实施内部审计业务——计算机审计工具和技术.doc

2008年国际注册内部审计师考试辅导实施内部审计业务 topic e-8计算机审计工具和技术相关知识8.应用计算机审计工具和技术可以大大提高内部审计的工作效率与效果，如利用计算机账务处理可以自动平账，从而减少了大量人工查找核对的工作。8.1嵌入式审计模块（eams）是与执行某项职能（例如记录数据）的软件一同运行的程序，是集成于应用系统各个环节的代码段，用来持续地监控或获取重要的审计信息，从而实现对被审计事项的持续监督。嵌入式审计技术尤其适合于需要处理大量数据的计算机系统中。8.1.1 在有些情况下，嵌入式审计技术可以做到在交易发生时，即对其实施监督。与错误、违规问题和舞弊行为发生几周甚至几个月后才被发现不同，管理人员和审计师可以选择嵌入式审计技术，在有问题事项发生的同时就可以得到警示。如果即时检查没有必要或不可行，也可以计划每天、每周或者每月实施监督程序，具体时间由被审计活动的类型决定。8.1.2嵌入式审计技术对管理层和审计师都是有益的。与其为上次审计后累积的错误付出代价，管理人员不如及时作出反应以避免因为问题没有及时解决而造成的严重后果。这样做符合广大股东关于获得组织经营过程中可靠、及时数据的要求，也可以降低高级管理层的担心，因为萨班斯法案颁布实施后，他们需要承担舞弊财务报表和不适当控制的个人责任。8.1.3嵌入式审计程序通过对输入数据进行检查实施监督，它将数据与特定标准进行核对，以发现预示着错误、舞弊或其他问题可能发生的缺陷。这些标准与主要业绩指标和法律法规方面的事项有关。嵌入式审计模块根据预定规则实时检查系统所处理的每一项交易。对满足规则的交易，在该交易被进一步处理前：（1）记录其细节，定期浏览、分析和报告其结果（审计日志文件），以用于后续审计；或（2）将该交易打上标记（tagging）使其有别于其他交易，以为后续审计所用。8.1.4将嵌入式审计程序安装到已经运行的软件中，或者和已运行软件连接在一起，都是很难的。但是，计算机程序的不断普及和发展表明：最终，嵌入的审计程序会成为标准程序，从而降低嵌入的难度。随着程序开发人员不断开发程序，组织不断安装企业资源计划系统（erps）以整合许多或所有管理终端的应用软件，嵌入式审计模块将最终很容易实现对整个组织程序中发生的关键事项实施及时监督。目前，在系统中嵌入审计模块需要进行精心的设计，以实现在最适当的处理环节截取数据，同时又尽量不降低系统的性能。如果要在一个运行系统中嵌入审计模块，通常应在系统设计的初始阶段就明确审计需求，并进行整体系统设计。此外，还应考虑对审计规则参数和审计日志文件的保护。8.2数据提取技术。审计资源的终点是大型机、小型机或网络化的数据服务器，大量的审计证据被储存在数据库或其他计算机文件中。尽管有些审计师习惯于利用通用审计软件（gas）直接联机实施检查或分析，但是最好的办法还是将数据提取到个人机上或小型服务器上，利用电子表格、数据库和数据分析软件等完成数据的分类、检查或分析工作，这样可以避免占用大型机的运算资源，节约成本，从而获得更高的效率和效益。8.2.1 将大量数据从大型机等系统中提取到个人机中，需要运用数据提取技术。数据提取的方法视具体的系统而定，常用的方法是利用通用审计软件（gas）来提取数据，该软件定义出所有需要提取的数据域，然后将数据下载至pc机上。此外，审计师还可以应用一些特殊的分析软件工具，例如统计程序，来完成工作。 8.2.2通过数据提取技术实现离线审计的潜在风险是提取的数据可能缺乏完整性和时效性，并影响到实际审计结论。8.3 通用审计软件（gas）是专门为审计人员而设计的，是能够直接访问各种数据库平台及平面文件系统的标准软件8.3.1通用审计软件包括汇总（summarize）、分类（sort）、对比（matching）、合并（merge）、更新（updme）、数学函数（mathematical functions）、抽取（extract）、条件操作（conditional operations）、抽样（sampling）、报告编写（report writing）、数据管理（data management）和统计常规程序（statistical routines）等功能特征，可帮助审计人员完成基本的审计任务，尤其擅于测试计算机中存在的数据和信息。具体功能如下： 读取数字文件。事实上，因为审计师的任务不是改动文件或控制制度，而是评估文件或控制制度的准确性，以及它们在促进组织目标实施上的有效性，所以审计软件只需抽取“只读”文件。“数据和控制制度的变动只能在管理部门的指导下由相关人员进行。按照审计师定义的标准检查个别记录，换句话说，通用审计软件抽取的只是目标数据，即审计师确定需要的数据。例如，通用审计软件能够检查特定例外账户，如“分离交易”信用卡持有人试图将一笔交易分为两笔或更多笔，这些笔交易累加在一起会超出信用卡额度。审计软件还可以通过交易日期，利用关键字搜寻交易项目；可以抽取敏感信息，如已过期的应收账款。对计算过程实施测试或者进行独立计算。审计软件还能编制测试余额，并与生产软件生成的余额进行比较。分析、概括或重新排列数据。审计软件能够用于对样本进行分层，执行统计分析等任务。测试控制的有效性，进行敏感性测试，例如评估账户余额错误的范围。8.3.2通用审计软件具有操作简单、对信息系统知识要求低、适用性强等优点，是目前审计人员使用最广泛的审计工具。具体来说，通用审计软件：可以对怀疑交易事项实行全面详细（100%）检查而不是随机抽样确认。即使感兴趣的交易事项存在于庞大的总体中，也能够锁定审计目标。减少了审计时间，只为传统审计方法需要时间的一小部分。无论涉及什么样的系统和结构，都能为所有任务提供统一界面，因此增加了审计的舒适度和准确性。通过保存检查日志，可以降低其他审计师和检查人员的复核难度。8.3.3 并不是所有审计师都采用审计软件完成所有审计任务。有些障碍会阻碍全面采用该项技术，包括：信息系统人员不愿意采用新系统，接受或开展培训，等等；审计师接触生产数据会受到有关职员的限制，因为他们担心审计软件将干扰生产软件的正常运行； 培训和购买新软件需要花费额外的成本。8.3.4 通用审计软件大多由一些商业软件包提供，其中较为著名的有审计指令语言（audit command language or acl）和交互式数据抽取和分析（interactive data extraction and analysis or idea）。8.4电子表格分析。计算机辅助审计软件主要包括文字处理程序（word processing）、电子表格程序（spreadsheet programs）、数据库管理（database management）和文件维护（file maintenance）程序、抽样（sampling）程序、图形分析（graphic analysis）程序、流程图编制（flowcharting）程序、定量分析（quantitative。analysis）程序、“下载程序（“downloading”programs）和通用审计软件（generalized audit software）等。其中电子表格是审计师最常用的单一应用软件。8.4.1 电子表格是指由行（row）和列（column）构成的表格。行和列的交点称为单元（cell），单元内可以包含数据、文字或公式（执行运算或逻辑分析的指令）。单元间可互相链接来实现同步修改。因为电子表格是表，所以它既可以存储文字和数字信息，还可以控制和操作这些存储的信息。例如，在excel中，拉下一个菜单就可以允许用户对表格中的某列数据按照字母表顺序进行升序或降序排列，有些菜单功能允许用户追踪由各种复核人员作出的改动痕迹，检查拼写错误，保护数据，从文字转换成语言，等等。此外，电子表格不仅存储和整理数据，它们还能进行计算，形成分析图表，如派型图、条形图、线图。以下是电子表格的部分重要功能：宏编程：宏可以记录和重放用户的重复操作，从而简化操作过程。图表图形：以图表或图形方式表现电子表格中的数据。和数据库及其他应用的链接：电子表格可直接读写底层数据库的内容，或实现与其他应用程序数据的相互转换。多表格及表格间互连：可同时支持多个相互关联的表格，并实现表格间数据的互动，这对于复杂任务的分解十分有用。内置分析函数和过程、拼写检查、语法检查、打印等功能。8.4.2 电子表格不仅是审计师最常用的工具，同时，也是帮助组织实现其目标的主要工具，因此，内部审计师需要了解电子表格的功能，不仅是因为电子表格是审计工具，而且还因为它们是内部和外部审计的对象。组织利用电子表格的方式有两种：一是建立业务过程模型，例如计划进行的并购或合并，这是一项复杂的计算过程；二是在经营过程中用于支持交易程序（如应收和应付），这时，电子表格既包含交易数据（包括组织的重要数据），又操作交易数据。因此电子表格应该是合规性审计关注的重点，内部审计师应该监督电子表格的准确性，帮助组织以适当的方式使用电子表格。8.5 自动化工作底稿。虽然我们还没有完全进入无纸化办公时代，但是现在的审计工作底稿除了传统的纸质形式外，已经大量采用电子和物理形式，被应用软件生成的电子文件所替代。这样的工作底稿被存储在服务器或大型机中，通过电子网络传递到各种便携式电脑中。电子审计工作底稿也可以利用磁带、cds、dvds、电影、录像机等各种介质，采用物理形式保存。8.5.1 自动化工作底稿的优势包括： 节约成本。减少打印、传输、邮寄及存储用纸所节约的成本要大于建立和使用自动化系统所花费的成本。 方便。伴随着网络传递，没有必要以任何物理方式传递文件。电子传递文件速度快，节约了时间，使职员们有时间做更加重要的工作。促进有效沟通和容易参考。电子文件能够同时传递给多个读者，或者可以将文件上传到安全网页，供电视电话或在线会议讨论。不必翻阅大量的纸页，就可以利用文件链接迅速地找到希望看到的内容，找到来源出处，从而更容易地理解文件内容、语句或图像。一致性（标准化）。标准软件（或者为某组织特别定制的）中提供了模版，因此容易满足质量标准，容易记录、发现和存储信息。具有与多媒体文件兼容的能力。电子工作底稿可以用图表、控制图、图解、数字照片和录像等表述，也可以与扫描材料兼容，所以可以节约很多文字说明，更加直观，提高了效率。安全。尽管没有任何存储介质是完全安全的，可以完全免受物理损害、随意改动或遭到盗窃，但是电子文件能够复制到多个地点的多个服务器中，利用密码保护措施可以实现对文件的保护。同时，网页上的文件应该设置为“只读”形式，以保护这些文件免受恶意或无意的修改。声望或职业荣誉感。伴随着世界越来越多地依靠计算机，越来越少地依靠纸张，内部审计职能也不想落后于职业标准。当其他人携带便携式电脑和黑莓手机进入会场，而审计师却拿着塞满纸张的公文包，这会使审计师强烈感到自己好像来自于其他地区的难民，落后于时代。8.5.2 虽然自动化工作底稿为组织提供了很多好处，但是应用自动化工作底稿需要进行认真准备和培训，需要考虑长期储存问题。下面介绍所面临的问题：需要培训。虽然工作底稿软件相当容易学习，但还是要求进行培训。组织需要作出必要的培训计划，在正确的时间内规划培训，这样，职员们在安装软件时，就已经做好了使用准备。软件供应商能够提供培训，否则，建议请专业培训机构进行培训。进行平稳转换。软件模版和纸上使用的格式接近，这种情况下，就能顺利转换。另外一个方面，如果目前的纸制文件程序不是标准程序，就要求建立的自动化系统能够生成标准模版。并不是所有软件包都适合每个组织的需要，因此，为了与组织需要相匹配，有必要按照组织的要求，根据组织现有系统和网络，研究可行的软件。用户对工作底稿包进行过多修改，可能导致供应商无法对软件实施保修工作，并且使软件难以与未来的升级版相适应。文件变质或短缺。虽然电子存储减少了对用于储存文件库房的需要，为文件提供了更多免受火灾、自然灾害影响的保护，但是还是要求特别谨慎地储存电子数据，尤其是对于长期保存的电子文件。纸质文件从理论上说容易受到物理损害，但是，如果认真保管，这些文件能够保存几个世纪（当然很多纸质审计文件不要求保存这么长时间）,而存储在cds或dvds的文件过了一段时间，比纸质文件更容易变质和发生变化。另外，随着生成电子文件的软件系统升级换代或者退出市场，重新发现并使用文件将变得很困难。因此，电子数据的存储为我们提出了一系列新要求，这些要求需要应用科学数据保护方法加以解决。8.5.3可以采取很多方法获得自动化工作底稿软件，既可以直接购买现有的商业应用软件（如lotus notes，ms office等），也可以采用专用的审计软件（如auditor assistant），同时针对自身需要开发软件也是可行的。一般来说，一些组织更倾向于购买通用软件。典型试题【例题】使用嵌入审计模块的目的是（）。a.能够对交易处理进行持续的监控 b.辨认出插入的非法程序代码c.证实主文件账户余额的正确性d.检查计算机存储器中特定部分的内容答疑编号811058101【答案】a【解析】a.正确。嵌入式审计模块可以对交易处理进行持续的监控，这是嵌入式审计模块的主要优势。 b.不正确。辨认插入的非法程序代码是安全软件的功能。c.不正确。证实主文件账户余额的正确性是核算软件的功能。d.不正确。检查计算机存储器中特定部分的内容是调试软件的功能。【例题】许多公用事业公司使用复杂的客户服务系统（css）来管理它们的客户服务功能。css在一种在线实时环境下运行，这样能保证客户服务数据直接由客户电话传入系统。下列edp审计技术能使内部审计师连续监督从电话收集到的客户服务数据的是（）。 a.通用审计软件b.控制流程图 c.嵌入式审计证据采集d.整体测试法（itf）答疑编号811058102【答案】c 【解析】a.不正确。通用审计软件只能进行事后审计。 b.不正确。控制流程图是一种系统设计的工具。c.正确。嵌入式审计证据采集技术通过将审计模块直接嵌入css系统，可以实现实时连续地采集系统中的数据，包括来自客户电话的数据。d.不正确。整体测试法是一种测试工具，测试程序的准确性。【例题】以下是审计师不愿使用嵌入式审计模块的主要原因（）。a.嵌入式审计模块不能免受计算机病毒的攻击b.审计师需要连续地监控审计模块以获得有效的结果c.通过管理层的干预可轻易修改嵌入式审计模块d.审计师需要介入被监控应用软件的系统设计过程中答疑编号811058103【答案】d 【解析】a.不正确。嵌入式审计模块能够防止病毒攻击。b.不正确。根据实际情况，零星或偶然的监控也可获得有效的结果。 c.不正确。管理层的干预可以导致任意应用软件的修改，不只是嵌入式审计模块的修改。d.正确。一旦应用程序开始运行，再想嵌入审计模块是十分困难的，因此审计师有必要直接参与被监控应用软件的系统设计过程。【例题】终端用户可能通过修改标准程序以获取原本无法直接获取的财务和经营数据的子集，与此相关的最大风险是（）。a.所获取的数据可能不完整或缺乏及时性b.数据定义可能过时c.主机数据可能被终端用户的更新活动所破坏d.重复下载可能会耗尽终端用户微机的存储容量 答疑编号811058104【答案】a【解析】a.正确。终端用户对主机数据结构及之间的关联不可能很精通，因此通过修改标准程序所获取的数据就可能不完整；由于获取的数据保存在本地微机中，而主机数据是实时变化的，因此微机中的数据可能不是最新的数据，即缺乏时效性。b.不正确。数据定义不会因为终端用户的数据查询操作而改变。c.不正确。终端用户获取数据子集的过程不包含更新操作，不会导致对主机数据的破坏。d.不正确。重复下载的数据通常会相互覆盖，因此也不会耗尽终端用户微机的存储容量。【例题】某组织向特定雇员提供信用卡以供业务需要。信用卡公司提供记录雇员发生的所有经济业务的计算机文件。内部审计师打算使用通用审计软件来抽取相关业务进行测试，那么使用通用审计软件不能确认的是（）。a.大额交易b.舞弊交易c.特定持卡人的交易d.每位持卡人使用的供应商答疑编号811058105【答案】b【解析】a.不正确。可以使用通用审计软件搜索特定的交易，例如那些交易金额超过一定数额的业务。b.正确。应付账款系统不太可能会包含有关舞弊交易的充分证据。通用审计软件会被用来侦探“危险信号”，但它不会专门证实这些信号，所以不能确认舞弊交易。c.不正确。可以使用通用审计软件根据特定持卡人的资料来过滤交易数据。d.不正确。可以使用通用审计软件的数据过滤功能来确认每位持卡人所使用的供应商。【例题】内部审计师拟确定年终项目不一致的范围（程度）并对导致项目不一致的潜在原因进行调查，在确定被审计事项时下列审计程序最有效的是（）。a.提交测试数据以证实不一致项目的属性。开展后续工作，调查这些已证实属性b.利用通用审计软件阅读该年的采购订单文件；选取采购订单的统计样本并追踪调查相应的验收文件和购货发票c.采用系统控制审计检查文件（scarf）确认非正常项目；进行属性抽样并追踪相应的书面文件d.利用通用审计软件阅读电脑标注的不一致项目答疑编号811058106【答案】d【解析】a.不正确。仅通过测试数据难以获得不一致事项的完整清单，可能遗漏部分不一致事项，留下隐患。b.不正确。统计样本同样不能获得不一致事项的完整清单。c.不正确：属性抽样同样不能获得不一致事项的完整清单。d.正确。利用通用审计软件阅读电脑标注的不一致项目可以获得不一致事项的完整清单，并据此进行彻底的调查。【例题】使用通用审计软件包的重要优点，内部审计师可以（）。a.通过自我检查数字和散列总数证实数据的正确性 b.将要求的控制测试水平减少到相对较低的水平c.不必完全理解公司硬件和软件的性质，就可以接触储存在计算机文件中的信息d.考虑增加对交易的实质性测试来代替分析程序 答疑编号811058107【答案】c 【解析】a.不正确。自我检查数字和散列总数是管理部门采用的应用控制。b.不正确。利用通用审计软件比利用手工程序可以对控制系统进行更多、更全面的测试，可以提高控制测试水平。c.正确。通用审计软件的首要用途就是挑选和汇总被审计单位的记录以进行额外的测试。这些软件包允许内部审计师利用计算机来完成审计业务，例如，抽取、比较、分析和汇总数据，以及将结果输出来。它们也允许内部审计师利用计算机快速且准确地检查尽可能多的记录。虽然通用审计软件要求内部审计师提供一些组织记录的具体说明、计算机设备和文件格式说明，但因为该软件包可以在很多环境下应用，所以并不要求内部审计师了解太多组织系统方面的细节。d.不正确。虽然分析程序也可以用于实质性测试，但是实质性测试和分析程序的作用不同，所以两者不存在代替的问题。【例题】政府内部审计师一直强烈呼吁对有些人是否获得了额外的社会福利金进行审计。一种普通类型的福利金舞弊是有些人得到了不只一份福利金，这通常通过以多个名字填写多份申请，但使用相同的地址来实现。下面属于计算机审计工具和技术在确认这种舞弊的存在时最有效的是（）。a.标记和跟踪b.通用审计软件c.整体测试法 d.电子表格分析答疑编号811058108【答案】b【解析】a.不正确。标记和跟踪对于决定经适当传递的数据是否被正确处理非常有效。b.正确。可以使用通用审计软件来搜索具有同一地址的收件人名单，然后对该名单进行进一步的检查以确定是否存在舞弊的可能性。c.