会计信息系统原理与实验教程 978-7-302-22090-9 第13章 计算机审计新.pptVIP

第十三章 计算机审计 一、计算机审计的定义 计算机审计，又称电算化审计、信息技术审计(IT审计)、计算机信息系统环境下的审计、电子数据处理系统审计(EDP审计)，是指审计人员用手工的或计算机(电算化)的审计方法、技术和程序，对计算机(电算化)信息系统所进行的审计；或者用计算机的审计方法，对手工信息系统所进行的审计。如图13-1所示。 二、计算机审计的发展阶段 (1)绕过计算机审计阶段。(2)通过计算机审计阶段。(3)利用计算机审计阶段。 三、计算机审计的内容 计算机审计包括：内部控制审计、系统开发审计、应用程序审计、数据文件审计四部分内容。 1.内部控制审计 计算机信息系统的内部控制包括：一般控制和应用控制。 一般控制包括组织控制、操作控制、硬件及系统软件控制、系统安全控制等。 应用控制，也可称为特殊控制，与一般控制对应，分为输入控制、处理控制、输出控制。 对内部控制进行审计的目的是：(1)完善内部控制系统；(2)在内部控制审计的基础上对计算机信息系统的处理结果进行审计。 第二节 计算机信息系统的内部控制和审计 一、组织控制 1.职责分工 （1)电算化部门与用户部门间的职责分离。 1)划分错误的纠正责任。电算化部门负责纠正本部门数据处理过程中产生的错误、更正错误后重新输入等。用户部门负责更正产生于电算化部门以外的错误，而电算化部门不应试图自己动手纠正这些错误，用户部门更正后将数据重新传递到电算化部门进行处理。 2)不相容职能的分离。电算化部门不能负责业务的批准和执行，不能保管除计算机系统以外的任何资产，只执行业务记录的职能。 (2)电算化部门内的职责分离。 基本会计岗位可包括：会计主管、出纳、会计核算各岗、稽核、会计档案管理等工作岗位。电算化会计岗位包括直接管理、操作、维护计算机及会计软件系统的工作岗位，例如电算主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。在不违背内部控制制度的前提下，基本会计岗位和电算化会计岗位可交叉设置适当合并。 第三节 计算机信息系统的程序测试方法 一、不处理数据的程序测试方法 1.程序流程图检查法 审计人员首先应确定获得的流程图中包含了哪些控制措施，然后要证实该流程图中所包含的这些控制措施就是被审单位实际运行的程序中的控制措施。另外，审计人员应使用流程图追踪一些业务，以判定控制措施能否发现和纠正错误，例如，借贷不平。 2.程序代码检查法 对被审程序的指令一条一条地审查，找出程序化的控制措施并验证其有效性，达到符合性测试的目的。此外对程序代码的检查也可以验证程序的合法性、完整性和程序逻辑的正确性。 3.程序运行记录检查法 通过由系统自动记录下的运行起止时间、中断、故障等方面的信息，检查测试程序化控制措施是否存在、是否可靠。 4.打印输出检查法 这种检查方法同对手工会计信息系统的凭证、账簿、报表的审查相同，通过对系统打印输出结果的检查，推断被审程序中是否存在控制措施、控制措施是否可靠 第四节 计算机信息系统的数据文件实质性测试 一、实质性测试概述 1.实质性测试的概念 实质性测试是指审计人员对被审单位各账户余额和各项经济业务凭证(发生额)所进行的直接检查和分析性审核。实质性测试的对象是数据文件，目的是获取账户余额和发生额是否正确、公允、合规的证据，以便为对财务报表发表审计意见提供依据。 * 审计手段 审计对象 手工审计 手工系统 计算机审计方法 (系统软件、审计软件、 办公软件等) 计算机信息系统 图13-1 计算机审计定义 2.系统开发审计 是指对计算机信息系统开发过程进行的审计。 3.应用程序审计 是指对计算机程序代码进行的审计，可以直接审查程 序，也可以通过数据在程序上的运行间接测试程序。 目的在于：(1)测试应用控制系统的符合性； (2)通过检查程序运算和逻辑的正确性，达到实质性测试的目的。 4.数据文件审计 数据文件审计的目的在于：(1)对数据文件进行实质性测试；(2)通过数据文件的审计，测试内部控制措施的符合性。 2.人事控制 要建立人员招聘、在职教育、定期评价、轮换任职、晋级办法等控制措施。 二、操作控制 (1)操作计划； (2)操作规程； (3)机房守则； (4)严密的监察。 三、硬件及系统软件控制 1.硬件控制 (1)冗余校验；(2)奇偶校验； (3)设备校验；(4)重复处理校验；(5)回声校验。 2.系统软件控制 (1)错误处置；(2)程序保护；(3)文件保护；(4)安全保护；(5)自我保护。 四、系统安全控制