计算机信息系统控制审计
计算机信息系统控制审计
学习目的
通过学习,我们要掌握以下三个问题:
◆一、在信息技术环境下,审计有什么改变?
◆二、信息技术环境下控制测试的范围。
◆三、信息技术一般控制与运用控制的关系,及其如何影响实质性测试?
案例1.1信息系统环境下控制测试
?华兴集团公司是今明会计师事务所的常年审计客户,上年度各项内部控制设计合理并运行有效。注册会计师正在对华兴集团公司本年度的内部控制进行了解,并评估重大错报风险。华兴集团公司有20余家子公司。2018年初,为了满足集团公司对财务信息实时性、准确性、真实性的要求,推行企业信息化管理。通过与ERP系统开发公司的协商,购进新开发的ERP系统并投入使用。由于采用ERP系统,财务核算人员由原来的163减至61人。
案例1.1信息系统环境下控制测试
?注册会计师了解采购与付款循环时,注意到供货单位的发票信息由会计部输入,并由计算机将其与其他信息(订购单等)相核对。在收到货物时,由验收部门将验收入库信息输入计算机系统,计算机会自动生成一份入库单,由仓库审核后自动更新存货记录。计算机能够自动将订购单、验收单、入库单和供货单位的发票上的信息(如供货单位、型号、规格、单价等)相核对并经审批后开出未付凭单。付款部门根据未付凭单打印出支票,计算机自动将该未付凭单标记,防止重复付款。通过询问采购人员,发现有一供货商将同一笔交易发来两张不同编号的发票,在月末存货监盘时发现重复记录购货,追回了多付的货款。后来公司加强了该系统的手工校验程序。
案例1.1分析与思考
?1.信息系统下控制测试的范围如何变化?为什么?
?2.分析信息系统控制存在什么缺陷?这些缺陷影响哪些认定?如何应对?
信息技术对审计过程的影响
?对审计线索的影响;
?对审计技术手段的影响;
?对内部控制的影响;
?对审计内容的影响;
?对注册会计师的影响。
上信息系统后,审计的不变
?不变:
?注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,基本审计准则和财务报告审计目标在所有情况下都适用。?内部控制的目标
?人工控制的基本原理与方式
信息系统下控制测试
?1.人工控制的基本原理与方式在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序
?2.对于自动控制,就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑
公司层面信息技术控制
?公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调。包括:
?对于信息技术的重视程度和依赖程度
?信息技术复杂性
?对于外部信息技术资源的使用和管理情况
?信息技术风险偏好
?这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。
信息系统一般性控制
?信息系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。
?信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
信息技术应用控制
?信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括:
?检查数据计算准确性,
?审核账户和试算平衡表,
?设置对输入数据和数字序号的自动检查,
?对例外报告进行人工干预。
?应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。
如何确定系统控制测试的范围?
?信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。?与财务报告相关的控制活动一般由一系列手工控制和自动控制所组
成。自动控制程度愈高,信息系统对控制的影响愈大。
?无论被审计单位运用信息技术的程度如何,注册会计师均需了解与审计相关的信息技术一般控制和应用控制。
?在理论上,测试每个自动系统控制时都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。
信息系统审计关联范围表
对信息系统的依赖程度对系统环境的了
解与评估(是/
否)
验证手工控
制(是/否)
验证系统应用
控制(是/否)
了解、验证系统一
般性控制(是/否)
(1)不依赖信息系统是否否否
(2)仅依赖手工控制,此类
手工控制不依赖系统所生成
的信息或报告
是是否否
(3)仅依赖手工控制,此类
手工控制依赖系统所生成的
信息或报告,审计需要通过
实质性程序来验证控制有效
性
是是否否(4) 同时依赖手工及自动控制是是是是
信息技术审计范围影响因素
?注册会计师应当按信息系统各自特点制定审计计划中包含的信息技术审计内容?如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的内容。
?影响信息技术审计范围影响因素:
?企业业务流程复杂度
?信息系统复杂度
?系统生成的交易数量
?信息和复杂计算的数量
?信息技术环境规模和复杂度
?如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的范围。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比。
IT控制如何影响控制风险和实质性程序?
?首先针对每个具体的审计目标,了解和识别相关的控制与缺陷。在此基础上,对每个相关审计目标评估初步控制风险。
?但对于一般控制而言,由于其影响广泛,注册会计师通常不将控制与具体的审计目标相联系。
?如果一般控制有效,注册会计师可以更多地信赖应用控制,测试这些控制的运行有效性,并将控制风险评估为低于“最高”水平。
?如果一般控制无效,增加了应用控制,也不能防止或发现并纠正认定层次重大错报的可能性,即使这些应用控制本身得到了有效设计,注册会计师也不应当信赖应用控制。
?如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。
一般控制评价结果的影响 无效
有效 一般
控
制
增加应用控制,也不能防止或发现并纠正认定层次
重大错报风险,不应信赖应用控制 更多地信赖应用控制,测试这些控制的运行有效性,
并将控制风险评估为低于“最高”水平
谢谢大家!
信息系统一般控制审计上
信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12) 编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险
信息技术对审计的影响
第一编审计基本原理——第五章信息技术对审计的影响 考情分析 本章介绍了现代审计中的一个重要的内容——信息技术审计,但仅仅涉及到一些基本概念并未深入展开。建议复习中应当结合第7章和8章的相关内容进行掌握。 本章涉及到《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》,课程内容对此进行了扩展补充,建议进行重点关注及学习。 目录 1.信息技术对企业的影响 2.信息技术对审计的影响 3.对企业利用服务机构的考虑 知识点信息技术对企业的影响 1.信息技术对内部控制的影响 2.三个层面的信息技术控制 PART 01 信息技术对内部控制的影响 1.信息技术的概念 信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。 2.信息技术和财务报告 信息系统形成的信息质量影响企业编制财务报告、管理企业活动和做出适当的管理决策。 3.有效的信息系统 ①识别和记录全部授权交易 ②及时、详细记录交易内容,并在财务报告中对全部交易进行适当分类 ③衡量交易价值,并在财务报告中适当体现相关价值 ④确定交易发生期间,并将交易记录在适当的会计期间 ⑤将相关交易信息在财务报告中作适当披露 注册会计师在进行财务报告审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量。 财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。 4.自动控制的好处 ●能够有效处理大流量交易及数据 ●自动控制比较不容易被绕过 ●相关安全控制可以实现有效的职责分离 ●提高信息的及时性、准确性,信息变得更易获取 ●可以提高管理层对企业业务活动及相关政策的监督水平 5.信息技术的特定风险 ●可能会对数据进行错误处理 ●可能会去处理那些本身就错误的数据 ●安全控制如果无效,会增加对数据信息非授权访问的风险 ●数据丢失风险或数据无法访问风险 ●不适当的人工干预,或人为绕过自动控制 随着信息技术的发展,内部控制虽然在形式及内涵方面发生了变化,但内部控制的目标并没有发生改变。 PART 02 三个层面的信息技术控制 三个层面的信息技术控制:公司层面信息技术控制;信息技术一般控制;信息技术应用控制
计算机辅助审计技术
在实行审计时,比较常用的计算机审计技术主要有以下八种审计技术,包括通用审计软件、数据检验技术、平行模拟技术、嵌入审计模块技术、整体测试技术、受控处理、受控再处理法、标记和跟踪等,根据有关资料整理如下: 一、通用审计软件 通用审计软件是能够直接访问数据库的标准软件,适用于多种被审计单位的不同数据组织形式和处理方式下生成的计算机数据,辅助审计人员完成审计任务的审计工具软件。简单说通用审计软件可以用于对被审计单位的内部控制测试和余额测试。 1、通用审计软件在余额测试程序与步骤:选取和打印审计样本;检查计算结果;汇总和分析数据;比较计算机数据和审计人员的处理结果等。 ①选取和打印审计样本 审计人员可以根据特定的标准用审计软件来选取审计样本。如将累计欠款达一定金额的户挑选出来,并打印出应收账款询证函。 ②检查计算结果 审计人员可以利用审计软件对计算机的计算结果进行重新计算,以验证其正确性。如存货的单位成本、数量与金额的计算。由于计算机的处理速度很快,这种重新计算可以扩展到很多方面,这在手工审计情况下是无法实现的。 ③汇总和分析数据 使用通用审计软件,审计人员可以根据自己的要求对被审计单位的数据进行多种形式的重新组织整理。如确定呆滞存货、到期未收回的应收账款、应付账款中的借方余额、分析性测试的比率等。 ④比较计算机数据和审计人员的处理结果 将审计人员的审计结果与计算机中的数据记录进行比较,确定是否相符。如将审计人员的存货盘点数量与计算机中的数量记录相核对。 2、通用审计软件的使用包括以下环节: ①明确审计目标和要进行的测试; ②确定对被审计单位计算机数据处理系统使用通用审计软件的可行性; ③设计使用通用审计软件的工作内容和步骤,包括逻辑关系、计算和输出格式等; ④准备通用审计软件所使用的数据; ⑤用通用审计软件对数据进行处理,对结果进行检查和利用。 3、使用通用审计软件的优点:①使用通用审计软件,审计人员可以高效地处理大量数据,减少审计时间和成本;②减小审计人员对被审计单位计算机数据处理人员依赖性。如何取得被审计单位的数据是能够成功地应用通用审计软件的关键。 二、数据检验技术 数据检验技术也称为测试数据法,是指审计人员设计出一些虚拟的经济业务数据,提交给被审计单位的计算机数据处理系统进
计算机辅助审计论文
《计算机辅助审计技术》 课程论文 题目:电子审计证据获取的风险分析与控制对策 姓名:王贞学号: 07010527 院(系):信息科学学院 专业:计算机 南京审计学院 2013年12月20 日
电子审计证据获取的风险分析与控制对策 07010527 07IAEP班王贞 【摘要】随着IT的快速发展,计算机审计的应用日趋广泛,电子审计证据也应运而生并被推上了审计证据舞台。但电子审计证据的易损性、多态性等特性都给电子审计证据的获取带来了新的风险。目前,对电子审计证据在获取方面的风险控制也越来越引起重视。因此,本文主要以电子审计证据的特性为切入点,针对它的特性探究电子审计证据的风险,进而针对风险找出风险控制点,就如何降低电子审计证据获取的风险提出控制对策。 【关键词】电子审计证据;证据获取;风险分析;控制对策
The Risk Analysis of Obtaining Electronic Audit Evidence and Control Measures Abstract:Along with the rapid development of IT, the application of IT auditing is wider increasingly, so the electronic audit evidence comes into being, and is brought to the stage of the audit evidence. But electronic audit evidence has the vulnerability, polymorphism and other characteristics, all of these characteristics bring the new risks to obtaining the electronic audit evidence .At present, more and more attention is paid to the risk controlling of obtaining the electronic audit evidence. Therefore, this paper mainly takes the characteristics of electronic audit evidence as a breakthrough point, explores the existing risks in obtaining the electronic evidence for characteristics and then discovers the risk control points in view of the risks,proposes control measures on how to reduce the risk of obtaining electronic audit evidence. Key words:electronic audit evidence obtain evidence risk analysis control measures
计算机审计技术方法
计算机审计技术方法 计算机审计技术方法 我是审计的新兵,2008年3月在审计局工作,2009年6月参加重庆市审计局组织的计算机审计中级培训。通过培训,提高了对计算机审计的认识,发现计算机审计的功能强大,效率高,特别是信息化快速发展的今天,传统的审计方法无法替代。在审计局工作四年,经历了“绕过计算机审计”向“通过计算机审计”再到“利用计算机审计”三个阶段。四年期间,利用计算机审计追缴税费入库上千万元、移送司法机关处理诈骗案2件等违规违法行为,充分发挥了计算机审计的功能。下面结合实际工作谈谈金算盘软件集团账套财务数据手工采集方法,仅供参考。 一、使用金算盘软件集团账套核算情况 我区自2007年起实行会计集中核算,所有区级部门、街镇、学校的财务账由区财政国库集中收付核算中心统一核算,使用的财务软件是重庆金算盘软件公司开发的金算盘8E/ERP系统(以下简称金算盘8E),在具体核算时使用集团账套分部门核算,分县级部门、街镇(行政、总预算)、学校四大块核算。金算盘8E的后台数据库为oracle,版本号为9.21,金算盘8E系统提供了两种备份方式,一种是备份oracle格式,其文件后缀名为dmp;另一种是备份为Access格式,其文件后缀名为gdb。利用审计署金审工程服务网站下载的金算盘8E 财务数据采集模板不能将财务数据采集到AO软件重建账套,导致审计人员不能将财务数据倒入AO软件进行查询分析,给审计查询分析
设置了障碍。财务数据的本文由收集整理采集成为能否成功推广应用AO软件的一个关键,通过实践成功将该数据采集转换,为我区利用计算机技术审计提供了条件。 二、采集数据存在的问题 审计人员对采集备份的access财务数据分析发现,系统导出的access备份数据中有一张voucher表(凭证主表)仅有一条数据,且导出的其他账套也存在同样的问题,即一个账套一个会计年度仅能导出一条凭证记录,导致该财务数据的采集不能应用金算盘8E财务数据采集模板。 三、采集数据的方法步骤 按照财务数据采集的方法之一,从其后台数据库直接获取数据库数据来采集财务数据,针对数据库数据采集财务数据必需获取的三张表,即科目余额表、会计科目表和凭证表。采集三张表的方法步骤为:一是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-账务-凭证-机构-编码”导出凭证表。 二是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-科目-机构-编码”导出会计科目表。 三是在金算盘8E系统主菜单下选择“文件-数据导出-财务管理-总分类账-账册报表-科目余额表-打印-选择输出类型(一般选择为EXCEL)-输出文件”导出科目余额表。 需注意,由于该系统设置是集团账下分单位核算,采集导出的凭证表和会计科目表时要按该单位编码设置筛选,进行数据分离,导出
计算机辅助审计技术(CAATS)下
信息技术辅助审计工作(下) (来源:《中国注册会计师》,2018-11-15) 【编者按】在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书,已经出版。本刊约请作者加以摘编,分期连载,以飨读者。 一、CAATs工具的选择 (一)常见CAATs工具的类型 常见的计算机辅助审计工具包括以下几类: 1. 通用类软件:Microsoft Office系列软件,其中使用最为广泛的为Microsoft Word,Microsoft Excel以及Microsoft Access; 2. 专业审计软件:ACL,IDEA等; 3. 数据库软件:Microsoft SQL Server,MySQL,Oracle等; 4. 数据统计分析软件:MATLAB,SAS,R等; 5. 数据分析及展示软件:Tableau,Qlik View等。 审计人员应当选择适当的工具以应对不同的审计场合。 对于大量数据的处理,根据不同的情况,可以选择Microsoft
Excel,Microsoft Access、专业审计软件或者各类数据库软件;如果涉及数据未来的预测或是统计分析,可以选用Microsoft Excel或者各类数据统计分析软件;如果为了在大量交易中发现异常记录,则可以选择专业的统计或可视化软件进行数据分析,或者使用专业审计软件中的功能(例如本福特定律)发现异常的数据。 在实际业务操作中,专业审计软件和数据处理是系统审计专家所执行的计算机辅助审计工作中最为普遍的一种。一方面,财务审计团队对于数据处理的需求相比其它类型的工作要多;另一方面,除了Microsoft Excel外其它的数据处理工具的使用均需要一定的技术能力。 (二)各类数据处理软件的特点 通用类软件相比其他软件易于操作,仅需要有限的知识技能储备即可上手使用,是使用最为广泛的工具,但此类软件能够处理的数据量较小。 Microsoft Excel作为数据处理程序,能够通过内置的函数对数据进行核算分析,同时对于拥有一定编程知识的用户,可以使用VBA 设计相应的宏(Macro),实现复杂的数据处理过程。Excel的优势在于操作简便易于上手,而其缺点也很明显,单页的数据容量为100万条左右,大量数据的处理将占用系统内存与CPU资源,影响计算机的使用。 Microsoft Access能够导入不同格式的数据文件,通过简单的SQL语句对数据进行处理。相比Excel,Access在处理数据条数上没
C15002S IT审计实务100分
IT审计实务 倒计时:00:31:55 单选题(共2题,每题10分) 1 . 以下属于对信息系统一般控制审计的是()。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT(Control Objectives for Information and Related Technology)是目前国际 上通用的IT管理标准之一,属于()。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题(共4题,每题10分) 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则,即信息安全保障与信息 化建设应保持()。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用,下列说法正确的是()。
? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议,可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计,可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一致性 ? D.通过IT审计,审计师对被审计单位信息系统进行诊断咨询,客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状,下列说法正确的是()。 ? A.近年来,审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计,向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括()等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题(共4题,每题10分) 1 . 随着国内企业对IT审计的重视程度的日益提高,国内已形成了强大的从事IT控制与IT 审计的专业人才队伍,对IT审计理解达到了一定的深度和广度。() 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。() 对错
计算机辅助审计论文
广州商学院实验报告 系部会计系 专业班级 13级会计系会计学一班 课程名称计算机辅助审计 实验教师 姓名 学号 实验项目名称审易软件应用及Excel在审计中的应用 实验日期 2016.02.29-2016.06.24 实验地点财务管理软件室(A308-1) 成绩 制表单位:广州商学院会计系 广州商学院实验报告 说明:实验报告应包含实验目的和要求,主要仪器设备、实验教具,实验方法与步骤,
实验数据记录及结果分析,心得体会。 一、实验目的和要求 通过计算机辅助审计课熟悉EXCEL在审计中的操作运用,同时掌握在审计期初,如何利用用友审易V5.8软件实现数据的采集与字段的转换,同时利用该软件对公司各项业务进行计算机辅助审计。 二、主要仪器设备、实验教具 计算机、用友-U8系统、用友审易V5.8软件 三、实验方法与步骤 1.Excel在审计中的应用 Excel作为微软Office系列重要组件之一,以其强大的功能,在数据处理、排序、筛选、汇总等方面发挥巨大的作用,广泛应用于管理、统计财经、金融等众多领域。 首先是学习高级筛选的例子。用公式作为条件,进行高级筛选,同时学会了与、或的区别以及用公式的表达方式。利用分类汇总功能,可以方便的根据不同要素对数据进行分类和累加统计。同时可以自行设定分类汇总的条件,方便取用数据。在需要对数据链接,引用时,要分清是复制性粘贴还是选择性粘贴,如果取用数据是公式形式的话,在另一个表中就不能直接复制,而应该选择性复制数据。 2.用友审易V5.8 用友审易V5.8软件为用户提供智能化审计工具,能快速查证会计信息系统、全面分析会计信息、准确定位会计信息、规范处理会计信息,为形成完整的审计工作底稿提供便捷支持,加之专业人员的技术保障,使软件在应用中无后顾之忧。其设计目标是对企业的财务信息系统及相关电子数据进行密切的跟踪,对财务收支的真实性、合法性和效益性实施有效审计监督;促进企业内部控制和管理,增强审计部门在计算机环境下查错纠弊、规范管理的能力,为其更好地履行审计监督职责服务;促进审计业务的规范化、标准化、制度化;实现三个转变:从单一的事后审计转变为事后审计与事中审计相结合;从单一的静态审计转变为静态审计与动态审计相结合;从单一的现场审计转变为现场审计与远程审计相结合。 用友审易软件的基本功能包括: (1)基本信息查询 主要包括“账套基本信息”、“会计科目设置”、“会计记账凭证”、“总账及明细账”、“辅助明细账”、“报表项目定制”、“主要会计报表”、“主要会计报表比较”和“无发生额科目一览表”; (2)审计预警 主要包括“内控制度设定”、“内控情况评价”、“内控预警报告”、“审计预警”、
计算机审计学习心得
计算机审计学习心得 在社会经济和科学技术飞速发展的今天,计算机给我们的生活带来了越来越大的改变。为了适应新时代对我们会计提出的更高的要求。因此我们开设了计算机审计这门课。通过计算机审计这门课我学到了很多知识。 首先,计算机审计是与传统手工审计相对应的概念,它包括两反面的含义:一是对会计电算化信息系统的设计和应用效果进行审计,即将电算化会计信息系统作为审计的对象,对信息系统的数据处理过程的合规性、安全性进行审计;二是利用计算机辅助审计,即是为实现其审计目的以计算机作为审计的工具,建立审计信息系统,收集必要的审计证据,采取必要的审计程序,这与传统的审计内容是基本一致的。 其实,计算机审计的特点有:1、审计范围具有广泛性。它讲审计范围由“结果审计”转变为“结果审计与过程审计”并重。对电算化会计系统进行审计必须兼顾系统的开发与运行两方面,既对系统进行事后审计,又进行事前和事中审计。 2、审计线索想“不可视化”转化。审计需要跟踪的线索,以电磁信号的形式分散在磁性介质上,因此审计在信息系统的运行中,如何保留并按需要及时、准时地获得审计线索是能否完成审计人物的关键。 3、审计取证的实时性和动态性。 4、审计急速的复杂性。 5、审计技术的主体任务发生了改变。审计人员赖以主导审计过程的技术和技巧已被计算机所替代,因此,他们可以从繁琐的查证工作中解放出来,把精力放在对一些审计项目内容的规范上或去探讨一些新的审计方法。 6、体现了审计的风险导向精神。现代审计是风险导向审计的时代,审计风险是风险导向审计的核心内容。 其次我总结了我在学习计算机审计这门课中的一些个人心得: 一、推荐从应用出发 由于我们的计算机知识基础比较薄弱,对一些应用及操作理解起来较为困难,要能从整体概念上较好地理解和把握应用,不是仅靠几本培训的书籍,囫囵吞枣的看一遍,然后上机练习几遍就可以大功告成的,因此在学习过程中要多做笔记,要注意从结合实际应用出发。审计数据的采集与转换在计算机审计中非常重要,是难点也是重点,操作难度大。审计人员如果不能获取和转换被审计单位的电子数据,就面临进不了门、打不开账、无账可查的被动局面。审计人员到被审计单位采集数据时,会遇到用友、金蝶、SAP中国、金算盘、浪潮以及自行开
信息系统审计的指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
信息系统审计工作制度
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
计算机信息系统控制审计
计算机信息系统控制审计
学习目的 通过学习,我们要掌握以下三个问题: ◆一、在信息技术环境下,审计有什么改变? ◆二、信息技术环境下控制测试的范围。 ◆三、信息技术一般控制与运用控制的关系,及其如何影响实质性测试?
案例1.1信息系统环境下控制测试 ?华兴集团公司是今明会计师事务所的常年审计客户,上年度各项内部控制设计合理并运行有效。注册会计师正在对华兴集团公司本年度的内部控制进行了解,并评估重大错报风险。华兴集团公司有20余家子公司。2018年初,为了满足集团公司对财务信息实时性、准确性、真实性的要求,推行企业信息化管理。通过与ERP系统开发公司的协商,购进新开发的ERP系统并投入使用。由于采用ERP系统,财务核算人员由原来的163减至61人。
案例1.1信息系统环境下控制测试 ?注册会计师了解采购与付款循环时,注意到供货单位的发票信息由会计部输入,并由计算机将其与其他信息(订购单等)相核对。在收到货物时,由验收部门将验收入库信息输入计算机系统,计算机会自动生成一份入库单,由仓库审核后自动更新存货记录。计算机能够自动将订购单、验收单、入库单和供货单位的发票上的信息(如供货单位、型号、规格、单价等)相核对并经审批后开出未付凭单。付款部门根据未付凭单打印出支票,计算机自动将该未付凭单标记,防止重复付款。通过询问采购人员,发现有一供货商将同一笔交易发来两张不同编号的发票,在月末存货监盘时发现重复记录购货,追回了多付的货款。后来公司加强了该系统的手工校验程序。
案例1.1分析与思考 ?1.信息系统下控制测试的范围如何变化?为什么? ?2.分析信息系统控制存在什么缺陷?这些缺陷影响哪些认定?如何应对?
计算机辅助审计技术应用的范围及方法
计算机辅助审计技术应用的范围及方法 我国计算机审计存在的问题 (1)电算化审计方法名不副实.审计处于被动局面.一般 来说,电算化系统的审计会经历3个阶段:一是绕过计算机审 计阶段;二是透过计算机审计阶段;三是利用计算机审计阶 段.在我国审计实务中,对大多数计算机信息系统环境的审计 还停留在绕过计算机审计阶段,即审计人员不审查机内程序 和文件,只审查输入的数据和打印输出的资料.当前注册会计 师对电算化会计信息系统的审计还普遍是仅仅针对输入前的 原始凭证和输出的证,账,表等资料,而对电算化系统的内部 控制,系统内部的程序文件,系统开发阶段的审计等还没有引 起足够的重视.这实际上是审计人员对当前会计电算化系统 所采用的一种手工审计方法,不涉及计算机软件知识.由于不 对计算机程序处理过程进行审计而只对有限的部分数据进行 审计,因此不彻底,具有片面性.正因为计算机审计依然停留 在”绕过计算机”的阶段,并没有深入到被审计单位所使用的 信息系统内部来进行审计,所以这种审计方式蕴含着极大的 审计风险. l2)计算机审计停留在浅层次运用上,专业审计软件市场 不完善.我国的财务软件无论是在功能上还是开发技术上都
发展很快,现在正在由核算型向管理型方向发展,一些企业已初步建立了以财务系统为核心将”供,产,销”全面整合的ERP 系统.然而,在对电算化会计信息系统的审计中审计软件的应用并不普及,可以说审计软件的推广速度远远落后于财务软件的普及程度,计算机辅助审计停留在浅层次运用上,专业审计软件市场不完善.计算机辅助审计停留在浅层次运用上,主要是因为专业审计软件市场不完善.审计软件开发周期长,使用周期短,市场容量狭窄,需求又有不确定性和不断增长性, 造成审计软件的开发难度远远大于财务软件,这就使众多的软件开发公司热衷于利润高,难度小,维护少的财务软件,而 轻易不敢涉及审计软件.在计算机审计时不得不停留在看重检查输入前的原始凭证和越过电算系统直接去检查处理打印出来的结果的一种手工审计方法.整个软件市场缺乏高质量的通用审计软件来配合通用会计软件的使用.目前,电算化会计软件的功能由核算型向管理型转变,其功能越来越强,结构越来越复杂.但是软件对如何满足电算化审计要求的考虑还不够,会计软件设计的结构存在不规范之处,同时对数据的查询不能满足双向查询的要求,更谈不上二维查询了.另外,电 算化会计软件在保留审计痕迹方面还存在不少缺陷,尤其是没有考虑为电算化审计预留测试通道,这个问题需要通过制定法规和市场竞争来解决. (3)与计算机审计有关的法规和准则有待进一步完善.审
第5章信息技术对审计的影响课后作业
第五章信息技术对审计的影响 一、单项选择题 1. 以下关于信息技术的说法中,错误的是()。 A.广义上讲,凡是能扩展人类信息功能的技术都是信息技术 B.信息技术的实现是依靠电子计算机和现代通信手段 C.光盘技术、计算机技术、通信技术是现代信息技术的核心 D.信息技术在改造被审计单位内部控制的同时,也产生了特定的风险 2. 信息技术在企业中的应用改变了()。 A.财务报表审计目标 B.风险评估的原则性要求 C.审计准则 D.内部控制的形式 3. 以下对信息技术一般控制和应用控制的相关表述中,错误的是()。 A.如果注册会计师计划依赖自动应用控制,则需要对相关的信息技术一般控制进行验证 B.有效的信息技术一般控制确保了应用系统控制得以持续有效地运行 C.信息技术应用控制一般要经过输入、处理及输出等环节 D.如果注册会计师不依赖自动控制,则无需了解与审计相关的信息技术一般控制和应用控制 4. 以下对计算机辅助审计技术的运用的说法中,错误的是()。 A.计算机辅助审计技术能提高审计工作的效率和效果 B.计算机辅助审计技术最广泛地运用于实质性程序,特别是细节测试 C.计算机辅助审计技术也可用于测试控制的有效性 D.计算机辅助审计技术有助于详审海量数据,也可用于辅助对舞弊的检查工作 5. 由于电子表格能够非常容易进行修改,并可能缺少控制活动,所以电子表格面临的重大固有风险和错误,其中不包括()。 A.输入错误 B.逻辑错误 C.计算错误 D.接口错误 6. 常见的系统自动控制和信息技术应用控制审计关注点不包括()。 A.系统自动生成报告 B.系统配置和科目映射 C.接口控制 D.程序变更 7.
信息系统审计(IT审计)操作流程(精)资料
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
信息技术对审计的影响
信息技术对审计过程的影响 1.对审计线索的影响 在信息技术环境下,从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成,数据均保存在磁性介质上,从而会影响到审计线索。 2.对审计技术手段的影响 随着信息技术的广泛应用,注册会计师需要掌握相关信息技术,把信息技术当作一种有力的审计工具。 3.对内部控制的影响随着信息技术的发展,虽然内部控制的目标并没有发生改变,但在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所改变。 4.对审计内容的影响 在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动处理的,信息系统的特点及固有风险决定了信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查,信息技术对审计内容的影响越来越大。 5.对注册会计师的影响 信息技术在被审计单位的广泛应用要求注册会计师一定要具备相关信息技术方面的知识,注册会计师必须对系统内的风险和控制都非常熟悉,然后对审计的策略、范围、方法和手段做出相应的调整,以获取充分、适当的审计证据,支持发表的审计意见。 对信息技术审计范围的影响因素 注册会计师在确定审计策略时应当从以下方面考虑对信息技术审计范围的影响: 1.被审计单位业务流程复杂度; 2.信息系统复杂度; 3.系统生成的交易数量; 4.信息和复杂计算的数量; 5.信息技术环境规模和复杂度。 一、信息技术一般性控制 1.信息技术一般性控制的含义 信息技术一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。 2.信息技术内部控制的环节 (1)程序开发; (2)程序变更; (2)程序和数据访问; (4)计算机运行。 二、信息技术应用控制 1.信息技术应用控制的含义 信息技术应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。 2.信息技术应用控制的目标 信息技术应用控制关注信息处理的以下目标: (1)完整性;
计算机辅助审计风险分析及对策
计算机辅助审计风险分析及对策研究1 摘要:计算机运用普及的情况下,计算机辅助审计亦广泛推行。计算机审计与传统审计存在的差异导致其审计过程、审计风险的差异。传统审计的风险防范方式不再适用于当代的计算机审计。本文就计算机审计过程中可能存在的审计风险,从信息系统和计算机辅助审计两个方面进行分析,并从审计调查和审计实施的两个阶段分别提出调整审计组成员、前期调查充分、获取数据方式多样和加强数据验证、深度分析数据、严格检查内控制度及执行情况、多种方式取证等对策,减低计算机辅助审计的审计风险。 关键字:计算机辅助审计信息系统审计风险对策 随着大数据时代的到来,在审计业务中计算机的使用越来越普遍,其重要性日渐凸显,计算机辅助审计的审计思维、审计技术、审计方法也在经历着改变。信息技术的进步,推动着会计、审计行业的快速发展,会计、审计人员不得不创新其业务方法,利用信息化、大数据等现代科技技术以达到高效率的业务要求。计算机审计的运用缩短了收集、分析审计证据的时间,大大提高了审计效率,但与此同时也为审计质量带来了新的挑战。 1.计算机审计步骤 在计算机辅助审计的情况下,其审计基本过程与传统的审计是相同的,同样可以分为以下三个阶段:审计准备阶段、审计实施阶段、审计终结阶段。 (1)审计准备阶段 注册会计师在进行审计业务前,应先对审计单位的组织机构进行了解,并调查清楚计算机在该组织机构内的分布及使用情况,然后在依据审计目标和重要性程度选择需要仔细审查的子系统。确定需要的数据后,采取可行的手段,收集所需的会计业务完整数据,了解被审计单位的整体情况。 在对收集的数据进行清理、转换和验证等一系列程序后,筛选合适审计需求的相关数据,且应当保证该数据的真实性、完整性、正确性。 (2)审计实施阶段 注册会计师对收集筛选的数据实施链接、投影等操作后可生成“审计中间表”,该表可为后续的审计阶段的基础信息。 在此过程中,运用审计模型对数据进行分析,可能直接发现问题、查证其真实情况,也有可能找到有关的问题线索。在不同情况下,延伸的时候可直接取证,也可进一步核查取证,并验证和查实相关问题。 (3)审计终结阶段 在通过数据分析就可以直接查证问题的情况下,注册会计师应当直接取证于计算机数据。针对无法直接查证问题的情况,应依据发现的问题进行进一步审计程序以获取相关审计证据。 注册会计师在编制审计报告时,应当对所有的证明材料和审计工作底稿进行归纳总结,并提出正确的审计意见,与审计方案和审计重点结合,形成对被审计单位的审计报告。 2.审计风险 2.1 信息系统审计的风险 (1)信息系统内部控制导致的审计风险