信息系統(tǒng)審計(ppt 67)

1、信息系統(tǒng)審計相關知識鋪墊概念框架審計證據(jù)的獲取與評價信息系統(tǒng)審計的常用方法信息系統(tǒng)審計報告審計信息化：國家角度第0節(jié) 相關背景和知識鋪墊審計信息化國家規(guī)劃 建設之路背景歷程1998年，國務院出臺了審計機關計算機輔助審計管理辦法1999年，審計署組織編寫了審計信息化系統(tǒng)規(guī)劃并報國務院2001年3月，審計署提出了審計信息化建設總體目標和構(gòu)想： 一個模式、三個轉(zhuǎn)變、五個一工程2001年11月，國務院辦公廳下發(fā)了關于利用計算機信息系統(tǒng) 開展審計工作有關問題的通知2002年，國務院17號文件界定：“金審工程是12金字工 程之一”2003年7月，國家審計署發(fā)布2003至2007年審計 工作發(fā)展規(guī)劃2004

2、年7月，全國審計工作座談會專題研 究審計信息化金審工程2004年11月，金審工程一期竣工2004年的全國審計工作會議上，李金華審計長提出了審計信息化的具體工作要求：計算機在審計管理中的應用，要把重點放在審計信息的管理和使用上，促進信息集合，形成共享計算機審計和審計信息管理是今后審計信息化建設的兩大重點任務，希望大家在這方面多用些精力，積極探索實踐，加強人員培訓，切實抓出成效。審計信息化工作的重點，要放在計算機在審計實施中的運用上 “應從戰(zhàn)略高度認識信息化的重要性和緊迫性，提高信息意識和信息文化素質(zhì)，切實加強對信息化的領導力度，從改革入手進行業(yè)務流程再造，協(xié)調(diào)各部門、各環(huán)節(jié)的利益與矛盾，持續(xù)推進

3、信息化。 ”“十一五”至2020年信息化發(fā)展規(guī)劃審計信息化：企業(yè)角度信息時代呼喚計算機審計從一組數(shù)據(jù)說起80%的計算機用于企業(yè)管理信息的處理85%的信息來自于計算機系統(tǒng),其中70-80%的管理來自于會計信息系統(tǒng)90%的正規(guī)企業(yè)用計算機記賬100%的會計師事務所面對計算機審計問題70-90%的內(nèi)部審計面臨計算機審計的挑戰(zhàn)TCL、中石化、煙草公司等會計和審計的信息化基本接近100%審計專業(yè)知識回顧審計是什么？1、廣義的審計定義： “審計是由專職機構(gòu)和人員，對被審計單位的財政、財務收支及其他經(jīng)濟活動的真實性、合法性和效益性進行審查和評價的獨立性經(jīng)濟監(jiān)督活動。”2、簡明審計定義 審計是獨立檢查會計賬目

4、，監(jiān)督財政、財務收支真實、合法、效益的行為。審計是什么？審計的本質(zhì)及特征1、本質(zhì)三種觀點（1）審計就是查賬（2）審計是經(jīng)濟監(jiān)督（3）審計是獨立的經(jīng)濟監(jiān)督活動經(jīng)濟監(jiān)督基本職能獨立性最本質(zhì)的特征審計的本質(zhì)及特征2、特征（1）獨立性特征組織上人員上工作上經(jīng)費上（2）權(quán)威性特征獨立地位、專業(yè)素質(zhì)法律賦予（3）公正性特征財產(chǎn)所有者經(jīng)營管理者 第三方委托經(jīng)濟責任履行經(jīng)濟責任報告結(jié)果委托業(yè)務審查業(yè)務接受審查 審 計審計的本質(zhì)及特征兩層涵義：外延上被審計單位內(nèi)涵上審計內(nèi)容或?qū)徲媰?nèi)容在范圍上的限定 1、會計資料及其有關經(jīng)濟資料（具體形式）（1）會計資料（2）其他相關經(jīng)濟資料2、財政、財務收支及其有關的經(jīng)濟活動（

5、實質(zhì)內(nèi)容）（1）財政收支（2）財務收支（3）其他有關經(jīng)濟活動審計的對象審計的目標國家審計真實性、合法性、效益性獨立審計合法性、公允性、一致性內(nèi)部審計真實性、合法性、效益性審計總目標是評價受托經(jīng)濟責任，確切些說，是評價經(jīng)營管理者對資財所有者應負的經(jīng)濟責任的履行情況。無論國家審計、社會審計還是內(nèi)部審計，評價受托經(jīng)濟責任的履行情況都是其總目標。按照審計主體劃分按照審計主體性質(zhì)分：國家審計、內(nèi)部審計、民間審計與被審計單位關系分：外部審計、內(nèi)部審計按審計內(nèi)容和目標分類財政財務審計：傳統(tǒng)審計經(jīng)濟效益審計：績效審計財經(jīng)法紀審計：專案審計審計的分類國家、市場、行業(yè)對注冊會計師的要求；會計電算化的成孰將導致什么

6、？審計信息化人才的嚴重短缺；審計軟件已經(jīng)趨于成熟，開始廣泛應用社會需要什么樣的審計人才？傳統(tǒng)審計人才審計信息化產(chǎn)品及教程對傳統(tǒng)審計教育模式的思考傳統(tǒng)填鴨式教學模式互動式教學模式畢業(yè)生為何就業(yè)難？如何培養(yǎng)綜合型的高素質(zhì)人才？如何解決這些矛盾？應具備審計知識構(gòu)成審計學知識審計技能財務學知識會計學知識知識層次積累以實踐教學為主，注重經(jīng)驗的積累。以理論教學為主，注重基礎知識積累。 被審計對象業(yè)務信息電子化方式已經(jīng)普及經(jīng)濟高速發(fā)展，審計任務越來越重審計管理復雜，審計工作質(zhì)量需要加強國家經(jīng)濟監(jiān)督體系日臻完善，審計工作越發(fā)精細國家政府越來越重視審計工作，提出了更高要求就業(yè)后審計工作環(huán)境分析可以轉(zhuǎn)入任意電子

7、數(shù)據(jù)財務數(shù)據(jù)、業(yè)務數(shù)據(jù)針對被審計數(shù)據(jù)、結(jié)合審計業(yè)務制作了相關審計工具查詢及查賬工具、各種分析工具、各種檢查工具、各種計算工具、豐富的審計預警。根據(jù)審計結(jié)果制作審計底稿國家審計機關要求的審計日記和工作底稿格式出具審計臺賬及審計報告完成審計成果統(tǒng)計計算機審計能解決的問題第1節(jié) 信息系統(tǒng)審計的概念框架對電子數(shù)據(jù)進行審計(1980年代1990年代)計算機輔助傳統(tǒng)審計(1990年代2000)計算機輔助對計算機會計信息系統(tǒng)進行審計(2000年網(wǎng)絡和集成思想大量應用后)進行審計項目管理(四個過程的管理)審計數(shù)據(jù)庫管理審計測試和驗證(CAATs)IT審計(計算機信息系統(tǒng)審計)(發(fā)展趨勢)概念的發(fā)展歷程一、信息

8、系統(tǒng)審計的含義定義信息系統(tǒng)審計是對被審計對象所采用的計算機化的信息系統(tǒng)的安全性、可靠性進行了解、測試與評價，并對信息系統(tǒng)對財務報告的影響作出判斷或單獨提出信息系統(tǒng)審計報告的過程。特征職業(yè)資格獨立性綜合性審計報告安全、可靠與有效目標對電子數(shù)據(jù)的審計同手工目標用計算機作為工具的審計同手工目標對會計信息系統(tǒng)的審計目標有較大發(fā)展安全合法可靠效率效益易用可審安全、合法、可靠、易用、效率、效益、可審應用程序系統(tǒng)數(shù)據(jù)資料系統(tǒng)開發(fā)對內(nèi)部控制二、信息系統(tǒng)審計的內(nèi)容開發(fā)過程6階段審計實質(zhì)性、符合性審計鑒定結(jié)論、代碼檢驗、模擬測試、替代比較存在、有效、持續(xù)、穩(wěn)定信息系統(tǒng)審計的三階段或四階段審計完成審計實施審計計劃

9、調(diào)研計劃實施完成信息系統(tǒng)審計步驟信息系統(tǒng)審計信息系統(tǒng)審計是按照特定項目的范圍和目標開展的。其審計的步驟包括：獲取并記錄審計范圍/主題風險評估和制定初步審計計劃及排程詳細審計計劃初步審閱控制測試大量/實質(zhì)性測試報告/結(jié)果溝通跟蹤準備階段實施階段完成階段開始前要了解什么信息風險評估其它信息風險管理保證一般信息技術(shù)控制審計電腦輔助審計技巧應用系統(tǒng)審計(包括運作前及運作后)編制計劃詳細調(diào)查成立組織初步調(diào)查明確任務發(fā)出任務書資源1資源2審計計劃階段主要內(nèi)容審計實施階段2345詳細調(diào)查被審計系統(tǒng)：座談，運行、抽查、觀察等測試內(nèi)部控制系統(tǒng)：問卷、調(diào)查文檔、座談、現(xiàn)場查驗等收集證據(jù)，進行實質(zhì)性測試：模擬運行、

10、穿行測試、實務運行評價證據(jù)，形成診斷：內(nèi)部控制是否存在有效、管理和應用方面的保證程度形成工作底稿：電子形式或傳統(tǒng)形式1審計完成階段1整理評價審計證據(jù)3編寫審計報告2復核審計 工作底稿提交審計結(jié)論和建議項目平臺三個過程并不割裂審計計劃審計收尾設計實施盡量計劃周全-反饋與修改-實施過程的變更COBIT : 一套信息技術(shù)控制和管制架構(gòu)綜合經(jīng)營報告 “有一種方式”架構(gòu) “這種方式是 ”控制目標 “最低控制措施是 ”審計方針 “如何審計 ”實施指南 “如何實施”管理層指南 “如何衡量”COBIT的要素 什么?COBIT :一套信息技術(shù)控制和管制架構(gòu)業(yè)績衡量要素（所有信息技術(shù)流程的成果衡量指標和表現(xiàn)的影響

11、因素）關鍵成功因素的清單，它為每個信息技術(shù)流程提供簡明的非技術(shù)性最佳作法一個成熟的模式，用于協(xié)助每個信息技術(shù)流程控制的基準和決策最近的發(fā)展趨勢是增加一個管理和管制層，為管理層提供了一套工具，其中包括：參資料和網(wǎng)站SAP網(wǎng)站用友網(wǎng)站肖澤中(經(jīng)科出版,2000)傅元略,上海人民出版社,2002第2節(jié) 審計證據(jù)的獲取證據(jù)的種類和特征獲取的方法證據(jù)評價的方式方法評價的主要內(nèi)容應用IQF收集審計證據(jù)面談內(nèi)容主要訪談對象面談過程細節(jié)AIS全面情況系統(tǒng)分析員系統(tǒng)設計員面談準備背景研究面談對象準備內(nèi)容確定時間地點子系統(tǒng)和主要功能財務主管操作人員會計數(shù)據(jù)的來源、流向、頻率、存儲、保密等數(shù)據(jù)（庫）管理員面談實施介

12、紹和切入談話回顧系統(tǒng)的運行情況和滿意度操作人員系統(tǒng)管理員面談分析分析跟蹤一、IQF：面談、問卷和流程圖法簡稱，是現(xiàn)代管理咨詢、學術(shù)研究、 市場調(diào)查等活動常用的方法。 問卷設計時要考慮的因素據(jù)回答者特性需收集信息的屬性提問的問題本身應注意簡潔、清晰不會產(chǎn)生歧義避免無法回答（不熟悉或越權(quán)）避免誤導二、問卷調(diào)查法2回答方式的選擇單選多選填空標圖調(diào)查表的利用一個舉例二、問卷調(diào)查法員工對系統(tǒng)的理解高中層對系統(tǒng)的理解問題： 您認為公司的信息系統(tǒng)是否方便?信息來源：洪業(yè)會計系統(tǒng)問卷調(diào)查報告表1.方便2.一般4.不好評價3.不方便問卷結(jié)果的分析舉例 流程圖分類數(shù)據(jù)流程圖系統(tǒng)流程圖程序流程圖控制流程圖流程圖的制

13、作-P61WordPptVisio作用分析和設計內(nèi)部控制描述一個應用計劃安排三、流程圖分析法利用軟件自身的數(shù)據(jù)接口轉(zhuǎn)入轉(zhuǎn)出導入導出另存為審計接口嵌入式：函數(shù)、公式等外掛式提?。豪鏢AP、NC利用審計軟件的數(shù)據(jù)接口功能獲取利用辦公軟件的數(shù)據(jù)接口DBNS：access,excel,dbase,foxp利用ODBC-P63通過數(shù)據(jù)接口直接獲取數(shù)據(jù)在線收集審計證據(jù)一、在線系統(tǒng)收集的主要內(nèi)容、過程和方法-P68輸入審查內(nèi)容、范圍、過程和方法處理審查輸出審查操作培訓數(shù)據(jù)文檔二、在線收集的工作底稿范圍描述局限結(jié)論使用條件內(nèi)容、范圍、過程和方法基于網(wǎng)絡的實時收集一、計算機網(wǎng)絡的特征-P68資源共享，信息大陸

14、內(nèi)控復雜、風險較高網(wǎng)絡的無限延伸麥特卡夫定律摩爾定律網(wǎng)格定律多點攻擊二、網(wǎng)絡收集兩類證據(jù)訪問控制證據(jù)權(quán)限設置密碼認證加密控制鏈路、服務器密鑰、加密、自解等基于網(wǎng)絡的實時收集三、計算機網(wǎng)絡系統(tǒng)證據(jù)收集的步驟確定收集樣本隨機抽查樣本記錄數(shù)據(jù)傳輸?shù)囊恢滦詼蚀_性可控性分析記錄記錄工作底稿評價過程和步驟定性方法定量方法底稿的撰寫信息系統(tǒng)審計證據(jù)的評價是審計人員依據(jù)一定的標準和原則對收集到的審計證據(jù)進行分析和判斷并作出符合要求的結(jié)論的過程。定義手段第3節(jié) 審計證據(jù)的評價計算機審計證據(jù)評價的流程和要素一、計算機審計證據(jù)評價的鑒定鑒定標準COSO框架COBIT框架獨立審計準則鑒定的獨立性和專業(yè)要求二、證據(jù)評價

15、的考慮要素重要性水平風險估計水平選擇方法的認可度計算機審計證據(jù)評價的定性方法一、審計人員對證據(jù)的判斷過程鑒別有關線索權(quán)衡有關線索進行整體判斷從系統(tǒng)角度出發(fā)判斷總體風險和結(jié)論成本效益原則二、利用專家系統(tǒng)輔助判斷專家系統(tǒng)概述構(gòu)成和特征頭腦風暴+資料獲取計算機審計證據(jù)評價的定量方法一、確定性模型二、概率模型三、貝葉斯模型四、數(shù)據(jù)包絡分析-非線性規(guī)劃等五、優(yōu)化與技術(shù)等作業(yè)與參考書建議一、調(diào)查報告：COSO/COBIT二、霍爾的信息系統(tǒng)審計與鑒證，中信出版社2003年版第4節(jié) 審計的常用方法系統(tǒng)測試法整體檢查法平行模擬法 軟件系統(tǒng)生命周期選擇測試模塊代測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法系統(tǒng)規(guī)

16、劃系統(tǒng)分析系統(tǒng)設計系統(tǒng)實現(xiàn)系統(tǒng)轉(zhuǎn)化運行維護 軟件系統(tǒng)生命周期選擇測試模塊代測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法識別程序危險因素確定危險因素帶來的損失分析各模塊的風險利用可靠性模型確定模塊故障數(shù)量根據(jù)公式確定模塊產(chǎn)生的損失 軟件系統(tǒng)生命周期選擇測試模塊測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法從輸入開始經(jīng)過整個系統(tǒng)后進行結(jié)果比較關鍵是設計測試數(shù)據(jù)測試數(shù)據(jù)包括實際業(yè)務數(shù)據(jù)（量大一般不用）、用戶數(shù)據(jù)、審計人員數(shù)據(jù)、工具軟件生成 軟件系統(tǒng)生命周期選擇測試模塊測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法建立在規(guī)格說明書上只管結(jié)果不問過程用例較多嚴格設計測試數(shù)據(jù)目前用計算機輔助測試 軟件系

17、統(tǒng)生命周期選擇測試模塊測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法建立在代碼檢查上過程和結(jié)果同時測試語句覆蓋（case）分支覆蓋（case）路徑覆蓋（case） 軟件系統(tǒng)生命周期選擇測試模塊測試數(shù)據(jù)設計黑盒測試白盒測試測試技巧系統(tǒng)測試法黑盒為基礎，白盒做補充重點測試用例數(shù)據(jù)的邊界值采用等價類劃分進行補充利用專家經(jīng)驗進行錯誤推斷，補充測試用例根據(jù)測試要求，采用語句、分支和路徑覆蓋，補充測試用例整體檢測法原理-步驟-結(jié)構(gòu)確定測試系統(tǒng)建立虛擬實體處理測試數(shù)據(jù)合適過程真實合適過程正確、完整 標記事務法數(shù)據(jù)混合法（一）輸入數(shù)據(jù)的選擇在主文件中標記在系統(tǒng)中嵌入系統(tǒng)抽樣嵌入優(yōu)缺點：簡單但有副作用 標記事務法數(shù)據(jù)混合法（一）輸入數(shù)據(jù)的選擇選擇測試數(shù)據(jù)后打亂次序插入到數(shù)據(jù)庫中優(yōu)點缺點：數(shù)據(jù)真實、覆蓋面大但成本高，任務重 修改應用程序， 剝離ITF影響提交附加項 抵消ITF影響（二）消除虛擬(ITF)事務對系統(tǒng)輸出的影響簡單，直接增加開發(fā)、維護、運行成本增加新的風險 修改應用程序， 剝離ITF影響提交附加項 抵消ITF影響（二）消除ITF事務