第八章会计信息系统审计.ppt

第八章会计信息系统审计.ppt

《第八章会计信息系统审计.ppt》由会员分享，可在线阅读，更多相关《第八章会计信息系统审计.ppt（63页珍藏版）》请在冰豆网上搜索。

会计信息系统AccountingInformationSystem,第八章会计信息系统审计,主要内容,第一节会计信息系统审计概述第二节会计信息系统的主要审计方法第三节审计软件,第一节会计信息系统审计概述,一、计算机信息系统环境及其对审计的影响二、会计信息系统审计的目标与内容三、会计信息系统审计的基本程序,一、计算机信息系统环境及其对审计的影响,“注册会计师审计的重要会计信息由计算机处理生成的情形”,“当一个单位对审计有重要影响的会计信息是由任何类型或大小的计算机处理生成时，就存在计算机信息系统环境，而无论该计算机由本单位操作还是由第三者操作”,我国：

国际审计准则：

（一）计算机信息系统环境的定义,

（二）计算机信息系统环境对审计的影响,1.审计线索2.审计内容3.审计技术方法4.审计人员,1.对审计线索的影响,审计线索对审计极为重要。

审计线索主要包括：

凭证、账簿和报表等。

在计算机信息系统环境下，账务处理全部由计算机系统按一定的程序指令完成，手工系统下的审计线索基本消失。

在计算机信息系统环境下，对数据的输入、处理和输出的控制以及计算机的操作过程称为审计的重点。

（二）计算机信息系统环境对审计的影响,2.对审计内容的影响,会计信息系统审计过程分为两个主要的阶段：

即对计算机系统的评价和对计算机系统所产生的会计数据的评价，并应以着重评价计算机系统的内部控制为主要内容。

对计算机程序控制进行测试，以证实其处理的合法性、正确性、完整性及系统的安全可靠性是审计的重点和前提。

（二）计算机信息系统环境对审计的影响,3.对审计技术方法的影响,手工系统下，可采用顺查、逆查、审阅、分析、比较等方法进行审计。

计算机信息系统审计环境下，仅采用这些方法难以实现。

计算机审计方法是常规的手工系统审计方法和电算化系统审计方法的结合。

（二）计算机信息系统环境对审计的影响,审计线索的改变要求审计人员重新检查系统的审计步骤。

由于数据处理系统的复杂性和数据的集中，要求审计人员熟悉电子数据处理系统的计划、程序和记录，了解电子数据处理系统及其控制。

4.对审计人员的影响,二、会计信息系统审计的目标与内容,

（一）会计信息系统审计的目标,中国注册会计师审计准则第1101号财务报表审计的目标：

第四条财务报表审计的目标是注册会计师通过执行审计工作，对财务报表的下列方面发表审计意见：

第一，财务报表是否按照适用的会计准则和相关会计制度的规定编制；第二，财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。

二、会计信息系统审计的目标与内容,鉴证目标系统的合法性（符合现行法律、法规、政策、指南）系统的安全性（内控的有效性、资源妥善保管）数据的完整性（数据是否准确）管理目标系统的效率性（能否完成规定任务）系统的经济性和效益性（资源利用符合最优效益原则）,

（一）会计信息系统审计的目标,在计算机信息环境下，财务报表是由会计信息系统产生的，会计信息系统的审计目标实质上是要对会计信息系统所进行的全部活动给予评价，评价的目标包括：

对内部控制系统的审计（输入、处理、输出内控是否完备）对系统开发的审计（内审，系统开发方法科学合理，是否产生必要线索）对系统应用程序的审计（嵌入应用程序中的控制措施是否起作用）（检查程序预算和逻辑的正确性）对系统数据文件的审计（对账户余额和发生额等数据文件进行直接检查）（利用计算机审计软件对数据文件进行测试和检查）,

（二）会计信息系统审计的内容,计划准备阶段,控制测试阶段,实质性测试阶段,三、会计信息系统审计的基本程序,主要内容,第一节会计信息系统审计概述第二节会计信息系统的主要审计方法第三节审计软件,第二节会计信息系统审计的主要方法,一、会计信息系统审计计划的制定二、会计信息系统的内部控制与符合性测试三、计算机辅助审计技术与实质性测试,独立审计具体准则关于“审计计划”的规定制定审计计划时，充分了解信息系统环境下的内部控制了解计算机信息系统的重要性、复杂程序及审计所需信息的可获得性了解计算机信息系统环境，并考虑其对固有风险和控制风险评估的影响,一、会计信息系统审计计划的制定,

（一）制定审计计划的基本程序和步骤,1.了解客户及控制环境2.了解会计系统3.了解控制活动4.制定交易及余额的详细测试计划,1.了解客户及控制环境,目的便于审计人员评估会计系统中电算化部分的范围及复杂性，以及所需的计算机审计专家协助的比重需要获取的信息计算机设备的种类及其结构系统软件的种类计算机处理活动的组织结构（数据部门的组织结构、人员安排）会计电算化应用的范围和程度,2.了解会计系统,目的了解业务经过会计系统中，手工部分和电算化部分的路径，并了解计算机介入的性质和程度在重要的计算机会计应用中，需要获取的信息计算机应用中输入的来源、容量及形式处理的方式及频率应用中输出的形式及输出的分布,3.了解控制活动,目的了解系统的一般控制，对一般控制是否有效进行判断，以便向客户提供服务。

对一般控制的审核询问或观察客户的数据处理部门的职员；检查现存的文件，确定下列事项：

数据处理部门内部职责是否分离开发的、买入的或变更的程序在执行之前是否经过批准和测试对数据文件的接触是否只限于经过批准的使用者和程序,4.交易事项测试的计划,交易类别测试若在重大会计领域应用了电算化，而且交易类别的具体控制目标的实现要依赖于计算机处理的结果，必须在控制风险的评估中考虑数据处理部门的作用和影响。

在一般控制有效的基础上，测试数据处理部门的应用控制手工：

从会计应用处理的交易类别中选取样本，应用审计程序证实数据的有效性、完整性、和准确性。

计算机辅助：

测试在会计应用中使用的计算机程序,4.余额详细测试的计划,余额测试的拟采用的方法直接测试会计信息系统生成的年终数据当余额的直接测试的范围依赖于与计算机相关的控制程序或在应用期中进行余额的直接测试，则必须对一般控制的有效性进行考虑当审计人员决定在对以计算机可读形式存在的客户文件实施余额的直接测试中使用计算机予以辅助时，必须制定更详细的计划,

（二）利用计算机编制审计计划,设计审计程序制定检查清单分析风险执行分析性复核程序日程安排和费用预算,二、会计信息系统的内部控制与符合性测试,

（一）会计信息系统的内部控制及其分类

（二）一般控制（三）应用控制（四）内部控制的符合性测试及评价,

（一）会计信息系统的内部控制及分类,按实施的范围划分一般控制（亦称“管理控制”，是对会计信息系统的组织、开发、应用环境等方面进行总体控制，不仅适用于会计信息系统，也适用于其他管理系统）应用控制（是对会计信息系统中具体的数据处理功能的控制）按控制的意图划分预防性控制（事前）检测性控制（事中）纠正性控制（事后）按控制所采取的手段划分人工控制（手工操作实施控制）程序控制（计算机程序实施控制）,

（二）一般控制目标,目的：

一般控制是计算机信息系统的总体控制；建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的整体目标提供合理的依赖程序。

一般控制的具体目标：

通过一般或特殊的授权规则保证下列活动的开展具备正当的手续：

将原始凭证输入系统内进行处理；设计、实施和使用计算机程序；更改计算机程序；接触和使用计算机主文件和其他重要数据文件；分发系统输出报告等。

负责资产保管人员无权接触记录资产情况的信息处理。

负责信息处理的人员不负责执行或批准的经济业务。

电子数据处理部门内部对不相容职能进行适当分离。

电子数据处理部门不能纠正电子数据部门以外的错误。

通过适当的沟通方法和程序，使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求，并保证遵循这些要求。

主管人员能够充分地控制授权要求的遵守，以保证违背要求的行为能予以记录、调查和纠正。

（二）一般控制内容,1.组织与管理控制（是否建立对会计工作进行控制的组织机构）2.应用系统开发与维护控制3.计算机操作控制4.硬件和软件控制5.系统安全控制6.数据通讯控制（网络环境下，防火墙和加密等控制）7.系统文档控制（文档管理和保密）,一般控制的地位一般控制的运用对应用控制的有效性至关重要一般控制的测试和技术手工组织与管理控制系统开发和维护控制计算机辅助审计技术系统应用软件控制手工方法与计算机辅助审计技术相结合计算机操作控制数据和程序控制一般控制的测试的重点系统开发的测试,

（二）一般控制的研究、评价和风险评估的方法与重点,（三）应用控制目标,基本目标对会计应用建立具体控制过程，从而确保全部的经济业务都经过授权和记录，并做完整、准确和及时的处理。

具体目标所有经允许处理的数据均应转换到介质上并加以处理，并且处理的结果可通过适当的方式加以输出。

所有输入、转换、处理和输出均应在正常的时间里准确地进行。

所有系统的输出均反映为经批准的有效的经济业务。

（三）应用控制内容,1.输入控制2.处理控制3.输出控制,1.输入控制,控制目标经济业务在计算机处理之前经过适当的批准；经济业务被准确地转换为机器可读形式并记录于计算机数据文件；经济业务没有丢失或不适当地增加、复制、改动；拒绝、改正不适当的经济业务，必要时，及时重新补救。

控制内容

（1）数据采集控制

（2）数据输入控制,

（1）数据采集控制,控制目标确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据控制措施用户部门内部的职责分离标准化的凭证格式制定凭证编制程序凭证审核手续控制凭证更正规程批量控制（为凭证编号；对业务、数量和金额等计算批量总数进行控制，以便检查凭证处理过程的错误）,

（2）数据输入控制,控制目标防止输入数据时的遗漏或重复，检查输入数据是否有错误例：

以记账凭证为主要内容的数据输入控制,1）会计科目输入错误，如输入了没有设置的科目或误用其他会计科目；2）借、贷方向输错；3）金额输错，如未计、多计或少计；4）对应关系搞错。

1）设置会计科目代码与名称对照文件；2）设置对应关系参照文件；3）合理性校验；4）平衡校验；5）人工校验；6）重输入控制,2.计算机处理与数据文件控制,控制目标经济业务（包括系统生成的）由计算机正确地处理；经济业务没有丢失或不适当地增加、复制、改动；计算机处理的错误被及时地鉴别并改正。

控制措施业务时序控制数据有效性检验程序化处理有效性检验错误更正控制,3.输出控制,控制目标计算机处理的输出结果准确无误；输出结果仅限于经过批准的人员；输出及时地提供给适当的经过批准的人员。

控制措施输出授权控制；输入过程的控制总数与输出得到的控制总数相核对；审校输出结果，检查正确性、完整性；将正常业务报告与例外报告中有关数据作分析对比；设置输出报告发送登记簿，记录报告发送份数、时间、接受人等事项；制订输出错误纠正和对重要数据进行处理的规定。

方法使用者实施的人工控制系统输出控制程序控制测试重点应用系统的处理控制,（三）应用控制的研究、评价和评估方法,（四）内部控制的符合性测试及评价,目的评价企业内部控制系统在防止和发现财务报表数据发生重大误述方面的作用，并为确定审计程序、范围和重点提供依据内容一般控制与应用控制内部控制评价与风险评估步骤了解与描述计算机会计信息系统内部控制调查表法、文字表述法、流程图法符合性测试评价内部控制（是否完整有效和可否依赖）,1.符合性测试,符合性测试检查的重点：

必要的内部控制是否重要？

是否按规定执行？

由谁执行？

符合性测试的步骤确定符合性测试的顺序确定测试对象确定是否有互补测试选择测试工具或技术设计测试数据进行测试分析和评价测试结果,2.内部控制评价,评价计算机会计信息系统内部控制的方法与评价手工会计信息系统内部控制的方法没有本质区别如果审计人员评价系统内部控制为高信赖程度，即控制风险为最低，则可以较多地依赖和利用内部控制，相应减少实质性测试审计程序的数量和范围如果评价内部控制为低信赖程度，即重要内部控制明显失效，应放弃对内部控制的依赖，扩大实质性测试的范围，完善、修正和补充实质性测试程序,三、计算机辅助审计技术与实质性测试,

（一）应用程序的审计

（二）数据文件的审计（实质性测试的对象）,使用计算机辅助技术进行审计，通常包括：

应用程序的审计、数据文件审