《信息系統(tǒng)審計(jì)(南京審計(jì)學(xué)院)chap7》由會(huì)員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)審計(jì)(南京審計(jì)學(xué)院)chap7(18頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,NANJING,AUDIT,UNIVERSITY,第七章 信息系統(tǒng)審計(jì)技術(shù)方法,在信息系統(tǒng)審計(jì)過(guò)程中,需要運(yùn)用各種審計(jì)技術(shù)方法以獲取審計(jì)證據(jù)、,完成審計(jì)任務(wù)。,隨著計(jì)算機(jī)信息技術(shù)的發(fā)展與應(yīng)用,在信息系統(tǒng)審計(jì)中除了采取傳統(tǒng)的審計(jì)方法以外,計(jì)算機(jī)輔助審計(jì)技術(shù)得到了廣泛的應(yīng)用。,第一節(jié) 風(fēng)險(xiǎn)評(píng)估技術(shù),IS,審計(jì)師在實(shí)施信息系統(tǒng)審計(jì)時(shí),必須評(píng)估存在的不同的審計(jì)風(fēng)險(xiǎn),并,且選擇高風(fēng)險(xiǎn)的區(qū)域進(jìn)行審計(jì)。,如何評(píng)估存在的審計(jì)風(fēng)險(xiǎn)?,涉及:,風(fēng)險(xiǎn)分析技術(shù),IS,審計(jì)師可以選擇多種風(fēng)險(xiǎn)分析技術(shù),可采用計(jì)算機(jī)輔助分析,也可以,
2、采用人工分析,風(fēng)險(xiǎn)分析的標(biāo)準(zhǔn)可以是簡(jiǎn)單的定性分類,也可以通過(guò)復(fù)雜的科學(xué)計(jì)算進(jìn),行定量計(jì)算。,(一)風(fēng)險(xiǎn)評(píng)估常用定性評(píng)估技術(shù):,1,、定性分級(jí)技術(shù):,根據(jù)風(fēng)險(xiǎn)從低到高分級(jí),如:,用,1-5,分進(jìn)行定性分級(jí);用高、中、低分級(jí),考慮因素:,審計(jì)對(duì)象的技術(shù)復(fù)雜性、現(xiàn)有控制程序的水平、,可能造成的財(cái)務(wù)損失,等因素,方法:,根據(jù)每一個(gè)因素給出一個(gè)分值(如,5,分制、,10,分制),,然后把各種因素的風(fēng)險(xiǎn)值累計(jì)即為的風(fēng)險(xiǎn)值,然后對(duì),根據(jù)分值大小進(jìn)行排列。,2,、經(jīng)驗(yàn)判斷法:,原理:,審計(jì)師根據(jù)專業(yè)經(jīng)驗(yàn)、業(yè)務(wù)知識(shí)、管理層的指導(dǎo)、業(yè),務(wù)目標(biāo)、環(huán)境因素等進(jìn)行判斷,以決定風(fēng)險(xiǎn)大小。,(二)風(fēng)險(xiǎn)評(píng)估常用定量評(píng)估技術(shù):
3、,基于一個(gè)數(shù)學(xué)模型的定量分析技術(shù):,數(shù)學(xué)模型公式:,風(fēng)險(xiǎn),=,威脅,弱點(diǎn),影響,威脅表示:,3,(高風(fēng)險(xiǎn))、,2,(中風(fēng)險(xiǎn))、,1,(低風(fēng)險(xiǎn))、,0,(無(wú)),弱點(diǎn)表示:,事件發(fā)生的概率在,01,之間,影響表示:,07,之間,第二節(jié) 審計(jì)抽樣技術(shù),審計(jì)抽樣是從審計(jì)總體中選取一定數(shù)量的樣本進(jìn)行測(cè)試,并根據(jù)測(cè)試,結(jié)果,推斷審計(jì)對(duì)象總體特征的一種方法。,審計(jì)抽樣分類的方法有很多種,,常用的分類方法是:,按抽樣決策的依據(jù)不同分為:,統(tǒng)計(jì)抽樣和非統(tǒng)計(jì)抽樣;,依據(jù)所了解的總體特征的不同分為:,屬性抽樣和變量抽樣。,一、統(tǒng)計(jì)抽樣和非統(tǒng)計(jì)抽樣,統(tǒng)計(jì)抽樣,(Statistical Sampling),:,是審計(jì)人
4、員在計(jì)算正式抽樣結(jié)果時(shí)采,用統(tǒng)計(jì)推斷技術(shù)的一種 抽樣方法,統(tǒng)計(jì)抽樣采用客觀的方法來(lái)決,定樣本量大小及抽樣方式。,非統(tǒng)計(jì)抽樣,(Nonstatistical Sampling),:,是審計(jì)人員全憑主觀標(biāo)準(zhǔn)和個(gè),人經(jīng)驗(yàn)來(lái)評(píng)價(jià)樣本結(jié)果 并對(duì)總體做出結(jié)論。,兩者最根本的區(qū)別:,非統(tǒng)計(jì)抽樣不能量化抽樣風(fēng)險(xiǎn),而統(tǒng)計(jì)抽樣可以。,二、屬性抽樣和變量抽樣,屬性抽樣:,用來(lái)估計(jì)一個(gè)控制或一組相關(guān)控制屬性的發(fā)生概率。主要,用來(lái)測(cè)試控制的,,與符合性測(cè)試相關(guān)。,在進(jìn)行控制測(cè)試時(shí),,屬性抽樣又可分為以下三種基本方法:,1,、固定樣本量抽樣(,Fixed sample size sampling,):,常用于估計(jì)審計(jì)對(duì)象
5、總體中某種偏差的發(fā)生比例。其特點(diǎn)是預(yù),先確定樣本量,在執(zhí)行抽樣計(jì)劃的過(guò)程中不再進(jìn)行變動(dòng)。,2,、停,-,走抽樣(,stop or go sampling,):,是在固定樣本量抽樣的基礎(chǔ)上的一種改進(jìn)形式。它從預(yù)計(jì)總體,誤差為零開(kāi)始,通過(guò)邊抽樣邊審查評(píng)價(jià)來(lái)完成審計(jì)工作??梢?克服固定樣本量抽樣時(shí)要選取過(guò)多的樣本缺點(diǎn),提高審計(jì)工作,的效率。,3,、發(fā)現(xiàn)抽樣(,discovery sampling,):,是屬性抽樣的一種特殊形式,主要用于查找非法重大事件。其,理論依據(jù)是,如果總體偏差率大于或等于某一特定比率,那么,在既定的可信賴程度下,從一個(gè)足夠大的樣本中至少能查出一,個(gè)偏差。,變量抽樣:,是根據(jù)總體
6、的抽樣來(lái)估計(jì)總體的金額數(shù)或其他衡量單位。,與實(shí)質(zhì)性測(cè)試相關(guān)。其主要目的是驗(yàn)證可能存在于程序或,功能中的因控制失效導(dǎo)致重大影響的重大金額。,在選用這種方法時(shí),,必須滿足以下三個(gè)條件:,1,、設(shè)計(jì)分層樣本的能力;,2,、審計(jì)價(jià)值與賬目?jī)r(jià)值之間的差異不能太大;,3,、資料的可得性。,變量抽樣法主要,運(yùn)用在實(shí)質(zhì)性測(cè)試,中。,通常有以下幾種常用方法:,1,、分層單位平均估計(jì)抽樣,(Stratified Mean Per unit),:,先對(duì)樣本總體進(jìn)行分層,在不同分層中進(jìn)行抽樣檢查確定樣,本的平均值,根據(jù)樣本平均值推斷總體的平均值和總值。,2,、不分層單位平均估計(jì)抽樣,(Unstratified Mea
7、n Per unit),:,通過(guò)抽樣檢查確定樣本的平均值,根據(jù)樣本平均值推斷總體,的平均值和總值。,3,、差額估計(jì)抽樣(,difference estimation,):,以樣本實(shí)際價(jià)值與帳面價(jià)值的平均差額來(lái)估計(jì)總體實(shí)際價(jià)值,與帳面價(jià)值的平均差額,然后再以這個(gè)平均差額乘以總體項(xiàng),目個(gè)數(shù),從而求出總體的實(shí)際價(jià)值與帳面價(jià)值差額。,在實(shí)質(zhì)性測(cè)試中,,如果推斷的總體誤差超過(guò)了可容忍誤差,應(yīng)增加樣本,量或執(zhí)行替代審計(jì)程序。,在符合性測(cè)試中,,如果認(rèn)為抽樣結(jié)果無(wú)法達(dá)到其對(duì)所測(cè)試內(nèi)部控制的預(yù),期信賴程度,則應(yīng)考慮增加樣本量或者修改實(shí)質(zhì)性測(cè)試程序。,第三節(jié) 計(jì)算機(jī)輔助審計(jì)技術(shù)與工具,在信息系統(tǒng)審計(jì)中,為了達(dá)到
8、審計(jì)目的,必須要收集大量存儲(chǔ)于計(jì)算,機(jī)的數(shù)據(jù),并借助于計(jì)算機(jī)對(duì)這些數(shù)據(jù)進(jìn)行分析,以得出結(jié)論。因此,計(jì),算機(jī)輔助審計(jì)技術(shù)(,computer assisted audit techniques,CAATs,)越來(lái)越,成為審計(jì)師不可或缺的工具。,目前,計(jì)算機(jī)輔助審計(jì)技術(shù)與工具主要包括以下幾種:,(一)通用和專業(yè)審計(jì)軟件,是一組能夠讀取、計(jì)算、分析計(jì)算機(jī)可讀記錄的程序。,通用審計(jì)軟件:,具有較強(qiáng)的擴(kuò)充能力和較為廣泛的適用范圍和應(yīng),用前景;,專業(yè)審計(jì)軟件:,適用范圍較小,功能和專用性強(qiáng)。,主要功能:,1,、數(shù)據(jù)讀取和轉(zhuǎn)換;,2,、查詢;,3,、計(jì)算;,4,、分類;,5,、抽樣選擇;,6,、排序;,7,
9、、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并;,8,、輸出。,(二)實(shí)用工具軟件。包括:,1,、,評(píng)估安全性和完整性的工具軟件。,如:,訪問(wèn)控制分析軟件,2,、,熟悉系統(tǒng)的工具軟件。,如:,系統(tǒng)配置分析軟件、流程圖制作器,3,、,評(píng)價(jià)數(shù)據(jù)質(zhì)量的工具軟件。,如:,查詢工具、數(shù)據(jù)比較軟件,4,、,評(píng)估程序質(zhì)量的工具軟件。,如:,程序比較軟件、測(cè)試數(shù)據(jù)生成器,5,、,輔助審計(jì)程序開(kāi)發(fā)的工具軟件。,如:,程序生成器,6,、,輔助生成有關(guān)審計(jì)文檔的工具軟件。,如:,文檔生成器、辦公軟件,(三)性能度量工具,包括:,硬件監(jiān)測(cè)器、軟件監(jiān)測(cè)器、固件監(jiān)測(cè)器、混合監(jiān)測(cè)器,(四)測(cè)試數(shù)據(jù)法(平行模擬法),基本原理:,通過(guò)編制模擬程序
10、輸入測(cè)試數(shù)據(jù)與實(shí)際應(yīng)用程序結(jié)果比,較,以評(píng)價(jià)系統(tǒng)。,測(cè),試,數(shù),據(jù),法,(平行模擬技術(shù)),測(cè)試數(shù)據(jù),處理結(jié)果,1,模擬程序,結(jié)果比較,審計(jì)評(píng)價(jià),實(shí)際應(yīng)用程序,處理結(jié)果,2,(五)連續(xù)在線審計(jì),連續(xù)在線審計(jì)可以利用信息技術(shù)在不中斷被審計(jì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行的,情況下,對(duì)業(yè)務(wù)系統(tǒng)的內(nèi)部控制進(jìn)行檢查與評(píng)估,連續(xù)監(jiān)測(cè)系統(tǒng)運(yùn)作,評(píng)價(jià),系統(tǒng)安全性、有效性以及評(píng)價(jià)數(shù)據(jù)的真實(shí)性和完整性。,目前常用的連續(xù)在線審計(jì)方法有以下幾種:,1,、系統(tǒng)控制審計(jì)檢查文件,/,嵌入式審計(jì)模型(,SCARF/EAM,):,通過(guò)在應(yīng)用系統(tǒng)中嵌入特殊的審計(jì)軟件模塊,實(shí)現(xiàn)對(duì)系統(tǒng)有選擇的監(jiān),測(cè)。,IS,審計(jì)師在認(rèn)為重要的控制點(diǎn)上嵌入審計(jì)模
11、塊對(duì)系統(tǒng)中的事務(wù)進(jìn)行連,續(xù)的監(jiān)控,將收集的信息寫(xiě)入一個(gè)特殊的審計(jì)文件,SCARF,主文,件。,事務(wù)文件,輸出主文件,SCARF,輸入主文件,更新程序,(含,SCARF,嵌入,式審計(jì)模塊),更新報(bào)告,SCARF,報(bào)告系統(tǒng),審計(jì)報(bào)告,2,、整體測(cè)試法(,ITF,):,通過(guò)在系統(tǒng)中建立虛擬實(shí)體(,dummy entity,),用正常系統(tǒng)運(yùn)行,對(duì),結(jié)果進(jìn)行比較分析,判斷控制。適用于一般測(cè)試數(shù)據(jù)不能有效測(cè)試系,統(tǒng)控制的情況。在實(shí)施整體測(cè)試方法時(shí),要注意,測(cè)試數(shù)據(jù)可能會(huì)進(jìn)入,被審計(jì)系統(tǒng)的真實(shí)數(shù)據(jù)環(huán)境。,終端,終端,實(shí)際數(shù)據(jù),測(cè)試數(shù)據(jù),應(yīng)用系統(tǒng),ITF,結(jié)果分,析比較,3,、快照:,對(duì)輸入業(yè)務(wù)標(biāo)記,記錄業(yè)務(wù)
12、的處理軌跡,適用于需要記錄審計(jì)軌跡的,情況。,事務(wù),輸入有效性,確認(rèn)程序,快拍報(bào)告,出錯(cuò)報(bào)告,輸入主,文件,更新程序,更新報(bào)告,快拍報(bào)告,輸出主,文件,報(bào)告程序,快拍報(bào)告,管理報(bào)告,快拍點(diǎn),1,,,2,,,3,快拍點(diǎn),7,快拍點(diǎn),4,,,5,,,6,4,、持續(xù)性與間歇性模擬(,CIS,):,采用計(jì)算機(jī)系統(tǒng)模擬事務(wù),/,交易的執(zhí)行,當(dāng)事務(wù),/,交易滿足預(yù)定的標(biāo)準(zhǔn),,對(duì)該事務(wù),/,交易進(jìn)行檢查,否則等待下一個(gè)滿足標(biāo)準(zhǔn)事務(wù),/,交易的輸入。,適用于在已確定滿足某種條件的數(shù)據(jù)需要被檢查的情況。,應(yīng)用系統(tǒng),數(shù)據(jù)庫(kù),管理系統(tǒng),CIS,數(shù)據(jù)庫(kù),連續(xù)和間歇模擬,CIS,原理,異常日志,事務(wù),建立標(biāo)準(zhǔn),比較,5
13、,、審計(jì)鉤:,在應(yīng)用系統(tǒng)中嵌入審計(jì)鉤程序,在審計(jì)人員既定的錯(cuò)誤或不規(guī)范問(wèn)題,失控之前引導(dǎo),IS,審計(jì)師進(jìn)行檢查,并實(shí)施相應(yīng)的控制。這種方法針對(duì),特定的業(yè)務(wù)或過(guò)程進(jìn)行檢查。,目前,多數(shù),ERP,軟件包、操作系統(tǒng)和網(wǎng)絡(luò)管理軟件等都,提供了,連續(xù)監(jiān)控,與連續(xù)審計(jì)工具的采樣器,針對(duì)這些環(huán)境,如果適當(dāng)?shù)呐渲?、?yīng)用相關(guān)規(guī)則、,設(shè)置參數(shù)和公式,投入生產(chǎn)后可以獲得預(yù)期的例外交易清單,這也是實(shí)施連,續(xù)在線審計(jì)的具體事例。,(六)審計(jì)專家系統(tǒng),作為一種決策支持工具,專家系統(tǒng)可以為審計(jì)師提供指導(dǎo)及有價(jià)值的,信息。,(七)其他特殊的審計(jì)軟件。,以上工具或技術(shù)可以幫助審計(jì)師對(duì)交易與賬面數(shù)據(jù)的詳細(xì)測(cè)試、實(shí)施分,析性的檢查過(guò)程、對(duì)信息系統(tǒng)一般控制與應(yīng)用控制進(jìn)行符合性測(cè)試、對(duì)操作,系統(tǒng)脆弱性進(jìn)行評(píng)估及實(shí)施穿透性測(cè)試等。,本章習(xí)題:,1,、,簡(jiǎn)述審計(jì)抽樣方法的類型及適用情況,2,、,簡(jiǎn)述計(jì)算機(jī)輔助審計(jì)技術(shù)與工具,