審計(jì)數(shù)據(jù)采集與分析第1章審計(jì)數(shù)據(jù)采集與分析概述[MZ(1]及時(shí)篇基礎(chǔ)篇[MZ)]
本篇共包含3章,主要介紹審計(jì)數(shù)據(jù)采集與分析概述、被審計(jì)單位的電子數(shù)據(jù)、電子數(shù)據(jù)采集與分析技術(shù)原理。本篇給出了實(shí)施審計(jì)數(shù)據(jù)采集與分析所必需的知識儲備。
[MZ(1]第1章審計(jì)數(shù)據(jù)采集與分析概述[MZ)]
本章要點(diǎn)
七步流程法
& 調(diào)查階段
& 數(shù)據(jù)采集
& 數(shù)據(jù)清理、轉(zhuǎn)換、驗(yàn)證
& 建立審計(jì)中間表
& 把握總體,選擇重點(diǎn)
& 建模分析
& 疑點(diǎn)延伸、落實(shí)、取證
拓展閱讀
& 信息系統(tǒng)審計(jì)的安全性、有效性、經(jīng)濟(jì)性
& 信息系統(tǒng)審計(jì)和數(shù)據(jù)審計(jì)辨析
[MZ(2]1.1引言[MZ)]
審計(jì)實(shí)務(wù)和計(jì)算機(jī)技術(shù)的結(jié)合,在中國是隨著20世紀(jì)80年代末90年代初開始的會計(jì)信息化而逐步加深的。20世紀(jì)90年代信息技術(shù)突飛猛進(jìn),金融、財(cái)政、海關(guān)、稅務(wù)等部門,民航、鐵道、電力、石化等關(guān)系國計(jì)民生的重要行業(yè)開始廣泛運(yùn)用計(jì)算機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)等信息技術(shù)進(jìn)行管理,國家機(jī)關(guān)、企事業(yè)單位會計(jì)電算化趨向普及。被審計(jì)單位管理存儲財(cái)政、財(cái)務(wù)信息的手段發(fā)生了質(zhì)的變化,報(bào)表、賬簿、憑證等審計(jì)人員熟悉的紙質(zhì)資料以電子數(shù)據(jù)的形式重新組織管理,審計(jì)人員面臨“進(jìn)不了門、打不開賬”的尷尬局面。
審計(jì)對象的信息化,客觀上要求審計(jì)機(jī)關(guān)具備運(yùn)用計(jì)算機(jī)技術(shù),檢查被審計(jì)單位經(jīng)濟(jì)活動的能力,發(fā)揮審計(jì)監(jiān)督的應(yīng)有作用。20世紀(jì)末,時(shí)任審計(jì)署審計(jì)長的李金華同志指出“審計(jì)人員如果不掌握計(jì)算機(jī)將失去審計(jì)的資格”,首次將計(jì)算機(jī)審計(jì)上升到審計(jì)人員必備的專業(yè)技能的高度。
為了應(yīng)對信息化對于傳統(tǒng)審計(jì)的挑戰(zhàn),計(jì)算機(jī)審計(jì)應(yīng)運(yùn)而生。在世紀(jì)之交那個(gè)風(fēng)云際會的年代,計(jì)算機(jī)審計(jì)要解決的最急迫的問題是實(shí)現(xiàn)協(xié)助審計(jì)人員審查被審計(jì)單位的電子賬這個(gè)技術(shù)問題。
1999年,審計(jì)署組織開發(fā)了“審計(jì)數(shù)據(jù)采集分析”“審計(jì)數(shù)據(jù)采集分析”歷經(jīng)1.0、2.0、3.0三個(gè)版本的升級,目前近期版是“審計(jì)數(shù)據(jù)采集分析2012”。軟件。該軟件吸取了加拿大審計(jì)軟件ACL和IDEA系統(tǒng)化的優(yōu)點(diǎn),是一個(gè)基于Microsoft SQL Server數(shù)據(jù)庫管理系統(tǒng)的通用審計(jì)軟件。“審計(jì)數(shù)據(jù)采集分析”軟件成功實(shí)現(xiàn)了對電子賬簿數(shù)據(jù)的獲取,并支持對電子數(shù)據(jù)的查詢、分析、統(tǒng)計(jì)和計(jì)算。運(yùn)用該軟件,審計(jì)人員在對被審計(jì)單位財(cái)務(wù)和業(yè)務(wù)等電子數(shù)據(jù)的審計(jì)過程中逐漸掌握了主動。
在實(shí)現(xiàn)財(cái)務(wù)電子數(shù)據(jù)審查的同時(shí),新的問題也隨之出現(xiàn): 僅審查被審計(jì)單位的財(cái)務(wù)數(shù)據(jù)是否足夠,業(yè)務(wù)電子數(shù)據(jù)怎么辦?需不需要審查?如何審查?舉個(gè)例子,當(dāng)審計(jì)人員對中國鐵路總公司(即原鐵道部)進(jìn)行審計(jì)時(shí),當(dāng)需要反映貨運(yùn)系統(tǒng)中罐車、敞車等車皮調(diào)度的真實(shí)性、合理性時(shí),僅審查財(cái)務(wù)數(shù)據(jù)是不夠的,對于貨運(yùn)系統(tǒng)中的業(yè)務(wù)電子數(shù)據(jù)的審查是必不可少的。因此,計(jì)算機(jī)審計(jì)的范疇從財(cái)務(wù)數(shù)據(jù)的審查拓寬到對財(cái)務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)都要進(jìn)行審查。這也就是計(jì)算機(jī)審計(jì)的及時(shí)層含義,對電子數(shù)據(jù)的審計(jì),或者也可以稱為計(jì)算機(jī)數(shù)據(jù)審計(jì)。
目前,計(jì)算機(jī)審計(jì)實(shí)務(wù)主要包括計(jì)算機(jī)數(shù)據(jù)審計(jì)和信息系統(tǒng)審計(jì)。
計(jì)算機(jī)數(shù)據(jù)審計(jì)是指運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)對信息系統(tǒng)中所存儲和處理的電子數(shù)據(jù)進(jìn)行的審計(jì),這些信息系統(tǒng)不但包括被審計(jì)單位與財(cái)政收支、財(cái)務(wù)收支有關(guān)的計(jì)算機(jī)信息系統(tǒng),還包括來自被審計(jì)單位之外的,與被審計(jì)單位有關(guān)的,從不同的角度體現(xiàn)被審計(jì)單位實(shí)際經(jīng)營情況的方方面面的信息,如來自工商系統(tǒng)、國稅系統(tǒng)、地稅系統(tǒng)、電力系統(tǒng)、社保系統(tǒng)等信息系統(tǒng)記錄的被審計(jì)單位的工商注冊情況、納稅申報(bào)情況、生產(chǎn)用電情況、為職工繳納社保情況等。計(jì)算機(jī)數(shù)據(jù)審計(jì)從技術(shù)上講主要包括通過對來自被審計(jì)單位內(nèi)部和外部相關(guān)的電子數(shù)據(jù)進(jìn)行采集、轉(zhuǎn)換、清理、驗(yàn)證和分析,幫助審計(jì)人員掌握總體情況,發(fā)現(xiàn)審計(jì)線索,收集審計(jì)證據(jù),形成審計(jì)結(jié)論,實(shí)現(xiàn)審計(jì)目標(biāo)。
信息系統(tǒng)審計(jì)是通過對被審計(jì)單位信息系統(tǒng)的調(diào)查和了解,對系統(tǒng)控制及系統(tǒng)功能的分析和測評,綜合評價(jià)信息系統(tǒng)能否滿足安全性、有效性和經(jīng)濟(jì)性的目標(biāo),促進(jìn)被審計(jì)單位完善信息系統(tǒng)控制,防范業(yè)務(wù)風(fēng)險(xiǎn);加強(qiáng)信息系統(tǒng)運(yùn)行管理,規(guī)范業(yè)務(wù)行為;促進(jìn)提高信息系統(tǒng)運(yùn)行效率和投資效益。信息系統(tǒng)審計(jì)的更多知識請參看本章的拓展閱讀部分1.3.1節(jié)的相關(guān)內(nèi)容。
本書的重點(diǎn)在于闡述計(jì)算機(jī)數(shù)據(jù)審計(jì)的兩個(gè)重要組成部分: 審計(jì)數(shù)據(jù)采集和審計(jì)數(shù)據(jù)分析。
審計(jì)數(shù)據(jù)采集,指的是宏觀意義上的采集,它既包括將來自外部的電子數(shù)據(jù)采集到審計(jì)人員的計(jì)算機(jī)系統(tǒng)中,也包括電子數(shù)據(jù)獲取之前對于需要獲取的存儲電子數(shù)據(jù)的信息系統(tǒng)及使用信息系統(tǒng)的單位的調(diào)查研究,還包括電子數(shù)據(jù)獲取之后對于獲取到的電子數(shù)據(jù)進(jìn)行數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)驗(yàn)證,以提高數(shù)據(jù)質(zhì)量,并生成適合審計(jì)數(shù)據(jù)分析的審計(jì)中間表。
審計(jì)數(shù)據(jù)分析,指的也是宏觀意義上的分析,它從已建立的審計(jì)中間表入手,根據(jù)審計(jì)中間表的內(nèi)容,對審計(jì)目標(biāo)進(jìn)行總體分析,把握被審計(jì)單位的總體情況,找準(zhǔn)薄弱環(huán)節(jié),確定審計(jì)重點(diǎn);對各審計(jì)重點(diǎn)建立分析模型,撰寫分析語句,發(fā)現(xiàn)審計(jì)疑點(diǎn);將發(fā)現(xiàn)的疑點(diǎn)交給審計(jì)核實(shí)組去審計(jì)現(xiàn)場完成對疑點(diǎn)的延伸、落實(shí)和取證工作。
從計(jì)算機(jī)數(shù)據(jù)審計(jì)的流程實(shí)現(xiàn)的角度上講,審計(jì)數(shù)據(jù)采集和審計(jì)數(shù)據(jù)分析的具體內(nèi)容可以概括為七個(gè)階段的工作,簡稱“七步流程法”。這七個(gè)階段的工作如下。
及時(shí)階段: 調(diào)查階段;
第二階段: 數(shù)據(jù)采集;
第三階段: 數(shù)據(jù)清理、轉(zhuǎn)換、驗(yàn)證;
第四階段: 建立審計(jì)中間表;
第五階段: 把握總體,選擇重點(diǎn);
第六階段: 建模分析;
第七階段: 疑點(diǎn)延伸、落實(shí)、取證。
[MZ(2]1.2七步流程法[MZ)]
“七步流程法”是計(jì)算機(jī)數(shù)據(jù)審計(jì)的一套完整的程序和流程。
[MZ(3]1.2.1調(diào)查階段[MZ)]
調(diào)查階段,審計(jì)人員應(yīng)根據(jù)審計(jì)工作方案中審計(jì)目標(biāo)的要求收集被審計(jì)單位相關(guān)業(yè)務(wù)系統(tǒng)的技術(shù)文檔,以詳細(xì)了解系統(tǒng)的數(shù)據(jù)庫和數(shù)據(jù)情況,并在此基礎(chǔ)上提出審計(jì)數(shù)據(jù)需求說明書交由被審計(jì)單位提供數(shù)據(jù)。
在調(diào)查階段,應(yīng)當(dāng)了解被審計(jì)單位的組織結(jié)構(gòu),掌握計(jì)算機(jī)系統(tǒng)在組織內(nèi)部的總體應(yīng)用情況。根據(jù)審計(jì)目標(biāo),選擇那些對實(shí)現(xiàn)審計(jì)目標(biāo)有重要影響的計(jì)算機(jī)信息系統(tǒng)(即信息系統(tǒng)對被審計(jì)單位業(yè)務(wù)支持程度高,被審計(jì)單位業(yè)務(wù)對信息系統(tǒng)的依賴程度高)作為深入調(diào)查的子系統(tǒng)或功能,進(jìn)行、詳細(xì)的調(diào)查了解。調(diào)查了解的內(nèi)容應(yīng)包括軟硬件情況、系統(tǒng)的開發(fā)情況和有關(guān)技術(shù)文檔,系統(tǒng)的運(yùn)行、維護(hù)、配置、管理情況,系統(tǒng)的功能、數(shù)據(jù)情況等。還可以包括業(yè)務(wù)系統(tǒng)的名稱、版本、開發(fā)商、功能等內(nèi)容,特別是業(yè)務(wù)系統(tǒng)自身是否有將業(yè)務(wù)數(shù)據(jù)導(dǎo)出的功能,如果可以導(dǎo)出,應(yīng)了解導(dǎo)出文件的數(shù)據(jù)格式。
對計(jì)算機(jī)數(shù)據(jù)審計(jì)而言,數(shù)據(jù)情況調(diào)查是重點(diǎn)。
數(shù)據(jù)情況調(diào)查的主要任務(wù)是搞清楚被審計(jì)單位各業(yè)務(wù)系統(tǒng)存儲和處理電子數(shù)據(jù)的基本情況。調(diào)查工作的一般思路是: 審計(jì)目標(biāo)→審計(jì)內(nèi)容與重點(diǎn)→審計(jì)內(nèi)容所涉及的信息系統(tǒng)→與信息系統(tǒng)相關(guān)的電子數(shù)據(jù)。
數(shù)據(jù)情況調(diào)查是對信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)進(jìn)行、深入認(rèn)識和了解的過程,因此必須首先調(diào)查了解信息系統(tǒng)的業(yè)務(wù)流程。要詳細(xì)了解被審計(jì)單位業(yè)務(wù)環(huán)節(jié)的具體操作方式和目的,必要時(shí)可以根據(jù)了解的情況繪制業(yè)務(wù)流程圖,目的是使審計(jì)人員有一個(gè)初步的審計(jì)思路,更好地設(shè)計(jì)切實(shí)可行的審計(jì)方案,同時(shí)初步確定數(shù)據(jù)采集的范圍。
在理解業(yè)務(wù)流程的基礎(chǔ)上,還應(yīng)進(jìn)一步理解數(shù)據(jù)流程,從而了解系統(tǒng)應(yīng)該生成哪些數(shù)據(jù)以及數(shù)據(jù)的生成過程、來源、去向等情況,為提出數(shù)據(jù)需求和下一步的數(shù)據(jù)分析工作打下基礎(chǔ)。
在數(shù)據(jù)情況調(diào)查過程中,審計(jì)人員應(yīng)將相關(guān)的技術(shù)文檔盡量收集齊全,以便詳細(xì)了解系統(tǒng)的數(shù)據(jù)庫和數(shù)據(jù)情況。數(shù)據(jù)庫及數(shù)據(jù)的說明信息都包含在這些技術(shù)文檔中。審計(jì)人員應(yīng)當(dāng)首先閱讀各種設(shè)計(jì)說明書,了解數(shù)據(jù)庫總體結(jié)構(gòu),包括數(shù)據(jù)庫總體布局、各級服務(wù)器上的數(shù)據(jù)庫系統(tǒng)的名稱、版本、內(nèi)容、各數(shù)據(jù)庫之間的關(guān)系等總體情況。在此基礎(chǔ)上進(jìn)一步了解數(shù)據(jù)庫中數(shù)據(jù)表的具體情況等內(nèi)容,以便根據(jù)審計(jì)需求確定從哪一層次采集數(shù)據(jù)、采集哪些數(shù)據(jù)庫的數(shù)據(jù),甚至可確定采集哪個(gè)數(shù)據(jù)庫中的哪些表。通過對表間關(guān)系和表結(jié)構(gòu)描述的了解,可以為后續(xù)的數(shù)據(jù)轉(zhuǎn)換和創(chuàng)建審計(jì)中間表工作打好基礎(chǔ)。
在上述工作的基礎(chǔ)上,應(yīng)提出審計(jì)數(shù)據(jù)需求說明書交由被審計(jì)單位提供數(shù)據(jù)。審計(jì)數(shù)據(jù)需求說明書中應(yīng)指定數(shù)據(jù)采集的系統(tǒng)名稱、數(shù)據(jù)庫名稱(必要時(shí)可以到需要采集的數(shù)據(jù)表的名稱)、數(shù)據(jù)采集的具體方式、數(shù)據(jù)傳輸?shù)母袷健⑺钄?shù)據(jù)的時(shí)間段、數(shù)據(jù)交付的方式、數(shù)據(jù)交付的期限和其他注意事項(xiàng)等內(nèi)容。
[MZ(3]1.2.2數(shù)據(jù)采集[MZ)]
數(shù)據(jù)采集,在調(diào)查階段提出數(shù)據(jù)需求的基礎(chǔ)上,按照審計(jì)目標(biāo),采用一定的工具和方法對被審計(jì)單位信息系統(tǒng)中的電子數(shù)據(jù)以及來自被審計(jì)單位之外的,與被審計(jì)單位有關(guān)的,從不同的角度體現(xiàn)被審計(jì)單位實(shí)際經(jīng)營情況的電子數(shù)據(jù)進(jìn)行采集。
數(shù)據(jù)采集可分兩步實(shí)現(xiàn): 及時(shí)步是通過調(diào)查階段掌握的信息來選擇需要采集的電子數(shù)據(jù);第二步是通過一定的技術(shù)和手段實(shí)現(xiàn)對目標(biāo)數(shù)據(jù)的采集,及時(shí)獲取、完整的電子數(shù)據(jù)。常用的數(shù)據(jù)采集策略有三種: 一是通過數(shù)據(jù)接口采集;二是直接復(fù)制;三是通過備份文件恢復(fù)。
對被審計(jì)單位信息系統(tǒng)中的電子數(shù)據(jù)的采集一般需要在被審計(jì)單位技術(shù)人員的配合支持下完成。對來自被審計(jì)單位之外的,與被審計(jì)單位有關(guān)的,從不同的角度體現(xiàn)被審計(jì)單位實(shí)際經(jīng)營情況的電子數(shù)據(jù),如果審計(jì)單位的審計(jì)數(shù)據(jù)分中心已經(jīng)積累了這部分的電子數(shù)據(jù),可以由審計(jì)組向本單位提出申請,調(diào)出這部分電子數(shù)據(jù);如果尚未掌握這部分電子數(shù)據(jù),應(yīng)通過正規(guī)途徑盡可能協(xié)調(diào)相關(guān)單位,獲取這部分電子數(shù)據(jù)。
[MZ(3]1.2.3數(shù)據(jù)清理、轉(zhuǎn)換、驗(yàn)證[MZ)]
在實(shí)際工作中,經(jīng)常需要將來源眾多的被審計(jì)單位電子數(shù)據(jù)集成到一起進(jìn)行分析和處理。由于被審計(jì)單位數(shù)據(jù)來源繁雜,數(shù)據(jù)格式不統(tǒng)一,信息表示代碼化,數(shù)據(jù)在采集和處理過程中可能失真,被審計(jì)單位可能有意更改、隱瞞數(shù)據(jù)真實(shí)情況等諸多影響因素,對采集到的電子數(shù)據(jù)必須進(jìn)行清理、轉(zhuǎn)換、驗(yàn)證,使得數(shù)據(jù)能為審計(jì)所用。
數(shù)據(jù)清理是指為提高數(shù)據(jù)質(zhì)量而對缺失的、不的、不一致的有質(zhì)量問題的電子數(shù)據(jù)進(jìn)行處理。通常,通過重復(fù)記錄的識別與清理、缺失數(shù)據(jù)的補(bǔ)充、空值處理等操作可以提高數(shù)據(jù)質(zhì)量。
數(shù)據(jù)轉(zhuǎn)換包括數(shù)據(jù)庫格式的轉(zhuǎn)換以及數(shù)據(jù)內(nèi)容的轉(zhuǎn)換。數(shù)據(jù)庫格式的轉(zhuǎn)換要求將采集到的來源于被審計(jì)單位不同類型數(shù)據(jù)庫格式的電子數(shù)據(jù)統(tǒng)一存儲為一種數(shù)據(jù)庫格式。數(shù)據(jù)內(nèi)容轉(zhuǎn)換要求對采集到的原始數(shù)據(jù)的含義進(jìn)行識別,明確地標(biāo)識出每張表、每個(gè)字段的經(jīng)濟(jì)含義及其相互之間的關(guān)系。通常,通過數(shù)據(jù)類型轉(zhuǎn)換、日期/時(shí)間格式的轉(zhuǎn)換、代碼轉(zhuǎn)換、值域轉(zhuǎn)換可以實(shí)現(xiàn)數(shù)據(jù)內(nèi)容的轉(zhuǎn)換。
數(shù)據(jù)驗(yàn)證貫穿數(shù)據(jù)采集、數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換的全過程。
在數(shù)據(jù)采集階段,數(shù)據(jù)驗(yàn)證要檢查被審計(jì)單位提供資料的完整性,保障數(shù)據(jù)采集工作有效地進(jìn)行,同時(shí)對采集到的數(shù)據(jù)進(jìn)行確認(rèn),排除遺漏和失誤。
在數(shù)據(jù)清理階段,數(shù)據(jù)驗(yàn)證要確認(rèn)數(shù)據(jù)清理工作沒有損害數(shù)據(jù)整體的完整性和正確性。
在數(shù)據(jù)轉(zhuǎn)換階段,審計(jì)人員會將原始電子數(shù)據(jù)中表名、字段名、記錄值代碼以及表表關(guān)聯(lián)的經(jīng)濟(jì)含義明確標(biāo)識出來,這需要進(jìn)行大量的查詢、替換修改、插入數(shù)據(jù)、更新數(shù)據(jù)、刪除數(shù)據(jù)等操作,每一步轉(zhuǎn)換工作都有可能影響數(shù)據(jù)的完整性和正確性,因此應(yīng)在這一階段進(jìn)行數(shù)據(jù)驗(yàn)證,以確保數(shù)據(jù)轉(zhuǎn)換工作未對電子數(shù)據(jù)引入新的錯(cuò)誤。
[MZ(3]1.2.4建立審計(jì)中間表[MZ)]
建立審計(jì)中間表,對獲得的電子數(shù)據(jù)按審計(jì)需求進(jìn)行投影、連接等“再加工”,從電子數(shù)據(jù)中選擇滿足審計(jì)需要的精簡的數(shù)據(jù)集合,生成審計(jì)中間表,為建立審計(jì)分析模型形成數(shù)據(jù)基礎(chǔ)。
審計(jì)中間表是利用被審計(jì)單位數(shù)據(jù)庫中的基礎(chǔ)電子數(shù)據(jù),按照審計(jì)人員的審計(jì)要求,由審計(jì)人員構(gòu)建,可供審計(jì)人員進(jìn)行數(shù)據(jù)分析的新型審計(jì)工具。
通常在設(shè)計(jì)數(shù)據(jù)庫的時(shí)候要對數(shù)據(jù)進(jìn)行范式分解。范式分解這種規(guī)范化過程會將描述一個(gè)業(yè)務(wù)對象的數(shù)據(jù)分解成關(guān)系數(shù)據(jù)庫中的多個(gè)邏輯表,這些表之間存在一定的關(guān)聯(lián)關(guān)系。要利用被審計(jì)單位數(shù)據(jù)庫中的數(shù)據(jù)來實(shí)現(xiàn)審計(jì)分析,必須對清理、轉(zhuǎn)換、驗(yàn)證后的電子數(shù)據(jù)按審計(jì)需求進(jìn)行投影、連接等“再加工”,從電子數(shù)據(jù)中選擇出滿足審計(jì)需要的較為精簡的數(shù)據(jù)集合,生成一系列中間數(shù)據(jù)表——審計(jì)中間表。審計(jì)中間表是審計(jì)人員建立審計(jì)分析模型的基礎(chǔ)。
建立審計(jì)數(shù)據(jù)中間表是一個(gè)循序漸進(jìn)的過程。在對數(shù)據(jù)進(jìn)行清理、轉(zhuǎn)換、驗(yàn)證后,就應(yīng)考慮設(shè)計(jì)出初步的審計(jì)中間表,此時(shí)的主要工作是幫助審計(jì)人員選定審計(jì)所需的基礎(chǔ)性數(shù)據(jù),如去掉與審計(jì)無關(guān)的字段、建立表與表之間的基本連接等。這一階段創(chuàng)立的中間表稱為基礎(chǔ)性中間表。在建立分析模型進(jìn)行具體的數(shù)據(jù)分析時(shí),還要建立分析性中間表,即按照審計(jì)分析模型,對基礎(chǔ)性中間表再進(jìn)行字段選擇、連接等處理,以幫助審計(jì)人員實(shí)現(xiàn)對數(shù)據(jù)的建模分析。
[MZ(3]1.2.5把握總體,選擇重點(diǎn)[MZ)]
把握總體,選擇重點(diǎn)是指根據(jù)審計(jì)目標(biāo)進(jìn)行總體分析,把握被審計(jì)單位的總體情況,找準(zhǔn)薄弱環(huán)節(jié),確定審計(jì)重點(diǎn),建立審計(jì)分析模型以形成較具體的理論指導(dǎo)。
在總體分析時(shí),可以從不同層次、不同角度對被審計(jì)單位的電子數(shù)據(jù)進(jìn)行匯總、核對與分析,如進(jìn)行賬表核對、表表核對,也可以建立指標(biāo)或指標(biāo)體系進(jìn)行分析,還可以使用多維分析工具從不同的層次和角度來觀察被審計(jì)單位的電子數(shù)據(jù)。這些總體分析的技術(shù)和方法可以幫助審計(jì)人員把握被審計(jì)單位有關(guān)經(jīng)濟(jì)業(yè)務(wù)的總體情況,尋找薄弱環(huán)節(jié),確定審計(jì)重點(diǎn),避免審計(jì)工作的片面性和盲目性。
[MZ(3]1.2.6建模分析[MZ)]
建模分析,在總體分析的基礎(chǔ)上,審計(jì)人員需要根據(jù)確定的審計(jì)重點(diǎn),利用審計(jì)分析模型進(jìn)行具體的數(shù)據(jù)分析。審計(jì)分析模型是審計(jì)人員用于數(shù)據(jù)分析的技術(shù)工具,它是按照審計(jì)事項(xiàng)應(yīng)該具有的時(shí)間或空間狀態(tài)(如趨勢、結(jié)構(gòu)、關(guān)系等),由審計(jì)人員通過設(shè)定判斷和限制條件建立起來的一系列數(shù)學(xué)的或邏輯的表達(dá)式,并用于驗(yàn)證審計(jì)事項(xiàng)實(shí)際的時(shí)間或空間狀態(tài)的技術(shù)方法。在實(shí)際工作中,要根據(jù)不同層次的審計(jì)需求建立不同層次的審計(jì)分析模型。一般而言,有總體分析模型、類別分析模型和個(gè)體分析模型。
目前常見的審計(jì)分析模型包括根據(jù)法律、法規(guī)和制度規(guī)定的狀態(tài)和關(guān)系來建立;根據(jù)業(yè)務(wù)的邏輯關(guān)系來建立;根據(jù)不同類型數(shù)據(jù)之間的對應(yīng)關(guān)系來建立;根據(jù)審計(jì)人員的符合客觀實(shí)際的經(jīng)驗(yàn)來建立;根據(jù)審計(jì)人員的合理的預(yù)測來建立等。
[MZ(3]1.2.7疑點(diǎn)延伸、落實(shí)、取證[MZ)]
根據(jù)審計(jì)分析模型的分析結(jié)果,派出重要問題核實(shí)組、重大違法違紀(jì)違規(guī)問題突破組等到被審計(jì)單位對疑點(diǎn)進(jìn)行延伸,對發(fā)現(xiàn)的問題線索進(jìn)一步核查、落實(shí)并取證。
如果數(shù)據(jù)分析的結(jié)果能直接發(fā)現(xiàn)與核實(shí)問題,審計(jì)人員可以利用有關(guān)電子數(shù)據(jù)直接取證。這時(shí)審計(jì)人員應(yīng)將被審計(jì)單位提供的原始數(shù)據(jù)、分析處理產(chǎn)生的中間表數(shù)據(jù)以及數(shù)據(jù)分析和處理的過程的語句代碼妥善保存,以便作為審計(jì)證據(jù)。如果數(shù)據(jù)分析的結(jié)果僅能揭示問題的線索,不能直接發(fā)現(xiàn)與核實(shí)問題,則應(yīng)根據(jù)線索進(jìn)行延伸審計(jì),獲取審計(jì)證據(jù)。在編制審計(jì)工作底稿時(shí),應(yīng)對數(shù)據(jù)分析的過程、方法、使用的數(shù)據(jù)等情況進(jìn)行詳細(xì)記錄,同時(shí)還應(yīng)記錄審計(jì)人員對數(shù)據(jù)分析結(jié)果的判斷。
[MZ(2]1.3拓展閱讀[MZ)]
本章的拓展閱讀包括兩個(gè)部分: 一是對信息系統(tǒng)審計(jì)的介紹;二是應(yīng)用“七步流程法”開展計(jì)算機(jī)數(shù)據(jù)審計(jì)的示例。
[MZ(3]1.3.1信息系統(tǒng)審計(jì)[MZ)]
信息系統(tǒng)審計(jì)是通過對被審計(jì)單位信息系統(tǒng)的調(diào)查和了解,對系統(tǒng)控制及系統(tǒng)功能的分析和測評,綜合評價(jià)信息系統(tǒng)能否滿足安全性、有效性和經(jīng)濟(jì)性的目標(biāo),促進(jìn)被審計(jì)單位完善信息系統(tǒng)控制,防范業(yè)務(wù)風(fēng)險(xiǎn);加強(qiáng)信息系統(tǒng)運(yùn)行管理,規(guī)范業(yè)務(wù)行為;促進(jìn)提高信息系統(tǒng)運(yùn)行效率和投資效益。
以下介紹對信息系統(tǒng)安全性、有效性、經(jīng)濟(jì)性檢查的建議和常用方法。
1. 檢查信息系統(tǒng)的安全性
檢查的對象包括: 局域網(wǎng)、廣域網(wǎng)、因特網(wǎng)接入網(wǎng)等網(wǎng)絡(luò);服務(wù)器、存儲、網(wǎng)絡(luò)及安全、計(jì)算機(jī)終端等設(shè)備;操作系統(tǒng)、中間件、數(shù)據(jù)庫、應(yīng)用等軟件;機(jī)房、電源、空調(diào)、安防等條件環(huán)境。針對這些系統(tǒng)要素,檢查被審計(jì)單位是否制定了安全管理制度并得到貫徹執(zhí)行;信息系統(tǒng)設(shè)計(jì)是否符合國家等級保護(hù)、分級保護(hù)要求;對關(guān)鍵的數(shù)據(jù)信息資源是否采取了適當(dāng)?shù)谋Wo(hù)措施;數(shù)據(jù)信息物理訪問、邏輯訪問安全措施是否適當(dāng)有效;系統(tǒng)安全員、安全審計(jì)員履行職責(zé)是否到位;防病毒木馬、防網(wǎng)絡(luò)攻擊等安全措施是否落實(shí);防火、防雷、防盜等安全設(shè)施是否有效。
檢查信息系統(tǒng)的安全性要突出重點(diǎn),講求實(shí)效,根據(jù)系統(tǒng)的規(guī)模大小、被審計(jì)單位業(yè)務(wù)對信息系統(tǒng)的依賴程度,評估其采取的安全措施,評價(jià)安全缺陷可能造成的損害,實(shí)事求是地提出審計(jì)整改意見。
2. 檢查信息系統(tǒng)的有效性
檢查的對象包括: 業(yè)務(wù)流程還原或者再造、關(guān)鍵節(jié)點(diǎn)控制等規(guī)范管理的功能;避免重復(fù)操作、自動批量處理等提高效率的功能;數(shù)據(jù)同源,消除空間局限、實(shí)現(xiàn)遠(yuǎn)程處理等共享信息的功能;接口及邏輯處理正確、真實(shí)記錄經(jīng)濟(jì)活動等數(shù)據(jù)的功能。針對這些功能要素,檢查被審計(jì)單位系統(tǒng)軟件、關(guān)鍵業(yè)務(wù)應(yīng)用軟件功能是否能夠滿足業(yè)務(wù)開展的需要;信息系統(tǒng)日常操作管理、配置管理、問題管理等是否有效;數(shù)據(jù)、參數(shù)的生成、存儲、傳輸、處理等是否進(jìn)行適當(dāng)有效的控制;不同系統(tǒng)之間是否建立有效控制的數(shù)據(jù)接口;檢查是否存在基礎(chǔ)信息混亂、信息無法共享等問題;檢查信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃是否能夠保障關(guān)鍵業(yè)務(wù)的持續(xù)運(yùn)行,電子數(shù)據(jù)備份是否符合相關(guān)規(guī)定,是否能夠保障數(shù)據(jù)及時(shí)、地恢復(fù)。
檢查信息系統(tǒng)的有效性要緊密結(jié)合審計(jì)目標(biāo),突出重點(diǎn),注意對業(yè)務(wù)流程和關(guān)鍵控制節(jié)點(diǎn)進(jìn)行分析,從中查找信息系統(tǒng)有效性可能存在的缺陷,防患于未然,發(fā)揮“免疫系統(tǒng)”功能。在數(shù)據(jù)審計(jì)中發(fā)現(xiàn)異常時(shí),要注意從信息系統(tǒng)功能中排查原因,揭示信息系統(tǒng)舞弊,打擊利用信息系統(tǒng)漏洞的違法犯罪活動。對于信息系統(tǒng)功能存在缺陷,有礙被審計(jì)單位管理制度落實(shí),甚至危及信息安全、經(jīng)濟(jì)安全的,要提出整改要求。
3. 檢查信息系統(tǒng)的經(jīng)濟(jì)性
檢查的對象包括: 項(xiàng)目建議書、可行性研究報(bào)告、初步設(shè)計(jì)等項(xiàng)目建設(shè)文檔;實(shí)施、驗(yàn)收過程;建設(shè)投入;使用狀況;滿意度等。針對這些項(xiàng)目要素,檢查項(xiàng)目建設(shè)文檔確定的建設(shè)目標(biāo)與被審計(jì)單位業(yè)務(wù)的符合程度,建設(shè)目標(biāo)能否帶來合理的回報(bào)或推動業(yè)務(wù)發(fā)展;檢查立項(xiàng)、審批、招標(biāo)、實(shí)施、驗(yàn)收等項(xiàng)目建設(shè)環(huán)節(jié)過程是否存在浪費(fèi)、損失、舞弊現(xiàn)象;交付成果與建設(shè)目標(biāo)的符合程度,如有調(diào)整則檢查是否有利于建設(shè)目標(biāo)優(yōu)化;投資是否超預(yù)算;交付成果與投資的性價(jià)比;投資結(jié)構(gòu)調(diào)整是否有利于優(yōu)化性價(jià)比;交付成果的利用率;交付成果對核心業(yè)務(wù)流程的覆蓋率;被審計(jì)單位工作人員使用交付成果的比例。
檢查信息系統(tǒng)的經(jīng)濟(jì)性要以評價(jià)性價(jià)比為核心,關(guān)注項(xiàng)目對提高被審計(jì)單位工作效率、加強(qiáng)內(nèi)部管理控制的作用,相對于投入資金是否物有所值。
在檢查信息系統(tǒng)相關(guān)審計(jì)事項(xiàng)時(shí),面談詢問法、調(diào)查問卷法、文件審閱法、實(shí)地觀察法等通常使用的審計(jì)方法仍可使用,此外還要結(jié)合檢查工作的需要,有所選擇地學(xué)習(xí)、采用檢查信息系統(tǒng)相關(guān)審計(jì)事項(xiàng)所特有的審計(jì)方法,主要有下面幾種。
1. 流程圖檢查法
通過繪制或者檢查被審計(jì)單位提供的流程圖,加深對信息系統(tǒng)結(jié)構(gòu)的理解,分析信息系統(tǒng)的運(yùn)行過程,關(guān)注信息系統(tǒng)控制節(jié)點(diǎn)和控制條件,追蹤業(yè)務(wù)樣本,從而評估信息系統(tǒng)控制是否存在明顯錯(cuò)誤或者缺陷。
2. 測試數(shù)據(jù)法
根據(jù)審計(jì)人員對被審計(jì)單位信息系統(tǒng)業(yè)務(wù)或者管理流程的理解,設(shè)計(jì)專門的測試數(shù)據(jù),在系統(tǒng)中模擬業(yè)務(wù)的處理全過程,并將測試數(shù)據(jù)的模擬處理結(jié)果與預(yù)期處理結(jié)果進(jìn)行比較核對,從而判斷信息系統(tǒng)的功能與控制是否存在明顯錯(cuò)誤或者缺陷。
3. 平行模擬法
分別用被審計(jì)單位在用程序、審計(jì)人員另行準(zhǔn)備的程序?qū)Ρ粚徲?jì)單位的真實(shí)業(yè)務(wù)數(shù)據(jù)進(jìn)行處理,將二者運(yùn)行的結(jié)果進(jìn)行比對,從而判斷邏輯處理功能是否存在明顯錯(cuò)誤或者缺陷。
4. 源代碼檢查法
有重點(diǎn)地抽查若干程序源代碼的片段,從而判斷金額計(jì)算、業(yè)務(wù)授權(quán)等關(guān)鍵數(shù)據(jù)處理是否存在明顯錯(cuò)誤或者缺陷。
5. 日志分析法
運(yùn)用數(shù)據(jù)審計(jì)技術(shù)和軟件,對信息系統(tǒng)自動記錄的日志進(jìn)行篩選分析,檢查有無未經(jīng)授權(quán)的進(jìn)入、非法修改刪除數(shù)據(jù)等異常操作,從而判斷信息系統(tǒng)的運(yùn)行管理是否存在明顯錯(cuò)誤或者缺陷。
在確保安全的條件下,審計(jì)人員可以有選擇地使用比較成熟而且被業(yè)界認(rèn)為安全的系統(tǒng)漏洞掃描、信息捕獲工具和軟件。審計(jì)人員在檢查網(wǎng)絡(luò)、服務(wù)器、防火墻等設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫等軟件的安全性和性時(shí),也可以直接使用其自帶的命令、檢測診斷工具進(jìn)行審計(jì)測試。
此外,在審計(jì)實(shí)踐中應(yīng)注意區(qū)分計(jì)算機(jī)數(shù)據(jù)審計(jì)與計(jì)算機(jī)信息系統(tǒng)審計(jì)之間的區(qū)別和聯(lián)系。
先說區(qū)別。
首先是審計(jì)對象不同。計(jì)算機(jī)數(shù)據(jù)審計(jì)的對象是信息系統(tǒng)存儲和處理的電子數(shù)據(jù),計(jì)算機(jī)信息系統(tǒng)審計(jì)的對象是存儲和處理電子數(shù)據(jù)的計(jì)算機(jī)信息系統(tǒng)。
其次是工作的側(cè)重點(diǎn)不同。計(jì)算機(jī)數(shù)據(jù)審計(jì)是通過對電子數(shù)據(jù)的采集、轉(zhuǎn)換、整理、驗(yàn)證和分析,幫助審計(jì)人員掌握總體情況,發(fā)現(xiàn)審計(jì)線索,收集審計(jì)證據(jù),從而形成審計(jì)結(jié)論,實(shí)現(xiàn)審計(jì)目標(biāo)。計(jì)算機(jī)數(shù)據(jù)審計(jì)的前提是被審計(jì)單位提供的電子數(shù)據(jù)是真實(shí)、完整的。計(jì)算機(jī)信息系統(tǒng)審計(jì)是通過對信息系統(tǒng)的調(diào)查與了解,對系統(tǒng)控制及其功能的分析與測評,綜合評價(jià)一個(gè)計(jì)算機(jī)信息系統(tǒng)是否能夠滿足安全性、性與經(jīng)濟(jì)性目標(biāo),是否能夠提供真實(shí)、完整的業(yè)務(wù)數(shù)據(jù)。
是使用的技術(shù)方法不同。計(jì)算機(jī)數(shù)據(jù)審計(jì)主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、驗(yàn)證和分析相關(guān)的技術(shù)和方法,包括審計(jì)數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計(jì)中間表技術(shù)、審計(jì)模型構(gòu)建技術(shù)以及能夠?qū)?shù)據(jù)進(jìn)行有效分析的各種數(shù)據(jù)分析方法。計(jì)算機(jī)信息系統(tǒng)審計(jì)主要采用系統(tǒng)分析和系統(tǒng)評價(jià)的技術(shù)和方法。為了了解系統(tǒng)情況,需要采用調(diào)查了解的方法;為了獲取審計(jì)證據(jù),需要采用測試的方法。在調(diào)查、了解、分析和測試的基礎(chǔ)上,綜合運(yùn)用系統(tǒng)評價(jià)的方法得出信息系統(tǒng)審計(jì)的結(jié)論。
再說聯(lián)系。
雖然計(jì)算機(jī)數(shù)據(jù)審計(jì)和計(jì)算機(jī)信息系統(tǒng)審計(jì)存在以上差別,但是它們是同一事物的兩個(gè)方面,不能將它們?nèi)藶楦盍验_來。首先,信息系統(tǒng)是電子數(shù)據(jù)存儲和處理的環(huán)境,電子數(shù)據(jù)不能獨(dú)立于信息系統(tǒng)存在,信息系統(tǒng)中存在的問題必然會反映到電子數(shù)據(jù)中,有什么樣的信息系統(tǒng),就有什么樣的電子數(shù)據(jù)。因此,計(jì)算機(jī)數(shù)據(jù)審計(jì)發(fā)現(xiàn)的問題可以作為計(jì)算機(jī)信息系統(tǒng)審計(jì)的參考和線索。其次,電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)。信息系統(tǒng)的功能眾多,但是實(shí)現(xiàn)這些功能的載體都是電子數(shù)據(jù),離開了電子數(shù)據(jù),信息系統(tǒng)的功能便無從談起。從這個(gè)角度看,不同的電子數(shù)據(jù)在信息系統(tǒng)中具有不同的地位和作用,有的是完成業(yè)務(wù)運(yùn)行的,一般稱為業(yè)務(wù)數(shù)據(jù),有的是完成系統(tǒng)控制的,一般稱為控制數(shù)據(jù),有的是描述系統(tǒng)本身的,一般稱為元數(shù)據(jù)。因此在信息系統(tǒng)審計(jì)中要特別注意對不同類型電子數(shù)據(jù)的分析和處理,由此來獲取審計(jì)證據(jù)。在信息系統(tǒng)審計(jì)中用到測試方法時(shí),經(jīng)常要構(gòu)造一些虛擬的業(yè)務(wù)數(shù)據(jù)。
