《计算机审计》PPT课件 (2)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第十三章 计算机审计
学习目标 :通过本章的学习,我们需要掌握 信息系统审计的基本业务内容 计算机审计的几种主要技术; 计算机审计的基本方法; 计算机信息系统内部控制的审计; 计算机信息系统功能的审计; 计算机信息系统数据文件的审计;
Page 1
13.1 计算机审计的发展 13.1.1 计算机审计的相关概念
Page 8
13.1.2 计算机审计的发展(续)
1999年6月,财政部发布了《独立审计准则第20—— 计算机信息系统环境下的审计》
2001年12月16日,国务院办公厅发布了《关于利用计 算机信息系统开展审计工作有关问题的通知》
2004年审计署发布了《审计信息化工作指导意见》 2006年2月15日,财政部在京举行会计审计准则体系
不足 :一是其运行结果总是难以满足审计人员的 要求;二是难以消除模拟数据及其运行结果对被 审计系统的影响
Page 11
13.2.2 并行模拟技术
所谓并行模拟技术,则是指采用测试的应用程序 或审计软件去处理真实数据,将处理结果同被审 单位原有的处理结果相核对的一种并行技术。
与模拟数据测试数据技术不同的是,并行模拟技 术采用的是“真数据、测试软件”做法,而模拟 数据测试技术则是“测试数据,真实软件”在被 审单位信息系统运行的做法。
一般认为,计算机审计既包括审计单位使用信息 技术进行审计,也包括对被审计单位使用的计算 机信息系统所进行的审计。换言之,只要审计单 位和被审计单位两方中有一方使用信息技术进行 审计和数据处理,都可以称作计算机审计。
Page 2
13.1.1 计算机审计的相关概念(续)
计算机审计也有一个动态发展的过程,最早的计算机审计主要是基于财务报 表审计展开的,而其应用技术也主要以计算机技术为主,随着时代的发展, 计算机审计已经发展为面向信息系统的审计,其应用技术也在不断扩展,例 如目前的网络技术的应用。
Page 6
13.1.2 计算机审计的发展(续)
英国审计职业委员会(APB)2001年1月颁布了《网上发布审计报告公告》 美国注册会计师协会(AICPA)下属的审计准则委员会(APB)于2001年发布第
94号准则《IT对CPA评价内部控制的影响》 2000年3月,国际审计实务委员会(IAPC)通过了与计算机信息系统环境有关的
为了保证并行模拟结果的可信度,测试程序或审 计软件进行模拟运行的业务选用时间应当是能够 反映被审单位完整业务类型的期间
Page 12
13.2.3 审计软件技术
目前审计软件一般具有法规查询、数据转换、账表生成、账证抽样、工作底 稿、审计报告生成、信息输出等功能模块。
随着智能化技术应用的深入,人工智能审计软件辅助审计可望实现。 在许多国外会计公司中,正在研究一种工作将神经网络与专家系统合二而一
Page 5
13.1.2 计算机审计的发展(续)
国际会计准则委员会(IASC)于1999年 12月发布 了《互联网上的财务报告》(Internet Finபைடு நூலகம்ncial Reporting)的研究报告。
澳大利亚审计与鉴证准则委员会(Australian Audit and Assurance Standard Board,AASB) 于1999年颁布了审计指导声明(AGS)1050《与电 子方式呈报财务报告相关的审计问题》。
优点:对审计人员的计算机水平要求不高 缺点:可能存在许多审计风险,影响审计师恰当
与公允判断
Page 15
13.3.1 绕过计算机的审计方法(续)
如何完善这种审计方法 : 过实地运行被审单位的计算机信息系统,从中观察系统可能存在的问题及其
对输出结果的影响 通过实地运行被审单位的计算机信息系统,可以观察到系统运行过程内部控
4项IAPS的征求意见稿
Page 7
13.1.2 计算机审计的发展(续)
国内计算机审计的发展 :1993年9月,审计署发布了《审计署关于计算机审 计的暂行规定》,提出电算化会计信息系统审计的基本标准。1996年底,审 计署发布了《审计机关计算机辅助审计办法》,明确规定了计算机辅助审计 的基本内容与范围,计算机辅助审计人员的资格,以及计算机辅助审计应注 意事项。
Page 10
13.2.1 模拟数据测试技术
模拟数据测试技术包括设计一组有效数据和无效 数据的输入。在计算机处理这些数据之前,这些 模拟数据事先由人工加以设计,并应由人脑通过 计算机等方法确定其的处理结果。然后再将这些 模拟数据输入到计算机信息系统之中,运行该系 统后将其与先前人脑计算的处理结果核对,如果 结果一致,说明该计算机处理是正确的,否则就 说明可能是计算机处理有问题。
Page 25
13.5.3 系统安全控制的有效性审查
系统安全控制,包括计算机信息系统自身的控制 和系统对网络技术的应用的控制两个方面
被审单位的计算机信息系统的功能的合法性,系 统处理功能运行正确性和完整性,以及系统安全 控制的有效性等方面的审查至关重要。三者的审 查缺一不可。而要对计算机信息系统的各项功能 详加审查,又必须采用各项计算机审计技术,诸 如上一节所介绍的模拟数据测试、并行模拟测试、 审计软件以及嵌入式审计等技术。
Page 23
13.5.1 系统合法性与完整性的审查
会计信息系统合法性审查 :在我国实施商品化会计核算软件评审的时期内, 我国有近300个软件通过财政部门组织的评审
会计信息系统的完整性 :它包括三个方面:一是信息系统应处于正常的运行 状态 ;是在正常运行状态下,信息系统对业务活动有数据电文信息、附属信 息和系统环境信息的完整记录 ;三是电子记录必须在业务活动的当时或即后 制作
Page 19
13.4.1 内部控制的初步了解与描述
审计人员通过询问、实地观察、查阅系统的文档资料,以及对一些基本业务 处理过程的跟踪,最后以文字描述、调查表和流程图等方法对初步了解的情 况加以详细记载。特别应当了解的是企业对网络安全控制是如何进行的,其 有效性达到何种程度。同时,被审单位的信息系统管理制度的制定与实施情 况,也应当纳入审计人员初步了解的范围之中。
Page 14
13.3 计算机审计方法 13.3.1 绕过计算机的审计方法
绕过计算机的审计方法在20世纪60年代初期国外 审计界十分盛行。 所谓绕过计算机,就是将计算 机信息系统看作是一个“黑箱”,审计时不考虑 这一“黑箱”所发挥的作用,而是令计算机把全 部会计凭证、账簿和报表打印出来,再按传统的 手工审计的方法进行审计。
Page 20
13.4.2 符合性测试
一般控制的测试 应用控制的测试
Page 21
13.4.3对内部控制的评价
当符合性测试完成之后,审计人员可以对被审单 位的内部控制是否达到应有的控制目标以及是否 存在重大缺陷提出评价意见。
一般控制的审查结果如何,将影响以下的实质性 测试的计划。一般地说,如果内部控制健全,控 制质量高,其控制风险就越小,因而其后的实质 性测试的工作量就少,反之,如果内部控制失控、 内部控制的薄弱环节多,气候的实质性测试的工 作量就要增大。
人员研究和评价内部控制的影响》 《计算机处理对 检查财务报表的影响》 从1984年开始,国际审计准则实务委员会就陆续批 准发布与计算机审计有关的审计准则,例如,《国 际审计准则15 电子数据处理环境下的审计》(1984 年2月)、《国际审计准则16 计算机辅助审计技术》 (1984年10月)和《国际审计准则20 电子数据处理 环境对会计制度和有关的内部控制研究与评价的影 响》(1985年6月)
发布会,发布了39项企业会计准则和48项注册会计师 审计准则
Page 9
13.2 计算机审计技术
对于计算机信息系统的审计,尽可能采用信息技术 进行审计可以最大程度地降低审计风险。当然,这 种采用信息技术去对计算机信息系统进行的审计需 要比采用传统审计技术要复杂得多。目前采用的主 要技术有:模拟数据测试、整合测试工具(ITF)、 并行模拟、审计软件、嵌入式审计程序、扩展记录、 抽点转储、跟踪、审核系统文档、控制流程图、制 图等几种。限于篇幅,以下主要介绍测试数据、并 行模拟、审计软件和嵌入式审计等技术。
Page 3
13.1.1 计算机审计的相关概念(续)
网络审计 :网络审计主要包括电子商务审计与网誉审计等内容。 信息系统审计与网络审计是计算机审计发展过程中的具体表现形式。计算机
审计是一个广义的概念,
Page 4
13.1.2 计算机审计的发展
国外计算机审计的发展 1974年美国会计师协会(AICPA)发布了 《EDP对审计
Page 22
13.5 计算机信息系统功能的审计
所谓计算机信息系统功能,是指计算机信息系统的处理功能和控制功能。其 中的处理功能,也即是信息系统的输入、处理与输出等对经济业务处理过程 所具的功能,而控制功能则是指保证系统安全运行所建立的各个程序化的控 制功能。由此可以看到,计算机信息系统功能的审计,也就包括对计算机信 息系统的处理功能和控制功能进行的审计。
的审计软件包,使得智能技术能够更好地为审计服务。
Page 13
13.2.4 嵌入式审计技术
对于那些具有高风险的应用程序,采用嵌入式审计模块(程序)特别有效。 所谓嵌入式审计模块,是指为了审计用途而修改计算机程序的一种审计技术。 其审计处理的对象只有真实数据而无测试数据。嵌入式审计模块(程序)能 够使易于消失的或无法采用事后分析的文档得到更多的监控与验证。由于其 采用嵌入式,因而使审计人员在任何时候都可采集到样本资料,并且在系统 的正常运行过程中进行数据采集。
Page 17
13.3.3 利用计算机的审计方法
利用计算机的审计方法,也称为计算机辅助审计法。 计算机辅助审计可以定义为,以计算机为工具, 使用适当的计算机软件,辅助审计人员完成审计 任务的行为的一种方法。
穿透计算机审计,主要是面对被审单位的计算机 信息系统所进行的审计,而计算机辅助审计范围 则不仅局限于对一个系统的审计,它可以包括审 计单位办公自动化。
利用计算机审计 的方式:实时联系方式 ;软件 联系方式
Page 18
13.4 计算机信息系统内部控制的审计
我国《独立审计具体准则第20号——计算机信息 系统环境下的审计》 要求注册会计师在研究和评 价一般控制时,应当考虑被审单位的组织与管理 控制、应用系统开发和维护控制、计算机操作控 制、系统软件控制,以及数据与程序控制等主要 因素。同时要求注册会计师在研究和评价应用控 制时,应当考虑输入控制、计算机处理与数据文 件控制和输出控制等主要因素等。 审计人员对内 部控制的审查与评价一般按三个步骤进行,即初 步了解、符合性测试和内部控制的评价。
Page 24
13.5.2 系统处理功能运行正确性和完整性审查
在一个会计软件,特别是一个ERP软件之中,系统处 理功能的设置绝非几个功能模块的简单组合
如SAP R3的会计子系统首先从模块设计入手,将 会计核算、财务管理和管理会计融为一体。对于 各处理功能模块的正确性审查,就要审阅系统设 计说明书,实地检查各功能模块的运行过程,并 通过检查各功能模块的处理结果,判断处理功能 的正确性。在审计会计核算子系统之际,则要根 据会计凭证、账簿和会计报表之间的勾稽关系的 正确性判断系统运行的可信度。
Page 26
13.6 计算机信息系统数据文件的审计 13.6.1数据文件审计的基本内容
计算机信息系统数据文件的审查一般列入实质性 测试的范畴之中。实质性测试是针对被审单位信 息所进行的测试,而符合性测试则一般是针对被 审单位系统所进行的测试,两者的作用点不同。
实质性测试一般分为三个步骤:首先将数据文件 转入审计用计算机内;其次是将被审单位的数据 内容转换为审计软件可以识别的数据内容;第三 是采用详细或抽样的方法对转换后的数据文件进 行审计。
制的实施状况
Page 16
13.3.2 穿透计算机的审计方法
穿透计算机的审计,就是指直接对计算机信息系统的输入、处理与输出全过 程进行审查评价的审计方法。
穿透计算机审计,才可能从根本上解决计算机信息系统审计难、风险大的问 题。
穿透计算机审计,关键是要有审计软件的开发与应用,使用审计软件对被审 单位进行审计,可以达到事半功倍。穿透计算机审计是未来审计采用的主要 方法
学习目标 :通过本章的学习,我们需要掌握 信息系统审计的基本业务内容 计算机审计的几种主要技术; 计算机审计的基本方法; 计算机信息系统内部控制的审计; 计算机信息系统功能的审计; 计算机信息系统数据文件的审计;
Page 1
13.1 计算机审计的发展 13.1.1 计算机审计的相关概念
Page 8
13.1.2 计算机审计的发展(续)
1999年6月,财政部发布了《独立审计准则第20—— 计算机信息系统环境下的审计》
2001年12月16日,国务院办公厅发布了《关于利用计 算机信息系统开展审计工作有关问题的通知》
2004年审计署发布了《审计信息化工作指导意见》 2006年2月15日,财政部在京举行会计审计准则体系
不足 :一是其运行结果总是难以满足审计人员的 要求;二是难以消除模拟数据及其运行结果对被 审计系统的影响
Page 11
13.2.2 并行模拟技术
所谓并行模拟技术,则是指采用测试的应用程序 或审计软件去处理真实数据,将处理结果同被审 单位原有的处理结果相核对的一种并行技术。
与模拟数据测试数据技术不同的是,并行模拟技 术采用的是“真数据、测试软件”做法,而模拟 数据测试技术则是“测试数据,真实软件”在被 审单位信息系统运行的做法。
一般认为,计算机审计既包括审计单位使用信息 技术进行审计,也包括对被审计单位使用的计算 机信息系统所进行的审计。换言之,只要审计单 位和被审计单位两方中有一方使用信息技术进行 审计和数据处理,都可以称作计算机审计。
Page 2
13.1.1 计算机审计的相关概念(续)
计算机审计也有一个动态发展的过程,最早的计算机审计主要是基于财务报 表审计展开的,而其应用技术也主要以计算机技术为主,随着时代的发展, 计算机审计已经发展为面向信息系统的审计,其应用技术也在不断扩展,例 如目前的网络技术的应用。
Page 6
13.1.2 计算机审计的发展(续)
英国审计职业委员会(APB)2001年1月颁布了《网上发布审计报告公告》 美国注册会计师协会(AICPA)下属的审计准则委员会(APB)于2001年发布第
94号准则《IT对CPA评价内部控制的影响》 2000年3月,国际审计实务委员会(IAPC)通过了与计算机信息系统环境有关的
为了保证并行模拟结果的可信度,测试程序或审 计软件进行模拟运行的业务选用时间应当是能够 反映被审单位完整业务类型的期间
Page 12
13.2.3 审计软件技术
目前审计软件一般具有法规查询、数据转换、账表生成、账证抽样、工作底 稿、审计报告生成、信息输出等功能模块。
随着智能化技术应用的深入,人工智能审计软件辅助审计可望实现。 在许多国外会计公司中,正在研究一种工作将神经网络与专家系统合二而一
Page 5
13.1.2 计算机审计的发展(续)
国际会计准则委员会(IASC)于1999年 12月发布 了《互联网上的财务报告》(Internet Finபைடு நூலகம்ncial Reporting)的研究报告。
澳大利亚审计与鉴证准则委员会(Australian Audit and Assurance Standard Board,AASB) 于1999年颁布了审计指导声明(AGS)1050《与电 子方式呈报财务报告相关的审计问题》。
优点:对审计人员的计算机水平要求不高 缺点:可能存在许多审计风险,影响审计师恰当
与公允判断
Page 15
13.3.1 绕过计算机的审计方法(续)
如何完善这种审计方法 : 过实地运行被审单位的计算机信息系统,从中观察系统可能存在的问题及其
对输出结果的影响 通过实地运行被审单位的计算机信息系统,可以观察到系统运行过程内部控
4项IAPS的征求意见稿
Page 7
13.1.2 计算机审计的发展(续)
国内计算机审计的发展 :1993年9月,审计署发布了《审计署关于计算机审 计的暂行规定》,提出电算化会计信息系统审计的基本标准。1996年底,审 计署发布了《审计机关计算机辅助审计办法》,明确规定了计算机辅助审计 的基本内容与范围,计算机辅助审计人员的资格,以及计算机辅助审计应注 意事项。
Page 10
13.2.1 模拟数据测试技术
模拟数据测试技术包括设计一组有效数据和无效 数据的输入。在计算机处理这些数据之前,这些 模拟数据事先由人工加以设计,并应由人脑通过 计算机等方法确定其的处理结果。然后再将这些 模拟数据输入到计算机信息系统之中,运行该系 统后将其与先前人脑计算的处理结果核对,如果 结果一致,说明该计算机处理是正确的,否则就 说明可能是计算机处理有问题。
Page 25
13.5.3 系统安全控制的有效性审查
系统安全控制,包括计算机信息系统自身的控制 和系统对网络技术的应用的控制两个方面
被审单位的计算机信息系统的功能的合法性,系 统处理功能运行正确性和完整性,以及系统安全 控制的有效性等方面的审查至关重要。三者的审 查缺一不可。而要对计算机信息系统的各项功能 详加审查,又必须采用各项计算机审计技术,诸 如上一节所介绍的模拟数据测试、并行模拟测试、 审计软件以及嵌入式审计等技术。
Page 23
13.5.1 系统合法性与完整性的审查
会计信息系统合法性审查 :在我国实施商品化会计核算软件评审的时期内, 我国有近300个软件通过财政部门组织的评审
会计信息系统的完整性 :它包括三个方面:一是信息系统应处于正常的运行 状态 ;是在正常运行状态下,信息系统对业务活动有数据电文信息、附属信 息和系统环境信息的完整记录 ;三是电子记录必须在业务活动的当时或即后 制作
Page 19
13.4.1 内部控制的初步了解与描述
审计人员通过询问、实地观察、查阅系统的文档资料,以及对一些基本业务 处理过程的跟踪,最后以文字描述、调查表和流程图等方法对初步了解的情 况加以详细记载。特别应当了解的是企业对网络安全控制是如何进行的,其 有效性达到何种程度。同时,被审单位的信息系统管理制度的制定与实施情 况,也应当纳入审计人员初步了解的范围之中。
Page 14
13.3 计算机审计方法 13.3.1 绕过计算机的审计方法
绕过计算机的审计方法在20世纪60年代初期国外 审计界十分盛行。 所谓绕过计算机,就是将计算 机信息系统看作是一个“黑箱”,审计时不考虑 这一“黑箱”所发挥的作用,而是令计算机把全 部会计凭证、账簿和报表打印出来,再按传统的 手工审计的方法进行审计。
Page 20
13.4.2 符合性测试
一般控制的测试 应用控制的测试
Page 21
13.4.3对内部控制的评价
当符合性测试完成之后,审计人员可以对被审单 位的内部控制是否达到应有的控制目标以及是否 存在重大缺陷提出评价意见。
一般控制的审查结果如何,将影响以下的实质性 测试的计划。一般地说,如果内部控制健全,控 制质量高,其控制风险就越小,因而其后的实质 性测试的工作量就少,反之,如果内部控制失控、 内部控制的薄弱环节多,气候的实质性测试的工 作量就要增大。
人员研究和评价内部控制的影响》 《计算机处理对 检查财务报表的影响》 从1984年开始,国际审计准则实务委员会就陆续批 准发布与计算机审计有关的审计准则,例如,《国 际审计准则15 电子数据处理环境下的审计》(1984 年2月)、《国际审计准则16 计算机辅助审计技术》 (1984年10月)和《国际审计准则20 电子数据处理 环境对会计制度和有关的内部控制研究与评价的影 响》(1985年6月)
发布会,发布了39项企业会计准则和48项注册会计师 审计准则
Page 9
13.2 计算机审计技术
对于计算机信息系统的审计,尽可能采用信息技术 进行审计可以最大程度地降低审计风险。当然,这 种采用信息技术去对计算机信息系统进行的审计需 要比采用传统审计技术要复杂得多。目前采用的主 要技术有:模拟数据测试、整合测试工具(ITF)、 并行模拟、审计软件、嵌入式审计程序、扩展记录、 抽点转储、跟踪、审核系统文档、控制流程图、制 图等几种。限于篇幅,以下主要介绍测试数据、并 行模拟、审计软件和嵌入式审计等技术。
Page 3
13.1.1 计算机审计的相关概念(续)
网络审计 :网络审计主要包括电子商务审计与网誉审计等内容。 信息系统审计与网络审计是计算机审计发展过程中的具体表现形式。计算机
审计是一个广义的概念,
Page 4
13.1.2 计算机审计的发展
国外计算机审计的发展 1974年美国会计师协会(AICPA)发布了 《EDP对审计
Page 22
13.5 计算机信息系统功能的审计
所谓计算机信息系统功能,是指计算机信息系统的处理功能和控制功能。其 中的处理功能,也即是信息系统的输入、处理与输出等对经济业务处理过程 所具的功能,而控制功能则是指保证系统安全运行所建立的各个程序化的控 制功能。由此可以看到,计算机信息系统功能的审计,也就包括对计算机信 息系统的处理功能和控制功能进行的审计。
的审计软件包,使得智能技术能够更好地为审计服务。
Page 13
13.2.4 嵌入式审计技术
对于那些具有高风险的应用程序,采用嵌入式审计模块(程序)特别有效。 所谓嵌入式审计模块,是指为了审计用途而修改计算机程序的一种审计技术。 其审计处理的对象只有真实数据而无测试数据。嵌入式审计模块(程序)能 够使易于消失的或无法采用事后分析的文档得到更多的监控与验证。由于其 采用嵌入式,因而使审计人员在任何时候都可采集到样本资料,并且在系统 的正常运行过程中进行数据采集。
Page 17
13.3.3 利用计算机的审计方法
利用计算机的审计方法,也称为计算机辅助审计法。 计算机辅助审计可以定义为,以计算机为工具, 使用适当的计算机软件,辅助审计人员完成审计 任务的行为的一种方法。
穿透计算机审计,主要是面对被审单位的计算机 信息系统所进行的审计,而计算机辅助审计范围 则不仅局限于对一个系统的审计,它可以包括审 计单位办公自动化。
利用计算机审计 的方式:实时联系方式 ;软件 联系方式
Page 18
13.4 计算机信息系统内部控制的审计
我国《独立审计具体准则第20号——计算机信息 系统环境下的审计》 要求注册会计师在研究和评 价一般控制时,应当考虑被审单位的组织与管理 控制、应用系统开发和维护控制、计算机操作控 制、系统软件控制,以及数据与程序控制等主要 因素。同时要求注册会计师在研究和评价应用控 制时,应当考虑输入控制、计算机处理与数据文 件控制和输出控制等主要因素等。 审计人员对内 部控制的审查与评价一般按三个步骤进行,即初 步了解、符合性测试和内部控制的评价。
Page 24
13.5.2 系统处理功能运行正确性和完整性审查
在一个会计软件,特别是一个ERP软件之中,系统处 理功能的设置绝非几个功能模块的简单组合
如SAP R3的会计子系统首先从模块设计入手,将 会计核算、财务管理和管理会计融为一体。对于 各处理功能模块的正确性审查,就要审阅系统设 计说明书,实地检查各功能模块的运行过程,并 通过检查各功能模块的处理结果,判断处理功能 的正确性。在审计会计核算子系统之际,则要根 据会计凭证、账簿和会计报表之间的勾稽关系的 正确性判断系统运行的可信度。
Page 26
13.6 计算机信息系统数据文件的审计 13.6.1数据文件审计的基本内容
计算机信息系统数据文件的审查一般列入实质性 测试的范畴之中。实质性测试是针对被审单位信 息所进行的测试,而符合性测试则一般是针对被 审单位系统所进行的测试,两者的作用点不同。
实质性测试一般分为三个步骤:首先将数据文件 转入审计用计算机内;其次是将被审单位的数据 内容转换为审计软件可以识别的数据内容;第三 是采用详细或抽样的方法对转换后的数据文件进 行审计。
制的实施状况
Page 16
13.3.2 穿透计算机的审计方法
穿透计算机的审计,就是指直接对计算机信息系统的输入、处理与输出全过 程进行审查评价的审计方法。
穿透计算机审计,才可能从根本上解决计算机信息系统审计难、风险大的问 题。
穿透计算机审计,关键是要有审计软件的开发与应用,使用审计软件对被审 单位进行审计,可以达到事半功倍。穿透计算机审计是未来审计采用的主要 方法