《信息系统审计》 第7章教学教材.ppt

《《信息系统审计》 第7章教学教材.ppt》由会员分享，可在线阅读，更多相关《《信息系统审计》 第7章教学教材.ppt（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统审计 第7章 第七章第七章 信息系统应用程序审计信息系统应用程序审计 应用程序是信息系统的核心。对经济业务的处理是否应用程序是信息系统的核心。对经济业务的处理是否 合规、合法、正确等，以及应用控制的有效性，都直合规、合法、正确等，以及应用控制的有效性，都直 接依赖于应用程序。另外，应用程序也是差错与舞弊接依赖于应用程序。另外，应用程序也是差错与舞弊 最容易发生的地方。最容易发生的地方。因此需要：对信息系统应用程序实施审计因此需要：对信息系统应用程序实施审计第一节第一节 应用程序审计内容应用程序审计内容 从审计角度，对应用程序审计主要包括以下几方面：从审计角度，对应用程序审计主要包括以下

2、几方面：一、一、审查程序控制是否健全有效审查程序控制是否健全有效 主要包括：主要包括：1、程序输入控制的审计程序输入控制的审计 输入控制措施？输入控制措施？程序的运行效率与详细设计阶段所确定的算法效程序的运行效率与详细设计阶段所确定的算法效 率直接有关。率直接有关。审查程序运行效率，主要是查明当把详细设计转审查程序运行效率，主要是查明当把详细设计转 变为源程序时，变为源程序时，是否遵循了下列指导原则：是否遵循了下列指导原则：在具体编写程序前应简化算术表达式及逻辑表在具体编写程序前应简化算术表达式及逻辑表 达式；达式；细心地分析多层嵌套循环，以确定能否把一些细心地分析多层嵌套循环，以确定能否把一

3、些 语句或表达式移到循环体之外；语句或表达式移到循环体之外；尽量避免采用多维数组；尽量避免采用多维数组；尽量避免采用指针及复杂的表；尽量避免采用指针及复杂的表；采用采用“快快”的算法；的算法；不要把不同的数据类型混在一起；不要把不同的数据类型混在一起；只要可能就采用整形数的算法运算和布尔表达只要可能就采用整形数的算法运算和布尔表达 式。式。第二节第二节 应用程序审计方法应用程序审计方法 如何对应用程序实施审计？涉及：如何对应用程序实施审计？涉及：应用程序审计方法应用程序审计方法 对对应用程序实施审计可采用应用程序实施审计可采用：手工手工审计方法：如审计方法：如程序编码检查法、程序运行记程序编码

4、检查法、程序运行记 录检查法、程序运行结果检查法等。录检查法、程序运行结果检查法等。计算机辅助审计方法：即计算机辅助审计方法：即利用计算机对被审程序利用计算机对被审程序 进行审查，以确定其处理和控制功能是否可进行审查，以确定其处理和控制功能是否可 靠的方法。靠的方法。一、一、程序编码检查法程序编码检查法 程序编码检查法：程序编码检查法：指对被审程序的指令逐条加以指对被审程序的指令逐条加以 审查，以验证程序的合法性、完整性和程序审查，以验证程序的合法性、完整性和程序 逻辑的正确性。逻辑的正确性。通过该方法，审计人员可能发现下列情况：通过该方法，审计人员可能发现下列情况：（1）程序中没有设计预定的

5、控制功能，或者控程序中没有设计预定的控制功能，或者控 制无效或效果不大；制无效或效果不大；（2）程序应变能力差，即没有考虑例外的情况程序应变能力差，即没有考虑例外的情况 或特珠情况；或特珠情况；（3）程序中含有程序中含有“特洛依木马特洛依木马”，即程序员设计，即程序员设计 了便于营私舞弊的指令或子程序。了便于营私舞弊的指令或子程序。该方法一般适用于审查自行开发的信息系统软件该方法一般适用于审查自行开发的信息系统软件 （如会计软件）的下列几种情况：（如会计软件）的下列几种情况：（1）要详细了解一个高度敏感或重要的程序；要详细了解一个高度敏感或重要的程序；（2）要详细了解一个相对简单程序或程序系列

6、；要详细了解一个相对简单程序或程序系列；（3）要详细查明某一程序控制的实现；要详细查明某一程序控制的实现；（4）要详细了解某特定程序中的某一计算方法要详细了解某特定程序中的某一计算方法 或某一特定的处理；或某一特定的处理；（5）要证实某一程序是否按程序说明书和逻辑要证实某一程序是否按程序说明书和逻辑 流程图编写。流程图编写。采用程序编码检查法检查处理和控制功能的可能采用程序编码检查法检查处理和控制功能的可能 性和有效性，性和有效性，通常决定于下列因素：通常决定于下列因素：（1）被审程序的复杂性；被审程序的复杂性；（2）被审程序编写的语言和编写的方式，即可被审程序编写的语言和编写的方式，即可 读

7、性；读性；（3）审计人员对被审程序语言及编程技术的精审计人员对被审程序语言及编程技术的精 通程度。通程度。主要优点：主要优点：可以详细地了解程序中每一个处理和可以详细地了解程序中每一个处理和 控制功能，程序中各种错弊都可以使用该方控制功能，程序中各种错弊都可以使用该方 法检查。法检查。主要缺点：主要缺点：要求审计人员具有较高的编程语言和要求审计人员具有较高的编程语言和 编程技术的知识，且相当费时。编程技术的知识，且相当费时。另外，另外，还面临所审查的程序与被审计单位实际使还面临所审查的程序与被审计单位实际使 用的程序是不同的的风险。用的程序是不同的的风险。针对该风险，针对该风险，采用该方法进行

8、审查之前，应检查采用该方法进行审查之前，应检查 程序的一般控制是否健全有效，对此，程序的一般控制是否健全有效，对此，可采用下可采用下 列方法：列方法：（1）检查被审程序变动控制、接触控制是否正检查被审程序变动控制、接触控制是否正 常；常；（2）如被审单位备有程序管理登记簿，则应加如被审单位备有程序管理登记簿，则应加 以复核；以复核；（3）应采用突击审计的方式，拷贝被审系统正应采用突击审计的方式，拷贝被审系统正 在运行的被审程序进行审查。在运行的被审程序进行审查。二、二、程序运行记录检查法程序运行记录检查法 程序运行记录：程序运行记录：包括操作的起止时间、中断、故包括操作的起止时间、中断、故 障

9、、终端等方面的信息，由系统自动记录。障、终端等方面的信息，由系统自动记录。运用该方法：运用该方法：可以推测被审程序的处理和控制功可以推测被审程序的处理和控制功 能是否正常。如突然中断则可能说明程序中能是否正常。如突然中断则可能说明程序中 语法或逻辑等有错误。语法或逻辑等有错误。三、三、程序运行结果检查法程序运行结果检查法 程序运行结果检查法：程序运行结果检查法：指对数据处理的结果进行指对数据处理的结果进行 检查。通过对系统打印输出结果的检查，来检查。通过对系统打印输出结果的检查，来 推断被审程序处理功能的正确性和控制措施推断被审程序处理功能的正确性和控制措施 的健全有效性。的健全有效性。主要优

10、点：主要优点：审计技术简单，审计成本较低；审计技术简单，审计成本较低；主要缺点：主要缺点：只能推测系统中的控制与处理功能是只能推测系统中的控制与处理功能是 否正常，实际究竟如何，还必须采用其它的否正常，实际究竟如何，还必须采用其它的 审计方法进一步审查。审计方法进一步审查。数据处理的打印输出主要包括：数据处理的打印输出主要包括：错误清单、业务清单、错误清单、业务清单、记帐凭证、日记帐、分类帐、会计报表以及其它记帐凭证、日记帐、分类帐、会计报表以及其它 各种报表，等。各种报表，等。其中错误清单具有下列用途：其中错误清单具有下列用途：（1）错误清单中记录的错误的多寡，可作为评错误清单中记录的错误的

11、多寡，可作为评 价被审程序内部控制有效性的主要依据；价被审程序内部控制有效性的主要依据；（2）根据错误清单上所列的错误类型及其处理根据错误清单上所列的错误类型及其处理 方法，可找出造成错误的原因及其处理是方法，可找出造成错误的原因及其处理是 否适当；否适当；（3）若以手工抽查计算结果与计算机输出内容若以手工抽查计算结果与计算机输出内容 不符，而错误清单中未列有该错误时，被不符，而错误清单中未列有该错误时，被 审程序的内部控制可能还存在若干缺陷。审程序的内部控制可能还存在若干缺陷。主要优点：主要优点：审计人员不必具备较高的计算机知识，审计人员不必具备较高的计算机知识，只需熟悉手工审计的技巧；只需

12、熟悉手工审计的技巧；主要缺点：主要缺点：所获得的输出可能并非被审程序的实所获得的输出可能并非被审程序的实 际处理结果；被审程序中的错弊不可能全部际处理结果；被审程序中的错弊不可能全部 出现在一份或多份的打印输出资料上。出现在一份或多份的打印输出资料上。四、四、检测数据法检测数据法 检测数据法：检测数据法：指审计人员把一批预先设计好的检指审计人员把一批预先设计好的检 测数据，利用被审程序加以处理，并把处理测数据，利用被审程序加以处理，并把处理 的结果与预期的结果作比较，以确定被审程的结果与预期的结果作比较，以确定被审程 序的控制与处理功能是否恰当、有效。序的控制与处理功能是否恰当、有效。该方法的

13、工作原理可参见下图：该方法的工作原理可参见下图：检检测测业业务务数数据据被审程序被审程序手工处理手工处理被被审审程程序序处处理理结结果果 预期结果预期结果比较核对比较核对 检测数据法可用来审查信息系统的全部程序，也检测数据法可用来审查信息系统的全部程序，也 可用来审查个别程序，还可以用来审查某个程序可用来审查个别程序，还可以用来审查某个程序 中的某个或某几个控制措施，以确定这些控制是中的某个或某几个控制措施，以确定这些控制是 否能发挥有效功能。否能发挥有效功能。检测数据法一般适用于下列三种情况：检测数据法一般适用于下列三种情况：（1）被审信息系统的关键控制建立在计算机程被审信息系统的关键控制建

14、立在计算机程 序中；序中；（2）被审信息系统的可见审计线索有缺陷，难被审信息系统的可见审计线索有缺陷，难 以由输入直接跟踪到输出；以由输入直接跟踪到输出；（3）被审单位信息系统程序较多，用该方法比被审单位信息系统程序较多，用该方法比 直接用手工方法进行审查更经济，效率更直接用手工方法进行审查更经济，效率更 高。高。该方法的关键问题：该方法的关键问题：选择或设计合适的检测数据。选择或设计合适的检测数据。检测数据按其来源可分为：检测数据按其来源可分为：（1）被审单位以往设计的检测数据；被审单位以往设计的检测数据；（2）由审计人员自行设计的检测数据。一般来由审计人员自行设计的检测数据。一般来 说，说

15、，可采用下列几种方式自行设计检测数可采用下列几种方式自行设计检测数 据：据：A、根据被审程序控制及处理功能和主文根据被审程序控制及处理功能和主文 件，设计若干虚拟的业务，并逐笔制件，设计若干虚拟的业务，并逐笔制 作成模拟检测数据；作成模拟检测数据；B、根据被审计单位以前月份或年度的输根据被审计单位以前月份或年度的输 入数据，稍加修改后利用；入数据，稍加修改后利用；C、运用审计软件产生检测数据。运用审计软件产生检测数据。无论检测数据的来源如何，无论检测数据的来源如何，检测数据中应包括下检测数据中应包括下 列两类业务：列两类业务：（1）正常的、有效的业务，以确定被审程序对正常的、有效的业务，以确定

16、被审程序对 有效数据的处理是否正确；有效数据的处理是否正确；（2）不正常的、无效的业务，以确定被审程序不正常的、无效的业务，以确定被审程序 能否将这些业务检测出来，拒绝接受，并能否将这些业务检测出来，拒绝接受，并 给出错误信息，以便修改。给出错误信息，以便修改。主要优点：主要优点：（1）对审计人员的计算机知识和技能的要求不对审计人员的计算机知识和技能的要求不 太高；太高；（2）适用范围较广；适用范围较广；（3）在审计线索间断或不完整的情况下，使用在审计线索间断或不完整的情况下，使用 该方法也能对程序的功能作出评价；该方法也能对程序的功能作出评价；（4）该方法是一种抽样审计方法，用于测试比该方法

17、是一种抽样审计方法，用于测试比 较复杂的被审程序比较经济。较复杂的被审程序比较经济。主要缺点：主要缺点：（1）难以保证测试数据的全面性，因而难以对难以保证测试数据的全面性，因而难以对 被审程序做出全面的评价；被审程序做出全面的评价；（2）如果利用被审单位实际运行的程序和文件如果利用被审单位实际运行的程序和文件 处理模拟检测数据，可能破坏被审单位的处理模拟检测数据，可能破坏被审单位的 主文件；主文件；（3）难以保证被审的程序就是被审单位在整个难以保证被审的程序就是被审单位在整个 被审期间实际使用的程序。被审期间实际使用的程序。对策：对策：采取突击审计的方式；应检查系统采取突击审计的方式；应检查系

18、统 的一般控制是否健全、有效。的一般控制是否健全、有效。五、五、整体检测法整体检测法 整体检测法：整体检测法：指审计人员在被审的信息系统中建指审计人员在被审的信息系统中建 立一个虚拟的实体（如虚拟的部门、车间、立一个虚拟的实体（如虚拟的部门、车间、经销商、顾客、职员、帐户或其它任何会计经销商、顾客、职员、帐户或其它任何会计 信息的累计单位），然后利用被审程序，在信息的累计单位），然后利用被审程序，在 正常的业务处理时间里，与真实业务一起，正常的业务处理时间里，与真实业务一起，对此虚拟实体建立的有关检测业务由同一被对此虚拟实体建立的有关检测业务由同一被 审程序进行处理，并把被审程序对这些检测审程

19、序进行处理，并把被审程序对这些检测 业务处理的结果与预期的结果进行比较，以业务处理的结果与预期的结果进行比较，以 确定被审程序的处理和控制功能是否恰当、确定被审程序的处理和控制功能是否恰当、可靠的方法。可靠的方法。该方法的工作原理可参见下图：该方法的工作原理可参见下图：实实际际业业务务数数据据虚虚拟拟实实体体业业务数据务数据被被审审程程序序或或系系统统手手工工处处理理实实际际业业务务处处理理结果结果虚虚拟拟业业务务处处理理结果结果 预期结果预期结果比较核对比较核对 采用整体测试法的步骤：采用整体测试法的步骤：（1）确定需要审查的程序以及需要审查的处理确定需要审查的程序以及需要审查的处理 及控制

20、功能；及控制功能；（2）虚拟一个实体；虚拟一个实体；（3）设计与虚拟实体有关的业务，并用手工计设计与虚拟实体有关的业务，并用手工计 算出预期的结果；算出预期的结果；（4）将虚拟实体的业务数据与被审计单位的实将虚拟实体的业务数据与被审计单位的实 际业务数据一并输入被审系统，由被审程际业务数据一并输入被审系统，由被审程 序进行处理；序进行处理；（5）将被审程序的处理结果与手工计算的预期将被审程序的处理结果与手工计算的预期 结果进行比较，作出评价；结果进行比较，作出评价；（6）消除虚拟实体的业务数据，以免影响真实消除虚拟实体的业务数据，以免影响真实 数据处理结果的正确性。数据处理结果的正确性。采用整

21、体检测法两种常见的使用方式：采用整体检测法两种常见的使用方式：（1）让检测业务如真实业务一样从头到尾通过让检测业务如真实业务一样从头到尾通过 整个系统，得到最终的输出。整个系统，得到最终的输出。该方法下，审计人员要准备一些会计分录该方法下，审计人员要准备一些会计分录 等冲销检测业务，以防影响被审计单位数等冲销检测业务，以防影响被审计单位数 据文件的正确性。据文件的正确性。（2）对被审信息系统的被审程序作适当的修改，对被审信息系统的被审程序作适当的修改，以便检测业务在进入总分类帐或重要的输以便检测业务在进入总分类帐或重要的输 出之前被删除，不致影响被审计单位的正出之前被删除，不致影响被审计单位的

22、正 常业务和财务报表。常业务和财务报表。该方法成本较高，也很困难，较少采用。该方法成本较高，也很困难，较少采用。主要优点：主要优点：（1）检测数据可与被审计单位日常处理的真实检测数据可与被审计单位日常处理的真实 业务一起输入，并进行处理，较其它审计业务一起输入，并进行处理，较其它审计 方法更为经济有效；方法更为经济有效；（2）可根据需要随时输入检测数据，从而能够可根据需要随时输入检测数据，从而能够 进行经常性的直接测试，保证被审程序是进行经常性的直接测试，保证被审程序是 实际运行的程序，保证审计结果的可靠性；实际运行的程序，保证审计结果的可靠性；（3）应用范围广泛。既适用于在线实时系统，应用范

23、围广泛。既适用于在线实时系统，也适用于批处理系统。也适用于批处理系统。主要缺点：主要缺点：（1）如果没有及时或完全消除检测数据，可能如果没有及时或完全消除检测数据，可能 会影响被审计数据文件和财务报表正确性；会影响被审计数据文件和财务报表正确性；（2）如果检测数据选择不全面，则不能审查出如果检测数据选择不全面，则不能审查出 被审程序中的全部错弊。另外，如果被审被审程序中的全部错弊。另外，如果被审 计单位的数据处理人员知道检测业务，也计单位的数据处理人员知道检测业务，也 可能会加以干预，从而影响审计结果。可能会加以干预，从而影响审计结果。六、六、程序编码比较法程序编码比较法 程序编码比较法：程序

24、编码比较法：指比较两个独立保管的被审程指比较两个独立保管的被审程 序版本，以确定被审程序是否经过了改变。序版本，以确定被审程序是否经过了改变。该方法：该方法：不仅适用于源程序编码之间的比较，也不仅适用于源程序编码之间的比较，也 可运用于目标程序码之间的比较。可运用于目标程序码之间的比较。确定下列一般控制是否被确实执行，可采用程序确定下列一般控制是否被确实执行，可采用程序 编码比较法，进行符合性测试：编码比较法，进行符合性测试：（1）目前正在使用的被审程序未遭非法的改动；目前正在使用的被审程序未遭非法的改动；（2）所有经核准的程序变动，均有适当的控制；所有经核准的程序变动，均有适当的控制；（3）

25、程序变动的原因及其预期影响均作成适当程序变动的原因及其预期影响均作成适当 的文件记录；的文件记录；（4）被审计单位规定的程序管理制度，确已被被审计单位规定的程序管理制度，确已被 正确执行。正确执行。程序编码比较法审查程序的一般步骤：程序编码比较法审查程序的一般步骤：（1）审计人员控制一个经审查其处理和控制功审计人员控制一个经审查其处理和控制功 能恰当的被审程序副本；能恰当的被审程序副本；（2）取得被审计单位正在运行的被审程序（取得被审计单位正在运行的被审程序（注注 意点：意点：应确保为在用程序）；应确保为在用程序）；（3）取得比较两个程序的软件；取得比较两个程序的软件；（4）在被审计单位或审计

26、人员的计算机上进行在被审计单位或审计人员的计算机上进行 比较。若有差异，应证实是否是经过批准比较。若有差异，应证实是否是经过批准 的改动；的改动；（5）评价检测结果。评价检测结果。该方法前提条件：该方法前提条件：以前对此应用程序进行过审查，以前对此应用程序进行过审查，并证实它原来的处理和控制功能是恰当、有并证实它原来的处理和控制功能是恰当、有 效的。因此，这种方法只能用于再次审计。效的。因此，这种方法只能用于再次审计。主要优点：主要优点：技术简单，使用方便，可以检查出被技术简单，使用方便，可以检查出被 审程序任何的修改。审程序任何的修改。主要缺点：主要缺点：如果程序改动较大，要分析和评价发如果

27、程序改动较大，要分析和评价发 现的差异，是困难和费时的。另外，如果比现的差异，是困难和费时的。另外，如果比 较的两个时点期间程序已经过了非法改变并较的两个时点期间程序已经过了非法改变并 已恢复的话，运用此法则无法检查出来。已恢复的话，运用此法则无法检查出来。七、七、受控处理法受控处理法 受控处理法：受控处理法：指审计人员通过被审程序对实际会指审计人员通过被审程序对实际会 计业务的处理进行监控，查明被审程序的处计业务的处理进行监控，查明被审程序的处 理和控制功能是否恰当、有效的方法。理和控制功能是否恰当、有效的方法。主要优点：主要优点：审计技术简单，省时省力，不需要具审计技术简单，省时省力，不需

28、要具 有较高的计算机知识，只要采取突击审计方有较高的计算机知识，只要采取突击审计方 式，就可保证审计结论的可靠性。式，就可保证审计结论的可靠性。主要缺点：主要缺点：选择的实际业务数据可能不足以评价选择的实际业务数据可能不足以评价 各种处理和控制功能；要求审计人员具有相各种处理和控制功能；要求审计人员具有相 当的操作知识与技能，以便对被审程序运行当的操作知识与技能，以便对被审程序运行 过程进行有效的控制与监督；可能会影响被过程进行有效的控制与监督；可能会影响被 审计单位的正常数据处理及工作效率。审计单位的正常数据处理及工作效率。八、八、受控再处理法受控再处理法 受控再处理法：受控再处理法：指在被

29、审计单位正常业务处理以指在被审计单位正常业务处理以 外的时间里，由审计人员亲自进行或在审计外的时间里，由审计人员亲自进行或在审计 人员的监督下，把某一批处理过的业务进行人员的监督下，把某一批处理过的业务进行 再处理，比较两次处理的结果，以确定被审再处理，比较两次处理的结果，以确定被审 程序有无被非法篡改，被审程序的处理和控程序有无被非法篡改，被审程序的处理和控 制功能是否恰当、有效。制功能是否恰当、有效。前提条件：前提条件：用于再次审计用于再次审计 受控再处理法的两种不同方法：受控再处理法的两种不同方法：（1）审计人员保存一批在以前审计时已由当时审计人员保存一批在以前审计时已由当时 经审查证实

30、处理和控制功能恰当、有效的经审查证实处理和控制功能恰当、有效的 被审程序处理过的业务及当时处理的结果；被审程序处理过的业务及当时处理的结果；基本工作原理参见下图：基本工作原理参见下图：以以 前前 处处 理理过过 的的 业业 务务数据数据当当 前前 运运 行行的的 被被 审审 程程序序 处理结果处理结果以前处理结果以前处理结果比较比较 （2）审计人员保存有以前审计时已经审查证实审计人员保存有以前审计时已经审查证实 其处理和控制功能恰当、有效的被审程序其处理和控制功能恰当、有效的被审程序 副本，把当前被审程序处理过的业务输入副本，把当前被审程序处理过的业务输入 被审程序副本进行处理。被审程序副本进

31、行处理。基本工作原理参见下图：基本工作原理参见下图：当当前前被被审审程程序序处处理理过过的的业业务务数据数据审审计计人人员员保保存存的的被被审审程程序副本序副本处理结果处理结果当当前前被被审审程程序序的的处处理理结果结果比较比较 主要优点：主要优点：测试数据是现成的，而且可在审计人测试数据是现成的，而且可在审计人 员和被审单位都感到方便时进行测试。不干员和被审单位都感到方便时进行测试。不干 扰被审计单位的正常业务。扰被审计单位的正常业务。主要缺点：主要缺点：被审计单位已经处理过的业务文件可被审计单位已经处理过的业务文件可 能只保留很短的时间，而主文件可能经过了能只保留很短的时间，而主文件可能经

32、过了 多次更新。难以获得重新处理所需的文件。多次更新。难以获得重新处理所需的文件。九、九、平行模拟法平行模拟法 平行模拟法：平行模拟法：指审计人员自己或请计算机专业人指审计人员自己或请计算机专业人 员编写的具有和被审程序相同处理和控制功员编写的具有和被审程序相同处理和控制功 能的模拟程序，用这种程序处理当期的实际能的模拟程序，用这种程序处理当期的实际 数据，并以处理的结果与被审程序的处理结数据，并以处理的结果与被审程序的处理结 果进行比较，以评价被审程序的处理和控制果进行比较，以评价被审程序的处理和控制 功能是否可靠的一种方法。功能是否可靠的一种方法。该方法的原理可参见下图：该方法的原理可参见

33、下图：实际业务数据实际业务数据被审程序被审程序模拟程序模拟程序处理结果处理结果处理结果处理结果比较比较 该方法的一般步骤：该方法的一般步骤：（1）根据审计的目的和要求，确定被审程序；根据审计的目的和要求，确定被审程序；（2）了解该程序所涉及文件的记录格式、文件了解该程序所涉及文件的记录格式、文件 类型、数据处理步骤和计算规则，输入输类型、数据处理步骤和计算规则，输入输 出的格式和内容，输入、处理、输出控制出的格式和内容，输入、处理、输出控制 措施等。措施等。（3）编制审计模拟程序；编制审计模拟程序；（4）分别用被审程序和模拟程序处理实际业务分别用被审程序和模拟程序处理实际业务 数据；数据；（5

34、）对处理结果进行比较分析，并对被审程序对处理结果进行比较分析，并对被审程序 的处理和控制功能作出评价。的处理和控制功能作出评价。该方法：该方法：既可模拟被审程序的全部功能，也可只既可模拟被审程序的全部功能，也可只 模拟某一处理功能或控制功能。一般可用于模拟某一处理功能或控制功能。一般可用于 计算量大有一定的数学模型方面，如工资计计算量大有一定的数学模型方面，如工资计 算、材料成本差异的计算等方面，程序的模算、材料成本差异的计算等方面，程序的模 拟较为简单。拟较为简单。主要优点：主要优点：能独立地处理实际数据，不依赖被审能独立地处理实际数据，不依赖被审 计单位的人力和设备；审计结果较为准确。计单

35、位的人力和设备；审计结果较为准确。主要缺点：主要缺点：开发模拟系统难度较大且成本较高；开发模拟系统难度较大且成本较高；另外，首先要证明模拟程序是正确的，也是另外，首先要证明模拟程序是正确的，也是 一个额外的困难。一个额外的困难。十、十、嵌入审计程序法嵌入审计程序法 嵌入审计程序法：嵌入审计程序法：指在被审信息系统的设计和开指在被审信息系统的设计和开 发阶段，在被审的应用程序中嵌入为执行特发阶段，在被审的应用程序中嵌入为执行特 定的审计功能而设计的程序段，这些程序段定的审计功能而设计的程序段，这些程序段 可以用来收集审计人员感兴趣的资料，并且可以用来收集审计人员感兴趣的资料，并且 建立一个审计控

36、制文件（建立一个审计控制文件（SCARF）用来存用来存 储这些资料，审计人员通过这些资料的审核储这些资料，审计人员通过这些资料的审核 来确定被审程序的处理和控制功能可靠性。来确定被审程序的处理和控制功能可靠性。该方法的工作原理参见下图：该方法的工作原理参见下图：实际实际业务业务数据数据被审程序或被审程序或系统（包括系统（包括审计程序段）审计程序段）实际业实际业务处理务处理结果结果审计控审计控制文件制文件送送 用用户户送审送审计人计人员员 审计程序段主要有两种：审计程序段主要有两种：（1）不经常起作用的，只有审计人员在执行特不经常起作用的，只有审计人员在执行特 定的审计任务才激活的审计程序。如在

37、应定的审计任务才激活的审计程序。如在应 收帐款核算程序中嵌入的给债务人打印审收帐款核算程序中嵌入的给债务人打印审 计函证书的审计程序段，只有在审计人员计函证书的审计程序段，只有在审计人员 要打印审计函证书时才使用；要打印审计函证书时才使用；（2）在被审程序中连续监控某些特定点上的处在被审程序中连续监控某些特定点上的处 理的程序。如，在现金核算过程中，要检理的程序。如，在现金核算过程中，要检 查有无违反现金管理制度，可检查每笔现查有无违反现金管理制度，可检查每笔现 金收付业务是否超出范围和限额，若超出，金收付业务是否超出范围和限额，若超出，则把这笔业务记入到审计控制文件中。则把这笔业务记入到审计

38、控制文件中。主要优点：主要优点：可以防止审核时难以确信被审程序是可以防止审核时难以确信被审程序是 否是实际应用程序的缺陷。另外，处于实时否是实际应用程序的缺陷。另外，处于实时 监督状态，可弥补事后审计线索不充分缺陷。监督状态，可弥补事后审计线索不充分缺陷。主要缺点：主要缺点：只能用来审查事先考虑到的程序处理只能用来审查事先考虑到的程序处理 和控制功能以及有关情况；需要编制程序段，和控制功能以及有关情况；需要编制程序段，且要随应用程序修改而修改；还要求审计人且要随应用程序修改而修改；还要求审计人 员参与被审系统分析与设计。员参与被审系统分析与设计。十一、十一、程序追踪法程序追踪法 程序追踪法：程

39、序追踪法：是一种对给定的业务，跟踪被审程是一种对给定的业务，跟踪被审程 序处理步骤的审查枝术。一般可由追踪软件序处理步骤的审查枝术。一般可由追踪软件 来完成，也可利用某些高级语言或数据库管来完成，也可利用某些高级语言或数据库管 理系统中的跟踪指令跟踪被审程序的处理。理系统中的跟踪指令跟踪被审程序的处理。主要优点：主要优点：可列示被审程序中什么指令已执行以可列示被审程序中什么指令已执行以 及按何种顺序执行，可查出在被审程序中的及按何种顺序执行，可查出在被审程序中的 非法指令。非法指令。主要缺点：主要缺点：要求审计人员具有编写应用程序所用要求审计人员具有编写应用程序所用 的计算机语言的充分知识，实行跟踪并分析的计算机语言的充分知识，实行跟踪并分析 结果可能费时费力。结果可能费时费力。