计算机审计

1搜集资料：李荣姣、周妍PPT制作：刘倩倩PPT讲说：高睿、孟妍计算机审计第一节：计算机审计的概述第二节：计算机辅助审计技术第三节：会计信息系统的内部控制第四节：信息系审计的发展第一节计算机审计概述一．计算机审计的概念：信息系统审计是一个通过获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。从这一定义看，信息系统审计是保证信息系统的合规性、安全性、可靠性和有效性来实现组织目标的。这不仅需要关注信息系统本身产生的业务数据、财务数据、管理数据，还应该把保障信息系统运行的各种管理制度纳入审计范围。信息系统审计的主体，可以是政府审计机关，也可以是独立的信息系统审计中介机构；信息系统审计的客体是信息系统本身，而不仅仅是数据文档审计。信息系统生命周期的开发、运营、维护等各个阶段都是审计的对象。2对于“计算机审计”，目前尚无结论性的定义。有人认为，它是以电子数据处理系统（ElectronicDataProcessingSystem）为对象范围进行的审计，因此，又称为EDP审计。另一些人认为，它是以电算化信息系统为对象范围进行的审计，因此，又称为电算化信息系统审计。还有些人认为，计算机审计是以计算机为技术手段所进行的审计。前两种看法强调计算机审计的对象范围是电算化信息系统（尽管对信息系统的外延有不同的看法），而不管计算机审计的技术、方法和手段是电算化的还是人工的。第三种看法恰好相反，它强调计算机审计的方法、技术和手段应是电算化的，而不管计算机审计的对象范围是电算化信息系统还是手工信息系统。二．会计信息化对审计的影响：会计信息化处理的计算机化是计算机审计产生的直接原因。电子计算机把人类社会带进了电子信息时代。我国从20世纪80年代初起，计算机系统逐渐应用于管理领域，尤其是会计领域，使传统的会计手工数据处理系统转变为会计电算化数据处理系统，进而逐步实现了会计信息化。在实现会计信息化之后，在数据处理和工作效能等方面发生了根本的变化会计信息化导致在会计数据处理和工作效能等方面发生了根本的变化，从而对审计线索、审计内容、审计技术、内部控制和审计人员产生了影响。主要表现在以下几个方面。（一）对审计线索的影响。审计线索对审计来说是十分重要的。传统的手工会计系统，审计线索一般包括会计凭证、账簿和报表。审计人员可通过顺查或逆查的方法来审查每一笔记录，检查和确定其是否正确地反映了被审计单位的经济业务，检查企业的财务活动是否合法。而在会计信息化的条件下，某些审计线索会中断或消失，会计信息系统通过改变与审计线索有关部门的某些因素（如数据存储介质、存取方式、处理程序等），会对审计线索产生以下影响：（1）从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成，各项处理没有直接的责任人。（2）纸质的会计凭证、账簿和报表由磁性数据文件代替。（3）保存在磁性介质上的数据可能被篡改而不留痕迹，除非依靠计算机和应用程序，否则无法阅读。（4）计算机记录的顺序和数据处理工作很难直接观察等。这些影响的结果是审计人员难以像以前那样对经济业务进行跟踪。为了继续跟踪审计线索，顺利完成审计任务，在电算化会计系统的开发和设计阶段，开发者已注意使系统在处理问题时留下可跟踪的审计线索，另外，审计人员还要学会从磁性文件中找审计线索。（二）对审计内容的影响。在会计信息化的条件下，审计的监督职能并没有发生变化，但由于会计信息化的特点，审计内容却发生了相应的变化。在信息化3的会计系统中，各会计事项都是由计算机按程序进行自动处理，它可以使因疏忽大意等原因造成的错误不致发生，但若系统应用程序有错误或被人篡改，计算机则只能以错误的方法处理所有的会计事项，后果不堪设想；若应用程序中被非法嵌入舞弊程序，则可帮助犯罪分子贪污国家或集体的财产，或在某种情况下使系统处于瘫痪。电算化会计系统的特点及其固有的风险，决定了会计信息化条件下审计的内容包括对信息化会计系统的处理和控制功能进行审查，这是手工系统下审计所没有也不能审查的内容，这就要求审计人员具有计算机会计和计算机审计的知识和技能来进行审查。对信息化会计系统的审查着重审查系统的应用程序，审查其处理功能是否符合会计制度及其有关规定，是否能合法正确地处理各项业务，应用程序中的控制程序是否恰当有效，是否能达到控制目的。审计人员如果不懂计算机知识就无法进行审计工作。（三）对内部控制的影响。众所周知，现代审计都是系统基础审计，也就是审计人员要对会计系统的内部控制进行审查和评价，以此作为制定审计方案和决定抽查范围的依据。由于会计系统实现了信息化，会计系统出现了新的特点，因而也带来了新的风险。手工会计系统原有的内部控制已不能适应电子数据处理的新特点，不能有效地降低会计信息化系统特有的风险。例如：在会计信息化系统中，会计信息的处理和存储高度集中于计算机，使手工系统中的某些职责分离、互相牵制的控制失效。为了系统的安全可靠，为了系统处理和存储会计信息的准确完整，必须考虑会计信息化系统的特点，针对其固有的风险，建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外，还包括了不少建立在系统应用程序之中，由计算机运行时的程序进行的控制。在会计信息化条件下，审计人员必须研究信息化会计系统的内部控制，掌握其审计方法。对于程序控制，审计人员要利用计算机辅助审计技术进行审计。（四）对审计技术的影响。过去审计人员进行审计都是手工操作的，但随着会计信息系统广泛地应用了电子计算机技术，审计人员若仍以手工操作方式进行审计，显然难以达到目的。因此，审计的技术手段也应由手工操作向电子计算机操作转变。当然，这并不是说在审计中能用电子计算机完全替代手工操作，而是审计人员应该掌握电子计算机科学及其应用技术，把电子计算机当作一种有力的审计工具来使用。由于会计信息系统在许多方面发生了变化，审计人员必须采用新的技术方法才能适应这种变化。例如：传统的手工记账一般可从字迹上辨认登记人以明确责任，而计算机只能提供统一模式的输入资料，无法从记录上辨认登4记人，这样，计算机中的记录可轻易被改变而不留痕迹。这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。（五）对审计人员的影响由于信息化会计系统的环境比手工处理的会计系统更为复杂，审计线索、内部控制、审计内容和审计技术都发生了变化，如果审计人员只依靠过去的知识和技能是根本不能胜任工作的。因此，审计人员面临着更新知识的需要，他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依据；而且还要掌握计算机和会计电算化方面的知识和技能，了解如何审计计算机系统，如何利用计算机进行审计；要有效地使用计算机、利用计算机进行审计，还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。三．计算机审计的内容1.从审计对象的涵义来看，计算机审计包含审计项目管理系统的计算机辅助审计、手工会计系统的计算机辅助审计和会计电算化系统审计三个方面的内容。2.计算机审计同样是执行经济监督的职能，就其特殊性来说计算机审计包括了下列两个方面的内容：（1）审计人员对计算机信息系统进行审计，即把计算机信息系统作为审计的对象；（2）审计人员利用计算机辅助审计——利用计算机作为工具，帮助审计人员完成一部分审计工作，即计算机作为审计工具。四．计算机审计的程序计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段，包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据（信息）进行测试评价。计算机审计过程具体可细分为以下主要步骤：1.准备阶段。①了解企业基本情况，与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料，归纳出被审计系统的特点和重点。②组织审计人员和准备所需要的审计软件。根据被审计企业会计电算化系统的构成特点，复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人，组成审计小组，准备审计软件。如果对某审计项目需要特殊的审计软件，还必须组成一个专门小组预先开发好所需要的软件，以保障审计工作顺利开展。2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度，初步熟悉电算化会计系统的业务流程和内部控制的基本结构，包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈：①审阅上期的审计报告和管理建议书，初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册，5了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据（电子数据和有关的原始凭证），初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的问题，与会计人员、系统开发和维护人员、程序员面谈，以便得到与司题相关的背景资料。⑤初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，以及对产生和使用数据的单位的内部控制，并制作必要的简明数据流程图。同时，审计人员还要对下列资料进行了解：①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量（数据处理量）。②系统的组织结构、各级管理的职责，以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要经济业务。3.初步审查结果的评价。初步审查后，审计人员必须从整个会计信息系统内部控制的角度出发，评价初步审查的结果，确定内部控制的可行性程度，并作出结论。其结论可按以下三种方式之一作出：①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题，审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的，实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因：一是直接进行实质性测试更容易达到预定的审计目标；二是因为计算机内部控制系统可能不完善，各应用系统的用户自己增加了一些必要的补充控制，对补偿控制进行测试更易于达到审计的目的。初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果，并对这些结果作出评价，为下一步应当怎样审计提供必要信息。4.内部控制的深入审查。与初步审查一样，审计人员要判断是否退出审计，或是依赖系统的内部控制进入下一阶段符合性测试，或是直接进入实质性测试过程。对于某些应用子系统，审计人员可决定依赖于其内部控制，也可采用其他更适宜的审计过程。5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用，以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外，在这一步骤，审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。6.用户补偿控制的审查和测试。在某些情况下，审计人员可能决定不依赖计算机系统的内部控制，因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。7.实质性测试实质性测试阶段的目标是取得充分的证据，使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断。实质性测试可分为六类：①出错处理的测试；②数据质量的测试；③6数据一致性的测试；④实物盘点与计算机系统中的数据比较测试；⑤利用外部数据资源对系统内的数据进行的测试；⑥分析性检查测试。8.全面评价和编制审计报告。通过上述的审计步骤，审计证据和对各项目的初步评价结果已经形成，但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合，筛选出重要的证据和主要的问题，将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性，以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和