《信息系统审计》第7章.ppt

Information System Audit chapter7,信息系统审计,南京审计学院 主讲教师：吕新民,第7章,第七章 信息系统应用程序审计,应用程序是信息系统的核心。对经济业务的处理是否 合规、合法、正确等，以及应用控制的有效性，都直 接依赖于应用程序。另外，应用程序也是差错与舞弊 最容易发生的地方。因此需要：对信息系统应用程序实施审计,审查内容：程序的输入部分是否编制了控制 措施；控制措施能否保证未经授权批准,的业务不能输入计算机；经过授权批准 的业务能否完整、准确地输入计算机中。,审查内容：是否建立了必要的处理控制措施；控制措施能否保证输入计算机中的正确 业务被完整准确地处理；对输入环节的 不正确业务能否检查出来，并拒绝处理。,2、程序中处理控制的审计 处理控制措施？,3、程序中输出控制的审计 输出控制措施？,审查内容：是否建立了必要的输出控制措施；经计算机处理的数据能否按被审计单位 的要求完整、准确地输出。,二、审查程序的合法性 审查内容：审查程序中是否含有非法的编码。即 为了舞弊目的而设计的编码。,三、审查程序编码的正确性 审查内容：审查程序编码是否有错误。即无意造 成的执行错误功能的编码。,错误编码的影响：可能会使会计业务进行错误处 理，或错误地计算成本、税金、利润等。,程序编码错误的主要原因有：1、目标和任务不明确；2、系统设计差错；3、程序设计说明书错误；4、程序语法或逻辑错误。,四、审查程序的有效性 审查内容：审查程序中是否含有无效的或效率较 差的编码。,无效的或效率较差的编码的影响：降低系统的运 行效率。,程序的运行效率与详细设计阶段所确定的算法效 率直接有关。审查程序运行效率，主要是查明当把详细设计转 变为源程序时，是否遵循了下列指导原则：在具体编写程序前应简化算术表达式及逻辑表 达式；细心地分析多层嵌套循环，以确定能否把一些 语句或表达式移到循环体之外；,尽量避免采用多维数组；尽量避免采用指针及复杂的表；采用“快”的算法；不要把不同的数据类型混在一起；,只要可能就采用整形数的算法运算和布尔表达 式。,手工审计方法：如程序编码检查法、程序运行记 录检查法、程序运行结果检查法等。,计算机辅助审计方法：即利用计算机对被审程序 进行审查，以确定其处理和控制功能是否可 靠的方法。,一、程序编码检查法 程序编码检查法：指对被审程序的指令逐条加以 审查，以验证程序的合法性、完整性和程序 逻辑的正确性。,该方法一般适用于审查自行开发的信息系统软件（如会计软件）的下列几种情况：（1）要详细了解一个高度敏感或重要的程序；（2）要详细了解一个相对简单程序或程序系列；（3）要详细查明某一程序控制的实现；（4）要详细了解某特定程序中的某一计算方法 或某一特定的处理；（5）要证实某一程序是否按程序说明书和逻辑 流程图编写。采用程序编码检查法检查处理和控制功能的可能 性和有效性，通常决定于下列因素：,（1）被审程序的复杂性；（2）被审程序编写的语言和编写的方式，即可 读性；（3）审计人员对被审程序语言及编程技术的精 通程度。,主要优点：可以详细地了解程序中每一个处理和 控制功能，程序中各种错弊都可以使用该方 法检查。,主要缺点：要求审计人员具有较高的编程语言和 编程技术的知识，且相当费时。另外，还面临所审查的程序与被审计单位实际使 用的程序是不同的的风险。,针对该风险，采用该方法进行审查之前，应检查 程序的一般控制是否健全有效，对此，可采用下 列方法：（1）检查被审程序变动控制、接触控制是否正 常；（2）如被审单位备有程序管理登记簿，则应加 以复核；（3）应采用突击审计的方式，拷贝被审系统正 在运行的被审程序进行审查。,二、程序运行记录检查法 程序运行记录：包括操作的起止时间、中断、故 障、终端等方面的信息，由系统自动记录。,运用该方法：可以推测被审程序的处理和控制功 能是否正常。如突然中断则可能说明程序中 语法或逻辑等有错误。,三、程序运行结果检查法 程序运行结果检查法：指对数据处理的结果进行 检查。通过对系统打印输出结果的检查，来 推断被审程序处理功能的正确性和控制措施 的健全有效性。,主要优点：审计技术简单，审计成本较低；主要缺点：只能推测系统中的控制与处理功能是 否正常，实际究竟如何，还必须采用其它的 审计方法进一步审查。,数据处理的打印输出主要包括：错误清单、业务清单、记帐凭证、日记帐、分类帐、会计报表以及其它 各种报表，等。,其中错误清单具有下列用途：（1）错误清单中记录的错误的多寡，可作为评 价被审程序内部控制有效性的主要依据；（2）根据错误清单上所列的错误类型及其处理 方法，可找出造成错误的原因及其处理是 否适当；（3）若以手工抽查计算结果与计算机输出内容 不符，而错误清单中未列有该错误时，被 审程序的内部控制可能还存在若干缺陷。,主要优点：审计人员不必具备较高的计算机知识，只需熟悉手工审计的技巧；主要缺点：所获得的输出可能并非被审程序的实 际处理结果；被审程序中的错弊不可能全部 出现在一份或多份的打印输出资料上。,四、检测数据法 检测数据法：指审计人员把一批预先设计好的检 测数据，利用被审程序加以处理，并把处理 的结果与预期的结果作比较，以确定被审程 序的控制与处理功能是否恰当、有效。该方法的工作原理可参见下图：,检测数据法可用来审查信息系统的全部程序，也 可用来审查个别程序，还可以用来审查某个程序 中的某个或某几个控制措施，以确定这些控制是 否能发挥有效功能。检测数据法一般适用于下列三种情况：,（1）被审信息系统的关键控制建立在计算机程 序中；,（2）被审信息系统的可见审计线索有缺陷，难 以由输入直接跟踪到输出；（3）被审单位信息系统程序较多，用该方法比 直接用手工方法进行审查更经济，效率更 高。,该方法的关键问题：选择或设计合适的检测数据。检测数据按其来源可分为：（1）被审单位以往设计的检测数据；,（2）由审计人员自行设计的检测数据。一般来 说，可采用下列几种方式自行设计检测数 据：,A、根据被审程序控制及处理功能和主文 件，设计若干虚拟的业务，并逐笔制 作成模拟检测数据；B、根据被审计单位以前月份或年度的输 入数据，稍加修改后利用；C、运用审计软件产生检测数据。,无论检测数据的来源如何，检测数据中应包括下 列两类业务：,（1）正常的、有效的业务，以确定被审程序对 有效数据的处理是否正确；（2）不正常的、无效的业务，以确定被审程序 能否将这些业务检测出来，拒绝接受，并 给出错误信息，以便修改。,主要优点：（1）对审计人员的计算机知识和技能的要求不 太高；（2）适用范围较广；（3）在审计线索间断或不完整的情况下，使用 该方法也能对程序的功能作出评价；,（4）该方法是一种抽样审计方法，用于测试比 较复杂的被审程序比较经济。,五、整体检测法 整体检测法：指审计人员在被审的信息系统中建 立一个虚拟的实体（如虚拟的部门、车间、经销商、顾客、职员、帐户或其它任何会计 信息的累计单位），然后利用被审程序，在 正常的业务处理时间里，与真实业务一起，对此虚拟实体建立的有关检测业务由同一被 审程序进行处理，并把被审程序对这些检测 业务处理的结果与预期的结果进行比较，以 确定被审程序的处理和控制功能是否恰当、可靠的方法。该方法的工作原理可参见下图：,采用整体测试法的步骤：（1）确定需要审查的程序以及需要审查的处理 及控制功能；（2）虚拟一个实体；,（3）设计与虚拟实体有关的业务，并用手工计 算出预期的结果；（4）将虚拟实体的业务数据与被审计单位的实 际业务数据一并输入被审系统，由被审程 序进行处理；（5）将被审程序的处理结果与手工计算的预期 结果进行比较，作出评价；（6）消除虚拟实体的业务数据，以免影响真实 数据处理结果的正确性。,采用整体检测法两种常见的使用方式：（1）让检测业务如真实业务一样从头到尾通过 整个系统，得到最终的输出。,该方法下，审计人员要准备一些会计分录 等冲销检测业务，以防影响被审计单位数 据文件的正确性。（2）对被审信息系统的被审程序作适当的修改，以便检测业务在进入总分类帐或重要的输 出之前被删除，不致影响被审计单位的正 常业务和财务报表。该方法成本较高，也很困难，较少采用。,主要优点：（1）检测数据可与被审计单位日常处理的真实 业务一起输入，并进行处理，较其它审计 方法更为经济有效；,（2）可根据需要随时输入检测数据，从而能够 进行经常性的直接测试，保证被审程序是 实际运行的程序，保证审计结果的可靠性；（3）应用范围广泛。既适用于在线实时系统，也适用于批处理系统。,主要缺点：（1）如果没有及时或完全消除检测数据，可能 会影响被审计数据文件和财务报表正确性；（2）如果检测数据选择不全面，则不能审查出 被审程序中的全部错弊。另外，如果被审 计单位的数据处理人员知道检测业务，也 可能会加以干预，从而影响审计结果。,六、程序编码比较法 程序编码比较法：指比较两个独立保管的被审程 序版本，以确定被审程序是否经过了改变。,该方法：不仅适用于源程序编码之间的比较，也 可运用于目标程序码之间的比较。确定下列一般控制是否被确实执行，可采用程序 编码比较法，进行符合性测试：（1）目前正在使用的被审程序未遭非法的改动；（2）所有经核准的程序变动，均有适当的控制；（3）程序变动的原因及其预期影响均作成适当 的文件记录；（4）被审计单位规定的程序管理制度，确已被 正确执行。,程序编码比较法审查程序的一般步骤：（1）审计人员控制一个经审查其处理和控制功 能恰当的被审程序副本；（2）取得被审计单位正在运行的被审程序（注 意点：应确保为在用程序）；（3）取得比较两个程序的软件；（4）在被审计单位或审计人员的计算机上进行 比较。若有差异，应证实是否是经过批准 的改动；（5）评价检测结果。,该方法前提条件：以前对此应用程序进行过审查，并证实它原来的处理和控制功能是恰当、有 效的。因此，这种方法只能用于再次审计。,主要优点：技术简单，使用方便，可以检查出被 审程序任何的修改。主要缺点：如果程序改动较大，要分析和评价发 现的差异，是困难和费时的。另外，如果比 较的两个时点期间程序已经过了非法改变并 已恢复的话，运用此法则无法检查出来。,七、受控处理法 受控处理法：指审计人员通过被审程序对实际会 计业务的处理进行监控，查明被审程序的处 理和控制功能是否恰当、有效的方法。,主要优点：审计技术简单，省时省力，不需要具 有较高的计算机知识，只要采取突击审计方 式，就可保证审计结论的可靠性。,主要缺点：选择的实际业务数据可能不足以评价 各种处理和控制功能；要求审计人员具有相 当的操作知识与技能，以便对被审程序运行 过程进行有效的控制与监督；可能会影响被 审计单位的正常数据处理及工作效率。,八、受控再处理法 受控再处理法：指在被审计单位正常业务处理以 外的时间里，由审计人员亲自进行或在审计 人员的监督下，把某一批处理过的业务进行 再处理，比较两次处理的结果，以确定被审 程序有无被非法篡改，被审程序的处理和控 制功能是否恰当、有效。,前提条件：用于再次审计 受控再处理法的两种不同方法：（1）审计人员保存一批在以前审计时已由当时 经审查证实处理和控制功能恰当、有效的 被审程序处理过的业务及当时处理的结果；基本工作原理参见下图：,（2）审计人员保存有以前审计时已经审查证实 其处理和控制功能恰当、有效的被审程序 副本，把当前被审程序处理过的业务输入 被审程序副本进行处理。基本工作原理参见下图：,主要优点：测试数据是现成的，而且可在审计人 员和被审单位都感到方便时进行测试。不干 扰被审计单位的正常业务。主要缺点：被审计单位已经处理过的业务文件可 能只保留很短的时间，而主文件可能经过了 多次更新。难以获得重新处理所需的文件。,九、平行模拟法 平行模拟法：指审计人员自己或请计算机专业人 员编写的具有和被审程序相同处理和控制功 能的模拟程序，用这种程序处理当期的实际 数据，并以处理的结果与被审程序的处理结 果进行比较，以评价被审程序的处理和控制 功能是否可靠的一种方法。,该方法的原理可参见下图：,该方法的一般步骤：（1）根据审计的目的和要求，确定被审程序；（2）了解该程序所涉及文件的记录格式、文件 类型、数据处理步骤和计算规则，输入输 出的格式和内容，输入、处理、输出控制 措施等。,（3）编制审计模拟程序；（4）分别用被审程序和模拟程序处理实际业务 数据；（5）对处理结果进行比较分析，并对被审程序 的处理和控制功能作出评价。,该方法：既可模拟被审程序的全部功能，也可只 模拟某一处理功能或控制功能。一般可用于 计算量大有一定的数学模型方面，如工资计 算、材料成本差异的计算等方面，程序的模 拟较为简单。,主要优点：能独立地处理实际数据，不依赖被审 计单位的人力和设备；审计结果较为准确。,主要缺点：开发模拟系统难度较大且成本较高；另外，首先要证明模拟程序是正确的，也是 一个额外的困难。,十、嵌入审计程序法 嵌入审计程序法：指在被审信息系统的设计和开 发阶段，在被审的应用程序中嵌入为执行特 定的审计功能而设计的程序段，这些程序段 可以用来收集审计人员感兴趣的资料，并且 建立一个审计控制文件（SCARF）用来存 储这些资料，审计人员通过这些资料的审核 来确定被审程序的处理和控制功能可靠性。该方法的工作原理参见下图：,审计程序段主要有两种：（1）不经常起作用的，只有审计人员在执行特 定的审计任务才激活的审计程序。如在应 收帐款核算程序中嵌入的给债务人打印审 计函证书的审计程序段，只有在审计人员 要打印审计函证书时才使用；,（2）在被审程序中连续监控某些特定点上的处 理的程序。如，在现金核算过程中，要检 查有无违反现金管理制度，可检查每笔现 金收付业务是否超出范围和限额，若超出，则把这笔业务记入到审计控制文件中。,主要优点：可以防止审核时难以确信被审程序是 否是实际应用程序的缺陷。另外，处于实时 监督状态，可弥补事后审计线索不充分缺陷。,主要缺点：只能用来审查事先考虑到的程序处理 和控制功能以及有关情况；需要编制程序段，且要随应用程序修改而修改；还要求审计人 员参与被审系统分析与设计。,十一、程序追踪法 程序追踪法：是一种对给定的业务，跟踪被审程 序处理步骤的审查枝术。一般可由追踪软件 来完成，也可利用某些高级语言或数据库管 理系统中的跟踪指令跟踪被审程序的处理。,主要优点：可列示被审程序中什么指令已执行以 及按何种顺序执行，可查出在被审程序中的 非法指令。主要缺点：要求审计人员具有编写应用程序所用 的计算机语言的充分知识，实行跟踪并分析 结果可能费时费力。,