信息系统教材新审计基础培训材料.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息系统审计基础培训 * 应用系统控制示例——采购流程 编号 控制类别 AC01 授权控制 AC02 输入控制 AC04 处理控制 AC05 输出控制 AC06 边界/接口控制 信息系统审计基础培训 * 应用系统控制——授权控制 只有得到授权的用户可以在系统中生成采购申请，采购订单，入库单和确认发票 只有得到授权的用户可以审批采购申请或采购订单。 不会将创建采购申请和审批采购申请的权限赋予同一个用户。 信息系统审计基础培训 * 应用系统控制——输入控制 系统会对采购申请单，采购订单和入库单进行连续编号。 系统对采购订单页面中的重要字段进行了强制的格式和内容校验，比如在日期字段中不允许输入字符内容，当用户选择了采购物料编码后，物料名和采购价格是由系统自动带出，而不能被修改。 当输入的采购量超过库存余额的时候，系统会自动报警，确保这种采购订单不能被生成。 信息系统审计基础培训 * 应用系统控制——处理控制 系统提供模拟处理功能，以确保正式生成的单据是符合公司要求的。 在进行发票校验的时候，系统自动会在后台进行三单匹配的校验，以确保生产的采购发票上的数量和金额与采购订单以及入库单上的数字保持一致。 若操作的处理过程太长或占用系统资源过多，系统会自动警示。 对任何重要单据的修改，系统都会在保存前和用户进行确认。 信息系统审计基础培训 * 应用系统控制——输出控制 系统会自动提示输出到其他模块的数据是否成功。 对于无法正确输出的报表或者内容，系统会以代码的形式告诉用户原因及解决的方法。 用户可以定制输出报表的格式，包括字段和每页的记录条数等。 当输出内容超过系统负荷时，系统会自动警示。 信息系统审计基础培训 * 应用系统控制——边界/接口控制 系统会提供接口数据传输的状态报表，包括每次接口传输数据的时间，是否成功等信息。 系统会对接口传输的数据包的前后状态进行核对，比如检查导入到新模块的数据包大小和老系统中有什么区别。 系统会列示导入前后的记录条数和金额总计。 信息系统审计基础培训 * 计算机辅助审计技术 信息系统审计基础培训 * 通用和专用审计软件技术 数据读取和转换 查询 计算 分类 抽样选择 排序 数据文件联结、比较、合并 输出 信息系统审计基础培训 * 常用的计算机辅助审计软件与技术 共用软件（Utility） 测试数据（Test Data） 应用程序检查（Review of Application System） 审计专家系统（Audit-expert System） 整体测试（Integrated Test Facility） 快照（Snapshot） 系统控制审计审核文档（SCARF） 其它特殊的审计软件 信息系统审计基础培训 * 计算机辅助审计为审计师带来的帮助 对交易与账目数据的详细测试 分析性的检查过程 信息系统一般控制的符合性测试 信息系统应用控制的符合性测试 操作系统脆弱性评估及穿透性测试 信息系统审计基础培训 * 计算机辅助审计技术的优点 降低审计风险 不太需要依赖被审计单位的人员 比较广泛并一致的审计范围 可以更快速利用审计资料 执行时间较有弹性 更有机会量化内部控制的弱点 加强抽样 节省成本 信息系统审计基础培训 * 使用计算机辅助审计技术时应考虑的因素 容易使用，包括对现有及未来的审计工作人员 对于培训的要求 编写及维护的复杂性 使用的灵活性 对于安装的要求 处理的效率，特别是用于各人电脑上的计算机辅助审计技术 信息系统审计基础培训 * 计算机辅助审计中应当保留的文件 程序列表 高风险问题的详情报告 详细及总体流程图 样本报告 档案及记录的格式 字段定义 操作说明 原始文件说明 信息系统审计基础培训 * 信息技术控制缺陷的评估 信息系统审计基础培训 * 通用计算机控制缺陷评估框架 是否存在能满足控制目标的替代性通用计算机控制措施且被测试有效? 该通用计算机控制缺陷是否影响某一应用系统控制的设计或性能? 与之相关的应用系统控制缺陷是否被评为“缺陷”? 与之相关的应用系统控制缺陷是否被评为“严重缺陷”? No Yes No No 重大缺陷 是否有其它理由认为该缺陷属于“严重缺陷”? 严重缺陷 缺陷 Yes Yes Yes Yes No No 基于 PCAOB AS2 Q35. 信息系统审计基础培训 * 评估通用计算机控制的基本