會計信息系統(tǒng)第20章會計信息系統(tǒng)評估

1、會計信息系統(tǒng) 第二十章會計信息系統(tǒng)評估20CHAPTER第一節(jié)會計信息系統(tǒng)評估的概念一、信息系統(tǒng)評估的研究現(xiàn)狀 二、信息系統(tǒng)評估的內(nèi)容1.系統(tǒng)性能評估 2.業(yè)務(wù)支持評估 3.應(yīng)用環(huán)境評估 4.效益評估 5.經(jīng)驗(yàn)和建議 三、建立科學(xué)的信息系統(tǒng)評估指標(biāo)體系圖20-1企業(yè)信息系統(tǒng)評價指標(biāo)體系構(gòu)成第二節(jié)會計信息系統(tǒng)評估的方法一、會計信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測試 1.實(shí)質(zhì)性測試的范圍審計人員在對計算機(jī)會計信息系統(tǒng)的內(nèi)部控制進(jìn)行符合性測試后，需將測試結(jié)果與初步評估的結(jié)果相對比，重新確定內(nèi)部控制的可靠性，并據(jù)此確定實(shí)質(zhì)性測試的范圍。一般情況下，符合性測試表明：內(nèi)部控制的可信賴程度越高，實(shí)質(zhì)性測試的范圍就越小

2、；反之，內(nèi)部控制的可信賴程度越低，實(shí)質(zhì)性測試的范圍就越大。當(dāng)審計人員認(rèn)為內(nèi)部控制完全不可靠或沒有必要依賴內(nèi)部控制時，則可以直接進(jìn)行實(shí)質(zhì)性測試。第二節(jié)會計信息系統(tǒng)評估的方法一、會計信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測試 在計算機(jī)會計信息系統(tǒng)下，審計人員確定實(shí)質(zhì)性測試的范圍要考慮兩個方面：一是測試哪些數(shù)據(jù)文件；二是對需要測試的數(shù)據(jù)文件抽取多大的樣本量。前者取決于被審計單位應(yīng)用的系統(tǒng)、經(jīng)濟(jì)業(yè)務(wù)類型、內(nèi)部控制的強(qiáng)弱；后者取決于內(nèi)部控制的可靠程度和經(jīng)濟(jì)業(yè)務(wù)量的大小，需采用審計抽樣技術(shù)加以確定。在實(shí)務(wù)中，審計人員從數(shù)據(jù)文件中抽取數(shù)據(jù)記錄所遵循的標(biāo)準(zhǔn)有：（1）重要性，應(yīng)抽取數(shù)額較大的或性質(zhì)重要的數(shù)據(jù)記錄進(jìn)行測試；（2

3、）敏感性，應(yīng)抽取外界群體比較敏感的數(shù)據(jù)記錄進(jìn)行檢查；（3）隨機(jī)抽樣，應(yīng)按照統(tǒng)計抽樣原理進(jìn)行隨機(jī)抽樣或分層抽樣；（4）異?；蚶忭?xiàng)目，通過分析性復(fù)核選取異?；蚶忭?xiàng)目數(shù)據(jù)進(jìn)行測試。第二節(jié)會計信息系統(tǒng)評估的方法一、會計信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測試 2.實(shí)質(zhì)性測試的時間審計人員在確定何時進(jìn)行實(shí)質(zhì)性測試時應(yīng)考慮：（1）數(shù)據(jù)文件的保留時間，應(yīng)在數(shù)據(jù)文件被清理前進(jìn)行測試；（2）被審計單位報表報送的時間，審計人員要對被審計單位的會計報表發(fā)表審計意見，應(yīng)在報表報送之前進(jìn)行測試；（3）系統(tǒng)變化的時間，應(yīng)在系統(tǒng)變化之前完成測試；（4）通過審計風(fēng)險的評估，如果可接受的檢查風(fēng)險水平高，則實(shí)質(zhì)性測試可以期中審計為主，若

4、可接受的檢查風(fēng)險水平低，則實(shí)質(zhì)性測試應(yīng)以期末審計和期后審計為主。3.實(shí)質(zhì)性測試的方法圖20-2輔助審計的簡要程序第二節(jié)會計信息系統(tǒng)評估的方法一、會計信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測試 4.檢測數(shù)據(jù)法所謂檢測數(shù)據(jù)法，是指審計人員把一批先設(shè)計好的檢測數(shù)據(jù)，利用被審計程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審計程序的控制與處理功能是否恰當(dāng)、有效的一種方法。檢測數(shù)據(jù)法可以用來審查會計信息系統(tǒng)的全部程序，也可用來審查個別程序，還可以用來審查某個程序中的某個或某幾個控制措施，以確定這些控制是否能發(fā)揮有效功能。（1）數(shù)據(jù)來源與內(nèi)容 （2）實(shí)施測試與對比分析 （3）運(yùn)用檢測數(shù)據(jù)法應(yīng)注意的問題 第二節(jié)

5、會計信息系統(tǒng)評估的方法二、信息系統(tǒng)評估理論的不足信息系統(tǒng)評估理論從引入評估思想到如今指導(dǎo)企業(yè)評估實(shí)踐，經(jīng)歷了很長的發(fā)展階段。從企業(yè)的成本、效益分析受到啟發(fā)產(chǎn)生經(jīng)濟(jì)效益分析及其評估指標(biāo)，到后來從戰(zhàn)略高度、從促進(jìn)企業(yè)管理決策的角度對整個企業(yè)信息系統(tǒng)建設(shè)過程進(jìn)行分析評估，到現(xiàn)在以復(fù)雜系統(tǒng)的觀點(diǎn)看待信息系統(tǒng)評估工程，力求對企業(yè)信息系統(tǒng)做出客觀、全面、準(zhǔn)確、完善的評估。通常認(rèn)為信息系統(tǒng)評估體系的滯后和不完善是企業(yè)信息系統(tǒng)建設(shè)中的關(guān)鍵問題。第二節(jié)會計信息系統(tǒng)評估的方法三、從計算機(jī)舞弊看評估的重要性 （一）計算機(jī)舞弊的類型1.根據(jù)在舞弊行為中計算機(jī)是否受到傷害（1）將計算機(jī)信息系統(tǒng)作為舞弊工具而實(shí)施的舞弊。

6、（2）以計算機(jī)資產(chǎn)和信息系統(tǒng)本身為攻擊對象的舞弊。2.根據(jù)計算機(jī)信息系統(tǒng)舞弊的目的（1）計算機(jī)操縱。在于牟利、更改或者盜用計算機(jī)存儲的信息資料。（2）計算機(jī)破壞。破壞計算機(jī)操作程序和計算機(jī)硬件系統(tǒng)。（3）計算機(jī)竊密。非法取得或者運(yùn)作計算機(jī)信息和資料，有目的地竊取他人機(jī)密（包括商業(yè)、軍事以及個人秘密）。第二節(jié)會計信息系統(tǒng)評估的方法三、從計算機(jī)舞弊看評估的重要性 3.根據(jù)計算機(jī)信息系統(tǒng)舞弊指向的具體對象（1）向計算機(jī)信息系統(tǒng)輸入欺騙性的虛假數(shù)據(jù)和記錄。（2）未經(jīng)批準(zhǔn)手續(xù)就使用計算機(jī)信息系統(tǒng)資源。（3）篡改或者竊取信息和文件。（4）盜竊或詐騙系統(tǒng)中的電子貨幣。（5）破壞計算機(jī)資產(chǎn)。第二節(jié)會計信息系統(tǒng)

7、評估的方法三、從計算機(jī)舞弊看評估的重要性 4.根據(jù)計算機(jī)信息系統(tǒng)舞弊的效果（1）程序、數(shù)據(jù)以及各種設(shè)備實(shí)體的物理性破壞。（2）用計算機(jī)盜竊資金。（3）更改程序或者數(shù)據(jù)。（4）盜用計算機(jī)資源。（5）利用計算機(jī)進(jìn)行信用卡犯罪。第二節(jié)會計信息系統(tǒng)評估的方法三、從計算機(jī)舞弊看評估的重要性 5.根據(jù)計算機(jī)信息舞弊入侵系統(tǒng)的途徑（1）輸入類舞弊（import fraud），指發(fā)生在系統(tǒng)輸入環(huán)節(jié)的舞弊行為，通過偽造，篡改、冒充他人身份或者輸入虛假數(shù)據(jù)達(dá)到非法目的。（2）程序類舞弊（program fraud），指利用程序軟件手段，通過篡改、添加或者刪除系統(tǒng)達(dá)到舞弊目的的行為。（3）輸出型舞弊（export

8、fraud），指發(fā)生在系統(tǒng)輸出環(huán)節(jié)的舞弊行為，大多通過篡改系統(tǒng)輸出報告、盜用系統(tǒng)重要信息、竊取系統(tǒng)機(jī)密等方式實(shí)現(xiàn)其目的。（4）接觸類舞弊（operations fraud），又叫操作類舞弊，指通過非法接觸計算機(jī)信息系統(tǒng)達(dá)到舞弊目的的行為。第二節(jié)會計信息系統(tǒng)評估的方法三、從計算機(jī)舞弊看評估的重要性 （二）計算機(jī)舞弊的方法計算機(jī)信息系統(tǒng)舞弊的類型雖然不外乎以上幾種，但是具體的手段卻是五花八門，如截尾術(shù)、特洛伊木馬術(shù)、意大利香腸術(shù)、數(shù)據(jù)欺騙、冒名頂替、邏輯炸彈、活動天窗、“后門”、超級法、清掃術(shù)、計算機(jī)病毒、順手牽羊及信用卡犯罪等。每一種類型都有著不同的舞弊手法。其中很多手段是極其專業(yè)化和智能化的，

9、需要極高的專業(yè)技巧，顯得非常高明和復(fù)雜。這是信息系統(tǒng)舞弊區(qū)別于傳統(tǒng)舞弊手法最明顯的特點(diǎn)。只有了解這些手段，才能對癥下藥，采取有效的措施預(yù)防和控制這些舞弊行為。第二節(jié)會計信息系統(tǒng)評估的方法下面對計算機(jī)舞弊的方法進(jìn)行簡單介紹：截尾術(shù) 特洛伊木馬術(shù) 意大利香腸術(shù)（salami technique） 數(shù)據(jù)欺騙 冒名頂替 邏輯炸彈 活動天窗 “后門” 超級法 清掃術(shù)第二節(jié)會計信息系統(tǒng)評估的方法（三）計算機(jī)舞弊的控制對策 1.建立健全有效的信息系統(tǒng)內(nèi)部控制制度 （1）各種規(guī)章制度的制定要做到切實(shí)、有效、具體、有針對性和可操作性。（2）內(nèi)部控制制度要嚴(yán)格控制，從管理層做好，不能因人而異，搞特殊化。（3）管理層應(yīng)當(dāng)切實(shí)教育所有員工了解計算機(jī)信息系統(tǒng)安全的重要性及計算機(jī)犯罪的危害性，使整個組織高度重視系統(tǒng)的安全問題。（4）及時聽取內(nèi)外部審計人員的意見，對內(nèi)部控制系統(tǒng)的薄弱環(huán)節(jié)加以完善。（5）實(shí)行輪崗制度，定期調(diào)整內(nèi)部控制人員的監(jiān)管權(quán)限，避免少數(shù)人鉆制度的空子，防止發(fā)生內(nèi)外合謀行為。第二節(jié)會計信息系統(tǒng)評估的方法三、從計算機(jī)舞