27用于数据分析的CAATsIntosaiCommunityPortal.doc
《27用于数据分析的CAATsIntosaiCommunityPortal.doc》由会员分享,可在线阅读,更多相关《27用于数据分析的CAATsIntosaiCommunityPortal.doc(23页珍藏版)》请在咨信网上搜索。
1、INTOSAI IT 审计委员会计算机辅助审计技术(CAATS)学员资料2004年9月目录1.简介11.1本教程的编写初衷和教学目标11.2CAATs的作用22.CAATS种类12.1程序审查与文件审查12.2用于计算机程序分析的CAATs12.3检查数据流22.4检查数据和文件的完整性22.5嵌入审计模块32.6其他工具32.7用于数据分析的CAATs42.8数据分析 问题探讨53.使用CAATS进行数据分析中要考虑的问题63.1何时使用CAATs数据分析63.2何时使用CAATs进行程序分析64.将CAATS引入审计机关75.CAATS职能的组织86.数据访问97.分阶段使用CAATS的方
2、法108.数据的选取119.数据分析工具129.1通用审计软件129.2SQL 和基于SQL的工具129.3SQL中的SELECT语句149.4Microsoft Access159.5其他工具1610.数据下载1711.CAATS的设计、实施和档案记录1811.1CAATs的设计1811.2文档归集的要求 检查清单181. 简介1.1 本教程的编写初衷和教学目标编写本教程是为了向大家介绍计算机辅助审计技术(CAATs)。目的是为了使审计人员能够理解在何时、何地,可以使用哪些CAAT工具。本教程并不具体针对某种软件工具,也不涉及CAATs的开发。然而,可以利用某些具体的软件工具资料做为本教程的
3、补充。这类资料可以通过以下途径取得: 市场上销售的或EDP委员会专门开发的完整培训教程,或者是 不同国家审计机关提供的具体案例。尽管这种案例不会象培训教程那样具有一般性,但它们可以通过在不同环境下的实际工作经验,为各国审计机关提供有益的指导。这些案例可能是针对某种软件工具或是针对某个审计领域。虽然本教程中也会涉及一点程序的检查,但主要还是集中在CAATs在数据分析中的运用。数据下载是IT审计人员在使用CAATs过程中的一个重要步骤,该部分内容将会在另一个独立的教程中讨论,本教程不包括这方面的内容。在学完本教程之后,学员们应该能够理解如下内容: CAATS的作用:CAATS在审计过程中发挥作用的
4、途径; CAATS的种类:用于程序检查和数据分析的CAATs的之间的区别,和两种常用的CAATs,以及与数据分析相关的一些关键问题; CAATs的使用条件:适于使用CAATs的条件,以及将CAATs引入审计机关的方法; CAATs职能的组织:可以选择的不同CAATs职能组织方式,以及在做出选择时应考虑的相关因素; 数据的访问:访问客户数据的方法,以及这些方法之间的优缺点; 一种分阶段的使用CAATs的方法,以及不同阶段的详细介绍; 数据选择的相关问题; 数据分析的常用工具; 与数据下载相关的一些关键问题,以及. CAATs的设计和文档记录的相关问题。1.2 CAATs的作用我们可以将计算机辅助
5、审计技术或CAATs定义为:为了提高审计过程的效果和效率而使用的基于计算机的工具;另外一种定义是:审计人员使用计算机作为工具,进行数据采集和分析工作的相关技术。本教程不涉及那些单纯用于行政事务管理的软件工具,而只包括那些可以使审计工作更加有效的软件工具。必须指出的是,CAATs的使用并未改变审计的目标,而只是改变了审计的方法。当今,许多甚至说是绝大多数信息处理环境下,审计证据要么无法以纸质文档的形式存在,要么是根据电子数据打印出来(因此可靠性会降低)。因此,审计人员不得不依靠CAATs才能搜集到充分、相关及可靠的证据。被审计单位最初使用电子数据处理的时期,审计人员将IT系统当作一个黑箱,实施“
6、绕过计算机审计”。经过了若干年的发展审计人员(包括最高审计机关)能够运用CAATs,对被审计单位的电子数据实施“通过计算机的审计”。这种趋势不仅为审计的实施阶段,也为审计的计划阶段带来好处。虽然使用CAATs的初衷集中在财务审计和合规性审计,但随着最高审计机关的审计性质和审计重点的改变,CAATs越来越多用于效益审计和案件调查审计中,并发挥了积极的作用。在审计的计划阶段,(使用CAATs)着眼于如何提高审计效果,如: 重大/重要的趋势和规律可能更加直观地显现出来,并使得下一步的审计工作重点更加突出,无论是手工审计还是计算机化的审计。 由于被审计单位在开始审计之前就可以提供电子数据,审计人员就有
7、了在数据上“自由发挥”的能力。这方面的作用不可低估,尤其是在效益审计和案件调查审计项目中。在审计的实施阶段,通常是着重于如何提高审计的效率: 提高审计的覆盖面-包括深度和广度; 节省时间和成本; 提出更加复杂的审计问题,并提高分析能力; 为创新审计方法提供更多机会。2. CAATS种类2.1 程序审查与文件审查在审计工作中,可以将CAATS分为两个不同的领域: 程序审查 数据分析从广义上讲,针对计算机程序的CAATs关注于对计算机程序的不同处理过程进行审查。从理论上讲这种审查可以覆盖整个计算机程序,当然这种情况在实践中很难实现。另一方面,针对数据的CAATs只关注数据分析,而不关注产生数据的计
8、算机程序。这倒不一定是说,数据分析的CAATs只能用于实质性测试,而针对计算机程序的CAATs就只能用于基于系统的审计。计算机程序的审查一般只用于合规性审计或者最多能用于财务证实性审计,数据分析可以用于效益审计和案件调查审计。实际上,数据分析用在评估控制的实际效果方面也十分有用,并不一定只依靠对程序的分析(对程序的分析只是IT控制的一个方面)。一般来说,使用针对计算机程序的CAATs需要较高的专业技术水平,以及与被审计单位的技术环境相关的专门知识和技能。这对于许多最高审计机关来说可能并不一定是可行的,尤其是对于那些缺少IT审计专家(对应于INTOSAI IT审计教学大纲中描述的技术水平的第3级
9、)的审计机关来说。同样,计算机程序分析一般只用于合规性审计或者最多能用于财务证实性审计,数据分析用于效益审计和案件调查审计十分有效。因此,在大多数据情况下,运用CAATs进行数据分析不仅更加可行,而且可以用于更加广泛的领域。2.2 用于计算机程序分析的CAATs这方面的CAATs可以归为以下几类:检查数据流 快照 追踪 映像检查数据和文件的完整性 平行模拟 测试数据生成器和整体测试工具嵌入审计模块 系统控制审计复查文件(SCARF) 样本审计复查文件(SARF)其他工具 源代码检查 程序库分析 代码比较 用户日志分析2.3 检查数据流快照(Snapshot) - 是一种实用工具软件,审计人员可
10、以用它将一个计算机程序在某一点冻结。这样就可以检查交易的值和运行的程序所完成的处理。快照是一种快速和相对容易的工具,但它的功能有限,而且只能针对具体的软件。快照的典型例子是,在程序中加入一个代码行,以便将程序中断并输出某个特定变量的值。另一个例子是开发工具所提供的程序排错功能,它可以使程序在规定的模式下运行;每一步都可以对不同的数据值进行检查。追踪(Tracing) - 这种方法涉及生成一个完整的审计轨迹,以便在处理过程中对交易进行追踪。通过追踪,可以看到每一个代码行对所处理的数据产生的效果或者程序本身的结果。如果一个程序不能正确地将交易汇总,通过追踪的方法就可以发现错误出现在哪里。追踪的主要
11、优点是,这种方法可以使审计人员看到程序运行的不同阶段,而这种阶段的变化在正常情况下是非常快的。追踪方法的缺点是,这种方法要求审计人员具有编程的知识,而且不同的软件的追踪功能也各不相同。映像(Mapping) - 这种方法涉及对程序的执行进行监视,以取得某些统计信息。如:未被执行的程序代码、某些特定的代码行执行的次数等等。审计人员可以通过映像功能发现冗余代码或用于舞弊目的的代码。2.4 检查数据和文件的完整性平行模拟(Parallel Simulation) - 使用这种工具,审计人员可以对所测试的应用程序或其中的一部分进行再次执行。平行模拟法的使用包括建立另外一套独立的代码,来模拟所要测试的功
12、能。平行模拟的结果可以与应用程序的处理结果进行比较。这种方法的好处在于它可以证明系统中计算或处理过程的准确性,而不对系统本身产生影响。采用这种方法,审计人员需要对系统非常了解,并具备丰富的编程经验。测试数据生成器(Test Data Generators)和整体测试工具(Integrated Test Facilities) - 这种工具可以根据审计人员的要求生成测试数据。这是一种证明被测试的应用软件能够正确地处理数据的好方法。采用这种方法,审计人员需要对被测试的应用软件非常了解,而且必须确保生成的测试数据不能对系统中的真实数据产生影响。整体测试工具由应用软件自己产生,而测试数据生成器在应用软
13、件之外产生数据记录。这种测试的结果必须从最终报告只清除,不然汇总结果将受到影响。要想设计出能够对应用软件控制进行全面测试所需的数据组合通常也是比较困难的。2.5嵌入审计模块在审计人员不需要客户应用系统中产生的全部数据的情况下,可以使用这种方法。嵌入审计模块可以按照一定的标准从系统中提出信息,以便使审计人员做进一步的测试。嵌入审计模块也可以在应用系统运用期间执行某些功能。例如,可以用它来清除审计人员为了证明系统有效性而植入的测试数据。嵌入审计模块有以下三方面的优点: 审计人员可以得到一个数据文件,其中只包括与审计切实相关的信息; 可以就测试记录从应用系统中删除,以免计算的汇总结果; 可以在预定的
14、某一点按照审计人员要求的格式提取到变化不定的数据(随着程序的运行而变化或后续程序将数据改变)。嵌入审计模块的缺点存在于以下三个方面: 如果审计人员想要编写一个嵌入审计模块,就必须对系统有十详细的了解并掌握编程技巧; 如果是由被审计单位的人替审计人员编写,则编程要求必须准确并且容易实现。客户通常需要预约对程序进行改动的日期,这会耽误取得审计所需要的信息; 审计人员必须有办法确保从中提取数据或从中抽样的数据文件是完整的。由被审计单位人员编写嵌入审计模块,就相当于被审计单位可以进行相同的审计工作,而这是审计人员的责任。采用嵌入审计模块方法的两个特例是系统控制审计检查文件(SCARF)和抽样审计检查文
15、件(SARF): SCARF方法是将审计人员确定的合理性测试植入应用程序中,随着程序的运行,那些不合理的交易就会被复制到一个专门的文件中以供审计人员随后审查。 SARF方法与SCARF方法相类似,它只是随机地抽取数据而不是根据设定的合理性条件来抽取数据。2.6其他工具源代码审查(Source Code Reviews): 审计人员可以尝试审查程序源代码的片断。一般来说,审查全部的源代码是不切实际的;审计人员通常是重点审查几个感兴趣的片断,如:金额的计算、关键逻辑点。程序库分析(Program Library Analysis): 在程序输出结果中出现异常变化时,审计人员可以通过分析程序修改的记
16、录,确定问题的潜在原因。代码比较(Code Comparison): 审计人员将应用软件的源代码或目标代码与可靠保存的原始版本进行比较。审计人员也常常有兴趣去发现实际运行的经编译的程序(目标代码)是否真的源自于源代码的主版本。这样就可能发现舞弊人员的篡改或错误,以保证正在使用的是软件的最新版本。用户日志分析软件(User Log Analysis Software): 这种方法可以发现未经授权的进入尝试或非法口令。大多数系统都有一个用户进入和登录尝试的记录日志。这个文件通常是简单的文本文件,可以方便地使用文件审查软件或自己的程序进行审查。2.7用于数据分析的CAATsCAATs其它方面的用途就
17、是分析被审计单位的数据。由于这方面的应用相对容易掌握,这就使这方面的应用占了CAATs应用的绝大部分。有许多审计软件和SQL查询工具可以用于数据分析,一般用于个人电脑系统。这些工具适用于合规性审计、效益审计、案件调查审计和财务审计。 常用的数据分析技术包括以下几个方面:汇总(Totalling): 这是一种用来证明账户完整和进行调节对账的技术; 分层(Stratification):可以给审计人员描绘出一个文件中的不同的数值的更加完整的图像,以便进行更加复杂的审查及更快地显示文件中可能存在的问题;数据挖掘(Data mining): 可以用来进行比较和趋势分析,以找出可以进一步分析和测试的领域
18、;抽样(Sampling): 审计人员可以用这种技术从文件中抽取代表性的交易样本; 例外报告(Exception reporting): 选取记录及按照一定的条件选择抽取数据记录以便进一步分析;重复记录检查(Duplicate record checks): 查找错误的支付或可能的舞弊行为;账龄分析(Ageing): 可以显示在一定的期间内支付的规律。对交易的收据日和支付日之间的时段进行监控。这在货币价值审计(如:支付系统是否能完全发挥作用?)中十分有用;断号查找(Gap detection):显示在一串连续的号码中缺失的号码。可以用于发现漏掉的交易或舞弊行为;重新计算(Reperforman
19、ce of Calculations):可以用来证明处理数据中所使用的公式的正确性。可以对输入数据再次处理,以证明控制功能切实发挥作用及处理的准确性,例如,根据交易数据重新生成资产负债表和利润表等财务报表,并与原来打印出来的版本进行对比。2.8数据分析 问题探讨审计人员依赖数据分析的结果做出审计结论会存在潜在的风险。这些风险受到下列因素的影响: 审计人员是否仅仅依靠数据分析来查找审计发现?或者是审计人员是否还通过非计算机化的审计测试来为CAATs提供必要的补充证据?审计人员是否通过核对纸质文档来对数据分析的结果进行了交叉验证(或者至少抽几个例子来验证)? 审计人员是否执行IT系统的控制检查,以
20、评估进入系统或由系统处理的数据的可靠性?审计人员是否通过与控制总数调节等方式对下载的数据的完整性进行了检查? 审计人员对被单位的计算机系统,尤其是数据,理解到什么程度?这种理解是否与审计单位的系统文档资料进行了核对,或与被审计单位的人员进行了讨论? 审计人员对CAAT工具掌握到什么程度?审计人员接受了多大程度培训以及有多少使用这种软件工具的经验? 是否有正式的有关保证数据分析质量的方法?这种方法一般应涉及(a) 监督和复查, (b)同业复查。3. 使用CAATs进行数据分析中要考虑的问题3.1 何时使用CAATs数据分析虽然使用CAATs进行数据分析可以为审计机关带来一些好处,但我们还是建议在
21、具体的审计环境中使用CAATs时,首先要进行正式的成本 效益分析。这种分析通常只是做一个定量的评估。尽管如此,它还是有助于对要产生的好处和成本设定一个更为现实的期待。 主要的成本是为了准备使用CAAT所涉及的相关资源的成本;这些资源涉及到如下几个方面: 为理解IT系统所做的工作; 确定使用哪种CAAT工具以及数据访问或传输的方式; 下载数据,进行下载检验/核对。这种成本从本质上说属于固定成本,一般与数据审查的量和程度无关。 在权衡是否要使用CAATs时,需要考虑以下几个重要因素: 在未来审计中要重复使用CAATs,对于审计机关来说这是很重要的一点,因为审计机关通常与被审计单位会有一个长期的审计
22、关系(与民间审计事务所不同); 审计的重要程度很高,或者是已经确认的高风险审计领域; 被审计单位核心业务(而不是单纯的行政管理领域,如:财务、人事、存货等)的计算机化,可能是实时的或在线的交易处理; 相关的非计算机化的审计技术不现实或成本很高。3.2 何时使用CAATs进行程序分析决定是否使用CAATs进行程序分析要考虑如下重要因素: 应用程序执行关键任务; 无法依靠数据分析提供有关控制是否充分有效的保证。4. 将CAATs引入审计机关许多最高审计机关,尤其是那些规模较小、财政和人力资源有限的审计机关在工作大多还一直采用手工审计技术。在需要采用CAATs的情况下,需要以一种有计划的、系统的和分
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 27 用于 数据 分析 CAATsIntosaiCommunityPortal
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。