计算机审计概述.ppt

计算机审计概述,会计系 朱建国,现代信息技术发展与审计变革,以计算机应用和国际互联网络为代表的现代信息技术，将会给会计、审计工作带来,怎,样的影响？目前还难以做出全面、恰当的评价。但是，可以肯定的是现代信息技术的广泛应用必将引起会计、审计工作的重大变革,。,现代信息技术发展与审计变革,审计工作必须应用现代信息技术，正如国家审计署李金华审计长所说：“开展计算机审计是一场革命。如果不搞计算机审计，我们将失去审计资格。,现代信息技术对会计的影响,决策必要的信息可以及时发布。,有利于基础数据的累积，对中长期财务分析和预测有利。,数据钩稽关系由计算机软件决定。,核算过程很难及时控制，大量基础工作下放或远程操作。,非人为的差错极大的减少。,现代信息技术对审计的影响,审计效率极大的提高，风险控制技术广泛元用。,审计的范围更广泛，主要包括了对信息系统的审查。,可以采用遍历方式的审计。,审计人员的主要作用转变，由防弊差错为主转为以出谋划策为主。,技术要求更高了。,审计技术的发展,人工方法-交易项目详细审计,人工方法-资产负债表审计,人工方法+数理统计技术-制度基础审计,人工方法+数理统计技术-风险基础审计,信息技术+资产负债表审计-计算机辅助审计（,CAATs,),信息技术+制度基础审计-信息系统审计,信息技术+风险基础审计-基础数据审计,计算机审计与会计系统,手工会计系统,计算机会计系统,手工审计,计算机审计,信息系统审计,一个重要的审计假设:内部控制制度的完善可以减少舞弊或错漏的发生。,重点在内控制度评审，主要技术为测试。,信息系统审计与控制协会（,ISACA),注册信息系统审计师（,CISA）,信息系统审计主要方法,信息系统的安全与控制测试,信息系统的组织与管理测试,信息系统的处理过程测试,信息系统的完整、保密和有效,信息系统软件的开发、取得与维护,计算机辅助审计,绕过计算机审计和通过计算机审计,利用计算机审计,利用计算机完成审计任务,审计人员的职业经验占主导地位,提高手工审计的效率,为计算机审计的发展创造条件,计算机辅助审计,使用计算机 软件帮助审计任务的完成,审计人员的经验和职业判断占主导地位,用于审计目的审计软件和测试数据,通用辅助审计软件包（,ACL,EXCEL),计算机辅助审计新发展,实时的在线控制,数据仓库和数据挖掘技术的应用,人工智能技术的运用,数理统计技术的运用,基础数据分析技术,行为分析技术,计算机犯罪的防范,按照刑法规定，计算机犯罪可分为以下几种类型：,侵入计算机系统罪,破坏计算机系统罪,利用计算机进行经济犯罪,窃取计算机数据及应用程序罪,利用计算机实施的其它犯罪,计算机犯罪的防范,经济目的为主，据统计占70%,内外勾结为主,高技术、隐蔽性,异地、高速,无犯罪记录,计算机犯罪的防范,制定专门的反计算机犯罪法,加强反计算机犯罪机构（侦查、司法、预防、研究等）的工作力度。,建立健全国际合作体系。,计算机用户要增加安全防范意识和计算机职业道德教育。,加强内部控制,提高内部审计的技术能力,内部防范计算机犯罪的措施,取得高层人士的支持,教育训练和宣传安全政策,了解安全防范的重要性,按全自动化管理和监控,采用单点登录架构,慎选软件厂商,事件日志报告,计算机审计的标准,独立审计具体准则第20号计算机信息系统环境下的审计。,国际审计准则第16号计算机辅助审计技术,电算化信息系统的内部控制与内部控制评审,上海理工大学,朱建国,电算化信息系统的内部控制,电算化信息系统的内部控制框架,电算化会计信息系统内部控制,一般控制,应用控制,电算化信息系统的内部控制,一般控制,普遍适用于各类组织,从信息系统研制开发到实施维护的全过程的控制,对整个组织具有普遍性的影响,如果控制失效风险较大,组织控制,不相容职务分离,程序员与操作员分离,信息部门与用户部门分离,数据备份与数据使用分离,审核与操作分离,审计部门与实务部门分离,授权管理,授权级别划分,授权范围控制,人员招聘、录用控制,电算化信息系统的内部控制,系统发展控制,可行性分析,系统发展授权,内审人员参与,系统调试数据控制,系统转换控制,系统效益评估,电算化信息系统的内部控制,计算机操作控制,系统只用于经过允许的目的、接触计算机操作的只限于经过允许的人员、只用经过允许的程序可以运行、程序运行的错误可以察觉和纠正。（国际会计准则15号）,建立操作制度并实施之,包括：机器操作规程、机器功效标准、作业运行规程、控制台记录规程（日志）、数据文件控制标准、应急措施、物理安全规则等,电算化信息系统的内部控制,系统软件控制,错误处理的控制功能,使用权限控制功能,防止计算机病毒控制,电算化信息系统的内部控制,数据和程序安全控制,实物安全保管制度,数据安全制度（防黑客、异地同步备份）,系统修改、升级控制,使用报告、使用纪录。,电算化信息系统的内部控制,电算化信息系统的内部控制,应用控制,适用于具体业务处理的特定控制措施,目的是保证数据的完整性、准确性、有效性、可维护性、可审计性。,是人机两方面的控制,包括输入控制、处理控制、输出控制,输入控制,输入方式控制,网络传输、软盘转录、人工输入、其他,原则：快速、有效、安全,输入权限控制,输入授权,数字签名,数据转换控制,输入校验，（合理性校验、格式校验、关键字校验、依赖性校验、位校验、其他）,电算化信息系统的内部控制,处理控制,系统内部核对控制,处理适当性、公允性控制,溢出控制,误操作控制,其它,电算化信息系统的内部控制,输出控制,输出校验,输出格式控制,输出文件的修改性控制（一般不可修改）,输出前的强制备份,输出文件适用控制,其它,电算化信息系统的内部控制,谢谢大家,