《会计信息化教程》第十三章：计算机审计

北京师范大学出版社1第十三章计算机审计学习目标：通过本章的学习,我们需要掌握信息系统审计的基本业务内容计算机审计的几种主要技术；计算机审计的基本方法；计算机信息系统内部控制的审计；计算机信息系统功能的审计；计算机信息系统数据文件的审计；北京师范大学出版社213.1计算机审计的发展13.1.1计算机审计的相关概念一般认为，计算机审计既包括审计单位使用信息技术进行审计，也包括对被审计单位使用的计算机信息系统所进行的审计。换言之，只要审计单位和被审计单位两方中有一方使用信息技术进行审计和数据处理，都可以称作计算机审计。北京师范大学出版社313.1.1计算机审计的相关概念(续）计算机审计也有一个动态发展的过程，最早的计算机审计主要是基于财务报表审计展开的，而其应用技术也主要以计算机技术为主，随着时代的发展，计算机审计已经发展为面向信息系统的审计，其应用技术也在不断扩展，例如目前的网络技术的应用。北京师范大学出版社413.1.1计算机审计的相关概念(续）网络审计：网络审计主要包括电子商务审计与网誉审计等内容。信息系统审计与网络审计是计算机审计发展过程中的具体表现形式。计算机审计是一个广义的概念，北京师范大学出版社513.1.2计算机审计的发展国外计算机审计的发展1974年美国会计师协会(AICPA)发布了《EDP对审计人员研究和评价内部控制的影响》《计算机处理对检查财务报表的影响》从1984年开始，国际审计准则实务委员会就陆续批准发布与计算机审计有关的审计准则，例如，《国际审计准则15电子数据处理环境下的审计》（1984年2月）、《国际审计准则16计算机辅助审计技术》（1984年10月）和《国际审计准则20电子数据处理环境对会计制度和有关的内部控制研究与评价的影响》（1985年6月）北京师范大学出版社613.1.2计算机审计的发展（续）国际会计准则委员会（IASC）于1999年12月发布了《互联网上的财务报告》（InternetFinancialReporting）的研究报告。澳大利亚审计与鉴证准则委员会（AustralianAuditandAssuranceStandardBoard，AASB）于1999年颁布了审计指导声明（AGS）1050《与电子方式呈报财务报告相关的审计问题》。北京师范大学出版社713.1.2计算机审计的发展（续）英国审计职业委员会（APB）2001年1月颁布了《网上发布审计报告公告》美国注册会计师协会（AICPA）下属的审计准则委员会(APB)于2001年发布第94号准则《IT对CPA评价内部控制的影响》2000年3月，国际审计实务委员会(IAPC)通过了与计算机信息系统环境有关的4项IAPS的征求意见稿北京师范大学出版社813.1.2计算机审计的发展（续）国内计算机审计的发展：1993年9月，审计署发布了《审计署关于计算机审计的暂行规定》，提出电算化会计信息系统审计的基本标准。1996年底，审计署发布了《审计机关计算机辅助审计办法》，明确规定了计算机辅助审计的基本内容与范围，计算机辅助审计人员的资格，以及计算机辅助审计应注意事项。北京师范大学出版社913.1.2计算机审计的发展（续）1999年6月，财政部发布了《独立审计准则第20——计算机信息系统环境下的审计》2001年12月16日，国务院办公厅发布了《关于利用计算机信息系统开展审计工作有关问题的通知》2004年审计署发布了《审计信息化工作指导意见》2006年2月15日，财政部在京举行会计审计准则体系发布会，发布了39项企业会计准则和48项注册会计师审计准则北京师范大学出版社1013.2计算机审计技术对于计算机信息系统的审计，尽可能采用信息技术进行审计可以最大程度地降低审计风险。当然，这种采用信息技术去对计算机信息系统进行的审计需要比采用传统审计技术要复杂得多。目前采用的主要技术有：模拟数据测试、整合测试工具（ITF）、并行模拟、审计软件、嵌入式审计程序、扩展记录、抽点转储、跟踪、审核系统文档、控制流程图、制图等几种。限于篇幅，以下主要介绍测试数据、并行模拟、审计软件和嵌入式审计等技术。北京师范大学出版社1113.2.1模拟数据测试技术模拟数据测试技术包括设计一组有效数据和无效数据的输入。在计算机处理这些数据之前，这些模拟数据事先由人工加以设计，并应由人脑通过计算机等方法确定其的处理结果。然后再将这些模拟数据输入到计算机信息系统之中，运行该系统后将其与先前人脑计算的处理结果核对，如果结果一致，说明该计算机处理是正确的，否则就说明可能是计算机处理有问题。不足：一是其运行结果总是难以满足审计人员的要求；二是难以消除模拟数据及其运行结果对被审计系统的影响北京师范大学出版社1213.2.2并行模拟技术所谓并行模拟技术，则是指采用测试的应用程序或审计软件去处理真实数据，将处理结果同被审单位原有的处理结果相核对的一种并行技术。与模拟数据测试数据技术不同的是，并行模拟技术采用的是“真数据、测试软件”做法，而模拟数据测试技术则是“测试数据，真实软件”在被审单位信息系统运行的做法。为了保证并行模拟结果的可信度，测试程序或审计软件进行模拟运行的业务选用时间应当是能够反映被审单位完整业务类型的期间北京师范大学出版社1313.2.3审计软件技术目前审计软件一般具有法规查询、数据转换、账表生成、账证抽样、工作底稿、审计报告生成、信息输出等功能模块。随着智能化技术应用的深入，人工智能审计软件辅助审计可望实现。在许多国外会计公司中，正在研究一种工作将神经网络与专家系统合二而一的审计软件包，使得智能技术能够更好地为审计服务。北京师范大学出版社1413.2.4嵌入式审计技术对于那些具有高风险的应用程序，采用嵌入式审计模块（程序）特别有效。所谓嵌入式审计模块，是指为了审计用途而修改计算机程序的一种审计技术。其审计处理的对象只有真实数据而无测试数据。嵌入式审计模块（程序）能够使易于消失的或无法采用事后分析的文档得到更多的监控与验证。由于其采用嵌入式，因而使审计人员在任何时候都可采集到样本资料，并且在系统的正常运行过程中进行数据采集。北京师范大学出版社1513.3计算机审计方法13.3.1绕过计算机的审计方法绕过计算机的审计方法在20世纪60年代初期国外审计界十分盛行。所谓绕过计算机，就是将计算机信息系统看作是一个“黑箱”，审计时不考虑这一“黑箱”所发挥的作用，而是令计算机把全部会计凭证、账簿和报表打印出来，再按传统的手工审计的方法进行审计。优点：对审计人员的计算机水平要求不高缺点：可能存在许多审计风险，影响审计师恰当与公允判断北京师范大学出版社1613.3.1绕过计算机的审计方法（续）如何完善这种审计方法：过实地运行被审单位的计算机信息系统，从中观察系统可能存在的问题及其对输出结果的影响通过实地运行被审单位的计算机信息系统，可以观察到系统运行过程内部控制的实施状况北京师范大学出版社1713.3.2穿透计算机的审计方法穿透计算机的审计，就是指直接对计算机信息系统的输入、处理与输出全过程进行审查评价的审计方法。穿透计算机审计，才可能从根本上解决计算机信息系统审计难、风险大的问题。穿透计算机审计，关键是要有审计软件的开发与应用，使用审计软件对被审单位进行审计，可以达到事半功倍。穿透计算机审计是未来审计采用的主要方法北京师范大学出版社1813.3.3利用计算机的审计方法利用计算机的审计方法,也称为计算机辅助审计法。计算机辅助审计可以定义为，以计算机为工具，使用适当的计算机软件，辅助审计人员完成审计任务的行为的一种方法。穿透计算机审计，主要是面对被审单位的计算机信息系统所进行的审计，而计算机辅助审计范围则不仅局限于对一个系统的审计，它可以包括审计单位办公自动化。利用计算机审计的方式：实时联系方式；软件联系方式北京师范大学出版社1913.4计算机信息系统内部控制的审计我国《独立审计具体准则第20号——计算机信息系统环境下的审计》要求注册会计师在研究和评价一般控制时，应当考虑被审单位的组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制，以及数据与程序控制等主要因素。同时要求注册会计师在研究和评价应用控制时，应当考虑输入控制、计算机处理与数据文件控制和输出控制等主要因素等。审计人员对内部控制的审查与评价一般按三个步骤进行，即初步了解、符合性测试和内部控制的评价。北京师范大学出版社2013.4.1内部控制的初步了解与描述审计人员通过询问、实地观察、查阅系统的文档资料，以及对一些基本业务处理过程的跟踪，最后以文字描述、调查表和流程图等方法对初步了解的情况加以详细记载。特别应当了解的是企业对网络安全控制是如何进行的，其有效性达到何种程度。同时，被审单位的信息系统管理制度的制定与实施情况，也应当纳入审计人员初步了解的范围之中。北京师范大学出版社2113.4.2符合性测试一般控制的测试应用控制的测试北京师范大学出版社2213.4.3对内部控制的评价当符合性测试完成之后，审计人员可以对被审单位的内部控制是否达到应有的控制目标以及是否存在重大缺陷提出评价意见。一般控制的审查结果如何，将影响以下的实质性测试的计划。一般地说，如果内部控制健全，控制质量高，其控制风险就越小，因而其后的实质性测试的工作量就少，反之，如果内部控制失控、内部控制的薄弱环节多，气候的实质性测试的工作量就要增大。北京师范大学出版社2313.5计算机信息系统功能的审计所谓计算机信息系统功能，是指计算机信息系统的处理功能和控制功能。其中的处理功能，也即是信息系统的输入、处理与输出等对经济业务处理过程所具的功能，而控制功能则是指保证系统安全运行所建立的各个程序化的控制功能。由此可以看到，计算机信息系统功能的审计，也就包括对计算机信息系统的处理功能和控制功能进行的审计。北京师范大学出版社2413.5.1系统合法性与完整性的审查会计信息系统合法性审查：在我国实施商品化会计核算软件评审的时期内，我国有近300个软件通过财政部门组织的评审会计信息系统的完整性：它包括三个方面：一是信息系统应处于正常的运行状态；是在正常运行状态下，信息系统对业务活动有数据电文信息、附属信息和系统环境信息的完整记录；三是电子记录必须在业务活动的当时或即后制作北京师范大学出版社2513.5.2系统处理功能运行正确性和完整性审查在一个会计软件,特别是一个ERP软件之中,系统处理功能的设置绝非几个功能模块的简单组合如SAPR3的会计子系统首先从模块设计入手，将会计核算、财务管理和管理会计融为一体。对于各处理功能模块的正确性审查，就要审阅系统设计说明书，实地检查各功能模块的运行过程，并通过检查各功能模块的处理结果，判断处理功能的正确性。在审计会计核算子系统之际，则要根据会计凭证、账簿和会计报表之间的勾稽关系的正确性判断系统运行的可信度。北京师范大学出版社2613.5.3系统安全控制的有效性审查系统安全控制，包括计算机信息系统自身的控制和系统对网络技术的应用的控制两个方面被审单位的计算机信息系统的功能的合法性，系统处理功能运行正确性和完整性，以及系统安全控制的有效性等方面的审查至关重要。三者的审查缺一不可。而要对计算机信息系统的各项功能详加审查，又必须采用各项计算机审计技术，诸如上一节所介绍的模拟数据测试、并行模拟测试、审计软件以及嵌入式审计等技术。北京师范大学出版社2713．6计算机信息系统数据文件的审计13．6．1数据文件审计的基本内容计算机信息系统数据文件的审查一般列入实质性测试的范畴之中。实质性测试是针对被审单位信息所进行的测试，而符合性测试则一般是针对被审单位系统所进行的测试，两者的作用点不同。实质性测试一般分为三个步骤：首先将数据文件转入审计用计算机内；其次是将被审单位的数据内容转换为审计软件可以识别的数据内容；第三是采用详细或抽样的方法对转换后的数据文件进行审计。北京师范大学出版社2813.6.2电子记录形式与内容的可靠性认定电子