计算机审计概论
1.两个方面的原因促进计算机审计的产生
(1)审计业务范围的不断扩大
(2)对电子数据处理的不断深入
2.中国计算机审计的发展
(1)报表检查阶段:
在20世纪80年代以前,计算机主要应用于人民银行合同联行队长和专业统计工作,在这个阶段的稽查基本是由计算机应用的业务部门和科技部门负责,主要对象是数据正确性,报表平衡关系,是否及时上报,设备安全和程序安全。
(2)程序功能审计阶段:
20世纪80年代后期,计算机应用于各个行业的各个领域,这些应用领域都是各行业业务工作的重要领域,直接关系着各个行业资金的运营,期间出现了一些地方利用计算犯罪的案例,在这种情况下,计算机审计应运而生,设置计算机审计机构,开始培训专业人员学习计算机知识。
(3)全面网络审计阶段:
进入21世纪,计算机审计工作在各个行业已经得到了普遍的重视,范围也涉及打各行业各个领域,随着计算应用领域不断扩大,涉及工作越来越跟不上各个行业信息化发展的需求。在这种情况下,许多行业单位的审计部门开始配备自己的计算机审计人员,现在计算机审计已经成为各个行业审计的重要组成部分。
金审工程:总体目标是:用若干年时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法和效益实施有效审计监督的信息化系统。逐步实现审计监督的三个“转变”,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合。增强审计机关在计算机环境下查错纠弊、规范管理、揭露腐败、打击犯罪的能力,维护经济秩序,促进廉洁高效政府的建设,更好地履行审计法定监督职责。
3.计算机审计包括两方面内容
(1)对会计信息系统的设计进行审计,对会计信息系统的数据处理过程与处理结果进行审
计。
(2)审计人员利用计算辅助审计。将计算机及网络技术等各种手段引入审计工作,建立审计
信息系统,实现审计办公自动化。
4.计算机审计的特点
(一)电算化信息系统审计特点
(1)审计范围的广泛性
(2)审计线索的隐蔽性,易逝性
(3)审计取证的实时性,动态性
(4)审计技术的复杂性
(二)计算机辅助审计的特点
(1)审计过程自动控制
(2)审计信息自动存储
(3)改变了审计作业的小组成分
(4)转移了审计技术主体
5.计算机审计的目的
(1)保护系统资源和安全的完整性
(2)保证信息的可靠性
(3)维护法纪,保护社会和国家利益
(4)促进计算机应用效率,效果和效益的提高
(5)促进内部控制系统的完善
6.计算机审计的内容
(一)审计项目管理系统的计算机辅助审计
(二)手工会计系统的计算机辅助审计
(三)会计信息系统审计
(1)内部控制系统审计:一般控制,应用控制(输入、输出、处理)
(2)系统开发审计
(3)应用控制审计
(4)数据审计
7.计算机审计的基本方法
(1)绕过计算机审计:指审计人员不检查机内程序和文件,职审查输入数据和打印输出资料及其管理制度的方法。
优点:1 审计技术简单 2 较少干扰被审计系统的工作
缺点:1 只有打印充分时才适用2 要求输入输出联系比较密切3 审计结果不太可靠
(2)通过计算机审计:指除了审查输入输出数据外,还要对进内的程序和文件进行审计优点:1审计结果较为可靠 2 审计独立性强
缺点:1 审计技术较为复杂 2 审计成本较高
(3)利用计算机审计:指利用计算机设备和软件进行审计
优缺点同(2)
综合:(1)适用于简单系统,(2)(3)适用于复杂系统,(2)(3)往往密切县官,(3)是(2)的延伸。
第二章电算化会计信息系统内部控制审计
1.内部控制分类
(一)按实施的范围和对象分类:一般控制和应用控制
(二)按控制的目标分类:预防性控制,探测性控制,纠正性控制
(三)按控制实现的方法分类:程序控制,人工控制
2.审计风险模型
审计风险=重大错报风险* 检查风险
=固有风险*控制风险*检查风险
固有风险:计算机条件下,不考虑信息系统内部控制可靠性的情况下,因系统中存在的难以消除的各种因素导致的资源损失或记录出错的可能性。例如:
(1)信息系统管理人员和会计人员存在利用会计信息系统进行舞弊的可能。
(2)信息系统中的电子数据存在被盗窃,滥用,篡改和丢失的可能。
(3)电子数据存在的审计线索易于减少或消失的可能
(4)原始数据的录入存在错漏的可能
控制风险:因为内部控制不能预防,检测和纠正所有出现的资源损失或记录出错的可能性。例如:(1)设置权限密码实现职责分工的约束机制有失效的可能
(2)网络传输和数据存储故障或软件的不完善,有使嗲子数据出现异常错误的可能。(3)系统开发和维护存在隐患的可能
3.安全控制
(1)系统接触控制
(2)环境安全控制
(3)安全保密控制:软件加密法,硬件加密法,软硬结合法
(4)防病毒控制
4.应用控制分类
(1)输入控制
(2)处理控制
(3)输出控制
(4)通信控制:1 数据加密 2 数字签名3 信息摘要 4 确认/重传
5.数据库管理控制
(1)用户身份认证
(2)数据库存取控制
(3)数据库完整性控制
(4)数据库保密控制
(5)数据库恢复控制
6.内部控制初步审查结果评价
(1)退出审计
(2)对一般控制和应用控制进一步进行详细的审查
(3)决定不依赖于内部控制
在《COSO内部控制整合框架》中,定义为:由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
COSO报告中内部控制的组成
1.控制环境(Control environment)
它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
2.风险评估(risk assessment)
是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)
是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
4.信息的沟通与交流(information and communication)
信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
5.对环境的监控(monitoring)
监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
COBIT意义
COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。
(1)IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;
(2)IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是过程的主要对象;
(3)IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从I 规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
COBIT信息技术的控制目标
(1)有效性(Effectiveness)——是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。
(2)高效性(Efficiency)——关于如何最佳(最高产和最经济)利用资源来提供信息。
(3)机密性(Confidentiality)——涉及对敏感信息的保护,以防止未经授权的披
露
(4)完整性(Integrity)——涉及信息的精确性和完全性,以及与商业评价和期望相一致
COBIT信息技术的控制目标
(5)可用性(Availability)——指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。
(6)符合性(Compliance)——遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。
(7)信息可靠性(Reliability of Information)——为管理者的日常经营管理以及履行财务报告责任提供适当的信息。
信息技术控制目标中定义的信息技术资源
*数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。
*应用系统(Application Systems)——人工程序和电脑程序的总和。
*技术(Technology)——包括硬件、、数据库管理系统、网络、多媒体等等。
*设备(Facilities)——用来存放和支持信息系统的一切资源。
*人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。
COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助在管理层、IT 审计之间交流的鸿沟上搭建桥梁,提供了彼此之间沟通的共同语言。
第三章会计信息系统开发审计
1.系统开发审计的目的
(1)审查系统的可行性
(2)审查系统的合规性,合法性
(3)审查系统内部控制的适当性
(4)审查系统的可审性
(5)审查系统测试的全面性,恰当性
(6)审查系统文档资料的完整性
(7)审查系统的可维护性
2.系统分析阶段的审计
(1)系统目标的确定(2)分析已有系统(3)可行性分析(4)需求分析
3.系统设计阶段的审计
(1)总体设计:高内聚,低耦合
(2)详细设计:数据库文件设计,代码设计,输入输出设计,处理功能设计
第四章会计信息系统应用程序审计
1.应用程序审计内容
(1)应用程序控制有效性审计(输入,处理,输出)
(2)应用程序合法性审计
(3)程序有效性审计
(4)程序编码正确性的审计
2.应用程序审计的方法
(1)手工审计方法:1 程序流程图检查法2 程序编码检查法 3 程序运行记录检查法4 程序运行结果检查法
(2)计算机辅助审计法:1 检测数据发2 整体检测法(虚拟实体法)3 程序编码比较法
4 受控处理法
5 受控再处理法
6 平行模拟法
7 嵌入审计程序法
第五章会计信息系统数据审计
1.数据审计的准备工作
(1)数据采集的方法
1 利用被审计单位应用系统的数据转出功能采集数据
2 利用被审计单位业务系统所使用的数据库系统的转出功能采集数据
3 使用审计软件自带的数据转出工具采集数据
4 通过直接拷贝数据文件的方式采集数据
5 使用通用的数据转出工具ODBC采集数据
(2)被审计数据存在的主观问题
1 值缺失问题
2 空值问题
3 数据冗余问题
4 数据值域不完整问题
5 字段类型不合法问题
(3)数据清理的基本技术
1 使用EXCEL清理数据
2 使用SQL语言清理数据
3 其他技术(*.MDB 用ACCESS的更新查询)
(4)数据转换
一数据转换主要内容
1 数据类型转换
2 日期时间格式转换
3 代码转换
4 金额值表示方式转换
5 数据抽选
二数据转换基本技术
1 利用数据库管理系统自带的转换工具转换
2 利用审计软件转换
3 利用SQL语言进行转换
(5)数据检验(真实,正确,完整)
基本内容:1 核对记录数 2 核对总金额3 检查借贷平衡性4 验证凭证号断号和重号5 验证数据的勾稽关系
第八章计算机信息系统舞弊的控制和审计
1 计算机信息系统舞弊概述
(1)计算机舞弊与传统舞弊有着很大差别,计算机舞弊是利用计算机系统或者计算机系统实施的舞弊行为,其目的具有非正当性
(2)计算机犯罪是指行为人利用计算机操作所实施的危害计算机信息系统安全和其他严重危害社会的犯罪行为
(3)计算机信息系统舞弊行为包括
1 篡改输入
2 篡改文件
3 篡改程序
4 违法操作
5 篡改输出
6 其他手段
2.计算机信息系统舞弊审计
对输入系统的审查
(1)可以应用传统方法审查手工记账凭证与原始凭证的合法性
(2)应用抽样审计技术,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性
(3)测试数据的完整性
(4)对输出报告进行分析
(5)对数据进行安全性审查
(6)对操作权限进行审查
对程序类信息系统的审查
方法(1)程序编码检查法(2)程序比较法(3)测试数据法(4)程序追踪法
对输出类信息系统舞弊的审计
一般方法:
(1)询问能观察到敏感数据运动的数据处理人员
(2)检查计算机硬件设施附近是否有窃听或者无线电发射装置
(3)检查计算机系统的使用日志,看数据文件是否被存取过,是否属于正常工作(4)检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘,磁带上是否有残留数据。
对接触类信息系统舞弊的审计
(1)检查系统的物理安全设施,查明无关人员能否解除计算机系统
(2)检查计算机硬件设施附件是或否有窃听或无线电发射装置
(3)注意使用杀毒软件
第九章网络审计
1.网络审计的概念
(1)从网络计算机审计的角度界定:指通过网络的远程计算机审计,即通过计算机网络监控与访问被审计单位的计算机信息系统,收集审计证据,执行审计任务。
(2)从审计对象角度:指综合运用网络及其相关技术对网络经济子网络系统进行审查的新型审计。
2.网络审计的要素
(1)网络审计主体(2)网络审计对象(3)网络审计目标(4)网络审计方法与技术(5)
网络审计范围(6)网络审计安全控制
3.借助网络进行审计
(1)借助网络开展业务(2)借助网络进行项目管理和实施(3)借助网络进行多单位,跨时空作业
4.网络系统审计
(1)数据通讯的控制测试(2)硬件系统的控制测试(3)软件系统的控制测试(4)数据资源的控制测试(5)系统安全的测试
5.网站审计
(1)商务的战略目标(2)网站的商务目标(3)可用性,网站传达的信息及外观(4)功能性,有效性和可靠性(5)可扩展性,可维护性
网站审计需要大量的技术测试,需要工程技术人员,信息技术人员,审计人员
第十章计算机审计的发展趋势
1.审计决策支持系统的组成
审计决策支持系统是以支持半结构化问题决策为特征的计算机辅助决策支持系统。
分为(1)审计数据库(2)审计模型库(3)对话管理系统
2.审计决策
是审计人员为了实现审计目的,依据有关标准,在审计实践和感性认识的基础上,根据自己的专业知识和经验对客观审计对象的主观审计行为作出合理的专业认定,判断和评价。
(1)调查,收集审计信息
(2)制定审计方案
(3)选择审计方案
3.审计专家系统
(1)审计专家系统就是模拟审计领域中的专家,在审计工作中的思维方式与推理方法,用计算机实现审计人员的各项能力,从而寻求解决审计问题的审计工作过程。
(2)三个特征1 启发性2 透明性3 灵活性
(3)专家系统组成:
1 知识库
2 推理机
3 综合数据库
4 人机接口
5 解释程序
6 知识获取程序