1计算机会计信息系统的内部控制与审计2课程目的掌握和了解在计算机和网络环境中会计核算职能是如何实现和完成的;能以信息技术发展的眼光去理解会计;能够应用分析和设计工具正确地描述不同时期不同企业的会计数据和信息处理流程;能够根据会计核算和管理的要求确定会计信息系统的基本功能;能够根据会计核算和控制的要求提出内部控制方案;能够正确地理解和评价电算化会计信息系统。3第一节计算机审计的目标、内容与审计程序第七章计算机审计第四节计算机会计信息系统审计的技术方法第三节计算机会计信息系统的内部控制与审计第二节计算机会计信息系统审计计划的制定第五节计算机审计软件第六节计算机舞弊的手段与防范4第一节计算机审计的目标、内容与审计程序审计线索对审计极为重要。在计算机信息系统环境下,账务处理全部由计算机系统按一定的程序指令完成,手工系统下的审计线索基本消失。(二)对审计线索的影响(一)对审计环境的影响1、审计人员除了要与懂得审计术语的财务管理人员和会计专家进行交流,还须同使用另一种行业术语的电子数据处理的管理人员和计算机专家进行交流。2、在信息化社会里控制和审计的客观要求下,审计的客户将遍及每个行业和各类系统,庞大的审计需求将造成审计的巨大压力。一、计算机信息系统对审计的影响5计算机系统对审计线索的具体影响如下:1.原始凭证一旦转换到机器可读的介质上,就不再在处理过程中使用。2、在某些系统中(如联机系统),传统的原始凭证可能不复存在。3、在主文件中可能看不出计算机汇总所依据的明细数据,而明细数据作为过程文件已不存在。4、数据处理过程不一定提供业务的日常记录,若要提供需要采用专门的程序。5、系统不一定或不可能打印出全部的原始记录,一般只打印汇总结果。6、保存在光电介质上的数据除非依靠计算机和应用程序,否则无法阅读,而且易于损坏。7、计算机程序和数据处理难以直接观察。第一节计算机审计的目标、内容与审计程序6由于审计环境、审计线索和审计过程发生变化,手工操作下的审计标准和审计准则中的某些部分会不再适用。应建立电子数据处理环境下的审计准则。(四)对审计准则的影响(三)对审计过程和审计内容的影响1、审计过程分为两个主要的阶段:即对计算机系统的评价和对计算机系统所产生的会计数据的评价,并应以着重评价计算机系统的内部控制为主要内容。2、对计算机程序控制进行测试,以证实其处理的合法性、正确性、完整性及系统的安全可靠性是审计的重点和前提。第一节计算机审计的目标、内容与审计程序7审计线索的改变要求审计人员重新检查系统的审计步骤。由于数据处理系统的复杂性和数据的集中,要求审计人员熟悉电子数据处理系统的计划、程序和记录。(六)对审计人员的影响(五)对审计技术和审计方法的影响1、计算机审计方法是常规的手工系统审计方法和电算化系统审计方法的结合。2、对计算机信息系统审计的基本方法可分为:绕过计算机审计、穿过计算机审计和使用计算机审计三种。第一节计算机审计的目标、内容与审计程序8二、计算机审计的目标审计的总体目标是对被审计单位会计报表的合法性、公允性和会计处理方法的一贯性发表审计意见。计算机审计的具体目标包括:1.系统的合法性2.系统的安全性3.系统的完整性4.系统的效率性5.系统的经济性和效益性第一节计算机审计的目标、内容与审计程序9三、计算机审计的内容(一)、计算机审计的含义1、以计算机信息系统为对象的审计。2、以计算机技术为手段进行的审计。3、用手工或电算化的方法、技术和程序对电算化或手工的信息系统所进行的审计。在我国,计算机审计主要指前两方面的内容。(二)、计算机审计的内容1、对计算机会计信息系统进行审计第一节计算机审计的目标、内容与审计程序10(二)、计算机审计的内容1、对计算机会计信息系统进行审计(1).对内部控制系统的审计(2).对系统开发的审计(3).对系统应用程序的审计(4).对系统数据文件的审计2、以计算机作为审计工具进行审计(1).手工会计信息系统的计算机辅助审计(2).计算机会计信息系统的计算机辅助审计(3).审计项目管理系统的计算机辅助审计技术。包括利用计算机编制审计计划、利用计算机分析审计结果、利用计算机建立审计数据库、利用计算机编制审计工作底稿。第一节计算机审计的目标、内容与审计程序11四、计算机会计信息系统审计的程序计算机会计信息系统审计的程序与手工会计信息系统审计的程序基本相同包括以下三个主要阶段:1、计划准备阶段。根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织计算机审计小组、发出审计通知书或审计业务约定书、编制审计计划等。2、审计实施阶段。对被审计单位的内部控制制度的建立及遵守情况进行符合性测试,对系统处理功能及处理结果进行实质性测试。3。审计完成阶段。整理、评价收集到的审计证据,复核审计工作底稿,编写审计报告。第一节计算机审计的目标、内容与审计程序12第二节计算机会计信息系统审计计划的制定审计计划是指为了完成各项审计任务,达到预期的审计目标,在执行审计程序之前编制的工作计划。审计计划包括总体审计计划和具体审计计划。总体审计计划是对审计的预期范围和实施方式所做的规划,是注册会计师从接受审计委托到出具审计报告整个过程基本工作内容的综合计划。具体审计计划是依据总体审计计划制定的,对实施总体审计计划所需要的审计程序的性质、时间和范围所做的详细规划和说明。具体审计计划包括审计目标、审计步骤、执行人及执行时间、审计工作底稿的索引号及其他有关内容。一、审计计划及其作用131、设计审计程序(应该执行的任务和步骤)2、制定检查清单3、分析风险4、执行分析性复核程序5、日程安排和费用预算二、利用计算机编制审计计划第二节计算机会计信息系统审计计划的制定14三、制定计算机审计计划的注意方面(一)、计算机信息系统的独特特征1、缺乏交易轨迹。比如可能缺少输入文件、缺乏可见的业务轨迹、缺乏可见的输出。2、同类交易处理的一致性。3、缺乏职责分工。4、在特定方面发生错误与舞弊行为的可能性较大。5、交易授权、执行与手工处理存在的差异。6、其他内部控制依赖于计算机处理。7、有利于加强管理监督。8、有利于计算机辅助审计技术的利用。第二节计算机会计信息系统审计计划的制定15第三节计算机会计信息系统的内部控制与审计1。内部控制含义内部控制是企业经营者为维护企业资产的完整性,确保会计记录的正确性和可靠性,以及对经济活动进行综合的计划、调整和评价而制定的制度、组织方法和手续的总称。内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具,又是审计人员用以确定审计程序的重要依据。2。内部控制的分类依据控制实施的范围分为:一般控制和应用控制。依据控制的意图分为:预防性控制、检查性控制和纠正性控制。依据控制所采用的手段分为:手工控制和程序化控制。依据实施控制的部门分为:电算化部门控制和用户部门控制。一、计算机会计信息系统的内部控制及分类16一般控制有时称管理控制,是指对计算机会计信息系统的组织、开发、应用环境等方面进行的控制。(一)、一般控制的目的及具体目标目的是建立对计算机信息系统活动整体控制的框架,并对达到内部控制的整体目标提供合理的依赖程序。具体目标如下:1.通过一般或特殊的授权规则保证有关活动的开展具备正当的手续。2.负责资产保管人员无权接触记录资产情况的信息处理。3.负责信息处理的人员不负责执行或批准的经济业务。4.电子数据处理部门内部对不相容职能进行适当分离。5.电子数据处理部门不能纠正电子数据部门以外的错误。二、一般控制第三节计算机会计信息系统的内部控制与审计17(二)、一般控制的内容1、组织与管理控制。基本要求是权责的划分和职能的分离。包括电算部门与用户部门的职责分离,电算部门内部的职责分离,人事控制,业务授权。2、应用系统开发与维护控制。为保证计算机AIS开发过程中各项活动的合法性和有效性而设计的控制。3、计算机操作控制。用于控制系统的操作,其目的是通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会。包括操作计划、机房守则、操作规程、上机日志记录。二、一般控制第三节计算机会计信息系统的内部控制与审计18(二)、一般控制的内容4、硬件和软件控制。通过硬件、软件控制来尽可能发现错误。5、系统安全控制。是指防止影响系统安全的因素危及系统的安全,发现系统中的安全问题,并解决这些问题使系统恢复正常的措施及实施。包括硬件安全控制、程序与数据的安全控制、环境安全控制、防病毒的软件接触系统等。6、系统文档控制。要建立文档管理制度及安全保密制度。二、一般控制第三节计算机会计信息系统的内部控制与审计19(三)、一般控制的测试方法与重点1、一般控制的测试方法。可分为手工和计算机审计技术,而以手工方法为主。一般而言,测试组织与管理控制、系统开发和维护控制可用手工方法;计算机操作控制、数据和程序控制可用手工方法,同时也需要计算机辅助审计技术;系统应用软件控制主要是采取计算机辅助审计技术。2、测试重点。系统开发的测试是一般控制的测试重点。二、一般控制第三节计算机会计信息系统的内部控制与审计20应用控制是系统会计应用方面的具体控制。(一)、应用控制的目的及具体目标目的是对会计应用建立具体控制过程,从而确保全部的经济业务都经过授权和记录,并进行完整、准确和及时的处理。具体目标如下:1.所有经允许处理的数据均应转换到介质上并加以处理,并且处理的结果可通过适当的方式加以输出。2.所有输入、转换、处理和输出均应政党的时间里准确地进行。3.所有系统的输出均反映为经批准的有效的经济业务。三、应用控制第三节计算机会计信息系统的内部控制与审计21(二)、应用控制的内容1、输入控制。输入控制用于确保:第一,经济业务在计算机处理之前经过适当的批准;第二,经济业务被准确地转换为机器可读形式并记录于计算机数据文件;第三,经济业务没有丢失或不适当地增加、复制、改动;第四,拒绝、改正不适当的经济业务,必要时,及时重新补救。包括以下几个方面:数据采集控制。措施有用户部门内部的职责分离、标准化的凭证格式、制定凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制等。数据输入控制。注意凭证输入过程中可能出现的错误及相应的控制措施。三、应用控制第三节计算机会计信息系统的内部控制与审计22(二)、应用控制的内容2、计算机处理与数据文件控制。用于确保:第一,经济业务(包括系统生成的)由计算机正确地处理;第二,经济业务没有丢失或不适当地增加、复制、改动;第三,计算机处理的错误被及时地鉴别并改正。包括以下几个方面:业务时序控制。数据有效性检验。措施主要有文件标签校验、业务编码校验、顺序校验。程序化处理有效性检验。发现错误的方法有:计算正确性测试、数据合理性检验、交叉汇总检查、错误更正控制、数据点技术。账务处理系统中可采用以下控制方法:余额合理性检查、试算平衡检查、总账和明细账核对检查。三、应用控制第三节计算机会计信息系统的内部控制与审计23(二)、应用控制的内容3、输出控制。输出控制用于确保:第一,计算机处理的输出结果准确无误;第二,输出结果仅限于经过批准的人员;第三,输出及时地提供给适当的经过批准的人员。输出主要有屏幕输出、打印输出、存入磁性介质、网络传输等方式。主要控制措施有:输出授权控制。输入过程的控制总数与输出得到的控制总数相核对。审校输出结果,检查正确性、完整性。将正常业务报告与例外报告中有关数据进行分析对比。设置输出报告改送登记簿,记录报告恬送份数、时间、接受人等事项。制定输出错误纠正和对重要数据进行处理的规定。三、应用控制第三节计算机会计信息系统的内部控制与审计24(三)、应用控制的测试针对不同的应用控制,可以采用不同的测试方法:1、使用者实施的人工控制。如果系统的使用者所实施的人工控制能够为系统输入、处理、输出等的完整性、准确性和经过批准提供合理的确信,审计人员仅对使用者的人工控制进行测试。2、系统输出控制。如除了对使用者人工控制进行测试外,还可以对系统输出通过人工或计算机辅助审计技术进行测试。这些系统输出可能是光电介质或打印输出的形