刘汝焯：数字化审计--兼论信息系统实务及金融企业信息系统审计

1、2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ1数字化审计数字化审计-兼论信息系统实务及金融企业信息系统审计兼论信息系统实务及金融企业信息系统审计刘刘 汝汝 焯焯2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ2以数字化为基础的信息化是我们今天面临的全新形势以数字化为基础的信息化是我们今天面临的全新形势 今天的审计面临着什么样的形势今天的审计面临着什么样的形势? 信息化：以数字化为基础的信息化信息化：以数字化为基础的信息化审计环境的信息化审计环境的信息化审计环境的信息化审计环境的信息化国民经济和全社会的信息化国民经济和全

2、社会的信息化美国网络司令部美国网络司令部特战部队特战部队战场数字化系统战场数字化系统伊朗的核问题伊朗的核问题 20111102茶农销售有机茶茶农销售有机茶2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ3审计对象的信息化审计对象的信息化审计对象的信息化审计对象的信息化银行、保险、海关、企业、社保、住房公积金银行、保险、海关、企业、社保、住房公积金SAP、ERP一个企业的一个企业的发展现状发展现状2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ42022-5-18Copyright(C) 2002 Liu Ruzhuo CA

3、NJ5金融企业信息化的变化金融企业信息化的变化 建设的系统：建设的系统： 业务系统：信贷、承兑汇票、信用证、信用卡、外汇买卖、业务系统：信贷、承兑汇票、信用证、信用卡、外汇买卖、中间业务；中间业务； 会计系统：账户管理系统（对公、对私）、清算系统（人行会计系统：账户管理系统（对公、对私）、清算系统（人行、联行、同城、国际结算）、网银；、联行、同城、国际结算）、网银； 财务系统：费用、固定资产、重要空白单证；财务系统：费用、固定资产、重要空白单证； 其他辅助系统：办公、公文、邮件、人力资源等；其他辅助系统：办公、公文、邮件、人力资源等； 金融企业信息化的变化金融企业信息化的变化 数据：数据： 多

4、数做到数据总行集中多数做到数据总行集中 南北数据中心南北数据中心2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ6信息化带来的深刻变化信息化带来的深刻变化 经济活动的管理手段发生了变化：人工变成了电脑经济活动的管理手段发生了变化：人工变成了电脑 记录经济活动的载体发生了变化：纸变成了光盘记录经济活动的载体发生了变化：纸变成了光盘 表现会计核算内容的形式发生了变化：文字变成了表现会计核算内容的形式发生了变化：文字变成了代码代码 存储数据的空间发生了变化：报表、账薄、柜子变存储数据的空间发生了变化：报表、账薄、柜子变成了硬盘成了硬盘 人与人联系的方式发生了变化：

5、越来越多地走上了人与人联系的方式发生了变化：越来越多地走上了网络网络 信息化带来的深刻变化信息化带来的深刻变化 符号记录的方式，物质载体，数据的属性，符号记录的方式，物质载体，数据的属性，信息生成的机制，信息传播方式等等，都发信息生成的机制，信息传播方式等等，都发生了质的、根本性的变化。生了质的、根本性的变化。2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ8审计的变革审计的变革 在这样的大背景下，审计学涌进了大量其他在这样的大背景下，审计学涌进了大量其他学科的新思想和新理论；审计实务涌入了信学科的新思想和新理论；审计实务涌入了信息技术、计算技术、通信技术、

6、网络技术、息技术、计算技术、通信技术、网络技术、数理统计、数据分析、数据可视化等先进的数理统计、数据分析、数据可视化等先进的技术和方法。技术和方法。 审计方式的变革和创新势在必行。审计方式的变革和创新势在必行。2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ9信息化发展的新特点信息化发展的新特点 信息化的发展速度加快，覆盖面进一步加大信息化的发展速度加快，覆盖面进一步加大 系统的集成性整体提升，系统的集成性整体提升，ERPERP、SAPSAP成为主流成为主流 如何运用信息化技术手段解决业务与管理问题如何运用信息化技术手段解决业务与管理问题是需要解决的核心问题

7、是需要解决的核心问题 培养复合型人才成为培训的主流，培训力度空培养复合型人才成为培训的主流，培训力度空前加大前加大 数字化审计已经成为信息化环境下的主流审计数字化审计已经成为信息化环境下的主流审计方式方式新的挑战新的挑战 审计信息化出现了新的特点，提出了新的挑审计信息化出现了新的特点，提出了新的挑战，也提供了从未有过的发展机遇。战，也提供了从未有过的发展机遇。 我们应该做些什么我们应该做些什么? 创造新的审计方式：数字化审计创造新的审计方式：数字化审计2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ11突破口和切入点突破口和切入点 数字化审计有多种不同的名称

8、，如计算机审数字化审计有多种不同的名称，如计算机审计、计、IT审计、非现场审计等等。叫法虽然不审计、非现场审计等等。叫法虽然不同，但却有着许多共同点：审计对象是计算同，但却有着许多共同点：审计对象是计算机信息系统，分析的是电子数据，运用的是机信息系统，分析的是电子数据，运用的是数据分析方法，工具是电脑，产生的是电子数据分析方法，工具是电脑，产生的是电子数据，所有这些都是建立在数字化基础之上数据，所有这些都是建立在数字化基础之上的。所以我们把这种类型的审计称之为数字的。所以我们把这种类型的审计称之为数字化审计。化审计。2022-5-18Copyright(C) 2002 Liu Ruzhuo C

9、ANJ13共同讨论的几个问题共同讨论的几个问题 一、数字化一、数字化审计的案例审计的案例 二、数字化审计的二、数字化审计的特征和概念特征和概念 三、数字化审计的三、数字化审计的主要内容和流程主要内容和流程 四、数字化审计的四、数字化审计的技术和方法技术和方法 五、五、金融企业金融企业数字化审计的重点数字化审计的重点 六、坚定不移六、坚定不移推进数字化审计推进数字化审计审计实施要重点回答的几个问题审计实施要重点回答的几个问题 怎么审？怎么审？把握总体把握总体、突出重点、精确延伸、调查取证、突出重点、精确延伸、调查取证 切入点？切入点？信息系统信息系统、底层数据、底层数据 审什么？审什么？研发中心

10、系统审计研发中心系统审计 返回返回把握总体把握总体系统模型之一：系统模型之一：集团公司收入结构分析，确定集团公司收入结构分析，确定“主营业务收入主营业务收入”为审计重点为审计重点系统模型之二：系统模型之二：集团公司收入结构分析，确定将集团公司收入结构分析，确定将“某航空公司某航空公司”作为审计重点作为审计重点系统模型之三：系统模型之三：某航空股份公司收入结构分析，确定某航空股份公司收入结构分析，确定“运输收入运输收入”为审计重点为审计重点类别模型之一：运输收入总量变化趋势类别模型之一：运输收入总量变化趋势运输收入：运输收入：2002200220042004年票务数据中的总体趋势年票务数据中的总

11、体趋势 运输收入：运输收入：2002200220042004年财务数据调整后的总体趋势年财务数据调整后的总体趋势 运输收入：运输收入：2002200220042004年财务数据调整前的总体趋势年财务数据调整前的总体趋势 财务数据和业务数据的对比财务数据和业务数据的对比类别模型之二：类别模型之二：机票销售暗扣变化趋势机票销售暗扣变化趋势 模型：模型： select 作帐月作帐月,count(*) as 票数票数,sum(毛额毛额1) as毛额毛额1,sum(净额净额1) as 净额净额1, sum(毛额毛额1-净额净额1) as 暗扣暗扣 from 主表主表_国内票国内票_某航空出票并承运某航空

12、出票并承运 where 飞行日期飞行日期1=20020101 and 票联号票联号=1 group by 作帐月作帐月 order by 作帐月作帐月个体模型：个体模型：统计销售暗扣发生金额统计销售暗扣发生金额 结果：结果：反推系统反推系统 返返 回回系统把握整体情况系统把握整体情况海关业务系统国税局 港口商务委海关业务系统（业务数据）报关单报关单放行结果信息报关单，出口退税进出口收付汇数据1.通知放行信息.2.集装箱过磅重量信息3.放行结果信息电子数据中心商检局船舶代理公司舱单通关单外管局企业申报Edi信息其他相关单位报关单重量与集装箱过磅重量差异结果表共发现共发现52575257条记录条记

13、录探索系统审计的方法 跟踪测试管理系统中已经通关的业务数据跟踪测试管理系统中已经通关的业务数据 采取倒推法，利用与海关业务密切相关的外采取倒推法，利用与海关业务密切相关的外部数据验证通关信息的真实性部数据验证通关信息的真实性 认真分析核实结果，发现管理中存在的漏洞认真分析核实结果，发现管理中存在的漏洞和缺陷和缺陷系统审计步骤之一：系统审计步骤之一：选择跟踪测试数据选择跟踪测试数据系统审计步骤之二：系统审计步骤之二： 利用外部数据跟踪测试利用外部数据跟踪测试发现差异发现差异海关报关单显示，出口货物海关报关单显示，出口货物2470件，重量件，重量42555公斤，体积公斤，体积207.5立方米。立方

14、米。船公司的提单显示，出口货物船公司的提单显示，出口货物720件，重量件，重量13190公斤，体积公斤，体积69.5立方米。立方米。*公司公司524744790报关单实际退税情况报关单实际退税情况筛选出全部多报少出集装箱的结果共有共有8523个申报出口的集装箱实际没有装船出口个申报出口的集装箱实际没有装船出口*电子（电子（*）电器有限公司出口申报集装箱数量与实际装船出）电器有限公司出口申报集装箱数量与实际装船出口的集装箱数量差异表口的集装箱数量差异表*公司出口申报货物重量与码头货物过磅重量差异表公司出口申报货物重量与码头货物过磅重量差异表海关处理结果海关处理结果返 回 2004年4月至2005

15、年3月间，少出口货物完税价格521046美元和38972欧元，折合保税货物原料价值人民币3847284元，出口保税货物制成品申报不实，涉及税款人民币759240。上述行为构成违反海关监管规定的行为。对该公司罚款人民币700000元。2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ35数字化审计的特征数字化审计的特征 以系统论为指导以系统论为指导 审计取证的切入点审计取证的切入点是信息系统和底层数据是信息系统和底层数据 信息系统审计信息系统审计是重要内容是重要内容 数字化审计的实现方式发生了数字化审计的实现方式发生了根本性的变化根本性的变化 创建审计中间表，创

16、建审计中间表，构建审计信息系统构建审计信息系统 构建模型构建模型进行数据分析（超越系统）进行数据分析（超越系统）2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ36系统论为指导系统论为指导 系统是由若干要素以一定结构形式联结构成的具系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论讲的是事物之间的有某种功能的有机整体。系统论讲的是事物之间的联系，是规律，要求思维是立体的，不是平面的。联系，是规律，要求思维是立体的，不是平面的。计算机审计就是要从系统论的高度来研究新的审计计算机审计就是要从系统论的高度来研究新的审计方式。把审计对象作为一个系

17、统，让被审计单位的方式。把审计对象作为一个系统，让被审计单位的信息都在审计监督范围之内。审计人员到一个单位信息都在审计监督范围之内。审计人员到一个单位去，一进去就把整个资料都掌握住，通过系统分析、去，一进去就把整个资料都掌握住，通过系统分析、对照、比较，选择其中最薄弱的部分作为重点，找对照、比较，选择其中最薄弱的部分作为重点，找出核心问题在哪里，从总体上把握。不是像过去那出核心问题在哪里，从总体上把握。不是像过去那样瞎碰，逮着什么算什么。样瞎碰，逮着什么算什么。2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ37系统论指导下的审计系统论指导下的审计 把握总体

18、，突出重点，发现问题，客观评价，把握总体，突出重点，发现问题，客观评价，提出建议，规范提高提出建议，规范提高返回2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ38与传统审计的区别与传统审计的区别 传统审计是账套式审计；数字化审计是对数传统审计是账套式审计；数字化审计是对数据的审计。据的审计。 采集数据的起点从财务会计报表提前到了底采集数据的起点从财务会计报表提前到了底层数据，从本质上注入了审计的内涵；会计层数据，从本质上注入了审计的内涵；会计报表数据是语言，原始数据是文字；会计报报表数据是语言，原始数据是文字；会计报表数据是信息，原始数据是元素。表数据是信

19、息，原始数据是元素。返回系统审计实务中发现的问题类型系统审计实务中发现的问题类型 舞弊舞弊 电脑加油、截留中间业务收入、非法模块电脑加油、截留中间业务收入、非法模块 漏洞漏洞 骗取银行存款、骗取增值税票骗取银行存款、骗取增值税票 汇丰银行英国汉普郡利明顿汇丰银行英国汉普郡利明顿Milford-on-Sea镇镇ATM机双倍吐款机双倍吐款 隔断隔断 黄金诈骗、骗取退税黄金诈骗、骗取退税 滞后滞后 关税税率关税税率 管理管理 黄金交易参数设置黄金交易参数设置2022-5-18IT Department of CNAOs Nanjing Resident Office392022-5-18IT Dep

20、artment of CNAOs Nanjing Resident Office40信息系统审计的发展过程信息系统审计的发展过程 国外情况简介国外情况简介 我们的发展历程我们的发展历程 有关组织模式的探讨有关组织模式的探讨 2022-5-18IT Department of CNAOs Nanjing Resident Office41国外情况简介国外情况简介 ISACA电子数据处理电子数据处理 信息系统审计信息系统审计 IT治理治理COBIT GAO一般控制一般控制 应用控制应用控制FISCAM2022-5-18IT Department of CNAOs Nanjing Resident

21、Office42信息系统审计与控制协会（信息系统审计与控制协会（ISACAISACA）国际上引领信息系统审计的民间组织国际上引领信息系统审计的民间组织 发布信息系统审计准则体系发布信息系统审计准则体系16个标准39个指南11个程序 C COBIOBIT T 标准标准IT准则维 IT资源维 IT过程维 标准标准 总纲，描述IS审计师资格条件、基本规范，是制定指南和程序的依据。指南指南 依据准则制定，是准则的具体化，规定审计师执行审计业务、出具审计报告的具体指南。程序程序 依据准则和指南制定，为审计师提供一般审计业务的程序和步骤，提供工作范例。2022-5-18IT Department of C

22、NAOs Nanjing Resident Office43COBITCOBIT的三维体系结构的三维体系结构 IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。靠性、有效性。IT资源维主要包括人员、应用系统、技术、设备及数据在内的信息相关的资源，主要包括人员、应用系统、技术、设备及数据在内的信息相关的资源，这是这是IT治理过程的主要对象。治理过程的主要对象。IT过程维在在IT准则

23、的指导下，对信息及相关资源进行规划与处理，从信息技术准则的指导下，对信息及相关资源进行规划与处理，从信息技术的的“计划与组织（计划与组织（PO）”、“获取与实现（获取与实现（AI）”、“交付与支持交付与支持（DS）”和和“监督与评估（监督与评估（ME）”这这4个方面确定了个方面确定了34个个IT活动的活动的一般过程；一般过程；对每个一般过程分解出详细控制目标，共计对每个一般过程分解出详细控制目标，共计215个详细控制目标。个详细控制目标。在对每个一般过程分解出详细控制目标后，还提出该过程的管理指南在对每个一般过程分解出详细控制目标后，还提出该过程的管理指南并给出成熟度模型。并给出成熟度模型。

24、2022-5-18IT Department of CNAOs Nanjing Resident Office44COBIT的基本结构的基本结构2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ45 信息技术管控（信息技术管控（IT Governance） 信息技术审计（信息技术审计（IT Audit） 信息安全（信息安全（Information Security） 信息技术的风险管理（信息技术的风险管理（IT Risk Management） 信息确保（信息确保（Information Assurance）目前系统的研究方向目前系统的研究方向2022-5-1

25、8IT Department of CNAOs Nanjing Resident Office46政府责任署（政府责任署（GAOGAO） 1999年年1月颁布了月颁布了联邦信息系统控制审计手联邦信息系统控制审计手册册卷卷I 财务报表审计财务报表审计 一般控制一般控制 2009年年2月颁布了最新版本的月颁布了最新版本的联邦信息系统控联邦信息系统控制审计手册制审计手册（FISCAM）一般控制一般控制应用控制应用控制2022-5-18IT Department of CNAOs Nanjing Resident Office47GAOGAO的手册的手册一般控制一般控制安全管理（安全管理（SM-1 S

26、M-7）访问控制（访问控制（AC-1 AC-6）配置管理（配置管理（CM-1 CM-6）职责分离（职责分离（SD-1 SD-2）应急计划（应急计划（CP-1 CP-4）应用控制应用控制应用系统层面的一般控制（应用系统层面的一般控制（AS-1 AS-5）业务流程控制（业务流程控制（BP-1 BP-4）接口控制（接口控制（IN-1 IN-2）数据系统控制（数据系统控制（DA-1）2022-5-18IT Department of CNAOs Nanjing Resident Office48我国的发展历程我国的发展历程从从2000年起开展信息系统审计年起开展信息系统审计 对交通部开发应用的对交通部

27、开发应用的车辆购置附加费征稽系统车辆购置附加费征稽系统开展开展了审计了审计 审计中借鉴了国外的相关标准审计中借鉴了国外的相关标准融入了自身的认识和理解融入了自身的认识和理解 信息系统审计与业务审计的关系信息系统审计与业务审计的关系一开始就没有脱离过审计业务一开始就没有脱离过审计业务为审计业务服务为审计业务服务 当前的工作仍处于探索阶段当前的工作仍处于探索阶段 创造出了许多很好的模式创造出了许多很好的模式积累了许多宝贵的经验积累了许多宝贵的经验 2022-5-18IT Department of CNAOs Nanjing Resident Office49审计署的探索审计署的探索2006年派出

28、信息系统审计高级培训班赴美国硅谷学习年派出信息系统审计高级培训班赴美国硅谷学习2007年开始尝试开展信息系统审计年开始尝试开展信息系统审计2007年开展了对国家开发银行的年开展了对国家开发银行的“结合式结合式”信息系统审计信息系统审计2008年开展了对天津中化进出口公司的年开展了对天津中化进出口公司的“独立式独立式”信息系统信息系统审计审计2009年开展了对中国联通总公司的年开展了对中国联通总公司的“结合式结合式”信息系统审计信息系统审计2010年由各业务司牵头，同时开展了年由各业务司牵头，同时开展了5个个“结合式结合式”的信息系的信息系统审计项目统审计项目 一共征集了一共征集了2次信息系统审

29、计案例次信息系统审计案例 2008年开始在南京审计学院举办信息系统审计高级培训研年开始在南京审计学院举办信息系统审计高级培训研讨班讨班 2010年出台年出台审计署关于检查信息系统相关审计事项的指审计署关于检查信息系统相关审计事项的指导意见导意见2012年年2月颁布月颁布国家信息系统审计指南国家信息系统审计指南返回单机审计模式示意图现场网络审计模式示意图审计专用网络审计服务器审计人员审计工作站远程监控远程网上审计示意图远程网上审计示意图拓扑结构拓扑结构拓扑结构拓扑结构数字化审计的实现方式数字化审计的实现方式 嵌入式嵌入式 独立式独立式 开放式开放式 事前、事中、事后事前、事中、事后密切结合密切结

30、合，动态跟踪监督，动态跟踪监督 着眼于网络大环境，视野开阔了着眼于网络大环境，视野开阔了返 回2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ56审计数据库的形成方式审计数据库的形成方式2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ57数据共享平台数值型数据数值型数据非数值型数据非数值型数据根据方案需要根据方案需要提出数据需求提出数据需求计算机系统计算机系统调查调查财务财务数据数据业务业务数据数据文件文件汇编汇编会议会议纪要纪要2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ58构建审

31、计信息系统构建审计信息系统返回2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ59审计分析模型的涵义审计分析模型的定义审计分析模型的定义审计分析模型是审计人员用于数据分析的数学公审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式，它是按照审计事项应该具有的式或逻辑表达式，它是按照审计事项应该具有的性质或数量关系，由审计人员通过设定计算、判性质或数量关系，由审计人员通过设定计算、判断或限制条件来建立起来的，用于验证审计事项断或限制条件来建立起来的，用于验证审计事项实际的性质或数量关系，从而对被审计单位经济实际的性质或数量关系，从而对被审计单位经济活动的真

32、实、合法、效益情况做出科学的判断。活动的真实、合法、效益情况做出科学的判断。 2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ60审计分析模型的表现形态审计分析模型的表现形态 审计分析模型有多种表现形态：用在查询分析中，表现为审计分析模型有多种表现形态：用在查询分析中，表现为一个或一组查询条件；用在多维分析中，表现为切片、切一个或一组查询条件；用在多维分析中，表现为切片、切块、旋转、钻取、创建计算成员、创建计算单元等；用在块、旋转、钻取、创建计算成员、创建计算单元等；用在挖掘分析中，表现为设定挖掘条件。挖掘分析中，表现为设定挖掘条件。审计分析模型的分类审计分

33、析模型的分类2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ61审计分析模型算法什么是审计分析模型算法？什么是审计分析模型算法？审计分析模型算法是构建审计分析模型的审计分析模型算法是构建审计分析模型的思路、方法、步骤。思路、方法、步骤。 数字化审计的概念数字化审计的概念 数字化审计是以被审计单位计算机信息系数字化审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计数据的采集、转换、清理、验证，

34、形成审计中间表，并且运用查询分析、多维分析、数中间表，并且运用查询分析、多维分析、数据挖掘等多种技术等方法构建模型进行数据据挖掘等多种技术等方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。实现审计目标的审计方式。数字化审计概念的发展数字化审计概念的发展 计算机辅助审计技术和方法计算机辅助审计技术和方法 计算机审计计算机审计 数字化审计数字化审计返 回数字化审计的主要内容数字化审计的主要内容 数据审计数据审计对计算机输入、处理、存储、输出的数据进行分

35、析检查对计算机输入、处理、存储、输出的数据进行分析检查 信息系统审计信息系统审计对与财政财务收支有关的计算机信息系统进行检查对与财政财务收支有关的计算机信息系统进行检查返 回2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ65数数字字化化审审计计流流程程2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ66数字化审计流程数字化审计流程 1.审前调查审前调查，获取必要和充分的信息。，获取必要和充分的信息。 提交数据需求说明书。提交数据需求说明书。 2.采集数据采集数据，全面掌握情况。，全面掌握情况。 数据下载报告、承诺书。数据

36、下载报告、承诺书。 3.数据转换数据转换、清理和验证。、清理和验证。 4.建立审计中间表建立审计中间表，构建审计信息系统，构建审计信息系统 关于中间表的说明关于中间表的说明 5.多维分析、把握总体，锁定重点。多维分析、把握总体，锁定重点。 6.建立个体模型，内外关联，对比分析，筛选线索。建立个体模型，内外关联，对比分析，筛选线索。 形成数据分析报告。形成数据分析报告。 7.延伸落实，审计取证。延伸落实，审计取证。 审计现场数字化审计现场数字化，对流程进行管理，对流程进行管理返回按照七步流程开展企业审计按照七步流程开展企业审计审前调查，获取充分必要的信息审前调查，获取充分必要的信息调查的主要内容

37、：1、被审计单位组织结构、管理体制和业务流程 。2、信息系统建设、管理、使用总体情况，并重点关注财务系统、核心业务系统的核算（管理）内容、数据来源、数据处理流程、数据库类型、数据量等相关情况。 3、外部关联单位电子数据情况。 4、宏观政策、行业法规等。 按照七步流程开展企业审计按照七步流程开展企业审计审前调查，获取充分必要的信息审前调查，获取充分必要的信息实地考察的内容：功能的考察：详细查看系统功能菜单按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：1、被审计单位信息系统总体情况；2、采集数据的系统3、采集范围和方法4、外部数据采集

38、范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：1、被审计单位信息系统总体情况；向被审计单位提供的第一份数据需求说明书中一般会简单介绍一些被审计企业的信息系统总体情况，如果多次提出数据需求，则不必每次都需要介绍总体情况。按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：2、采集数据的系统数据A信息系统A处理结果A信息系统B按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：2、

39、采集数据的系统数据A信息系统A信息系统C信息系统B按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：2、采集数据的系统数据A信息系统A信息系统C信息系统B数据A数据A按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：3、采集范围和方法如何采集，什么格式，时间范围，单位范围按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据需求说明书：4、外部数据采集范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计按照七步流程开展企

40、业审计采集数据采集数据 全面掌握情况全面掌握情况审计数据采集结果报告： 采集数据的信息系统名称及功能；数据采集的方法；数据的范围、内容、格式。按照七步流程开展企业审计按照七步流程开展企业审计采集数据采集数据 全面掌握情况全面掌握情况数据采集的两个注意事项：数据采集的两个注意事项： 审计人员不要到被审计单位的系统上直接采集数据；审计人员不要到被审计单位的系统上直接采集数据； 让被审计单位提供承诺书，承诺提供的数据是真实、让被审计单位提供承诺书，承诺提供的数据是真实、完整、正确、完整、正确、有效的有效的。 按照七步流程开展企业审计按照七步流程开展企业审计清理、转换、验证数据清理、转换、验证数据转换

41、数据： 数据的转换主要是对格式的转换，现阶段大家应用较多的sqlserver，主要是将数据从各类不同的格式（DB2、Oracle、Sybase、Excel等）转换到SqlServer中去，这主要是一个技术问题。要反复练习、积累经验。按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：1、填入缺失的值；2、处置空值；3、处理冗余数值；4、更改错误数据；5、代码转换；6、实现表的合并按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：1、填入缺失的值；字段的缺失；记录的缺失按照七步流程开展企业审计按照七步流

42、程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：2、处置空值；空值在运算、查询等多中操作中存在问题，所以审计人员可以根据空值表示的意义，赋予一定的值，去掉空值。 按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：3、处理冗余数值； 冗余是一个相对概念，是指审计冗余，即对审计人员的审计工作来说是冗余的，被审计单位的数据考虑到其本身管理、核算的需要、考虑到数据安全、数据库的设计方式等多种因素，有些数据对他们来说可能就不是冗余的。按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：4、更改错

43、误数据格式中的错误按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：5、代码转换；代码的汉化按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：6、实现表的合并实现不同表的合并按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：数据清理要有详细的记录，尤其对数据的删、改要有详细的记录和理由按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：数据清理要有详细的记录，尤其对数据的删、改要有详细的记录和理由按照七步流

44、程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：一个案例航空公司票务数据：出票日期、飞行日期为整型、字符型，审计需要转成日期型，但内容非常不规范0，20020031，20020133逐条修改不现实，需要一次性的找出所有的不规范记录按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据清理数据：一个案例长度不对；年限不对；月份不对；日子不对。 确定日期应该满足条件，然后进行查找按照七步流程开展企业审计按照七步流程开展企业审计转换、清理、验证数据转换、清理、验证数据数据验证：关键是业务数据的验证关联数据的对比财务数据与业务数

45、据的对比基本规律的设置检查数据抽查 按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据（1 1）国家宏观政策、相关法律法规；（）国家宏观政策、相关法律法规；（2 2）新闻媒体、）新闻媒体、科研机构、专家学者对该企业、该行业的研究报告；科研机构、专家学者对该企业、该行业的研究报告；（3 3）企业、企业领导人、企业各部门年度总结；（）企业、企业领导人、企业各部门年度总结；（4 4）企业内部管理制度和收发文情况；（企业内部管理制度和收发文情况；（5 5）各类决策会）各类决策会议的会议纪要；（议的会议纪要；（6 6）各

46、类举报材料。）各类举报材料。 按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据采集按照审计重点事项的发生过程确定采集范围和内容按照审计重点事项的发生过程确定采集范围和内容 按照非数值型数据的类别确定采集范围和内容按照非数值型数据的类别确定采集范围和内容 采用其他方法确定采集范围和内容采用其他方法确定采集范围和内容 按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据转换全文扫描局部扫面内容摘要 按照七步流程开展企业审计按照七步流

47、程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据清理清理重复的数据清理无效的数据 清理无实质意义的数据 按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据验证 （1）验证非数值型资料文件页码的连续性 （2）分析非数值型资料内容逻辑的合理性 （3）利用鉴定机构进行笔迹、印章等鉴定 （4）比对多份不同来源的同一资料 （5）追溯资料形成过程，分析资料形成过程的逻辑性按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计

48、信息系统审计中间表：数值型数据中间表财务数据大致相同，凭证表、余额表、代码表业务数据差异很多，与行业特点和审计需求相关中间表说明按照七步流程开展企业审计按照七步流程开展企业审计创建审计中间表创建审计中间表 构建审计信息系统构建审计信息系统审计中间表：非数值型数据中间表数据文件目录当前信息系统审计的主要内容当前信息系统审计的主要内容 一般控制的审计一般控制的审计 应用控制的审计应用控制的审计 信息系统建设效益的审计信息系统建设效益的审计2022-5-18Copyright(C) 2002 Liu Ruzhuo CANJ982022-5-18IT Department of CNAOs Nanji

49、ng Resident Office99一般控制审计（一般控制审计（4个方面）个方面） 安全管理方面，包括安全管理方面，包括2个审计事项：个审计事项：安全管理制度制定情况安全管理制度制定情况被审计单位是否制定了安全管理制度并得到贯彻执行；被审计单位是否制定了安全管理制度并得到贯彻执行；安全管理职责履行情况安全管理职责履行情况信息系统设计是否符合国家等级保护、分级保护要求；信息系统设计是否符合国家等级保护、分级保护要求；系统安全员、安全审计员履行职责是否到位；系统安全员、安全审计员履行职责是否到位；对关键的数据信息资源是否采取了适当的保护措施；对关键的数据信息资源是否采取了适当的保护措施；202

50、2-5-18IT Department of CNAOs Nanjing Resident Office100一般控制审计（一般控制审计（4个方面）个方面） 物理环境安全方面，包括物理环境安全方面，包括3个审计事项：个审计事项：机房环境安全合规性机房环境安全合规性防火、防雷、防盗等安全设施是否有效；防火、防雷、防盗等安全设施是否有效；硬件设备安全合规性硬件设备安全合规性数据信息物理访问安全措施是否适当有效；数据信息物理访问安全措施是否适当有效；网络安全保护措施合规性网络安全保护措施合规性防病毒木马、防网络攻击等安全措施是否落实；防病毒木马、防网络攻击等安全措施是否落实； 2022-5-18IT

51、 Department of CNAOs Nanjing Resident Office101一般控制审计（一般控制审计（4个方面）个方面） 软件安全方面，包括软件安全方面，包括3个审计事项：个审计事项：操作系统安全性操作系统安全性操作系统是否及时更新；操作系统是否及时更新；操作系统是否存在漏洞；操作系统是否存在漏洞；操作系统的处理能力是否满足业务需求；操作系统的处理能力是否满足业务需求；数据库安全性数据库安全性数据库管理员的权限是否得到适当控制；数据库管理员的权限是否得到适当控制；数据库管理系统的处理能力是否满足业务需求；数据库管理系统的处理能力是否满足业务需求；应用系统访问安全性应用系统访

52、问安全性数据信息逻辑访问安全措施是否适当有效；数据信息逻辑访问安全措施是否适当有效； 2022-5-18IT Department of CNAOs Nanjing Resident Office102一般控制审计（一般控制审计（4个方面）个方面） 灾备方面，包括灾备方面，包括2个审计事项：个审计事项：应急计划的制定和落实情况应急计划的制定和落实情况是否制定了有效的应急计划并进行适当演练；是否制定了有效的应急计划并进行适当演练；电子数据备份是否符合相关规定；电子数据备份是否符合相关规定；灾难备份恢复有效性灾难备份恢复有效性信息系统灾难恢复计划是否能够保证关键业务的持续信息系统灾难恢复计划是否能

53、够保证关键业务的持续运行；运行；是否能够保证数据及时、准确地恢复。是否能够保证数据及时、准确地恢复。 2022-5-18IT Department of CNAOs Nanjing Resident Office103应用控制审计（应用控制审计（3个方面）个方面） 信息系统功能方面，包括信息系统功能方面，包括3个审计事项：个审计事项：业务处理流程与业务需求吻合性业务处理流程与业务需求吻合性信息系统实现的业务处理流程与实际的业务需求是否吻合；信息系统实现的业务处理流程与实际的业务需求是否吻合；系统软件、关键业务应用软件功能是否能够满足业务开展的需要；系统软件、关键业务应用软件功能是否能够满足业务

54、开展的需要；业务处理流程完备合理性业务处理流程完备合理性信息系统实现的业务处理流程是否完备；信息系统实现的业务处理流程是否完备；是否存在大量未上线的业务；是否存在大量未上线的业务；信息系统实现的业务处理流程是否合理，与否遵循相关的法律、法规信息系统实现的业务处理流程是否合理，与否遵循相关的法律、法规与制度；与制度；业务数据处理控制有效性业务数据处理控制有效性业务流程中是否实施了有效的输入控制、处理控制和输出控制；业务流程中是否实施了有效的输入控制、处理控制和输出控制；2022-5-18IT Department of CNAOs Nanjing Resident Office104应用控制审计

55、（应用控制审计（3个方面）个方面） 信息系统运行方面，包括信息系统运行方面，包括3个审计事项：个审计事项：系统运行管理制度执行情况系统运行管理制度执行情况信息系统日常操作管理是否有效；信息系统日常操作管理是否有效；系统运行有效支持业务开展情况系统运行有效支持业务开展情况信息系统问题管理是否有效；信息系统问题管理是否有效；配置变更管理情况配置变更管理情况信息系统配置管理是否有效；信息系统配置管理是否有效；2022-5-18IT Department of CNAOs Nanjing Resident Office105应用控制审计（应用控制审计（3个方面）个方面） 数据与接口方面，包括数据与接口

56、方面，包括3个审计事项：个审计事项：重要数据参数的管理控制情况重要数据参数的管理控制情况数据、参数的生成、存储、传输、处理等是否进行适数据、参数的生成、存储、传输、处理等是否进行适当有效的控制；当有效的控制；相关系统间接口设计合理性相关系统间接口设计合理性不同系统之间是否建立有效控制的数据接口；不同系统之间是否建立有效控制的数据接口；相关系统间数据传递正确性相关系统间数据传递正确性是否存在基础信息混乱，信息无法共享等问题；是否存在基础信息混乱，信息无法共享等问题； 2022-5-18IT Department of CNAOs Nanjing Resident Office106信息系统效益审

57、计信息系统效益审计 项目建设管理方面，包括项目建设管理方面，包括2个审计事项：个审计事项：建设程序的合规性建设程序的合规性 立项、审批、招标、实施、验收等项目建设环节立项、审批、招标、实施、验收等项目建设环节过程是否存在浪费、损失、舞弊现象；过程是否存在浪费、损失、舞弊现象；建设内容与建设文档的符合性建设内容与建设文档的符合性交付成果与建设目标的符合程度，如有调整则检查是交付成果与建设目标的符合程度，如有调整则检查是否有利于建设目标优化；否有利于建设目标优化； 2022-5-18IT Department of CNAOs Nanjing Resident Office107信息系统效益审计信

58、息系统效益审计 项目建设效果方面，包括项目建设效果方面，包括5个审计事项：个审计事项：建成系统与业务需求的符合性建成系统与业务需求的符合性项目建设文档确定的建设目标与被审计单位业务的符项目建设文档确定的建设目标与被审计单位业务的符合程度，建设目标能否给带来合理的回报或推动业务合程度，建设目标能否给带来合理的回报或推动业务发展；发展；系统的用户满意度系统的用户满意度用户参与信息系统开发的程度；用户参与信息系统开发的程度；关键用户的培训和掌握情况；关键用户的培训和掌握情况；用户对信息系统的意见与反馈；用户对信息系统的意见与反馈；对核心业务流程的覆盖程度对核心业务流程的覆盖程度交付成果对核心业务流程

59、的覆盖率；交付成果对核心业务流程的覆盖率；被审计单位工作人员使用交付成果的比例；被审计单位工作人员使用交付成果的比例；2022-5-18IT Department of CNAOs Nanjing Resident Office108信息系统效益审计信息系统效益审计 项目建设效果方面项目建设效果方面设备利用合理性设备利用合理性所投资的设备是否存在闲置浪费情况；所投资的设备是否存在闲置浪费情况；所使用设备的使用率情况；所使用设备的使用率情况；性能价格比性能价格比投资是否超预算；投资是否超预算；交付成果的利用率；交付成果的利用率；交付成果与投资的性价比；交付成果与投资的性价比；投资结构调整是否有利

60、于优化性价比；投资结构调整是否有利于优化性价比； 返返 回回 数字化审计的技术和方法数字化审计的技术和方法 数据分析的数据分析的技术和方法技术和方法 信息系统审计的信息系统审计的技术和方法技术和方法 数字化审计的数字化审计的取证技术取证技术和和方法方法 返回返回数据分析的基础技术和方法数据分析的基础技术和方法 审前调查的技术和方法审前调查的技术和方法 提出数据需求的技术和方法提出数据需求的技术和方法 数据采集和整理验证的技术和方法数据采集和整理验证的技术和方法 建立审计中间表的技术和方法建立审计中间表的技术和方法 挖掘分析的技术和方法挖掘分析的技术和方法 多维分析的技术和方法多维分析的技术和方