27用于數(shù)據(jù)分析的CAATsIntosaiCommunityPortal_第1頁
27用于數(shù)據(jù)分析的CAATsIntosaiCommunityPortal_第2頁
27用于數(shù)據(jù)分析的CAATsIntosaiCommunityPortal_第3頁
27用于數(shù)據(jù)分析的CAATsIntosaiCommunityPortal_第4頁
27用于數(shù)據(jù)分析的CAATsIntosaiCommunityPortal_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、INTOSAI IT 審計委員會計算機(jī)輔助審計技術(shù)(CAATS)學(xué)員資料2004年9月目錄1.簡介11.1本教程的編寫初衷和教學(xué)目標(biāo)11.2CAATs的作用22.CAATS種類12.1程序?qū)彶榕c文件審查12.2用于計算機(jī)程序分析的CAATs12.3檢查數(shù)據(jù)流22.4檢查數(shù)據(jù)和文件的完整性22.5嵌入審計模塊32.6其他工具32.7用于數(shù)據(jù)分析的CAATs42.8數(shù)據(jù)分析 問題探討53.使用CAATS進(jìn)行數(shù)據(jù)分析中要考慮的問題63.1何時使用CAATs數(shù)據(jù)分析63.2何時使用CAATs進(jìn)行程序分析64.將CAATS引入審計機(jī)關(guān)75.CAATS職能的組織86.數(shù)據(jù)訪問97.分階段使用CAATS的方

2、法108.數(shù)據(jù)的選取119.數(shù)據(jù)分析工具129.1通用審計軟件129.2SQL 和基于SQL的工具129.3SQL中的SELECT語句149.4Microsoft Access159.5其他工具1610.數(shù)據(jù)下載1711.CAATS的設(shè)計、實施和檔案記錄1811.1CAATs的設(shè)計1811.2文檔歸集的要求 檢查清單181. 簡介1.1 本教程的編寫初衷和教學(xué)目標(biāo)編寫本教程是為了向大家介紹計算機(jī)輔助審計技術(shù)(CAATs)。目的是為了使審計人員能夠理解在何時、何地,可以使用哪些CAAT工具。本教程并不具體針對某種軟件工具,也不涉及CAATs的開發(fā)。然而,可以利用某些具體的軟件工具資料做為本教程的

3、補(bǔ)充。這類資料可以通過以下途徑取得: 市場上銷售的或EDP委員會專門開發(fā)的完整培訓(xùn)教程,或者是 不同國家審計機(jī)關(guān)提供的具體案例。盡管這種案例不會象培訓(xùn)教程那樣具有一般性,但它們可以通過在不同環(huán)境下的實際工作經(jīng)驗,為各國審計機(jī)關(guān)提供有益的指導(dǎo)。這些案例可能是針對某種軟件工具或是針對某個審計領(lǐng)域。雖然本教程中也會涉及一點程序的檢查,但主要還是集中在CAATs在數(shù)據(jù)分析中的運(yùn)用。數(shù)據(jù)下載是IT審計人員在使用CAATs過程中的一個重要步驟,該部分內(nèi)容將會在另一個獨(dú)立的教程中討論,本教程不包括這方面的內(nèi)容。在學(xué)完本教程之后,學(xué)員們應(yīng)該能夠理解如下內(nèi)容: CAATS的作用:CAATS在審計過程中發(fā)揮作用的

4、途徑; CAATS的種類:用于程序檢查和數(shù)據(jù)分析的CAATs的之間的區(qū)別,和兩種常用的CAATs,以及與數(shù)據(jù)分析相關(guān)的一些關(guān)鍵問題; CAATs的使用條件:適于使用CAATs的條件,以及將CAATs引入審計機(jī)關(guān)的方法; CAATs職能的組織:可以選擇的不同CAATs職能組織方式,以及在做出選擇時應(yīng)考慮的相關(guān)因素; 數(shù)據(jù)的訪問:訪問客戶數(shù)據(jù)的方法,以及這些方法之間的優(yōu)缺點; 一種分階段的使用CAATs的方法,以及不同階段的詳細(xì)介紹; 數(shù)據(jù)選擇的相關(guān)問題; 數(shù)據(jù)分析的常用工具; 與數(shù)據(jù)下載相關(guān)的一些關(guān)鍵問題,以及. CAATs的設(shè)計和文檔記錄的相關(guān)問題。1.2 CAATs的作用我們可以將計算機(jī)輔助

5、審計技術(shù)或CAATs定義為:為了提高審計過程的效果和效率而使用的基于計算機(jī)的工具;另外一種定義是:審計人員使用計算機(jī)作為工具,進(jìn)行數(shù)據(jù)采集和分析工作的相關(guān)技術(shù)。本教程不涉及那些單純用于行政事務(wù)管理的軟件工具,而只包括那些可以使審計工作更加有效的軟件工具。必須指出的是,CAATs的使用并未改變審計的目標(biāo),而只是改變了審計的方法。當(dāng)今,許多甚至說是絕大多數(shù)信息處理環(huán)境下,審計證據(jù)要么無法以紙質(zhì)文檔的形式存在,要么是根據(jù)電子數(shù)據(jù)打印出來(因此可靠性會降低)。因此,審計人員不得不依靠CAATs才能搜集到充分、相關(guān)及可靠的證據(jù)。被審計單位最初使用電子數(shù)據(jù)處理的時期,審計人員將IT系統(tǒng)當(dāng)作一個黑箱,實施“

6、繞過計算機(jī)審計”。經(jīng)過了若干年的發(fā)展審計人員(包括最高審計機(jī)關(guān))能夠運(yùn)用CAATs,對被審計單位的電子數(shù)據(jù)實施“通過計算機(jī)的審計”。這種趨勢不僅為審計的實施階段,也為審計的計劃階段帶來好處。雖然使用CAATs的初衷集中在財務(wù)審計和合規(guī)性審計,但隨著最高審計機(jī)關(guān)的審計性質(zhì)和審計重點的改變,CAATs越來越多用于效益審計和案件調(diào)查審計中,并發(fā)揮了積極的作用。在審計的計劃階段,(使用CAATs)著眼于如何提高審計效果,如: 重大/重要的趨勢和規(guī)律可能更加直觀地顯現(xiàn)出來,并使得下一步的審計工作重點更加突出,無論是手工審計還是計算機(jī)化的審計。 由于被審計單位在開始審計之前就可以提供電子數(shù)據(jù),審計人員就有

7、了在數(shù)據(jù)上“自由發(fā)揮”的能力。這方面的作用不可低估,尤其是在效益審計和案件調(diào)查審計項目中。在審計的實施階段,通常是著重于如何提高審計的效率: 提高審計的覆蓋面-包括深度和廣度; 節(jié)省時間和成本; 提出更加復(fù)雜的審計問題,并提高分析能力; 為創(chuàng)新審計方法提供更多機(jī)會。2. CAATS種類2.1 程序?qū)彶榕c文件審查在審計工作中,可以將CAATS分為兩個不同的領(lǐng)域: 程序?qū)彶?數(shù)據(jù)分析從廣義上講,針對計算機(jī)程序的CAATs關(guān)注于對計算機(jī)程序的不同處理過程進(jìn)行審查。從理論上講這種審查可以覆蓋整個計算機(jī)程序,當(dāng)然這種情況在實踐中很難實現(xiàn)。另一方面,針對數(shù)據(jù)的CAATs只關(guān)注數(shù)據(jù)分析,而不關(guān)注產(chǎn)生數(shù)據(jù)的計

8、算機(jī)程序。這倒不一定是說,數(shù)據(jù)分析的CAATs只能用于實質(zhì)性測試,而針對計算機(jī)程序的CAATs就只能用于基于系統(tǒng)的審計。計算機(jī)程序的審查一般只用于合規(guī)性審計或者最多能用于財務(wù)證實性審計,數(shù)據(jù)分析可以用于效益審計和案件調(diào)查審計。實際上,數(shù)據(jù)分析用在評估控制的實際效果方面也十分有用,并不一定只依靠對程序的分析(對程序的分析只是IT控制的一個方面)。一般來說,使用針對計算機(jī)程序的CAATs需要較高的專業(yè)技術(shù)水平,以及與被審計單位的技術(shù)環(huán)境相關(guān)的專門知識和技能。這對于許多最高審計機(jī)關(guān)來說可能并不一定是可行的,尤其是對于那些缺少IT審計專家(對應(yīng)于INTOSAI IT審計教學(xué)大綱中描述的技術(shù)水平的第3級

9、)的審計機(jī)關(guān)來說。同樣,計算機(jī)程序分析一般只用于合規(guī)性審計或者最多能用于財務(wù)證實性審計,數(shù)據(jù)分析用于效益審計和案件調(diào)查審計十分有效。因此,在大多數(shù)據(jù)情況下,運(yùn)用CAATs進(jìn)行數(shù)據(jù)分析不僅更加可行,而且可以用于更加廣泛的領(lǐng)域。2.2 用于計算機(jī)程序分析的CAATs這方面的CAATs可以歸為以下幾類:檢查數(shù)據(jù)流 快照 追蹤 映像檢查數(shù)據(jù)和文件的完整性 平行模擬 測試數(shù)據(jù)生成器和整體測試工具嵌入審計模塊 系統(tǒng)控制審計復(fù)查文件(SCARF) 樣本審計復(fù)查文件(SARF)其他工具 源代碼檢查 程序庫分析 代碼比較 用戶日志分析2.3 檢查數(shù)據(jù)流快照(Snapshot) - 是一種實用工具軟件,審計人員可

10、以用它將一個計算機(jī)程序在某一點凍結(jié)。這樣就可以檢查交易的值和運(yùn)行的程序所完成的處理。快照是一種快速和相對容易的工具,但它的功能有限,而且只能針對具體的軟件??煺盏牡湫屠邮牵诔绦蛑屑尤胍粋€代碼行,以便將程序中斷并輸出某個特定變量的值。另一個例子是開發(fā)工具所提供的程序排錯功能,它可以使程序在規(guī)定的模式下運(yùn)行;每一步都可以對不同的數(shù)據(jù)值進(jìn)行檢查。追蹤(Tracing) - 這種方法涉及生成一個完整的審計軌跡,以便在處理過程中對交易進(jìn)行追蹤。通過追蹤,可以看到每一個代碼行對所處理的數(shù)據(jù)產(chǎn)生的效果或者程序本身的結(jié)果。如果一個程序不能正確地將交易匯總,通過追蹤的方法就可以發(fā)現(xiàn)錯誤出現(xiàn)在哪里。追蹤的主要

11、優(yōu)點是,這種方法可以使審計人員看到程序運(yùn)行的不同階段,而這種階段的變化在正常情況下是非??斓?。追蹤方法的缺點是,這種方法要求審計人員具有編程的知識,而且不同的軟件的追蹤功能也各不相同。映像(Mapping) - 這種方法涉及對程序的執(zhí)行進(jìn)行監(jiān)視,以取得某些統(tǒng)計信息。如:未被執(zhí)行的程序代碼、某些特定的代碼行執(zhí)行的次數(shù)等等。審計人員可以通過映像功能發(fā)現(xiàn)冗余代碼或用于舞弊目的的代碼。2.4 檢查數(shù)據(jù)和文件的完整性平行模擬(Parallel Simulation) - 使用這種工具,審計人員可以對所測試的應(yīng)用程序或其中的一部分進(jìn)行再次執(zhí)行。平行模擬法的使用包括建立另外一套獨(dú)立的代碼,來模擬所要測試的功

12、能。平行模擬的結(jié)果可以與應(yīng)用程序的處理結(jié)果進(jìn)行比較。這種方法的好處在于它可以證明系統(tǒng)中計算或處理過程的準(zhǔn)確性,而不對系統(tǒng)本身產(chǎn)生影響。采用這種方法,審計人員需要對系統(tǒng)非常了解,并具備豐富的編程經(jīng)驗。測試數(shù)據(jù)生成器(Test Data Generators)和整體測試工具(Integrated Test Facilities) - 這種工具可以根據(jù)審計人員的要求生成測試數(shù)據(jù)。這是一種證明被測試的應(yīng)用軟件能夠正確地處理數(shù)據(jù)的好方法。采用這種方法,審計人員需要對被測試的應(yīng)用軟件非常了解,而且必須確保生成的測試數(shù)據(jù)不能對系統(tǒng)中的真實數(shù)據(jù)產(chǎn)生影響。整體測試工具由應(yīng)用軟件自己產(chǎn)生,而測試數(shù)據(jù)生成器在應(yīng)用軟

13、件之外產(chǎn)生數(shù)據(jù)記錄。這種測試的結(jié)果必須從最終報告只清除,不然匯總結(jié)果將受到影響。要想設(shè)計出能夠?qū)?yīng)用軟件控制進(jìn)行全面測試所需的數(shù)據(jù)組合通常也是比較困難的。2.5嵌入審計模塊在審計人員不需要客戶應(yīng)用系統(tǒng)中產(chǎn)生的全部數(shù)據(jù)的情況下,可以使用這種方法。嵌入審計模塊可以按照一定的標(biāo)準(zhǔn)從系統(tǒng)中提出信息,以便使審計人員做進(jìn)一步的測試。嵌入審計模塊也可以在應(yīng)用系統(tǒng)運(yùn)用期間執(zhí)行某些功能。例如,可以用它來清除審計人員為了證明系統(tǒng)有效性而植入的測試數(shù)據(jù)。嵌入審計模塊有以下三方面的優(yōu)點: 審計人員可以得到一個數(shù)據(jù)文件,其中只包括與審計切實相關(guān)的信息; 可以就測試記錄從應(yīng)用系統(tǒng)中刪除,以免計算的匯總結(jié)果; 可以在預(yù)定的

14、某一點按照審計人員要求的格式提取到變化不定的數(shù)據(jù)(隨著程序的運(yùn)行而變化或后續(xù)程序?qū)?shù)據(jù)改變)。嵌入審計模塊的缺點存在于以下三個方面: 如果審計人員想要編寫一個嵌入審計模塊,就必須對系統(tǒng)有十詳細(xì)的了解并掌握編程技巧; 如果是由被審計單位的人替審計人員編寫,則編程要求必須準(zhǔn)確并且容易實現(xiàn)??蛻敉ǔP枰A(yù)約對程序進(jìn)行改動的日期,這會耽誤取得審計所需要的信息; 審計人員必須有辦法確保從中提取數(shù)據(jù)或從中抽樣的數(shù)據(jù)文件是完整的。由被審計單位人員編寫嵌入審計模塊,就相當(dāng)于被審計單位可以進(jìn)行相同的審計工作,而這是審計人員的責(zé)任。采用嵌入審計模塊方法的兩個特例是系統(tǒng)控制審計檢查文件(SCARF)和抽樣審計檢查文

15、件(SARF): SCARF方法是將審計人員確定的合理性測試植入應(yīng)用程序中,隨著程序的運(yùn)行,那些不合理的交易就會被復(fù)制到一個專門的文件中以供審計人員隨后審查。 SARF方法與SCARF方法相類似,它只是隨機(jī)地抽取數(shù)據(jù)而不是根據(jù)設(shè)定的合理性條件來抽取數(shù)據(jù)。2.6其他工具源代碼審查(Source Code Reviews): 審計人員可以嘗試審查程序源代碼的片斷。一般來說,審查全部的源代碼是不切實際的;審計人員通常是重點審查幾個感興趣的片斷,如:金額的計算、關(guān)鍵邏輯點。程序庫分析(Program Library Analysis): 在程序輸出結(jié)果中出現(xiàn)異常變化時,審計人員可以通過分析程序修改的記

16、錄,確定問題的潛在原因。代碼比較(Code Comparison): 審計人員將應(yīng)用軟件的源代碼或目標(biāo)代碼與可靠保存的原始版本進(jìn)行比較。審計人員也常常有興趣去發(fā)現(xiàn)實際運(yùn)行的經(jīng)編譯的程序(目標(biāo)代碼)是否真的源自于源代碼的主版本。這樣就可能發(fā)現(xiàn)舞弊人員的篡改或錯誤,以保證正在使用的是軟件的最新版本。用戶日志分析軟件(User Log Analysis Software): 這種方法可以發(fā)現(xiàn)未經(jīng)授權(quán)的進(jìn)入嘗試或非法口令。大多數(shù)系統(tǒng)都有一個用戶進(jìn)入和登錄嘗試的記錄日志。這個文件通常是簡單的文本文件,可以方便地使用文件審查軟件或自己的程序進(jìn)行審查。2.7用于數(shù)據(jù)分析的CAATsCAATs其它方面的用途就

17、是分析被審計單位的數(shù)據(jù)。由于這方面的應(yīng)用相對容易掌握,這就使這方面的應(yīng)用占了CAATs應(yīng)用的絕大部分。有許多審計軟件和SQL查詢工具可以用于數(shù)據(jù)分析,一般用于個人電腦系統(tǒng)。這些工具適用于合規(guī)性審計、效益審計、案件調(diào)查審計和財務(wù)審計。 常用的數(shù)據(jù)分析技術(shù)包括以下幾個方面:匯總(Totalling): 這是一種用來證明賬戶完整和進(jìn)行調(diào)節(jié)對賬的技術(shù); 分層(Stratification):可以給審計人員描繪出一個文件中的不同的數(shù)值的更加完整的圖像,以便進(jìn)行更加復(fù)雜的審查及更快地顯示文件中可能存在的問題;數(shù)據(jù)挖掘(Data mining): 可以用來進(jìn)行比較和趨勢分析,以找出可以進(jìn)一步分析和測試的領(lǐng)域

18、;抽樣(Sampling): 審計人員可以用這種技術(shù)從文件中抽取代表性的交易樣本; 例外報告(Exception reporting): 選取記錄及按照一定的條件選擇抽取數(shù)據(jù)記錄以便進(jìn)一步分析;重復(fù)記錄檢查(Duplicate record checks): 查找錯誤的支付或可能的舞弊行為;賬齡分析(Ageing): 可以顯示在一定的期間內(nèi)支付的規(guī)律。對交易的收據(jù)日和支付日之間的時段進(jìn)行監(jiān)控。這在貨幣價值審計(如:支付系統(tǒng)是否能完全發(fā)揮作用?)中十分有用;斷號查找(Gap detection):顯示在一串連續(xù)的號碼中缺失的號碼??梢杂糜诎l(fā)現(xiàn)漏掉的交易或舞弊行為;重新計算(Reperforman

19、ce of Calculations):可以用來證明處理數(shù)據(jù)中所使用的公式的正確性。可以對輸入數(shù)據(jù)再次處理,以證明控制功能切實發(fā)揮作用及處理的準(zhǔn)確性,例如,根據(jù)交易數(shù)據(jù)重新生成資產(chǎn)負(fù)債表和利潤表等財務(wù)報表,并與原來打印出來的版本進(jìn)行對比。2.8數(shù)據(jù)分析 問題探討審計人員依賴數(shù)據(jù)分析的結(jié)果做出審計結(jié)論會存在潛在的風(fēng)險。這些風(fēng)險受到下列因素的影響: 審計人員是否僅僅依靠數(shù)據(jù)分析來查找審計發(fā)現(xiàn)?或者是審計人員是否還通過非計算機(jī)化的審計測試來為CAATs提供必要的補(bǔ)充證據(jù)?審計人員是否通過核對紙質(zhì)文檔來對數(shù)據(jù)分析的結(jié)果進(jìn)行了交叉驗證(或者至少抽幾個例子來驗證)? 審計人員是否執(zhí)行IT系統(tǒng)的控制檢查,以

20、評估進(jìn)入系統(tǒng)或由系統(tǒng)處理的數(shù)據(jù)的可靠性?審計人員是否通過與控制總數(shù)調(diào)節(jié)等方式對下載的數(shù)據(jù)的完整性進(jìn)行了檢查? 審計人員對被單位的計算機(jī)系統(tǒng),尤其是數(shù)據(jù),理解到什么程度?這種理解是否與審計單位的系統(tǒng)文檔資料進(jìn)行了核對,或與被審計單位的人員進(jìn)行了討論? 審計人員對CAAT工具掌握到什么程度?審計人員接受了多大程度培訓(xùn)以及有多少使用這種軟件工具的經(jīng)驗? 是否有正式的有關(guān)保證數(shù)據(jù)分析質(zhì)量的方法?這種方法一般應(yīng)涉及(a) 監(jiān)督和復(fù)查, (b)同業(yè)復(fù)查。3. 使用CAATs進(jìn)行數(shù)據(jù)分析中要考慮的問題3.1 何時使用CAATs數(shù)據(jù)分析雖然使用CAATs進(jìn)行數(shù)據(jù)分析可以為審計機(jī)關(guān)帶來一些好處,但我們還是建議在

21、具體的審計環(huán)境中使用CAATs時,首先要進(jìn)行正式的成本 效益分析。這種分析通常只是做一個定量的評估。盡管如此,它還是有助于對要產(chǎn)生的好處和成本設(shè)定一個更為現(xiàn)實的期待。 主要的成本是為了準(zhǔn)備使用CAAT所涉及的相關(guān)資源的成本;這些資源涉及到如下幾個方面: 為理解IT系統(tǒng)所做的工作; 確定使用哪種CAAT工具以及數(shù)據(jù)訪問或傳輸?shù)姆绞剑?下載數(shù)據(jù),進(jìn)行下載檢驗/核對。這種成本從本質(zhì)上說屬于固定成本,一般與數(shù)據(jù)審查的量和程度無關(guān)。 在權(quán)衡是否要使用CAATs時,需要考慮以下幾個重要因素: 在未來審計中要重復(fù)使用CAATs,對于審計機(jī)關(guān)來說這是很重要的一點,因為審計機(jī)關(guān)通常與被審計單位會有一個長期的審計

22、關(guān)系(與民間審計事務(wù)所不同); 審計的重要程度很高,或者是已經(jīng)確認(rèn)的高風(fēng)險審計領(lǐng)域; 被審計單位核心業(yè)務(wù)(而不是單純的行政管理領(lǐng)域,如:財務(wù)、人事、存貨等)的計算機(jī)化,可能是實時的或在線的交易處理; 相關(guān)的非計算機(jī)化的審計技術(shù)不現(xiàn)實或成本很高。3.2 何時使用CAATs進(jìn)行程序分析決定是否使用CAATs進(jìn)行程序分析要考慮如下重要因素: 應(yīng)用程序執(zhí)行關(guān)鍵任務(wù); 無法依靠數(shù)據(jù)分析提供有關(guān)控制是否充分有效的保證。4. 將CAATs引入審計機(jī)關(guān)許多最高審計機(jī)關(guān),尤其是那些規(guī)模較小、財政和人力資源有限的審計機(jī)關(guān)在工作大多還一直采用手工審計技術(shù)。在需要采用CAATs的情況下,需要以一種有計劃的、系統(tǒng)的和分

23、階段的方式將CAATs引入審計機(jī)關(guān): 開始使用計算機(jī)軟件工具來進(jìn)行一些事務(wù)性工作,如:審計計劃、管理和報告,以及辦公自動化: 在一個試點項目中使用CAATs完成數(shù)據(jù)提取和分析; 然后有選擇地在一些審計項目中使用; 最后,在所有的審計項目中使用CAATs,并將其作為一種常規(guī)的審計方法。如下幾個重要因素值得考慮: 取得高層領(lǐng)導(dǎo)的肯定和支持; 用戶培訓(xùn); 質(zhì)量保證機(jī)制; 資金,包括直接和間接成本。5. CAATs職能的組織審計機(jī)關(guān)可以采用幾種不同的方式來組織自己的CAATs職能;正如第3部分談到的,由于CAATs涉及到多方面的功能,這一點就顯得十分重要: 設(shè)立一個CAATs專家組,由他們?yōu)槠胀▽徲嬋?/p>

24、員下載客戶的數(shù)據(jù)、開發(fā)和使用CAATs; 培訓(xùn)一線審計人員,使他們能夠獨(dú)立完成上述工作; 上面兩種方式結(jié)合,同時設(shè)立一個職能部門 - CAATs 專家支持小組,由他們負(fù)責(zé)客戶數(shù)據(jù)下載,由審計人員負(fù)責(zé)運(yùn)用CAATs。CAATs的開發(fā)可以由CAATs專家組負(fù)責(zé),也可以由審計部門負(fù)責(zé),或者是兩家共同負(fù)責(zé); 一線審計人員負(fù)責(zé)簡單的CAAT審計業(yè)務(wù),復(fù)雜的CAATs運(yùn)用由專家負(fù)責(zé)或由專家提供支持。在這方面,審計機(jī)關(guān)應(yīng)考慮如下幾個方面的重要因素: 哪些是關(guān)鍵的制約條件?對業(yè)務(wù)數(shù)據(jù)的了解,還是IT系統(tǒng)方面的及CAATs工具方面的技術(shù)知識。 CAATs在目前和未來的使用量和程度; 是不是一次性的任務(wù)?如果能夠

25、重復(fù)使用,由一線審計人員使用CAATs可能更符合成本效益原則; CAAT工具的復(fù)雜程度,例如,對編程的要求有多高; 審計機(jī)關(guān)內(nèi)部CAAT的技術(shù)水平以及外包CAATs專家支持職能的范圍,全部或是部分。如果在CAATs專家組和一線審計人員之間進(jìn)行職責(zé)分工,下列問題需要考慮: 與被審計單位保持聯(lián)系,尤其是與IT部門之間在數(shù)據(jù)下載、操作以及取得必要的數(shù)據(jù)文檔資料的問題上; CAATs 專家組與一線審計人員之間的配合,以保證CAAT符合一線審計人員的要求; 下載得到的數(shù)據(jù)和CAAT實施文檔的管理的歸檔。6.數(shù)據(jù)訪問從大的方面講,審計人員可以采用兩種方式使用CAATs分析客戶的數(shù)據(jù): 在被審計單位的IT系

26、統(tǒng)上運(yùn)行CAAT,直接在被審計單位的PC機(jī)或終端上運(yùn)行或是將審計人員的計算機(jī)連接到被審計單位的網(wǎng)絡(luò)上; 數(shù)據(jù)數(shù)據(jù)下載到審計人員的IT系統(tǒng)上,然后在審計人員的計算機(jī)上運(yùn)行 CAAT。 上述兩種方式各有優(yōu)缺點。由于技術(shù)平臺不同等原因,在審計單位的IT系統(tǒng)上安裝CAAT軟件的方式不一定行得通。 審計人員通??梢岳脤徲媶挝幌到y(tǒng)中已經(jīng)存在的軟件工具,而不是將審計機(jī)關(guān)的CAAT軟件安裝到被審計單位的系統(tǒng)上。審計人員需要廣泛地熟悉在客戶IT環(huán)境中可能使用的軟件工具。而且,在被審計單位的系統(tǒng)上直接運(yùn)行CAATs軟件會帶來潛在的風(fēng)險,對被審計單位的系統(tǒng)的正常運(yùn)行產(chǎn)生干擾,影響被審計單位的系統(tǒng)性能和數(shù)據(jù)的完整性

27、(被審計單位的數(shù)據(jù)可能在不經(jīng)意間被修改或刪除)。如果采用將審計人員的計算機(jī)與被審計單位的IT系統(tǒng)之間進(jìn)行數(shù)據(jù)連接的方式,這種問題也有可能發(fā)生。另一個角度來看,這種辦法至少可以保證數(shù)據(jù)的完整性,因為CAAT直接在現(xiàn)行的生產(chǎn)數(shù)據(jù)上運(yùn)行。最常用的做法是將數(shù)據(jù)下載到審計人員的IT系統(tǒng)中,通常是PC機(jī)上。審計人員只需熟悉PC機(jī)上的審計軟件即可,這些軟件對用戶來說一般都比較方便。同時,采用這種方式也不會對被審計單位的信息處理設(shè)施造成負(fù)面的影響。然而,將數(shù)據(jù)轉(zhuǎn)換成便于審計人員審查的格式的過程通常是復(fù)雜和繁瑣的。由于審計人員的數(shù)據(jù)處理條件的限制,有時使用下載的數(shù)據(jù)進(jìn)行審計的效率可能也不會很高。同時,對于下載過

28、程需要有一種質(zhì)量保證檢查,以確保數(shù)據(jù)的完整性。在數(shù)據(jù)下載不可行或不切合實際的情況下,還得采用其他的審計方法,即便是這些方法并不理想。7.分階段使用CAATs的方法在審計中有系統(tǒng)地計劃和管理CAATs通常要以分階段的方式進(jìn)行:計劃階段(通常比實施階段花的時間長) 決定使用CAATs CAAT的使用范圍;估計需要的資源/時間 選擇需要的數(shù)據(jù) 選擇使用哪種軟件工具實施階段 數(shù)據(jù)下載 CAATs的設(shè)計、測試和運(yùn)行 CAAT 的文檔編寫 后期檢查8. 數(shù)據(jù)的選取CAAT必須與審計目標(biāo)緊密相關(guān),還應(yīng)盡量避免下載過多的無關(guān)數(shù)據(jù)。然而,在有些情況下,簡單地將被單位的數(shù)據(jù)表或字段都下載過來會更加容易,過多的數(shù)據(jù)

29、選擇工作可能要花更多的時間和資源。 一般來講,在財務(wù)審計和合規(guī)性審計中對數(shù)據(jù)選取的選擇性要求更多一些。而在效益審計和案件調(diào)查審計中,審計人員更傾向于挖掘數(shù)據(jù)以發(fā)現(xiàn)趨勢性的規(guī)律。如果可能的話,審計人員應(yīng)盡量選擇與原始交易最為接近的數(shù)據(jù)(如交易文件/表,或主文件/表,而不是匯總數(shù)據(jù)或次要文件/表)以使數(shù)據(jù)的處理程度最小?!斑z留”系統(tǒng)(很早以前開發(fā)并一直在用)一般以“平面文件”的格式存儲數(shù)據(jù),而現(xiàn)代的系統(tǒng)一般以關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的形式存儲數(shù)據(jù)。平面文件系統(tǒng)中的每個文件是獨(dú)立的,可以單獨(dú)下載和分析,關(guān)系型數(shù)據(jù)庫管理系統(tǒng)以內(nèi)部關(guān)聯(lián)的表的形式存儲數(shù)據(jù)。審計人員通常需要選取若干數(shù)據(jù)表才能涉足分析數(shù)據(jù)的要求

30、。為了選取所需的數(shù)據(jù),審計人員應(yīng)從業(yè)務(wù)的角度,而不是技術(shù)的角度,對被審計單位可能提供的數(shù)據(jù)進(jìn)行深入的了解。這種了解可以通過兩種途徑獲得,一個是關(guān)于數(shù)據(jù)結(jié)構(gòu)的系統(tǒng)文檔和與被審計單位的工作人員討論(尤其是IT部門和“系統(tǒng)所有者”)。另一個是審計人員以前對系統(tǒng)的檢查結(jié)果。9.數(shù)據(jù)分析工具數(shù)據(jù)分析工具可以分為以下幾類: 通用審計軟件; SQL 和基于SQL的工具; Microsoft Access;以及 其他工具,如:電子表格。9.1 通用審計軟件這類審計軟件是已經(jīng)開發(fā)好的軟件包,專門為審計人員設(shè)計??梢杂迷谠S多不同的技術(shù)環(huán)境中。兩種主流的通過審計軟件分別是IDEA (Interactive Data

31、 Extraction and Analysis) 和ACL (Audit Command Language),這兩種軟件都有在Windows環(huán)境下運(yùn)用的版本。這些軟件具有下列功能: 抽樣:包括計劃、樣本選取和分析;幾種抽樣方法(屬性抽樣、變量抽樣、貨幣單位抽樣),也支持分層抽樣和樣本選取方法(隨機(jī)選樣、系統(tǒng)選樣); 連續(xù)性檢查、斷號查找及重復(fù)查找; 匯總; 文件比較; 例外報告; 重新計算。兩種軟件都可以導(dǎo)入和導(dǎo)出多種格式的數(shù)據(jù)。其他通用審計軟件工具包括: Prospector:屬于文件下載和文件審查工具; CA- Panaudit Plus:可以PC機(jī)和大型機(jī)系統(tǒng)上運(yùn)行。9.2 SQL 和

32、基于SQL的工具SQL (結(jié)構(gòu)化查詢語言 讀作“sequel”)是一種應(yīng)用廣泛于關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)定義和操縱語言。幾個國家的和國際性的組織,包括美國國家標(biāo)準(zhǔn)委員會 (ANSI) 和國際標(biāo)準(zhǔn)化組織 (ISO)都定義和發(fā)布了SQL標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)都得到了各家關(guān)系型數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品的支持,包括桌面型數(shù)據(jù)庫,如:Microsoft Access。從審計人員的觀點來看, SQL是比較容易掌握的工具,適合于審查采用關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的應(yīng)用軟件。它主要有以下幾方面的優(yōu)點: 在傳統(tǒng)的編程語言中,需要指定數(shù)據(jù)的處理過程,但在SQL中無需這樣做。SQL是一種“非過程的”語言。審計人員在SELECT語句中

33、只需只指定所需的數(shù)據(jù)和需要滿足的條件就可以從數(shù)據(jù)表中找出所需的數(shù)據(jù)記錄,無需設(shè)置復(fù)雜的循環(huán)過程; SQL標(biāo)準(zhǔn)受到幾乎所有關(guān)系型數(shù)據(jù)庫產(chǎn)品供應(yīng)商的支持(他們還以自己的各自方式在標(biāo)準(zhǔn)的SQL基礎(chǔ)上做一些補(bǔ)充),包括桌面型產(chǎn)品,如:Microsoft Access。這樣,審計人員在使用標(biāo)準(zhǔn)的SQL時就不必了解不同的關(guān)系型數(shù)據(jù)庫產(chǎn)品的具體細(xì)節(jié),并且可以在所有的平臺上運(yùn)行同樣的SQL查詢; 流行的關(guān)系型數(shù)據(jù)庫產(chǎn)品,如Oracle或Microsoft SQL Server還提供便于用戶使用的具有復(fù)雜功能的SQL工具。這些工具提供操作簡單的圖形化界面來方便人們創(chuàng)建和執(zhí)行查詢,并且用“鼠標(biāo)拖放”的方法就可以添

34、加表、建立關(guān)系、選擇所需的欄目以及指定查詢條件。這些功能與Microsoft Access 等流行的桌面型數(shù)據(jù)庫所提供的功能相類似; 如果下載數(shù)據(jù)有困難,審計人員還可以直接在被審計單位的關(guān)系型數(shù)據(jù)庫上創(chuàng)建和運(yùn)行SQL查詢。審計人員也可以先與被審計單位的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)連接,然后在前臺工具,如:Microsoft Access,上運(yùn)行查詢。使用SQL工具與現(xiàn)存的審計查詢或通過審計軟件相比,可以為審計人員提供更大的靈活性。在審計的開始階段,審計人員往往并不清楚自己到底需要哪些數(shù)據(jù)。具體情況會隨著審計人員用SQL工具對數(shù)據(jù)進(jìn)行多種形式的分析而不斷變化。另外,SQL工具不會將審計人員束縛在某些特定

35、的數(shù)據(jù)上。在過去,由于數(shù)據(jù)下載是一個沉重的話題,審計人員只能被束縛在別人為他們下的數(shù)據(jù)上,用傳統(tǒng)的審計軟件進(jìn)行著數(shù)據(jù)分析工作。SQL賦予了審計人員重返數(shù)據(jù)庫的自由。有了SQL查詢工具,審計人員就可能訪問整個系統(tǒng)。如果他覺得原來的查詢不能提供自己想要的結(jié)果,那就再寫一個新的也不費(fèi)事。然而,無論是直接在被審計單位的IT系統(tǒng)上使用SQL查詢,或是間接地通過網(wǎng)絡(luò)連接, 都必須保持極度謹(jǐn)慎。SQL是一種功能極強(qiáng)的語言,一條代碼行就可以同時對幾百萬條記錄進(jìn)行處理。錯誤的或設(shè)計糟糕的查詢會對被審計單位的IT系統(tǒng)造成嚴(yán)重的處理負(fù)載,甚至?xí)Ρ粚徲媶挝坏恼T運(yùn)行造成全面的影響。而且錯誤的查詢有可能會在不知不

36、覺之間修改或刪除了被審計單位的數(shù)據(jù);即便是在被審計單位僅對審計人員開放只讀訪問權(quán)限的情況下,這種問題也有可能發(fā)生。所以,最好是將數(shù)據(jù)下載到審計人員的IT系統(tǒng)上,再運(yùn)行查詢功能。還有一種辦法是在被審計單位的備份系統(tǒng)或獨(dú)立的開發(fā)環(huán)境中使用查詢功能,這些系統(tǒng)中的數(shù)據(jù)可能會比現(xiàn)行的數(shù)據(jù)晚幾個小或幾天。SQL并非在所有情況下都是最佳的選擇。許多公共機(jī)構(gòu)使用遺留系統(tǒng)保存他們的數(shù)據(jù)。這種情況下,審計人員就要用通用審計軟件提取和下載數(shù)據(jù)。而且,SQL工具中缺少象通用審計軟件中的那些審計和財務(wù)處理功能,如:斷號查找、統(tǒng)計抽樣等。因此,審計人員通常是將 SQL和通用審計軟件工具結(jié)合起來使用。9.3 SQL中的SE

37、LECT語句審計人員使用的主要SQL語句 甚至是唯一的語句就是SELECT。下面是SQL SELECT語句的一個簡單的例子:SELECT Product_Code, Product_Description, Product_Rate, Product_Quantity FROM Products WHERE Product_Rate 10這個語句可以拆分成以下幾層意思: 產(chǎn)品表:數(shù)據(jù)從該表“選取”(“selected”),用“FROM”子句表示; 字段:產(chǎn)品表中的Product_Code, Product_Description, Product_Rate and Product_Quanti

38、ty 字段,審計人員對這些字段感興趣; 條件是只選取那些Product_Rate 大于10的數(shù)據(jù)記錄。用“WHERE”子句指定條件。審計人員所需的每一個SQL查詢都是用這種句式來表示。選項和子句有很多,可以構(gòu)造出復(fù)雜的查詢。這使得審計人員可以構(gòu)造、執(zhí)行SQL查詢,并對其進(jìn)行微調(diào),直接在被審計單位的數(shù)據(jù)庫上得到滿足審計需要的結(jié)果: 除了象上面的例子那樣從一個表中選取數(shù)據(jù)之外,還可以從幾張表中選取數(shù)據(jù)。在這種情況下,不同表之間的關(guān)系要用“JOINS” 表指定,說明相關(guān)的字段和關(guān)系的性質(zhì); 通過指定“計算字段”,審計人員可以在SELECT 語句中實現(xiàn)計算功能(如:產(chǎn)品的價值 - Product Va

39、lue,是Product_Rate 和Product_Quantity的計算結(jié)果)。另外還有可以實現(xiàn)統(tǒng)計功能的選項,如:加總、平均、記錄計數(shù)、最大值和最小值等。 通過“ORDER BY” 子句可以將SQL SELECT 語句的結(jié)果按照一個多個字段的值來排序(如:Product_Quantity 或 Product_Rate)。 SELECT語句中的“WHERE” 子句中可以指明不止一個條件??梢灾付ǘ鄠€條件,并說明這些條件之間的關(guān)系(如:所有的條件都必須滿足或只需滿足其中一條),而且可以涉及多個表中的不同字段。 不同分組的統(tǒng)計數(shù)據(jù)可以通過“GROUP BY”和“HAVING”子句來計算; 不同

40、SQL語句的結(jié)果可以通過“UNION”結(jié)合在一起,或用“嵌套”的方法來實現(xiàn); 有大量的內(nèi)置數(shù)學(xué)函數(shù)和邏輯運(yùn)算符。另外,有編程知識的審計人員還可以用常用的編程語言(如:Visual Basic 或C語言)來編寫自己的函數(shù)和過程,并用它們來進(jìn)一步細(xì)化SELECT 查詢。將上述的子句和選組合起來,可以構(gòu)造出無數(shù)和SELECT 語句,這些語句幾乎能夠滿足審計人員所有的數(shù)據(jù)分析需要。初學(xué)者可以使用圖形化的界面和“向?qū)А眮斫佑|SQL,許多關(guān)系型數(shù)據(jù)庫產(chǎn)品都提供這種自動生成SQL語句的功能。審計人員對SQL語法熟悉之后,下一步就可以修改由圖形界面或向?qū)牡腟QL語句,或者自己動手來寫SQL語句。才能是經(jīng)驗

41、的積累。9.4Microsoft AccessMicrosoft Access是一種桌面型的關(guān)系型數(shù)據(jù)庫應(yīng)用軟件,它是Microsofts Office專業(yè)版辦公自動化軟件的一個組成部分。Microsoft Access除了正常的小型數(shù)據(jù)庫應(yīng)用之外,還為審計人員提供了十分方便的查詢工具。對于小型的關(guān)系型數(shù)據(jù)庫(幾百M(fèi)B規(guī)模)來說,可以方便地將客戶的關(guān)系型數(shù)據(jù)庫導(dǎo)出成Access數(shù)據(jù)庫。然后審計人員就可能用Microsofts Query Designer / wizards,或用SQL 語句進(jìn)行檢索。關(guān)系型數(shù)據(jù)庫產(chǎn)品的那些復(fù)雜的交易處理功能(如:交易日志、回退、多用戶功能、在線備份、安全機(jī)制等)對于審計人員來說并不重要,因此,查詢性能不成問題。理論上講,MS Office 2000版的Access數(shù)據(jù)庫可以容納2G的數(shù)據(jù),Access XP版的容易更大一些。然而,隨著數(shù)據(jù)庫變大(在達(dá)到

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論