第九章__计算机审计.

第八章计算机审计第一节计算机审计概述第二节计算机审计的目标和过程第三节计算机审计方法、技术和工具第一节计算机审计概述一、计算机审计的含义二、计算机审计的产生和发展三、计算机审计对审计人员的要求一、计算机审计的含义（一）包括两层含义1、对计算机信息系统进行审计（1）对计算机信息系统中的电子数据进行审计（2）对计算机信息系统进行审计（IT审计）2、利用计算机辅助审计（二）审计与计算机审计的关系：1、审计是计算机审计的基础2、计算机审计是审计全过程的一部分目前为止，审计包括以下几部分内容：（1）财务报表审计；（2）经营审计；（3）全面审计；（4）管理审计；（5）计算机审计。二、计算机审计的产生和发展：（一）计算机审计产生的必然性1、肉眼可见的审计线索减少2、大部分人工完成的会计业务处理由计算机处理所代替3、内部控制的方法更加依赖于计算机技术4、差错因素发生重大变化5、企业信息系统的集成化（二）国外计算机审计的产生和发展1、20世纪60年代——计算机审计萌芽期2、20世纪70～80年代——计算机审计发展期3、20世纪90年代——计算机审计普及期（三）中国计算机审计的产生与发展1、第一阶段（1988～1992年）以手工审计为主，录入数据进入计算机，通过审计软件的计算产生一些辅助性结果。2、第二阶段（1993～1997年）在Windows平台下利用一些辅助性的审计软件为审计人员提供部分服务。3、第三阶段（1998年至今）开发了以审计作业为代表的一些审计软件，对审计作业全过程均可在软件的管理下完成。三、计算机审计对审计人员的要求（一）计算机审计对审计人员基本技能的要求（二）我国计算机审计人员的培养1、对计算机审计操作人才的培养2、对计算机审计开发人才的培养3、对计算机审计维护人才的培养4、对计算机审计管理人才的培养第八章计算机审计第一节计算机审计概述第二节计算机审计的目标和过程第三节计算机审计方法、技术和工具第二节计算机审计的目标和过程一、计算机审计目标二、计算机审计内容三、计算机审计过程一、计算机审计目标在计算机审计的3种含义中，对计算机会计信息系统电子数据的审计，与手工审计相比，只是审查的数据形式及范围有所不同，其审计目标就是手工审计的目标；利用计算机辅助审计，与手工审计相比，只是审计工具不同，其目标和内容基本相同；只有对计算机信息系统的审计（IT审计）的目标与内容与手工审计的目标与内容有较大区别。以下主要探讨IT审计的目标与内容。IT审计目标：通过收集和评价证据，以此来确定一个计算机会计信息系统是否安全、合法、可靠，是否能维护数据的完整性，是否能以最低的成本费用和最少的时间达到企业目的。IT审计目标具体包括：1、提高系统的安全性2、提高系统的合法、合规性3、提高系统的可靠性4、提高系统的效率性5、增加系统的效益性二、计算机审计内容：（一）对内部控制系统的审计（二）对数据资料的审计（三）对系统开发的审计（四）对系统应用程序的审计三、计算机审计过程：（一）准备阶段（二）制订审计计划（三）实施阶段（四）终结阶段（一）准备阶段主要是对被审单位的计算机会计信息系统进行初步调查，制定计算机会计信息审计工作计划，做好其他有关的准备工作。初步调查应调查了解系统的支撑环境、硬件配置，包括：1、主机、外围设备的型号、容量、出厂年月等；2、系统软件的操作系统、数据库类型、版本等；3、应用软件的开发单位，内容、功能、结构、应用范围、编程工具、网络技术应用等；4、系统的组织机构、人员配备、内部控制制度建立与执行情况。（二）制订审计计划计算机审计工作计划应在初步调查的基础上，结合委托单位的要求和被审单位的情况来制定。内容应包括：1、被审单位基本情况；2、审计的目的、范围和起讫时间；3、审计项目的安排，内容和具体要求；4、审计工作的组织分工，时间进度和日程安排；5、以及工作中应注意的事项等。（三）实施阶段1、对计算机会计信息系统开发设计进行审查和评价；2、采集有关基本数据，通过转换或重新定义后，作为测试依据，并进行测试，对测试结果作出评价；3、对内部控制制度建立和执行情况进行调查分析，测试评价；4、在审计抽样的基础上对数据及其处理流程进行符合性测试和实质性测试；5、对系统组织机构，工作人员配备和工作进行情况的调查、分析和评价；6、汇总上述各阶段的有关资料和记录，生成审计工底稿。（四）终结阶段主要是根据审计工作底稿，编写审计工作报告。首先要对审计工作底稿进行分析总结，提出工作中发现问题，进行必要的会计调整，重新编写会计报表，提出审计意见和建议。第八章计算机审计第一节计算机审计概述第二节计算机审计的目标和过程第三节计算机审计方法、技术和工具第三节计算机审计方法、技术和工具一、计算机审计的基本方法二、计算机辅助审计技术一、计算机审计基本方法：1.绕过计算机审计方法（AuditAroundtheComputer)是指审计人员只需对计算机输入和输出资料加以检查核对，而将电算化会计系统中的计算机系统作为一个黑箱来看待，不去对系统的处理过程作详细了解，所以该法又称为“黑箱法”。其工作原理如下图：电算化会计系统间接审计输入输出数据信息绕过计算机审计适用环境：1、审计线索完整可见，所有的业务均保留原始凭证，并在有关的输出账簿中留有详细的记录。2、系统处理过程相对简单明了。3、审计人员可得到完整的系统文档。4、系统应用软件被广泛使用并经过严格测试。其优点：（1）审计规程依旧，容易被审计人员理解和采用；（2）审计人员的计算机知识要求不高；（3）在审计过程中，审计工作不会干预被审系统的正常工作。其缺点：（1）如果系统无恰当的审计线索，该法就不能使用；（2）当审计人员发现核查结果与预想存有差异时，无从知道问题出在何处；（3）对网络系统或其他复杂结构的计算机系统来说，很多审计线索必须使用计算机程序得到；（4）由于这种方法并未发挥计算机的强大威力，因此，审计效率不高。2.通过计算机审计方法（AuditThoughtheComputer）是指将计算机的输入输出，和数据处理过程本身均作为审计的直接对象的测试方法，有被称为“白箱法”。其工作原理如下图：电算化会计系统直接审计输入输出数据信息适用环境：(1)计算机系统的输入输出量非常大，因而难以对它们的正确性一一测试。(2)计算机系统内包含了重要的控制功能。(3)计算机系统的逻辑结构比较复杂。(4)系统中可见的审计线索不够。优点：能够解释审查工作中所出现问题的原因，审查结论较能令人信服，且能增强审计人员工作信心和被信任感。缺点：审计人员工作量较大，要求他们具有较高的计算机相关知识。电算化会计系统是一个内部结构复杂的系统，有时即使采用通过计算机的审计方法也只能从局部观察系统。因为一旦打开黑箱，原有的系统分解为子、孙系统，也就构成了新的黑箱。为兼顾审计成本及效率，要根据需要配合使用绕过计算机审计方法，从整体综合的角度评价系统。因此，通过计算机审计与绕过计算机审计方法是相互依存的，在审计工作中应灵活使用这两种方法。二、计算机辅助审计方法（一）计算机辅助审计方法定义：ComputerAssistedAuditTechniques&Tools,简称CAATs，是指审计人员将计算机作为辅助审计的工具从事审计工作。这时的被审对象可以是电算化会计系统，也可以是一个手工会计系统，利用计算机辅助审计软件包或其他软件系统即可完成对它们的审计工作。（二）计算机辅助审计的类型1.集成测试技术（ITF）2.快拍/扩展记录（S/ER）3.系统控制审计评审文件（SCARF）4.连续和间歇模拟（CIS）1.集成测试技术（ITF，IntegratedTestFacility)集成测试技术的原理是：首先在应用系统中建立一个虚拟实体（如虚拟的部门、经销商、顾客、职员、账户等），然后处理审计测试数据，核实处理过程的真实性、正确性和完整性。如，审计人员可以在以下各方面使用ITF：（１）如果应用系统是工资支付系统，审计人员可以在数据库中建立一个虚拟的职工；（２）如果是一个盘存系统，审计人员可以虚构一个库存项目；（３）如果是一个电子数据交换系统，审计人员需要与客户组织一起在交换的数据库中建立一些虚拟实体。随后，审计人员用测试数据更新这些虚拟内容。这里，测试数据包含了虚拟数据和实际业务数据。２.快拍/扩展记录(S/ER,Snapshot/ExtendedRecord)(1)快拍技术，即照相法，审计人员可以按照不同的控制重点，使用计算机交易处理前后的核心数据文件以及数据库结果所发生的变化，将这些变化“照相”记录在相关文件中。如，计算机首先记录销售交易过账之前的应收账款余额，在信息系统将销售过账之后，计算机再次记录账户余额，这样，审计人员就可以表过账控制的正确性了。2.扩展记录，也交延展性记录，通过某些特殊的程序，审计人员可以比较有关系统处理结果的报告（交易处理的审计线索），得出控制风险测试的结论。这些报告可以附加在正常交易文件的扩展域中，也可以存储在新设立的审计文件中，即形成延展性记录，它便于比较系统步骤处理的结果。3.系统控制审计评审文件（SCARF,SystemControlAuditReviewFile)系统控制审计评审文件是指在应用系统中，通过嵌入式审计软件模块对系统中的事务进行连续的监控，这些审计软件模块预先放在一些控制点上，收集审计人员认为重要的有关系统事务及其处理的信息（如应用系统本身的质量问题、企业策略及程序上的分歧、系统异常、统计采样、性能度量数据等），并把收集的信息写入一个特殊的审计文件（SCARF主文件。审计人员检查文件中的信息，以判断应用系统中哪些方面需要继续审计。•(CIS,ContinuousandIntermittentSimulation)•CIF是对SCARF进行改动后形成的，这种方法适用于具有数据库管理系统的应用系统。SCARF需要审计人员在应用系统中嵌入审计软件去“捕获”异常，而CIS是用数据库管理系统去“捕获”异常，应用系统未被触动。无论被审对象是手工系统还是电算化会计系统，也无论在审计工作中采用的是绕过计算机审计方法还是通过计算机审计方法，只要利用了计算机技术，则被称为计算机辅助审计法。随着计算机应用的普及和审计人员素质的提高，在今后的计算机审计工作中很难再将通过计算机审计、绕过计算机审计或是计算机辅助审计这三种方法割裂开来。