【正文】 第十六章 銷售與收款核算與管理子系統(tǒng) 【本章目標(biāo)】 本章論述當(dāng)前信息化背景下會計信息系統(tǒng)審計的重要性以及什么是會計信息系統(tǒng)審計、會計信息系統(tǒng)的審計過程、電算化會計信息系統(tǒng)審計中的常用技術(shù)、會計信息系統(tǒng)內(nèi)部控制的研究和評價。通過本章學(xué)習(xí)，應(yīng)理解和掌握以下內(nèi)容： 會計信息系統(tǒng)審計的重要性及其發(fā)展背景； 會計信息系統(tǒng)審計的定義、目標(biāo)、特點、策略、內(nèi)容； 會計信息系統(tǒng)的審計過程，過程中每個階段的主要內(nèi)容和步驟； 會計信息系統(tǒng)審計中的用的手工審計技術(shù)和計算機輔助審計技 術(shù)。對計算機輔助審計技術(shù)，應(yīng)了解每項技術(shù)的基本原理和主要特點； 【學(xué)習(xí)內(nèi)容】 電算化會計信息系統(tǒng)審計概論 會計信息系統(tǒng)審計的過程 會計信息系統(tǒng)審計中的常用技術(shù) 第一節(jié) 電算化會計信息系統(tǒng)審計概論 一、 電算化會計信息系統(tǒng)審計的必要性 信息系統(tǒng)的應(yīng)用帶來了新的風(fēng)險 信息系統(tǒng)在企業(yè)的經(jīng)營管理中起著十分重要的作用，對企業(yè)生存與繁榮的影響越來越大。然而，信息系統(tǒng)的應(yīng)用又帶來了與以往不同的風(fēng)險。所謂風(fēng)險，是指導(dǎo)致一個組織或機構(gòu)發(fā)生損失的可能性。 僅就信息處理方面，可能的風(fēng)險列舉如下： 數(shù)據(jù)輸入：數(shù)據(jù)容易被篡改或輸入虛假數(shù)據(jù)。 數(shù)據(jù)輸出：經(jīng)過處理的數(shù)據(jù)通過各種設(shè)備輸出，信息就有泄漏和被盜看的可能。 數(shù)據(jù)存取與備份：非法用戶可能侵入系統(tǒng)而存取數(shù)據(jù)，還可能由于沒有備份數(shù)據(jù)而使系統(tǒng)發(fā)生故障后難以恢復(fù)。 源程序：用編程語言書寫成的處理程序，容易被修改和竊取，并且程序本身也許存在漏洞。 應(yīng)用軟件：如果軟件的程序被修改或被破壞，就會損壞系統(tǒng)的功能，進而導(dǎo)致系統(tǒng)癱瘓；另外，文檔的遺失也會使軟件的升級與維護十分困難。 數(shù)據(jù)庫：數(shù)據(jù)庫中存有大量的數(shù)據(jù)資源，而且有些數(shù)據(jù)價值連城，如果遭到破壞或失 竊，其損失將難以估價。 操作系統(tǒng)：操作系統(tǒng)是支持系統(tǒng)運行、保障數(shù)據(jù)安全、協(xié)調(diào)處理業(yè)務(wù)和聯(lián)機運行的關(guān)鍵部分，如果遭到攻擊和破壞，將會造成系統(tǒng)運行的崩潰。 硬件：計算機硬件本身具有被破壞、盜竊的可能。此外，組成計算機的電子設(shè)備和元件也存在偶然故障的可能，有時這種偶然故障可能是致命的。 通信：信息和數(shù)據(jù)通過通信系統(tǒng)進行傳輸會有被竊聽的危險。 電磁輻射：計算機是用電脈沖工作的設(shè)備，信息是以 脈沖來表示的。因此，計算機所處理的信息將以電磁波的形式向周圍輻射，只要接收到這些電磁波，就能復(fù)現(xiàn)它的內(nèi)容，造成信息的失密。同時，計算機也容易遭受外界電磁輻射的干擾。 環(huán)境保障系統(tǒng)：信息系統(tǒng)需要一個良好的運行環(huán)境，周圍環(huán)境的溫度、濕度、清潔度以及一些自然災(zāi)害等，都會對計算機硬件、軟件造成影響。 企業(yè)內(nèi)部人的因素：低水平的安全管理、人員素質(zhì)低下、偶然的操作失誤或故意的違法犯罪行為等，都會成為影響信息系統(tǒng)安全的因素。 軟件的非法復(fù)制：軟件的非法復(fù)制，除了會造成軟件的失密外，還會給犯罪 人員提供分析、入侵、盜取和破壞系統(tǒng)的機會。 計算機黑客：一些非法的網(wǎng)絡(luò)客戶，出于各種動機，利用所掌握的信息技術(shù)會進入未經(jīng)授權(quán)的信息系統(tǒng)，惡意的黑客可能導(dǎo)致嚴重的問題。 病毒：病毒對計算機及網(wǎng)絡(luò)系統(tǒng)的威脅和破壞越來越嚴重。 經(jīng)濟間諜：出于商業(yè)目的采用各種手段竊取競爭對手的機密數(shù)據(jù)。 通過審計可以發(fā)現(xiàn)信息系統(tǒng)本身及其控制環(huán)節(jié)的不足之處，以便及時改進與完善，使信息系統(tǒng)在企業(yè)的經(jīng)營管理中有效地發(fā)揮作用。 二、電算化會計信息系統(tǒng)審計的基本概念 電算化會計信息系統(tǒng)審計的含義 會計信息系統(tǒng)審計的對象是被審計單位的計算機會計信息系統(tǒng)及其相關(guān)系統(tǒng)，凡是與信息系統(tǒng)有關(guān)的活動和信息都屬于會計信息系統(tǒng)審計的范圍，包括信息系統(tǒng)本身 (如軟硬件資源、數(shù)據(jù)、文檔資料、運行規(guī)程、人員等 )，信息系統(tǒng)生命周期過程 (如系統(tǒng)開發(fā)、應(yīng)用和維護等 )，信息系統(tǒng)相關(guān)業(yè)務(wù) (如 EDI、電子資金轉(zhuǎn)賬等 )。 審計目標(biāo) 會計信息系統(tǒng)審計的目標(biāo)是對被審計單位計算機會計信息系統(tǒng)及其 相關(guān)系統(tǒng)的安全性、可靠性、有效性和效率發(fā)表審計意見并提出改進建議。具體來說： ① 安全性 ② 可靠性 ③ 有效性 ④ 效 率 會計信息系統(tǒng)審計的特點 會計信息系統(tǒng)審計是以計算機信息系統(tǒng)為審計對象，這就決定了其具有下列特點： ① 技術(shù)性較強 信息系統(tǒng)是建立在計算機硬件和軟件基礎(chǔ)之上的，要對信息系統(tǒng)進行了解、描述，需要掌握一些專門的技巧和信息技術(shù)知識。對系統(tǒng)進行測試，特別是對應(yīng)用程序及嵌入到程序中的各項控制措施進行審查時，必須要用到計算機輔助審計技術(shù)。 ② 審計工作具有一定的復(fù)雜性 信息系統(tǒng)審計工作的復(fù)雜性主要反映在信息系統(tǒng)的多樣性、復(fù)雜性和技術(shù)性上。不同的信息系統(tǒng)，其物理結(jié)構(gòu)會不同，采用的計算機設(shè)備、系統(tǒng)軟件、應(yīng)用軟件等也會不同，這一切決定了對信息系統(tǒng)進行了解、描述、測試和評價具有一定的復(fù)雜性。 ③ 審計的取證具有動態(tài)性 對信息系統(tǒng)進行審計，往往是在系統(tǒng)運行過程中進行審計取證，審計人員一方面要及時完成審計任務(wù)，另一方面又不能干擾被審計信息系統(tǒng)的正常工作。 三、會計信息系統(tǒng)審計的內(nèi)容 信息系統(tǒng)生命周期過程的審計 信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)運行和維護五個階段，其中前四個階段屬于系統(tǒng)開發(fā)階段，后一個階段屬于系統(tǒng)運行階段。按照對信息系統(tǒng)實施審計的時間不同，可將其分為 系統(tǒng)開發(fā)階段的審計 和 系統(tǒng)運行階段的審計 。 信息系統(tǒng)控制的審計 控制是降低風(fēng)險的各類措施。信息系統(tǒng)的控制是信息系統(tǒng)應(yīng)用中的重要環(huán)節(jié)之一。信息系統(tǒng)控制審計是對信息系統(tǒng)的管理和相關(guān)的各項控制措施的健全性和有效性進行審計。根據(jù)管理和應(yīng)用上的不同要求，信息系統(tǒng)的控制可分為 一般控制 與 應(yīng)用控制 。等 一般控制是應(yīng)用控制的基礎(chǔ)，審查和評價信息系統(tǒng)的控制是信 息系統(tǒng)審計的核心內(nèi)容。 四、會計信息系統(tǒng)審計的策略 在執(zhí)行信息系統(tǒng)審計時，針對系統(tǒng)的復(fù)雜性，策略是： 根據(jù)信息系統(tǒng)審計的目標(biāo)，將系統(tǒng)分解成為子系統(tǒng)。 確定每一子系統(tǒng)的可靠性，并根據(jù)每一子系統(tǒng)的可靠性推導(dǎo)出系統(tǒng)總體的可靠性。 將系統(tǒng)分解成為子系統(tǒng) 了解一個復(fù)雜系統(tǒng)的首要步驟就是將該系統(tǒng)分解成為若干個子系統(tǒng)。將系統(tǒng)分解成為子系統(tǒng)，不僅可以降低系統(tǒng)的復(fù)雜性，而且還可方便審計人員了解和評價系統(tǒng)。常見 的做法是分別從信息系統(tǒng)的管理角度和應(yīng)用角度著手來分解系統(tǒng)： 首先，從對信 息系統(tǒng)管理的角度，按照管理功能進行分解，可以識別出以下管理子系統(tǒng)，見表 16 1： 表 16 1：從管理功能識別劃分的子系統(tǒng) 管理子系統(tǒng) 子系統(tǒng)描述 高層管理 高層管理者必須確保管理好信息系統(tǒng)，并負責(zé)制定一個組織運用信息系統(tǒng)的長期策略。