会计信息系统第十的一章计算机审计与信息系统审计东北财经大学8910.pdf

《会计信息系统第十的一章计算机审计与信息系统审计东北财经大学8910.pdf》由会员分享，可在线阅读，更多相关《会计信息系统第十的一章计算机审计与信息系统审计东北财经大学8910.pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、会计信息系统 第十一章 计算机审计与信息系统审计（东北财经大学）第十一章 计算机审计与信息系统审计 对计算机信息系统性能和效益的评价与管理逐渐成为信息系统应用 中的一个突出问题。发达国家从上个世纪 60 年代后，逐渐发展起来一门相应学 科和管理技术，虽然统称为计算机审计，可是却包含两方面内容：一是指在信息 技术环境下，审计人员利用计算机对被审计单位的经济活动进行的审计，一般称 为计算机审计；二是指审计人员对被审计单位的计算机信息系统进行审查并发表 意见，一般称之为信息系统审计。这两方面既有区别又有联系，本章我们将对这 两方面进行深入讨论。第一节 计算机审计的基本概念 一、计算机审计的概念 对于

2、“计算机审计”这一概念一直存在着许多不同的认识，比如，计算机审计是指审计人员利用计算机技术对电算化会计信息系统处理结果所作 的审计；或者是审计人员将计算机作为审计工具对手工会计业务进行的审计；或 者是审计人员利用计算机技术对计算机信息系统本身进行的审计，等等。我们认 为，计算机审计这一概念在当前应该包括两方面的含义：一是在信息技术环境下，审计人员以计算机为工具，对被审计单位的会计报表的合法性、公允性及会计处 理方法运用的一贯性进行审查、评价并发表意见，本书称之为计算机审计或信息 技术环境下的审计；二是对被审计单位计算机信息系统保护资产的安全性、数据 的完整性及系统的有效性和效率进行审查、评价并

3、发表意见，本书称之为信息系 统审计。二、计算机审计的目标和任务 从计算机审计的概念中，我们可以看出计算机审计或者说信息技术环 境下的审计，其审计目标与手工审计的目标是一致的。以独立审计为例，信息技 术环境下的独立审计目标仍然是对被审计单位会计报表的合法性、公允性及会计 处理方法运用的一贯性发表意见，只是还要考虑信息技术环境对审计的影响。因 此，对审计师来说，计算机审计的任务除了完成会计报表审计之外，还应该：（1）审查计算机信息系统的内部控制，评价现行信息系统内部控制的设计是否科学、合理和适当；（2）考虑利用计算机辅助审计技术作为常用的审计手段来取得审计 证据；（3）在审计的各个阶段都要考虑信息

4、技术环境的影响因素，以确保审计范 围和审计结果不会因此受到限制。三、计算机审计的对象、范围和内容 对象：计算机审计的对象是被审计单位的全部或部分的经济活动。审计范 围是审计对象涉及的领域和内容，除此之外，如果被审计单位的信息化程度比较 高，还必须考察其信息技术环境，以确保：（1）信息系统中的基础性会计记录和 有关资料所包含的信息是可靠的；（2）信息系统能够保证有关的信息、资料在会 计报表中得到恰当的反应；（3）信息系统的内部控制是恰当的可靠的。内容：应收账款 顾客 计算机审计的主要内容应该是：（1）被审计单位的财务收支及其有关 的经营管理活动；（2）被审计单位的各种作为提供财务收支及其有关经营

5、管理活 动信息载体的会计资料及其相关资料；（3）被审计单位的信息技术环境。总体上看，审计工作大致可以分为两个基本组成部分。第一部分称 为过渡审计，其目标是确认企业的内部控制系统在多大程度上是可以信赖的，这 通常要进行某种类型的符合性测试，其目的在于确认存在性，评估有效性以及检 验内部控制措施的操作持续性。第二部分称为财务报表审计，包含实质性测试。实质性测试是在过渡审计的保证下对内部控制给予一定程度的信赖，对财务报表 数据进行直接证实和核查。举例：如图 113.1 所示，对现金余额的实质性测试包括对银行账户余额的直接 函证，对应收账款的实质性测试包括对客户余额的直接函证。交易 会计信息系统 财务

6、报告 过渡审计 符合性测试：确认内控存在性；有效性和持续性。现金 银行 确认余额）财务报表审计 实质性测试：对财务报表正确性确认 图 11.1 财务报表审计的结构 四、计算机审计的优越性 审计人员对信息技术的应用不再是任意的，而是必须的。审计人 员面对的评估数据大部分都是电子版，为了审计而将电子版转化为书面版除了浪 费是没有任何意义的。更何况考虑审计自身的竞争压力，运用信息技术提高审计 的工作效率也是完全必要的。因为计算机审计具有如下优越性：计算机生成的工作底稿更易读、更一致。这样的工作底稿更易存储、访问和 修改。省去了手工合计、交叉合计及其他一些常规计算，省时又省力。计算、比较和其他一些数据

7、操作更加准确。分析性的检查、计算能更加有效地进行，而且检查范围也可以放宽。减少了花费在纸面上的工作时间，使工作效率得到提高。电算化的审计方法和辅助审计程序，可以直接或稍作修改应用到后续的审计 工作中，因此可以持续地提高审计效率和降低审计成本。实现了相对于信息系统职员的更高的独立性。五、计算机审计软件 审计软件指那些能使计算机成为审计工具的计算机程序。对计算机 进行编程，使其能从会计信息系统的文件中阅读、选择、抽取和处理样本数据 能用于审计的软件分两大类：一类是专为审计工作编制的所谓通用 辅助审计软件，当前这类软件在国 内外市场上已有很多种，设计这类专用软件的 目的是让几乎没有计算机专业知识的审

8、计人员也能轻松使用计算机完成与审计 相关的数据处理工作。另一类是通用的工具软件，如微软公司开发的办公自动化 软件（office）。人工智能软件 在审计过程中审计人员有时使用人工智能类型的软件来辅助审计。最常见的是审计人员利用人工智能软件帮助进行风险评估。该软件通常能够把值 得怀疑的交易和账户找出来，供审计人员进行更深入的调查。因为再好的软件也 不能代替审计人员对审计事件做出判断。用于审计的人工智能软件有两种主要类型：神经网络和专家系统。神经网络的分析基于模式识别，因此可以把可能的不规则交易和账户数据标识出 来。比如，销售额常在月末（25-30 号）发生波动，若 20 号左右起伏较大，就 可能不

9、正常，神经网络软件会将其标识出来。神经网络软件本身可捕捉规律，积累经验并在使用中自学。续：专家系统则需要规则库，库中规则（经验）是专家作决策时 使用的。例如，某规则可能是：若一个会计帐户的余额比过去 3 年的平均余额高 20%，就 值得怀疑，需要调查核实这个账户。由于专家系统靠预定义的决策规则运行，审计人员可以经常更新或充 实决策规则，所以它有更容易被审计人员驾驭的优点。但与神经网络软件不同的 是专家系统没有自学能力 六、开展计算机审计的重要意义（一）计算机审计可以促进会计信息系统的发展与完善 计算机审计可以保护会计信息系统环境的安全性。通过审计，发现系统的安全隐患，即时建议，从而保证系统环境

10、 的安全性。2.计算机审计可以保证会计数据的可靠性和真实性。由于数据存贮介质的改变,数据有被篡改、不准确的可能,而计算 机审计要对会计数据是否正确、公正、全面进行审计。这可有效地防止利用计算 机输入和篡改会计数据等舞弊行为,从而提高会计数据的可靠性和真实性。3.计算机审计可以促进信息技术环境下内部管理和控制制度的不断完善。计算机审计要根据计算机审计准则,通过各种有效的方法和程 序,包括对信息技术环境下内部管理和控制制度进行研究和评价,指出内部管 理和控制的薄弱环节,提出改善意见,促使被审计单位加强内部管理和控制。（二）开展计算机审计可以促进审计自身的发展 计算机审计的开展,发展和完善了审计方法

11、与技术体系 扩展了审计的内容与范围 推动了审计工作规范化的进程 增强了审计信息的反馈能力（1）及时性。计算机审计给审计信息的利用提供了极大的方便,手 工条件下滞后的或需长期准备的常规审计信息计算机都可实时提供。（2）准确性。计算机审计不会发生像手工计算、整理、复核、核对 等容易出现的差错,所以审计人员可以选用那些复杂的、工作量大的、但更为精 确、实用的审计方法,以使审计信息更加准确 审计信息化是一场革命，能不能在这场革命中掌握主动权，直接关 系到审计事业的发展，关系到审计工作的前途和命运，审计人员不掌握计算机技 术，就将失去审计资格。国家审计署审计长李金华同志曾经指出：计算机审计要 坚定不移地

12、抓下去，这是中国审计的出路所在。要加强计算机的开发运用。这条 路子如果不走出来，审计是没有出路的。第二节 信息系统审计概述 一、信息系统审计的必要性 随着信息技术的高速发展和企业信息化进程的不断加快，企业对信 息系统的依赖日益增强，信息系统已经成为企业的重要资产。同其他资产一样，信息系统也需要严格管理与控制，并应定期进行审计。通过审计可以发现信息系 统本身及其控制环节的不足与缺陷，以便及时改进与完善，从而使信息系统在企 业的生产、经营和管理工作中发挥更大的作用。信息系统审计是审计业务的新拓展，在现实工作中，已有很多关于 信息系统的审计需求，如：对信息技术应用的管理控制进行审计；对基础设施、数据

13、中心、对外通讯进行审计；对应用系统进行审计；对信息系统开发过程进行 审计；对信息系统实施效果进行审计，对信息系统内部控制进行审计等。企业信息化就是利用信息技术建立实用的信息系统，以信息系统推 动企业的生产、经营和管理活动的进步。信息系统提供的实时通讯能力、分析计 算能力以及协同共享能力已经成为现代企业生存与发展必不可少的工具。然而，信息系统又有许多脆弱方面：（1）信息系统的安全可能没有得到足够的保证。（2）信息系统的数据处理可能不合逻辑。（3）信息系统的可靠性可能得不到很好的保 证。（4）信息系统需要较高的资金投入，如果资金使用不当会产生很高的成本，反而降低了企业的效益。（5）信息系统经常遭遇

14、舞弊行为，而且舞弊手法多样而 隐蔽，有时造成的损失令人惊讶。为了减少信息系统发生错误、灾难及其安全受到威胁的可能性，除 了加强信息系统的管理控制外，还必须定期对信息系统进行审计。特别是随着我 国企业信息化程度的提高，开展信息系统审计就更为必要。二、信息系统审计的定义和审计对象 信息系统审计是通过一定的技术手段采集审计证据，对被审计单位 的计算机信息系统的安全性、可靠性、有效性和效率进行综合审查与评价活动。信息系统审计的对象是被审计单位的计算机信息系统。由于技术水平等原因，信息的使用者不能自己验证信息的质量，因 此急需独立的第三方出面对信息的真实性、完整性、信息系统的安全有效性做 出鉴证，以 合

15、理保护信息使用者的利益。同时，企业在信息化过程中也急需专业 人士提供有效控制信息系统风险，提高信息化效益的服务。由此，真正意义上的 信息系统审计应运而生。如今的信息系统审计的业务已经超出了为财务报表审计 提供服务的范围，在很多大型会计公司内部，信息系统审计部门已经成为一个独 立的对外提供多种服务的部门。三、信息系统审计的目标 审计目标是指审计主体通过审计实践活动所期望达到的境地或最终 结果，或者说是审计活动的目的和要求。信息系统审计的目标是对被审计单位的 计算机信息系统的安全性、可靠性、有效性和运行效率进行审查与评价，并对存 在的不足提出改进意见，使之更完善。1.系统的安全性 系统的安全性是指

16、构成信息系统的硬件、软件和数据资源是否得 到妥善保护，不因自然或人为的因素而遭到破坏。2.系统的可靠性 系统的可靠性是由其中的硬件系统、软件系统与数据的可靠性等因 素共同决定的。3.系统的有效性 系统的有效性是指系统能否实现既定的目标，系统的各项处理过程 是否符合国家法律和有关规章制度的要求。4.系统的效率 系统的效率是指系统能否充分利用各种资源快速处理并及时输出 用户所需的信息。四、信息系统审计的特点 信息系统审计是审计工作的一个新领域，它以计算机信息系统 为审计对象，这就决定了信息系统审计具有如下一些突出特点：信息系统审计具有较强的技术性 信息系统审计工作具有一定的复杂性 信息系统审计的取

17、证具有动态性 第三节 信息系统审计技术 随着计算机会计信息系统的发展，信息系统审计技术也随之发展起 来，现在虽然还没有哪一种审计技术可以全面解决所有的审计问题，但是已经有 了很多工具和技术可以用来帮助完成相应的审计目标。如：测试数据、整合测试工具、并行模拟、嵌入式审计、抽点转存 等。一、测试数据法 测试数据是审计人员编制的一些包括有效数据和无效数据在内的 测试用例，用于测试程序运行的准确性。在让被测的程序处理这些测试数据之前，这些测试数据首先经过人工的处理，已经明确了处理结果应该是什么样子。然后 审计人员将程序运行的结果与人工处理的结果相比较，如果两个结果不一致，审 计人员则试图找出问题的原因

18、，如图 11-2 所示。测试数据法是通过计算机进行审计的第一步，尽管让审计人员明白计 算机程序的逻辑不太现实，但他们总可以明白系统的大致情况（功能），并利用 这些已掌握的知识来判断系统是否可行。被测试程序 测试数据 虚拟交易）运行结果 人工处理结果 图 11-2 测试数据法 在使用测试数据法时必须针对正在使用的程序，并保证测试数据不 会对系统中的文档产生任何影响。作为一种审计技术，测试数据法有些局限。因为测试只能在特定时 点、特定程序上运行，若程序变了，测试数据也就过时了。而且审计人员无法保 证被测的程序是正在被使用的程序。二、整合测试工具法 整合测试工具（ITF）法涉及测试数据的使用和虚拟实

19、体（如卖主、雇员、产品、账户）的创建。这项技术是整合的，因为测试数据和真实的交易数 据同时运行，而这有赖于包括真实实体和虚拟实体的主文档。因此，审计的核对 是必需的，用来保证被检查的程序和运行实际数据的程序是一致的。真假数据混在一起输入并处理，看结果如何。测试完成后要将假数 据处理形成的结果清除。整合测试工具法见图 11-3。计算机 应用系统 交易数据 ITF 交易数据 数据文件 不包含 ITF 数据的报告 包含 ITF 数据的报告 ITF 数据 图 11-3 整合测试工具法 ITF 法是一项应用较为普遍的技术，如果巧妙设计虚拟实体和测试 数据，花费也会很小，因为它不涉及特别的处理。ITF 的

20、主要缺点是需要将虚拟 数据处理产生的结果清除，显得很麻烦，但这是一个不可避免的过程，因为这项 技术就是要将测试数据 与实际数据同时运行。三、并行模拟法 测试数据法和 ITF 方法都是用真实的程序处理测试数据。而并行模拟是 用审计人员编写的专门用于测试的程序处理真实数据，然后比较模拟的输出和正 常的输出以达到控制的目的。自编的审计程序段承担的冗余处理工作，其数量仅 限于审计最关心的部分。即针对重要处理功能再编一段处理程序，然后与应用系 统并行，比较输出结果，以验证应用系统正确性。如图 11-4 所示 交易 （业务数据）并行模拟 程序段 业务报告 模拟报告 应用系统 需证实的 重要功能 比较 图

21、11-4 并行模拟 四、嵌入式审计程序 嵌入式审计程序是一种为了审计目的而改动计算机程序的审计技 术。他通过将专门的审计例行程序嵌入正在使用的软件系统中实现的，从而使交 易数据或交易数据的一部分能用于审计分析。在应用系统中嵌入审计程序段意味着应用程序在做正常的业务处理 的同时，完成了审计数据的采集功能。即在应用系统的正常运行中，嵌入的审计 程序段也被运行而工作，并将测试到的不符合常规的数据写到一个特殊文档中，事后审计人员可以复查到这个特殊的文档的内容，并据此采取相应的行动。见图 11-5。审计程序段往往是在系统开发时嵌入的 生产业务数据 生产报告 审计数据采集报告 生产业务处理系统 嵌入的 审

22、计程序段 图 16-7 嵌入式审计程序 五、扩展纪录 扩展记录是为了给指定的业务处理事项提供一个综合的审计线索，通过对计算机程序的修改来增加某些文件的记录，用以保存审计关心的数据。尤 其许多不同的处理步骤被合并成一个程序时，介于期间的产生审计线索的处理步 骤常常会丢失。因此，为了审查、跟踪某个具体的业务处理过程，有时不得不核 查许多不同的文档才能解决。扩展记录技术就是为具体业务事项附加标注，即在扩展记录中写入 介于期间的、通常不保存的处理方式或有关数据，从而为审计提供尽可能完整的 审计线索。例如，对工资表处理程序进行修改，使工资表文件增加一些记录，其 中记载一些有关加班费计算的说明类信息，以便

23、审计加班费支付数据的真实性时 核查。六、抽点转存（snap shot 快照）抽点转存即试图提供在特定时点的程序运转情况的综合图像。抽点 转存是一种常见的利用程序来帮助排除故障的技术。作为一种审计工具，实现抽 点转存的程序语句可以加在审计人员感兴趣的程序中，产生一个打印出的审计线 索。扩展记录法将抽点转存的数据（审计关注的信息）写入扩展记录中，而不是 打印在纸上。快照是指当应用系统处理某一事务时，让软件对其进行“拍照”，通 常是在应用系统的重要处理发生点嵌入程序段，该程序段可捕捉处理发生点的前 映像和后映 像，通过对这些映像的分析检验，可以对处理该事务的应用程序进行 审查。七、跟踪 跟踪也是一种

24、审计技术，它最早是为程序调试而发明的。跟踪提供 了一个详细的程序指令执行次序的清单。出于审计的目的，跟踪常被用于检验应 用程序中融入的起内部控制作用的指令是否被执行。跟踪还可以显示出未被执行 的程序语句。高级语言如：BASIC和COBO语言都有专门的跟踪语句。八、系统文档审核 审核关于信息系统的设计方案、流程图和程序清单是早期应用过的 EDP审计技术，至今仍被用于信息系统审计。这种方法尤其适用于信息系统审计 的初级阶段即技术准备阶段。审核有多种形式，例如，审计人员可以要求信息系统人员提供系统 文档的一个完整副本来阅读；可以要求提供信息系统源程序清单，审计人员可以 手工审核这些清单，也可以对程序

25、进行桌面校验；程序流程图也可以采用同样的 方法进行审核。系统文档的审核需要相当的专业技术和耐心。九、控制流程图审核 信息系统内嵌入了许多内部控制措施，在系统程序流程图中描绘了 这些控制，或许还有专门的控制流程图。为了对信息系统内部控制性能的审计，就要对这些控制流程图进行审核。常常参考分析流程图、系统流程图、文档流程 图来帮助完成信息系统内部控制的审核。好在各种流程图对于审计人员、使用者 和计算机职员来说都很容易理解，因此可以通过它进行各方交流。十、映像(Mapping)映像是 使用 一种被称 为软 件测 量包(software measurement package)的专门软件来监控程序的执行

26、，该软件可以对被测程序中每一个语句 的执行次数进行计数，并提供有关资源利用的累计统计数。对未被执行的语句则 产生一个列表，审计人员对未被执行的语句进行分析，已确定其是否恰当。一些 语句可能是为处理例外的特殊的业务而设，但如果例外的特殊业务也没有执行 它，那就要怀疑这些通常不执行的语句可能是程序设计人员的花招。第四节 信息系统审计过程 审计过程是指审计工作从开始到结束的整个过程。信息系统审计过 程包括三个阶段：计划阶段、实施审计阶段和审计完成阶段。尽管信息系统审计 同财务审计一样，都包括上述三个阶段，但由于二者的审计对象和审计目标不同，所以审计过程各阶段的工作内容也有很大不同。一、计划阶段 计划

27、阶段是整个审计过程的初始阶段。正式实施审计之前，制定 科学合理的计划有助于信息系统审计人员有条不紊地进行核查、取证，有助于形 成正确的审计结论，从而出色地完成审计任务。计划阶段的主要工作包括：了解被审计单位的基本情况 识别重要性 进行风险评估 了解内部控制 制订审计计划 二、实施审计阶段 实施审计阶段，是根据计划阶段确定的范围、要点、步骤、方法，进行取证、评价，最后形成审计结论实现审计目标的中间阶段，是审计全过程的 中间环节，其主要工作包括：对信息系统的现有控制进行符合性测试 实施实质性测试 三、审计完成阶段 审计完成阶段，信息系统审计人员必须运用专业知识判断收集到的 各种证据，以经过核实的审计证据为依据，形成审计意见，做出审计报告。审计 报告须说明审计范围、审计目标、审计期间和所执行的审计工作的性质和范围。审计报告中还应说明采用了那些计算机辅助审计技术和信息系统审计技术以及 与之有关的审计结果。审计人员在审计过程中受到被审计单位条件或客观环境的 限制而对某些重要事项不能获得充分完整的资料，也应在审计报告中予以说明。在评价审计结果出具审计报告时，信息系统审计人员既要考虑所发 现的错误的重要性，又要考虑由于控制弱点而产生潜在错误的重要性。本章作业：1.计算机审计与信息系统审计有何区别和联系？2.计算机审计的对象和目标是什么？3.为什么要开展信息系统审计？The end