信息系统审计 课件 【ch04】信息系统审计方法

信息系统审计方法第四章高等院校公共课系列精品教材信息系统审计信息系统审计方法概述0101信息系统审计方法概述审计方法是信息系统审计人员实现审计目标所采用的手段、工具和技术。当信息系统审计人员面对庞大、复杂的信息系统时，如果不借助计算机工具和技术对信息系统进行审计，可能会带来很大的审计风险。只有采用合适的审计技术和方法，才能全面、充分地了解被审计单位的信息系统，有效地开展信息系统审计工作。伴随着日益复杂化的审计事项，计算机辅助审计技术、统计学技术和分析性复核技术，在国际上得到普遍应用。但目前还没有一套完整的审计技术可以全面解决所有的信息系统审计问题。审计机构没有一个相对统一的标准来规范信息系统审计人员何时以及如何使用审计技术和方法，在应用过程中随意性较大，无法保证质量。但人们已经创造和积累了许多可以用来帮助完成相应审计目标的技术和方法，正逐步增加信息系统审计技术的规范性。01信息系统审计方法概述此外，在结合对被审计单位基本情况了解的基础上，还应考虑以下因素：(1)设定的审计目标包括了解被审计单位基本情况后认为有必要采用的技术和方法；(2)了解被审计单位的信息系统基本状况，包括了解被审系统、被审程序和数据的可用性；(3)清楚了解被审系统处理的数据的组成，包括数据量、数据类型、格式等；(4)确定采取的程序(如统计样本、重新计算、确认等);(5)确定输出要求；(6)确定资源要求，如审计人员、计算机辅助审计工具与技术、处理环境(被审计单位的信息系统设施或审计信息系统设施);(7)获取对被审计单位的信息系统设施、应用程序、被审系统和数据，包括数据文件的定义。信息系统审计的具体方法0201证据收集的方法观察法问询法观察法是指审计人员对被审计单位的信息系统主要使用部门、机房和信息系统各工作点进行现场检查和观察，查看相关人员正在从事的活动或执行的程序和方法。问询法是指审计人员对被审计单位内部和外部人员通过个别面谈和召开会议的形式找有关人员谈话，以调查了解信息系统规划、实施、应用与管理控制等情况，从而证实审计事项的方法。函证法函证法是指审计人员向与被审计单位有关的单位或个人发函，以证实或证伪某一审计事项的方法。通过第三方直接证明相关信息或状况的方式，获取和评价审计证据。01证据收集的方法查阅法复核法查阅法是指审计人员通过查阅被审计单位的有关资料和技术文档等获得审计线索和证据的一种方法。查阅法要求对被审计单位的业务资料、财务资料和信息系统技术资料等从形式到内容进行认真查阅，在公正客观的基础上寻求相关的审计证据。这种方法特别适用于信息系统审计的初始阶段，即技术准备阶段。复核法是指审计人员检查、验证被审计单位信息系统的输出结果，以证实信息系统提供的输出结果是否正确的方法。01证据收集的方法调查问卷法技术验证法通过调查问卷的方式可以了解被审计单位的基本情况、信息系统及内部控制情况。调查的问题主要针对信息系统管理及其内部控制情况、信息技术环境下的各类应用系统的处理流程、内部控制及关键控制点等。运用计算机技术手段，对信息系统各功能模块进行符合性测试和实质性测试，发现信息系统内部控制可能存在的问题。并对系统功能和业务需求进行比较分析，发现信息系统功能可能存在的差异或问题。01证据收集的方法02数字取证方法电子取证计算机取证电子取证是通过电磁记录物来证明审计事项的方式。电磁记录物是计算机和计算机系统运行过程中产生的数据的载体。这种取证方式主要用于计算机以外的电子设备所产生的数据的采集和分析，如复印机、传真机、数码相机等。计算机取证的主要方法有：复制文件、删除文件、获取缓冲区内容、分析系统日志等。它是一种被动的事后评估，并不局限于网络环境。02数字取证方法网络取证网络取证强调网络安全主动防御功能，主要是通过实时监测和分析网络的数据流、主机系统日志，发现网络入侵行为，记录犯罪证据，并防止对网络系统的进一步攻击。网络取证的一般流程如图4-1所示。03数据库查询法单表查询03数据库查询法单表查询03数据库查询法单表查询03数据库查询法单表查询03数据库查询法单表查询03数据库查询法单表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法多表查询03数据库查询法嵌套查询04穿行测试法穿行测试法，是指为了追踪某个业务处理事项在信息系统中的处理过程，审计人员亲自执行一次业务发生过程。在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求相对比，以发现内控流程缺陷的方法。穿行测试法不是一种单独的程序，而是将多种程序按特定审计需要进行结合运用的方法。在风险管理中，穿行测试法通过跟踪信息系统中的交易过程，验证审计人员对其控制的理解，评价控制设计的有效性，确定控制是否得到有效执行。04穿行测试法穿行测试法主要有以下几个步骤。(1)先查阅并理解被审计单位某个业务行为的相关制度或规范，然后按业务流程的方式描述出来。以表明被审计单位的业务行为都是按所描述的业务流程来运行的。(2)抽取某几笔业务样本。(3)要求被审计单位提供所有所抽取业务样本的运行记录。(4)按照之前描述的业务流程，重新逐步描述样本业务的实际运行情况。(5)对照业务流程与要求，比较并记录没有做到位的地方。05测试数据法测试数据法是指获取一套与被审计单位信息系统或程序模块完全相同的副本，作为模拟系统独立运行，然后用模拟系统对当期的实际数据进行处理，并将模拟系统的处理结果与被审计系统的处理结果进行比较，从而评价被审计应用程序的处理和控制功能是否可靠。从以前的经验看，要让审计人员明白被审计系统的全部处理逻辑不太现实，但可以让审计人员弄清系统在关键事项上的处理逻辑，从而判断系统是否可靠。因此，测试数据法被信息系统审计人员广泛应用于测试程序运行和数据处理的准确性中，比如用来验证对输入数据的校验和控制、数据处理的逻辑和数据计算的算法等。这种方法对于测试那些有关利息和折旧计算的程序十分有效。05测试数据法测试数据法有以下几个优点。(1)它可以为审计人员提供关于应用程序功能的清晰而详细的证据，并且具有广泛的适用性。(2)进行测试的过程对被审计系统的正常运行无任何影响。(3)实施测试的综合成本低。(4)对审计人员的计算机技术要求不高。测试数据法的缺点主要有以下几点。(1)审计人员必须从被审计单位获得一个用于测试的程序副本，这就存在一个风险，即被审计单位可能有意或无意地向审计人员提供错误版本的程序，这就会降低审计证据的可靠性。(2)一项测试只能在特定时间、特定程序上运行，如果程序改变了，测试数据也就过时了。(3)由于是对程序逻辑功能的测试，因此审计人员需要充分了解程序的内部逻辑，建立测试数据，这就导致学习成本较高、实施困难。06平行模拟法平行模拟法是指审计人员按照被审计程序的主要功能和处理流程重新开发一个相同的模拟程序，用它对被审计程序以前处理过的各种事务和数据进行再处理，并将模拟程序得到的处理结果与原程序的处理结果进行比较，从而评价被审计程序可靠性的方法。其处理流程如图4-2所示。07虚拟实体法虚拟实体法是对测试数据法的改良，一般是在被审计系统中建立虚拟的实体(如供应商、客户、员工等),然后将虚拟实体的有关数据与真实的数据一起输入信息系统进行处理，最后将虚拟实体的输出结果与预期进行比较，确定信息系统的控制功能是否发挥作用。例如，在某应用系统中建立一个虚拟的职员，然后进行正常的业务处理测试。这种方法的优点是在系统正常处理过程中进行测试的，因此可直接测试到被审计系统在真实业务处理时的功能是否正确有效。而缺点是这些虚拟的测试数据可能会对被审计单位真实的业务和汇总的信息造成破坏或影响。08程序日志检查法程序日志是由系统自动产生的，包含启动和结束时间，中断、故障等事务信息。通过查看程序运行日志，可以在一定程度上评估被审计程序的控制措施的可靠性。如果记录中断，表明程序中可能存在语法或逻辑错误。程序日志检查法的优点是对审计人员的计算机水平要求不高，而缺点是程序中的错误或缺陷不会全部出现在一份或多份打印输出的资料上。09数据分析法数据分析法包括数据结构验证法、参数法和外部关联数据法。数据结构验证法：结合数据字典，检查数据之间的逻辑关系，以验证输入数据的正确性和保存数据的完整性，包括业务数据与财务数据的对比验证，业务数据表之间的钩稽关系校验。参数法：检查设置的相关参数是否与实际业务所产生的数据正确地对应。外部关联数据法：外部关联数据是指存在于被审计单位信息系统之外，但又与该系统数据有内在关联，并能够帮助审计人员有序处理被审计单位业务数据和财务数据的电子数据。通过将外部关联数据与被审计系统中的数据进行对比分析，可以发现信息系统中仅靠被审计单位的数据无法发现的问题。10程序流程图审核法程序流程图审核法是利用信息系统的程序流程图来检查程序的控制功能是否可靠、业务处理逻辑是否正确的方法。程序是信息系统的底层逻辑，信息系统处理业务是否合法、合规和正确，都归根于程序的处理规则。而程序流程图中描绘了这些处理规则，并且有专门的程序流程图来描述这些处理规则。实践证明，程序是最容易发生错误和舞弊的地方，因此需要加强对信息系统内部控制有效性的审计，对这些控制流程图进行审核就是方法之一：在信息系统审计工作中，常见的流程图主要有：业务流程图、数据流程图、程序流程图、应用系统的处理流程图、控制流程图、应用系统之间的数据传递流程图等。审计人员通过检查被审计单位提供的各类流程图，来了解被审计单位的信息系统及其控制的具体措施，并与被审计系统进行比对分析来完成信息系统内部控制的审核。幸运的是，各种流程图对于用户和审计人员来说都很容易理解，因此各方都可以通过它来进行交流。11受控处理法与受控再处理法受控处理法是指审计人员对被审计程序的实际业务的处理进行监控，并查明被审计程序的处理和控制功能是否适当有效的方法。审计人员首先要检查输入数据并进行审核控制，然后亲自处理或监督这些数据的处理过程，最后将处理结果与预期结果进行比对和分析，判断被审计程序的处理和控制功能是否达到了设计要求。受控处理法的优点是对审计人员的计算机水平要求不高，只需要采取突击审计的方式，就能保证被审计程序与实际使用程序的一致性，从而保证审计结论的可靠性。而受控再处理法是指在被审计单位正常业务开展之外的时间内，由审计人员亲力亲为，或在审计人员的监督下对某一批已经处理过的业务进行再次处理，并对两次处理结果进行比较，以确定被审计程序是否被非法篡改，以及被审计程序的处理和控制功能是否适当和有效。运用这种方法的前提是以前对此程序进行过审查，并证明其原始的处理和控制功能是恰当有效的。12嵌入审计程序法嵌入审计程序法也称系统控制审计评审文件法，是指在被审计程序中嵌入为执行特定的审计功能而设计的审计程序，通过这些审计程序来收集信息并写入一个特殊的审计文件SCARF文件中去。通过这种方法，审计人员可以很方便地采集其感兴趣的数据。通过进一步的审核和分析这些数据，审计人员可以评价被审计程序的处理和控制功能的可靠性，其原理如图4-3所示。13快照法快照法也称抽点转储法，是指在系统的重要处理节点嵌入可以“拍照”的审计程序。当事务流经应用系统时，嵌入式审计软件可以“捕获”事务在处理前后的“影像”,“影像”即数据，通过对比分析前影像和后影像及其转换情况来评价系统事务处理的真实性、正确性和完整性。快照法也是持续在线审计的一种方法，一般可以用来测试被审计程序的控制功能的执行情况或者检查程序的正确性。与嵌入审计程序法类似，快照法嵌入的审计程序段的位置可能会降低被审计单位正常业务的执行效率。快照法原理和技术流程图分别如图4-4、图4-5所示。13快照法14审计抽样测试法审计抽样是从审计总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。信息系统审计抽样测试底稿示例如表4-11所示。14审计抽样测试法统计抽样非统计抽样统计抽样是审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法。统计抽样采用客观的方法来决定样本量大小及抽样方式。非统计抽样是审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论。统计抽样和非统计抽样最根本的区别是，非统计抽样不能量化抽样风险，而统计抽样可以。14审计抽样测试法属性抽样属性抽样用来估计一个控制或一组相关控制属性的发生概率，主要用来对控制进行测试，回答属性是否存在的问题，属于符合性测试，提供发生概率表示的结论。在进行控制测试时，属性抽样又可以分为以下三种方法。(1)固定样本量抽样。固定样本量抽样也叫固定样本规模抽样，是一种基本的、最为广泛的属性抽样方法。其特点是预先确定样本量，在执行抽样计划的过程中不再进行变动。(2)停一走抽样。停一走抽样是在固定样本量抽样的基础上的一种改进形式。它从预计总体误差为零开始，通过边抽样边审查评价来完成审计工作。这种方法可以防止过度抽样，当认为总体中存在的错误相对较少的时候使用。它可以克服固定样本量抽样时要选取过多的样本的缺点，提高审计工作的效率。(3)发现抽样。发现抽样是属性抽样的一种特殊形式，主要用于查找非法重大事件。发现抽样的审计目标是有无欺诈、违规，一旦发现任何错误，则整个样本被视为欺诈或违规。14审计抽样测试法变量抽样变量抽样是从一个样本的部分来估计样本的总体。变量抽样与实质性测试相关，适用于样本总体具有会发生变化的特征，并提供与偏离常规现象相关的结论。其主要目的是验证可能存在于程序或功能中的、因控制失效导致重大影响的数据。在选用变量抽样时，必须满足以下三个条件。(1)设计分层样本的能力。(2)审计价值与账目价值之间的差异不能太大。(3)资料的可得性。15时间戳审计法数字时间戳(DigitalTimeStamp,DTS)(一般简称时间戳)是一个经加密后形成的独立的具有标准格式的电子文件，包括三个部分：摘要(digest)、收到文件的日期和时间、数字签名。DTS时间戳服务中心是指所有的提供时间戳设备及服务的机构，对电子数据进行时间认证处理，即在存储电子数据时，时间和日期通过数字时间戳服务，可以防止被伪造或篡改。16网络审计技术网络交易数据库的审计技术企业或组织所实施的网络化经营重点表现在会计信息电子化及部分会计控制程序化上，可是这一变化就使审计线索有了“不可见性”。面对这一现状，审计人员就需要应用数据库技术对会计信息进行完整地保存及管理。除此之外，还要借助单机系统或工作站来对会计数据实施精准的加工和处理，并利用网络技术和通信技术来对会计数据实施更有效的分配、传输。网络审计技术中的关键环节是怎样收集审计证据并对其进行评价进而判断数据的完备性、可靠性、真实性及合法合规性的呢?网络交易数据库的审计技术有以下四种。16网络审计技术网络信息系统的审计技术为防止修改软件造成的信息虚假这一情况的发生，在对网络信息系统进行审计时，审计人员不单要审计其网络数据库，更要审计其系统本身。审计网络信息系统主要是对这一系统的功能与质量进行评价。软件质量直接对数据的完整性与安全性产生影响。网络信息系统的审计技术主要有以下三种技术。(1)审计网络信息系统的测试。(2)利用测试数据进行审计。(3)审计软件测试法。审计数据采集、数据清理和数据转换0301审计数据采集、数据清理和数据转换审计数据采集审计数据采集是整个信息系统审计工作中非常重要的基础和前提，是整个过程中获取资料的主要途径。具体流程是将被审计单位的数据传输到审计人员的系统中。数据收集的顺利实施和数据审查是审计人员在操作过程中必须注意的两个重要工作。审计工作还应确保被审计单位提供的数据的科学性和完整性，以保证审计人员得出最公正、最科学的审计结果。导入审计系统中的数据不能作为单一的审计分析材料，只有当导入审计系统中的数据与被审计单位原生系统中的数据完全一致时，这部分数据才能作为正确的审计数据直接传输到审计系统中。01审计数据采集、数据清理和数据转换审计数据清理在审计实施过程中，审计人员不能对初步获得的审计数据进行直接应用和分析，因为这些数据中有许多不完整、不一致的错误数据，很难满足计算机审计工作的数据要求，将对审计结果的准确性产生重大的消极影响。因此，应该对采集到的原始数据进行仔细整理。在后续审计分析数据时，审计人员必须再一次检查所采集和整理后的数据质量，一旦发现审计数据有遗漏和错误，必须立即手动操作。通过对多个数据源的综合对比分析，对缺失的或有缺陷的数据进行补充更新，得到完整正确的数据。01审计数据采集、数据清理和数据转换审计数据的转换经过数据采集和数据清理两个过程后，为了进一步保证审计数据满足信息系统审计的要求，审计人员必须对处理后的审计数据进行进一步转换和处理，以进一步保证审计数据的质量和科学性，然后将这些数据传输到数据库中，让计算机软件重新清理这部分数据。在进行数据转换时，需要定义不同的表和字段来代表不同的经济含义，明确它们之间的联系和区别。在审计数据转换之前，要全面了解业务或财务的组成部分，向被审计单位工作人员学习和咨询业务或财务的运行特性和运行参数，从而掌握业务或财务的运行准则。同时，审计人员还应从被审计单位获取与业务或财务相关的文件，了解系统中的数据与现实业务的关系，以保证审计工作的科学性和有效性，以及审计结果的公正性和准确性。信息系统审计软件与工具0401信息系统审计软件与工具通用审计软件是专门为促进信息技术在审计中的应用而设计的，是一系列能够读取、计算和分析计算机可读记录的程序。通用审计软件最早是由会计师事务所在20世纪60年代末开发的，并且已经使用了很长时间。通用审计软件使计算机专业知识很少的审计人员能够完成审计相关的数据处理，比如可以完成从文档中选择样本数据、核算计算结果、查找文档中的异常项目等审计工作，还可以整合很多对审计人员有用的特殊功能，如函证信息的批量生成与自动汇总、样本数据的统计选择等。通用审计软件的可扩展性较强，应用范围广，应用前景广阔；而专业的审计软件的应用范围较小，但其功能性和专用性强，主要用于处理数据读取与转换、查询、计算、分类、抽样选择、排序，以及数据文件连接、比较、合并和输出等审计工作。通用和专业审计软件01信息系统审计软件与工具实用工具软件包括：(1)辅助数据采集、计算和分析的数据表格处理软件，如Excel表格处理软件；(2)辅助生成有关审计文档的工具软件，如文档生产器；(3)服务器操作系统性能分析软件，如系统配置分析软件；(4)系统业务流程和数据流程分析软件，如流程图制作软件；(5)数据库查询和数据质量分析软件，如数据库查询语言SQL语言、数据比较软件；(6)评估程序质量的工具软件，如程序比较软件、测试数据生成器。实用工具软件01信息系统审计软件与工具此外，信息系统审计软件和工具在信息安全审计领域中的应用比较普遍，常用的工具包括：(1)系统扫描