计信息系统审计(PPT 49).pptVIP

会计信息系统Accounting Information System 安徽工业大学管理学院 第十二讲 会计信息系统审计 本讲主要内容 会计信息系统审计概述 会计信息系统审计的主要内容 控制符合性测试 实质性测试 1.会计信息系统审计概述 为了确保信息系统的有效性和可靠性，必须对系统的运作进行定期检查，即执行信息系统的审计，信息系统的审计又称为电算化审计（EDP Auditing），须由EDP审计师执行。 信息系统的审计目标与传统的财务审计目标并无根本区别，大多数基本的审计方法、程序亦仍然适用。 信息系统的审计（或EDP审计），一般可分为三个阶段：审计规划、控制符合性测试和实质性测试。 1.会计信息系统审计概述 审计规划阶段的一项重要任务是分析审计风险。审计师要确定第二、三阶段测试的性质和范围，就必须对审计的对象有透彻的了解。 风险分析包括对企业信息系统的一般控制和应用控制进行全面的评估与检查。在全面检查企业信息系统的一般控制进时，审计师要熟悉企业的战略性和操作性政策、经营运作和组织结构。审计师还要了解企业的财务与会计系统，以及这些系统处理经营交易过程中的控制。 1.会计信息系统审计概述 审计规划阶段搜集审计证据的办法包括调查问卷、面谈、审阅系统描绘记录和实地观察。在这个过程中，EDP审计师要着重注意可能出问题的环节和相关的控制功能。随后，EDP审计师将执行第二阶段的审计，即对信息系统的现有控制加以符合性测试（Compliance tests），从而鉴定有关系统控制的有效性。 1.会计信息系统审计概述 符合性测试的主要目的是检查企业的内部控制机制是否健全。 为了达到这一目的，EDP审计师需要对信息系统的一般控制和应用控制执行一系列的测试或检验。之后，EDP审计师必须对企业的内部控制的可靠性与效率作出较全面的评估，并且据以确定下一步对财务报表项目所作实质性测试的性质、范围和时间。 一般地说，如果企业内部控制可靠，运作效果良好，审计师可以相对地增加对内部控制的依赖程度，适当地减少对财务报表资料进行实质性测试的内容、范围和时间。 1.会计信息系统审计概述 实质性测试（Substantive tests）的重点是对信息系统输出财务报表资料的检查，包括查验会计账户的余额和交易记录的准确性和可靠性。实质性测试比较费时费力，但实质性测试检查的性质和范围取决于审计过程第二阶段对企业内部控制的符合性测试的结果和评估。 1.会计信息系统审计概述 控制符合性测试和财务报表项目的实质性测试的目的都是为了尽可能地降低审计风险，保证审计结论的正确性。 系统控制的符合性测试着重检查企业的内部控制机制。内部控制越强，信息系统出现差错的机率就越小，审计师可以相应地缩小实质性测试的范围与数量。反之，内部控制越弱，信息系统出问题的机率就越大，审计师就必须增加第三阶段的实质性测试，以便及时发现财务资料处理与企业经营方面的潜在问题。 2.会计信息系统审计的主要内容 2.1控制符合性测试 主要是检查以下几方面的控制： 操作系统控制 资料控制 组织结构控制 系统开发控制 系统维护控制 计算机中心安全控制 传导通讯控制 电子资料交换控制 微机控制 2.会计信息系统审计的主要内容 2.1.1操作系统控制的测试 操作系统和周边环境紧密关联。为了避免人为的或非人为的毁损破坏，操作必须建立一整套安全防护措施，以便完成以下目的： 防护操作系统本身不遭受使用者作业或者应用程序的毁损； 操作系统要能防止不同使用者之间或应用程序之间的相互影响或干扰； 2.会计信息系统审计的主要内容 2.1.1操作系统控制的测试 操作系统必须具备内置防护控制，防止操作系统各个模块的相互窜扰或侵蚀； 操作系统要能够抵御外界环境因素骤变（如断电和各种自然灾害）的威胁。 如果企业的操作系统控制不健全，则无法实现上述控制目的，并且将影响信息系统的有效运作。 2.会计信息系统审计的主要内容 2.1.1操作系统控制的测试 操作系统审计的重点在于检查各项预先设计的安全措施和控制步骤是否严密和有效，是否足以防护操作系统不受硬件失灵、软件差错、人为故障和病毒侵蚀等因素的干扰。操作系统的符合性测试着重于检查企业的安全控制政策和计算机病毒控制技术。 2.会计信息系统审计的主要内容 2.1.1操作系统控制的测试 操作系统安全控制政策的有效性可以借助特殊的审计软件来测试。审计师还可以应用下列非技术性测试方法，以便进一步取得有关操作系统控制可靠性的证据： 查阅企业的有关政策文件，检查是否建立操作系统通行口令制度，以及对通行口令的授予和更改程序是否合理适当。 查阅员工招聘记录，尤其要检查对有权接近和操作信息系统的每位员工是否经过严密安全性审查。 2.会计信息系统审计的主要内容 2.1.1操作系统控制的测试 查阅员工记