计算机审计

搜集资料：李荣姣、周妍
PPT制作：刘倩倩
PPT讲说：高睿、孟妍
计算机审计
第一节：计算机审计的概述
第二节：计算机辅助审计技术
第三节：会计信息系统的内部控制
第四节：信息系审计的发展
第一节计算机审计概述
一．计算机审计的概念：
信息系统审计是一个通过获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效
率地利用组织的资源并有效果地实现组织目标的过程。

从这一定义看，信息系统审计是保证信息系统的合规性、
安全性、可靠性和有效性来实现组织目标的。

这不仅需
要关注信息系统本身产生的业务数据、财务数据、管理
数据，还应该把保障信息系统运行的各种管理制度纳入
审计范围。

信息系统审计的主体，可以是政府审计机关，
也可以是独立的信息系统审计中介机构；信息系统审计
的客体是信息系统本身，而不仅仅是数据文档审计。

信
息系统生命周期的开发、运营、维护等各个阶段都是审
计的对象。

对于“计算机审计”，目前尚无结论性的定义。

有人认为，它是以电子数据处理系统（Electronic Data Processing System）为对象范围进行的审计，因此，又称为EDP审计。

另一些人认为，它是以电算化信息系统为对象范围进行的审计，因此，又称为电算化信息系统审计。

还有些人认为，计算机审计是以计算机为技术手段所进行的审计。

前两种看法强调计算机审计的对象范围是电算化信息系统（尽管对信息系统的外延有不同的看法），而不管计算机审计的技术、方法和手段是电算化的还是人工的。

第三种看法恰好相反，它强调计算机审计的方法、技术和手段应是电算化的，而不管计算机审计的对象范围是电算化信息系统还是手工信息系统。

二．会计信息化对审计的影响：
会计信息化处理的计算机化是计算机审计产生的直接原因。

电子计算机把人类社会带进了电子信息时代。

我国从20世纪80年代初起，计算机系统逐渐应用于管理领域，尤其是会计领域，使传统的会计手工数据处理系统转变为会计电算化数据处理系统，进而逐步实现了会计信息化。

在实现会计信息化之后，在数据处理和工作效能等方面发生了根本的变化会计信息化导致在会计数据处理和工作效能等方面发生了根本的变化，从而对审计线索、审计内容、审计技术、内部控制和审计人员产生了影响。

主要表现在以下几个方面。

（一）对审计线索的影响。

审计线索对审计来说是十分重要的。

传统的手工会计系统，审计线索一般包括会计凭证、账簿和报表。

审计人员可通过顺查或逆查的方法来审查每一笔记录，检查和确定其是否正确地反映了被审计单位的经济业务，检查企业的财务活动是否合法。

而在会计信息化的条件下，某些审计线索会中断或消失，会计信息系统通过改变与审计线索有关部门的某些因素（如数据存储介质、存取方式、处理程序等），会对审计线索产生以下影响：（1）从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成，各项处理没有直接的责任人。

（2）纸质的会计凭证、账簿和报表由磁性数据文件代替。

（3）保存在磁性介质上的数据可能被篡改而不留痕迹，除非依靠计算机和应用程序，否则无法阅读。

（4）计算机记录的顺序和数据处理工作很难直接观
察等。

这些影响的结果是审计人员难以像以前那样对经济业务进行跟踪。

为了继续跟踪审计线索，顺利完成审计任务，在电算化会计系统的开发和设计阶段，开发者已注意使系统在处理问题时留下可跟踪的审计线索，另外，审计人员还要学会从磁性文件中找审计线索。

（二）对审计内容的影响。

在会计信息化的条件下，审计的监督职能并没有发生变化，但由于会计信息化的特点，审计内容却发生了相应的变化。

在信息化的会计系统中，各会计事项都是由计算机按程序进行自动处理，它可以使因疏忽大意等原因造成的错误不致发生，但若系统应用程序有错误或被人篡改，计算机则只能以错误的方法处理所有的会计事项，后果不堪设想；若应用程序中被非法嵌入舞弊程序，则可帮助犯罪分子贪污国家或集体的财产，或在某种情况下使系统处于瘫痪。

电算化会计系统的特点及其固有的风险，决定了会计信息化条件下审计的内容包括对信息化会计系统的处理和控制功能进行审查，这是手工系统下审计所没有也不能审查的内容，这就要求审计人员具有计算机会计和计算机审计的知识和技能来进行审查。

对信息化会计系统的审查着重审查系统的应用程序，审查其处理功能是否符合会计制度及其有关规定，是否能合法正确地处理各项业务，应用程序中的控制程序是否恰当有效，是否能达到控制目的。

审计人员如果不懂计算机知识就无法进行审计工作。

（三）对内部控制的影响。

众所周知，现代审计都是系统基础审计，也就是审计人员要对会计系统的内部控制进行审查和评价，以此作为制定审计方案和决定抽查范围的依据。

由于会计系统实现了信息化，会计系统出现了新的特点，因而也带来了新的风险。

手工会计系统原有的内部控制已不能适应电子数据处理的新特点，不能有效地降低会计信息化系统特有的风险。

例如：在会计信息化系统中，会计信息的处理和存储高度集中于计算机，使手工系统中的某些职责分离、互相牵制的控制失效。

为了系统的安全可靠，为了系统处理和存储会计信息的准确完整，必须考虑会计信息化系统的特点，针对其固有的风险，建立新的内部控制。

这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外，还包括了不少建立在系统应用程序之中，由计算机运行时的程序进行的控制。

在会计信息化条件下，审计人员必须研究信息化会计系统的内部控制，掌握其审计方法。

对于程序控制，审计人员要利用计算机辅助审计技术进行审计。

（四）对审计技术的影响。

过去审计人员进行审计都是手工操作的，但随着会计信息系统广泛地应用了电子计算机技术，审计人员若仍以手工操作方式进行
审计，显然难以达到目的。

因此，审计的技术手段也应由手工操作向电子计算机操作转变。

当然，这并不是说在审计中能用电子计算机完全替代手工操作，而是审计人员应该掌握电子计算机科学及其应用技术，把电子计算机当作一种有力的审计工具来使用。

由于会计信息系统在许多方面发生了变化，审计人员必须采用新的技术方法才能适应这种变化。

例如：传统的手工记账一般可从字迹上辨认登记人以明确责任，而计算机只能提供统一模式的输入资料，无法从记录上辨认登记人，这样，计算机中的记录可轻易被改变而不留痕迹。

这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。

（五）对审计人员的影响
由于信息化会计系统的环境比手工处理的会计系统更为复杂，审计线索、内部控制、审计内容和审计技术都发生了变化，如果审计人员只依靠过去的知识和技能是根本不能胜任工作的。

因此，审计人员面临着更新知识的需要，他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依据；而且还要掌握计算机和会计电算化方面的知识和技能，了解如何审计计算机系统，如何利用计算机进行审计；要有效地使用计算机、利用计算机进行审计，还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。

三．计算机审计的内容
1.从审计对象的涵义来看，计算机审计包含审计项目管理系统的计算机辅助审计、手工会计系统的计算机辅助审计和会计电算化系统审计三个方面的内容。

2.计算机审计同样是执行经济监督的职能，就其特殊性来说计算机审计包括了
下列两个方面的内容：（1）审计人员对计算机信息系统进行审计，即把计算机信息系统作为审计的对象；（2）审计人员利用计算机辅助审计——利用计算机作为工具，帮助审计人员完成一部分审计工作，即计算机作为审计工具。

四．计算机审计的程序
计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。

其中重点是计算机审计实施阶
段，包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据（信息）进行测试评价。

计算机审计过程具体可细分为以下主要步骤：
1.准备阶段。

①了解企业基本情况，与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料，归纳出被审计系统的特点和重点。

②组织审计人员和准备所需要的审计软件。

根据被审计企业会计电算化系统的
构成特点，复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人，组成审计小组，准备审计软件。

如果对某审计项目需要特殊的审计软件，还必须组成一个专门小组预先开发好所需要的软件，以保障审计工作顺利开展。

2.内部控制的初步审查。

初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度，初步熟悉电算化会计系统的业务流程和内部控制的基本结构，包括从原始凭证的编制到各种会计报表输出的整个过程。

一般采用如下的检查和会谈：①审阅上期的审计报告和管理建议书，初步了解上期系统的弱点。

②检查会计电算化系统的文档和系统使用手册，了解系统模块结构、名称、数据库以及相应的功能。

③检查输入数据的基本依据（电子数据和有关的原始凭证），初步了解企业会计原始数据产生的内部控制制度的基本情况。

④针对一些基本情况和上述检查发现的问题，与会计人员、系统开发和维护人员、程序员面谈，以便得到与司题相关的背景资料。

⑤初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，以及对产生和使用数据的单位的内部控制，并制作必要的简明数据流程图。

同时，审计人员还要对下列资料进行了解：①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量（数据处理量）。

②系统的组织结构、各级管理的职责，以及计算机系统的负责人和系统管理人员。

③系统内务应用子系统的控制类型和主要经济业务。

3.初步审查结果的评价。

初步审查后，审计人员必须从整个会计信息系统内部控制的角度出发，评价初步审查的结果，确定内部控制的可行性程度，并作出结论。

其结论可按以下三种方式之一作出：①退出审计。

由于缺乏实施审计的技术或内部控制不可依赖等许多问题，审计人员可针对这些问题提出一些管理建议并退出审计。

②对一般控制和应用控制进行进一步详细的审查。

这一方式是在初步审查表明内部控制有可依赖性的情况下采取的，实质性测试可作一些简化。

③决定不依赖于内部控制。

作出这一决定可能有两种原因：一是直接进行实质性测试更容易达到预定的审计目标；二是因为计算机内部控制系统可能不完善，各应用系统的用户自己增加了一些必要的补充控制，对补偿控制进行测试更易于达到审计的目的。

初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果，并对这些结果作出评价，为下一步应当怎样审计提供必要信息。

4.内部控制的深入审查。

与初步审查一样，审计人员要判断是否退出审计，或是依赖系统的内部控制进入下一阶段符合性测试，或是直接进入实质性测试过程。

对于某些应用子系统，审计人员可决定依赖于其内部控制，也可采用其他更适宜的审计过程。

5.符合性测试阶段。

符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用，以及实际存在的控制制度是否可信赖。

除了在前面审查中所用手工收集证据方法仍可用外，在这一步骤，审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。

6.用户补偿控制的审查和测试。

在某些情况下，审计人员可能决定不依赖计算机系统的内部控制，因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。

7.实质性测试实质性测试阶段的目标是取得充分的证据，使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断。

实质性测试可分为六类：①出错处理的测试；②数据质量的测试；③数据一致性的测试；④实物盘点与计算机系统中的数据比较测试；⑤利用外部数据资源对系统内的数据进行的测试；⑥分析性检查测试。

8.全面评价和编制审计报告。

通过上述的审计步骤，审计证据和对各项目的初步评价结果已经形成，但这些证据和初步评价的结果是比较分散的。

全面评价的目的是将收集到的审计证据和初步评价结果进行综合，筛选出重要的证据和主要的问题，将这些问题和证据作为重点进行综合评价。

评价的范围包括对会计数据的公允性、内控制度的健全性和有效性，以及会计电算化系统的效率性和效益性。

在评价结果的基础上编制客观公正的审计报告和管理建议书。

在报告提供给委托人之前，还应当征求被审计企业的意见，必要时对重大的问题进行追加审计，以保证审计报告和管理建议书有更高的可信度。

编制审计报告和建议书的基本过程和方法都与传统审计一样。

但应当注意的是，应用计算机进行审计，其审计结果汇总评价的许多方面可由计算机自动完成，甚至最终的审计报告也可由计算机辅助完成。

五．计算机审计方法
信息系统审计的基本方法可归纳为三种：绕过计算机审计、通过计算机审计和利用计算机审计。

1.绕过计算机审计(A udit Around the Computer)
绕过计算机审计是指审计人员不审查机内程序和文件，只审查输入数据和打印输出资料及其管理制度的方法。

缺点：1。

只有打印文件充分时才适用。

2。

要求输入与输出联系比较密切。

审计结果不太可靠。

2.通过计算机审计(Audit through the computer)
通过计算机审计是指除了审查输入和输出数据以外，还要对计算机内的程序和文件进行审查。

缺点：1。

审计技术较复杂。

2。

审计成本较高。

3.利用计算机审计(Audit with the Computer) 利用计算机审计是指利用计
算机的设备和软件进行审计。

利用计算机审计的优缺与通过计算机审计的优缺点基本相同。

第二节计算机辅助审计技术
一．计算机辅助审计技术的定义
《国际审计准则第15号》所指出的，在电子数据环境下，审计的总体目标和范围没有改变。

但是，在电子数据处理环境中，审计程序的应用可能要求审计人员考虑使用计算机作为审计的工具;这方面的各种计算机使用技术即称之为计算机辅助审计技术。

二、在会计信息计算机化的新环境下，计算机辅助审计的特点
（一）计算机辅助审计有助于增强审计工作的准确性和快速性，提高审计工作的效率与
质量。

计算机能够对会计信息进行高质、快速、大量的处理，而审计工作的对象正是以会计
信息为基础的财务信息及其他会计资料，计算机辅助审计的充分运用提高了审计数据的准确
性和快速性，促使审计人员把主要精力用于那些应用专业判断的工作中去。

（二）计算机辅助审计可以扩展被审计对象的范围，由书面形式向其他媒介形式扩展。

通过计算机辅助审计可以直接对被审计单位的全部会计资料进行审计，无论其资料是以书面
形式保存还是储存在计算机系统的磁媒介或其他储存器中。

（三）计算机辅助审计具有很强的适应性。

在采用会计电算化的情况下，运用计算机辅
助审计能使计算机在审计人员的操作下对大量的会计信息数据进行全面有效准确的综合分
析。

三．计算机辅助审计技术的应用
（一）审计软件．
审计软件由审计人员使用的计算机程序构成，作为其审计程序的一部分，用来处理被审单位会计系统的重要审计数据。

它可能由程序包、为特定目的而编制的程序和实用程序组成。

无论程序的来源如何，审计人员应在使用之前证实其对于审计目的的有效性。

程序包是用来执行数据处理功能的通用计算机程序，其功能包括读取计算机文件、选择信息、完成运算、建立数据文件以及以审计人员规定的格式打印报告。

为特定目的而编制的程序是为在特殊环境下完成审计任务而设计的计算
机程序。

这些程序可以由审计人员、被审单位或审计人员委托的外部程序设计人员编制。

在某些情况下，审计人员可以利用被审单位的程序或将其略加修改加以利用，这样可能比开发单独的程序更为有效。

实用程序是被审单位使用的、用来完成一般的数据处理功能的一组程序。

例如排序、建立和打印文件等程序。

这些程序一般并非为审计目的而设计的，因此，可能不具有诸如自动合计记录数或生成控制总数等功能.
（二）测试数据
测试数据技术是在实施审计程序时通过向被审单位计算机系统输入数据(如业务样本)，并将计算机处理结果与预先确定的结果进行比较的方法。

其用途举例如下:
测试数据用于测试计算机程序的特别的控制，如联机口令和数据存取控制;
从以前处理的业务中选择部分业务，或由审计人员设计模拟的业务，用于测试被审单位计算机系统的特别的功能特征。

一般将这些业务与被审单位的正常业务分开进行处理;
将测试数据用于整个测试程序，通过建立一个虚拟单位(例如一个部门或职工)，并在正常业务处理过程中将测试业务归入该虚拟单位。

四。

计算机辅助审计技术应用的主要步骤
审计人员应用计算机辅助审计技术的主要步骤如下:
(a)确定应用计算机辅助审计技术的目标；
(b)确定被审单位文件的内容和可接触性；
(c)确定进行测试的业务类型；
(d)确定对数据的执行过程；
(e)确定输出要求;
(f)确定参与计算机辅助审计技术的设计和应用的审计人员
和计算机专业人员；
(g)精确估计成本和收益;
(h)保证计算机辅助审计技术的应用保持适当的控制和文档
记录;
(i）行政事务的安排，包括必要的技能和计算机设施;
(j)实施计算机辅助审计技术;
(k)评价其结果。

第三节会计信息系统的内部控制
一．含义。

特点，功能
会计系统的内部控制是指为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计信息资料真实、合法、完整而制定和实施的政策与程序。

考虑到会计电算化的特点，电算化会计信息系统内部控制应具有以下功能：着重于组织、批准。

权限及保护措施等方面的责任控制功能。

由此表现出来的具体特点如
下：
1、控制的重点转向系统职能部门。

计算机会计信息系统实现后，数据的处理、存储集中于系统职能部门，因此内部控制的重点必须随之转移。

2、控制的范围扩大。

由于计算机会计信息系统的数据处理方式与手工处理方式相比有所不同，以及计算机系统建立与运行的复杂性，要求内部控制的范围相应扩大，其中包括一些手工系统中没有的控制内容，如对系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等等。

3、控制方式和操作手段由人工控制转为人工控制和程序控制相结合。

在计算机系统中，原有的手工控制手段有些仍然保留，但需要增设一些存储与计算机程序中的程序化控制。

当然随着计算机应用的程度不同，程序化控制的范围也会有所不同。

一般来说，计算机应用的程度越高，采用的程序化控制也就越多。

二会计信息系统内部控制的内容
1、一般控制是指对计算机会计信息系统的组织、鉴定、应用环境
等方面进行的控制。

一般控制是应用控制的基础。

主要包括以
下几个方面：
（1）组织控制：组织控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当
的组织机构和职责分工制度，以达到相互牵制、相互制约的目的；防止或减
少错弊的发生。

其中较重要的岗位有系统管理和审核岗位。

系统管理主要负责系统的硬软件管理，从技术上保证系统的正常运行审核岗位主要负责监督计算机及电算化系统的运行，防止利用计算机进行舞弊。

具体包括：审查机内数据与书面资料的一致性；监督数据保存方式的安全性、合法性，防止发生非法修改历史数据的现象；对系统运行各环节进行审查，防止存在漏洞等。

（2）系统操作控制：系统操作控制主要表现为操作权限控制和操作规程控制两个方面。

操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业，不得超越权限接触系统。

系统应制定适当的权限标准体系，使系统不被越权操作，从而保证系统的安全。

操作权限控制常采用设置口令来实行。

操作规程控制是指系统操作必须遵循一定的标准操作规程进行。

标准操作规程包括：软硬件操作规程，作业运行规程，用机时间记录规程等。

（3）系统文件安全及文档控制：系统文件应由专人负责保管，使用和修改必须经过有关领导审批，与系统无关的人员和按规定不得接触文件的人员，不得使用这些系统文件。

（4）内部审计在系统开发阶段，内部审计人员不仅要参与开发，指出现有措施的不足，提出改进意见，还要对开发工作本身进行审核和。