内部审计学第06章课件.ppt

1、商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学第六章第六章信息系统控制与审计信息系统控制与审计商学院会计系李栋辉商学院会计系李栋辉主要内容主要内容第第1 1节节.信息系统控制概述信息系统控制概述第第2 2节节.信息系统审计要点信息系统审计要点第第3 3节节.数据审计模式数据审计模式第第4 4节节.案例分析案例分析第六章第六章 信息系统控制与审计信息系统控制与审计商学院会计系李栋辉商学院会计系李栋辉 一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战 二、二、信息系统控制的重要性信息系统控制的重要性 三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制第第

2、1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学（一）数据处理的集中化与自动化（一）数据处理的集中化与自动化v 数据集中处理一方面是现代社会数据集中处理一方面是现代社会“信息大爆炸信息大爆炸”对信息的需求，对信息的需求，也是计算机信息处理模式的需要。也是计算机信息处理模式的需要。v 采用计算机系统处理各种业务之后，数据一经输入，在一定条件采用计算机系统处理各种业务之后，数据一经输入，在一定条件下就可以被不同用户共享。下就可以被不同用户共享。v 数据挖掘技术数据挖掘技术：海量数据中：海量数据中“挖出挖出”数据本身的规律和趋势。数据本身的规律和趋

3、势。v 编写代码编写代码：系统原始数据的采集，减少人为干预。：系统原始数据的采集，减少人为干预。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉（二）数据存储的磁性化（二）数据存储的磁性化v 现在许多计算机程序将数据存储到现在许多计算机程序将数据存储到数据库数据库中，因为文本形式中，因为文本形式的存取比较慢，适合小型系统，单纯的文本没有相应数据库的存取比较慢，适合小型系统，单纯的文本没有相应数据库存储机理，必须自己定义行列、浏览、存入等，而利用数据存储机理，必须自己定义行列、浏览、存入等，而利用数据库存储则可以由程序自动生成。库存

4、储则可以由程序自动生成。v 硬盘硬盘：采用磁介质的数据存储设备，数据存在硬盘驱动器的：采用磁介质的数据存储设备，数据存在硬盘驱动器的内部的磁盘片上。内部的磁盘片上。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学（三）内部控制的程序化（三）内部控制的程序化v 通过使用计算机信息系统，通过使用计算机信息系统，内部控制的内涵和外延发生内部控制的内涵和外延发生了很大变化了很大变化，组织可以将各种，组织可以将各种控制方法控制方法嵌入程序中。通嵌入程序中。通过程序的运行，核对数据之间钩稽关系，检查使用权密过程序的运行，核

5、对数据之间钩稽关系，检查使用权密码，审计各种业务及数据的处理顺序等。码，审计各种业务及数据的处理顺序等。v 比如：比如：流程图软件流程图软件代替代替控制的叙述性描述法控制的叙述性描述法，可以很快，可以很快捷的分析利用业务数据，从而准确的控制和把握组织的捷的分析利用业务数据，从而准确的控制和把握组织的运营是否规范，各种业务的进行是否授权等。运营是否规范，各种业务的进行是否授权等。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学（四）管理信息系统中的各子系统联系密切（四）管理信息系统中的各子系统联系密切v 管理信息

6、系统：会计、统计、市场管理、生产管理、管理信息系统：会计、统计、市场管理、生产管理、仓库管理、劳动人事等。仓库管理、劳动人事等。v 网络的使用，使得各系统的联系更加紧密。网络的使用，使得各系统的联系更加紧密。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉（一）计算机系统固有缺陷（一）计算机系统固有缺陷v 计算机硬件和软件系统容易受到冲击计算机硬件和软件系统容易受到冲击v 交易的交易的实时处理使得错误检查及更正没有缓冲时间实时处理使得错误检查及更正没有缓冲时间，使，使得错误影响进行中的商业活动，人们无法控制系统，而得错误影响进行中

7、的商业活动，人们无法控制系统，而计算机系统本身又不能真正做到自我监控。计算机系统本身又不能真正做到自我监控。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉（二）系统错误的增加（二）系统错误的增加v 计算机程序替代手工处理，发生随机错误的可能性降低。计算机程序替代手工处理，发生随机错误的可能性降低。对于一定的输入，如果程序是正确的，它的控制过程与处对于一定的输入，如果程序是正确的，它的控制过程与处理结果总是正确的，一旦程序本身出现问题，错误就会不理结果总是正确的，一旦程序本身出现问题，错误就会不断重复，而程序自身并不能自我发现并纠

8、正。断重复，而程序自身并不能自我发现并纠正。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉（三）数据接触未经授权（三）数据接触未经授权v 非法侵入、滥用和偶然破坏等缺陷，导致组织的计算非法侵入、滥用和偶然破坏等缺陷，导致组织的计算机程序或文档被机程序或文档被非正常修改非正常修改或造成组织的或造成组织的机密信息非机密信息非法泄露法泄露。v“黑客黑客”，病毒等。，病毒等。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学（四）职责与知识的集中（四）职责

9、与知识的集中v 计算机的运用使得诸如基础设施、软件、数据及人事职能与知识计算机的运用使得诸如基础设施、软件、数据及人事职能与知识等信息系统要素非常集中，参与处理财务信息的人员大大减少，等信息系统要素非常集中，参与处理财务信息的人员大大减少，信息系统执行了许多在传统手工处理系统中相互分离的职责。信息系统执行了许多在传统手工处理系统中相互分离的职责。v 职责的集中使得职责的集中使得信息技术人员信息技术人员有可能掌握数据的来源、处理和输有可能掌握数据的来源、处理和输出，从而使得内部控制的风险增加。出，从而使得内部控制的风险增加。v 接受培训和拥有信息技术知识的人员可能接触到功能覆盖较广的接受培训和拥

10、有信息技术知识的人员可能接触到功能覆盖较广的软件。软件。v 必须合理分离信息技术中心关键职责，做好内部分工。才能有效必须合理分离信息技术中心关键职责，做好内部分工。才能有效防止舞弊。防止舞弊。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉（五）程序与数据的集中（五）程序与数据的集中v 计算机处理环境下职责的集中，导致记录组织作业的计算机处理环境下职责的集中，导致记录组织作业的原始数原始数据及应用程序据及应用程序集中于集中于同一台机器或存储在电子数据文档中同一台机器或存储在电子数据文档中，由组织的由组织的信息系统部门信息系统部门统

11、一管理。统一管理。v 如果缺乏适当的控制措施，组织的程序、数据、文档被篡改，如果缺乏适当的控制措施，组织的程序、数据、文档被篡改，丢失而不被发现的可能性就很大。丢失而不被发现的可能性就很大。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉（六）组织业务轨迹的变化（六）组织业务轨迹的变化v 手工环境下手工环境下纸质业务轨迹纸质业务轨迹更容易检查辨认。更容易检查辨认。v 计算机硬盘存储的工作原理使得组织能够掌握数据的使用与计算机硬盘存储的工作原理使得组织能够掌握数据的使用与销毁，给组织文档的可靠和安全带来威胁。销毁，给组织文档的可靠和

12、安全带来威胁。v 计算机输入输出缺乏可视性，使得计算机输入输出缺乏可视性，使得难以查找错误源头难以查找错误源头和和追究追究出现问题的信息系统的责任人出现问题的信息系统的责任人。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战商学院会计系李栋辉商学院会计系李栋辉 一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战 二、二、信息系统控制的重要性信息系统控制的重要性 三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制第第1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学v EDP（Electroni

13、c Data Processing）广泛应用，改变了内部控广泛应用，改变了内部控制的性质。组织没有自己的信息系统，通信网络、数据仓库制的性质。组织没有自己的信息系统，通信网络、数据仓库和技术人员，其业务就不能正常开展。和技术人员，其业务就不能正常开展。v 面对基于上述信息系统存在的风险，就必须对硬件和软件工面对基于上述信息系统存在的风险，就必须对硬件和软件工作环境的安全性、可靠性加以检测，采取各种严密措施，确作环境的安全性、可靠性加以检测，采取各种严密措施，确保组织的各种数据、文档资料的真实准确。保组织的各种数据、文档资料的真实准确。二、信息系统控制的重要性二、信息系统控制的重要性EDP:ED

14、P:以计算机替代人工处理例行性的数据，并产生报表以支持组织的作业以计算机替代人工处理例行性的数据，并产生报表以支持组织的作业活动。活动。其内容重点乃在于取代重复性的人工操作，以支持基层管理者及其内容重点乃在于取代重复性的人工操作，以支持基层管理者及作业人员等，故其重心在于重效率的信息系统，例如会计之应用。国外把作业人员等，故其重心在于重效率的信息系统，例如会计之应用。国外把利用电子数据系统的会计，称为电子数据处理会计。利用电子数据系统的会计，称为电子数据处理会计。商学院会计系李栋辉商学院会计系李栋辉v 大型商用信息系统的特征：大型商用信息系统的特征：v 1.1.存储重要数据文件的大型计算机中心

15、通常位于存储重要数据文件的大型计算机中心通常位于锁定锁定存取控制（存取控制（Access controlAccess control）且没有对外窗户的研究且没有对外窗户的研究室中，操作地方不应过于显著，在建设上应室中，操作地方不应过于显著，在建设上应最大限度最大限度避免天灾人祸避免天灾人祸。二、信息系统控制的重要性二、信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学v 2.2.专用电力系统、专用空调或制冷系统、散热系统且符合环专用电力系统、专用空调或制冷系统、散热系统且符合环境控制要求：境控制要求：（1 1）磁盘及软盘的存储库磁盘及软盘的存储库应远离计算机设备，应远

16、离计算机设备，异地存储异地存储有助于有助于灾难发生时及时备份。灾难发生时及时备份。（2 2）大型计算机的操作系统应能）大型计算机的操作系统应能同一时间间隔运行多个程序，同一时间间隔运行多个程序，多项任务处理多项任务处理。（3 3）拥有大型计算机的组织应拥有）拥有大型计算机的组织应拥有自己的系统编程人员和编程自己的系统编程人员和编程部门部门，正规的系统开发方法及标准。，正规的系统开发方法及标准。二、信息系统控制的重要性二、信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉（4 4）广阔的电信网络支持广阔的电信网络支持，组织内部各个角落的网络终端直，组织内部各个角落的网络终端直接连接与中央计

17、算机系统或间接连接与外部网络。接连接与中央计算机系统或间接连接与外部网络。（5 5）具有输入输出控制环节，数据处理以）具有输入输出控制环节，数据处理以批处理模式批处理模式进行，进行，能能控制数据输出速度控制数据输出速度。（6 6）配备）配备专业的数据安全负责人专业的数据安全负责人、通信分析师通信分析师或或质量控制专质量控制专家家等。等。二、信息系统控制的重要性二、信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉 一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战 二、二、信息系统控制的重要性信息系统控制的重要性 三、信息系统的一般控制与应用控制三、信息系统的一般控制与

18、应用控制第第1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋辉（一）一般控制（一）一般控制（General ControlsGeneral Controls）v 与与所有的或者绝大多数所有的或者绝大多数的信息技术环境下的活动都相关的的信息技术环境下的活动都相关的控制，包括控制，包括信息系统处理的可靠性信息系统处理的可靠性、数据和程序的完整性数据和程序的完整性、数据处理的持续性数据处理的持续性以及对以及对计算机设备以及数据文件使用的计算机设备以及数据文件使用的授权控制授权控制等。等。v 一般控制包括以下几项：一般控制包括以下几项：v 组织控制、操作控制、文书控制、系

19、统开发与编程控制、组织控制、操作控制、文书控制、系统开发与编程控制、硬件和系统软件控制、接触档案和档案资料保管控制。硬件和系统软件控制、接触档案和档案资料保管控制。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉1.1.组织控制组织控制v 使用使用EDPEDP的组织中，各部门间的职责分工应尽可能保留实行的组织中，各部门间的职责分工应尽可能保留实行EDPEDP之前的模式，或者是原有模式的扩展；之前的模式，或者是原有模式的扩展；v EDPEDP部门主要负责业务的记录及其相关的数据处理部门主要负责业务的记录及其相关的数据处理；v EDPEDP部门与

20、用户部门的职责尽量分离，形成一种互相稽核、互相部门与用户部门的职责尽量分离，形成一种互相稽核、互相监督、互相制约的关系；监督、互相制约的关系；v 所有经所有经EDPEDP系统处理的业务系统处理的业务都应经过都应经过适当授权适当授权，业务的筹划业务的筹划、执执行行和和计算机处理审计计算机处理审计之间应明确责任划分；之间应明确责任划分；三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v EDPEDP内部也应明确职责分工内部也应明确职责分工，保证不相容职责由不同的人，保证不相容职责由不同的人承担并保证一个人能对其他人的工作进行检查；承担并保证一个人

21、能对其他人的工作进行检查；v 在在EDPEDP中应适当进行中应适当进行人事监督和审计人事监督和审计，适时考核评价，周，适时考核评价，周期性期性轮换工作轮换工作。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉2.2.操作控制操作控制v EDPEDP管理人员管理人员制定制定上机守则和操作规程上机守则和操作规程，经常性进行检查经常性进行检查，EDPEDP管管理人员应将理人员应将手工日志与系统生成日志结合手工日志与系统生成日志结合用于检查系统的日常工用于检查系统的日常工作情况；作情况；v EDPEDP操作人员操作人员执行执行操作控制操作控制，用于保

22、证，用于保证现行规章和实务处理规程现行规章和实务处理规程得到遵守；得到遵守；v 冗余技术冗余技术对付硬件损坏、数据文件的丢失毁损等，实现异常状态对付硬件损坏、数据文件的丢失毁损等，实现异常状态下的数据恢复；下的数据恢复；v EDPEDP部门应制定部门应制定年度工作计划和相应日程安排年度工作计划和相应日程安排，保证系统运作。，保证系统运作。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v 冗余技术又称冗余技术又称储备技术储备技术，它是利用，它是利用系统的并联模型系统的并联模型来提高系来提高系统可靠性的一种手段。统可靠性的一种手段。v 冗余分为

23、：工作冗余和后备冗余。冗余分为：工作冗余和后备冗余。v 工作冗余：是一种工作冗余：是一种两个或以上的单元并行工作两个或以上的单元并行工作的并联模型。的并联模型。平时，由各处单元平均负担工作，因此工作能力有冗余。平时，由各处单元平均负担工作，因此工作能力有冗余。v 后备冗余：平时只需一个单元工作，另一个单元是冗余的，后备冗余：平时只需一个单元工作，另一个单元是冗余的，用于待机备用。用于待机备用。v 实例：以计算机为例，其服务器及电源等重要设备，都采用实例：以计算机为例，其服务器及电源等重要设备，都采用”一用二备一用二备”甚至甚至”一用三备一用三备”的配置。正常工作时，几台服的配置。正常工作时，几

24、台服务器同时工作，互为备用。电源也是这样。一旦遇到停电或务器同时工作，互为备用。电源也是这样。一旦遇到停电或者机器故障，自动转到正常设备上继续运行。确保系统不停者机器故障，自动转到正常设备上继续运行。确保系统不停机，数据不丢失。机，数据不丢失。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制冗余技术冗余技术商学院会计系李栋辉商学院会计系李栋辉3.3.文书控制文书控制v 文书的编撰是信息处理系统中文书的编撰是信息处理系统中重要元素交流的手段重要元素交流的手段。v 文档编写应规范化，管理应该系统化、制度化。文档编写应规范化，管理应该系统化、制度化。v 力求文书做到：力求文书做到：向

25、向管理层管理层提供提供改进的应用系统的全貌改进的应用系统的全貌；向向客户客户提供提供说明材料说明材料；向向新的使用者新的使用者提供以前系统的提供以前系统的背景知识背景知识，引导新系引导新系统的使用统的使用；为为信息系统的使用信息系统的使用提供必要的数据资料提供必要的数据资料三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉4.4.系统开发与编程控制系统开发与编程控制v 首先，需要一个首先，需要一个开发开发EDPEDP系统的完整计划系统的完整计划，制定合理目标，制定合理目标，确定工作阶段和开发进度，进行资金筹措和费用预算，合确定工作阶段和开发进度

26、，进行资金筹措和费用预算，合理配备人员理配备人员；v 其次，开发过程中处理好其次，开发过程中处理好人员的工作安排和责任划分人员的工作安排和责任划分，做，做好系统的整体规划，需求调查、性能检测、试运行、文档好系统的整体规划，需求调查、性能检测、试运行、文档管理和审计控制等工作；管理和审计控制等工作；v 最后，静态测试与动态测试最后，静态测试与动态测试结合起来进行编程控制。结合起来进行编程控制。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉 5.5.硬件与系统软件控制硬件与系统软件控制v 硬件控制是硬件控制是构筑在计算机硬件设备内部构筑在计算机

27、硬件设备内部的一种控制，用来检测并的一种控制，用来检测并处理设备故障和错误，加强系统的可靠性。处理设备故障和错误，加强系统的可靠性。奇偶检验奇偶检验：确保信息在不同设备之间传送时不被改变。：确保信息在不同设备之间传送时不被改变。响应检查响应检查：保证在磁性介质读写工作完毕后作出相关回应。：保证在磁性介质读写工作完毕后作出相关回应。v 系统软件：系统软件：访问控制、隔离控制、加密变换和日志控制。访问控制、隔离控制、加密变换和日志控制。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉6.6.接触控制和档案资料保管控制（安全控制）接触控制和档案资料

28、保管控制（安全控制）v 登录软件、序列号、系统口令等方法，保证资料的安全；登录软件、序列号、系统口令等方法，保证资料的安全；v 利用杀毒软件和安装系统检测程序防止病毒的侵入，利用杀毒软件和安装系统检测程序防止病毒的侵入，慎用慎用公用软件、外来软件和共享软件公用软件、外来软件和共享软件，定期检查系统，经常性，定期检查系统，经常性备份。备份。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制（二）应用控制（二）应用控制v 应用控制与应用控制与EDPEDP所执行的特别任务有关，其目的在于

29、确保所执行的特别任务有关，其目的在于确保应用系统对应用系统对电子数据资产安全的保护电子数据资产安全的保护，对，对数据一致性的保数据一致性的保证证以及以及对数据进行有效的加工对数据进行有效的加工。其功能是恰当地保证数据。其功能是恰当地保证数据的记录、加工和报告过程的正确进行。的记录、加工和报告过程的正确进行。v 输入控制输入控制v 处理控制处理控制v 输出控制输出控制商学院会计系李栋辉商学院会计系李栋辉1.1.输入控制输入控制v 美国执业会计师协会认为：输入控制是指正式确认为进行美国执业会计师协会认为：输入控制是指正式确认为进行电子数据处理电子数据处理(EDP)(EDP)所可接受的数据，将其转换

30、为机器能所可接受的数据，将其转换为机器能够够感知的形态感知的形态，并能为，并能为机器识别机器识别，而且要合理的保证数据，而且要合理的保证数据没丢失、删除、外加、重复或不应有的变更。没丢失、删除、外加、重复或不应有的变更。v 输入控制包括对不正确的初始数据予以拒绝，或者给予修输入控制包括对不正确的初始数据予以拒绝，或者给予修正后重新提供这方面的控制。正后重新提供这方面的控制。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v 首先，制定首先，制定适当制度适当制度以以适当授权适当授权，严禁未授权的人员输入，严禁未授权的人员输入文件资料；文件资料；

31、v 其次，做好输入的其次，做好输入的数据文件的审批工作数据文件的审批工作，这种审批，这种审批独立于独立于信息系统部门之外信息系统部门之外，遵守职责分工。数据一经输入后就对，遵守职责分工。数据一经输入后就对其进行测试。其进行测试。v 最后，最后，纠正在测试中出现的问题的输入纠正在测试中出现的问题的输入，并删除重复的无，并删除重复的无用的输入，添加必要的输入，保证输入的完整性与正确性。用的输入，添加必要的输入，保证输入的完整性与正确性。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v 处理控制处理控制v 对计算机系统进行的对计算机系统进行的内部

32、数据处理活动内部数据处理活动的控制措施。处理的控制措施。处理控制用于保证控制用于保证经济业务由计算机作出正确的处理经济业务由计算机作出正确的处理，保证经保证经济业务不被泄露济业务不被泄露、非法添加非法添加、重复或不适当的更换重复或不适当的更换，并能，并能够实行够实行限制性限制性/合理性测试合理性测试对处理工程中的错误加以识别对处理工程中的错误加以识别和改正。和改正。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v 输出控制输出控制v 美国执业会计师协会：为了保证处理结果的正确性，以及保美国执业会计师协会：为了保证处理结果的正确性，以及保证只

33、由指定的人员接受输出而进行的控制；证只由指定的人员接受输出而进行的控制；v 内部审计人员可以利用输出数据的内部审计人员可以利用输出数据的即刻成形技术即刻成形技术来保证输出来保证输出信息的安全可靠以控制报告文件的生成信息的安全可靠以控制报告文件的生成 ；v 将将输出输出数据与数据与输入输入、处理处理的数据进行核对，进行数据的合理的数据进行核对，进行数据的合理性检查，及时地将输出报告传递给用户，利用反馈信息做好性检查，及时地将输出报告传递给用户，利用反馈信息做好输出控制；输出控制；v 对对输出介质输出介质进行管理，纸介质和磁介质都实行登记，定期检进行管理，纸介质和磁介质都实行登记，定期检查介质的性

34、能，保证介质上数据的完整性。查介质的性能，保证介质上数据的完整性。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉主要内容主要内容第第1 1节节.信息系统控制概述信息系统控制概述第第2 2节节.信息系统审计要点信息系统审计要点第第3 3节节.数据审计模式数据审计模式第第4 4节节.案例分析案例分析第六章第六章 信息系统控制与审计信息系统控制与审计商学院会计系李栋辉商学院会计系李栋辉 一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响 二、与内部审计相关的信息二、与内部审计相关的信息技术技术 三、信息系统一般控制的审计三、信息系统

35、一般控制的审计 四、信息系统应用控制的审计四、信息系统应用控制的审计第第2 2节节.信息系统审计要点信息系统审计要点商学院会计系李栋辉商学院会计系李栋辉（一）信息系统对审计对象的影响（一）信息系统对审计对象的影响1.1.组织结构发生了很大变化组织结构发生了很大变化v 职责与知识的集中、不相容职责集中在信息系统，集体舞弊职责与知识的集中、不相容职责集中在信息系统，集体舞弊可能性加大，增加审计风险。可能性加大，增加审计风险。2.2.程序和数据更加集中增加了程序和数据更加集中增加了数据和程序被非法使用的风险数据和程序被非法使用的风险，使得日后审计线索的追踪更困难。使得日后审计线索的追踪更困难。3.3

36、.计算机环境下数据处理性质发生了很大变化，内部控制过程计算机环境下数据处理性质发生了很大变化，内部控制过程通常是通常是“隐身隐身”的，内审计人员面对这样的控制系统，从中的，内审计人员面对这样的控制系统，从中索取有关审计证据的难度加大，面临的审计风险加大索取有关审计证据的难度加大，面临的审计风险加大。一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉（二）信息系统对审计人员的影响（二）信息系统对审计人员的影响1.1.审计人员将信息技术作为审计工具，基于审计人员将信息技术作为审计工具，基于EDPEDP的的MISMIS使得内部审计使得内部审计人员必须

37、了解组织各个层面的人员必须了解组织各个层面的MISMIS：v 了解各种了解各种数据库数据库、数据库内数据类型和数量数据库内数据类型和数量及及获取数据的方法获取数据的方法；v 了解组织在了解组织在信息技术环境下的商业运作，哪些数据如何被处理信息技术环境下的商业运作，哪些数据如何被处理；v 对信息系统产生的对信息系统产生的输出文件输出文件，会用特殊工具会用特殊工具或熟悉或熟悉数据库结构化数据库结构化查询语言（查询语言（SQLSQL）以识别期望的输出结果；以识别期望的输出结果；v 积极参与信息系统开发，充当信息系统部分功能的用户或系统的积极参与信息系统开发，充当信息系统部分功能的用户或系统的控制人员

38、；控制人员；一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉2.2.审计人员需要对信息系统本身进行审计，审计边界扩大。审计人员需要对信息系统本身进行审计，审计边界扩大。v 信息技术从根本上改变了组织信息技术从根本上改变了组织内部经营和外部主体内部经营和外部主体联络的方联络的方式，使得组织内外能够式，使得组织内外能够共享信息并提高经营效率共享信息并提高经营效率。v 激烈的竞争提高了对生产率、成本、效率和信息的需求；激烈的竞争提高了对生产率、成本、效率和信息的需求；一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响对计算机系统的性能

39、、信息的安全性、数据对计算机系统的性能、信息的安全性、数据保密性控制、质量认证工作进行确认的需求保密性控制、质量认证工作进行确认的需求商学院会计系李栋辉商学院会计系李栋辉（三）信息系统对审计方式的影响（三）信息系统对审计方式的影响v 绕过计算机审计绕过计算机审计（Audit Around the Computer）v 对信息系统输入和输出的数据进行审计，不考虑计算机系对信息系统输入和输出的数据进行审计，不考虑计算机系统对数据的处理过程。统对数据的处理过程。一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉v 穿过计算机审计穿过计算机审计（Aud

40、it Through the Computer）v 组织系统日益复杂，组织系统日益复杂，联机处理和在线处理联机处理和在线处理使得数据处理过程使得数据处理过程几乎不留痕迹，因此审计活动需要几乎不留痕迹，因此审计活动需要评价组织系统的硬件和软评价组织系统的硬件和软件环境的控制情况件环境的控制情况，从而确定，从而确定“看不到看不到”的操作是否真实可的操作是否真实可靠。审计人员需要靠。审计人员需要进入系统内部进入系统内部，确定数据处理、内部控制、确定数据处理、内部控制、文件内容的正确性和可靠性文件内容的正确性和可靠性。v 通过计算机程序对内部控制、电子资料等测试，这种审计模通过计算机程序对内部控制、电

41、子资料等测试，这种审计模式式加强了信息系统审计的深度，扩大了审计范围加强了信息系统审计的深度，扩大了审计范围。一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉1.1.测试数据法测试数据法v 按照交易处理的基本步骤，使用按照交易处理的基本步骤，使用有限的数据有限的数据，确定，确定每一个控每一个控制是否都按照文档规定有效的执行制是否都按照文档规定有效的执行。使用不同层次上的数据。使用不同层次上的数据进行处理测试，看是否进行处理测试，看是否与期望的输出与期望的输出一致，尽量分散的选择一致，尽量分散的选择或设定有代表性的数据。或设定有代表性的数据。v

42、 审计人员审计人员必须熟悉组织的业务流程及信息系统处理过程必须熟悉组织的业务流程及信息系统处理过程，能能准确预计输入输出对应关系准确预计输入输出对应关系，合理分配每种控制的重要性，合理分配每种控制的重要性，分清自我设定数据与真实数据分清自我设定数据与真实数据。一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉2.2.平行模拟法平行模拟法v 审计人员使用审计人员使用专门的审计程序专门的审计程序（一般是通用审计软件）对（一般是通用审计软件）对组织的数据进行处理，并将输出结果与组织的处理结果进组织的数据进行处理，并将输出结果与组织的处理结果进行比较，

43、最终得出结论。行比较，最终得出结论。v 运用平行模拟法，审计人员可以采用运用平行模拟法，审计人员可以采用真实系统的输入数据真实系统的输入数据，调用相同的文件，在较关键的环节上设立控制。调用相同的文件，在较关键的环节上设立控制。v 在环境、逻辑一致的前提下，比较模拟系统与组织真实系在环境、逻辑一致的前提下，比较模拟系统与组织真实系统的输出结果，就可以得到测试结果。从而反推组织的程统的输出结果，就可以得到测试结果。从而反推组织的程序处理过程是否有效。序处理过程是否有效。一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响商学院会计系李栋辉商学院会计系李栋辉 一、信息系统环境对内部审计的

44、影响一、信息系统环境对内部审计的影响 二、与内部审计相关的信息二、与内部审计相关的信息技术技术 三、信息系统一般控制的审计三、信息系统一般控制的审计 四、信息系统应用控制的审计四、信息系统应用控制的审计第第2 2节节.信息系统审计要点信息系统审计要点商学院会计系李栋辉商学院会计系李栋辉v 计算机辅助审计工具和技术（计算机辅助审计工具和技术（CAATTSCAATTS ）v Computer Assisted Audit Tools and TechniquesComputer Assisted Audit Tools and Techniquesv CAATTsCAATTs是一种内部审计人员可以

45、独立控制的软件，可用于是一种内部审计人员可以独立控制的软件，可用于测试或分析计算机文档中的数据，同时开展其他审计测试。测试或分析计算机文档中的数据，同时开展其他审计测试。v 各式各样的电脑软件工具：各式各样的电脑软件工具：文字处理文字处理 电子表格电子表格 数据分析软件数据分析软件二、与内部审计相关的技术二、与内部审计相关的技术商学院会计系李栋辉商学院会计系李栋辉v 1.1.确定确定CAATTsCAATTs审计目标。审计目标。v 2.2.了解计算机系统。了解计算机系统。v 3.3.开发开发CAATTsCAATTs程序。程序。v 4.4.测试并运行测试并运行CAATTsCAATTsv 5.5.从

46、从CAATTsCAATTs的结果中得出审计结论。的结果中得出审计结论。二、与内部审计相关的技术二、与内部审计相关的技术审审计计步步骤骤商学院会计系李栋辉商学院会计系李栋辉v 通用审计软件通用审计软件 审计人员独立审计人员独立 易于操作易于操作 观察审计工作进度及数据库中心磁盘检索的程序异常情况观察审计工作进度及数据库中心磁盘检索的程序异常情况v 专用审计测试与分析软件专用审计测试与分析软件 解决通用软件对专业系统软件的无效等问题解决通用软件对专业系统软件的无效等问题 一般并非为审计人员专们设计，但可以协助内部审计人员。一般并非为审计人员专们设计，但可以协助内部审计人员。二、与内部审计相关的技术

47、二、与内部审计相关的技术商学院会计系李栋辉商学院会计系李栋辉v 数据测试技术数据测试技术 向运行的系统提交一系列测试数据，用于确定组织向运行的系统提交一系列测试数据，用于确定组织的信息技术系统是否能正确处理所有交易数据，并能够对的信息技术系统是否能正确处理所有交易数据，并能够对处理过程实施一定的控制。类似于处理过程实施一定的控制。类似于“测试数据法测试数据法”。v 嵌入式审计程序嵌入式审计程序 在组织的信息系统运行过程中嵌入的审计软件。几在组织的信息系统运行过程中嵌入的审计软件。几乎可以实时监督。乎可以实时监督。二、与内部审计相关的技术二、与内部审计相关的技术商学院会计系李栋辉商学院会计系李栋

48、辉 一、信息系统环境对内部审计的影响一、信息系统环境对内部审计的影响 二、与内部审计相关的信息二、与内部审计相关的信息技术技术 三、信息系统一般控制的审计三、信息系统一般控制的审计 四、信息系统应用控制的审计四、信息系统应用控制的审计第第2 2节节.信息系统审计要点信息系统审计要点商学院会计系李栋辉商学院会计系李栋辉v（一）大型计算机系统的一般控制审计（一）大型计算机系统的一般控制审计v 信息技术时代，任然要关注信息技术时代，任然要关注关键职能的职务分离关键职能的职务分离：v 应用程序的开发；应用程序的开发；v 信息系统的操作；信息系统的操作；v 其他技术领域：通信管理、数据库管理及计算机系统

49、逻辑安全。其他技术领域：通信管理、数据库管理及计算机系统逻辑安全。三、与内部审计相关的技术三、与内部审计相关的技术商学院会计系李栋辉商学院会计系李栋辉v 大型计算机系统的一般控制的内部审计分为以下几类：大型计算机系统的一般控制的内部审计分为以下几类：信息系统的初步审核信息系统的初步审核 针对系统操作的详细审核针对系统操作的详细审核 特殊控制领域的审核特殊控制领域的审核 法律法规的遵循性审核法律法规的遵循性审核三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉1.1.信息系统初步审核信息系统初步审核v 目的：对信息系统目的：对信息系统控制环境取得

50、大致了解；控制环境取得大致了解；v 方法：询问、观察等方法：询问、观察等v 对象：操作系统及系统文档等对象：操作系统及系统文档等v 作用：作用：有助于确定有助于确定是否需要更为详尽的一般控制审核是否需要更为详尽的一般控制审核；确定确定是否需要在将来扩大控制风险评估是否需要在将来扩大控制风险评估；收集收集初步的控制信息初步的控制信息；三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉2.2.针对系统操作的详细审核针对系统操作的详细审核v 详细的信息系统一般控制审核通常涉及详细的信息系统一般控制审核通常涉及系统操作系统操作的的各个方面各个方面。v