第一节 信息系统审计的概念框架 第二节 信息系统审计证据的获取与评价 第三节 信息系统审计的常用技术与方法 第四节 信息系统审计报告 第八章 会计信息系统审计 内容提要:开展企业会计信息化工作,不仅要建立会计信息系统,而且要对会计信息系统的建立与运行实施控制。而会计信息系统运行是否正常、控制系统是否有效,则需要通过会计信息系统审计进行监控。 第一节 信息系统审计的概念框架 第二节 信息系统审计证据的获取与评价 第三节 信息系统审计的常用技术与方法 第四节 信息系统审计报告
第一节 信息系统审计的概念框架 一、会计信息系统审计的含义 会计信息系统审计是通过一定的技术手段采集审计证据,对被审计单位会计信息系统的安全性、可靠性、有效性和效率进行综合审查与评价的活动。 会计信息系统审计的对象是被审计单位的计算机会计信息系统,会计信息系统投入使用前和使用后都要对其进行审计和评价。会计信息系统审计的内容主要有:会计信息系统开发的审计、会计信息系统控制的审计和会计信息系统功能的审计。
信息系统审计的特性: 1、审计师需要具有信息系统审计师资格 2、独立性 3、综合性 4、需要出具信息系统审计报告 5、促进信息系统安全、可靠与有效
二、信息系统审计目标 1、评价并提高系统的安全性 2、评价并提高系统的合法性 3、评价并提高系统的可靠性 4、评价并提高系统的效率 5、评价并提高系统的效益
三、信息系统审计的理论基础 1、传统审计理论 2、信息系统管理理论 3、行为科学理论 4、计算机科学 四、信息系统审计的审计程序 1、审计计划阶段:(明确审计任务、初步调查、组成审计小组、详细调查、评价重要性、评价审计风险、编制审计计划、发出审计通知书或签订审计业务约定书)
2、设计实施阶段: 从审计人员到被审单位工作,至问题基本查清、落实,取得证明材料,整理工作底稿完毕的过程。它是审计全过程的中心环节。 2、设计实施阶段: 从审计人员到被审单位工作,至问题基本查清、落实,取得证明材料,整理工作底稿完毕的过程。它是审计全过程的中心环节。 审计实施阶段是根据计划阶段确定的范围、要点、步骤、方法,进行取证评价,借以形成审计结论,实现审计目标的中间过程,在审计实施阶段通常要进行符合性测试和实质性测试。 3、审计完成阶段:审计组向其所属的审计机构写出审计报告,经审计机构审定后,向被审单位发出审计结论和决定的阶段。本阶段的主要任务: ●整理、评价收集到的审计证据 ●复核审计工作底稿 ●编写审计报告 ●向被审单位发出审计结论和建议
第二节信息系统审计证据的获取与评价 审计人员形成任何审计结论和意见都必须以合理的证据为基础,否则审计结论就不可信赖。 一、信息系统审计证据概述 审计证据:指审计机关和审计人员获取的用以说明审计事项真相、形成审计结论基础的证明材料。 审计证据包括:书面证据、实物证据、视听等电子证据、 口头证据、勘验笔录和鉴定结论、其他证据
二、审计证据的获取 (一)应用面谈、问卷调查、控制流程图分析法获取证据 (Interviews,Questionnaires,Flow Charts) 1、面谈:就是审计人员与被审单位的有关人员进行交谈,具有简单方便的优点,在审计过程中经常被采用。 ●面谈的过程: (1)准备面谈(面谈内容、对象、时间、地点) (2)面谈实施(注意:预先制定的谈话次序;把握面谈内容,防止偏离目标;面谈宽松,避免过于严肃;做好笔录;准时结束) (3)面谈后分析 2、问卷调查法:设计适当的问卷,向调查者征求意见的方法。 注意:问题的设计、问题答案的提示设计、问卷结构的设计
3、流程图分析法:用图形描述计算机信息系统的数据处理及控制过程。 注意: 流程图的类型(数据流程图、业务流程图、程序流程图、控制流程图) 流程图的获取和编制 (二)通过软件工具直接从计算机信息系统的数据库获取证据 (三)其他方法:绩效衡量法、分析性复核、检查、观察等
三、审计证据的评价 就是对审计证据的数量和质量进行分析和研究,即对审计证据的证明力作出判断,确定已收集的证据与被审计事项有无联系,有何联系,能说明什么问题,能否成为支持审计结论佐证的一项审计活动。
(一)评价审计证据应考虑的问题 1、审计目标 2、证据间的相关性 3、分析证据的技术 (二)评价审计证据的方式和时点 1、一事一评 2、专题评价 3、综合评价
(三)审计证据评价的主要内容 1、完整性评价 2、重要性评价 3、相关性评价 4、可靠性评价 5、充分性评价 6、综合性评价 (四)审计证据评价的基本程序 1、初步评价 2、再次评价 3、反馈评价
第三节信息系统审计的常用技术与方法 一、系统测试法 1、黑盒测试法:系统的程序被视为一个黑盒子,审计人员完全不考虑程序内部结构和处理过程而设计测试用例来对系统进行测试,以检查程序功能是否能按照规格说明书的规定正常使用,程序是否能接收数据并产生正确的输出信息,并保持外部信息的完整性。 2、白盒测试法:和黑测试法相反。 二、整体检测法:在被审的计算机系统中建立一个虚拟的实体,设计虚拟实体业务进行系统处理,并与真实业务的处理结果进行核对… 三、平行模拟法:分别用被审程序和模拟程序处理业务进行比较分析,做出系统评价。
第四节 信息系统审计报告 审计报告阶段是审计工作的最后阶段,审计报告是审计工作的最后产品,也是审计人员向主管部门或委托人报告问题、提出建议的工具,与注册会计师审计不同的是,信息系统审计报告没有统一强制性的报告形式。
一、报告的内容与格式 信息系统报告没有特定的格式,但通常会规定其格式。审计报告通常包括下列内容: 1、收件人 2、被审计单位名称、负责人签名及报告日期 3、报告的介绍(审计目标、范围、期间、依据等) 4、审计重大发现及建议 5、审计结论 6、管理层对审计发现问题的反映 7、执行建议事项的限制因素 8、回复
二、报告编制要求 1、与管理者及审计委员会沟通审计结果 2、报告应该客观、清晰、简洁、及时和有建设性 3、报告的表述应具有逻辑性,并且条理清楚、内容充足 4、报告期后事项