內(nèi)部審計(jì)學(xué)第06章

1、商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)第六章第六章信息系統(tǒng)控制與審計(jì)信息系統(tǒng)控制與審計(jì)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝主要內(nèi)容主要內(nèi)容第第1 1節(jié)節(jié). .信息系統(tǒng)控制概述信息系統(tǒng)控制概述第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)第第3 3節(jié)節(jié). .數(shù)據(jù)審計(jì)模式數(shù)據(jù)審計(jì)模式第第4 4節(jié)節(jié). .案例分析案例分析第六章第六章 信息系統(tǒng)控制與審計(jì)信息系統(tǒng)控制與審計(jì)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn) 二、二、信息系統(tǒng)控制的重要性信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控

2、制與應(yīng)用控制第第1 1節(jié)節(jié). .信息系統(tǒng)控制概述信息系統(tǒng)控制概述商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)（一）數(shù)據(jù)處理的集中化與自動(dòng)化（一）數(shù)據(jù)處理的集中化與自動(dòng)化v 數(shù)據(jù)集中處理一方面是現(xiàn)代社會(huì)數(shù)據(jù)集中處理一方面是現(xiàn)代社會(huì)“信息大爆炸信息大爆炸”對(duì)信息的需求，對(duì)信息的需求，也是計(jì)算機(jī)信息處理模式的需要。也是計(jì)算機(jī)信息處理模式的需要。v 采用計(jì)算機(jī)系統(tǒng)處理各種業(yè)務(wù)之后，數(shù)據(jù)一經(jīng)輸入，在一定條件采用計(jì)算機(jī)系統(tǒng)處理各種業(yè)務(wù)之后，數(shù)據(jù)一經(jīng)輸入，在一定條件下就可以被不同用戶共享。下就可以被不同用戶共享。v 數(shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘技術(shù)：海量數(shù)據(jù)中：海量數(shù)據(jù)中“挖出挖出”數(shù)據(jù)本身的規(guī)律和趨勢(shì)

3、。數(shù)據(jù)本身的規(guī)律和趨勢(shì)。v 編寫代碼編寫代碼：系統(tǒng)原始數(shù)據(jù)的采集，減少人為干預(yù)。：系統(tǒng)原始數(shù)據(jù)的采集，減少人為干預(yù)。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)機(jī)遇機(jī)遇商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（二）數(shù)據(jù)存儲(chǔ)的磁性化（二）數(shù)據(jù)存儲(chǔ)的磁性化v 現(xiàn)在許多計(jì)算機(jī)程序?qū)?shù)據(jù)存儲(chǔ)到現(xiàn)在許多計(jì)算機(jī)程序?qū)?shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)中，因?yàn)槲谋拘问街?，因?yàn)槲谋拘问降拇嫒”容^慢，適合小型系統(tǒng)，單純的文本沒有相應(yīng)數(shù)據(jù)庫(kù)的存取比較慢，適合小型系統(tǒng)，單純的文本沒有相應(yīng)數(shù)據(jù)庫(kù)存儲(chǔ)機(jī)理，必須自己定義行列、瀏覽、存入等，而利用數(shù)據(jù)存儲(chǔ)機(jī)理，必須自己定義行列、瀏覽、存入等，而利用數(shù)據(jù)庫(kù)存儲(chǔ)則可以

4、由程序自動(dòng)生成。庫(kù)存儲(chǔ)則可以由程序自動(dòng)生成。v 硬盤硬盤：采用磁介質(zhì)的數(shù)據(jù)存儲(chǔ)設(shè)備，數(shù)據(jù)存在硬盤驅(qū)動(dòng)器的：采用磁介質(zhì)的數(shù)據(jù)存儲(chǔ)設(shè)備，數(shù)據(jù)存在硬盤驅(qū)動(dòng)器的內(nèi)部的磁盤片上。內(nèi)部的磁盤片上。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)機(jī)遇機(jī)遇商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)（三）內(nèi)部控制的程序化（三）內(nèi)部控制的程序化v 通過使用計(jì)算機(jī)信息系統(tǒng)，通過使用計(jì)算機(jī)信息系統(tǒng)，內(nèi)部控制的內(nèi)涵和外延發(fā)生內(nèi)部控制的內(nèi)涵和外延發(fā)生了很大變化了很大變化，組織可以將各種，組織可以將各種控制方法控制方法嵌入程序中。通嵌入程序中。通過程序的運(yùn)行，核對(duì)數(shù)據(jù)之間鉤稽關(guān)系，檢查使用

5、權(quán)密過程序的運(yùn)行，核對(duì)數(shù)據(jù)之間鉤稽關(guān)系，檢查使用權(quán)密碼，審計(jì)各種業(yè)務(wù)及數(shù)據(jù)的處理順序等。碼，審計(jì)各種業(yè)務(wù)及數(shù)據(jù)的處理順序等。v 比如：比如：流程圖軟件流程圖軟件代替代替控制的敘述性描述法控制的敘述性描述法，可以很快，可以很快捷的分析利用業(yè)務(wù)數(shù)據(jù)，從而準(zhǔn)確的控制和把握組織的捷的分析利用業(yè)務(wù)數(shù)據(jù)，從而準(zhǔn)確的控制和把握組織的運(yùn)營(yíng)是否規(guī)范，各種業(yè)務(wù)的進(jìn)行是否授權(quán)等。運(yùn)營(yíng)是否規(guī)范，各種業(yè)務(wù)的進(jìn)行是否授權(quán)等。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)機(jī)遇機(jī)遇商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)（四）管理信息系統(tǒng)中的各子系統(tǒng)聯(lián)系密切（四）管理信息系統(tǒng)中的各子系統(tǒng)

6、聯(lián)系密切v 管理信息系統(tǒng)：會(huì)計(jì)、統(tǒng)計(jì)、市場(chǎng)管理、生產(chǎn)管理、管理信息系統(tǒng)：會(huì)計(jì)、統(tǒng)計(jì)、市場(chǎng)管理、生產(chǎn)管理、倉(cāng)庫(kù)管理、勞動(dòng)人事等。倉(cāng)庫(kù)管理、勞動(dòng)人事等。v 網(wǎng)絡(luò)的使用，使得各系統(tǒng)的聯(lián)系更加緊密。網(wǎng)絡(luò)的使用，使得各系統(tǒng)的聯(lián)系更加緊密。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)機(jī)遇機(jī)遇商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（一）計(jì)算機(jī)系統(tǒng)固有缺陷（一）計(jì)算機(jī)系統(tǒng)固有缺陷v 計(jì)算機(jī)硬件和軟件系統(tǒng)容易受到?jīng)_擊計(jì)算機(jī)硬件和軟件系統(tǒng)容易受到?jīng)_擊v 交易的交易的實(shí)時(shí)處理使得錯(cuò)誤檢查及更正沒有緩沖時(shí)間實(shí)時(shí)處理使得錯(cuò)誤檢查及更正沒有緩沖時(shí)間，使，使得錯(cuò)誤影響進(jìn)行中的商業(yè)活動(dòng)，人們無法控制系統(tǒng)

7、，而得錯(cuò)誤影響進(jìn)行中的商業(yè)活動(dòng)，人們無法控制系統(tǒng)，而計(jì)算機(jī)系統(tǒng)本身又不能真正做到自我監(jiān)控。計(jì)算機(jī)系統(tǒng)本身又不能真正做到自我監(jiān)控。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（二）系統(tǒng)錯(cuò)誤的增加（二）系統(tǒng)錯(cuò)誤的增加v 計(jì)算機(jī)程序替代手工處理，發(fā)生隨機(jī)錯(cuò)誤的可能性降低。計(jì)算機(jī)程序替代手工處理，發(fā)生隨機(jī)錯(cuò)誤的可能性降低。對(duì)于一定的輸入，如果程序是正確的，它的控制過程與處對(duì)于一定的輸入，如果程序是正確的，它的控制過程與處理結(jié)果總是正確的，一旦程序本身出現(xiàn)問題，錯(cuò)誤就會(huì)不理結(jié)果總是正確的，一旦程序本身出現(xiàn)問題，錯(cuò)誤就會(huì)不斷重復(fù)，而程序自

8、身并不能自我發(fā)現(xiàn)并糾正。斷重復(fù)，而程序自身并不能自我發(fā)現(xiàn)并糾正。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（三）數(shù)據(jù)接觸未經(jīng)授權(quán)（三）數(shù)據(jù)接觸未經(jīng)授權(quán)v 非法侵入、濫用和偶然破壞等缺陷，導(dǎo)致組織的計(jì)算非法侵入、濫用和偶然破壞等缺陷，導(dǎo)致組織的計(jì)算機(jī)程序或文檔被機(jī)程序或文檔被非正常修改非正常修改或造成組織的或造成組織的機(jī)密信息非機(jī)密信息非法泄露法泄露。v “黑客黑客”，病毒等。，病毒等。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)（四）職責(zé)

9、與知識(shí)的集中（四）職責(zé)與知識(shí)的集中v 計(jì)算機(jī)的運(yùn)用使得諸如基礎(chǔ)設(shè)施、軟件、數(shù)據(jù)及人事職能與知識(shí)計(jì)算機(jī)的運(yùn)用使得諸如基礎(chǔ)設(shè)施、軟件、數(shù)據(jù)及人事職能與知識(shí)等信息系統(tǒng)要素非常集中，參與處理財(cái)務(wù)信息的人員大大減少，等信息系統(tǒng)要素非常集中，參與處理財(cái)務(wù)信息的人員大大減少，信息系統(tǒng)執(zhí)行了許多在傳統(tǒng)手工處理系統(tǒng)中相互分離的職責(zé)。信息系統(tǒng)執(zhí)行了許多在傳統(tǒng)手工處理系統(tǒng)中相互分離的職責(zé)。v 職責(zé)的集中使得職責(zé)的集中使得信息技術(shù)人員信息技術(shù)人員有可能掌握數(shù)據(jù)的來源、處理和輸有可能掌握數(shù)據(jù)的來源、處理和輸出，從而使得內(nèi)部控制的風(fēng)險(xiǎn)增加。出，從而使得內(nèi)部控制的風(fēng)險(xiǎn)增加。v 接受培訓(xùn)和擁有信息技術(shù)知識(shí)的人員可能接觸到功能

10、覆蓋較廣的接受培訓(xùn)和擁有信息技術(shù)知識(shí)的人員可能接觸到功能覆蓋較廣的軟件。軟件。v 必須合理分離信息技術(shù)中心關(guān)鍵職責(zé)，做好內(nèi)部分工。才能有效必須合理分離信息技術(shù)中心關(guān)鍵職責(zé)，做好內(nèi)部分工。才能有效防止舞弊。防止舞弊。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（五）程序與數(shù)據(jù)的集中（五）程序與數(shù)據(jù)的集中v 計(jì)算機(jī)處理環(huán)境下職責(zé)的集中，導(dǎo)致記錄組織作業(yè)的計(jì)算機(jī)處理環(huán)境下職責(zé)的集中，導(dǎo)致記錄組織作業(yè)的原始數(shù)原始數(shù)據(jù)及應(yīng)用程序據(jù)及應(yīng)用程序集中于集中于同一臺(tái)機(jī)器或存儲(chǔ)在電子數(shù)據(jù)文檔中同一臺(tái)機(jī)器或存儲(chǔ)在電子數(shù)據(jù)文檔中，由組織的由組織的信息

11、系統(tǒng)部門信息系統(tǒng)部門統(tǒng)一管理。統(tǒng)一管理。v 如果缺乏適當(dāng)?shù)目刂拼胧M織的程序、數(shù)據(jù)、文檔被篡改，如果缺乏適當(dāng)?shù)目刂拼胧M織的程序、數(shù)據(jù)、文檔被篡改，丟失而不被發(fā)現(xiàn)的可能性就很大。丟失而不被發(fā)現(xiàn)的可能性就很大。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（六）組織業(yè)務(wù)軌跡的變化（六）組織業(yè)務(wù)軌跡的變化v 手工環(huán)境下手工環(huán)境下紙質(zhì)業(yè)務(wù)軌跡紙質(zhì)業(yè)務(wù)軌跡更容易檢查辨認(rèn)。更容易檢查辨認(rèn)。v 計(jì)算機(jī)硬盤存儲(chǔ)的工作原理使得組織能夠掌握數(shù)據(jù)的使用與計(jì)算機(jī)硬盤存儲(chǔ)的工作原理使得組織能夠掌握數(shù)據(jù)的使用與銷毀，給組織文檔的可靠和安全帶來威脅。銷

12、毀，給組織文檔的可靠和安全帶來威脅。v 計(jì)算機(jī)輸入輸出缺乏可視性，使得計(jì)算機(jī)輸入輸出缺乏可視性，使得難以查找錯(cuò)誤源頭難以查找錯(cuò)誤源頭和和追究追究出現(xiàn)問題的信息系統(tǒng)的責(zé)任人出現(xiàn)問題的信息系統(tǒng)的責(zé)任人。一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn) 二、二、信息系統(tǒng)控制的重要性信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制第第1 1節(jié)節(jié). .信息系統(tǒng)控制概述信息系統(tǒng)控制概述商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)v

13、EDP（Electronic Data Processing）廣泛應(yīng)用，改變了內(nèi)部控廣泛應(yīng)用，改變了內(nèi)部控制的性質(zhì)。組織沒有自己的信息系統(tǒng)，通信網(wǎng)絡(luò)、數(shù)據(jù)倉(cāng)庫(kù)制的性質(zhì)。組織沒有自己的信息系統(tǒng)，通信網(wǎng)絡(luò)、數(shù)據(jù)倉(cāng)庫(kù)和技術(shù)人員，其業(yè)務(wù)就不能正常開展。和技術(shù)人員，其業(yè)務(wù)就不能正常開展。v 面對(duì)基于上述信息系統(tǒng)存在的風(fēng)險(xiǎn)，就必須對(duì)硬件和軟件工面對(duì)基于上述信息系統(tǒng)存在的風(fēng)險(xiǎn)，就必須對(duì)硬件和軟件工作環(huán)境的安全性、可靠性加以檢測(cè)，采取各種嚴(yán)密措施，確作環(huán)境的安全性、可靠性加以檢測(cè)，采取各種嚴(yán)密措施，確保組織的各種數(shù)據(jù)、文檔資料的真實(shí)準(zhǔn)確。保組織的各種數(shù)據(jù)、文檔資料的真實(shí)準(zhǔn)確。二、信息系統(tǒng)控制的重要性二、信息系

14、統(tǒng)控制的重要性EDP:EDP:以計(jì)算機(jī)替代人工處理例行性的數(shù)據(jù)，并產(chǎn)生報(bào)表以支持組織的作業(yè)以計(jì)算機(jī)替代人工處理例行性的數(shù)據(jù)，并產(chǎn)生報(bào)表以支持組織的作業(yè)活動(dòng)?；顒?dòng)。 其內(nèi)容重點(diǎn)乃在于取代重復(fù)性的人工操作，以支持基層管理者及其內(nèi)容重點(diǎn)乃在于取代重復(fù)性的人工操作，以支持基層管理者及作業(yè)人員等，故其重心在于重效率的信息系統(tǒng)，例如會(huì)計(jì)之應(yīng)用。國(guó)外把作業(yè)人員等，故其重心在于重效率的信息系統(tǒng)，例如會(huì)計(jì)之應(yīng)用。國(guó)外把利用電子數(shù)據(jù)系統(tǒng)的會(huì)計(jì)，稱為電子數(shù)據(jù)處理會(huì)計(jì)。利用電子數(shù)據(jù)系統(tǒng)的會(huì)計(jì)，稱為電子數(shù)據(jù)處理會(huì)計(jì)。 商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 大型商用信息系統(tǒng)的特征：大型商用信息系統(tǒng)的特征：v 1.1.存

15、儲(chǔ)重要數(shù)據(jù)文件的大型計(jì)算機(jī)中心通常位于存儲(chǔ)重要數(shù)據(jù)文件的大型計(jì)算機(jī)中心通常位于鎖定鎖定存取控制（存取控制（Access controlAccess control）且沒有對(duì)外窗戶的研究且沒有對(duì)外窗戶的研究室中，操作地方不應(yīng)過于顯著，在建設(shè)上應(yīng)室中，操作地方不應(yīng)過于顯著，在建設(shè)上應(yīng)最大限度最大限度避免天災(zāi)人禍避免天災(zāi)人禍。二、信息系統(tǒng)控制的重要性二、信息系統(tǒng)控制的重要性商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝內(nèi)部審計(jì)學(xué)內(nèi)部審計(jì)學(xué)v 2.2.專用電力系統(tǒng)、專用空調(diào)或制冷系統(tǒng)、散熱系統(tǒng)且符合環(huán)專用電力系統(tǒng)、專用空調(diào)或制冷系統(tǒng)、散熱系統(tǒng)且符合環(huán)境控制要求：境控制要求：（1 1）磁盤及軟盤的存儲(chǔ)庫(kù)磁盤及軟盤

16、的存儲(chǔ)庫(kù)應(yīng)遠(yuǎn)離計(jì)算機(jī)設(shè)備，應(yīng)遠(yuǎn)離計(jì)算機(jī)設(shè)備，異地存儲(chǔ)異地存儲(chǔ)有助于有助于災(zāi)難發(fā)生時(shí)及時(shí)備份。災(zāi)難發(fā)生時(shí)及時(shí)備份。（2 2）大型計(jì)算機(jī)的操作系統(tǒng)應(yīng)能）大型計(jì)算機(jī)的操作系統(tǒng)應(yīng)能同一時(shí)間間隔運(yùn)行多個(gè)程序，同一時(shí)間間隔運(yùn)行多個(gè)程序，多項(xiàng)任務(wù)處理多項(xiàng)任務(wù)處理。（3 3）擁有大型計(jì)算機(jī)的組織應(yīng)擁有）擁有大型計(jì)算機(jī)的組織應(yīng)擁有自己的系統(tǒng)編程人員和編程自己的系統(tǒng)編程人員和編程部門部門，正規(guī)的系統(tǒng)開發(fā)方法及標(biāo)準(zhǔn)。，正規(guī)的系統(tǒng)開發(fā)方法及標(biāo)準(zhǔn)。二、信息系統(tǒng)控制的重要性二、信息系統(tǒng)控制的重要性商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（4 4）廣闊的電信網(wǎng)絡(luò)支持廣闊的電信網(wǎng)絡(luò)支持，組織內(nèi)部各個(gè)角落的網(wǎng)絡(luò)終端直，組織內(nèi)部各個(gè)

17、角落的網(wǎng)絡(luò)終端直接連接與中央計(jì)算機(jī)系統(tǒng)或間接連接與外部網(wǎng)絡(luò)。接連接與中央計(jì)算機(jī)系統(tǒng)或間接連接與外部網(wǎng)絡(luò)。 （5 5）具有輸入輸出控制環(huán)節(jié)，數(shù)據(jù)處理以）具有輸入輸出控制環(huán)節(jié)，數(shù)據(jù)處理以批處理模式批處理模式進(jìn)行，進(jìn)行，能能控制數(shù)據(jù)輸出速度控制數(shù)據(jù)輸出速度。（6 6）配備）配備專業(yè)的數(shù)據(jù)安全負(fù)責(zé)人專業(yè)的數(shù)據(jù)安全負(fù)責(zé)人、通信分析師通信分析師或或質(zhì)量控制專質(zhì)量控制專家家等。等。二、信息系統(tǒng)控制的重要性二、信息系統(tǒng)控制的重要性商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn)一、信息系統(tǒng)給組織帶來的機(jī)遇與挑戰(zhàn) 二、二、信息系統(tǒng)控制的重要性信息系統(tǒng)控制的重要性 三、信息系統(tǒng)的一般控制與

18、應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制第第1 1節(jié)節(jié). .信息系統(tǒng)控制概述信息系統(tǒng)控制概述商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（一）一般控制（一）一般控制（General ControlsGeneral Controls）v 與與所有的或者絕大多數(shù)所有的或者絕大多數(shù)的信息技術(shù)環(huán)境下的活動(dòng)都相關(guān)的的信息技術(shù)環(huán)境下的活動(dòng)都相關(guān)的控制，包括控制，包括信息系統(tǒng)處理的可靠性信息系統(tǒng)處理的可靠性、數(shù)據(jù)和程序的完整性數(shù)據(jù)和程序的完整性、數(shù)據(jù)處理的持續(xù)性數(shù)據(jù)處理的持續(xù)性以及對(duì)以及對(duì)計(jì)算機(jī)設(shè)備以及數(shù)據(jù)文件使用的計(jì)算機(jī)設(shè)備以及數(shù)據(jù)文件使用的授權(quán)控制授權(quán)控制等。等。v 一般控制包括以下幾項(xiàng)：一般控制包括以下幾項(xiàng)：

19、v 組織控制、操作控制、文書控制、系統(tǒng)開發(fā)與編程控制、組織控制、操作控制、文書控制、系統(tǒng)開發(fā)與編程控制、 硬件和系統(tǒng)軟件控制、接觸檔案和檔案資料保管控制。硬件和系統(tǒng)軟件控制、接觸檔案和檔案資料保管控制。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝1.1.組織控制組織控制v 使用使用EDPEDP的組織中，各部門間的職責(zé)分工應(yīng)盡可能保留實(shí)行的組織中，各部門間的職責(zé)分工應(yīng)盡可能保留實(shí)行EDPEDP之前的模式，或者是原有模式的擴(kuò)展；之前的模式，或者是原有模式的擴(kuò)展；v EDPEDP部門主要負(fù)責(zé)業(yè)務(wù)的記錄及其相關(guān)的數(shù)據(jù)處理部門主要負(fù)責(zé)業(yè)務(wù)的記錄及其

20、相關(guān)的數(shù)據(jù)處理；v EDPEDP部門與用戶部門的職責(zé)盡量分離，形成一種互相稽核、互相部門與用戶部門的職責(zé)盡量分離，形成一種互相稽核、互相監(jiān)督、互相制約的關(guān)系；監(jiān)督、互相制約的關(guān)系；v 所有經(jīng)所有經(jīng)EDPEDP系統(tǒng)處理的業(yè)務(wù)系統(tǒng)處理的業(yè)務(wù)都應(yīng)經(jīng)過都應(yīng)經(jīng)過適當(dāng)授權(quán)適當(dāng)授權(quán)，業(yè)務(wù)的籌劃業(yè)務(wù)的籌劃、執(zhí)執(zhí)行行和和計(jì)算機(jī)處理審計(jì)計(jì)算機(jī)處理審計(jì)之間應(yīng)明確責(zé)任劃分；之間應(yīng)明確責(zé)任劃分；三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v EDPEDP內(nèi)部也應(yīng)明確職責(zé)分工內(nèi)部也應(yīng)明確職責(zé)分工，保證不相容職責(zé)由不同的人，保證不相容職責(zé)由不同的人承擔(dān)并保證一個(gè)人能對(duì)

21、其他人的工作進(jìn)行檢查；承擔(dān)并保證一個(gè)人能對(duì)其他人的工作進(jìn)行檢查；v 在在EDPEDP中應(yīng)適當(dāng)進(jìn)行中應(yīng)適當(dāng)進(jìn)行人事監(jiān)督和審計(jì)人事監(jiān)督和審計(jì)，適時(shí)考核評(píng)價(jià)，周，適時(shí)考核評(píng)價(jià)，周期性期性輪換工作輪換工作。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝2.2.操作控制操作控制v EDPEDP管理人員管理人員制定制定上機(jī)守則和操作規(guī)程上機(jī)守則和操作規(guī)程，經(jīng)常性進(jìn)行檢查經(jīng)常性進(jìn)行檢查，EDPEDP管管理人員應(yīng)將理人員應(yīng)將手工日志與系統(tǒng)生成日志結(jié)合手工日志與系統(tǒng)生成日志結(jié)合用于檢查系統(tǒng)的日常工用于檢查系統(tǒng)的日常工作情況；作情況； v EDPEDP操作人員

22、操作人員執(zhí)行執(zhí)行操作控制操作控制，用于保證，用于保證現(xiàn)行規(guī)章和實(shí)務(wù)處理規(guī)程現(xiàn)行規(guī)章和實(shí)務(wù)處理規(guī)程得到遵守；得到遵守；v 冗余技術(shù)冗余技術(shù)對(duì)付硬件損壞、數(shù)據(jù)文件的丟失毀損等，實(shí)現(xiàn)異常狀態(tài)對(duì)付硬件損壞、數(shù)據(jù)文件的丟失毀損等，實(shí)現(xiàn)異常狀態(tài)下的數(shù)據(jù)恢復(fù)；下的數(shù)據(jù)恢復(fù)；v EDPEDP部門應(yīng)制定部門應(yīng)制定年度工作計(jì)劃和相應(yīng)日程安排年度工作計(jì)劃和相應(yīng)日程安排，保證系統(tǒng)運(yùn)作。，保證系統(tǒng)運(yùn)作。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 冗余技術(shù)又稱冗余技術(shù)又稱儲(chǔ)備技術(shù)儲(chǔ)備技術(shù)，它是利用，它是利用系統(tǒng)的并聯(lián)模型系統(tǒng)的并聯(lián)模型來提高系來提高系統(tǒng)可靠性的一

23、種手段。統(tǒng)可靠性的一種手段。 v 冗余分為：工作冗余和后備冗余。冗余分為：工作冗余和后備冗余。 v 工作冗余：是一種工作冗余：是一種兩個(gè)或以上的單元并行工作兩個(gè)或以上的單元并行工作的并聯(lián)模型。的并聯(lián)模型。平時(shí)，由各處單元平均負(fù)擔(dān)工作，因此工作能力有冗余。平時(shí)，由各處單元平均負(fù)擔(dān)工作，因此工作能力有冗余。 v 后備冗余：平時(shí)只需一個(gè)單元工作，另一個(gè)單元是冗余的，后備冗余：平時(shí)只需一個(gè)單元工作，另一個(gè)單元是冗余的，用于待機(jī)備用。用于待機(jī)備用。 v 實(shí)例：以計(jì)算機(jī)為例，其服務(wù)器及電源等重要設(shè)備，都采用實(shí)例：以計(jì)算機(jī)為例，其服務(wù)器及電源等重要設(shè)備，都采用”一用二備一用二備” 甚至甚至”一用三備一用三備

24、”的配置。正常工作時(shí)，幾臺(tái)服的配置。正常工作時(shí)，幾臺(tái)服務(wù)器同時(shí)工作，互為備用。電源也是這樣。一旦遇到停電或務(wù)器同時(shí)工作，互為備用。電源也是這樣。一旦遇到停電或者機(jī)器故障，自動(dòng)轉(zhuǎn)到正常設(shè)備上繼續(xù)運(yùn)行。確保系統(tǒng)不停者機(jī)器故障，自動(dòng)轉(zhuǎn)到正常設(shè)備上繼續(xù)運(yùn)行。確保系統(tǒng)不停機(jī)，數(shù)據(jù)不丟失。機(jī)，數(shù)據(jù)不丟失。 三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制冗余技術(shù)冗余技術(shù)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝3.3.文書控制文書控制v 文書的編撰是信息處理系統(tǒng)中文書的編撰是信息處理系統(tǒng)中重要元素交流的手段重要元素交流的手段。v 文檔編寫應(yīng)規(guī)范化，管理應(yīng)該系統(tǒng)化、制度化。文檔編寫應(yīng)規(guī)范化，管理應(yīng)

25、該系統(tǒng)化、制度化。v 力求文書做到：力求文書做到： 向向管理層管理層提供提供改進(jìn)的應(yīng)用系統(tǒng)的全貌改進(jìn)的應(yīng)用系統(tǒng)的全貌； 向向客戶客戶提供提供說明材料說明材料； 向向新的使用者新的使用者提供以前系統(tǒng)的提供以前系統(tǒng)的背景知識(shí)背景知識(shí)，引導(dǎo)新系引導(dǎo)新系統(tǒng)的使用統(tǒng)的使用； 為為信息系統(tǒng)的使用信息系統(tǒng)的使用提供必要的數(shù)據(jù)資料提供必要的數(shù)據(jù)資料三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝4.4.系統(tǒng)開發(fā)與編程控制系統(tǒng)開發(fā)與編程控制v 首先，需要一個(gè)首先，需要一個(gè)開發(fā)開發(fā)EDPEDP系統(tǒng)的完整計(jì)劃系統(tǒng)的完整計(jì)劃，制定合理目標(biāo)，制定合理目標(biāo)，確定工作階段

26、和開發(fā)進(jìn)度，進(jìn)行資金籌措和費(fèi)用預(yù)算，合確定工作階段和開發(fā)進(jìn)度，進(jìn)行資金籌措和費(fèi)用預(yù)算，合理配備人員理配備人員；v 其次，開發(fā)過程中處理好其次，開發(fā)過程中處理好人員的工作安排和責(zé)任劃分人員的工作安排和責(zé)任劃分，做，做好系統(tǒng)的整體規(guī)劃，需求調(diào)查、性能檢測(cè)、試運(yùn)行、文檔好系統(tǒng)的整體規(guī)劃，需求調(diào)查、性能檢測(cè)、試運(yùn)行、文檔管理和審計(jì)控制等工作；管理和審計(jì)控制等工作；v 最后，靜態(tài)測(cè)試與動(dòng)態(tài)測(cè)試最后，靜態(tài)測(cè)試與動(dòng)態(tài)測(cè)試結(jié)合起來進(jìn)行編程控制。結(jié)合起來進(jìn)行編程控制。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 5. 5.硬件與系統(tǒng)軟件控制硬件與系統(tǒng)軟件控

27、制v 硬件控制是硬件控制是構(gòu)筑在計(jì)算機(jī)硬件設(shè)備內(nèi)部構(gòu)筑在計(jì)算機(jī)硬件設(shè)備內(nèi)部的一種控制，用來檢測(cè)并的一種控制，用來檢測(cè)并處理設(shè)備故障和錯(cuò)誤，加強(qiáng)系統(tǒng)的可靠性。處理設(shè)備故障和錯(cuò)誤，加強(qiáng)系統(tǒng)的可靠性。 奇偶檢驗(yàn)奇偶檢驗(yàn)：確保信息在不同設(shè)備之間傳送時(shí)不被改變。：確保信息在不同設(shè)備之間傳送時(shí)不被改變。 響應(yīng)檢查響應(yīng)檢查：保證在磁性介質(zhì)讀寫工作完畢后作出相關(guān)回應(yīng)。：保證在磁性介質(zhì)讀寫工作完畢后作出相關(guān)回應(yīng)。v 系統(tǒng)軟件：系統(tǒng)軟件： 訪問控制、隔離控制、加密變換和日志控制。訪問控制、隔離控制、加密變換和日志控制。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李

28、棟輝6.6.接觸控制和檔案資料保管控制（安全控制）接觸控制和檔案資料保管控制（安全控制）v 登錄軟件、序列號(hào)、系統(tǒng)口令等方法，保證資料的安全；登錄軟件、序列號(hào)、系統(tǒng)口令等方法，保證資料的安全；v 利用殺毒軟件和安裝系統(tǒng)檢測(cè)程序防止病毒的侵入，利用殺毒軟件和安裝系統(tǒng)檢測(cè)程序防止病毒的侵入，慎用慎用公用軟件、外來軟件和共享軟件公用軟件、外來軟件和共享軟件，定期檢查系統(tǒng)，經(jīng)常性，定期檢查系統(tǒng)，經(jīng)常性備份。備份。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制（二）應(yīng)用控制（二）應(yīng)用控制

29、v 應(yīng)用控制與應(yīng)用控制與EDPEDP所執(zhí)行的特別任務(wù)有關(guān)，其目的在于確保所執(zhí)行的特別任務(wù)有關(guān)，其目的在于確保應(yīng)用系統(tǒng)對(duì)應(yīng)用系統(tǒng)對(duì)電子數(shù)據(jù)資產(chǎn)安全的保護(hù)電子數(shù)據(jù)資產(chǎn)安全的保護(hù)，對(duì)，對(duì)數(shù)據(jù)一致性的保數(shù)據(jù)一致性的保證證以及以及對(duì)數(shù)據(jù)進(jìn)行有效的加工對(duì)數(shù)據(jù)進(jìn)行有效的加工。其功能是恰當(dāng)?shù)乇ＷC數(shù)據(jù)。其功能是恰當(dāng)?shù)乇ＷC數(shù)據(jù)的記錄、加工和報(bào)告過程的正確進(jìn)行。的記錄、加工和報(bào)告過程的正確進(jìn)行。v 輸入控制輸入控制v 處理控制處理控制v 輸出控制輸出控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝1.1.輸入控制輸入控制v 美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)認(rèn)為：輸入控制是指正式確認(rèn)為進(jìn)行美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)認(rèn)為：輸入控制是指正式確認(rèn)為進(jìn)行

30、電子數(shù)據(jù)處理電子數(shù)據(jù)處理(EDP)(EDP)所可接受的數(shù)據(jù)，將其轉(zhuǎn)換為機(jī)器能所可接受的數(shù)據(jù)，將其轉(zhuǎn)換為機(jī)器能夠夠感知的形態(tài)感知的形態(tài)，并能為，并能為機(jī)器識(shí)別機(jī)器識(shí)別，而且要合理的保證數(shù)據(jù)，而且要合理的保證數(shù)據(jù)沒丟失、刪除、外加、重復(fù)或不應(yīng)有的變更。沒丟失、刪除、外加、重復(fù)或不應(yīng)有的變更。v 輸入控制包括對(duì)不正確的初始數(shù)據(jù)予以拒絕，或者給予修輸入控制包括對(duì)不正確的初始數(shù)據(jù)予以拒絕，或者給予修正后重新提供這方面的控制。正后重新提供這方面的控制。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 首先，制定首先，制定適當(dāng)制度適當(dāng)制度以以適當(dāng)授權(quán)適當(dāng)

31、授權(quán)，嚴(yán)禁未授權(quán)的人員輸入，嚴(yán)禁未授權(quán)的人員輸入文件資料；文件資料；v 其次，做好輸入的其次，做好輸入的數(shù)據(jù)文件的審批工作數(shù)據(jù)文件的審批工作，這種審批，這種審批獨(dú)立于獨(dú)立于信息系統(tǒng)部門之外信息系統(tǒng)部門之外，遵守職責(zé)分工。數(shù)據(jù)一經(jīng)輸入后就對(duì)，遵守職責(zé)分工。數(shù)據(jù)一經(jīng)輸入后就對(duì)其進(jìn)行測(cè)試。其進(jìn)行測(cè)試。v 最后，最后，糾正在測(cè)試中出現(xiàn)的問題的輸入糾正在測(cè)試中出現(xiàn)的問題的輸入，并刪除重復(fù)的無，并刪除重復(fù)的無用的輸入，添加必要的輸入，保證輸入的完整性與正確性。用的輸入，添加必要的輸入，保證輸入的完整性與正確性。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李

32、棟輝v 處理控制處理控制v 對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行的對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施。處理的控制措施。處理控制用于保證控制用于保證經(jīng)濟(jì)業(yè)務(wù)由計(jì)算機(jī)作出正確的處理經(jīng)濟(jì)業(yè)務(wù)由計(jì)算機(jī)作出正確的處理，保證經(jīng)保證經(jīng)濟(jì)業(yè)務(wù)不被泄露濟(jì)業(yè)務(wù)不被泄露、非法添加非法添加、重復(fù)或不適當(dāng)?shù)母鼡Q重復(fù)或不適當(dāng)?shù)母鼡Q，并能，并能夠?qū)嵭袎驅(qū)嵭邢拗菩韵拗菩? /合理性測(cè)試合理性測(cè)試對(duì)處理工程中的錯(cuò)誤加以識(shí)別對(duì)處理工程中的錯(cuò)誤加以識(shí)別和改正。和改正。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 輸出控制輸出控制v 美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)：為了保證處理結(jié)果

33、的正確性，以及保美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)：為了保證處理結(jié)果的正確性，以及保證只由指定的人員接受輸出而進(jìn)行的控制；證只由指定的人員接受輸出而進(jìn)行的控制；v 內(nèi)部審計(jì)人員可以利用輸出數(shù)據(jù)的內(nèi)部審計(jì)人員可以利用輸出數(shù)據(jù)的即刻成形技術(shù)即刻成形技術(shù)來保證輸出來保證輸出信息的安全可靠以控制報(bào)告文件的生成信息的安全可靠以控制報(bào)告文件的生成 ；v 將將輸出輸出數(shù)據(jù)與數(shù)據(jù)與輸入輸入、處理處理的數(shù)據(jù)進(jìn)行核對(duì)，進(jìn)行數(shù)據(jù)的合理的數(shù)據(jù)進(jìn)行核對(duì)，進(jìn)行數(shù)據(jù)的合理性檢查，及時(shí)地將輸出報(bào)告?zhèn)鬟f給用戶，利用反饋信息做好性檢查，及時(shí)地將輸出報(bào)告?zhèn)鬟f給用戶，利用反饋信息做好輸出控制；輸出控制；v 對(duì)對(duì)輸出介質(zhì)輸出介質(zhì)進(jìn)行管理，紙介質(zhì)和磁介

34、質(zhì)都實(shí)行登記，定期檢進(jìn)行管理，紙介質(zhì)和磁介質(zhì)都實(shí)行登記，定期檢查介質(zhì)的性能，保證介質(zhì)上數(shù)據(jù)的完整性。查介質(zhì)的性能，保證介質(zhì)上數(shù)據(jù)的完整性。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝主要內(nèi)容主要內(nèi)容第第1 1節(jié)節(jié). .信息系統(tǒng)控制概述信息系統(tǒng)控制概述第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)第第3 3節(jié)節(jié). .數(shù)據(jù)審計(jì)模式數(shù)據(jù)審計(jì)模式第第4 4節(jié)節(jié). .案例分析案例分析第六章第六章 信息系統(tǒng)控制與審計(jì)信息系統(tǒng)控制與審計(jì)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響 二、與內(nèi)

35、部審計(jì)相關(guān)的信息二、與內(nèi)部審計(jì)相關(guān)的信息技術(shù)技術(shù) 三、信息系統(tǒng)一般控制的審計(jì)三、信息系統(tǒng)一般控制的審計(jì) 四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（一）信息系統(tǒng)對(duì)審計(jì)對(duì)象的影響（一）信息系統(tǒng)對(duì)審計(jì)對(duì)象的影響1.1.組織結(jié)構(gòu)發(fā)生了很大變化組織結(jié)構(gòu)發(fā)生了很大變化v 職責(zé)與知識(shí)的集中、不相容職責(zé)集中在信息系統(tǒng)，集體舞弊職責(zé)與知識(shí)的集中、不相容職責(zé)集中在信息系統(tǒng)，集體舞弊可能性加大，增加審計(jì)風(fēng)險(xiǎn)?？赡苄约哟?，增加審計(jì)風(fēng)險(xiǎn)。2.2.程序和數(shù)據(jù)更加集中增加了程序和數(shù)據(jù)更加集中增加了數(shù)據(jù)和程序被非法使用的風(fēng)險(xiǎn)數(shù)

36、據(jù)和程序被非法使用的風(fēng)險(xiǎn)，使得日后審計(jì)線索的追蹤更困難。使得日后審計(jì)線索的追蹤更困難。3.3.計(jì)算機(jī)環(huán)境下數(shù)據(jù)處理性質(zhì)發(fā)生了很大變化，內(nèi)部控制過程計(jì)算機(jī)環(huán)境下數(shù)據(jù)處理性質(zhì)發(fā)生了很大變化，內(nèi)部控制過程通常是通常是“隱身隱身”的，內(nèi)審計(jì)人員面對(duì)這樣的控制系統(tǒng)，從中的，內(nèi)審計(jì)人員面對(duì)這樣的控制系統(tǒng)，從中索取有關(guān)審計(jì)證據(jù)的難度加大，面臨的審計(jì)風(fēng)險(xiǎn)加大索取有關(guān)審計(jì)證據(jù)的難度加大，面臨的審計(jì)風(fēng)險(xiǎn)加大。一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（二）信息系統(tǒng)對(duì)審計(jì)人員的影響（二）信息系統(tǒng)對(duì)審計(jì)人員的影響1.1.審計(jì)人員將信息技術(shù)作為審計(jì)工具，基于審計(jì)

37、人員將信息技術(shù)作為審計(jì)工具，基于EDPEDP的的MISMIS使得內(nèi)部審計(jì)使得內(nèi)部審計(jì)人員必須了解組織各個(gè)層面的人員必須了解組織各個(gè)層面的MISMIS：v 了解各種了解各種數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)類型和數(shù)量數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)類型和數(shù)量及及獲取數(shù)據(jù)的方法獲取數(shù)據(jù)的方法；v 了解組織在了解組織在信息技術(shù)環(huán)境下的商業(yè)運(yùn)作，哪些數(shù)據(jù)如何被處理信息技術(shù)環(huán)境下的商業(yè)運(yùn)作，哪些數(shù)據(jù)如何被處理；v 對(duì)信息系統(tǒng)產(chǎn)生的對(duì)信息系統(tǒng)產(chǎn)生的輸出文件輸出文件，會(huì)用特殊工具會(huì)用特殊工具或熟悉或熟悉數(shù)據(jù)庫(kù)結(jié)構(gòu)化數(shù)據(jù)庫(kù)結(jié)構(gòu)化查詢語言（查詢語言（SQLSQL）以識(shí)別期望的輸出結(jié)果；以識(shí)別期望的輸出結(jié)果；v 積極參與信息系統(tǒng)開發(fā)，充當(dāng)信

38、息系統(tǒng)部分功能的用戶或系統(tǒng)的積極參與信息系統(tǒng)開發(fā)，充當(dāng)信息系統(tǒng)部分功能的用戶或系統(tǒng)的控制人員；控制人員；一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝2.2.審計(jì)人員需要對(duì)信息系統(tǒng)本身進(jìn)行審計(jì)，審計(jì)邊界擴(kuò)大。審計(jì)人員需要對(duì)信息系統(tǒng)本身進(jìn)行審計(jì)，審計(jì)邊界擴(kuò)大。v 信息技術(shù)從根本上改變了組織信息技術(shù)從根本上改變了組織內(nèi)部經(jīng)營(yíng)和外部主體內(nèi)部經(jīng)營(yíng)和外部主體聯(lián)絡(luò)的方聯(lián)絡(luò)的方式，使得組織內(nèi)外能夠式，使得組織內(nèi)外能夠共享信息并提高經(jīng)營(yíng)效率共享信息并提高經(jīng)營(yíng)效率。v 激烈的競(jìng)爭(zhēng)提高了對(duì)生產(chǎn)率、成本、效率和信息的需求；激烈的競(jìng)爭(zhēng)提高了對(duì)生產(chǎn)率、成本、效率和信

39、息的需求；一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響對(duì)計(jì)算機(jī)系統(tǒng)的性能、信息的安全性、數(shù)據(jù)對(duì)計(jì)算機(jī)系統(tǒng)的性能、信息的安全性、數(shù)據(jù)保密性控制、質(zhì)量認(rèn)證工作進(jìn)行確認(rèn)的需求保密性控制、質(zhì)量認(rèn)證工作進(jìn)行確認(rèn)的需求商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（三）信息系統(tǒng)對(duì)審計(jì)方式的影響（三）信息系統(tǒng)對(duì)審計(jì)方式的影響v 繞過計(jì)算機(jī)審計(jì)繞過計(jì)算機(jī)審計(jì)（Audit Around the Computer）v 對(duì)信息系統(tǒng)輸入和輸出的數(shù)據(jù)進(jìn)行審計(jì)，不考慮計(jì)算機(jī)系對(duì)信息系統(tǒng)輸入和輸出的數(shù)據(jù)進(jìn)行審計(jì)，不考慮計(jì)算機(jī)系統(tǒng)對(duì)數(shù)據(jù)的處理過程。統(tǒng)對(duì)數(shù)據(jù)的處理過程。一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境

40、對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 穿過計(jì)算機(jī)審計(jì)穿過計(jì)算機(jī)審計(jì)（ Audit Through the Computer ）v 組織系統(tǒng)日益復(fù)雜，組織系統(tǒng)日益復(fù)雜，聯(lián)機(jī)處理和在線處理聯(lián)機(jī)處理和在線處理使得數(shù)據(jù)處理過程使得數(shù)據(jù)處理過程幾乎不留痕跡，因此審計(jì)活動(dòng)需要幾乎不留痕跡，因此審計(jì)活動(dòng)需要評(píng)價(jià)組織系統(tǒng)的硬件和軟評(píng)價(jià)組織系統(tǒng)的硬件和軟件環(huán)境的控制情況件環(huán)境的控制情況，從而確定，從而確定“看不到看不到”的操作是否真實(shí)可的操作是否真實(shí)可靠。審計(jì)人員需要靠。審計(jì)人員需要進(jìn)入系統(tǒng)內(nèi)部進(jìn)入系統(tǒng)內(nèi)部，確定數(shù)據(jù)處理、內(nèi)部控制、確定數(shù)據(jù)處理、內(nèi)部控制、文件內(nèi)容的正確性和可靠性文件內(nèi)容的正確

41、性和可靠性。v 通過計(jì)算機(jī)程序?qū)?nèi)部控制、電子資料等測(cè)試，這種審計(jì)模通過計(jì)算機(jī)程序?qū)?nèi)部控制、電子資料等測(cè)試，這種審計(jì)模式式加強(qiáng)了信息系統(tǒng)審計(jì)的深度，擴(kuò)大了審計(jì)范圍加強(qiáng)了信息系統(tǒng)審計(jì)的深度，擴(kuò)大了審計(jì)范圍。一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝1.1.測(cè)試數(shù)據(jù)法測(cè)試數(shù)據(jù)法v 按照交易處理的基本步驟，使用按照交易處理的基本步驟，使用有限的數(shù)據(jù)有限的數(shù)據(jù)，確定，確定每一個(gè)控每一個(gè)控制是否都按照文檔規(guī)定有效的執(zhí)行制是否都按照文檔規(guī)定有效的執(zhí)行。使用不同層次上的數(shù)據(jù)。使用不同層次上的數(shù)據(jù)進(jìn)行處理測(cè)試，看是否進(jìn)行處理測(cè)試，看是否與期望的輸出與

42、期望的輸出一致，盡量分散的選擇一致，盡量分散的選擇或設(shè)定有代表性的數(shù)據(jù)?；蛟O(shè)定有代表性的數(shù)據(jù)。v 審計(jì)人員審計(jì)人員必須熟悉組織的業(yè)務(wù)流程及信息系統(tǒng)處理過程必須熟悉組織的業(yè)務(wù)流程及信息系統(tǒng)處理過程，能能準(zhǔn)確預(yù)計(jì)輸入輸出對(duì)應(yīng)關(guān)系準(zhǔn)確預(yù)計(jì)輸入輸出對(duì)應(yīng)關(guān)系，合理分配每種控制的重要性，合理分配每種控制的重要性，分清自我設(shè)定數(shù)據(jù)與真實(shí)數(shù)據(jù)分清自我設(shè)定數(shù)據(jù)與真實(shí)數(shù)據(jù)。一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝2.2.平行模擬法平行模擬法v 審計(jì)人員使用審計(jì)人員使用專門的審計(jì)程序?qū)ｉT的審計(jì)程序（一般是通用審計(jì)軟件）對(duì)（一般是通用審計(jì)軟件）對(duì)組織的數(shù)據(jù)進(jìn)

43、行處理，并將輸出結(jié)果與組織的處理結(jié)果進(jìn)組織的數(shù)據(jù)進(jìn)行處理，并將輸出結(jié)果與組織的處理結(jié)果進(jìn)行比較，最終得出結(jié)論。行比較，最終得出結(jié)論。v 運(yùn)用平行模擬法，審計(jì)人員可以采用運(yùn)用平行模擬法，審計(jì)人員可以采用真實(shí)系統(tǒng)的輸入數(shù)據(jù)真實(shí)系統(tǒng)的輸入數(shù)據(jù)，調(diào)用相同的文件，在較關(guān)鍵的環(huán)節(jié)上設(shè)立控制。調(diào)用相同的文件，在較關(guān)鍵的環(huán)節(jié)上設(shè)立控制。v 在環(huán)境、邏輯一致的前提下，比較模擬系統(tǒng)與組織真實(shí)系在環(huán)境、邏輯一致的前提下，比較模擬系統(tǒng)與組織真實(shí)系統(tǒng)的輸出結(jié)果，就可以得到測(cè)試結(jié)果。從而反推組織的程統(tǒng)的輸出結(jié)果，就可以得到測(cè)試結(jié)果。從而反推組織的程序處理過程是否有效。序處理過程是否有效。一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一

44、、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響 二、與內(nèi)部審計(jì)相關(guān)的信息二、與內(nèi)部審計(jì)相關(guān)的信息技術(shù)技術(shù) 三、信息系統(tǒng)一般控制的審計(jì)三、信息系統(tǒng)一般控制的審計(jì) 四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 計(jì)算機(jī)輔助審計(jì)工具和技術(shù)（計(jì)算機(jī)輔助審計(jì)工具和技術(shù)（ CAATTSCAATTS ）v Computer Assisted Audit Tools and TechniquesComputer Assisted

45、Audit Tools and Techniquesv CAATTsCAATTs是一種內(nèi)部審計(jì)人員可以獨(dú)立控制的軟件，可用于是一種內(nèi)部審計(jì)人員可以獨(dú)立控制的軟件，可用于測(cè)試或分析計(jì)算機(jī)文檔中的數(shù)據(jù)，同時(shí)開展其他審計(jì)測(cè)試。測(cè)試或分析計(jì)算機(jī)文檔中的數(shù)據(jù)，同時(shí)開展其他審計(jì)測(cè)試。v 各式各樣的電腦軟件工具：各式各樣的電腦軟件工具： 文字處理文字處理 電子表格電子表格 數(shù)據(jù)分析軟件數(shù)據(jù)分析軟件二、與內(nèi)部審計(jì)相關(guān)的技術(shù)二、與內(nèi)部審計(jì)相關(guān)的技術(shù)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 1.1.確定確定CAATTsCAATTs審計(jì)目標(biāo)。審計(jì)目標(biāo)。v 2.2.了解計(jì)算機(jī)系統(tǒng)。了解計(jì)算機(jī)系統(tǒng)。v 3.3.開發(fā)開發(fā)C

46、AATTsCAATTs程序。程序。v 4.4.測(cè)試并運(yùn)行測(cè)試并運(yùn)行CAATTsCAATTsv 5.5.從從CAATTsCAATTs的結(jié)果中得出審計(jì)結(jié)論。的結(jié)果中得出審計(jì)結(jié)論。二、與內(nèi)部審計(jì)相關(guān)的技術(shù)二、與內(nèi)部審計(jì)相關(guān)的技術(shù)審審計(jì)計(jì)步步驟驟商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 通用審計(jì)軟件通用審計(jì)軟件 審計(jì)人員獨(dú)立審計(jì)人員獨(dú)立 易于操作易于操作 觀察審計(jì)工作進(jìn)度及數(shù)據(jù)庫(kù)中心磁盤檢索的程序異常情況觀察審計(jì)工作進(jìn)度及數(shù)據(jù)庫(kù)中心磁盤檢索的程序異常情況v 專用審計(jì)測(cè)試與分析軟件專用審計(jì)測(cè)試與分析軟件 解決通用軟件對(duì)專業(yè)系統(tǒng)軟件的無效等問題解決通用軟件對(duì)專業(yè)系統(tǒng)軟件的無效等問題 一般并非為審計(jì)人員專們?cè)O(shè)

47、計(jì)，但可以協(xié)助內(nèi)部審計(jì)人員。一般并非為審計(jì)人員專們?cè)O(shè)計(jì)，但可以協(xié)助內(nèi)部審計(jì)人員。二、與內(nèi)部審計(jì)相關(guān)的技術(shù)二、與內(nèi)部審計(jì)相關(guān)的技術(shù)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 數(shù)據(jù)測(cè)試技術(shù)數(shù)據(jù)測(cè)試技術(shù) 向運(yùn)行的系統(tǒng)提交一系列測(cè)試數(shù)據(jù)，用于確定組織向運(yùn)行的系統(tǒng)提交一系列測(cè)試數(shù)據(jù)，用于確定組織的信息技術(shù)系統(tǒng)是否能正確處理所有交易數(shù)據(jù)，并能夠?qū)Φ男畔⒓夹g(shù)系統(tǒng)是否能正確處理所有交易數(shù)據(jù)，并能夠?qū)μ幚磉^程實(shí)施一定的控制。類似于處理過程實(shí)施一定的控制。類似于“測(cè)試數(shù)據(jù)法測(cè)試數(shù)據(jù)法”。v 嵌入式審計(jì)程序嵌入式審計(jì)程序 在組織的信息系統(tǒng)運(yùn)行過程中嵌入的審計(jì)軟件。幾在組織的信息系統(tǒng)運(yùn)行過程中嵌入的審計(jì)軟件。幾乎可以實(shí)時(shí)

48、監(jiān)督。乎可以實(shí)時(shí)監(jiān)督。二、與內(nèi)部審計(jì)相關(guān)的技術(shù)二、與內(nèi)部審計(jì)相關(guān)的技術(shù)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響 二、與內(nèi)部審計(jì)相關(guān)的信息二、與內(nèi)部審計(jì)相關(guān)的信息技術(shù)技術(shù) 三、信息系統(tǒng)一般控制的審計(jì)三、信息系統(tǒng)一般控制的審計(jì) 四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v （一）大型計(jì)算機(jī)系統(tǒng)的一般控制審計(jì)（一）大型計(jì)算機(jī)系統(tǒng)的一般控制審計(jì)v 信息技術(shù)時(shí)代，任然要關(guān)注信息技術(shù)時(shí)代，任然要關(guān)注關(guān)鍵職能的職務(wù)分離關(guān)鍵職能的職務(wù)分離：v 應(yīng)用程序

49、的開發(fā)；應(yīng)用程序的開發(fā)；v 信息系統(tǒng)的操作；信息系統(tǒng)的操作；v 其他技術(shù)領(lǐng)域：通信管理、數(shù)據(jù)庫(kù)管理及計(jì)算機(jī)系統(tǒng)邏輯安全。其他技術(shù)領(lǐng)域：通信管理、數(shù)據(jù)庫(kù)管理及計(jì)算機(jī)系統(tǒng)邏輯安全。三、與內(nèi)部審計(jì)相關(guān)的技術(shù)三、與內(nèi)部審計(jì)相關(guān)的技術(shù)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝v 大型計(jì)算機(jī)系統(tǒng)的一般控制的內(nèi)部審計(jì)分為以下幾類：大型計(jì)算機(jī)系統(tǒng)的一般控制的內(nèi)部審計(jì)分為以下幾類： 信息系統(tǒng)的初步審核信息系統(tǒng)的初步審核 針對(duì)系統(tǒng)操作的詳細(xì)審核針對(duì)系統(tǒng)操作的詳細(xì)審核 特殊控制領(lǐng)域的審核特殊控制領(lǐng)域的審核 法律法規(guī)的遵循性審核法律法規(guī)的遵循性審核三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系

50、李棟輝商學(xué)院會(huì)計(jì)系李棟輝1.1.信息系統(tǒng)初步審核信息系統(tǒng)初步審核v 目的：對(duì)信息系統(tǒng)目的：對(duì)信息系統(tǒng)控制環(huán)境取得大致了解；控制環(huán)境取得大致了解；v 方法：詢問、觀察等方法：詢問、觀察等v 對(duì)象：操作系統(tǒng)及系統(tǒng)文檔等對(duì)象：操作系統(tǒng)及系統(tǒng)文檔等v 作用：作用： 有助于確定有助于確定是否需要更為詳盡的一般控制審核是否需要更為詳盡的一般控制審核； 確定確定是否需要在將來擴(kuò)大控制風(fēng)險(xiǎn)評(píng)估是否需要在將來擴(kuò)大控制風(fēng)險(xiǎn)評(píng)估； 收集收集初步的控制信息初步的控制信息；三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝2.2.針對(duì)系統(tǒng)操作的詳細(xì)審核針對(duì)系統(tǒng)操作的詳細(xì)

51、審核v 詳細(xì)的信息系統(tǒng)一般控制審核通常涉及詳細(xì)的信息系統(tǒng)一般控制審核通常涉及系統(tǒng)操作系統(tǒng)操作的的各個(gè)方面各個(gè)方面。v 系統(tǒng)的詳細(xì)審核由了解信息系統(tǒng)控制和程序的系統(tǒng)的詳細(xì)審核由了解信息系統(tǒng)控制和程序的高級(jí)內(nèi)部審計(jì)人高級(jí)內(nèi)部審計(jì)人員執(zhí)行員執(zhí)行。v 審核的內(nèi)容包括：審核的內(nèi)容包括：v 信息系統(tǒng)操作如何運(yùn)行、控制日志報(bào)告、操作指令、系統(tǒng)作業(yè)信息系統(tǒng)操作如何運(yùn)行、控制日志報(bào)告、操作指令、系統(tǒng)作業(yè)的調(diào)度、存儲(chǔ)介質(zhì)的管理等情況，的調(diào)度、存儲(chǔ)介質(zhì)的管理等情況，以確定計(jì)算機(jī)操作人員是否以確定計(jì)算機(jī)操作人員是否故意引入不正確文檔。故意引入不正確文檔。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制

52、商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝3.3.特殊控制領(lǐng)域的審核（專項(xiàng)審核）特殊控制領(lǐng)域的審核（專項(xiàng)審核）v 應(yīng)管理者的要求或根據(jù)內(nèi)部審計(jì)人員的判斷應(yīng)管理者的要求或根據(jù)內(nèi)部審計(jì)人員的判斷，對(duì)整個(gè)信息，對(duì)整個(gè)信息系統(tǒng)職能的系統(tǒng)職能的專門領(lǐng)域開展的有限審核專門領(lǐng)域開展的有限審核。v 針對(duì)特定信息系統(tǒng)控制領(lǐng)域的專項(xiàng)審核，內(nèi)部審計(jì)人員可針對(duì)特定信息系統(tǒng)控制領(lǐng)域的專項(xiàng)審核，內(nèi)部審計(jì)人員可以采用以采用擴(kuò)展該領(lǐng)域的一般控制審核程序擴(kuò)展該領(lǐng)域的一般控制審核程序并在必要時(shí)執(zhí)行并在必要時(shí)執(zhí)行額額外的審計(jì)測(cè)試外的審計(jì)測(cè)試。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李

53、棟輝4.4.法律法規(guī)的遵循性審計(jì)法律法規(guī)的遵循性審計(jì)v 對(duì)信息系統(tǒng)進(jìn)行法律法規(guī)的遵循性審核對(duì)信息系統(tǒng)進(jìn)行法律法規(guī)的遵循性審核通?？梢院喜⒃诔跬ǔ？梢院喜⒃诔醪降幕蛟敿?xì)的一般控制審核中步的或詳細(xì)的一般控制審核中，但是內(nèi)部審計(jì)必須，但是內(nèi)部審計(jì)必須熟知熟知政政府部門發(fā)布的、對(duì)審計(jì)提出要求的府部門發(fā)布的、對(duì)審計(jì)提出要求的相關(guān)規(guī)程和規(guī)章制度相關(guān)規(guī)程和規(guī)章制度。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（二）小型商務(wù)系統(tǒng)的一般控制審計(jì)（二）小型商務(wù)系統(tǒng)的一般控制審計(jì)v 規(guī)模小，職責(zé)分離不嚴(yán)格，因此針對(duì)小型商務(wù)系統(tǒng)的一般規(guī)模小，職責(zé)分離不嚴(yán)格，因此

54、針對(duì)小型商務(wù)系統(tǒng)的一般控制審計(jì)具有自己的特點(diǎn)：控制審計(jì)具有自己的特點(diǎn)： 對(duì)小型商務(wù)系統(tǒng)數(shù)據(jù)和程序訪問權(quán)限控制的審計(jì)；對(duì)小型商務(wù)系統(tǒng)數(shù)據(jù)和程序訪問權(quán)限控制的審計(jì)； 對(duì)通過工作站非法訪問數(shù)據(jù)情況的審核；對(duì)通過工作站非法訪問數(shù)據(jù)情況的審核； 對(duì)正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形進(jìn)行的審計(jì)對(duì)正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形進(jìn)行的審計(jì)三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝1.1.對(duì)小型商務(wù)系統(tǒng)對(duì)小型商務(wù)系統(tǒng)數(shù)據(jù)和程序訪問權(quán)限控制數(shù)據(jù)和程序訪問權(quán)限控制的審計(jì)的審計(jì)v 內(nèi)部審計(jì)人員應(yīng)該把對(duì)內(nèi)部審計(jì)人員應(yīng)該把對(duì)數(shù)據(jù)和程序的訪問權(quán)限設(shè)置數(shù)據(jù)和程序的訪問

55、權(quán)限設(shè)置視為最視為最主要的一般控制目標(biāo)，特別要注意查明信息系統(tǒng)部門的系主要的一般控制目標(biāo)，特別要注意查明信息系統(tǒng)部門的系統(tǒng)軟件是統(tǒng)軟件是外購(gòu)還是自行開發(fā)外購(gòu)還是自行開發(fā)，審核不同來源的系統(tǒng)軟件的，審核不同來源的系統(tǒng)軟件的訪問權(quán)限的適當(dāng)性。訪問權(quán)限的適當(dāng)性。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝2.2.對(duì)通過工作站對(duì)通過工作站非法訪問數(shù)據(jù)情況非法訪問數(shù)據(jù)情況的審核的審核v 首先，內(nèi)部審計(jì)人員應(yīng)了解首先，內(nèi)部審計(jì)人員應(yīng)了解管理者對(duì)信息系統(tǒng)權(quán)限控制管理者對(duì)信息系統(tǒng)權(quán)限控制的的重視程度重視程度，查詢有，查詢有權(quán)訪問系統(tǒng)管理員菜單的人員權(quán)訪問

56、系統(tǒng)管理員菜單的人員；v 其次，應(yīng)了解組織安裝的其次，應(yīng)了解組織安裝的數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全系統(tǒng)以及以及數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)安全系統(tǒng)在整個(gè)組織信息系統(tǒng)中是如何建立的在整個(gè)組織信息系統(tǒng)中是如何建立的；v 最后，內(nèi)部審計(jì)人員應(yīng)確定最后，內(nèi)部審計(jì)人員應(yīng)確定系統(tǒng)的使用方法系統(tǒng)的使用方法，具體地，可，具體地，可以審核以審核更改系統(tǒng)登錄更改系統(tǒng)登錄的方法。的方法。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝3.3.對(duì)對(duì)正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形正常訪問信息系統(tǒng)數(shù)據(jù)和程序的情形進(jìn)行的審計(jì)進(jìn)行的審計(jì)v 小型系統(tǒng)的不規(guī)范會(huì)使得一些用戶通過或正常的信息系統(tǒng)小

57、型系統(tǒng)的不規(guī)范會(huì)使得一些用戶通過或正常的信息系統(tǒng)操作就可以訪問未經(jīng)授權(quán)的數(shù)據(jù)。這種通過正常途徑獲得操作就可以訪問未經(jīng)授權(quán)的數(shù)據(jù)。這種通過正常途徑獲得非法數(shù)據(jù)產(chǎn)生的控制風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于通過非法途徑獲得數(shù)據(jù)非法數(shù)據(jù)產(chǎn)生的控制風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于通過非法途徑獲得數(shù)據(jù)的風(fēng)險(xiǎn)。的風(fēng)險(xiǎn)。v 內(nèi)部審計(jì)人員要控制審計(jì)風(fēng)險(xiǎn)，就應(yīng)該內(nèi)部審計(jì)人員要控制審計(jì)風(fēng)險(xiǎn)，就應(yīng)該安裝合適的應(yīng)用程安裝合適的應(yīng)用程序，使得系統(tǒng)日志記錄所有程序的變更和程序庫(kù)的軟件包序，使得系統(tǒng)日志記錄所有程序的變更和程序庫(kù)的軟件包更新更新，實(shí)際審計(jì)時(shí)就比較有針對(duì)性。，實(shí)際審計(jì)時(shí)就比較有針對(duì)性。三、信息系統(tǒng)的一般控制與應(yīng)用控制三、信息系統(tǒng)的一般控制與應(yīng)用控制商學(xué)

58、院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝 一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響一、信息系統(tǒng)環(huán)境對(duì)內(nèi)部審計(jì)的影響 二、與內(nèi)部審計(jì)相關(guān)的信息二、與內(nèi)部審計(jì)相關(guān)的信息技術(shù)技術(shù) 三、信息系統(tǒng)一般控制的審計(jì)三、信息系統(tǒng)一般控制的審計(jì) 四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)第第2 2節(jié)節(jié). .信息系統(tǒng)審計(jì)要點(diǎn)信息系統(tǒng)審計(jì)要點(diǎn)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（一）選擇內(nèi)部審計(jì)要審核的應(yīng)用程序（一）選擇內(nèi)部審計(jì)要審核的應(yīng)用程序1.1.管理層的要求管理層的要求v 內(nèi)部審計(jì)人員一般內(nèi)部審計(jì)人員一般應(yīng)管理層的要求優(yōu)先考慮新建和重要的應(yīng)用應(yīng)管理層的要求優(yōu)先考慮新建和重要的應(yīng)用程序控制的審計(jì)程序控制的審計(jì)。2.2

59、.新投入的應(yīng)用程序新投入的應(yīng)用程序v 新投入的應(yīng)用程序在使用之前，內(nèi)部審計(jì)人員一般要對(duì)其控制新投入的應(yīng)用程序在使用之前，內(nèi)部審計(jì)人員一般要對(duì)其控制作用進(jìn)行審計(jì)，做到作用進(jìn)行審計(jì)，做到事前控制事前控制，從而減少程序投入使用后組織，從而減少程序投入使用后組織的控制風(fēng)險(xiǎn)和內(nèi)部審計(jì)風(fēng)險(xiǎn)。的控制風(fēng)險(xiǎn)和內(nèi)部審計(jì)風(fēng)險(xiǎn)。四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝3.3.關(guān)鍵的應(yīng)用程序關(guān)鍵的應(yīng)用程序v 對(duì)于關(guān)鍵性的應(yīng)用程序，要對(duì)于關(guān)鍵性的應(yīng)用程序，要經(jīng)常性的進(jìn)行控制審核經(jīng)常性的進(jìn)行控制審核。以免。以免關(guān)鍵程序的控制失效給組織帶來較大風(fēng)險(xiǎn)。關(guān)鍵程序的控制失效給組織帶來

60、較大風(fēng)險(xiǎn)。四、信息系統(tǒng)應(yīng)用控制的審計(jì)四、信息系統(tǒng)應(yīng)用控制的審計(jì)商學(xué)院會(huì)計(jì)系李棟輝商學(xué)院會(huì)計(jì)系李棟輝（二）執(zhí)行內(nèi)部審計(jì)的（二）執(zhí)行內(nèi)部審計(jì)的初步審核初步審核工作工作1.1.審核關(guān)鍵的應(yīng)用程序記錄審核關(guān)鍵的應(yīng)用程序記錄v 內(nèi)部審計(jì)人員在執(zhí)行審核的過程當(dāng)中，一般應(yīng)審核內(nèi)部審計(jì)人員在執(zhí)行審核的過程當(dāng)中，一般應(yīng)審核系統(tǒng)開發(fā)系統(tǒng)開發(fā)方法初始化文本、功能設(shè)計(jì)說明書、程序更改記錄、用戶文方法初始化文本、功能設(shè)計(jì)說明書、程序更改記錄、用戶文本手冊(cè)本手冊(cè)等。等。2.2.進(jìn)行應(yīng)用程序的進(jìn)行應(yīng)用程序的穿行測(cè)試穿行測(cè)試v 總體了解了應(yīng)用程序的基礎(chǔ)上，從組織系統(tǒng)中挑選關(guān)鍵的交總體了解了應(yīng)用程序的基礎(chǔ)上，從組織系統(tǒng)中挑選關(guān)