信息技术对审计的影响ppt课件.pptx

本学期审计专题分四个内容：,一、信息技术对审计的影响二、审计对舞弊的考虑三、对集团财务报表审计的考虑四、内部审计实务,一、信息技术对审计的影响：,1、信息技术对审计过程的影响2、信息技术对审计范围的确定3、信息技术内部控制审计4、计算机辅助审计技术和电子表格的运用,信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。现代信息技术是指从20世纪70年代以来，逐渐形成的以微电子技术、计算机技术、软件技术、通信技术为核心的高技术群。,一、信息技术的概念,计算机产生以前，企业内部信息处理方式是手工处理，这种情况下的审计方式毫无疑问是手工的形式。一些企业开始用计算机处理部分会计资料，人们对信息技术的认识还停留在对财务数据的采集和分析阶段，注册会计师可以直接对打印出来的纸质文档进行审计。随着会计信息技术化的成熟，ERP信息系统开始兴起，注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。,二、信息技术审计的演变,信息技术的演变可以概括为：由信息技术发展引出了信息系统审计。,三、信息技术和财务报告的关系,信息系统形成的信息质量影响企业编制财务报告、管理企业活动和做出适当的管理决策。,三、信息技术和财务报告的关系,有效的信息系统需要实现下列功能并保留记录结果：,审计人员在进行财务报告审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量，而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的，所以，审计人员需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。,三、信息技术和财务报告的关系,信息技术在企业中的应用并不改变审计人员制定审计目标、进行风险评估和了解内部控制的原则性要求，基本审计准则和财务报告审计目标在所有情况下都适用。,四、信息技术对审计过程的影响,不改变,对审计线索的影响：审计线索对审计来说极其重要，在信息技术环境下，从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成，数据均保存在磁性介质上，从而会影响到审计线索，如数据存储介质、存取方式以及处理程序等。无纸化交易会导致审计线索难以把握。,四、信息技术对审计过程的影响,对审计技术手段的影响：随着信息技术的广泛应用，审计人员需要掌握相关信息技术，把信息技术当作一种有利的审计工具。,四、信息技术对审计过程的影响,对内部控制的影响：在高度电算化的信息环境中，业务活动和业务流程引发了新的风险，从而使具体控制活动的性质有所改变。,四、信息技术对审计过程的影响,对审计内容的影响：信息系统的特点及固有风险决定了信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。,四、信息技术对审计过程的影响,对注册会计师的影响：信息技术在被审计单位的广泛应用要求审计人员一定要具备相关信息技术方面的知识。审计人员必须对系统内的风险和控制都非常熟悉，然后对审计的策略、范围、方法和手段做出相应的调整，以获取充分、适当的审计证据，支持发表的审计意见。,四、信息技术对审计过程的影响,例1（单选）.企业可以运用信息系统来创建、记录、处理和报告各项交易，以衡量和审查自身的财务业绩，并持续记录资产、负债及所有者权益。其中处理是指（ ）。 A.企业可以采取手工或自动的方式来创建各项交易信息 B.信息系统识别并保留交易及事项的相关信息 C.企业可以采取手工或自动的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整 D.企业以电子或打印的方式，编制财务报告和其他信息，并运用相关信息来衡量和审查企业的财务业绩及其他方面的职能,【正确答案】C,例2（多选).有效的信息系统需要实现的功能包括（）。 A.确定交易发生期间，并将交易记录在适当的会计期间 B.及时、详细记录交易内容，并在财务报告中对全部交易进行适当分类 C.衡量交易价值，并在财务报告中适当体现相关价值 D.识别和记录全部授权交易,【正确答案】ABCD,例3（多选）.下列有关信息技术对审计过程影响的描述中，正确的有（）。 A.信息技术在企业的应用并不改变注册会计师制定的审计目标 B.系统的设计和运行对业务流程和控制的了解会产生直接的影响 C.系统的设计和运行不会对审计风险的评价产生直接影响 D.在高度电算化的信息环境中，业务活动和业务流程引发了新的风险，从而使具体控制活动的性质有所改变,【正确答案】ABD,注册会计师在规划审计策略时，需要结合企业业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等方面，对信息技术审计范围进行适当考虑。,第二节信息技术审计范围的确定,信息技术审计的范围与被审计单位在业务流程及系统相关方面的复杂程度成正比。,在具体评估复杂度时，可以从以下几个方面予以考虑：,第二节信息技术审计范围的确定,评估业务流程的复杂程度，并不是一个纯粹客观的过程，需要注册会计师的职业判断，通过考虑以下因素适当判断：,某流程涉及过多人员及部门，并且相关人员及部门之间的关系复杂且界限不清；某流程涉及大量操作及决策活动；某流程的数据处理过程涉及复杂的公式和大量数据录入操作；某流程需要对信息进行手工处理；对系统生成的报告的依赖程度。,在具体评估复杂度时，可以从以下几个方面予以考虑：,第二节信息技术审计范围的确定,评估信息系统的复杂度，也不是一个纯粹的客观过程，包含大量职业判断，也受到所使用系统类型的影响，具体如下：,评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围，以及企业化程度（对出厂标准配置的变更、变更类型，例如，是仅为报告形式的变更还是对数据处理方式的变更）。评估自行研发系统的复杂度，应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果，以及系统变更之后的系统运行情况及运行期间。系统生成的交易数量、信息和复杂计算的数量，包括是否存在大量交易数据，无法识别并更正；数据传输方式，如网络EDI；是否使用特殊系统，如电子商务系统,在具体评估复杂度时，可以从以下几个方面予以考虑：,第二节信息技术审计范围的确定,评估信息技术环境的规模和复杂程度，主要考虑以下因素：,产生财务数据的信息系统数量信息部门的结构与规模网络规模用户数量外包访问方式（例如本地登录或远程登录）,实际应用中存在的问题:,第二节信息技术审计范围的确定,管理层如何获取与信息技术相关的问题？系统功能中是否发现严重问题或不准确成份？是否发生过信息系统运行出错、安全事件、或对固定数据的修改等严重问题？内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题？报告中提及的最普遍的系统问题是什么？,实际应用中存在的问题:,第二节信息技术审计范围的确定,信息技术环境下，审计工作于对系统的依赖程度是直接关联的。,信息技术审计的范围与企业在业务流程及信息系统相关方面的复杂度成正向关系。 在对企业的流程、信息系统和相关风险进行充分了解之后，注册会计师应判断企业中是否包含信息技术关键风险，并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述，那么注册会计师应将信息技术审计内容纳入财务审计计划之中。 如果注册会计师计划依赖自动系统控制，或依赖以自动系统生成信息为基础的手工控制或业务流程审阅结果，那么注册会计师也同样需要对信息技术相关控制进行评估。,注意：,第二节信息技术审计范围的确定,例4（多选）.注册会计师在规划审计策略时，需要根据具体情况对信息技术审计范围加以考虑。通常需要考虑的因素有（）。 A.企业业务流程的复杂度 B.信息系统复杂度 C.系统生成的交易数量 D.信息技术环境规模和复杂度,【正确答案】ABCD,第二节信息技术审计范围的确定,例5（多选）.在下列（）情况下，注册会计师需要对信息技术相关控制进行评估。 A.注册会计师计划依赖以自动系统生成信息为基础的手工控制 B.企业的业务流程包含有信息技术关键风险，并且注册会计师的实质性程序无法完全控制该风险 C.注册会计师计划依赖自动系统的控制 D.在企业的业务流程包含有自动系统的控制，但注册会计师并不拟依赖该控制,【正确答案】ABC,第三节信息技术内部控制审计,一、自动控制的优缺点,在信息技术环境下，传统的手工控制越来越多地被自动控制所替代，自动控制能为企业带来的好处及可能产生重大错报风险的优缺点如下：,有效处理大流量交易及数据比较不容易被绕过，就是数据会根据固定的系统程序来走流程，不会中途偏离实现有效的职责分离提高信息的及时性、准确性，和易获取性提高管理层对企业业务活动及相关政策的监督水平,优点,可能对数据错误处理，也可能去处理本身就是错误的数据信息技术系统相关的安全控制效力有限数据丢失风险或数据无法访问风险，如系统瘫痪不适当的人工干预，或人为的绕过自动控制,缺点,二、一般性控制与应用控制,信息技术的一般性控制：是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。,包括：程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。,二、一般性控制与应用控制,信息技术应用控制：设计在计算机应用系统中的、有助于达到信息处理目标的控制。据不同类型的业务的不同要求来设计相关控制程序。（如检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预等），应用控制一般要经过输入、处理和输出等环节。,自动系统控制同手工控制一样，关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。,三、信息技术应用控制与一般控制之间的关系,应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。,例6（单选）.下列有关信息技术内部控制审计的表述中，不正确的是（ ）。 A.自动化控制下，也会给企业带来一些财务报表的重大错报风险 B.对信息技术下内部控制的审计，注册会计师需要从信息技术的一般控制和应用控制两方面进行 C.信息技术的一般控制通常能对实现信息处理目标和财务报告认定做出直接贡献 D.信息技术应用控制一般要经过输入、处理及输出等环节，自动系统控制关注信息处理目标包括：完整性、准确性、经过授权和访问限制,【正确答案】C,例（单选）.信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。具体来说，信息技术一般控制不包括（）。 A.程序和数据访问 B.程序开发与变更 C.编辑检查 D.计算机运行,【正确答案】C,例8（单选）.程序开发属于信息技术一般控制，程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，下列仅仅属于程序开发控制一般要素的是（ ）。 A.项目启动、分析和设计 B.对维护活动的管理 C.测试和质量确保 D.程序实施,【正确答案】A,例9（多选）.在测试信息技术一般控制时，注册会计师需要对影响系统驱动组件持续有效运行的各个领域实施控制测试，下列属于注册会计师实施控制测试领域的有（）。 A.计算机操作控制 B.程序数据访问控制 C.程序变更控制 D.录入数据控制,【正确答案】ABC,例10（多选）.信息技术一般控制包括（）。 A.程序开发 B.计算机运行 C.程序和数据访问 D.程序变更,【正确答案】ABCD,第四节计算机辅助审计技术和电子表格的运用,一、计算机辅助审计技术,是指利用计算机和相关软件，使审计测试工作实现自动化的技术。,计算机辅助审计技术可以使审计工作更富效率和效果；最广泛地应用计算机辅助审计技术的领域是实质性程序，特别是在与分析程序相关的方面。除此以外，计算机辅助审计技术还能被用于细节测试（包括目标测试）以及对审计抽样的辅助。计算机辅助审计技术也可用于测试控制的有效性。,二、电子表格的运用,是指利用计算机作为表格处理工具，以实现制表工具、计算工具以及表格结果保存的综合电子化的软件。,注册会计师在进行系统审计时，需要谨慎地考虑电子表格中的控制，以及如信息系统一般控制一样的控制的设计与执行（在相关时）的有效性，从而确保这些内嵌控制持续的完整性。因为电子表格能够非常容易进行修改，并可能缺少控制活动，因此，电子表格往往面临许多固有风险和错误，所以，注册会计师应该了解相关的电子表格/数据库如何支持关键控制达到相关业务流程的信息处理目标。,信息系统审计案例-海斯公司,背景,海斯公司是一家专门生产钢管的美国企业产品主要供应军事及采矿方面的用途生产主要是由两组独立的生产线组成上年度原料及资产的开发费用为1.7亿美元，每天所需支付的款额由40万美元到100万美元不等，平均则为70万美元有500个供应商，其中20家公司占了总供应的10%,背景,公司的审计工作仅由一个独立的审计部门负责审计经理，四名审计师，三名计算机信息系统审计师公司设有计算机中心，协调其他部门实现电算化已实现电算化的部门有：会计部、生产部、采购和付款部,被审计算机信息系统采购和付款系统说明,目前所有采购活动都用手工操作等待供应商装运-订单副本送到收货部及付款部-收到货物-订货单及收获报表送到付款部-将所有文件存放在档案室-收到发票-相关职员检索订货单及收获报表-查证发票-计算机处理经承认的发票-将发票的数据录入保存在磁盘上,系统的内部控制制度,采购及付款系统的内部控制措施由人工和计算机程序共同实施，可归纳为6方面：,系统开发控制安全控制操作控制输入控制处理控制输出控制,公司所有计算机信息系统均由计算机中心负责开发八人小组：系统开发；监控系统使用；系统维护程序编写守则：不允许系统使用者开发私有系统,系统的内部控制制度,1.系统开发控制,系统终端机的存放及使用人员安全顾问定期的计算机设施安全保护检查购买保险,系统的内部控制制度,2.安全控制,硬件和软件资源操作由操作经理负责监督，包括5个功能：硬件和软件的操作数据准备操作流程控制数据与程序控制监督控制,系统的内部控制制度,3.操作控制,人工预先核对收到的发票-证明后录入计算机文件经核对后录入计算机，并保存一段时间以备复核计算机即时的自动审核输入的数据输入员重复输入两次以确保发票款项正确每张磁盘附有唯一的标签,系统的内部控制制度,4.输入控制,计算机输出的报表附有应用程序的号码计算机处理步骤记录在数据库文件中计算机的使用情况记录在数据库中,系统的内部控制制度,5.处理控制,支票款项总和由人工与计算机运行后所表示的应有款项支票与付款的档案核对，证明无错误方可发出支票号为顺序排列每月尚未付款的记录列在尚未付款的报表上，供付款部经理检查每月已付款报表由付款部经理检查,系统的内部控制制度,6.输出控制,收集审计证据,收集审计证据前，审计师要明白整个系统是如何运作的，主要有四个步骤：访问有关部门的主管及工作人员访问计算机中心的主管及其他相关的计算中心职员阅读与系统运转有关的文件检查系统所产生的文档,收集审计证据,完成上述工作后，收集审计证据需要进一步做以下工作：准备系统流程图和详细介绍系统内各项工作的文件根据文件追查系统内发生的交易，并进行审核（需计算机辅助审计软件）,收集审计证据,收到的发票没有记录在计算机中错误的记录了应付的款项出现没有授权的购买活动有购买记录但货款未收到购买应付的款项，记录到错误的供应商,审核后，审计师将列举出系统可能存在的漏洞：,购买日期错误的记录没付款但错误的记录为已付款已付款但未记录付款的数额错误的记录付款的日期错误记录出现没有授权的付款,收集审计证据,根据上述可能存在的漏洞，审计师评估各项漏洞的发生机会、漏洞发生时可能带来的损失及现在是否有足够的控制防止、纠正这些漏洞。,审计证据的分析与报告,海斯公司计算机信息系统内部控制审计报告：1.审计目的2.主要审计结果3.审计建议,审计证据的分析与报告,检查系统内是否存在错误或不适当的活动审核系统内的控制及预防错误步骤是否妥当评估系统目前的内部控制缺陷及提出相应的改善方法,1.审计目的,审计证据的分析与报告,经过实证测试，对海斯公司的采购及付款系统的使用、输入、处理及输出各部分的内部控制进行严谨的审核，并从总体角度对系统内部控制作出评价总括来说，整个采购及付款系统的控制及预防错弊的步骤较为理想，唯输出系统对可能发生的错误或非法活动的控制略显不足,2.主要审计结果,审计证据的分析与报告,为了增强输出系统对可能发生的错误或欺诈行为的控制，建议增两项控制：与财政开支预算比较，由两个部门负责评估每月的付款报表是否合理由审计师亲自核对列在仍未缴付的发票报表上总额与由付款部留存的仍未缴付控制总额是否相符,3.审计建议,审计证据的分析与报告,为了增强输出系统对可能发生的错误或欺诈行为的控制，建议增两项控制：与财政开支预算比较，由两个部门负责评估每月的付款报表是否合理由审计师亲自核对列在仍未缴付的发票报表上总额与由付款部留存的仍未缴付控制总额是否相符,3.审计建议,信息系统审计案例-商业银行个人消费信贷系统,主要内容：,审计背景被审系统概况系统审计流程审计发现,一、审计背景,信息技术在金融领域日益广泛的应用新的技术风险不仅要审计计算机信息系统产生的电子数据，而且要对计算机信息系统本身进行审计各家商业银行纷纷推出具有自身特点的个人消费信贷产品,二、被审系统概况,商业银行个人消费信贷系统：个人消费信贷管理子系统、储蓄前台会计核算管理子系统和后台系统管理子系统三个子系统该系统采用双层结构,三、系统审计流程,开展审前调查，制定审计方案明确审计重点，确定测试项目实施系统审计进行审计评价，提出审计建议,三、系统审计流程,提交明确的资料需求进行人员沟通熟悉软件的主要功能收集系统的文档技术资料收集个人消费信贷业务的法规制度在此基础上，拟定了审计工作方案，明确审计目标，界定审计范围，突出审计重点，确定审计方法和步骤,1开展审前调查，制定审计方案,三、系统审计流程,对已收集的系统文档资料进行了研究分析，重点围绕审阅系统文档和检查应用程序两个方面进行审计人员设计了一系列有关系统一般控制、应用控制方面的调查表格，观察系统运行使用现状了解软件系统中存在哪些控制、在哪里控制、如何控制等信息，选定个别输入程序流程，追踪检查输入的样本业务,2明确审计重点，确定测试项目,三、系统审计流程,（1）检查程序运行结果分析该软件系统的数据字典，掌握保存程序运行结果的库表结构与分布情况，要求某商业银行完整下载审计所需的近100个数据库文件，通过运用审计数据采集与分析软件等数据处理工具，对下载的数据文件进行转换，对照法律法规要求设定各种运算条件，使用工具软件中的查询、排序、计算、重组、分析等项功能，对电子数据进行整理、加工用于检查，发现较多疑点，并与调阅的纸质数据、账表和凭证进行了比较取证，以确定系统的功能是否合法、正确。,3实施系统审计,三、系统审计流程,（2）数据检测审计组制定了较为详尽的测试计划与细则，对运行环境中的程序模块处理功能进行数据检测。 测试数据项包括正常、有效的交易数据，不正常、无效的交易数据，破坏性数据，进行多种额度及权限下的有关交易测试。最后，将程序运行结果与预期结果进行比对，判断有关程序的控制与处理功能是否恰当、有效。,3实施系统审计,三、系统审计流程,（3）平行模拟 由审计人员运用SQL语言编写相同处理及控制功能的模拟程序，用来处理贷款交易历史文件中当期的实际数据，得到新的处理结果。比较两个结果，对不符情况，全面调阅有关账证，进行重点检查。,3实施系统审计,三、系统审计流程,根据审查中的审计发现，对系统作出审计评价，并针对存在的问题提出改进的建议。,4进行审计评价，提出审计建议,四、审计发现,系统功能不够完善，部分功能模块存在漏洞与缺陷总体业务设计尚有欠缺系统使用管理与控制不够有力业务风险控制措施不力交易监督管理功能薄弱,四、审计发现,（1）输入控制存在缺陷，数据关联度不够，输入校验不足已经上传进行审批或已审批的贷款客户资料不能进行修改。系统前端发生输入错误后，只能开立新账号重新录入，而贷款户参数表中仍记录实际已作废的出错业务。,1系统功能不够完善，部分功能模块存在漏洞与缺陷,四、审计发现,（2）逻辑控制存在薄弱环节，数据真实性、完整性、准确性不够 系统“贷款户参数表”中的“贷款账号”字段编码规则未统一，如新旧账号长度不等(贷款新账号长度16位，格式为：贷款机构+贷种+期限档次+账号顺序+校验位；旧账号则长度不统一，甚至出现仅为两位数的情况)，未做统一的转换设计。,1系统功能不够完善，部分功能模块存在漏洞与缺陷,四、审计发现,(3)系统参数管理及控制功能薄弱，部分参数设置、使用违规 如用于业务限额控制的参数数据据表“贷款业务种类表”中各贷种最高贷款额均设定为1000万元，最低贷款额为0，最长贷款期限为480个月，最高贷款比例为100，而根据某商业银行总行的规定，在保证或担保方式下，个人消费额度贷款最高额度为60万元(AAA级)，期限最长为5年。,1系统功能不够完善，部分功能模块存在漏洞与缺陷,四、审计发现,对个人住房贷款系统业务电子数据贷款户分户动态明细表、贷款户参数表进行分析检查，发现逾期本金、呆滞本金总额与业务报表差异明显，原因在于贷款形态转列时，系统并未自动转换，仅提供提示，仍由人工干预调整。系统控制功能调整未与国家有关个人消费贷款业务法规的变化保持一致。,2总体业务设计尚有欠缺,四、审计发现,执行查询操作时，无法选择时点，查询结果仅为实时数据，统计功能不够强大，无法实现查询条件的任意组合；有关查询的部分信息不能打印。还款方式不够灵活多样，信用卡批量扣款无法实现部分扣款。没有实现整个分行系统内部信息的共享，需求尚未真正实现。,2总体业务设计尚有欠缺,四、审计发现,贷款业务审批人员也拥有具体经办人员的操作权限密码。访问控制不强，口令未定期更新。系统未安装防杀病毒软件。无具体的安全管理规定。,3系统使用管理与控制不够有力,四、审计发现,大量发放超限额及无指定用途的个人消费贷款放松信贷条件，存在个人住房贷款“零首付”、开发商担保方式个人住房贷款还款能力风险评估不足，一人贷款购买多套房屋，信贷风险难以控制发放个人住房贷款用于购买本行处置的抵债资产以房地产开发企业负责人或员工名义贷款，违规套取银行信贷资金人为调剂贷款“规模”，企业贷款与个人消费贷款随意转换,4业务风险控制措施不力,四、审计发现,审计延伸发现部分发放的个人消费贷款被改变用途，挪用于股票认购、投资及股本；权益性交易等，甚至流入股市，扰乱金融秩序，加大市场风险。借用个人名义获取个人消费贷款投入股市使用消费贷款购买个人所在企业改制后的股份将个人消费贷款用于向企业员工分红个人住房贷款被企业改用于支付货款、归还借款以个人消费贷款名义变相发放开发企业贷款,5交易监督管理功能薄弱,谢谢大家,Thank You,QQ：邮箱：电话：,364671068,18660163703,