10 计算机信息系统环境下的审计

【最新资料,Word版，可自由编辑！】一、信息系统环境下注册会计师的审计风险我国《注册会计师法》第21条规定了注册会计师的审计责任：“注册会计师执行审计业务，必须按照执行准则、规则确定的工作程序出具报告”。

中国独立审计准则对注册会计师的审计责任也做了详细的规定：注册会计师的审计责任是指注册会计师按照独立审计准则的要求出具审计报告，并对发表的审计意见负责。

由于基本会计数据及其他管理数据的庞大以及审计成本的限制，现代审计多采用评价内部控制基础上的抽样审计以获得支持财务报表的证据。

在信息系统条件下，审计基础数据更加庞大和复杂，内部控制的内容与方法也发生了巨大变化，获取基础审计数据，评价新的内部控制结构的效力与证据之间的联系，这些都构成了对注册会计师的极大挑战。

我国2004年发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》明确指出，注册会计师应当充分关注计算机信息系统环境对被审计单位会计信息及内部控制的影响。

2006年发布的《中国注册会计师审计准则第1633号电子商务对财务报表审计的影响》第十八条指出，注册会计师应当关注审计单位是否运用适当的安全基础架构和相关控制；第32条也指出，注册会计师应当考虑被审计单位实施的信息安全政策和控制措施，是否足以防止未经授权修改会计系统或会计记录，或修改向会计系统提供数据的系统。

《国际审计准则15——电子数据处理环境下的审计》明确指出，当在一个电子数据处理的环境下进行审计时，审计人员应当对约定计划中的计算机因硬件、软件和处理系统有充分的了解，并且要了解电子数据对内部控制的研究与评价和对审计程序实施的影响，包括计算机辅助审计技术。

但我国的独立审计具体准则和国际审计准则都没有给出审计测试的具体评价标准，注册会计师在评价计算机信息系统的安全、正确及有效性方面遇到了很大的困难。

以上情况表明，虽然注册会计师可能无需对信息系统和信息活动提出鉴证结论和咨询意见，但必须考虑信息系统和信息活动对被审计单位的影响与重大错报的风险。

计算机和信息系统安全保密审计报告根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。

虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。

通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。

现将自查情况汇报如下：一、加大保密宣传教育，增强保密观念。

始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。

涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。

涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。

非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。

涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。

笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。

对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

国际信息系统审计准则国际会计师联合会（IFAC）下设的国际审计实务委员会（IAPC）对计算机信息系统环境下的审计的研究较早，先后发布了一系列的相关准则。

到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。

它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。

现将这几个准则规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。

该准则明确了在计算机信息系统环境下审计的目的与范围，技术与能力的要求，审计计划的考虑，内部控制研究、评价及风险评估的影响，制定与实施审计程序应关注的方面等。

该准则只是为在计算机信息系统环境下的审计制定一般原则和指导，其他五个准则或实务公告均为该准则的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应当对约定计划中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响，包括计算机辅助审计技术。

审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识，这将视所采用的具体的审计方法而定。

第二，《风险评估和内部控制--计算机信息系统环境特征和考虑因素》。

该实务公告为第一项准则的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部控制的内容及评价方法。

审计人员应当收集与审计计划有关的计算机信息系统环境的资料，包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。

审计人员在编制全面计划时，应当考虑下列事项：在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度；制定关于怎样、何处与何时检查计算机信息系统功能的计划；制定关于利用计算机辅助审计技术进行的审计程序计划。

第三，《计算机信息系统环境--独立微型计算机》。

该实务公告为第一项准则的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。

新编审计学辛金国课后答案注明：希望同学们可以根据以下习题答案，来帮助自己学习。

答案供参考：P41:(第2章审计准则和审计质量控制准则)一、判断题 1-5：×√×√×二、单选题 1-2：D,A三、多选题 1-5：ABCDE,BCDE,ACE,ABD,ACE(更正)P52:(第3章职业道德和法律责任)一、判断题 1-5：×√×√×二、单选题 1-7：A,D,B,C,C,B,CP65:（第4章审计目标和审计程序）案例：会计报表认定审计程序序号491 8（更正）5 65 113 7P66：一、判断题 1-5：×√×√×二、单选题 1-5：C,A,C,A,C三、多选题 1-4：ABC,BD,ABD,ABCDP81:(第5章审计计划)一、判断题 1-7：√√×√×××二、单选题 1-4：B,D,C,D三、多选题 1-5：ABC,ABC,ABC,ABC,ABC,ABD,ABCDP98:(第6章审计重要性和审计风险)一、判断题 1-7：√√×√×××二、单选题 1-5：B,A,C,D,C三、多选题 1-5：CE,AC,ABCDE,ABCD,BD案例题：a.控制风险：A.业务性质越复杂，固有风险越大B.管理人员变动越频繁，固有风险越大C.公司营运资本不足，维持经营的流动资金匮乏，会影响认定的固有风险D.管理层要实现高收入，，遭受压力越大，固有风险越大E.财务人员加班越频繁，越疲劳，固有风险越大b.控制风险：公司现金的控制无效；有货物运送凭证没有销售发票运送的货物没有开单，开单的销售没有记账，已开单的销售可能没有计入应收账款分类账等这些潜在的错报，会影响销售收入，销售成本，应收账款，坏账准备等财务报表的存在或发生，完整性等的认定，可能会利润不真实等情况。

如何进行计算机审计如何进行计算机审计与传统手工审计一样，计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。

其中重点是计算机审计实施阶段，包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据（信息）进行测试评价。

计算机审计过程具体可细分为以下主要步骤：1.准备阶段。

①了解企业基本情况，与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料，归纳出被审计系统的特点和重点。

②组织审计人员和准备所需要的审计软件。

根据被审计企业会计电算化系统的构成特点，复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人，组成审计小组，准备审计软件。

如果对某审计项目需要特殊的审计软件，还必须组成一个专门小组预先开发好所需要的软件，以保障审计工作顺利开展。

2.内部控制的初步审查。

初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度，初步熟悉电算化会计系统的业务流程和内部控制的基本结构，包括从原始凭证的编制到各种会计报表输出的整个过程。

一般采用如下的检查和会谈：①审阅上期的审计报告和管理建议书，初步了解上期系统的弱点。

②检查会计电算化系统的文档和系统使用手册，了解系统模块结构、名称、数据库以及相应的功能。

③检查输入数据的基本依据（电子数据和有关的原始凭证），初步了解企业会计原始数据产生的内部控制制度的基本情况。

④针对一些基本情况和上述检查发现的问题，与会计人员、系统开发和维护人员、程序员面谈，以便得到与司题相关的背景资料。

⑤初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，以及对产生和使用数据的单位的内部控制，并制作必要的简明数据流程图。

同时，审计人员还要对下列资料进行了解：①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量（数据处理量）。

②系统的组织结构、各级管理的职责，以及计算机系统的负责人和系统管理人员。

信息系统审计的指南—计算机审计实务公告计算机审计实务参考指南是一个相对完整的框架，用于帮助审计人员进行计算机审计工作。

以下是一个关于计算机审计实务的公告，介绍了信息系统审计的指南和一些建议，帮助审计人员进行有效的计算机审计工作。

尊敬的领导、各位同事：为了提高企业的信息系统安全性和风险管理水平，确保信息系统的正常运行和数据的可靠性，本公司决定进行一次信息系统审计。

为了便于大家的工作，制定了以下指南和建议，希望能够帮助大家有效地完成计算机审计工作。

1.审计目的和范围：明确审计的目的和范围，包括所审计的信息系统的规模和功能，以及需要审计的重点和关注的问题。

2.审计计划：制定一份详细的审计计划，包括审计的时间表、人员安排和审计程序。

确保审计工作可以按照计划进行，并保证每个环节都得到充分的关注。

3.风险评估：对信息系统的风险进行评估，确定可能存在的威胁和漏洞。

基于评估结果，确定审计的重点和关注的问题，优化审计资源的分配。

4.审计程序：根据审计目标和风险评估结果，制定相应的审计程序。

审计程序应该包括对系统漏洞的扫描和检测、对权限和访问控制的审查、对安全策略和控制措施的评估等。

5.数据采集和分析：采集所需的数据，并进行必要的分析。

数据的采集和分析是评估信息系统安全性和效率的关键步骤，必须进行全面和准确的数据采集，并进行合理的数据分析。

6.风险管理：根据审计发现的问题，制定相应的风险管理措施。

风险管理措施应该包括对系统漏洞的修复、对权限和访问控制的改进、对安全策略和控制措施的更新等。

7.审计报告：根据审计结果，编写一份详细的审计报告。

审计报告应该包括所审计的信息系统的概述和背景、审计的目的和范围、审计的程序和结果、审计发现的问题和建议等。

8.问题跟踪和改进：针对审计报告中的问题和建议，制定相应的改进计划，并跟踪实施情况。

确保问题得到及时解决，改进措施得以落实。

本次信息系统审计的指南和建议，主要是为了帮助大家更好地进行计算机审计工作，提高企业的信息系统安全性和风险管理水平。