信息化环境下审计方式的创新与实践-审计署京津冀办事处特派员 刘汝焯

2023/9/22Copyright(C)2002LiuRuzhuoCANJ1数字化审计

--信息化环境下审计方式的创新和实践刘汝焯liuruzhuo99@2023/9/22Copyright(C)2002LiuRuzhuoCANJ2共同讨论的几个问题一、信息化的深入发展及其影响二、数字化审计的案例三、数字化审计的特征和概念四、数字化审计的主要内容和流程五、数字化审计的技术和方法六、数字化审计的四个层面七、坚定不移推进数字化审计2023/9/22Copyright(C)2002LiuRuzhuoCANJ3以数字化为基础的信息化是我们今天面临的全新形势今天的审计面临着什么样的形势?信息化：以数字化为基础的信息化全新的生活世界以信息化、数字化塑造了一个全新的生活世界，人、电脑、网络、手机、电视、卫星、WIFI，和谐相处，融为一体，没有时间、没有空间，其乐融融。生活在这个世界中，就是活在现在。这就是我们今天的生活。2023/9/22Copyright(C)2002LiuRuzhuoCANJ4审计环境的信息化国民经济全社会的信息化电脑-网络-PC互联网-移动互联网互联网金融微信现象WiFi大数据时代来临了大数据时代"大数据"是一个体量特别大，数据类别特别大的数据集，并且这样的数据集无法用传统数据库工具对其内容进行抓取、管理和处理。"大数据"首先是指数据体量(volumes)大，指大型数据集，一般在10TB规模左右，但在实际应用中，很多企业用户把多个数据集放在一起，已经形成了PB级的数据量；其次是指数据类别(variety)大，数据来自多种数据源，数据种类和格式日渐丰富，已冲破了以前所限定的结构化数据范畴，囊括了半结构化和非结构化数据。接着是数据处理速度（Velocity）快，在数据量非常庞大的情况下，也能够做到数据的实时处理。最后一个特点是指数据真实性（Veracity）高，随着社交数据、企业内容、交易与应用数据等新数据源的兴趣，传统数据源的局限被打破，企业愈发需要有效的信息之力以确保其真实性及安全性。2023/9/22Copyright(C)2002LiuRuzhuoCANJ6大数据时代"大数据"的概念远不止大量的数据（TB）和处理大量数据的技术，或者所谓的"4个V"之类的简单概念，而是涵盖了人们在大规模数据的基础上可以做的事情，而这些事情在小规模数据的基础上是无法实现的。换句话说，大数据让我们以一种前所未有的方式，通过对海量数据进行分析，获得有巨大价值的产品和服务，或深刻的洞见，最终形成变革之力2023/9/22Copyright(C)2002LiuRuzhuoCANJ7大数据时代变革价值的力量变革经济力量变革组织的力量2023/9/22Copyright(C)2002LiuRuzhuoCANJ8大数据时代应用的案例衣食住行人际联系嘀嘀打车，微信朋友圈，余额宝、理财通国家安全网络战争-战场数字化系统无人机精确打击棱镜、元数据互联网监测，美国9家网络巨头参与美国起诉5名中国军人经济管理ERP、SAP2023/9/22Copyright(C)2002LiuRuzhuoCANJ9ERP的概要介绍ERP的英文全称为EnterpriseResourcePlanning，中文译作企业资源计划，是一种重要的现代企业管理思想和理论。从管理科学角度，ERP定义为整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体的企业资源管理系统。它以系统化的管理思想为企业决策层提供决策支持，为员工提供操作运行的手段。从信息技术角度看，ERP还是一个将企业所有资源进行整合、集成，对企业的物流、资金流和信息流进行全面一体化管理的计算机信息系统。ERP的功能模块不仅适用于生产制造型企业，也适用于其他类型的企业及组织。ERP的基本结构ERP的主要功能ERP是将企业所有资源进行整合，将企业的物流、资金流、信息流进行全面一体化管理的信息系统。ERP的功能模块已不同于以往的MRP或MRPⅡ的模块，它不仅可用于生产企业的管理，而且可以为许多其它类型的企业和组织（如一些非生产型企业、公益性组织）进行资源计划和管理。一般的企业管理主要包括3方面内容：生产控制（计划、制造）、物流管理（分销、采购、库存管理）和财务管理（会计核算、财务管理）。另外，随着企业对人力资源管理的重视和加强，已经有越来越多的ERP厂商将人力资源管理纳入了ERP系统。SAP的概要介绍SAP公司成立于1972年，总部设在德国南部的沃尔多夫市。SAP的主打产品是SAPBusinessSuite，功能涵盖了企业管理的各个方面。这些功能模块服务于不同的企业管理领域，主要包括：销售和分销、物料管理、生产计划、质量管理、工厂维修、人力资源、工业方案、办公室和通信、项目管理、资产管理、控制、财务会计。SAP支持的生产经营类型有：按定单生产、批量生产、合同生产、离散型制造、复杂设计生产、按库存生产、流程式生产，其用户主要分布在石油化工、航空航天、汽车、消费品、电器设备、电子、食品饮料等行业。SAP的系统应用架构ERP的冲击和影响ERP的核心思想是实现企业运作的流程化管理。在ERP环境下，企业可以在供、产、销等各个环节实现对人、财、物的全面控制，实现财务处理与业务处理的一体化。一方面，ERP的实施会给传统的企业内部控制体系带来全新的冲击和影响；另一方面，ERP的实施也可以促进企业不断改进乃至重新设计原有的内部控制体系，以满足ERP环境下的新特征和新要求。ERP的冲击和影响ERP对企业内部控制带来了深刻影响ERP对传统财务收支核算的影响ERP对审计的影响ERP对企业内部控制带来了深刻影响内部控制体系呈现新特征风险管理的重要性和必要性凸现实时管理和监控成为现实内部控制与信息系统控制高度融合控制数据发挥出重要作用内部控制体系的新特征企业的运作由以部门的职能为中心转向了以企业业务流程为中心金字塔式的管理结构转化为扁平化、一体化的管理结构基于手工作业的重复流程消失，变为程序自动处理和控制对点的控制扩展为对线和面的控制…风险管理日益重要和迫切数据风险业务风险操作风险控制风险道德风险实时管理和监控ERP环境下，企业各部门共享统一的数据平台，实现了各种业务流程的一体化处理。企业的业务流程数据传输速度很快，甚至可以做到实时传递。ERP的开放性和实时性特点，为内部员工和管理者提供了开放的沟通渠道，有利于内部沟通。拥有相应权限的人员可以方便地通过内部网络实时调阅、分析各种信息，确保管理人员及时准确地获得系统运行的状况报告，方便对业务流程中出现的错误或异常进行及时处理。管理者也可以随时掌握内部控制制度的执行与生效情况；组织内的员工也可以清楚了解内部控制体系以及各自的责任。ERP环境下，企业的内部控制在一定程度上做到了实时监控。信息系统控制作用越来越重要ERP应用使企业的内部控制方式发生了变化。ERP的信息系统控制与企业内部控制高度融合。企业运作由ERP按照先进的管理模式控制与管理，很多内部控制点的控制标准、控制方法已预先制定并嵌入在系统的应用程序或控制数据设置中，许多内部控制通过信息系统控制的方式来实现。当经营活动中的事件发生时，有关信息被录入保存在数据库中，系统便驱动分析器和控制器，自动执行各种检验、核对、判断、监督以及权限管理等功能，进行实时控制。商业银行通过建立完善信息系统控制，通过内部控制流程与业务操作系统和管理信息系统的有效结合，加强了对业务和管理活动的系统自动控制。控制数据发挥重要作用信息系统的自动化控制分为程序代码固化控制和参数化控制两大类。程序代码固化控制是指将控制活动嵌入到计算机程序代码中，参数化控制是指在运行系统中通过控制数据配置的方式来实现信息系统的控制。程序代码固化控制的有效性取决于应用程序设计的质量，如果程序发生差错或不起作用，那么控制失效就有可能长期存在，从而使系统反复发生相同的问题。参数化控制的有效性取决于控制数据设置的正确性和及时性。如果一个控制数据长期没有进行正确设置，那么控制失效也有可能长期存在，从而使系统反复发生相同的问题。因此，ERP环境下的内部控制应该更加注重对控制数据的设置与管理，要由适当的人员在适当的时候及时评估控制数据的设置和更改情况。

返回ERP对传统财务收支核算的影响实施ERP系统，会影响会计核算的组织、业务处理，在流程上需要重组，在人员上需要重新分工，在控制上要重新设计，一系列的变化将会直接影响财务会计工作，在实施和应用中要给予充分的重视。ERP对传统财务收支核算的影响重组会计流程拓展会计职能重新划分财务决策权变更财务工作的组织方式重组会计流程传统会计流程都是以会计凭证为输入起点，主要采集经济业务的货币信息，借助于专门的方法和程序进行核算和控制，产生一系列财务信息和其他经济信息。这就决定了会计信息系统分立于业务和其他管理信息之外，只记录了业务信息的一个子集，而不能兼顾其他大量的管理信息，加之这种事后反映的方式使会计信息和业务信息存在一定程度的脱节，会计的反映、控制和决策的效率有进一步提高的余地。ERP把企业的物流、信息流和资金流整合在一起，实现了会计信息、其他管理信息和业务信息的集成。它将会计信息的输入延伸到业务最前端，多维度记录业务信息，包括物流、客户、供应商、货币、企业内部计划和预算等信息。而会计记账工作则可以通过事前设置和后台的处理，随物流、资金流自动生成财务信息。重组会计流程如车间领用材料，仓库管理员在系统中登记领用材料的时间、部门、用途、数量、金额和计划成本等信息，在登记完成时系统后台自动生成会计信息：借：生产成本—A产品贷：原材料—A材料这笔分录是由系统初始设置时确定的科目映射关系生成的，无需该仓库保管员懂得会计业务。会计信息内嵌到管理信息系统中，除了得到会计分录以外，还可以以事件驱动的方式获得按照各种维度汇总的财务信息和其他业务信息，以满足信息使用者的各种需要。拓展会计职能会计信息反映的及时性和多维度性会计监督控制的实时性会计职能权重的重新分配

返回ERP对审计的影响传统审计方法遭遇困境需要更加关注内部控制对控制数据进行检查成为重点对数据进行分析成为主要方式需要确立新的实施策略和流程传统的审计遭遇困境ERP的系统复杂度较以往的信息系统显著攀升。以SAP为例，它的系统功能众多，事务码多达几万个，系统结构复杂，仅后台数据表就超过两万张，数据字段超过二百多万个，大部分数据表和字段的含义晦涩。同时SAP各业务模块紧密集成，导致数据间逻辑关系也十分复杂。面对这样的挑战，审计人员必须深入学习ERP的基本理念、主要功能和数据结构，理清各模块之间的信息流和各主要数据之间的逻辑关系，才能有效开展数据分析。这些技术难题都给审计人员带来新的挑战。审计人员必须掌握ERP环境下的审计技术方法与工作程序，才能有效开展审计。对内部控制检查的重要性ERP数据处理与存储的高度集中化、自动化，使得企业的风险控制点发生了相应的变化，一些风险点消失的同时也产生了新的风险点。一些在传统方式下需要手工签字审核的环节被程序代替，大量的内部控制通过ERP的信息系统控制实现，绝大部分的控制措施都以程序代码或控制数据设置的方式固化在相关的系统中，业务系统的风险更多体现为信息系统的风险。内部控制和业务的关联性更加紧密，内部控制更加依赖于信息系统，审计内容也更为复杂。控制数据检查成为重点在ERP环境下，控制数据是系统控制实现的一种重要方式，对ERP相关控制数据的测试成为ERP环境下财务收支审计的首要和关键因素，这使得审计工作更加具有针对性，也可有效节省审计的前期准备时间。在ERP环境下，存在着为数众多的控制数据。在实际工作中，审计人员需要根据审计工作的目标和重点，有计划、有重点地筛选出不同层次的关键控制数据进行测试与分析。数据分析成为主要审计方式传统审计是查账，数字化审计是数据分析，强调大数据分析查询分析多维分析挖掘分析需要确立新的实施策略和流程第一阶段，了解系统运行管理第二阶段，测试系统内部控制第三阶段，获取并熟悉系统数据第四阶段，综合分析系统数据审计的变革在这样的大背景下，审计学涌进了大量其他学科的新思想和新理论；审计实务涌入了信息技术、计算技术、通信技术、无线网络技术、数理统计、数据分析等先进的技术和方法。审计方式的变革和创新势在必行。2023/9/22Copyright(C)2002LiuRuzhuoCANJ34新的挑战审计信息化出现了新的特点，提出了新的挑战，也提供了从未有过的发展机遇。创造新的审计方式：数字化审计中国审计铸造了属于自己的辉煌！2023/9/22Copyright(C)2002LiuRuzhuoCANJ35方式变革的重要意义在这里我们特别强调信息化引起的是方式的变革，而不仅仅是技术方法的变革。方式的变革是全方位的，包括业务、管理、组织、技术、方法、工具，既包括生产力，也包括生产关系。2023/9/22Copyright(C)2002LiuRuzhuoCANJ36突破口和切入点数字化审计有多种不同的名称，如计算机审计、IT审计、非现场审计等等。叫法虽然不同，但却有着许多共同点：审计对象是计算机信息系统，分析的是电子数据，运用的是数据分析方法，工具是电脑，产生的是电子数据，所有这些都是建立在数字化基础之上的。所以我们把这种类型的审计称之为数字化审计。

返回审计实施要重点回答的几个问题▲怎么审？把握总体、突出重点、精确延伸、调查取证▲切入点？信息系统、底层数据

返回把握总体系统模型之一：

集团公司收入结构分析，确定“主营业务收入”为审计重点系统模型之二：

集团公司收入结构分析，确定将“某航空公司”作为审计重点系统模型之三：

某航空股份公司收入结构分析，确定“运输收入”为审计重点类别模型之一：运输收入总量变化趋势运输收入：2002—2004年票务数据中的总体趋势运输收入：2002—2004年财务数据调整后的总体趋势

运输收入：2002—2004年财务数据调整前的总体趋势

财务数据和业务数据的对比类别模型之二：

机票销售暗扣变化趋势模型：

select作帐月,count(*)as票数,sum(毛额1)as毛额1,sum(净额1)as净额1,sum(毛额1-净额1)as暗扣

from主表_国内票_某航空出票并承运

where飞行日期1>='20020101'and票联号='1'groupby作帐月orderby作帐月个体模型：

统计销售暗扣发生金额结果：反推系统返回系统把握整体情况海关业务系统国税局港口商务委海关业务系统（业务数据）报关单报关单放行结果信息报关单，出口退税进出口收付汇数据1.通知放行信息.2.集装箱过磅重量信息3.放行结果信息电子数据中心商检局船舶代理公司舱单通关单外管局企业申报Edi信息其他相关单位报关单重量与集装箱过磅重量差异结果表共发现5257条记录提出假想多报少出是为了制造虚假出口贸易，骗取出口退税或者核销保税物料。2023/9/22Copyright(C)2002LiuRuzhuoCANJ50探索系统审计的方法跟踪测试管理系统中已经通关的业务数据采取倒推法，利用与海关业务密切相关的外部数据验证通关信息的真实性认真分析核实结果，发现管理中存在的漏洞和缺陷系统审计步骤之一：

选择跟踪测试数据系统审计步骤之二：

利用外部数据跟踪测试发现差异海关报关单显示，出口货物2470件，重量42555公斤，体积207.5立方米。船公司的提单显示，出口货物720件，重量13190公斤，体积69.5立方米。**公司

524744790报关单实际退税情况筛选出全部多报少出集装箱的结果共有8523个申报出口的集装箱实际没有装船出口**电子（**）电器有限公司出口申报集装箱数量与实际装船出口的集装箱数量差异表**公司出口申报货物重量与码头货物过磅重量差异表海关处理结果返回

2004年4月至2005年3月间，少出口货物完税价格521046美元和38972欧元，折合保税货物原料价值人民币3847284元，出口保税货物制成品申报不实，涉及税款人民币759240。上述行为构成违反海关监管规定的行为。对该公司罚款人民币700000元。2023/9/22Copyright(C)2002LiuRuzhuoCANJ60数字化审计的特征以系统论为指导审计取证的切入点是信息系统和底层数据信息系统审计是重要内容数字化审计的实现方式发生了根本性的变化创建审计中间表，构建审计信息系统构建模型进行数据分析（超越系统）2023/9/22Copyright(C)2002LiuRuzhuoCANJ61系统论为指导

系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论讲的是事物之间的联系，是规律，要求思维是立体的，不是平面的。计算机审计就是要从系统论的高度来研究新的审计方式。把审计对象作为一个系统，让被审计单位的信息都在审计监督范围之内。审计人员到一个单位去，一进去就把整个资料都掌握住，通过系统分析、对照、比较，选择其中最薄弱的部分作为重点，找出核心问题在哪里，从总体上把握。不是像过去那样瞎碰，逮着什么算什么。2023/9/22Copyright(C)2002LiuRuzhuoCANJ62系统论指导下的审计把握总体，突出重点，发现问题，客观评价，提出建议，规范提高返回2023/9/22Copyright(C)2002LiuRuzhuoCANJ63与传统审计的区别传统审计是账套式审计，是查账；数字化审计是对数据的分析，是分析，尤其是对大数据的分析。采集数据的起点从财务会计报表提前到了底层数据，从本质上注入了审计的内涵；会计报表数据是语言，原始数据是文字；会计报表数据是信息，原始数据是元素。返回系统审计实务中发现的问题类型舞弊

贵金属交易，软件后台操纵，修改客户下单数据，深圳利安达、广东中银、中梵等，限制客户平仓、转出资金，造成巨亏大唐神器，手机恶意预装程序，恶意扣费，窃取客户信息，APP漏洞光大证券乌龙指、骗取银行存款、骗取增值税票断点黄金诈骗、骗取退税、修改起息日管理黄金交易参数设置20130623某银行系统大面积出现问题滞后关税税率2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice642023/9/22ITDepartmentofCNAO'sNanjingResidentOffice65信息系统审计的发展过程

国外情况简介我们的发展历程有关组织模式的探讨

2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice66国外情况简介ISACA电子数据处理→信息系统审计→

IT治理COBITGAO一般控制→应用控制FISCAM2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice67信息系统审计与控制协会（ISACA）国际上引领信息系统审计的民间组织发布信息系统审计准则体系16个标准39个指南11个程序

COBIT标准IT准则维

IT资源维

IT过程维

2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice68COBIT的三维体系结构

IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。IT资源维主要包括人员、应用系统、技术、设备及数据在内的信息相关的资源，这是IT治理过程的主要对象。IT过程维在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的“计划与组织（PO）”、“获取与实现（AI）”、“交付与支持（DS）”和“监督与评估（ME）”这4个方面确定了34个IT活动的一般过程；对每个一般过程分解出详细控制目标，共计215个详细控制目标。在对每个一般过程分解出详细控制目标后，还提出该过程的管理指南并给出成熟度模型。2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice69COBIT的基本结构2023/9/22Copyright(C)2002LiuRuzhuoCANJ70信息技术管控（ITGovernance）信息技术审计（ITAudit）信息安全（InformationSecurity）信息技术的风险管理（ITRiskManagement）信息确保（InformationAssurance）目前系统的研究方向2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice71政府责任署（GAO）1999年1月颁布了《联邦信息系统控制审计手册——卷I财务报表审计》一般控制2009年2月颁布了最新版本的《联邦信息系统控制审计手册》（FISCAM）一般控制应用控制2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice72GAO的手册一般控制安全管理（SM-1～SM-7）访问控制（AC-1～AC-6）配置管理（CM-1～CM-6）职责分离（SD-1～SD-2）应急计划（CP-1～CP-4）应用控制应用系统层面的一般控制（AS-1～AS-5）业务流程控制（BP-1～BP-4）接口控制（IN-1～IN-2）数据系统控制（DA-1）2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice73我国的发展历程从1999年起开展信息系统审计审计中借鉴了国外的相关标准融入了自身的认识和理解信息系统审计与业务审计的关系一开始就没有脱离过审计业务为审计业务服务当前的工作仍处于探索阶段创造出了许多很好的模式积累了许多宝贵的经验2012年2月颁布《国家信息系统审计指南》

返回单机审计模式示意图现场网络审计模式示意图远程网上审计示意图数字化审计的实现方式嵌入式独立式开放式事前、事中、事后密切结合，动态跟踪监督着眼于网络大环境，视野开阔了返回2023/9/22Copyright(C)2002LiuRuzhuoCANJ78审计数据库的形成方式2023/9/22Copyright(C)2002LiuRuzhuoCANJ79数据共享平台数值型数据非数值型数据根据方案需要提出数据需求计算机系统调查财务数据业务数据文件汇编会议纪要……2023/9/22Copyright(C)2002LiuRuzhuoCANJ80构建审计信息系统返回2023/9/22Copyright(C)2002LiuRuzhuoCANJ81审计分析模型的涵义审计分析模型的定义

审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式，它是按照审计事项应该具有的性质或数量关系，由审计人员通过设定计算、判断或限制条件来建立起来的，用于验证审计事项实际的性质或数量关系，从而对被审计单位经济活动的真实、合法、效益情况做出科学的判断。

2023/9/22Copyright(C)2002LiuRuzhuoCANJ82审计分析模型的表现形态

审计分析模型有多种表现形态：用在查询分析中，表现为一个或一组查询条件；用在多维分析中，表现为切片、切块、旋转、钻取、创建计算成员、创建计算单元等；用在挖掘分析中，表现为设定挖掘条件。审计分析模型的分类2023/9/22Copyright(C)2002LiuRuzhuoCANJ83审计分析模型算法什么是审计分析模型算法？

审计分析模型算法是构建审计分析模型的思路、方法、步骤。

数字化审计的概念数字化审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点，在对信息系统进行检查测评的基础上，通过对底层数据的采集、转换、清理、验证，形成审计中间表，并且运用查询分析、多维分析、数据挖掘等多种技术等方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。数字化审计概念的发展计算机辅助审计技术和方法计算机审计数字化审计

返回数字化审计的主要内容数据审计对计算机输入、处理、存储、输出的数据进行分析检查信息系统审计对与财政财务收支有关的计算机信息系统进行检查返回2023/9/22Copyright(C)2002LiuRuzhuoCANJ87数字化审计流程1.审前调查，获取必要和充分的信息。提交数据需求说明书。2.采集数据，全面掌握情况。数据下载报告、承诺书。3.数据转换、清理和验证。4.建立审计中间表，构建审计信息系统关于中间表的说明5.多维分析、把握总体，锁定重点。6.建立个体模型，内外关联，对比分析，筛选线索。形成数据分析报告。7.延伸落实，审计取证。审计现场数字化，对流程进行管理返回信息系统审计的内容应用控制审计信息系统业务流程，数据输入、处理和输出的控制，信息共享和业务协同一般控制审计信息系统总体控制，信息安全技术控制，信息安全管理控制审计项目管理审计信息系统建设的经济性，信息系统建设管理，信息系统绩效审计2023/9/22Copyright(C)2002LiuRuzhuoCANJ88应用控制审计--信息系统业务流程控制审计信息系统业务流程控制审计的目的是通过检查被审计单位信息系统承载的经济业务活动的发生、处理、记录和报告的业务流程和业务循环过程，评价系统业务流程控制的合理性和有效性，揭示系统业务流程设计缺陷、控制缺失等问题，形成审计结论，提出审计意见和建议；为防范和控制数据审计风险，以及审计项目对信息系统业务流程控制的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ89应用控制审计--数据输入、处理和输出控制审计数据输入、处理和输出控制审计的目的是通过检查被审计单位信息系统数据输入、处理和输出控制的有效性，发现因系统控制缺失产生的数据风险，形成数据控制水平的审计评价和结论，提出审计意见和建议；为数据审计防范和控制审计风险，以及审计项目对信息系统数据风险控制的审计评价提供支持。审计人员应当在调查了解被审计单位信息系统所承载的经济业务活动的业务流、资金流和信息流基础上，按照不同经济业务活动的数据输入、处理和输出功能，分类建立测评指标，开展测评和审计分析。2023/9/22Copyright(C)2002LiuRuzhuoCANJ90应用控制审计--信息共享和业务协同审计信息共享与业务协同审计的目的是通过检查被审计单位信息系统内外部信息共享与业务协同，揭示共享与协同控制的缺失，分析并评价风险程度，形成被审计单位信息共享与业务协同水平的审计评价和结论，提出审计意见和建议；为数据审计获取真实、完整和正确的审计数据，以及审计项目对被审计单位信息共享与业务协同的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ91一般控制审计--信息系统总体控制审计信息系统总体控制审计的目的是通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险，形成信息系统总体控制的审计评价和结论，提出审计意见和建议，促进信息系统总体控制的完善，并为审计项目对信息系统总体控制的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ92一般控制审计--信息安全技术控制审计信息安全技术控制审计的目的是通过检查被审计单位信息系统的信息安全技术及其控制的整体方案，检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计，检查信息系统的安全技术配置和防护措施，发现并揭示信息系统安全技术控制的缺失，分析并评价风险程度，形成信息安全技术控制的审计结论，提出审计意见和建议，促进信息系统安全技术及其相关控制的落实；为数据审计防范和控制审计风险，以及审计项目对信息安全技术控制的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ93一般控制审计--信息安全管理控制审计信息安全管理控制审计的目的是通过检查被审计单位信息系统的信息安全管理，评价信息安全管理的完整性和有效性，揭示信息安全管理缺失的问题，形成信息安全管理控制的审计评价和结论，提出审计意见和建议，促进信息系统安全管理的有效性；为数据审计防范和控制审计风险，以及审计项目对系统安全管理的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ94项目管理审计—信息系统建设经济性评价信息系统建设经济性审计的目的是通过检查被审计单位信息系统规划、建设、应用和运维的经济性，发现系统建设不经济的问题，形成审计结论，提出审计意见和建议，促进信息化建设投资的有效性，并为审计项目对信息系统建设经济性的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ95项目管理审计—信息系统建设管理审计信息系统建设管理审计的目的是通过检查被审计单位信息系统建设的立项申报、建设管理、资金管理、监督管理、验收管理、运行管理、等保管理和风险评估管理，揭示系统建设管理控制缺失的问题，提出审计意见和建议，促进项目建设管理的规范性，为审计项目对信息系统建设管理的审计评价提供支持。2023/9/22Copyright(C)2002LiuRuzhuoCANJ96项目管理审计—信息系统绩效评价信息系统绩效评价的目的是通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升，以及经济业务活动的效率、效果和效能的改善，揭示信息系统顶层设计和建设方面的不足，提出审计意见和建议，进一步促进信息系统的实际效能提升，为审计项目对系统建设绩效的审计评价提供支持。

返回2023/9/22Copyright(C)2002LiuRuzhuoCANJ97数字化审计的技术和方法数据分析的技术和方法信息系统审计的技术和方法数字化审计的取证技术和方法

返回数据分析的基础技术和方法审前调查的技术和方法提出数据需求的技术和方法数据采集和整理验证的技术和方法建立审计中间表的技术和方法视频、音频数据的分析挖掘分析的技术和方法多维分析的技术和方法查询分析的技术和方法

返回信息系统审计的技术和方法一般控制的审计技术和方法应用控制的审计技术和方法信息系统投资效益的技术和方法2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice101信息系统审计的方法常规的审计方法仍需使用面谈询问法调查问卷法文件审阅法实地观察法在使用这些方法时，需要注意与信息系统审计的相关审计事项紧密结合。2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice102信息系统审计的方法特有的审计方法流程图检查法

测试数据法

平行模拟法

源代码检查法

日志分析法

考虑到审计的风险，有些方法需在被审计单位单独提供的测试环境中使用。2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice103流程图检查法

通过绘制或者检查被审计单位提供的流程图，加深对信息系统结构的理解，分析信息系统的运行过程，关注信息系统控制节点和控制条件，追踪业务样本，从而评估信息系统控制是否存在明显错误或者缺陷。

主要的3种流程图业务流程图数据流程图程序流程图2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice104业务流程图业务流程图是系统分析阶段的文档业务流程图用以描述系统的业务处理流程它描述的是真实业务系统内各部门、人员之间的业务关系、作业顺序和管理信息流向描述了业务过程的具体环节和业务流程的实际处理步骤是一种纯业务的描述视角2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice105业务流程图（例）开发人员在系统调查阶段了解到某企业的会计核算形式是科目汇总表的核算形式，其账务处理业务流程如下：（1）根据审核无误的原始凭证汇总表编制记账凭证，包括现金收付凭证、银行收付凭证和转账凭证。（2）根据现金收付款凭证登记现金日记账。（3）根据银行收付款凭证登记银行存款日记账。（4）根据银行送来的对账单对银行存款日记账进行核对。（5）根据记账凭证及所付原始凭证登记有关明细账。（6）根据记账凭证，按相同的借贷方汇总出科目汇总表。（7）根据科目汇总表登记汇总分类账。（8）将明细账科目余额与财产物资实有数进行核对。（9）将总分类账余额与有关明细账余额进行核对。（10）根据总账、明细账余额编制各种会计报表。根据上述业务流程可以绘制出该企业账务处理的业务流程图2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice1062023/9/22ITDepartmentofCNAO'sNanjingResidentOffice107数据流程图以图形的方式刻画数据从输入到输出的移动变换过程综合反映出数据在系统中的存储、流动和处理情况偏重于系统中的数据处理过程是业务流程图的数据抽象屏蔽了业务流程的物理背景而抽象出数据的特征描述了数据在业务活动中的运动状况

例：某销售管理系统的数据流程图

2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice1082023/9/22ITDepartmentofCNAO'sNanjingResidentOffice109业务流程图与数据流程图的关系业务流程图是物理模型数据流程图是逻辑模型业务流程图主要是描述业务走向数据流程则是描述数据的走向2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice110测试数据法审计人员根据对被审计单位信息系统业务或者管理流程的理解，设计专门的测试数据，在系统中模拟业务的处理全过程，并将测试数据的模拟处理结果与预期处理结果进行比较核对，从而判断信息系统的功能与控制是否存在明显错误或者缺陷。在某收费公路信息系统审计过程中，审计人员采用测试数据法对计重费率计算方法进行了分析。2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice111用测试数据法检查计重收费参数设计分析发现根据该方法，总轴重32吨（不超限）的车辆费率为1.7067元/公里总轴重40吨（不超限）的车辆费率为1.6元/公里（40*0.04），收费低于轴重32吨的车辆载重量增加8吨，费额反而减少0.1067元/公里2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice112用测试数据法检查计重收费参数设计计重收费每公里费额与总轴重的关系示意图

2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice113用测试数据法检查计重收费参数设计检查发现10吨至40吨区间的车辆最高费额出现在32吨时，费额不是随总轴重单调增加32吨到40吨区间的车辆总费额随总轴重下降，导致总轴重大于32吨小于42.66吨的车辆总费额反而低于32吨的车辆因此该费率标准存在明显的不合理之处2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice114平行模拟法平行模拟法是指审计人员根据被审计单位信息系统对数据处理的流程重新设计代码，将被审计单位的真实数据用审计人员编写的代码重新处理一遍，并与被审计单位信息系统处理的结果进行对比，从而判断逻辑处理功能是否存在明显错误或者缺陷的一种方法。在某大型央企的SAP系统审计中，审计人员根据被审计单位提供的报表取数逻辑，利用VisualBasic6.0重新编写了从科目余额生成单体会计报表的程序，将程序生成的会计报表与被审计单位提供的会计报表进行核对，验证有无人为调整会计报表的情况。对于存在认为调整的情况，进一步调查核实原因。

2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice115平行模拟法2023/9/22ITDepartmentofCNAO'sNanjingResidentOffice116源代码检查法有重点地抽查若干程序源代码的片段，从而判断金额计算、业务授权等关键数据处理是否存在明显错误或者缺陷。在某高速公路审计过程中，审计人员发现原始数据统计的收费结果和报表反映的结果之间存在差异，使用代码检查法提取记帐卡通行费报表生成的核心源代码进行了分析。通过源代码检查发现，报表少统计了存储于上一个月表中的当月第一天0点至下一个白班上班时的通行费。系统审计要解决好的几个问题审计什么？系统十分浩大，查什么？如何审？审计的标准如何确定？如何评价审计发现的事项？如何运用审计成果？大庆的案例

返回

数字化审计的四个层面器技道特征分析的思维特征特征分析的实质是演绎分析。运用特征分析，关键要做好扎实的基础工作。--建立特征数据库--构建特征分析坐标系--对具体案例比对分析的方法2023/9/22Copyright(C)2002LiuRuzhuoCANJ122美审美的内涵这里讲的审美包括多重含义，主要的有三个方面：用审美的心胸去感受生活提升人生的境界体会和发现科学美2023/9/22Copyright(C)2002LiuRuzhuoCANJ124审美的分析特征审美的分析特征是感觉和想象，针对实际感觉做出判断或者假想，然后把这种判断或者假想作为分析问题前提。在针对新的、从来没有碰到过的问题时，这种感觉和想象非常重要。2023/9/22Copyright(C)2002LiuRuzhuoCANJ125核心是创建审计分析模型审计分析模型的构建基础研究电子数据的特点和规律是前提创建相对完整规范的审计中间表是基础审计中间表是面向审计分析的数据存储模式，是审计人员进行数据分析的对象、资源和平台。主表、附表、代码表、补充表、分析表掌握相关技术

SQL查询技术多维分析技术数据挖掘技术电子数据的特征和规律静态特征：

数据的基本结构，如逻辑组织方式多样、物理存储格式多样、数据结构规范化、数据表示代码化、数据类型多样化、数据更改无痕迹性、数据独立性动态特征：

对数据的操作，如增、删、改、查规律：

表间联系规律、字段间联系规律系统分析模型功能从系统的层次分析、评估、把握被审计单位的总体情况，对其主要特点、运营规律和发展趋势形成一个总体上的概念和认识，同时初步确定审计重点范围。

内容及方法对资产、负债、损益、现金流情况的分析

——结构分析法和趋势分析法对有关财务、业务指标的计算分析

——比率分析法

类别分析模型功能

类别分析模型是从业务类别的层次对被审计单位的主要业务类别进行分析，从而锁定审计重点，为下一步构建个体分析模型核查问题、筛选线索提供依据。常用方法

结构分析、趋势分析

这两种方法在类别分析和系统分析中的应用有所差别。个体分析模型功能

在类别分析的基础上按不同的审计思路构建个体分析模型，对审计重点进行深入分析，发现问题或线索。基本步骤

审计需求分析确定构建思路，掌握相关知识分析数据，创建审计中间表构建模型，查找问题或线索

1.审计思路

2.具体模型（实现审计思路的审计软件操作或SQL语句编写）

3.运行结果及分析创建个体分析模型的思路个体分析模型的构建思路利用法律法规利用数据钩稽关系利用业务处理逻辑利用外部数据关联关系利用审计经验个体分析模型特点内在关系：对称、和谐、协调外观形式：简洁、美观美决定于数的关系古希腊的毕达哥拉斯学派认为，美决定于数的关系，并且认为“一切立体图形中最美的是球形，一切平面图形中最美的是圆形”。后来亚里士多德明确说“那些人认为数理诸学全不涉及美或善是错误的。”“美的主要形式‘秩序、匀称与明确’，这些唯有数理诸学优于为之作证。”2023/9/22Copyright(C)2002LiuRuzhuoCANJ133模型构建是一种审计过程构建模型就是在发现和表达数的关系，就是在发现美、生成美、享受美。从这种意义上说，模型构建就一种审美。这里讲的美主要是指科学美，理智的美，同时也包括挖掘到、表达出数的关系之后所得到的精神愉悦，快乐、惊奇、欣慰、赞叹。2023/9/22Copyright(C)2002LiuRuzhuoCANJ134一个案例的启示在信息化环境下，绝大多数重大违法违纪问题都会在信息系统或电子数据中显现出一些具体特征，审计人员在数据分析过程中把握和发现了这些特征，就能够发现线索、取得突破。审计成果审计查清落实了“某上市公司董事长徐**借重组上市公司之机为个人非法牟利861万元”的问题，撰写的审计简报被审计署以要情的形式上报，引起国家领导人的高度重视。2023/9/22Copyright(C)2002LiuRuzhuoCANJ137关注资金内转

所谓资金内转即某个客户将其资金账户内的资金转入其他一个或几个该证券公司客户的资金账户中。客户通过此类资金划转，既可以起到分散资金的作用又可以规避银行等金融机构的审计，可谓一举两得。2023/9/22Copyright(C)2002LiuRuzhuoCANJ138开户后短期内即将资金内转将大额资金分散内转至若干账户关联内转账户集中购买一支或几支股票关联内转账户集中卖出所购股票关联内转账户将资金转回取现特征枚举2023/9/22Copyright(C)2002LiuRuzhuoCANJ139特征捕捉

1、构建审计中间表取得被审计单位数据后，审计人员经过筛选整理，获得某证券公司北京、上海、武