计算机审计复习.docx

计算机审计复习.docx

《计算机审计复习.docx》由会员分享，可在线阅读，更多相关《计算机审计复习.docx（37页珍藏版）》请在冰豆网上搜索。

计算机审计复习

计算机审计

第一讲综述

一、现代信息技术发展与审计变革

●以计算机应用和国际互联网络为代表的现代信息技术，将会给会计、审计工作带来怎样的影响？

目前还难以做出全面、恰当的评价。

但是，可以肯定的是现代信息技术的广泛应用必将引起会计、审计工作的重大变革。

●审计工作必须应用现代信息技术，正如前国家审计署李金华审计长所说：

“开展计算机审计是一场革命。

如果不搞计算机审计，我们将失去审计资格。

”

二、现代信息技术对会计的影响

1.决策必要的信息可以及时发布

2.有利于基础数据的累积，对中长期财务分析和预测有利

3.数据勾稽关系由计算机软件决定

4.核算过程很难及时控制，大量基础工作下放或远程操作

5.非人为的差错极大地减少

三、现代信息技术对审计的影响

1.审计效率极大的提高，风险控制技术广泛应用

2.审计的范围更广泛，主要包括了对信息系统的审查

3.可以采用遍历方式的审计

4.审计人员的主要作用转变，由防弊差错为主转为以出谋划策为主

5.技术要求更高了

四、审计技术的发展

1.人工方法-----交易项目详细审计

2.人工方法-----资产负债表审计

3.人工方法+数理统计技术------制度基础审计

4.人工方法+数理统计技术------风险基础审计

5.信息技术+资产负债表审计------计算机辅助审计（CAATs）

6.信息技术+制度基础审计------信息系统审计

7.信息技术+风险基础审计------基础数据审计

五、

计算机审计与会计系统信息系统审计

六、

●一个重要的审计假设：

内部控制制度的完善可以减少舞弊或错漏的发生

●重点在内控制度评审，主要技术为测试

●信息系统审计与控制协会（ISACA）

●注册信息系统审计师（CISA）

六、信息系统审计主要方法

1.信息系统的安全与控制测试

2.信息系统的组织与管理测试

3.信息系统的处理过程测试

4.信息系统的完整、保密与有效

5.信息系统软件的开发、取得与维护

七、计算机辅助审计

●绕过计算机审计和通过计算机审计

●利用计算机审计

1）利用计算机完成审计任务

2）审计人员的职业经验占主导地位

3）提高手工审计的效率

4）为计算机审计的发展创造条件

●使用计算机软件帮助审计任务的完成

●审计人员的经验和职业判断占主导地位

●用于审计目的审计软件和测试数据

●通用辅助审计软件包

八、计算机辅助审计新发展

1.实时的在线控制

2.数据仓库和数据挖掘技术的应用

3.人工智能技术的运用

4.数理统计技术的运用

5.基础数据分析技术

6.行为分析技术

九、内部防范计算机犯罪的措施

1.取得高层人士的支持

2.教育训练和宣传安全政策

3.了解安全防范的重要性

4.按全自动化管理和监控

5.采用单点登录架构

6.慎选软件厂商

7.事件日志报告

九、电算化信息系统的内部控制

●电算化信息系统的内部控制框架

●一般控制

1）普通使用与各类组织

2）从信息系统研制开发到实验维护的全过程的控制

3）对整个组织具有普遍性的影响

4）如果控制失效风险较大

●组织控制

1.不相容职务分离

1）程序员与操作员分离

2）信息部门与用户部门分离

3）数据备份与数据使用分离

4）审核与操作分离

5）审计部门与实务部门分离

2.授权管理

1）授权级别划分

2）授权范围控制

3.人员招聘、录用控制

●系统发展控制

1.可行性分析

2.系统发展授权

3.内审人员参与

4.系统调试数据控制

5.系统转换控制

6.系统效益评估

●计算机操作控制

1.系统只用于经过允许的目的，接触计算机操作的只限于经过允许的人员，只用经过允许的程序可以运行，程序运行的错误可以察觉和纠正。

（国际会计准则15号）

2.建立操作制度并实施之

3.包括：

机器操作规则、机器功效标准、作业运行规程、控制台记录规程（日志）、数据文件控制标准、应急措施、物理安全规则等。

●系统软件控制

1.错误处理的控制功能

2.使用权限控制功能

3.防止计算机病毒控制

●数据和程序安全控制

1.实物安全保管制度

2.数据安全制度（防黑客、异地同步备份）

3.系统修改、升级控制

4.使用报告、使用记录

●应用控制

1.适用于具体业务处理的特定控制措施

2.目的是保护数据的完整性、准确性、有效性、可维护性、可审计性。

3.是人机两方面的控制

4.包括输入控制、处理控制、输出控制。

●输入控制

1.输入方式控制

1）网络传输、软盘转录、人工输入、其他

2）原则：

快速、有效、安全

2.输入权限控制

1）输入授权

2）数字签字

3.数据转换控制

4.输入校验（合理性校验、格式校验、关键字校验、依赖性校验、位校验、其他）

●处理控制

1.系统内部核对控制

2.处理适当性、公允性控制

3.溢出控制

4.误操作控制

5.其它

●输出控制

1.输出校验

2.输出格式控制

3.输出文件的修改性控制（一般不可修改）

4.输出前的强制备份

5.输出文件适用控制

6.其它

十一、从审计的发展历程看审计取证模式的发展

●账项基础审计

将反映经济业务的会计账簿作为取证工作的切入点，在规划和实施审计时，工作重点直接放在审计上

●制度基础审计

以内部控制制度评审为基础，程序切入点是被审计单位的内部控制制度。

通过对制度的调查测试评价，来确定帐表余额的检查的广度和深度。

●风险基础审计

是在制度基础审计的基础上，通过在审计过程中引入风险分析和风险控制方法而形成的一种审计模式，切入点由内部控制一项变成内部控制制度（审计客体风险）和风险因素（审计主体风险）两项。

其基本程序未脱离制度基础审计模式。

十二、从计算机审计的发展历程看表现为三层面

●依赖对实用工具、软件的使用

办公自动化--------计算机辅助审计

●侧重技术方法层面，开始真正意义上的计算机审计探索

大型数据库技术--------建模数据分析

●以系统论为指导，计算机审计方式的形成

计算机信息系统数据库底层数据-------计算机审计质量控制模型

第二讲计算机审计的概念、框架和规则

一、计算机审计的概念

●计算机审计是在信息化环境下，计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门新的审计学科。

●计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查评测的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析，发现趋势、异常和错误，把握总体，突出重点，精确延伸，从而搜集审计证据，实现审计目标的审计方式。

二、计算机审计的特征

●以系统论为指导

●审计取证的切入点是信息系统和底层电子数据

●创建审计中间表，构建审计信息系统

●构建模型进行数据分析

三、计算机审计的基本框架

●计算机审计的对象

是被审计单位的财务收支及有关的经济活动

●目前在我国审计客体按审计执行主体的不同分为国家审计客体、社会审计客体、内部审计客体。

●计算机审计的作业模式

1.现场单机审计模式

1）审计人员运用台式或笔记本电脑一个一个独立地开展审计工作

2）灵活方便，适合于被审计单位规模小，数据量小的情况

2.现场网络审计模式

1）审计组在审计现场组建专用的小型局域网，有专用的服务器存放和处理数据，审计人员分设若干个工作站，在网上协同工作

2）适用于被审计单位规模大、数据量大的情况

3）目前海关、金融、企业审计中常用

3.远程网络审计模式

通过设立审计服务器，从被审计单位实时下载数据，远程网上开展审计

●计算机审计的基本方式

1.凭证、账簿、报表三要素

2.审计人员开展计算机审计时，是从分析凭证数据入手的

3.通过对凭证数控进行查询、多维、挖掘分析，找出趋势、异常和错误把握总体、锁定重点、精确延伸，从对凭证数据的分析中筛选问题。

4.根据自己审计认定后的凭证数据独立生成账簿和报表，并与被审计单位提供的资料核对。

●计算机审计的技术方法

1.从数据审计来看：

数据采集转换和清理验证技术、审计中间表创建技术、审计分析模型构建技术、审计数据的分析技术和方法、审计现场组网技术等。

2.从审计系统来看：

学习和借鉴国外经验、借鉴COBIT标准、信息系统审计与数据相结合、业务跟踪法等。

（COBIT：

信息系统和技术控制目标）

●计算机审计的质量控制模型

1.将审计项目按其进行过程先后逻辑顺序，划分为相对独立的三大部分：

审计准备、审计实施、审计完成。

2.过程：

对计算机审计项目的最粗略划分

3.流程：

比过程低一级的审计业务活动

4.任务：

构成流程的一系列细致的审计业务

●计算机审计主体

审计主体，是指在审计活动中主动实施审计行为，行驶审计监督权的审计机构及其审计人员。

审计主体贯穿着审计信息产生过程的始终，对审计信息质量起着决定作用，是制约审计信息质量的第一因素。

●计算机审计执行主体即专门的审计机构和人员。

四、计算机审计规则

●概念：

审计机构和审计人员在计算机审计活动中应当遵循的行为规范和工作标准。

他是审计主体在信息化环境下规范计算机审计活动、提高审计工作质量和效率的重要标准，是对计算机审计行为的约束和指导。

●基本特征

1.计算机审计规则是计算机审计发展到一定阶段的产物

2.计算机审计规则是开展计算机审计工作应当遵循的行为规范

3.计算机审计规则是对审计人员的指导，是计算机审计工作的标准

一、作用

1.规范计算机审计活动，使其步入科学化、制度化、规范化道路

2.提高审计工作质量和效率，降低审计风险

二、体系结构和主要内容

1.计算机审计基本规则

《计算机审计操作规范》，《信息系统审计操作规则》《网上审计操作规则》等

2.计算机审计具体规则

《审计中间表创建和使用管理规范》《数据分析报告攥写规则》等

3.计算机审计相关规则

《审计数字化应用规则》《电子数据归档与管理办法》等

第三讲计算机审计技术和方法

完善审计资源平台，进行系统测评

一、计算机审计流程

●流程图

分析数据并证据证实

二、审前调查

1.审前调查应以审计目的为依据进行。

审计目的决定了调查的范围和内容，审计目的不同，对同一被审计单位调查的范围、内容也会不同。

在进行调查时，应首先对被审计单位组织结构和计算机信息系统总体设置情况有一定的了解，在此基础上对计算机信息系统的软硬件、数据库管理系统等进行逐步深入的调查

2.调查可通过检查、查询、观察等方法进行。

调查的内容和方法

1）对组织结构的调查

a）调查的主要内容：

管理体制、部门设置情况、部门的具体职能、部门内计算机信息系统的情况

b）调查的主要方法：

问卷调查、实地观察

c）对初次审计单位应详细调查，对再次审计单位应着重对组织结构的变化情况进行调查

2）对计算机信息系统的调查

a）调查的主要内容：

硬件设备、软件系统、系统技术、系统的主要功能、系统的业务处理流程

b）调查的主要方法：

向被审计单位计算机技术人员、业务人员询问，实地观察计算机信息系统和检查相关文档

c）调查中应考虑被审单位计算机信息系统的复杂程度。

按审计目标决定详尽程度。

3）对数据库及数据的调查

a）调查的主要内容

b）数据库相关技术情况、系统对业务处理的流程

c）调查的主要方法

d）阅读相关技术文档特别是数据库系统说明，数据字典、系统功能说明书。

e）调查中应注意及与有关人员的沟通

4）缺乏数据库有关技术文档情况下的调查

a）常用财务软件

b）取得相关协助

c）审计人员直接调查数据

三、数据采集

1.数据需求的提出

1）确定所需数据内容

通过讨论提出尽量全面完整的数据要求，防止考虑不周而多次零星提出要求而延误电子数据的提取，使组员了解系统及数据概况，为进一步使用数据，建立数据分析模型奠定基础

2）确定数据获取的具体方式

从技术角度考虑所需能否提取,何种方式提取，具体文件格式，传输介质，数据处理所需时间等。

3）提出书面数据要求

发出书面数据要求说明书，内容一般如下：

被采集的系统名称：

数据的内容；数据格式和传输的方式；时限要求；双方的责任；其他未尽事宜。

2.数据采集

1）是在审前调查提出的数据需求基础上，按照审计目标，采用一定的工具和方法对被审计单位信息系统中的数据库（文件）进行采集的工作

2）数据采集是计算机数据审计是的首要前提和基础

3）其具有明确的选择性、目的性和可操作性

a）选择性

审计人员只采集与审计需求相关的数据

b）目的性

数据此埃及的目的是在掌握第一手资料、把握总体的情况下，为被审单位准备基础数据。

c）可操作性

数据采集的拘束和方法多种多样，但所用的技术和方法都必须是易于操作。

3.数据采集的工具

●可用作数据采集的工具很多，大体来说，可以有这么几大类工具：

1）审计软件

2）DBMS（数据库管理系统）自带工具

用FoxPro直接打开数据表：

用Access2000采集数据：

用MSSQLServe2000采集数据

一些通用的数据分析工具

3）SAS、SPSS、Excel2000“分析工具库”等

4.数据采集的方法和策略

A.被审单位信息系统中的数据系统与审计人员使用的数据库系统相同，或者虽不相同，但审计人员的数据库引擎可以直接访问被审单位信息系统的数据库——直接拷贝和直接读取

直接拷贝和直接读取

1）直接从被审单位信息系统的数据存储目录获取数据

早起单机版会计软件多采用dBase、FoxPro、Access等单机数据库管理系统

利用被审单位信息系统提供的备份工具进行数据采集

对未经加密存储的备份数据直接拷贝：

对加密存储的备份数据，首先在一个模拟复制的被审单位信息系统中恢复备份数据，然后找到恢复后说的数据存储目录获取数据

2）确定源数据库存放位置

通过获取被审单位信息系统的审计文件或数据字典了解其采集数据的源数据库存存放位置：

询问相关人员：

在被审单位信息系统中运行“保存”，“备份”“数据导出”等查看：

输入凭证后退出再查找等

B.被审单位的信息系统已经存在专门的数据接口——直接采集

直接采集

1）利用嵌入式审计模块采集数据

嵌入审计模块指已经写好并嵌入被审单位信息系统，根据审计需求实时对系统处理的每一笔经济业务的数据进行收集的程序代码，有适时的数据接口

2）利用财务软件数据接口标准

中国软件行业协会1998“财务软件数据接口标准”

3）网上现场采集、网上远程采集

利用固定数据接口，通过数据采集工作站和审计数据服务器从被审单位信息系统采集电子数据

C.被审单位的信息系统没有实现数据接口，货实现数据接口但不能满足审计要求——实现临时数据接口

实现临时数据接口:

被审单位的信息系统没有实现数据接口。

或实现了的数据接口单不能满足审计要求，需实现临时的数据接口。

1）使用文件传输方式

如《审计数据采集分析》软件可导入文本文件

2）使用数据库连接件ODBC

为MS开发的访问不同的关系型数据库管理系统的标准接口，在异构数据库服务器构成中，使用ODBC实现对不同数据库如Oracle、Informix、Sybase、DB2等的访问。

D.被审单位按照审计要求讲元数据转换与审计软件要求相一致的格式（文件传输）：

审计人员通过ODBC等数据访问接口直接访问被审单位信息系统的数据并转换（使用数据库连接件）创建ODBC数据源,使用ODBC获取数据

5.数据采集的实现

数据采集的方法和工具很多，但这些方法和工具的实现有赖于具体的传输技术和手段。

1）使用移动存储介质拷贝数据文件

2）通过简单设备监理审计人员的计算机与被审计单位计算机之间的连接

3）将审计人员的计算机接入到被审单位ide局域网

4）通过广域网远程采集数据

一．选择财务软件及其版本

1.用友7.0、8.0、8.11（Access数据库）

2.用友8.2~8.6，用友通（SQLServer数据库）

3.金蝶v6.0、2000（Access数据库）

4.金蝶Kis标准版（Access数据库）

5.金蝶Kis专业版、K3（SQLServer数据库）

6.小蜜蜂v3.*（Access数据库）

7.（小蜜蜂）蜜蜂源2004（Access数据库）

8.Ac99财务软件（Access数据库）

9.降龙99财务软件（Access数据库）

10.灵狐财务软件6.0（Access数据库）

11.灵狐财务软件2000（SQLServer数据库）

12.立成财务软件（数据接口上海市标准）

13.四方财务软件（数据接口上海市标准）

14.久其会计通（数据接口上海市标准）

15.久其财务专业版（数据接口上海市标准）

16.博科B8财务软件（数据接口上海市标准）

17.博科09财务软件（数据接口上海市标准）

18.万能WinFi2000（数据接口上海市标准）

19.速达5000软件（数据接口上海市标准【软件内部模块】）

20.金算盘财务软件（数据接口软件协会98001标准【软件内部模块】）

21.其他如见货版本（浪潮、新中大、速达3000等）导出说明

6.数据采集工具

审易取数工具

A.

1）

2）

B.

1）

2）

3）<审易sqlserver大数据直导>

C.

D.<单机文件型数据库处理>

1）

2）<单机版财务数据文件查找>

3）<国标数据处理>

E.<通用取数工具>

四、数据清理

被审单位数据来源众多，种类复杂，往往存在数据质量问题，从而影响审计结论的准确性。

1.为什么要进行数据清理？

1）值缺失限制了审计人员的数据分析工作

2）数据值域定义的不完整性给数据审计工作带来障碍

3）数据表中的空值直接影响了数据分析结果的准确性

4）大量的冗余数据降低了数据分析的效率

2.数据清理的基本技术

进行数据清理的方法很多，但使用频率较高、通用性较好的清理技术主要是通过：

1）EXCEL数据导出导入、排序、筛选、分类汇总、插入、删除、修改、复制、粘贴、填充等

2）SQL语言以SQLServer为平台对采集的数据进行集成、对有规律性的质量问题进行归纳，通过多条SQL命令完成

3）审计数据采集分析软件通过数据维护功能完成

4）ACCESS通过ACCESS数据库执行“更新查询”或更改表结构等实现数据清理

五、数据转换

1.数据转换技术必须解决对被审单位不同类型数据库格式的识别问题，将具有相同或相近含义的各种不同形式的数据转换成审计软件处理所需的形式相对统一的数据（语法层次问题），还需要解决对采集到的原始数据的含义进行识别并明确标识出每张表、每个字段的经济含义及其相互之间关系的问题（语义层次问题）

2.数据转换的必要性

1）被审单位信息系统的多样性导致数据的不一致性

同一字段在不同的应用中具有不同的数据类型。

如“借贷方标志”在A为“字符型”取值（Credit/Debit）；在B为“数值型”取值（0/1）；在C为“布尔型”取值（True/False）等。

还有日期格式等。

2）被审单位系统的安全性措施给审计工作带来障碍

被审单位会有系统级和数据级的加密措施，特别对具有一定含义的数据库的表和字段名称进行映射和转换，如将表命名为T1,T2等，而将字段命名为F1，F2等。

3）审计目的的不同决定了审计数据的范围和要求不同

被审单位信息系统规模不同，数据量差异大，必须通过转换审计所需的分布在被审系统的若干张表中的信息统一在一张或多张表中。

4）数据转换是数据分析、处理的前提

计算机软件设计都寄予一定的数据结构模式，即使通用审计软件也不意味可以处理任意数据

3.数据转换的主要工具和方法

1）数据转换可以采用的工具和发放多种多样，实际工作中具体采用的数据转换工具和方法主要依据审计目标、被审单位的数据结构和格式、审计软件对输入数据的处理需求等因素而定。

2）可以使用的工具和方法一般有：

a.数据库管理系统自带的转换工具

b.审计软件

c.SQL语言

d.程序编码

4.数据库管理系统自带的转换工具

1）很多的数据库管理系统都自带非常专业的数据转换工具

微软的SQLServer自带的DTS工具就是操作简便、功能强大的数据抽取盒转换工具，它支持多种形式的转换

2）为了支持一些任务（例如数据合并、存档和分析）、进行应用程序开发以及数据库或服务器更新，数据库管理员经常会导入、导出和转换数据。

SQLServer2000中的数据转换服务（DTS）提供了一组图形化工具和可编程对象，以帮助管理员和开发人员解决数据移动问题，包括从不同的源到一个或多个目标的数据提取、转换和合并，任务、工作流程操作和约束的集合可以收集为DTS包，此包可以计划为定期运行或在发生某些事件时运行。

3）审计软件

a）几乎每一种审计软件都提供了自己的数据转换工具，这些工具可以分为专用和通用两大类专用的转换工具只能转换几种特定系统中的特定数据通用的转换工具具有更大灵活性

b）如审计数据采集分析软件2.0提供额的数据转换工具可以将文件类型数据库（dBase、Fox、Access系列）中的数据转换到Access数据库中，还能完成类型转换、日期/时间）格式转换和值域转换等。

4）程序编码

这是一种最基本的转换方法。

在下列情况下较多使用：

a）对复杂数据文件中包含的数据进行转换时

b）对于非关系型数据库中的数据进行转换时

c）数据关系复杂，转换的需求固定，使用频繁时

5.数据转换的内容

1）从计算机审计的需求来看，数据转换主要是指一是将被审计单位的数据有效的转载到审计软件所操作的数据库中，二是明确标出每张表、每个字段的经济含义及相互之间的关系

2）数据类型转换

日期/时间格式转换

代码转换

值域转换

表表合并

六、数据验证

通过数据验证确认被审单位提供的信心系统所储存的源数据、审计人员采集的电子数据的真实性、正确性和完整性，验证电子数据对被审单位实际经济业务活动的阵势反应程度、排除被审单位有意思隐瞒、修改部分数据的可能性。

检查数据在采集过程中是否发生遗漏，防止因信息系统数据输入输出控制的多样性、数据采集人员对相关知识、源数据库特性的掌握程度不等而发生的遗漏。

因采集到的原始数据的格式与记录分布多种多样，为满足不同的审计需求，审计人员必须对采集到的电子数据进行数据清理和数据转换，此时因编写的程序存在逻辑错误或对数据的操作不规范而导致遗漏和错误，影响数据分析结果。

1、不同阶段的