会计信息系统课件：会计信息系统审计

会计信息系统的内部控制及分类
• 按实施的范围划分
– 一般控制 – 应用控制
• 按控制的意图划分 – 预防性控制 – 检测性控制 – 纠正性控制
• 按控制所采取的手段划分
– 人工控制 – 程序控制
Slide ‹#›
一般控制
• 目的：
– 一般控制是计算机信息系统的总体控制； – 建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的整
– 在一般控制有效的基础上，测试EDP的应用控制
• 手工：从会计应用处理的交易类别中选取样本，应用审计程序证实 数据的有效性、完整性、和准确性。
• 计算机辅助：测试在会计应用中使用的计算机程序（对程序化会计 程序和程序化控制程序的运行进行测试）。
Slide ‹#›
余额详细测试的计划
• 余额的直接测试 – 当审计师在年末进行余额的直接测试时，通常不必依赖于 计算机 – 当余额的直接测试的范围依赖于与计算机相关的控制程序 或在应用期中进行余额的直接测试，则必须对一般控制的 有效性进行考虑 – 当审计师决定在对以计算机可读形式存在的客户文件实施 余额的直接测试中使用计算机予以辅助时，必须制定更详 细的计划
Slide ‹#›
三、会计信息系统审计的基本程序
计划准备阶段
开始
检查被审计单位 的基本情况
控制测试阶段
实施 符合性测试
实质性测试阶段
实施 实质性测试
检查一般控制和 应用控制情况
评价 测试结果
评价 测试结果
计划符合性测试 和实质性测试的
程序
确定对内部控制 的信赖程度
结束
Slide ‹#›
签发 审计报告
审计 报告
第二节 会计信息系统审计的主要方法
一．会计信息系统审计计划的制定 二．会计信息系统的内部控制与符合性测试 三．计算机辅助审计技术与实质性测试
Slide ‹#›
制定审计计划应关注与了解的方面
• 《独立审计具体准则》关于“审计计划”的规定
– 制定审计计划时，充分了解信息系统环境下的内部控制 – 了解计算机信息系统的重要性、复杂程序及审计所需信
Slide ‹#›
第一节 会计信息系统审计
一．计算机信息系统环境及其对审计的影响 二．会计信息系统审计的目标与内容 三．会计信息系统审计的基本程序
Slide ‹#›
一、计算机信息系统环境及其对审计的影响
计算机信息系统环境的定义
我国：
“注册会计师审计的重要会计信息由计算 机处理生成的情形”
国际审计准则：
Slide ‹#›
硬件和软件控制
• 硬件控制 – 硬件控制的失效会消弱其他控制措施的作用，影响系统的可靠性
• 系统软件控制
– 利用系统软件如操作系统、数据库管理系统实现控制，是电子数据处理 系统内部控制机制的一个显著特色
• 应用软件控制 – 确保软件的取得或开发是以经过授权并以有效的方式进行的 • 授权、批准、测试、实施和记录新建和修改应用软件； • 系统应用软件和记录的存取仅限于经过授权的人员。
• 控制内容 – 数据采集控制 – 数据输入控制
Slide ‹#›
数据采集控制
• 控制目标
– 确保应用系统在合理授权的基础上完整地收集、正确地编制、安全 地传递输入数据
• 控制措施
– 用户部门内部的职责分离 – 标准化的凭证格式 – 制定凭证编制程序 – 凭证审核 – 手续控制 – 凭证更正规程 – 批量控制
主管人员的一般和特殊授权要求，并保证遵循这些要求。 7. 主管人员能够充分地控制授权要求的遵守，以保证违背要求的行为能予以
记录、调查和纠正。
Slide ‹#›
一般控制的内容
• 组织与管理控制 • 应用系统开发与维护控制 • 计算机操作控制 • 硬件和软件控制 • 系统安全控制 • 数据通讯控制 • 系统文档控制
Slide ‹#›
组织与管理控制
• 基本目标
– 减少发生错误和舞弊的可能性
• 基本要求
– 权责的划分和职能的分离
• 主要内容
– 电算部门与用户部门的职责分离 – 电算部门内部的职责分离 – 人事控制 – 业务授权
Slide ‹#›
应用系统开发与维护控制
• 基本目标 – 为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行
体目标提供合理的依赖程序。
• 一般控制的具体目标：
1. 通过一般或特殊的授权规则保证下列活动的开展具备正当的手续：
① 将原始凭证输入系统内进行处理； ② 设计、实施和使用计算机程序； ③ 更改计算机程序； ④ 接触和使用计算机主文件和其他重要数据文件； ⑤ 分发系统输出报告等。
2. 负责资产保管人员无权接触记录资产情况的信息处理。 3. 负责信息处理的人员不负责执行或批准的经济业务。 4. 电子数据处理部门内部对不相容职能进行适当分离。 5. 电子数据处理部门不能纠正电子数据部门以外的错误。 6. 通过适当的沟通方法和程序，使数据处理部门人员和其他部门人员能理解
息的可获得性 – 了解计算机信息系统环境
关于重要性、复杂程度、可获得性
• 计算机信息系统的重要性 – 与会计报表认定的重要性相关
• 计算机信息系统的复杂程度
– 经济业务数量较大，被审计单位感到在处理过程中鉴别和改正错误 有困难
– 计算机系统自动生成重要的经济业务或分录，直接进入其他应用。
• 基本要求 – 系统开发过程中的各项研制、设计、维护活动及由此产生的文档，均应 遵循一定标准、规则和要求
• 主要内容 1. 系统开发标准，以总的方面规定开发活动要求。 2. 结构化系统开发方法，系统开发通常采用系统开发生命周期法。 3. 项目管理，包括项目计划、项目控制、项目报告。 4. 编程规则，程序设计按一定规则进行，能提高系统的可审性。 5. 阶段保证，保证系统开发进度和质量的重要措施。 6. 系统测试控制，系统实施前检出错误使系统按设计要求可靠运行的控制。 7. 系统转换控制，防止在新旧系统转换过程中发生数据遗失、重复等现象。 8. 新系统批准程序，确保管理部门对新系统和系统转换计划进行审批。 9. 程序变更控制，保证程序改动经严格测试，并得到适当的核准和授权。 10.系统文档，保证所有系统开发资料按规定予以整理和归档。
• EDP部门内部及EDP与使用者之间的职责是否分离 • 开发的、买入的或变更的程序在执行之前是否经过批准和测试 • 对数据文件的接触是否只限于经过批准的使用者和程序
Slide ‹#›
交易测试的计划
• 交易类别测试
– 若在重大会计领域应用了电算化，而且交易类别的具 体控制目标的实现要依赖于计算机处理的结果，必须 在控制风险的评估中考虑EDP控制（应用控制和一般 控制）的作用
• 在重要的会计应用中，需要获取的信息
– 应用的目的 – 计算机应用中输入的来源、容量及形式 – 处理的方式及频率 – 应用中输出的形式及输出的分布
Slide ‹#›
了解控制活动
• 目的
– 了解系统的一般控制，对一般控制是否有效进行判断，向 客户提供服务的机会
• 对一般控制的审核
– 询问或观察客户的EDP部门的职员； – 检查现存的文件， 确定下列事项：
Slide ‹#›
系统安全控制
• 基本目标 – 防止影响系统安全的因素危及系统的安全，发现系 统中的安全问题，并解决这些问题使系统恢复正常 的措施及实施
• 主要内容 – 硬件安全控制 – 程序与数据的安全控制 – 环境安全控制 – 防病毒的软件接触系统
Slide ‹#›
数据通讯控制
• 防火墙技术 • 数据加密技术 • 一次性口令技术 • 回叫机制
二、会计信息系统审计的目标与内容
• 鉴证目标
– 系统的合法性 – 系统的安全性 – 数据的完整性
• 管理目标
– 系统的效率性 – 系统的经济性和效益性
Slide ‹#›
会计信息系统审计的内容
• 对计算机会计信息系统进行审计
– 对内部控制系统的审计 – 对系统开发的审计 – 对系统应用程序的审计 – 对系统数据文件的审计
• 需要获取的信息
– 计算机设备的种类及其结构 – 系统软件的种类 – 计算机处理活动的组织结构（EDP部门的组织结构、
人员安排） – 电算化会计应用的数目及性质（应用的范围和程度）
Slide ‹#›
了解会计系统
• 目的
– 了解业务经过会计系统中手工部分和电算化部分的路 径，并了解计算机介入的性质和程度
• 一般控制的测试的重点 – 系统开发的测试
Slide ‹#›
应用控制
• 基本目标
– 对会计应用建立具体控制过程，从而确保全部的经济业务都经过 授权和记录，并做完整、准确和及时的处理。
• 具体目标
– 所有经允许处理的数据均应转换到介质上并加以处理，并且处理 的结果可通过适当的方式加以输出。
– 所有输入、转换、处理和输出均应在正常的时间里准确地进行。 – 所有系统的输出均反映为经批准的有效的经济业务。
Slide ‹#›
系统文档控制
• 基本目标 – 建立文档管理制度及安全保密制度
• 主要内容 – 专人保管； – 数据在纳入计算机会计信息系统之前，须经系统主管人员的审检批准； – 计算机打印输出书面资料，应由输出和审核人员共同签字才是合法的会 计档案； – 会计档案使用时必须经过批准，任何资料的借取都要登记； – 存储在磁性介质上的文件应有加密保护； – 系统软件、应用程序和数据文件应复制备份； – 根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份的 间隔期及调用档案的手续等。
Slide ‹#›
应用控制的内容
• 输入控制 • 处理控制 • 输出控制
Slide ‹#›
输入控制
• 控制目标 – 经济业务在计算机处理之前经过适当的批准； – 经济业务被准确地转换为机器可读形式并记录于计算机 数据文件； – 经济业务没有丢失或不适当地增加、复制、改动； – 拒绝、改正不适当的经济业务，必要时，及时重新补救。
会计信息系统 Accounting Information System
会计信息系统审计
Slide ‹#›
学习目标
• 掌握会计信息系统审计的目标和基本程序。 • 理解会计信息系统内部控制的作用及计算机
辅助审计技术的应用。 • 了解会计信息系统与审计信息系统之间的关
系。
Slide ‹#›
主要内容
•第一节 会计信息系统审计概述 •第二节 会计信息系统的主要审计方法 •第三节 审计软件
• 审计所需信息的可获得性
Slide ‹#›
制定审计计划的基本程序和步骤
• 了解客户及控制环境 • 了解会计系统 • 了解控制活动 • 制定交易及余额的详细测试计划
Slide ‹#›
了解客户及控制环境
• 目的
– 便于审计师评估会计系统中电算化部分的范围及复杂 性，以及所需的计算机审计专家协助的比重
Slide ‹#›
利用计算机编制审计计划
• 设计审计程序
• 制定检查清单
• 分析风险
• 执行分析性复核程序
• 日程安排和费用预算
• …...
Slide ‹#›
二、会计信息系统的内部控制与符合性测试
会计信息系统的内部控制及其分类 一般控制 应用控制 内部控制的符合性测试及评价
Slide ‹#›
“当一个单位对审计有重要影响的会计 信息是由任何类型或大小的计算机处理生成 时，就存在计算机信息系统环境，而无论该 计算机由本单位操作还是由第三者操作”
Slide ‹#›
计算机信息系统环境对审计的影响
• 审计线索 • 审计内容 • 审计技术 • 审计方法 • 审计人员 • ．．．．．．
Slide ‹#›
Slide ‹#›
计算机操作控制
• 基本目标 – 通过标准的计算机操作来保证信息处理的高质量、减少差错的发 生和未经批准而使用数据和程序的机会
• 具体目标 – 系统仅用于经过批准的目的； – 仅限于经过批准的人员进行计算机操作； – 仅使用批准的程序； – 查出并更正计算机处理中的错误。
• 主要内容 – 操作计划 – 机房守则 – 操作规程 – 上机日志记录
Slide ‹#›
数据输入控制
• 控制目标
– 防止输入数据时的遗漏或重复，检查输入数据是否有错误
• 例：以记账凭证为主要内容的数据输入控制
Slide ‹#›
一般控制的研究、评价和风险评估的 方法与重点
• 一般控制的地位 – 一般控制的运用对应用控制的有效性至关重要
• 一般控制的测试和技术 – 手工 • 组织与管理控制 • 系统开发和维护控制
– 计算机辅助审计技术
• 系统应用软件控制
– 手工方法与计算机辅助审计技术相结合
• 计算机操作控制 • 数据和程序控制