【正文】 第十六章 銷售與收款核算與管理子系統(tǒng) 【本章目標(biāo)】 本章論述當(dāng)前信息化背景下會(huì)計(jì)信息系統(tǒng)審計(jì)的重要性以及什么是會(huì)計(jì)信息系統(tǒng)審計(jì)、會(huì)計(jì)信息系統(tǒng)的審計(jì)過程、電算化會(huì)計(jì)信息系統(tǒng)審計(jì)中的常用技術(shù)、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的研究和評(píng)價(jià)。通過本章學(xué)習(xí)，應(yīng)理解和掌握以下內(nèi)容： 會(huì)計(jì)信息系統(tǒng)審計(jì)的重要性及其發(fā)展背景； 會(huì)計(jì)信息系統(tǒng)審計(jì)的定義、目標(biāo)、特點(diǎn)、策略、內(nèi)容； 會(huì)計(jì)信息系統(tǒng)的審計(jì)過程，過程中每個(gè)階段的主要內(nèi)容和步驟； 會(huì)計(jì)信息系統(tǒng)審計(jì)中的用的手工審計(jì)技術(shù)和計(jì)算機(jī)輔助審計(jì)技 術(shù)。對(duì)計(jì)算機(jī)輔助審計(jì)技術(shù)，應(yīng)了解每項(xiàng)技術(shù)的基本原理和主要特點(diǎn)； 【學(xué)習(xí)內(nèi)容】 電算化會(huì)計(jì)信息系統(tǒng)審計(jì)概論 會(huì)計(jì)信息系統(tǒng)審計(jì)的過程 會(huì)計(jì)信息系統(tǒng)審計(jì)中的常用技術(shù) 第一節(jié) 電算化會(huì)計(jì)信息系統(tǒng)審計(jì)概論 一、 電算化會(huì)計(jì)信息系統(tǒng)審計(jì)的必要性 信息系統(tǒng)的應(yīng)用帶來了新的風(fēng)險(xiǎn) 信息系統(tǒng)在企業(yè)的經(jīng)營管理中起著十分重要的作用，對(duì)企業(yè)生存與繁榮的影響越來越大。然而，信息系統(tǒng)的應(yīng)用又帶來了與以往不同的風(fēng)險(xiǎn)。所謂風(fēng)險(xiǎn)，是指導(dǎo)致一個(gè)組織或機(jī)構(gòu)發(fā)生損失的可能性。 僅就信息處理方面，可能的風(fēng)險(xiǎn)列舉如下： 數(shù)據(jù)輸入：數(shù)據(jù)容易被篡改或輸入虛假數(shù)據(jù)。 數(shù)據(jù)輸出：經(jīng)過處理的數(shù)據(jù)通過各種設(shè)備輸出，信息就有泄漏和被盜看的可能。 數(shù)據(jù)存取與備份：非法用戶可能侵入系統(tǒng)而存取數(shù)據(jù)，還可能由于沒有備份數(shù)據(jù)而使系統(tǒng)發(fā)生故障后難以恢復(fù)。 源程序：用編程語言書寫成的處理程序，容易被修改和竊取，并且程序本身也許存在漏洞。 應(yīng)用軟件：如果軟件的程序被修改或被破壞，就會(huì)損壞系統(tǒng)的功能，進(jìn)而導(dǎo)致系統(tǒng)癱瘓；另外，文檔的遺失也會(huì)使軟件的升級(jí)與維護(hù)十分困難。 數(shù)據(jù)庫：數(shù)據(jù)庫中存有大量的數(shù)據(jù)資源，而且有些數(shù)據(jù)價(jià)值連城，如果遭到破壞或失 竊，其損失將難以估價(jià)。 操作系統(tǒng)：操作系統(tǒng)是支持系統(tǒng)運(yùn)行、保障數(shù)據(jù)安全、協(xié)調(diào)處理業(yè)務(wù)和聯(lián)機(jī)運(yùn)行的關(guān)鍵部分，如果遭到攻擊和破壞，將會(huì)造成系統(tǒng)運(yùn)行的崩潰。 硬件：計(jì)算機(jī)硬件本身具有被破壞、盜竊的可能。此外，組成計(jì)算機(jī)的電子設(shè)備和元件也存在偶然故障的可能，有時(shí)這種偶然故障可能是致命的。 通信：信息和數(shù)據(jù)通過通信系統(tǒng)進(jìn)行傳輸會(huì)有被竊聽的危險(xiǎn)。 電磁輻射：計(jì)算機(jī)是用電脈沖工作的設(shè)備，信息是以 脈沖來表示的。因此，計(jì)算機(jī)所處理的信息將以電磁波的形式向周圍輻射，只要接收到這些電磁波，就能復(fù)現(xiàn)它的內(nèi)容，造成信息的失密。同時(shí)，計(jì)算機(jī)也容易遭受外界電磁輻射的干擾。 環(huán)境保障系統(tǒng)：信息系統(tǒng)需要一個(gè)良好的運(yùn)行環(huán)境，周圍環(huán)境的溫度、濕度、清潔度以及一些自然災(zāi)害等，都會(huì)對(duì)計(jì)算機(jī)硬件、軟件造成影響。 企業(yè)內(nèi)部人的因素：低水平的安全管理、人員素質(zhì)低下、偶然的操作失誤或故意的違法犯罪行為等，都會(huì)成為影響信息系統(tǒng)安全的因素。 軟件的非法復(fù)制：軟件的非法復(fù)制，除了會(huì)造成軟件的失密外，還會(huì)給犯罪 人員提供分析、入侵、盜取和破壞系統(tǒng)的機(jī)會(huì)。 計(jì)算機(jī)黑客：一些非法的網(wǎng)絡(luò)客戶，出于各種動(dòng)機(jī)，利用所掌握的信息技術(shù)會(huì)進(jìn)入未經(jīng)授權(quán)的信息系統(tǒng)，惡意的黑客可能導(dǎo)致嚴(yán)重的問題。 病毒：病毒對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的威脅和破壞越來越嚴(yán)重。 經(jīng)濟(jì)間諜：出于商業(yè)目的采用各種手段竊取競爭對(duì)手的機(jī)密數(shù)據(jù)。 通過審計(jì)可以發(fā)現(xiàn)信息系統(tǒng)本身及其控制環(huán)節(jié)的不足之處，以便及時(shí)改進(jìn)與完善，使信息系統(tǒng)在企業(yè)的經(jīng)營管理中有效地發(fā)揮作用。 二、電算化會(huì)計(jì)信息系統(tǒng)審計(jì)的基本概念 電算化會(huì)計(jì)信息系統(tǒng)審計(jì)的含義 會(huì)計(jì)信息系統(tǒng)審計(jì)的對(duì)象是被審計(jì)單位的計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)及其相關(guān)系統(tǒng)，凡是與信息系統(tǒng)有關(guān)的活動(dòng)和信息都屬于會(huì)計(jì)信息系統(tǒng)審計(jì)的范圍，包括信息系統(tǒng)本身 (如軟硬件資源、數(shù)據(jù)、文檔資料、運(yùn)行規(guī)程、人員等 )，信息系統(tǒng)生命周期過程 (如系統(tǒng)開發(fā)、應(yīng)用和維護(hù)等 )，信息系統(tǒng)相關(guān)業(yè)務(wù) (如 EDI、電子資金轉(zhuǎn)賬等 )。 審計(jì)目標(biāo) 會(huì)計(jì)信息系統(tǒng)審計(jì)的目標(biāo)是對(duì)被審計(jì)單位計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)及其 相關(guān)系統(tǒng)的安全性、可靠性、有效性和效率發(fā)表審計(jì)意見并提出改進(jìn)建議。具體來說： ① 安全性 ② 可靠性 ③ 有效性 ④ 效 率 會(huì)計(jì)信息系統(tǒng)審計(jì)的特點(diǎn) 會(huì)計(jì)信息系統(tǒng)審計(jì)是以計(jì)算機(jī)信息系統(tǒng)為審計(jì)對(duì)象，這就決定了其具有下列特點(diǎn)： ① 技術(shù)性較強(qiáng) 信息系統(tǒng)是建立在計(jì)算機(jī)硬件和軟件基礎(chǔ)之上的，要對(duì)信息系統(tǒng)進(jìn)行了解、描述，需要掌握一些專門的技巧和信息技術(shù)知識(shí)。對(duì)系統(tǒng)進(jìn)行測試，特別是對(duì)應(yīng)用程序及嵌入到程序中的各項(xiàng)控制措施進(jìn)行審查時(shí)，必須要用到計(jì)算機(jī)輔助審計(jì)技術(shù)。 ② 審計(jì)工作具有一定的復(fù)雜性 信息系統(tǒng)審計(jì)工作的復(fù)雜性主要反映在信息系統(tǒng)的多樣性、復(fù)雜性和技術(shù)性上。不同的信息系統(tǒng)，其物理結(jié)構(gòu)會(huì)不同，采用的計(jì)算機(jī)設(shè)備、系統(tǒng)軟件、應(yīng)用軟件等也會(huì)不同，這一切決定了對(duì)信息系統(tǒng)進(jìn)行了解、描述、測試和評(píng)價(jià)具有一定的復(fù)雜性。 ③ 審計(jì)的取證具有動(dòng)態(tài)性 對(duì)信息系統(tǒng)進(jìn)行審計(jì)，往往是在系統(tǒng)運(yùn)行過程中進(jìn)行審計(jì)取證，審計(jì)人員一方面要及時(shí)完成審計(jì)任務(wù)，另一方面又不能干擾被審計(jì)信息系統(tǒng)的正常工作。 三、會(huì)計(jì)信息系統(tǒng)審計(jì)的內(nèi)容 信息系統(tǒng)生命周期過程的審計(jì) 信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行和維護(hù)五個(gè)階段，其中前四個(gè)階段屬于系統(tǒng)開發(fā)階段，后一個(gè)階段屬于系統(tǒng)運(yùn)行階段。按照對(duì)信息系統(tǒng)實(shí)施審計(jì)的時(shí)間不同，可將其分為 系統(tǒng)開發(fā)階段的審計(jì) 和 系統(tǒng)運(yùn)行階段的審計(jì) 。 信息系統(tǒng)控制的審計(jì) 控制是降低風(fēng)險(xiǎn)的各類措施。信息系統(tǒng)的控制是信息系統(tǒng)應(yīng)用中的重要環(huán)節(jié)之一。信息系統(tǒng)控制審計(jì)是對(duì)信息系統(tǒng)的管理和相關(guān)的各項(xiàng)控制措施的健全性和有效性進(jìn)行審計(jì)。根據(jù)管理和應(yīng)用上的不同要求，信息系統(tǒng)的控制可分為 一般控制 與 應(yīng)用控制 。等 一般控制是應(yīng)用控制的基礎(chǔ)，審查和評(píng)價(jià)信息系統(tǒng)的控制是信 息系統(tǒng)審計(jì)的核心內(nèi)容。 四、會(huì)計(jì)信息系統(tǒng)審計(jì)的策略 在執(zhí)行信息系統(tǒng)審計(jì)時(shí)，針對(duì)系統(tǒng)的復(fù)雜性，策略是： 根據(jù)信息系統(tǒng)審計(jì)的目標(biāo)，將系統(tǒng)分解成為子系統(tǒng)。 確定每一子系統(tǒng)的可靠性，并根據(jù)每一子系統(tǒng)的可靠性推導(dǎo)出系統(tǒng)總體的可靠性。 將系統(tǒng)分解成為子系統(tǒng) 了解一個(gè)復(fù)雜系統(tǒng)的首要步驟就是將該系統(tǒng)分解成為若干個(gè)子系統(tǒng)。將系統(tǒng)分解成為子系統(tǒng)，不僅可以降低系統(tǒng)的復(fù)雜性，而且還可方便審計(jì)人員了解和評(píng)價(jià)系統(tǒng)。常見 的做法是分別從信息系統(tǒng)的管理角度和應(yīng)用角度著手來分解系統(tǒng)： 首先，從對(duì)信 息系統(tǒng)管理的角度，按照管理功能進(jìn)行分解，可以識(shí)別出以下管理子系統(tǒng)，見表 16 1： 表 16 1：從管理功能識(shí)別劃分的子系統(tǒng) 管理子系統(tǒng) 子系統(tǒng)描述 高層管理 高層管理者必須確保管理好信息系統(tǒng)，并負(fù)責(zé)制定一個(gè)組織運(yùn)用信息系統(tǒng)的長期策略。