關(guān)于計算機(jī)審計概論

1、計算機(jī)審計導(dǎo)論推動計算機(jī)審計出現(xiàn)的兩個原因?qū)徲嫎I(yè)務(wù)不斷擴(kuò)大電子數(shù)據(jù)處理的不斷深入中國計算機(jī)審計的發(fā)展報告檢查階段：1980年代以前，計算機(jī)主要用于中國人民銀行的合同組組長和專業(yè)統(tǒng)計工作?，F(xiàn)階段，審計部主要負(fù)責(zé)計算機(jī)應(yīng)用業(yè)務(wù)部和技術(shù)部。主要目標(biāo)是數(shù)據(jù)的正確性和報表的平衡性。 ，是否按時報告，設(shè)備安全和程序安全。程序功能審計階段：在 1980 年代后期，計算機(jī)被用于各個行業(yè)的各個領(lǐng)域。這些應(yīng)用領(lǐng)域是各行業(yè)業(yè)務(wù)工作的重要領(lǐng)域，直接關(guān)系到各行業(yè)資金的運(yùn)作。在此期間，發(fā)生了一些本地使用計算犯罪的案例。在這種情況下，計算機(jī)審計應(yīng)運(yùn)而生，成立了計算機(jī)審計機(jī)構(gòu)，開始培養(yǎng)專業(yè)人員學(xué)習(xí)計算機(jī)知識。綜合網(wǎng)絡(luò)審計階段

2、：進(jìn)入21世紀(jì)，計算機(jī)審計工作受到各行各業(yè)的廣泛關(guān)注，也涉及和沖擊各行各業(yè)的各個領(lǐng)域。需要。在這種情況下，許多行業(yè)單位的審計部門開始配備自己的計算機(jī)審計員，現(xiàn)在計算機(jī)審計已經(jīng)成為各行業(yè)審計的重要組成部分。財政審計項目：總體目標(biāo)是在幾年內(nèi)建成對依法接受審計監(jiān)督的財政收支的真實(shí)性、合法性和有效性實(shí)施有效審計監(jiān)督的信息化系統(tǒng)。逐步實(shí)現(xiàn)審計監(jiān)督的三個“轉(zhuǎn)變”，即從單一的事后審計向事后審計與事中審計相結(jié)合，從單一的靜態(tài)審計向靜態(tài)與動態(tài)審計相結(jié)合，從單一的現(xiàn)場審核到現(xiàn)場審核與遠(yuǎn)程審核相結(jié)合。提高審計機(jī)關(guān)查錯糾錯能力，規(guī)范管理，揭露腐敗，打擊計算機(jī)環(huán)境犯罪，維護(hù)經(jīng)濟(jì)秩序，推進(jìn)廉政建設(shè)，更好履行法定監(jiān)督職責(zé)的

3、審計。計算機(jī)審計包括兩個方面審計會計信息系統(tǒng)的設(shè)計，審計會計信息系統(tǒng)的數(shù)據(jù)處理過程和處理結(jié)果。審計員利用計算來幫助審計。將計算機(jī)、網(wǎng)絡(luò)技術(shù)等多種手段引入審計工作，建立審計信息系統(tǒng)，實(shí)現(xiàn)審計辦公自動化。計算機(jī)審計的特點(diǎn)電算化信息系統(tǒng)的審計特點(diǎn)審計范圍的廣泛性審計追蹤的隱蔽性和易腐性審計和取證的實(shí)時性和動態(tài)性審計技術(shù)的復(fù)雜性計算機(jī)輔助審計的特點(diǎn)審計過程的自動控制審計信息自動存儲更改了審計任務(wù)的組組成轉(zhuǎn)移審計技術(shù)主體計算機(jī)審計的目的保護(hù)系統(tǒng)資源的完整性和安全性保證信息的可靠性維護(hù)法律和紀(jì)律，維護(hù)社會和國家利益促進(jìn)計算機(jī)應(yīng)用的效率、效果和效益推動完善部管制度計算機(jī)審計的內(nèi)容審計項目管理系統(tǒng)的計算機(jī)輔助

4、審計人工會計系統(tǒng)的計算機(jī)輔助審計會計信息系統(tǒng)審計部門控制系統(tǒng)審計：一般控制、應(yīng)用控制（輸入、輸出、處理）系統(tǒng)開發(fā)審計應(yīng)用控制審計數(shù)據(jù)審計計算機(jī)審計的基本方法繞過計算機(jī)審計：指審計人員不檢查計算機(jī)程序和文件，而是檢查輸入數(shù)據(jù)和打印輸出及其管理系統(tǒng)的方法。優(yōu)點(diǎn)：1、審計技術(shù)簡單2、對被審計系統(tǒng)工作干擾少缺點(diǎn)： 1 僅在打印足夠時適用 2 需要緊密的輸入和輸出鏈接 3 審核結(jié)果不太可靠通過計算機(jī)審計：指在審查輸入和輸出數(shù)據(jù)的同時，對傳入的程序和文件進(jìn)行審計優(yōu)點(diǎn)：1 審計結(jié)果更可靠 2 審計獨(dú)立性強(qiáng)缺點(diǎn)： 1、審計技術(shù)比較復(fù)雜。 2、審計成本高。使用計算機(jī)審計：是指使用計算機(jī)設(shè)備和軟件進(jìn)行審計優(yōu)缺點(diǎn)同

5、（2）綜合：（1）適用于簡單的系統(tǒng)，（2）（3）適用于復(fù)雜的系統(tǒng)，（2）（3）通常接近于治安，（3）是（2）的延伸。第二章電算化會計信息系統(tǒng)部門控制審計一、部分控制分類（一）按實(shí)施范圍和對象分類：一般控制和應(yīng)用控制（2）按控制目標(biāo)分類：預(yù)防控制、檢測控制、糾正控制(3)按控制實(shí)現(xiàn)方式分類：程序控制、手動控制2. 審計風(fēng)險模型審計風(fēng)險=重大錯報風(fēng)險*檢查風(fēng)險= 固有風(fēng)險 * 控制風(fēng)險 * 檢查風(fēng)險固有風(fēng)險：在計算機(jī)條件下，在不考慮信息系統(tǒng)部門控制的可靠性的情況下，系統(tǒng)中各種難以消除的因素導(dǎo)致資源丟失或記錄錯誤的可能性。例如：信息系統(tǒng)管理人員和會計師可能會使用會計信息系統(tǒng)進(jìn)行欺詐。信息系統(tǒng)中的電子

6、數(shù)據(jù)容易被盜、誤用、篡改和丟失。電子數(shù)據(jù)中存在的審計線索很可能會被輕松減少或消除原始數(shù)據(jù)輸入可能存在錯誤或遺漏控制風(fēng)險：由于無法預(yù)防、檢測和糾正所有發(fā)生的資源損失或由于部門控制能力不足而導(dǎo)致的潛在錯誤記錄。例如：（1）設(shè)置權(quán)限密碼實(shí)現(xiàn)職責(zé)分工的約束機(jī)制可能失效網(wǎng)絡(luò)傳輸和數(shù)據(jù)存儲故障或軟件不完善都可能導(dǎo)致數(shù)據(jù)出現(xiàn)異常錯誤。系統(tǒng)開發(fā)和維護(hù)的潛在隱患3.安全控制(1) 系統(tǒng)觸點(diǎn)控制(2) 環(huán)境安全控制(3)安全控制：軟件加密方式、硬件加密方式、軟硬件結(jié)合(4) 防病毒控制4.應(yīng)用控制分類(1) 輸入控制(2) 加工控制(3) 輸出控制(4)通信控制：1數(shù)據(jù)加密2數(shù)字簽名3信息摘要4確認(rèn)/重傳5.數(shù)據(jù)

7、庫管理控制(1) 用戶身份認(rèn)證(2) 數(shù)據(jù)庫訪問控制(3) 數(shù)據(jù)庫完整性控制(4) 數(shù)據(jù)庫控制(5) 數(shù)據(jù)庫恢復(fù)控制六、控制部初審結(jié)果評價（一）退出審計(2) 進(jìn)一步詳細(xì)審查一般控制和應(yīng)用控制(3) 決策不依賴于部長控制在COSO部門控制整合框架中，定義為：企業(yè)董事會、管理層和其他人員為實(shí)現(xiàn)以下目標(biāo)提供合理保證的過程：（1）財務(wù)報告的可靠性； (2) 經(jīng)營活動 (3) 遵守適用的法律法規(guī)。 COSO 部門控制集成框架將部門控制分為五個相互關(guān)聯(lián)的要素，即（1）控制環(huán)境； （二）風(fēng)險評估； (3) 控制活動； （四）信息與通訊； (5)監(jiān)測。每個要素承載三個目標(biāo)：（1）業(yè)務(wù)目標(biāo)； （二）財務(wù)報告目

8、標(biāo)； (3)合規(guī)目標(biāo)。COSO 報告中央控制的組成1.控制環(huán)境它包括組織人員的誠實(shí)、道德價值觀和能力；管理理念和經(jīng)營模式；管理層分配權(quán)力和責(zé)任、組織和發(fā)展員工的方式；以及董事會提供的重點(diǎn)和方向?？刂骗h(huán)境影響員工的管理意識，是其他環(huán)節(jié)的基礎(chǔ)。2. 風(fēng)險評估它是在實(shí)現(xiàn)目標(biāo)的過程中識別和分析相關(guān)風(fēng)險，是形成管理什么樣的風(fēng)險的基礎(chǔ)。它隨著經(jīng)濟(jì)、行業(yè)、監(jiān)管和經(jīng)營狀況不斷變化，需要建立機(jī)制來識別和應(yīng)對相應(yīng)的風(fēng)險。3. 控制活動是幫助執(zhí)行行政指令的政策和程序。它貫穿整個組織，在各個層次和職能上，包括審批、授權(quán)、確認(rèn)、調(diào)整、業(yè)務(wù)績效評估、資產(chǎn)保護(hù)和職責(zé)分離等活動。4. 信息與交流信息系統(tǒng)產(chǎn)生各種報告，包括運(yùn)營

9、、財務(wù)、合規(guī)等，使控制運(yùn)營成為可能。處理的信息包括部門生成的數(shù)據(jù)，以及可用于業(yè)務(wù)決策的外部事件、活動、條件和外部報告的信息。所有人員都必須了解他們在控制系統(tǒng)中的位置以及它們之間的關(guān)系；必須認(rèn)真對待控制強(qiáng)加給自己的責(zé)任，并且還必須對客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)和股東等外部各方有效。交流。5. 環(huán)境監(jiān)測監(jiān)控是在業(yè)務(wù)過程中通過監(jiān)控正常的管理和控制活動以及與員工履行職責(zé)過程中的活動來評估系統(tǒng)運(yùn)行質(zhì)量。不同評估的范圍和步驟取決于風(fēng)險評估和實(shí)施的有效性。部門管控中的缺陷要及時向上級報告，嚴(yán)重問題要向上級和董事會報告。COBIT的含義COBIT 將 IT 流程、IT 資源和企業(yè)戰(zhàn)略和目標(biāo)（標(biāo)準(zhǔn)）聯(lián)系起來，形成一個

10、三維架構(gòu)。（1）IT標(biāo)準(zhǔn)維度集中反映企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、性能、完整性、可用性等方面來保證安全性、可靠性和有效性。信息;(2) IT資源主要包括與信息相關(guān)的資源，包括人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等，是流程的主要對象；(3) IT過程維度是在IT標(biāo)準(zhǔn)的指導(dǎo)下對信息及相關(guān)資源進(jìn)行規(guī)劃和處理，從規(guī)劃與組織、收集與實(shí)施、交付與支持、監(jiān)控四個方面確定34項信息技術(shù)。流程方面，每個流程還包括更詳細(xì)的控制目標(biāo)和審核員來評估 IT 流程。COBIT信息技術(shù)的控制目標(biāo)(1) 有效性意味著信息與業(yè)務(wù)流程相關(guān)，并以及時、準(zhǔn)確、一致和可行的方式交付。(2) 效率提供有關(guān)如何最

11、好（最高效和最經(jīng)濟(jì)地）利用資源的信息。(3) 機(jī)密性涉及保護(hù)敏感信息免受未經(jīng)授權(quán)的披露(4) 完整性涉及信息的準(zhǔn)確性和完整性，以符合業(yè)務(wù)評估和期望COBIT信息技術(shù)的控制目標(biāo)(5)可用性(Availability)指當(dāng)前和未來業(yè)務(wù)處理要求、信息可用。也指維護(hù)必要的資源和相關(guān)的性能。(6) 合規(guī)遵守在業(yè)務(wù)運(yùn)營過程中必須遵守的法律、法規(guī)和合同條款，例如外部強(qiáng)制性業(yè)務(wù)標(biāo)準(zhǔn)。(7) 信息的可靠性為管理人員進(jìn)行日常運(yùn)營和履行財務(wù)報告職責(zé)提供適當(dāng)?shù)男畔ⅰＰ畔⒓夹g(shù)控制目標(biāo)中定義的信息技術(shù)資源*數(shù)據(jù)（Data）指最廣泛的（例如，表面的和現(xiàn)有的）對象，包括結(jié)構(gòu)化和非結(jié)構(gòu)化、圖表、聲音等。*應(yīng)用系統(tǒng)人類程序和計算

12、機(jī)程序的總和。* 技術(shù)（Technology）包括硬件、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。*設(shè)施 - 用于存儲和支持信息系統(tǒng)的所有資源。*人員 - 包括計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)和服務(wù)所需的人員的技能、意識和生產(chǎn)力。COBIT 是一個非常有用的工具，也非常容易理解和實(shí)施。它可以幫助彌合管理層和 IT 審計之間的溝通鴻溝，并提供一種共同的語言來相互溝通。第三章會計信息系統(tǒng)的開發(fā)與審計一、系統(tǒng)開發(fā)審核的目的(1) 審查系統(tǒng)的可行性(2) 審查制度的合規(guī)性和合法性（3）審查系統(tǒng)部門控制的充分性(4) 審查制度的可審計性(5) 審查系統(tǒng)測試的全面性和適當(dāng)性(6) 審查系統(tǒng)文件的完整性(7

13、) 審查系統(tǒng)的可維護(hù)性2.系統(tǒng)分析階段的審計(1) 系統(tǒng)目標(biāo)的確定 (2) 現(xiàn)有系統(tǒng)分析 (3) 可行性分析 (4) 需求分析3. 系統(tǒng)設(shè)計階段審核(1) 整體設(shè)計：高聚、低耦合（2）詳細(xì)設(shè)計：數(shù)據(jù)庫文件設(shè)計、代碼設(shè)計、輸入輸出設(shè)計、處理函數(shù)設(shè)計第四章會計信息系統(tǒng)應(yīng)用程序的審計一、申請審核內(nèi)容（1）應(yīng)用控制有效性審核（輸入、處理、輸出）（二）申請合法性審核(3) 計劃有效性審核(4) 程序編碼正確性審核2. 審計方法(1)人工審核方式： 1.程序流程圖檢查法 2.程序代碼檢查法 3.程序運(yùn)行記錄檢查法 4.程序運(yùn)行結(jié)果檢查法（二）計算機(jī)輔助審計法： 1.測試數(shù)據(jù)分布 2.整體測試法（虛擬實(shí)體法

14、） 3.程序編碼比較法4 受控處理方法 5 受控再處理方法 6 并行模擬方法 7 嵌入式審計程序方法第五章會計信息系統(tǒng)數(shù)據(jù)審計1. 準(zhǔn)備數(shù)據(jù)審計(1) 數(shù)據(jù)收集方法1 使用被審計單位應(yīng)用系統(tǒng)的數(shù)據(jù)傳輸功能進(jìn)行數(shù)據(jù)采集2 使用被審計單位業(yè)務(wù)系統(tǒng)使用的數(shù)據(jù)庫系統(tǒng)的轉(zhuǎn)出功能采集數(shù)據(jù)3 使用審計軟件自帶的數(shù)據(jù)傳輸工具收集數(shù)據(jù)4 通過直接復(fù)制數(shù)據(jù)文件來收集數(shù)據(jù)5 使用通用數(shù)據(jù)傳輸工具 ODBC 收集數(shù)據(jù)（二）審計數(shù)據(jù)的主觀問題1 缺失值問題2 空問題3 數(shù)據(jù)冗余問題4 數(shù)據(jù)范圍不完整的問題5 字段類型不合法(3) 數(shù)據(jù)清洗的基本技術(shù)1 使用EXCEL清理數(shù)據(jù)2 使用 SQL 語言清理數(shù)據(jù)3 其他技術(shù)（*

15、.MDB update query with ACCESS）(4) 數(shù)據(jù)轉(zhuǎn)換一、數(shù)據(jù)轉(zhuǎn)換主要內(nèi)容1 數(shù)據(jù)類型轉(zhuǎn)換2 日期時間格式轉(zhuǎn)換3 代碼轉(zhuǎn)換4 金額值表示的轉(zhuǎn)換5 數(shù)據(jù)選擇兩種基本的數(shù)據(jù)轉(zhuǎn)換技術(shù)1 使用數(shù)據(jù)庫管理系統(tǒng)自帶的轉(zhuǎn)換工具進(jìn)行轉(zhuǎn)換2 使用審計軟件進(jìn)行轉(zhuǎn)換3 使用SQL語言進(jìn)行轉(zhuǎn)換（5）數(shù)據(jù)驗(yàn)證（真實(shí)、正確、完整）基本內(nèi)容： 1.查看記錄條數(shù) 2.查看總金額 3.查看貸款余額第八章 計算機(jī)信息系統(tǒng)欺詐的控制與審計1 計算機(jī)信息系統(tǒng)欺詐概述(1)計算機(jī)欺詐與傳統(tǒng)欺詐有很大區(qū)別。計算機(jī)欺詐是利用計算機(jī)系統(tǒng)或計算機(jī)系統(tǒng)實(shí)施的欺詐行為，其目的是非法的（二）計算機(jī)犯罪，是指犯罪人利用計算機(jī)操作

16、危害計算機(jī)信息系統(tǒng)安全等嚴(yán)重危害社會的犯罪。(3) 計算機(jī)信息系統(tǒng)中的欺詐行為包括1 篡改輸入 2 篡改文件 3 篡改程序 4 操作 5 篡改輸出 6 其他方式2.計算機(jī)信息系統(tǒng)欺詐審計審查輸入系統(tǒng)手工記賬憑證和原始憑證的合法性可以采用傳統(tǒng)方法進(jìn)行檢查應(yīng)用抽樣審計技術(shù)，對機(jī)器記賬憑證和人工記賬憑證進(jìn)行核對，檢查錄入憑證的真實(shí)性測試數(shù)據(jù)完整性分析輸出報告數(shù)據(jù)安全審查查看操作權(quán)限審查程序信息系統(tǒng)方法（1）程序代碼檢查法（2）程序?qū)Ρ确ǎ?）測試數(shù)據(jù)法（4）程序跟蹤法輸出信息系統(tǒng)欺詐審計一般方法：詢問可以觀察敏感數(shù)據(jù)移動的數(shù)據(jù)處理人員檢查計算機(jī)硬件附近的竊聽或無線電發(fā)射器查看電腦系統(tǒng)的使用日志，查看

17、數(shù)據(jù)文件是否被訪問過，是否正常工作檢查無關(guān)或過時的印刷資料是否及時銷毀，暫時不用的磁盤和磁帶上是否有殘留數(shù)據(jù)。聯(lián)系信息系統(tǒng)欺詐審計檢查系統(tǒng)的物理安全，看無關(guān)人員是否可以撤防計算機(jī)系統(tǒng)檢查計算機(jī)硬件配件是否有竊聽或無線電發(fā)射器小心使用殺毒軟件第 9 章 網(wǎng)絡(luò)審計一、網(wǎng)絡(luò)審計的概念(1)從網(wǎng)絡(luò)計算機(jī)審計的角度定義：指通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程計算機(jī)審計，即通過計算機(jī)網(wǎng)絡(luò)對被審計單位的計算機(jī)信息系統(tǒng)進(jìn)行監(jiān)控和訪問，收集審計證據(jù)，執(zhí)行審計任務(wù)。（2）從審計對象看：是指綜合運(yùn)用網(wǎng)絡(luò)及其相關(guān)技術(shù)，對網(wǎng)絡(luò)經(jīng)濟(jì)子網(wǎng)系統(tǒng)進(jìn)行審查的一種新型審計。2. 網(wǎng)絡(luò)審計的要素(1)網(wǎng)絡(luò)審計主體 (2)網(wǎng)絡(luò)審計對象 (3)網(wǎng)絡(luò)審計目標(biāo)

18、 (4)網(wǎng)絡(luò)審計方法與技術(shù) (5)網(wǎng)絡(luò)審計范圍 (6)網(wǎng)絡(luò)審計安全控制3. 借助網(wǎng)絡(luò)進(jìn)行審計（1）借助網(wǎng)絡(luò)開展業(yè)務(wù)（2）借助網(wǎng)絡(luò)開展項目管理和實(shí)施（3）借助網(wǎng)絡(luò)開展多單位、跨時空的作業(yè)4.網(wǎng)絡(luò)系統(tǒng)審計(1) 數(shù)據(jù)通信控制測試 (2) 硬件系統(tǒng)控制測試 (3) 軟件系統(tǒng)控制測試 (4) 數(shù)據(jù)資源控制測試 (5) 系統(tǒng)安全測試5. 審計(1) 業(yè)務(wù)的戰(zhàn)略目標(biāo) (2) 業(yè)務(wù)目標(biāo) (3) 可用性、傳達(dá)的信息和外觀 (4) 功能性、有效性和可靠性 (5) 可擴(kuò)展性、可維護(hù)性審計需要大量的技術(shù)測試，需要工程技術(shù)人員、信息技術(shù)人員、審計人員第十章計算機(jī)審計發(fā)展趨勢一、審計決策支持系統(tǒng)的構(gòu)成審計決策支持系統(tǒng)是一種以支持半結(jié)構(gòu)化決策為特征的計算機(jī)輔助決策支持系統(tǒng)。