信息系统审计报告书hyuc.pptx

ABCD信息系统审计n 相关知识铺垫n 概念框架n 审计证据的获取与评价n 信息系统审计的常用方法n 信息系统审计报告ABCD审计信息化：国家角度第0节 相关背景和知识铺垫ABCD五个一工程一个模式 三个转变审计信息化国家规划ABCD 建设之路背景历程1998年，国务院出台了审计机关计算机辅助审计管理办法1999年，审计署组织编写了审计信息化系统规划并报国务院2001年3月，审计署提出了审计信息化建设总体目标和构想：一个模式、三个转变、五个一工程2001年11月，国务院办公厅下发了关于利用计算机信息系统 开展审计工作有关问题的通知2002年，国务院17号文件界定：“金审工程是12金字工 程之一”2003年7月，国家审计署发布2003至2007年审计 工作发展规划2004年7月，全国审计工作座谈会专题研 究审计信息化金审工程 金审工程2004年11月，金审工程一期竣工ABCD2004年的全国审计工作会议上，李金华审计长提出了审计信息化的具体工作要求：计算机在审计管理中的应用，要把重点放在审计信息的管理和使用上，促进信息集合，形成共享计算机审计和审计信息管理是今后审计信息化建设的两大重点任务，希望大家在这方面多用些精力，积极探索实践，加强人员培训，切实抓出成效。审计信息化工作的重点，要放在计算机在审计实施中的运用上ABCD“应从战略高度认识信息化的重要性和紧迫性，提高信息意识和信息文化素质，切实加强对信息化的领导力度，从改革入手进行业务流程再造，协调各部门、各环节的利益与矛盾，持续推进信息化。”“十一五 十一五”至 至2020 2020年信息化发展规划 年信息化发展规划ABCD审计信息化：企业角度ABCD信息时代呼唤计算机审计 信息时代呼唤计算机审计 从一组数据说起 从一组数据说起n 80%的计算机用于企业管理信息的处理n 85%的信息来自于计算机系统,其中70-80%的管理来自于会计信息系统n 90%的正规企业用计算机记账n 100%的会计师事务所面对计算机审计问题n 70-90%的内部审计面临计算机审计的挑战n TCL、中石化、烟草公司等会计和审计的信息化基本接近100%ABCD审计专业知识回顾审计专业知识回顾ABCD审计是什么？n 1、广义的审计定义：“审计是由专职机构和人员，对被审计单位的财政、财务收支及其他经济活动的真实性、合法性和效益性进行审查和评价的独立性经济监督活动。”ABCDn 2、简明审计定义 审计是独立检查会计账目，监督财政、财务收支真实、合法、效益的行为。审计是什么？ABCD审计的本质及特征n 1、本质三种观点-（1）审计就是查账-（2）审计是经济监督-（3）审计是独立的经济监督活动-经济监督基本职能-独立性最本质的特征ABCD审计的本质及特征n 2、特征n（1）独立性特征-组织上-人员上-工作上-经费上n（2）权威性特征-独立地位、专业素质-法律赋予n（3）公正性特征ABCD财产所有者 经营管理者 第三方委托经济责任履行经济责任报告结果委托业务审查业务接受审查 审 计审计的本质及特征ABCDn 两层涵义：-外延上被审计单位-内涵上审计内容或审计内容在范围上的限定 n 1、会计资料及其有关经济资料（具体形式）-（1）会计资料-（2）其他相关经济资料n 2、财政、财务收支及其有关的经济活动（实质内容）-（1）财政收支-（2）财务收支-（3）其他有关经济活动审计的对象ABCD审计的目标n 国家审计真实性、合法性、效益性n 独立审计合法性、公允性、一致性n 内部审计真实性、合法性、效益性n 审计总目标是评价受托经济责任，确切些说，是评价经营管理者对资财所有者应负的经济责任的履行情况。无论国家审计、社会审计还是内部审计，评价受托经济责任的履行情况都是其总目标。ABCD-按照审计主体划分-按照审计主体性质分：国家审计、内部审计、民间审计-与被审计单位关系分：外部审计、内部审计-按审计内容和目标分类-财政财务审计：传统审计-经济效益审计：绩效审计-财经法纪审计：专案审计审计的分类ABCD 国家、市场、行业对注册会计师的要求；国家、市场、行业对注册会计师的要求；会计电算化的成孰将导致什么？会计电算化的成孰将导致什么？审计信息化人才的严重短缺；审计信息化人才的严重短缺；审计软件已经趋于成熟，开始广泛应用 审计软件已经趋于成熟，开始广泛应用社会需要什么样的审计人才？社会需要什么样的审计人才？传统审计人才审计信息化审计信息化产品及教程产品及教程ABCD对传统审计教育模式的思考 对传统审计教育模式的思考传统填鸭式教学模式互动式教学模式v 毕业生为何就业难？v 如何培养综合型的高素质人才？v 如何解决这些矛盾？ABCD应具备审计知识构成 应具备审计知识构成审计学知识审计技能财务学知识会计学知识知识层次积累以实践教学为主，注重经验的积累。以理论教学为主，注重基础知识积累。ABCD 被审计对象业务信息电子化方式已经普及经济高速发展，审计任务越来越重审计管理复杂，审计工作质量需要加强国家经济监督体系日臻完善，审计工作越发精细国家政府越来越重视审计工作，提出了更高要求就业后审计工作环境分析 就业后审计工作环境分析ABCD可以转入任意电子 数据财务数据、业务数据针对被审计数据、结合审计业务制作了相关审计工具查询及查账工具、各种分析工具、各种检查工具、各种计算工具、丰富的审计预警。根据审计结果制作审计底稿国家审计机关要求的审计日记和工作底稿格式出具审计台账及审计报告完成审计成果统计计算机审计能解决的问题ABCD第1节 信息系统审计的概念框架n 对电子数据进行审计(1980年代1990年代)n 计算机辅助传统审计(1990年代2000)n 计算机辅助对计算机会计信息系统进行审计(2000年网络和集成思想大量应用后)-进行审计项目管理(四个过程的管理)-审计数据库管理-审计测试和验证(CAATs)n IT审计(计算机信息系统审计)(发展趋势)概念的发展历程ABCD一、信息系统审计的含义n 定义-信息系统审计是对被审计对象所采用的计算机化的信息系统的安全性、可靠性进行了解、测试与评价，并对信息系统对财务报告的影响作出判断或单独提出信息系统审计报告的过程。n 特征-职业资格-独立性-综合性-审计报告-安全、可靠与有效ABCDn 目标-对电子数据的审计同手工目标-用计算机作为工具的审计同手工目标-对会计信息系统的审计目标有较大发展安全合法 可靠效率 效益易用可审安全、合法、可靠、易用、效率、效益、可审ABCD应用程序系统数据资料系统开发对内部控制 对内部控制二、信息系统审计的内容开发过程6阶段审计 实质性、符合性审计鉴定结论、代码检验、模拟测试、替代比较存在、有效、持续、稳定ABCD信息系统审计的三阶段或四阶段信息系统审计的三阶段或四阶段审计完成审计实施审计计划 调研计划实施完成ABCD信息系统审计步骤信息系统审计信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括：n 获取并记录审计范围/主题n 风险评估和制定初步审计计划及排程n 详细审计计划n 初步审阅n 控制测试n 大量/实质性测试n 报告/结果沟通n 跟踪准备阶段实施阶段完成阶段ABCD开始前要了解什么信息风险评估其它信息风险管理保证一般信息技术控制审计电脑辅助审计技巧应用系统审计(包括运作前及运作后)ABCD编制计划 编制计划详细调查 详细调查成立组织 成立组织初步调查 初步调查明确任务 明确任务发出任务 发出任务书 书资源1资源2审计计划阶段主要内容ABCD审计实施阶段2345详细调查被审计系统：座谈，运行、抽查、观察等测试内部控制系统：问卷、调查文档、座谈、现场查验等收集证据，进行实质性测试：模拟运行、穿行测试、实务运行评价证据，形成诊断：内部控制是否存在有效、管理和应用方面的保证程度形成工作底稿：电子形式或传统形式1ABCD审计完成阶段1 1整理评价 整理评价审计证据 审计证据3 3编写审 编写审计报告 计报告2 2复核审计 复核审计 工作底稿 工作底稿提交审计 提交审计结论和建议 结论和建议项目平台 项目平台ABCD三个过程并不割裂审计计划审计收尾 设计实施-尽量计划周全-反馈与修改-实施过程的变更ABCDCOBIT:一套信息技术控制和管制架构 综合经营报告“有一种方式”架构“这种方式是”控制目标“最低控制措施是”审计方针“如何审计”实施指南“如何实施”管理层指南“如何衡量”COBIT的要素 什么?ABCDCOBIT:一套信息技术控制和管制架构 业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法 一个成熟的模式，用于协助每个信息技术流程控制的基准和决策最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：ABCD参资料和网站n SAP网站n 用友网站n 肖泽中(经科出版,2000)n 傅元略,上海人民出版社,2002ABCD第第22节节 审计证据的获取审计证据的获取n 证据的种类和特征n 获取的方法n 证据评价的方式方法n 评价的主要内容ABCD应用应用IQFIQF收集审计证据收集审计证据面谈内容 主要访谈对象 面谈过程 细节 AIS 全面情况 系统分析员 系统设计员 面谈准备 背景研究 面谈对象 准备内容 确定时间地点 子系统和主要功能 财务主管 操作人员 会计数据的来源、流向、频率、存储、保密等 数据（库）管理员 面谈实施 介绍和切入 谈话 回顾 系统的运行情况和满意度 操作人员 系统管理员 面谈分析 分析 跟踪一、IQF：面谈、问卷和流程图法简称，是现代管理咨询、学术研究、市场调查等活动常用的方法。ABCD1.1.问卷设计时要考虑的因素据 问卷设计时要考虑的因素据u 回答者特性u 需收集信息的属性u 提问的问题本身应注意u 简洁、清晰u 不会产生歧义u 避免无法回答（不熟悉或越权）u 避免误导二、问卷调查法ABCD2 2回答方式的选择 回答方式的选择u 单选u 多选u 填空u 标图调查表的利用 调查表的利用u u 一个举例 一个举例二、问卷调查法ABCD员工对系统的理解高中层对系统的理解问题：您认为公司的信息系统是否方便?信息来源：洪业会计系统问卷调查报告表1.方便2.一般 4.不好评价3.不方便问卷结果的分析举例ABCDu 流程图分类 流程图分类u 数据流程图u 系统流程图u 程序流程图u 控制流程图u u 流程图的制作 流程图的制作-P61-P61u u Word Wordu u Ppt Pptu u Visio Visiou u 作用 作用u u 分析和设计内部控制 分析和设计内部控制u u 描述一个应用 描述一个应用u u 计划安排 计划安排三、流程图分析法ABCD利用软件自身的数据接口转入转出导入导出另存为审计接口嵌入式：函数、公式等外挂式提取：例如SAP、NC利用审计软件的数据接口功能获取利用办公软件的数据接口DBNS：access,excel,dbase,foxp利用ODBC-P63通过数据接口直接获取数据 通过数据接口直接获取数据ABCD在线收集审计证据 在线收集审计证据一、在线系统收集的主要内容、过程和方法 一、在线系统收集的主要内容、过程和方法-P68-P68u 输入审查u 内容、范围、过程和方法u 处理审查u 输出审查u 操作培训u 数据文档二、在线收集的工作底稿u 范围u 描述u 局限u 结论u 使用条件内容、范围、过程和方法ABCD基于网络的实时收集 基于网络的实时收集一、计算机网络的特征 一、计算机网络的特征-P68-P68u 资源共享，信息大陆u 内控复杂、风险较高u 网络的无限延伸u 麦特卡夫定律u 摩尔定律u 网格定律u 多点攻击二、网络收集两类证据 二、网络收集两类证据u 访问控制证据u 权限设置u 密码认证u 加密控制u 链路、服务器密钥、加密、自解等ABCD基于网络的实时收集 基于网络的实时收集三、计算机网络系统证据收集的步骤 三、计算机网络系统证据收集的步骤u 确定收集样本u 随机抽查样本记录u 数据传输的一致性u 准确性u 可控性u 分析记录u 记录工作底稿ABCD评价过程和步骤评价过程和步骤定性方法定性方法定量方法定量方法底稿的撰写底稿的撰写信息系统审计证据的评价是审计人员依据一定的标准和原则对收集到的审计证据进行分析和判断并作出符合要求的结论的过程。定义手段第3节 审计证据的评价ABCD计算机审计证据评价的流程和要素 计算机审计证据评价的流程和要素一、计算机审计证据评价的鉴定 一、计算机审计证据评价的鉴定u 鉴定标准u COSO框架u COBIT框架u 独立审计准则u 鉴定的独立性和专业要求二、证据评价的考虑要素 二、证据评价的考虑要素u 重要性水平u 风险估计水平u 选择方法的认可度ABCD计算机审计证据评价的定性方法 计算机审计证据评价的定性方法一、审计人员对证据的判断过程 一、审计人员对证据的判断过程u 鉴别有关线索u 权衡有关线索u 进行整体判断u 从系统角度出发u 判断总体风险和结论u 成本效益原则二、利用专家系统辅助判断 二、利用专家系统辅助判断u 专家系统概述u 构成和特征u 头脑风暴+资料获取ABCD计算机审计证据评价的定量方法 计算机审计证据评价的定量方法一、确定性模型 一、确定性模型二、概率模型 二、概率模型三、贝叶斯模型 三、贝叶斯模型四、数据包络分析 四、数据包络分析-非线性规划等 非线性规划等五、优化与技术等 五、优化与技术等ABCD作业与参考书建议 作业与参考书建议一、调查报告：一、调查报告：COSO/COBIT COSO/COBIT二、霍尔的 二、霍尔的 信息系统审计与鉴证 信息系统审计与鉴证，中，中信出版社 信出版社2003 2003年版 年版ABCD第第44节节 审计的常用方法审计的常用方法n 系统测试法n 整体检查法n 平行模拟法ABCDu 软件系统生命周期u 选择测试模块u 代测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 系统规划 系统分析 系统设计 系统实现 系统转化 运行维护ABCDu 软件系统生命周期u 选择测试模块u 代测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 识别程序危险因素 确定危险因素带来的损失 分析各模块的风险 利用可靠性模型确定模块故障数量 根据公式确定模块产生的损失ABCDu 软件系统生命周期u 选择测试模块u 测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 从输入开始 经过整个系统后进行结果比较 关键是设计测试数据 测试数据包括实际业务数据（量大一般不用）、用户数据、审计人员数据、工具软件生成ABCDu 软件系统生命周期u 选择测试模块u 测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 建立在规格说明书上 只管结果不问过程 用例较多 严格设计测试数据 目前用计算机辅助测试ABCDu 软件系统生命周期u 选择测试模块u 测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 建立在代码检查上 过程和结果同时测试 语句覆盖（case）分支覆盖（case）路径覆盖（case）ABCDu 软件系统生命周期u 选择测试模块u 测试数据设计u 黑盒测试u 白盒测试u 测试技巧系统测试法 黑盒为基础，白盒做补充 重点测试用例数据的边界值 采用等价类划分进行补充 利用专家经验进行错误推断，补充测试用例 根据测试要求，采用语句、分支和路径覆盖，补充测试用例ABCD整体检测法原理-步骤-结构确定测试系统 建立虚拟实体 处理测试数据 合适过程真实合适过程正确、完整ABCDu 标记事务法u 数据混合法（一）输入数据的选择 在主文件中标记 在系统中嵌入 系统抽样嵌入 优缺点：简单但有副作用ABCDu 标记事务法u u 数据混合法 数据混合法（一）输入数据的选择 选择测试数据后打乱次序 插入到数据库中 优点缺点：数据真实、覆盖面大但成本高，任务重ABCDu 修改应用程序，修改应用程序，剥离 剥离ITF ITF影响 影响u 提交附加项 抵消ITF影响（二）消除虚拟(ITF)事务对系统输出的影响 简单，直接 增加开发、维护、运行成本 增加新的风险ABCDu 修改应用程序，剥离ITF影响u u 提交附加项 提交附加项 抵消 抵消ITF ITF影响 影响（二）消除ITF事务对系统输出的影响 简单，无须修改原系统 增加工作量 易产生新的干扰信息 新方法是自动筛选（2000年后兴起）ABCD快拍快拍/扩展记录（扩展记录（S/ERS/ER）n 快拍技术-确定设置快拍点的位置-确定对事务处理快拍的时间-确定记录和分析上述快拍数据ABCD第第55节节 信息系统审计报告信息系统审计报告n 报告的内容-受件人-本审计单位情况-报告内容-重大发现和建议-审计结论-其他补充ABCDn 报告的编制要求-沟通审计结果-保证审计质量-及时提供报告-期后事项处理