信息系统实务及金融企业信息系统审计(ppt 169页).ppt

2020 3 3 Copyright C 2002LiuRuzhuoCANJ 1 数字化审计 兼论信息系统实务及金融企业信息系统审计 刘汝焯liuruzhuo99 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 2 以数字化为基础的信息化是我们今天面临的全新形势 今天的审计面临着什么样的形势 信息化 以数字化为基础的信息化 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 3 审计环境的信息化 审计环境的信息化国民经济和全社会的信息化美国网络司令部特战部队战场数字化系统伊朗的核问题20111102茶农销售有机茶 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 4 审计对象的信息化 审计对象的信息化银行 保险 海关 企业 社保 住房公积金SAP ERP一个企业的发展现状 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 5 金融企业信息化的变化 建设的系统 业务系统 信贷 承兑汇票 信用证 信用卡 外汇买卖 中间业务 会计系统 账户管理系统 对公 对私 清算系统 人行 联行 同城 国际结算 网银 财务系统 费用 固定资产 重要空白单证 其他辅助系统 办公 公文 邮件 人力资源等 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 6 金融企业信息化的变化 数据 多数做到数据总行集中南北数据中心 信息化带来的深刻变化 经济活动的管理手段发生了变化 人工变成了电脑记录经济活动的载体发生了变化 纸变成了光盘表现会计核算内容的形式发生了变化 文字变成了代码存储数据的空间发生了变化 报表 账薄 柜子变成了硬盘人与人联系的方式发生了变化 越来越多地走上了网络 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 8 信息化带来的深刻变化 符号记录的方式 物质载体 数据的属性 信息生成的机制 信息传播方式等等 都发生了质的 根本性的变化 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 9 审计的变革 在这样的大背景下 审计学涌进了大量其他学科的新思想和新理论 审计实务涌入了信息技术 计算技术 通信技术 网络技术 数理统计 数据分析 数据可视化等先进的技术和方法 审计方式的变革和创新势在必行 信息化发展的新特点 信息化的发展速度加快 覆盖面进一步加大系统的集成性整体提升 ERP SAP成为主流如何运用信息化技术手段解决业务与管理问题是需要解决的核心问题培养复合型人才成为培训的主流 培训力度空前加大数字化审计已经成为信息化环境下的主流审计方式 新的挑战 审计信息化出现了新的特点 提出了新的挑战 也提供了从未有过的发展机遇 我们应该做些什么 创造新的审计方式 数字化审计 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 11 突破口和切入点 数字化审计有多种不同的名称 如计算机审计 IT审计 非现场审计等等 叫法虽然不同 但却有着许多共同点 审计对象是计算机信息系统 分析的是电子数据 运用的是数据分析方法 工具是电脑 产生的是电子数据 所有这些都是建立在数字化基础之上的 所以我们把这种类型的审计称之为数字化审计 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 13 共同讨论的几个问题 一 数字化审计的案例二 数字化审计的特征和概念三 数字化审计的主要内容和流程四 数字化审计的技术和方法五 金融企业数字化审计的重点六 坚定不移推进数字化审计 审计实施要重点回答的几个问题 怎么审 把握总体 突出重点 精确延伸 调查取证 切入点 信息系统 底层数据 审什么 研发中心系统审计返回 把握总体 系统模型之一 集团公司收入结构分析 确定 主营业务收入 为审计重点 系统模型之二 集团公司收入结构分析 确定将 某航空公司 作为审计重点 系统模型之三 某航空股份公司收入结构分析 确定 运输收入 为审计重点 类别模型之一 运输收入总量变化趋势 运输收入 2002 2004年票务数据中的总体趋势 运输收入 2002 2004年财务数据调整后的总体趋势 运输收入 2002 2004年财务数据调整前的总体趋势 财务数据和业务数据的对比 类别模型之二 机票销售暗扣变化趋势 模型 select作帐月 count as票数 sum 毛额1 as毛额1 sum 净额1 as净额1 sum 毛额1 净额1 as暗扣from主表 国内票 某航空出票并承运where飞行日期1 20020101 and票联号 1 groupby作帐月orderby作帐月 个体模型 统计销售暗扣发生金额 结果 反推系统 返回 系统把握整体情况 海关业务系统 国税局 港口 商务委 海关业务系统 业务数据 报关单 报关单 放行结果信息 报关单 出口退税 进出口收付汇数据 1 通知放行信息 2 集装箱过磅重量信息3 放行结果信息 电子数据中心 商检局 船舶代理公司 舱单 通关单 外管局 企业申报 Edi信息 其他相关单位 报关单重量与集装箱过磅重量差异结果表 共发现5257条记录 探索系统审计的方法 跟踪测试管理系统中已经通关的业务数据采取倒推法 利用与海关业务密切相关的外部数据验证通关信息的真实性认真分析核实结果 发现管理中存在的漏洞和缺陷 系统审计步骤之一 选择跟踪测试数据 系统审计步骤之二 利用外部数据跟踪测试 发现差异 海关报关单显示 出口货物2470件 重量42555公斤 体积207 5立方米 船公司的提单显示 出口货物720件 重量13190公斤 体积69 5立方米 公司524744790报关单实际退税情况 筛选出全部多报少出集装箱的结果 共有8523个申报出口的集装箱实际没有装船出口 电子 电器有限公司出口申报集装箱数量与实际装船出口的集装箱数量差异表 公司出口申报货物重量与码头货物过磅重量差异表 海关处理结果 返回 2004年4月至2005年3月间 少出口货物完税价格521046美元和38972欧元 折合保税货物原料价值人民币3847284元 出口保税货物制成品申报不实 涉及税款人民币759240 上述行为构成违反海关监管规定的行为 对该公司罚款人民币700000元 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 35 数字化审计的特征 以系统论为指导审计取证的切入点是信息系统和底层数据信息系统审计是重要内容数字化审计的实现方式发生了根本性的变化创建审计中间表 构建审计信息系统构建模型进行数据分析 超越系统 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 36 系统论为指导 系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体 系统论讲的是事物之间的联系 是规律 要求思维是立体的 不是平面的 计算机审计就是要从系统论的高度来研究新的审计方式 把审计对象作为一个系统 让被审计单位的信息都在审计监督范围之内 审计人员到一个单位去 一进去就把整个资料都掌握住 通过系统分析 对照 比较 选择其中最薄弱的部分作为重点 找出核心问题在哪里 从总体上把握 不是像过去那样瞎碰 逮着什么算什么 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 37 系统论指导下的审计 把握总体 突出重点 发现问题 客观评价 提出建议 规范提高 返回 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 38 与传统审计的区别 传统审计是账套式审计 数字化审计是对数据的审计 采集数据的起点从财务会计报表提前到了底层数据 从本质上注入了审计的内涵 会计报表数据是语言 原始数据是文字 会计报表数据是信息 原始数据是元素 返回 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 39 系统审计实务中发现的问题类型 舞弊电脑加油 截留中间业务收入 非法模块漏洞骗取银行存款 骗取增值税票汇丰银行英国汉普郡利明顿Milford on Sea镇ATM机双倍吐款隔断黄金诈骗 骗取退税滞后关税税率管理黄金交易参数设置 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 40 信息系统审计的发展过程 国外情况简介我们的发展历程有关组织模式的探讨 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 41 国外情况简介 ISACA电子数据处理 信息系统审计 IT治理COBITGAO一般控制 应用控制FISCAM 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 42 信息系统审计与控制协会 ISACA 国际上引领信息系统审计的民间组织发布信息系统审计准则体系16个标准39个指南11个程序COBIT标准IT准则维IT资源维IT过程维 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 43 COBIT的三维体系结构 IT准则维集中反映了企业的战略目标 主要从质量 成本 时间 资源利用率 系统效率 保密性 完整性 可用性等方面来保证信息的安全性 可靠性 有效性 IT资源维主要包括人员 应用系统 技术 设备及数据在内的信息相关的资源 这是IT治理过程的主要对象 IT过程维在IT准则的指导下 对信息及相关资源进行规划与处理 从信息技术的 计划与组织 PO 获取与实现 AI 交付与支持 DS 和 监督与评估 ME 这4个方面确定了34个IT活动的一般过程 对每个一般过程分解出详细控制目标 共计215个详细控制目标 在对每个一般过程分解出详细控制目标后 还提出该过程的管理指南并给出成熟度模型 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 44 COBIT的基本结构 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 45 信息技术管控 ITGovernance 信息技术审计 ITAudit 信息安全 InformationSecurity 信息技术的风险管理 ITRiskManagement 信息确保 InformationAssurance 目前系统的研究方向 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 46 政府责任署 GAO 1999年1月颁布了 联邦信息系统控制审计手册 卷I财务报表审计 一般控制2009年2月颁布了最新版本的 联邦信息系统控制审计手册 FISCAM 一般控制应用控制 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 47 GAO的手册 一般控制安全管理 SM 1 SM 7 访问控制 AC 1 AC 6 配置管理 CM 1 CM 6 职责分离 SD 1 SD 2 应急计划 CP 1 CP 4 应用控制应用系统层面的一般控制 AS 1 AS 5 业务流程控制 BP 1 BP 4 接口控制 IN 1 IN 2 数据系统控制 DA 1 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 48 我国的发展历程 从2000年起开展信息系统审计对交通部开发应用的 车辆购置附加费征稽系统 开展了审计审计中借鉴了国外的相关标准融入了自身的认识和理解信息系统审计与业务审计的关系一开始就没有脱离过审计业务为审计业务服务当前的工作仍处于探索阶段创造出了许多很好的模式积累了许多宝贵的经验 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 49 审计署的探索 2006年派出信息系统审计高级培训班赴美国硅谷学习2007年开始尝试开展信息系统审计2007年开展了对国家开发银行的 结合式 信息系统审计2008年开展了对天津中化进出口公司的 独立式 信息系统审计2009年开展了对中国联通总公司的 结合式 信息系统审计2010年由各业务司牵头 同时开展了5个 结合式 的信息系统审计项目一共征集了2次信息系统审计案例2008年开始在南京审计学院举办信息系统审计高级培训研讨班2010年出台 审计署关于检查信息系统相关审计事项的指导意见 2012年2月颁布 国家信息系统审计指南 返回 单机审计模式示意图 现场网络审计模式示意图 远程网上审计示意图 拓扑结构 拓扑结构 数字化审计的实现方式 嵌入式独立式开放式事前 事中 事后密切结合 动态跟踪监督着眼于网络大环境 视野开阔了 返回 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 56 审计数据库的形成方式 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 57 数据共享平台 数值型数据 非数值型数据 根据方案需要提出数据需求 计算机系统调查 财务数据 业务数据 文件汇编 会议纪要 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 58 构建审计信息系统 返回 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 59 审计分析模型的涵义 审计分析模型的定义审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式 它是按照审计事项应该具有的性质或数量关系 由审计人员通过设定计算 判断或限制条件来建立起来的 用于验证审计事项实际的性质或数量关系 从而对被审计单位经济活动的真实 合法 效益情况做出科学的判断 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 60 审计分析模型的表现形态审计分析模型有多种表现形态 用在查询分析中 表现为一个或一组查询条件 用在多维分析中 表现为切片 切块 旋转 钻取 创建计算成员 创建计算单元等 用在挖掘分析中 表现为设定挖掘条件 审计分析模型的分类 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 61 审计分析模型算法 什么是审计分析模型算法 审计分析模型算法是构建审计分析模型的思路 方法 步骤 数字化审计的概念 数字化审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点 在对信息系统进行检查测评的基础上 通过对底层数据的采集 转换 清理 验证 形成审计中间表 并且运用查询分析 多维分析 数据挖掘等多种技术等方法构建模型进行数据分析 发现趋势 异常和错误 把握总体 突出重点 精确延伸 从而收集审计证据 实现审计目标的审计方式 数字化审计概念的发展 计算机辅助审计技术和方法计算机审计数字化审计 返回 数字化审计的主要内容 数据审计对计算机输入 处理 存储 输出的数据进行分析检查信息系统审计对与财政财务收支有关的计算机信息系统进行检查 返回 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 65 数字化审计流程 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 66 数字化审计流程 1 审前调查 获取必要和充分的信息 提交数据需求说明书 2 采集数据 全面掌握情况 数据下载报告 承诺书 3 数据转换 清理和验证 4 建立审计中间表 构建审计信息系统关于中间表的说明5 多维分析 把握总体 锁定重点 6 建立个体模型 内外关联 对比分析 筛选线索 形成数据分析报告 7 延伸落实 审计取证 审计现场数字化 对流程进行管理 返回 按照七步流程开展企业审计 审前调查 获取充分必要的信息 调查的主要内容 1 被审计单位组织结构 管理体制和业务流程 2 信息系统建设 管理 使用总体情况 并重点关注财务系统 核心业务系统的核算 管理 内容 数据来源 数据处理流程 数据库类型 数据量等相关情况 3 外部关联单位电子数据情况 4 宏观政策 行业法规等 按照七步流程开展企业审计 审前调查 获取充分必要的信息 实地考察的内容 功能的考察 详细查看系统功能菜单 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 1 被审计单位信息系统总体情况 2 采集数据的系统3 采集范围和方法4 外部数据采集范围和方法5 数据提供时间6 双方责任 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 1 被审计单位信息系统总体情况 向被审计单位提供的第一份数据需求说明书中一般会简单介绍一些被审计企业的信息系统总体情况 如果多次提出数据需求 则不必每次都需要介绍总体情况 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 2 采集数据的系统 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 2 采集数据的系统 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 2 采集数据的系统 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 3 采集范围和方法如何采集 什么格式 时间范围 单位范围 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据需求说明书 4 外部数据采集范围和方法5 数据提供时间6 双方责任 按照七步流程开展企业审计 采集数据全面掌握情况 审计数据采集结果报告 采集数据的信息系统名称及功能 数据采集的方法 数据的范围 内容 格式 按照七步流程开展企业审计 采集数据全面掌握情况 数据采集的两个注意事项 审计人员不要到被审计单位的系统上直接采集数据 让被审计单位提供承诺书 承诺提供的数据是真实 完整 正确 有效的 按照七步流程开展企业审计 清理 转换 验证数据 转换数据 数据的转换主要是对格式的转换 现阶段大家应用较多的sqlserver 主要是将数据从各类不同的格式 DB2 Oracle Sybase Excel等 转换到SqlServer中去 这主要是一个技术问题 要反复练习 积累经验 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 1 填入缺失的值 2 处置空值 3 处理冗余数值 4 更改错误数据 5 代码转换 6 实现表的合并 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 1 填入缺失的值 字段的缺失 记录的缺失 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 2 处置空值 空值在运算 查询等多中操作中存在问题 所以审计人员可以根据空值表示的意义 赋予一定的值 去掉空值 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 3 处理冗余数值 冗余是一个相对概念 是指审计冗余 即对审计人员的审计工作来说是冗余的 被审计单位的数据考虑到其本身管理 核算的需要 考虑到数据安全 数据库的设计方式等多种因素 有些数据对他们来说可能就不是冗余的 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 4 更改错误数据格式中的错误 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 5 代码转换 代码的汉化 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 6 实现表的合并实现不同表的合并 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 数据清理要有详细的记录 尤其对数据的删 改要有详细的记录和理由 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 数据清理要有详细的记录 尤其对数据的删 改要有详细的记录和理由 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 一个案例航空公司票务数据 出票日期 飞行日期为整型 字符型 审计需要转成日期型 但内容非常不规范0 20020031 20020133逐条修改不现实 需要一次性的找出所有的不规范记录 按照七步流程开展企业审计 转换 清理 验证数据 清理数据 一个案例长度不对 年限不对 月份不对 日子不对 确定日期应该满足条件 然后进行查找 按照七步流程开展企业审计 转换 清理 验证数据 数据验证 关键是业务数据的验证关联数据的对比财务数据与业务数据的对比基本规律的设置检查数据抽查 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据 1 国家宏观政策 相关法律法规 2 新闻媒体 科研机构 专家学者对该企业 该行业的研究报告 3 企业 企业领导人 企业各部门年度总结 4 企业内部管理制度和收发文情况 5 各类决策会议的会议纪要 6 各类举报材料 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据采集按照审计重点事项的发生过程确定采集范围和内容按照非数值型数据的类别确定采集范围和内容采用其他方法确定采集范围和内容 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据转换全文扫描局部扫面内容摘要 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据清理清理重复的数据清理无效的数据清理无实质意义的数据 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据验证 1 验证非数值型资料文件页码的连续性 2 分析非数值型资料内容逻辑的合理性 3 利用鉴定机构进行笔迹 印章等鉴定 4 比对多份不同来源的同一资料 5 追溯资料形成过程 分析资料形成过程的逻辑性 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 数值型数据中间表财务数据大致相同 凭证表 余额表 代码表业务数据差异很多 与行业特点和审计需求相关中间表说明 按照七步流程开展企业审计 创建审计中间表构建审计信息系统 审计中间表 非数值型数据中间表数据文件目录 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 98 当前信息系统审计的主要内容 一般控制的审计应用控制的审计信息系统建设效益的审计 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 99 一般控制审计 4个方面 安全管理方面 包括2个审计事项 安全管理制度制定情况被审计单位是否制定了安全管理制度并得到贯彻执行 安全管理职责履行情况信息系统设计是否符合国家等级保护 分级保护要求 系统安全员 安全审计员履行职责是否到位 对关键的数据信息资源是否采取了适当的保护措施 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 100 一般控制审计 4个方面 物理环境安全方面 包括3个审计事项 机房环境安全合规性防火 防雷 防盗等安全设施是否有效 硬件设备安全合规性数据信息物理访问安全措施是否适当有效 网络安全保护措施合规性防病毒木马 防网络攻击等安全措施是否落实 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 101 一般控制审计 4个方面 软件安全方面 包括3个审计事项 操作系统安全性操作系统是否及时更新 操作系统是否存在漏洞 操作系统的处理能力是否满足业务需求 数据库安全性数据库管理员的权限是否得到适当控制 数据库管理系统的处理能力是否满足业务需求 应用系统访问安全性数据信息逻辑访问安全措施是否适当有效 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 102 一般控制审计 4个方面 灾备方面 包括2个审计事项 应急计划的制定和落实情况是否制定了有效的应急计划并进行适当演练 电子数据备份是否符合相关规定 灾难备份恢复有效性信息系统灾难恢复计划是否能够保证关键业务的持续运行 是否能够保证数据及时 准确地恢复 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 103 应用控制审计 3个方面 信息系统功能方面 包括3个审计事项 业务处理流程与业务需求吻合性信息系统实现的业务处理流程与实际的业务需求是否吻合 系统软件 关键业务应用软件功能是否能够满足业务开展的需要 业务处理流程完备合理性信息系统实现的业务处理流程是否完备 是否存在大量未上线的业务 信息系统实现的业务处理流程是否合理 与否遵循相关的法律 法规与制度 业务数据处理控制有效性业务流程中是否实施了有效的输入控制 处理控制和输出控制 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 104 应用控制审计 3个方面 信息系统运行方面 包括3个审计事项 系统运行管理制度执行情况信息系统日常操作管理是否有效 系统运行有效支持业务开展情况信息系统问题管理是否有效 配置变更管理情况信息系统配置管理是否有效 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 105 应用控制审计 3个方面 数据与接口方面 包括3个审计事项 重要数据参数的管理控制情况数据 参数的生成 存储 传输 处理等是否进行适当有效的控制 相关系统间接口设计合理性不同系统之间是否建立有效控制的数据接口 相关系统间数据传递正确性是否存在基础信息混乱 信息无法共享等问题 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 106 信息系统效益审计 项目建设管理方面 包括2个审计事项 建设程序的合规性立项 审批 招标 实施 验收等项目建设环节过程是否存在浪费 损失 舞弊现象 建设内容与建设文档的符合性交付成果与建设目标的符合程度 如有调整则检查是否有利于建设目标优化 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 107 信息系统效益审计 项目建设效果方面 包括5个审计事项 建成系统与业务需求的符合性项目建设文档确定的建设目标与被审计单位业务的符合程度 建设目标能否给带来合理的回报或推动业务发展 系统的用户满意度用户参与信息系统开发的程度 关键用户的培训和掌握情况 用户对信息系统的意见与反馈 对核心业务流程的覆盖程度交付成果对核心业务流程的覆盖率 被审计单位工作人员使用交付成果的比例 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 108 信息系统效益审计 项目建设效果方面设备利用合理性所投资的设备是否存在闲置浪费情况 所使用设备的使用率情况 性能价格比投资是否超预算 交付成果的利用率 交付成果与投资的性价比 投资结构调整是否有利于优化性价比 返回 数字化审计的技术和方法 数据分析的技术和方法信息系统审计的技术和方法数字化审计的取证技术和方法返回 数据分析的基础技术和方法 审前调查的技术和方法提出数据需求的技术和方法数据采集和整理验证的技术和方法建立审计中间表的技术和方法挖掘分析的技术和方法多维分析的技术和方法查询分析的技术和方法 核心是创建审计分析模型 审计分析模型的构建基础 研究电子数据的特点和规律是前提创建相对完整规范的审计中间表是基础审计中间表是面向审计分析的数据存储模式 是审计人员进行数据分析的对象 资源和平台 主表 附表 代码表 补充表 分析表掌握相关技术SQL查询技术多维分析技术数据挖掘技术 电子数据的特征和规律 静态特征 数据的基本结构 如逻辑组织方式多样 物理存储格式多样 数据结构规范化 数据表示代码化 数据类型多样化 数据更改无痕迹性 数据独立性动态特征 对数据的操作 如增 删 改 查规律 表间联系规律 字段间联系规律 系统分析模型 功能从系统的层次分析 评估 把握被审计单位的总体情况 对其主要特点 运营规律和发展趋势形成一个总体上的概念和认识 同时初步确定审计重点范围 内容及方法对资产 负债 损益 现金流情况的分析 结构分析法和趋势分析法对有关财务 业务指标的计算分析 比率分析法 类别分析模型 功能类别分析模型是从业务类别的层次对被审计单位的主要业务类别进行分析 从而锁定审计重点 为下一步构建个体分析模型核查问题 筛选线索提供依据 常用方法结构分析 趋势分析这两种方法在类别分析和系统分析中的应用有所差别 设计类别分析模型框架确定类别分析模型构建思路做好模型构建基础工作分析相关数据创建审计中间表具体构建类别分析模型编写SQL语句对数据进行查询分析运用多维分析技术对数据进行多维分析 创建类别模型的基本步骤 个体分析模型 功能在类别分析的基础上按不同的审计思路构建个体分析模型 对审计重点进行深入分析 发现问题或线索 基本步骤审计需求分析确定构建思路 掌握相关知识分析数据 创建审计中间表构建模型 查找问题或线索1 审计思路2 具体模型 实现审计思路的审计软件操作或SQL语句编写 3 运行结果及分析 创建个体分析模型的思路 个体分析模型的构建思路利用法律法规利用数据钩稽关系利用业务处理逻辑利用外部数据关联关系利用审计经验 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 119 数字化审计的思维方式 数字化审计的三个层面器 软件 工具技 技术和方法道 思维方式特征发现是数字化审计的思维方式 审计重大问题的特征发现 在信息化环境下 绝大多数重大违法违纪问题都会在信息系统或电子数据中显现出一些具体特征 审计人员在数据分析过程中把握和发现了这些特征 就能够发现线索 取得突破 审计成果 审计查清落实了 某上市公司董事长徐 借重组上市公司之机为个人非法牟利861万元 的问题 撰写的审计简报被审计署以要情的形式上报 引起国家领导人的高度重视 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 122 关注资金内转 所谓资金内转即某个客户将其资金账户内的资金转入其他一个或几个该证券公司客户的资金账户中 客户通过此类资金划转 既可以起到分散资金的作用又可以规避银行等金融机构的审计 可谓一举两得 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 123 开户后短期内即将资金内转将大额资金分散内转至若干账户关联内转账户集中购买一支或几支股票关联内转账户集中卖出所购股票关联内转账户将资金转回取现 特征枚举 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 124 数据分析 1 构建审计中间表取得被审计单位数据后 审计人员经过筛选整理 获得某证券公司北京 上海 武汉 深圳等各个节点的客户交易流水中间表及客户信息中间表 其中客户交易流水中间表记录该证券公司经济业务客户的A股交易流水明细情况 客户信息中间表记录客户基本信息明细情况 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 125 客户交易流水中间表 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 126 客户信息中间表 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 127 select客户代码 客户姓名 资金帐号 sum 资金转出 转出合计into祁楠 资金转出大户fromdbo 主表 北京2 A股交易流水表where摘要代码 140025groupby客户代码 客户姓名 资金帐号orderby转出合计 筛选出资金内转大户 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 128 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 129 select into祁楠 孙 转出fromdbo 主表 北京2 A股交易流水表where摘要代码 140025and客户代码 130500023613查询3筛选出与 孙 转出记录对应的资金转入记录select into祁楠 12人转入fromdbo 主表 北京2 A股交易流水表where操作日期 20060531and摘要代码 140005and 资金转入 120000or资金转入 200000or资金转入 110000or资金转入 130000or资金转入 80000or资金转入 170000or资金转入 150000or资金转入 100000or资金转入 180000 筛选出 孙 资金转出记录 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 130 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 131 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 132 select into烟台13户开户资料fromdbo 客户基本信息表where客户代码 130500023618and客户代码 130500023631or客户代码 130500023613查询5筛选出 孙 等13户全部交易流水select into祁楠 孙 全部fromdbo 主表 北京2 A股交易流水表where客户代码 130500023613 筛选出 孙 等13户关联内转账户的开户情况 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 133 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 134 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 135 查询6筛选出12户关联内转账户股票卖出后将资金转回 孙 资金账户的记录select into祁楠 孙 转入fromdbo 主表 北京2 A股交易流水表where摘要代码 140005and客户代码 130500023613 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 136 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 137 孙 将其资金账户内的171万元分别转至苗 等12个自然人的资金账户中 并集中购买 ST 后更名为 股份 一支股票 成本区间2 96 3 02元 股 除孙 外 其余12户为2006年3月22日同一天开户 客户代码连续 所留联系电话及邮政编码等信息完全相同 有7人联系地址均为某市 路145号 2007年5月14日前 上述13个账户中 ST 股票全部被卖出 资金又转回至孙 账户并全部取出 孙 等人买入 ST 后不久 ST 即被收购重组 且此后利好频传 股价亦一路飙升至2007年5月15日的最高价17 82元 股 特征发现 发现问题 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 138 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 139 锁定重点精确打击 内幕人 内幕信息公开前 直接或者间接获取内幕信息的人 包括自然人和单位 内幕信息 证券交易活动中 涉及公司的经营 财务或者对公司证券的市场价格有重大影响的尚未公开的信息 内幕交易 行为人在内幕信息的价格敏感期内买卖相关证券 或者建议他人买卖相关证券 或者泄漏该信息 操纵市场及内部交易认定指引 证监稽查字 2007 1号 2020 3 3 Copyright C 2002LiuRuzhuoCANJ 140 上市公司董事长内幕交易真相 通过延伸孙 银证转帐的关联银行我们发现 孙 等人用于购买 ST 后更名为 股份 的200万元全部来自于一个名为徐 的个人 而这个徐 正是 ST 的收购重组方 实业集团有限公司 现 股份 的董事长兼法人代表 徐 等人的上述作法属于典型的上市公司高管借助内幕信息非法牟利行为 已涉嫌违反了我国 证券法 及 刑法 中有关证券内幕交易的相关规定 返回 信息系统审计的技术和方法 一般控制的审计技术和方法应用控制的审计技术和方法信息系统投资效益的技术和方法 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 142 信息系统审计的方法 常规的审计方法仍需使用面谈询问法调查问卷法文件审阅法实地观察法在使用这些方法时 需要注意与信息系统审计的相关审计事项紧密结合 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 143 信息系统审计的方法 特有的审计方法流程图检查法测试数据法平行模拟法源代码检查法日志分析法考虑到审计的风险 有些方法需在被审计单位单独提供的测试环境中使用 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 144 流程图检查法 通过绘制或者检查被审计单位提供的流程图 加深对信息系统结构的理解 分析信息系统的运行过程 关注信息系统控制节点和控制条件 追踪业务样本 从而评估信息系统控制是否存在明显错误或者缺陷 主要的3种流程图业务流程图数据流程图程序流程图 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 145 业务流程图 业务流程图是系统分析阶段的文档业务流程图用以描述系统的业务处理流程它描述的是真实业务系统内各部门 人员之间的业务关系 作业顺序和管理信息流向描述了业务过程的具体环节和业务流程的实际处理步骤是一种纯业务的描述视角 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 146 业务流程图 例 开发人员在系统调查阶段了解到某企业的会计核算形式是科目汇总表的核算形式 其账务处理业务流程如下 1 根据审核无误的原始凭证汇总表编制记账凭证 包括现金收付凭证 银行收付凭证和转账凭证 2 根据现金收付款凭证登记现金日记账 3 根据银行收付款凭证登记银行存款日记账 4 根据银行送来的对账单对银行存款日记账进行核对 5 根据记账凭证及所付原始凭证登记有关明细账 6 根据记账凭证 按相同的借贷方汇总出科目汇总表 7 根据科目汇总表登记汇总分类账 8 将明细账科目余额与财产物资实有数进行核对 9 将总分类账余额与有关明细账余额进行核对 10 根据总账 明细账余额编制各种会计报表 根据上述业务流程可以绘制出该企业账务处理的业务流程图 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 147 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 148 数据流程图 以图形的方式刻画数据从输入到输出的移动变换过程综合反映出数据在系统中的存储 流动和处理情况偏重于系统中的数据处理过程是业务流程图的数据抽象屏蔽了业务流程的物理背景而抽象出数据的特征描述了数据在业务活动中的运动状况例 某销售管理系统的数据流程图 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 149 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 150 业务流程图与数据流程图的关系 业务流程图是物理模型数据流程图是逻辑模型业务流程图主要是描述业务走向数据流程则是描述数据的走向 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 151 测试数据法 审计人员根据对被审计单位信息系统业务或者管理流程的理解 设计专门的测试数据 在系统中模拟业务的处理全过程 并将测试数据的模拟处理结果与预期处理结果进行比较核对 从而判断信息系统的功能与控制是否存在明显错误或者缺陷 在某收费公路信息系统审计过程中 审计人员采用测试数据法对计重费率计算方法进行了分析 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 152 用测试数据法检查计重收费参数设计 分析发现根据该方法 总轴重32吨 不超限 的车辆费率为1 7067元 公里总轴重40吨 不超限 的车辆费率为1 6元 公里 40 0 04 收费低于轴重32吨的车辆载重量增加8吨 费额反而减少0 1067元 公里 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 153 用测试数据法检查计重收费参数设计 计重收费每公里费额与总轴重的关系示意图 2020 3 3 ITDepartmentofCNAO sNanjingResidentOffice 154 用测试数据法检查计重收费参数设计 检查发现10吨至40吨区间的车辆最高费额出现在32吨时 费额不是随总轴重单调增加3