1、計算機審計 +頁碼計算機審計概論1 兩個方面的原因促進計算機審計的產生（ 1） 審計業(yè)務范圍的不斷擴大（ 2） 對電子數(shù)據(jù)處理的不斷深入2 中國計算機審計的發(fā)展（1） 報表檢查階段：在 20 世紀 80 年代以前，計算機主要應用于人民銀行合同聯(lián)行隊長和專業(yè)統(tǒng)計工作， 在這個階段的稽查基本是由計算機應用的業(yè)務部門和科技部門負責，主要對象是數(shù)據(jù)正確性， 報表平衡關系，是否及時上報，設備安全和程序安全。（2） 程序功能審計階段：20 世紀 80 年代后期，計算機應用于各個行業(yè)的各個領域，這些應用領域都是各行業(yè)業(yè)務工作的重要領域，直接關系著各個行業(yè)資金的運營， 期間出現(xiàn)了一些地方利用計算犯罪的案例，

2、在這種情況下，計算機審計應運而生， 設置計算機審計機構，開始培訓專業(yè)人員學習計算機知識。（3） 全面網(wǎng)絡審計階段：進入 21 世紀，計算機審計工作在各個行業(yè)已經(jīng)得到了普遍的重視， 范圍也涉及打各行業(yè)各個領域，隨著計算應用領域不斷擴大， 涉及工作越來2越跟不上各個行業(yè)信息化發(fā)展的需求。 在這種情況下，許多行業(yè)單位的審計部門開始配備自己的計算機審計人員， 現(xiàn)在計算機審計已經(jīng)成為各個行業(yè)審計的重要組成部分。金審工程：總體目標是：用若干年時間，建成對依法接受審計監(jiān)督的財政收支或者財務收支的真實、合法和效益實施有效審計監(jiān)督的信息化系統(tǒng)。逐步實現(xiàn)審計監(jiān)督的三個 “轉變 ”，即從單一的事后審計轉變?yōu)槭潞髮徲?/p>

3、與事中審計相結合，從單一的靜態(tài)審計轉變?yōu)殪o態(tài)審計與動態(tài)審計相結合，從單一的現(xiàn)場審計轉變?yōu)楝F(xiàn)場審計與遠程審計相結合。增強審計機關在計算機環(huán)境下查錯糾弊、規(guī)范管理、揭露腐敗、打擊犯罪的能力，維護經(jīng)濟秩序，促進廉潔高效政府的建設， 更好地履行審計法定監(jiān)督職責。3 計算機審計包括兩方面內容(1) 對會計信息系統(tǒng)的設計進行審計， 對會計信息系統(tǒng)的數(shù)據(jù)處理過程與處理結果進行審計。(2) 審計人員利用計算輔助審計。 將計算機及網(wǎng)絡技術等各種手段引入審計工作， 建立審計信3息系統(tǒng)，實現(xiàn)審計辦公自動化。4 計算機審計的特點（一） 電算化信息系統(tǒng)審計特點（ 1） 審計范圍的廣泛性（ 2） 審計線索的隱蔽性，易逝性

4、（ 3） 審計取證的實時性，動態(tài)性（ 4） 審計技術的復雜性（二） 計算機輔助審計的特點（ 1） 審計過程自動控制（ 2） 審計信息自動存儲（ 3） 改變了審計作業(yè)的小組成分（ 4） 轉移了審計技術主體5 計算機審計的目的（ 1） 保護系統(tǒng)資源和安全的完整性（ 2） 保證信息的可靠性（ 3） 維護法紀，保護社會和國家利益（ 4） 促進計算機應用效率， 效果和效益的提高（ 5） 促進內部控制系統(tǒng)的完善6 計算機審計的內容（一） 審計項目管理系統(tǒng)的計算機輔助審計（二） 手工會計系統(tǒng)的計算機輔助審計4（三） 會計信息系統(tǒng)審計（1） 內部控制系統(tǒng)審計： 一般控制，應用控制（輸入、輸出、處理）（ 2）

5、系統(tǒng)開發(fā)審計（ 3） 應用控制審計（ 4） 數(shù)據(jù)審計7 計算機審計的基本方法（ 1） 繞過計算機審計：指審計人員不檢查機內程序和文件，職審查輸入數(shù)據(jù)和打印輸出資料及其管理制度的方法。優(yōu)點： 1 審計技術簡單 2 較少干擾被審計系統(tǒng)的工作缺點： 1 只有打印充分時才適用 2 要求輸入輸出聯(lián)系比較密切 3 審計結果不太可靠（ 2） 通過計算機審計：指除了審查輸入輸出數(shù)據(jù)外，還要對進內的程序和文件進行審計優(yōu)點： 1 審計結果較為可靠2 審計獨立性強缺點： 1 審計技術較為復雜2 審計成本較高（3） 利用計算機審計：指利用計算機設備和軟件進行審計優(yōu)缺點同（ 2）綜合：（1）適用于簡單系統(tǒng)，（ 2）（3

6、）適用于復5雜系統(tǒng)，（2）（3）往往密切縣官， (3)是（ 2）的延伸。第二章電算化會計信息系統(tǒng)內部控制審計1內部控制分類（一）按實施的范圍和對象分類： 一般控制和應用控制（二）按控制的目標分類：預防性控制，探測性控制，糾正性控制（三）按控制實現(xiàn)的方法分類：程序控制，人工控制2 審計風險模型審計風險 =重大錯報風險* 檢查風險=固有風險 * 控制風險 * 檢查風險固有風險：計算機條件下， 不考慮信息系統(tǒng)內部控制可靠性的情況下， 因系統(tǒng)中存在的難以消除的各種因素導致的資源損失或記錄出錯的可能性。例如：（ 1） 信息系統(tǒng)管理人員和會計人員存在利用會計信息系統(tǒng)進行舞弊的可能。（ 2） 信息系統(tǒng)中的電

7、子數(shù)據(jù)存在被盜竊，濫用，篡改和丟失的可能。6（ 3） 電子數(shù)據(jù)存在的審計線索易于減少或消失的可能（ 4） 原始數(shù)據(jù)的錄入存在錯漏的可能控制風險：因為內部控制不能預防， 檢測和糾正所有出現(xiàn)的資源損失或記錄出錯的可能性。例如：(1)設置權限密碼實現(xiàn)職責分工的約束機制有失效的可能（ 2） 網(wǎng)絡傳輸和數(shù)據(jù)存儲故障或軟件的不完善，有使嗲子數(shù)據(jù)出現(xiàn)異常錯誤的可能。（ 3） 系統(tǒng)開發(fā)和維護存在隱患的可能3 安全控制（ 1）系統(tǒng)接觸控制（ 2）環(huán)境安全控制（ 3）安全保密控制：軟件加密法，硬件加密法，軟硬結合法（ 4）防病毒控制4應用控制分類（ 1）輸入控制（ 2）處理控制7（ 3）輸出控制（ 4）通信控制：

8、 1 數(shù)據(jù)加密 2 數(shù)字簽名 3 信息摘要 4 確認 /重傳5數(shù)據(jù)庫管理控制（ 1）用戶身份認證（ 2）數(shù)據(jù)庫存取控制（ 3）數(shù)據(jù)庫完整性控制（ 4）數(shù)據(jù)庫保密控制（ 5）數(shù)據(jù)庫恢復控制6 內部控制初步審查結果評價（ 1）退出審計（ 2）對一般控制和應用控制進一步進行詳細的審查（ 3）決定不依賴于內部控制在 coso 內部控制整合框架中， 內部控制定義為 ：由一個企業(yè)的董事會、 管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：（1）財務報告的可靠性； （2）經(jīng)營的效果和效率；（3）符合適用的法律和法規(guī)。 coso內部控制整合框架把內部控制劃分為五個相8互關聯(lián)的要素，分別是（ 1）控制環(huán)

9、境；（2）風險評估；（3）控制活動；（ 4）信息與溝通；（5）監(jiān)控。每個要素均承載三個目標： （ 1）經(jīng)營目標；（2）財務報告目標； （ 3）合規(guī)性目標。coso報告中內部控制的組成1.控制環(huán)境（ control environment）它包括組織人員的誠實、 倫理價值和能力；管理層哲學和經(jīng)營模式；管理層分配權限和責任、組織、發(fā)展員工的方式；董事會提供的關注和方向?？刂骗h(huán)境影響員工的管理意識，是其他部分的基礎。2.風險評估（ risk assessment）是確認和分析實現(xiàn)目標過程中的相關風險，是形成管理何種風險的依據(jù)。它隨經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需建立一套機制來辨認和處理相應的

10、風險。3.控制活動（ control activities ）是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準、授權、證實、調整、經(jīng)營績效評價、資產保護和職責分離等。4.信息的 溝通與交流 （ informationand9communication ）信息系統(tǒng)產生各種報告， 包括經(jīng)營、 財務、守規(guī)等方面，使得對經(jīng)營的控制成為可能。處理的信息包括內部生成的數(shù)據(jù)，也包括可用于經(jīng)營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構和股東

11、進行有效的溝通。5.對環(huán)境的監(jiān)控（ monitoring ）監(jiān)控在經(jīng)營過程中進行，通過對正常的管理和控制活動以及員工執(zhí)行職責過程中的活動進行監(jiān)控，來評價系統(tǒng)運作的質量。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的 監(jiān)控程序 的有效性。對于內部控制的缺陷要及時向上級報告，嚴重的問題要報告到管理層高層和董事會。cobit意義cobit將 it 過程， it 資源與企業(yè)的策略10與目標（準則）聯(lián)系起來，形成一個三維的體系結構。（ 1） it 準則維集中反映了企業(yè)的戰(zhàn)略目標，主要從質量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；（ 2） it

12、資源主要包括以人、應用系統(tǒng)、技術、設施及數(shù)據(jù)在內的信息相關的資源，這是 it 治理過程的主要對象；（ 3）it 過程維則是在 it 準則的指導下，對信息及相關資源進行規(guī)劃與處理，從 信息技術 i 規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了 34 個信息技術處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對 it 處理過程進行評估。編輯本段cobit信息技術的控制目標（ 1）有效性（ effectiveness ） 是指信息與商業(yè)過程相關，并以及時、準確、一致和可行的方式傳送。（ 2）高效性（ efficiency ） 關于如何最佳（最高產和最經(jīng)濟） 利用資源來提供信息。（

13、 3）機密性（ confidentiality ） 涉及11對敏感信息的保護，以防止未經(jīng)授權的披露（4）完整性（ integrity ） 涉及信息的精確性和完全性，以及與商業(yè)評價和期望相一致cobit信息技術的控制目標（ 5）可用性（ availability ） 指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對必要的資源和相關性能的維護。（ 6）符合性（ compliance ） 遵守商業(yè)運作過程中必須遵守的法律、 法規(guī)和契約條款，如外部強制商業(yè)標準。（ 7 ） 信 息 可 靠 性 （ reliability of information ） 為管理者的日常經(jīng)營管理以及履行財務報告責任提

14、供適當?shù)男畔ⅰ＞庉嫳径?信息技術控制目標中定義的信息技術資源* 數(shù)據(jù)（ data ） 指最廣義（例如，表面的和內在的） 的對象，包括結構化和非結構化、圖表、聲音等等。* 應用系統(tǒng)（ application systems ） 人工程序和電腦程序的總和。* 技術（ technology ） 包括硬件、 操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡、多媒體等等。12* 設備（ facilities ） 用來存放和支持信息系統(tǒng)的一切資源。* 人員（people） 包括用來計劃、 組織、獲取、傳送、支持和監(jiān)控信息系統(tǒng)和服務所需要的人員技能、意識和生產力。cobit 是一個非常有用的工具， 也非常易于理解和實施，可以

15、幫助在管理層、 it 審計之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語言。第三章會計信息系統(tǒng)開發(fā)審計1 系統(tǒng)開發(fā)審計的目的(1)審查系統(tǒng)的可行性(2)審查系統(tǒng)的合規(guī)性，合法性(3)審查系統(tǒng)內部控制的適當性(4)審查系統(tǒng)的可審性(5)審查系統(tǒng)測試的全面性，恰當性(6)審查系統(tǒng)文檔資料的完整性(7)審查系統(tǒng)的可維護性2 系統(tǒng)分析階段的審計13（ 1）系統(tǒng)目標的確定 （2）分析已有系統(tǒng) （3）可行性分析 （4）需求分析3 系統(tǒng)設計階段的審計（ 1）總體設計：高內聚，低耦合（ 2）詳細設計：數(shù)據(jù)庫文件設計，代碼設計，輸入輸出設計，處理功能設計第四章會計信息系統(tǒng)應用程序審計1 應用程序審計內容（

16、 1）應用程序控制有效性審計（輸入，處理，輸出）（ 2）應用程序合法性審計（ 3）程序有效性審計（ 4）程序編碼正確性的審計2 應用程序審計的方法（ 1）手工審計方法： 1 程序流程圖檢查法 2 程序編碼檢查法 3 程序運行記錄檢查法 4 程序運行結果檢查法（ 2）計算機輔助審計法： 1 檢測數(shù)據(jù)發(fā) 2 整體檢測法（虛擬實體法） 3 程序編碼比較法144 受控處理法 5 受控再處理法 6 平行模擬法 7 嵌入審計程序法第五章會計信息系統(tǒng)數(shù)據(jù)審計1 數(shù)據(jù)審計的準備工作（1）數(shù)據(jù)采集的方法1 利用被審計單位應用系統(tǒng)的數(shù)據(jù)轉出功能采集數(shù)據(jù)2 利用被審計單位業(yè)務系統(tǒng)所使用的數(shù)據(jù)庫系統(tǒng)的轉出功能采集數(shù)據(jù)

17、3 使用審計軟件自帶的數(shù)據(jù)轉出工具采集數(shù)據(jù)4 通過直接拷貝數(shù)據(jù)文件的方式采集數(shù)據(jù)5 使用通用的數(shù)據(jù)轉出工具 odbc 采集數(shù)據(jù)（2）被審計數(shù)據(jù)存在的主觀問題1 值缺失問題2 空值問題3 數(shù)據(jù)冗余問題4 數(shù)據(jù)值域不完整問題5 字段類型不合法問題（3）數(shù)據(jù)清理的基本技術151 使用 excel 清理數(shù)據(jù)2 使用 sql 語言清理數(shù)據(jù)3 其他技術（ *.mdb 用 access 的更新查詢）（4）數(shù)據(jù)轉換一 數(shù)據(jù)轉換主要內容1 數(shù)據(jù)類型轉換2 日期 時間格式轉換3 代碼轉換4 金額值表示方式轉換5 數(shù)據(jù)抽選二 數(shù)據(jù)轉換基本技術1 利用數(shù)據(jù)庫管理系統(tǒng)自帶的轉換工具轉換2 利用審計軟件轉換3 利用 sq

18、l 語言進行轉換（ 5）數(shù)據(jù)檢驗（真實，正確，完整）基本內容：1 核對記錄數(shù) 2 核對總金額 3 檢查借貸平衡性 4 驗證憑證號斷號和重號 5 驗證數(shù)據(jù)的勾稽關系第八章計算機信息系統(tǒng)舞弊的控制和審計1 計算機信息系統(tǒng)舞弊概述16（ 1）計算機舞弊與傳統(tǒng)舞弊有著很大差別，計算機舞弊是利用計算機系統(tǒng)或者計算機系統(tǒng)實施的舞弊行為，其目的具有非正當性（ 2）計算機犯罪是指行為人利用計算機操作所實施的危害計算機信息系統(tǒng)安全和其他嚴重危害社會的犯罪行為（ 3）計算機信息系統(tǒng)舞弊行為包括1 篡改輸入 2 篡改文件 3 篡改程序 4 違法操作 5 篡改輸出 6 其他手段2 計算機信息系統(tǒng)舞弊審計對輸入系統(tǒng)的審

19、查（1） 可以應用傳統(tǒng)方法審查手工記賬憑證與原始憑證的合法性（ 2） 應用抽樣審計技術，將機內部分記賬憑證與手工記賬憑證進行核對， 審查輸入憑證的真實性（ 3） 測試數(shù)據(jù)的完整性（ 4） 對輸出報告進行分析（ 5） 對數(shù)據(jù)進行安全性審查（ 6） 對操作權限進行審查對程序類信息系統(tǒng)的審查17方法(1)程序編碼檢查法（ 2）程序比較法（3）測試數(shù)據(jù)法（4）程序追蹤法對輸出類信息系統(tǒng)舞弊的審計一般方法：（ 1） 詢問能觀察到敏感數(shù)據(jù)運動的數(shù)據(jù)處理人員（ 2） 檢查計算機硬件設施附近是否有竊聽或者無線電發(fā)射裝置（ 3） 檢查計算機系統(tǒng)的使用日志， 看數(shù)據(jù)文件是否被存取過，是否屬于正常工作（ 4） 檢查無關或作廢的打印資料是否及時銷毀，暫時不用的磁盤，磁帶上是否有殘留數(shù)據(jù)。對接觸類信息系統(tǒng)舞弊的審計（1） 檢查系統(tǒng)的物理安全設施， 查明無關人員能否解除計算機系統(tǒng)（ 2） 檢查計算機硬件設施附件是或否有竊聽或無線電發(fā)射裝置（ 3） 注意使用殺毒軟件18第九章網(wǎng)絡審計1 網(wǎng)絡審計的概念(1)從網(wǎng)絡計算機審計的角度界定： 指通過網(wǎng)絡的遠程計算機審計， 即通過計算機網(wǎng)絡監(jiān)控與訪問被審計單位的計算機信息系統(tǒng)，收集審計證據(jù)，執(zhí)行審計任務。（2）從審計對象角度：指綜合運用網(wǎng)絡及其相關技術對網(wǎng)絡經(jīng)濟子網(wǎng)絡系統(tǒng)進行審查的新型審計。2 網(wǎng)絡審計的要素（1）網(wǎng)絡審計主體