二、审前调查(网络审计).ppt

第二章 审前调查与计算机审计风险 1 第一节 审前调查的内容和方法 一、审前调查的内容 审前调查范围和内容的确定取决于审计目的。一般来说，通过审前调查获取的信息包括下面几个方面： 1、被审计单位的基本情况 经济及业务性质、组织管理、财务管理、内部控制以及主要业务流程等内容 2、被审计单位信息系统情况 信息系统的物理配置情况、功能设置内容、生命周期等 3、被审计单位电子数据情况 数据来源、数据处理流程、内外部关联数据的衔接管理 注意：调查前，审计人员应制定审前调查方案； 调查后，审计人员应撰写审前调查报告。 二、审前调查的方法 可采取下列方法： 网上查询、查阅行业刊物等 查阅行业主管部门提供的行业政策、法规 查阅被审计单位基础资料，与相关人员座谈 发放调查表 实地考察 其他方法 三、数据需求的提出 目的：采集数据 （一）了解源数据 在初步了解被审计单位信息系统基本情况的基础上，全面了解被审计单位的源数据情况。 源数据 按性质划分 按来源划分 财务数据 业务数据 内部数据 外部关联数据 （二）提出数据需求 1、内部数据需求 确定需要向被审计单位采集的源数据，撰写内部数据需求说明书，提交给被审计单位。 2、外部数据需求 明确外部关联数据的范围及方法，撰写外部数据需求书，提交给相关单位或部门。 四、标志性文档 审前调查阶段形成的文档主要有： 审前调查方案 审前调查报告 数据需求说明书 （一）审前调查方案 审前调查方案的主要内容包括： 1、调查的对象、范围、内容和重点 2、应收集的重要资料的类别（或具体名称）及获取方法 3、调查的组织、分工和日程安排 4、完成审前调查报告的其他要求 范 例 （二）审前调查报告 审前调查报告是开展审前调查工作的成果性文档，它记录了审计组通过审前调查获取的各类必要、充分的信息。它是编制审计实施方案的重要依据之一。 可能的其他形式：审前调查表、审前调查记录 范 例 （三）数据需求说明书 无论是内部数据需求书还是外部关联数据需求书，均应包含下列内容： 1、需采集数据的信息系统的名称和功能 2、数据采集范围及方法 3、数据提供时间 4、双方责任 5、其他相关事项 范 例 第二节 计算机审计风险 一、计算机环境下信息系统应用的风险 1、数据与职责过于集中化 2、系统程序易于被非法调用甚至遭到篡改 （1）经过批准的系统使用人员滥用系统 （2）对接近系统缺乏控制 3、错误程序的风险 （1）差错反复与差错级联 （2）数据处理不合逻辑 （3）程序错误 4、信息系统缺乏应用的审计接口 5、信息系统固有的脆弱性 6、网络系统的风险 （1）技术风险 （2）商业风险 二、计算机审计风险 （一）固有风险 主要指系统环境风险。系统环境风险是指会计电算化系统本身 所处的环境引起的风险，它分为软件环境风险和硬件环境风险。 （二）控制风险 包括系统控制风险和财务数据风险。 系统控制风险是指会计电算化系统的内部控制不严密造成的风 险； 财务数据风险是指电磁性财务数据被篡改的可能。 （三）检查风险 包括审计软件风险和人员操作风险。 审计软件风险是指计算机审计软件本身缺陷原因造成的风 险。 人员操作风险是指计算机审计系统的操作人员、技术人员 和开发人员等在工作中由于主观或客观原因造成的风险。 三、计算机审计风险的控制 （一）注重信息系统安全的风险分析 例如： 高 （0.76-1.00） 较高 （0.56-0.75） 中 （0.41-0.55） 较低 （0.26-0.40） 低 （0-0.25） 实体安全 数据安全 软件安全 运行安全 风险 等级 风险 要素 （二）注重对被审计单位及其环境的了解 可通过建立网络信息库的方式 （三）注重对被审计单位信息系统的内部控制审计 特别注意网络环境下某些特定业务与内控的关系 （四）提高审计人员的素质 （五）开发实用高效的审计软件 （六）合理配置审计人员 （七）注重审计质量控制 如：文件备份、资料的保密与安全、软件测试、检查程序变更控制等等。 （八）完善审计准则