计算机审计系统实用13篇

计算机审计系统篇1

审计署前审计长李金华曾说，在网络经济时代，如果不搞计算机审计，将会失去审计资格。不懂得电脑的审计人员因审计数据的异化就无法有效地进行审计，不懂得电算化会计系统的特点和风险就不能识别和审查其内部控制，不懂得使用计算机，就无法对计算机内存储的会计资料进行审查或利用计算机进行审计，这就要求审计人员不仅要具备会计、审计理论和会计实务知识，而且还要掌握电算化会计方面的知识和计算机审计技能。计算机审计系统的创新包括审计理论创新、审计技术的创新等，其核心是审计观念、审计思维方式的创新。

一、审计理念的创新

(一)培养前瞻性的思维观念

审计工作的创新，在于审计人员，审计人员创新的根本在于审计理念的更新。审计人员应与时俱进、开拓创新，以科学发展观的思想，用超前的眼光把握审计工作的发展趋势，从中产生新的思想，发现新规律，寻求新办法，拓宽思维空间，把审计监督寓于管理和服务之中。

(二)强化审计监督理念

经济的信息化、网络化、虚拟化，使得网上交易非常普遍，且经济交易、资本决策可在瞬间完成，这在客观上也要求对这些无形化的网络会计实体进行适时监督。通过网络审计可改变事后审计而成为事前、事中、事后紧密结合一体的审计方式，变静态监督为动态监督，从单一的现场审计转变为现场审计与远程审计相结合，大大增强审计的及时性。审计人员借助强大的网络系统，对被审计单位的电子凭证、电子账簿和电子报表实施远程的在线的审计抽样和审计测试，保证审计监督作业的即时性、连续性和经常性。加强审计监督的力度，以制度来约束企业的管理者和各个岗位。

(三)树立“审出效益，审出水平”的审计新理念

计算机系统下的审计工作，不是仅限于财务，还有销售、采购、存货、人力资源等各子系统，而上述各子系统之间紧密相连。只有树立全面审计的观念，才能真正做好计算机系统下的审计工作。通过对会计电子系统的查漏补缺，从而推动企业经营的其他环节发现和纠正存在的问题；在财务收支方面不固守于“审会计”，而是“审效益”的创新审计理念，充分关注财务部门每一项财务收支及其活动在经济上的节约，投入产出的效率和达到预期目标的效果，通过审计，审出效益，审出水平。

(四)对审计权利的依法设定

审计监督权必须依法设定，审计监督权的边界由法律确定，这是法治的必然要求。不能因为行使审计监督权而侵犯自然人、法人和其他市场主体的合法权利。权力容易导致腐败，必须接受监督，所以，审计署党组决定在审计系统自我检查的基础上引入外部检查是英明之举。

二、审计队伍自身修养的创新

(一)多种途径培养复合型知识结构的审计人才

审计发展的关键是人才的培养和加快审计人员的知识更新以适应审计发展的要求，由于计算机审计涉及到多学科，大多数企业的现有人员仅仅具备的是某一方面的技能，缺乏综合运用的能力。开展计算机审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才。目前审计署干部培训中心开展的注册信息系统审计师堵养及与之相关的在审计人员中进行的计算机知识的培训工作，正是为了适应这一现实需要。由于计算机系统和会计准则也在处于不断的变化当中，审计部门应该通过内部交流，外部培训，采取引进来和走出去的方式，通过多种途径培养审计人才。

(二)综合运用多学科知识

在手工会计核算情况下，审计人员凭借自己的经验、专业知识，综合运用各种审核检查的方法，就可达到目的。然而在会计计算机信息系统下，由于审计线索、内容和审计技术的改变，对审计人员提出了更高的要求。审计人员不仅要有丰富的审计知识，而且要掌握一定的计算机、网络、通讯、电子商务知识与技能，最重要的是要借助计算机辅助技术来达到审计目的，掌握系统分析设计和系统评审技术，对会计信息核算系统可能出现的错误及舞弊要有敏锐性，只有具有专业素质和多学科背景的人才，才能真正做好审计工作。

三、审计内容的创新

(一)了解计算机审计内容

1993年9月1日签发的中华人民共和国审计署令第9号《审计署关于计算机审计的暂行规定》第二、三条明确指出：凡使用计算机处理财政、财务收支及其有关经济活动的被审计单位，审计机关有权使用计算机技术，依法独立对其计算机财务系统进行审计监督。计算机审计的内容包括：第一，内部控制制度，包括管理制度和软件控制技术；第二，记录在各载体上的数据资料，包括纸性、电磁性的凭证、账簿、报表等；第三，应用软件及其技术档案，包括各种管理财政、财务及其有关经济活动信息的计算机应用软件。

由于审计的目的不同，审计的内容也不相同。网络技术的应用给计算机审计的发展带来了契机与挑战，网络时代审计的创新远远不应局限于审计对象、审计技术、审计业务上，用计算机会计信息系统进行审计，除以上内容外，还包括内部控制系统的审计、系统开发审计、应用程序审计、数据文件审计等。

(二)不断完善审计内容

在计算机审计软件应用下，随着凭证、账簿等纸质载体的消失，以及计算机系统本身强大的核对、检查和内部控制功能，除了在某种特定条件下还需要由人来监盘实物库存、实地观察物资的流动及其记录外，传统意义上的查账已无存在的必要。

对计算机会计信息系统内部控制的审计，一方面是为了加强内部控制，完善内部控制体系，使得计算机系统的组织管理控制、系统开发与维护制度、计算机操作制度、硬软件控制、系统安全控制、系统文档控制、计算机处理与数据文件的控制发生变化；另一方面是通过对内部控制系统的审计来确定对计算会计信息系统结果的信赖程度，即通过对被审计单位资产、负债、损益、现金流情况的分析和主要财务、业务指标的计算分析，看计算机会计信息系中会计记录的正确性和可靠性，如输入、输出的授权控制、业务处理的审核等，和内部控制的有效执行能在多大程度上保护资产的完整性。判断企业内部控制系统能在何种程度上防止或发现会计报表中的错误及经营过程的舞弊；对系统开发的审计是事前审计，在审计过程中，审计人员一方面要检查系统的开发活动是否可行与恰当，系统的开发方法是否科学先进

和合理；另一方面还要检查开发过程中是否产生了必要的审计线索，以及这些审计线索是否规范；对系统应用程序进行审计，一是要对嵌入应用程序中的控制措施进行测试，看其是否按设计要求在系统运行中起作用，即测试应用控制系统的符合性；二是通过检查程序运算和逻辑的正确性达到实质性测试的目的；对系统数据文件进行审计，一方面是对数据文件进行实质性测试，即对各会计账户余额、发生额直接进行检查，同时对会计数据进行分析审核，另一方面是通过对系统数据文件的审计，测试一般控制措施和应用控制措施的符合性。再者，审计人员可利用计算机方便地获取被审计单位计算机会计信息系统中的数据文件，通过必要的数据转换，使其成为审计人员可识别的数据文件形式，再进行各种数据的重新组合和处理，以达到审计目的。

四、审计方法的创新

审计方法的采用主要取决于审计的内容，对不同的审计内容可采用不同的审计方法，由于审计对象的多样化，计算机信息系统各成体系，审计方法也应因地制宜，灵活运用。最常用的审计方法有筛选法：如按某关键字查、按满足逻辑条件查、按设定的金额条件查、按时间条件查等，计算机会很快将符合条件的信息筛选出来；比较法：审计人员可以利用数据之间本身具有的关联性，对被审计单位不同性质的关联数据进行比较；计算法：有些数据之间的关系不能够直接比对，但可以用一定的计算关系式、借助于计算机强大的计算功能来审核其真实、合规性；分析法：审计人员只需要提出思路，编写适当程序，就可以对电子数据进行全方位、多角度的透视分析以及编程判断法等。审计方法从会计电算化角度考虑主要有计算机会计信息系统开发审计和计算机应用程序的审计。

在审计过程中，既有计算机数据，也有纸质的账册、凭证。内审时，由于经营情况比较熟悉，可以采用计算机抽样或者建立数据模型来辅助审计，找到审计的关键点和线索。通过计算机的海量搜寻，可以进一步扩大和延伸审计范围，从而可以抽取足够多的样本。还可以充分运用数学方法、统计方法、会计方法、控制方法等多学科来交叉进行，从而达到发现问题、分析问题和解决问题的目的。

五、审计程序的创新

计算机系统的核心就是会计软件，审计程序设计的质量高低直接决定了计算机系统整体水平的高低，审计程序主要审计会计软件对数据进行处理和控制的及时性、正确性和可靠性，以及软件的纠错能力和容错能力。

(一)计算机条件下的审计程序

计算机条件下的审计程序按照《审计法》的规定，一般审计程序可分为4个阶段，即准备阶段、实施阶段、审计结论和执行阶段、异议和复审阶段。

计算机审计系统篇2

小微企业是小型企业、微型企业及家庭作坊式企业和个体工商户的统称。小微企业无法与国有垄断行业的企业或是大中型外企比肩。但是小微企业在国民经济中发挥着巨大的作用。据统计，已登记注册的小微企业有一千多万户，占我国企业总数的99%，提供了85%的就业岗位，贡献了我国60%的GDP和54.3%的税收。可见，小微企业是国民经济和社会发展的重要力量。

二、计算机审计的内容

计算机审计主要是指对企业电算化系统进行审计，以判断电算化系统的处理过程是否合规、合法、可靠。这可以称为计算机系统审计。

会计电算化系统是计算机审计的重点，一般包括三个层次：计算机系统、会计处理系统、电算化管理系统。其中，计算机系统包括计算机的硬件、系统软件和数据库软件。会计处理系统是指专门的会计信息处理软件。而电算化管理系统主要指一种管理制度和内部控制流程。而对会计电算化系统的审计，就是对这三个层次的审计。其中，对前两个层次的审计，主要是针对软硬件系统层级的审计，是属于技术层次的审计。而对第三层次的审计是有关于电算化控制制度的审计，是属于制度层面的审计。

在计算机审计的方法上，分为数据级审计、系统级审计、制度级审计。数据级审计就是对数据的合法、可靠性进行检查。系统级审计就是对电算化系统中的硬件、系统软件、数据库软件和会计处理系统等软硬件系统的内部控制在多个层面上进行检查。制度级审计就是对企业电算化系统的各种无形的管理的制度的内部控制有效性进行检查。审计理论中，审计的测试包括实质性测试和符合性测试。实质性测试就是验证数据的可靠性和完整性。数据级审计就属于实质性测试的范畴。而符合性测试指审计人员在对被审计单位内部控制进行初评的基础上，为证实该控制是否在实际工作中得以贯彻执行而进行的测试活动。系统级审计和制度级审计就属于符合性测试的内容。数据级审计和系统级审计的方法主要涉及到计算机方面的尤其是软件工程中软件测试的相关技术知识。

软件测试一般分为静态和动态两种。静态测试不涉及程序的实际执行，如阅读程序代码等。动态测试分为白盒测试和黑盒测试。白盒测试就是这一方法是把测试对象看作一个打开的盒子，测试人员依据程序内部逻辑结构相关信息，设计或选择测试用例，对程序所有逻辑路径进行测试。黑盒测试黑盒测试也称功能测试，它把程序看作一个不能打开的黑盒子，在完全不考虑程序内部结构的情况下，在程序接口进行测试。

三、计算机审计在小微企业中的运用

（一）技术层面的应用。

在小微企业的计算机审计工作中，由于小微企业通常规模小、人数少、技术实力不强等因素的制约，使得静态测试几乎无法无法做到，而动态测试也只能做到一部分黑盒测试的内容。

静态测试需要审计人员获得所审计软件程序的源代码或者流程图。而这两样由于软件厂商保密性的要求，一般不会提供给审计人员。而如果审计人员采用反汇编等措施来获取程序源代码，一来由于技术条件要求苛刻，二来在转换过程中会出现与原始代码的差异，所以原始程序始终无法得到。且由于各种电算化系统软件是以各个功能模块的形式展现在企业面前的，所以整个电算化系统对于使用企业和审计人员来讲就是一个黑箱，无法知道其内部运行构造。而嵌入监控程序这一措施也因为技术上和成本上难以实现而在实际操作中无法得到应用，所以只能做到黑盒测试。而黑盒测试也只能大致做到数据测试法的层级。对于小微企业中的电算化系统，审计人员在审计时，数据测试可以很好地完成。而由于电算化系统各部分功能模块众多、结构复杂，通常只能测试到几个系统的主要模块，很难达到遍历的程度。且因为小微企业的审计收费偏低，为了考虑审计成本的影响审计人员也无法做到对所有的功能模块全部进行模拟测试。而这还是实力比较强的小型企业的状况。对于实力不济的微型企业，只是按照常规的审计流程做些数据测试级别的审计。除非相关系统经常出现严重错误，否则其他的计算机审计程序基本不做。这一部分是由于审计成本的原因导致，另一部分是由于审计人员的技术能力达不到造成的。

在实际审计工作中，小微企业的审计项目收费低，所以考虑到成本因素，审计人员在审计过程中只是完成了基本的审计程序，而对小微企业电算化系统的计算机审计涉及甚少。而这也成为小微企业的计算机审计无法有效开展的致命伤。

（二）制度层面的应用。

对于电算化制度层面的审计，小微企业也有自己的特色。小微企业在组织结构类型中通常采用创业型组织结构。这种结构下，企业的所有者或管理者作为中心人员，完成所有企业的重大决策，并对下属直接控制。也就是说，在这种组织结构中实行的就是中心人员一言堂，只有基本的管理制度，电算化制度几乎不存在。对规模较大的小微企业，通常采用职能型组织结构。这种组织结构下，不同的部门有不同的业务职能，形式上各部门相互独立，但在实际业务中各个部门都在相互影响。即使在职能型组织结构中，针对电算化的内部管理控制制度也很不健全。通常是在审计过程中被审企业按要求整改，审计过后企业又恢复原样。

四、相关对策

而如何解决这些问题呢？对于计算机系统审计存在的问题，可以要求市场上的电算化系统必须经过国家相关机构的质检后可上市出售。这样审计人员在进行计算机审计时只要相关系统是经过国家机构认可的，就可省去大量测试环节。不仅降低了审计风险，也降低了审计成本，提高了审计效率。此外，可安排事务所的一部分审计人员专门进行计算机审计方面的培训，如果有相关的审计程序要做，可由这些具备必要知识技能的人员来完成。对于电算化制度方面的审计，要完善审计公告制度。对于屡审不改的企业要及时公示，敦促其建立适当的管理控制制度。

五、结论

随着电算化系统在各个企业的普及，计算机审计的相关问题越来越的到社会的重视。尤其是企业中的重要群体——大量小微企业，其计算机审计的效率和效果与审计成本、审计人员的计算机水平及企业组织结构之间的矛盾非常突出。这就需要作为社会服务管理的提供者——政府出面，制定规定来对电算化系统的可靠程度进行保证，以降低审计风险，减少审计成本。也需要会计师事务所针对小微企业计算机审计的特殊性来采取措施。而在电算化制度层面的问题，一方面要加强审计的公告监督，一方面也要认识到小微企业由于自身发展状态的限制，很多制度的不完善是不可避免的。不能制定的相关制度限制的太死而阻碍小微企业的发展。制定相应规范时要考虑到小微企业的实际情况。

参考文献：

[1]李雪.审计理论研究[M].青岛：中国海洋大学出版社，2005.

[2]文森特，等.蒙哥马利审计学[M].北京：中信出版社，2007.

[3]中国注册会计师协会.审计[M].北京：经济科学出版社，2011.

[4]中国注册会计师协会.公司战略与风险管理[M].北京：经济科学出版社，2011.

[5]普雷斯曼，等.软件工程[M].北京：机械工业出版社，2011.

[6]刘文乐，等.软件测试技术[M].北京：机械工业出版社，2012

[7]姜玉泉.会计电算化与计算机审计[J].审计研究，2001，4：60-62.

计算机审计系统篇3

计算机会计系统内部审计的特点，首先是审计的系统性，要对数据、硬件、软件等各种要素进行系统的分析和检查，才能确定输出结果的正确性，作出可靠的审计结论。第二是审计的复杂性，这是由被审系统数据处理方式、数据贮存方式、系统控制方式、应用系统和电子计算机辅助审计技术的多样性和复杂性所决定的。第三是审计资料的隐蔽性、敏感性和易逝性，这是由于审计线索主要以两种形式存在：一种是肉眼可以看见的审计线索，如输入的原始凭证、记账凭证等原始文件、打印出来的会计账簿、会计报表等；另一种是肉眼看不见的，如存储在软盘或硬盘上的会计数据库资料等。第四是审计的运行性，即在不断运行的系统中进行审计和监督。

二、计算机会计系统内部审计的内容

内部审计可以从硬件和软件的系统控制和实质性审查两个方面来进行审计。

l、内控制度的审计。对内部控制制度的审查与评价，既是审计的基础，又是审计的前提。从实施的角度来看，内部控制有些是通过程序来实施的，有些则是通过制度约束来实现的。通过程序的设计和运行来实施控制的“程序化”控制，和通过建立管理工作制度来完成控制的“制度化”控制，必须通过内部审计来确保其实施，才能使计算机会计系统的安全、可靠和稳定得到双重保险。在电算化条件下，虽然仍要审查传统审计的一些内容，但重点主要在于系统软硬件及数据的内部控制。

内部审计人员应在本单位以上各方面制度的制定过程中，积极发挥参谋作用，并在以上制度的实施过程中，定期审计或突击检查，查找内部控制的弱点，提出改进措施，使制定的内部控制制度得以执行，以保证会计数据的安全性、有效性、完整性和准确性。

2、实质性审计。在手工条件下，审计主要是对书面资料进行审查。在电算化条件下，会计核算由计算机在程序的控制下完成，除了审查输入和输出数据，还要审查电子计算机程序和贮存在机内的数据文件。因此审计工作重点转移至对会计软件合法性、正确性的审查和对机内数据文件的审计方面。

三、计算机会计系统内部审计的方法

针对电算化会计系统审计的特点，结合本系统的工作实际，我们已由以前的“绕过计算机”的审计方法，转向在计算机辅助审计的基础上进行“通过计算机”的审计方法：

1、调查法。内部审计人员虽对本单位电算化会计系统的应用情况、使用效果以及存在的问题有所了解，但还应查阅有关的档案资料，对有疑点的问题重点进行调查了解，编制《电算化会计系统审计调查问卷》，请有关人员回答。调查问卷表的主要内容应根据审计要求确定，一般包括：电算化会计系统所采用的机型、操作系统情况、财务软件来源及使用情况，替代手工记账情况，系统的管理、维护、运行和操作等方面的内容。

2、控制法。计算机会计系统的内部控制制度是保证数据处理质量的基础，也是内部审计的基础。根据财务特点，描绘出某项会计业务处理过程的控制流程图，找出这一会计业务处理过程的全部控制环节，检验系统软硬件及数据的安全保密措施。等级口令密码等是否齐备，故障恢复措施是否有效；系统开发文档是否完整规范；数据输入正确性控制措施是否有效；会计软件操作管理制度、会计档案保管制度等是否健全并认真执行。

3、分析法。对会计软件的审查要上溯到系统开发。审批及维护情况的分析检查。审计人员对系统开发的审计，有助于阻止非法或错误的需求进入系统。在系统分析阶段，审计人员通过对系统分析阶段的工作及控制的审查，确认系统需求的合法性、合规性和合理性，其中包括满足内部控制和审计线索的要求。在系统设计和开发过程中必须提出审计要求，系统的各种数据文件都应保留充分的审计线索，将会计数据文件以可审计的形式进行存储保留。审计人员可利用计算机方便地获取本单位会计数据文件，以达到审计的目的。

计算机审计系统篇4

虽然计算机安全防范技术在不断进步和完善，但是道高一尺、魔高一丈，非法入侵计算机系统的案件还是不断地出现和增加。本文所要探讨的，是目前法律界所面临的紧迫而又棘手的问题，即如何获取非法入侵或攻击计算机系统的计算机证据。算机证据的收集和评价是一个法律问题，但又往往需要一定的计算机技术和其它科学技术，甚至是一些尖端的技术。对于攻击计算机系统的取证，传统的方法并不十分有效。

一、计算机审计系统综述

计算机审计系统应该具有监视功能和检测功能。监视功能是指审计系统通过监视对计算机系统的所有操作，为入侵计算机系统的犯罪侦破和犯罪审理提供线索和证据，一个良好的审计系统还可以协助发现潜在的入侵者；检测功能是指审计系统能够检测程序的真实性、完整性和可靠性，判断程序是否已被篡改、是否处于正常的运行状态中。计算机审计技术就是在计算机系统中模拟社会的审计工作，对计算机系统的活动进行监视和记录的一种安全技术，运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹，使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统，计算机审计系统可以用硬件和软件两种方式实现。

独立性是审计工作的本质特征，计算机审计的独立性具体体现在以下两个方面：（1）不管是在操作系统中还是在应用软

件中，审计系统都应作为一个独立的子系统而存在。（2）设立工作独立、行为自主的计算机系统审计员。审计系统把对计算机系统的所有活动以文件形式保存在存储设备上，形成系统活动的监视记录。监视记录是系统活动的真实写照，是搜寻潜在入侵者的依据，也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上，应该坚持独立性的原则，即只有审计员才能访问监视记录。

二、计算机审计系统的设想

（一）监视记录的设计。监视记录的内容包括：用户标识；（在网络上使用时）使用软件的设备地址；使用软件的起止时间；调用的子程序及调用子程序的起止时间；访问的硬件设备及访问的起止时间；使用软件过程中访问的文件和目录，访问的类型（创建、打开、关闭、读、写、拷贝、删除、重命名、运行等）以及访问的起止时间；针对文件数据的操作，包括读、增、删、改、复制等操作以及操作对象在文件中的具置；对软件参数的修改。

（二）监视模块的设计。设计的监视功能包括：①监视整个应用软件的活动，并提供详细的监视记录，使所有活动留下线索。②允许选择特定的监视对象，这项功能可以在现有证据不充分的情况下，令审计员可以实施重点监视，更深入、详细的取证。③在一定程度上检测和判定对系统的入侵和入侵企图，提供报警信息并能实施必要的应急措施。④提供对监视记录的以任何项目为关键字的查询及各种组合查询，多方面满足审计员的审查需要。⑤报警参数管理。审计员可以通过报警参数管理功能，设置需要实时报警的事项。⑥监视记录文件的维护。

（三）检测模块的设计。检测模块采用动态检测法检测程序的真实性、完整性和可靠性；而对于数据文件的检测，则是利用信息验证码。实现动态检测的关键，是设计出针对被检软件的完整的模拟数据和模拟操作，并确定其正确的处理结果。模拟数据和模拟操作包括合法的和非法的两种，这样做的目的是观察那些包含安全保护功能的程序是否能够阻止非法行为的发生，从而判断其安全保护是否在发挥作用。实施检测时将模拟数据或模拟操作经过软件处理后得到的实际结果与正确的结果相比较，确定程序的功能是否可靠、程序是否被修改过。当检测到程序的真实性、完整性和可靠性遭到破坏时，及时发出报警。信息验证码是根据信息的全部内容通过某种算法产生的一种检验码，它与信息的全部内容密切相关。

总之，计算机审计是一种崭新的审计方式，与手工审计相

计算机审计系统篇5

一、会计电算化对传统审计带来冲击

会计电算化以后，在数据处理和工作效能等方面发生了根本的变化。这种变化不仅反映在系统的数据处理程序、组织方式、审计线索等方面，也必然影响审计的内容、方法和步骤。当审计人员对会计电算化系统进行审计时，一般会遇到以下几种情况：肉眼可见的审计线索减少；电算化系统的复杂性；会计核算过程不直观；控制弊端的方法不严密；计算机及其存储介质所带来的问题。总之，手工会计信息系统转变为会计电算化信息系统后，传统的手工审计受到影响。这种影响表现在以下四个方面：

（1）对审计人员的影响。实行会计电算化以后，由于会计电算化信息系统的环境比手工系统复杂，审计对象也更多和更复杂，审计人员仅靠原有的知识和技能将无法胜任对会计电算化信息系统的审计工作。因此，审计人员除了要具备必须的财务会计、审计方面的知识和技能，熟悉相关的政策、法规依据及审计依据外，还应具备一定的电子计算机知识和网络应用技术。此外，在审计组织中，还应培养一批计算机审计的系统开发人员，从事设计和开发审计应用软件的工作，建立自己的计算机审计系统。

（2）对审计标准和准则的影响。各国的审计界在以往的审计工作中已经建立起了一系列的审计准则和规范，如审计人员标准、现场作业标准、审计报告标准、职业道德规范等等。实现会计电算化以后，由于审计对象、审计线索发生了重大变化，审计的技术方法和手段也相应地发生了变化，这就需要在原有的审计标准和准则的基础上，建立一系列与新情况相适应的新的审计标准和准则，如计算机审计人员培训考核标准、会计电算化信息系统开发的审计准则、内部控制审计准则、审计应用软件标准等，以规范在计算机信息系统环境下审计的一般原则、计划、内部控制研究、评价与风险评估和审计程序等，以适应新形势的需要。

（3）对审计技术方法的影响。会计电算化信息系统与手工系统相比，在许多方面发生了重大变化，必须采用新的审计技术方法才能适应这种变化。如：传统的记账方法可以从账上看到每一笔记录，而会计电算化下一般是经过一个阶段如一个月或一旬才打印一次，在尚未打印以前，只能凭借机器阅读记录。倘若想同时在几笔记录中对照查看，则很难做到。这样一来，审查取证的方法，对证据进行检验和审核的方法必须进行相应的改变。再如：传统的手工记账一般可从字迹上辩认出登记人，从而明确责任，但是计算机只能按统一模式输出资料，无法从记录上辩认记录人，它可以使在电算化的记录中建立、更新、消除一切资料而不留痕迹。这就需要审计人员对其内部管理制度、职责的划分情况进行审查和评价。

（4）对审计作业手段的影响。在会计电算化信息系统下，审计人员如果再用传统的手工操作方式进行审计，将很难达到其审计目标。审计人员的审计手段也应由手工操作向电子计算机转变，掌握计算机及网络知识和应用技术，把计算机当作一种提高审计质量和效率的有力工具。

二、信息系统的特有风险决定了必须实行计算机审计

计算机信息系统一方面为企业的经营管理带来便利，一方面也带来了风险。在计算机环境下，除了有意篡改或伪造会计记录等人为的因素之外，又加入了计算机技术因素，因此出现了新的特有风险：

（1）信息系统的安全性不能得到很好的保证。对人员接触系统缺乏控制，数据的毁损和失窃，对外来入侵者和病毒入侵缺乏严密的防御。

（2）信息系统的数据处理不合逻辑。由于系统开发人员并非专业的业务人员，对业务很难全面、准确地理解，由此可能导致无法准确地反映业务的实际发生状况，进而导致管理和决策的失误。

（3）可靠性得不到保证。虽然计算机具有速度快、准确性高等特点，但它毕竟是一种机械工具，在进行业务处理的过程中，不可避免地会发生这样那样的问题。例如，计算机硬件的故障，软件的设计因素，用户非有意的操作错误等都有可能导致差错发生。

（4）不能消除人为的舞弊行为。随着计算机在会计领域应用的日益扩展，利用计算机进行贪污盗窃的犯罪案件随之出现，并且在数量上有逐渐增长的趋势。计算机犯罪舞弊行为主要发生在不易引起人们注意的地方，舞弊的手段具有极大的隐蔽性，造成的损失更加惊人。因此，在会计电算化以后，对其监督更有必要，计算机审计工作也就变得非常迫切了。

三、发展计算机审计，实现审计信息化

综上所述，会计电算化已向审计提出了新的挑战，解决这个问题的唯一途径就是研究会计电算化信息系统的各种审计问题，探讨适合我国特点的计算机审计的方法和内容，使它具有向审计人员提供可靠资料的功能，并逐步培养一批合格的计算机审计人才，大力推动计算机审计的发展。

1.加强审计人员的业务知识技能培训

为了能够对会计电算化系统进行有效的审计监督，审计人员不仅要具有丰富的会计、审计理论和实务方面的知识，还要掌握一定的计算机、网络、电子商务、信息系统方面的知识和技能，熟悉业务软件和审计软件的操作，通晓计算机辅助审计技术。为此，应加强对审计人员的培训，要对普通应用人才与高层次人才的培养、在职人员培训和未来人才培养进行统筹规划。对普通在职人员培训的重点，除一般的字处理、制表软件的操作外，应着重于计算机辅助审计技术的应用，包括利用被审单位的计算机信息系统、EXCEL和审计软件辅助审计的技术方法，并逐步适时地加入计算机信息系统与网络的安全问题、有关控制及其审计等内容。较高层次的人才培养，重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面。对未来审计人员的培养，应在高校会计专业教学计划中增加信息技术和电子商务等内容，并把计算机审计列为必修课。

2.进一步完善有关计算机审计的法规和准则

为规范我国审计人员开展计算机审计工作，我国已初步建立了相应的准则和规范。审计署1996年12月了《审计机关计算机辅助审计办法》，中国注册会计师协会1999年2月颁布了《独立审计具体准则第20号——计算机信息系统环境下的审计》，国务院办公厅2001年11月16日了《关于利用计算机信息系统开展审计工作有关问题的通知》等计算机审计的一般性操作规范。但计算机审计实施过程还没有规范化，应就其共性的内容和环节加以规范。主要的实施程序应包括：①会计系统的检查；②原始数据采集；③确立计算机审计目标；④选用通用审计软件，通用审计软件操作的步骤；⑤选用计算机程序语言，代码编制构想；⑥原始数据加工处理；⑦分析作出结论等。上述内容应分别在计算机审计方案、工作底稿、审计报告中加以描述存档。

3.大力开发和推广应用计算机审计软件

发展计算机审计，一项重要的工作是要提高我国审计软件的质量和实用性，做好软件的开发和优化工作。软件开发人员必须深入审计工作第一线，审计软件的分析设计要有有经验的审计人员参加。我国现有的审计软件还属在使用和改进过程中的原型，只有加强使用者与开发者之间的沟通与联系，才能使用户把使用中发现的问题及改进的建议及时反映给开发者，开发者广泛地收集用户的反馈意见，更好地总结出审计的算法模型，使审计软件不断优化提高，真正成为有效的审计工具。要统筹安排，立足于从较高的层次上组织开发和建立审计实施系统，避免资源浪费和低水平开发。要务必在“用”上下功夫，审计机构要认真总结以往经验，结合各自的业务，完善和运用好已统一开发的现场审计实施系统等软件，根据情况因地制宜地使用计算机开展审计，不断提高审计效果。

4.促进信息集合，形成资源共享

目前审计工作中的许多问题都根源于占有并且能够共享的有效信息不足。一方面是信息不完整，不能对审计决策、审计实施形成有力的信息支撑；另一方面是共享性差，有限的信息也未得到充分利用。要从根本上解决这个问题，必须依靠信息网络技术，对分散的信息实行统一管理和使用。可以参考和借鉴国外的做法，将重要单位的EDP系统互相联结成大型的计算机网络，审计机关或大型的审计事务所可以把自己的计算机终端也联到这些大型的计算机网络上。一方面要做好信息收集、整理的协调工作，建立健全分层次的审计数据库，包括宏观经济、法律法规、审计对象以及审计机关人力资源、审计工作中形成的审计结果和审计专家经验等信息。另一方面要依靠有效的网络，分层次地形成信息共享，在此平台基础上，计划管理、质量控制、人力资源的整合和审计成果的运用等才能方便有效地展开，大大提高审计效率。

计算机审计系统篇6

对于计算机测试工具的有效整合，则涉及到了计算机系统主文档，同时也会涉及到数据测试技术的应用以及虚拟光驱的建设。上上述所提到的这些技术本身就是已经经过整合的技术，之所以会如此是因为计算机信息系统中要想实现数据测试，就必然要依赖于现实实体与虚拟实体的主文档，所以这一过程可以说是真实与虚拟共同进行的过程。为此，计算机的审计可以说是整个审计工作过程中较为关键的一个部分，只有做好这一项工作才能真正保障每一个运行的数据和被检查的程序是保持一致的。一般情况下，计算机所存在的内置编码都直接明确了计算机之中的测试数据，所以也并不会将普通系统运行的结果已经包含到其中，而在这个时候就需要借助于人工操作来进行前期程序设定与处理。计算机工具整合技术的应用，则能够有效的将虚拟数据从测试结果之中有效的移除，这样计算机在开展审核工作的时候，也就能够借助于这一技术来实现实际数据和测试数据的同时运行。在这一过程中需要注意，要想真正保障测试工具的整合能够真正从常规结果之中有效的脱离出来，就一定要在发展过程中制定出较为细致的审核计划，这样才能进一步发挥出其价值，让计算机信息系统得以有效发展和进步。

3并行模拟

在上述所提到的数据测试以及测试工具整合，都属于借助于真实程序来对测试数据信息进行处理的过程，而并行模拟这一技术则是借助于审计程序来对这些真实的数据信息进行处理。并行模拟技术在正常输出过程中早就已经实现了较为良好的控制效果，在计算机信息系统审计过程中，其中所存在的测试程度、审计程序都会工作起来运用到多余的工作之中，而在开展审计工作的时候，大家都十分重视的问题则是其数量。比如说，当计算机信息系统在进行并行模拟的过程中，一般情况下它都是只限于对产品记录进行更新，可是对于时间表以及业绩报告却不会包含在内。由此可见，计算机并行模拟这一功能只能进行综合检验，相比较而言也就更加的适合用在交易审计场景之中，而在展开并行模拟的过程中，其所应用的审计程序大多是我们日常生活中所常用的审计程序，而并行模拟这一技术则恶意用于对计算机之中所存在的数据进行处理，这样就能产生出和审计程序都一样的输出结果，然后再对其进行对比分析。

4计算机中经常会使用的审计软件

为了能够更好地对计算机信息系统审计工作进行探索，笔者也就计算机中经常会使用到的审计软件进行了如下概括：

4.1通用的审计软件

这一种类型的审计软件存在的目的就是为了能够更好地发挥出信息技术在审核计算之中的价值，这一软件最初的时候是由公共会计事务所研究出来的软件，至今为止也有较长的使用时间，这一款软件大多是被用于那些缺少计算机专业知识能力的人员之中，借助于这一软件那些人能够更好地完成各种各样的审计工作，实现数据样本选择、文档查找、结果计算以及检查等一系列复杂的工作；另外，还可以实现统计筛选、函件准备等功能。

4.2电脑软件

在计算机计算不断发展过程中，电脑也引起自身低价性这一特征成为了审计工作中较为重要的一个工具，现如今很多电脑上都存在各种各样的软件包，像是Word文档、电子表格等都是审计工作中常用的软件。

4.3智能软件

借助人工智能软件展开审计工作能够实现有效的风险评估，让整个审计工作质量得以提升。

5结语

综上所述，在计算机信息系统审计过程中通常又两种人工智能类型软件，一种是神经网络系统，而另一种则是专家系统。其中，神经网络系统主要的功能就是对模型进行有效识别，将那些不规则的账户数据准确有效的标注出来；而专家系统则需要借助于规则的数据库来实现，而数据库中所存在的数据信息则能够为审计决策作出一定的贡献。

参考文献

计算机审计系统篇7

在计算机技术不断进步广泛普及的科技时代，会计信息化成为企业管理的必然趋势。相对于传统手工会计，计算机在会计信息的处理中，具有明显的优势，数据处理速度与精度使信息化会计制度能够很快的适用于公司的经营与管理。然而，先进的计算机手段为支撑带动着审计手段的提高，但是使用计算机诈骗，欺诈和审计风险的可能性显著增加。管理人员在面临传统经营风险和财务风险的同时，还必须面对信息风险对企业生存和发展带来的挑战

在很长的时间里，因为计算机会计信息系统没有被人们广泛认识接纳，内部控制的措施模糊不清，审计方法不恰当，使得审计人员只能沿用对传统手工会计的审计方法，对内部控制的审计效果不明显，无法确保会计信息系统的安全。因此，提高对内部控制的认识程度，加强对其内涵和技术的学习，重视对内部控制的审计，依然是当前会计信息化和审计领域的一个重要课题。

会计实行计算机信息系统下的电算化后，会计工作的职能划分、权责关系、稽核关系及会计文档的管理形式等会计业务关系发生了显著的变化，因此过去的一套内部控制制度将无法适应新格局下的会计核算管理，迫切需要建立一套与时俱进、高效严谨的内部控制体系。同时，会计信息化给内部控制审计带来了新的挑战。

二、关于计算机信息系统下的内部控制

（一）什么是计算机信息系统下的内部控制

传统的内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。

我国财政部1994年的《会计核算软件基本功能规范》，在输入、处理、输出和安全四个方面对会计软件提出了规范化要求，涉及到的实际上都是内部控制的问题，即会计信息化软件应实现的具体控制。而1999年7月1日正式生效的《独立审计具体准则第2号-计算机信息系统环境下的审计》是第一次涉及计算机信息化系统内部控制的审计法规则。计算机信息化系统下的内部控制就是被审单位的组织与管理控制，应用系统开发和维护控制、计算机操作控制、系统软件控制，以及数据与程序控制等一系列控制的总称。

（二）计算机信息系统内部控制的分类

美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第2号以及我国《独立审计具体准则第2号》，都把计算机会计内部控制分为一般控制（Generalcontrols）和应用控制（Applicationcontrols）两大类，并将前者定义为：1、电子数据处理的组织和操作的计划；2、对系统或程序的设计、开发和变动的记录、审核、测试和批准；3、制造商在设备内部设置的控制；4、对数据文件和接触设备的控制；5、对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。

对于以上分类方法，我们认为从各方面来看，都有值得商讨的地方。内部控制的分类首先要概念清晰，同时也要区分控制主体，以便职责的明确划分。为此，我们认为应将其分成两大类：管理制度控制和程序系统控制。其中包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件本身功能来实现的内部控制机制，从而达到系统的自我保护的目的，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门为程序系统控制的责任者，用户不对其负责任。而管理制度控制一般则是以管理制度的形式实行的，涉及的方面主要包括组织、操作、维护和资料保管等。当然，可以将管理制度控制进一步分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然控制制度的制订和实施与计算机程序系统无关，而应归责到会计软件使用单位。这种分类方法主要的有点是分类比较的清晰明朗，方便理解，而且实现控制的措施和控制的主体一致，责任分明，使得各方面明确自己应该干什么。

三、计算机信息系统内部控制的审计步骤

（一）内部控制的初步了解和描述

初步了解主要是了解企业单位网络中的安全控制的具体进行流程，使用了那些方法或者工具，最后的控制结果成效是什么样的，除此之外，也应了解有关企业的信息系统管理制度是否制定、如何制定，制定了其实施情况是怎么样的。通常审计人员采用询问，实地观察，查阅系统资料的方法了解，同时对一些基本业务处理过程进行跟踪，最后用文字描述、流程图和调查表等方式详细记载其了解的所有情况。

（二）对企业内部具体情况进行符合性测试

符合性测试是在对被审单位内部控制进行初评的基础上，为证实该控制是否在实际工作中行以贯彻执行，以及其效果是否符合设立该控制的初衷而进行的测试活动。进行符合性测试的目的是获取对准备予以信赖的内部控制是否有效执行的证据，从而确定会计报表审计的范围和程序。

1、一般控制的测试

一般控制的测试就是要初步了解企业内部对信息系统控制的情况，是否符合有关规章准则，是否健全有效，以避免应用系统中不能察觉错误的风险的发生。

（1）对被审单位组织与管理控制的测试。在该对组织与管理的审查时，审计人员应该把审点放在分工与职责分工上。可以通过询问，实地检查的方法对单位各部门，特别是了解数据处理和数据使用有关部门的分工情况，而部门领导以及部门职员之间是否做到职责分工，以及各部门是否建立并有效实施了合适的计算机信息化内部控制制度。

（2）对被审单位系统开发和维护控制的测试。在此审查中，审计人员应当关注开发过程中领导的参与度，是否了解开发的整个过程并且对此过程进行了职责之内的有效控制；为了满足后续需求，开发和维护中是否留存关键文件；是否为了防范风险进行了安全控制，是否做了风险应对计划和措施。

（3）对被审单位计算机操作控制的测试。审查操作控制时，审计人员应当了解数据处理部门有没有设置控制小组，各小组或小组成员是否职责分明，准确完整地进行控制操作，并记录下了操作记录，以及单位是否设有内部监督检查机构会人员对以上人员及其操作的控制。

（4）对被审单位系统软件控制的测试。审计人员应该检查系统软件处理错误的控制、系统使用权限的控制、防止病毒入侵的控制等功能有没有发挥其保障应用程序安全的效果，其效果是否高效明显。

（5）对数据和程序控制时，审计人员应该重点审查在整个数据和程序体系中，有无建立监督控制体制，接触数据和应用程序的人员是否经过授权，且其是否接受相关检查监督。

2、应用控制的测试

应用控制是对一般控制的深化和具体化，可以通过对应用控制的测试进一步取得控制评价的依据。

（1）输入控制的测试。在输入控制的审查中，应当了解是否有适当的控制举措来监督业务执行和输入的授权情况，控制业务的准确及时的输入，同时有无充分的控制措施来监督错误数据的更改与重新输入。

（2）计算机处理与数据文件控制的测试。在测试过程中应关注数据文件完整性和准确性控制效果，有无保留审计线索以备查。

（3）输出控制的测试。对输出控制的测试与输入控制关注的点基本一样，包括输出数据的完整度、正确性的控制，输出结果的接收人是否经过授权审批的控制。

（三）对内部控制进行评价

结束符合性测试之后，应该对被审单位的内部控制的有效性进行评价。首先是评价初步了解和审查过程中，被审单位计算机信息系统内部控制中的运行有效的控制措施；其次是评价符合性测试过程中，各项控制措施是否符合最初制定的控制目标，如果达到目标，具体程度如何，如果没达到，是否存在重大缺陷；最后评价被审单位信息系统有关上述各项控制是否仍然可以依赖，整体可靠性怎么样。

参考文献：

[1] 刘涛.ERP下AIS内部控制分类方法的探讨.[期刊论文]《中国管理信息化》，2005年

计算机审计系统篇8

自人类发明第一台计算机以来，计算机技术以飞快的速度发展，并在短时间内在各行各业中得到普及。计算机技术的普及，在很大程度上推动了人类文明前进的步伐。计算机网络已经成为我们生活不可或缺的工具之一，正因为计算机网络的存在，使得我们生活更加方便快捷。但是计算机网络是一把双刃剑，它在给我们生活带来巨大便利的同时，也给我们的信息安全构成了巨大威胁。正因为这些威胁的存在，使得人们对网络安全审计系统的正常功能产生了质疑。针对这种情况，本文在阐述网络安全审计系统特点及功能的基础上，对网络安全审计系统的设计进行了研究。希望本文的提出，能为提高网络安全管理提供强有力的参考依据。

1 安全审计系统的功能应用研究

1.1 系统的实际应用情况

一般来讲，只要安全审计系统投入使用，该系统便能非常准确的、全面的将用户在网上的各项操作以及数据库服务器的运行状况记录下来。如果出现以下类型事件如企业员工利用电子邮箱或网络共享的方式进行文件传递时，遇到文件信息泄露情况；企业员工借助论坛平台，发表一些对社会可能造成不良影响的言论时；网络维护人员在对计算机网络进行维护的过程中，使用违规炒作对系统数据库进行操作，致使业务系统的安全性得不到有效维护。只要出现上述类型的事件，安全审计系统都能实行快速定位功能，找出事件的主要负责人，从而为网络违规事件的处理善后工作提供便利条件。除此之外，网络安全审计系统还能实时掌控网络的运行状况，防止那些重要的机密性信息的泄漏，通过对内部网络数据信息进行实时的监控，以智能化的手段对信息进行分析、预估及检测，准确定位那些可能影响系统安全运行的因素，为营造一个更加健康、更加和谐、更加稳定的网络信息环境提供保障。

1.2 安全审计系统的运行方式及部署

不可否认，安全审计系统主要致力于审计网络安全行为，因此，旁路无疑是一种非常可行的部署策略。通常来讲，安全审计系统都必须具备一定数量的以太网接口，而且网络传输速度应保证大于200Mbps，其中一个以太网接口用作设备控管，其它的以太网接口用作数据收集、分析、处理、回收接口。就目前来讲，应用最普遍的以太网接口主要有两个，它们分别用于接入局域网服务器的交换机及关键部位的交换机中。通过局域网服务器的操作行为以及审计数据库的运行状况，对互联网用户的上网信息进行实时审计。通常来讲，安全审计系统的指挥中心都设置在同一台服务器上，它的主要功能是对安全审计系统的日志进行接收及存放。

2 网络安全审计系统的设计

本文在CC标准体系的指导下，设计了一套较为完整的网络安全审计系统，该系统具有多层次的结构特点，现将系统结构及设计方案分析如下。

2.1 系统结构

在某种程度上可以将网络安全审计系统看作是一种多层次上的审计，它既能满足低层次网络通信的审计要求，又能满足高层次网络应用服务的审计要求。因此，网络安全审计系统的目标是实现多层次的审计，其结构图如图1所示。

不同层次的审计结构完成不同层次的审计要求，对于那些数量较多且比较分散的大规模网络，整个网络系统都应覆盖安全审计系统，即实现安全审计系统的全方位审计，只有这样，才能保证网络的整体安全性。从这方面来讲，网络安全审计系统是一种全面审计的系统。

通过在网络上建立一支有效的“巡警队伍”，该“巡警队伍”能够对整个网络系统进行审计。网络安全审计系统主要由网络审计设备、网络审计软件以及网络审计中心三部分构成。网络审计设备的主要作用是将网络上传送的信息进行还原，并分析其入侵性，即所谓的低层次审计环节，网络审计设备能以旁路的方式接入系统中；网络审计软件则以嵌入的方式计入主机操作系统中，它的主要功能是收集异常事件，完成中层审计环节，此外网络审计软件还配备高层应用接口，因此具备一定的高层审计功能；网络审计设备及软件通常安置在所需监视网络的关键节点上，起到数据信息接收及发送的作用。网络审计中心则能够分析处理数据，起到控制管理网络审计设备、软件的作用。

2.2 功能的设计

网络安全设计系统主要由探测器及审计主机构成，首先，它既不用作网络串联设备；其次，它也不影响网络结构构成；最后，它不会妨碍业务的正常运行。本文以下内容就对网络安全审计系统的设计问题进行分析。

2.2.1 数据库管理及审计模块

在该模块中，通过对数据库的关键性操作行为进行审计，现对信息系统中每一位用户的访问状况进行跟踪、分析，对这些用户的登陆及退出操作进行审计，从而实现准确回顾SQL语句的作用，从根本上保证数据库运行状况的安全可靠性。

2.2.2 主机审计模块

主机审计模块主要用户对关键区域内的客户机进行审计访问，它的主要工作内容是设定必要的计算机终端访问权限，提高终端访问门槛。此外，该模块还会对那些安全系数较低的软件进行审计，为配置审计对策以及网络的安全运行提供保障。

2.2.3 网络审计模板

该模板能够起到加强系统的控制及审计能力，在强化系统信息控制管理方面发挥着重要作用。网络审计模板的正常运行，能够有效地防止非法内外连接现象，实现对网络信息的实时监控，通过采取雄厚的技术力量防止信息泄露事故的出现。

2.2.4 运行维护审计模板

运行维护审计模板的主要作用是对第三方的运行维护员工进行监控，它的工作重点在于对系统各项操作行为进行科学细腻的审计。另外，针对于所有远程访问设备的会话连接，从而实现同步过程监控的目标，在系统监控画面上，系统运行维护员工执行的每一项操作都会清楚的显示出来。系统管理员能够根据系统实际情况，及时阻断那些违反操作规定的操作会话，并把访问者以及被访问人员的访问时间段以及与之相对应的 IP/MAC 地址记录下来。

3 结束语

安全问题随着计算机的问世而随着产生，尤其是在网络盛行的今天，许多部门及企业更是将网络安全问题提到了议事日程。因此，构建一个科学合理的计算机网络安全审计系统，对于银行、大型企业、证券公司以及科研院校等对网络安全有较高要求的地方显得尤为重要。本文在阐述网络安全审计系统功能应用的基础上，设计出了一套较为完整的网络安全审计系统。实践证明，该系统能够对网络运行状态进行实时监视，极大地提高了计算机网络的安全防范能力。但是需要指出的是，由于笔者水平有限，希望本文能够起到抛砖引玉的作用，相关研究人员继续深化这方面的研究，为设计出更加高效的网络安全审计系统而不懈努力[4]。

参考文献

[1] 吴承荣，谬健，张世永. 网络安全审计系统的设计和实现[J].计算机工程，1999，（25）：171-174.

计算机审计系统篇9

1、前言

随着我国财政信息化的发展，财政信息系统的规模越来越大，也面临着更多的风险，财政部门的数据时国家机密数据，对计算机系统和应用系统的安全性要求较高，故研究计算机审计技术具有非常重要的意义。本文以下内容将对计算机审计技术在财政系统中的应用进行分析和探讨，以供参考。

2、我国安全审计的研究现状

计算机安全审计经历了由简单到复杂，由低级到高级的几个阶段，最初的计算机审计仅仅是对打印出的电子帐的一般审计，而后开始使用审计软件对会计信息数据库进行远程访问的审计，这种进步便利了审计工作的进行，提高了审计的效率，节约了审计成本。特别是近两三年来，以互联网为基础，以电子商务为代表的新经济迅速兴起，促使多项计算机技术的日臻成熟，推动计算机安全审计进入一个新的阶段。另外，我国电子政务的不断推行，也加速了安全审计系统的研究步伐，在掌握国家重要资金和资产的部门、领域实施信息化、网络化的条件下，必须顺应形势的发展，积极研究探索网络环境下的新方法、新技术。

近几年出现了大量的审计软件，如工商银行系统审计、国税系统审计等审计软件，采用的是审计情况汇总方法，通过编制专门的审计汇总软件，自下而上，从审计底稿开始，对审计情况进行逐级汇总，其好处在于能全面、准确汇总反映审计情况，取得了很好的效果。还有一部分审计软件是针对具体的审计环境，定制专门的审计规则，这也是计算机审计发展的主流，其好处在于有针对性，比较全面、系统，审计署和地方各级审计机关编制了大量的这方面的审计软件：如投资审计软件、银行审计软件、税务审计软件、海关审计软件、行政事业审计软件等，不过，真正成熟、适用的审计软件还不多。

3、常用的计算机安全审计方法

3.1，基于规则库的方法

基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计分析时候，将收集到的网络数据与这些规则进行某种比较和匹配操作，从而发现可能的违规行为。

这种方法和某些防火墙、入侵检测和防病毒软件的技术思路累世，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的数据信息，对于使用特定黑客工具进行的网络攻击特别有效，而且规则库可以从互联网上下载和升级，使得系统的可扩充性非常好。

其不足之处在于这些规则，一般只针对已知攻击类型或某类特定的攻击软件，当出现新的攻击软件或者攻击软件进行升级之后，就容易产生漏报。

3.2，基于数理统计的方法

数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。对于著名Synflooding攻击来说，攻击者的目的是不想完整正常的TCP三次握手所建立起来的连接，从而让等待建立这一特定服务的连接数量超过系统所限制的数量，这样就可以使被攻击系统无法建立关于该服务的新连接，很显然，要填满一个队列，一般要在一段时间内不停地发送SYN连接请求，根据各个系统的不同，一般在每分钟1020个，或者更多，显然，在一分钟从同一个源地址发送来20个以上的SYN连接请求是非常不正常的，我们完全可以通过设置每分钟同一源地址的SYN连接数量这个统计量来判别攻击行为的发生。

3.3，基于机器自学习的方法

基于规则库和数理统计的安全审计方法已经得到了广泛的应用，且获得了较大的成功，但是它最大的缺陷在于已知的入侵模式必须被手工编码，它不能适用于任何未知的入侵模式，因此最近人们开始越来越关注带有学习能力的数据挖掘方法。目前，该方法已经在一些网络入侵检测系统得到了应用，它的主要思想是从正常的网络通信数据中发现异的网络通信模式，并和常规的一些攻击规则库进行关联分析，达到检测网络入侵行为的目的，将数据挖掘技术应用于安全审计已经成为一个研究热点，但是真正实现这样一套系统的还不多见。

3.4，Windows NT的安全审计策略

Windows NT 操作系统是微软公司的产品，其安全记录提供了记录代表操作系统和其他应用程序的重要事件的机制，这些机制允许系统管理员监控与系统安全相关的事件、指出安全破坏、并且决定任何损失的范围和地址。Windows NT记录的事件是与操作系统本身或单独的应用程序相关的，其提供了机制允许单个应用程序定义和记录其自己的可审计事件，Windows NT把相关事件分类，安全记录的类别等，单个审计应用程序也可以定义自己的类别。审计事件是由生成事件的软件模块或应用程序的源名字指定的，并且一个事件ID唯一对应于指定的源，许多审计事件也包括一个处理ID，它允许事件对应于未来的事件。事件记录中一般包含的信息包括：生成的时间，记录被提交的时间，被写的事件，记录被写到审计文件中的时间。

4、结尾

本文以上内容对计算机审计技术在财政系统中的应用进行了研究和探讨，表达了观点和见解，本人深知在计算机审计中还面临着缺乏胜任的计算机安全审计人才、与计算机安全审计有关的法规和准则有待进一步完善、信息系统缺乏应有的安全审计接口和计算机安全审计软件的实用性不强等问题，而这有解决了这类问题，才能提升计算机技术的应用水平。

【参考文献】

[1]《软件工程》陈国良等，高等教育出版社

计算机审计系统篇10

近年来，环保监管部门积极实施污染源在线监控的信息系统能力建设，用以实现对废水排污企业进行实时监控，并将其数据作为环保部门排污申报核定、排污许可证发放、总量控制、环境统计、排污费征收和现场环境执法等环境监督管理的依据。废水在线监控系统结构主要由三部分组成：（1）数据采集系统，包括废水污染源各监控站房内数据采集设备、与数据采集设备接口的其他相关设备，如门禁系统、摄像系统、温度计等。数采仪的操作系统为Windows CE。（2）数据传输通讯系统，包括利用GRPS实现监控平台与废水污染源各监控站房内数据采集设备进行无线通讯与数据传输。（3）基于废水污染源监控数据的综合信息管理系统，包括监测信息的、管理、利用、比对、审核和共享。操作系统采用Windows 2003 Server，数据库为SQL Server 2005/2008，开发平台为。审计试图从废水在线监控系统的功能性、安全性；数据库数据的准确性、完整性；各排污企业的终端监测设备安全性和运行稳定性等方面进行检查，诊断系统未充分发挥效用的病症所在，并提出切实可行的改进建议。

二、实施过程和测试方法

根据审计内容和要求，主要运用SQL Server软件还原系统备份数据，对上千万条信息记录进行数据分析，查找产生问题的原因。同时结合查阅工作记录等相关资料、实地查看现场以及问询等手段，查找系统运行和管理中存在的问题。现对主要内容的审计方法介绍如下：

（一）测试废水在线监控系统数据的准确性

从数据传输过程、数据统计过程和数据比对校验三个方面对系统数据的准确性开展测试和审查。一是利用数据库分析对现场监测仪器的显示数据与数采仪的数据进行逐一比对，统计分析数据传输的误差情况，分析误差是否在制度规范的可接受范围内，检查数采仪统计均值计算的准确性，以此判断监测仪表模拟信号转换到数字信号的准确率。二是将被审计单位提供的单位排污口信息导入数据库，与废水在线监控系统中对应字段信息进行比对分析，发现“排放口名称”字段标识存在错误。进一步通过审查相关资料发现，被审计单位未建立信息维护机制，也未对字段信息进行审核。此外，将污水处理厂废水设计排放量与系统对应字段进行比对分析发现，废水在线监控系统数据库中部分污水处理厂废水排放量数据异常，且未对异常情况进行监测与处理。三是通过查看比对监测资料和比对校验工作记录发现，被审计单位未对废水在线监控系统现场端废水流量设备进行比对监测，影响废水在线监控系统废水流量数据的准确性，从而导致废水在线监控系统中由污染物浓度与废水流量相乘得出的污染物排放量的准确性无法判断。

（二）测试废水在线监控系统数据的完整性

在对上述异常情况进行分析的基础上，修正和剔除错误信息后对废水主要污染物因子-化学需氧量的采集次数进行测试，评价系统数据的完整性。根据国家和地方的技术规范，对废水连续排放和间隙排放等不同排放方式的累计排放小时数等参数进行测算，以获取每天理论采集次数。进而运用数据库分析工具对海量数据进行计算得出，三年实际系统获取次数仅占应采集次数75%左右，未进行监测的废水量达10亿万吨左右，未监测的废水量比例为34%。采集数据的缺失是表象，查找数据缺失的原因是关键。因此，在数据分析的基础上通过对采集次数缺失情况进行逐一排查发现，被审计单位对主要污染物因子化学需氧量的系统采样频率设置不合理，且未对数据缺失情况建立相应的监控制度和实施数据补缺措施，是导致数据缺失较大的症结所在。

（三）测试废水在线监控系统的安全性

计算机审计系统篇11

1、前言

随着Internet的发展，开发分布式，跨平台，易扩展的软件系统成为大型企业级应用的趋势。J2EE（Java 2企业版）作为一种成熟的分布式企业级开发平台，由一整套服务（Services）、应用程序接口（APIs）和协议构成，它对开发基于Web的多层、分布式应用提供了功能支持。受到越来越多人的关注，成为开发火型企业级应用的首选。中国农业银行计算机辅助审计系统（以F简称CAS系统）就是基于J2EE平台开发的大型系统。本文以下内容将对J2EE技术在中国农业银行计算机审计系统中的应用进行研究和探讨，以供参考。

2、J2EE概述

在Java发展的过程中，它首先取得了Applet的胜利，使得以Web为中心的开发广泛地采用了Java语言。开发人员使用Applet技术，把开发的Applet很容易添加到到HTML页面。但是随着Web技术的发展，传统的静态页面已经不能满足开展、世务的需要，出现了服务器页面技术，这时Applet不能雅任此需求。SUN看到Web应用的潜力，推出了Java Servlet技术，满足服务器编释的需求。Servlet广泛应用于企业级应用程序的开发中。后来其他厂商为了简化Servlet的开发，逐渐共同推出了JSP技术，JSP更容易开发表示层，最后SUN也把JSP作为J2EE标准的一部分。又由于Servlet处理业务逻辑的局限，SUN后来推出了EJB技术。

J2EE平台规范是一个由SUN公司定义的用于简化分布式企业级应用开发与部署的基于组件的模式。它提供了一个多层次的分布式应用模型利一系列开发技术规范。多层次分布式应用模型是根据功能把应用逻辑分成多个层次，每个层次支持相应的服务器和组件，组件在分布式服务器的组件容器中运行（如Servlet组件在Servlet容器上运行，EJB组件在EJB容器上运行），容器间通过相关的协议进行通讯，实现组件间的相互调用。

J2EE使用多层的分布式应用模型，应用逻辑按功能划分为组件，各个应用组件根据他们所在的层分布在不同的机器上。事实上，sun设计J2EE的初衷正是为了解决两层模式（client/server）的弊端，在传统模式中，客户端担当了过多的角色而显得臃肿，在这种模式中，第一次部署的时候比较容易，但难丁升级或改进，可伸展性也不理想，而且经常基丁某种专有的协议一一通常是某种数据库协议。它使得重用业务逻辑和界面逻辑非常困难。现在J2EE的多层企业级应用模型将两层化模型中的不同层面切分成许多层。

3、系统总体设计

3.1，系统架构

CAS系统使川J2EE技术架构，采用B/S（Browse/Server）结构，系统为三层结构：数据库服务器、应削服务器、客户端。

3.2，CAS系统的数据库

CAS系统的数据库分为4部分：原始数据库，从新一代业务系统、信贷管理系统、国际业务系统迁移过米的原始业务数据及外部数据；基础数据库，日志、机构、人员、设备、字典、文件存储索引等；档案数据序，审计、作记录、审计工作底稿、审计依据等；临时数据库，审计查证过程中产生的数据。

JDBC中最重要的对象是Conection，Connection对象代表与数据库的连接。连接过程包括所执行的SQL语句和在该连接上所返回的结果。一个应用程序可与单个数据库有一个或多个连接，或者可与许多数据库有连接。获得连接之后才能向数据库发送SQL指令。

3.3，系统模块划分

系统管理主要是实现对系统运行的控制信息的管理，内容主要包括系统参数的定义、字典信息的维护和日志管理。

注册管理主要是实现对审计机构、审计人员和审计设备的管理。

环境定义主要是维护原始数据的使用环境，内容主要包括原始数据表信息的维护和业务机构在不同系统中的对照信息的维护。

项目管理主要是实现对整个审计流程及其过程和环节的控制和全面管理。其功能主要包括：项目立项、万案制定、项口授权、审计开工和收工。

审计查证提供一个功能丰富的查帐平台，审计人员可以利用多种查询、统计、计算工具和图形化分析工具，方便准确地实现审计思想向计算机能够执行并可记录的运算过程的转换，从而使计算机模仿手工查帐的步骤进行自动查帐，以达到帮助审计人员准确、高效地完成审计任务的目的。

审计方法管理主要是实现对审计过程中产生的方法进行管理，内容包括审计方法的优化、审计方法的变更和审计方法的查询。

审计文档生成主要是实现审计工作记录、审计工作底稿、存在问题清单、审计工作报告、审计意见书、处罚决定书、牿改报告、后续审计情况、后续审计报告等审计文档的生成功能，并提供文档归档功能将审计文档归入审计档案。

档案管理是指对审计过程生成的审计文档进行统一规范档案化管理。审计档案管理的目的是建立审计档案库，从而实现审计文档的积累和信息共享，以及根据审计档案对审计进行多角度分析的功能。

计算机审计系统篇12

一、计算机审计的含义

（一）部分学者的观点

我国计算机审计是在20世纪80年代末发展起来的，最初有学者将其称为“电算化审计”，现在已比较多的称“计算机审计”。关于“计算机审计”一词的涵义，目前没有权威的定义，许多学者都提出了自己的观点，现列举如下。

1.电算化审计人员用手工的或者电算化的审计方法、技术和程序对电算化或手工信息系统所进行的审计（肖泽忠，1990）。

2.在计算机环境下，由专门的机构和人员，接受财产所有者的授权或委托而对财产经营管理人员承担和履行经济责任的情况，进行审查并提出报告的一种经济监督活动（张立民，1994）。

3.计算机数据审计是指运用计算机审计技术对与财政收支、财务收支有关的计算机信息系统所处理的电子数据进行的审计（刘汝焯，2004）。

4.计算机审计应当包括三个方面的含义：（1）对计算机会计信息系统中的电子数据进行审计，这种计算机审计实际上是传统财务审计的延伸；（2）利用计算机辅助技术实施审计，其内容包括进行审计项目管理、建立审计数据库、审计测试和审计验证；（3）对计算机信息系统进行审计（苏运法、袁小勇、王海洪，2005）。

5.计算机审计泛指审计人员利用计算机应用程序或软件作为辅助审计工具，对被审计单位的财政、财务、相关业务和计算机信息系统等实施的审计，一般称为计算机辅助审计或电算化审计等（邱银河、木南，2006）。

（二）计算机审计的概念

以上列举的几种观点，是在不同时期人们对计算机审计的理解，一些学者是从计算机辅助审计的角度进行定义，还有些学者是从计算机信息系统审计角度进行定义。纵观计算机审计理论和实务的现状及未来学科体系的发展，应当将计算机审计、计算机辅助审计和信息系统审计几个概念加以区分。

计算机审计是指审计机构、审计人员对会计信息系统或ERP系统的工作环境、系统开发、数据处理、系统运行以及内部控制等环节进行的监督，旨在保证信息系统数据真实、安全的审计活动。而计算机辅助审计是指审计机构、审计人员利用计算机信息技术的优势，将计算机作为审计工作的工具，借助计算机硬件及审计专业软件，对被审计单位会计报表的合法性、公允性及会计处理方法运用的一贯性进行审查、评价并发表审计意见。信息系统审计则是指通过一定的技术手段采集审计证据，对被审计单位的计算机信息系统的安全性、可靠性、有效性和运行效率进行审查与评价。

二、目前计算机审计课程教材的内容及其评析

本文在此选取了几本比较具有代表性的教材，对其内容体系进行了评析。

（一）《计算机信息系统控制与审计》，张金城著，北京大学出版社2002年4月出版

本书全面系统地论述了计算机信息系统控制与审计的基本知识、基本理论、基本方法与技术。全书共十四章，16开本， 342页，分四个部分展开论述。第一部分介绍了计算机信息系统控制与审计的基本知识；第二部分论述了计算机信息系统一般控制和应用控制及其审计方法；第三部分系统地论述了系统开发、应用程序、数据文件、联机信息系统、终端机作业、数据库系统、网络信息系统、计算机犯罪的控制与审计方法和技术；第四部分论述了计算机辅助审计信息系统的开发方法。

本教材比较系统的介绍了计算机信息系统控制与审计的原理和审计对象及审计过程，内容比较全面，理论较深，具有较高的教学和科研参考价值，但如果作为教材，则缺乏应用的案例和深入浅出的讲解。

（二）《计算机审计》，苏运法，袁小勇，王海洪主编，首都经济贸易大学出版社2005年1月出版

本书共十二章，16开本，218页。全书主要论述了计算机审计的方法、技术与工具，计算机审计计划、重要性与审计风险，会计信息系统下的内部控制及审计评价，计算机审计证据的获取与收集，审计证据的评价，审计疑点查证，工作底稿与审计报告的形成。还介绍了计算机会计信息系统的审计和中岳审计软件学习指南。

本教材虽然名为《计算机审计》，但是教材的主要内容只介绍了计算机作为工具辅助审计的知识，应该叫《计算机辅助审计》更为恰当。

（三）《计算机审计技术和方法》，刘汝焯等编著，清华大学出版社2004年6月出版

本教材为国家审计署计算机审计中级培训系列教材之一，共十六章，大16开本，305页。全书共分两大部分，第一部分主要介绍了计算机数据审计的内容，包括：审前调查，数据采集、清理、转换、验证、分析，审计现场网络构建等内容。第二部分主要介绍了信息系统审计的内容，包括：信息系统的控制，一般控制的审计，应用控制的审计，对应用软件的审计，信息系统生命周期的审计。

本教材两部分内容各占一半的篇幅，第一部分实际就是计算机辅助审计，第二部分才是真正意义上的计算机审计。第一部分通过实例，详细地介绍了计算机辅助审计的方法；第二部分按模块介绍了信息系统审计的内容。

（四）《计算机审计实务操作》，邱银河，木南主编，人民邮电出版社2006年8月出版

本书共八章，大16开本，347页。全书主要介绍了计算机辅助审计的审前调查、数据采集、整理方法及常见问题的解决方案；以案例为主介绍了Excel在审计中的关键应用和数据库编程在审计中的应用；还介绍了现阶段应用最广泛的审计软件的基本操作，用审计软件完成一个审计项目的完整过程；最后简要介绍了信息系统审计的有关知识。全书附有光盘。

本书通过很多案例介绍了计算机辅助审计的实用方法，是一本比较全面而且实用的介绍计算机辅助审计方法的教材，但名称叫《计算机审计实务操作》，有失偏颇。

从以上几种教材分析可以看出，随着时间的推移和计算机审计实践和理论研究的深入，人们对计算机审计的认识逐渐明确，计算机辅助审计和计算机审计也有了比较清晰的划分。

三、计算机审计课程内容设计

（一）计算机审计内容

计算机审计的内容主要包括：内部控制系统审计，数据文件审计，软件开发审计，应用程序审计。

1.内部控制系统审计。对计算机会计信息系统审计时，整个审计工作的基础仍然是内部控制系统。内部控制系统的审计主要是审查内部控制制度与措施是否建立、是否完善、是否被一贯地执行。

2.数据文件审计。在计算机会计信息系统中，实质性测试的对象就是数据文件。对存贮在硬盘和移动存储设备上的数据文件，首先，需要采用计算机技术进行审计查证，分析数据是否被篡改过、存储数据是否完整等；其次，对数据文件的应用控制和一般控制是否健全、有效进行审查；第三，对数据文件内容的正确性与真实性进行审查。

3.软件开发审计。软件开发审计主要是审计专业人员对软件开发过程中形成的各种软件和数据文档进行审查。审查软件开发全过程及其结果是否符合企业内部控制规范指引和有关法规政策、软件开发工作是否符合既定的方案和规程、形成的文件是否符合相关标准等方面，以确保软件的可靠性、效率性、可维护性，运行结果的正确性、完整性，内部控制的适当性，从而提高系统的可审性。

4.应用程序审计。应用程序审计是信息系统审计的重要内容，同时也是计算机审计的核心。应用程序直接影响会计核算的结果，而程序是隐藏在后台的数据代码，检测程序运行痕迹，查找程序执行中的漏洞，需要耗费很大的精力和物力，这也是计算机审计过程中最困难的任务之一。实践过程表明，信息系统中最容易出现差错与舞弊的是程序，要想对信息系统的正确性、可靠性等作出公正的评价，必须对应用程序进行审计。应用程序审计的内容主要包括以下几个方面：审查计算机信息系统的安全性、可靠性；审查程序的合法性及内部控制的完整和有效；审查程序对数据处理和控制的有效性和运行效率；审查程序的容错能力和纠错能力。

（二）计算机审计教材（课程）体系及内容

1.计算机审计的概述。包括计算机审计的历史沿革，计算机审计的概念，计算机审计的方法与步骤，计算机信息系统对审计工作的影响。

2.信息系统内部控制审计。包括计算机信息系统的内部控制概述，计算机环境下的审计风险，计算机信息系统的一般控制与应用控制，计算机信息系统内部控制审计及审计实例。

3.信息系统开发审计。主要介绍信息系统开发审计的目标，信息系统开发审计的内容和方法。

4.信息系统应用程序的审计。包括应用程序审计的内容，应用程序审计的方法，应用程序审计实例。

5.信息系统数据审计。包括数据审计概述，数据审计的准备工作，数据审计的技术与方法，数据审计案例。

6.计算机信息系统舞弊的控制和审计。包括计算机信息系统舞弊概述，计算机信息系统舞弊的控制，计算机信息系统舞弊的审计。

7.网络审计。包括网络审计概述，网络审计与电子商务，网络系统审计和网站审计。

8.计算机审计的发展趋势。包括未来的审计环境，审计决策支持与审计专家系统。

（三）建议规范计算机审计课程的内容

1.进一步明确计算机审计和计算机辅助审计的概念。由权威的学术机构、专家学者开展学术研讨，以学术成果的形式，对计算机审计和计算机辅助审计作出比较权威和明确的定义，以利于大家的进一步研究和引用；同时也便于学生在学习过程中对计算机审计知识的理解和掌握。

2.编著者在进行教材编写时应当对教材内容作出比较明确的定位，面向本科阶段使用的教材叫《计算机审计》为宜，侧重于审计对象，使学生掌握如何对计算机系统开展审计工作；而面向高职和中职阶段使用的教材应该叫《计算机辅助审计》，侧重于审计手段，使学生掌握如何利用计算机这一先进工具来开展审计工作。同时学校在课程开设上也应当明确化，使学生清楚该门课程的学习目标，对学生以后就业提供明确的参考方向。

参考文献：

[1]张立民.电算化系统控制与审计[M].天津科学技术出版社，1994.

[2]张金城.计算机信息系统控制与审计[M].北京大学出版社，2002.

[3]刘汝焯等.计算机审计技术和方法[M].清华大学出版社，2004.

[4]苏运法，袁小勇，王海洪.计算机审计[M].首都经济贸易大学出版社，2005.

计算机审计系统篇13

计算机信息系统在银行系统中，能有效的提高工作人员的工作效率，能有效的提高数据的准确性，加快数据的统计，并且能形成有效分析数据处理的结果，具体主要表现在以下几个方面：

(一)对审计的速度产生的影响

运用计算机，能有效的提高提高审计的速度，在计算机信息系统的数据处理，能有效的分析在此环节下商业银行的数据异常，比运用手工进行审计要大大的提供工作效率，而且能提高数据的准确性。

（二）对审计对象的载体能产生影响

运用计算机系统后，审计的对象由会计凭证、报表、账簿和各种资料转变成了电、磁信号的形式的虚拟数据，大量会计数据保存在计算机系统中，但是若全部采用计算机系统来进行会计工作，也很难收集相关证据，容易伪造，而且留不下任何痕迹，所以在运用计算机进行审计工作的同时，也得查看相关的纸质凭证，不断补充新的审计方法和审计手段提高审计的要求。

（三）对审计内容的影响

在计算机系统下进行审计工作，大部分数据的分析可由计算机系统来完成，审计师进行审查时，完全可以根据需要进行顺查、逆查或采用抽样的方法进行审查。但在计算机信息系统环境下，制作凭证、登账及报表编制，全部由计算机系统按一定的程序指令完成，手工系统下的传统审计线索在这里消失了。为了能有效地审计计算机信息系统下的会计数据，除了制定一些规章制度外，还必须在会计软件系统的设计和开发中提出审计要求，以便这些系统在会计核算中能留下新的审计线索。根据审计线索来进行相关的经济业务，以收索审计证据，

（四）对审计技术和审计方法的影响

计算机信息系统的特点决定了审计技术应当相应改变，手工审计技术仍是有效和必要的，但是，计算机辅助审计技术效率则更高，有时甚至是必不可少的审计技术。计算机信息系统环境下被审计商业银行内部控制的变化，使审计方法也产生较大变化。对会计资料所进行的实质性测试包括：1.处理实际数据文件的实质性测试方法；2.不处理数据文件的实质性测试方法：3.处理模拟数据文件的实质性测试方法。

二、利用计算机信息系统进行审计计划的制定和工作

（一）充分了解计算机信息系统

充分了解计算机信息系统是审计师在计算机信息系统下执行所有审计工作的前提。审计师在用计算机系统进行审计的时候，应该充分了解计算机信息系统的特点，程序设计的原理，组织结构，计算机信息系统的复杂性，在计算机信息系统中，被审计的商业银行应该建立自己的组织系统，包括软件的设计，人员的配置，网络系统的设置等等，在审计的过程中，做好数据的处理和储存、输送，大大提高审计的工作效率。

（二）充分了解计算机信息系统环境

如果被审计商业银行的计算机信息系统对会计报表整体有重要影响，审计师还应当了解计算机信息系统环境，并考虑其对固有风险和控制风险评估的影响。对计机信息系统环境的了解，除上述对系统本身的了解外，还应了解下述内容：1.被审计商业银行对计算机信息技术的利用及态度。如系统是由被审计商业银行购买并经确认证明或自行开发，被审计银行对系统的开发、维护、使用的态度等。2.同行业或单位所处当地企业间的比较。与同行业或单位所处当地环境中的系统使用相比。被审计银行计算机信息系统使用及信息技术状况的趋势。3.被审计商业银行的计算机信息系统及其环境最近的变化及计划中的变动。如系统开发、改变计算机信息系统、改变技术平台领导者或经营方向等。4.计算机信息系统环境下风险的性质和内部控制的特征。

（三）利用计算机系统确定审计的计划内容

利用计算机系统确定审计的计划内容，对搜集的相关资料进行分析。审计师认真分析研究，通过计算机系统确定审计的重点内容，制定审计计划。审计计划的基本内容包括：1.电子数据处理系统审计的范围、目的、重点和起讫时间；2.被审计商业银行计算机信息系统的概况；3.审计项目的安排、内容和各个项目的具体要求；4.审计工作的方式、审计步骤、组织分工、时间进度和日程安排；5.运用审计方法以及审计工作中应注意的事项和问题。

（四）运用计算机内的相关系统开展审计工作

了解了计算机系统的结构和软件的运用后，运用计算机内的相关软件进行数据的分析，提出相关的数据和会计数据进行对比，通过制定的审计计划，一步步的根据相应的计划开展审计工作，报表和相关数据的处理均可通过计算机系统进行有效的处理。

三、总结

计算机在银行系统的审计工作中发挥着至关重要的作用，只有充分做好计算机会计软件的工作，考虑到审计工作的需要，指定关于何时，何处怎样检查电子数据功能的计划，包括各项数据的处理。充分发挥计算机系统内软件的作用，从了解计算机信息系统的组织构造，到了解计算机信息系统环境，到最后利用计算机系统进行审计工作的计划和施行。相信在以后的社会发展中，计算机也会等到进一步的发展，利用计算机进行商业银行的审计工作将会变得更加实用和方便。

参考文献：

[1]张沁,姜华.浅谈当前商业银行计算机审计存在问题及对策[J].中国农业银行武汉培训学院学报,2011,(05)．

[2]赵文强.利用计算机开展银行贷款五级分类真实性审计的方法[J].科技致富向导,2011,(17).