《计算机审计》PPT课件.ppt

1,计算机审计,教学课件,北京服装学院商学院,2,目 录,第一章 计算机审计概论,第二章 电算化会计信息系统内部控制的审计,第三章 会计信息系统开发审计,第四章 会计信息系统应用程序的审计,第五章 会计信息系统数据审计,第六章 审计软件的应用,第七章 EXCEL在审计中的应用,第八章 计算机信息系统舞弊的控制和审计,第九章 网络审计,第十章 计算机审计的发展趋势,课程简介,3,课程简介,课程性质：计算机审计是一门计算机应用和审计结合的新兴边缘管理学科，本课程是会计学专业的必修课程。课程目的：通过本课程教学和实验，使学生对计算机审计有一个比较全面的概括的了解和掌握，使学生基本掌握计算机审计的基本原理和基本方法，熟悉计算机审计业务活动的具体运作方式、规则，从而为以后从事计算机审计的理论研究与实际工作打下较为坚实的专业基础。,一、计算机审计课程性质、教学目的,4,二、本课程的教学要求,课程简介,教学要求：1、掌握计算机及网络环境对传统审计的影响；2、掌握计算机及网络技术条件下的内部控制审计、系统开发审计、计算机辅助审计技术；3、了解网络审计、世界计算机审计及其发展趋势；4、通过上机实验，学生应掌握计算机审计的信息化管理的方法；培育使用审计软件及相关工具软件的习惯。,5,三、本课程教学的重点与难点,课程简介,计算机审计的概念与发展电算化会计信息系统的内部控制及其审计电算化会计信息系统数据审计审计软件与相关工具软件的使用,6,课程简介,学时安排：本课程为考查课，讲课24学时，上机20学时；本课程从第1周开始到12周结束。各章讲课学时安排：第二章为4学时；第一、三、四、五、七、八章为2学时；第六、九、十章为1学时；机动1学时。,四、学时安排,7,课程简介,五、考试安排,考试安排：本课程的成绩由三部分组成；考试卷面成绩占总成绩的70，上机作业占15，考勤成绩占15。,8,课程简介,教材与参考书：计算机审计，田芬主编，复旦大学出版社，2009年2月，第1版第二次印刷计算机审计教程，饶艳超编著，上海财经大学出版社，2011年8月版计算机审计首都经济贸易出版社 苏运法、袁小勇、王海洪编写,六、使用教材与参考书及答疑时间,9,第一章 计算机审计概论,目 录,上一页,下一页,退 出,10,本 章 教学目的与要求,通过本章的教学要求学生达到下列要求：了解计算机审计的产生和发展 熟练掌握计算机审计的含义和内容 了解计算机审计的目的 掌握计算机审计的方法、步骤 理解计算机会计信息系统对审计的影响,11,本 章 教学内容,EDPAA、ISACA 计算机审计、信息系统审计、CAAT 计算机审计的内容 计算机审计的目的、方法、步骤 CAIS对计算机审计的影响,12,本 章 教学的重点,为了实现本章教学目的，在教学过程中应以下列内容作为本章教学重点：计算机审计及其相关概念 掌握计算机审计的方法、步骤,13,本 章 教学难点,计算机审计及其相关概念的区别与联系 计算机审计的方法,14,第一节 计算机审计的产生和发展,一、计算机审计产生的背景与原因信息处理的电算化是计算机审计产生的一个直接原因。从审计工作自身的角度来说，有两个方面的原因促使计算机审计的产生。1审计业务范围的不断扩大。随着社会经济的发展，审计由原来单纯的以差错防弊为主的财政财务收支审计，发展到经营管理审计、经济责任审计和经济效益审计。审计作为一项具有独立性的监督、评价或鉴证的活动，它产生于受托经济责任关系，因此，它总是与查明、考核和评价经济责任有关。随着外部审计向内部审计的发展，以及事后审计发展到事前审计、事中审计，利用传统的方法进行审计已显得越来越“力不从心”，所以有必要使用先进的计算机技术来及时完成审计任务，因此产生了计算机审计。2人们对电子数据处理过程及其影响的认识不断深入。会计实现电算化以后，对计算机信息处理系统的安全性、可靠性及效率进行检查、监督与评价就越发必要。计算机舞弊和犯罪的案件不断出现，给审计职业界带来了压力，从而使审计人员认识到，要对被审单位的经济活动作出客观、公正的评价，必须使用计算机辅助审计技术对电子数据处理系统进行审计。,15,第一节 计算机审计的产生和发展,二、计算机审计的发展阶段为了发展同计算机审计相适应的理论与实务，世界各国的审计机关和组织都进行了积极的研究和探索。美国执业会计师协会早在1968年就出版了电子数据处理系统与审计一书，该书较详细地探讨了审计与电子数据处理系统的关系，提出了若干计算机辅助审计的电子数据处理系统的方法。在20世纪70年代，国际性组织内部审计师协会又出版了系统控制与审计一书，进一步总结了电子数据处理系统的控制与审计实务，提出了不少行之有效的计算机辅助审计的方法和技术。1978年，美国注册公共会计师协会的计算机服务执行委员会出版了计算机辅助审计技术一书，详细地介绍了如何利用计算机辅助审计，提出了许多实用和有效的计算机辅助审计技术。1984年，美国EDP审计人员协会发布了一套EDP控制标准EDP控制目标，提出了电算化系统一系列总的控制标准。目前，大多数发达国家已普遍实行了计算机审计，许多重要单位的电子数据处理系统相互联结成大型的计算机网络，审计机关或大型的会计师事务所通过企业局域网和广域网，可以把自己的计算机终端联到这些大型的计算机网络上。,16,第二节 计算机审计的概念,一、计算机 审计的含义 计算机审计、信息系统审计、CAAT计算机审计是与传统手工审计相对的概念，是随着电子计算机产生及其在审计中的应用，随着电算化信息系统的产生和发展而出现的。计算机审计与传统的手工审计没有本质的区别，其审计的目的与职能没有改变。其内容包括下列两方面：（1）对包括会计电算化在内的信息系统的设计进行审计，以及对包括会计电算化在内的信息系统的数据处理过程和处理结果进行审计。（2）是审计人员利用计算机辅助审计把计算机作为工具，将计算机及网络技术等各种手段引入审计工作，建立审计信息系统，帮助审计人员完成部分审计工作，实现审计工作的办公自动化。,17,第二节 计算机审计的概念,二、计算机审计的特点从对象上看：1.审计范围的广泛性。2.审计线索的隐蔽性、易逝性。3.审计取证的实时性和动态性。4.审计技术的复杂性。从手段上看：1.审计过程自动控制。2.审计信息自动存储。3.改变了审计作业小组成分。4.转移了审计技术的主体。,18,第二节 计算机审计的概念,三、计算机审计的目的保护系统资源的安全和完整保证信息的可靠性维护法纪，保护社会和国家利益促进计算机应用效率、效果和效益的提高促进内部控制系统的完善,19,第二节 计算机审计的概念,四、计算机审计的内容1、审计项目管理系统的计算机辅助审计2、手工会计系统的计算机辅助审计3、电算化会计信息系统（CAIS）审计由于审计的具体目的不同，审计的内容也有所不同，但总的来说，电算化会计信息系统（CAIS）审计包括内部控制系统审计、系统开发审计、应用程序审计、数据文件审计等内容。,20,第三节 计算机审计的方法与步骤,一、计算机审计的基本方法 绕过计算机审计阶段、通过计算机审计阶段、利用计算机审计阶段二、计算机审计的基本步骤 准备阶段、实施阶段、终结阶段,21,绕过计算机审计,绕过计算机审计是指审计人员不审查机内程序和文件，只审查输入数据和打印输出资料及其管理制度的方法。这种审计方法的理论基础是“黑箱原理”，审计时，审计人员追查审计线索直到输入计算机，然后核对计算机的输入与输出，如果输入与输出不匹配，则可以肯定计算机的处理过程是错误的。优点:审计技术简单;较少干扰被审系统的工作 缺点:只有打印文件充分时才适用;要求输入与输出联系比较密切;审计结果不太可靠,22,通过计算机审计,通过计算机审计是指除了审查输入和输出数据外，还要对计算机内的程序和文件进行审查。这种方法是以计算机系统为基础的审计，计算机系统成了审计的对象。比如，通过对系统的处理和控制功能的审查，确定凭证和账务文件审查的范围和数量。优点:审计结果较为可靠;审计独立性较强缺点:审计技术较复杂;审计成本较高,23,利用计算机审计,利用计算机审计是指利用计算机的设备和软件进行审计。专用审计软件是为了对某个特定的系统或某个审计项目进行审计而研制的；通用审计软件可适用于多种审计工作.除了审计软件外，审计人员还可以利用一些实用程序、数据库管理系统（FoxPro等）、被审单位的子模块（如查询、财务分析等）利用计算机审计的优缺点与通过计算机审计的优缺点基本相同。,24,准备阶段,（一）明确审计任务（二）组成计算机审计小组（三）了解被审系统的基本情况:1.硬件设备。包括主机的机型，所配置的外围设备、辅助设备等。2.系统软件。包括所选用的操作系统、数据库管理系统等。3.应用软件。包括软件的取得方式，是购买的商品化软件还是单位自行开发的软件，软件的主要功能和模块结构。4.文档资料。包括系统的操作手册、维护手册、系统和程序的框图等。（四）制定计算机审计方案,25,实施阶段,（一）对被审计系统的内部控制制度进行健全性调查和符合性测试1.经过测试，对审计系统现行的内部控制制度中有哪些满意或比较满意的控制制度。2.各项控制制度是否确实发挥作用，其符合程度如何。3.各项控制制度是否可以依赖，其符合程度如何。（二）对账表单证或数据文件的实质性审查检查、取证、分析和评价 核对，复核各种计算，如折旧计算、成本计算、利息计算等，对财务报表进行分析等。所不同的是，上述工作主要是由计算机来进行，审计人员可通过审计软件和被审计会计电算化系统的查询、分析等模块进行实质性审查。,26,终结阶段,（一）整理归纳审计资料（二）撰写审计报告（三）发出审计结论和决定（四）审计资料的归档和管理,27,第四节 计算会计信息系统对审计的影响,一、对审计线索的影响二、对审计技术手段的影响三、对会计系统内部控制的影响四、对审计技术方法的影响五、对审计标准和准则的影响六、对审计人员的影响七、对审计内容的影响,28,对审计线索的影响,1.从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成，各项处理没有直接的责任人。2.纸性的凭证、账簿和报表由磁性数据文件代替。3.保存在磁性介质上的数据可能被篡改而不留痕迹，除非依靠计算机和应用程序，否则无法阅读。4.计算机记录的顺序和数据处理工作很难直接观察等。,29,对审计技术手段的影响,过去审计人员进行审计都是手工操作的，但随着会计信息系统广泛地应用了电子计算机技术，审计人员若仍以手工操作方式进行审计，显然难以达到目的。因此，审计的技术手段也应由手工操作向电子计算机操作转变。当然这并不是说在审计中能用电子计算机完全替代手工操作，而是审计人员应该掌握电子计算机科学及其应用技术，把电子计算机当作一种有力的审计工具来使用。,30,对会计系统内部控制的影响,在会计电算化系统中，会计信息的处理和存储高度集中于计算机，使手工系统中的某些职责分离、互相牵制的控制失效。为了系统的安全可靠，为了系统处理和存储会计信息的准确完整，必须考虑会计电算化系统的特点，针对其固有的风险，建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外，还包括了不少建立在系统应用程序之中，由计算机运行时的程序进行的控制。在会计电算化条件下，审计人员必须研究电算系统的内部控制，掌握其审计方法。对于程序控制，审计人员要利用计算机辅助审计技术进行审计。,31,对审计技术方法的影响,传统的记账方法是每登记一笔账，便可以在账上看到一笔记录，而电子计算机却不能，一般是定期打印，供人们使用。平时这些记录只能在计算机上阅读，若要几笔业务对照来看，则很难做到。这种情况下审计取证的方法、对证据进行检验和审核的方法必须进行相应的改变。传统的手工记账一般可从字迹上辨认登记人以明确责任，而计算机只能提供统一模式的输入资料，无法从记录上辨认登记人，这样，计算机中的记录可轻易被改变而不留痕迹。这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。,32,对审计标准和准则的影响,由于审计的对象有了重大变化，审计线索、审计方法及审计手段也受到影响而发生变化，过去审计标准和准则中的某些已不再适用，需要与新情况相适应的新的审计标准与准则，如电算化审计人员培训考核标准、电算化管理信息系统开发审计准则及其内部控制审计准则、审计应用软件标准等都有待建立。,33,对审计人员的影响,审计人员面临着更新知识的需要，他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能，熟悉审计的政策、法令法规及其他审计依据；而且还要掌握计算机和会计电算化方面的知识和技能，了解如何审计计算机系统，如何利用计算机进行审计；要有效地使用计算机、利用计算机进行审计，还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。,34,对审计内容的影响,在CAIS条件下，审计的监督职能并没有发生变化，审计内容发生了相应的变化。在CAIS中，各会计事项都是由计算机按程序进行自动处理，它可以使因疏忽大意等原因造成的错误不致发生，但若系统应用程序有错误或被人篡改，计算机则只能以错误的方法处理所有的会计事项，后果不堪设想；若应用程序中被非法嵌入舞弊程序，则可帮助犯罪分子贪污国家或集体的财产，或在某种情况下使系统处于瘫痪。CAIS的特点及其固有的风险，决定了其审计的内容包括对CAIS的处理和控制功能进行审查，这是手工系统下审计所没有也不能审查的内容，这就要求审计人员具有计算机会计和计算机审计的知识和技能来进行审查。对电算化会计系统的审查着重审查系统的应用程序，审查其处理功能是否符合会计制度及其有关规定，是否能合法正确地处理各项业务，应用程序中的控制程序是否恰当有效，是否能达到控制目的。审计人员如果不懂计算机知识就无法进行审计工作。,35,思考题,1计算机审计是如何产生并发展的？2如何理解计算机审计的含义?3计算机审计与信息系统审计、CAAT有何联系与区别？4计算机会计信息系统对审计有哪些影响？5计算机审计的基本方法有哪些？计算机审计的基本步骤与传统手工审计有何区别？,36,第二章 电算化会计信息系统内部控制的审计,目 录,上一页,下一页,退 出,37,本 章 教学目的与要求,通过本章的教学要求学生达到下列要求：了解CAIS对传统内部控制的影响 熟练掌握CAIS内部控制的分类及相关概念 理解计算机环境下的审计风险及其分析与控制 掌握CAIS的一般控制和应用控制的主要内容 了解CAIS内部控制的审计步骤与内容,38,本 章 教学内容,CAIS内部控制的变化与特点 CAIS内部控制的分类 CAIS的风险、计算机环境下的审计风险及分析和控制 一般控制与应用控制的具体内容 CAIS内部控制的审计,39,本 章 教学的重点,为了实现本章教学目的，在教学过过程中应以下列内容作为本章教学重点：CAIS内部控制的分类 一般控制 应用控制 CAIS的风险分析,40,本 章 教学难点,正确理解CAIS内部控制 一般控制的含义与具体内容 应用控制的含义与具体内容 CAIS的风险与审计风险,41,第一节 CAIS的内部控制概述,一、电算化系统内部控制的重要性二、CAIS传统内部控制的影响三、CAIS内部控制的目标四、CAIS内部控制的分类五、CAIS内部控制的特点,42,第二节 计算机环境下的审计风险,一、CAIS的风险分析二、计算机环境下的审计风险三、CAIS的审计风险控制措施,43,第三节 会计电算化系统的一般控制,一、组织控制二、硬件和系统软件控制三、系统安全控制四、系统开发与维护控制五、操作控制,44,一般控制的概念,一般控制是指为了控制信息系统的风险，对整个信息系统的构成要素以及内外部各种环境要素实施的、对系统所有的应用或功能模块具有普遍影响的控制措施，主要包括系统全范围、全生命周期的总体控制。,45,组织控制,组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。一、电算化部门和用户部门职能的分离（一）用户部门的职能用户部门依然负责业务的授权、产生、执行、记录、资产的保管等。用户部门内部的职能分离基本上同手工系统。,46,组织控制,（二）电算化部门的职能电算化部门负责电算化信息系统的建立、使用和管理。当然，在建立一个新的电算化系统或者对现有电算化系统进行修改时，需要用户部门的积极参与。,47,组织控制,（三）用户部门和电算化部门之间的关系1、电算化部门根据用户部门的需要进行数据的处理。2、当然，用户部门也可以将已经产生的原始数据进行整理并转化为计算机可读的形式，然后传递给电算化部门。3、电算化部门只能根据用户部门的要求进行数据的输入、处理和输出，而不能自行增加、修改或减少相应的数据。4、电算化部门和用户部门保持独立，用户部门不可以根据自己的需要自行修改处理结果或者处理程序。,48,组织控制,（四）对错误的处理方法在数据处理过程中发生的错误，除了由于电算化部门人员的误操作而产生的错误可以由电算化部门自行改正外，其他错误均不能由电算化部门人员改正，而必须交由用户部门的人员进行判断和修改。也就是说，错误是由哪个部门造成的，就责成哪个部门修改。,49,组织控制,二、电算化部门内部的职能分离（一）电算化信息系统开发小组电算化信息系统开发小组负责电算化信息系统的建立和维护工作。小组成员包括系统分析员、系统设计员、程序员、数据库管理员等。（二）电算化信息系统使用小组电算化信息系统使用小组负责电算化信息系统的日常操作和处理工作。小组成员包括数据输入人员、数据处理人员、数据控制人员、数据资料保管人员等。,50,组织控制,三、加强对员工的管理（一）强化安全意识 1、要在企业文化中提倡、培育安全观念。2、在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。3、在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工，在聘用合同中要列明责任。4、要加强领导的管理和内部审计部门的监督。,51,组织控制,（二）识别敏感岗位1、该岗位接触到关键资源的机会2、是否能够有实施舞弊行为的时间3、作为个人是否具有舞弊的能力4、作为个人是否具有舞弊的动机,52,组织控制,（三）加强对敏感岗位的控制1、聘用员工时要仔细考核，不仅考核其业务水平，还要考核其品质。2、岗位轮换。定期或不定期地实行岗位轮换。3、强制休假。4、计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。5、进一步加强内部审计和监控。,53,组织控制,如果发现员工出现下列情形，并不一定意味着员工有舞弊行为，但可能需要格外关注和注意观察：1、富裕裕程度明显超出工资和等级水平。2、消费习惯从节俭突然变得大手大脚。3、和竞争对手企业联系紧密。4、对企业和领导不在乎，经常迟到早退，不尊重领导等。5、即使没有必要也经常找借口留下来加班。,54,硬件及系统软件控制,一、硬件及系统软件控制概述 一个电算化的信息系统是必须运行在硬件和系统软件上的。硬件和系统软件的运行状况决定了具体的信息系统的运行环境，如果它们出现问题，影响的将是整个电算化信息系统。所以，硬件及系统软件控制问题属于一般控制范畴。很多人认为，随着信息技术的发展，硬件和系统软件的生产厂家已经在硬件及系统软件中内置了必要的、可靠的和有效的控制，审计人员可以放心地认为这些控制运作良好，不需要对此进行检测。但是在实际的应用中，情况并非如此。例如，有些小型的计算机硬件及系统软件中没有设置足够的控制机制；并不是所有的系统软件都同样可靠；系统软件往往是模块化的，用户并不一定选择安装所有的部分，有可能遗漏了安全控制环节；硬件和系统软件控制可能已经存在，但是尚未被应用程序所利用；系统软件最初也许是可靠的，但是以后对它的修改有可能会削弱控制环节；系统软件具有强大的控制功能，但是这种控制能力如果被滥用，将会成为破坏工具；硬件和系统软件的控制机制会因为缺乏良好的组织控制和操作控制而失效。,55,硬件及系统软件控制,常见的硬件控制措施包括：1.冗余校验它是在数据编码中设置冗余位，依据冗余位编码与数据编码的逻辑关系来检测是否所有读入的数据均已正确地传送到计算机的其他部位的控制方法。2.回波校验将输入设备所接收的数据传送到数据的来源处，一般与原始数据进行比较。3.重复处理校验这是通过重复进行同样的操作处理，将结果进行比较以发现错误的一种控制。例如，写后读校验是将已经写出的数据再次读入，以便与内部处理单元中的数据进行核对；重读校验是重复将输入数据读入，再将这两次读入的数据进行比较。4.设备校验这是将控制手段构造在计算机集成电路板中，检查并更正错误的一种方法。具体控制功能包括错误自动诊断和自动重新输入。5.有效性校验这是利用计算机实际操作与有效操作进行对比而检测错误的一种控制。具体包括操作有效性、字符或字段有效性、地址有效性。6.作业控制这是指由人来完成的各种计算机硬件控制。包括存储介质控制、计算机工作环境控制、电源控制、设备维修与更新、偶然事件控制等。,56,硬件及系统软件控制,系统软件的主要功能包括管理系统操作、辅助和控制应用程序的运行等内容。较为理想的系统软件控制包括以下几个方面：1.错误处理系统软件能检测和纠正因为硬件和软件问题引起的一些错误。例如读写错误处理、记录长度检查、存储装置检查等。2.程序保护这项控制的目的是防止在处理过程中各应用程序相互干扰，防止程序调用的错误，防止未经授权而对应用程序进行改动。例如，边界保护、程序调用控制等。3.文件保护这项控制是要防止未经授权使用或修改数据，具体包括内部文件标签检查、存储保护、内存清理、地址比较等。4.安全保护这项控制是要防止未经授权使用计算机系统。具体包括日志控制、口令控制等。5.自我保护需要对系统软件本身加以保护，防止被滥用。例如：加强系统软件开发阶段的监控；记录系统软件的维护情况；尽量将系统软件的维护工作与其他工作分离开来等。,57,系统安全控制,电算化信息系统的安全问题，指组成电算化信息系统的各方面资源的安全问题。包括：硬件、软件、数据、人员。,58,系统安全控制,一、硬件的安全（一）硬件运行环境的控制1、机房环境2、火灾3、水灾4、灰尘5、恶劣天气6、电磁波7、静电,59,系统安全控制,（二）硬件防护1、计算机系统对供电电源的要求（1）直接供电（2）经过隔离变压器供电（3）交流稳压器供电（4）不间断电源（UPS）供电2、双重系统,60,系统安全控制,（三）硬件接触控制1、机房地址不要选择在人流热闹的地方。2、对机房加锁。3、对进出机房的人采用身份识别技术。4、采用闭路电视进行多角度的监控。5、计算机设备上可以加上标签，这样当有人试图将其带出时，会发出警报。,61,系统安全控制,二、软件的安全（一）软件的接触控制1、采用口令控制方式（1）口令应该定期更改。（2）口令的位数不应该过短。（3）口令的设置不要和使用者的个人情况有太多的联系。（4）口令不要传播给别人。（5）系统要对口令输错的情况进行监控和分析，防止有人蓄意试探口令。,2、采用权限控制方式,62,系统安全控制,（二）防止计算机病毒的侵害1、加强机房管理，避免使用来路不明的软盘和非法拷贝的软件，也不要接收异常的电子邮件，在下载时也要小心；2、购置反病毒软件，经常对硬盘和软盘进行病毒检测；3、对重要资料进行经常的备份；4、确定自己的危险程度，制定一旦病毒入侵需要采取的方案，制定相应的恢复措施。,63,系统安全控制,三、数据的安全（一）数据的接触控制1、口令控制方式2、加强对存储介质的管理3、磁介质上数据的加密保护硬加密技术,64,系统安全控制,（二）数据的加密1、数据的加密和解密（1）密钥的管理（2）加密/解密算法的设计2、数据的完整性,65,系统安全控制,（三）数据的备份制度1、临时的方法：偶尔将个人文件拷贝到软盘上。2、谨慎的方法：定期进行备份拷贝。3、专业的方法：祖父/父亲/儿子方案。（四）防止计算机病毒的侵害,66,系统安全控制,四、人员的安全工作在电算化信息系统环境下的人员可能会遭到一些安全问题。重复性紧张损伤应该考虑人类工程学。,67,系统开发与维护控制,开发计划控制开发过程的人员控制：内审人员参与，分析员不编程，编程员不测试等系统设计控制编程和测试控制开发过程系统文档控制系统维护控制,68,操作控制,操作控制指通过操作手册和操作程序等的严格规定和遵从，从而保证电算化信息系统操作上的正确性。,69,操作控制,一、操作控制的基本内容（一）严格的上机操作手册（二）严格的软件操作规程（三）硬件和软件的使用记录制度（四）系统的运行指标的考核（五）定期的维护和保养（六）系统错误记录和分析报告（七）保证机房设施安全和电子计算机正常运转的措施（八）会计数据和会计核算软件安全保密的措施,70,第四节 会计电算化系统的应用控制,一、输入控制二、处理控制三、输出控制,71,应用控制,每一个具体的应用系统或程序所要解决的问题是不同的，所涉及到的数据和处理方法等均各具特点。针对这些具体的应用系统或程序所进行的有针对性的控制，就是应用控制。,72,应用控制,应用控制的目的在于：1、保证所有经过审核批准的交易均经处理完毕，并且每一项交易只处理一次。2、保证交易资料的完整和正确。3、保证交易的处理正确无误，符合要求。4、保证处理的结果用于预定的用途，并能产生预期的效益。5、保证应用程序能正常运作，并持续维护其功能。,73,应用控制,应用控制和一般控制是相互支持的。一般控制着重于对整体环境的控制，而应用控制着重于对其中具体环节的控制。,74,输入控制,一、输入控制的重要性应用控制最为强调的控制环节就是输入环节的控制。,75,输入控制,二、输入控制主要控制措施包括：防止遗漏和重复检查错误编制书面文件设计格式建立收发记录，计算控制总数数据输入核对计算机编辑检查,76,输入控制,三、例：CAIS的输入控制记账凭证完整性、合理性检验建立科目名称和代码对照文件设计科目代码校验位设立对应关系参照文件试算平衡控制顺序检查屏幕检查二次输入法控制总数法,77,输入控制,会计信息系统的输入环节 会计信息系统的输入方式主要有采用键盘手工输入、软盘转入和网络传输等几种。（一）账务处理模块的输入环节账务处理模块在正式启用之前，必须进行初始化设置。在账务处理模块正常运作以后，输入数据主要是会计凭证。既可以是记账凭证，也可以是原始凭证。在记账凭证输入中，又有几种不同的输入格式。,78,输入控制,如果账务处理模块和其他业务核算模块能够进行数据交流，形成一个有机的会计信息系统时，则其他业务核算模块可以将核算的结果自动传递到账务处理模块，这时的凭证一般称为机制凭证。在自动结转情况下，又分为这样两种情况。一种是其他业务核算模块已经将机制转账凭证做好以后传递给账务处理模块，一种是其他业务核算模块将业务处理结果（也就相当于原始凭证）传递到账务处理模块，然后由账务处理模块根据这些资料进行处理，生成记账凭证。,79,输入控制,（二）其他业务核算模块的输入环节其他业务核算模块包括工资核算模块、固定资产核算模块、存货核算模块等。这些业务核算模块需要向账务处理模块传递数据，作为账务处理模块的输入来源。同时，这些业务核算模块本身也需要接受输入，进行后续的处理。业务核算模块的输入同样分为系统运作初始的初始化工作和系统正常运作以后的正常输入工作。,80,输入控制,会计信息系统的输入控制方法 输入控制的目的是保证输入工作的正确性、完整性和经过授权。输入控制要针对输入数据中的重要字段进行。,81,输入控制,（一）批控制总数的方法1、数量、金额控制总数2、记录数控制总数3、杂项控制总数批控制总数的方法并不仅仅适用于批处理方式，也完全可以在联机实时方式下采用。同样，批控制总数的方法也并不仅仅适用于输入环节的控制，同样也可以在处理和输出环节采用。,82,输入控制,（二）输入画面友好人机的交流可以采用的具体方式分为：1、问答的方式2、菜单的方式3、填表的方式4、图形化用户界面,83,输入控制,具体到会计信息系统的输入问题，有的时候采用菜单驱动的方式选择需要的处理功能，有的时候采用回答问题的方式决定是否进行某项处理，但更多的是采用填表的方式。要考虑到用户的接受程度。可以考虑尽可能将输入画面和用户所熟悉的纸质凭证相一致。在会计信息系统的输入画面设计中，越来越多地采用了图形化用户界面的技术。,84,输入控制,（三）存在性校验存在性校验要求在初始化时在会计信息系统中建立一个会计科目名称和会计科目代码一一对应的会计科目词典库。,85,输入控制,（四）校验位校验在会计信息系统中广泛用到代码。这些代码的形式大多是数字型。所谓校验位，是在原来代码的最后加上的一位。加上这一位后，使得整个的代码（连同校验位）具有某种数学的特征，比如，可以被某个数整除。1、首先对每位代码加权 2、然后取模,86,输入控制,（五）对应关系检查 记账凭证存在着借方科目和贷方科目这两个方面的对应关系。可以对凭证种类和其借贷方进行检查,87,输入控制,（六）平衡关系校验会计中广泛存在着平衡关系。可以利用这些平衡关系进行检查。,88,输入控制,（七）界限、极值校验会计信息系统中有些字段的取值是有一定界限或极值的。,89,输入控制,（八）完整性校验输入时有些字段是一定要输入的。在记账之前，软件应该检查审核字段是否已经填有内容。完整性校验还包括检查凭证是否“有借有贷”。对于授权的检查也是一种完整性校验。,90,输入控制,（九）连续性校验有些字段项目是连续的。对于这些连续的字段项目，可以进行顺序检查，以查找出跳号、重复号、空号等情况。,91,输入控制,（十）静态检查法对于已经输入计算机的信息，可以通过屏幕将这些信息一条一条地调出来进行逐一的检查，也可以以清单的方式打印出来进行对照。,92,输入控制,（十一）二次输入法二次输入法指对于重要的记录或者字段可以分别由两个不同的操作人员进行输入，输入完成以后再进行匹配检查，看是否完全一致。,93,输入控制,会计信息系统输入控制中要注意的问题 这些控制方法并不能够保证会计信息系统的输入环节完全正确。这些方法的综合运用要比单独只采用某一种方法要好，更为全面。另外，对于在输入控制中检查出来的错误信息的处理，必须非常慎重。,94,输入控制,要对错误的信息进行跟踪管理，要检查这些错误的信息是否退回到相关的负责部门进行检查、更正，是否重新输入，是否没有遗漏，是否没有重复，更正后是否正确等。如果采用的是控制总数的控制方法，则在控制总数中需要扣除这些错误的、留待下个批次处理的数据。在用户部门和电算部门都会设置控制岗位对输入环节进行检查。,95,处理控制,一、处理控制的目的处理控制的目的是要保证信息系统的处理按照各个模块所预先设定的程序进行，这些处理活动必须经过授权，所有经过授权的处理都被系统进行过而没有遗漏，任何未经授权的处理都没有进行过。在整个处理的过程中是正确的、及时的、有效的。,96,处理控制,二、信息系统的处理信息系统中对数据的加工处理方法包括分类、汇总、合并、排序等。,97,处理控制,三、会计信息系统的处理环节会计信息系统中的账务处理模块的处理工作包括做账、做表。对于工资核算模块来说，主要的处理工作是计算各个员工的应发工资和实发工资，逐级汇总各个部门的工资发放情况，并进行工资的分配，同时产生相应的计提工资转账凭证。,98,处理控制,对于固定资产模块来说，主要的处理工作是计提折旧。要根据固定资产上月末或本月初的余额、当前的折旧率与使用状态计算折旧，同时产生相应的计提折旧转账凭证。对于存货核算模块，其工作流程主要就是存货的收、发、存工作，同时产生相应的转账凭证。等等。总的来说，各个业务核算模块的处理工作根据业务的不同各有不同的侧重点和流程及处理方法，但都要产生相应的转账凭证以便作为账务处理模块的输入。,99,处理控制,四、会计信息系统的处理控制方法 处理控制往往包含在计算机程序之中。所能检查或者防止的错误类型包括：1、未将所有有待处理的数据加以处理，或将某些数据重复处理了多次。2、处理了其他的数据。3、对不合理的或不合逻辑的数据进行处理。4、在处理过程中遗漏或者损坏资料。,100,处理控制,（一）控制总数的方法 在输入时已经计算得到控制总数，在处理过程的各个时点（如一项重要的处理完成以后）可以重新计算各个控制总数，然后进行比较，以判断处理环节中是否对所有的输入数据都进行了正确的处理，没有遗漏，也没有重复。,101,处理控制,（二）文件标签检查文件标签分为外部标签和内部标签。外部标签就是保存有数据的磁带或者磁盘的外包装上所记载的文件的名称等信息。文件的内部标签是由计算机在存储数据记录时产生的，可以用计算机加以检查，以确定所打开并处理的文件确实是要处理的文件。,102,处理控制,（三）界限、极值校验 例如员工的应付工资。还有些数字不可能为负数，如结余的存货数量。对于账务处理程序，资产类账户的期末余额一般在借方，负债、所有者权益类账户的期末余额一般在贷方，收入、费用类账户经结转后一般没有期末余额。,103,处理控制,（四）平衡及勾稽关系校验 在总分类账或者明细分类账中，存在着一个基本的关系：期初余额+本期借方发生额-本期贷方发生额=期末余额。对于存货类，则：期初库存+本月增加库存-本月减少库存=期末库存。根据会计等式可知，资产类账户的期初余额、本期发生额、期末余额和负债、所有者权益账户的期初余额、本期发生额、期末余额应该试算平衡。,104,处理控制,总分类账户的发生额、余额和其所有明细分类账户的发生额、余额应该相符。报表中的小计、合计、净值等计算关系应该可以复核。有些报表项目之间存在着勾稽关系，这些关系可能是等于、大于或者是小于关系。例如：资产负债表中“未分配利润”项目与利润分配表中“未分配利润”,105,处理控制,对于处理控制中发现的错误，必须分别情况进行处理：（一）错误可以立即更正（二）错误必须返回用户部门进行更正（三）错误已经对主文件造成影响,106,输出控制,一、输出控制的目的从系统的角度来看，输入和输出是相对的。输出分为两种，一种是中间性的输出，一种是最终的面向用户的输出。输出对用户来说是至关重要的。输出控制的目的是要保证信息系统所处理的资料完整、正确，所处理的结果正确，并且保证只有经过授权的部门和人员才能获得这些输出资料。,107,输出控制,二、信息系统的输出信息系统常见的输出方式有两种：打印输出和查询输出。输出的格式通常有三种：简单形式输出、棋盘式表格输出、图形输出。,108,输出控制,三、会计信息系统的输出环节会计信息系统中的账务处理模块应当提供对机内会计数据的查询功能。账务处理模块还必须提供会计凭证、会计账簿、会计报表的打印输出功能。工资核算模块应当可以输出有关工资的各类汇总表、工资单、工资分配表及人民币票面张数取用数等。,109,输出控制,固定资产核算模块可以根据用户自行设定的项目进行固定资产的分类、汇总、查询和统计，并打印输出有关固定资产的账册或表格等等。在其他业务核算模块的输出中，还包括根据有关业务自动生成的机制凭证的输出。另外，商品化会计软件必须充分考虑用户实际使用的各类打印机的情况，必须具有与各类打印机控制代码互相转换的功能，供用户使用。,110,输出控制,四、会计信息系统的输出控制方法（一）输出信息内容和格式的控制输出信息必须符合用户的要求。在内容上，要做到有用、完整、正确、及时。为了对内容进行控制，要求电算部门在将输出信息传递给用户之前，先要进行控制总数等方法的校验。输出信息的格式也必须符合用户的要求。（二）输出信息传送过程的控制必须对输出信息的传送进行控制。,111,输出控制,五、会计信息系统输出控制中要注意的问题在会计信息的输出过程中必须同时注意两方面的控制，一个是内容和格式，一个是传送途径。只有这样，才能保证经过授权的用户得到了所需要的资料。如果输出控制中发现错误，同样需要对这些错误进行登记，分析错误的产生原因，并做出相应的补救措施。,112,第五节 CAIS内部控制的审计,一、内部控制评审的目标二、CAIS内部控制评审的内容三、CAIS内部控制的审计步骤,113,CAIS内部控制的审计,审计目的：确定系统的内部控制设置是否完善适当；已有的控制是否恰当地发挥了作用，达到了