會(huì)計(jì)信息系統(tǒng)第20章會(huì)計(jì)信息系統(tǒng)評(píng)估

1、會(huì)計(jì)信息系統(tǒng) 第二十章會(huì)計(jì)信息系統(tǒng)評(píng)估20CHAPTER第一節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的概念一、信息系統(tǒng)評(píng)估的研究現(xiàn)狀 二、信息系統(tǒng)評(píng)估的內(nèi)容1.系統(tǒng)性能評(píng)估 2.業(yè)務(wù)支持評(píng)估 3.應(yīng)用環(huán)境評(píng)估 4.效益評(píng)估 5.經(jīng)驗(yàn)和建議 三、建立科學(xué)的信息系統(tǒng)評(píng)估指標(biāo)體系圖20-1企業(yè)信息系統(tǒng)評(píng)價(jià)指標(biāo)體系構(gòu)成第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法一、會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測(cè)試 1.實(shí)質(zhì)性測(cè)試的范圍審計(jì)人員在對(duì)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制進(jìn)行符合性測(cè)試后，需將測(cè)試結(jié)果與初步評(píng)估的結(jié)果相對(duì)比，重新確定內(nèi)部控制的可靠性，并據(jù)此確定實(shí)質(zhì)性測(cè)試的范圍。一般情況下，符合性測(cè)試表明：內(nèi)部控制的可信賴程度越高，實(shí)質(zhì)性測(cè)試的范圍就越小

2、；反之，內(nèi)部控制的可信賴程度越低，實(shí)質(zhì)性測(cè)試的范圍就越大。當(dāng)審計(jì)人員認(rèn)為內(nèi)部控制完全不可靠或沒有必要依賴內(nèi)部控制時(shí)，則可以直接進(jìn)行實(shí)質(zhì)性測(cè)試。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法一、會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測(cè)試 在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下，審計(jì)人員確定實(shí)質(zhì)性測(cè)試的范圍要考慮兩個(gè)方面：一是測(cè)試哪些數(shù)據(jù)文件；二是對(duì)需要測(cè)試的數(shù)據(jù)文件抽取多大的樣本量。前者取決于被審計(jì)單位應(yīng)用的系統(tǒng)、經(jīng)濟(jì)業(yè)務(wù)類型、內(nèi)部控制的強(qiáng)弱；后者取決于內(nèi)部控制的可靠程度和經(jīng)濟(jì)業(yè)務(wù)量的大小，需采用審計(jì)抽樣技術(shù)加以確定。在實(shí)務(wù)中，審計(jì)人員從數(shù)據(jù)文件中抽取數(shù)據(jù)記錄所遵循的標(biāo)準(zhǔn)有：（1）重要性，應(yīng)抽取數(shù)額較大的或性質(zhì)重要的數(shù)據(jù)記錄進(jìn)行測(cè)試；（2

3、）敏感性，應(yīng)抽取外界群體比較敏感的數(shù)據(jù)記錄進(jìn)行檢查；（3）隨機(jī)抽樣，應(yīng)按照統(tǒng)計(jì)抽樣原理進(jìn)行隨機(jī)抽樣或分層抽樣；（4）異常或例外項(xiàng)目，通過分析性復(fù)核選取異?；蚶忭?xiàng)目數(shù)據(jù)進(jìn)行測(cè)試。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法一、會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測(cè)試 2.實(shí)質(zhì)性測(cè)試的時(shí)間審計(jì)人員在確定何時(shí)進(jìn)行實(shí)質(zhì)性測(cè)試時(shí)應(yīng)考慮：（1）數(shù)據(jù)文件的保留時(shí)間，應(yīng)在數(shù)據(jù)文件被清理前進(jìn)行測(cè)試；（2）被審計(jì)單位報(bào)表報(bào)送的時(shí)間，審計(jì)人員要對(duì)被審計(jì)單位的會(huì)計(jì)報(bào)表發(fā)表審計(jì)意見，應(yīng)在報(bào)表報(bào)送之前進(jìn)行測(cè)試；（3）系統(tǒng)變化的時(shí)間，應(yīng)在系統(tǒng)變化之前完成測(cè)試；（4）通過審計(jì)風(fēng)險(xiǎn)的評(píng)估，如果可接受的檢查風(fēng)險(xiǎn)水平高，則實(shí)質(zhì)性測(cè)試可以期中審計(jì)為主，若

4、可接受的檢查風(fēng)險(xiǎn)水平低，則實(shí)質(zhì)性測(cè)試應(yīng)以期末審計(jì)和期后審計(jì)為主。3.實(shí)質(zhì)性測(cè)試的方法圖20-2輔助審計(jì)的簡(jiǎn)要程序第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法一、會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)文件實(shí)質(zhì)性測(cè)試 4.檢測(cè)數(shù)據(jù)法所謂檢測(cè)數(shù)據(jù)法，是指審計(jì)人員把一批先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)，利用被審計(jì)程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審計(jì)程序的控制與處理功能是否恰當(dāng)、有效的一種方法。檢測(cè)數(shù)據(jù)法可以用來審查會(huì)計(jì)信息系統(tǒng)的全部程序，也可用來審查個(gè)別程序，還可以用來審查某個(gè)程序中的某個(gè)或某幾個(gè)控制措施，以確定這些控制是否能發(fā)揮有效功能。（1）數(shù)據(jù)來源與內(nèi)容 （2）實(shí)施測(cè)試與對(duì)比分析 （3）運(yùn)用檢測(cè)數(shù)據(jù)法應(yīng)注意的問題 第二節(jié)

5、會(huì)計(jì)信息系統(tǒng)評(píng)估的方法二、信息系統(tǒng)評(píng)估理論的不足信息系統(tǒng)評(píng)估理論從引入評(píng)估思想到如今指導(dǎo)企業(yè)評(píng)估實(shí)踐，經(jīng)歷了很長(zhǎng)的發(fā)展階段。從企業(yè)的成本、效益分析受到啟發(fā)產(chǎn)生經(jīng)濟(jì)效益分析及其評(píng)估指標(biāo)，到后來從戰(zhàn)略高度、從促進(jìn)企業(yè)管理決策的角度對(duì)整個(gè)企業(yè)信息系統(tǒng)建設(shè)過程進(jìn)行分析評(píng)估，到現(xiàn)在以復(fù)雜系統(tǒng)的觀點(diǎn)看待信息系統(tǒng)評(píng)估工程，力求對(duì)企業(yè)信息系統(tǒng)做出客觀、全面、準(zhǔn)確、完善的評(píng)估。通常認(rèn)為信息系統(tǒng)評(píng)估體系的滯后和不完善是企業(yè)信息系統(tǒng)建設(shè)中的關(guān)鍵問題。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法三、從計(jì)算機(jī)舞弊看評(píng)估的重要性 （一）計(jì)算機(jī)舞弊的類型1.根據(jù)在舞弊行為中計(jì)算機(jī)是否受到傷害（1）將計(jì)算機(jī)信息系統(tǒng)作為舞弊工具而實(shí)施的舞弊。

6、（2）以計(jì)算機(jī)資產(chǎn)和信息系統(tǒng)本身為攻擊對(duì)象的舞弊。2.根據(jù)計(jì)算機(jī)信息系統(tǒng)舞弊的目的（1）計(jì)算機(jī)操縱。在于牟利、更改或者盜用計(jì)算機(jī)存儲(chǔ)的信息資料。（2）計(jì)算機(jī)破壞。破壞計(jì)算機(jī)操作程序和計(jì)算機(jī)硬件系統(tǒng)。（3）計(jì)算機(jī)竊密。非法取得或者運(yùn)作計(jì)算機(jī)信息和資料，有目的地竊取他人機(jī)密（包括商業(yè)、軍事以及個(gè)人秘密）。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法三、從計(jì)算機(jī)舞弊看評(píng)估的重要性 3.根據(jù)計(jì)算機(jī)信息系統(tǒng)舞弊指向的具體對(duì)象（1）向計(jì)算機(jī)信息系統(tǒng)輸入欺騙性的虛假數(shù)據(jù)和記錄。（2）未經(jīng)批準(zhǔn)手續(xù)就使用計(jì)算機(jī)信息系統(tǒng)資源。（3）篡改或者竊取信息和文件。（4）盜竊或詐騙系統(tǒng)中的電子貨幣。（5）破壞計(jì)算機(jī)資產(chǎn)。第二節(jié)會(huì)計(jì)信息系統(tǒng)

7、評(píng)估的方法三、從計(jì)算機(jī)舞弊看評(píng)估的重要性 4.根據(jù)計(jì)算機(jī)信息系統(tǒng)舞弊的效果（1）程序、數(shù)據(jù)以及各種設(shè)備實(shí)體的物理性破壞。（2）用計(jì)算機(jī)盜竊資金。（3）更改程序或者數(shù)據(jù)。（4）盜用計(jì)算機(jī)資源。（5）利用計(jì)算機(jī)進(jìn)行信用卡犯罪。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法三、從計(jì)算機(jī)舞弊看評(píng)估的重要性 5.根據(jù)計(jì)算機(jī)信息舞弊入侵系統(tǒng)的途徑（1）輸入類舞弊（import fraud），指發(fā)生在系統(tǒng)輸入環(huán)節(jié)的舞弊行為，通過偽造，篡改、冒充他人身份或者輸入虛假數(shù)據(jù)達(dá)到非法目的。（2）程序類舞弊（program fraud），指利用程序軟件手段，通過篡改、添加或者刪除系統(tǒng)達(dá)到舞弊目的的行為。（3）輸出型舞弊（export

8、fraud），指發(fā)生在系統(tǒng)輸出環(huán)節(jié)的舞弊行為，大多通過篡改系統(tǒng)輸出報(bào)告、盜用系統(tǒng)重要信息、竊取系統(tǒng)機(jī)密等方式實(shí)現(xiàn)其目的。（4）接觸類舞弊（operations fraud），又叫操作類舞弊，指通過非法接觸計(jì)算機(jī)信息系統(tǒng)達(dá)到舞弊目的的行為。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法三、從計(jì)算機(jī)舞弊看評(píng)估的重要性 （二）計(jì)算機(jī)舞弊的方法計(jì)算機(jī)信息系統(tǒng)舞弊的類型雖然不外乎以上幾種，但是具體的手段卻是五花八門，如截尾術(shù)、特洛伊木馬術(shù)、意大利香腸術(shù)、數(shù)據(jù)欺騙、冒名頂替、邏輯炸彈、活動(dòng)天窗、“后門”、超級(jí)法、清掃術(shù)、計(jì)算機(jī)病毒、順手牽羊及信用卡犯罪等。每一種類型都有著不同的舞弊手法。其中很多手段是極其專業(yè)化和智能化的，

9、需要極高的專業(yè)技巧，顯得非常高明和復(fù)雜。這是信息系統(tǒng)舞弊區(qū)別于傳統(tǒng)舞弊手法最明顯的特點(diǎn)。只有了解這些手段，才能對(duì)癥下藥，采取有效的措施預(yù)防和控制這些舞弊行為。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法下面對(duì)計(jì)算機(jī)舞弊的方法進(jìn)行簡(jiǎn)單介紹：截尾術(shù) 特洛伊木馬術(shù) 意大利香腸術(shù)（salami technique） 數(shù)據(jù)欺騙 冒名頂替 邏輯炸彈 活動(dòng)天窗 “后門” 超級(jí)法 清掃術(shù)第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法（三）計(jì)算機(jī)舞弊的控制對(duì)策 1.建立健全有效的信息系統(tǒng)內(nèi)部控制制度 （1）各種規(guī)章制度的制定要做到切實(shí)、有效、具體、有針對(duì)性和可操作性。（2）內(nèi)部控制制度要嚴(yán)格控制，從管理層做好，不能因人而異，搞特殊化。（3）管理層應(yīng)當(dāng)切實(shí)教育所有員工了解計(jì)算機(jī)信息系統(tǒng)安全的重要性及計(jì)算機(jī)犯罪的危害性，使整個(gè)組織高度重視系統(tǒng)的安全問題。（4）及時(shí)聽取內(nèi)外部審計(jì)人員的意見，對(duì)內(nèi)部控制系統(tǒng)的薄弱環(huán)節(jié)加以完善。（5）實(shí)行輪崗制度，定期調(diào)整內(nèi)部控制人員的監(jiān)管權(quán)限，避免少數(shù)人鉆制度的空子，防止發(fā)生內(nèi)外合謀行為。第二節(jié)會(huì)計(jì)信息系統(tǒng)評(píng)估的方法三、從計(jì)算機(jī)舞