(1)计算机信息系统的重要性
计算机信息系统的重要性与受计算机处理影响的会计报表认定的重要性直接相关。 (2)计算机信息系统的复杂程度
审计人员应当了解计算机信息系统的组织结构和计算机开发及应用在整个单位的集中和分散程度。当出现下列情况时,计算机处理系统被看作是复杂的:(1)经济业务数量较大,被审计单位感到在处理过程中鉴别和改正错误有困难;(2)计算机系统自动生成重要的经济业务或分录,直接进入其他应用。
(3)审计所需信息的可获得性
在计算机信息系统环境下,审计人员所需要的某些审计证据、计算机文件及其他证据性资料可能仅存在一段时间或仅以机器可读形式存在。而在某些计算机系统,输入文件根本不存在,因为信息直接进入系统。在这些情况下,审计人员可能要求被审计单位将相关信息保存一段时间或在其运行时执行审计程序。此外,被审计单位的计算机信息系统可能生成某些内部管理报告,这些报告在执行实质性测试(特别是分析性复核)时可能会很有用。
如果被审计单位的计算机信息系统对会计报表整体有重要影响(指会计报表全部或主要项目是由计算机信息系统处理的情形),注册会计师要考虑计算机信息系统环境对固有风险和控制风险评估的影响,即除了对计算机信息系统本身的了解外,还应当了解以下内容:
第一,被审计单位对计算机信息技术的利用和态度。如系统是由被审计单位购买并经确认证明或自行开发,被审计单位对系统开发、使用、维护的态度等。
第二,同行业和单位所处当地企业间的比较。与同行业或单位所处当地环境中的系统使用相比,被审计单位计算机信息系统使用及信息技术的状况和趋势。
第三,被审计单位的计算机信息系统及其环境最近的变动和计划中的变动。如系统开发、技术平台、改变计算机信息系统领导者或经营方向等。
第四,计算机信息系统环境下风险的性质和内部控制的特征。
3. 与IT环境相关的内部控制分类包括哪两个方面?其目的及具体目标有哪些? 与IT环境和信息系统审计有特殊关系的控制的分类,是将内部控制化分为一般控制和应用控制。
一般控制是计算机信息系统的总体控制,其目的是建立对计算机信息系统活动整体控制的框架环境,并对达到内部控制的整体目标提供合理的依赖程序。
一般控制的具体目标是:
(1)通过一般或特殊的授权规则保证下列活动的开展具备正当的手续:
1)将原始凭证输入系统内进行处理; 2)设计、实施和使用计算机程序; 3)更改计算机程序;
4)接触和使用计算机主文件和其他重要数据文件; 5)分发系统输出报告等。
(2)负责资产保管人员无权接触记录资产情况的信息处理。 (3)负责信息处理的人员不负责执行或批准的经济业务。 (4)电子数据处理部门内部对不相容职能进行适当分离。 (5)电子数据处理部门不能纠正电子数据部门以外的错误。
(6)通过适当的沟通方法和程序,使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求,并保证遵循这些要求。
(7)主管人员能够充分地控制授权要求的遵守,以保证违背要求的行为能予以记录、调查和纠正。
应用控制的目的是对会计应用建立具体控制过程,从而确保全部的经济业务都经过授权和记录,并做完整、准确和及时的处理。
应用控制的具体目标是:
(1)所有经允许处理的数据均应转换到介质上并加以处理,并且处理的结果可通过适当的方式加以输出。
(2)所有输入、转换、处理和输出均应在正常的时间里准确地进行。 (3)所有系统的输出均反映为经批准的有效的经济业务。 4. 计算机信息系统环境中是否还存在手工控制? 就目前的计算机信息系统环境看,还存在手工控制。
在计算机信息系统环境下,依据控制所采用的手段,可以将内部控制分为手工控制和程序化控制。手工控制是直接通过手工操作实施的控制。程序化控制是由计算机程序完成的控制。手工控制不仅适用于手工系统,在会计信息系统内部控制中非并全部采用程序化控制,手工控制仍然起着非常重要的作用。
如在处理数据文件之前,操作员要认真检查文件的外部标签,确认所要处理的文件;计算机在对数据文件处理前,检查文件的内部标签。外部标签的设置是手工控制,内部标签属于程序化控制。
5. 信息系统控制的类型和措施有哪些?各类控制和措施分别针对系统控制的哪些方
面?
对不同类型内部控制的考察,便于充分理解电子数据处理环境中内部控制的含义。 依据控制实施的范围,可以将会计信息系统内部控制分为一般控制和应用控制。目前世界上主要国家电子数据处理系统审计准则均以此种分类规定对内部控制评价的步骤和主要内容。一般控制有时称管理控制,是指对会计信息系统的组织、开发、应用环境等方面进行的控制。一般控制所采用的控制措施为每一个应用系统提供环境,普遍适用于某一单位的会计和其他管理系统。一般控制主要包括组织与管理控制,系统开发与维护控制、系统操作控制、硬件和软件控制、系统安全、数据通信控制及文档控制等。应用控制是指对会计信息系统中具体的数据处理功能的控制。应用控制有特殊性,不同的应用系统有不同的控制要求,但应用系统一般都包括会计数据的输入控制、处理控制和输出结果控制三个方面。一般控制是应用控制的基础,应用控制是一般控制的深化。一般控制以程序为主,而应用控制以数据为主,审计人员可以独立于应用控制之外评价程序。
依据控制的意图,可以将内部控制分为预防性控制、检查性控制和纠正性控制。预防性控制用来防止不利条件发生的原因;纠正性控制用来提供必要的信息帮助调查和纠正已被发现的问题的原因。预防性控制是一种积极的控制,在于事先进行计算检查。检查性控制主要是指试图在不利事件发生时就能够发现。纠正性控制是一种相对消极的控制,是使用审计线索,纠正已发现的错误和问题。这种分类的价值不仅在于它们表示了控制的意图,更在于它们表明了如何使用这些控制。
依据控制所采用的手段,可以将内部控制分为手工控制和程序化控制。手工控制是直接通过手工操作实施的控制。程序化控制是由计算机程序完成的控制。手工控制不仅适用于手工系统,在会计信息系统内部控制中非并全部采用程序化控制,手工控制仍然起着非常重要的作用。
依据实施控制的部门不同,可将内部控制分为电算化部门控制和用户部门控制。电算化部门控制是指由电算化部门人员或计算机程序实施的控制。用户部门控制是指数据使用部门对计算机数据处理施加的控制。这两种控制在一定程度上是互补的,用户部门控制有时可以弥补电算化部门控制的不足。
6. 什么是计算机辅助审计技术?在非计算机信息系统环境下是否能使用计算机辅助审计技术?在决定是否采用计算机辅助审计技术时,应当考虑哪些因素?
计算机在审计过程中的应用称为计算机辅助审计技术,通过利用计算机辅助审计技术可以改进审计程序的效果和效率。在非计算机信息系统环境下能使用计算机辅助审计技术。
审计人员在决定采用计算机辅助审计技术时,应当考虑以下因素:(1)审计人员的计算机知识、专门技能和经验;(2)计算机信息技术的可用性和合适的计算机设备;(3)不能施行手工测试;(4)审计测试的效率和效果(5)时间性考虑等。
7. 比较计算机辅助审计技术的适用条件和优缺点。 提示:可列示如下表格进行比较 审计目的 计算机辅助审计技术 不处理数据的程序测试方法 应用程序审计 处理实际数据的程序测试方法 处理模拟数据的程序测试方法 (略) 适用条件 优缺点 8. 什么是测试数据法?其优缺点是什么?准备测试数据需要注意什么问题? 审计人员根据测试的要求,设计一套模拟业务的数据,利用被测试程序对模拟数据进行处理,再将处理结果与应当出现的结果进行核对,以检验应用程序是否可靠。这种方法可用来测试整个系统的全部应用程序,也可用来测试个别程序,或测试程序中某个或某几个控制措施。测试数据法的主要优点是:(1)在审计线索间断或不完整的情况下,使用这种方法能对应用程序作出评价;(2)这是一种抽样方法,用于测试处理量大的系统比较经济; (3)使用范围广,对审计人员的计算机知识和技能的要求不高。测试数据法的主要缺点是:(1)当全面测试系统或程序时,必须保证测试数据的综合性,否则难以保证能测试到所有的应用控制措施;(2)难以保证被测试的程序就是被审计单位实际使用的程序;(3)测试数据的设计比较困难;(4)如果用测试数据增加、删除、修改文件中的记录,可能破坏被审计单位的主文件。准备测试数据应注意:(1)测试数据必须包括审计人员准备测试的所有相关条件;(2)审计人员所测试的应用程序必须是被审计单位整个年度执行的程序;(3)在某些情况下,用于测试的数据必须从被审计单位的记录中清除;(4)只能保证在处理测试数据时系统的功能是否正确,不能保证在其他期间里系统的功能是否正确、可靠。
9. 审计软件的主要作用是什么?上网查询不同审计软件公司开发的审计软件,进行审计软件功能的比较,讨论通用审计软件应具备哪些基本功能?
通用审计软件是根据会计业务的共性设计的适用于对各类或多数计算机会计信息系统审计的计算机程序,通常用于同一行业所有被审的计算机会计信息系统的审计。在同一行业,由于审计的目标在被审计的计算机信息系统之间差别不大,审计人员无须为检查类似的各系