1、商學院會計系李棟輝,內部審計學,第六章,信息系統(tǒng)控制與審計,商學院會計系李棟輝,主要內容,第六章 信息系統(tǒng)控制與審計,商學院會計系李棟輝,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn) 二、信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與應用控制,第1節(jié).信息系統(tǒng)控制概述,商學院會計系李棟輝,內部審計學,（一）數(shù)據(jù)處理的集中化與自動化 數(shù)據(jù)集中處理一方面是現(xiàn)代社會“信息大爆炸”對信息的需求，也是計算機信息處理模式的需要。 采用計算機系統(tǒng)處理各種業(yè)務之后，數(shù)據(jù)一經輸入，在一定條件下就可以被不同用戶共享。 數(shù)據(jù)挖掘技術：海量數(shù)據(jù)中“挖出”數(shù)據(jù)本身的規(guī)律和趨勢。 編寫代碼：系統(tǒng)原始數(shù)據(jù)的采集，減少人為干預。,一、

2、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),機遇,商學院會計系李棟輝,（二）數(shù)據(jù)存儲的磁性化 現(xiàn)在許多計算機程序將數(shù)據(jù)存儲到數(shù)據(jù)庫中，因為文本形式的存取比較慢，適合小型系統(tǒng)，單純的文本沒有相應數(shù)據(jù)庫存儲機理，必須自己定義行列、瀏覽、存入等，而利用數(shù)據(jù)庫存儲則可以由程序自動生成。 硬盤：采用磁介質的數(shù)據(jù)存儲設備，數(shù)據(jù)存在硬盤驅動器的內部的磁盤片上。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),機遇,商學院會計系李棟輝,內部審計學,（三）內部控制的程序化 通過使用計算機信息系統(tǒng)，內部控制的內涵和外延發(fā)生了很大變化，組織可以將各種控制方法嵌入程序中。通過程序的運行，核對數(shù)據(jù)之間鉤稽關系，檢查使用權密碼，審計各種業(yè)務及數(shù)

3、據(jù)的處理順序等。 比如：流程圖軟件代替控制的敘述性描述法，可以很快捷的分析利用業(yè)務數(shù)據(jù)，從而準確的控制和把握組織的運營是否規(guī)范，各種業(yè)務的進行是否授權等。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),機遇,商學院會計系李棟輝,內部審計學,（四）管理信息系統(tǒng)中的各子系統(tǒng)聯(lián)系密切 管理信息系統(tǒng)：會計、統(tǒng)計、市場管理、生產管理、倉庫管理、勞動人事等。 網絡的使用，使得各系統(tǒng)的聯(lián)系更加緊密。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),機遇,商學院會計系李棟輝,（一）計算機系統(tǒng)固有缺陷 計算機硬件和軟件系統(tǒng)容易受到沖擊 交易的實時處理使得錯誤檢查及更正沒有緩沖時間，使得錯誤影響進行中的商業(yè)活動，人們無法控制系統(tǒng)，而計

4、算機系統(tǒng)本身又不能真正做到自我監(jiān)控。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),挑戰(zhàn),商學院會計系李棟輝,（二）系統(tǒng)錯誤的增加 計算機程序替代手工處理，發(fā)生隨機錯誤的可能性降低。對于一定的輸入，如果程序是正確的，它的控制過程與處理結果總是正確的，一旦程序本身出現(xiàn)問題，錯誤就會不斷重復，而程序自身并不能自我發(fā)現(xiàn)并糾正。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),挑戰(zhàn),商學院會計系李棟輝,（三）數(shù)據(jù)接觸未經授權 非法侵入、濫用和偶然破壞等缺陷，導致組織的計算機程序或文檔被非正常修改或造成組織的機密信息非法泄露。 “黑客”，病毒等。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),挑戰(zhàn),商學院會計系李棟輝,內部審計學,（四

5、）職責與知識的集中 計算機的運用使得諸如基礎設施、軟件、數(shù)據(jù)及人事職能與知識等信息系統(tǒng)要素非常集中，參與處理財務信息的人員大大減少，信息系統(tǒng)執(zhí)行了許多在傳統(tǒng)手工處理系統(tǒng)中相互分離的職責。 職責的集中使得信息技術人員有可能掌握數(shù)據(jù)的來源、處理和輸出，從而使得內部控制的風險增加。 接受培訓和擁有信息技術知識的人員可能接觸到功能覆蓋較廣的軟件。 必須合理分離信息技術中心關鍵職責，做好內部分工。才能有效防止舞弊。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),挑戰(zhàn),商學院會計系李棟輝,（五）程序與數(shù)據(jù)的集中 計算機處理環(huán)境下職責的集中，導致記錄組織作業(yè)的原始數(shù)據(jù)及應用程序集中于同一臺機器或存儲在電子數(shù)據(jù)文檔中，

6、由組織的信息系統(tǒng)部門統(tǒng)一管理。 如果缺乏適當?shù)目刂拼胧M織的程序、數(shù)據(jù)、文檔被篡改，丟失而不被發(fā)現(xiàn)的可能性就很大。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),挑戰(zhàn),商學院會計系李棟輝,（六）組織業(yè)務軌跡的變化 手工環(huán)境下紙質業(yè)務軌跡更容易檢查辨認。 計算機硬盤存儲的工作原理使得組織能夠掌握數(shù)據(jù)的使用與銷毀，給組織文檔的可靠和安全帶來威脅。 計算機輸入輸出缺乏可視性，使得難以查找錯誤源頭和追究出現(xiàn)問題的信息系統(tǒng)的責任人。,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn),商學院會計系李棟輝,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn) 二、信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與應用控制,第1節(jié).信息系統(tǒng)控制概述,商

7、學院會計系李棟輝,內部審計學,EDP（Electronic Data Processing）廣泛應用，改變了內部控制的性質。組織沒有自己的信息系統(tǒng)，通信網絡、數(shù)據(jù)倉庫和技術人員，其業(yè)務就不能正常開展。 面對基于上述信息系統(tǒng)存在的風險，就必須對硬件和軟件工作環(huán)境的安全性、可靠性加以檢測，采取各種嚴密措施，確保組織的各種數(shù)據(jù)、文檔資料的真實準確。,二、信息系統(tǒng)控制的重要性,EDP:以計算機替代人工處理例行性的數(shù)據(jù)，并產生報表以支持組織的作業(yè)活動。 其內容重點乃在于取代重復性的人工操作，以支持基層管理者及作業(yè)人員等，故其重心在于重效率的信息系統(tǒng)，例如會計之應用。國外把利用電子數(shù)據(jù)系統(tǒng)的會計，稱為電子

8、數(shù)據(jù)處理會計。,商學院會計系李棟輝,大型商用信息系統(tǒng)的特征： 1.存儲重要數(shù)據(jù)文件的大型計算機中心通常位于鎖定存取控制（Access control）且沒有對外窗戶的研究室中，操作地方不應過于顯著，在建設上應最大限度避免天災人禍。,二、信息系統(tǒng)控制的重要性,商學院會計系李棟輝,內部審計學,2.專用電力系統(tǒng)、專用空調或制冷系統(tǒng)、散熱系統(tǒng)且符合環(huán)境控制要求： （1）磁盤及軟盤的存儲庫應遠離計算機設備，異地存儲有助于災難發(fā)生時及時備份。 （2）大型計算機的操作系統(tǒng)應能同一時間間隔運行多個程序，多項任務處理。 （3）擁有大型計算機的組織應擁有自己的系統(tǒng)編程人員和編程部門，正規(guī)的系統(tǒng)開發(fā)方法及標準。,二

9、、信息系統(tǒng)控制的重要性,商學院會計系李棟輝,（4）廣闊的電信網絡支持，組織內部各個角落的網絡終端直接連接與中央計算機系統(tǒng)或間接連接與外部網絡。 （5）具有輸入輸出控制環(huán)節(jié)，數(shù)據(jù)處理以批處理模式進行，能控制數(shù)據(jù)輸出速度。 （6）配備專業(yè)的數(shù)據(jù)安全負責人、通信分析師或質量控制專家等。,二、信息系統(tǒng)控制的重要性,商學院會計系李棟輝,一、信息系統(tǒng)給組織帶來的機遇與挑戰(zhàn) 二、信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與應用控制,第1節(jié).信息系統(tǒng)控制概述,商學院會計系李棟輝,（一）一般控制（General Controls） 與所有的或者絕大多數(shù)的信息技術環(huán)境下的活動都相關的控制，包括信息系統(tǒng)處理的可靠

10、性、數(shù)據(jù)和程序的完整性、數(shù)據(jù)處理的持續(xù)性以及對計算機設備以及數(shù)據(jù)文件使用的授權控制等。 一般控制包括以下幾項： 組織控制、操作控制、文書控制、系統(tǒng)開發(fā)與編程控制、 硬件和系統(tǒng)軟件控制、接觸檔案和檔案資料保管控制。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,1.組織控制 使用EDP的組織中，各部門間的職責分工應盡可能保留實行EDP之前的模式，或者是原有模式的擴展； EDP部門主要負責業(yè)務的記錄及其相關的數(shù)據(jù)處理； EDP部門與用戶部門的職責盡量分離，形成一種互相稽核、互相監(jiān)督、互相制約的關系； 所有經EDP系統(tǒng)處理的業(yè)務都應經過適當授權，業(yè)務的籌劃、執(zhí)行和計算機處理審計之間應明確責任

11、劃分；,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,EDP內部也應明確職責分工，保證不相容職責由不同的人承擔并保證一個人能對其他人的工作進行檢查； 在EDP中應適當進行人事監(jiān)督和審計，適時考核評價，周期性輪換工作。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,2.操作控制 EDP管理人員制定上機守則和操作規(guī)程，經常性進行檢查，EDP管理人員應將手工日志與系統(tǒng)生成日志結合用于檢查系統(tǒng)的日常工作情況； EDP操作人員執(zhí)行操作控制，用于保證現(xiàn)行規(guī)章和實務處理規(guī)程得到遵守； 冗余技術對付硬件損壞、數(shù)據(jù)文件的丟失毀損等，實現(xiàn)異常狀態(tài)下的數(shù)據(jù)恢復； EDP部門應制定年度工作計劃和相應日

12、程安排，保證系統(tǒng)運作。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,冗余技術又稱儲備技術，它是利用系統(tǒng)的并聯(lián)模型來提高系統(tǒng)可靠性的一種手段。 冗余分為：工作冗余和后備冗余。 工作冗余：是一種兩個或以上的單元并行工作的并聯(lián)模型。平時，由各處單元平均負擔工作，因此工作能力有冗余。 后備冗余：平時只需一個單元工作，另一個單元是冗余的，用于待機備用。 實例：以計算機為例，其服務器及電源等重要設備，都采用”一用二備” 甚至”一用三備”的配置。正常工作時，幾臺服務器同時工作，互為備用。電源也是這樣。一旦遇到停電或者機器故障，自動轉到正常設備上繼續(xù)運行。確保系統(tǒng)不停機，數(shù)據(jù)不丟失。,三、信息系統(tǒng)的

13、一般控制與應用控制,冗余技術,商學院會計系李棟輝,3.文書控制 文書的編撰是信息處理系統(tǒng)中重要元素交流的手段。 文檔編寫應規(guī)范化，管理應該系統(tǒng)化、制度化。 力求文書做到： 向管理層提供改進的應用系統(tǒng)的全貌； 向客戶提供說明材料； 向新的使用者提供以前系統(tǒng)的背景知識，引導新系統(tǒng)的使用； 為信息系統(tǒng)的使用提供必要的數(shù)據(jù)資料,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,4.系統(tǒng)開發(fā)與編程控制 首先，需要一個開發(fā)EDP系統(tǒng)的完整計劃，制定合理目標，確定工作階段和開發(fā)進度，進行資金籌措和費用預算，合理配備人員； 其次，開發(fā)過程中處理好人員的工作安排和責任劃分，做好系統(tǒng)的整體規(guī)劃，需求調查、性能

14、檢測、試運行、文檔管理和審計控制等工作； 最后，靜態(tài)測試與動態(tài)測試結合起來進行編程控制。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,5.硬件與系統(tǒng)軟件控制 硬件控制是構筑在計算機硬件設備內部的一種控制，用來檢測并處理設備故障和錯誤，加強系統(tǒng)的可靠性。 奇偶檢驗：確保信息在不同設備之間傳送時不被改變。 響應檢查：保證在磁性介質讀寫工作完畢后作出相關回應。 系統(tǒng)軟件： 訪問控制、隔離控制、加密變換和日志控制。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,6.接觸控制和檔案資料保管控制（安全控制） 登錄軟件、序列號、系統(tǒng)口令等方法，保證資料的安全； 利用殺毒軟件和安裝系統(tǒng)檢測程

15、序防止病毒的侵入，慎用公用軟件、外來軟件和共享軟件，定期檢查系統(tǒng)，經常性備份。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,三、信息系統(tǒng)的一般控制與應用控制,（二）應用控制 應用控制與EDP所執(zhí)行的特別任務有關，其目的在于確保應用系統(tǒng)對電子數(shù)據(jù)資產安全的保護，對數(shù)據(jù)一致性的保證以及對數(shù)據(jù)進行有效的加工。其功能是恰當?shù)乇ＷC數(shù)據(jù)的記錄、加工和報告過程的正確進行。 輸入控制 處理控制 輸出控制,商學院會計系李棟輝,1.輸入控制 美國執(zhí)業(yè)會計師協(xié)會認為：輸入控制是指正式確認為進行電子數(shù)據(jù)處理(EDP)所可接受的數(shù)據(jù)，將其轉換為機器能夠感知的形態(tài)，并能為機器識別，而且要合理的保證數(shù)據(jù)沒丟失、刪

16、除、外加、重復或不應有的變更。 輸入控制包括對不正確的初始數(shù)據(jù)予以拒絕，或者給予修正后重新提供這方面的控制。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,首先，制定適當制度以適當授權，嚴禁未授權的人員輸入文件資料； 其次，做好輸入的數(shù)據(jù)文件的審批工作，這種審批獨立于信息系統(tǒng)部門之外，遵守職責分工。數(shù)據(jù)一經輸入后就對其進行測試。 最后，糾正在測試中出現(xiàn)的問題的輸入，并刪除重復的無用的輸入，添加必要的輸入，保證輸入的完整性與正確性。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,處理控制 對計算機系統(tǒng)進行的內部數(shù)據(jù)處理活動的控制措施。處理控制用于保證經濟業(yè)務由計算機作出正確的處理

17、，保證經濟業(yè)務不被泄露、非法添加、重復或不適當?shù)母鼡Q，并能夠實行限制性/合理性測試對處理工程中的錯誤加以識別和改正。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,輸出控制 美國執(zhí)業(yè)會計師協(xié)會：為了保證處理結果的正確性，以及保證只由指定的人員接受輸出而進行的控制； 內部審計人員可以利用輸出數(shù)據(jù)的即刻成形技術來保證輸出信息的安全可靠以控制報告文件的生成 ； 將輸出數(shù)據(jù)與輸入、處理的數(shù)據(jù)進行核對，進行數(shù)據(jù)的合理性檢查，及時地將輸出報告?zhèn)鬟f給用戶，利用反饋信息做好輸出控制； 對輸出介質進行管理，紙介質和磁介質都實行登記，定期檢查介質的性能，保證介質上數(shù)據(jù)的完整性。,三、信息系統(tǒng)的一般控制與應

18、用控制,商學院會計系李棟輝,主要內容,第六章 信息系統(tǒng)控制與審計,商學院會計系李棟輝,一、信息系統(tǒng)環(huán)境對內部審計的影響 二、與內部審計相關的信息技術 三、信息系統(tǒng)一般控制的審計 四、信息系統(tǒng)應用控制的審計,第2節(jié).信息系統(tǒng)審計要點,商學院會計系李棟輝,（一）信息系統(tǒng)對審計對象的影響 1.組織結構發(fā)生了很大變化 職責與知識的集中、不相容職責集中在信息系統(tǒng)，集體舞弊可能性加大，增加審計風險。 2.程序和數(shù)據(jù)更加集中增加了數(shù)據(jù)和程序被非法使用的風險，使得日后審計線索的追蹤更困難。 3.計算機環(huán)境下數(shù)據(jù)處理性質發(fā)生了很大變化，內部控制過程通常是“隱身”的，內審計人員面對這樣的控制系統(tǒng)，從中索取有關審計

19、證據(jù)的難度加大，面臨的審計風險加大。,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,（二）信息系統(tǒng)對審計人員的影響 1.審計人員將信息技術作為審計工具，基于EDP的MIS使得內部審計人員必須了解組織各個層面的MIS： 了解各種數(shù)據(jù)庫、數(shù)據(jù)庫內數(shù)據(jù)類型和數(shù)量及獲取數(shù)據(jù)的方法； 了解組織在信息技術環(huán)境下的商業(yè)運作，哪些數(shù)據(jù)如何被處理； 對信息系統(tǒng)產生的輸出文件，會用特殊工具或熟悉數(shù)據(jù)庫結構化查詢語言（SQL）以識別期望的輸出結果； 積極參與信息系統(tǒng)開發(fā)，充當信息系統(tǒng)部分功能的用戶或系統(tǒng)的控制人員；,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,2.審計人員需要對信息系統(tǒng)本身進行審計

20、，審計邊界擴大。 信息技術從根本上改變了組織內部經營和外部主體聯(lián)絡的方式，使得組織內外能夠共享信息并提高經營效率。 激烈的競爭提高了對生產率、成本、效率和信息的需求；,一、信息系統(tǒng)環(huán)境對內部審計的影響,對計算機系統(tǒng)的性能、信息的安全性、數(shù)據(jù)保密性控制、質量認證工作進行確認的需求,商學院會計系李棟輝,（三）信息系統(tǒng)對審計方式的影響 繞過計算機審計（Audit Around the Computer） 對信息系統(tǒng)輸入和輸出的數(shù)據(jù)進行審計，不考慮計算機系統(tǒng)對數(shù)據(jù)的處理過程。,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,穿過計算機審計（ Audit Through the Computer

21、） 組織系統(tǒng)日益復雜，聯(lián)機處理和在線處理使得數(shù)據(jù)處理過程幾乎不留痕跡，因此審計活動需要評價組織系統(tǒng)的硬件和軟件環(huán)境的控制情況，從而確定“看不到”的操作是否真實可靠。審計人員需要進入系統(tǒng)內部，確定數(shù)據(jù)處理、內部控制、文件內容的正確性和可靠性。 通過計算機程序對內部控制、電子資料等測試，這種審計模式加強了信息系統(tǒng)審計的深度，擴大了審計范圍。,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,1.測試數(shù)據(jù)法 按照交易處理的基本步驟，使用有限的數(shù)據(jù)，確定每一個控制是否都按照文檔規(guī)定有效的執(zhí)行。使用不同層次上的數(shù)據(jù)進行處理測試，看是否與期望的輸出一致，盡量分散的選擇或設定有代表性的數(shù)據(jù)。 審計人員必

22、須熟悉組織的業(yè)務流程及信息系統(tǒng)處理過程，能準確預計輸入輸出對應關系，合理分配每種控制的重要性，分清自我設定數(shù)據(jù)與真實數(shù)據(jù)。,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,2.平行模擬法 審計人員使用專門的審計程序（一般是通用審計軟件）對組織的數(shù)據(jù)進行處理，并將輸出結果與組織的處理結果進行比較，最終得出結論。 運用平行模擬法，審計人員可以采用真實系統(tǒng)的輸入數(shù)據(jù)，調用相同的文件，在較關鍵的環(huán)節(jié)上設立控制。 在環(huán)境、邏輯一致的前提下，比較模擬系統(tǒng)與組織真實系統(tǒng)的輸出結果，就可以得到測試結果。從而反推組織的程序處理過程是否有效。,一、信息系統(tǒng)環(huán)境對內部審計的影響,商學院會計系李棟輝,一、信息系

23、統(tǒng)環(huán)境對內部審計的影響 二、與內部審計相關的信息技術 三、信息系統(tǒng)一般控制的審計 四、信息系統(tǒng)應用控制的審計,第2節(jié).信息系統(tǒng)審計要點,商學院會計系李棟輝,計算機輔助審計工具和技術（ CAATTS ） Computer Assisted Audit Tools and Techniques CAATTs是一種內部審計人員可以獨立控制的軟件，可用于測試或分析計算機文檔中的數(shù)據(jù)，同時開展其他審計測試。 各式各樣的電腦軟件工具： 文字處理 電子表格 數(shù)據(jù)分析軟件,二、與內部審計相關的技術,商學院會計系李棟輝,1.確定CAATTs審計目標。 2.了解計算機系統(tǒng)。 3.開發(fā)CAATTs程序。 4.測試并

24、運行CAATTs 5.從CAATTs的結果中得出審計結論。,二、與內部審計相關的技術,審計步驟,商學院會計系李棟輝,通用審計軟件 審計人員獨立 易于操作 觀察審計工作進度及數(shù)據(jù)庫中心磁盤檢索的程序異常情況 專用審計測試與分析軟件 解決通用軟件對專業(yè)系統(tǒng)軟件的無效等問題 一般并非為審計人員專們設計，但可以協(xié)助內部審計人員。,二、與內部審計相關的技術,商學院會計系李棟輝,數(shù)據(jù)測試技術 向運行的系統(tǒng)提交一系列測試數(shù)據(jù)，用于確定組織的信息技術系統(tǒng)是否能正確處理所有交易數(shù)據(jù)，并能夠對處理過程實施一定的控制。類似于“測試數(shù)據(jù)法”。 嵌入式審計程序 在組織的信息系統(tǒng)運行過程中嵌入的審計軟件。幾乎可以實時監(jiān)督

25、。,二、與內部審計相關的技術,商學院會計系李棟輝,一、信息系統(tǒng)環(huán)境對內部審計的影響 二、與內部審計相關的信息技術 三、信息系統(tǒng)一般控制的審計 四、信息系統(tǒng)應用控制的審計,第2節(jié).信息系統(tǒng)審計要點,商學院會計系李棟輝,（一）大型計算機系統(tǒng)的一般控制審計 信息技術時代，任然要關注關鍵職能的職務分離： 應用程序的開發(fā)； 信息系統(tǒng)的操作； 其他技術領域：通信管理、數(shù)據(jù)庫管理及計算機系統(tǒng)邏輯安全。,三、與內部審計相關的技術,商學院會計系李棟輝,大型計算機系統(tǒng)的一般控制的內部審計分為以下幾類： 信息系統(tǒng)的初步審核 針對系統(tǒng)操作的詳細審核 特殊控制領域的審核 法律法規(guī)的遵循性審核,三、信息系統(tǒng)的一般控制與應

26、用控制,商學院會計系李棟輝,1.信息系統(tǒng)初步審核 目的：對信息系統(tǒng)控制環(huán)境取得大致了解； 方法：詢問、觀察等 對象：操作系統(tǒng)及系統(tǒng)文檔等 作用： 有助于確定是否需要更為詳盡的一般控制審核； 確定是否需要在將來擴大控制風險評估； 收集初步的控制信息；,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,2.針對系統(tǒng)操作的詳細審核 詳細的信息系統(tǒng)一般控制審核通常涉及系統(tǒng)操作的各個方面。 系統(tǒng)的詳細審核由了解信息系統(tǒng)控制和程序的高級內部審計人員執(zhí)行。 審核的內容包括： 信息系統(tǒng)操作如何運行、控制日志報告、操作指令、系統(tǒng)作業(yè)的調度、存儲介質的管理等情況，以確定計算機操作人員是否故意引入不正確文檔。,

27、三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,3.特殊控制領域的審核（專項審核） 應管理者的要求或根據(jù)內部審計人員的判斷，對整個信息系統(tǒng)職能的專門領域開展的有限審核。 針對特定信息系統(tǒng)控制領域的專項審核，內部審計人員可以采用擴展該領域的一般控制審核程序并在必要時執(zhí)行額外的審計測試。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,4.法律法規(guī)的遵循性審計 對信息系統(tǒng)進行法律法規(guī)的遵循性審核通常可以合并在初步的或詳細的一般控制審核中，但是內部審計必須熟知政府部門發(fā)布的、對審計提出要求的相關規(guī)程和規(guī)章制度。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,（二）小型商務系統(tǒng)的一

28、般控制審計 規(guī)模小，職責分離不嚴格，因此針對小型商務系統(tǒng)的一般控制審計具有自己的特點： 對小型商務系統(tǒng)數(shù)據(jù)和程序訪問權限控制的審計； 對通過工作站非法訪問數(shù)據(jù)情況的審核； 對正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形進行的審計,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,1.對小型商務系統(tǒng)數(shù)據(jù)和程序訪問權限控制的審計 內部審計人員應該把對數(shù)據(jù)和程序的訪問權限設置視為最主要的一般控制目標，特別要注意查明信息系統(tǒng)部門的系統(tǒng)軟件是外購還是自行開發(fā)，審核不同來源的系統(tǒng)軟件的訪問權限的適當性。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,2.對通過工作站非法訪問數(shù)據(jù)情況的審核 首先，內部審計人

29、員應了解管理者對信息系統(tǒng)權限控制的重視程度，查詢有權訪問系統(tǒng)管理員菜單的人員； 其次，應了解組織安裝的數(shù)據(jù)安全系統(tǒng)以及數(shù)據(jù)安全系統(tǒng)在整個組織信息系統(tǒng)中是如何建立的； 最后，內部審計人員應確定系統(tǒng)的使用方法，具體地，可以審核更改系統(tǒng)登錄的方法。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,3.對正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形進行的審計 小型系統(tǒng)的不規(guī)范會使得一些用戶通過或正常的信息系統(tǒng)操作就可以訪問未經授權的數(shù)據(jù)。這種通過正常途徑獲得非法數(shù)據(jù)產生的控制風險遠遠大于通過非法途徑獲得數(shù)據(jù)的風險。 內部審計人員要控制審計風險，就應該安裝合適的應用程序，使得系統(tǒng)日志記錄所有程序的變更和程序庫

30、的軟件包更新，實際審計時就比較有針對性。,三、信息系統(tǒng)的一般控制與應用控制,商學院會計系李棟輝,一、信息系統(tǒng)環(huán)境對內部審計的影響 二、與內部審計相關的信息技術 三、信息系統(tǒng)一般控制的審計 四、信息系統(tǒng)應用控制的審計,第2節(jié).信息系統(tǒng)審計要點,商學院會計系李棟輝,（一）選擇內部審計要審核的應用程序 1.管理層的要求 內部審計人員一般應管理層的要求優(yōu)先考慮新建和重要的應用程序控制的審計。 2.新投入的應用程序 新投入的應用程序在使用之前，內部審計人員一般要對其控制作用進行審計，做到事前控制，從而減少程序投入使用后組織的控制風險和內部審計風險。,四、信息系統(tǒng)應用控制的審計,商學院會計系李棟輝,3.關

31、鍵的應用程序 對于關鍵性的應用程序，要經常性的進行控制審核。以免關鍵程序的控制失效給組織帶來較大風險。,四、信息系統(tǒng)應用控制的審計,商學院會計系李棟輝,（二）執(zhí)行內部審計的初步審核工作 1.審核關鍵的應用程序記錄 內部審計人員在執(zhí)行審核的過程當中，一般應審核系統(tǒng)開發(fā)方法初始化文本、功能設計說明書、程序更改記錄、用戶文本手冊等。 2.進行應用程序的穿行測試 總體了解了應用程序的基礎上，從組織系統(tǒng)中挑選關鍵的交易在應用程序當中穿行，并作出記錄。 3.制定應用控制審核目標 審核文本記錄和穿行測試后，內部審計人員應制定詳細的審計目標和程序，以完成對應用程序的審核。,四、信息系統(tǒng)應用控制的審計,商學院會

32、計系李棟輝,（三）完成信息系統(tǒng)應用控制審計 需要事先掌握的信息： 應用程序是外購還是自行開發(fā)；與其他程序是集成還是獨立；對該應用程序進行的控制是自動還是人工操作。 審計實施： 根據(jù)初步審核確定的審計目標進行詳細測試，針對關鍵控制點進行重點測試。通過持續(xù)性的審計監(jiān)控對系統(tǒng)運行進行觀察并審核程序源代碼，必要時重新執(zhí)行應用程序功能或運算以完成對應用控制的審計。,四、信息系統(tǒng)應用控制的審計,商學院會計系李棟輝,主要內容,第六章 信息系統(tǒng)控制與審計,商學院會計系李棟輝,一、數(shù)據(jù)審計模式的產生 二、數(shù)據(jù)審計模式的特點 三、數(shù)據(jù)審計的流程及其控制 四、數(shù)據(jù)審計對內部審計工作的機遇和挑戰(zhàn),第3節(jié).數(shù)據(jù)審計模式

33、,商學院會計系李棟輝,一、數(shù)據(jù)審計模式的產生,數(shù)據(jù),數(shù)據(jù)輸入,數(shù)據(jù)輸出,傳統(tǒng)信息系統(tǒng)審計,數(shù)據(jù)審計,數(shù)據(jù) 處理,信息系統(tǒng)內部 控制因素,評估,評估,商學院會計系李棟輝,一、數(shù)據(jù)審計模式的產生 二、數(shù)據(jù)審計模式的特點 三、數(shù)據(jù)審計的流程及其控制 四、數(shù)據(jù)審計對內部審計工作的機遇和挑戰(zhàn),第3節(jié).數(shù)據(jù)審計模式,商學院會計系李棟輝,（一）數(shù)據(jù)審計模式的對象是系統(tǒng)內部控制和電子數(shù)據(jù) 數(shù)據(jù)審計的最大特點是對電子數(shù)據(jù)的直接利用，即審計人員無須將其換成電子套賬，然后再實施審計程序。 數(shù)據(jù)審計模式下，審計人員深入信息系統(tǒng)數(shù)據(jù)庫，獲取更多、更廣泛的數(shù)據(jù)，然后通過分析處理獲得有用信息包括財務和非財務信息。 數(shù)據(jù)審計

34、模式擺脫了傳統(tǒng)的賬套和財務信息，使得審計人員將審計范圍和內容擴大。,二、數(shù)據(jù)審計模式的特點,商學院會計系李棟輝,（二）數(shù)據(jù)模式審計改變了審計的核心方法 數(shù)據(jù)模式審計下，審計人員應該關注能否對數(shù)據(jù)進行有效的分析，使得各種原始數(shù)據(jù)轉換為對審計人員有用的信息 因此審計的核心方法是數(shù)據(jù)分析法。 數(shù)據(jù)分析就是對數(shù)據(jù)進行處理，使數(shù)據(jù)轉換為信息，分析性測試是對信息的利用。,二、數(shù)據(jù)審計模式的特點,商學院會計系李棟輝,（三）數(shù)據(jù)審計需要創(chuàng)建大量的新型審計技術 審計中間表法： 利用被審計單位數(shù)據(jù)庫中的基礎數(shù)據(jù)，按照審計人員的要求，由審計人員構建，可供審計人員進行數(shù)據(jù)分析的新型審計工具，是實現(xiàn)數(shù)據(jù)審計的關鍵技術。

35、 基礎性審計中間表： 幫助審計人員選定審計所需要的基礎性數(shù)據(jù)； 分析性審計中間表： 幫助審計人員實現(xiàn)對數(shù)據(jù)的模型分析。,二、數(shù)據(jù)審計模式的特點,商學院會計系李棟輝,（三）數(shù)據(jù)審計需要創(chuàng)建大量的新型審計技術 審計分析模型法 按照審計事項應該具有的時間或空間狀態(tài)（趨勢、關系、結構等），由審計人員通過設定判斷和限制條件來建立起數(shù)學的表達式或邏輯的表達式。并用于驗證審計事項實際的時間或空間狀態(tài)的方法。常見的審計分析模型： 根據(jù)法律規(guī)定的狀態(tài)來建立 根據(jù)業(yè)務的邏輯關系來建立 根據(jù)審計人員的科學合理的預測來建立,二、數(shù)據(jù)審計模式的特點,商學院會計系李棟輝,（四）數(shù)據(jù)審計對審計程序的的影響 數(shù)據(jù)審計模式下，

36、審計準備階段與實施階段的界限不再清晰，數(shù)據(jù)分析既像準備工作，又像實施工作。因此，有些審計人員將其劃入審計實施階段。,二、數(shù)據(jù)審計模式的特點,商學院會計系李棟輝,一、數(shù)據(jù)審計模式的產生 二、數(shù)據(jù)審計模式的特點 三、數(shù)據(jù)審計的流程及其控制 四、數(shù)據(jù)審計對內部審計工作的機遇和挑戰(zhàn),第3節(jié).數(shù)據(jù)審計模式,商學院會計系李棟輝,三、數(shù)據(jù)審計流程及其控制,審計調查,延伸取證,模型分析,總體把握,采集數(shù)據(jù),轉換清理,審計中間表,數(shù)據(jù)審計流程,商學院會計系李棟輝,（一）數(shù)據(jù)采集 1.確定采集的內容和具體方式 （1）理解和把握方案 主審對審計范圍及審計重點進行講解，指出為完成任務應具備的資料（內容、性質、期限等）

37、； （2）講解被審計單位計算機系統(tǒng)及電子數(shù)據(jù) 負責具體調查工作的審計人員講解對計算機信息系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)方面的調查情況；,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,（3）確定數(shù)據(jù)采集的內容和重點 審計小組成員對數(shù)據(jù)內容進行討論，初步確定數(shù)據(jù)需求。 提出盡量全面完整的數(shù)據(jù)需求，防止因考慮不周全延誤電子數(shù)據(jù)的獲取，或引起被審計單位抵觸； 通過討論，使組員了解系統(tǒng)及數(shù)據(jù)的概況，為建立數(shù)據(jù)分析模型奠定基礎。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,（4）確定數(shù)據(jù)采集的具體方式 與被審計單位的計算機技術人員商量，從技術角度考慮所需要的數(shù)據(jù)能否獲取，以哪種方式獲取更好，具體的文件格式、傳輸

38、介質、數(shù)據(jù)處理所需要的時間等問題。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,2.提出書面數(shù)據(jù)要求 審計組應發(fā)出書面的數(shù)據(jù)需求說明書： 被采集系統(tǒng)名稱； 數(shù)據(jù)的內容； 指定數(shù)據(jù)采集方式或指定要求被審計單位提供的數(shù)據(jù)格式； 時限要求； 雙方對數(shù)據(jù)的責任。,三、數(shù)據(jù)審計流程及其控制,開放數(shù)據(jù)庫互連（Open Database Connectivity，ODBC）是微軟公司開放服務結構（WOSA，Windows Open Services Architecture）中有關數(shù)據(jù)庫的一個組成部分，它建立了一組規(guī)范，并提供了一組對數(shù)據(jù)庫訪問的標準API（應用程序編程接口）。這些API利用SQL來完成其

39、大部分任務。ODBC本身也提供了對SQL語言的支持，用戶可以直接將SQL語句送給ODBC。,商學院會計系李棟輝,3.數(shù)據(jù)真實性和完整性驗證準備 在發(fā)出數(shù)據(jù)需求說明書后，在審計人員的監(jiān)督下，由被審計單位技術人員完成實際的數(shù)據(jù)采集工作； 在驗證數(shù)據(jù)真實性和完整性的過程中，可以采取多種技術方法，從多個角度進行。 數(shù)據(jù)驗證可以在數(shù)據(jù)采集的同時或數(shù)據(jù)采集之后進行。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,4.實現(xiàn)數(shù)據(jù)采集 在具體數(shù)據(jù)采集實施過程中，為規(guī)避審計風險，審計人員一般不得直接在被審計單位的計算機上進行操作，應該監(jiān)督采集過程和被審計單位人員進行數(shù)據(jù)采集操作的方法。 數(shù)據(jù)交接應通過正式的手續(xù)進

40、行，被審計單位應對數(shù)據(jù)的真實性和被采集部分完整性作出承諾，分清雙方責任；承諾人包括單位法人代表和技術部門領導等；承諾時間為交接日期；若不單獨承諾，則體現(xiàn)在被審計單位的承諾書中。 審計組應提請被審計單位對交接數(shù)據(jù)進行備份，以備有異議時核對；,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,數(shù)據(jù)采集過程中應注意的事項： 數(shù)據(jù)傳輸過程中的通信是否出現(xiàn)異常； 文件復制過程是否受到病毒等因素的干擾； 數(shù)據(jù)采集和轉換過程是否專人負責； 數(shù)據(jù)采集和轉換過程是否得到詳細、及時的記錄。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,（二）數(shù)據(jù)轉換 1.確定轉換的格式及內容 （1）確定轉換的格式 當采集到的基礎數(shù)據(jù)

41、不能直接用于數(shù)據(jù)分析時，需要改變數(shù)據(jù)格式。 （2）確定轉換的內容 能得到用戶數(shù)據(jù)字典，閱讀文檔，對照字典界定選擇轉換內容。 不能得到用戶數(shù)據(jù)字典，可以在數(shù)據(jù)庫操作系統(tǒng)中利用系統(tǒng)存儲過程或系統(tǒng)表得到系統(tǒng)數(shù)據(jù)字典，確定轉換內容。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,數(shù)據(jù)字典（Data dictionary）是一種用戶可以訪問的記錄數(shù)據(jù)庫和應用程序元數(shù)據(jù)的目錄 ； 數(shù)據(jù)字典最重要的作用是作為分析階段的工具。任何字典最重要的用途都是供人查詢對不了解的條目的解釋，在結構化分析中，數(shù)據(jù)字典的作用是給數(shù)據(jù)流圖上每個成分加以定義和說明。換句話說，數(shù)據(jù)流圖上所有的成分的定義和解釋的文字集合就是數(shù)據(jù)字典

42、，而且在數(shù)據(jù)字典中建立的一組嚴密一致的定義很有助于改進分析員和用戶的通信。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,2.實施轉換 數(shù)據(jù)庫管理系統(tǒng)提供的轉換工具，審計軟件，SQL語言。 SQL (Structured Query Language)結構化查詢語言，是一種數(shù)據(jù)庫查詢和程序設計語言，用于存取數(shù)據(jù)以及查詢、更新和管理關系數(shù)據(jù)庫系統(tǒng)。同時也是數(shù)據(jù)庫腳本文件的擴展名。 3.轉換后數(shù)據(jù)驗證,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,（三）數(shù)據(jù)清理 1.分析待清理的數(shù)據(jù) （1）冗余 （2）空值 （3）不規(guī)范 2.實施清理 清理之前先對數(shù)據(jù)進行備份； 數(shù)據(jù)清理應謹慎，以免審計線索丟失。

43、對于空值。不合理數(shù)據(jù)應具體分析。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,3.清理后的數(shù)據(jù)驗證 清理數(shù)據(jù)過程中不可避免要對數(shù)據(jù)做增減刪除，因此必須對清理后的數(shù)據(jù)進行驗證。 在驗證中，選取各個層次的指標進行核對 在清理過程中，如果進行了冗余記錄的刪除，則在核對時需要考慮其影響。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,（四）建立審計中間表 審計中間表是指將轉換、清理后的數(shù)據(jù)按照能提高審計分析效率，根據(jù)審計實施方案的審計目的進行進一步的選擇、整合等操作而形成可直接用于審計項目數(shù)據(jù)分析的數(shù)據(jù)集合。 基礎性中間表 審計人員結合被審計單位的業(yè)務性質和數(shù)據(jù)結構，根據(jù)不同的分析主體生成的，面向審計組全體成員的表格。 分析性中間表 審計人員在數(shù)據(jù)分析過程中，在基礎性中間表的基礎上根據(jù)具體的審計目標和分析需求生成的，面向審計組中特定審計人員的表格。,三、數(shù)據(jù)審計流程及其控制,商學院會計系李棟輝,中間表的四個特點： 體現(xiàn)業(yè)務特征 面向主題 相對穩(wěn)定 隨著審計分析的深入而變化