第六章会计信息系统的内部控制

第六章会计信息系统的内部控制与计算机审计教学目的与要求：通过本章的学习，一方面使学生能够了解并掌握会计信息系统尤其是电算化会计信息系统的内部控制的概念、作用、体系等，以及一般控制与应用控制所包含的内容。并通过比较，了解电算化条件下的内部控制与手工条件下的内部控制的不同之处，进而理解在电算化条件下加强内部控制的必要性。另一方面，通过本章的学习，使学生了解计算机审计产生的背景、概念、与会计电算化的关系，明确计算机审计是会计电算化发展的必然结果的观点，掌握计算机审计的概念、内容、方法、步骤等，了解计算机辅助审计的概念、方法，以及网络环境下计算机审计的方法。主要内容第一节会计电算化对传统审计的影响第二节电算化会计信息系统审计的概念和主要特征第三节计算机审计的内容和步骤第四节计算机审计的方法第五节网络系统的审计第六节内部控制制度简介第七节会计电算化的内部控制第八节会计电算化中的一般控制第九节会计电算化中的应用控制第一节会计电算化对传统审计的影响一、会计电算化给审计带来的影响1、对审计线索的影响2、对内部控制的影响3、对审计内容的影响4、对审计技术的影响5、对审计标准和准则的影响6、对审计人员的影响第一节会计电算化对传统审计的影响二、会计电算化给审计带来的益处（P222）1、电算化会计系统中的无意差错减少。2、电算化会计系统中的信息容易查询。3、原有审计能力加强并增加了新的审计能力。第二节电算化会计信息系统审计的概念和主要特征一、计算机审计的概念（P222）计算机审计与手工审计并没有本质的区别，只是计算机审计的对象及其所利用方法、技术及审计的环境有所改变。计算机审计包含两方面的含义：(一)审计对象是电算化信息系统(二)审计工具是计算机无论是对电算化系统进行审计还是利用计算机进行辅助审计，统称为计算机审计。二、计算机审计的特点（P223）(一)计算机审计以电子数据处理为审计对象，这是它区别于传统审计的本质特点所在。(二)从审计目标上看，计算机审计与传统审计基本一致，但是计算机审计更重视系统的可靠性，这是由电算化信息系统本身的特点所决定。(三)从审计内容看，计算机审计必须重视系统开发和运行两个方面，既对系统进行事后审计，又进行事前审计。(四)电算化会计信息系统的审计对象、目标、内容的特点，决定了审计工作的系统性和复杂性。(五)电算化会计信息系统的审计工作还具有很强的技术性。三、计算机审计的意义(一)可以更好地对电算化会计信息系统进行审计(二)可以大大提高审计工作效率(三)可以有效地促进会计电算化与审计工作本身的规范化(四)可以有效地遏制利用计算机犯罪第三节计算机审计的内容和步骤一、计算机审计的基本内容1、对电算化会计系统内部控制的审查2、对计算机应用程序处理和控制功能的审查3、对数据文件的审查4、对其他与经济活动有关的资料和资产的审查第三节计算机审计的内容和步骤二、计算机审计的步骤（P225）1、准备阶段准备阶段是从接受审计任务开始，到制定出审计实施方案、发出审计通知书位置的一个阶段。主要工作有：（1）明确审计任务和要求（2）初步调查（3）检查内部控制系统（4）对内部控制系统进行依从测试（5）制定审计实施方案2、实施阶段实施阶段就是指审计人员根据审计计划，对审计的内容实行检查、取证、分析和评价，为审计报告的撰写作准备。主要方面有：（1）熟悉被审计的范围或系统（2）对会计信息系统的内部控制制度进行审查（3）对帐表文件的实质性审查3、终结阶段是审计小组向审计机关报告审计结果，并对审计结论和决定执行情况的检查及后续审计对整个审计步骤，可用下图表示：确定审计计划对系统和处理功能和内部控制的审查对帐表文件的真实性的审查编写审计报告，作出审计结论和决定对审计结论和决定执行情况检查，后续审计第四节电算化会计信息系统的审计方法审计方法可归为三种：（P227）一、间接审计法（即绕过计算机审计）又成为黑箱法，即将电算化信息系统作为一个黑箱来看待，审计人员只需掌握输入该系统的输入内容及输出的结果就可以了，而无需过问系统本身的处理过程。二、直接审计法（即穿过计算机审计）又成为穿透法，是指在对电算化会计信息系统进行审计时，不仅审查其输入、输出，而且还审查其内部工作情况，了解电算化系统的处理过程。它可分为：直接验证法、依靠控制法两类。三、利用计算机审计又称计算机辅助审计，就是利用计算机的设备或软件，辅助审计人员完成各项审计工作，具体有两种类型技术：审计软件和计算机测试技术。其审计对象可以是电算化会计系统或手工会计系统。计算机辅助审计概述：一、计算机辅助审计技术简介(一)审计软件：由审计人员使用的计算机程序组成，作为审计程序的一部分，以处理来源于单位会计制度的重要审计数据(二)测试技术：用在执行审计程序时将数据输入单位的计算机系统，并将获得的结果同预定的结果相比较二、利用计算机辅助审计技术需考虑的问题(一)审计人员的计算机知识，专门的技术和经验(二)计算机辅助审计技术的可用性与适合的计算机设备(三)不能实行手工测试(四)效果和效率(五)时间三、计算机辅助审计技术应用的控制利用计算机辅助审计技术应由审计人员加以控制，使它符合审计目标和计算机辅助审计技术的详细规范，以及计算机辅助审计技术不会被单位职员进行不正当的操纵审计软件：一、审计软件的功能及作用(一)审计软件的功能1、可访问不同格式的记录、不同结构的文件2、能将来自不同文件的数据合并成一个文件，也可以按不同的要求对数据进行分类排序3、可提取满足某些条件的数据4、具有各种统计、抽象能力，某些功能还可以进行财务分析5、能提供全套的算术运算，并可检查运算精度，产生控制总量6、能进行分层与频率分析7、能生成与更新文件8、可提交各种各式的审计报告(二)审计软件的作用1、检查数据质量2、检查系统处理质量3、检查数据的意义是否存在4、进行分析检查二、审计软件的获得途径：(一)由审计人员亲自或聘请计算机专家开发设计(二)外购审计软件三、审计软件的种类：分为通用审计软件和专用审计软件(一)通用审计软件的优点是：1、节省时间2、成本较低3、实用性强4、独立性强5、可靠性高6、对审计人员要求高7、有一定的售后服务保证(二)使用通用审计软件的不足之处在于1、获取这种软件的一次性投资成本较高，通常需要一次性付清软件购买费用2、要做到能普遍使用还较困难3、仅能在事后审计，不能对转瞬即逝的文件进行测试4、由于考虑通用性，故效率不高，计算机操作时间浪费较严重(三)专用审计软件专用审计软件是为完成某项特殊任务而设计的一种一次性使用的审计软件四、审计软件的使用一般来说，运用审计软件进行审计，通常需经过以下几个步骤：1、确定审计目标，进行可行性分析和计划2、测试软件3、确定操作指令4、处理数据文件5、检查屏幕显示信息和打印输出资料测试技术：（P232）一、平行模拟法平行模拟法是审计人员模拟被审计程序另外再编写一些程序，用以处理实际数据，然后将两种结果进行比较，以确定控制措施可靠性。二、测试数据法它是模拟某项业务事项数据，将测试数据输入系统，通过系统的处理来检测系统对实际同类数据处理的准确性和对错误数据的鉴别能力。第五节网络系统的审计一、网络审计的特点(一)责任的分散(二)重点的转移(三)安全控制(四)通信技术二、网络系统审计应注意的问题(一)测试的方法(二)网络系统的特点(三)审计工作将更为频繁地进行三、网络系统的应用控制(一)网络系统的应用控制概述(二)网络系统的应用控制审计第六节内部控制概述一、内部控制的定义（P238）内部控制：指现代企业、事业单位以及其他组织为了保证业务的有效进行，保护资料的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料真实、合法、完整而制定和实施的政策与程序。内部控制制度：即各级管理部门在本单位、本部门内部因分工而产生的相互制约、相互联系的基础上，采取一系列具有控制智能的方法、措施和程序，并予以规范化、系统化，由此所形成的一套严密的控制机制。内部控制的作用1、促使企业贯彻国家的方针政策，使全体职工遵受法纪、企业的经营方针和管理制度。2、协调各部门的工作，使企业的生产和经营活动由领导、有组织、有计划地进行，确保实现企业的经营目标。3、限制不利于企业发展的活动。4、保护企业财产，防止贪污盗窃，铺张浪费。5、保证经济信息的正确可靠。6、调动职工积极性，提高工作效率和经济效益。内部控制的目标：1、保证业务活动按适当的授权进行。2、保证所有的交易和事项以正确的金额，再恰当的会计期间及时纪录于适当的账户，使会计报表的编制符合会计准则的相关要求。3、保证对资产和记录的接触、处理均经过适当的授权。4、保证账面资产与实存资产定期核对相符。二、内部控制的三要素(一)控制环境1、经营管理的观念、方式和风格2、组织机构3、董事会4、授权和分配责任的方法5、管理控制6、内部审计7、人事政策和实务8、外部影响(二)会计系统1、确认并记录所有真实的交易2、及时且充分详细地描述交易，以便在会计报表上对交易作适当的分类3、计量交易的价值，以便在会计报表上记录其适当的货币价值4、确定交易发生的期间，以便将交易记录在适当的会计期间5、在会计报表中适当地表达交易和披露相关事项(三)控制程序1、交易授权2、职责划分3、凭证与记录控制4、资产接触与记录使用5、独立稽核第七节会计电算化的内部控制一、电算化会计信息系统所受到的威胁1、自然灾害2、人为破坏3、运用上的过失4、计算机硬件和软件故障二、应用电算化会计信息系统的风险(一)不能将用户需求变换成技术要求(二)不恰当地使用计算机技术(三)错误的重复发生(四)级联错误(五)不合理的处理(六)不适当控制(七)数据录入不正确(八)数据集中(九)责任集中(十)越权操作(十一)系统缺乏存取控制三、电算化会计信息系统内部控制的特点(一)系统开发阶段的控制是其他控制是否发挥作用的前提(二)控制的重点从传统的会计部门转移到电子数据处理部门(三)部分内部控制程序化、自动化(四)控制的要求更严格，内容更广四、电算化会计信息系统内部控制的分类（P243）(一)依据控制实施的范围和环境，可分为一般控制和应用控制(二)依据控制的预定意图，可将其分为预防性控制、检查性控制和纠正性控制(三)依据实施控制所采取的手段，可分为手工控制和程序控制(四)依据实施控制的部门不同，可将其分为电算化部门控制和用户控制(五)依据实施控制所要达到的直接目的，可将其分为会计控制和管理控制(六)依据信息处理系统的不同，可分为手工系统控制和计算机系统控制第八节会计电算化的一般控制一、电算化会计信息系统的内部控制体系(一)一般控制一般控制即一般计算机信息系统控制，是对电算化会计信息系统的构成要素(人、机器、文件)及数据处理环境的控制，包括组织控制、系统开发控制、硬件及系统软件控制和安全控制。其目标为：1、通过一般或特殊的授权规则，保证下列活动具备正当的手续：(1)将原始凭证数据输入系统并进行处理(2)设计、实施和使用计算机程序(3)更改计算机程序(4)接触和使用计算机主文件和其他重要数据文件(5)分发系统输出报告2、负责资产保管人员无权进行资产情况的信息处理3、负责信息处理人员不负责执行和批准经济业务4、EDP(电子数据处理)内部对不相容只能进行适当分离5、EDP部门不能纠正EDP部门以外的错误6、通过适当的沟通方法和程序，使EDP人员和其他部门人员能理解主管人员的一般和特殊授权要求，并保证遵循这些要求7、主管人员能够充分地控制授权要求的遵守，以保证违背要求的行为能予以记录、调查和纠正。(二)应用控制指系统会计应用方面的具体控制，即对具体功能模块及业务数据处理过程个环节的控制，包括输入控制、计算机处理与数据文件控制、输出控制等内容。其目标为：1、所有经允许处理的数据军营转换到介质上并加以处理，并且处理的结果可以通过适当的方式加以输出2、所有输入、转换、处理和输出军营在正常的时间里准确地进行3、所有系统的输出均反映经批准的有效的经济业务二、电算化会计信息系统内部控制的描述方法常用的方法有三种：书面描述法、内部控制问卷法、流程图法1、书面描述法：审计人员在了解了