计算机审计概论1.两个方面的原因促进计算机审计的产生(1)审计业务范围的不断扩大(2)对电子数据处理的不断深入2.中国计算机审计的发展(1)报表检查阶段:在20世纪80年代以前,计算机主要应用于人民银行合同联行队长和专业统计工作,在这个阶段的稽查基本是由计算机应用的业务部门和科技部门负责,主要对象是数据正确性,报表平衡关系,是否及时上报,设备安全和程序安全。
(2)程序功能审计阶段:20世纪80年代后期,计算机应用于各个行业的各个领域,这些应用领域都是各行业业务工作的重要领域,直接关系着各个行业资金的运营,期间出现了一些地方利用计算犯罪的案例,在这种情况下,计算机审计应运而生,设置计算机审计机构,开始培训专业人员学习计算机知识。
(3)全面网络审计阶段:进入21世纪,计算机审计工作在各个行业已经得到了普遍的重视,范围也涉及打各行业各个领域,随着计算应用领域不断扩大,涉及工作越来越跟不上各个行业信息化发展的需求。
在这种情况下,许多行业单位的审计部门开始配备自己的计算机审计人员,现在计算机审计已经成为各个行业审计的重要组成部分。
金审工程:总体目标是:用若干年时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法和效益实施有效审计监督的信息化系统。
逐步实现审计监督的三个“转变”,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合。
增强审计机关在计算机环境下查错纠弊、规范管理、揭露腐败、打击犯罪的能力,维护经济秩序,促进廉洁高效政府的建设,更好地履行审计法定监督职责。
3.计算机审计包括两方面内容(1)对会计信息系统的设计进行审计,对会计信息系统的数据处理过程与处理结果进行审计。
(2)审计人员利用计算辅助审计。
将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,实现审计办公自动化。
4.计算机审计的特点(一)电算化信息系统审计特点(1)审计范围的广泛性(2)审计线索的隐蔽性,易逝性(3)审计取证的实时性,动态性(4)审计技术的复杂性(二)计算机辅助审计的特点(1)审计过程自动控制(2)审计信息自动存储(3)改变了审计作业的小组成分(4)转移了审计技术主体5.计算机审计的目的(1)保护系统资源和安全的完整性(2)保证信息的可靠性(3)维护法纪,保护社会和国家利益(4)促进计算机应用效率,效果和效益的提高(5)促进内部控制系统的完善6.计算机审计的内容(一)审计项目管理系统的计算机辅助审计(二)手工会计系统的计算机辅助审计(三)会计信息系统审计(1)内部控制系统审计:一般控制,应用控制(输入、输出、处理)(2)系统开发审计(3)应用控制审计(4)数据审计7.计算机审计的基本方法(1)绕过计算机审计:指审计人员不检查机内程序和文件,职审查输入数据和打印输出资料及其管理制度的方法。
优点:1 审计技术简单 2 较少干扰被审计系统的工作缺点:1 只有打印充分时才适用2 要求输入输出联系比较密切3 审计结果不太可靠(2)通过计算机审计:指除了审查输入输出数据外,还要对进内的程序和文件进行审计优点:1审计结果较为可靠 2 审计独立性强缺点:1 审计技术较为复杂 2 审计成本较高(3)利用计算机审计:指利用计算机设备和软件进行审计优缺点同(2)综合:(1)适用于简单系统,(2)(3)适用于复杂系统,(2)(3)往往密切县官,(3)是(2)的延伸。
第二章电算化会计信息系统内部控制审计1.内部控制分类(一)按实施的范围和对象分类:一般控制和应用控制(二)按控制的目标分类:预防性控制,探测性控制,纠正性控制(三)按控制实现的方法分类:程序控制,人工控制2.审计风险模型审计风险=重大错报风险* 检查风险=固有风险*控制风险*检查风险固有风险:计算机条件下,不考虑信息系统内部控制可靠性的情况下,因系统中存在的难以消除的各种因素导致的资源损失或记录出错的可能性。
例如:(1)信息系统管理人员和会计人员存在利用会计信息系统进行舞弊的可能。
(2)信息系统中的电子数据存在被盗窃,滥用,篡改和丢失的可能。
(3)电子数据存在的审计线索易于减少或消失的可能(4)原始数据的录入存在错漏的可能控制风险:因为内部控制不能预防,检测和纠正所有出现的资源损失或记录出错的可能性。
例如:(1)设置权限密码实现职责分工的约束机制有失效的可能(2)网络传输和数据存储故障或软件的不完善,有使嗲子数据出现异常错误的可能。
(3)系统开发和维护存在隐患的可能3.安全控制(1)系统接触控制(2)环境安全控制(3)安全保密控制:软件加密法,硬件加密法,软硬结合法(4)防病毒控制4.应用控制分类(1)输入控制(2)处理控制(3)输出控制(4)通信控制:1 数据加密 2 数字签名3 信息摘要 4 确认/重传5.数据库管理控制(1)用户身份认证(2)数据库存取控制(3)数据库完整性控制(4)数据库保密控制(5)数据库恢复控制6.内部控制初步审查结果评价(1)退出审计(2)对一般控制和应用控制进一步进行详细的审查(3)决定不依赖于内部控制在《COSO内部控制整合框架》中,定义为:由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。
《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。
每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
COSO报告中内部控制的组成1.控制环境(Control environment)它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。
控制环境影响员工的管理意识,是其他部分的基础。
2.风险评估(risk assessment)是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。
它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)是帮助执行管理指令的政策和程序。
它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
4.信息的沟通与交流(information and communication)信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。
处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。
所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
5.对环境的监控(monitoring)监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。
不同评价的范围和步骤取决于风险的评估和执行中的的有效性。
对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
COBIT意义COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。
(1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;(2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是过程的主要对象;(3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从I 规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
COBIT信息技术的控制目标(1)有效性(Effectiveness)——是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。
(2)高效性(Efficiency)——关于如何最佳(最高产和最经济)利用资源来提供信息。
(3)机密性(Confidentiality)——涉及对敏感信息的保护,以防止未经授权的披露(4)完整性(Integrity)——涉及信息的精确性和完全性,以及与商业评价和期望相一致COBIT信息技术的控制目标(5)可用性(Availability)——指在现在和将来的商业处理需求中,信息是可用的。
还指对必要的资源和相关性能的维护。
(6)符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。
(7)信息可靠性(Reliability of Information)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。
信息技术控制目标中定义的信息技术资源*数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。
*应用系统(Application Systems)——人工程序和电脑程序的总和。
*技术(Technology)——包括硬件、、数据库管理系统、网络、多媒体等等。
*设备(Facilities)——用来存放和支持信息系统的一切资源。
*人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT 审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。
第三章会计信息系统开发审计1.系统开发审计的目的(1)审查系统的可行性(2)审查系统的合规性,合法性(3)审查系统内部控制的适当性(4)审查系统的可审性(5)审查系统测试的全面性,恰当性(6)审查系统文档资料的完整性(7)审查系统的可维护性2.系统分析阶段的审计(1)系统目标的确定(2)分析已有系统(3)可行性分析(4)需求分析3.系统设计阶段的审计(1)总体设计:高内聚,低耦合(2)详细设计:数据库文件设计,代码设计,输入输出设计,处理功能设计第四章会计信息系统应用程序审计1.应用程序审计内容(1)应用程序控制有效性审计(输入,处理,输出)(2)应用程序合法性审计(3)程序有效性审计(4)程序编码正确性的审计2.应用程序审计的方法(1)手工审计方法:1 程序流程图检查法2 程序编码检查法 3 程序运行记录检查法4 程序运行结果检查法(2)计算机辅助审计法:1 检测数据发2 整体检测法(虚拟实体法)3 程序编码比较法4 受控处理法5 受控再处理法6 平行模拟法7 嵌入审计程序法第五章会计信息系统数据审计1.数据审计的准备工作(1)数据采集的方法1 利用被审计单位应用系统的数据转出功能采集数据2 利用被审计单位业务系统所使用的数据库系统的转出功能采集数据3 使用审计软件自带的数据转出工具采集数据4 通过直接拷贝数据文件的方式采集数据5 使用通用的数据转出工具ODBC采集数据(2)被审计数据存在的主观问题1 值缺失问题2 空值问题3 数据冗余问题4 数据值域不完整问题5 字段类型不合法问题(3)数据清理的基本技术1 使用EXCEL清理数据2 使用SQL语言清理数据3 其他技术(*.MDB 用ACCESS的更新查询)(4)数据转换一数据转换主要内容1 数据类型转换2 日期时间格式转换3 代码转换4 金额值表示方式转换5 数据抽选二数据转换基本技术1 利用数据库管理系统自带的转换工具转换2 利用审计软件转换3 利用SQL语言进行转换(5)数据检验(真实,正确,完整)基本内容:1 核对记录数 2 核对总金额3 检查借贷平衡性4 验证凭证号断号和重号5 验证数据的勾稽关系第八章计算机信息系统舞弊的控制和审计1 计算机信息系统舞弊概述(1)计算机舞弊与传统舞弊有着很大差别,计算机舞弊是利用计算机系统或者计算机系统实施的舞弊行为,其目的具有非正当性(2)计算机犯罪是指行为人利用计算机操作所实施的危害计算机信息系统安全和其他严重危害社会的犯罪行为(3)计算机信息系统舞弊行为包括1 篡改输入2 篡改文件3 篡改程序4 违法操作5 篡改输出6 其他手段2.计算机信息系统舞弊审计对输入系统的审查(1)可以应用传统方法审查手工记账凭证与原始凭证的合法性(2)应用抽样审计技术,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性(3)测试数据的完整性(4)对输出报告进行分析(5)对数据进行安全性审查(6)对操作权限进行审查对程序类信息系统的审查方法(1)程序编码检查法(2)程序比较法(3)测试数据法(4)程序追踪法对输出类信息系统舞弊的审计一般方法:(1)询问能观察到敏感数据运动的数据处理人员(2)检查计算机硬件设施附近是否有窃听或者无线电发射装置(3)检查计算机系统的使用日志,看数据文件是否被存取过,是否属于正常工作(4)检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘,磁带上是否有残留数据。
