数字化审计课件

1、以数字化为基础的信息化是我们今天面临的全新形势今天的审计面临着什么样的形势?信息化：以数字化为基础的信息化审计环境的信息化国民经济和全社会的信息化，美国网络司令部、特战部队战场数字化系统伊朗的核问题 20111102审计对象的信息化银行、保险、海关、企业、社保、住房公积金、SAP、ERP审计主体的信息化数据审计、信息系统审计2022/7/191Copyright(C) 2002 Liu Ruzhuo CANJ2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ2审计主体的变化一个企业的发展现状ERPIT审计信息化带来的深刻变化经济活动的管理手段发生了变化：人工变

2、成了电脑记录经济活动的载体发生了变化：纸变成了光盘表现会计核算内容的形式发生了变化：文字变成了代码存储数据的空间发生了变化：报表、账薄、柜子变成了硬盘人与人联系的方式发生了变化：越来越多地走上了网络信息化发展的新特点信息化的发展速度加快，覆盖面进一步加大系统的集成性整体提升，ERP、SAP成为主流如何运用信息化技术手段解决业务与管理问题是需要解决的核心问题培养复合型人才成为培训的主流，培训力度空前加大数字化审计已经成为信息化环境下的主流审计方式新的挑战审计信息化出现了新的特点，提出了新的挑战，也提供了从未有过的发展机遇。我们应该做些什么?创造新的审计方式：数字化审计2022/7/19Copyr

3、ight(C) 2002 Liu Ruzhuo CANJ5突破口和切入点数字化审计有多种不同的名称，如计算机审计、IT审计、非现场审计等等。叫法虽然不同，但却有着许多共同点：审计对象是计算机信息系统，分析的是电子数据，运用的是数据分析方法，工具是电脑，产生的是电子数据，所有这些都是建立在数字化基础之上的。所以我们把这种类型的审计称之为数字化审计。共同讨论的几个问题一、数字化审计的案例二、数字化审计的特征和概念三、数字化审计的主要内容和流程四、数字化审计的技术和方法五、当前我国数字化审计的发展特点六、推进数字化审计的主要措施2022/7/197Copyright(C) 2002 Liu Ruzh

4、uo CANJ审计实施要重点回答的几个问题怎么审？把握总体、突出重点、精确延伸、调查取证切入点？信息系统、底层数据审什么？两种类型的数据，审计中间表把握总体系统模型之一：集团公司收入结构分析，确定“主营业务收入”为审计重点系统模型之二：集团公司收入结构分析，确定将“某航空公司”作为审计重点系统模型之三：某航空股份公司收入结构分析，确定“运输收入”为审计重点类别模型之一：运输收入总量变化趋势运输收入：20022004年票务数据中的总体趋势 运输收入：20022004年财务数据调整后的总体趋势 运输收入：20022004年财务数据调整前的总体趋势 财务数据和业务数据的对比类别模型之二：机票销售暗扣

5、变化趋势模型： select 作帐月,count(*) as 票数,sum(毛额1) as毛额1,sum(净额1) as 净额1, sum(毛额1-净额1) as 暗扣 from 主表_国内票_某航空出票并承运 where 飞行日期1=20020101 and 票联号=1 group by 作帐月 order by 作帐月个体模型：统计销售暗扣发生金额结果：反推系统返 回系统把握整体情况海关业务系统国税局 港口商务委海关业务系统（业务数据）报关单报关单放行结果信息报关单，出口退税进出口收付汇数据1.通知放行信息.2.集装箱过磅重量信息3.放行结果信息电子数据中心商检局船舶代理公司舱单通关单外管

6、局企业申报Edi信息其他相关单位报关单重量与集装箱过磅重量差异结果表共发现5257条记录探索系统审计的方法跟踪测试管理系统中已经通关的业务数据采取倒推法，利用与海关业务密切相关的外部数据验证通关信息的真实性认真分析核实结果，发现管理中存在的漏洞和缺陷系统审计步骤之一：选择跟踪测试数据系统审计步骤之二： 利用外部数据跟踪测试发现差异海关报关单显示，出口货物2470件，重量42555公斤，体积207.5立方米。船公司的提单显示，出口货物720件，重量13190公斤，体积69.5立方米。*公司524744790报关单实际退税情况筛选出全部多报少出集装箱的结果共有8523个申报出口的集装箱实际没有装船

7、出口*电子（*）电器有限公司出口申报集装箱数量与实际装船出口的集装箱数量差异表*公司出口申报货物重量与码头货物过磅重量差异表海关处理结果返 回 2004年4月至2005年3月间，少出口货物完税价格521046美元和38972欧元，折合保税货物原料价值人民币3847284元，出口保税货物制成品申报不实，涉及税款人民币759240。上述行为构成违反海关监管规定的行为。对该公司罚款人民币700000元。两类数据在信息化环境下审计的分析对象既包括数值型数据，又包括非数值型数据。这两类数据互相联系，共同构成审计对象，必须从整体和联系上分析和把握。 两类数据数值型数据包括财政财务收支和相关经济活动的业务数

8、据，必要的外部数据。非数值型数据包括的数据范围广，与审计事项相关的报告、总结、文件、合同、说明、录音、录像、纪要、记录等都包括在内，数据类型复杂，有文本、文档、电子表格、视频、音频等。 两类数据的关系数值型数据为审计线索提供最终证据。非数值型数据为数据分析提示重点、筛选线索、形成思路。两者联系紧密，形成一体，不可分开，共同构筑成审计信息资源平台。非数值型数据的重要作用审计的实践告诉我们，相当一部分重大审计事项的突破，不是从数值型数据开始的，而是从非数值型数据切入的，非数值型数据给予线索性提示，数值型数据起到描述和验证的作用。某铁路局问题的审计举例。这一问题是怎么被查出来的呢？回顾这一问题的发现

9、过程，可以看出非数值型数据对问题的发现起到线索提示和问题证明的作用。审计组刚进驻该省民政厅时，就收集了该厅救灾资金下拨及其二级单位使用救灾资金的相关文件、报告等电子和纸质数据。 案例一：挪用救灾资金修建综合办公楼问题的调查被审计单位基本情况从省备灾中心关于20052006年度救灾物资、资金的来源、使用与管理情况的报告中了解到，省备灾中心是省民政厅下属的自收自支事业单位，也是民政部十二个中央级救灾物资代储点之一，主要职能是承担中央和省级救灾物资储备与管理、省级救灾捐赠款物的接收与管理以及全省救灾人员的培训等工作。该中心的经费来源主要是中央和省财政下拨的救灾物资储备管理费、省财政下拨的捐赠工作经费

10、以及中心临街房屋租赁收入。 审计分析顺着这样的思路，我们决定延伸调查这座大楼建设的规划设计和资金来源。尽管该楼建成于1999年，似乎离我们的审计年度有点久远，但我们认为很有必要进行追溯。 历经周折，数次交锋，审计人员查阅了备灾中心综合楼规划设计和基建账务资料，直接从基建账上看不出资金的真正来源，在民政厅申请基建资金的报告、领导批示以及财政厅拨款批复文件和设计单位的情况说明等一系列文件资料中找到了民政厅挪用救灾资金建设综合楼的证据。发现线索1999年，省民政厅根据省计委批复，开始建设备灾中心综合楼。由于批复规定，综合楼建设资金由省民政厅自筹和申请民政部补助解决，省财政厅没有安排专门的基本建设资金

11、。1999年至2002年，省民政厅先后违反国家有关规定，挪用中央下拨的特大自然灾害救济补助费600万元和救灾捐赠款533.87万元，用于综合楼征地和工程建设。施工过程中，省民政厅在有关规划部门不允许该工程按办公、仓储、多功能用房“三合一”的方式设计的情况下，擅自要求更改设计，并额外支付设计变更费3.6万元。该楼建成后65%的面积被用作培训中心、机关食堂和对外出租。两类数据的关系数据是审计对象信息的载体，不只是数值型的数据，还有大量的形式多样的非数值型数据，包含着对审计判断非常有用的信息。对非数值型数据的分析，需要以联系的、整体的、发展的观点进行思维。对非数值型数据和数值型数据结合分析，相互验证

12、，通过对非数值型数据提示的线索进行延伸扩展，再利用数值型数据进行汇总统计，最终形成对审计事项全面的、客观的、准确的认识和评价。这是审计的大智慧。返 回数字化审计的特征以系统论为指导审计取证的切入点是信息系统和底层数据信息系统审计是重要内容数字化审计的实现方式发生了根本性的变化创建审计中间表，构建审计信息系统构建模型进行数据分析（超越系统）2022/7/1938Copyright(C) 2002 Liu Ruzhuo CANJ系统论为指导 系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论讲的是事物之间的联系，是规律，要求思维是立体的，不是平面的。计算机审计就是要从系统论的高

13、度来研究新的审计方式。把审计对象作为一个系统，让被审计单位的信息都在审计监督范围之内。审计人员到一个单位去，一进去就把整个资料都掌握住，通过系统分析、对照、比较，选择其中最薄弱的部分作为重点，找出核心问题在哪里，从总体上把握。不是像过去那样瞎碰，逮着什么算什么。2022/7/1939Copyright(C) 2002 Liu Ruzhuo CANJ系统论指导下的审计把握总体，突出重点，发现问题，客观评价，提出建议，规范提高返回2022/7/1940Copyright(C) 2002 Liu Ruzhuo CANJ与传统审计的区别传统审计是账套式审计；数字化审计是对数据的审计。采集数据的起点从财

14、务会计报表提前到了底层数据，从本质上注入了审计的内涵；会计报表数据是语言，原始数据是文字；会计报表数据是信息，原始数据是元素。返回2022/7/1941Copyright(C) 2002 Liu Ruzhuo CANJ系统审计实务中发现的问题类型舞弊 电脑加油、截留中间业务收入、非法模块漏洞骗取银行存款、骗取增值税票汇丰银行英国汉普郡利明顿Milford-on-Sea镇ATM机双倍吐款隔断黄金诈骗、骗取退税滞后关税税率管理黄金交易参数设置2022/7/1942IT Department of CNAOs Nanjing Resident Office2022/7/19IT Department

15、 of CNAOs Nanjing Resident Office43信息系统审计的发展过程 国外情况简介 我们的发展历程 有关组织模式的探讨 2022/7/19IT Department of CNAOs Nanjing Resident Office44国外情况简介ISACA电子数据处理 信息系统审计 IT治理COBITGAO一般控制 应用控制FISCAM2022/7/19IT Department of CNAOs Nanjing Resident Office45信息系统审计与控制协会（ISACA）国际上引领信息系统审计的民间组织 发布信息系统审计准则体系16个标准39个指南11个程序

16、 COBIT 标准IT准则维 IT资源维 IT过程维 2022/7/19IT Department of CNAOs Nanjing Resident Office46COBIT的三维体系结构 IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。IT资源维主要包括人员、应用系统、技术、设备及数据在内的信息相关的资源，这是IT治理过程的主要对象。IT过程维在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的“计划与组织（PO）”、“获取与实现（AI）”、“交付与支持（DS）”和“监督与评估（

17、ME）”这4个方面确定了34个IT活动的一般过程；对每个一般过程分解出详细控制目标，共计215个详细控制目标。在对每个一般过程分解出详细控制目标后，还提出该过程的管理指南并给出成熟度模型。 2022/7/19IT Department of CNAOs Nanjing Resident Office47COBIT的基本结构信息技术管控（IT Governance）信息技术审计（IT Audit）信息安全（Information Security）信息技术的风险管理（IT Risk Management）信息确保（Information Assurance）目前系统的研究方向2022/7/194

18、8Copyright(C) 2002 Liu Ruzhuo CANJ2022/7/19IT Department of CNAOs Nanjing Resident Office49政府责任署（GAO）1999年1月颁布了联邦信息系统控制审计手册卷I 财务报表审计 一般控制2009年2月颁布了最新版本的联邦信息系统控制审计手册（FISCAM）一般控制应用控制2022/7/19IT Department of CNAOs Nanjing Resident Office50GAO的手册一般控制安全管理（SM-1 SM-7）访问控制（AC-1 AC-6）配置管理（CM-1 CM-6）职责分离（SD-

19、1 SD-2）应急计划（CP-1 CP-4）应用控制应用系统层面的一般控制（AS-1 AS-5）业务流程控制（BP-1 BP-4）接口控制（IN-1 IN-2）数据系统控制（DA-1）2022/7/19IT Department of CNAOs Nanjing Resident Office51我国的发展历程从2000年起开展信息系统审计 对交通部开发应用的车辆购置附加费征稽系统开展了审计 审计中借鉴了国外的相关标准融入了自身的认识和理解 信息系统审计与业务审计的关系一开始就没有脱离过审计业务为审计业务服务 当前的工作仍处于探索阶段 创造出了许多很好的模式积累了许多宝贵的经验 2022/7/

20、19IT Department of CNAOs Nanjing Resident Office52审计署的探索2006年派出信息系统审计高级培训班赴美国硅谷学习2007年开始尝试开展信息系统审计2007年开展了对国家开发银行的“结合式”信息系统审计2008年开展了对天津中化进出口公司的“独立式”信息系统审计2009年开展了对中国联通总公司的“结合式”信息系统审计2010年由各业务司牵头，同时开展了5个“结合式”的信息系统审计项目 一共征集了2次信息系统审计案例 2008年开始在南京审计学院举办信息系统审计高级培训研讨班 2010年出台审计署关于检查信息系统相关审计事项的指导意见2012年2月

21、颁布国家信息系统审计指南返回单机审计模式示意图现场网络审计模式示意图远程网上审计示意图拓扑结构拓扑结构数字化审计的实现方式嵌入式独立式开放式事前、事中、事后密切结合，动态跟踪监督着眼于网络大环境，视野开阔了返 回审计数据库的形成方式2022/7/1959Copyright(C) 2002 Liu Ruzhuo CANJ数据共享平台数值型数据非数值型数据根据方案需要提出数据需求计算机系统调查财务数据业务数据文件汇编会议纪要2022/7/1960Copyright(C) 2002 Liu Ruzhuo CANJ构建审计信息系统返回2022/7/1961Copyright(C) 2002 Liu R

22、uzhuo CANJ审计分析模型的涵义审计分析模型的定义审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式，它是按照审计事项应该具有的性质或数量关系，由审计人员通过设定计算、判断或限制条件来建立起来的，用于验证审计事项实际的性质或数量关系，从而对被审计单位经济活动的真实、合法、效益情况做出科学的判断。 2022/7/1962Copyright(C) 2002 Liu Ruzhuo CANJ审计分析模型的表现形态 审计分析模型有多种表现形态：用在查询分析中，表现为一个或一组查询条件；用在多维分析中，表现为切片、切块、旋转、钻取、创建计算成员、创建计算单元等；用在挖掘分析中，表现为设定挖掘条

23、件。审计分析模型的分类2022/7/1963Copyright(C) 2002 Liu Ruzhuo CANJ审计分析模型算法什么是审计分析模型算法？审计分析模型算法是构建审计分析模型的思路、方法、步骤。 2022/7/1964Copyright(C) 2002 Liu Ruzhuo CANJ数字化审计的概念 数字化审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并且运用查询分析、多维分析、数据挖掘等多种技术等方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而

24、收集审计证据，实现审计目标的审计方式。数字化审计概念的发展计算机辅助审计技术和方法计算机审计数字化审计返 回数字化审计的主要内容数据审计对计算机输入、处理、存储、输出的数据进行分析检查信息系统审计对与财政财务收支有关的计算机信息系统进行检查返 回数字化审计流程2022/7/1968Copyright(C) 2002 Liu Ruzhuo CANJ数字化审计流程1.审前调查，获取必要和充分的信息。提交数据需求说明书。2.采集数据，全面掌握情况。数据下载报告、承诺书。3.数据转换、清理和验证。4.建立审计中间表，构建审计信息系统关于中间表的说明5.多维分析、把握总体，锁定重点。6.建立个体模型，内

25、外关联，对比分析，筛选线索。形成数据分析报告。7.延伸落实，审计取证。审计现场数字化，对流程进行管理返回2022/7/1969Copyright(C) 2002 Liu Ruzhuo CANJ按照七步流程开展企业审计审前调查，获取充分必要的信息调查的主要内容：1、被审计单位组织结构、管理体制和业务流程 。2、信息系统建设、管理、使用总体情况，并重点关注财务系统、核心业务系统的核算（管理）内容、数据来源、数据处理流程、数据库类型、数据量等相关情况。 3、外部关联单位电子数据情况。 4、宏观政策、行业法规等。 按照七步流程开展企业审计审前调查，获取充分必要的信息实地考察的内容：功能的考察：详细查看

26、系统功能菜单按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：1、被审计单位信息系统总体情况；2、采集数据的系统3、采集范围和方法4、外部数据采集范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：1、被审计单位信息系统总体情况；向被审计单位提供的第一份数据需求说明书中一般会简单介绍一些被审计企业的信息系统总体情况，如果多次提出数据需求，则不必每次都需要介绍总体情况。按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：2、采集数据的系统数据A信息系统A处理结果A信息系统B按照七步流程开展企业审计采集数据 全面掌

27、握情况审计数据需求说明书：2、采集数据的系统数据A信息系统A信息系统C信息系统B按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：2、采集数据的系统数据A信息系统A信息系统C信息系统B数据A数据A按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：3、采集范围和方法如何采集，什么格式，时间范围，单位范围按照七步流程开展企业审计采集数据 全面掌握情况审计数据需求说明书：4、外部数据采集范围和方法5、数据提供时间6、双方责任 按照七步流程开展企业审计采集数据 全面掌握情况审计数据采集结果报告： 采集数据的信息系统名称及功能；数据采集的方法；数据的范围、内容、格式。按照

28、七步流程开展企业审计采集数据 全面掌握情况数据采集的两个注意事项： 审计人员不要到被审计单位的系统上直接采集数据； 让被审计单位提供承诺书，承诺提供的数据是真实、完整、正确、有效的。 按照七步流程开展企业审计清理、转换、验证数据转换数据： 数据的转换主要是对格式的转换，现阶段大家应用较多的sqlserver，主要是将数据从各类不同的格式（DB2、Oracle、Sybase、Excel等）转换到SqlServer中去，这主要是一个技术问题。要反复练习、积累经验。按照七步流程开展企业审计转换、清理、验证数据清理数据：1、填入缺失的值；2、处置空值；3、处理冗余数值；4、更改错误数据；5、代码转换；

29、6、实现表的合并按照七步流程开展企业审计转换、清理、验证数据清理数据：1、填入缺失的值；字段的缺失；记录的缺失按照七步流程开展企业审计转换、清理、验证数据清理数据：2、处置空值；空值在运算、查询等多中操作中存在问题，所以审计人员可以根据空值表示的意义，赋予一定的值，去掉空值。 按照七步流程开展企业审计转换、清理、验证数据清理数据：3、处理冗余数值； 冗余是一个相对概念，是指审计冗余，即对审计人员的审计工作来说是冗余的，被审计单位的数据考虑到其本身管理、核算的需要、考虑到数据安全、数据库的设计方式等多种因素，有些数据对他们来说可能就不是冗余的。按照七步流程开展企业审计转换、清理、验证数据清理数据

30、：4、更改错误数据格式中的错误按照七步流程开展企业审计转换、清理、验证数据清理数据：5、代码转换；代码的汉化按照七步流程开展企业审计转换、清理、验证数据清理数据：6、实现表的合并实现不同表的合并按照七步流程开展企业审计转换、清理、验证数据清理数据：数据清理要有详细的记录，尤其对数据的删、改要有详细的记录和理由按照七步流程开展企业审计转换、清理、验证数据清理数据：数据清理要有详细的记录，尤其对数据的删、改要有详细的记录和理由按照七步流程开展企业审计转换、清理、验证数据清理数据：一个案例航空公司票务数据：出票日期、飞行日期为整型、字符型，审计需要转成日期型，但内容非常不规范0，20020031，2

31、0020133逐条修改不现实，需要一次性的找出所有的不规范记录按照七步流程开展企业审计转换、清理、验证数据清理数据：一个案例长度不对；年限不对；月份不对；日子不对。 确定日期应该满足条件，然后进行查找按照七步流程开展企业审计转换、清理、验证数据数据验证：关键是业务数据的验证关联数据的对比财务数据与业务数据的对比基本规律的设置检查数据抽查 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据（1）国家宏观政策、相关法律法规；（2）新闻媒体、科研机构、专家学者对该企业、该行业的研究报告；（3）企业、企业领导人、企业各部门年度总结；（4）企业内部管理制度和收发文情况；（5

32、）各类决策会议的会议纪要；（6）各类举报材料。 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据采集按照审计重点事项的发生过程确定采集范围和内容 按照非数值型数据的类别确定采集范围和内容 采用其他方法确定采集范围和内容 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据转换全文扫描局部扫面内容摘要 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据清理清理重复的数据清理无效的数据 清理无实质意义的数据 按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据验证（1）验证非数值型

33、资料文件页码的连续性（2）分析非数值型资料内容逻辑的合理性（3）利用鉴定机构进行笔迹、印章等鉴定（4）比对多份不同来源的同一资料（5）追溯资料形成过程，分析资料形成过程的逻辑性按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：数值型数据中间表财务数据大致相同，凭证表、余额表、代码表业务数据差异很多，与行业特点和审计需求相关中间表说明按照七步流程开展企业审计创建审计中间表 构建审计信息系统审计中间表：非数值型数据中间表数据文件目录当前信息系统审计的主要内容一般控制的审计应用控制的审计信息系统建设效益的审计2022/7/19101Copyright(C) 2002 Liu Ruz

34、huo CANJ2022/7/19IT Department of CNAOs Nanjing Resident Office102一般控制审计（4个方面） 安全管理方面，包括2个审计事项：安全管理制度制定情况被审计单位是否制定了安全管理制度并得到贯彻执行；安全管理职责履行情况信息系统设计是否符合国家等级保护、分级保护要求；系统安全员、安全审计员履行职责是否到位；对关键的数据信息资源是否采取了适当的保护措施；2022/7/19IT Department of CNAOs Nanjing Resident Office103一般控制审计（4个方面） 物理环境安全方面，包括3个审计事项：机房环境安

35、全合规性防火、防雷、防盗等安全设施是否有效；硬件设备安全合规性数据信息物理访问安全措施是否适当有效；网络安全保护措施合规性防病毒木马、防网络攻击等安全措施是否落实； 2022/7/19IT Department of CNAOs Nanjing Resident Office104一般控制审计（4个方面） 软件安全方面，包括3个审计事项：操作系统安全性操作系统是否及时更新；操作系统是否存在漏洞；操作系统的处理能力是否满足业务需求；数据库安全性数据库管理员的权限是否得到适当控制；数据库管理系统的处理能力是否满足业务需求；应用系统访问安全性数据信息逻辑访问安全措施是否适当有效； 2022/7/19

36、IT Department of CNAOs Nanjing Resident Office105一般控制审计（4个方面） 灾备方面，包括2个审计事项：应急计划的制定和落实情况是否制定了有效的应急计划并进行适当演练；电子数据备份是否符合相关规定；灾难备份恢复有效性信息系统灾难恢复计划是否能够保证关键业务的持续运行；是否能够保证数据及时、准确地恢复。 2022/7/19IT Department of CNAOs Nanjing Resident Office106应用控制审计（3个方面） 信息系统功能方面，包括3个审计事项：业务处理流程与业务需求吻合性信息系统实现的业务处理流程与实际的业务需求

37、是否吻合；系统软件、关键业务应用软件功能是否能够满足业务开展的需要；业务处理流程完备合理性信息系统实现的业务处理流程是否完备；是否存在大量未上线的业务；信息系统实现的业务处理流程是否合理，与否遵循相关的法律、法规与制度；业务数据处理控制有效性业务流程中是否实施了有效的输入控制、处理控制和输出控制；2022/7/19IT Department of CNAOs Nanjing Resident Office107应用控制审计（3个方面） 信息系统运行方面，包括3个审计事项：系统运行管理制度执行情况信息系统日常操作管理是否有效；系统运行有效支持业务开展情况信息系统问题管理是否有效；配置变更管理情况

38、信息系统配置管理是否有效；2022/7/19IT Department of CNAOs Nanjing Resident Office108应用控制审计（3个方面） 数据与接口方面，包括3个审计事项：重要数据参数的管理控制情况数据、参数的生成、存储、传输、处理等是否进行适当有效的控制；相关系统间接口设计合理性不同系统之间是否建立有效控制的数据接口；相关系统间数据传递正确性是否存在基础信息混乱，信息无法共享等问题； 2022/7/19IT Department of CNAOs Nanjing Resident Office109信息系统效益审计 项目建设管理方面，包括2个审计事项：建设程序的

39、合规性立项、审批、招标、实施、验收等项目建设环节过程是否存在浪费、损失、舞弊现象；建设内容与建设文档的符合性交付成果与建设目标的符合程度，如有调整则检查是否有利于建设目标优化； 2022/7/19IT Department of CNAOs Nanjing Resident Office110信息系统效益审计 项目建设效果方面，包括5个审计事项：建成系统与业务需求的符合性项目建设文档确定的建设目标与被审计单位业务的符合程度，建设目标能否给带来合理的回报或推动业务发展；系统的用户满意度用户参与信息系统开发的程度；关键用户的培训和掌握情况；用户对信息系统的意见与反馈；对核心业务流程的覆盖程度交付成

40、果对核心业务流程的覆盖率；被审计单位工作人员使用交付成果的比例；2022/7/19IT Department of CNAOs Nanjing Resident Office111信息系统效益审计 项目建设效果方面设备利用合理性所投资的设备是否存在闲置浪费情况；所使用设备的使用率情况；性能价格比投资是否超预算；交付成果的利用率；交付成果与投资的性价比；投资结构调整是否有利于优化性价比； 返 回 数字化审计的技术和方法数据分析的技术和方法信息系统审计的技术和方法数据分析的基础技术和方法审前调查的技术和方法提出数据需求的技术和方法数据采集和整理验证的技术和方法建立审计中间表的技术和方法挖掘分析的技

41、术和方法多维分析的技术和方法查询分析的技术和方法核心是创建审计分析模型审计分析模型的构建基础研究电子数据的特点和规律是前提 创建相对完整规范的审计中间表是基础 审计中间表是面向审计分析的数据存储模式，是审计人员进行数据分析的对象、资源和平台。 主表、附表、代码表、补充表、分析表掌握相关技术 SQL查询技术 多维分析技术 数据挖掘技术电子数据的特征和规律静态特征： 数据的基本结构，如逻辑组织方式多样、物理存储格式多样、数据结构规范化、数据表示代码化、数据类型多样化、数据更改无痕迹性、数据独立性动态特征： 对数据的操作，如增、删、改、查规律： 表间联系规律、字段间联系规律系统分析模型功能 从系统的

42、层次分析、评估、把握被审计单位的总体情况，对其主要特点、运营规律和发展趋势形成一个总体上的概念和认识，同时初步确定审计重点范围。 内容及方法对资产、负债、损益、现金流情况的分析 结构分析法和趋势分析法对有关财务、业务指标的计算分析 比率分析法 类别分析模型功能类别分析模型是从业务类别的层次对被审计单位的主要业务类别进行分析，从而锁定审计重点，为下一步构建个体分析模型核查问题、筛选线索提供依据。常用方法结构分析、趋势分析 这两种方法在类别分析和系统分析中的应用有所差别。设计类别分析模型框架 确定类别分析模型构建思路 做好模型构建基础工作 分析相关数据创建审计中间表具体构建类别分析模型 编写SQL

43、语句对数据进行查询分析 运用多维分析技术对数据进行多维分析 创建类别模型的基本步骤个体分析模型功能在类别分析的基础上按不同的审计思路构建个体分析模型，对审计重点进行深入分析，发现问题或线索。 基本步骤 审计需求分析确定构建思路，掌握相关知识分析数据，创建审计中间表构建模型，查找问题或线索 1.审计思路 2.具体模型（实现审计思路的审计软件操作或SQL语句编写） 3.运行结果及分析创建个体分析模型的思路个体分析模型的构建思路利用法律法规利用数据钩稽关系利用业务处理逻辑利用外部数据关联关系利用审计经验2022/7/19IT Department of CNAOs Nanjing Resident

44、Office122数字化审计的思维方式数字化审计的三个层面器：软件、工具技：技术和方法道：思维方式特征发现是数字化审计的思维方式审计重大问题的特征发现 在信息化环境下，绝大多数重大违法违纪问题都会在信息系统或电子数据中显现出一些具体特征，审计人员在数据分析过程中把握和发现了这些特征，就能够发现线索、取得突破。 审计成果 审计查清落实了“某上市公司董事长徐*借重组上市公司之机为个人非法牟利861万元”的问题，撰写的审计简报被审计署以要情的形式上报，引起国家领导人的高度重视。 2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ125关注资金内转 所谓资金内转即某个

45、客户将其资金账户内的资金转入其他一个或几个该证券公司客户的资金账户中。 客户通过此类资金划转，既可以起到分散资金的作用又可以规避银行等金融机构的审计，可谓一举两得。 2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ126开户后短期内即将资金内转 将大额资金分散内转至若干账户 关联内转账户集中购买一支或几支股票 关联内转账户集中卖出所购股票 关联内转账户将资金转回取现 特征枚举2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ127数据分析 1、构建审计中间表 取得被审计单位数据后，审计人员经过筛选整理，获得某证券公司北京、上

46、海、武汉、深圳等各个节点的客户交易流水中间表及客户信息中间表。其中客户交易流水中间表记录该证券公司经济业务客户的A股交易流水明细情况；客户信息中间表记录客户基本信息明细情况。2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ128客户交易流水中间表2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ129客户信息中间表2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ130select 客户代码,客户姓名,资金帐号,sum(资金转出) 转出合计 into 祁楠_资金转出大户from dbo.主表

47、_北京2_A股交易流水表where 摘要代码=140025 group by 客户代码,客户姓名,资金帐号order by 转出合计 筛选出资金内转大户2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ1312022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ132select * into 祁楠_孙转出from dbo.主表_北京2_A股交易流水表where 摘要代码=140025 and 客户代码=130500023613查询3 筛选出与“孙” 转出记录对应的资金转入记录select * into 祁楠_12人转入from

48、dbo.主表_北京2_A股交易流水表where 操作日期=20060531 and 摘要代码=140005 and (资金转入=120000 or 资金转入=200000 or 资金转入=110000 or 资金转入=130000 or 资金转入=80000 or 资金转入=170000 or 资金转入=150000 or 资金转入=100000 or 资金转入=180000)筛选出“孙”资金转出记录2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ1332022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ1342022/7/1

49、9Copyright(C) 2002 Liu Ruzhuo CANJ135select * into 烟台13户开户资料from dbo.客户基本信息表where 客户代码130500023618 and 客户代码130500023631 or 客户代码=130500023613 查询5 筛选出“孙”等13户全部交易流水select * into 祁楠_孙全部from dbo.主表_北京2_A股交易流水表where 客户代码=130500023613筛选出“孙”等13户关联内转账户的开户情况2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ1362022/7/

50、19Copyright(C) 2002 Liu Ruzhuo CANJ1372022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ138查询6 筛选出12户关联内转账户股票卖出后将资金转回 “孙”资金账户的记录select * into 祁楠_孙转入from dbo.主表_北京2_A股交易流水表where 摘要代码=140005 and 客户代码=130500023613 2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ1392022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ140孙将其资金账户

51、内的171万元分别转至苗等12个自然人的资金账户中，并集中购买“*ST”（后更名为“股份”）一支股票，成本区间2.96-3.02元/股。除孙外，其余12户为2006年3月22日同一天开户、客户代码连续、所留联系电话及邮政编码等信息完全相同，有7人联系地址均为某市路145号。2007年5月14日前，上述13个账户中“*ST”股票全部被卖出，资金又转回至孙账户并全部取出。孙等人买入“*ST”后不久，“*ST”即被收购重组，且此后利好频传，股价亦一路飙升至2007年5月15日的最高价17.82元/股。 特征发现发现问题2022/7/19Copyright(C) 2002 Liu Ruzhuo CAN

52、J1412022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ142锁定重点 精确打击 内幕人：内幕信息公开前，直接或者间接获取内幕信息的人，包括自然人和单位。内幕信息：证券交易活动中，涉及公司的经营、财务或者对公司证券的市场价格有重大影响的尚未公开的信息。内幕交易：行为人在内幕信息的价格敏感期内买卖相关证券，或者建议他人买卖相关证券，或者泄漏该信息。操纵市场及内部交易认定指引（证监稽查字【2007】1号）2022/7/19Copyright(C) 2002 Liu Ruzhuo CANJ143上市公司董事长内幕交易真相 通过延伸孙银证转帐的关联银行我们发现，孙等

53、人用于购买“*ST”（后更名为“股份”）的200万元全部来自于一个名为徐的个人，而这个徐正是“*ST”的收购重组方实业集团有限公司、现“股份”的董事长兼法人代表！ 徐等人的上述作法属于典型的上市公司高管借助内幕信息非法牟利行为，已涉嫌违反了我国证券法及刑法中有关证券内幕交易的相关规定。 返回信息系统审计的技术和方法一般控制的审计技术和方法应用控制的审计技术和方法信息系统投资效益的技术和方法2022/7/19IT Department of CNAOs Nanjing Resident Office145信息系统审计的方法常规的审计方法仍需使用面谈询问法调查问卷法文件审阅法实地观察法在使用这些方

54、法时，需要注意与信息系统审计的相关审计事项紧密结合。2022/7/19IT Department of CNAOs Nanjing Resident Office146信息系统审计的方法特有的审计方法流程图检查法 测试数据法 平行模拟法 源代码检查法 日志分析法 考虑到审计的风险，有些方法需在被审计单位单独提供的测试环境中使用。 2022/7/19IT Department of CNAOs Nanjing Resident Office147流程图检查法 通过绘制或者检查被审计单位提供的流程图，加深对信息系统结构的理解，分析信息系统的运行过程，关注信息系统控制节点和控制条件，追踪业务样本，从

55、而评估信息系统控制是否存在明显错误或者缺陷。 主要的3种流程图业务流程图数据流程图程序流程图2022/7/19IT Department of CNAOs Nanjing Resident Office148业务流程图业务流程图是系统分析阶段的文档业务流程图用以描述系统的业务处理流程它描述的是真实业务系统内各部门、人员之间的业务关系、作业顺序和管理信息流向描述了业务过程的具体环节和业务流程的实际处理步骤是一种纯业务的描述视角2022/7/19IT Department of CNAOs Nanjing Resident Office149业务流程图（例）开发人员在系统调查阶段了解到某企业的会计

56、核算形式是科目汇总表的核算形式，其账务处理业务流程如下：（1）根据审核无误的原始凭证汇总表编制记账凭证，包括现金收付凭证、银行收付凭证和转账凭证。 （2）根据现金收付款凭证登记现金日记账。（3）根据银行收付款凭证登记银行存款日记账。（4）根据银行送来的对账单对银行存款日记账进行核对。（5）根据记账凭证及所付原始凭证登记有关明细账。（6）根据记账凭证，按相同的借贷方汇总出科目汇总表。（7）根据科目汇总表登记汇总分类账。（8）将明细账科目余额与财产物资实有数进行核对。（9）将总分类账余额与有关明细账余额进行核对。（10）根据总账、明细账余额编制各种会计报表。根据上述业务流程可以绘制出该企业账务处理

57、的业务流程图2022/7/19IT Department of CNAOs Nanjing Resident Office1502022/7/19IT Department of CNAOs Nanjing Resident Office151数据流程图以图形的方式刻画数据从输入到输出的移动变换过程综合反映出数据在系统中的存储、流动和处理情况偏重于系统中的数据处理过程是业务流程图的数据抽象屏蔽了业务流程的物理背景而抽象出数据的特征描述了数据在业务活动中的运动状况 例：某销售管理系统的数据流程图 2022/7/19IT Department of CNAOs Nanjing Resident O

58、ffice1522022/7/19IT Department of CNAOs Nanjing Resident Office153业务流程图与数据流程图的关系业务流程图是物理模型数据流程图是逻辑模型业务流程图主要是描述业务走向数据流程则是描述数据的走向2022/7/19IT Department of CNAOs Nanjing Resident Office154测试数据法审计人员根据对被审计单位信息系统业务或者管理流程的理解，设计专门的测试数据，在系统中模拟业务的处理全过程，并将测试数据的模拟处理结果与预期处理结果进行比较核对，从而判断信息系统的功能与控制是否存在明显错误或者缺陷。在某收

59、费公路信息系统审计过程中，审计人员采用测试数据法对计重费率计算方法进行了分析。2022/7/19IT Department of CNAOs Nanjing Resident Office155用测试数据法检查计重收费参数设计分析发现根据该方法，总轴重32吨（不超限）的车辆费率为1.7067元/公里总轴重40吨（不超限）的车辆费率为1.6元/公里（40*0.04），收费低于轴重32吨的车辆载重量增加8吨，费额反而减少0.1067元/公里2022/7/19IT Department of CNAOs Nanjing Resident Office156用测试数据法检查计重收费参数设计计重收费每公

60、里费额与总轴重的关系示意图 2022/7/19IT Department of CNAOs Nanjing Resident Office157用测试数据法检查计重收费参数设计检查发现10吨至40吨区间的车辆最高费额出现在32吨时，费额不是随总轴重单调增加32吨到40吨区间的车辆总费额随总轴重下降，导致总轴重大于32吨小于42.66吨的车辆总费额反而低于32吨的车辆因此该费率标准存在明显的不合理之处2022/7/19IT Department of CNAOs Nanjing Resident Office158平行模拟法 平行模拟法是指审计人员根据被审计单位信息系统对数据处理的流程重新设计代