息系統(tǒng)Accounting Information System 安徽工業(yè)大學管理學院.第十二講會計信息系統(tǒng)審計 .本講主要內(nèi)容會計信息系統(tǒng)審計概述 會計信息系統(tǒng)審計的主要內(nèi)容控制符合性測試本質(zhì)性測試 .1.會計信息系統(tǒng)審計概述為了確保信息系統(tǒng)的有效性和可靠性，必需對系統(tǒng)的運作進展定期檢查，即執(zhí)行信息系統(tǒng)的審計，信息系統(tǒng)的審計又稱為電算化審計EDP Auditing，須由EDP審計師執(zhí)行。信息系統(tǒng)的審計目的與傳統(tǒng)的財務審計目的并無根本區(qū)別，大多數(shù)根本的審計方法、程序亦依然適用。信息系統(tǒng)的審計或EDP審計，普通可分為三個階段：審計規(guī)劃、控制符合性測試和本質(zhì)性測試。.1.會計信息系統(tǒng)審計概述

2、審計規(guī)劃階段的一項重要義務是分析審計風險。審計師要確定第二、三階段測試的性質(zhì)和范圍，就必需對審計的對象有透徹的了解。風險分析包括對企業(yè)信息系統(tǒng)的普通控制和運用控制進展全面的評價與檢查。在全面檢查企業(yè)信息系統(tǒng)的普通控制進時，審計師要熟習企業(yè)的戰(zhàn)略性和操作性政策、運營運作和組織構造。審計師還要了解企業(yè)的財務與會計系統(tǒng)，以及這些系統(tǒng)處置運營買賣過程中的控制。.1.會計信息系統(tǒng)審計概述審計規(guī)劃階段搜集審計證據(jù)的方法包括調(diào)查詢卷、面談、審閱系統(tǒng)描畫記錄和實地察看。在這個過程中，EDP審計師要著重留意能夠出問題的環(huán)節(jié)和相關的控制功能。隨后，EDP審計師將執(zhí)行第二階段的審計，即對信息系統(tǒng)的現(xiàn)有控制加以符合性

3、測試Compliance tests，從而鑒定有關系統(tǒng)控制的有效性。.1.會計信息系統(tǒng)審計概述符合性測試的主要目的是檢查企業(yè)的內(nèi)部控制機制能否健全。為了到達這一目的，EDP審計師需求對信息系統(tǒng)的普通控制和運用控制執(zhí)行一系列的測試或檢驗。之后，EDP審計師必需對企業(yè)的內(nèi)部控制的可靠性與效率作出較全面的評價，并且據(jù)以確定下一步對財務報表工程所作本質(zhì)性測試的性質(zhì)、范圍和時間。普通地說，假設企業(yè)內(nèi)部控制可靠，運作效果良好，審計師可以相對地添加對內(nèi)部控制的依賴程度，適當?shù)販p少對財務報表資料進展本質(zhì)性測試的內(nèi)容、范圍和時間。.1.會計信息系統(tǒng)審計概述本質(zhì)性測試Substantive tests的重點是對信

4、息系統(tǒng)輸出財務報表資料的檢查，包括查驗會計賬戶的余額和買賣記錄的準確性和可靠性。本質(zhì)性測試比較費時費力，但本質(zhì)性測試檢查的性質(zhì)和范圍取決于審計過程第二階段對企業(yè)內(nèi)部控制的符合性測試的結(jié)果和評價。cnshu 精品資料網(wǎng).1.會計信息系統(tǒng)審計概述控制符合性測試和財務報表工程的本質(zhì)性測試的目的都是為了盡能夠地降低審計風險，保證審計結(jié)論的正確性。系統(tǒng)控制的符合性測試著重檢查企業(yè)的內(nèi)部控制機制。內(nèi)部控制越強，信息系統(tǒng)出現(xiàn)過失的機率就越小，審計師可以相應地減少本質(zhì)性測試的范圍與數(shù)量。反之，內(nèi)部控制越弱，信息系統(tǒng)出問題的機率就越大，審計師就必需添加第三階段的本質(zhì)性測試，以便及時發(fā)現(xiàn)財務資料處置與企業(yè)運營方面

5、的潛在問題。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1控制符合性測試主要是檢查以下幾方面的控制：操作系統(tǒng)控制資料控制組織構造控制系統(tǒng)開發(fā)控制系統(tǒng)維護控制計算機中心平安控制傳導通訊控制電子資料交換控制微機控制.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)和周邊環(huán)境嚴密關聯(lián)。為了防止人為的或非人為的毀損破壞，操作必需建立一整套平安防護措施，以便完成以下目的：防護操作系統(tǒng)本身不蒙受運用者作業(yè)或者運用程序的毀損；操作系統(tǒng)要能防止不同運用者之間或運用程序之間的相互影響或干擾；.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)必需具備內(nèi)置防護控制，防止操作系統(tǒng)各個模塊的

6、相互竄擾或侵蝕；操作系統(tǒng)要可以抵御外界環(huán)境要素驟變?nèi)鐢嚯姾透鞣N自然災禍的要挾。假設企業(yè)的操作系統(tǒng)控制不健全，那么無法實現(xiàn)上述控制目的，并且將影響信息系統(tǒng)的有效運作。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)審計的重點在于檢查各項預先設計的平安措施和控制步驟能否嚴密和有效，能否足以防護操作系統(tǒng)不受硬件失靈、軟件過失、人為缺點和病毒侵蝕等要素的干擾。操作系統(tǒng)的符合性測試著重于檢查企業(yè)的平安控制政策和計算機病毒控制技術。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)平安控制政策的有效性可以借助特殊的審計軟件來測試。審計師還可以運用以下非技術性測試方法，

7、以便進一步獲得有關操作系統(tǒng)控制可靠性的證據(jù)：查閱企業(yè)的有關政策文件，檢查能否建立操作系統(tǒng)通行口令制度，以及對通行口令的授予和更改程序能否合理適當。查閱員工招聘記錄，尤其要檢查對有權接近和操作信息系統(tǒng)的每位員工能否經(jīng)過嚴密平安性審查。cnshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試查閱員工記錄，確定員工能否均有書面承諾保守企業(yè)資料性的責任。企業(yè)的保安小組有責任監(jiān)視和報告任何違反平安控制政策的行為。審計師可以抽查企業(yè)的平安控制違規(guī)案例記錄，經(jīng)過對這些案例處置結(jié)果來評價保安小組的績效。審計師要查證企業(yè)有關人員對各種資料和計算機程序的運用能否符適宜當?shù)氖跈?。檢查的方法

8、包括對比企業(yè)的買賣或作業(yè)授權清單，以及察看實踐的授權控制造業(yè)關況。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試控制電腦病毒侵蝕的關鍵在于嚴厲執(zhí)行企業(yè)關于防備計算機病毒入侵的政策和措施。審計師要查核這方面的政策能否曾經(jīng)建立并得以嚴厲遵照。審計師可以運用以下測試來檢查信息系統(tǒng)的抗病毒控制能否充分有效：查閱企業(yè)能否規(guī)定必需向聲譽良好的軟件供應商購買抗病毒軟件，并檢查核對有關的購貨單。審查企業(yè)的抗病毒軟件的運用政策。查核與測試安裝于企業(yè)計算機系統(tǒng)內(nèi)的各種作業(yè)程序或運用程序能否均有適當?shù)陌鏅嗪徒?jīng)過正式授權同意。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.2資料資源控制的測試EDP審計師測試資

9、料控制的目的是要檢查現(xiàn)有控制措施能否可以保證資料資源的完好和平安。這主要包括兩方面的測試：資料的后備拷貝能否足以復原遺失或毀壞的資料；審計師要檢查能否建立適當?shù)暮髠淇截悾芊駜Υ嬖谄桨驳牡攸c，以及能否配置可靠的措施防備因各種自然災禍或人為缺點而呵斥的損失。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.2資料資源控制的測試對資料庫的存取接近能否嚴厲于已授權的作業(yè)的需求。資料庫的存取接近控制至關重要。審計師要查核既定系統(tǒng)能否有著嚴厲的授權控制，以及授權能否妥當。也就是說，即使授權的系統(tǒng)操作人員和運用者，亦只能由于特定的買賣作業(yè)需求而接近存取特定的資料庫資料。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.3組織

10、構造控制的測試測試組織構造控制主要是為了檢查系統(tǒng)內(nèi)部職能分割的合理性。審計師必需查核不相容的職能能否均有嚴厲的分割，以及職能劃分能否在實踐作業(yè)中得以仔細執(zhí)行。詳細測試可包括以下幾方面：審閱企業(yè)的組織構造文件。審計師要查閱有關的文件，如現(xiàn)行組織構造圖、企業(yè)運營戰(zhàn)略與目的，以及作業(yè)手冊和重要職能闡明，鑒別信息系統(tǒng)內(nèi)部主要的職能能否明確分割。cnshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.3組織構造控制的測試檢查系統(tǒng)描畫記錄。審計師必需抽樣檢查信息系統(tǒng)的維護記錄，以便確定擔任系統(tǒng)維護的程序師不是原先的系統(tǒng)程序設計師系統(tǒng)設計和維護職能分割。行為察看。審計師可以經(jīng)過實地察看，確定各項關鍵職

11、能任務能否由不同的員工擔任，以及職能分割控制的實踐作業(yè)程序。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試EDP審計師測試系統(tǒng)開發(fā)控制的目的是：系統(tǒng)開發(fā)的各個階段能否都已嚴厲地執(zhí)行企業(yè)的有關政策和規(guī)那么；系統(tǒng)投入運用后有無發(fā)現(xiàn)艱苦操作問題或舞弊行為；系統(tǒng)開發(fā)各階段的報告能否均獲取運用者和高層主管的認可與簽署審批；系統(tǒng)文件記錄能否準確完好，便于審計和系統(tǒng)維護。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試系統(tǒng)開發(fā)控制的測試偏重于下述兩方面：檢查系統(tǒng)開發(fā)過程能否有內(nèi)部審計師的長期與經(jīng)常性參與。企業(yè)的內(nèi)部審計人員該當參與系統(tǒng)的開發(fā)作業(yè)，并在每個開發(fā)階段終了時作出審查評價，

12、確定各項系統(tǒng)開發(fā)作業(yè)能否完全遵照既定的政策與規(guī)劃。內(nèi)部審計有助于盡快地發(fā)現(xiàn)與糾正系統(tǒng)開發(fā)中的失誤與弊端。檢查整個系統(tǒng)開發(fā)周期的文件記錄。審計師可以抽查一部分已完成的系統(tǒng)開發(fā)文件記錄，驗證開發(fā)作業(yè)能否符合的政策與規(guī)劃。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.5系統(tǒng)維護控制測試EDP審計師測試系統(tǒng)維護的目的在于檢查能否存在未經(jīng)授權擅自修訂或更改系統(tǒng)的問題。審計師必需檢查與確定以下各事項：系統(tǒng)維護的政策與規(guī)那么能否保證運用程序不受非法竄改；各項運用程序不存在艱苦過失；對程序資料庫的存取接近均有經(jīng)過嚴厲的審批和登記程序。cnshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.5系統(tǒng)維護控制測試為

13、了檢查能否存對運用程序的未經(jīng)授權的竄改，審計師可執(zhí)行以下的測試：核對運用程序的版本。審查系統(tǒng)維護的審批手續(xù)。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.5系統(tǒng)維護控制測試為了檢查運用程序中能否存在艱苦過失，審計師可執(zhí)行以下幾方面的測試：核對程序編碼。檢查維護作業(yè)測試結(jié)果記錄。重新測試應有程序。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.5系統(tǒng)維護控制測試建立程序資料庫及其存取接近控制是防止過失和防止計算機系統(tǒng)舞弊的重要環(huán)節(jié)。程序資料庫集中管理系統(tǒng)內(nèi)部的各項操作和運用程序，只需程序管理員有權接近程序，存取需求加維護的程序。系統(tǒng)維護的程序編寫人員只能經(jīng)過程序管理員調(diào)出和繳回所需維護和測試的計算機系統(tǒng)程序，

14、他們不能直接接近程序資料庫。審計師可以抽查系統(tǒng)維護與調(diào)試記錄，確定能否與程序資料庫的程序存取記錄相符合。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.6計算機中心的平安測試EDP審計師測試計算機中心平安的目的是要評價計算機中心平安控制的健全和有效性。詳細內(nèi)容包括：評價實體平安措施能否足以維護計算機中心的平安；審查對企業(yè)購買的保險金額能否足以賠償計算機中心能夠蒙受的損失；操作作業(yè)手冊和文件記錄能否確保計算機中心的正常運作和有效處置系統(tǒng)缺點；計算機中心的災情恢復方案能否可行。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.7通訊傳導控制的測試EDP審計師測試通訊傳導控制的目的是要確定資料傳導渠道或媒體的平安與完

15、好。傳導渠道的有效控制包括：有效偵查與恢復因設備缺點引起的傳送資料遺失；防備對通訊線路的非法竄入者竊取的資料。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.7通訊傳導控制的測試資料通訊傳導的控制測試包括：從作業(yè)記錄中抽樣檢查能否由于通訊線路擁堵呵斥被傳送資料的內(nèi)容失真；檢查資料傳送的作業(yè)記錄，確定能否一切的資料均按既定的順序接納與發(fā)送；檢查關于資料編碼的平安措施；確定各種敏感資料，如通行口令等到能否經(jīng)過適當?shù)木幋a維護。cnshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.8電子資料交換控制的測試審計電子資料交換控制系統(tǒng)的目的是要確定：一切的電子資料交換均遵照既定政策，并且經(jīng)過適當?shù)氖跈?；未?jīng)

16、事先授權的外部企業(yè)或個人一概不得接近買賣資料庫；經(jīng)授權的外部企業(yè)商業(yè)同伴只能存取與往來買賣相關的特定資料；一切的電子資料交換都要保管審計脈絡.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.8電子資料交換控制的測試電子資料交換控制的測試主要有以下三種：授權控制的測試。審計師要審核商業(yè)同伴進出本企業(yè)資料庫的運用者身份碼均已事先經(jīng)過審批生效。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.8電子資料交換控制的測試存取資料控制的測試。能否只需經(jīng)授權的人員才干接近存取供應商和客戶資料檔；有關通行口令和授權清單能否都經(jīng)過編碼維護處置；商業(yè)同伴接近本企業(yè)資料庫存取資料能否限制于合同規(guī)定的范圍之內(nèi)；檢查本企業(yè)買賣資料庫能否能

17、夠被非授權人士非法竄入。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.8電子資料交換控制的測試審計脈絡控制的測試必需審查電子資料交換的全部過程能否都有作業(yè)記錄。審計師可以從作業(yè)記錄中抽樣檢查關鍵資料的記錄能否準確無誤。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.9微機控制的測試EDP審計師對微機控制的測試主要檢查以下四個方面：能否存在明確有效的監(jiān)視管理和規(guī)章制度，以保證運用者、程序設計師和操作人員之間適當?shù)穆毮芊指睿籧nshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容2.1.9微機控制的測試能否只需經(jīng)授權的人員才干運用企業(yè)的微機存取資料或接近程序檔案；能否存在完善的后備恢復措施，以防備因計算機缺點引起

18、的資料消逝或者程序失靈；能否建立嚴厲措施，以保證外部購入的運用程序的性能、質(zhì)量和妥善維護。.2.會計信息系統(tǒng)審計的主要內(nèi)容2.2.10測試運用程序的控制系統(tǒng)控制測試包括普通控制測試和運用程序控制測試兩個部分。運用程序控制測試通常有兩種方法：黑箱繞過計算機法Black box(Around the computer approach)白箱穿過計算機法White box(Through the computer approach。.2.會計信息系統(tǒng)審計的主要內(nèi)容黑箱法測試所謂黑箱法是指審計師在審計時對計算機系統(tǒng)不心詳細了解，只需求經(jīng)過對系統(tǒng)流程圖的分析以及與系統(tǒng)有關人員的面談，了解企業(yè)信息系統(tǒng)的特

19、點功能。一旦了解了信息系統(tǒng)的構造與功能，審計師可以直接分析比較信息系統(tǒng)的輸入和系統(tǒng)處置后的輸出結(jié)果，從而判別系統(tǒng)和有關的運用程序能否運作良好，到達系統(tǒng)的預期目的。由于在采用黑箱法時，審計師并未檢查系統(tǒng)內(nèi)部的實踐作業(yè)過程，故又被稱為“繞過計算機審計法。.2.會計信息系統(tǒng)審計的主要內(nèi)容黑箱法測試黑箱法的優(yōu)點是直接測試資料輸入與輸出結(jié)果，不會影響系統(tǒng)的正常運作，尤其適用于對簡單運用程序的測試。但是，這一方法不適用于對容量龐大而且功能復雜的運用程序的審計。.2.會計信息系統(tǒng)審計的主要內(nèi)容白箱法測試白箱法審計不僅要求對系統(tǒng)的內(nèi)在邏輯具有深化的了解，而且必需對系統(tǒng)的內(nèi)在邏輯功能加以直接測試。主要測試技術包

20、括以下五種：測試資料法Test data method)根本案例系統(tǒng)評價Base case system evaluation)追溯查驗法Tracing method整合測試設備法Integrated test facility approach平行模擬法Parallel simulation technique.2.會計信息系統(tǒng)審計的主要內(nèi)容測試資料法測試資料法把預選編排的資料輸入到需求測試的運用程序加以處置，以檢查該程序的完好可靠性。審計師把處置后的輸出結(jié)果和預先計算的結(jié)果加以對比分析，從而對系統(tǒng)的邏輯和控制效果作出客觀的評價。它的重要環(huán)節(jié)之一是編輯測試資料。審計師可利用企業(yè)在系統(tǒng)開發(fā)過程

21、中設計的測試資料。但假設運用程序在系統(tǒng)實施后憶發(fā)生過變動，那么審計師要編排補充性測試資料，偏重于測試系統(tǒng)運用程序中的已修正部分。cnshu 精品資料網(wǎng).2.會計信息系統(tǒng)審計的主要內(nèi)容根本案例系統(tǒng)評價測試資料法能夠有多種變形。假設用于測試的資料內(nèi)容廣泛，面面俱到，涵蓋幾乎一切能夠發(fā)生的買賣類型，那么可稱之為根本案例系統(tǒng)評價法。.2.會計信息系統(tǒng)審計的主要內(nèi)容追溯查驗法追溯查驗法是測試資料法的另一種變形。追溯查驗法對系統(tǒng)運用程序的內(nèi)在邏輯關系執(zhí)行追溯性測試，其步驟有三：對需審計的運用程序進展特殊編輯處置，以產(chǎn)生能夠追溯查驗的蹤跡；設計一種或者數(shù)種特殊買賣類型作為測試資料；追溯測試資料經(jīng)過運用程序各

22、個處置階段的蹤跡，列出測試過程中運用程序發(fā)出的全部算是指令，供查驗其內(nèi)在邏輯運算關系的正確性。.2.會計信息系統(tǒng)審計的主要內(nèi)容整合測試設備法整合測試設備法是審計師可以在客戶系統(tǒng)正常運作的同時自動直接測試系統(tǒng)的邏輯運算與控制的一種方法。通常整合測試設備在系統(tǒng)開發(fā)時就作為一個模塊或模塊組內(nèi)置于系統(tǒng)的運用程序之中，在整合測試設備的資料庫里，真實的買賣記錄和“模擬或測試主檔用的記錄同時存在。有些企業(yè)的信息系統(tǒng)中能夠另設一個虛擬買賣檔用以存放測試買賣的結(jié)果。在系統(tǒng)的日常運作之時，測試買賣和正常買賣將聚集在一同輸入系統(tǒng)處置。.2.會計信息系統(tǒng)審計的主要內(nèi)容平行模擬法平行模擬法要求審計師模擬客戶信息系統(tǒng)運用程序的特點、性能編寫本人的測試程序，然后用模擬程序處置由客戶運用程序處置過的買賣資料。模擬程序的輸出結(jié)果可以用來和客戶運用程序的處置結(jié)果相比較，從而對客戶系統(tǒng)運用程序的可靠性作出評價。審計師在核對測試結(jié)果和實踐結(jié)果時必需謹慎，由于導致對比結(jié)果不同的緣由能夠有兩方面：一是客戶的運用程序確實存在缺陷，二是模擬程序過于粗糙、簡單導致過失，而并非客戶