会计信息系统审计(PPT-49)

1会计信息系统AccountingInformationSystem安徽工业大学管理学院2第十二讲会计信息系统审计3本讲主要内容会计信息系统审计概述会计信息系统审计的主要内容控制符合性测试实质性测试41.会计信息系统审计概述为了确保信息系统的有效性和可靠性，必须对系统的运作进行定期检查，即执行信息系统的审计，信息系统的审计又称为电算化审计（EDPAuditing），须由EDP审计师执行。信息系统的审计目标与传统的财务审计目标并无根本区别，大多数基本的审计方法、程序亦仍然适用。信息系统的审计（或EDP审计），一般可分为三个阶段：审计规划、控制符合性测试和实质性测试。51.会计信息系统审计概述审计规划阶段的一项重要任务是分析审计风险。审计师要确定第二、三阶段测试的性质和范围，就必须对审计的对象有透彻的了解。风险分析包括对企业信息系统的一般控制和应用控制进行全面的评估与检查。在全面检查企业信息系统的一般控制进时，审计师要熟悉企业的战略性和操作性政策、经营运作和组织结构。审计师还要了解企业的财务与会计系统，以及这些系统处理经营交易过程中的控制。61.会计信息系统审计概述审计规划阶段搜集审计证据的办法包括调查问卷、面谈、审阅系统描绘记录和实地观察。在这个过程中，EDP审计师要着重注意可能出问题的环节和相关的控制功能。随后，EDP审计师将执行第二阶段的审计，即对信息系统的现有控制加以符合性测试（Compliancetests），从而鉴定有关系统控制的有效性。71.会计信息系统审计概述符合性测试的主要目的是检查企业的内部控制机制是否健全。为了达到这一目的，EDP审计师需要对信息系统的一般控制和应用控制执行一系列的测试或检验。之后，EDP审计师必须对企业的内部控制的可靠性与效率作出较全面的评估，并且据以确定下一步对财务报表项目所作实质性测试的性质、范围和时间。一般地说，如果企业内部控制可靠，运作效果良好，审计师可以相对地增加对内部控制的依赖程度，适当地减少对财务报表资料进行实质性测试的内容、范围和时间。81.会计信息系统审计概述实质性测试（Substantivetests）的重点是对信息系统输出财务报表资料的检查，包括查验会计账户的余额和交易记录的准确性和可靠性。实质性测试比较费时费力，但实质性测试检查的性质和范围取决于审计过程第二阶段对企业内部控制的符合性测试的结果和评估。91.会计信息系统审计概述控制符合性测试和财务报表项目的实质性测试的目的都是为了尽可能地降低审计风险，保证审计结论的正确性。系统控制的符合性测试着重检查企业的内部控制机制。内部控制越强，信息系统出现差错的机率就越小，审计师可以相应地缩小实质性测试的范围与数量。反之，内部控制越弱，信息系统出问题的机率就越大，审计师就必须增加第三阶段的实质性测试，以便及时发现财务资料处理与企业经营方面的潜在问题。102.会计信息系统审计的主要内容2.1控制符合性测试主要是检查以下几方面的控制：1.操作系统控制2.资料控制3.组织结构控制4.系统开发控制5.系统维护控制6.计算机中心安全控制7.传导通讯控制8.电子资料交换控制9.微机控制112.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统和周边环境紧密关联。为了避免人为的或非人为的毁损破坏，操作必须建立一整套安全防护措施，以便完成以下目的：1)防护操作系统本身不遭受使用者作业或者应用程序的毁损；2)操作系统要能防止不同使用者之间或应用程序之间的相互影响或干扰；122.会计信息系统审计的主要内容2.1.1操作系统控制的测试3)操作系统必须具备内置防护控制，防止操作系统各个模块的相互窜扰或侵蚀；4)操作系统要能够抵御外界环境因素骤变（如断电和各种自然灾害）的威胁。如果企业的操作系统控制不健全，则无法实现上述控制目的，并且将影响信息系统的有效运作。132.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统审计的重点在于检查各项预先设计的安全措施和控制步骤是否严密和有效，是否足以防护操作系统不受硬件失灵、软件差错、人为故障和病毒侵蚀等因素的干扰。操作系统的符合性测试着重于检查企业的安全控制政策和计算机病毒控制技术。142.会计信息系统审计的主要内容2.1.1操作系统控制的测试操作系统安全控制政策的有效性可以借助特殊的审计软件来测试。审计师还可以应用下列非技术性测试方法，以便进一步取得有关操作系统控制可靠性的证据：1)查阅企业的有关政策文件，检查是否建立操作系统通行口令制度，以及对通行口令的授予和更改程序是否合理适当。2)查阅员工招聘记录，尤其要检查对有权接近和操作信息系统的每位员工是否经过严密安全性审查。152.会计信息系统审计的主要内容2.1.1操作系统控制的测试3)查阅员工记录，确定员工是否均有书面承诺保守企业资料机密性的责任。4)企业的保安小组有责任监督和报告任何违反安全控制政策的行为。审计师可以抽查企业的安全控制违规案例记录，通过对这些案例处理结果来评估保安小组的绩效。5)审计师要查证企业有关人员对各种资料和计算机程序的使用是否符合适当的授权。检查的办法包括对比企业的交易或作业授权清单，以及观察实际的授权控制作业关况。162.会计信息系统审计的主要内容2.1.1操作系统控制的测试控制电脑病毒侵蚀的关键在于严格执行企业关于防范计算机病毒入侵的政策和措施。审计师要查核这方面的政策是否已经建立并得以严格遵循。审计师可以应用下列测试来检查信息系统的抗病毒控制是否充分有效：1)查阅企业是否规定必须向声誉良好的软件供应商购买抗病毒软件，并检查核对有关的购货单。2)审查企业的抗病毒软件的使用政策。3)查核与测试安装于企业计算机系统内的各种作业程序或应用程序是否均有适当的版权和经过正式授权批准。172.会计信息系统审计的主要内容2.1.2资料资源控制的测试EDP审计师测试资料控制的目的是要检查现有控制措施是否能够保证资料资源的完整和安全。这主要包括两方面的测试：1)资料的后备拷贝是否足以复原遗失或毁坏的资料；审计师要检查是否建立适当的后备拷贝，是否储存在安全的地点，以及是否配置可靠的措施防范因各种自然灾害或人为故障而造成的损失。182.会计信息系统审计的主要内容2.1.2资料资源控制的测试2)对资料库的存取接近是否严格于已授权的作业的需要。资料库的存取接近控制至关重要。审计师要查核既定系统是否有着严格的授权控制，以及授权是否妥当。也就是说，即使授权的系统操作人员和使用者，亦只能由于特定的交易作业需要而接近存取特定的资料库资料。192.会计信息系统审计的主要内容2.1.3组织结构控制的测试测试组织结构控制主要是为了检查系统内部职能分割的合理性。审计师必须查核不相容的职能是否均有严格的分割，以及职能划分是否在实际作业中得以认真执行。具体测试可包括以下几方面：1)审阅企业的组织结构文件。审计师要查阅有关的文件，如现行组织结构图、企业经营策略与目标，以及作业手册和重要职能说明，鉴别信息系统内部主要的职能是否明确分割。202.会计信息系统审计的主要内容2.1.3组织结构控制的测试2)检查系统描述记录。审计师必须抽样检查信息系统的维护记录，以便确定负责系统维护的程序师不是原先的系统程序设计师（系统设计和维护职能分割）。3)行为观察。审计师可以通过实地观察，确定各项关键职能工作是否由不同的员工担任，以及职能分割控制的实际作业程序。212.会计信息系统审计的主要内容2.1.4系统开发控制的测试EDP审计师测试系统开发控制的目的是：1)系统开发的各个阶段是否都已严格地执行企业的有关政策和规则；2)系统投入使用后有无发现重大操作问题或舞弊行为；3)系统开发各阶段的报告是否均获取使用者和高层主管的认可与签署审批；4)系统文件记录是否准确完整，便于审计和系统维护。222.会计信息系统审计的主要内容2.1.4系统开发控制的测试系统开发控制的测试侧重于下述两方面：1)检查系统开发过程是否有内部审计师的长期与经常性参与。企业的内部审计人员应当参与系统的开发作业，并在每个开发阶段结束时作出审查评估，确定各项系统开发作业是否完全遵循既定的政策与规划。内部审计有助于尽快地发现与纠正系统开发中的失误与弊端。2)检查整个系统开发周期的文件记录。审计师可以抽查一部分已完成的系统开发文件记录，验证开发作业是否符合的政策与规划。232.会计信息系统审计的主要内容2.1.5系统维护控制测试EDP审计师测试系统维护的目的在于检查是否存在未经授权擅自修订或更改系统的问题。审计师必须检查与确定下列各事项：1)系统维护的政策与规则能否保证应用程序不受非法窜改；2)各项应用程序不存在重大差错；3)对程序资料库的存取接近均有经过严格的审批和登记程序。242.会计信息系统审计的主要内容2.1.5系统维护控制测试为了检查是否存对应用程序的未经授权的窜改，审计师可执行下列的测试：1)核对应用程序的版本。2)审查系统维护的审批手续。252.会计信息系统审计的主要内容2.1.5系统维护控制测试为了检查应用程序中是否存在重大差错，审计师可执行以下几方面的测试：1)核对程序编码。2)检查维护作业测试结果记录。3)重新测试应有程序。262.会计信息系统审计的主要内容2.1.5系统维护控制测试建立程序资料库及其存取接近控制是避免差错和防止计算机系统舞弊的重要环节。程序资料库集中管理系统内部的各项操作和应用程序，只有程序管理员有权接近程序，存取需要加维护的程序。系统维护的程序编写人员只能通过程序管理员调出和缴回所需维护和测试的计算机系统程序，他们不能直接接近程序资料库。审计师可以抽查系统维护与调试记录，确定是否与程序资料库的程序存取记录相符合。272.会计信息系统审计的主要内容2.1.6计算机中心的安全测试EDP审计师测试计算机中心安全的目的是要评估计算机中心安全控制的健全和有效性。具体内容包括：1)评估实体安全措施是否足以保护计算机中心的安全；2)审查对企业购买的保险金额是否足以赔偿计算机中心可能遭受的损失；3)操作作业手册和文件记录能否确保计算机中心的正常运作和有效处理系统故障；4)计算机中心的灾情恢复计划是否可行。282.会计信息系统审计的主要内容2.1.7通讯传导控制的测试1)EDP审计师测试通讯传导控制的目的是要确定资料传导渠道或媒体的安全与完整。传导渠道的有效控制包括：2)有效侦察与恢复因设备故障引起的传送资料遗失；3)防范对通讯线路的非法窜入者窃取的资料。292.会计信息系统审计的主要内容2.1.7通讯传导控制的测试资料通讯传导的控制测试包括：1)从作业记录中抽样检查是否因为通讯线路拥挤造成被传送资料的内容失真；2)检查资料传送的作业记录，确定是否所有的资料均按既定的顺序接收与发送；3)检查关于资料编码的安全措施；4)确定各种敏感资料，如通行口令等到是否经过适当的编码保护。302.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试审计电子资料交换控制系统的目的是要确定：1)所有的电子资料交换均遵循既定政策，并且经过适当的授权；2)未经事先授权的外部企业或个人一概不得接近交易资料库；3)经授权的外部企业（商业伙伴）只能存取与往来交易相关的特定资料；4)所有的电子资料交换都要保留审计脉络312.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试电子资料交换控制的测试主要有以下三种：1)授权控制的测试。审计师要审核商业伙伴进出本企业资料库的使用者身份码均已事先经过审批生效。322.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试2)存取资料控制的测试。A.是否只有经授权的人员才能接近存取供应商和客户资料档；有关通行口令和授权清单是否都经过编码保护处理；B.商业伙伴接近本企业资料库存取资料是否限制于合同规定的范围之内；C.检查本企业交易资料库是否可能被非授权人士非法窜入。332.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试3)审计脉络控制的测试必须审查电子资