27用于数据分析的CAATsIntosaiCommunityPortaldoc.docx
《27用于数据分析的CAATsIntosaiCommunityPortaldoc.docx》由会员分享,可在线阅读,更多相关《27用于数据分析的CAATsIntosaiCommunityPortaldoc.docx(21页珍藏版)》请在冰豆网上搜索。
27用于数据分析的CAATsIntosaiCommunityPortaldoc
INTOSAIIT审计委员会
计算机辅助审计技术(CAATS)
学员资料
2004年9月
简介
本教程的编写初衷和教学目标
编写本教程是为了向大家介绍计算机辅助审计技术(CAATs)。
目的是为了使审计人员能够理解在何时、何地,可以使用哪些CAAT工具。
本教程并不具体针对某种软件工具,也不涉及CAATs的开发。
然而,可以利用某些具体的软件工具资料做为本教程的补充。
这类资料可以通过以下途径取得:
∙市场上销售的或EDP委员会专门开发的完整培训教程,或者是
∙不同国家审计机关提供的具体案例。
尽管这种案例不会象培训教程那样具有一般性,但它们可以通过在不同环境下的实际工作经验,为各国审计机关提供有益的指导。
这些案例可能是针对某种软件工具或是针对某个审计领域。
虽然本教程中也会涉及一点程序的检查,但主要还是集中在CAATs在数据分析中的运用。
数据下载是IT审计人员在使用CAATs过程中的一个重要步骤,该部分内容将会在另一个独立的教程中讨论,本教程不包括这方面的内容。
在学完本教程之后,学员们应该能够理解如下内容:
∙CAATS的作用:
CAATS在审计过程中发挥作用的途径;
∙CAATS的种类:
用于程序检查和数据分析的CAATs的之间的区别,和两种常用的CAATs,以及与数据分析相关的一些关键问题;
∙CAATs的使用条件:
适于使用CAATs的条件,以及将CAATs引入审计机关的方法;
∙CAATs职能的组织:
可以选择的不同CAATs职能组织方式,以及在做出选择时应考虑的相关因素;
∙数据的访问:
访问客户数据的方法,以及这些方法之间的优缺点;
∙一种分阶段的使用CAATs的方法,以及不同阶段的详细介绍;
∙数据选择的相关问题;
∙数据分析的常用工具;
∙与数据下载相关的一些关键问题,以及…..
∙CAATs的设计和文档记录的相关问题。
CAATs的作用
我们可以将计算机辅助审计技术或CAATs定义为:
为了提高审计过程的效果和效率而使用的基于计算机的工具;另外一种定义是:
审计人员使用计算机作为工具,进行数据采集和分析工作的相关技术。
本教程不涉及那些单纯用于行政事务管理的软件工具,而只包括那些可以使审计工作更加有效的软件工具。
必须指出的是,CAATs的使用并未改变审计的目标,而只是改变了审计的方法。
当今,许多甚至说是绝大多数信息处理环境下,审计证据要么无法以纸质文档的形式存在,要么是根据电子数据打印出来(因此可靠性会降低)。
因此,审计人员不得不依靠CAATs才能搜集到充分、相关及可靠的证据。
被审计单位最初使用电子数据处理的时期,审计人员将IT系统当作一个黑箱,实施“绕过计算机审计”。
经过了若干年的发展审计人员(包括最高审计机关)能够运用CAATs,对被审计单位的电子数据实施“通过计算机的审计”。
这种趋势不仅为审计的实施阶段,也为审计的计划阶段带来好处。
虽然使用CAATs的初衷集中在财务审计和合规性审计,但随着最高审计机关的审计性质和审计重点的改变,CAATs越来越多用于效益审计和案件调查审计中,并发挥了积极的作用。
在审计的计划阶段,(使用CAATs)着眼于如何提高审计效果,如:
∙重大/重要的趋势和规律可能更加直观地显现出来,并使得下一步的审计工作重点更加突出,无论是手工审计还是计算机化的审计。
∙由于被审计单位在开始审计之前就可以提供电子数据,审计人员就有了在数据上“自由发挥”的能力。
这方面的作用不可低估,尤其是在效益审计和案件调查审计项目中。
在审计的实施阶段,通常是着重于如何提高审计的效率:
∙提高审计的覆盖面-包括深度和广度;
∙节省时间和成本;
∙提出更加复杂的审计问题,并提高分析能力;
∙为创新审计方法提供更多机会。
CAATS种类
程序审查与文件审查
在审计工作中,可以将CAATS分为两个不同的领域:
∙程序审查
∙数据分析
从广义上讲,针对计算机程序的CAATs关注于对计算机程序的不同处理过程进行审查。
从理论上讲这种审查可以覆盖整个计算机程序,当然这种情况在实践中很难实现。
另一方面,针对数据的CAATs只关注数据分析,而不关注产生数据的计算机程序。
这倒不一定是说,数据分析的CAATs只能用于实质性测试,而针对计算机程序的CAATs就只能用于基于系统的审计。
计算机程序的审查一般只用于合规性审计或者最多能用于财务证实性审计,数据分析可以用于效益审计和案件调查审计。
实际上,数据分析用在评估控制的实际效果方面也十分有用,并不一定只依靠对程序的分析(对程序的分析只是IT控制的一个方面)。
一般来说,使用针对计算机程序的CAATs需要较高的专业技术水平,以及与被审计单位的技术环境相关的专门知识和技能。
这对于许多最高审计机关来说可能并不一定是可行的,尤其是对于那些缺少IT审计专家(对应于INTOSAIIT审计教学大纲中描述的技术水平的第3级)的审计机关来说。
同样,计算机程序分析一般只用于合规性审计或者最多能用于财务证实性审计,数据分析用于效益审计和案件调查审计十分有效。
因此,在大多数据情况下,运用CAATs进行数据分析不仅更加可行,而且可以用于更加广泛的领域。
用于计算机程序分析的CAATs
这方面的CAATs可以归为以下几类:
检查数据流
∙快照
∙追踪
∙映像
检查数据和文件的完整性
∙平行模拟
∙测试数据生成器和整体测试工具
嵌入审计模块
∙系统控制审计复查文件(SCARF)
∙样本审计复查文件(SARF)
其他工具
∙源代码检查
∙程序库分析
∙代码比较
∙用户日志分析
检查数据流
快照(Snapshot)-是一种实用工具软件,审计人员可以用它将一个计算机程序在某一点冻结。
这样就可以检查交易的值和运行的程序所完成的处理。
快照是一种快速和相对容易的工具,但它的功能有限,而且只能针对具体的软件。
快照的典型例子是,在程序中加入一个代码行,以便将程序中断并输出某个特定变量的值。
另一个例子是开发工具所提供的程序排错功能,它可以使程序在规定的模式下运行;每一步都可以对不同的数据值进行检查。
追踪(Tracing)-这种方法涉及生成一个完整的审计轨迹,以便在处理过程中对交易进行追踪。
通过追踪,可以看到每一个代码行对所处理的数据产生的效果或者程序本身的结果。
如果一个程序不能正确地将交易汇总,通过追踪的方法就可以发现错误出现在哪里。
追踪的主要优点是,这种方法可以使审计人员看到程序运行的不同阶段,而这种阶段的变化在正常情况下是非常快的。
追踪方法的缺点是,这种方法要求审计人员具有编程的知识,而且不同的软件的追踪功能也各不相同。
映像(Mapping)-这种方法涉及对程序的执行进行监视,以取得某些统计信息。
如:
未被执行的程序代码、某些特定的代码行执行的次数等等。
审计人员可以通过映像功能发现冗余代码或用于舞弊目的的代码。
检查数据和文件的完整性
平行模拟(ParallelSimulation)-使用这种工具,审计人员可以对所测试的应用程序或其中的一部分进行再次执行。
平行模拟法的使用包括建立另外一套独立的代码,来模拟所要测试的功能。
平行模拟的结果可以与应用程序的处理结果进行比较。
这种方法的好处在于它可以证明系统中计算或处理过程的准确性,而不对系统本身产生影响。
采用这种方法,审计人员需要对系统非常了解,并具备丰富的编程经验。
测试数据生成器(TestDataGenerators)和整体测试工具(IntegratedTestFacilities)-这种工具可以根据审计人员的要求生成测试数据。
这是一种证明被测试的应用软件能够正确地处理数据的好方法。
采用这种方法,审计人员需要对被测试的应用软件非常了解,而且必须确保生成的测试数据不能对系统中的真实数据产生影响。
整体测试工具由应用软件自己产生,而测试数据生成器在应用软件之外产生数据记录。
这种测试的结果必须从最终报告只清除,不然汇总结果将受到影响。
要想设计出能够对应用软件控制进行全面测试所需的数据组合通常也是比较困难的。
2.5嵌入审计模块
在审计人员不需要客户应用系统中产生的全部数据的情况下,可以使用这种方法。
嵌入审计模块可以按照一定的标准从系统中提出信息,以便使审计人员做进一步的测试。
嵌入审计模块也可以在应用系统运用期间执行某些功能。
例如,可以用它来清除审计人员为了证明系统有效性而植入的测试数据。
嵌入审计模块有以下三方面的优点:
∙审计人员可以得到一个数据文件,其中只包括与审计切实相关的信息;
∙可以就测试记录从应用系统中删除,以免计算的汇总结果;
∙可以在预定的某一点按照审计人员要求的格式提取到变化不定的数据(随着程序的运行而变化或后续程序将数据改变)。
嵌入审计模块的缺点存在于以下三个方面:
∙如果审计人员想要编写一个嵌入审计模块,就必须对系统有十详细的了解并掌握编程技巧;
∙如果是由被审计单位的人替审计人员编写,则编程要求必须准确并且容易实现。
客户通常需要预约对程序进行改动的日期,这会耽误取得审计所需要的信息;
∙审计人员必须有办法确保从中提取数据或从中抽样的数据文件是完整的。
由被审计单位人员编写嵌入审计模块,就相当于被审计单位可以进行相同的审计工作,而这是审计人员的责任。
采用嵌入审计模块方法的两个特例是系统控制审计检查文件(SCARF)和抽样审计检查文件(SARF):
∙SCARF方法是将审计人员确定的合理性测试植入应用程序中,随着程序的运行,那些不合理的交易就会被复制到一个专门的文件中以供审计人员随后审查。
∙SARF方法与SCARF方法相类似,它只是随机地抽取数据而不是根据设定的合理性条件来抽取数据。
2.6其他工具
源代码审查(SourceCodeReviews):
审计人员可以尝试审查程序源代码的片断。
一般来说,审查全部的源代码是不切实际的;审计人员通常是重点审查几个感兴趣的片断,如:
金额的计算、关键逻辑点。
程序库分析(ProgramLibraryAnalysis):
在程序输出结果中出现异常变化时,审计人员可以通过分析程序修改的记录,确定问题的潜在原因。
代码比较(CodeComparison):
审计人员将应用软件的源代码或目标代码与可靠保存的原始版本进行比较。
审计人员也常常有兴趣去发现实际运行的经编译的程序(目标代码)是否真的源自于源代码的主版本。
这样就可能发现舞弊人员的篡改或错误,以保证正在使用的是软件的最新版本。
用户日志分析软件(UserLogAnalysisSoftware):
这种方法可以发现XX的进入尝试或非法口令。
大多数系统都有一个用户进入和登录尝试的记录日志。
这个文件通常是简单的文本文件,可以方便地使用文件审查软件或自己的程序进行审查。
2.7用于数据分析的CAATs
CAATs其它方面的用途就是分析被审计单位的数据。
由于这方面的应用相对容易掌握,这就使这方面的应用占了CAATs应用的绝大部分。
有许多审计软件和SQL查询工具可以用于数据分析,一般用于个人电脑系统。
这些工具适用于合规性审计、效益审计、案件调查审计和财务审计。
常用的数据分析技术包括以下几个方面:
汇总(Totalling):
这是一种用来证明账户完整和进行调节对账的技术;
分层(Stratification):
可以给审计人员描绘出一个文件中的不同的数值的更加完整的图像,以便进行更加复杂的审查及更快地显示文件中可能存在的问题;
数据挖掘(Datamining):
可以用来进行比较和趋势分析,以找出可以进一步分析和测试的领域;
抽样(Sampling):
审计人员可以用这种技术从文件中抽取代表性的交易样本;
例外报告(Exceptionreporting):
选取记录及按照一定的条件选择抽取数据记录以便进一步分析;
重复记录检查(Duplicaterecordchecks):
查找错误的支付或可能的舞弊行为;
账龄分析(Ageing):
可以显示在一定的期间内支付的规律。
对交易的收据日和支付日之间的时段进行监控。
这在货币价值审计(如:
支付系统是否能完全发挥作用?
)中十分有用;
断号查找(Gapdetection):
显示在一串连续的号码中缺失的号码。
可以用于发现漏掉的交易或舞弊行为;
重新计算(ReperformanceofCalculations):
可以用来证明处理数据中所使用的公式的正确性。
可以对输入数据再次处理,以证明控制功能切实发挥作用及处理的准确性,例如,根据交易数据重新生成资产负债表和利润表等财务报表,并与原来打印出来的版本进行对比。
2.8数据分析–问题探讨
审计人员依赖数据分析的结果做出审计结论会存在潜在的风险。
这些风险受到下列因素的影响:
∙审计人员是否仅仅依靠数据分析来查找审计发现?
或者是审计人员是否还通过非计算机化的审计测试来为CAATs提供必要的补充证据?
审计人员是否通过核对纸质文档来对数据分析的结果进行了交叉验证(或者至少抽几个例子来验证)?
∙审计人员是否执行IT系统的控制检查,以评估进入系统或由系统处理的数据的可靠性?
审计人员是否通过与控制总数调节等方式对下载的数据的完整性进行了检查?
∙审计人员对被单位的计算机系统,尤其是数据,理解到什么程度?
这种理解是否与审计单位的系统文档资料进行了核对,或与被审计单位的人员进行了讨论?
∙审计人员对CAAT工具掌握到什么程度?
审计人员接受了多大程度培训以及有多少使用这种软件工具的经验?
∙是否有正式的有关保证数据分析质量的方法?
这种方法一般应涉及(a)监督和复查,(b)同业复查。
使用CAATs进行数据分析中要考虑的问题
何时使用CAATs数据分析
虽然使用CAATs进行数据分析可以为审计机关带来一些好处,但我们还是建议在具体的审计环境中使用CAATs时,首先要进行正式的成本–效益分析。
这种分析通常只是做一个定量的评估。
尽管如此,它还是有助于对要产生的好处和成本设定一个更为现实的期待。
主要的成本是为了准备使用CAAT所涉及的相关资源的成本;这些资源涉及到如下几个方面:
∙为理解IT系统所做的工作;
∙确定使用哪种CAAT工具以及数据访问或传输的方式;
∙下载数据,进行下载检验/核对。
这种成本从本质上说属于固定成本,一般与数据审查的量和程度无关。
在权衡是否要使用CAATs时,需要考虑以下几个重要因素:
∙在未来审计中要重复使用CAATs,对于审计机关来说这是很重要的一点,因为审计机关通常与被审计单位会有一个长期的审计关系(与民间审计事务所不同);
∙审计的重要程度很高,或者是已经确认的高风险审计领域;
∙被审计单位核心业务(而不是单纯的行政管理领域,如:
财务、人事、存货等)的计算机化,可能是实时的或在线的交易处理;
∙相关的非计算机化的审计技术不现实或成本很高。
何时使用CAATs进行程序分析
决定是否使用CAATs进行程序分析要考虑如下重要因素:
∙应用程序执行关键任务;
∙无法依靠数据分析提供有关控制是否充分有效的保证。
将CAATs引入审计机关
许多最高审计机关,尤其是那些规模较小、财政和人力资源有限的审计机关在工作大多还一直采用手工审计技术。
在需要采用CAATs的情况下,需要以一种有计划的、系统的和分阶段的方式将CAATs引入审计机关:
∙开始使用计算机软件工具来进行一些事务性工作,如:
审计计划、管理和报告,以及办公自动化:
∙在一个试点项目中使用CAATs完成数据提取和分析;
∙然后有选择地在一些审计项目中使用;
∙最后,在所有的审计项目中使用CAATs,并将其作为一种常规的审计方法。
如下几个重要因素值得考虑:
∙取得高层领导的肯定和支持;
∙用户培训;
∙质量保证机制;
∙资金,包括直接和间接成本。
CAATs职能的组织
审计机关可以采用几种不同的方式来组织自己的CAATs职能;正如第3部分谈到的,由于CAATs涉及到多方面的功能,这一点就显得十分重要:
∙设立一个CAATs专家组,由他们为普通审计人员下载客户的数据、开发和使用CAATs;
∙培训一线审计人员,使他们能够独立完成上述工作;
∙上面两种方式结合,同时设立一个职能部门-CAATs专家支持小组,由他们负责客户数据下载,由审计人员负责运用CAATs。
CAATs的开发可以由CAATs专家组负责,也可以由审计部门负责,或者是两家共同负责;
∙一线审计人员负责简单的CAAT审计业务,复杂的CAATs运用由专家负责或由专家提供支持。
在这方面,审计机关应考虑如下几个方面的重要因素:
∙哪些是关键的制约条件?
对业务数据的了解,还是IT系统方面的及CAATs工具方面的技术知识。
∙CAATs在目前和未来的使用量和程度;
∙是不是一次性的任务?
如果能够重复使用,由一线审计人员使用CAATs可能更符合成本效益原则;
∙CAAT工具的复杂程度,例如,对编程的要求有多高;
∙审计机关内部CAAT的技术水平以及外包CAATs专家支持职能的范围,全部或是部分。
如果在CAATs专家组和一线审计人员之间进行职责分工,下列问题需要考虑:
∙与被审计单位保持联系,尤其是与IT部门之间在数据下载、操作以及取得必要的数据文档资料的问题上;
∙CAATs专家组与一线审计人员之间的配合,以保证CAAT符合一线审计人员的要求;
∙下载得到的数据和CAAT实施文档的管理的归档。
6.数据访问
从大的方面讲,审计人员可以采用两种方式使用CAATs分析客户的数据:
∙在被审计单位的IT系统上运行CAAT,直接在被审计单位的PC机或终端上运行或是将审计人员的计算机连接到被审计单位的网络上;
∙数据数据下载到审计人员的IT系统上,然后在审计人员的计算机上运行CAAT。
上述两种方式各有优缺点。
由于技术平台不同等原因,在审计单位的IT系统上安装CAAT软件的方式不一定行得通。
审计人员通常可以利用审计单位系统中已经存在的软件工具,而不是将审计机关的CAAT软件安装到被审计单位的系统上。
审计人员需要广泛地熟悉在客户IT环境中可能使用的软件工具。
而且,在被审计单位的系统上直接运行CAATs软件会带来潜在的风险,对被审计单位的系统的正常运行产生干扰,影响被审计单位的系统性能和数据的完整性(被审计单位的数据可能在不经意间被修改或删除)。
如果采用将审计人员的计算机与被审计单位的IT系统之间进行数据连接的方式,这种问题也有可能发生。
另一个角度来看,这种办法至少可以保证数据的完整性,因为CAAT直接在现行的生产数据上运行。
最常用的做法是将数据下载到审计人员的IT系统中,通常是PC机上。
审计人员只需熟悉PC机上的审计软件即可,这些软件对用户来说一般都比较方便。
同时,采用这种方式也不会对被审计单位的信息处理设施造成负面的影响。
然而,将数据转换成便于审计人员审查的格式的过程通常是复杂和繁琐的。
由于审计人员的数据处理条件的限制,有时使用下载的数据进行审计的效率可能也不会很高。
同时,对于下载过程需要有一种质量保证检查,以确保数据的完整性。
在数据下载不可行或不切合实际的情况下,还得采用其他的审计方法,即便是这些方法并不理想。
7.分阶段使用CAATs的方法
在审计中有系统地计划和管理CAATs通常要以分阶段的方式进行:
计划阶段(通常比实施阶段花的时间长)
∙决定使用CAATs
∙CAAT的使用范围;估计需要的资源/时间
∙选择需要的数据
∙选择使用哪种软件工具
实施阶段
∙数据下载
∙CAATs的设计、测试和运行
∙CAAT的文档编写
∙后期检查
8.
数据的选取
CAAT必须与审计目标紧密相关,还应尽量避免下载过多的无关数据。
然而,在有些情况下,简单地将被单位的数据表或字段都下载过来会更加容易,过多的数据选择工作可能要花更多的时间和资源。
一般来讲,在财务审计和合规性审计中对数据选取的选择性要求更多一些。
而在效益审计和案件调查审计中,审计人员更倾向于挖掘数据以发现趋势性的规律。
如果可能的话,审计人员应尽量选择与原始交易最为接近的数据(如交易文件/表,或主文件/表,而不是汇总数据或次要文件/表)以使数据的处理程度最小。
“遗留”系统(很早以前开发并一直在用)一般以“平面文件”的格式存储数据,而现代的系统一般以关系型数据库管理系统的形式存储数据。
平面文件系统中的每个文件是独立的,可以单独下载和分析,关系型数据库管理系统以内部关联的表的形式存储数据。
审计人员通常需要选取若干数据表才能涉足分析数据的要求。
为了选取所需的数据,审计人员应从业务的角度,而不是技术的角度,对被审计单位可能提供的数据进行深入的了解。
这种了解可以通过两种途径获得,一个是关于数据结构的系统文档和与被审计单位的工作人员讨论(尤其是IT部门和“系统所有者”)。
另一个是审计人员以前对系统的检查结果。
9.数据分析工具
数据分析工具可以分为以下几类:
∙通用审计软件;
∙SQL和基于SQL的工具;
∙MicrosoftAccess;以及……
∙其他工具,如:
电子表格。
9.1通用审计软件
这类审计软件是已经开发好的软件包,专门为审计人员设计。
可以用在许多不同的技术环境中。
两种主流的通过审计软件分别是IDEA(InteractiveDataExtractionandAnalysis)和ACL(AuditCommandLanguage),这两种软件都有在Windows环境下运用的版本。
这些软件具有下列功能:
∙抽样:
包括计划、样本选取和分析;几种抽样方法(属性抽样、变量抽样、货币单位抽样),也支持分层抽样和样本选取方法(随机选样、系统选样);
∙连续性检查、断号查找及重复查找;
∙汇总;
∙文件比较;
∙例外报告;
∙重新计算。
两种软件都可以导入和导出多种格式的数据。
其他通用审计软件工具包括:
∙Prospector:
属于文件下载和文件审查工具;
∙CA-PanauditPlus:
可以PC机和大型机系统上运行。
9.2SQL和基于SQL的工具
SQL(结构化查询语言–读作“sequel”)是一种应用广泛于关系型数据库管理系统的数据定义和操纵语言。
几个国家的和国际性的组织,包括美国国家标准委员会(ANSI)和国际标准化组织(ISO)都定义和发布了SQL标准,这些标准都得到了各家关系型数据库管理系统产品的支持,包括桌面型数据库,如:
MicrosoftAccess。
从审计人员的观点来看,SQL是比较容易掌握的工具,适合于审查采用关系型数据库管理系统的应用软件。
它主要有以下几方面的优点:
∙在传统的编程语言中,需要指定数据的处理过程,但在SQL中无需这样做。
SQL是一种“非过程的”语言。
审计人员在SELECT语句中只需只指定所需的数据和需要满足的条件就可以从数据表中找出所需的数据记录,无需设置复杂的循环过程;
∙SQL标准受到几乎所有关系型数据库产品供应商的支持(他们还以自己的各自方式在标准的SQL基础上做一些补充),包括桌面型产品,如:
MicrosoftAccess。
这样,审计人员在使用标准的SQL时就不必了解不同的关系型数据库产品的具体细节,并且可以在所有的平台上运行同样的SQL查询;
∙流行的关系型数据库产品,如Oracle或MicrosoftSQLServer还提供便于用户使用的具有复杂功能的SQL工具。
这些工具提供操作简单的图形化界面来方便人们创建和执行查
升级会员 