本書是近年來審計數(shù)據(jù)采集與分析實踐的經(jīng)驗總結(jié)和理論提升。全書分三篇共9章,重點介紹審計數(shù)據(jù)采集與分析的理論和實務(wù)。篇是基礎(chǔ)篇,主要介紹實施審計數(shù)據(jù)采集與分析的必備知識;第二篇是審計數(shù)據(jù)采集篇,主要介紹審計數(shù)據(jù)采集以及采集之后的清理、轉(zhuǎn)換、驗證等數(shù)據(jù)維護(hù)工作的技術(shù)方法;第三篇是審計數(shù)據(jù)分析篇,主要介紹審計數(shù)據(jù)分析的技術(shù)方法,重點闡述查詢型分析、驗證型分析和發(fā)掘型分析在審計中的應(yīng)用。 本書對于從事政府審計、內(nèi)部審計和社會審計工作的審計人員,學(xué)習(xí)研究審計數(shù)據(jù)采集與分析理論及應(yīng)用的高校和科研院所的相關(guān)人員,以及對審計數(shù)據(jù)采集與分析感興趣的其他人員有參考價值。 隨書附帶光盤提供了“審計數(shù)據(jù)采集分析2012”正式版軟件,可供讀者在學(xué)習(xí)和工作中使用。
審計數(shù)據(jù)采集與分析(配光盤)(審計署計算機審計中級培訓(xùn)系列教材)內(nèi)容翔實、實用性強,力求為審計一線業(yè)務(wù)人員提供一本實用的培訓(xùn)教材,使他們能夠快速掌握審計數(shù)據(jù)采集與分析的基礎(chǔ)知識和操作技能,用本書介紹的技術(shù)和方法有效開展工作。本書穿插介紹了許多實用的專題,包括數(shù)據(jù)采集的容錯方法、數(shù)據(jù)庫表結(jié)構(gòu)的批量漢化方法、Oracle數(shù)據(jù)庫DMP文件恢復(fù)法、SAP ERP數(shù)據(jù)采集方法等,同時還對審計實踐中經(jīng)常用到的T\|SQL函數(shù)、PL\|SQL函數(shù)給出了詳細(xì)的使用說明,目的是使審計人員在實際工作中遇到問題時,可將本書當(dāng)作一本備查的工具書,易學(xué)、易懂、易用,能夠快速上手入門。
目錄
及時篇基礎(chǔ)篇
第1章審計數(shù)據(jù)采集與分析概述1
1.1引言1
1.2七步流程法3
1.2.1調(diào)查階段3
1.2.2數(shù)據(jù)采集4
1.2.3數(shù)據(jù)清理、轉(zhuǎn)換、驗證4
1.2.4建立審計中間表5
1.2.5把握總體,選擇重點6
1.2.6建模分析6
1.2.7疑點延伸、落實、取證6
1.3拓展閱讀6
1.3.1信息系統(tǒng)審計7
1.3.2“七步流程法”應(yīng)用案例9
思考題13
第2章被審計單位的電子數(shù)據(jù)14
2.1被審計單位電子數(shù)據(jù)存儲的數(shù)據(jù)庫15
2.1.1Oracle15
2.1.2Microsoft SQL Server16
2.1.3Microsoft Access17
2.1.4其他數(shù)據(jù)庫19
2.2被審計單位的信息系統(tǒng)21
2.2.1信息系統(tǒng)的技術(shù)架構(gòu)21
2.2.2信息系統(tǒng)的開發(fā)方法23
2.2.3信息系統(tǒng)的開發(fā)流程27
2.2.4信息系統(tǒng)的技術(shù)文檔31
2.3拓展閱讀39
思考題50
第3章電子數(shù)據(jù)采集與分析技術(shù)原理51
3.1電子數(shù)據(jù)采集技術(shù)原理51
3.1.1審計接口原理51
3.1.2據(jù)庫訪問技術(shù)56
3.2電子數(shù)據(jù)分析技術(shù)原理72
3.2.1SQL的起源73
3.2.2SQL的特點73
3.2.3SQL基本語法74
3.3拓展閱讀77
3.3.1《財經(jīng)信息技術(shù)會計核算軟件數(shù)據(jù)接口》國家標(biāo)準(zhǔn)77
3.3.2常用的TSQL函數(shù)80
思考題97
第二篇審計數(shù)據(jù)采集篇
第4章審計數(shù)據(jù)采集98
4.1數(shù)據(jù)采集綜述99
4.1.1數(shù)據(jù)選擇策略99
4.1.2數(shù)據(jù)采集策略100
4.2業(yè)務(wù)數(shù)據(jù)采集105
4.2.1非數(shù)據(jù)庫數(shù)據(jù)采集105
4.2.2數(shù)據(jù)庫數(shù)據(jù)采集125
4.3財務(wù)數(shù)據(jù)采集141
4.4拓展閱讀141
4.4.1ERP數(shù)據(jù)采集策略141
4.4.2特殊格式文本的采集技術(shù)145
4.4.3容錯數(shù)據(jù)采集技術(shù)147
4.4.4Oracle數(shù)據(jù)恢復(fù)常見問題157
思考題158
第5章審計數(shù)據(jù)維護(hù)160
5.1數(shù)據(jù)維護(hù)綜述160
5.1.1數(shù)據(jù)清理策略161
5.1.2數(shù)據(jù)轉(zhuǎn)換策略161
5.1.3數(shù)據(jù)驗證策略163
5.2數(shù)據(jù)清理163
5.2.1數(shù)據(jù)清理原因164
5.2.2數(shù)據(jù)清理方法166
5.3數(shù)據(jù)轉(zhuǎn)換168
5.3.1數(shù)據(jù)轉(zhuǎn)換原因171
5.3.2數(shù)據(jù)轉(zhuǎn)換方法172
5.4數(shù)據(jù)驗證177
5.4.1數(shù)據(jù)驗證原因181
5.4.2數(shù)據(jù)驗證方法182
5.5審計中間表185
5.6拓展閱讀187
5.6.1數(shù)據(jù)轉(zhuǎn)換規(guī)則187
5.6.2數(shù)據(jù)轉(zhuǎn)換實例190
思考題194
第三篇審計數(shù)據(jù)分析篇
第6章審計數(shù)據(jù)分析綜述196
6.1審計數(shù)據(jù)分析創(chuàng)新197
6.2審計數(shù)據(jù)分析內(nèi)容198
6.3審計數(shù)據(jù)分析模型198
6.4審計數(shù)據(jù)分析方法205
6.4.1查詢型分析206
6.4.2驗證型分析206
6.4.3發(fā)掘型分析206
6.5拓展閱讀207
6.5.1常用PLSQL函數(shù)207
6.5.2PL/SQL Developer在64位服務(wù)器上的配置211
思考題214
第7章查詢型分析215
7.1查詢型分析特點215
7.2查詢型分析技術(shù)216
7.2.1表連接技術(shù)216
7.2.2子查詢技術(shù)219
7.3查詢型分析應(yīng)用221
7.3.1賬戶信息查詢221
7.3.2固定資產(chǎn)折舊審計224
7.3.3某煙廠銷售收入真實性審計225
7.3.4車輛購置附加費審計230
7.3.5企業(yè)生產(chǎn)成本審計235
7.3.6中央稅收收入審計241
7.4拓展閱讀248
7.4.1家電以舊換新合規(guī)性分析249
7.4.2鐵路貨運計劃審批導(dǎo)向性和合規(guī)性分析255
7.4.3超規(guī)劃撤并學(xué)校疑點分析260
7.4.4借助地理信息挖掘?qū)W校環(huán)境污染線索分析265
7.4.5運用各類學(xué)校撤并數(shù)量加權(quán)分析確定選點276
思考題291
第8章驗證型分析292
8.1聯(lián)機在線分析處理技術(shù)292
8.1.1多維分析技術(shù)293
8.1.2OLAP的關(guān)鍵特性296
8.1.3OLAP的實現(xiàn)方式297
8.1.4OLAP的實現(xiàn)技術(shù)300
8.2數(shù)據(jù)倉庫技術(shù)301
8.2.1數(shù)據(jù)倉庫的概念301
8.2.2數(shù)據(jù)倉庫的特征301
8.2.3數(shù)據(jù)倉庫的體系結(jié)構(gòu)303
8.2.4數(shù)據(jù)倉庫的數(shù)據(jù)組織方式304
8.3拓展閱讀305
8.3.1OLAP系統(tǒng)KCuber305
8.3.2ETL系統(tǒng)KFusion310
思考題313
第9章發(fā)掘型分析314
9.1數(shù)據(jù)挖掘概念315
9.2數(shù)據(jù)挖掘特點315
9.3數(shù)據(jù)挖掘分類316
9.4數(shù)據(jù)挖掘方法316
9.5數(shù)據(jù)挖掘應(yīng)用319
9.6數(shù)據(jù)挖掘工具320
9.7數(shù)據(jù)挖掘辨析321
9.8拓展閱讀322
9.8.1數(shù)據(jù)挖掘系統(tǒng)KMiner323
9.8.2商業(yè)智能329
思考題338
附錄“審計數(shù)據(jù)采集分析2012”簡介339
A.1功能簡介339
A.2操作說明340
A.2.1啟動和退出軟件340
A.2.2主窗口340
A.2.3主菜單及其用法341
A.2.4工具欄的內(nèi)容及用法344
A.3典型界面344
A.3.1數(shù)據(jù)庫登錄345
A.3.2項目視圖345
A.3.3數(shù)據(jù)視圖345
A.3.4查詢生成器346
A.3.5數(shù)據(jù)導(dǎo)入向?qū)?47
A.3.6數(shù)據(jù)分析工具347
A.3.7項目(組)模板管理器348
A.3.8數(shù)據(jù)結(jié)構(gòu)漢化349
參考文獻(xiàn)352
審計數(shù)據(jù)采集與分析第1章審計數(shù)據(jù)采集與分析概述[MZ(1]及時篇基礎(chǔ)篇[MZ)]
本篇共包含3章,主要介紹審計數(shù)據(jù)采集與分析概述、被審計單位的電子數(shù)據(jù)、電子數(shù)據(jù)采集與分析技術(shù)原理。本篇給出了實施審計數(shù)據(jù)采集與分析所必需的知識儲備。
[MZ(1]第1章審計數(shù)據(jù)采集與分析概述[MZ)]
本章要點
七步流程法
& 調(diào)查階段
& 數(shù)據(jù)采集
& 數(shù)據(jù)清理、轉(zhuǎn)換、驗證
& 建立審計中間表
& 把握總體,選擇重點
& 建模分析
& 疑點延伸、落實、取證
拓展閱讀
& 信息系統(tǒng)審計的安全性、有效性、經(jīng)濟(jì)性
& 信息系統(tǒng)審計和數(shù)據(jù)審計辨析
[MZ(2]1.1引言[MZ)]
審計實務(wù)和計算機技術(shù)的結(jié)合,在中國是隨著20世紀(jì)80年代末90年代初開始的會計信息化而逐步加深的。20世紀(jì)90年代信息技術(shù)突飛猛進(jìn),金融、財政、海關(guān)、稅務(wù)等部門,民航、鐵道、電力、石化等關(guān)系國計民生的重要行業(yè)開始廣泛運用計算機、數(shù)據(jù)庫、網(wǎng)絡(luò)等信息技術(shù)進(jìn)行管理,國家機關(guān)、企事業(yè)單位會計電算化趨向普及。被審計單位管理存儲財政、財務(wù)信息的手段發(fā)生了質(zhì)的變化,報表、賬簿、憑證等審計人員熟悉的紙質(zhì)資料以電子數(shù)據(jù)的形式重新組織管理,審計人員面臨“進(jìn)不了門、打不開賬”的尷尬局面。
審計對象的信息化,客觀上要求審計機關(guān)具備運用計算機技術(shù),檢查被審計單位經(jīng)濟(jì)活動的能力,發(fā)揮審計監(jiān)督的應(yīng)有作用。20世紀(jì)末,時任審計署審計長的李金華同志指出“審計人員如果不掌握計算機將失去審計的資格”,首次將計算機審計上升到審計人員必備的專業(yè)技能的高度。
為了應(yīng)對信息化對于傳統(tǒng)審計的挑戰(zhàn),計算機審計應(yīng)運而生。在世紀(jì)之交那個風(fēng)云際會的年代,計算機審計要解決的最急迫的問題是實現(xiàn)協(xié)助審計人員審查被審計單位的電子賬這個技術(shù)問題。
1999年,審計署組織開發(fā)了“審計數(shù)據(jù)采集分析”“審計數(shù)據(jù)采集分析”歷經(jīng)1.0、2.0、3.0三個版本的升級,目前近期版是“審計數(shù)據(jù)采集分析2012”。軟件。該軟件吸取了加拿大審計軟件ACL和IDEA系統(tǒng)化的優(yōu)點,是一個基于Microsoft SQL Server數(shù)據(jù)庫管理系統(tǒng)的通用審計軟件。“審計數(shù)據(jù)采集分析”軟件成功實現(xiàn)了對電子賬簿數(shù)據(jù)的獲取,并支持對電子數(shù)據(jù)的查詢、分析、統(tǒng)計和計算。運用該軟件,審計人員在對被審計單位財務(wù)和業(yè)務(wù)等電子數(shù)據(jù)的審計過程中逐漸掌握了主動。
在實現(xiàn)財務(wù)電子數(shù)據(jù)審查的同時,新的問題也隨之出現(xiàn): 僅審查被審計單位的財務(wù)數(shù)據(jù)是否足夠,業(yè)務(wù)電子數(shù)據(jù)怎么辦?需不需要審查?如何審查?舉個例子,當(dāng)審計人員對中國鐵路總公司(即原鐵道部)進(jìn)行審計時,當(dāng)需要反映貨運系統(tǒng)中罐車、敞車等車皮調(diào)度的真實性、合理性時,僅審查財務(wù)數(shù)據(jù)是不夠的,對于貨運系統(tǒng)中的業(yè)務(wù)電子數(shù)據(jù)的審查是必不可少的。因此,計算機審計的范疇從財務(wù)數(shù)據(jù)的審查拓寬到對財務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)都要進(jìn)行審查。這也就是計算機審計的及時層含義,對電子數(shù)據(jù)的審計,或者也可以稱為計算機數(shù)據(jù)審計。
目前,計算機審計實務(wù)主要包括計算機數(shù)據(jù)審計和信息系統(tǒng)審計。
計算機數(shù)據(jù)審計是指運用計算機審計技術(shù)對信息系統(tǒng)中所存儲和處理的電子數(shù)據(jù)進(jìn)行的審計,這些信息系統(tǒng)不但包括被審計單位與財政收支、財務(wù)收支有關(guān)的計算機信息系統(tǒng),還包括來自被審計單位之外的,與被審計單位有關(guān)的,從不同的角度體現(xiàn)被審計單位實際經(jīng)營情況的方方面面的信息,如來自工商系統(tǒng)、國稅系統(tǒng)、地稅系統(tǒng)、電力系統(tǒng)、社保系統(tǒng)等信息系統(tǒng)記錄的被審計單位的工商注冊情況、納稅申報情況、生產(chǎn)用電情況、為職工繳納社保情況等。計算機數(shù)據(jù)審計從技術(shù)上講主要包括通過對來自被審計單位內(nèi)部和外部相關(guān)的電子數(shù)據(jù)進(jìn)行采集、轉(zhuǎn)換、清理、驗證和分析,幫助審計人員掌握總體情況,發(fā)現(xiàn)審計線索,收集審計證據(jù),形成審計結(jié)論,實現(xiàn)審計目標(biāo)。
信息系統(tǒng)審計是通過對被審計單位信息系統(tǒng)的調(diào)查和了解,對系統(tǒng)控制及系統(tǒng)功能的分析和測評,綜合評價信息系統(tǒng)能否滿足安全性、有效性和經(jīng)濟(jì)性的目標(biāo),促進(jìn)被審計單位完善信息系統(tǒng)控制,防范業(yè)務(wù)風(fēng)險;加強信息系統(tǒng)運行管理,規(guī)范業(yè)務(wù)行為;促進(jìn)提高信息系統(tǒng)運行效率和投資效益。信息系統(tǒng)審計的更多知識請參看本章的拓展閱讀部分1.3.1節(jié)的相關(guān)內(nèi)容。
本書的重點在于闡述計算機數(shù)據(jù)審計的兩個重要組成部分: 審計數(shù)據(jù)采集和審計數(shù)據(jù)分析。
審計數(shù)據(jù)采集,指的是宏觀意義上的采集,它既包括將來自外部的電子數(shù)據(jù)采集到審計人員的計算機系統(tǒng)中,也包括電子數(shù)據(jù)獲取之前對于需要獲取的存儲電子數(shù)據(jù)的信息系統(tǒng)及使用信息系統(tǒng)的單位的調(diào)查研究,還包括電子數(shù)據(jù)獲取之后對于獲取到的電子數(shù)據(jù)進(jìn)行數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)驗證,以提高數(shù)據(jù)質(zhì)量,并生成適合審計數(shù)據(jù)分析的審計中間表。
審計數(shù)據(jù)分析,指的也是宏觀意義上的分析,它從已建立的審計中間表入手,根據(jù)審計中間表的內(nèi)容,對審計目標(biāo)進(jìn)行總體分析,把握被審計單位的總體情況,找準(zhǔn)薄弱環(huán)節(jié),確定審計重點;對各審計重點建立分析模型,撰寫分析語句,發(fā)現(xiàn)審計疑點;將發(fā)現(xiàn)的疑點交給審計核實組去審計現(xiàn)場完成對疑點的延伸、落實和取證工作。
從計算機數(shù)據(jù)審計的流程實現(xiàn)的角度上講,審計數(shù)據(jù)采集和審計數(shù)據(jù)分析的具體內(nèi)容可以概括為七個階段的工作,簡稱“七步流程法”。這七個階段的工作如下。
及時階段: 調(diào)查階段;
第二階段: 數(shù)據(jù)采集;
第三階段: 數(shù)據(jù)清理、轉(zhuǎn)換、驗證;
第四階段: 建立審計中間表;
第五階段: 把握總體,選擇重點;
第六階段: 建模分析;
第七階段: 疑點延伸、落實、取證。
[MZ(2]1.2七步流程法[MZ)]
“七步流程法”是計算機數(shù)據(jù)審計的一套完整的程序和流程。
[MZ(3]1.2.1調(diào)查階段[MZ)]
調(diào)查階段,審計人員應(yīng)根據(jù)審計工作方案中審計目標(biāo)的要求收集被審計單位相關(guān)業(yè)務(wù)系統(tǒng)的技術(shù)文檔,以詳細(xì)了解系統(tǒng)的數(shù)據(jù)庫和數(shù)據(jù)情況,并在此基礎(chǔ)上提出審計數(shù)據(jù)需求說明書交由被審計單位提供數(shù)據(jù)。
在調(diào)查階段,應(yīng)當(dāng)了解被審計單位的組織結(jié)構(gòu),掌握計算機系統(tǒng)在組織內(nèi)部的總體應(yīng)用情況。根據(jù)審計目標(biāo),選擇那些對實現(xiàn)審計目標(biāo)有重要影響的計算機信息系統(tǒng)(即信息系統(tǒng)對被審計單位業(yè)務(wù)支持程度高,被審計單位業(yè)務(wù)對信息系統(tǒng)的依賴程度高)作為深入調(diào)查的子系統(tǒng)或功能,進(jìn)行、詳細(xì)的調(diào)查了解。調(diào)查了解的內(nèi)容應(yīng)包括軟硬件情況、系統(tǒng)的開發(fā)情況和有關(guān)技術(shù)文檔,系統(tǒng)的運行、維護(hù)、配置、管理情況,系統(tǒng)的功能、數(shù)據(jù)情況等。還可以包括業(yè)務(wù)系統(tǒng)的名稱、版本、開發(fā)商、功能等內(nèi)容,特別是業(yè)務(wù)系統(tǒng)自身是否有將業(yè)務(wù)數(shù)據(jù)導(dǎo)出的功能,如果可以導(dǎo)出,應(yīng)了解導(dǎo)出文件的數(shù)據(jù)格式。
對計算機數(shù)據(jù)審計而言,數(shù)據(jù)情況調(diào)查是重點。
數(shù)據(jù)情況調(diào)查的主要任務(wù)是搞清楚被審計單位各業(yè)務(wù)系統(tǒng)存儲和處理電子數(shù)據(jù)的基本情況。調(diào)查工作的一般思路是: 審計目標(biāo)→審計內(nèi)容與重點→審計內(nèi)容所涉及的信息系統(tǒng)→與信息系統(tǒng)相關(guān)的電子數(shù)據(jù)。
數(shù)據(jù)情況調(diào)查是對信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)進(jìn)行、深入認(rèn)識和了解的過程,因此必須首先調(diào)查了解信息系統(tǒng)的業(yè)務(wù)流程。要詳細(xì)了解被審計單位業(yè)務(wù)環(huán)節(jié)的具體操作方式和目的,必要時可以根據(jù)了解的情況繪制業(yè)務(wù)流程圖,目的是使審計人員有一個初步的審計思路,更好地設(shè)計切實可行的審計方案,同時初步確定數(shù)據(jù)采集的范圍。
在理解業(yè)務(wù)流程的基礎(chǔ)上,還應(yīng)進(jìn)一步理解數(shù)據(jù)流程,從而了解系統(tǒng)應(yīng)該生成哪些數(shù)據(jù)以及數(shù)據(jù)的生成過程、來源、去向等情況,為提出數(shù)據(jù)需求和下一步的數(shù)據(jù)分析工作打下基礎(chǔ)。
在數(shù)據(jù)情況調(diào)查過程中,審計人員應(yīng)將相關(guān)的技術(shù)文檔盡量收集齊全,以便詳細(xì)了解系統(tǒng)的數(shù)據(jù)庫和數(shù)據(jù)情況。數(shù)據(jù)庫及數(shù)據(jù)的說明信息都包含在這些技術(shù)文檔中。審計人員應(yīng)當(dāng)首先閱讀各種設(shè)計說明書,了解數(shù)據(jù)庫總體結(jié)構(gòu),包括數(shù)據(jù)庫總體布局、各級服務(wù)器上的數(shù)據(jù)庫系統(tǒng)的名稱、版本、內(nèi)容、各數(shù)據(jù)庫之間的關(guān)系等總體情況。在此基礎(chǔ)上進(jìn)一步了解數(shù)據(jù)庫中數(shù)據(jù)表的具體情況等內(nèi)容,以便根據(jù)審計需求確定從哪一層次采集數(shù)據(jù)、采集哪些數(shù)據(jù)庫的數(shù)據(jù),甚至可確定采集哪個數(shù)據(jù)庫中的哪些表。通過對表間關(guān)系和表結(jié)構(gòu)描述的了解,可以為后續(xù)的數(shù)據(jù)轉(zhuǎn)換和創(chuàng)建審計中間表工作打好基礎(chǔ)。
在上述工作的基礎(chǔ)上,應(yīng)提出審計數(shù)據(jù)需求說明書交由被審計單位提供數(shù)據(jù)。審計數(shù)據(jù)需求說明書中應(yīng)指定數(shù)據(jù)采集的系統(tǒng)名稱、數(shù)據(jù)庫名稱(必要時可以到需要采集的數(shù)據(jù)表的名稱)、數(shù)據(jù)采集的具體方式、數(shù)據(jù)傳輸?shù)母袷健⑺钄?shù)據(jù)的時間段、數(shù)據(jù)交付的方式、數(shù)據(jù)交付的期限和其他注意事項等內(nèi)容。
[MZ(3]1.2.2數(shù)據(jù)采集[MZ)]
數(shù)據(jù)采集,在調(diào)查階段提出數(shù)據(jù)需求的基礎(chǔ)上,按照審計目標(biāo),采用一定的工具和方法對被審計單位信息系統(tǒng)中的電子數(shù)據(jù)以及來自被審計單位之外的,與被審計單位有關(guān)的,從不同的角度體現(xiàn)被審計單位實際經(jīng)營情況的電子數(shù)據(jù)進(jìn)行采集。
數(shù)據(jù)采集可分兩步實現(xiàn): 及時步是通過調(diào)查階段掌握的信息來選擇需要采集的電子數(shù)據(jù);第二步是通過一定的技術(shù)和手段實現(xiàn)對目標(biāo)數(shù)據(jù)的采集,及時獲取、完整的電子數(shù)據(jù)。常用的數(shù)據(jù)采集策略有三種: 一是通過數(shù)據(jù)接口采集;二是直接復(fù)制;三是通過備份文件恢復(fù)。
對被審計單位信息系統(tǒng)中的電子數(shù)據(jù)的采集一般需要在被審計單位技術(shù)人員的配合支持下完成。對來自被審計單位之外的,與被審計單位有關(guān)的,從不同的角度體現(xiàn)被審計單位實際經(jīng)營情況的電子數(shù)據(jù),如果審計單位的審計數(shù)據(jù)分中心已經(jīng)積累了這部分的電子數(shù)據(jù),可以由審計組向本單位提出申請,調(diào)出這部分電子數(shù)據(jù);如果尚未掌握這部分電子數(shù)據(jù),應(yīng)通過正規(guī)途徑盡可能協(xié)調(diào)相關(guān)單位,獲取這部分電子數(shù)據(jù)。
[MZ(3]1.2.3數(shù)據(jù)清理、轉(zhuǎn)換、驗證[MZ)]
在實際工作中,經(jīng)常需要將來源眾多的被審計單位電子數(shù)據(jù)集成到一起進(jìn)行分析和處理。由于被審計單位數(shù)據(jù)來源繁雜,數(shù)據(jù)格式不統(tǒng)一,信息表示代碼化,數(shù)據(jù)在采集和處理過程中可能失真,被審計單位可能有意更改、隱瞞數(shù)據(jù)真實情況等諸多影響因素,對采集到的電子數(shù)據(jù)必須進(jìn)行清理、轉(zhuǎn)換、驗證,使得數(shù)據(jù)能為審計所用。
數(shù)據(jù)清理是指為提高數(shù)據(jù)質(zhì)量而對缺失的、不的、不一致的有質(zhì)量問題的電子數(shù)據(jù)進(jìn)行處理。通常,通過重復(fù)記錄的識別與清理、缺失數(shù)據(jù)的補充、空值處理等操作可以提高數(shù)據(jù)質(zhì)量。
數(shù)據(jù)轉(zhuǎn)換包括數(shù)據(jù)庫格式的轉(zhuǎn)換以及數(shù)據(jù)內(nèi)容的轉(zhuǎn)換。數(shù)據(jù)庫格式的轉(zhuǎn)換要求將采集到的來源于被審計單位不同類型數(shù)據(jù)庫格式的電子數(shù)據(jù)統(tǒng)一存儲為一種數(shù)據(jù)庫格式。數(shù)據(jù)內(nèi)容轉(zhuǎn)換要求對采集到的原始數(shù)據(jù)的含義進(jìn)行識別,明確地標(biāo)識出每張表、每個字段的經(jīng)濟(jì)含義及其相互之間的關(guān)系。通常,通過數(shù)據(jù)類型轉(zhuǎn)換、日期/時間格式的轉(zhuǎn)換、代碼轉(zhuǎn)換、值域轉(zhuǎn)換可以實現(xiàn)數(shù)據(jù)內(nèi)容的轉(zhuǎn)換。
數(shù)據(jù)驗證貫穿數(shù)據(jù)采集、數(shù)據(jù)清理、數(shù)據(jù)轉(zhuǎn)換的全過程。
在數(shù)據(jù)采集階段,數(shù)據(jù)驗證要檢查被審計單位提供資料的完整性,保障數(shù)據(jù)采集工作有效地進(jìn)行,同時對采集到的數(shù)據(jù)進(jìn)行確認(rèn),排除遺漏和失誤。
在數(shù)據(jù)清理階段,數(shù)據(jù)驗證要確認(rèn)數(shù)據(jù)清理工作沒有損害數(shù)據(jù)整體的完整性和正確性。
在數(shù)據(jù)轉(zhuǎn)換階段,審計人員會將原始電子數(shù)據(jù)中表名、字段名、記錄值代碼以及表表關(guān)聯(lián)的經(jīng)濟(jì)含義明確標(biāo)識出來,這需要進(jìn)行大量的查詢、替換修改、插入數(shù)據(jù)、更新數(shù)據(jù)、刪除數(shù)據(jù)等操作,每一步轉(zhuǎn)換工作都有可能影響數(shù)據(jù)的完整性和正確性,因此應(yīng)在這一階段進(jìn)行數(shù)據(jù)驗證,以確保數(shù)據(jù)轉(zhuǎn)換工作未對電子數(shù)據(jù)引入新的錯誤。
[MZ(3]1.2.4建立審計中間表[MZ)]
建立審計中間表,對獲得的電子數(shù)據(jù)按審計需求進(jìn)行投影、連接等“再加工”,從電子數(shù)據(jù)中選擇滿足審計需要的精簡的數(shù)據(jù)集合,生成審計中間表,為建立審計分析模型形成數(shù)據(jù)基礎(chǔ)。
審計中間表是利用被審計單位數(shù)據(jù)庫中的基礎(chǔ)電子數(shù)據(jù),按照審計人員的審計要求,由審計人員構(gòu)建,可供審計人員進(jìn)行數(shù)據(jù)分析的新型審計工具。
通常在設(shè)計數(shù)據(jù)庫的時候要對數(shù)據(jù)進(jìn)行范式分解。范式分解這種規(guī)范化過程會將描述一個業(yè)務(wù)對象的數(shù)據(jù)分解成關(guān)系數(shù)據(jù)庫中的多個邏輯表,這些表之間存在一定的關(guān)聯(lián)關(guān)系。要利用被審計單位數(shù)據(jù)庫中的數(shù)據(jù)來實現(xiàn)審計分析,必須對清理、轉(zhuǎn)換、驗證后的電子數(shù)據(jù)按審計需求進(jìn)行投影、連接等“再加工”,從電子數(shù)據(jù)中選擇出滿足審計需要的較為精簡的數(shù)據(jù)集合,生成一系列中間數(shù)據(jù)表——審計中間表。審計中間表是審計人員建立審計分析模型的基礎(chǔ)。
建立審計數(shù)據(jù)中間表是一個循序漸進(jìn)的過程。在對數(shù)據(jù)進(jìn)行清理、轉(zhuǎn)換、驗證后,就應(yīng)考慮設(shè)計出初步的審計中間表,此時的主要工作是幫助審計人員選定審計所需的基礎(chǔ)性數(shù)據(jù),如去掉與審計無關(guān)的字段、建立表與表之間的基本連接等。這一階段創(chuàng)立的中間表稱為基礎(chǔ)性中間表。在建立分析模型進(jìn)行具體的數(shù)據(jù)分析時,還要建立分析性中間表,即按照審計分析模型,對基礎(chǔ)性中間表再進(jìn)行字段選擇、連接等處理,以幫助審計人員實現(xiàn)對數(shù)據(jù)的建模分析。
[MZ(3]1.2.5把握總體,選擇重點[MZ)]
把握總體,選擇重點是指根據(jù)審計目標(biāo)進(jìn)行總體分析,把握被審計單位的總體情況,找準(zhǔn)薄弱環(huán)節(jié),確定審計重點,建立審計分析模型以形成較具體的理論指導(dǎo)。
在總體分析時,可以從不同層次、不同角度對被審計單位的電子數(shù)據(jù)進(jìn)行匯總、核對與分析,如進(jìn)行賬表核對、表表核對,也可以建立指標(biāo)或指標(biāo)體系進(jìn)行分析,還可以使用多維分析工具從不同的層次和角度來觀察被審計單位的電子數(shù)據(jù)。這些總體分析的技術(shù)和方法可以幫助審計人員把握被審計單位有關(guān)經(jīng)濟(jì)業(yè)務(wù)的總體情況,尋找薄弱環(huán)節(jié),確定審計重點,避免審計工作的片面性和盲目性。
[MZ(3]1.2.6建模分析[MZ)]
建模分析,在總體分析的基礎(chǔ)上,審計人員需要根據(jù)確定的審計重點,利用審計分析模型進(jìn)行具體的數(shù)據(jù)分析。審計分析模型是審計人員用于數(shù)據(jù)分析的技術(shù)工具,它是按照審計事項應(yīng)該具有的時間或空間狀態(tài)(如趨勢、結(jié)構(gòu)、關(guān)系等),由審計人員通過設(shè)定判斷和限制條件建立起來的一系列數(shù)學(xué)的或邏輯的表達(dá)式,并用于驗證審計事項實際的時間或空間狀態(tài)的技術(shù)方法。在實際工作中,要根據(jù)不同層次的審計需求建立不同層次的審計分析模型。一般而言,有總體分析模型、類別分析模型和個體分析模型。
目前常見的審計分析模型包括根據(jù)法律、法規(guī)和制度規(guī)定的狀態(tài)和關(guān)系來建立;根據(jù)業(yè)務(wù)的邏輯關(guān)系來建立;根據(jù)不同類型數(shù)據(jù)之間的對應(yīng)關(guān)系來建立;根據(jù)審計人員的符合客觀實際的經(jīng)驗來建立;根據(jù)審計人員的合理的預(yù)測來建立等。
[MZ(3]1.2.7疑點延伸、落實、取證[MZ)]
根據(jù)審計分析模型的分析結(jié)果,派出重要問題核實組、重大違法違紀(jì)違規(guī)問題突破組等到被審計單位對疑點進(jìn)行延伸,對發(fā)現(xiàn)的問題線索進(jìn)一步核查、落實并取證。
如果數(shù)據(jù)分析的結(jié)果能直接發(fā)現(xiàn)與核實問題,審計人員可以利用有關(guān)電子數(shù)據(jù)直接取證。這時審計人員應(yīng)將被審計單位提供的原始數(shù)據(jù)、分析處理產(chǎn)生的中間表數(shù)據(jù)以及數(shù)據(jù)分析和處理的過程的語句代碼妥善保存,以便作為審計證據(jù)。如果數(shù)據(jù)分析的結(jié)果僅能揭示問題的線索,不能直接發(fā)現(xiàn)與核實問題,則應(yīng)根據(jù)線索進(jìn)行延伸審計,獲取審計證據(jù)。在編制審計工作底稿時,應(yīng)對數(shù)據(jù)分析的過程、方法、使用的數(shù)據(jù)等情況進(jìn)行詳細(xì)記錄,同時還應(yīng)記錄審計人員對數(shù)據(jù)分析結(jié)果的判斷。
[MZ(2]1.3拓展閱讀[MZ)]
本章的拓展閱讀包括兩個部分: 一是對信息系統(tǒng)審計的介紹;二是應(yīng)用“七步流程法”開展計算機數(shù)據(jù)審計的示例。
[MZ(3]1.3.1信息系統(tǒng)審計[MZ)]
信息系統(tǒng)審計是通過對被審計單位信息系統(tǒng)的調(diào)查和了解,對系統(tǒng)控制及系統(tǒng)功能的分析和測評,綜合評價信息系統(tǒng)能否滿足安全性、有效性和經(jīng)濟(jì)性的目標(biāo),促進(jìn)被審計單位完善信息系統(tǒng)控制,防范業(yè)務(wù)風(fēng)險;加強信息系統(tǒng)運行管理,規(guī)范業(yè)務(wù)行為;促進(jìn)提高信息系統(tǒng)運行效率和投資效益。
以下介紹對信息系統(tǒng)安全性、有效性、經(jīng)濟(jì)性檢查的建議和常用方法。
1. 檢查信息系統(tǒng)的安全性
檢查的對象包括: 局域網(wǎng)、廣域網(wǎng)、因特網(wǎng)接入網(wǎng)等網(wǎng)絡(luò);服務(wù)器、存儲、網(wǎng)絡(luò)及安全、計算機終端等設(shè)備;操作系統(tǒng)、中間件、數(shù)據(jù)庫、應(yīng)用等軟件;機房、電源、空調(diào)、安防等條件環(huán)境。針對這些系統(tǒng)要素,檢查被審計單位是否制定了安全管理制度并得到貫徹執(zhí)行;信息系統(tǒng)設(shè)計是否符合國家等級保護(hù)、分級保護(hù)要求;對關(guān)鍵的數(shù)據(jù)信息資源是否采取了適當(dāng)?shù)谋Wo(hù)措施;數(shù)據(jù)信息物理訪問、邏輯訪問安全措施是否適當(dāng)有效;系統(tǒng)安全員、安全審計員履行職責(zé)是否到位;防病毒木馬、防網(wǎng)絡(luò)攻擊等安全措施是否落實;防火、防雷、防盜等安全設(shè)施是否有效。
檢查信息系統(tǒng)的安全性要突出重點,講求實效,根據(jù)系統(tǒng)的規(guī)模大小、被審計單位業(yè)務(wù)對信息系統(tǒng)的依賴程度,評估其采取的安全措施,評價安全缺陷可能造成的損害,實事求是地提出審計整改意見。
2. 檢查信息系統(tǒng)的有效性
檢查的對象包括: 業(yè)務(wù)流程還原或者再造、關(guān)鍵節(jié)點控制等規(guī)范管理的功能;避免重復(fù)操作、自動批量處理等提高效率的功能;數(shù)據(jù)同源,消除空間局限、實現(xiàn)遠(yuǎn)程處理等共享信息的功能;接口及邏輯處理正確、真實記錄經(jīng)濟(jì)活動等數(shù)據(jù)的功能。針對這些功能要素,檢查被審計單位系統(tǒng)軟件、關(guān)鍵業(yè)務(wù)應(yīng)用軟件功能是否能夠滿足業(yè)務(wù)開展的需要;信息系統(tǒng)日常操作管理、配置管理、問題管理等是否有效;數(shù)據(jù)、參數(shù)的生成、存儲、傳輸、處理等是否進(jìn)行適當(dāng)有效的控制;不同系統(tǒng)之間是否建立有效控制的數(shù)據(jù)接口;檢查是否存在基礎(chǔ)信息混亂、信息無法共享等問題;檢查信息系統(tǒng)災(zāi)難恢復(fù)計劃是否能夠保障關(guān)鍵業(yè)務(wù)的持續(xù)運行,電子數(shù)據(jù)備份是否符合相關(guān)規(guī)定,是否能夠保障數(shù)據(jù)及時、地恢復(fù)。
檢查信息系統(tǒng)的有效性要緊密結(jié)合審計目標(biāo),突出重點,注意對業(yè)務(wù)流程和關(guān)鍵控制節(jié)點進(jìn)行分析,從中查找信息系統(tǒng)有效性可能存在的缺陷,防患于未然,發(fā)揮“免疫系統(tǒng)”功能。在數(shù)據(jù)審計中發(fā)現(xiàn)異常時,要注意從信息系統(tǒng)功能中排查原因,揭示信息系統(tǒng)舞弊,打擊利用信息系統(tǒng)漏洞的違法犯罪活動。對于信息系統(tǒng)功能存在缺陷,有礙被審計單位管理制度落實,甚至危及信息安全、經(jīng)濟(jì)安全的,要提出整改要求。
3. 檢查信息系統(tǒng)的經(jīng)濟(jì)性
檢查的對象包括: 項目建議書、可行性研究報告、初步設(shè)計等項目建設(shè)文檔;實施、驗收過程;建設(shè)投入;使用狀況;滿意度等。針對這些項目要素,檢查項目建設(shè)文檔確定的建設(shè)目標(biāo)與被審計單位業(yè)務(wù)的符合程度,建設(shè)目標(biāo)能否帶來合理的回報或推動業(yè)務(wù)發(fā)展;檢查立項、審批、招標(biāo)、實施、驗收等項目建設(shè)環(huán)節(jié)過程是否存在浪費、損失、舞弊現(xiàn)象;交付成果與建設(shè)目標(biāo)的符合程度,如有調(diào)整則檢查是否有利于建設(shè)目標(biāo)優(yōu)化;投資是否超預(yù)算;交付成果與投資的性價比;投資結(jié)構(gòu)調(diào)整是否有利于優(yōu)化性價比;交付成果的利用率;交付成果對核心業(yè)務(wù)流程的覆蓋率;被審計單位工作人員使用交付成果的比例。
檢查信息系統(tǒng)的經(jīng)濟(jì)性要以評價性價比為核心,關(guān)注項目對提高被審計單位工作效率、加強內(nèi)部管理控制的作用,相對于投入資金是否物有所值。
在檢查信息系統(tǒng)相關(guān)審計事項時,面談詢問法、調(diào)查問卷法、文件審閱法、實地觀察法等通常使用的審計方法仍可使用,此外還要結(jié)合檢查工作的需要,有所選擇地學(xué)習(xí)、采用檢查信息系統(tǒng)相關(guān)審計事項所特有的審計方法,主要有下面幾種。
1. 流程圖檢查法
通過繪制或者檢查被審計單位提供的流程圖,加深對信息系統(tǒng)結(jié)構(gòu)的理解,分析信息系統(tǒng)的運行過程,關(guān)注信息系統(tǒng)控制節(jié)點和控制條件,追蹤業(yè)務(wù)樣本,從而評估信息系統(tǒng)控制是否存在明顯錯誤或者缺陷。
2. 測試數(shù)據(jù)法
根據(jù)審計人員對被審計單位信息系統(tǒng)業(yè)務(wù)或者管理流程的理解,設(shè)計專門的測試數(shù)據(jù),在系統(tǒng)中模擬業(yè)務(wù)的處理全過程,并將測試數(shù)據(jù)的模擬處理結(jié)果與預(yù)期處理結(jié)果進(jìn)行比較核對,從而判斷信息系統(tǒng)的功能與控制是否存在明顯錯誤或者缺陷。
3. 平行模擬法
分別用被審計單位在用程序、審計人員另行準(zhǔn)備的程序?qū)Ρ粚徲媶挝坏恼鎸崢I(yè)務(wù)數(shù)據(jù)進(jìn)行處理,將二者運行的結(jié)果進(jìn)行比對,從而判斷邏輯處理功能是否存在明顯錯誤或者缺陷。
4. 源代碼檢查法
有重點地抽查若干程序源代碼的片段,從而判斷金額計算、業(yè)務(wù)授權(quán)等關(guān)鍵數(shù)據(jù)處理是否存在明顯錯誤或者缺陷。
5. 日志分析法
運用數(shù)據(jù)審計技術(shù)和軟件,對信息系統(tǒng)自動記錄的日志進(jìn)行篩選分析,檢查有無未經(jīng)授權(quán)的進(jìn)入、非法修改刪除數(shù)據(jù)等異常操作,從而判斷信息系統(tǒng)的運行管理是否存在明顯錯誤或者缺陷。
在確保安全的條件下,審計人員可以有選擇地使用比較成熟而且被業(yè)界認(rèn)為安全的系統(tǒng)漏洞掃描、信息捕獲工具和軟件。審計人員在檢查網(wǎng)絡(luò)、服務(wù)器、防火墻等設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫等軟件的安全性和性時,也可以直接使用其自帶的命令、檢測診斷工具進(jìn)行審計測試。
此外,在審計實踐中應(yīng)注意區(qū)分計算機數(shù)據(jù)審計與計算機信息系統(tǒng)審計之間的區(qū)別和聯(lián)系。
先說區(qū)別。
首先是審計對象不同。計算機數(shù)據(jù)審計的對象是信息系統(tǒng)存儲和處理的電子數(shù)據(jù),計算機信息系統(tǒng)審計的對象是存儲和處理電子數(shù)據(jù)的計算機信息系統(tǒng)。
其次是工作的側(cè)重點不同。計算機數(shù)據(jù)審計是通過對電子數(shù)據(jù)的采集、轉(zhuǎn)換、整理、驗證和分析,幫助審計人員掌握總體情況,發(fā)現(xiàn)審計線索,收集審計證據(jù),從而形成審計結(jié)論,實現(xiàn)審計目標(biāo)。計算機數(shù)據(jù)審計的前提是被審計單位提供的電子數(shù)據(jù)是真實、完整的。計算機信息系統(tǒng)審計是通過對信息系統(tǒng)的調(diào)查與了解,對系統(tǒng)控制及其功能的分析與測評,綜合評價一個計算機信息系統(tǒng)是否能夠滿足安全性、性與經(jīng)濟(jì)性目標(biāo),是否能夠提供真實、完整的業(yè)務(wù)數(shù)據(jù)。
是使用的技術(shù)方法不同。計算機數(shù)據(jù)審計主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、驗證和分析相關(guān)的技術(shù)和方法,包括審計數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計中間表技術(shù)、審計模型構(gòu)建技術(shù)以及能夠?qū)?shù)據(jù)進(jìn)行有效分析的各種數(shù)據(jù)分析方法。計算機信息系統(tǒng)審計主要采用系統(tǒng)分析和系統(tǒng)評價的技術(shù)和方法。為了了解系統(tǒng)情況,需要采用調(diào)查了解的方法;為了獲取審計證據(jù),需要采用測試的方法。在調(diào)查、了解、分析和測試的基礎(chǔ)上,綜合運用系統(tǒng)評價的方法得出信息系統(tǒng)審計的結(jié)論。
再說聯(lián)系。
雖然計算機數(shù)據(jù)審計和計算機信息系統(tǒng)審計存在以上差別,但是它們是同一事物的兩個方面,不能將它們?nèi)藶楦盍验_來。首先,信息系統(tǒng)是電子數(shù)據(jù)存儲和處理的環(huán)境,電子數(shù)據(jù)不能獨立于信息系統(tǒng)存在,信息系統(tǒng)中存在的問題必然會反映到電子數(shù)據(jù)中,有什么樣的信息系統(tǒng),就有什么樣的電子數(shù)據(jù)。因此,計算機數(shù)據(jù)審計發(fā)現(xiàn)的問題可以作為計算機信息系統(tǒng)審計的參考和線索。其次,電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)。信息系統(tǒng)的功能眾多,但是實現(xiàn)這些功能的載體都是電子數(shù)據(jù),離開了電子數(shù)據(jù),信息系統(tǒng)的功能便無從談起。從這個角度看,不同的電子數(shù)據(jù)在信息系統(tǒng)中具有不同的地位和作用,有的是完成業(yè)務(wù)運行的,一般稱為業(yè)務(wù)數(shù)據(jù),有的是完成系統(tǒng)控制的,一般稱為控制數(shù)據(jù),有的是描述系統(tǒng)本身的,一般稱為元數(shù)據(jù)。因此在信息系統(tǒng)審計中要特別注意對不同類型電子數(shù)據(jù)的分析和處理,由此來獲取審計證據(jù)。在信息系統(tǒng)審計中用到測試方法時,經(jīng)常要構(gòu)造一些虛擬的業(yè)務(wù)數(shù)據(jù)。
