计算机信息系统环境下的审计.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Slide,*,Renmin University of China,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Slide,1,Renmin University of China,计算机会计学Accounting Information System,第十章 计算机信息系统环境下审计,第1页,主要内容,第一节 计算机信息系统环境下审计概述,第二节 计算机信息系统环境下审计计划制订,第三节 计算机信息系统环境下内部控制与符合性测试,第四节 计算机辅助审计技术,第五节 计算机信息系统环境下开发审计,第六节 计算机审计软件,第七节 计算机网络环境下审计,第2页,第一节 计算机信息系统环境下审计概述,计算机信息系统环境及其对审计影响,计算机信息系统环境下审计目标,计算机信息系统环境下审计内容,计算机信息系统环境下审计程序,第3页,一、计算机信息系统环境定义,“注册会计师审计主要会计信息由计算机处理生成情形”,“当一个单位对审计有主要影响会计信息是由任何类型或大小计算机处理生成时，就存在计算机信息系统环境，而不论该计算机由本单位操作还是由第三者操作”,我国：,国际审计准则：,第4页,计算机信息系统环境对审计影响,审计线索,审计内容,审计技术,审计方法,审计人员,第5页,二、计算机信息系统环境下审计目标,鉴证目标,系统正当性,系统安全性,数据完整性,管理目标,系统效率性,系统经济性和效益性,第6页,三、计算机信息系统环境下审计内容,对计算机会计信息系统进行审计,对内部控制系统审计,对系统开发审计,对系统应用程序审计,对系统数据文件审计,以计算机作为审计工具进行审计,手工会计信息系统计算机辅助审计,计算机会计信息系统计算机辅助审计,审计项目管理系统计算机辅助审计,第7页,计划准备阶段,符合性测试阶段,实质性测试阶段,开始,检验被审计单位基本情况,检验普通控制和,应用控制情况,计划符合性测试和实质性测试程序,实施,符合性测试,评价,测试结果,确定对内部控制,信赖程度,实施,实质性测试,评价,测试结果,审,计,报,告,签发,审计汇报,结束,四、计算机信息系统环境下审计程序,第8页,第二节 计算机信息系统环境下审计计划制订,在计算机信息系统环境下制订审计计划时，应着重对计算机信息系统了解方面,计算机信息系统环境下制订审计计划基本程序和步骤,利用计算机编制审计计划,第9页,一、在计算机信息系统环境下制订审计计划时，应该着重对计算机信息系统了解几个方面,独立审计详细准则关于“审计计划”要求,制订审计计划时，充分了解信息系统环境下内部控制,了解计算机信息系统主要性、复杂程序及审计所需信息可取得性,了解计算机信息系统环境，并考虑其对固有风险和控制风险评定影响,第10页,关于主要性、复杂程度、可取得性,计算机信息系统主要性,与会计报表认定主要性相关,计算机信息系统复杂程度,经济业务数量较大，被审计单位感到在处理过程中判别和更正错误有困难,计算机系统自动生成主要经济业务或分录，直接进入其它应用。,审计所需信息可取得性,第11页,CPA尤其关注,计算机信息系统与手工系统不一样方面,组织结构,内部控制,信息处理,程序设计,第12页,二、计算机信息系统环境下制订审计计划基本程序和步骤,了解客户及控制环境,了解会计系统,了解控制活动,制订交易及余额详细测试计划,第13页,了解客户及控制环境,目标,便于审计师评定会计系统中电算化部分范围及复杂性，以及所需计算机审计教授帮助比重,需要获取信息,计算机设备种类及其结构,系统软件种类,计算机处理活动组织结构（EDP部门组织结构、人员安排）,电算化会计应用数目及性质（应用范围和程度）,第14页,了解会计系统,目标,了解业务经过会计系统中手工部分和电算化部分路径，并了解计算机介入性质和程度,在主要会计应用中，需要获取信息,应用目标,计算机应用中输入起源、容量及形式,处理方式及频率,应用中输出形式及输出分布,第15页,了解控制活动,目标,了解系统普通控制，对普通控制是否有效进行判断，向客户提供服务机会,对普通控制审核,问询或观察客户EDP部门职员；,检验现存文件，确定以下事项：,EDP部门内部及EDP与使用者之间职责是否分离,开发、买入或变更程序在执行之前是否经过同意和测试,对数据文件接触是否只限于经过同意使用者和程序,第16页,交易测试计划,交易类别测试,若在重大会计领域应用了电算化，而且交易类别详细控制目标实现要依赖于计算机处理结果，必须在控制风险评定中考虑EDP控制（应用控制和普通控制）作用,在普通控制有效基础上，测试EDP应用控制,手工：从会计应用处理交易类别中选取样本，应用审计程序证实数据有效性、完整性、和准确性。,计算机辅助：测试在会计应用中使用计算机程序（对程序化会计程序和程序化控制程序运行进行测试）。,第17页,余额详细测试计划,余额直接测试,当审计师在年末进行余额直接测试时，通常无须依赖于计算机,当余额直接测试范围依赖于与计算机相关控制程序或在应用期中进行余额直接测试，则必须对普通控制有效性进行考虑,当审计师决定在对以计算机可读形式存在客户文件实施余额直接测试中使用计算机给予辅助时，必须制订更详细计划,第18页,三、利用计算机编制审计计划,设计审计程序,制订检验清单,分析风险,执行分析性复核程序,日程安排和费用预算,.,第19页,第三节 计算机信息系环境下内部控制与符合性测试,计算机信息系统环境下内部控制及其分类,普通控制,应用控制,内部控制符合性测试及评价,第20页,一、计算机信息系统内部控制及分类,含义,是企业经营者为维护企业资产完整性，确保会计统计正确性和可靠性，以及对经济活动进行综合计划、调整和评价而制订制度、组织方法和手续总称。,目标,保护企业资产安全完整,为企业内部和外部提供可靠财会统计,第21页,计算机信息系统内部控制分类,按实施对象和范围划分,普通控制,应用控制,按控制目标划分,预防性控制,检测性控制,纠正性控制,按控制实现方法划分,人工控制,程序控制,按实施控制部门划分,电算化部门控制,用户部门控制,第22页,二、普通控制,目标：,普通控制是计算机信息系统总体控制；,建立对计算机信息系统活动整体控制框架环境，并对到达内部控制整体目标提供合理依赖程序。,普通控制详细目标：,经过普通或特殊授权规则确保以下活动开展具备正当手续：,将原始凭证输入系统内进行处理；,设计、实施和使用计算机程序；,更改计算机程序；,接触和使用计算机主文件和其它主要数据文件；,分发系统输出汇报等。,负责资产保管人员无权接触统计资产情况信息处理。,负责信息处理人员不负责执行或同意经济业务。,电子数据处理部门内部对不相容职能进行适当分离。,电子数据处理部门不能纠正电子数据部门以外错误。,经过适当沟通方法和程序，使数据处理部门人员和其它部门人员能了解主管人员普通和特殊授权要求，并确保遵照这些要求。,主管人员能够充分地控制授权要求恪守，以确保违反要求行为能给予统计、调查和纠正。,第23页,普通控制,内容,组织与管理控制,应用系统开发与维护控制,计算机操作控制,硬件和软件控制,系统安全控制,系统文档控制,第24页,组织与管理控制,基本目标,降低发生错误和舞弊可能性,基本要求,权责划分和职能分离,主要内容,电算部门与用户部门职责分离,电算部门内部职责分离,人事控制,业务授权,第25页,应用系统开发与维护控制,基本目标,为确保计算机会计信息系统开发过程中各项活动正当性和有效进行,基本要求,系统开发过程中各项研制、设计、维护活动及由此产生文档，均应遵照一定标准、规则和要求,主要内容,系统开发标准，以总方面要求开发活动要求。,结构化系统开发方法，系统开发通常采取系统开发生命周期法。,项目管理，包含项目计划、项目控制、项目汇报。,编程规则，程序设计按一定规则进行，能提升系统可审性。,阶段确保，确保系统开发进度和质量主要办法。,系统测试控制，系统实施前检犯错误使系统按设计要求可靠运行控制。,系统转换控制，预防在新旧系统转换过程中发生数据遗失、重复等现象。,新系统同意程序，确保管理部门对新系统和系统转换计划进行审批。,程序变更控制，确保程序改动经严格测试，并得到适当核准和授权。,系统文档，确保全部系统开发资料按要求给予整理和归档。,第26页,计算机操作控制,基本目标,经过标准计算机操作来确保信息处理高质量、降低差错发生和未经同意而使用数据和程序机会,详细目标,系统仅用于经过同意目标；,仅限于经过同意人员进行计算机操作；,仅使用同意程序；,查出并更正计算机处理中错误。,主要内容,操作计划,机房守则,操作规程,上机日志统计,第27页,硬件和软件控制,硬件控制,硬件控制失效会消弱其它控制办法作用，影响系统可靠性,系统软件控制,利用系统软件如操作系统、数据库管理系统实现控制，是电子数据处理系统内部控制机制一个显著特色,应用软件控制,确保软件取得或开发是以经过授权并以有效方式进行,授权、同意、测试、实施和统计新建和修改应用软件；,系统应用软件和统计存取仅限于经过授权人员。,第28页,系统安全控制,基本目标,预防影响系统安全原因危及系统安全，发觉系统中安全问题，并处理这些问题使系统恢复正常办法及实施,主要内容,硬件安全控制,程序与数据安全控制,环境安全控制,防病毒软件接触系统,第29页,系统文档控制,基本目标,建立文档管理制度及安全保密制度,主要内容,专员保管；,数据在纳入计算机会计信息系统之前，须经系统主管人员审检同意；,计算机打印输出书面资料，应由输出和审核人员共同签字才是正当会计档案；,会计档案使用时必须经过同意，任何资料借取都要登记；,存放在磁性介质上文件应有加密保护；,系统软件、应用程序和数据文件应复制备份；,依据会计档案管理要求制订文档保管数量、保管时间、定时备份间隔期及调用档案手续等。,第30页,普通控制地位,普通控制利用对应用控制有效性至关主要,普通控制测试和技术,手工,组织与管理控制,系统开发和维护控制,计算机辅助审计技术,系统应用软件控制,手工方法与计算机辅助审计技术相结合,计算机操作控制,数据和程序控制,普通控制测试重点,系统开发测试,普通控制研究、评价和风险评定方法与重点,第31页,三、应用控制,基本目标,对会计应用建立详细控制过程，从而确保全部经济业务都经过授权和统计，并做完整、准确和及时处理。,详细目标,全部经允许处理数据均应转换到介质上并加以处理，而且处理结果可经过适当方式加以输出。,全部输入、转换、处理和输出均应在正常时间里准确地进行。,全部系统输出均反应为经同意有效经济业务。,第32页,应用控制内容,输入控制,处理控制,输出控制,第33页,输入控制,控制目标,经济业务在计算机处理之前经过适当同意；,经济业务被准确地转换为机器可读形式并统计于计算机数据文件；,经济业务没有丢失或不适当地增加、复制、改动；,拒绝、更正不适当经济业务，必要时，及时重新补救。,控制内容,数据采集控制,数据输入控制,第34页,数据采集控制,控制目标,确保应用系统在合理授权基础上完整地搜集、正确地编制、安全地传递输入数据,控制办法,用户部门内部职责分离,标准化凭证格式,制订凭证编制程序,凭证审核,手续控制,凭证更正规程,批量控制,第35页,数据输入控制,控制目标,预防输入数据时遗漏或重复，检验输入数据是否有错误,例：以记账凭证为主要内容数据输入控制,1）,会计科目输入错误，如输入了没有设置科目或误用其它会计科目；,2）,借、贷方向输错；,3）,金额输错，如未计、多计或少计；,4）,对应关系搞错。,1）,设置会计科目代码与名称对照文件；,2）,设置对应关系参考文件；,3）,合理性校验；,4）,平衡校验；,5）,人工校验；,6）,重输入控制,第36页,计算机处理与数据文件控制,控制目标,经济业务（包含系统生成）由计算机正确地处理；,经济业务没有丢失或不适当地增加、复制、改动；,计算机处理错误被及时地判别并更正。,控制办法,业务时序控制,数据有效性检验,程序化处理有效性检验,错误更正控制,断点技术,第37页,输出控制,控制目标,计算机处理输出结果准确无误；,输出结果仅限于经过同意人员；,输出及时地提供给适当经过同意人员。,控制办法,输出授权控制；,输入过程控制总数与输出得到控制总数相查对；,审校输出结果，检验正确性、完整性；,将正常业务汇报与例外汇报中相关数据作分析对比；,设置输出汇报发送登记簿，统计汇报发送份数、时间、接收人等事项；,制订输犯错误纠正和对主要数据进行处理要求。,第38页,方法,使用者实施人工控制,系统输出控制,程序控制,测试重点,应用系统处理控制,应用控制研究、评价和评定方法,第39页,四、内部控制符合性测试及评价,目标,评价企业内部控制系统在预防和发觉财务报表数据发生重大误述方面作用，并为确定审计程序、范围和重点提供依据,内容,普通控制与应用控制,步骤,了解与描述计算机会计信息系统内部控制,IQC法（Interview面谈法、Questionaries问卷法、Control flowchat控制流程图法）,符合性测试,评价内部控制（,是否完整有效和可否依赖）,第40页,符合性测试,符合性测试检验重点：,必要内部控制是否主要？,是否按要求执行？,由谁执行？,符合性测试步骤,确定符合性测试次序,确定测试对象,确定是否有互补测试,选择测试工具或技术,设计测试数据,进行测试,分析和评价测试结果,第41页,内部控制评价,评价,计算机会计信息系统内部控制方法与评价手工会计信息系统内部控制方法没有本质区分,假如审计人员评价系统内部控制为高信赖程度，即控制风险为最低，则能够较多地依赖和利用内部控制，对应降低实质性测试审计程序数量和范围,假如评价内部控制为低信赖程度，即主要内部控制显著失效，应放弃对内部控制依赖，扩大实质性测试范围，完善、修正和补充实质性测试程序,第42页,第四节 计算机辅助审计技术,计算机信息系统环境下应用程序审计,计算机信息系统环境下数据文件审计,利用被审计单位计算机信息系统功效辅助审计,计算机辅助审计抽样,第43页,一、计算机信息系统环境下应用程序审计,目标,测试应用系统控制符合性；,经过检验程序运算和逻辑正确性到达实质性测试目标,。,方法,不处理数据测试方法,处理实际数据程序测试方法,处理模拟数据程序测试方法,第44页,（一）不处理数据程序测试方法,特点,审计人员不经过计算机处理任何数据而是经过审核和分析评审或判定意见书、程序流程图、程序编码、程序运行统计、程序运行结果等来到达审计目标。,详细方法,计算机会计信息系统是否经过评审或判定,程序流程图检验法,程序编码检验法,程序运行统计检验法,程序运行结果检验法,打印输出测试法,第45页,（二）处理实际数据程序测试方法,特点,使用用户单位计算机程序处理实际数据以确定应用控制可靠性,审计人员能够利用已形成实际数据，无需再设计测试数据，而且用程序处理结果能表明程序控制强弱。,详细方法,控制处理法,控制再处理法,嵌入审计程序法,平行模拟法,标识追踪法,第46页,控制处理法,概念,审计人员经过程序,对实际会计业务处理进行监控,，判别,程序处理和控制功效,是否按设计要求起作用,主要优点,审计技术简单，对审计人员计算机专业知识要求不高；,若采取突击检验方式，可确保被审程序与实际使用程序一致性，从而确保审计结论可靠性。,主要缺点,审计人员对实际业务数据监督、控制及比较分析，可能影响被审单位正常数据处理及工作效率；,选择实际业务数据可能不足以评价各种处理和控制功效。,适用条件,无需专门测试环境，适合用于难以提供测试环境网络化信息系统审计,第47页,控制再处理法,概念,审计人员在,被审单位正常业务处理以外时间,里亲自进行或监督进行，将某,批处理过业务再处理一次,，比较两次处理结果，以确定程序是否被非法篡改、处理和控制功效是否恰当有效。,适用条件,只用于再次审计，不可用于首次审计,以前处理过业务数据,当前运行被审程序,处理,结果,以前处理结果,比较,当前被审程序处理过业务数据,审计人员保留被审程序副本,处理,结果,当前被审程序处理结果,比较,第48页,控制再处理法,主要优点,所需测试数据是现成，审计人员没有必要再依据需要筛选数据；,能够在审计人员和被审单位都方便时进行测试，不干扰被审单位正常业务。,主要缺点,有些单位已处理过业务文件可能只保留很短时间，而主文件可能已经屡次更新，难于获取重新处理所需文件；,着重在于对结果分析，若结果不相同，则要深入分析原因，因而对控制办法判断不直接；,若结果一致时，因为采集数据不足及潜在被修改可能性，所以并不一定能据此判定程序控制有效性。,第49页,嵌入审计程序法,概念,审计人员在被审计算机会计信息系统,开发设计阶段,，在被审应用程序中,嵌入为执行特定审计功效设计程序,，用来搜集审计人员感兴趣资料，并,建一个审计文件,存放这些资料，经过对这些资料审核确定应用程序处理和控制功效可靠性。,嵌入程序分类,主要在一些特定点上对系统运行进行实时监控,只有在审计人员调用时才起作用,实际业务数据文 件,被审程序（包含嵌入程序段）,实际业务,处理结果,审计文件,输出,程序,审计资料,被审单位使用,审计人员使用,第50页,嵌入审计程序法,主要优点,在被审单位处理业务数据同时获取审计证据，填补了在数据处理过后进行审计时，难以确认被审程序与实际运行程序一致性缺点；,审计程序段与系统程序同时运行，因而所进行测试是经常性，只要被测试程序开始运行，审计程序段就处理监督状态。,主要缺点,审计人员必须事先确定对何种程序进行审计，需要获取何种审计资料，并要据此审计对应审计程序段，假如应用程序修改，审计程序段可能也要修改；,审计人员要参加到被审单位系统分析与设计，实际上是将审计重点通知了设计人员。,适用条件,审计人员在系统开发阶段对嵌入审计程序功效提出需求,第51页,实际业务,数据文件,模拟,程序,被测试,程序,处理结果,处理结果,比较,差异汇报,平行模拟法,概念,审计人员自己或请计算机专业人员编写与被审应用程序,处理和控制功效相同模拟程序,，并用,模拟程序处理实际数据,，将处理结果与被审程序处理结果进行对比，评价被审程序处理和控制功效是否可靠,适用条件,一个模拟系统能够用于多个单位审计，或者审计人员能够低成本取得模拟系统,优点,能独立地处理实际数据，不依赖于被审计单位人力和设备，能客观地进行审计评价,缺点,假如开发模拟系统比较复杂，则开发难度较大且成本较高,第52页,标识追踪法,概念,审计人员在被测试程序中安插一些审计程序段，并,事先对输入数据作好标识,，当带有标识数据经过审计程序时，将该数据存放起来，等程序运行完成后，比较处理前和处理后数据差异。,作用,用这种方法来追踪作标识数据在程序中是怎样处理。,主要优点,可列示被审计程序中什么指令已执行以及按何种次序执行，可查出被审程序中非法指令。,主要缺点,要求审计人员含有编写应用程序知识，且跟踪并分析结果可能费时费劲。所以，这种方法在实际审计工作中并不惯用。,第53页,（三）处理虚拟数据程序测试方法,特点,经过处理事先设计测试数据来确定应用程序可靠性。,经过设计少许测试数据，对局部或大部分应用程序进行测试，也可据需要对某特定控制办法进行测试。,测试过程,设计测试数据；,手工处理设计好数据；,用被测试程序处理已设计好数据；,比较上述两种方式处理结果，并推断应用控制可靠性。,详细方法,测试数据法,模拟单位法,第54页,测试数据法,概念,审计人员依据测试要求，设计一套,模拟业务数据,，利用被测试程序对模拟数据进行处理，再将处理结果与应该出现结果进行查对，以检验应用程序是否可靠。,适用,用来测试整个系统全部应用程序；,也可用来测试个别程序；,或测试程序中某个或某几个控制办法,测试数据,正常、无误业务数据,有错漏、不完整、不合理、不正常业务数据,第55页,测试数据法应用,实际结果与预计结果,差异,系统,主文件,测 试,数 据,应 用 程 序,测试,结果,审计人员比较,预期,结果,用户测试数据,审计人员测试数据,软件生成测试数据,第56页,测试数据法分析,主要优点,在审计线索间断或不完整情况下，使用这种方法能对应用程序作出评价；,这是一个抽样方法，用于测试处理量大系统比较经济；,使用范围广，对审计人员计算机知识和技能要求不高。,主要缺点,当全方面测试系统或程序时，必须确保测试数据综合性，不然难以确保能测试到全部应用控制办法；,难以确保被测试程序就是被审计单位实际使用程序；,测试数据设计比较困难；,假如用测试数据增加、删除、修改文件中统计，可能破坏被审计单位主文件。,第57页,模拟单位法,概念,审计人员在被审计计算机会计信息系统中建立一个,虚拟实体,(,如车间、某一往来客户,),，利用被审程序，,对该虚构实体数据与实际业务数据一同处理,，将处理结果与预期结果比较，以确定应用程序处理和控制功效是否恰当可靠。,虚拟实体,业务数据,实际业务,数据,手工,处理,被审程序,预期,结果,虚拟业务处理结果,实际业务处理结果,比较,第58页,模拟单位法分析,主要优点,在正常业务时间里处理测试数据，不影响被审计单位业务活动；,应用范围较广，尤其适合用于实施内部部门核实企业和联机批处理网络系统测试，且能用于测试各种内部控制；,能确定被测试程序就是被审计单位实际使用程序；,将虚拟数据与实际数据区分开，在一定程度上防止测试数据法可能破坏被审计单位文件缺点。,主要缺点,假如没有及时消除虚拟数据，可能破坏主要数据文件，或影响主要会计报表正确性；,因为虚拟单位性质限制，所设定测试数据不一定能测试出程序中全部错误或隐患；,不适用联机,实时,系统测试。,第59页,二、计算机信息系统环境下数据文件审计,实质性测试需要确定,实质性测试范围,实质性测试时间,数据抽样标准,方法,不处理数据文件实质性测试方法；,处理实际数据文件实质性测试方法；,处理虚拟数据文件实质性测试方法。,第60页,（一）不处理数据文件实质性测试方法,概念,审计人员对数据文件进行实质性测试时，,只检验数据文件打印输出,，不将数据文件经过电子数据处理系统处理。这种方法与手工会计信息系统中直接审查会计凭证、账簿和会计报表做法相同。审核数据文件打印输出，就是为了搜集会计业务统计、计算、记账等是否恰当证据。,特点,这种方法不需要计算机知识和电子数据处理技能，轻易了解，不过审计人员难于确认打印输出是否就是真实数据文件数据。,第61页,（二）处理实际数据文件实质性测试方法,测试方法,直接测试法,用专用数据传输线，将被审单位装有计算机会计信息系统计算机接口与审计用计算机接口,联接,起来，形成类似于简单局部网络系统；,开启计算机会计信息系统和计算机审计系统，经过接口，利用专用,审计软件,，直接将计算机会计信息系统中数据文件读到审计计算机中，方便审计时查阅。,或将专用审计软件,直接,在被审单位装有计算机会计信息系统计算机中运行，直接查阅审计计算机会计信息系统数据文件。,间接测试法,审计人员可将,备份数据文件,放在审计用计算机系统中直接运行审计程序进行查阅。,假如被审单位没有备份数据文件，审计人员可先制作备份，然后依上述方法审查。,第62页,（三）处理虚拟数据文件实质性测试方法,可采取测试数据法（,设计模拟业务数据生成模拟数据文件）,和虚构单位法,（设置虚拟实体，模拟业务数据生成模拟数据文件）,进行实质性测试以确定系统处理正确性。,采取这种测试方法，审计人员需先对测试问题进行分类，然后进行测试，而且只能对已知情况加以测试，所以要处理数据量会比实际数据文件少。,第63页,三、利用被审单位计算机信息系统辅助审计,利用商品化会计软件中建立多个账套功效辅助信息系统处理与控制功效审计,利用系统查询、统计、财务分析、通用报表、银行对账等功效辅助信息系统数据文件审计,例：利用系统跟踪查询功效，可从报表追查至总账、明细账、记账凭证、甚至原始凭证。,利用财务软件导出功效辅助审计,第64页,四、计算机辅助审计抽样,被审计对象,（审计总体）,含有代表性对象,（审计样本）,样本,结果,总体,特征,抽样,检验,推断,抽样审计基本过程,第65页,计算机辅助确定样本量选取,例，货币单位抽样法需要考虑四个原因：,抽样总体N,可靠程度系数（R,0,可信赖程度）,审计结论准确程度（P,r,可容忍最大误差）,预计总体误差率（属性抽样）或标准差S,d,（变量抽样）,公式：n=(N*R,0,*,S,d,/P,r,),2,审计人员按提醒输入要求可靠程度、预计违反率和可容忍最大违反率，然后由计算机系统计算并提醒样本量。,第66页,第五节 计算机信息系统环境下开发审计,自行开发软件开发审计,商品化会计软件开发审计,第67页,一、自行开发软件开发审计,系统规划阶段审计,系统分析阶段审计,系统设计阶段审计,系统实施阶段审计,系统运行与维护阶段审计,第68页,系统规划阶段审计,从审计角度提出对系统需求，审查确定用户是否正确充分表示了对系统需求,开发小组情况,问询与项目相关部门主管，是否各部门派员参加系统开发；,与各部门指定参加系统开发人员交谈，确定其是否熟悉所属部门工作范围和责任权限；,分析各部门指派人员中否有足够时间投入指派工作等。,进行可行性分析情况,向用户及相关主管查询系统是否按成本、效益标准分析，确定其是否同意与本身职责相关成本、效益计算；,与系统分析员共同研究新系统在经济、组织、技术上可行性。,审查可行性分析汇报,第69页,系统分析阶段审计,对现行系统进行调查和分析情况,复核系统分析人员是否取得了现行系统全部资料；,检验系统分析人员是否与用户有充分交流；,向用户查询系统分析人员所建立新系统目标能否满足其处理及内部控制上需要。,审查为建立新系统所提出业务重组方案各用户部门是否了解与接收,可能出现什么问题,人员和其它条件是否满足业务重组需要,审查系统分析汇报，参加系统分析汇报审批,第70页,系统设计阶段审计概念设计,审计人员会关注系统概念设计，因为系统可审计性取决于设计特征，有些计算机辅助审计技术要求系统含有特殊审计功效，这些审计功效在概念设计阶段必须给予详细说明。,第71页,系统设计阶段审计选择与评定,审计人员在评定与选择阶段最关注是尽可能准确地度量提议系统经济可行性，审计人员应该尤其明确以下事项：,计算成本时，只考虑可节约成本；,度量现金流量现值时，使用合理利率；,完整、准确地汇报一次性和经常性成本；,比较互斥项目时，使用实际有效系统预期寿命；,对无形效益赋予合理财务度量。,第72页,系统设计阶段审计详细设计,代码设计审计,抽查部分代码看其是否按照国家、行业颁布标准设计；,审阅代码本，看其是否全方面系统，能否满足数据处理要求，代码与其名称是否符合唯一性标准；,问询用户和管理部门，查明代码设计能否满足本单位检算与管理需要。,文件设计审计,问询用户，查明所设计数据文件能否满足输入数据和输出信息要求；,检验数据文件是否有内外标签，是否有控制办法，未经授权人员能否接触数据文件。,输入、输出,复核系统输入、输出设计、是否符合会计核实软件基本功效规范要求；,详查系统输入、输出步骤，查明是否有适当控制办法；,是否含有识别错误功效，对系统拒绝接收错误数据，是否提供适当更正程序；,复核输入、输出设计，查明是否留有适当审计线索。,处理功效设计,查明系统设计处理功效是否符合会计核实软件基本功效规范及用户要求；,详查系统处理步骤是否有适当控制办法；,审阅相关文档，查明所需处理功效是否全部经过系统处理功效设计纳入系统。,第73页,系统实施阶段审计,程序设计及测试情况,向程序设计员问询在程序中是否设计了必要内部控制；,选择部分程序流程图或源程序进行正确性检验；,检验程序文档编制是否规范、完整。,系统调试情况,复核测试数据，查明其是否包含足以检验应有处理及控制功效各种类型业务数据；,审计人员可考虑自行设计一组测试数据，进行独立测试；,在测试结束后，审计人员应就系统开发阶段适当性、系统使用后能否按预期功效运行向管理当局提出意见。,第74页,系统实施阶段审计（续）,系统试运行情况,复核系统试运行结果,(,试运行期限不低于三个月,),，确定是否到达预期目标，系统有没有问题；,问询系统管理员，是否有未经授权人员在试运行期间接触系统,(,尤其是程序员,),；,检验试运行统计，确定运行系统与原设计是否存在差异，差异是否合理，系统能否正式投入使用。,编制操作手册及制订控制制度情况,检验是否要求由不一样人员负责执行业务、输入、处理等工作；,按业务处理流程，看其业务处理是否能顺查由原始输入凭证至报表，或逆查由报表至原始输入凭证；,复核所编制操作手册和制订管理制度是否包含控制事项。,第75页,系统运行与维护阶段审计,实地观察系统人员操作情况,查明输入数据是否经过审核，正确数据是否能被准确地输入系统，错误数据是否能被发觉并按适当规程进行更正；,对系统进行实地测试，确定是否有未经授权、不掌握密码人接触并修改数据与程序；,检验上机统计，查明有没有异常情况，系统故障是否能及时排除；,审阅系统操作管理制度，查明人员工作职责和权限是否适当划分。,实地观察系统运行情况,检验系统运行是否正常；,审阅系统管理制度，查明是否制订了计算机软、硬件维护制度，制度是否符合内部控制，是否得到有效执行；,检验系统相关修改文档资料，查明修改是否按规程进行，文档是否齐备。,第76页,二、商品化会计软件开发审计,商品化会计软件评审相关要求,1989年始商品化会计软件必须由财政部门进行评审,1994年财政部颁布商品化会计核实软件评审规则,年以来，会计软件评审标准上不再由政府主管部门进行,商品化会计软件开发审计,商品化会计软件企业对开发过程自我控制,软件功效符合财政部门要求,提供必要供审计使用接口,用户在选择商品化会计软件时对软件功效进行必要审查,对存在问题要求软件企业改进或制订对应管理制度进行控制,不能出于本身“考虑”，对软件企业产品提出设置非法功效要求,第77页,第六节 计算机审计软件,计算机审计软件种类,会计数据接口标准及被审单位计算机会计信息系统数据采集,计算机审计软件功效,利用办公自动化软件辅助审计,第78页,一、计算机审计软件种类,通用审计软件,依据会计业务共性设计适合用于对各类或多数计算机会计信息系统审计计算机程序，通惯用于同一行业全部被审计算机会计信息系统审计。,专用审计软件,为特定被审计计算机会计信息系统，或为执行特定审计任务设计审计软件。,第79页,当前我国应用主要审计软件,审计法规管理系统,审计抽样软件,工具箱式通用审计软件,以表格为模型审计软件,为在特定条件下完成特定任务各种专用审计软件,第80页,二、会计数据接口标准及被审单位计算机会计信息系统数据采集,会计数据接口标准,应用GB/T19581-信息技术 会计核实软件数据接口标准输出会计数据进行计算机审计过程与方法,第81页,会计数据接口标准,GB/T19581-信息技术 会计核实软件数据接口国家标准制订,GB/T19581-信息技术 会计核实软件数据接口国家标准体系结构,GB/T19581-信息技术 会计核实软件数据接口国家标准应用,第82页,应用GB/T19581-信息技术 会计核实软件数据接口标准输出会计数据进行计算机审计过程与方法,会计数据加工成审计数据基本原理,怎样接收符合GB/T19581-信息技术 会计核实软件数据接口会计数据,数据接入格式与数据导入,接收数据接口标准输出会计数据管理和使用策略,第83页,三、通用审计软件功效,审计资源管理,机构管理,业务项目管理,会计资料与数据管理,客户基本情况,会计数据,审计计划,业务委托,审计计划,审计工具,数据查询,法规查询,审计抽样,计算与汇总,分析性符合,审计标识,审计跟踪,符合性测试,内控评定,符合性测试,管理提议书,实质性测试,报表项目及期后事项测试,合并报表,审计终止,审计调整与汇总,审计完成,编制审计汇报,三级复核,第84页,四、利用办公自动化软件辅助审计,Word和Excel在出具审计汇报时结合应用,利用电子表格软件Excel辅助审计编制工作底稿,利用Excel辅助分析性复核,第85页,第七节 计算机网络环境下审计,计算机网络环境下会计信息系统特点与风险,电子商务环境下会计信息系统内部控制及审计重点,计算机网络环境下会计信息系统审计应考虑问题,注册会计师网上誉证业务（CPA-WebTrust）,第86页,一、计算机网络环境下会计信息系统特点与风险,特点,会计数据共享,会计功效共享,会计数据分布式输入,会计数据安全性要求高,风险,物理风险,对会计信息保密性破坏,对会计信息完整性破坏,对系统运行干扰,第87页,二、电子商务环境下会计信息系统内部控制审计重点,内部控制目标是合理确保经营活动效果和效益、财务汇报可靠性和相关法律法规遵照。在电子商务环境下，控制目标实现，取决于电子商务环境下信息系统,安全性,。,电子商务环境下信息系统内部控制首要控制目标，是确保电子商务环境下信息系统安全。详细表现在满足以下要求：,对电子商务环境下信息系统质量及安全要求，包含信息机密性、完整性、可用性等；,对电子商务环境下信息系统经营性要求，包含系统运行效率和效果、信息可靠性和法令遵照。,所以，电子商务环境下信息系统内部控制审计重点在于信息系统安全性和效益性。,第88页,三、计算机网络环境下会计系统审计应考虑问题,审计范围问题,审计方式选择,实时审计,远程审计,审计方法选择,受控处理法和模拟单位法应用,第89页,四、注册会计师网上誉证业务,（CPA-WebTrust）,注册会计师依据既定标准对开展电子商务网站在经营业务披露、信息安全性、交易完全性等方面进行测试，对符合标准网站签发电子鉴证一个业务。,背景与发展情况,注册会计师网上誉证业务流程,第90页,网上誉证业务产生背景,电子商务发展快速，但存在效益、安全正当问题,电子商务可提供网上交易和管理等全过程服务，含有广告宣传、咨询洽谈、网上订购、网上支付、电子账户、服务传递、意见咨询、交易管理等各项功效,因为信息传递方式和人们所习惯物质交易不一样，加以有效性、安全性和厂商信誉，以及对纠纷处理，成为人们最关心问题,第91页,网上誉证业务提出,美国注册会计师协会（AICPA）和加拿大会计师协会（CICA）为处理用户对安全和隐私问题担心，提出网上誉证（WebTrust）计划。,1997年9月发起网上誉证业务。,1999年6月提出“网上誉证准则”第一稿；,1999年底提出第二稿：针对“企业对消费者（B2C）”模式下，电子商务中存在安全和正当问题作出反应；,年1月1日提出第三稿：颁布CPA 从事网上誉证业务资格。同时在英格兰、苏格兰、澳大利亚等国家和地域推广网上誉证业务。,第92页,网上誉证业务流程,管理当局申明,取得注册会计师电子印,继续持有注册会计师电子印鉴,第93页,管理当局申明,电子商务网站管理部门应就特定时期内，对“注册会计师网上誉证准则”所要求三个方面，向含有网上誉证资格执业注册会计师发表申明,交易业务和交易安全性：已披露所从事业务和为交易所做保密办法，并依照所披露办法进行交易。,交易真实性：已采取有效控制伎俩，以确保消费者经过电子商务进行交易是按照双方认定协议来旅行并开具账单。,客户信息安全性：已采取有效控制伎俩，确保消费者在电子商务中提供个人信息不会被用于和企业无关事项,第94页,取得注册会计师电子印,含有网上誉证执业资格注册会计师在执业准则指导下，对企业申明进行必要测试，并出具意见书。,企业必须到达注册会计师往上誉证准则要求要求，并满足以下两个条件，才能取得注册会计师电子印鉴：,聘请含有网上誉证执业资格注册会计师,取得注册会计师签发无保留心见书,第95页,继续持有注册会计师电子印鉴,企业聘请注册会计师必须定时对企业申明进行坚定，从而更新判定意见书。,注册会计师誉证业务时