计算机审计 考试范围.docx

审计技术的发展1. 人工方法 交易项目详细审计2. 人工方法 资产负债表审计3. 人工方法+数理统计技术 制度基础审计4. 人工方法+数理统计技术 风险基础审计5. 信息技术+资产负债表审计 计算机辅助审计（CAATs）6. 信息技术+制度基础审计 信息系统审计7. 信息技术+风险基础审计 基础数据审计信息系统审计主要方法1. 信息系统的安全与控制测试2. 信息系统的组织与管理测试3. 信息系统的处理过程测试4. 信息系统的完整、保密与有效5. 信息系统软件的开发、取得与维护1. 计算机辅助审计使用计算机软件帮助审计任务的完成审计人员的经验和职业判断占主导地位用于审计目的审计软件的测试数据通用辅助审计软件包（ACL,EXCEL）2. 计算机辅助审计新发展实时的控制数据仓库和数据挖掘技术的应用人工智能技术的运用数理统计技术的运用基础数据分析技术行为分析技术电算化信息系统的内部控制 什么是一般控制？应用控制的内容一般审计1）普通使用与各类组织2） 从信息系统研制开发到实验维护的全过程的控制3） 对整个组织具有普遍性的影响4） 如果控制失效风险较大组织控制1. 不相容职务分离1） 程序员与操作员分离2） 信息部门与用户部门分离3） 数据备份与数据使用分离4） 审核与操作分离5） 审计部门与实务部门分离2. 授权管理1） 授权级别划分2） 授权范围控制3. 人员招聘'录用控制系统发展控制1. 可行性分析2. 系统发展授权3. 内审人员参与4. 系统调试数据控制5. 系统转换控制6. 系统效益评估计算机操作控制1. 系统只用于经过允许的目的，接触计算机操作的只限于经过允许的人员，只用经过允许的程序可以运行，程序运 行的错误可以察觉和纠正。

国际会计准则15号）2. 建立操作制度并实施之3. 包括：机器操作规则、机器功效标准、作业运行规程、控制台记录规程（日志）、数据文件控制标准、应急措施、 物理安全规则等系统软件控制1. 错误处理的控制功能2. 使用权限控制功能3. 防止计算机病毒控制数据和程序安全控制1. 实物安全保管制度2. 数据安全制度（防黑客、异地同步备份）3. 系统修改'升级控制4. 使用报告'使用记录应用控制1.适用于具体业务处理的特定控制措施2. 目的是保护数据的完整性、准确性、有效性、可维护 性'可审计性3. 是人机两方面的控制4. 包括输入控制'处理控制'输出控制输入控制1. 输入方式控制1） 网络传输、软盘转录、人工输入、其他2） 原则：快速、有效、安全2. 输入权限控制1） 输入授权2） 数字签字3. 数据转换控制4. 输入校验（合理性校验、格式校验、关键字校验、依赖性校验、位校验、其他）处理控制1. 系统内部核对控制2. 处理适当性、公允性控制3•溢出控制4. 误操作控制5. 其它输出控制1. 输出校验2. 输出格式控制3. 输出文件的修改性控制（一般不可修改）4. 输出前的强制备份5. 输出文件适用控制6. 其它审计取证模式的发展账项基础审计将反映经济业务的会计账簿作为取证工作的切入 点，在规划和实施审计时，工作重点直接放在审计上制度基础审计以内部控制制度评审为基础，程序切入点是被审 计单位的内部控制制度。

通过对制度的调查测试评价，来确 定帐表余额的检查的广度和深度风险基础审计是在制度基础审计的基础上，通过在审计过程中 引入风险分析和风险控制方法而形成的一种审计模式，切入点由内 部控制一项变成内部控制制度(审计客体风险)和风险因素(审计 主体风险)两项其基本程序未脱离制度基础审计模式■从计算机审计的反战历程看表现为三层面(1) 依赖对实用工具、软件的使用(办公自动化计一计算机辅助 审计)(2) 侧重技术方法层面，开始真正意义上的计算机审计探索(大 型数据库技术一建模数据分析)(3) 以系统论为指导，计算机审计方式的形成(计算机信息系统 数据库底层数据一计算机审计质量控制模型)4 计算机审计的概念、特征、对象，有哪几种作业模式，每种指 什么内容计算机审计是以被审计单位计算机信息系统和底层数据库原 始数据为切入点，在对信息系统进行检查评测的基础上，通 过对底层数据的采集、转换、清理、验证，形成审计中间表， 并运用查询分析、多维分析、数据挖掘等多种技术和方法构 建模型进行数据分析，发现趋势、异常和错误，把握总体， 突出重点，精确延伸，从而搜集审计证据，实现审计目标的 审计方式特征以系统论为指导审计取证的切入点是信息系统和底层电子数据创建审计中间表，构建审计信息系统构建模型进行数据分析对象是被审计单位的财务收支及有关的经济活动目前在我国审计客体按审计执行主体的不同分为：国家审计客体、 社会审计客体'内部审计客体作业模式1.现场单机审计模式1) 审计人员运用台式或笔记本电脑一个一个独立地开展审计工作2) 灵活方便，适合于被审计单位规模小，数据量小的情况2•现场网络审计模式1) 审计组在审计现场组建专用的小型局域网，有专用的服务器存放和处理数据，审计人员分设若干个工作 站，在网上协同工作2) 适用于被审计单位规模大、数据量大的情况3) 目前海关'金融'企业审计中常用3. 远程网络审计模式通过设立审计服务器，从被审计单位实时下载数据，远 程网上开展审计计算机审计的技术方法技术、系统审计对象的方法1. 从数据审计来看：数据采集转换和清理验证技术'审计中 间表创建技术、审计分析模型构建技术、审计数据的分析技 术和方法、审计现场组网技术等。

2. 从审计系统来看：学习和借鉴国外经验'借鉴COBIT标准、信息系统审计与数据相结合、业务跟踪法等COBIT： 信息系统和技术控制目标)计算机审计的质量控制模型将审计项目按其进行过程的先后逻辑顺序，划分为相对独立的三大 部分：审计准备'审计实施'审计完成过程：对计算机审计项目的最粗略划分流程：比过程低一级的审计业务活动任务：构成流程的一系列细致的审计业务操作规则，计算机审计规则的概念以及规则的特征、作用，大概包 括哪些规则内容和操作流程概念:审计机构和审计人员在计算机审计活动中应当遵循的行 为规范和工作标准他是审计主体在信息化环境下规范计算 机审计活动'提高审计工作质量和效率的重要标准，是对计 算机审计行为的约束和指导基本特征1.计算机审计规则是计算机审计发展到一定阶段的 产物2. 计算机审计规则是开展计算机审计工作应当遵循的行为 规范3•计算机审计规则是对审计人员的指导，是计算机审计工作 的标准一、作用1. 规范计算机审计活动，使其步入科学化、制度化、规范化道路2. 提高审计工作质量和效率，降低审计风险二体系结构和主要内容计算机审计基本规则《计算机审计操作规范》《信息系统审计操作 规则》网上审计操作规则计算机审计具体规则《审计中间表创建和使用管理规范》《数据分 析报告攥写规则》等计算机审计相关规则《审计数字化应用规则》《电子数据归档与 管理办法》等11.计算机审计的流程完善审计资源平台，进行系统测评：(1) 审前调查，获取信息并了解系统基本情况(2) 采集数据，全面掌握情况(3) 数据转换、清理和验证，并对信息系统进行测评(4) 建立审计中间表并通过系统测评进一步完善分析数据并延伸落实：(1) 多维分析总体把握(2) 建立个体分模型(3) 延伸落实审计取证7 什么是审前调查？审前调查的内容审前调查应以审计目的为依据进行。

审计目的决定了调查的 范围和内容，审计目的不同，对同一被审计单位调查的范围、内容 也会不同在进行调查时，应首先对被审计单位组织结构和计算机 信息系统总体设置情况有一定的了解，在此基础上对计算机信息系 统的软硬件'数据库管理系统等进行逐步深入的调查审前调查是审前准备阶段的一项重要内容，是指在下发审计通知书 之前，就审计的内容范围'方式和重点，到被审计单位及相关单位 进行调查了解其基本情况，以掌握第一手资料的一项活动调查可 通过检查'查询'观察等方法进行调查的内容和方法1）对组织结构的调查a） 调查的主要内容:管理体制'部门设置情况'部门的具体职能'部门内计算机信息系统 的情况b） 调查的主要方法：问卷调查、实地观察c） 对初次审计单位应详细调查，对再次审计单位应着重对组织结构的变化情况进行调 查2） 对计算机信息系统的调查a） 调查的主要内容：硬件设备、软件系统、系统技术、系统的主要功能、系统的业务处理 流程b） 调查的主要方法：向被审计单位计算机技术人员、业务人员询问，实地观察计算机信息 系统和检查相关文档c） 调查中应考虑被审单位计算机信息系统的复杂程度按审计目标决定详尽程度3） 对数据库及数据的调查a） 调查的主要内容b） 数据库相关技术情况、系统对业务处理的流程c） 调查的主要方法d） 阅读相关技术文档特别是数据库系统说明，数据字典、系统功能说明书。

e） 调查中应注意及与有关人员的沟通4） 缺乏数据库有关技术文档情况下的调查a） 常用财务软件b） 取得相关协助c） 审计人员直接调查数据数据需求的提出：（1） 确定所需数据内容：通过讨论提出尽量全面完整的数据 要求，防止考虑不周而多次零星提出要求而延误电子数据的提取： 使组员了解系统及数据概况，为进一步使用数据，建立数据分析模 型奠定基础（2） 确定数据获取的具体方式：以技术角度考虑所需数据能 否提取，何种方式提取，具体文件格式，传输介质，数据处理所需 时间等（3） 提出书面数据要求：发出书面数据要求说明书，内容一 般如下：被采集的系统名称；数据的内容；数据格式和传输的方式' 时限要求；双方的责任；其他未尽事宜什么是数据采集？它的特征（选择性、可操作性……）、工具、方 法、策略是在审前调查提出的数据需求基础上，按照审计目标，采用一定 的工具和方法对被审计单位信息系统中的数据库（文件）进 行采集的工作3）其具有明确的选择性、目的性和可操作性选择性审计人员只采集与审计需求相关的数据目的性数据此埃及的目的是在掌握第一手资料、把握总体的情况 下，为被审单位准备基础数据可操作性数据采集的拘束和方法 多种多样，但所用的技术和方法都必须是易于操作。

3. 数据采集的工具可用作数据采集的工具很多，大体来说，可以有这么几大类工 具：1） 审计软件2） DBMS（数据库管理系统）自带工具用FoxPro直接打开数据表：用Access2000采集数据：用MS SQL Serve2000采集数据一些通用的数据分析工具3） SAS' SPSS' Excel2000 “分析工具库”等4. 数据采集的方法和策略A. 被审单位信息系统中的数据系统与审计人员使用的数据库系统相同，或者虽不相同，但审计人员的数据库引擎可以直接 访问被审单位信息系统的数据库一一直接拷贝和直接读取直接拷贝和直接读取1） 直接从被审单位信息系统的数据存储目录获取数据早起单机版会计软件多采用 dBase' FoxPro、Access等单机数据库管理系统利用被审单位信息系统提供的备份工具进行数据 采集对未经加密存储的备份数据直接拷贝：对加密存 储的备份数据，首先在一个模拟复制的被审单位信息 系统中恢复备份数据，然后找到恢复后说的数据存储 目录获。