信息系统审计技术方法课件

第七章信息系统审计技术方法在信息系统审计过程中，需要运用各种审计技术方法以获取审计证据、完成审计任务。随着计算机信息技术的发展与应用，在信息系统审计中除了采取传统的审计方法以外，计算机辅助审计技术得到了广泛的应用。

第一节风险评估技术IS审计师在实施信息系统审计时，必须评估存在的不同的审计风险，并且选择高风险的区域进行审计。

如何评估存在的审计风险？

涉及：风险分析技术

IS审计师可以选择多种风险分析技术，可采用计算机辅助分析，也可以采用人工分析风险分析的标准可以是简单的定性分类，也可以通过复杂的科学计算进行定量计算。（一）风险评估常用定性评估技术：1、定性分级技术：根据风险从低到高分级如：用1-5分进行定性分级；用高、中、低分级考虑因素：审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失，等因素

方法：根据每一个因素给出一个分值（如5分制、10分制），然后把各种因素的风险值累计即为的风险值，然后对根据分值大小进行排列。

2、经验判断法：原理：审计师根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断，以决定风险大小。

（二）风险评估常用定量评估技术：基于一个数学模型的定量分析技术：数学模型公式：风险=威胁ⅹ弱点ⅹ影响

威胁表示：3（高风险）、2（中风险）、1（低风险）、0（无）弱点表示：事件发生的概率在0——1之间影响表示：0——7之间

二、属性抽样和变量抽样属性抽样：用来估计一个控制或一组相关控制属性的发生概率。主要用来测试控制的，与符合性测试相关。在进行控制测试时，属性抽样又可分为以下三种基本方法：

1、固定样本量抽样（Fixedsample–sizesampling）：常用于估计审计对象总体中某种偏差的发生比例。其特点是预先确定样本量，在执行抽样计划的过程中不再进行变动。

2、停--走抽样（stop–orgosampling）：是在固定样本量抽样的基础上的一种改进形式。它从预计总体误差为零开始，通过边抽样边审查评价来完成审计工作。可以克服固定样本量抽样时要选取过多的样本缺点，提高审计工作的效率。

3、发现抽样（discoverysampling）：

是属性抽样的一种特殊形式，主要用于查找非法重大事件。其理论依据是，如果总体偏差率大于或等于某一特定比率，那么在既定的可信赖程度下，从一个足够大的样本中至少能查出一个偏差。

变量抽样：是根据总体的抽样来估计总体的金额数或其他衡量单位。与实质性测试相关。其主要目的是验证可能存在于程序或功能中的因控制失效导致重大影响的重大金额。在选用这种方法时，必须满足以下三个条件：1、设计分层样本的能力；2、审计价值与账目价值之间的差异不能太大；3、资料的可得性。变量抽样法主要运用在实质性测试中。通常有以下几种常用方法：1、分层单位平均估计抽样(StratifiedMeanPerunit)：

先对样本总体进行分层，在不同分层中进行抽样检查确定样本的平均值，根据样本平均值推断总体的平均值和总值。

2、不分层单位平均估计抽样(UnstratifiedMeanPerunit)：通过抽样检查确定样本的平均值，根据样本平均值推断总体的平均值和总值。

3、差额估计抽样（differenceestimation）：以样本实际价值与帐面价值的平均差额来估计总体实际价值与帐面价值的平均差额，然后再以这个平均差额乘以总体项目个数，从而求出总体的实际价值与帐面价值差额。

在实质性测试中，如果推断的总体误差超过了可容忍误差，应增加样本量或执行替代审计程序。

在符合性测试中，如果认为抽样结果无法达到其对所测试内部控制的预期信赖程度，则应考虑增加样本量或者修改实质性测试程序。

（二）实用工具软件。包括：1、评估安全性和完整性的工具软件。如：访问控制分析软件

2、熟悉系统的工具软件。如：系统配置分析软件、流程图制作器3、评价数据质量的工具软件。如：查询工具、数据比较软件4、评估程序质量的工具软件。如：程序比较软件、测试数据生成器5、辅助审计程序开发的工具软件。如：程序生成器6、辅助生成有关审计文档的工具软件。如：文档生成器、办公软件

（三）性能度量工具包括：硬件监测器、软件监测器、固件监测器、混合监测器

（四）测试数据法（平行模拟法）基本原理：通过编制模拟程序输入测试数据与实际应用程序结果比较，以评价系统。

测试数据法（平行模拟技术）测试数据处理结果1模拟程序结果比较审计评价实际应用程序处理结果2

（五）连续在线审计连续在线审计可以利用信息技术在不中断被审计业务系统的正常运行的情况下，对业务系统的内部控制进行检查与评估，连续监测系统运作，评价系统安全性、有效性以及评价数据的真实性和完整性。

目前常用的连续在线审计方法有以下几种：1、系统控制审计检查文件/嵌入式审计模型（SCARF/EAM）：通过在应用系统中嵌入特殊的审计软件模块，实现对系统有选择的监测。IS审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控，将收集的信息写入一个特殊的审计文件——SCARF主文件。2、整体测试法（ITF）：通过在系统中建立虚拟实体（dummyentity），用正常系统运行，对结果进行比较分析，判断控制。适用于一般测试数据不能有效测试系统控制的情况。在实施整体测试方法时要注意测试数据可能会进入被审计系统的真实数据环境。

终端终端实际数据测试数据应用系统ITF结果分析比较

3、快照：对输入业务标记，记录业务的处理轨迹，适用于需要记录审计轨迹的情况。

事务输入有效性确认程序快拍报告出错报告输入主文件更新程序更新报告快拍报告输出主文件报告程序快拍报告管理报告快拍点1，2，3快拍点7快拍点4，5，64、持续性与间歇性模拟（CIS）：采用计算机系统模拟事务/交易的执行，当事务/交易满足预定的标准，对该事务/交易进行检查，否则等待下一个满足标准事务/交易的输入。适用于在已确定满足某种条件的数据需要被检查的情况。

应用系统数据库管理系统CIS数据库连续和间歇模拟CIS原理异常日志事务建立标准比较（七）