信息系统审计期末考试(精选8篇)
信息系统审计期末考试 篇1
1、IT治理、IT管理、公司治理之间关系?
公司治理关注利益相关者权益和管理,驱动和调整IT治理。IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。
IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动。是在战术层面上
•IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。是在战略层面上
•IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定框架下驾驭企业奔向目标。
(公司治理关注利益相关者权益和管理,驱动和调整IT治理
IT能够提供关键的输入,形成战略计划的一个重要组成部分,是公司治理的重要功能。IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定框架下驾驭企业奔向目标。)
2、信息系统审计阶段,准备阶段应该了解被审计单位哪些方面内容 P11 了解被审计系统的基本情况
(1)、调查了解被审计单位信息系统的基本情况,如信息系统的硬件配置,系统软件的选用,应用软件的范围,网络结构,系统的管理结构和职能分工、文档资料等,调查完成后将审前调查情况记录下来。
(2).提前三天送达审计通知书,要求被审计单位对所提供资料的真实性、完整性作出书面承诺,明确彼此的责任、权利和义务。
(3).初步评价被审计单位的内部控制制度,以便确定符合性测试的范围和重点。
(4).确定审计重要性、确定审计范围。
(5).分析审计风险。
(6).制定审计实施方案。在审计实施方案中除了对时间、人员、工作步骤及任务分配等方面作出安排以外,还要合理确定符合性测试、实质性测试的时间和范围,以及测试时的审计方法和测试数据。
在安排利用计算机辅助审计时,还需列出所选用的通用软件或专用软件。对于复杂的信息系统,也可聘请专家,但必须明确审计人员的责任。
3、信息系统一般控制、应用控制的区别和联系
区别:
范围:应用于一个单位信息系统全部或较大范围的内部控制。
• 对象:应为除信息系统应用程序以外的其他部分。
•基本目标:保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外情况下的持续运行等。
一般控制主要涉及:
–管理控制(包括部门管理、人员管理等)
–系统基础设施控制(包括物理环境、系统硬件、系统软件等)
–系统访问控制(包括系统通信控制等)
–系统网络架构控制;
–灾难恢复控制(即服务持续性控制)
应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。有输入控制、处理控制、输出控制审查方法。
联系:
良好的一般控制是应用控制的基础。
如果一般控制审计结果很差,应用控制审计就没有进行的必要。
4、变更管理实施的过程
P159-1605、如何进行系统运营/维护阶段的审计?
从ISA角度,IS审计师通过审查系统运营与维护的安全性、有效性、效益性等,并对
此进行评估,提出改进意见,从而确保系统能满足企业的业务目标需求并实现其效益。
信息系统在日常运行过程中管理与维护内容主要涉及:
1、信息系统运营的管理;
2、信息系统变更管理;
3、软件配置管理;
4、项目管理;等。
6、电子数据处理系统对审计的影响?
电子数据处理系统对传统审计的影响:
(1)、对审计线索的影响:传统的审计线索缺失
EDP下:数据处理、存储电子化,不可见,难辨真伪。
(2)、对审计方法和技术的影响:技术方法复杂化
EDP下:利用计算机——审计技术变得复杂化
(3)、对审计人员的影响:知识构成要求发生变化
EDP下:会计、审计、计算机等知识和技能
(4)、对审计准则的影响:信息化下审计准则与标准的缺失
EDP下:在原有审计准则的基础上,建立一系列新的准则
(5)、对内部控制的影响:内部控制方式发生改变
传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。
EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。
7、简要回答IT治理范围
P46
好的IT治理实践需要在企业全部范围内推行:
–最高管理层(董事会)
–管理者
–下层
8、信息系统访问方式及其审计方法有哪些?
系统访问方式:
–逻辑访问:用户通过软件方式对系统访问。
–物理访问:用户通过物理接触等方式对系统访问。
逻辑访问控制审计:
1.了解IS处理设施的技术、管理、安全环境;
2.记录逻辑访问路径,评估相关软硬件设施;
3、检查已实施的逻辑访问控制软件,查看软件的记录与报告;
4、查看组织的安全政策。
物理访问控制审计:
1、现场查看信息处理设施和异地存储设施;
2、评估物理进入的路径;
3、审核文件和记录。
9、回答恢复点目标和恢复时间目标的概念?
恢复点目标(RPO):由业务中断情况下可接受的数据损失来决定,有效量化了业务中断时可以允许丢失的数据量。
恢复时间目标(RTO): 由业务中断情况下可接受的停机时间决定,指明了灾难发生后必须对业务进行恢复的最早时间点。
10、如何进行系统安装后的审计?
新系统是在日常作业环境中稳定下来之后,需要进行安装后审计。安装后审计是对系统实际运行状况进行集中分析和评价,审计师在平时管理工作基础上进行的。安装后审计和系统评价的内容相似,但目的不同,进行的时间不同。安装后审计师在系统投入运行后定期或不定期进行的审计,其目的是确认系统目标和需求、成本效益、变更、资源利用率、内部控制、运行日志、系统改进。
11、简要回答IT治理成熟度模型
IT治理成熟度级别:0没有级别—根本没有管理程序1初始级—程序混乱,没有组织2可重复级—程序遵循某种模式3已定义级—程序已形成正式文档,已发布4已管理级—程序得到控制和评测5优化级—遵循并自动实行最佳实践
优点与作用:
• 涉及经营需求的各个方面,简单实用的方式测定差异;
• 测量治理发展程度的方法,各个成熟度的典型模式,有助于组织,对照惯例和最佳实践,发现和解释缺陷与不足,关注关键的管理方面,确定组织发展目标。
12、逻辑访问控制中的识别技术有哪些?
身份识别与验证
–“只有你知道的事情”——账号与口令
•账号的控制
•口令的控制
–“只有你拥有的东西”——令牌设备
•发送许可权的特殊消息或一次性口令的设备
–“只有你具有的特征”——生物测定技术与行为测定技术
•指纹、虹膜等
•签名等
论述题
1、信息系统审计审计目标
一般审计目标
(1)保护资产的完整性/安全性。信息系统资产包括硬件、软件、人力资源、数据文件及系统文档(文件)等。所以,保护信息系统资产的完整性成为许多组织要达到的一个重要目标,也是信息系统审计所追求的目标之一。
(2)保证数据的准确性。有效防止数据的输入、输出错误,以及非授权状态下修改信息所造成的无效操作和错误后果。
(3)提高系统的有效性。信息系统获得预期的目标
(4)提高系统的效率性。信息系统以尽可能少的资源消耗达到预期目标。系统资源主要包括机器时间、设备、系统软件、劳动力等。
(5)保证系统的合法性、合规性。信息系统及其运用必须遵守有关法律、法规和规章制度。
2、IT治理的方法?(P41)
1.积极进行治理设计
2.选择正确的时间进行IT治理设计
3.高层经理人员的参与
4.对目标有所取舍
5.制定例外处理流程
6.提供相应的激励
7.在组织的多个层面设计治理
8.加强透明度和教育
9.运用相同的机制治理多个关键资产
3、信息系统面临互联网的风险及其控制技术?(P73)
来自互联网上的安全威胁主要分为主动攻击和被动攻击
–被动攻击:监听
–主动攻击:
• 中断
• 篡改
• 伪造
互联网攻击的主要表现形式:非授权访问。
恶意攻击者一般同时采取两种方式。
4、结合信息系统分析与设计如何考虑应用控制
输入控制、处理控制、输出控制
5、论述信息系统开发过程中的风险及其控制技术?
相关风险
系统不符合用户的业务需求
项目风险
(1)项目内部
(2)和供应商之间
(3)在组织内部
(4)和外部环境之间
重要原因:缺乏必要的规则,组织没有提供必要技术基础设施和支持,即缺乏有效的软件过程管理与项目管理。
风险降低:实现安全措施,以把风险降低到一个可以接受的的级别。实际上就是力图减小威
胁发生的可能性和带来的影响。
风险承受:接受潜在的风险并继续运行信息系统。即在实施了其他风险应对措施之后,对于残留的风险组织可以选择接受。
风险规避:通过消除风险的原因和后果来规避风险。
风险转移:通过使用其他措施来补偿损失,从而转移风险。
6、结合实例,IT服务管理的内容与框架?(P149)
IT服务管理实施规划用以建立IT服务管理流程,讨论规划和实施IT服务管理的关键性问题,并对实施和提升IT服务提供全面的指导。内容包括:(1)创建清晰的战略远景和使命;(2)分析企业当前IT状况与服务状况;(3)定义期望状态并进行差距分析;(4)设定优先级并启动过程改进;(5)定义关键成功因素和关键绩效指标。
主体框架包括6个主要模块,即服务管理、业务管理、ICT基础设施管理、贯穿业务和IT基础设施的应用管理、IT服务管理实施规划和集中的安全
信息系统审计期末考试 篇2
2014 年12 月, 浙江省教育厅发布《浙江省深化高校考试招生制度综合改革试点方案》[1], 其中指出考生可以从思想政治、历史、地理、物理、化学、生物、技术 (含通用技术和信息技术) 等7 门设有加试题的高考科目中, 选择3 门作为高考选考科目。简称为“7 选3”高考模式。新高考模式下, 信息技术的学科地位和考试形式发生显著变化:学科地位由原来的学考变成现在的高考科目, 由原来的副科变成现在的主课, 学科地位提升至主课范畴。信息技术考试形式由原来的无纸化上机考试变成现在的纸笔考试。学科地位与考试评价方式的变化, 对信息技术现行教学策略提出挑战。
2016 年1 月, 奉化市教师进修学校对我市五所普高高二学生进行信息技术期末统测。信息技术统计的满分是35 分。考试的题型是选择题和填空题。考试基本情况如下表1 所示:
表1 数据显示, 五所普高信息技术教学质量差异显著。通过调查各校授课的信息技术教师, 了解到各校开设信息技术时间不统一, 导致信息技术进度不统一, 考试总体不理想。通过每小题得分率分析 (如表2) , 导致成绩不理想的重要因素是忽视知识整体性, 教学内容碎片化;不重视概念教学, 学生对基本概念理解不够深入;上机操作体验不足, 观察不够仔细, 缺乏技术思想理解;审题不仔细, 书写不规范。
如何在笔试模式下开展信息技术有效教学, 实现上机操作向笔试思维能力的有效过渡, 提高学生笔试作答能力, 是当前迫切需要解决的问题。
二、教师主导转变的有效性
根据浙江省普通高中学科教学指导意见[2], 要求教师区分教学内容的“基本要求”与“发展要求”, 合理控制教学进度、教学内容和难度, 大力促进学生有选择、有个性地发展。学校采取“选课走班制”, 打破原有“行政班”, 满足学生个性需求。比较原来“行政班”信息技术教学, “选课走班制”提高学生学习的主体性与积极性。“7 选3”模式下, 我校信息技术课制定了技术“走班制度”, 分成选考A班类, 学考B班类。分别确定座位表, 任命班长 (负责点名, 上课纪律) 、学习委员 (汇总作业, 传递信息) 、各班小组长 (收发作业) , 平时考核与期末考核相结合的形式进行学生学科期末总体评价。
“以学生为本, 注重学生能力培养。”教学场地灵活切换, 以促进课堂有效教学, 因此采取上机操作与理论教学相结合, 将计算机教室与普通教室结合进行教学, 即针对具体教学内容, 选择计算机教室还是普通教室, 例如:进制数转化、计算机编码原理、ASCII编码、汉字编码、存储量的计算、颜色的表示方法等偏理论教学内容, 适合采用普通教室。笔者认为, 结合多媒体投影仪, 板书讲授, 使学生更容易理解掌握, 避免学生注意力转移在计算机上, 提高课堂教学有效性;相反, 对于涉及软件操作体验与问题解决情境设置, 教学场地选择计算机教室展开, 培养学生技术解决问题的能力。
新高考模式下, 将过度依赖上机操作的教学方式进行转变, 应重视概念教学, 理解技术背后的技术原理, 提高学生分析解决问题的能力。以往“教师演示, 任务驱动, 学生跟练”的机房教学模式, 运用教学软件“点这里”、“点那里”等口语式操作示范都需要转变。在纸笔模式下, 对知识和原理深度剖析, 多问“为什么”, 比如:为什么图层没有显示出来?为什么控制动画的按钮没有作用?通过分析2015 年10 月的浙江省第一次“7 选3”技术试卷, 试卷的题型与考查内容倾向于这些“为什么”, 更加注重学生对操作性知识的真正理解与掌握。纸笔形式下, 学生失去软件自动化帮助功能, 不能在答题过程中不断尝试与修正机会, 比如:以往上机考试中, Flash添加动作命令可以运用“脚本助手”, 即使在不是很清楚脚本动作命令语法格式的情况下也能轻松书写正确动作命令;而现在的笔试中, 需要学生完整书写动作命令, 分清动作命令添加对象是“帧”还是“按钮”, 鼠标触发事件是什么。在实际教学中, 笔者采取黑板板书, 动作命令语法及书写格式, 要求学生在Flash软件设置题目要求的脚本动作命令时, 关闭“脚本助手”, 采取键盘输入动作命令。通过Flash纠错辅助功能, 让学生慢慢理解动作命令, 培养学生转化“操作技能”为笔试能力。
新高考模式下, 注重学生计算思维培养, 强化思维训练[3]。针对试卷中出现的问题, 学生首先想到的不是计算机应用软件, 而是分析问题, 对问题进行重构和建模, 将“内化”的操作知识进行灵活运用, 对计算机及软件的工作原理和特征有更充分的认识, 强调学生思维培养和问题解决能力。笔者采取“学案导学”巩固学生计算思维, 将教学重难点以“任务要求”形式放在学案中, 让学生通过预习并尝试借助软件操作体验来解决学案中的问题;课后采取“一课一练”, 精选历年学考高考题、新题、好题, 让学生将操作知识应用于笔试;采取“专题突破”、“专题复习”, 如:计算机进制数转化专题、计算机计算专题、Excel专题、VB数据类型、循环语句等进行精讲;将概念性的知识点串联起来, 形成“思维导图”。
新高考模式下, 笔者认真解读《浙江省普通高中技术学科指导意见》, 准确理解教学目标, 优化教学设计, 将上机操作与纸笔练习有机结合, 加强“命题”研究, “教考”结合;将网络资源与传统资料的结合, 资源共享, 统一教学进度, 加强校际校内之间交流合作。
三、学生主体提升的有效性
学生化“被动”为“主动”, 根据自身特质、科目高考竞争力、高校专业要求、个人职业规划来选择科目, 学生要尽快适应新高考模式, 适应“走班制”。笔者对技术课堂进行强化管理, 采取多种措施弱化学生机房“开小差”动机, 促进学生学习的主观能动性, 如:机房硬件还原卡, 屏蔽监控技术, 典型学生谈话疏导, 学习任务完成奖励, 学科竞赛促教学等。
学生自学有效性提高。由于教学场地、教学师资、教学课时等条件的限制, 教学计划与进度、课时的冲突, 采取“学案导学”策略。学生通过学案导学, 提前做好预习准备工作, 当天所学知识检测与课后拓展延伸检测。笔者严格控制学生自主学习的时间 (不超过20 分钟) , 精练任务安排, 不占用其他科目时间。
学生课堂积极参与性提高。教学情境合理创设是提高学生课堂积极性的基点, 笔者精心设计情境, 激活知识, 注重生活实际引入教学, 满足学生个性发展要求。如在信息技术第1 节课, 采取介绍前沿技术、未来技术, 科幻电影片段视频观看的手段, 引入信息技术的概念, 信息技术的双面性, 结合当前的科技发展“ 正”、“反”, 进行信息技术发展、应用与展望知识的讲解, 使学生对于信息技术课程充满兴趣。在Excel复习课中, 笔者采取基于网站的学校汉字使用情况调研报告进行教学设计与实施 (对于普高学生, 作文用字量的多少反映了普高语文教学中识字教学、用字教学是否有效。通过学生用字量、用字频度的调查, 可以让教师发现问题, 并针对这些问题展开思考) 。表3 所示为数据汇总的结果展示。
学生课堂巩固有效性提高。笔者采取“趣、精、活、思”四个步骤进行, 兴趣是开启课堂教学的起点, 精讲精练是巩固知识的根本。如:Photoshop操作性的PSD文件, 学生操作完成后, 教师可以围绕主题设置“故障”填空题, 让学生在Photoshop操作体验中发现“故障” (错误) , 解决问题, 如某图层不能进行操作, 原因是什么?文字图层能否设置滤镜操作?让学生活学活用, 借助软件去制作精美的作品, 如运用Excel统计月考成绩, 运用Photoshop设计精美的广告创意作品等。反思总结是巩固知识的终点, 也是新知识的起点, 是促进学生有效学习的捷径;教学的难点是学生理解的难点, 也是最容易犯错的地方, 让学生在“犯错与改错”的思辩中成长, 巩固学生学习的有效性。
四、双向互动, 有效沟通
新高考模式下, 信息技术师生互动形式多样化, 师生有效沟通, 增进感情, 利于信息技术有效教学。
在课堂教学中体现互动。从教学情境中互动, 正面引领, 营造活跃课堂氛围, 在教学过程中, 有别于传统意义上的机房教学, 更多的倾向于“为什么”。教师通过“设疑”, 学生“设问”等方式, 深入挖掘技术原理, 比如:“错误百出”的Flash作品, 让学生观察, 操作体验, 分析原因, 解决问题;再比如, 讲解数据压缩的概念时, 演示包子与气球的压缩的动画, 形象讲解有损压缩与无损压缩。教师应带着“学生走向知识”, 形成“分析问题, 寻找解决问题的途径和方法, 用计算机处理”的思路。在课堂讲授中, 让学生“知其然知其所以然”, 比如:Excel中数据显示:“##”、“#DIV/0!”原因是什么?如何解决这些问题?请学生帮忙解决, 解决以后, 给予学生表扬与肯定, 让学生获得成功喜悦。
在作业评价中体现师生互动。选取“典型作品”进行师生互评, 包括好的作品和差的作品, 对共性问题进行评价, 并分析出错的原因, 借助网络学习支持系统, 支持作品在线上传与互评。充分肯定学生完成的作品, 指出有待完善的地方, 调动学生积极性;此外, 课后师生互动可以借助班级虚拟学习社区、微信、QQ群等交流工具进行交流, 形成多种形式的师生互动, 生生互动。
五、结束语
信息技术上机操作的学生成果体验要转变为师生互动体验, 在提高学生积极性的同时, 培养学生对信息技术概念知识的“内化”, 培养学生计算思维能力, 这给新高考模式下给信息技术教学带来许多挑战。因此要求信息技术教师结合笔试题型与特征, 在教学过程中探索更加适合的教学方法与手段, 重整教学内容, 不能仅仅局限在学生完成操作性任务与作品, 更需要深挖作品完成中出现的“问题与错误”, 注重学生思维培养与实践技能的锻炼, 在“7 选3”模式下才能实现信息技术的华丽“转身”。
参考文献
[1]浙江省深化高校考试招生制度综合改革试点[EB/OL].http://www.zjedu.gov.cn/news_zt/142002594919058137.html.
[2]浙江省基础教育课程改革专业指导委员会.浙江省普通高中学科教学指导意见[M].杭州:浙江教育出版社, 2014:1.
浅议信息系统审计 篇3
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
信息系统审计期末考试 篇4
一、名词解释(每题5分,共25分)
1、审计证据
2、复算法
3、逆查法
4、详查法
5、审计工作底稿
二、单选题(每题2分,共10分)
1、CPA对下列()的应收账款最应当使用积极式函证
A、账龄短且金额大B、账龄短且金额小
C、账龄长且金额小D、账龄长且金额大
2、在下列审计证据中,作为审计证据主要组成部分,被称为基本证据的是()
A、书面证据B、口头证据
C、实物证据D、环境证据
3、注册会计师实施存货监盘程序的主要目的是为了()
A、查明客户是否漏盘某些重要的存货B、鉴定存货的质量
C、了解盘点指示是否得到贯彻执行D、获得存货是否实际存在的证据
4、下列关于口头证据的说法不正确的是()
A、口头证据本身一般不足以证明事情的真相
B、口头证据往往小就要得到其他相应证据的支持
C、注册会计师应把重要的口头证据尽快记录,必要时还应获得被询问者的签名确认
D、口头证据比书面证据更易获取,更为及时,而越及时的证据越可靠,故而口头证据一般比书面证据更可靠
5、下列审计证据中证明力最强的是()
A、被审计单位律师关于被审计单位资产所有权的证明函件
B、银行对帐单
C、被审计单位开具的付款支票
D、被审计单位填制的收料单
6、为了确保企业有价证券的账实相符,应该建立定期的()制度。
A、内部审B、对账核对C、实地盘点D、分析检查
7、注册会计师对被审计单位重要的比率或趋势进行分析从而获取审计证据的方法是()
A、检查B、观察C、计算D、分析性复核
8、以下不属于分析性复核的是()
A、将本年的折旧费用金额与上年相比较
B、确定两年间销售收入的差额
C、将本年期初余额与上年期末余额相比较
D、将销售毛利率与行业水平相比较
9、应收帐款的函证时间最好安排在被审计年度的()
A、年中B、年初
C、与资产负债表日临近的时间D、审计外勤工作结束日
10、注册会计师王惠决定对Z公司的应付账款实施函证程序,以下所列的各个函证对象中,()可能最恰当的。
A、重要的供货方B、金额不大,但为企业重要供货人的债权人
C、金额较大的债权人D、金额为零,但为企业重要供货人的债权人
三、多项选择题(每题4分,共20分)
1、审计过程是指审计工作从开始到结束的整个过程,一般包括三个主要的阶段()。
A计划阶段B实施审计阶段
C审计完成阶段D期后事项审计阶段
2、计算固定资产原值与本期产品产量的比率,并与以前期间相关指标进行比较,注册会计师可能发现()。
A资本性支出和收益性支出区分的错误
B闲置的固定资产
C增加的固定资产尚未作会计处理
D减少的固定资产尚未作会计处理
3、对内部控制制度最终的评价结果,根据可信赖程度的高低,可以分为
()。
A高信赖程度B良好信赖程度C中信赖程度D低信赖程度
4、审计证据按照其外形特征可以分为()四大类。
A、实物证据B、书面证据C、口头证据D、环境证据
5、审计意见类型包括()
A无保留意见B保留意见C否定意见D无法表示意见
四、计算题(第1题10分,第2题10分,第3题10分,共30分)
1、注册会计师采用比率估计方法对应付帐款进行抽样。假定样本的帐面余额为30000元,审计确认的实际金额为36000元,应付帐款总体的帐面金额为200000元,则推断的未审部分的实际金额为?
2、T会计师事务所的注册会计师R在执行P公司会计报表审计业务时,于计划阶段利用估计的资产总额(8000万元)的0。8%,净资产(5000万元)的1%,营业收入(9000万元)的0。7%,净利润(1000万元)的7%确定了会计报表层的重要性水平为为63万元,请根据上述情况,指出R注册会计师在计划阶段确定的重要性水平是否适当?如果不适当,应该是多少?
3、注册会计师对被审计单位的审计风险进行评估,审计风险为7%,固有风险为70%,控制风险为50%,请问注册会计师可接受的检查风险为多少?
五、业务题(15分)
甲公司2005年9月购入乙股份有限公司的股票20000股,准备用来赚取股票差额,每股面值10元,每股购入价20元,实际支付金额为420000元,其中包含已宣告发放,但未支付的股利20000元,甲公司作以下分录: 借:短期投资200000
投资收益20000
贷:银行存款220000
要求:根据以上资料,指出存在的问题,作出账务调整
答案
一、名词解释(每题5分,共25分)
1、审计证据:审计证据是审计人员在审计过程中依照法定程序和方法取得的能够证明被审计事项真实情况的凭据。
2、复算法:是指对会计资料及其他资料中的有关数据进行重复
3、逆查法:逆查法是按照与会计核算程序相反的顺序审查的一种方法。
4、详查法:详查法是对被审计单位一定时期内的全部会计资料及其他有关资料无一遗漏地予以审查的方法。
5、审计工作底稿:审计工作底稿是审计人员在审计过程中采用各种方法收集到的审计证据,按照一定格式编制的档案性原始文件。
二、单选题(每题2分,共10分)
1、D2、A3、D4、D5、A6、C7、D8、C9、C10、D
三、多项选择题(每题4分,共20分)
1、ABC2、BCD3、ACD4、ABCD5、ABCD
四、计算题(第1题10分,第2题10分,第3题10分,共30分)
1、比率=样本实际价值之和36000==1.2(5分)样本账面价值之和30000
估计的总体实际价值=200000×1.2=240000(元)
未审部分的实际金额=240000-36000=204000(元)(5分)
2、资产的重要性水平:8000×0.8%=64万元(2分)
净资产的重要性水平:5000×1%=50万元(2分)
营业外收入的重要性水平:9000×0.7%=63万元(2分)净利润的重要性水平:1000×7%=70万元(2分)
R注册会计师在计划阶段确定的重要性水平不适当,应该是50万元(2分)
3、审计风险=固有风险*控制风险*检查风险(5分)
检查风险=审计风险/(固有风险*控制风险)=7%/(70%*50%)=20%(5分)
五、业务题(第1题10分,共15分)
购买短期股票时收到的已宣告发放尚未支付的股利应计入“应收股利”账户,不应计入“投资收益”账户。(4分)
借:应收股利20000
物流信息技术期末考试重点 篇5
信息的特征:1信息的客观性。信息是物质的基本属性,由于物质是客观存在的,所以信息的存在也不是以人们的意志为转移的2信息的价值性:人们通过利用信息可以获得效益,因此信息也是一种资源3信息的不对称性。由于人们的认知程度受文化水平、实践经验、获得途径等因素的限制4信息的时效性。在特定的时间跨度以内,信息是有效的,超过这一跨度,信息有可能会失去其原有的价值。5信息的共享性。共享性表现在许多人都可以使用同样的信息,信息不辉因为个别人的使用而消失。6信息的滞后性。信息滞后于数据,信息的滞后时间包括信息的间隔时间和加工时间7信息的存储性。信息可以被存储在不同的载体之上。8可传输性。信息的价值还表现在它的可传播性,有效的信息传播可产生更大的价值。9可扩散性。由于信息的传输性,信息可以通过各种介质向外扩散。10等级性11变换性。同一个信息用不同载体表现,来载荷、表达互相转换。
物流信息:是反映物流各种活动内容的知识、资料、图像、数据、文件的总称。
物流信息的特点:1信息量大2更新速度快3来源广泛
物流信息的分类:1按信息沟通联络方式分:a口头信息b书面信息2按信息的来源分:a外部信息b内部信息3按信息功能不同分类:a计划信息b控制及作业信息c统计信息d支持信息
计算机网络定义:将地理位置不同的、功能独立的多个计算机系统,通过通信设备和线路连接起来,由功能完善的网络软件将其有机地联系到一起并进行管理,从而实现网络资源共享和信息传递系统。
数据仓库事务型处理:一般只处理少量的数据,但是要求有快速的相应时间,而用于决策支持的分析型处理经常需要处理大量的数据,但允许较慢的相应时间。
数据仓库定义:面向主题的、集成的、不可更新的,随时变化的数据集合,用以支持企业或组织的决策分析过程
数据仓库特点:1数据仓库是面向主题的(数据仓库的数据库是面向主题的,是按主题区域进行组织的。2数据仓库是集成的(用于决策支持的信息是多方面的,因此,数据仓库除了可以包OLTP系统中定期地传送过来的数据,也可以包含外部数据。各种数据源中的数据经过提取、转换集成,最后被加载到数据仓库中。3数据仓库是不可更新的(人们利用数据仓库的主要目的是进行决策分析,对数据仓库的操作主要也是数据查询4数据仓库是随时变化的(许多决策分析常常需要对方阿战趋势进行预测。
物流管理信息系统常用的开发方法:1生命周期法2原型方法3面向对象的开发方法4CASE方法
物流管理信息系统开发过程:1系统规划2系统分析(用户需求分析、组织能力分析、业务流程分析、系统化、编写系统分析报告3系统设计(详细设计、总体设计)4系统实施5系统测试和运行维护
条码的概念:是由一组规则排列的条、空以及对应的字符组成的标记。
条码的编码方法:1模块组合法(条码符号中,条与空是由标准宽度的模块组成。一个标准宽度的条模块表示二进制的“1”,而一个标准宽度的模块表示二进制的“0”。商品条码模块的标准宽度是0.33mm。2宽度调节法是指条码中,条与空的宽窄设置不同,用宽单元表示二进制的“1”,而用窄单元表示二进制的“0”,宽窄单元之比一般控制在2到3
EAN-13码的结构:标准版商品条码符号由左侧空白区、起始符、左侧数据符、中间分隔符、右侧数据符、校验符、终止符、右侧空白区及供人识别字符组成,从起始符开始到终止符结束总共有13位数字,这13位数字分别代表不同的意义,且其不同的组合代表EAN-13码的不同结构。
EAN-13码的编码规则:1唯一性:同种规格同种产品对应同一个产品代码,同种产品的不同规格对应不同的产品代码。2永久性:产品代码一经分配就不再更改,并且是终身的。3无含义:为了保证代码有足够的容量以适应产品频繁更新换代的需要,最好采用无含义的顺序码
EAN码的编码规则规定:起始符和终止符3个模块的编码均为101,中间分隔符5个模块的编码为01010。左侧数据副的编码方式不同。A与C之间是反码关系
PFID流程:1编程器预先将数据信息写入标签中2阅读器经过发射天线向外发射无线电载波信号3当射频标签进入发射天线的工作区时,射频标签被激活后将自身信息经标签天线发射出去4系统的接受天线接受到射频标签发出的载波信号,经天线的调节器传给阅读器,阅读器对接到的信号进行解调解码,送后台计算机。5计算机控制器根据逻辑运算判断射频标签的合法性,针对不同的设定做出相应的处理和控制,发出指令信号控制执行机构的动作。6执行机构按计算机的指令动作7通过计算机通信网络将各个监控点连接起来,构成总控信息平台
射频技术在物流中的应用:1告诉公路的自动收费系统:2交通督导和电子地图3停车智能化管理系统5铁路货运编组调度系统6集装箱识别系统7RFID库存跟踪系统8生产物流的自动化及过程控制
物流条码技术的具体应用:1分拣运输(使用物流标志技术可减少人员出错)2仓储配送3机场通道4货物通道5运输中称量
物流EDI的概念:根据商定的交易或电子数据的结构标准实施商业或行政交易,从计算机到计算机的电子数据传输
EDI的工作原理:1制作订单:根据自己的需求在计算机上操作,在订单处理上制作出一份顶戴,将所有必要的信息以电子传输的格式存储下来,同时产生一份电子订单2发送订单:购买方将电子订单通过EDI传送给供货商,此点单实际上是发向供货商的电子信箱的,它先存放在EDI交换中心上,等待来自供货商的接收指令3接收订单:供货商使用邮箱接收指令,从EDI交换中心自己的电子信箱中收取全部邮件,其中包括来自购买方的订单4签发回执:供货商在收妥订单后,使用自己计算机上的订单处理系统,为来自购买方的电子订单自动产生一份回执,经供应商确认后,此电子订单回执被发送到网络,再经由EDI交换中心存放到购买方的电子信箱中5接受回执:购买方使用邮箱接收指令,从EDI交换中心自己的电子信箱中收取全部邮件,其中包括供货商发来的,整个订货过程至此完成,供货商收到订单,客户则收到了订单回执。
EDI软件的构成:用户接口模块、内部接口模块、报文生成及处理模块、格式转换模块、通信模块
EDI硬件构成:计算机、调制解调器、电话线
GPS概念:是英文global positioning system的缩写,意思是全球定位系统,它是利用卫星星座、地面控制部分和信号接收机对对象进行动态定位的系统。
GPS定位方式:1根据定位的模式:绝对定位(也称单点定位,通常是指在协议地球坐标系中,直接确定观测站相对坐标系原点绝对坐标的一种定位方法)、相对定位(在两个或若干个测量站上,设置GPS接收机,同步跟踪观测相同的GPS卫星,测定它们之间的相对位置,就是相对定位)2根据定位时接收机的运动状态:静态定位(GPS接收机在捕获和跟踪GPS卫星的过程中固定不变,接收机的天线在整个观测过程中的位置是变化的,是GPS接收机对物体运动轨迹的测定);动态定位(就是在进行GPS定位时,认为接收机天线在整个观测过程中的位置是变化的,是GPS接收机对物体运动轨迹的测定)
信息系统审计期末考试 篇6
第十七章 会计咨询、会计服务业务
复习提要
一、会计咨询、服务业务的特点和范围(一)会计咨询和服务业务的特点
注册会计师开展会计咨询、服务业务是社会经济发展的客观要求,也取决于注册会计师的智力密集型的职业特点。会计咨询就是注册会计师凭借其职业特点和智力优势,受托或主动服务于企业、单位的经营者,在帮助其建立、健全内部管理系统和会计制度,进行经营诊断、建立电算系统、组织人员培训以及对重大经济决策和重要项目的实施进行论证等方面提供专业咨询的民间审计业务,目的是帮助企业、单位提高经营管理水平。会计咨询的过程实际是改善管理的过程,需要以企业整体作为研究对象,在综合分析企业内、外部条件的基础上,为企业提供与其实际管理问题有关的专业知识和技术,所涉及的并不仅仅是会计工作。随着市场经济体制的建立和完善,经济管理要求的不断提高,提供会计咨询将成为作为市场中介机构的会计师事务所开拓和发展其业务领域的重要方向。会计咨询并不是注册会计师的法定业务,作为受托咨询,性质上是参谋性的服务,具有有偿性和自愿性。但作为一项特殊的智力服务工作,其职业特点主要表现为:
1.独立性。即注册会计师开展咨询工作时,应遵循独立思考的工作方法,保持态度上、方法上和实施咨询程序上的独立性,既不带任何成见和偏见,也有能力不依赖他人独立地工作。独立性是保证其工作取得成效,并获得企业和社会人士信赖的重要前提。
2.客观性。即注册会计师开展咨询工作要保持公正的立场,如实地反映问题,不受企业内外各种因素的干扰,不迁就任何个人的片面观点。客观性是保证咨询工作科学、有效的重要条件。
3.创造性。即会计咨询工作应面向实际,深入调查,把握主要问题,以高度的科学求实精神和创造精神,来探求能够提高企业经济效益的切实可行的方
山东大学 期末考试知识点复习
案。创造性表现在:针对企业的实际情况,设计和推行新的财务会计核算方法,建立新的会计工作管理程序,开发出新的高效率的会计核算软件,实行有效的财务会计人员培训方式等方面。创造性是会计咨询具有生命力的源泉。
4.科学性。即会计咨询业务中,注册会计师应重视调查研究,运用科学的方法 来进行预测、分析和评价,尤其应重视定量分析,以便提出有充分科学依据又切实可行的方案。会计咨询建议或方案的科学性表现在:提出的建议、方案要有科学的计算依据和事实根据,实施方案能给企业带来经济效益,而且所提出的方案适合企业现有的财力、人力和管理水平,并综合考虑了企业的内外部条件,可以求得整体最优化。
5.协作性。会计咨询过程是注册会计师与委托单位管理人员密切配合、协同工作的过程,这项工作需要双方的协调配合。良好的协作、交往能力是注册会计师开展会计咨询的基本素质或要求。注册会计师应以高度负责的精神与委托单位紧密合作,深入进行调查研究,提出切实有效的方案。咨询小组应当协作配合好,并虚心听取委托单位管理人员的意见,谦虚待人。同时要不徇私情,敢于揭露企业存在的问题,以诚相见。
(二)会计咨询、服务的业务范围
会计咨询的工作范围很广,工作内容极为丰富。其主要内容包括下列各项咨询业务:
1.设计财务会计制度,担任会计顾问,提供会计、财务、税务和经济管理咨询。
2.代理纳税申报。即注册会计师可以接受委托,根据委托人的收入或所得,代理委托人办理纳税申报,向税务机关申报纳税。
3.代办申请注册登记,协助拟订合同、章程和其他经济文件。4.培训财务会计人员。
5.其他会计咨询业务。注册会计师在社会服务领域有待开拓的咨询业务还
山东大学 期末考试知识点复习
很多,例如,接受委托办理委托单位会计人员的业务考核,在人才市场上为用人单位提供会计人才的评估服务,接受普通高校委托指导会计专业学生的实习和论文等。会计咨询并不仅限于受托办理单纯的会计业务的咨询服务,它已超出了正常会计工作的范围,充分发挥了注册会计师的专长,为社会提供综合性的服务。
二、会计咨询、服务业务的程序和要求(一)会计咨询业务的程序
会计咨询业务的程序,是指会计咨询业务的正常工作步骤和环节。对于会计咨询的程序没有人提出标准的模式,实际生活中,由于会计咨询的对象和内容不同,其工作程序也不可能完全相同。但根据注册会计师的职业特点,总结会计咨询的成功经验,对会计咨询的基本程序可以概括为以下几个阶段:
1.接受委托阶段。会计咨询一般是接受委托进行的,应与委托人签订咨询业务约定书。在签订咨询业务约定书前,应了解委托人的基本情况,明确对方要求咨询的范围和具体项目,确定是否能够承担咨询任务,能否在时间上及时安排。确定接受委托后,应配备合格的注册会计师,成立咨询小组,与委托单位签订咨询委托书(或合同),并由咨询小组制定咨询计划,以保证咨询工作的顺利开展。
2.深入调查、搜集资料阶段。注册会计师在与委托单位签订咨询业务约定书后,应按委托要求,根据咨询计划,深入进行调查,采用调查表、座谈会等形式征求意见,和企业中有实际经验的人员一起对企业的生产、财务、成本等进行调查、分析。对于重要的数据资料,注册会计师应亲自测定、分析。调查过程中,应严格执行咨询计划规定的各项工作,每个参加咨询工作的人员都应认真履行自己所承担的工作。
调查过程也是搜集、整理、鉴定有关资料的过程,应随时根据掌握的情况,分析解决问题的方法,以便形成初步的方案。
3.提出方案、编写咨询报告阶段。在深入调查和初步分析的基础上,研究存在的问题,提出改善与解决问题的方案。提出方案是一个优化的过程和决策的
山东大学 期末考试知识点复习
过程。咨询小组应对每一个备选方案进行论证,预测其经济效益,作出财务经济分析,选择最为满意的方案。方案的最后选定应由委托企业领导表态,注册会计师不能包办代替。在双方协商确定推荐的方案后,咨询小组应编写咨询报告。咨询报告的内容应包括委托咨询单位的基本情况,咨询目的、范围、依据、方法,主要问题的原因,咨询的结果或提出方案的可行性及预期效果等。如有附件应说明附件的内容。咨询报告由会计师事务所和咨询人员签章后,送交委托人。
4.指导实施具体改进措施或方案。注册会计师对提出的咨询意见、措施或方案应指导委托单位实施,帮助其改善经营管理,提高经济效益。通过注册会计师定期或不定期到委托单位回访,帮助企业进行人员培训,指导其实施。注册会计师还应检查实施的效果,必要时应提出补充建议。
(二)会计咨询服务业务的要求
执行会计咨询业务及处理各方面的关系时,应遵守以下各项基本要求: 1.严格遵守国家的有关法律、法规和政策。
2.恪守独立、客观、公正的原则,为社会各界提供符合规定要求的服务。3.一切判断应基于客观事实。
4.不仅服务于解决企业的问题,更要着眼于提高企业的管理水平。5.对委托者恪守各项约定,严格保守秘密,不得将任何资料泄露给第三者。6.不做因维护委托者的利益而损害第三者利益的事,也不做以委托者以外的利益为目的的人事或贸易的推荐或介绍。
7.不接受力所不能及的委托咨询任务。
8.不吹嘘自己的业绩,不诋毁或诽谤其他咨询人员或咨询团体。9.不接受额外的酬金,严格按事先商定的标准收费。10.以实施方案后经济效益的大小来衡量咨询工作的成效。
山东大学 期末考试知识点复习
另外,从注册会计师的职业道德和法律责任来看,开展咨询业务还应注意: 1.一般不宜由同一位注册会计师向同一位委托人提供会计咨询和审计业务,也就是不能把两种不相容的服务结合起来(即“职业内部的专业化”)。
2.注册会计师办理咨询业务时,如代办纳税申报、代为编制财务报表等,就使其与未审定财务报表发生了联系,但注册会计师的这种服务应对未审定财务报表承担潜在的法律责任,对委托单位应具有认真和谨慎从事的责任,而且有重大过失的注册会计师对第三者(报表使用者)也具有赔偿的责任。注册会计师从对未审定报表的潜在责任出发,应避免人们误解其会计咨询业务代行了审计职能,一定要在与委托人签订的咨询约定书中明确会计咨询的范围、性质,在出具的咨询报告中,要特别注明有关财务报表未经审计以及注册会计师不对财务报表发表意见。
3.注册会计师对于委托单位的预测、计划等含有不确定因素的未来事项,不得就其可实现程度作出保证。
4.进行会计咨询服务时,应避免直接承担管理决策的责任,不得代行委托单位的管理职能。
会计信息系统舞弊审计探讨 篇7
从会计信息系统的通用模型可以看出, 其四大处理阶段———数据采集、数据处理、数据库管理和信息生成, 都是舞弊的高风险领域。
(一) 数据采集阶段
数据采集是会计信息系统的第一个阶段。在很多方面, 数据采集都是系统最重要的阶段, 保证了进入系统的数据有效、完整且没有重大错误。数据采集模块的设计原则是相关性和效率。会计信息系统应该只获取那些相关的数据, 系统设计员通过分析用户的具体需求来定义哪些信息是相关的, 哪些是无关的。只有最终对信息生成有帮助的数据才是相关的。会计信息系统应该能够在数据采集阶段就过滤掉无关信息。有效率的数据采集是指避免重复采集相同信息。数据的多次采集会导致数据冗余和不一致。会计信息系统的采集、处理和存储数据能力是有限的, 数据冗余会使得设备超负荷运转而降低系统的整体效率, 最直接的表现是系统运行速度缓慢。会计信息系统中最简单的舞弊方法大都集中在数据采集阶段。这是传统的交易舞弊在IT环境中的等价形式。舞弊者只需了解系统如何输入数据即可。舞弊行为之一是伪造数据 (删除、修改或增加一项交易) 。如舞弊者在录入时, 插入一条虚假的工资交易, 或者增加工时字段的录入值, 系统将为舞弊者增加工资支票的金额。舞弊行为之二清偿一项虚假的负债。通过输入虚假的支付凭证 (如采购订单、验收报告或供应商发票等) , 舞弊者可以欺骗系统为不存在的交易创建应付账款记录。一旦应付记录建成, 系统将认为该交易合法并且在到期日打印支票, 按正常交易流程付款。分布式数据采集和网络传输使得地理位置相距甚远的关联公司间越来越多地遭遇舞弊, 如冒充、偷窥、跟踪和黑客等。冒充是指舞弊者通过伪装成授权用户从远程终端获得了会计信息系统的访问许可权。这通常首先需要事先获得授权访问用户名和密码。舞弊者还可搭线接入通讯线路并侵入一个已经登录进系统的授权用户账户。一旦舞弊者进入系统, 就和其他合法授权用户一样进行各种操作。现阶段黑客的主要目的已由原来的炫耀技能转变为偷窃、倒卖公司信息, 或者恶意制造破坏, 迫使公司高薪聘请他们修复和维护。
(二) 数据处理阶段
数据采集完成后, 经过处理才能生成直接可用的会计信息。数据处理阶段的任务包括用于生产日程安排应用程序的数学算法 (如线性编程模型) 、销售预测的统计技术、账务处理程序中的过账及汇总等。数据处理阶段的舞弊分为两种:操作舞弊和程序舞弊。操作舞弊是指滥用或偷窃公司的会计信息系统资源, 包括利用公司IT资源做私活。程序舞弊主要是指创建非法程序访问数据库文件、更改和删除会计记录, 或在会计记录中插入数值, 或用计算机病毒破坏程序的处理逻辑, 使数据处理异常。萨拉米舞弊是著名的程序舞弊。由于银行财务报告要求的数据精度低于数据库中实际存储的数据精度, 用来计算客户存款利息的程序必须具备取整功能。利息计算程序中的一个复杂的例行程序是清除舍入错误, 以使银行负担的利息总额等于各储户贷方的总额。程序暂时将每次计算的小数部分保存在一个内部存储累加器中。当累加器中的数值达到正或负的一分钱时, 这一分钱才被记入储户账户。舞弊者通过修改程序处理逻辑, 使得正一分钱不是随机地加入某储户账户, 而是加入舞弊者账户, 但负的一分钱仍然如实地从储户账户中扣除。虽然每次只加一分钱, 但由于银行交易量的巨大, 这种萨拉米舞弊可以汇集一笔可观的存款, 而且会计记录还能保持平衡。
(三) 数据库管理阶段
公司数据库是其财务和非财务信息的集中储藏室。数据库管理舞弊包括: (1) 更新、删除、乱序、毁坏或偷窃公司的数据。访问数据文件是这种舞弊的基本要件, 因此数据库管理舞弊常常与交易舞弊和程序舞弊相结合, 最常见的舞弊手段是从远程地址访问数据库, 在数据文件中浏览、拷贝并出卖数据。 (2) 心怀不满的雇员的报复性破坏公司的数据文件。 (3) 逻辑炸弹———编程人员在程序中插入破坏性例行程序, 在某特定条件满足时, 逻辑炸弹爆炸———删除重要数据、破坏系统等。例如, 某一工资程序中的逻辑炸弹是每天检查雇员名单, 如果没有找到特定雇员的记录 (如该雇员被解聘) , 则启动炸弹, 删除或恶意篡改相关数据表文件。
(四) 信息生成阶段
信息生成是为用户编译、格式化和表达直接可用信息的过程。信息可以是一个操作性的文件、结构化的报告或者计算机屏幕上的一条消息。有用信息在逻辑上具有如下特点:相关性、及时性、准确性、完整性和总括性。信息生成阶段最常见的舞弊形式是偷窃、误导或滥用计算机输出信息。实务中最常见的舞弊手段是垃圾寻宝, 即舞弊者在计算机输出终端附近的垃圾箱中寻找有用信息。另一种舞弊手段称为侦听, 即在通讯线路上监听输出信息。IT技术很容易使舞弊者窃听到正在通过的不受保护的电话线路和微波信道传送的信息。多数专家认为, 在操作上防止一个决意进入数据交换信道的舞弊者是不可能的, 但是数据加密可以使侦听者不能理解信息, 从而达不到舞弊目标。
二、会计信息系统舞弊审计
由于需要伪造会计记录, 许多舞弊方式在会计信息系统中都会留下审计线索。审计人员首先开发一个舞弊特征图, 用以刻画在某一特定类型舞弊中人们期望找到的数据特征, 然后采用各种数据获取和分析工具 (如ACL软件) 来收集和分析数据, 找到审计证据, 形成审计结论。以下仅详细说明向虚构供应商付款、工资舞弊和循环挪用应收款项各自对应的IT审计程序。
(一) 向虚构供应商付款
采购职能对于很多公司而言是一个重大的风险领域, 其常见舞弊方式之一是向虚构的供应商付款。采用这种方式的舞弊者首先要捏造一个供应商, 并在受害公司的记录中为其建立合法的供应商身份。然后舞弊者提交来自虚构供应商的发票, 并由受害公司的应付账款系统处理。由于存在组织结构和内部控制系统, 这种舞弊通常需要两个或两个以上雇员共谋。常见的审计程序分为以下几种情况: (1) 连续发票号码。既然受害公司是发票的唯一收受人, 虚构的供应商发出的发票应该是连续编号的。用ACL软件以发票号码和供应商代码为关键字对发票文件中的记录进行分类, 输出发票号码连续的发票清单, 以备进一步分析和检查。 (2) 有邮政信箱的供应商。伪造的供应商可能没有实际住址, 舞弊者会租用一个邮政信箱来收款。审计人员使用ACL的表达式生成器, 创建一个过滤器, 以便从发票文件中选取那些只有邮政信箱地址的供应商。 (3) 有雇员地址的供应商。舞弊者有时不租用邮政信箱, 而在发票上填列家庭住址。审计人员通过ACL软件的连接功能来连接雇员和发票两个文件, 并以住址字段作为二者的通用关键字, 使得只有供应商住址等与某雇员住址的记录才能输出到合并后的结果文件中。 (4) 多家公司拥有同一地址。为了避免与同一供应商进行过多交易而引起警觉, 舞弊者可能伪造多家共享同一邮件地址的供应商。此时可用ACL软件的重复性检查功能来生成一份由两个或两个以上供应商共享同一地址的供应商列表。 (5) 发票面值略低于检查临界值。许多公司为了控制支出, 建立了一个重要性临界金额。所有超过该临界金额的支票都要经过复查和签名。有鉴于此, 舞弊者会伪造刚好略低于临界金额的付款, 使得其既可谋取最大利益, 又能逃避审查。与此对应的审计程序是用ACL软件的表达式生成器来创建位于临界金额左右的值域, 如合计金额介于临界金额-100和临界金额之间的发票, 然后再综合另外四种审计程序全面检查。
(二) 工资舞弊
常见的工资舞弊有两种:雇员工资的超额支付和对不存在的雇员支付工资。第一种方式通常涉及夸大工时和/或重复发放工资。第二种方式包括向工资系统中加入虚假的雇员, 随后冒领该雇员的工资, 这种舞弊的变种之一是在工资名册上保留已离职雇员。 (1) 超额工时。什么是超额取决于各公司的政策和具体薪酬条款, 审计人员首先应获得关于工时及薪酬的详细内部标准, 然后使用ACL的表达式生成器功能, 筛选出具有超额工时的工资名单。如果超时现象相当普遍, 那么可选取周工时大于50小时的记录, 以生成舞弊嫌疑名单。 (2) 重复支付。使用ACL的重复性检查功能, 按雇员编码查找工资支付记录, 如存在以下情况之一者, 可视为重大舞弊嫌疑:相同雇员号码、相同姓名、相同账户;相同姓名, 不同账户;不同姓名, 相同账户;不同姓名, 不同账户, 但相同家庭住址等联系信息。 (3) 不存在的雇员。在ACL软件中, 连接工资支付文件和雇员文件, 选择雇员号码为共同属性, 使连接后的输出文件中仅包含在雇员文件中不存在的雇员的工资支付记录, 审计人员应就输出信息向工资部门追问支付原因。
(三) 循环挪用应收款项
循环挪用应收款项是指将从第一家客户收到的支票存入自己账户, 在以后的会计期中, 再把从第二家客户收到的款项挪到第一家客户账户中, 以此隐蔽其对第一家客户收款的挪用行为。因为公司的具体信用条款、会计信息系统的选型, 以及应收款管理相关模块的参数详细设置各不相同, 所以实际公司数据中的唯一的舞弊证据是应收款项的收到和记录的时间差, 舞弊特征极不明显, 给审计带来很大困难。开放发票法通常用于管理 (商业) 企业的应收账款。发票文件中各条记录相互独立, 从客户处取得的支票一般是对特定发票的支付。发票文件中的发票金额字段值在开票时填入, 而结账日期字段值在收到全部款项时才填入, 汇款额字段反映从客户处实际收到的付款金额。既然客户与供应商之间良好的信用关系很重要, 那么正常情况下的付款应该是准时且全额的, 部分付款很可能就存在应收款项的循环挪用。未付款的发票称为开放发票。例如, ZYZ公司收到客户A寄来的一张117万元的支票, 以全额支付其记录在发票文件中的一笔117万元的采购业务。ZYZ公司的舞弊者收款后占为己有, 挪作他用, 而未结清该发票, 则该117万元的发票仍为开放状态。在后续的会计期中, ZYZ公司收到客户B汇出一张200万元的的支票对另一张开放发票进行全额支付。挪用者将其中的117万元记入客户A账户, 结清该账户 (即关闭上述117万元的发票) , 余下的83万元清偿客户B的开放发票金额中的一部分。由于客户B的发票金额中还有部分未结清, 因此客户B的发票仍为开放状态。循环挪用是一种必须要舞弊者主动连续实施的舞弊手段, 因此舞弊特征随着时间的推移能得到最佳观测。这种向下结转的特点为审计人员提供了绘制舞弊特征图的基础。如果公司遵循恰当的文件备份程序, 发票文件在各个会计期内经常备份, 则可生成发票文件的不同版本, 把这些不同版本的发票文件收集在一起纵向比较其中的开放发票记录, 就反映出从各会计期结转的发票额。如果审计师怀疑存在循环挪用, 可采用以下的实质性测试程序:用ACL软件的表达式生成器从各版本的发票文件中选取部分结清的发票记录;将得到的结转文件合并到一个单独反映整个会计期活动的文件中;创建一个计算字段来计算结转的额度 (发票额-汇款额) ;用重复性检查命令, 查找结转额度相等的支付记录, 循环挪用款项就会浮出水面。
企业级会计信息系统中的舞弊存在三种主要形式:向虚构供应商付款、工资舞弊及循环挪用应收款项。这三种舞弊在数据采集、数据处理、数据库管理和信息生成四大处理阶段都各具特点, 由此形成了各自对应的、基于ACL软件的特色IT审计程序, 在实务中取得了较好的成效, 从而有效地降低了财务报告重大错报的风险, 提高了企业信息的可靠性和可用性。
参考文献
[1]王海林:《IT环境下企业内部控制探讨》, 《会计研究》2008年第11期。
[2] (美) 詹姆斯·A·霍尔 (James.A.Hall) 著, 李丹、刘济平译:《信息系统审计与鉴证》, 中信出版社2003年版。
浅谈信息化过程中的信息系统审计 篇8
关键词:信息系统审计;企业信息化;信息系统
信息化是国家现代化的基本标志,也是一个国家综合国力的集中体现。信息化建设是一项长期的、综合的系统工程,在改善企业运作管理水平、提高工作效率的同时,也产生了巨大的风险。因此,建立信息系统审计制度,发展信息系统审计是信息化过程中必不可少的制度保证和手段。
一、信息系统审计的概述
1.信息系统审计的定义
信息系统审计(Information System Audit信息系统,简称ISA)目前还没有公认的通用定义,国际信息系统审计领域的权威专家Ron Weber将它定义为:收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。可通俗的理解为是对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保其符合企业经营目标的过程。
2.信息系统审计的业务内容
信息系统审计的业务内容包括计算机资源管理审计、软硬件等获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计。
信息系统审计项目按生命周期来划分,一般分为信息系统开发过程的审计、信息系统运行维护过程的审计和信息系统生命周期共同业务的审计。
信息系统开发过程中的审计是伴随着系统规划、系统分析、系统设计、编码、测试和系统试运行这几个阶段同步进行的。信息系统运行过程中的审计包括系统输入审计、通信过程审计、处理过程审计、数据库审计、系统输出审计和运行管理审计;信息系统维护过程中的审计包括维护组织审计、维护顺序审计、维护计划审计、维护实施审计、维护确认审计、改良系统试运行审计和旧信息系统报废审计。
3.信息系统审计的流程
信息系统审计流程包括三个阶段即:审计计划阶段、审计实施阶段和审计完成阶段。
计划阶段是信息系统审计流程的第一步,主要任务是了解被审系统的基本情况;与委托单位签订业务约定书;初步评价被审系统的内部控制及外部控制;确定重要性水平;分析审计风险和编制审计计划。
实施阶段的主要任务是根据重要性水平、风险和计划获取有关资料;进行符合性测试和实质性测试;对测试结果进行分析;找出导致结果的原因。
完成阶段的主要任务是整理、评价审计证据;复核工作底稿,完成二级复核,汇总审计差异,同被审系统管理层交流;对重要性水平和风险进行最终评价,形成审计意见,编制审计报告,完成三级复核。
二、信息系统审计的方法、技术与工具
由于信息系统本身的多样性和复杂性,信息系统审计的难度也随之增加。面对错综复杂的信息系统和审计环境,要求审计师可以根据审计组织及信息系统的实际情况,结合审计目标、成本效益、审计小组的人员与设备配置情况等,采用多种方法、技术和工具来帮助他们进行审计工作。
1.常规的审计方法、技术与工具
常规的审计方法包括面谈法、问卷调查法、系统评审会、流程图检查、程序代码检查、程序代码比较和测试等。但在高度计算机化的信息系统中,只采用常规审计法显然是不够的,无论是审计证据的收集、评价,还是实现审计工作的现代化,都需要借助计算机来高效完成。
2.计算机辅助审计的技术与工具
信息系统被普遍应用与企业生产、管理及经营活动的各个环节,审计师为达到审计目的,必须要收集大量储存于计算机中的数据,并借助于计算机对这些数据进行分析,以得出审计的结论。因此审计师在收集证据并分析证据时,必需利用计算机辅助审计工作,计算机辅助审计技术(Computer Assisted Audit Techniques,简称CAAT)越来越成为审计师不可或缺的手段。
计算机辅助审计技术可以使信息系统审计师独立收集审计信息,按照预定审计目标访问和分析数据、报告系统产生和维护的记录的可靠性等审计发现。所用信息来源的可靠性为得出审计结论提供了再保证。
常用的计算机辅助审计软件与技术:共用软件、测试数据、应用程序检查、审计专家系统、整体测试、快照、系统控制审计审核文档、其他特殊的审计软件等。
三、信息系统审计的应用价值
信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计为企业信息系统的有效管理提供了一系列详细的审计方法,从项目计划开始介入信息系统建设的每个环节,从项目的初始阶段一直到运营阶段的全过程,给予项目投资者风险控制的评价和建议,提高信息系统的投资效益。
信息系统审计可以查出各种错误和舞弊,合理地保证企业信息系统及其处理、产生的信息的真实性、完整性与可靠性;可以促进企业更有效地融入到社会生活中;可以促进企业改进内部控制,加强管理,提高信息系统实现组织目标的效率。信息系统审计在信息化过程中,帮助企业建立健全的内部控制制度,进行系统诊断。确定信息化的目标和内容,帮助企业调整现有的管理框架和流程或修改软件产品使其更好地服务于管理的需要。
参考文献:
[1]胡克瑾:IT审计[M].电子工业出版社,2004.
[2]孙 强:信息系统审计:安全、风险管理与控制[M].机械工业出版,2003.
[3]关莉莉:谈企业信息化过程中的IT审计[J]商业时代,2009(4)