1、1会计信息系统会计信息系统Accounting Information System 安徽工业大学管理学院安徽工业大学管理学院2第十二讲第十二讲会计信息系统审计 3本讲主要内容n会计信息系统审计概述 n会计信息系统审计的主要内容n控制符合性测试n实质性测试 41.会计信息系统审计概述n为了确保信息系统的有效性和可靠性,必须对系统的运作进行定期检查,即执行信息系统的审计,信息系统的审计又称为电算化审计(EDP Auditing),须由EDP审计师执行。n信息系统的审计目标与传统的财务审计目标并无根本区别,大多数基本的审计方法、程序亦仍然适用。n信息系统的审计(或EDP审计),一般可分为三个阶段:
2、审计规划、控制符合性测试审计规划、控制符合性测试和实质性测试实质性测试。51.会计信息系统审计概述n审计规划阶段的一项重要任务是分析审计风险。审计师要确定第二、三阶段测试的性质和范围,就必须对审计的对象有透彻的了解。n风险分析包括对企业信息系统的一般控制一般控制和应用控制应用控制进行全面的评估与检查。在全面检查企业信息系统的一般控制进时,审计师要熟悉企业的战略性和操作性政策、经营运作和组织结构。审计师还要了解企业的财务与会计系统,以及这些系统处理经营交易过程中的控制。61.会计信息系统审计概述n审计规划阶段搜集审计证据的办法包括调查问卷、面谈、审阅系统描绘记录和实地观察。在这个过程中,EDP审
3、计师要着重注意可能出问题的环节和相关的控制功能。随后,EDP审计师将执行第二阶段的审计,即对信息系统的现有控制加以符合性测试(Compliance tests),从而鉴定有关系统控制的有效性。71.会计信息系统审计概述n符合性测试的主要目的是检查企业的内部控制内部控制机制机制是否健全。n为了达到这一目的,EDP审计师需要对信息系统的一般控制和应用控制执行一系列的测试或检验。之后,EDP审计师必须对企业的内部控制的可靠性与效率作出较全面的评估,并且据以确定下一步对财务报表项目所作实质性测试的性质、范围和时间。n一般地说,如果企业内部控制可靠,运作效果良好,审计师可以相对地增加对内部控制的依赖程度
4、,适当地减少对财务报表资料进行实质性测试的内容、范围和时间。81.会计信息系统审计概述n实质性测试(Substantive tests)的重点是对对信息系统输出财务报表资料的检查,包括查验信息系统输出财务报表资料的检查,包括查验会计账户的余额和交易记录的准确性和可靠性会计账户的余额和交易记录的准确性和可靠性。实质性测试比较费时费力,但实质性测试检查的性质和范围取决于审计过程第二阶段对企业内部控制的符合性测试的结果和评估。91.会计信息系统审计概述n控制符合性测试和财务报表项目的实质性测试的目的都是为了尽可能地降低审计风险,保证审计结论的正确性。n系统控制的符合性测试着重检查企业的内部控制机制。
5、内部控制越强,信息系统出现差错的机率就越小,审计师可以相应地缩小实质性测试的范围与数量。反之,内部控制越弱,信息系统出问题的机率就越大,审计师就必须增加第三阶段的实质性测试,以便及时发现财务资料处理与企业经营方面的潜在问题。102.会计信息系统审计的主要内容2.1控制符合性测试主要是检查以下几方面的控制:1.操作系统控制2.资料控制3.组织结构控制4.系统开发控制5.系统维护控制6.计算机中心安全控制7.传导通讯控制8.电子资料交换控制9.微机控制112.会计信息系统审计的主要内容2.1.1操作系统控制的测试n操作系统和周边环境紧密关联。为了避免人为的或非人为的毁损破坏,操作必须建立一整套安全
6、防护措施,以便完成以下目的:1)防护操作系统本身不遭受使用者作业或者应用程序的毁损;2)操作系统要能防止不同使用者之间或应用程序之间的相互影响或干扰;122.会计信息系统审计的主要内容2.1.1操作系统控制的测试3)操作系统必须具备内置防护控制,防止操作系统各个模块的相互窜扰或侵蚀;4)操作系统要能够抵御外界环境因素骤变(如断电和各种自然灾害)的威胁。n如果企业的操作系统控制不健全,则无法实现上述控制目的,并且将影响信息系统的有效运作。132.会计信息系统审计的主要内容2.1.1操作系统控制的测试n操作系统审计的重点在于检查各项预先设计的安全措施和控制步骤是否严密和有效,是否足以防护操作系统不
7、受硬件失灵、软件差错、人为故障和病毒侵蚀等因素的干扰。操作系统的符合性测试着重于检查企业的安全控制政策和计算机病毒控制技术。142.会计信息系统审计的主要内容2.1.1操作系统控制的测试n操作系统安全控制政策的有效性可以借助特殊的审计软件来测试。审计师还可以应用下列非技术性测试方法,以便进一步取得有关操作系统控制可靠性的证据:1)查阅企业的有关政策文件,检查是否建立操作系统通行口令制度,以及对通行口令的授予和更改程序是否合理适当。2)查阅员工招聘记录,尤其要检查对有权接近和操作信息系统的每位员工是否经过严密安全性审查。152.会计信息系统审计的主要内容2.1.1操作系统控制的测试3)查阅员工记
8、录,确定员工是否均有书面承诺保守企业资料机密性的责任。4)企业的保安小组有责任监督和报告任何违反安全控制政策的行为。审计师可以抽查企业的安全控制违规案例记录,通过对这些案例处理结果来评估保安小组的绩效。5)审计师要查证企业有关人员对各种资料和计算机程序的使用是否符合适当的授权。检查的办法包括对比企业的交易或作业授权清单,以及观察实际的授权控制作业关况。162.会计信息系统审计的主要内容2.1.1操作系统控制的测试n控制电脑病毒侵蚀的关键在于严格执行企业关于防范计算机病毒入侵的政策和措施。审计师要查核这方面的政策是否已经建立并得以严格遵循。n审计师可以应用下列测试来检查信息系统的抗病毒控制是否充
9、分有效:1)查阅企业是否规定必须向声誉良好的软件供应商购买抗病毒软件,并检查核对有关的购货单。2)审查企业的抗病毒软件的使用政策。3)查核与测试安装于企业计算机系统内的各种作业程序或应用程序是否均有适当的版权和经过正式授权批准。172.会计信息系统审计的主要内容2.1.2资料资源控制的测试nEDP审计师测试资料控制的目的是要检查现有控制措施是否能够保证资料资源的完整和安全。这主要包括两方面的测试:1) 资料的后备拷贝是否足以复原遗失或毁坏的资料;审计师要检查是否建立适当的后备拷贝,是否储存在安全的地点,以及是否配置可靠的措施防范因各种自然灾害或人为故障而造成的损失。182.会计信息系统审计的主
10、要内容2.1.2资料资源控制的测试2) 对资料库的存取接近是否严格于已授权的作业的需要。n资料库的存取接近控制至关重要。审计师要查核既定系统是否有着严格的授权控制,以及授权是否妥当。也就是说,即使授权的系统操作人员和使用者,亦只能由于特定的交易作业需要而接近存取特定的资料库资料。192.会计信息系统审计的主要内容2.1.3组织结构控制的测试n测试组织结构控制主要是为了检查系统内部职能分割的合理性。审计师必须查核不相容的职能是否均有严格的分割,以及职能划分是否在实际作业中得以认真执行。具体测试可包括以下几方面:1)审阅企业的组织结构文件。审计师要查阅有关的文件,如现行组织结构图、企业经营策略与目
11、标,以及作业手册和重要职能说明,鉴别信息系统内部主要的职能是否明确分割。202.会计信息系统审计的主要内容2.1.3组织结构控制的测试2)检查系统描述记录。审计师必须抽样检查信息系统的维护记录,以便确定负责系统维护的程序师不是原先的系统程序设计师(系统设计和维护职能分割)。3)行为观察。审计师可以通过实地观察,确定各项关键职能工作是否由不同的员工担任,以及职能分割控制的实际作业程序。212.会计信息系统审计的主要内容2.1.4系统开发控制的测试nEDP审计师测试系统开发控制的目的是:1)系统开发的各个阶段是否都已严格地执行企业的有关政策和规则;2)系统投入使用后有无发现重大操作问题或舞弊行为;
12、3)系统开发各阶段的报告是否均获取使用者和高层主管的认可与签署审批;4)系统文件记录是否准确完整,便于审计和系统维护。222.会计信息系统审计的主要内容2.1.4系统开发控制的测试n系统开发控制的测试侧重于下述两方面:1)检查系统开发过程是否有内部审计师的长期与经常性参与。企业的内部审计人员应当参与系统的开发作业,并在每个开发阶段结束时作出审查评估,确定各项系统开发作业是否完全遵循既定的政策与规划。内部审计有助于尽快地发现与纠正系统开发中的失误与弊端。2)检查整个系统开发周期的文件记录。审计师可以抽查一部分已完成的系统开发文件记录,验证开发作业是否符合的政策与规划。232.会计信息系统审计的主
13、要内容2.1.5系统维护控制测试nEDP审计师测试系统维护的目的在于检查是否存在未经授权擅自修订或更改系统的问题。审计师必须检查与确定下列各事项:1)系统维护的政策与规则能否保证应用程序不受非法窜改;2)各项应用程序不存在重大差错;3)对程序资料库的存取接近均有经过严格的审批和登记程序。242.会计信息系统审计的主要内容2.1.5系统维护控制测试n为了检查是否存对应用程序的未经授权的窜改,审计师可执行下列的测试:1)核对应用程序的版本。2)审查系统维护的审批手续。252.会计信息系统审计的主要内容2.1.5系统维护控制测试n为了检查应用程序中是否存在重大差错,审计师可执行以下几方面的测试:1)
14、核对程序编码。2)检查维护作业测试结果记录。3)重新测试应有程序。262.会计信息系统审计的主要内容2.1.5系统维护控制测试n建立程序资料库及其存取接近控制是避免差错和防止计算机系统舞弊的重要环节。程序资料库集中管理系统内部的各项操作和应用程序,只有程序管理员有权接近程序,存取需要加维护的程序。系统维护的程序编写人员只能通过程序管理员调出和缴回所需维护和测试的计算机系统程序,他们不能直接接近程序资料库。审计师可以抽查系统维护与调试记录,确定是否与程序资料库的程序存取记录相符合。272.会计信息系统审计的主要内容2.1.6计算机中心的安全测试nEDP审计师测试计算机中心安全的目的是要评估计算机
15、中心安全控制的健全和有效性。具体内容包括:1)评估实体安全措施是否足以保护计算机中心的安全;2)审查对企业购买的保险金额是否足以赔偿计算机中心可能遭受的损失;3)操作作业手册和文件记录能否确保计算机中心的正常运作和有效处理系统故障;4)计算机中心的灾情恢复计划是否可行。282.会计信息系统审计的主要内容2.1.7通讯传导控制的测试1)EDP审计师测试通讯传导控制的目的是要确定资料传导渠道或媒体的安全与完整。传导渠道的有效控制包括:2)有效侦察与恢复因设备故障引起的传送资料遗失;3)防范对通讯线路的非法窜入者窃取的资料。292.会计信息系统审计的主要内容2.1.7通讯传导控制的测试n资料通讯传导
16、的控制测试包括:1)从作业记录中抽样检查是否因为通讯线路拥挤造成被传送资料的内容失真;2)检查资料传送的作业记录,确定是否所有的资料均按既定的顺序接收与发送;3)检查关于资料编码的安全措施;4)确定各种敏感资料,如通行口令等到是否经过适当的编码保护。302.会计信息系统审计的主要内容n2.1.8电子资料交换控制的测试n审计电子资料交换控制系统的目的是要确定:1)所有的电子资料交换均遵循既定政策,并且经过适当的授权;2)未经事先授权的外部企业或个人一概不得接近交易资料库;3)经授权的外部企业(商业伙伴)只能存取与往来交易相关的特定资料;4)所有的电子资料交换都要保留审计脉络312.会计信息系统审
17、计的主要内容2.1.8电子资料交换控制的测试n电子资料交换控制的测试主要有以下三种:1)授权控制的测试。n审计师要审核商业伙伴进出本企业资料库的使用者身份码均已事先经过审批生效。322.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试2)存取资料控制的测试。A.是否只有经授权的人员才能接近存取供应商和客户资料档;有关通行口令和授权清单是否都经过编码保护处理;B.商业伙伴接近本企业资料库存取资料是否限制于合同规定的范围之内;C.检查本企业交易资料库是否可能被非授权人士非法窜入。332.会计信息系统审计的主要内容2.1.8电子资料交换控制的测试3)审计脉络控制的测试n必须审查电子资料交换
18、的全部过程是否都有作业记录。审计师可以从作业记录中抽样检查关键资料的记录是否准确无误。342.会计信息系统审计的主要内容2.1.9微机控制的测试nEDP审计师对微机控制的测试主要检查以下四个方面:1)是否存在明确有效的监督管理和规章制度,以保证使用者、程序设计师和操作人员之间适当的职能分割;352.会计信息系统审计的主要内容2.1.9微机控制的测试2)是否只有经授权的人员才能使用企业的微机存取资料或接近程序档案;3)是否存在完善的后备恢复措施,以防范因计算机故障引起的资料消失或者程序失灵;4)是否建立严格措施,以保证外部购入的应用程序的性能、质量和妥善维护。362.会计信息系统审计的主要内容2
19、.2.10测试应用程序的控制n系统控制测试包括一般控制测试和应用程序控制测试两个部分。应用程序控制测试通常有两种方法:n黑箱(绕过计算机)法Black box(Around the computer approach)n白箱(穿过计算机)法White box(Through the computer approach。372.会计信息系统审计的主要内容n黑箱法测试n所谓黑箱法是指审计师在审计时对计算机系统不心详细了解,只需要通过对系统流程图的分析以及与系统有关人员的面谈,了解企业信息系统的特点功能。一旦了解了信息系统的结构与功能,审计师可以直接分析比较信息系统的输入和系统处理后的输出结果,从而
20、判断系统和有关的应用程序是否运作良好,达到系统的预期目的。由于在采用黑箱法时,审计师并未检查系统内部的实际作业过程,故又被称为“绕过计算机审计法”。382.会计信息系统审计的主要内容黑箱法测试n黑箱法的优点是直接测试资料输入与输出结果,不会影响系统的正常运作,尤其适用于对简单应用程序的测试。但是,这一方法不适用于对容量庞大而且功能复杂的应用程序的审计。392.会计信息系统审计的主要内容白箱法测试n白箱法审计不仅要求对系统的内在逻辑具有深刻的了解,而且必须对系统的内在逻辑功能加以直接测试。主要测试技术包括以下五种:n测试资料法(Test data method)n基本案例系统评估(Base ca
21、se system evaluation)n追溯查验法(Tracing method)n整合测试设施法(Integrated test facility approach)n平行模拟法(Parallel simulation technique)402.会计信息系统审计的主要内容n测试资料法n测试资料法把预选编排的资料输入到需要测试的应用程序加以处理,以检查该程序的完整可靠性。审计师把处理后的输出结果和预先计算的结果加以对比分析,从而对系统的逻辑和控制效果作出客观的评估。n它的重要环节之一是编辑测试资料。审计师可利用企业在系统开发过程中设计的测试资料。但如果应用程序在系统实施后忆发生过变动,则
22、审计师要编排补充性测试资料,侧重于测试系统应用程序中的已修改部分。412.会计信息系统审计的主要内容n基本案例系统评估n测试资料法可能有多种变形。如果用于测试的资料内容广泛,面面俱到,涵盖几乎所有可能发生的交易类型,则可称之为基本案例系统评估法。422.会计信息系统审计的主要内容n追溯查验法n追溯查验法是测试资料法的另一种变形。追溯查验法对系统应用程序的内在逻辑关系执行追溯性测试,其步骤有三:1)对需审计的应用程序进行特殊编辑处理,以产生可能追溯查验的踪迹;2)设计一种或者数种特殊交易类型作为测试资料;3)追溯测试资料经过应用程序各个处理阶段的踪迹,列出测试过程中应用程序发出的全部算是指令,供
23、查验其内在逻辑运算关系的正确性。432.会计信息系统审计的主要内容n整合测试设施法n整合测试设施法是审计师可以在客户系统正常运作的同时自动直接测试系统的逻辑运算与控制的一种方法。通常整合测试设施在系统开发时就作为一个模块或模块组内置于系统的应用程序之中,在整合测试设施的资料库里,真实的交易记录和“模拟”或测试主档用的记录同时存在。有些企业的信息系统中可能另设一个虚拟交易档用以存放测试交易的结果。在系统的日常运作之时,测试交易和正常交易将汇集在一起输入系统处理。442.会计信息系统审计的主要内容n平行模拟法n平行模拟法要求审计师模拟客户信息系统应用程序的特点、性能编写自己的测试程序,然后用模拟程
24、序处理由客户应用程序处理过的交易资料。模拟程序的输出结果可以用来和客户应用程序的处理结果相比较,从而对客户系统应用程序的可靠性作出评估。审计师在核对测试结果和实际结果时必须谨慎,因为导致对比结果不同的原因可能有两方面:一是客户的应用程序的确存在缺陷,二是模拟程序过于粗糙、简单导致差错,而并非客户应用程序存在问题。所以审计师必须认真分析,方可得出正确的结论。452.会计信息系统审计的主要内容2.2实质性测试n大部分的审计检查是在实质性测试阶段执行的。实质性测试是用来证实财务报表项目的账户确实存在和准确无误。测试前,审计师要向客户索取相应的资料,然后抽取样本执行实质性测试。测试方法主要有两种:n嵌
25、入审计模块法n通用审计软件法462.会计信息系统审计的主要内容n嵌入审计模块法n运用嵌入客户计算机系统内的特殊程序模块挑选和记录预定的交易类型,以便于实质性测试。n两个缺点:一是可能降低客户信息系统的作业效率,可采用控制使嵌入的模块“可开可关”,以减轻系统的额外负荷;二是如果客户的系统需要经常维护,嵌入的审计模块也必须随之不时地更改,从而将影响审计模块的可靠性,降低实质性测试的质量。472.会计信息系统审计的主要内容n通用审计软件法n通用审计软件法是EDP审计时最常用的方法。许多大型会计事务所都开发出自已的通用审计软件,性能各异。482.会计信息系统审计的主要内容n一般而言,通用审计软件可用来执行下列审计作业:n计算整个资料档或指定资料的加总与结余;n选取报告档里的详细资料;n从资料档记录中分层次抽取样本以便查验;n把测试结果汇编成特定格式的报表;n打印标准或特制的往来账户确证函;n查阅资料记录,按既定标准调取或剔除某记录项目;n对比不同资料档,发现差异;n重新排开资料栏目。49结束语n信息系统审计既涉及传统的审计方法,又要应用一定的计算机系统知识与操作技能。随着会计信息系统的发展,EDP审计的重要性已经显著上升。因此,审计师必须不断地注视信息技术的发展,掌握EDP审计的方法与技能,根据不同客户信息系统的特点,选择最佳的审计方法,高质量和高效率地实现审计目标。