关于计算机审计概论.docx
- 格式:docx
- 大小:25.53 KB
- 文档页数:9
计算机审计一、课程说明1、课程名称:计算机审计(Computer Auditing)课程代码:0822101830课程性质:审计学、会计学专业必修课课程学分:3学分2、课程简介:计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,并运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析.发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。
本课程将借助上海博科资讯股份有限公司与本校合作开发的《审计之星教育系统》进行教学,该系统整合了一套完整的被审计单位财务数据并设计了若干审计陷阱,可以很好在展示计算机审计的全过程。
目标与任务:通过本课程学习,在学生掌握计算机审计软件技术基础上,使学生能够完成被审计单位数据导入,并在计划阶段、实施阶段和终结阶段各具体审计实务中熟练应用所掌握的审计软件技术完成审计工作。
先修与后续课程:本课程先修课程为《财务审计》3、首选教材:《计算机审计实验教程》,梁素萍等,上海财经大学出版社,2010年1月第1版主要参考书目:《计算机审计:概念、框架与规则》,刘汝焯等编著,清华大学出版社,2007年6月第1版《计算机审计实务操作》,邱银河、木南编著,人民邮电出版社,2006年8月第1版《中国注册会计师执业准则》,中国注册会计师协会,经济科学出版社,2006年二、课程内容与教学安排上篇实验准备第一章总论第一节计算机技术与审计(一)教学方法与学时分配教学方法:PPT演示学时分配:0.5学时(二)课程内容及基本要求主要内容:一、计算机技术与审计二、计算机技术对审计的影响(一)对审计线索的影响(二)对审计技术手段的影响(三)对审计内容的影响(四)对审计人员的影响(掌握):计算机技术对审计的影响(熟悉):计算机技术与审计的关系(了解):计算机技术特点(重点):计算机技术对审计的影响(难点):计算机技术对审计技术手段和审计人员的影响第二节计算机审计概念及特征(一)教学方法与学时分配教学方法:PPT演示学时分配:0.5学时(二)课程内容及基本要求主要内容:一、计算机审计概念二、计算机审计的特征(一)审计取证的切入点是信息系统和底层电子数据(二)创建审计中间表,构建审计信息系统(三)构建模型进行数据分析(掌握):计算机审计概念(熟悉):计算机审计的特征(了解):审计信息系统的构成(重点):计算机审计概念、计算机审计的特征(难点):计算机审计的特征第三节计算机审计基本框架及流程(一)教学方法与学时分配教学方法:PPT演示、课堂讨论学时分配:1学时(二)课程内容及基本要求主要内容:一、计算机审计基本框架(一)计算机审计的对象(二)计算机审计的作业模式(三)计算机审计的基本方式(四)计算机审计的基本方法(五)计算机审计的主体二、计算机审计的一般流程(掌握):计算机审计的一般流程(熟悉):计算机审计的对象、作业模式(了解):计算机审计的基本方式、基本方法和主体(重点):计算机审计的作业模式、一般流程(难点):计算机审计的作业模式、一般流程第二章计算机审计技术第一节计算机审计技术现状(一)教学方法与学时分配教学方法:PPT演示、课堂讨论学时分配:1学时(二)课程内容及基本要求主要内容:一、我国计算机审计技术发展概况(一)国家审计信息化建设概况(二)商业审计软件发展概况二、计算机审计技术应用现状(一)被审单位电子数据的采集、转换和定义(二)计算机分析审计(三)计算机测试(四)计算机辅助审计工具三、计算机审计技术发展的不足之处(一)缺乏成熟的计算机审计应用环境(二)审计软件存在较大的局限性(三)计算机审计人员的素质偏低(掌握):计算机审计技术应用现状(熟悉):计算机审计技术发展的不足之处(了解):我国计算机审计技术发展概况(重点):计算机审计技术应用现状(难点):计算机审计技术应用现状第二节计算机审计技术现状(一)教学方法与学时分配教学方法:PPT演示、课堂讨论和练习学时分配:1学时(二)课程内容及基本要求主要内容:一、利用Excel编制审计工作底稿二、利用Excel编制试算工作底稿与调整后的会计报表三、利用Excel编制集团公司的已审合并报表四、利用Excel实施分析程序五、利用Excel获取审计电子数据六、其他常用功能(掌握):利用Excel编制审计工作底稿(熟悉):Excel常用功能(了解):利用Excel编制试算工作底稿与调整后的会计报表、已审合并报表;利用Excel实施分析程序、获取审计电子数据(重点):利用Excel编制审计工作底稿、Excel常用功能(难点):利用Excel编制审计工作底稿、Excel常用功能第三节主流审计软件介绍(一)教学方法与学时分配教学方法:PPT演示、课外练习学时分配:2学时(二)课程内容及基本要求主要内容:一、审计之星二、AO系统(现场审计实施系统)三、中审审易软件四、中普审计管理平台五、国外主流审计软件介绍(掌握):审计之星功能模块分布、AO系统架构(熟悉):国内外常用审计软件种类(了解):国内外常用审计软件功能比较(重点):审计之星功能模块分布、AO系统架构(难点):AO系统架构第四节审计数据采集(一)教学方法与学时分配教学方法:PPT演示、课堂练习、分组竞赛学时分配:4学时(二)课程内容及基本要求主要内容:一、审计数据采集方式二、数据采集操作指南(一)用审计之星“模板定义接口”功能导入审计数据(二)利用中间结果导入数据(掌握):利用模板定义接口、中间结果两种方式下导入数据(熟悉):AO系统下如何导入数据(了解):审计数据采集方式(重点):审计之星软件下U8、K3等常用财务软件数据导入(难点):审计之星等审计软件如何导入被审计单位数据第三章审计之星教育系统简介第一节系统安装与启动(一)教学方法与学时分配教学方法:安装演示、课外练习(安装AO系统及审计之星)学时分配:2学时(二)课程内容及基本要求主要内容:一、系统概述二、运行环境三、系统安装与启动(一)系统安装(二)系统运行(掌握):系统运行(服务器连接工具设置)(熟悉):AO系统、审计之星的安装(了解):审计之星教育系统概述(重点):AO系统、审计之星的安装(难点):AO系统、审计之星的安装第二节系统管理和审计向导(一)教学方法与学时分配教学方法:操作演示、课内练习学时分配:0.5学时(二)课程内容及基本要求主要内容:一、新增单位和单位管理二、审计向导(一)审计准备(二)审计实施(三)审计终结(掌握):单位管理(熟悉):审计向导各阶段有什么功能(了解):审计向导所体现审计流程及其与实务异同(重点):审计向导(难点):审计向导第三节数据接口的使用参见第二章第四节内容第四节审计预警(一)教学方法与学时分配教学方法:操作演示、课内练习学时分配:0.5学时(二)课程内容及基本要求主要内容:一、内控制度设定二、内控制度评价三、内控预警报告四、审计预警五、审计预警(图表)(掌握):内控制度评价(熟悉):内控预警报告(了解):内控制度设定、审计预警及图表(重点):在了解被审计单位内部控制的基础上,进行内控制度评价或对被审计单位相关人员进行内部控制调查从而得出评价结论(难点):内控制度评价第五节信息查询与分析(一)教学方法与学时分配教学方法:操作演示、课内练习学时分配:2学时(二)课程内容及基本要求主要内容:一、基本信息查询二、财务分析三、账表检查四、凭证检查(掌握):通过财务分析、账表检查、凭证检查,取得审计证据并形成审计工作底稿。
第八章计算机信息系统舞弊的控制和审计由于计算机本身的脆弱性,计算机信息系统管理的复杂性与软件的失物不足导致信息系统安全性降低,信息与财富的集中性,计算机犯罪风险的巨大诱惑性,法律对于计算机犯罪漠视,计算机道德的滞后性等原因,计算机犯罪伴随着计算机的广泛应用而产生且迅速蔓延。
计算机犯罪是计算机舞弊的重要形式之一。
计算机舞弊(包括针对计算机信息系统的舞弊)作为一种新型的舞弊,与传统的舞弊形式有着巨大的差别。
最明显的是它的严重的社会危害性远非传统犯罪可望其项背,无论从它危害的深度还是广度都是空前的。
据有关资料报道,全世界每年因计算机舞弊直接损失约达20亿美元,舞弊领域已扩达到了银行,保险,航空,证券,商务等行业。
我国自1986年发现首个计算机犯罪以来,计算机犯罪和计算机舞弊正在以递增的速度在蔓延。
审查计算机舞弊是审计人员的重要职责。
如何防范计算机舞弊计算机舞弊,揭示计算机舞弊行为已经成为审计领域的重要课题。
本章主要讲述如何对计算机舞弊进行控制和审计。
第一节计算机信息系统舞弊概述随着计算机技术的和网络技术在企业管理及会计处理中的广泛应用,计算机已经成为经济生活中不可或缺的重要工具。
他加快了信息系统的处理速度,拓展了信息处理的领域,丰富了信息处理的内涵,大大减少额了人们处理信息的负担。
但是,事物有利必有弊,电子计算机也不例外,它既是一种有利的信息处理工具,也是一把破坏信息系统,进行舞弊和犯罪的利器。
利用计算机可以方便的对信息系统进行偷窃,伪造和挪用等舞弊行为,对社会的经济危害是难以估量的。
一、计算机舞弊和计算机系统无弊的界定计算机舞弊作为信息时代的社会表征之一,始于20世纪60年代的美国,到了20世纪90年代已经蔓延到了世界各地。
舞弊(fraud)是指为了掠夺他人财物或者达到其他不正当的目的而通过故意掩盖真相,制造假想或者其他方式实施的任何偷窃,伪造,盗用,挪用以及其他欺骗行为。
计算机舞弊(Computer Fraud)是指利用计算机系统作为实施舞弊的基本工具,利用各种手段进入计算机系统进行的舞弊行为;后者则是将计算机系统当作目标,对计算机硬件,软件,数据和程序,计算机辅助设备和资源进行的舞弊行为。
计算机审计概论简介计算机审计是指对计算机系统、网络和应用程序进行的一种全面的检查和评估过程。
通过计算机审计,管理人员和内部审计人员可以评估计算机系统的安全性、可靠性和合规性,以发现潜在的风险和漏洞,并制定相应的防范措施。
计算机审计主要包括对计算机系统的硬件、软件和网络进行评估,检查系统的安全措施、操作流程和数据完整性等方面的问题。
它不仅可以帮助企业发现和解决计算机安全问题,还可以提高企业的管理效率和经济效益。
计算机审计的重要性计算机审计对企业来说具有极其重要的意义。
首先,计算机系统是企业重要的信息基础设施,其中包含有关企业运营、管理和客户的重要数据。
如果计算机系统不安全,这些重要数据可能会被非法访问、修改或删除。
计算机审计可以帮助企业发现和解决这些安全问题,保护企业的核心利益。
其次,计算机审计可以帮助企业提高管理效率。
通过对计算机系统的评估和分析,可以发现系统中的问题和瓶颈,并制定相应的优化方案。
这样可以提高企业的业务流程和数据处理效率,提高员工的工作效率。
最后,计算机审计还可以帮助企业合规。
随着法律法规的不断加强,越来越多的企业需要遵守各种法律法规的要求。
计算机审计可以帮助企业评估自己的合规性,发现和解决存在的合规问题,避免因违反法律法规而遭受处罚。
计算机审计的方法和步骤计算机审计主要包括三个阶段:规划阶段、实施阶段和报告阶段。
在规划阶段,首先需要明确审计的目标和范围。
审计目标可以包括系统的安全性、可靠性和合规性等方面。
审计范围可以包括系统的硬件、软件和网络等方面。
然后需要确定审计的时间和资源,并制定相应的计划和流程。
在实施阶段,需要对计算机系统进行全面的评估和分析。
这包括对硬件设备、操作系统、数据库和应用程序等进行检查,发现潜在的风险和漏洞。
同时,还需要对系统的安全措施、操作流程和数据完整性等进行评估。
在报告阶段,需要将审计结果整理成报告,并向管理人员和内部审计人员提供反馈。
报告应包括审计的目标和范围、发现的问题和建议的解决方案等。
引言概述:计算机审计是指对计算机系统、网络环境和相应的信息系统进行综合评估与检查的过程。
它是保证信息系统合规性,保护信息安全以及确保企业资源的有效利用的重要手段。
计算机审计旨在发现和解决计算机系统中存在的风险和安全问题,确保企业的业务数据和信息得到恰当的管理和保护。
本文将通过引言概述、正文内容、小点阐述和总结结构,详细介绍计算机审计的范文。
正文内容:1.审计目的和范围1.1确定审计目的:审计目的的确定是计算机审计的第一步,这可以根据企业的需求和目标来确定。
1.2确定审计范围:审计范围包括审计对象、审计时间和审计深度等,应根据实际情况确定。
2.审计方法和流程2.1收集信息:审计人员应收集相关的资料和信息,包括企业的网络拓扑图、安全策略和访问控制等。
2.2进行分析:利用各种工具和技术对收集到的信息进行分析,发现可能存在的安全问题和潜在的风险。
2.3进行测试:通过对系统进行渗透测试、漏洞扫描等方式,验证系统的安全性和健壮性。
2.4编写报告:根据审计结果,编写详细的审计报告,包括问题描述、风险评估和改进建议等内容。
3.审计内容和重点3.1系统设置和配置:审计应关注系统的设置和配置是否符合安全要求,例如密码强度、防火墙设置等。
3.2网络安全:审计应关注网络的安全性,包括网络的隔离性、数据传输的加密和访问控制等。
3.3数据安全:审计应关注数据的安全性,包括数据备份的策略和安全性、数据的完整性和可用性等。
3.4应用系统安全:审计应关注应用系统的安全性,包括系统的访问控制、权限管理和日志监控等。
3.5安全管理和监控:审计应关注企业的安全管理和监控措施,包括员工的安全意识培训和安全事件的响应和处理等。
4.审计结果和风险评估4.1问题描述:审计报告中应详细描述发现的问题,包括安全漏洞、配置错误和风险源等。
4.2风险评估:对每个发现的问题进行风险评估,评估其对企业的影响和可能造成的损失。
4.3建议改进:根据风险评估的结果,提出相应的改进建议,包括修复漏洞、优化配置和加强管理等。
第一章计算机审计概论电子计算机把人类社会带进了电子信息时代。
20世纪40年代第一台电子计算机的问世,使人类社会发生了划时代的变化,计算机科学已逐渐渗透到自然科学和社会科学的各个领域。
随着小型机、计算机的普及,计算机的应用已从科学计算、实时控制方面扩展到非数值处理的各个领域。
1954年,美国首次将工资的计算用电子计算机加以处理,标志着电子计算机进入了会计和管理领域。
我国从20世纪80年代初起,会计电算化也得到了很大发展。
计算机系统应用于管理和会计系统,使传统的手工数据处理系统转变为电算化数据处理系统,审计的对象也发生了重大的变化,对电子数据处理系统(Electronic Data Processing System,EDP)的审计及对手工数据处理系统的计算机辅助审计方法的研究,形成了一门将会计、审计、计算机技术、现代通信技术和网络技术相互融合的学科——计算机审计。
随着计算机技术、现代通信技术以及国际互联网技术的迅猛发展,人类社会正在进入以网络经济为代表的知识经济时代,审计的计算机化得到快速发展,单项的计算机审计应用和桌面审计系统将进一步发展为互联网络计算机审计系统,即网络审计。
那么,计算机审计是如何提出来的,计算机审计各个阶段的优势是如何划分的,各个阶段以什么为标志呢?我们可以通过回顾计算机审计产生和发展的历史来进行了解。
第一节计算机审计的产生和发展传统的会计、统计和计划等管理数据的处理是以手工操作为主,因此,传统审计也是以手工的会计资料处理系统为特征的。
计算机审计是伴随着科学技术的不断进步、审计对象的电算化以及审计事业的不断发展而成长起来的,它是审计科学、计算机技术与数据处理电算化发展的结果。
·2·计算机审计一、计算机审计的产生信息处理的电算化是计算机审计产生的一个直接原因。
管理信息系统由手工操作转变为电子计算机处理后,在许多方面(如组织结构、信息处理流程、信息存储介质和存取方式、内部控制等方面)均发生了很大变化。
第十五章计算机审计近几年来,施工企业的工程施工及经营管理发生了巨大的变化,计算机及其应用技术已不断渗透入整个工程项目施工生产及企业管理全过程的各个环节,施工企业正在良好环境下快速步入信息化时代。
内部审计作为一种为企业发展目标提供合理保证的保障手段,也随之悄然地在发生改变,随着被审计对象数字化管理的程度越来越高,在施工企业中如何有效开展计算机审计,已越来越成为摆在施工企业内部审计人员面前一个亟待解决的重要课题。
第一节计算机审计的涵义、特点和目标一、计算机审计的涵义什么是计算机审计?目前存在几种不同的看法和定义。
一种看法认为,计算机审计是以电子数据处理系统(Electronic Data Processing System)为对象进行的审计,亦称为EDP审计;另一种看法认为,计算机审计是以电算化会计信息系统为对象进行的审计,亦称其为电算化会计信息系统审计;第三种看法认为,计算机审计是以电子计算机为技术手段所进行的审计。
前两种看法都强调计算机审计的对象是计算机信息系统,而不论计算机的技术方法和手段是电算化的还是人工化的;第三种看法则正好相反,它强调计算机审计的技术方法和手段是采用计算机技术,而不论计算机审计的对象是计算机信息系统,还是手工信息系统。
计算机审计是与传统手工审计相对的概念。
传统的手工审计是指内部审计人员在手工操作下对手工信息系统所进行的审计;计算机审计则是随着计算机产生及其在审计中的应用,以及计算机应用技术的产生和发展而出现的。
计算机审计与传统的手工审计没有本质的区别,其审计的目标和职能没有改变,计算机审计同样主要是执行监督和评价的职能。
关于计算机审计的内涵,主要可以从下列方面来进行理解和认识:一是以计算机及其应用软件为审计对象所进行的审计活动,也就是我们通常所说的计算机信息系统审计。
二是以计算机为审计工具所进行的审计活动,是内部审计人员将计算机及网络技术等各种技术手段引入审计工作,建立审计信息系统,帮助内部审计人员完成部分审计工作,实现审计工作的办公自动化,也就是我们通常所说的计算机辅助审计。
计算机审计概论1.两个方面的原因促进计算机审计的产生(1)审计业务范围的不断扩大(2)对电子数据处理的不断深入2.中国计算机审计的发展(1)报表检查阶段:在20世纪80年代以前,计算机主要应用于人民银行合同联行队长和专业统计工作,在这个阶段的稽查基本是由计算机应用的业务部门和科技部门负责,主要对象是数据正确性,报表平衡关系,是否及时上报,设备安全和程序安全。
(2)程序功能审计阶段:20世纪80年代后期,计算机应用于各个行业的各个领域,这些应用领域都是各行业业务工作的重要领域,直接关系着各个行业资金的运营,期间出现了一些地方利用计算犯罪的案例,在这种情况下,计算机审计应运而生,设置计算机审计机构,开始培训专业人员学习计算机知识。
(3)全面网络审计阶段:进入21世纪,计算机审计工作在各个行业已经得到了普遍的重视,范围也涉及打各行业各个领域,随着计算应用领域不断扩大,涉及工作越来越跟不上各个行业信息化发展的需求。
在这种情况下,许多行业单位的审计部门开始配备自己的计算机审计人员,现在计算机审计已经成为各个行业审计的重要组成部分。
金审工程:总体目标是:用若干年时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法和效益实施有效审计监督的信息化系统。
逐步实现审计监督的三个“转变”,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合。
增强审计机关在计算机环境下查错纠弊、规范管理、揭露腐败、打击犯罪的能力,维护经济秩序,促进廉洁高效政府的建设,更好地履行审计法定监督职责。
3.计算机审计包括两方面内容(1)对会计信息系统的设计进行审计,对会计信息系统的数据处理过程与处理结果进行审计。
(2)审计人员利用计算辅助审计。
将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,实现审计办公自动化。
4.计算机审计的特点(一)电算化信息系统审计特点(1)审计范围的广泛性(2)审计线索的隐蔽性,易逝性(3)审计取证的实时性,动态性(4)审计技术的复杂性(二)计算机辅助审计的特点(1)审计过程自动控制(2)审计信息自动存储(3)改变了审计作业的小组成分(4)转移了审计技术主体5.计算机审计的目的(1)保护系统资源和安全的完整性(2)保证信息的可靠性(3)维护法纪,保护社会和国家利益(4)促进计算机应用效率,效果和效益的提高(5)促进内部控制系统的完善6.计算机审计的内容(一)审计项目管理系统的计算机辅助审计(二)手工会计系统的计算机辅助审计(三)会计信息系统审计(1)内部控制系统审计:一般控制,应用控制(输入、输出、处理)(2)系统开发审计(3)应用控制审计(4)数据审计7.计算机审计的基本方法(1)绕过计算机审计:指审计人员不检查机内程序和文件,职审查输入数据和打印输出资料及其管理制度的方法。
优点:1 审计技术简单 2 较少干扰被审计系统的工作缺点:1 只有打印充分时才适用2 要求输入输出联系比较密切3 审计结果不太可靠(2)通过计算机审计:指除了审查输入输出数据外,还要对进内的程序和文件进行审计优点:1审计结果较为可靠 2 审计独立性强缺点:1 审计技术较为复杂 2 审计成本较高(3)利用计算机审计:指利用计算机设备和软件进行审计优缺点同(2)综合:(1)适用于简单系统,(2)(3)适用于复杂系统,(2)(3)往往密切县官,(3)是(2)的延伸。
第二章电算化会计信息系统内部控制审计1.内部控制分类(一)按实施的范围和对象分类:一般控制和应用控制(二)按控制的目标分类:预防性控制,探测性控制,纠正性控制(三)按控制实现的方法分类:程序控制,人工控制2.审计风险模型审计风险=重大错报风险* 检查风险=固有风险*控制风险*检查风险固有风险:计算机条件下,不考虑信息系统内部控制可靠性的情况下,因系统中存在的难以消除的各种因素导致的资源损失或记录出错的可能性。
例如:(1)信息系统管理人员和会计人员存在利用会计信息系统进行舞弊的可能。
(2)信息系统中的电子数据存在被盗窃,滥用,篡改和丢失的可能。
(3)电子数据存在的审计线索易于减少或消失的可能(4)原始数据的录入存在错漏的可能控制风险:因为内部控制不能预防,检测和纠正所有出现的资源损失或记录出错的可能性。
例如:(1)设置权限密码实现职责分工的约束机制有失效的可能(2)网络传输和数据存储故障或软件的不完善,有使嗲子数据出现异常错误的可能。
(3)系统开发和维护存在隐患的可能3.安全控制(1)系统接触控制(2)环境安全控制(3)安全保密控制:软件加密法,硬件加密法,软硬结合法(4)防病毒控制4.应用控制分类(1)输入控制(2)处理控制(3)输出控制(4)通信控制:1 数据加密 2 数字签名3 信息摘要 4 确认/重传5.数据库管理控制(1)用户身份认证(2)数据库存取控制(3)数据库完整性控制(4)数据库保密控制(5)数据库恢复控制6.内部控制初步审查结果评价(1)退出审计(2)对一般控制和应用控制进一步进行详细的审查(3)决定不依赖于内部控制在《COSO内部控制整合框架》中,定义为:由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。
《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。
每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
COSO报告中内部控制的组成1.控制环境(Control environment)它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。
控制环境影响员工的管理意识,是其他部分的基础。
2.风险评估(risk assessment)是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。
它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)是帮助执行管理指令的政策和程序。
它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
4.信息的沟通与交流(information and communication)信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。
处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。
所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
5.对环境的监控(monitoring)监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。
不同评价的范围和步骤取决于风险的评估和执行中的的有效性。
对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
COBIT意义COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。
(1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;(2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是过程的主要对象;(3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从I 规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
COBIT信息技术的控制目标(1)有效性(Effectiveness)——是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。
(2)高效性(Efficiency)——关于如何最佳(最高产和最经济)利用资源来提供信息。
(3)机密性(Confidentiality)——涉及对敏感信息的保护,以防止未经授权的披露(4)完整性(Integrity)——涉及信息的精确性和完全性,以及与商业评价和期望相一致COBIT信息技术的控制目标(5)可用性(Availability)——指在现在和将来的商业处理需求中,信息是可用的。
还指对必要的资源和相关性能的维护。
(6)符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。
(7)信息可靠性(Reliability of Information)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。
信息技术控制目标中定义的信息技术资源*数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。
*应用系统(Application Systems)——人工程序和电脑程序的总和。
*技术(Technology)——包括硬件、、数据库管理系统、网络、多媒体等等。
*设备(Facilities)——用来存放和支持信息系统的一切资源。
*人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT 审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。
第三章会计信息系统开发审计1.系统开发审计的目的(1)审查系统的可行性(2)审查系统的合规性,合法性(3)审查系统内部控制的适当性(4)审查系统的可审性(5)审查系统测试的全面性,恰当性(6)审查系统文档资料的完整性(7)审查系统的可维护性2.系统分析阶段的审计(1)系统目标的确定(2)分析已有系统(3)可行性分析(4)需求分析3.系统设计阶段的审计(1)总体设计:高内聚,低耦合(2)详细设计:数据库文件设计,代码设计,输入输出设计,处理功能设计第四章会计信息系统应用程序审计1.应用程序审计内容(1)应用程序控制有效性审计(输入,处理,输出)(2)应用程序合法性审计(3)程序有效性审计(4)程序编码正确性的审计2.应用程序审计的方法(1)手工审计方法:1 程序流程图检查法2 程序编码检查法 3 程序运行记录检查法4 程序运行结果检查法(2)计算机辅助审计法:1 检测数据发2 整体检测法(虚拟实体法)3 程序编码比较法4 受控处理法5 受控再处理法6 平行模拟法7 嵌入审计程序法第五章会计信息系统数据审计1.数据审计的准备工作(1)数据采集的方法1 利用被审计单位应用系统的数据转出功能采集数据2 利用被审计单位业务系统所使用的数据库系统的转出功能采集数据3 使用审计软件自带的数据转出工具采集数据4 通过直接拷贝数据文件的方式采集数据5 使用通用的数据转出工具ODBC采集数据(2)被审计数据存在的主观问题1 值缺失问题2 空值问题3 数据冗余问题4 数据值域不完整问题5 字段类型不合法问题(3)数据清理的基本技术1 使用EXCEL清理数据2 使用SQL语言清理数据3 其他技术(*.MDB 用ACCESS的更新查询)(4)数据转换一数据转换主要内容1 数据类型转换2 日期时间格式转换3 代码转换4 金额值表示方式转换5 数据抽选二数据转换基本技术1 利用数据库管理系统自带的转换工具转换2 利用审计软件转换3 利用SQL语言进行转换(5)数据检验(真实,正确,完整)基本内容:1 核对记录数 2 核对总金额3 检查借贷平衡性4 验证凭证号断号和重号5 验证数据的勾稽关系第八章计算机信息系统舞弊的控制和审计1 计算机信息系统舞弊概述(1)计算机舞弊与传统舞弊有着很大差别,计算机舞弊是利用计算机系统或者计算机系统实施的舞弊行为,其目的具有非正当性(2)计算机犯罪是指行为人利用计算机操作所实施的危害计算机信息系统安全和其他严重危害社会的犯罪行为(3)计算机信息系统舞弊行为包括1 篡改输入2 篡改文件3 篡改程序4 违法操作5 篡改输出6 其他手段2.计算机信息系统舞弊审计对输入系统的审查(1)可以应用传统方法审查手工记账凭证与原始凭证的合法性(2)应用抽样审计技术,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性(3)测试数据的完整性(4)对输出报告进行分析(5)对数据进行安全性审查(6)对操作权限进行审查对程序类信息系统的审查方法(1)程序编码检查法(2)程序比较法(3)测试数据法(4)程序追踪法对输出类信息系统舞弊的审计一般方法:(1)询问能观察到敏感数据运动的数据处理人员(2)检查计算机硬件设施附近是否有窃听或者无线电发射装置(3)检查计算机系统的使用日志,看数据文件是否被存取过,是否属于正常工作(4)检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘,磁带上是否有残留数据。