1、做的出版者受人尊敬第十一章 现代信息审计技术中国人民大学出版社做的出版者受人尊敬学习目标 1.了解现代信息审计发展过程和现状2.掌握计算机辅助审计技术的概念与分类3.掌握信息系统审计的概念与内容4.熟悉数据式审计的流程与技术做的出版者受人尊敬2017年9月26日,英国卫报报导称,全球四大会计师事务所之一的德勤(Deloitte)会计师事务所服务器遭受网络袭击,一些蓝筹客户的机密电子邮件和计划被泄露。德勤2017年3月发现了黑客入侵其信息系统服务器,但攻击者可能在2016年10月或11月就已经进入了该系统。这名黑客通过“管理员账户”对该公司的全球电子邮件服务器进行了攻击。从理论上讲,这个账户拥有
2、超级特权,可以不受限制地“进入所有领域”。消息人士称,该账户只需要一个密码,而且没有“双重”验证。一位发言人说:“为了应对网络事件,德勤执行了全面的安全协议,并调动德勤内部和外部的一个网络安全和保密专家团队进行密集而彻底的审查。作为审查的一部分,德勤与极少数客户进行接触,并通知了政府部门和监管机构。审查使我们能够了解哪些信息存在风险,以及黑客究竟做了什么,并证明客户业务没有发生任何中断,德勤能够继续为客户或消费者提供服务。德勤会计师事务所服务器遭到网络攻击做的出版者受人尊敬“我们在保护机密信息和不断审查和加强网络安全方面投入大量资金,仍然致力于确保我们的网络安全防御在领域内上是最好的。我们将继
3、续评估这个问题,并根据需要采取更多措施。我们的审查使我们能够确定黑客做了什么,以及什么信息有风险。数量只是被提及数额中的很小一部分。”尽管所有主要公司都是黑客攻击的目标,但这一漏洞对德勤来说是一件非常尴尬的事情,它引发大家进一步正视并思考网络环境下的信息安全风险,以及如何采取有效现代信息技术来加强审计。在信息化环境下,为了应对信息技术对审计的要求和挑战,审计人员应该应用哪些审计技术?问题思考:做的出版者受人尊敬第一节 现代信息审计技术概述一、现代信息审计的产生与发展(一)电子数据处理审计的产生与发展(一)电子数据处理审计的产生与发展电子数据处理(Electronic Data Processi
4、ng)简称EDP审计审计,它不仅是指电子数据处理环境下的审计,还包括对电子数据处理系统的审计。(二)计算机审计的产生与发展(二)计算机审计的产生与发展 计算机审计是电子计算机技术与数据处理电算化发展的结果对信息系统(IS)审计贡献最大的莫过于国际信息系统审计与控制协会(Information System Audit and Control Association,ISACA)。(三)信息系统审计的产生与发展(三)信息系统审计的产生与发展做的出版者受人尊敬(一)信息系统审计(一)信息系统审计二、现代信息审计的概念演化信息系统审计可被界定为:信息系统审计是指根据公认的标准和指导规范,对信息系统从
5、规划、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。做的出版者受人尊敬(三)计算机审计(三)计算机审计计算机辅助审计技术(CAATs)CAATs指为了满足IT环境下审计的需要,用来对信息系统和被信息系统处理的数据进行审计的技术。(二)计算机辅助审计(二)计算机辅助审计综观国内外学者对计算机审计的诸多论述,多数学者将计算机审计作为一个广义的概念,认为计算机审计包括两个方面,一是将计算机系统作为审计的对象;二是将计算机作为审计的工具。做的出版者受人尊敬(一)现代信
6、息审计与传统审计的区别(一)现代信息审计与传统审计的区别1、审计、审计环境环境不同不同2、审计、审计测试的对象与范围测试的对象与范围不同不同3、审计的、审计的思维方式思维方式不同不同4、审计、审计技术方法技术方法不同不同5、审计、审计方式方式不同不同6、审计、审计风险风险不同不同三、现代信息审计与传统审计的特征比较做的出版者受人尊敬(二)现代信息审计的特点(二)现代信息审计的特点将现代信息审计与传统审计相比较,它具有如下一些明显的特点。1、扩大审计覆盖面,提高审计效率。2、丰富审计手段,保证审计项目质量。3、整合审计资源,确保审计时效。做的出版者受人尊敬(一)现代信息审计的国内准则(二)现代信
7、息审计的国外准则四、现代信息审计的准则规范发布国家与机构类别目标用户适用组织侧重面认知度过程范例与工具ISA准则美国,ISACA准则IT审计师,IT经理,审计主管应用IT的组织IT审计与鉴证较广泛GTAG美国,IIA指南首席审计官(CAE)、审计委员会、审计主管、内部审计人员应用IT的组织IT管理与控制新发布GAIT美国,IIA指南管理层、审计主管、信息系统审计师、风险管理人员应用IT的组织一般控制新发布ITIL英国,OGC,已纳入ISO框架IT服务经理IT服务管理与运营组织IT服务管理较广泛BS7799英国,BSI,已纳入ISO标准组织内负责信息安全的人员应用IT的组织信息安全管理较广泛FI
8、SCAM美国,GAO指南政府审计人员、首席信息官(CIO)、信息系统审计师、政府官员政府组织信息系统控制较广泛CMMI美国,SEI框架首席技术官(CTO)、开发高层领导、项目管理人员、评价供应商的人员较大型复杂软件和系统工程项目的开发与维护的组织系统获取、开发、服务较广泛 EFQM欧洲质量管理基金会框架高级管理层、质量经理、项目经理一般的生产/服务组织质量管理较广泛 COSO美国,COSO标准管理层、独立公共会计师、立法者和监管部门几乎任何组织内部控制广泛 ISO9000国际标准化组织ISO标准高级管理层、项目经理、审计主管、审计师一般的生产/服务组织质量管理广泛表1 国外相关规范的概况做的出
9、版者受人尊敬第二节 计算机辅助审计技术一、计算机辅助审计技术分类(一)面向系统的计算机辅助审计技术,主要用于验证和测试程序系统的内部逻辑和数据处理的正确性;(二)面向数据的计算机辅助审计技术,主要用于对被审计单位相关的电子数据进行采集和分析处理,发现审计线索,收集审计证据,形成审计结论。做的出版者受人尊敬二、面向系统的计算机辅助审计技术(一)平行模拟平行模拟是指针对某一应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,在输人数据的同时进行并行处理,其结果和该应用程序处理的结果进行比较,以验证其功能正确性的方法。(二)集成测试集成测试是通过在正常的应用系统中创建一个虚拟的部分或分支,从而
10、提供一个内置的测试工具。它一般用来审计复杂的应用系统,其原理如图3所示。该技术是在系统正常处理过程中进行测试的,因此可直接测试到被审计系统在真实业务处理时的功能是否正确有效。做的出版者受人尊敬(三)测试数据(四)快照(五)跟踪(六)嵌入式审计模块(七)程序编码审查(八)程序代码比较三、面向数据的计算机辅助审计技术主要是指利用计算机技术对信息系统中所存储和处理的电子数据进行的审计,具体来讲主要包括对被审计单位内外部相关的电子数据进行采集、转换、清理、验证和综合分析,以帮助审计人员快速掌握总体情况,发现审计线索,收集审计证据,形成审计结论,最终实现审计目标。面向数据的计算机辅助审计技术的应用,主要
11、包括三个重要的步骤:审计数据采集、审计数据预处理和审计数据分析。做的出版者受人尊敬四、审计软件(一)审计软件的种类审计软件按其适用范围可划分为通用审计软件和专用审计软件。在大部分情况下,审计软件指的是通用审计软件。(二)审计软件的应用(三)国内外典型审计软件ACL(Audit Command Language)它具有海量数据处理能力、兼容各种类型数据、数据分析能力强、能进行持续监控等特点,是使用最广泛的审计软件。IDEA(Interactive Data Extraction and Analysis)具有强大的数据兼容处理与分析能力。AO(Auditor Office)即现场审计实施系统,是
12、“金审工程”的重要成果之一,是用于在现场环境对电子数据进行审计的操作平台。做的出版者受人尊敬(四)通用审计软件的功能(1) 分类(Sort),如将采购定单按金额从最高到最低顺序排列,以便审计人员能检查是否遵循了所有超过一定金额的采购都要进行有力的讨价还价过程的要求。(2) 对比(Matching),如将所有的赊销与经批准的顾客主文件进行比较以确保已执行了信用检查。(3) 合并(Merge),如将A分部的库存文件和B分部的库存文件进行合并以便能产生存货项目的随机样本来进行测试。(4) 更新(Update),如在测试发票开单程序中增加对每一顾客适用的折扣条款。(5) 生成和保存,如复制被证实的贷款
13、样本以便第二次要求时可用。(6) 汇总功能,如合计所有指定存货号的销售并编制所有这些销售的汇总记录。(7) 数学函数(Mathematical Functions),如进行重新计算和小计。做的出版者受人尊敬(8) 抽取(Extract),如抽取所有相关的业务, 并对它们进行小计以便复查。(9) 条件操作(Conditional Operations),如仅选取那些超过设定金额的维修费用进行测试。(10) 抽样(Sampling),如计算样本量,选取样本,评价总体。(11) 报告编写(Report Writing),如生成一个存货账龄分析表,以评估其过时性。(12) 数据管理(Data Mana
14、gement),如编辑检验输入数据。(13) 统计常规程序(Statistical Routines),如执行各种统计分析。(14) 自动化工作底稿(Working paper),如执行风险评估、审计进度安排、生成工作底稿和报告、追踪未解决的问题及其成本代价等工作。做的出版者受人尊敬(五)电子表格分析软件电子表格软件(如Excel、LOTUS等)具有电子表格、数据库管理和统计图表等功能,而且可以进行宏编程,可以和数据库及其他计算机应用连接,其本身的多个表格和表格间也可以互链,还内置了许多分析函数,尤其是其特有的财务函数,审计人员可以利用这些辅助功能对电子资料进行审计处理。做的出版者受人尊敬第三
15、节 信息系统审计技术一、信息系统审计的概念 信息系统审计理解为是根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。二、信息系统审计的内容 本节将主要介绍IT治理、信息系统一般控制审计和应用控制审计。做的出版者受人尊敬(一)IT治理(二)信息系统一般控制审计1.安全管理控制及其审计2.系统基础设施控制及其审计(1)系统环境控制(2)系统硬件控制与审计(3)系统软件控制与审计3.系统访问控制及其审计(1)逻辑访问控制(2)物理
16、访问4.系统网络架构控制及其审计(1)局域网控制与审计(2)客户机/服务器架构风险与控制(3)互联网风险与控制(4)网络安全技术5.灾难恢复控制及其审计(三)信息系统应用控制审计做的出版者受人尊敬三、信息系统审计的技术方法(一)信息系统审计常用技术方法做的出版者受人尊敬(二)信息系统审计技术方法在审计过程中的应用审计计划阶段:实施阶段:报告阶段:做的出版者受人尊敬第四节 数据式审计技术一、数据式审计的发展历程 数据式审计起源于20世纪60年代初,早期的计算机应用比较简单,还称不上真正的数据式审计。中国国家审计署从20世纪80年代后期开始应用计算机审计,在信息化新经济的大环境和政府日益重视下,我
17、国企业的信息化发展突飞猛进。企业信息化进程的加快,推动了数据式审计的发展,而企业基础数据库的建立使企业内部数据共享成为现实,“信息孤岛”现象正在消失。随着信息技术的进一步发展,有关审计内容和技术方法研究不断深入,审计业务范围不断扩大,数据式审计作为审计业务的一个专业领域,必将持续蓬勃发展。做的出版者受人尊敬二、数据式审计的技术方法 (一)数据式审计中的一般计算机技术 无论哪种审计方式,数据审计的流程都分为数据采集数据转换数据清理数据分析四个主要阶段。做的出版者受人尊敬1. 数据采集审计技术方法2. 数据转换一般技术方法3. 数据清理技术方法4. 数据分析技术方法(二)数据式审计的创新技术数据式
18、审计模式是一种全新的审计模式,相对于账目基础、制度基础等审计模式而言更具有革命性。因此需要革新传统的技术方法,创建全新的技术方法。做的出版者受人尊敬在数据式审计模式的诸多新技术方法中,较为典型的两种是审计中间表方法和审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,构建可供审计人员进行数据分析的新型审计工具。审计分析模型则是按照审计事项应该具有的趋势、结构、关系等状态,由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,用于验证审计事项实际的时间或空间状态的技术方法。它们都是实现数据式审计的关键技术。此外,随着大数据时代的到来,将广泛应用数据
19、、使用统计与量化分析方法、使用描述性与预测性模型以及基于事实的管理方法影响决策和行动,用大数据思维去发掘潜在问题与规律,将赋予审计师以洞察过去、预测未来的能力,为审计发展提供了新的机遇。做的出版者受人尊敬本章小结随着信息技术在社会经济生活中的广泛使用,审计的对象也发生了根本变化,由纸质财务账簿转变为数据库中的电子数据(或称电子账),计算机审计应运而生,它是信息化环境下崭新的审计方式,是审计工作发展的重要标志。信息系统审计主要包括IT治理、信息系统一般控制审计、应用控制审计等。审计过程中可以采用多种传统的或新兴的审计技术方法。计算机辅助审计技术主要包括面向系统的和面向数据的计算机辅助审计技术这两大类,我国当前较多的是采用数据式审计模式,应用面向数据的计算机辅助审计技术。做的出版者受人尊敬复习思考题1、现代信息审计与传统审计相比有何优点?2、面向系统的计算机辅助审计技术主要有哪些?3、信息系统审计的主要内容包含哪些?4、数据式审计的一般流程是怎样的?你认为其中的关键步骤是哪个或哪些?5、现代信息审计的风险有哪些?如何防范?
