會(huì)計(jì)信息系統(tǒng)審計(jì)簡介課件

會(huì)計(jì)信息系統(tǒng)

AccountingInformationSystem

安徽工業(yè)大學(xué)管理學(xué)院1會(huì)計(jì)信息系統(tǒng)

AccountingInformation第十二講 會(huì)計(jì)信息系統(tǒng)審計(jì)

2第十二講 會(huì)計(jì)信息系統(tǒng)審計(jì)2本講主要內(nèi)容會(huì)計(jì)信息系統(tǒng)審計(jì)概述會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容控制符合性測試實(shí)質(zhì)性測試

3本講主要內(nèi)容會(huì)計(jì)信息系統(tǒng)審計(jì)概述31.會(huì)計(jì)信息系統(tǒng)審計(jì)概述為了確保信息系統(tǒng)的有效性和可靠性，必須對系統(tǒng)的運(yùn)作進(jìn)行定期檢查，即執(zhí)行信息系統(tǒng)的審計(jì)，信息系統(tǒng)的審計(jì)又稱為電算化審計(jì)（EDPAuditing），須由EDP審計(jì)師執(zhí)行。信息系統(tǒng)的審計(jì)目標(biāo)與傳統(tǒng)的財(cái)務(wù)審計(jì)目標(biāo)并無根本區(qū)別，大多數(shù)基本的審計(jì)方法、程序亦仍然適用。信息系統(tǒng)的審計(jì)（或EDP審計(jì)），一般可分為三個(gè)階段：審計(jì)規(guī)劃、控制符合性測試和實(shí)質(zhì)性測試。41.會(huì)計(jì)信息系統(tǒng)審計(jì)概述為了確保信息系統(tǒng)的有效性和可靠性，必1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段的一項(xiàng)重要任務(wù)是分析審計(jì)風(fēng)險(xiǎn)。審計(jì)師要確定第二、三階段測試的性質(zhì)和范圍，就必須對審計(jì)的對象有透徹的了解。風(fēng)險(xiǎn)分析包括對企業(yè)信息系統(tǒng)的一般控制和應(yīng)用控制進(jìn)行全面的評估與檢查。在全面檢查企業(yè)信息系統(tǒng)的一般控制進(jìn)時(shí)，審計(jì)師要熟悉企業(yè)的戰(zhàn)略性和操作性政策、經(jīng)營運(yùn)作和組織結(jié)構(gòu)。審計(jì)師還要了解企業(yè)的財(cái)務(wù)與會(huì)計(jì)系統(tǒng)，以及這些系統(tǒng)處理經(jīng)營交易過程中的控制。51.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段的一項(xiàng)重要任務(wù)是分析審計(jì)1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段搜集審計(jì)證據(jù)的辦法包括調(diào)查問卷、面談、審閱系統(tǒng)描繪記錄和實(shí)地觀察。在這個(gè)過程中，EDP審計(jì)師要著重注意可能出問題的環(huán)節(jié)和相關(guān)的控制功能。隨后，EDP審計(jì)師將執(zhí)行第二階段的審計(jì)，即對信息系統(tǒng)的現(xiàn)有控制加以符合性測試（Compliancetests），從而鑒定有關(guān)系統(tǒng)控制的有效性。61.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段搜集審計(jì)證據(jù)的辦法包括調(diào)1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述符合性測試的主要目的是檢查企業(yè)的內(nèi)部控制機(jī)制是否健全。為了達(dá)到這一目的，EDP審計(jì)師需要對信息系統(tǒng)的一般控制和應(yīng)用控制執(zhí)行一系列的測試或檢驗(yàn)。之后，EDP審計(jì)師必須對企業(yè)的內(nèi)部控制的可靠性與效率作出較全面的評估，并且據(jù)以確定下一步對財(cái)務(wù)報(bào)表項(xiàng)目所作實(shí)質(zhì)性測試的性質(zhì)、范圍和時(shí)間。一般地說，如果企業(yè)內(nèi)部控制可靠，運(yùn)作效果良好，審計(jì)師可以相對地增加對內(nèi)部控制的依賴程度，適當(dāng)?shù)販p少對財(cái)務(wù)報(bào)表資料進(jìn)行實(shí)質(zhì)性測試的內(nèi)容、范圍和時(shí)間。71.會(huì)計(jì)信息系統(tǒng)審計(jì)概述符合性測試的主要目的是檢查企業(yè)的內(nèi)部1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述實(shí)質(zhì)性測試（Substantivetests）的重點(diǎn)是對信息系統(tǒng)輸出財(cái)務(wù)報(bào)表資料的檢查，包括查驗(yàn)會(huì)計(jì)賬戶的余額和交易記錄的準(zhǔn)確性和可靠性。實(shí)質(zhì)性測試比較費(fèi)時(shí)費(fèi)力，但實(shí)質(zhì)性測試檢查的性質(zhì)和范圍取決于審計(jì)過程第二階段對企業(yè)內(nèi)部控制的符合性測試的結(jié)果和評估。81.會(huì)計(jì)信息系統(tǒng)審計(jì)概述實(shí)質(zhì)性測試（Substantive1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述控制符合性測試和財(cái)務(wù)報(bào)表項(xiàng)目的實(shí)質(zhì)性測試的目的都是為了盡可能地降低審計(jì)風(fēng)險(xiǎn)，保證審計(jì)結(jié)論的正確性。系統(tǒng)控制的符合性測試著重檢查企業(yè)的內(nèi)部控制機(jī)制。內(nèi)部控制越強(qiáng)，信息系統(tǒng)出現(xiàn)差錯(cuò)的機(jī)率就越小，審計(jì)師可以相應(yīng)地縮小實(shí)質(zhì)性測試的范圍與數(shù)量。反之，內(nèi)部控制越弱，信息系統(tǒng)出問題的機(jī)率就越大，審計(jì)師就必須增加第三階段的實(shí)質(zhì)性測試，以便及時(shí)發(fā)現(xiàn)財(cái)務(wù)資料處理與企業(yè)經(jīng)營方面的潛在問題。91.會(huì)計(jì)信息系統(tǒng)審計(jì)概述控制符合性測試和財(cái)務(wù)報(bào)表項(xiàng)目的實(shí)質(zhì)性2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1控制符合性測試 主要是檢查以下幾方面的控制：操作系統(tǒng)控制資料控制組織結(jié)構(gòu)控制系統(tǒng)開發(fā)控制系統(tǒng)維護(hù)控制計(jì)算機(jī)中心安全控制傳導(dǎo)通訊控制電子資料交換控制微機(jī)控制102.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1控制符合性測試102.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)和周邊環(huán)境緊密關(guān)聯(lián)。為了避免人為的或非人為的毀損破壞，操作必須建立一整套安全防護(hù)措施，以便完成以下目的：防護(hù)操作系統(tǒng)本身不遭受使用者作業(yè)或者應(yīng)用程序的毀損；操作系統(tǒng)要能防止不同使用者之間或應(yīng)用程序之間的相互影響或干擾；112.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)必須具備內(nèi)置防護(hù)控制，防止操作系統(tǒng)各個(gè)模塊的相互竄擾或侵蝕；操作系統(tǒng)要能夠抵御外界環(huán)境因素驟變（如斷電和各種自然災(zāi)害）的威脅。如果企業(yè)的操作系統(tǒng)控制不健全，則無法實(shí)現(xiàn)上述控制目的，并且將影響信息系統(tǒng)的有效運(yùn)作。122.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)審計(jì)的重點(diǎn)在于檢查各項(xiàng)預(yù)先設(shè)計(jì)的安全措施和控制步驟是否嚴(yán)密和有效，是否足以防護(hù)操作系統(tǒng)不受硬件失靈、軟件差錯(cuò)、人為故障和病毒侵蝕等因素的干擾。操作系統(tǒng)的符合性測試著重于檢查企業(yè)的安全控制政策和計(jì)算機(jī)病毒控制技術(shù)。132.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)安全控制政策的有效性可以借助特殊的審計(jì)軟件來測試。審計(jì)師還可以應(yīng)用下列非技術(shù)性測試方法，以便進(jìn)一步取得有關(guān)操作系統(tǒng)控制可靠性的證據(jù)：查閱企業(yè)的有關(guān)政策文件，檢查是否建立操作系統(tǒng)通行口令制度，以及對通行口令的授予和更改程序是否合理適當(dāng)。查閱員工招聘記錄，尤其要檢查對有權(quán)接近和操作信息系統(tǒng)的每位員工是否經(jīng)過嚴(yán)密安全性審查。142.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試查閱員工記錄，確定員工是否均有書面承諾保守企業(yè)資料機(jī)密性的責(zé)任。企業(yè)的保安小組有責(zé)任監(jiān)督和報(bào)告任何違反安全控制政策的行為。審計(jì)師可以抽查企業(yè)的安全控制違規(guī)案例記錄，通過對這些案例處理結(jié)果來評估保安小組的績效。審計(jì)師要查證企業(yè)有關(guān)人員對各種資料和計(jì)算機(jī)程序的使用是否符合適當(dāng)?shù)氖跈?quán)。檢查的辦法包括對比企業(yè)的交易或作業(yè)授權(quán)清單，以及觀察實(shí)際的授權(quán)控制作業(yè)關(guān)況。152.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試控制電腦病毒侵蝕的關(guān)鍵在于嚴(yán)格執(zhí)行企業(yè)關(guān)于防范計(jì)算機(jī)病毒入侵的政策和措施。審計(jì)師要查核這方面的政策是否已經(jīng)建立并得以嚴(yán)格遵循。審計(jì)師可以應(yīng)用下列測試來檢查信息系統(tǒng)的抗病毒控制是否充分有效：查閱企業(yè)是否規(guī)定必須向聲譽(yù)良好的軟件供應(yīng)商購買抗病毒軟件，并檢查核對有關(guān)的購貨單。審查企業(yè)的抗病毒軟件的使用政策。查核與測試安裝于企業(yè)計(jì)算機(jī)系統(tǒng)內(nèi)的各種作業(yè)程序或應(yīng)用程序是否均有適當(dāng)?shù)陌鏅?quán)和經(jīng)過正式授權(quán)批準(zhǔn)。162.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試EDP審計(jì)師測試資料控制的目的是要檢查現(xiàn)有控制措施是否能夠保證資料資源的完整和安全。這主要包括兩方面的測試：資料的后備拷貝是否足以復(fù)原遺失或毀壞的資料；審計(jì)師要檢查是否建立適當(dāng)?shù)暮髠淇截悾欠駜Υ嬖诎踩牡攸c(diǎn)，以及是否配置可靠的措施防范因各種自然災(zāi)害或人為故障而造成的損失。172.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試對資料庫的存取接近是否嚴(yán)格于已授權(quán)的作業(yè)的需要。資料庫的存取接近控制至關(guān)重要。審計(jì)師要查核既定系統(tǒng)是否有著嚴(yán)格的授權(quán)控制，以及授權(quán)是否妥當(dāng)。也就是說，即使授權(quán)的系統(tǒng)操作人員和使用者，亦只能由于特定的交易作業(yè)需要而接近存取特定的資料庫資料。182.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試測試組織結(jié)構(gòu)控制主要是為了檢查系統(tǒng)內(nèi)部職能分割的合理性。審計(jì)師必須查核不相容的職能是否均有嚴(yán)格的分割，以及職能劃分是否在實(shí)際作業(yè)中得以認(rèn)真執(zhí)行。具體測試可包括以下幾方面：審閱企業(yè)的組織結(jié)構(gòu)文件。審計(jì)師要查閱有關(guān)的文件，如現(xiàn)行組織結(jié)構(gòu)圖、企業(yè)經(jīng)營策略與目標(biāo)，以及作業(yè)手冊和重要職能說明，鑒別信息系統(tǒng)內(nèi)部主要的職能是否明確分割。192.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試檢查系統(tǒng)描述記錄。審計(jì)師必須抽樣檢查信息系統(tǒng)的維護(hù)記錄，以便確定負(fù)責(zé)系統(tǒng)維護(hù)的程序師不是原先的系統(tǒng)程序設(shè)計(jì)師（系統(tǒng)設(shè)計(jì)和維護(hù)職能分割）。行為觀察。審計(jì)師可以通過實(shí)地觀察，確定各項(xiàng)關(guān)鍵職能工作是否由不同的員工擔(dān)任，以及職能分割控制的實(shí)際作業(yè)程序。202.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試EDP審計(jì)師測試系統(tǒng)開發(fā)控制的目的是：系統(tǒng)開發(fā)的各個(gè)階段是否都已嚴(yán)格地執(zhí)行企業(yè)的有關(guān)政策和規(guī)則；系統(tǒng)投入使用后有無發(fā)現(xiàn)重大操作問題或舞弊行為；系統(tǒng)開發(fā)各階段的報(bào)告是否均獲取使用者和高層主管的認(rèn)可與簽署審批；系統(tǒng)文件記錄是否準(zhǔn)確完整，便于審計(jì)和系統(tǒng)維護(hù)。212.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試系統(tǒng)開發(fā)控制的測試側(cè)重于下述兩方面：檢查系統(tǒng)開發(fā)過程是否有內(nèi)部審計(jì)師的長期與經(jīng)常性參與。企業(yè)的內(nèi)部審計(jì)人員應(yīng)當(dāng)參與系統(tǒng)的開發(fā)作業(yè)，并在每個(gè)開發(fā)階段結(jié)束時(shí)作出審查評估，確定各項(xiàng)系統(tǒng)開發(fā)作業(yè)是否完全遵循既定的政策與規(guī)劃。內(nèi)部審計(jì)有助于盡快地發(fā)現(xiàn)與糾正系統(tǒng)開發(fā)中的失誤與弊端。檢查整個(gè)系統(tǒng)開發(fā)周期的文件記錄。審計(jì)師可以抽查一部分已完成的系統(tǒng)開發(fā)文件記錄，驗(yàn)證開發(fā)作業(yè)是否符合的政策與規(guī)劃。222.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試EDP審計(jì)師測試系統(tǒng)維護(hù)的目的在于檢查是否存在未經(jīng)授權(quán)擅自修訂或更改系統(tǒng)的問題。審計(jì)師必須檢查與確定下列各事項(xiàng)：系統(tǒng)維護(hù)的政策與規(guī)則能否保證應(yīng)用程序不受非法竄改；各項(xiàng)應(yīng)用程序不存在重大差錯(cuò)；對程序資料庫的存取接近均有經(jīng)過嚴(yán)格的審批和登記程序。232.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試232.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試為了檢查是否存對應(yīng)用程序的未經(jīng)授權(quán)的竄改，審計(jì)師可執(zhí)行下列的測試：核對應(yīng)用程序的版本。審查系統(tǒng)維護(hù)的審批手續(xù)。242.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試242.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試為了檢查應(yīng)用程序中是否存在重大差錯(cuò)，審計(jì)師可執(zhí)行以下幾方面的測試：核對程序編碼。檢查維護(hù)作業(yè)測試結(jié)果記錄。重新測試應(yīng)有程序。252.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試252.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試建立程序資料庫及其存取接近控制是避免差錯(cuò)和防止計(jì)算機(jī)系統(tǒng)舞弊的重要環(huán)節(jié)。程序資料庫集中管理系統(tǒng)內(nèi)部的各項(xiàng)操作和應(yīng)用程序，只有程序管理員有權(quán)接近程序，存取需要加維護(hù)的程序。系統(tǒng)維護(hù)的程序編寫人員只能通過程序管理員調(diào)出和繳回所需維護(hù)和測試的計(jì)算機(jī)系統(tǒng)程序，他們不能直接接近程序資料庫。審計(jì)師可以抽查系統(tǒng)維護(hù)與調(diào)試記錄，確定是否與程序資料庫的程序存取記錄相符合。262.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試262.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.6計(jì)算機(jī)中心的安全測試EDP審計(jì)師測試計(jì)算機(jī)中心安全的目的是要評估計(jì)算機(jī)中心安全控制的健全和有效性。具體內(nèi)容包括：評估實(shí)體安全措施是否足以保護(hù)計(jì)算機(jī)中心的安全；審查對企業(yè)購買的保險(xiǎn)金額是否足以賠償計(jì)算機(jī)中心可能遭受的損失；操作作業(yè)手冊和文件記錄能否確保計(jì)算機(jī)中心的正常運(yùn)作和有效處理系統(tǒng)故障；計(jì)算機(jī)中心的災(zāi)情恢復(fù)計(jì)劃是否可行。272.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.6計(jì)算機(jī)中心的安全測試2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試EDP審計(jì)師測試通訊傳導(dǎo)控制的目的是要確定資料傳導(dǎo)渠道或媒體的安全與完整。傳導(dǎo)渠道的有效控制包括：有效偵察與恢復(fù)因設(shè)備故障引起的傳送資料遺失；防范對通訊線路的非法竄入者竊取的資料。282.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試資料通訊傳導(dǎo)的控制測試包括：從作業(yè)記錄中抽樣檢查是否因?yàn)橥ㄓ嵕€路擁擠造成被傳送資料的內(nèi)容失真；檢查資料傳送的作業(yè)記錄，確定是否所有的資料均按既定的順序接收與發(fā)送；檢查關(guān)于資料編碼的安全措施；確定各種敏感資料，如通行口令等到是否經(jīng)過適當(dāng)?shù)木幋a保護(hù)。292.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試審計(jì)電子資料交換控制系統(tǒng)的目的是要確定：所有的電子資料交換均遵循既定政策，并且經(jīng)過適當(dāng)?shù)氖跈?quán)；未經(jīng)事先授權(quán)的外部企業(yè)或個(gè)人一概不得接近交易資料庫；經(jīng)授權(quán)的外部企業(yè)（商業(yè)伙伴）只能存取與往來交易相關(guān)的特定資料；所有的電子資料交換都要保留審計(jì)脈絡(luò)302.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試電子資料交換控制的測試主要有以下三種：授權(quán)控制的測試。審計(jì)師要審核商業(yè)伙伴進(jìn)出本企業(yè)資料庫的使用者身份碼均已事先經(jīng)過審批生效。312.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試存取資料控制的測試。是否只有經(jīng)授權(quán)的人員才能接近存取供應(yīng)商和客戶資料檔；有關(guān)通行口令和授權(quán)清單是否都經(jīng)過編碼保護(hù)處理；商業(yè)伙伴接近本企業(yè)資料庫存取資料是否限制于合同規(guī)定的范圍之內(nèi)；檢查本企業(yè)交易資料庫是否可能被非授權(quán)人士非法竄入。322.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試審計(jì)脈絡(luò)控制的測試必須審查電子資料交換的全部過程是否都有作業(yè)記錄。審計(jì)師可以從作業(yè)記錄中抽樣檢查關(guān)鍵資料的記錄是否準(zhǔn)確無誤。332.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試EDP審計(jì)師對微機(jī)控制的測試主要檢查以下四個(gè)方面：是否存在明確有效的監(jiān)督管理和規(guī)章制度，以保證使用者、程序設(shè)計(jì)師和操作人員之間適當(dāng)?shù)穆毮芊指睿?42.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試342.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試是否只有經(jīng)授權(quán)的人員才能使用企業(yè)的微機(jī)存取資料或接近程序檔案；是否存在完善的后備恢復(fù)措施，以防范因計(jì)算機(jī)故障引起的資料消失或者程序失靈；是否建立嚴(yán)格措施，以保證外部購入的應(yīng)用程序的性能、質(zhì)量和妥善維護(hù)。352.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試352.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2.10測試應(yīng)用程序的控制系統(tǒng)控制測試包括一般控制測試和應(yīng)用程序控制測試兩個(gè)部分。應(yīng)用程序控制測試通常有兩種方法：黑箱（繞過計(jì)算機(jī)）法[Blackbox(Aroundthecomputerapproach)]白箱（穿過計(jì)算機(jī)）法[Whitebox(Throughthecomputerapproach]。362.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2.10測試應(yīng)用程序的控制2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試所謂黑箱法是指審計(jì)師在審計(jì)時(shí)對計(jì)算機(jī)系統(tǒng)不心詳細(xì)了解，只需要通過對系統(tǒng)流程圖的分析以及與系統(tǒng)有關(guān)人員的面談，了解企業(yè)信息系統(tǒng)的特點(diǎn)功能。一旦了解了信息系統(tǒng)的結(jié)構(gòu)與功能，審計(jì)師可以直接分析比較信息系統(tǒng)的輸入和系統(tǒng)處理后的輸出結(jié)果，從而判斷系統(tǒng)和有關(guān)的應(yīng)用程序是否運(yùn)作良好，達(dá)到系統(tǒng)的預(yù)期目的。由于在采用黑箱法時(shí)，審計(jì)師并未檢查系統(tǒng)內(nèi)部的實(shí)際作業(yè)過程，故又被稱為“繞過計(jì)算機(jī)審計(jì)法”。372.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試372.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試黑箱法的優(yōu)點(diǎn)是直接測試資料輸入與輸出結(jié)果，不會(huì)影響系統(tǒng)的正常運(yùn)作，尤其適用于對簡單應(yīng)用程序的測試。但是，這一方法不適用于對容量龐大而且功能復(fù)雜的應(yīng)用程序的審計(jì)。382.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試382.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容白箱法測試白箱法審計(jì)不僅要求對系統(tǒng)的內(nèi)在邏輯具有深刻的了解，而且必須對系統(tǒng)的內(nèi)在邏輯功能加以直接測試。主要測試技術(shù)包括以下五種：測試資料法（Testdatamethod)基本案例系統(tǒng)評估（Basecasesystemevaluation)追溯查驗(yàn)法（Tracingmethod）整合測試設(shè)施法（Integratedtestfacilityapproach）平行模擬法（Parallelsimulationtechnique）392.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容白箱法測試392.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容測試資料法測試資料法把預(yù)選編排的資料輸入到需要測試的應(yīng)用程序加以處理，以檢查該程序的完整可靠性。審計(jì)師把處理后的輸出結(jié)果和預(yù)先計(jì)算的結(jié)果加以對比分析，從而對系統(tǒng)的邏輯和控制效果作出客觀的評估。它的重要環(huán)節(jié)之一是編輯測試資料。審計(jì)師可利用企業(yè)在系統(tǒng)開發(fā)過程中設(shè)計(jì)的測試資料。但如果應(yīng)用程序在系統(tǒng)實(shí)施后憶發(fā)生過變動(dòng)，則審計(jì)師要編排補(bǔ)充性測試資料，側(cè)重于測試系統(tǒng)應(yīng)用程序中的已修改部分。402.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容測試資料法402.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容基本案例系統(tǒng)評估測試資料法可能有多種變形。如果用于測試的資料內(nèi)容廣泛，面面俱到，涵蓋幾乎所有可能發(fā)生的交易類型，則可稱之為基本案例系統(tǒng)評估法。412.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容基本案例系統(tǒng)評估412.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容追溯查驗(yàn)法追溯查驗(yàn)法是測試資料法的另一種變形。追溯查驗(yàn)法對系統(tǒng)應(yīng)用程序的內(nèi)在邏輯關(guān)系執(zhí)行追溯性測試，其步驟有三：對需審計(jì)的應(yīng)用程序進(jìn)行特殊編輯處理，以產(chǎn)生可能追溯查驗(yàn)的蹤跡；設(shè)計(jì)一種或者數(shù)種特殊交易類型作為測試資料；追溯測試資料經(jīng)過應(yīng)用程序各個(gè)處理階段的蹤跡，列出測試過程中應(yīng)用程序發(fā)出的全部算是指令，供查驗(yàn)其內(nèi)在邏輯運(yùn)算關(guān)系的正確性。422.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容追溯查驗(yàn)法422.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容整合測試設(shè)施法整合測試設(shè)施法是審計(jì)師可以在客戶系統(tǒng)正常運(yùn)作的同時(shí)自動(dòng)直接測試系統(tǒng)的邏輯運(yùn)算與控制的一種方法。通常整合測試設(shè)施在系統(tǒng)開發(fā)時(shí)就作為一個(gè)模塊或模塊組內(nèi)置于系統(tǒng)的應(yīng)用程序之中，在整合測試設(shè)施的資料庫里，真實(shí)的交易記錄和“模擬”或測試主檔用的記錄同時(shí)存在。有些企業(yè)的信息系統(tǒng)中可能另設(shè)一個(gè)虛擬交易檔用以存放測試交易的結(jié)果。在系統(tǒng)的日常運(yùn)作之時(shí)，測試交易和正常交易將匯集在一起輸入系統(tǒng)處理。432.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容整合測試設(shè)施法432.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容平行模擬法平行模擬法要求審計(jì)師模擬客戶信息系統(tǒng)應(yīng)用程序的特點(diǎn)、性能編寫自己的測試程序，然后用模擬程序處理由客戶應(yīng)用程序處理過的交易資料。模擬程序的輸出結(jié)果可以用來和客戶應(yīng)用程序的處理結(jié)果相比較，從而對客戶系統(tǒng)應(yīng)用程序的可靠性作出評估。審計(jì)師在核對測試結(jié)果和實(shí)際結(jié)果時(shí)必須謹(jǐn)慎，因?yàn)閷?dǎo)致對比結(jié)果不同的原因可能有兩方面：一是客戶的應(yīng)用程序的確存在缺陷，二是模擬程序過于粗糙、簡單導(dǎo)致差錯(cuò)，而并非客戶應(yīng)用程序存在問題。所以審計(jì)師必須認(rèn)真分析，方可得出正確的結(jié)論。442.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容平行模擬法442.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2實(shí)質(zhì)性測試大部分的審計(jì)檢查是在實(shí)質(zhì)性測試階段執(zhí)行的。實(shí)質(zhì)性測試是用來證實(shí)財(cái)務(wù)報(bào)表項(xiàng)目的賬戶確實(shí)存在和準(zhǔn)確無誤。測試前，審計(jì)師要向客戶索取相應(yīng)的資料，然后抽取樣本執(zhí)行實(shí)質(zhì)性測試。測試方法主要有兩種：嵌入審計(jì)模塊法通用審計(jì)軟件法452.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2實(shí)質(zhì)性測試452.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容嵌入審計(jì)模塊法運(yùn)用嵌入客戶計(jì)算機(jī)系統(tǒng)內(nèi)的特殊程序模塊挑選和記錄預(yù)定的交易類型，以便于實(shí)質(zhì)性測試。兩個(gè)缺點(diǎn)：一是可能降低客戶信息系統(tǒng)的作業(yè)效率，可采用控制使嵌入的模塊“可開可關(guān)”，以減輕系統(tǒng)的額外負(fù)荷；二是如果客戶的系統(tǒng)需要經(jīng)常維護(hù)，嵌入的審計(jì)模塊也必須隨之不時(shí)地更改，從而將影響審計(jì)模塊的可靠性，降低實(shí)質(zhì)性測試的質(zhì)量。462.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容嵌入審計(jì)模塊法462.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容通用審計(jì)軟件法通用審計(jì)軟件法是EDP審計(jì)時(shí)最常用的方法。許多大型會(huì)計(jì)事務(wù)所都開發(fā)出自已的通用審計(jì)軟件，性能各異。472.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容通用審計(jì)軟件法472.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容一般而言，通用審計(jì)軟件可用來執(zhí)行下列審計(jì)作業(yè)：計(jì)算整個(gè)資料檔或指定資料的加總與結(jié)余；選取報(bào)告檔里的詳細(xì)資料；從資料檔記錄中分層次抽取樣本以便查驗(yàn)；把測試結(jié)果匯編成特定格式的報(bào)表；打印標(biāo)準(zhǔn)或特制的往來賬戶確證函；查閱資料記錄，按既定標(biāo)準(zhǔn)調(diào)取或剔除某記錄項(xiàng)目；對比不同資料檔，發(fā)現(xiàn)差異；重新排開資料欄目。482.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容一般而言，通用審計(jì)軟件可用來執(zhí)會(huì)計(jì)信息系統(tǒng)

AccountingInformationSystem

安徽工業(yè)大學(xué)管理學(xué)院49會(huì)計(jì)信息系統(tǒng)

AccountingInformation第十二講 會(huì)計(jì)信息系統(tǒng)審計(jì)

50第十二講 會(huì)計(jì)信息系統(tǒng)審計(jì)2本講主要內(nèi)容會(huì)計(jì)信息系統(tǒng)審計(jì)概述會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容控制符合性測試實(shí)質(zhì)性測試

51本講主要內(nèi)容會(huì)計(jì)信息系統(tǒng)審計(jì)概述31.會(huì)計(jì)信息系統(tǒng)審計(jì)概述為了確保信息系統(tǒng)的有效性和可靠性，必須對系統(tǒng)的運(yùn)作進(jìn)行定期檢查，即執(zhí)行信息系統(tǒng)的審計(jì)，信息系統(tǒng)的審計(jì)又稱為電算化審計(jì)（EDPAuditing），須由EDP審計(jì)師執(zhí)行。信息系統(tǒng)的審計(jì)目標(biāo)與傳統(tǒng)的財(cái)務(wù)審計(jì)目標(biāo)并無根本區(qū)別，大多數(shù)基本的審計(jì)方法、程序亦仍然適用。信息系統(tǒng)的審計(jì)（或EDP審計(jì)），一般可分為三個(gè)階段：審計(jì)規(guī)劃、控制符合性測試和實(shí)質(zhì)性測試。521.會(huì)計(jì)信息系統(tǒng)審計(jì)概述為了確保信息系統(tǒng)的有效性和可靠性，必1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段的一項(xiàng)重要任務(wù)是分析審計(jì)風(fēng)險(xiǎn)。審計(jì)師要確定第二、三階段測試的性質(zhì)和范圍，就必須對審計(jì)的對象有透徹的了解。風(fēng)險(xiǎn)分析包括對企業(yè)信息系統(tǒng)的一般控制和應(yīng)用控制進(jìn)行全面的評估與檢查。在全面檢查企業(yè)信息系統(tǒng)的一般控制進(jìn)時(shí)，審計(jì)師要熟悉企業(yè)的戰(zhàn)略性和操作性政策、經(jīng)營運(yùn)作和組織結(jié)構(gòu)。審計(jì)師還要了解企業(yè)的財(cái)務(wù)與會(huì)計(jì)系統(tǒng)，以及這些系統(tǒng)處理經(jīng)營交易過程中的控制。531.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段的一項(xiàng)重要任務(wù)是分析審計(jì)1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段搜集審計(jì)證據(jù)的辦法包括調(diào)查問卷、面談、審閱系統(tǒng)描繪記錄和實(shí)地觀察。在這個(gè)過程中，EDP審計(jì)師要著重注意可能出問題的環(huán)節(jié)和相關(guān)的控制功能。隨后，EDP審計(jì)師將執(zhí)行第二階段的審計(jì)，即對信息系統(tǒng)的現(xiàn)有控制加以符合性測試（Compliancetests），從而鑒定有關(guān)系統(tǒng)控制的有效性。541.會(huì)計(jì)信息系統(tǒng)審計(jì)概述審計(jì)規(guī)劃階段搜集審計(jì)證據(jù)的辦法包括調(diào)1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述符合性測試的主要目的是檢查企業(yè)的內(nèi)部控制機(jī)制是否健全。為了達(dá)到這一目的，EDP審計(jì)師需要對信息系統(tǒng)的一般控制和應(yīng)用控制執(zhí)行一系列的測試或檢驗(yàn)。之后，EDP審計(jì)師必須對企業(yè)的內(nèi)部控制的可靠性與效率作出較全面的評估，并且據(jù)以確定下一步對財(cái)務(wù)報(bào)表項(xiàng)目所作實(shí)質(zhì)性測試的性質(zhì)、范圍和時(shí)間。一般地說，如果企業(yè)內(nèi)部控制可靠，運(yùn)作效果良好，審計(jì)師可以相對地增加對內(nèi)部控制的依賴程度，適當(dāng)?shù)販p少對財(cái)務(wù)報(bào)表資料進(jìn)行實(shí)質(zhì)性測試的內(nèi)容、范圍和時(shí)間。551.會(huì)計(jì)信息系統(tǒng)審計(jì)概述符合性測試的主要目的是檢查企業(yè)的內(nèi)部1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述實(shí)質(zhì)性測試（Substantivetests）的重點(diǎn)是對信息系統(tǒng)輸出財(cái)務(wù)報(bào)表資料的檢查，包括查驗(yàn)會(huì)計(jì)賬戶的余額和交易記錄的準(zhǔn)確性和可靠性。實(shí)質(zhì)性測試比較費(fèi)時(shí)費(fèi)力，但實(shí)質(zhì)性測試檢查的性質(zhì)和范圍取決于審計(jì)過程第二階段對企業(yè)內(nèi)部控制的符合性測試的結(jié)果和評估。561.會(huì)計(jì)信息系統(tǒng)審計(jì)概述實(shí)質(zhì)性測試（Substantive1.會(huì)計(jì)信息系統(tǒng)審計(jì)概述控制符合性測試和財(cái)務(wù)報(bào)表項(xiàng)目的實(shí)質(zhì)性測試的目的都是為了盡可能地降低審計(jì)風(fēng)險(xiǎn)，保證審計(jì)結(jié)論的正確性。系統(tǒng)控制的符合性測試著重檢查企業(yè)的內(nèi)部控制機(jī)制。內(nèi)部控制越強(qiáng)，信息系統(tǒng)出現(xiàn)差錯(cuò)的機(jī)率就越小，審計(jì)師可以相應(yīng)地縮小實(shí)質(zhì)性測試的范圍與數(shù)量。反之，內(nèi)部控制越弱，信息系統(tǒng)出問題的機(jī)率就越大，審計(jì)師就必須增加第三階段的實(shí)質(zhì)性測試，以便及時(shí)發(fā)現(xiàn)財(cái)務(wù)資料處理與企業(yè)經(jīng)營方面的潛在問題。571.會(huì)計(jì)信息系統(tǒng)審計(jì)概述控制符合性測試和財(cái)務(wù)報(bào)表項(xiàng)目的實(shí)質(zhì)性2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1控制符合性測試 主要是檢查以下幾方面的控制：操作系統(tǒng)控制資料控制組織結(jié)構(gòu)控制系統(tǒng)開發(fā)控制系統(tǒng)維護(hù)控制計(jì)算機(jī)中心安全控制傳導(dǎo)通訊控制電子資料交換控制微機(jī)控制582.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1控制符合性測試102.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)和周邊環(huán)境緊密關(guān)聯(lián)。為了避免人為的或非人為的毀損破壞，操作必須建立一整套安全防護(hù)措施，以便完成以下目的：防護(hù)操作系統(tǒng)本身不遭受使用者作業(yè)或者應(yīng)用程序的毀損；操作系統(tǒng)要能防止不同使用者之間或應(yīng)用程序之間的相互影響或干擾；592.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)必須具備內(nèi)置防護(hù)控制，防止操作系統(tǒng)各個(gè)模塊的相互竄擾或侵蝕；操作系統(tǒng)要能夠抵御外界環(huán)境因素驟變（如斷電和各種自然災(zāi)害）的威脅。如果企業(yè)的操作系統(tǒng)控制不健全，則無法實(shí)現(xiàn)上述控制目的，并且將影響信息系統(tǒng)的有效運(yùn)作。602.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)審計(jì)的重點(diǎn)在于檢查各項(xiàng)預(yù)先設(shè)計(jì)的安全措施和控制步驟是否嚴(yán)密和有效，是否足以防護(hù)操作系統(tǒng)不受硬件失靈、軟件差錯(cuò)、人為故障和病毒侵蝕等因素的干擾。操作系統(tǒng)的符合性測試著重于檢查企業(yè)的安全控制政策和計(jì)算機(jī)病毒控制技術(shù)。612.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試操作系統(tǒng)安全控制政策的有效性可以借助特殊的審計(jì)軟件來測試。審計(jì)師還可以應(yīng)用下列非技術(shù)性測試方法，以便進(jìn)一步取得有關(guān)操作系統(tǒng)控制可靠性的證據(jù)：查閱企業(yè)的有關(guān)政策文件，檢查是否建立操作系統(tǒng)通行口令制度，以及對通行口令的授予和更改程序是否合理適當(dāng)。查閱員工招聘記錄，尤其要檢查對有權(quán)接近和操作信息系統(tǒng)的每位員工是否經(jīng)過嚴(yán)密安全性審查。622.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試查閱員工記錄，確定員工是否均有書面承諾保守企業(yè)資料機(jī)密性的責(zé)任。企業(yè)的保安小組有責(zé)任監(jiān)督和報(bào)告任何違反安全控制政策的行為。審計(jì)師可以抽查企業(yè)的安全控制違規(guī)案例記錄，通過對這些案例處理結(jié)果來評估保安小組的績效。審計(jì)師要查證企業(yè)有關(guān)人員對各種資料和計(jì)算機(jī)程序的使用是否符合適當(dāng)?shù)氖跈?quán)。檢查的辦法包括對比企業(yè)的交易或作業(yè)授權(quán)清單，以及觀察實(shí)際的授權(quán)控制作業(yè)關(guān)況。632.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試控制電腦病毒侵蝕的關(guān)鍵在于嚴(yán)格執(zhí)行企業(yè)關(guān)于防范計(jì)算機(jī)病毒入侵的政策和措施。審計(jì)師要查核這方面的政策是否已經(jīng)建立并得以嚴(yán)格遵循。審計(jì)師可以應(yīng)用下列測試來檢查信息系統(tǒng)的抗病毒控制是否充分有效：查閱企業(yè)是否規(guī)定必須向聲譽(yù)良好的軟件供應(yīng)商購買抗病毒軟件，并檢查核對有關(guān)的購貨單。審查企業(yè)的抗病毒軟件的使用政策。查核與測試安裝于企業(yè)計(jì)算機(jī)系統(tǒng)內(nèi)的各種作業(yè)程序或應(yīng)用程序是否均有適當(dāng)?shù)陌鏅?quán)和經(jīng)過正式授權(quán)批準(zhǔn)。642.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.1操作系統(tǒng)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試EDP審計(jì)師測試資料控制的目的是要檢查現(xiàn)有控制措施是否能夠保證資料資源的完整和安全。這主要包括兩方面的測試：資料的后備拷貝是否足以復(fù)原遺失或毀壞的資料；審計(jì)師要檢查是否建立適當(dāng)?shù)暮髠淇截?，是否儲存在安全的地點(diǎn)，以及是否配置可靠的措施防范因各種自然災(zāi)害或人為故障而造成的損失。652.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試對資料庫的存取接近是否嚴(yán)格于已授權(quán)的作業(yè)的需要。資料庫的存取接近控制至關(guān)重要。審計(jì)師要查核既定系統(tǒng)是否有著嚴(yán)格的授權(quán)控制，以及授權(quán)是否妥當(dāng)。也就是說，即使授權(quán)的系統(tǒng)操作人員和使用者，亦只能由于特定的交易作業(yè)需要而接近存取特定的資料庫資料。662.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.2資料資源控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試測試組織結(jié)構(gòu)控制主要是為了檢查系統(tǒng)內(nèi)部職能分割的合理性。審計(jì)師必須查核不相容的職能是否均有嚴(yán)格的分割，以及職能劃分是否在實(shí)際作業(yè)中得以認(rèn)真執(zhí)行。具體測試可包括以下幾方面：審閱企業(yè)的組織結(jié)構(gòu)文件。審計(jì)師要查閱有關(guān)的文件，如現(xiàn)行組織結(jié)構(gòu)圖、企業(yè)經(jīng)營策略與目標(biāo)，以及作業(yè)手冊和重要職能說明，鑒別信息系統(tǒng)內(nèi)部主要的職能是否明確分割。672.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試12.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試檢查系統(tǒng)描述記錄。審計(jì)師必須抽樣檢查信息系統(tǒng)的維護(hù)記錄，以便確定負(fù)責(zé)系統(tǒng)維護(hù)的程序師不是原先的系統(tǒng)程序設(shè)計(jì)師（系統(tǒng)設(shè)計(jì)和維護(hù)職能分割）。行為觀察。審計(jì)師可以通過實(shí)地觀察，確定各項(xiàng)關(guān)鍵職能工作是否由不同的員工擔(dān)任，以及職能分割控制的實(shí)際作業(yè)程序。682.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.3組織結(jié)構(gòu)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試EDP審計(jì)師測試系統(tǒng)開發(fā)控制的目的是：系統(tǒng)開發(fā)的各個(gè)階段是否都已嚴(yán)格地執(zhí)行企業(yè)的有關(guān)政策和規(guī)則；系統(tǒng)投入使用后有無發(fā)現(xiàn)重大操作問題或舞弊行為；系統(tǒng)開發(fā)各階段的報(bào)告是否均獲取使用者和高層主管的認(rèn)可與簽署審批；系統(tǒng)文件記錄是否準(zhǔn)確完整，便于審計(jì)和系統(tǒng)維護(hù)。692.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試系統(tǒng)開發(fā)控制的測試側(cè)重于下述兩方面：檢查系統(tǒng)開發(fā)過程是否有內(nèi)部審計(jì)師的長期與經(jīng)常性參與。企業(yè)的內(nèi)部審計(jì)人員應(yīng)當(dāng)參與系統(tǒng)的開發(fā)作業(yè)，并在每個(gè)開發(fā)階段結(jié)束時(shí)作出審查評估，確定各項(xiàng)系統(tǒng)開發(fā)作業(yè)是否完全遵循既定的政策與規(guī)劃。內(nèi)部審計(jì)有助于盡快地發(fā)現(xiàn)與糾正系統(tǒng)開發(fā)中的失誤與弊端。檢查整個(gè)系統(tǒng)開發(fā)周期的文件記錄。審計(jì)師可以抽查一部分已完成的系統(tǒng)開發(fā)文件記錄，驗(yàn)證開發(fā)作業(yè)是否符合的政策與規(guī)劃。702.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.4系統(tǒng)開發(fā)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試EDP審計(jì)師測試系統(tǒng)維護(hù)的目的在于檢查是否存在未經(jīng)授權(quán)擅自修訂或更改系統(tǒng)的問題。審計(jì)師必須檢查與確定下列各事項(xiàng)：系統(tǒng)維護(hù)的政策與規(guī)則能否保證應(yīng)用程序不受非法竄改；各項(xiàng)應(yīng)用程序不存在重大差錯(cuò)；對程序資料庫的存取接近均有經(jīng)過嚴(yán)格的審批和登記程序。712.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試232.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試為了檢查是否存對應(yīng)用程序的未經(jīng)授權(quán)的竄改，審計(jì)師可執(zhí)行下列的測試：核對應(yīng)用程序的版本。審查系統(tǒng)維護(hù)的審批手續(xù)。722.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試242.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試為了檢查應(yīng)用程序中是否存在重大差錯(cuò)，審計(jì)師可執(zhí)行以下幾方面的測試：核對程序編碼。檢查維護(hù)作業(yè)測試結(jié)果記錄。重新測試應(yīng)有程序。732.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試252.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試建立程序資料庫及其存取接近控制是避免差錯(cuò)和防止計(jì)算機(jī)系統(tǒng)舞弊的重要環(huán)節(jié)。程序資料庫集中管理系統(tǒng)內(nèi)部的各項(xiàng)操作和應(yīng)用程序，只有程序管理員有權(quán)接近程序，存取需要加維護(hù)的程序。系統(tǒng)維護(hù)的程序編寫人員只能通過程序管理員調(diào)出和繳回所需維護(hù)和測試的計(jì)算機(jī)系統(tǒng)程序，他們不能直接接近程序資料庫。審計(jì)師可以抽查系統(tǒng)維護(hù)與調(diào)試記錄，確定是否與程序資料庫的程序存取記錄相符合。742.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.5系統(tǒng)維護(hù)控制測試262.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.6計(jì)算機(jī)中心的安全測試EDP審計(jì)師測試計(jì)算機(jī)中心安全的目的是要評估計(jì)算機(jī)中心安全控制的健全和有效性。具體內(nèi)容包括：評估實(shí)體安全措施是否足以保護(hù)計(jì)算機(jī)中心的安全；審查對企業(yè)購買的保險(xiǎn)金額是否足以賠償計(jì)算機(jī)中心可能遭受的損失；操作作業(yè)手冊和文件記錄能否確保計(jì)算機(jī)中心的正常運(yùn)作和有效處理系統(tǒng)故障；計(jì)算機(jī)中心的災(zāi)情恢復(fù)計(jì)劃是否可行。752.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.6計(jì)算機(jī)中心的安全測試2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試EDP審計(jì)師測試通訊傳導(dǎo)控制的目的是要確定資料傳導(dǎo)渠道或媒體的安全與完整。傳導(dǎo)渠道的有效控制包括：有效偵察與恢復(fù)因設(shè)備故障引起的傳送資料遺失；防范對通訊線路的非法竄入者竊取的資料。762.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試資料通訊傳導(dǎo)的控制測試包括：從作業(yè)記錄中抽樣檢查是否因?yàn)橥ㄓ嵕€路擁擠造成被傳送資料的內(nèi)容失真；檢查資料傳送的作業(yè)記錄，確定是否所有的資料均按既定的順序接收與發(fā)送；檢查關(guān)于資料編碼的安全措施；確定各種敏感資料，如通行口令等到是否經(jīng)過適當(dāng)?shù)木幋a保護(hù)。772.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.7通訊傳導(dǎo)控制的測試22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試審計(jì)電子資料交換控制系統(tǒng)的目的是要確定：所有的電子資料交換均遵循既定政策，并且經(jīng)過適當(dāng)?shù)氖跈?quán)；未經(jīng)事先授權(quán)的外部企業(yè)或個(gè)人一概不得接近交易資料庫；經(jīng)授權(quán)的外部企業(yè)（商業(yè)伙伴）只能存取與往來交易相關(guān)的特定資料；所有的電子資料交換都要保留審計(jì)脈絡(luò)782.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試電子資料交換控制的測試主要有以下三種：授權(quán)控制的測試。審計(jì)師要審核商業(yè)伙伴進(jìn)出本企業(yè)資料庫的使用者身份碼均已事先經(jīng)過審批生效。792.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試存取資料控制的測試。是否只有經(jīng)授權(quán)的人員才能接近存取供應(yīng)商和客戶資料檔；有關(guān)通行口令和授權(quán)清單是否都經(jīng)過編碼保護(hù)處理；商業(yè)伙伴接近本企業(yè)資料庫存取資料是否限制于合同規(guī)定的范圍之內(nèi)；檢查本企業(yè)交易資料庫是否可能被非授權(quán)人士非法竄入。802.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測試審計(jì)脈絡(luò)控制的測試必須審查電子資料交換的全部過程是否都有作業(yè)記錄。審計(jì)師可以從作業(yè)記錄中抽樣檢查關(guān)鍵資料的記錄是否準(zhǔn)確無誤。812.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.8電子資料交換控制的測2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試EDP審計(jì)師對微機(jī)控制的測試主要檢查以下四個(gè)方面：是否存在明確有效的監(jiān)督管理和規(guī)章制度，以保證使用者、程序設(shè)計(jì)師和操作人員之間適當(dāng)?shù)穆毮芊指睿?22.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試342.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試是否只有經(jīng)授權(quán)的人員才能使用企業(yè)的微機(jī)存取資料或接近程序檔案；是否存在完善的后備恢復(fù)措施，以防范因計(jì)算機(jī)故障引起的資料消失或者程序失靈；是否建立嚴(yán)格措施，以保證外部購入的應(yīng)用程序的性能、質(zhì)量和妥善維護(hù)。832.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.1.9微機(jī)控制的測試352.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2.10測試應(yīng)用程序的控制系統(tǒng)控制測試包括一般控制測試和應(yīng)用程序控制測試兩個(gè)部分。應(yīng)用程序控制測試通常有兩種方法：黑箱（繞過計(jì)算機(jī)）法[Blackbox(Aroundthecomputerapproach)]白箱（穿過計(jì)算機(jī)）法[Whitebox(Throughthecomputerapproach]。842.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容2.2.10測試應(yīng)用程序的控制2.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試所謂黑箱法是指審計(jì)師在審計(jì)時(shí)對計(jì)算機(jī)系統(tǒng)不心詳細(xì)了解，只需要通過對系統(tǒng)流程圖的分析以及與系統(tǒng)有關(guān)人員的面談，了解企業(yè)信息系統(tǒng)的特點(diǎn)功能。一旦了解了信息系統(tǒng)的結(jié)構(gòu)與功能，審計(jì)師可以直接分析比較信息系統(tǒng)的輸入和系統(tǒng)處理后的輸出結(jié)果，從而判斷系統(tǒng)和有關(guān)的應(yīng)用程序是否運(yùn)作良好，達(dá)到系統(tǒng)的預(yù)期目的。由于在采用黑箱法時(shí)，審計(jì)師并未檢查系統(tǒng)內(nèi)部的實(shí)際作業(yè)過程，故又被稱為“繞過計(jì)算機(jī)審計(jì)法”。852.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試372.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試黑箱法的優(yōu)點(diǎn)是直接測試資料輸入與輸出結(jié)果，不會(huì)影響系統(tǒng)的正常運(yùn)作，尤其適用于對簡單應(yīng)用程序的測試。但是，這一方法不適用于對容量龐大而且功能復(fù)雜的應(yīng)用程序的審計(jì)。862.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容黑箱法測試382.會(huì)計(jì)信息系統(tǒng)審計(jì)的主要內(nèi)容白箱法測試白箱法審計(jì)不僅要求對系統(tǒng)的內(nèi)在邏輯具有深刻的了解，而且必須對系統(tǒng)的內(nèi)在邏輯功能加以直接測試。主要測試技術(shù)包括以下五種：測試資料法（Testdatamethod)基本案例系統(tǒng)評估（Basecasesystemevaluation)追溯查驗(yàn)法（Tracingmethod）整合測試設(shè)施法（Integratedtestfacilityapproach）平行模擬法（Parallelsimulat