信息系统审计(南京审计学院)chap7.ppt

1、第七章情报系统审计技术方法在情报系统审计过程中，为了取得审计证据、完成审计塔斯克，需要使用各种审计技术方法。 随着计算机信息技术的发展和应用，在情报系统审计中除了采用以往的审计方法外，计算机辅助审计技术也被广泛应用。 第1节风险评价技术IS审计员在实施情报系统审计时，必须评价存在的不同审计风险，选择风险高的领域进行审计。 如何评估存在的审计风险？ 相关：风险分析技术、IS审核员可以选择多种风险分析技术，既可以采用计算机辅助分析，也可以采用人工分析风险分析的标准，既可以采用简单的定性分类，还可以用复杂的科学订正算法进行定量订正。 (1)风险评价常用的定性评价技术： 1、定性等级技术：根据风险从低

2、到高，如在1-5分进行定性等级的高、中、低水平考虑的要素：审核的技术复杂性、现有控制流程水平、财务损失等要素方法：根据各要素进行化学基评分2、经验判断法：原理：审核员根据专业经验、业务知识、管理层的指导、业务目标、环境要素等进行化学基判断，决定风险的幅度。 (2)常用风险评价定量评价技术：基于一个数学模型的量化分析技术：数学模型表达式：风险=威胁弱点影响，威胁表示：3(高风险)，2 (中风险)，1 (低风险)，0 (无)审核样本分类的方法有好几种，但最常用的分类方法是： 根据样本决定的依据分为统一修正样本和非统一修正样本。根据理解的整体特征，分为属性抽样和变量抽样。 另一方面，统一采样和非统一

3、采样(Statistical Sampling ) :是审计员在校正正式采样结果时采用统一校正估计技术的抽样方法，统一采样以客观方式来确定采样量的大小和抽样方案。 非统一抽样(Nonstatistical Sampling ) :审计人员根据主观标准和个人经验对抽样结果进行评价，并对整体作出结论。 两者最根本的差异：非统一修正样本无法对采样风险进行量化，统一修正样本是可能的。 2、属性样本和变量样本属性样本：用于估计一个控制属性或一组相关控制属性的发生概率。 主要用于测试控制，与符合性测试相关。 在进行控制测试时，属性采样可以分为1、固定采样量采样三种基本方法：常用于估计审计对象整体中某一偏差

4、的发生比例。 其特征在于，预先确定采样量，在采样校正图像的执行中不变动。 2、停止-取样：一种基于固定取样量取样的改进形式。 由于预计整体误差为零，因此通过在采样的同时审查评价来完成审计工作。 可以克服在固定样本量的采样时应该选择的样本的缺点，提高审计工作的效率。 3 .发现抽样：以属性抽样的特殊形式，主要用于寻找非法的重大事件。 其理论根据是如果整体偏差率为某特定比率以上，则能以规定的信任度从一盏茶大样本中检测出至少一个偏差。变量抽样：根据整体抽样，估计整体金额数或其他度量单位。 与实际测试相关的主要目的是验证可能存在于计程仪计划和功能中的控制失效所带来的重大影响的重大金额。 要选择这种方法

5、，必须满足以下三个条件： 1、建立和修改层次样品的能力和建立和修改层次样品的能力；2 .审计价值和记账本价值的差距太大，要不得3，资料的可得性。 变量抽样法主要用于实质性的测试。 通常有以下常用方法： 1、分层平均采样：首先阶层化整个样本，在不同的分层进行抽样检验，确定样本的平均值，从样本平均值推断整体的平均值和修正值。 2 .未阶层化单位的平均估计采样：在抽样检验处确定样本的平均值，且从所述样本的平均值来估计总体平均值和校正。 3、差额估计抽样(difference estimation ) :用样本实绩值和帐面价值的平均差额估计总体实绩值和帐面价值的平均差额，将该平均差额乘以总体项目数，求

6、总体实绩值和帐面价值的差额。 在实际测试中，如果估计的整体误差超过了容许误差，则需要增加样本量或执行替代审计计程仪。 如果符合性测试认为采样结果不能达到对测试内部控制的先验信任度，应该考虑增加样本量或者修改实质上的测试计程仪报。 第三节在计算机辅助审计技术和工具情报系统审计中，为了达到审计目的，需要收集大量存储在计算机中的数据，并利用计算机对这些数据进行分析得出结论。 因此，计算机鼎力相助审计技术(CAATs )已成为审计员不可或缺的工具。 目前，计算机鼎力相助审计技术和工具主要有： (1)通用审计软件和专业审计软件是一系列能够读取、计算和分析计算机可读记录的程序计程仪。 通用审计软件：可扩展

7、性强、适用范围广、应用前景广的专业审计软件：适用范围窄、功能强、专用性强。 主要功能： 1、数据读取和转换2 .查询3、订正计算； 4、分类； 5、采样选择6、排序7 .数据文件的合并、比较、合并8 .输出。 (2)实用程序软件。 1、包括做评估保密工作和完全性的工具软件。 例如：接入控制解析软件2，精通系统的工具软件。 例如，系统构成解析软件、程序流程图生成器3、做评估数据质量的工具软件。 例如查询工具、数据比较软件4、做评估程序质量的工具软件。 例如，鼎力相助程序比较软件、测验数据生成器5、审计计程仪程序开发的工具软件。 例如，计程仪程序生成器6，鼎力相助生成审核文档的工具软件。 例如，文

8、件生成器、办公软件(3)的性能测定工具，包括硬件监视屏、软件监视屏、固件监视屏、混合监视屏(4)测验数据法(并行仿真法)的基本原理：制作仿真计程仪程序，将测验数据和实际的应用结果、测验数据法(平行虚拟仿真技术)、(5)连续上线了审计连续上线了审计可以利用信息技术，不中断被审计业务系统的正常运行，检查和评价业务系统的内部控制，连续监视系统的运行，评价系统的安全性、有效性及评价数据的真实性和完整性。目前常用的连续上线了审计方法有： 1、系统控制审计文件/嵌入审计模型(SCARF/EAM ) :通过在应用系统中嵌入特殊的审计软件模块，实现对系统的选择性审计。 IS审计员将审计模块嵌入他们认为重要的特

9、罗尔点，连续监视系统中的事务，并将收集到的信息写入特殊的审计文件SCARF星空卫视文件。 2、整体测试法(ITF ) :在系统中制作虚拟实体(dummy entity )，在正常的系统中运行，通过对结果进行比较分析来判断控制。 适用于一般测验数据无法有效测试系统控制时。 在实施总体测试方法时，请注意，测验数据可能会进入审计系统的实际数据环境。 适用于终端、终端、实际数据、测验数据、结果分析比较、3、随手拍照：对于输入业务标记、记录业务的处理轨迹，需要记录监查轨迹的情况。事务、输入有效性确认程序、快照通讯端口、错误报表、输入妈妈星空卫视、更新计程仪程序、更新通讯端口、快照通讯端口、输出妈妈星空卫视、报告程序、快照报告、管理报告、快照1、2、3、快照7、快照有条件应用程序系统、数据库管理系统、CIS、数据库、连续和间歇模拟CIS原理、异常计程仪、事务、建立标准、比较、5、审计钩状体：在应用程序系统中嵌入审计钩状体，失控审计员规定的错误和不规范问题目前，许多ERP软件包、OS和网络管理软件等提供连续监测和连续审计工具的进样器，对这些个环境应用适当的配置、关联规则、配置残奥仪表和公式，即可得到投入生产后预期的异常交易列表，这也是实施连续上线了审计的具体(6)审计专门人才系统作为决策鼎力相助工具，专门人才系统可以