1、2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1以数字化为基础的信息化是我们今天面临的全新形势v今天的审计面临着什么样的形势?v信息化:以数字化为基础的信息化2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ2审计环境的信息化v审计环境的信息化国民经济和全社会的信息化美国网络司令部特战部队战场数字化系统伊朗的核问题 20111102茶农销售有机茶2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ3审计对象的信息化v审计对象的信息化银行、保险、海关、企业、社保、住房公积金SAP、ERP一个企业的发
2、展现状2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ4金融企业信息化的变化 建设的系统:业务系统:信贷、承兑汇票、信用证、信用卡、外汇买卖、中间业务;会计系统:账户管理系统(对公、对私)、清算系统(人行、联行、同城、国际结算)、网银;财务系统:费用、固定资产、重要空白单证;其他辅助系统:办公、公文、邮件、人力资源等;2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ5金融企业信息化的变化v数据:v多数做到数据总行集中v南北数据中心信息化带来的深刻变化v经济活动的管理手段发生了变化:人工变成了电脑v记录经济活动的载体发生了变化:
3、纸变成了光盘v表现会计核算内容的形式发生了变化:文字变成了代码v存储数据的空间发生了变化:报表、账薄、柜子变成了硬盘v人与人联系的方式发生了变化:越来越多地走上了网络v2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ7信息化带来的深刻变化v符号记录的方式,物质载体,数据的属性,信息生成的机制,信息传播方式等等,都发生了质的、根本性的变化。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ8审计的变革v在这样的大背景下,审计学涌进了大量其他学科的新思想和新理论;审计实务涌入了信息技术、计算技术、通信技术、网络技术、数理统计、数据分
4、析、数据可视化等先进的技术和方法。v审计方式的变革和创新势在必行。信息化发展的新特点v信息化的发展速度加快,覆盖面进一步加大v系统的集成性整体提升,ERP、SAP成为主流v如何运用信息化技术手段解决业务与管理问题是需要解决的核心问题v培养复合型人才成为培训的主流,培训力度空前加大v数字化审计已经成为信息化环境下的主流审计方式新的挑战v审计信息化出现了新的特点,提出了新的挑战,也提供了从未有过的发展机遇。v我们应该做些什么?v创造新的审计方式:数字化审计2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ10突破口和切入点v数字化审计有多种不同的名称,如计算机审计、
5、IT审计、非现场审计等等。叫法虽然不同,但却有着许多共同点:审计对象是计算机信息系统,分析的是电子数据,运用的是数据分析方法,工具是电脑,产生的是电子数据,所有这些都是建立在数字化基础之上的。所以我们把这种类型的审计称之为数字化审计。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ12共同讨论的几个问题v一、数字化审计的案例v二、数字化审计的特征和概念v三、数字化审计的主要内容和流程v四、数字化审计的技术和方法v五、金融企业数字化审计的重点v六、坚定不移推进数字化审计审计实施要重点回答的几个问题v怎么审?把握总体、突出重点、精确延伸、调查取证v切入点?信息系统
6、、底层数据v审什么?研发中心系统审计v 返回把握总体系统模型之一:集团公司收入结构分析,确定“主营业务收入”为审计重点系统模型之二:集团公司收入结构分析,确定将“某航空公司”作为审计重点系统模型之三:某航空股份公司收入结构分析,确定“运输收入”为审计重点类别模型之一:运输收入总量变化趋势运输收入:运输收入:2002200220042004年票务数据中的总体趋势年票务数据中的总体趋势 运输收入:运输收入:2002200220042004年财务数据调整后的总体趋势年财务数据调整后的总体趋势 运输收入:运输收入:2002200220042004年财务数据调整前的总体趋势年财务数据调整前的总体趋势 财
7、务数据和业务数据的对比类别模型之二:机票销售暗扣变化趋势v模型:select 作帐月,count(*)as 票数,sum(毛额1)as毛额1,sum(净额1)as 净额1,sum(毛额1-净额1)as 暗扣 from 主表_国内票_某航空出票并承运 where 飞行日期1=20020101 and 票联号=1 group by 作帐月 order by 作帐月个体模型:统计销售暗扣发生金额 结果:结果:反推系统反推系统 返返 回回系统把握整体情况海关业务系统国税局 港口商务委海关业务系统(业务数据)报关单报关单放行结果信息报关单,出口退税进出口收付汇数据1.通知放行信息.2.集装箱过磅重量信息
8、3.放行结果信息电子数据中心商检局船舶代理公司舱单通关单外管局企业申报Edi信息其他相关单位报关单重量与集装箱过磅重量差异结果表共发现共发现52575257条记录条记录探索系统审计的方法v跟踪测试管理系统中已经通关的业务数据v采取倒推法,利用与海关业务密切相关的外部数据验证通关信息的真实性v认真分析核实结果,发现管理中存在的漏洞和缺陷系统审计步骤之一:选择跟踪测试数据系统审计步骤之二:利用外部数据跟踪测试发现差异海关报关单显示,出口货物2470件,重量42555公斤,体积207.5立方米。船公司的提单显示,出口货物720件,重量13190公斤,体积69.5立方米。*公司524744790报关单
9、实际退税情况筛选出全部多报少出集装箱的结果共有共有8523个申报出口的集装箱实际没有装船出口个申报出口的集装箱实际没有装船出口*电子(*)电器有限公司出口申报集装箱数量与实际装船出口的集装箱数量差异表*公司出口申报货物重量与码头货物过磅重量差异表海关处理结果返 回 2004年4月至2005年3月间,少出口货物完税价格521046美元和38972欧元,折合保税货物原料价值人民币3847284元,出口保税货物制成品申报不实,涉及税款人民币759240。上述行为构成违反海关监管规定的行为。对该公司罚款人民币700000元。2022-7-25Copyright(C)2002 Liu Ruzhuo CA
10、NJ34数字化审计的特征v以系统论为指导v审计取证的切入点是信息系统和底层数据v信息系统审计是重要内容v数字化审计的实现方式发生了根本性的变化v创建审计中间表,构建审计信息系统v构建模型进行数据分析(超越系统)2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ35系统论为指导v 系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论讲的是事物之间的联系,是规律,要求思维是立体的,不是平面的。计算机审计就是要从系统论的高度来研究新的审计方式。把审计对象作为一个系统,让被审计单位的信息都在审计监督范围之内。审计人员到一个单位去,一进去就把整个资料都掌
11、握住,通过系统分析、对照、比较,选择其中最薄弱的部分作为重点,找出核心问题在哪里,从总体上把握。不是像过去那样瞎碰,逮着什么算什么。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ36系统论指导下的审计v把握总体,突出重点,发现问题,客观评价,提出建议,规范提高返回2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ37与传统审计的区别v传统审计是账套式审计;数字化审计是对数据的审计。v采集数据的起点从财务会计报表提前到了底层数据,从本质上注入了审计的内涵;会计报表数据是语言,原始数据是文字;会计报表数据是信息,原始数据是元素。返
12、回2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ38系统审计实务中发现的问题类型v舞弊 v电脑加油、截留中间业务收入、非法模块v漏洞v骗取银行存款、骗取增值税票v汇丰银行英国汉普郡利明顿Milford-on-Sea镇ATM机双倍吐款v隔断v黄金诈骗、骗取退税v滞后v关税税率v管理v黄金交易参数设置2022-7-25IT Department of CNAOs Nanjing Resident Office39信息系统审计的发展过程 国外情况简介 我们的发展历程 有关组织模式的探讨 2022-7-25IT Department of CNAOs Nanjing
13、 Resident Office40国外情况简介vISACA电子数据处理 信息系统审计 IT治理COBITvGAO一般控制 应用控制FISCAM2022-7-25IT Department of CNAOs Nanjing Resident Office41信息系统审计与控制协会(ISACA)v国际上引领信息系统审计的民间组织 v发布信息系统审计准则体系16个标准39个指南11个程序 vCOBIT 标准IT准则维 IT资源维 IT过程维 2022-7-25IT Department of CNAOs Nanjing Resident Office42COBIT的三维体系结构 vIT准则维集中反
14、映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。vIT资源维主要包括人员、应用系统、技术、设备及数据在内的信息相关的资源,这是IT治理过程的主要对象。vIT过程维在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的“计划与组织(PO)”、“获取与实现(AI)”、“交付与支持(DS)”和“监督与评估(ME)”这4个方面确定了34个IT活动的一般过程;对每个一般过程分解出详细控制目标,共计215个详细控制目标。在对每个一般过程分解出详细控制目标后,还提出该过程的管理指南并给出成熟度模型。2022-7-25
15、IT Department of CNAOs Nanjing Resident Office43COBIT的基本结构2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ44v信息技术管控(IT Governance)v信息技术审计(IT Audit)v信息安全(Information Security)v信息技术的风险管理(IT Risk Management)v信息确保(Information Assurance)目前系统的研究方向2022-7-25IT Department of CNAOs Nanjing Resident Office45政府责任署(GAO
16、)v1999年1月颁布了联邦信息系统控制审计手册卷I 财务报表审计 一般控制v2009年2月颁布了最新版本的联邦信息系统控制审计手册(FISCAM)一般控制应用控制2022-7-25IT Department of CNAOs Nanjing Resident Office46GAO的手册v一般控制安全管理(SM-1 SM-7)访问控制(AC-1 AC-6)配置管理(CM-1 CM-6)职责分离(SD-1 SD-2)应急计划(CP-1 CP-4)v应用控制应用系统层面的一般控制(AS-1 AS-5)业务流程控制(BP-1 BP-4)接口控制(IN-1 IN-2)数据系统控制(DA-1)2022
17、-7-25IT Department of CNAOs Nanjing Resident Office47我国的发展历程v从2000年起开展信息系统审计 对交通部开发应用的车辆购置附加费征稽系统开展了审计 审计中借鉴了国外的相关标准融入了自身的认识和理解 v信息系统审计与业务审计的关系一开始就没有脱离过审计业务为审计业务服务 v当前的工作仍处于探索阶段 创造出了许多很好的模式积累了许多宝贵的经验 2022-7-25IT Department of CNAOs Nanjing Resident Office48审计署的探索v2006年派出信息系统审计高级培训班赴美国硅谷学习v2007年开始尝试开
18、展信息系统审计2007年开展了对国家开发银行的“结合式”信息系统审计2008年开展了对天津中化进出口公司的“独立式”信息系统审计2009年开展了对中国联通总公司的“结合式”信息系统审计2010年由各业务司牵头,同时开展了5个“结合式”的信息系统审计项目 v一共征集了2次信息系统审计案例 v2008年开始在南京审计学院举办信息系统审计高级培训研讨班 v2010年出台审计署关于检查信息系统相关审计事项的指导意见v2012年2月颁布国家信息系统审计指南返回单机审计模式示意图现场网络审计模式示意图审计专用网络审计服务器审计人员审计工作站远程监控远程网上审计示意图远程网上审计示意图拓扑结构拓扑结构数字化
19、审计的实现方式v嵌入式v独立式v开放式v事前、事中、事后密切结合,动态跟踪监督v着眼于网络大环境,视野开阔了返 回2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ55审计数据库的形成方式审计数据库的形成方式2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ56数据共享平台数值型数据数值型数据非数值型数据非数值型数据根据方案需要根据方案需要提出数据需求提出数据需求计算机系统计算机系统调查调查财务财务数据数据业务业务数据数据文件文件汇编汇编会议会议纪要纪要2022-7-25Copyright(C)2002 Liu Ruzhuo CA
20、NJ57构建审计信息系统返回2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ58审计分析模型的涵义v审计分析模型的定义审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式,它是按照审计事项应该具有的性质或数量关系,由审计人员通过设定计算、判断或限制条件来建立起来的,用于验证审计事项实际的性质或数量关系,从而对被审计单位经济活动的真实、合法、效益情况做出科学的判断。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ59审计分析模型的表现形态 审计分析模型有多种表现形态:用在查询分析中,表现为一个或一组查询条件;用在多维分析中,
21、表现为切片、切块、旋转、钻取、创建计算成员、创建计算单元等;用在挖掘分析中,表现为设定挖掘条件。审计分析模型的分类2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ60审计分析模型算法什么是审计分析模型算法?审计分析模型算法是构建审计分析模型的思路、方法、步骤。数字化审计的概念v 数字化审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术等方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从
22、而收集审计证据,实现审计目标的审计方式。数字化审计概念的发展v计算机辅助审计技术和方法v计算机审计v数字化审计返 回数字化审计的主要内容v数据审计对计算机输入、处理、存储、输出的数据进行分析检查v信息系统审计对与财政财务收支有关的计算机信息系统进行检查返 回2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ64数字化审计流程2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ65数字化审计流程v1.审前调查,获取必要和充分的信息。v提交数据需求说明书。v2.采集数据,全面掌握情况。v数据下载报告、承诺书。v3.数据转换、清理和验证。
23、v4.建立审计中间表,构建审计信息系统v关于中间表的说明v5.多维分析、把握总体,锁定重点。v6.建立个体模型,内外关联,对比分析,筛选线索。v形成数据分析报告。v7.延伸落实,审计取证。v审计现场数字化,对流程进行管理返回按照七步流程开展企业审计审前调查,获取充分必要的信息调查的主要内容:1、被审计单位组织结构、管理体制和业务流程。2、信息系统建设、管理、使用总体情况,并重点关注财务系统、核心业务系统的核算(管理)内容、数据来源、数据处理流程、数据库类型、数据量等相关情况。3、外部关联单位电子数据情况。4、宏观政策、行业法规等。按照七步流程开展企业审计审前调查,获取充分必要的信息实地考察的内
24、容:功能的考察:详细查看系统功能菜单按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:1、被审计单位信息系统总体情况;2、采集数据的系统3、采集范围和方法4、外部数据采集范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:1、被审计单位信息系统总体情况;向被审计单位提供的第一份数据需求说明书中一般会简单介绍一些被审计企业的信息系统总体情况,如果多次提出数据需求,则不必每次都需要介绍总体情况。按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:2、采集数据的系统数据A信息系统A处理结果A信息系统B按照七步流程开展
25、企业审计采集数据 全面掌握情况审计数据需求说明书:2、采集数据的系统数据A信息系统A信息系统C信息系统B按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:2、采集数据的系统数据A信息系统A信息系统C信息系统B数据A数据A按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:3、采集范围和方法如何采集,什么格式,时间范围,单位范围按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书:4、外部数据采集范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计采集数据 全面掌握情况审计数据采集结果报告:采集数据的信息系统名称及功能;数据采集的方法;数据的
26、范围、内容、格式。按照七步流程开展企业审计采集数据 全面掌握情况数据采集的两个注意事项:审计人员不要到被审计单位的系统上直接采集数据;让被审计单位提供承诺书,承诺提供的数据是真实、完整、正确、有效的。按照七步流程开展企业审计清理、转换、验证数据转换数据:数据的转换主要是对格式的转换,现阶段大家应用较多的sqlserver,主要是将数据从各类不同的格式(DB2、Oracle、Sybase、Excel等)转换到SqlServer中去,这主要是一个技术问题。要反复练习、积累经验。按照七步流程开展企业审计转换、清理、验证数据清理数据:1、填入缺失的值;2、处置空值;3、处理冗余数值;4、更改错误数据;
27、5、代码转换;6、实现表的合并按照七步流程开展企业审计转换、清理、验证数据清理数据:1、填入缺失的值;字段的缺失;记录的缺失按照七步流程开展企业审计转换、清理、验证数据清理数据:2、处置空值;空值在运算、查询等多中操作中存在问题,所以审计人员可以根据空值表示的意义,赋予一定的值,去掉空值。按照七步流程开展企业审计转换、清理、验证数据清理数据:3、处理冗余数值;冗余是一个相对概念,是指审计冗余,即对审计人员的审计工作来说是冗余的,被审计单位的数据考虑到其本身管理、核算的需要、考虑到数据安全、数据库的设计方式等多种因素,有些数据对他们来说可能就不是冗余的。按照七步流程开展企业审计转换、清理、验证数
28、据清理数据:4、更改错误数据格式中的错误按照七步流程开展企业审计转换、清理、验证数据清理数据:5、代码转换;代码的汉化按照七步流程开展企业审计转换、清理、验证数据清理数据:6、实现表的合并实现不同表的合并按照七步流程开展企业审计转换、清理、验证数据清理数据:数据清理要有详细的记录,尤其对数据的删、改要有详细的记录和理由按照七步流程开展企业审计转换、清理、验证数据清理数据:数据清理要有详细的记录,尤其对数据的删、改要有详细的记录和理由按照七步流程开展企业审计转换、清理、验证数据清理数据:一个案例航空公司票务数据:出票日期、飞行日期为整型、字符型,审计需要转成日期型,但内容非常不规范0,20020
29、031,20020133逐条修改不现实,需要一次性的找出所有的不规范记录按照七步流程开展企业审计转换、清理、验证数据清理数据:一个案例长度不对;年限不对;月份不对;日子不对。确定日期应该满足条件,然后进行查找按照七步流程开展企业审计转换、清理、验证数据数据验证:关键是业务数据的验证关联数据的对比财务数据与业务数据的对比基本规律的设置检查数据抽查 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据(1)国家宏观政策、相关法律法规;(2)新闻媒体、科研机构、专家学者对该企业、该行业的研究报告;(3)企业、企业领导人、企业各部门年度总结;(4)企业内部管理制度和收发文情
30、况;(5)各类决策会议的会议纪要;(6)各类举报材料。按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据采集按照审计重点事项的发生过程确定采集范围和内容 按照非数值型数据的类别确定采集范围和内容 采用其他方法确定采集范围和内容 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据转换全文扫描局部扫面内容摘要 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据清理清理重复的数据清理无效的数据 清理无实质意义的数据 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据验证v(1)验证
31、非数值型资料文件页码的连续性v(2)分析非数值型资料内容逻辑的合理性v(3)利用鉴定机构进行笔迹、印章等鉴定v(4)比对多份不同来源的同一资料v(5)追溯资料形成过程,分析资料形成过程的逻辑性按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:数值型数据中间表财务数据大致相同,凭证表、余额表、代码表业务数据差异很多,与行业特点和审计需求相关中间表说明按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表:非数值型数据中间表数据文件目录2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ97当前信息系统审计的主要内容v一般控制的审计v应用
32、控制的审计v信息系统建设效益的审计2022-7-25IT Department of CNAOs Nanjing Resident Office98一般控制审计(4个方面)v 安全管理方面,包括2个审计事项:安全管理制度制定情况v被审计单位是否制定了安全管理制度并得到贯彻执行;安全管理职责履行情况v信息系统设计是否符合国家等级保护、分级保护要求;v系统安全员、安全审计员履行职责是否到位;v对关键的数据信息资源是否采取了适当的保护措施;2022-7-25IT Department of CNAOs Nanjing Resident Office99一般控制审计(4个方面)v 物理环境安全方面,包
33、括3个审计事项:机房环境安全合规性v防火、防雷、防盗等安全设施是否有效;硬件设备安全合规性v数据信息物理访问安全措施是否适当有效;网络安全保护措施合规性v防病毒木马、防网络攻击等安全措施是否落实;2022-7-25IT Department of CNAOs Nanjing Resident Office100一般控制审计(4个方面)v 软件安全方面,包括3个审计事项:操作系统安全性v操作系统是否及时更新;v操作系统是否存在漏洞;v操作系统的处理能力是否满足业务需求;数据库安全性v数据库管理员的权限是否得到适当控制;v数据库管理系统的处理能力是否满足业务需求;应用系统访问安全性v数据信息逻辑访
34、问安全措施是否适当有效;2022-7-25IT Department of CNAOs Nanjing Resident Office101一般控制审计(4个方面)v 灾备方面,包括2个审计事项:应急计划的制定和落实情况v是否制定了有效的应急计划并进行适当演练;v电子数据备份是否符合相关规定;灾难备份恢复有效性v信息系统灾难恢复计划是否能够保证关键业务的持续运行;v是否能够保证数据及时、准确地恢复。2022-7-25IT Department of CNAOs Nanjing Resident Office102应用控制审计(3个方面)v 信息系统功能方面,包括3个审计事项:业务处理流程与业务
35、需求吻合性v信息系统实现的业务处理流程与实际的业务需求是否吻合;v系统软件、关键业务应用软件功能是否能够满足业务开展的需要;业务处理流程完备合理性v信息系统实现的业务处理流程是否完备;v是否存在大量未上线的业务;v信息系统实现的业务处理流程是否合理,与否遵循相关的法律、法规与制度;业务数据处理控制有效性v业务流程中是否实施了有效的输入控制、处理控制和输出控制;2022-7-25IT Department of CNAOs Nanjing Resident Office103应用控制审计(3个方面)v 信息系统运行方面,包括3个审计事项:系统运行管理制度执行情况v信息系统日常操作管理是否有效;系
36、统运行有效支持业务开展情况v信息系统问题管理是否有效;配置变更管理情况v信息系统配置管理是否有效;2022-7-25IT Department of CNAOs Nanjing Resident Office104应用控制审计(3个方面)v 数据与接口方面,包括3个审计事项:重要数据参数的管理控制情况v数据、参数的生成、存储、传输、处理等是否进行适当有效的控制;相关系统间接口设计合理性v不同系统之间是否建立有效控制的数据接口;相关系统间数据传递正确性v是否存在基础信息混乱,信息无法共享等问题;2022-7-25IT Department of CNAOs Nanjing Resident Of
37、fice105信息系统效益审计v 项目建设管理方面,包括2个审计事项:建设程序的合规性v立项、审批、招标、实施、验收等项目建设环节过程是否存在浪费、损失、舞弊现象;建设内容与建设文档的符合性v交付成果与建设目标的符合程度,如有调整则检查是否有利于建设目标优化;2022-7-25IT Department of CNAOs Nanjing Resident Office106信息系统效益审计v 项目建设效果方面,包括5个审计事项:建成系统与业务需求的符合性v项目建设文档确定的建设目标与被审计单位业务的符合程度,建设目标能否给带来合理的回报或推动业务发展;系统的用户满意度v用户参与信息系统开发的程
38、度;v关键用户的培训和掌握情况;v用户对信息系统的意见与反馈;对核心业务流程的覆盖程度v交付成果对核心业务流程的覆盖率;v被审计单位工作人员使用交付成果的比例;2022-7-25IT Department of CNAOs Nanjing Resident Office107信息系统效益审计v 项目建设效果方面设备利用合理性v所投资的设备是否存在闲置浪费情况;v所使用设备的使用率情况;性能价格比v投资是否超预算;v交付成果的利用率;v交付成果与投资的性价比;v投资结构调整是否有利于优化性价比;v 返 回 数字化审计的技术和方法v数据分析的技术和方法v信息系统审计的技术和方法v数字化审计的取证技
39、术和方法v 返回数据分析的基础技术和方法v审前调查的技术和方法v提出数据需求的技术和方法v数据采集和整理验证的技术和方法v建立审计中间表的技术和方法v挖掘分析的技术和方法v多维分析的技术和方法v查询分析的技术和方法审计分析模电子数据的特征和规律创建个体分析模型的思路2022-7-25IT Department of CNAOs Nanjing Resident Office118数字化审计的思维方式数字化审计的三个层面器:软件、工具技:技术和方法道:思维方式特征发现是数字化审计的思维方式审计重大问题的特征发现 在信息化环境下,绝大多数重大违法违纪问题都会在信息系统或电子数据中显现出一些具体特征
40、,审计人员在数据分析过程中把握和发现了这些特征,就能够发现线索、取得突破。审计成果 审计审计2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ121关注资金内转 所谓资金内转即某个客户将其资金账户内的资金转入其他一个或几个该证券公司客户的资金账户中。客户通过此类资金划转,既可以起到分散资金的作用又可以规避银行等金融机构的审计,可谓一举两得。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ122开户后短期内即将资金内转 将大额资金分散内转至若干账户 关联内转账户集中购买一支或几支股票 关联内转账户集中卖出所购股票 关联内转账户将资
41、金转回取现 特征枚举特征枚举2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ123数据分析 1、构建审计中间表 取得被审计单位数据后,审计人员经过筛选整理,获得某证券公司北京、上海、武汉、深圳等各个节点的客户交易流水中间表及客户信息中间表。其中客户交易流水中间表记录该证券公司经济业务客户的A股交易流水明细情况;客户信息中间表记录客户基本信息明细情况。2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ124客户交易流水中间表2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ125客户信息中间表202
42、2-7-25Copyright(C)2002 Liu Ruzhuo CANJ126 2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1272022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1282022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1292022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1302022-7-25Copyright(C)2002 Liu Ruzhuo CANJ131 2022-7-25Copyright(C)2002 Liu Ruzhuo
43、CANJ1322022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1332022-7-25Copyright(C)2002 Liu Ruzhuo CANJ134 2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1352022-7-25Copyright(C)2002 Liu Ruzhuo CANJ136v孙将其资金账户内的171万元分别转至苗等12个自然人的资金账户中,并集中购买“*ST”(后更名为“股份”)一支股票,成本区间2.96-3.02元/股。v除孙外,其余12户为2006年3月22日同一天开户、客户代码连续、所留联系电话
44、及邮政编码等信息完全相同,有7人联系地址均为某市路145号。v2007年5月14日前,上述13个账户中“*ST”股票全部被卖出,资金又转回至孙账户并全部取出。v孙等人买入“*ST”后不久,“*ST”即被收购重组,且此后利好频传,股价亦一路飙升至2007年5月15日的最高价17.82元/股。发现问题2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ1372022-7-25Copyright(C)2002 Liu Ruzhuo CANJ138锁定重点 精确打击 2022-7-25Copyright(C)2002 Liu Ruzhuo CANJ139上市公司董事长内幕
45、交易真相返回信息系统审计的技术和方法v一般控制的审计技术和方法v应用控制的审计技术和方法v信息系统投资效益的技术和方法2022-7-25IT Department of CNAOs Nanjing Resident Office141信息系统审计的方法v常规的审计方法仍需使用面谈询问法调查问卷法文件审阅法实地观察法v在使用这些方法时,需要注意与信息系统审计的相关审计事项紧密结合。2022-7-25IT Department of CNAOs Nanjing Resident Office142信息系统审计的方法v特有的审计方法流程图检查法 测试数据法 平行模拟法 源代码检查法 日志分析法 v考
46、虑到审计的风险,有些方法需在被审计单位单独提供的测试环境中使用。2022-7-25IT Department of CNAOs Nanjing Resident Office143流程图检查法 v通过绘制或者检查被审计单位提供的流程图,加深对信息系统结构的理解,分析信息系统的运行过程,关注信息系统控制节点和控制条件,追踪业务样本,从而评估信息系统控制是否存在明显错误或者缺陷。v主要的3种流程图业务流程图数据流程图程序流程图2022-7-25IT Department of CNAOs Nanjing Resident Office144业务流程图v业务流程图是系统分析阶段的文档v业务流程图用以
47、描述系统的业务处理流程v它描述的是真实业务系统内各部门、人员之间的业务关系、作业顺序和管理信息流向v描述了业务过程的具体环节和业务流程的实际处理步骤v是一种纯业务的描述视角2022-7-25IT Department of CNAOs Nanjing Resident Office145业务流程图(例)v开发人员在系统调查阶段了解到某企业的会计核算形式是科目汇总表的核算形式,其账务处理业务流程如下:(1)根据审核无误的原始凭证汇总表编制记账凭证,包括现金收付凭证、银行收付凭证和转账凭证。(2)根据现金收付款凭证登记现金日记账。(3)根据银行收付款凭证登记银行存款日记账。(4)根据银行送来的对账
48、单对银行存款日记账进行核对。(5)根据记账凭证及所付原始凭证登记有关明细账。(6)根据记账凭证,按相同的借贷方汇总出科目汇总表。(7)根据科目汇总表登记汇总分类账。(8)将明细账科目余额与财产物资实有数进行核对。(9)将总分类账余额与有关明细账余额进行核对。(10)根据总账、明细账余额编制各种会计报表。v根据上述业务流程可以绘制出该企业账务处理的业务流程图2022-7-25IT Department of CNAOs Nanjing Resident Office1462022-7-25IT Department of CNAOs Nanjing Resident Office147数据流程图
49、v以图形的方式刻画数据从输入到输出的移动变换过程v综合反映出数据在系统中的存储、流动和处理情况v偏重于系统中的数据处理过程v是业务流程图的数据抽象v屏蔽了业务流程的物理背景而抽象出数据的特征v描述了数据在业务活动中的运动状况 v例:某销售管理系统的数据流程图 2022-7-25IT Department of CNAOs Nanjing Resident Office1482022-7-25IT Department of CNAOs Nanjing Resident Office149业务流程图与数据流程图的关系v业务流程图是物理模型v数据流程图是逻辑模型v业务流程图主要是描述业务走向v数据
50、流程则是描述数据的走向2022-7-25IT Department of CNAOs Nanjing Resident Office150测试数据法v审计人员根据对被审计单位信息系统业务或者管理流程的理解,设计专门的测试数据,在系统中模拟业务的处理全过程,并将测试数据的模拟处理结果与预期处理结果进行比较核对,从而判断信息系统的功能与控制是否存在明显错误或者缺陷。v在某收费公路信息系统审计过程中,审计人员采用测试数据法对计重费率计算方法进行了分析。2022-7-25IT Department of CNAOs Nanjing Resident Office151用测试数据法检查计重收费参数设计v
