第十三章会计信息系统的内部控制和审计.ppt

《第十三章会计信息系统的内部控制和审计.ppt》由会员分享，可在线阅读，更多相关《第十三章会计信息系统的内部控制和审计.ppt（134页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第五编第五编 会计信息系统的安全会计信息系统的安全 第十三章第十三章 会计信息系统的内部控制会计信息系统的内部控制和审计和审计第一节第一节 会计信息系统的内部控制会计信息系统的内部控制 l内部控制的概念内部控制的概念（一）控制及其组成部分l1、标准部分l2、感应部分l3、比较部分l4、受动部分系统的输入环节系统的处理环节系统的输出环节控制的感应部分控制的比较部分控制的标准部分控制的受动部分（二）内部控制的定义和目的l1、保证业务活动按照适当的授权进行。l2、保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。l3、保证对资产和记录的接触

2、、处理均经过适当的授权。l4、保证账面资产与实存资产定期核对相符。l（三）内部控制和审计风险可接受的检查风险实质性测试性质时间范围高分析性复核和交易测试为主期中审计为主较少样本较少证据中分析性复核、交易测试以及余额测试结合运用期中审计、期末审计和期后审计结合运用适中样本适量证据低余额测试为主期末审计和期后审计为主较大样本较多证据l内部控制的分类内部控制的分类一般控制、应用控制l1、一般控制（1）组织控制（2）操作控制（3）硬件及系统软件控制（4）系统安全控制（5）应用系统开发和维护控制l2、应用控制（1）输入控制（2）计算机处理与数据文件控制（3）输出控制l内部控制的基本原理内部控制的基本原理

3、（一）业务流程的分工（二）业务执行各个不同阶段的分工（三）记录的分工（四）资产的保管和记录的分工（五）员工的轮岗l会计信息系统中存在的风险会计信息系统中存在的风险（一）存储介质不同引起的风险（二）远程通信能力带来的风险（三）处理能力不同带来的风险（四）处理的一体化带来的风险（五）缺乏直觉带来的风险l风险管理计划风险管理计划识别风险计量风险制订应对措施分析应对措施的成本选择合适的应对措施制订应急计划实施风险管理计划监控风险管理计划的效果监控未被识别的风险会计信息系统的一般控制会计信息系统的一般控制组织控制组织控制 l组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。l一、电算化部

4、门和用户部门职能的分离一、电算化部门和用户部门职能的分离（一）用户部门的职能l用户部门依然负责业务的授权、产生、执行、记录、资产的保管等。用户部门内部的职能分离基本上同手工系统。组织控制组织控制（二）电算化部门的职能l电算化部门负责电算化信息系统的建立、使用和管理。当然，在建立一个新的电算化系统或者对现有电算化系统进行修改时，需要用户部门的积极参与。组织控制组织控制（三）用户部门和电算化部门之间的关系l1、电算化部门根据用户部门的需要进行数据的处理。l2、当然，用户部门也可以将已经产生的原始数据进行整理并转化为计算机可读的形式，然后传递给电算化部门。l3、电算化部门只能根据用户部门的要求进行数

5、据的输入、处理和输出，而不能自行增加、修改或减少相应的数据。l4、电算化部门和用户部门保持独立，用户部门不可以根据自己的需要自行修改处理结果或者处理程序。组织控制组织控制（四）对错误的处理方法l在数据处理过程中发生的错误，除了由于电算化部门人员的误操作而产生的错误可以由电算化部门自行改正外，其他错误均不能由电算化部门人员改正，而必须交由用户部门的人员进行判断和修改。也就是说，错误是由哪个部门造成的，就责成哪个部门修改。组织控制组织控制l二、电算化部门内部的职能分离二、电算化部门内部的职能分离（一）电算化信息系统开发小组l电算化信息系统开发小组负责电算化信息系统的建立和维护工作。小组成员包括系统

6、分析员、系统设计员、程序员、数据库管理员等。（二）电算化信息系统使用小组l电算化信息系统使用小组负责电算化信息系统的日常操作和处理工作。小组成员包括数据输入人员、数据处理人员、数据控制人员、数据资料保管人员等。组织控制组织控制l三、加强对员工的管理三、加强对员工的管理（一）强化安全意识l1、要在企业文化中提倡、培育安全观念。l2、在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。l3、在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工，在聘用合同中要列明责任。l4、要加强领导的管理和内部审计部门的监督。组织

7、控制组织控制（二）识别敏感岗位l1、该岗位接触到关键资源的机会l2、是否能够有实施舞弊行为的时间l3、作为个人是否具有舞弊的能力l4、作为个人是否具有舞弊的动机组织控制组织控制（三）加强对敏感岗位的控制l1、聘用员工时要仔细考核，不仅考核其业务水平，还要考核其品质。l2、岗位轮换。定期或不定期地实行岗位轮换。l3、强制休假。l4、计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。l5、进一步加强内部审计和监控。组织控制组织控制如果发现员工出现下列情形，并不一定意味着员工有舞弊行为，但可能需要格外关注和注意观察：l1、富裕程度明显超出工资和等级水平。l2、消费习惯从节俭突然变得大手大脚

8、。l3、和竞争对手企业联系紧密。l4、对企业和领导不在乎，经常迟到早退，不尊重领导等。l5、即使没有必要也经常找借口留下来加班。组织控制组织控制l四、财政部关于电算化会计工作中组织四、财政部关于电算化会计工作中组织控制方面的规定控制方面的规定财政部在会计电算化工作规范中规定：“由于财务会计部门处理的数据量大、数据结构复杂、处理方法要求严格和安全性要求高，各单位用于会计电算化工作的电子计算机设备，应由财务部门管理。硬件设备比较多的单位，财务会计部门可单独设立计算机室。”组织控制组织控制会计电算化后的工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位可包括：会计主管、出纳、会计核算各岗、稽核

9、、会计档案管理等工作岗位。电算化会计岗位包括直接管理、操作、维护计算机及会计软件系统的工作岗位。电算化会计岗位一般可划分为：电算主管、软件操作、审核记账、电算维护、电算审查、数据分析。操作控制操作控制 l操作控制指通过操作手册和操作程序等的严格规定和遵从，从而保证电算化信息系统操作上的正确性。操作控制操作控制l一、操作控制的基本内容一、操作控制的基本内容（一）严格的上机操作手册（二）严格的软件操作规程（三）硬件和软件的使用记录制度（四）系统的运行指标的考核（五）定期的维护和保养（六）系统错误记录和分析报告（七）保证机房设施安全和电子计算机正常运转的措施（八）会计数据和会计核算软件安全保密的措施

10、操作控制操作控制l二二、财财政政部部关关于于电电算算化化会会计计工工作作中中操操作作控控制制方方面的规定面的规定（一）建立会计电算化操作管理制度l1、明确规定上机操作对会计软件的操作内容和权限，对操作密码要严格管理，指定专人定期更换密码，杜绝未经授权人员操作会计软件。l2、预防已输入计算机的原始凭证和记账凭证等会计数据未经审核而登记机内账簿。l3、操作人员离开机房前，应执行相应命令退出会计软件。l4、根据本单位实际情况，由专人保存必要的上机操作记录，记录操作人、操作时间、操作内容、故障情况等内容。操作控制操作控制（二）建立计算机硬件、软件和数据管理制度l1、保证机房设备安全和计算机正常运行是进

11、行会计电算化的前提条件，要经常对有关设备进行保养，保持机房和设备的整洁，防止意外事故的发生。l2、确保会计数据和会计软件的安全保密，防止对数据和软件的非法修改和删除，对磁性介质存放的数据要保存双备份。l3、对正在使用的会计核算软件进行修改，对通用会计核算软件进行升版和计算机硬件设备进行更换等工作，要有一定的审批手续；在软件修改、升版和硬件更换过程中，要保证实际会计数据的连续和安全，并由有关人员进行监督。l4、健全计算机硬件和软件出现故障时进行排除的管理措施，保证会计数据的完整性。l5、健全必要的防治计算机病毒的措施。硬件及系统软件控制硬件及系统软件控制 l硬件及系统软件控制概述硬件及系统软件控

12、制概述系统安全控制系统安全控制 l电算化信息系统的安全问题，指组成电算化信息系统的各方面资源的安全问题。包括：硬件、软件、数据、人员。系统安全控制系统安全控制l一、硬件的安全一、硬件的安全（一）硬件运行环境的控制l1、机房环境l2、火灾l3、水灾l4、灰尘l5、恶劣天气l6、电磁波l7、静电系统安全控制系统安全控制（二）硬件防护l1、计算机系统对供电电源的要求（1）直接供电（2）经过隔离变压器供电（3）交流稳压器供电（4）不间断电源（UPS）供电l2、双重系统系统安全控制系统安全控制（三）硬件接触控制l1、机房地址不要选择在人流热闹的地方。l2、对机房加锁。l3、对进出机房的人采用身份识别技术

13、。l4、采用闭路电视进行多角度的监控。l5、计算机设备上可以加上标签，这样当有人试图将其带出时，会发出警报。系统安全控制系统安全控制l二、软件的安全二、软件的安全（一）软件的接触控制l1、采用口令控制方式（1）口令应该定期更改。（2）口令的位数不应该过短。（3）口令的设置不要和使用者的个人情况有太多的联系。（4）口令不要传播给别人。（5）系统要对口令输错的情况进行监控和分析，防止有人蓄意试探口令。系统安全控制系统安全控制l2、采用权限控制方式（二）防止计算机病毒的侵害l1、加强机房管理，避免使用来路不明的软盘和非法拷贝的软件，也不要接收异常的电子邮件，在下载时也要小心；l2、购置反病毒软件，经

14、常对硬盘和软盘进行病毒检测；l3、对重要资料进行经常的备份；l4、确定自己的危险程度，制定一旦病毒入侵需要采取的方案，制定相应的恢复措施。系统安全控制系统安全控制公安部于2000年发布了计算机病毒防治管理办法。办法明确规定，任何单位和个人不得制作计算机病毒，也不得有下列传播计算机病毒的行为：（1）故意输入计算机病毒，危害计算机信息系统安全；（2）向他人提供含有计算机病毒的文件、软件、媒体；（3）销售、出售、附赠含有计算机病毒的媒体；（4）其他传播计算机病毒的行为。这里的媒体是指计算机软盘、硬盘、磁带、光盘等。违规者将受到公安机关的处罚。系统安全控制系统安全控制任何单位和个人在从计算机信息网络上

15、下载程序、数据或者购置、维护、借入计算机设备时，应当进行计算机病毒检测。对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故应该及时向公安机关报告，并保护现场。系统安全控制系统安全控制l三、数据的安全三、数据的安全（一）数据的接触控制l1、口令控制方式l2、加强对存储介质的管理l3、磁介质上数据的加密保护硬加密技术系统安全控制系统安全控制l（二）数据的加密l1、数据的加密和解密（1）密钥的管理（2）加密/解密算法的设计l2、数据的完整性系统安全控制系统安全控制l（三）数据的备份制度l1、临时的方法：偶尔将个人文件拷贝到软盘上。l2、谨慎的方法：定期进行备份拷贝。l3、专业的方法

16、：祖父/父亲/儿子方案。ll（四）防止计算机病毒的侵害系统安全控制系统安全控制l四、人员的安全四、人员的安全工作在电算化信息系统环境下的人员可能会遭到一些安全问题。重复性紧张损伤应该考虑人类工程学。系统安全控制系统安全控制l五、财政部的相关规定五、财政部的相关规定l（一）会计电算化工作规范中的相关规定l在财政部制订的会计电算化工作规范中，规定了有关会计档案管理制度：l1、电算化会计档案，包括存储在计算机硬盘中的会计数据以及其他磁性介质或光盘存储的会计数据和计算机打印出来的书面等形式的会计数据。会计数据是指记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据。系统安全控制系统安全控制l2

17、、电算化会计档案管理是重要的会计基础工作，要严格按照财政部有关规定的要求对会计档案进行管理，由专人负责。l3、对电算化会计档案管理要做好防磁、防火、防潮和防尘工作，重要会计档案应准备双份，存放在两个不同的地方。l4、采用磁性介质保存会计档案，要定期进行检查，定期进行复制，防止由于磁性介质损坏，而使会计档案丢失。系统安全控制系统安全控制l5、通用会计软件，定点开发会计软件、通用与定点开发相结合会计软件的全套文档资料以及会计软件程序，视同会计档案保管，保管期截止到该软件停止使用或有重大更改之后的五年。l（二）会计核算软件基本功能规范中的相关规定系统安全控制系统安全控制l财政部在会计核算软件基本功能

18、规范中对数据安全控制作了具体规定：l1、会计核算软件具有按照初始化功能中的设定，防止非指定人员擅自使用的功能，和对指定操作人员实行权限控制的功能。l2、会计核算软件遇有以下情况时，应予提示，并保持正常运行：l（1）会计核算软件在执行备份功能时，存储介质无存储空间、数据磁带或者软磁盘未插入、软磁盘贴有写保护标签；系统安全控制系统安全控制l（2）会计核算软件执行打印时，打印机未联接或未打开电源开关；l（3）会计核算软件操作过程中，输入了与软件当前要求输入项目不相关的数字或字符。l3、对存储在磁性介质或者其他介质上的程序文件和相应的数据文件，会计核算软件应当有必要的加密或者其他保护措施，以防止被非法

19、篡改。一旦发现程序文件和相应的数据文件被非法篡改，应当能够利用标准程序和备份数据，恢复会计核算软件的运行。系统安全控制系统安全控制l4、会计核算软件应当具有在计算机发生故障或者由于强行关机及其他原因引起内存和外存会计数据被破坏的情况下，利用现有数据恢复到最近状态的功能。会计信息系统的应用控制会计信息系统的应用控制应用控制概述应用控制概述 l每一个具体的应用程序所要解决的问题是不同的，所涉及到的数据和处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控制，就是应用控制。应用控制概述应用控制概述l应用控制的目的在于：l1、保证所有经过审核批准的交易均经处理完毕，并且每一项交易只处理一次

20、。l2、保证交易资料的完整和正确。l3、保证交易的处理正确无误，符合要求。l4、保证处理的结果用于预定的用途，并能产生预期的效益。l5、保证应用程序能正常运作，并持续维护其功能。应用控制概述应用控制概述l应用控制和一般控制是相互支持的。一般控制着重于对整体环境的控制，而应用控制着重于对其中具体环节的控制。输入控制输入控制 l一、输入控制的重要性一、输入控制的重要性l应用控制最为强调的控制环节就是输入应用控制最为强调的控制环节就是输入环节的控制。环节的控制。输入控制输入控制l二、会计信息系统的输入控制方法二、会计信息系统的输入控制方法输入控制的目的是保证输入工作的正确性、完整性和经过授权。输入控

21、制要针对输入数据中的重要字段进行。输入控制输入控制l（一）批控制总数的方法l1、数量、金额控制总数l2、记录数控制总数l3、杂项控制总数l批控制总数的方法并不仅仅适用于批处理方式，也完全可以在联机实时方式下采用。同样，批控制总数的方法也并不仅仅适用于输入环节的控制，同样也可以在处理和输出环节采用。输入控制输入控制l（二）输入画面友好l人机的交流可以采用的具体方式分为：l1、问答的方式l2、菜单的方式l3、填表的方式l4、图形化用户界面输入控制输入控制l具体到会计信息系统的输入问题，有的时候采用菜单驱动的方式选择需要的处理功能，有的时候采用回答问题的方式决定是否进行某项处理，但更多的是采用填表的

22、方式。l要考虑到用户的接受程度。l可以考虑尽可能将输入画面和用户所熟悉的纸质凭证相一致。l在会计信息系统的输入画面设计中，越来越多地采用了图形化用户界面的技术。输入控制输入控制l（三）存在性校验l存在性校验要求在初始化时在会计信息系统中建立一个会计科目名称和会计科目代码一一对应的会计科目词典库。输入控制输入控制l（四）校验位校验l在会计信息系统中广泛用到代码。这些代码的形式大多是数字型。l所谓校验位，是在原来代码的最后加上的一位。加上这一位后，使得整个的代码（连同校验位）具有某种数学的特征，比如，可以被某个数整除。l1、首先对每位代码加权l2、然后取模输入控制输入控制l（五）对应关系检查l记账

23、凭证存在着借方科目和贷方科目这两个方面的对应关系。l可以对凭证种类和其借贷方进行检查输入控制输入控制l（六）平衡关系校验l会计中广泛存在着平衡关系。可以利用这些平衡关系进行检查。输入控制输入控制l（七）界限、极值校验l会计信息系统中有些字段的取值是有一定界限或极值的。输入控制输入控制l（八）完整性校验l输入时有些字段是一定要输入的。l在记账之前，软件应该检查审核字段是否已经填有内容。l完整性校验还包括检查凭证是否“有借有贷”。l对于授权的检查也是一种完整性校验。输入控制输入控制l（九）连续性校验l有些字段项目是连续的。对于这些连续的字段项目，可以进行顺序检查，以查找出跳号、重复号、空号等情况。

24、输入控制输入控制l（十）静态检查法l对于已经输入计算机的信息，可以通过屏幕将这些信息一条一条地调出来进行逐一的检查，也可以以清单的方式打印出来进行对照。输入控制输入控制l（十一）二次输入法l二次输入法指对于重要的记录或者字段可以分别由两个不同的操作人员进行输入，输入完成以后再进行匹配检查，看是否完全一致。输入控制输入控制l三、会计信息系统输入控制中要注意的三、会计信息系统输入控制中要注意的问题问题l这些控制方法并不能够保证会计信息系统的输入环节完全正确。l这些方法的综合运用要比单独只采用某一种方法要好，更为全面。l另外，对于在输入控制中检查出来的错误信息的处理，必须非常慎重。输入控制输入控制l

25、要对错误的信息进行跟踪管理，要检查这些错误的信息是否退回到相关的负责部门进行检查、更正，是否重新输入，是否没有遗漏，是否没有重复，更正后是否正确等。l如果采用的是控制总数的控制方法，则在控制总数中需要扣除这些错误的、留待下个批次处理的数据。l在用户部门和电算部门都会设置控制岗位对输入环节进行检查。输入控制输入控制l四、财政部对于输入控制的具体规定四、财政部对于输入控制的具体规定l（一）初始化功能运行结束后，会计核算软件必须提供必要的方法对初始数据进行正确性校验。l（二）会计核算软件中采用的总分类会计科目名称、编号方法，必须符合国家统一会计制度的规定。l（三）输入的记账凭证的格式和种类应当符合国

26、家统一会计制度的规定。l（四）会计核算软件应当对记账凭证编号的连续性进行控制。输入控制输入控制l（五）在输入记账凭证过程中，会计核算软件必须提供以下提示功能：l1、正在输入的记账凭证编号是否与已输入的机内记账凭证编号重复；l2、以编号形式输入会计科目的，应当提示该编号所对应的会计科目名称；l3、正在输入的记账凭证中的会计科目借贷双方金额不平衡，或没有输入金额，应予提示并拒绝执行；输入控制输入控制l4、正在输入的记账凭证有借方会计科目而无贷方会计科目或者有贷方会计科目而无借方会计科目的，应予提示并拒绝执行；l5、正在输入的收款凭证借方科目不是“现金”或“银行存款”科目、付款凭证贷方科目不是“现金

27、”或“银行存款”科目的，应提示并拒绝执行。输入控制输入控制l（六）会计核算软件应提供对已经输入但未登记会计账簿的机内记账凭证(不包括会计核算软件自动产生的机内记账凭证)进行修改的功能，在修改过程中，应同样给出上述各项提示。l（七）会计核算软件应当提供对已经输入但未登记记账凭证的审核功能，审核通过后即不能再提供对机内凭证的修改。会计核算软件应当分别提供对审核功能与输入、修改功能的使用权限控制。输入控制输入控制l（八）发现已经输入并审核通过或者登账的记账凭证有错误的，可以采用红字凭证冲销法或者补充凭证法进行更正；记账凭证输入时，红字可用“一”号或者其它标记表示。l（九）会计核算软件对需要输入的原始

28、凭证,可以按照以下方法进行处理：l1、输入记账凭证的同时，输入相应原始凭证；输入的有关原始凭证汇总金额与输入的记账凭证相应金额不等，软件应当给予提示并拒绝通过；在对已经输入的记账凭证进行审核的同时，应对输入的所附原始凭证进行审核；输入的记账凭证通过审核或登账后，对输入的相应原始凭证不能直接进行修改；输入控制输入控制l2、记账凭证未输入前，直接输入原始凭证，由会计核算软件自动生成记账凭证；会计核算软件应当提供对已经输入但未予审核的原始凭证进行修改和审核的功能，审核通过后，即可生成相应的记账凭证；记账凭证审核通过或者登账后，对输入的相应原始凭证不能直接进行修改；l3、在已经输入的原始凭证审核通过或

29、者相应记账凭证审核通过或者登账后，原始凭证确需修改，会计核算软件在留有痕迹的前提下，可以提供修改和对修改后的机内原始凭证与相应记账凭证是否相符进行校验的功能。处理控制处理控制 l一、一、处理控制的目的处理控制的目的l处理控制的目的是要保证信息系统的处理按照各个模块所预先设定的程序进行，这些处理活动必须经过授权，所有经过授权的处理都被系统进行过而没有遗漏，任何未经授权的处理都没有进行过。在整个处理的过程中是正确的、及时的、有效的。处理控制处理控制l二、会计信息系统的处理控制方法二、会计信息系统的处理控制方法l处理控制往往包含在计算机程序之中。l所能检查或者防止的错误类型包括：l1、未将所有有待处

30、理的数据加以处理，或将某些数据重复处理了多次。l2、处理了其他的数据。l3、对不合理的或不合逻辑的数据进行处理。l4、在处理过程中遗漏或者损坏资料。处理控制处理控制l（一）控制总数的方法l在输入时已经计算得到控制总数，在处理过程的各个时点（如一项重要的处理完成以后）可以重新计算各个控制总数，然后进行比较，以判断处理环节中是否对所有的输入数据都进行了正确的处理，没有遗漏，也没有重复。处理控制处理控制l（二）文件标签检查l文件标签分为外部标签和内部标签。l外部标签就是保存有数据的磁带或者磁盘的外包装上所记载的文件的名称等信息。l文件的内部标签是由计算机在存储数据记录时产生的，可以用计算机加以检查，

31、以确定所打开并处理的文件确实是要处理的文件。处理控制处理控制l（三）界限、极值校验l例如员工的应付工资。l还有些数字不可能为负数，如结余的存货数量。l对于账务处理程序，资产类账户的期末余额一般在借方，负债、所有者权益类账户的期末余额一般在贷方，收入、费用类账户经结转后一般没有期末余额。处理控制处理控制l（四）平衡及勾稽关系校验l在总分类账或者明细分类账中，存在着一个基本的关系：期初余额+本期借方发生额-本期贷方发生额=期末余额。l对于存货类，则：期初库存+本月增加库存-本月减少库存=期末库存。l根据会计等式可知，资产类账户的期初余额、本期发生额、期末余额和负债、所有者权益账户的期初余额、本期发

32、生额、期末余额应该试算平衡。处理控制处理控制l总分类账户的发生额、余额和其所有明细分类账户的发生额、余额应该相符。l报表中的小计、合计、净值等计算关系应该可以复核。l有些报表项目之间存在着勾稽关系，这些关系可能是等于、大于或者是小于关系。例如：资产负债表中“未分配利润”项目与利润分配表中“未分配利润”处理控制处理控制l三三、会会计计信信息息系系统统处处理理控控制制中中要要注注意意的的问题问题l由于硬件、软件、操作等方面的问题，依然会造成计算机自动处理的结果有误。处理控制不能放松。l关键是掌握方法本身，而不需要去过于追究方法到底是用于输入控制还是处理控制。处理控制处理控制l对于处理控制中发现的错

33、误，必须分别情况进行处理：l（一）错误可以立即更正l（二）错误必须返回用户部门进行更正l（三）错误已经对主文件造成影响处理控制处理控制l四、财政部对于处理控制的具体规定四、财政部对于处理控制的具体规定l（一）会计核算软件应当提供根据审核通过的机内记账凭证及所附原始凭证登记账簿的功能。l（二）通用会计核算软件应当同时提供国家统一会计制度允许使用的多种会计核算方法，以供用户选择。会计核算软件对会计核算方法的更改过程，在计算机内应有相应的记录。处理控制处理控制l（三）会计核算软件应当提供符合国家统一会计制度规定的自动编制会计报表的功能。l（四）会计核算软件应当提供机内会计数据按照规定的会计期间进行结

34、账的功能。结账前，会计核算软件应当自动检查本期输入的会计凭证是否全部登记入账，全部登记入账后才能结账。机内总分类账结账时，应当与机内明细分类账进行核对，如果不一致，总分类账不能结账。结账后，上一会计期间的会计凭证即不能再输入，下一个会计期间的会计凭证才能输入。输出控制输出控制 l一、输出控制的目的一、输出控制的目的l从系统的角度来看，输入和输出是相对的。l输出分为两种，一种是中间性的输出，一种是最终的面向用户的输出。l输出对用户来说是至关重要的。l输出控制的目的是要保证信息系统所处理的资料完整、正确，所处理的结果正确，并且保证只有经过授权的部门和人员才能获得这些输出资料。输出控制输出控制l二、

35、会计信息系统的输出控制方法二、会计信息系统的输出控制方法l（一）输出信息内容和格式的控制l输出信息必须符合用户的要求。l在内容上，要做到有用、完整、正确、及时。l为了对内容进行控制，要求电算部门在将输出信息传递给用户之前，先要进行控制总数等方法的校验。l输出信息的格式也必须符合用户的要求。输出控制输出控制l（二）输出信息传送过程的控制l必须对输出信息的传送进行控制。l如果采用的是查询的输出方式l如果采用的是打印的输出方式输出控制输出控制l三、会计信息系统输出控制中要注意的问题三、会计信息系统输出控制中要注意的问题l在会计信息的输出过程中必须同时注意两方面的控制，一个是内容和格式，一个是传送途径

36、。只有这样，才能保证经过授权的用户得到了所需要的资料。l如果输出控制中发现错误，同样需要对这些错误进行登记，分析错误的产生原因，并做出相应的补救措施。输出控制输出控制l四、财政部对于输出控制的具体规定四、财政部对于输出控制的具体规定l（一）会计核算软件应当提供对机内会计数据的查询功能。l（二）会计核算软件应当提供机内记账凭证打印输出的功能，打印格式和内容应当符合国家统一会计制度的规定。l（三）会计核算软件可以提供机内原始凭证的打印输出功能，打印输出原始凭证的格式和内容应当符合国家统一会计制度的规定。输出控制输出控制l（四）会计核算软件必须提供会计账簿、会计报表的打印输出功能，打印输出的会计账簿

37、、会计报表的格式和内容应当符合国家统一制度的规定。l（五）对根据机内会计凭证和据以登记的相应账簿生成的各种机内会计报表数据，会计核算软件不能提供直接修改功能。l（六）会计年度终了进行结账时，会计核算软件应当提供在数据磁带、可装卸硬磁盘或者软磁盘等存储介质的强制备份功能。第二节第二节 会计信息系统的审计会计信息系统的审计 l一、计算机辅助审计方式一、计算机辅助审计方式l为什么需要采用计算机辅助审计方式为什么需要采用计算机辅助审计方式l二、对会计信息系统中程序文件的测试二、对会计信息系统中程序文件的测试l对会计信息系统中程序文件的测试，主要分为三种方法：不运行程序文件的测试方法、运行实际数据的测试

38、方法、运行虚拟数据的测试方法。l（一）不运行程序文件的测试方法l不运行程序文件的测试方法，又包括查阅开发性文档、查阅使用性文档和查阅维护性文档三种。l优点l（1）因为不需要获得或者构造测试数据，也不需要占用机器时间进行测试，所以成本比较低；l（2）通过文档查阅的方法，可以较快地从全局角度把握整个系统的情况，可以从整体上把握各个程序文件的逻辑和流程；l（3）基本上不打扰被审计企业的系统运作过程。l缺点：l（1）这种方法要求系统的文档必须齐全并可以获得，但在很多情况下，系统的文档可能不全，或者不是真实情况的反映，或者不能获得（如审计人员往往很难得到商品化软件的开发性文档）；l（2）这种方法还要求审

39、计人员具有较多的系统开发和使用经验，能够看得懂相关文档；l（3）这种方法是静态的，得到的结论和实际情况不一定一致，不一定可靠。l（二）运行实际数据的测试方法l采用运行实际数据的测试方法是指在测试程序文件的时候采用的测试数据是被测试企业实际发生的数据。比如，可以是上一个会计期间的数据，也可以是这个会计期间的数据。这些实际的数据真实地描绘了企业实际的数据量大小、所包含的业务类型、所可能的错误等。通过将实际的数据在实际的程序文件上运行，就形成了一个完全真实的状况。l优点l这种方法的最大优点是真实。l还有，由于测试用的数据是实际数据，所以较易获得。l缺点：l（1）实际的数据虽然是上个会计期间或者这个会

40、计期间的真实数据，但这两个会计期间的数据并不一定完全反映出所有会计期间的数据的特征。l（2）审计人员的观察或者实际操作必然会影响或干扰被审计企业的工作，由此得到的观察或者操作结果是否足以代表被审计企业的一贯情况呢？l（3）审计人员并不能够确认被审计企业提交给审计人员的程序文件就是真实的在用的程序文件；l（4）审计人员必须对程序处理过程非常熟悉，才能够全面地实施和监控测试过程；l（5）这种测试方法所需要记录的工作底稿的内容很多，较琐碎。l具体的测试技术l（1）受控处理法l受控处理法是指审计人员在实际的会计数据处理的过程中进行控制。l优点：受控处理法比较直观明了，易于理解。l缺点：可能对被审计企业

41、正常工作造成干扰和影响。实 际数据事先处理（可以是手工方式，或者是其他方式）预 期 运行结果实 际 运行结果使用程序文件进行处理进 行比较l（2）受控再处理法l受控再处理法和上述受控处理法基本相同，主要区别在于受控处理法中是对数据的第一次输入、处理和输出的过程进行监控，而受控再处理法则是对已经经过输入、处理和输出的数据进行再一次的输入、处理和输出，对第二次过程进行监控。同样，这种方法也是要确认输入、处理和输出的控制的有效性。l优点：受控再处理法由于使用的是被审计企业以前会计期间的数据，审计人员可以选择一个恰当的时机对这些数据进行再处理，以便尽可能减少对被审计企业正常业务活动的影响。l缺点：很多

42、被审计企业对于过去会计期间产生的数据文件可能并不会保存比较长的时间，而是会实时予以更新。在这种情况下，受控再处理法中需要的历史资料可能无法获得。以前会计期间的实际数据第一次使用程序文件进行处理第 一 次 运行结果第 二 次 运行结果第二次使用程序文件进行处理进行比较l（3）平行模拟法l平行模拟法是指审计人员事先获得一个和被审计程序文件同样功能的模拟程序，然后将有待处理的会计数据在这个模拟程序上和被审计的程序文件上同时进行处理，比较这两个处理的过程和结果，以此判断被审计程序的控制的有效性。l优点：审计人员可以减少对大量的会计数据的手工分析和判断，而且审计人员也不必过于依赖被审计企业的程序、操作人

43、员等。l但这个方法应用的关键是模拟程序的取得。如果定制模拟程序，则意味着高成本；而且，这个模拟程序中最好包含有所有可能的控制，这样才能够对照检查出被审计程序文件控制的不足。在实际使用时，可以选用某一种成熟的商品化会计软件作为模拟程序。实际数据使用模拟程序进行处理模拟程序运行结果实际运行结果使用程序文件进行处理进行比较l（三）运行模拟数据的测试l1、模拟数据的测试方法l审计人员通过编制一些模拟数据来测试某项控制措施是否存在。l2、方法的优缺点l这种方法的优点是：l（1）由于采用的是模拟数据，可以包含所有想要测试的方面，可以对所有控制措施进行测试，能全面地反映程序文件在各种状况下的情况；l（2）采

44、用模拟数据的测试方法还可以减少审计人员处理的数据量。审计人员可以编写一项模拟数据来对多项控制措施进行测试。l这种方法的缺点是：l（1）模拟数据的编写很困难。要测试的程序文件越是复杂，模拟数据的编写越是困难；l（2）必须要事先对被审计的程序文件有较全面的了解，才能确定到底要测试哪些控制措施，针对要测试的控制措施编写模拟数据才有效。如果对程序文件了解甚少，则模拟数据的编写也必定不会全面；l（3）模拟数据只能对已知的、需要测试的控制措施进行测试，而不能包含对未知的控制措施的测试；l（4）审计人员并不能够确认被审计企业提交给审计人员的程序文件就是真实的、在用的程序文件。l3、具体的测试技术l（1）测试

45、数据法l审计人员模拟出一批测试数据，并用手工方法得到测试数据的预期处理结果。然后审计人员将这些测试数据交由被审计企业的程序文件进行处理。程序文件处理后得到的结果和事先预期的结果进行比较，并对可能存在的差异进行分析。测试数据事先处理（可以是手工方式，或者是其他方式）预期运行结果实际运行结果使用程序文件进行处理进行比较记账凭证输入程序中测试数据法举例测试数据编号要测试的控制措施测试数据预期结果1记账凭证编号的连续性输入一张记账凭证，使其凭证编号和已经存在的某张凭证编号相同，其他项目正常检测出来，不予处理，并给出错误信息2记账凭证编号的连续性输入一张记账凭证，使其凭证编号和已经存在的记账凭证编号跳号

46、，其他项目正常检测出来，不予处理，并给出错误信息3记账凭证上会计科目的存在性输入一张记账凭证，使其会计科目在企业会计科目代码库中查找不到，其他项目正常检测出来，不予处理，并给出错误信息4记账凭证上会计科目的校验位输入一张记账凭证，使其会计科目出现窜位错误，其他项目正常检测出来，不予处理，并给出错误信息5记账凭证上会计科目对应关系输入一张记账凭证，使其借贷方会计科目出现非法对应关系，其他项目正常6记账凭证上凭证种类和会计科目之间的关系输入一张记账凭证，使其凭证种类为“现收”或者“银收”，而其借方会计科目不是现金或银行存款，其他项目正常7记账凭证上凭证种类和会计科目之间的关系输入一张记账凭证，使其

47、凭证种类为“现付”或者“银付”，而其贷方会计科目不是现金或银行存款，其他项目正常检测出来，不予处理，并给出错误信息8记账凭证上凭证种类和会计科目之间的关系输入一张记账凭证，使其凭证种类为“转账”，而其借方或者贷方出现现金或者银行存款科目，其他项目正常检测出来，不予处理，并给出错误信息9记账凭证上借贷方平衡关系输入一张记账凭证，使其借方金额合计与贷方金额合计不等，其他项目正常检测出来，不予处理，并给出错误信息10记账凭证完全正确时，程序能否通过输入一张记账凭证，使其各个项目均符合要求接受l（2）虚拟单位法l在虚拟单位法中，审计人员虚拟出一批测试数据，这些测试数据和真实的数据相比较，有一个明显的区

48、别，以后可以将它们分离出来。l这些测试数据和真实数据混同在一起进行实际的运行。l这种方法和测试数据法基本相同，区别在于这里测试数据是和真实的数据混同在一起的。实 际 数据事先处理（可以是手工方式，或者是其他方式）预 期 运 行结果实 际 运 行结果使用程序文件进行处理进 行 比较测 试 数据l在记账凭证输入程序的虚拟单位测试法中，我们可以和测试数据法一样虚构出一批测试数据，但这里，这些测试数据需要有一个区别于真实数据的地方。l使用虚拟单位法的一个好处是审计人员可以较有把握地认为正在运行和检测的程序就是要审计的程序。l但是，如果将模拟数据直接在实际运行的程序文件上运行，必须妥善地消除模拟数据的影

49、响，否则将引起严重的后果。l消除模拟数据对主文件的影响，基本上可以采用三种方法：l第一种方法是，在设计模拟数据时就将模拟数据和实际数据区分开来，使两者具有比较明显的区别。l第二种方法是，将模拟数据对主文件的影响用反向分录的方法予以冲销。l第三种方法是，先对主文件进行备份，然后，在模拟数据和实际数据混同输入和处理的这个时期，停止实际业务的处理，待模拟数据和实际数据混同处理结束后，重新用备份的主文件恢复，这时再进行实际数据的处理。l三、对会计信息系统中数据文件的测试三、对会计信息系统中数据文件的测试l（一）不运行数据文件的测试方法l不将数据文件通过电算化会计信息系统进行处理，而直接对数据文件进行测

50、试。其实就是指直接对打印出来的数据文件进行分析。l采用不运行数据文件的测试方法，成本比较低，耗时较少，易于理解。l但是使用这种方法时要注意判断的是：所得到的打印出来的数据文件是否就是被审计企业电算化会计信息系统中实际的数据文件。l在进行测试时，要注意是否所有的数据都被记录到账上，是否有数据被遗漏，计算是否正确，如对存货增减业务的处理是否正确；是否有分类上的错误，如固定资产和存货的分类是否有误等等。很显然，这种测试方法，和手工会计信息系统中的审计方法基本类似。l（二）运行实际数据文件的测试方法l1、运行实际数据文件l运行实际数据文件的测试方法指审计人员将实际数据文件通过电算化系统进行处理，来测试