【正文】 下一頁 退 出 101 處理控制 （ 二 ） 文件標簽檢查 文件標簽分為外部標簽和內(nèi)部標簽。 文件的內(nèi)部標簽是由計算機在存儲數(shù)據(jù)記錄時產(chǎn)生的，可以用計算機加以檢查，以確定所打開并處理的文件確實是要處理的文件。 還有些數(shù)字不可能為負數(shù)，如結(jié)余的存貨數(shù)量。 目 錄 上一頁 下一頁 退 出 103 處理控制 （四）平衡及勾稽關(guān)系校驗 在總分類賬或者明細分類賬中，存在著一個基本的關(guān)系：期初余額 +本期借方發(fā)生額 本期貸方發(fā)生額 =期末余額 。 根據(jù)會計等式可知 ， 資產(chǎn)類賬戶的期初余額 、 本期發(fā)生額 、 期末余額和負債 、 所有者權(quán)益賬戶的期初余額 、 本期發(fā)生額 、 期末余額應(yīng)該試算平衡 。 報表中的小計 、 合計 、 凈值等計算關(guān)系應(yīng)該可以復(fù)核 。例如：資產(chǎn)負債表中“ 未分配利潤 ” 項目與利潤分配表中 “ 未分配利潤 ” 目 錄 上一頁 下一頁 退 出 105 處理控制 對于處理控制中發(fā)現(xiàn)的錯誤 ， 必須分別情況進行處理： （ 一 ） 錯誤可以立即更正 （ 二 ） 錯誤必須返回用戶部門進行更正 （ 三 ） 錯誤已經(jīng)對主文件造成影響 目 錄 上一頁 下一頁 退 出 106 輸出控制 一 、 輸出控制的目的 從系統(tǒng)的角度來看 ， 輸入和輸出是相對的 。 輸出對用戶來說是至關(guān)重要的 。 目 錄 上一頁 下一頁 退 出 107 輸出控制 二 、 信息系統(tǒng)的輸出 信息系統(tǒng)常見的輸出方式有兩種：打印輸出和查詢輸出 。 目 錄 上一頁 下一頁 退 出 108 輸出控制 三 、 會計信息系統(tǒng)的輸出環(huán)節(jié) 會計信息系統(tǒng)中的賬務(wù)處理模塊應(yīng)當提供對機內(nèi)會計數(shù)據(jù)的查詢功能。 工資核算模塊應(yīng)當可以輸出有關(guān)工資的各類匯總表、工資單、工資分配表及人民幣票面張數(shù)取用數(shù)等 。 在其他業(yè)務(wù)核算模塊的輸出中 ， 還包括根據(jù)有關(guān)業(yè)務(wù)自動生成的機制憑證的輸出 。 目 錄 上一頁 下一頁 退 出 110 輸出控制 四 、 會計信息系統(tǒng)的輸出控制方法 （ 一 ） 輸出信息內(nèi)容和格式的控制 輸出信息必須符合用戶的要求。 為了對內(nèi)容進行控制，要求電算部門在將輸出信息傳遞給用戶之前，先要進行控制總數(shù)等方法的校驗。 （ 二 ） 輸出信息傳送過程的控制 必須對輸出信息的傳送進行控制 。 只有這樣 ，才能保證經(jīng)過授權(quán)的用戶得到了所需要的資料 。 目 錄 上一頁 下一頁 退 出 112 第五節(jié) CAIS內(nèi)部控制的審計 一、內(nèi)部控制評審的目標 二、 CAIS內(nèi)部控制評審的內(nèi)容 三、 CAIS內(nèi)部控制的審計步驟 目 錄 上一頁 下一頁 退 出 113 CAIS內(nèi)部控制的審計 審計目的：確定系統(tǒng)的內(nèi)部控制設(shè)置是否完善適當；已有的控制是否恰當?shù)匕l(fā)揮了作用，達到了原來的設(shè)計目標；針對系統(tǒng)控制的缺陷和薄弱環(huán)節(jié)提出改進的建議，并以此為依據(jù)調(diào)整實質(zhì)性測試階段的范圍、內(nèi)容和深度。內(nèi)容有： （ 1）被審計單位信息系統(tǒng)的規(guī)模； （ 2）硬件和網(wǎng)絡(luò)的技術(shù)復(fù)雜性； （ 3）被審計單位信息系統(tǒng)會計核算和業(yè)務(wù)系統(tǒng)等應(yīng) 用軟件取得的方式； （ 4）系統(tǒng)的管理情況； （ 5）被審計單位信息系統(tǒng)處理業(yè)務(wù)流程等。內(nèi)容有： （ 1）系統(tǒng)控制措施； （ 2）不相容職能分離控制措施 ； （ 3）訪問控制措施 ； （ 4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施 ； 目的：是確定被審計單位信息系統(tǒng)總體控制環(huán)境中控制 的健全性、合理性和有效性及其存在的風(fēng)險。 應(yīng)用控制的評審包括： 輸入控制審計 目的：審查輸入控制在確保輸入數(shù)據(jù)的精確、完整、 有效以及數(shù)據(jù)輸入的合法性的情況。 目 錄 上一頁 下一頁 退 出 117 CAIS內(nèi)部控制的審計 處理控制的審計 目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、 所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復(fù)處理、處 理的數(shù)據(jù)是有效的，等。 目 錄 上一頁 下一頁 退 出 118 CAIS內(nèi)部控制的審計 輸出控制的審計 目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。 目 錄 上一頁 下一頁 退 出 119 CAIS內(nèi)部控制的審計步驟 (一 )了解并描述內(nèi)部控制 調(diào)查方法：詢問、觀察、查閱文檔資料、檢測工具 描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程 圖法 (二 )符合性測試 人工控制審查方法：詢問、觀察、檢查文檔資料、 發(fā)放調(diào)查問卷等 程序控制審查方法：人工控制審查方法、計算機輔 助審計技術(shù) (三 )評價內(nèi)部控制 評價目標：確定被審單位的內(nèi)部控制是否達到了電算化條件下應(yīng)有的控制目標，內(nèi)部控制是否有重大缺陷，有無過控 或欠控之處，已設(shè)立的控制是否有效執(zhí)行。 目 錄 上一頁 下一頁 退 出 120 CAIS內(nèi)部控制的審計步驟 內(nèi)部控制評價指標簡介： 內(nèi)部控制的審計評價指標通常分為一般性指標和具體指標 （一）信息系統(tǒng)內(nèi)部控制審計評價的一般性指標 指為保證信息系統(tǒng)安全運行所制定的內(nèi)部控制制度應(yīng)遵 循的原則和達到的目標，包括： 信息系統(tǒng)內(nèi)部控制的完整性； 信息系統(tǒng)內(nèi)部控制的合理性； 信息系統(tǒng)內(nèi)部控制的有效性。 目 錄 上一頁 下一頁 退 出 121 第六節(jié) 內(nèi)部控制審計實例 一、被審單位基本情況 二、被審電算化系統(tǒng) —— 銷售和收款系統(tǒng)說明 三、系統(tǒng)的內(nèi)部控制制度 四、收集審計證據(jù) 五、審計證據(jù)的分析與報告 目 錄 上一頁 下一頁 退 出 122 實例 某審計機構(gòu)對對某酒店開展了信息系統(tǒng)審計。 通過了解情況、評估內(nèi)部控制等環(huán)節(jié)，根據(jù)審計目的，確定了： 審計重點：年審日報匯總系統(tǒng)、會議團體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財 務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個系統(tǒng)模塊作為對信息系統(tǒng)進行安 全性、可靠性測試的重點。 審計實施。 目 錄 上一頁 下一頁 退 出 123 實例 （ 2）通過測試數(shù)據(jù)的真實完整性來審計信息系統(tǒng)的安全性和可靠性。 （ 4）針對數(shù)據(jù)在運算、自動傳輸和手工傳輸過程中存在發(fā)生錯誤和被調(diào)整修改的可能性，因此利用計算機輔助審計技術(shù)進行了驗證。 審計完成 通過審計測試，發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運算上存在錯誤，通過數(shù)據(jù)驗證，證明錯誤產(chǎn)生的原因是由信息系統(tǒng)本身缺陷造成的。 目 錄 上一頁 下一頁 退 出 124 思考題 1． CAIS的內(nèi)部控制與傳統(tǒng)控制相比有何變化 ？ 2． CAIS的內(nèi)部控制有哪些分類標準 ? 3． CAIS的風(fēng)險有哪些 ?如何理解計算機環(huán)境下的審計風(fēng)險 ？ 4． CAIS的一般控制有哪些 ? 5． CAIS的應(yīng)用控制有哪些 ？ 6． 如何對 CAIS的內(nèi)部控制進行審計 ? 目 錄 上一頁 下一頁 退 出 125 練習(xí)題 MMI是一個制藥公司，通過直接郵寄的方式折價銷售處方藥。 MMI經(jīng)歷了重大的銷售增長，與此同時，處方藥的成本在增長，銷售額增長的一個結(jié)果是 MMI自建了計算機硬件設(shè)施。計算機區(qū)域安裝了高科技的防火設(shè)備和備用電力供應(yīng)設(shè)備。 MMI系統(tǒng)和開發(fā)人員也在同一個樓里，他們可以進入計算機中心，并在運維人員不夠時自行測試新的程序并進行程序變更。MMI對程序和數(shù)據(jù)定期進行異地備份。請指出 MMI的兩處與計算機相關(guān)的內(nèi)部控制缺陷，并提出糾正性措施。用戶需要通過應(yīng)用程序修改數(shù)據(jù)。應(yīng)用程序員應(yīng)不能直接修改生產(chǎn)程序，而應(yīng)該將修改內(nèi)容提交給變動控制部門。應(yīng)用程序員不能直接修改生產(chǎn)數(shù)據(jù)，用戶也不應(yīng)修改生產(chǎn)程序。 目 錄 上一頁 下一頁 退 出 127 練習(xí)題 要防止將字母符號輸入到完全是數(shù)字識別的區(qū)域，可以應(yīng)用以下哪種技術(shù) Ａ、存在性檢驗 Ｂ、檢驗數(shù)位 Ｃ、相關(guān)性檢驗 Ｄ、格式檢驗 答案：Ｄ 解題思路：答案 A、 B、 C均不正確。 答案Ｄ正確。 目 錄 上一頁 下一頁 退 出 128 練習(xí)題 在一個大型組織里，信息中心幫助平臺沒有配備足夠人員的最大的風(fēng)險是 Ａ、增加了實施應(yīng)用審計的難度 B、應(yīng)用系統(tǒng)缺乏足夠的文檔 C、增加了使用未經(jīng)授權(quán)的程序代碼的可能性 D、用戶操作系統(tǒng)時不斷出現(xiàn)錯誤 答案： D 解題思路：答案 A、 B、 C均不正確。 答案 D正確。 目 錄 上一頁 下一頁 退 出 129 練習(xí)題 以下哪項是信息系統(tǒng)安全性有關(guān)的高層管理人員的重要責(zé)任。 答案： A 解題思路：答案 A正確。 答案 B、 C、 D均不正確。 目 錄 上一頁 下一頁 退 出 130 練習(xí)題 在審查某公司對外出售已用過微機的政策時，審計人員最關(guān)心的是以下哪項內(nèi)容？ A、硬盤驅(qū)動器上已經(jīng)刪除的文件是否徹底消除 B、電腦是否有病毒 C、電腦上的所有軟件是否獲得恰當許可 D、電腦上是否存在終端仿真軟件 答案： A 解題思路：答案 A正確。 答案 B、 C、 D均不正確。 131 第三章 會計信息系統(tǒng)開發(fā)審計 目 錄 上一頁 下一頁 退 出 目 錄 上一頁 下一頁 退 出 132 本 章 教學(xué)目的與要求 通過本章的教學(xué)要求學(xué)生達到下列要求： ⑴ 了解系統(tǒng)開發(fā)審計的目標 ⑵ 掌握系統(tǒng)開發(fā)審計的內(nèi)容 ⑶ 學(xué)會系統(tǒng)開發(fā)審計方法 ⑷ 了解相關(guān)規(guī)范與標準 目 錄 上一頁 下一頁 退 出 133 本 章 教學(xué)內(nèi)容 系統(tǒng)開發(fā)審計的目標 系統(tǒng)開發(fā)各個階段的審計內(nèi)容與方法 CMMi、開發(fā)項目的管理規(guī)范 目 錄 上一頁 下一頁 退 出 134 本 章 教學(xué)的重點 為了實現(xiàn)本章教學(xué)目的，在教學(xué)過過程中應(yīng)以下列 內(nèi)容作為本章教學(xué)重點： ⑴ 系統(tǒng)開發(fā)各個階段的審計內(nèi)容 ⑵ 系統(tǒng)開發(fā)審計的方法及依據(jù) 目 錄 上一頁 下一頁 退 出 135 本 章 教學(xué)難點 ⑴ 系統(tǒng)開發(fā)審計的內(nèi)容 ⑵ 如何進行系統(tǒng)開發(fā)的審計 目 錄 上一頁 下一頁 退 出 136 第一節(jié) 系統(tǒng)開發(fā)審計的目標 一、系統(tǒng)開發(fā)審計及其必要性 系統(tǒng)開發(fā)過程審計 指當企業(yè)開始開發(fā)一個新的電算化會計信息系統(tǒng)時（需要指出的是，本章所講的系統(tǒng)更多時候指的是電算化的信息系統(tǒng)，其實并不是僅限于會計系統(tǒng)），或者當企業(yè)對一個原有的電算化信息系統(tǒng)進行較大修改時，審計人員需要對這個過程進行審計。 系統(tǒng)開發(fā)過程的審計可以由內(nèi)部審計人員或外部審計人員來做。外部審計人員的參與往往是在幾個重要的時點，如系統(tǒng)開發(fā)由一個階段轉(zhuǎn)向另一個階段、系統(tǒng)要交付實際運行