《信息系統(tǒng)審計(南京審計學(xué)院)chap7》由會員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)審計(南京審計學(xué)院)chap7(18頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,NANJING,AUDIT,UNIVERSITY,第七章 信息系統(tǒng)審計技術(shù)方法,在信息系統(tǒng)審計過程中,需要運用各種審計技術(shù)方法以獲取審計證據(jù)、,完成審計任務(wù)。,隨著計算機信息技術(shù)的發(fā)展與應(yīng)用,在信息系統(tǒng)審計中除了采取傳統(tǒng)的審計方法以外,計算機輔助審計技術(shù)得到了廣泛的應(yīng)用。,第一節(jié) 風(fēng)險評估技術(shù),IS,審計師在實施信息系統(tǒng)審計時,必須評估存在的不同的審計風(fēng)險,并,且選擇高風(fēng)險的區(qū)域進行審計。,如何評估存在的審計風(fēng)險?,涉及:,風(fēng)險分析技術(shù),IS,審計師可以選擇多種風(fēng)險分析技術(shù),可采用計算機輔助分析,也可以,
2、采用人工分析,風(fēng)險分析的標(biāo)準(zhǔn)可以是簡單的定性分類,也可以通過復(fù)雜的科學(xué)計算進,行定量計算。,(一)風(fēng)險評估常用定性評估技術(shù):,1,、定性分級技術(shù):,根據(jù)風(fēng)險從低到高分級,如:,用,1-5,分進行定性分級;用高、中、低分級,考慮因素:,審計對象的技術(shù)復(fù)雜性、現(xiàn)有控制程序的水平、,可能造成的財務(wù)損失,等因素,方法:,根據(jù)每一個因素給出一個分值(如,5,分制、,10,分制),,然后把各種因素的風(fēng)險值累計即為的風(fēng)險值,然后對,根據(jù)分值大小進行排列。,2,、經(jīng)驗判斷法:,原理:,審計師根據(jù)專業(yè)經(jīng)驗、業(yè)務(wù)知識、管理層的指導(dǎo)、業(yè),務(wù)目標(biāo)、環(huán)境因素等進行判斷,以決定風(fēng)險大小。,(二)風(fēng)險評估常用定量評估技術(shù):
3、,基于一個數(shù)學(xué)模型的定量分析技術(shù):,數(shù)學(xué)模型公式:,風(fēng)險,=,威脅,弱點,影響,威脅表示:,3,(高風(fēng)險)、,2,(中風(fēng)險)、,1,(低風(fēng)險)、,0,(無),弱點表示:,事件發(fā)生的概率在,01,之間,影響表示:,07,之間,第二節(jié) 審計抽樣技術(shù),審計抽樣是從審計總體中選取一定數(shù)量的樣本進行測試,并根據(jù)測試,結(jié)果,推斷審計對象總體特征的一種方法。,審計抽樣分類的方法有很多種,,常用的分類方法是:,按抽樣決策的依據(jù)不同分為:,統(tǒng)計抽樣和非統(tǒng)計抽樣;,依據(jù)所了解的總體特征的不同分為:,屬性抽樣和變量抽樣。,一、統(tǒng)計抽樣和非統(tǒng)計抽樣,統(tǒng)計抽樣,(Statistical Sampling),:,是審計人
4、員在計算正式抽樣結(jié)果時采,用統(tǒng)計推斷技術(shù)的一種 抽樣方法,統(tǒng)計抽樣采用客觀的方法來決,定樣本量大小及抽樣方式。,非統(tǒng)計抽樣,(Nonstatistical Sampling),:,是審計人員全憑主觀標(biāo)準(zhǔn)和個,人經(jīng)驗來評價樣本結(jié)果 并對總體做出結(jié)論。,兩者最根本的區(qū)別:,非統(tǒng)計抽樣不能量化抽樣風(fēng)險,而統(tǒng)計抽樣可以。,二、屬性抽樣和變量抽樣,屬性抽樣:,用來估計一個控制或一組相關(guān)控制屬性的發(fā)生概率。主要,用來測試控制的,,與符合性測試相關(guān)。,在進行控制測試時,,屬性抽樣又可分為以下三種基本方法:,1,、固定樣本量抽樣(,Fixed sample size sampling,):,常用于估計審計對象
5、總體中某種偏差的發(fā)生比例。其特點是預(yù),先確定樣本量,在執(zhí)行抽樣計劃的過程中不再進行變動。,2,、停,-,走抽樣(,stop or go sampling,):,是在固定樣本量抽樣的基礎(chǔ)上的一種改進形式。它從預(yù)計總體,誤差為零開始,通過邊抽樣邊審查評價來完成審計工作??梢?克服固定樣本量抽樣時要選取過多的樣本缺點,提高審計工作,的效率。,3,、發(fā)現(xiàn)抽樣(,discovery sampling,):,是屬性抽樣的一種特殊形式,主要用于查找非法重大事件。其,理論依據(jù)是,如果總體偏差率大于或等于某一特定比率,那么,在既定的可信賴程度下,從一個足夠大的樣本中至少能查出一,個偏差。,變量抽樣:,是根據(jù)總體
6、的抽樣來估計總體的金額數(shù)或其他衡量單位。,與實質(zhì)性測試相關(guān)。其主要目的是驗證可能存在于程序或,功能中的因控制失效導(dǎo)致重大影響的重大金額。,在選用這種方法時,,必須滿足以下三個條件:,1,、設(shè)計分層樣本的能力;,2,、審計價值與賬目價值之間的差異不能太大;,3,、資料的可得性。,變量抽樣法主要,運用在實質(zhì)性測試,中。,通常有以下幾種常用方法:,1,、分層單位平均估計抽樣,(Stratified Mean Per unit),:,先對樣本總體進行分層,在不同分層中進行抽樣檢查確定樣,本的平均值,根據(jù)樣本平均值推斷總體的平均值和總值。,2,、不分層單位平均估計抽樣,(Unstratified Mea
7、n Per unit),:,通過抽樣檢查確定樣本的平均值,根據(jù)樣本平均值推斷總體,的平均值和總值。,3,、差額估計抽樣(,difference estimation,):,以樣本實際價值與帳面價值的平均差額來估計總體實際價值,與帳面價值的平均差額,然后再以這個平均差額乘以總體項,目個數(shù),從而求出總體的實際價值與帳面價值差額。,在實質(zhì)性測試中,,如果推斷的總體誤差超過了可容忍誤差,應(yīng)增加樣本,量或執(zhí)行替代審計程序。,在符合性測試中,,如果認為抽樣結(jié)果無法達到其對所測試內(nèi)部控制的預(yù),期信賴程度,則應(yīng)考慮增加樣本量或者修改實質(zhì)性測試程序。,第三節(jié) 計算機輔助審計技術(shù)與工具,在信息系統(tǒng)審計中,為了達到
8、審計目的,必須要收集大量存儲于計算,機的數(shù)據(jù),并借助于計算機對這些數(shù)據(jù)進行分析,以得出結(jié)論。因此,計,算機輔助審計技術(shù)(,computer assisted audit techniques,CAATs,)越來越,成為審計師不可或缺的工具。,目前,計算機輔助審計技術(shù)與工具主要包括以下幾種:,(一)通用和專業(yè)審計軟件,是一組能夠讀取、計算、分析計算機可讀記錄的程序。,通用審計軟件:,具有較強的擴充能力和較為廣泛的適用范圍和應(yīng),用前景;,專業(yè)審計軟件:,適用范圍較小,功能和專用性強。,主要功能:,1,、數(shù)據(jù)讀取和轉(zhuǎn)換;,2,、查詢;,3,、計算;,4,、分類;,5,、抽樣選擇;,6,、排序;,7,
9、、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并;,8,、輸出。,(二)實用工具軟件。包括:,1,、,評估安全性和完整性的工具軟件。,如:,訪問控制分析軟件,2,、,熟悉系統(tǒng)的工具軟件。,如:,系統(tǒng)配置分析軟件、流程圖制作器,3,、,評價數(shù)據(jù)質(zhì)量的工具軟件。,如:,查詢工具、數(shù)據(jù)比較軟件,4,、,評估程序質(zhì)量的工具軟件。,如:,程序比較軟件、測試數(shù)據(jù)生成器,5,、,輔助審計程序開發(fā)的工具軟件。,如:,程序生成器,6,、,輔助生成有關(guān)審計文檔的工具軟件。,如:,文檔生成器、辦公軟件,(三)性能度量工具,包括:,硬件監(jiān)測器、軟件監(jiān)測器、固件監(jiān)測器、混合監(jiān)測器,(四)測試數(shù)據(jù)法(平行模擬法),基本原理:,通過編制模擬程序
10、輸入測試數(shù)據(jù)與實際應(yīng)用程序結(jié)果比,較,以評價系統(tǒng)。,測,試,數(shù),據(jù),法,(平行模擬技術(shù)),測試數(shù)據(jù),處理結(jié)果,1,模擬程序,結(jié)果比較,審計評價,實際應(yīng)用程序,處理結(jié)果,2,(五)連續(xù)在線審計,連續(xù)在線審計可以利用信息技術(shù)在不中斷被審計業(yè)務(wù)系統(tǒng)的正常運行的,情況下,對業(yè)務(wù)系統(tǒng)的內(nèi)部控制進行檢查與評估,連續(xù)監(jiān)測系統(tǒng)運作,評價,系統(tǒng)安全性、有效性以及評價數(shù)據(jù)的真實性和完整性。,目前常用的連續(xù)在線審計方法有以下幾種:,1,、系統(tǒng)控制審計檢查文件,/,嵌入式審計模型(,SCARF/EAM,):,通過在應(yīng)用系統(tǒng)中嵌入特殊的審計軟件模塊,實現(xiàn)對系統(tǒng)有選擇的監(jiān),測。,IS,審計師在認為重要的控制點上嵌入審計模
11、塊對系統(tǒng)中的事務(wù)進行連,續(xù)的監(jiān)控,將收集的信息寫入一個特殊的審計文件,SCARF,主文,件。,事務(wù)文件,輸出主文件,SCARF,輸入主文件,更新程序,(含,SCARF,嵌入,式審計模塊),更新報告,SCARF,報告系統(tǒng),審計報告,2,、整體測試法(,ITF,):,通過在系統(tǒng)中建立虛擬實體(,dummy entity,),用正常系統(tǒng)運行,對,結(jié)果進行比較分析,判斷控制。適用于一般測試數(shù)據(jù)不能有效測試系,統(tǒng)控制的情況。在實施整體測試方法時,要注意,測試數(shù)據(jù)可能會進入,被審計系統(tǒng)的真實數(shù)據(jù)環(huán)境。,終端,終端,實際數(shù)據(jù),測試數(shù)據(jù),應(yīng)用系統(tǒng),ITF,結(jié)果分,析比較,3,、快照:,對輸入業(yè)務(wù)標(biāo)記,記錄業(yè)務(wù)
12、的處理軌跡,適用于需要記錄審計軌跡的,情況。,事務(wù),輸入有效性,確認程序,快拍報告,出錯報告,輸入主,文件,更新程序,更新報告,快拍報告,輸出主,文件,報告程序,快拍報告,管理報告,快拍點,1,,,2,,,3,快拍點,7,快拍點,4,,,5,,,6,4,、持續(xù)性與間歇性模擬(,CIS,):,采用計算機系統(tǒng)模擬事務(wù),/,交易的執(zhí)行,當(dāng)事務(wù),/,交易滿足預(yù)定的標(biāo)準(zhǔn),,對該事務(wù),/,交易進行檢查,否則等待下一個滿足標(biāo)準(zhǔn)事務(wù),/,交易的輸入。,適用于在已確定滿足某種條件的數(shù)據(jù)需要被檢查的情況。,應(yīng)用系統(tǒng),數(shù)據(jù)庫,管理系統(tǒng),CIS,數(shù)據(jù)庫,連續(xù)和間歇模擬,CIS,原理,異常日志,事務(wù),建立標(biāo)準(zhǔn),比較,5
13、,、審計鉤:,在應(yīng)用系統(tǒng)中嵌入審計鉤程序,在審計人員既定的錯誤或不規(guī)范問題,失控之前引導(dǎo),IS,審計師進行檢查,并實施相應(yīng)的控制。這種方法針對,特定的業(yè)務(wù)或過程進行檢查。,目前,多數(shù),ERP,軟件包、操作系統(tǒng)和網(wǎng)絡(luò)管理軟件等都,提供了,連續(xù)監(jiān)控,與連續(xù)審計工具的采樣器,針對這些環(huán)境,如果適當(dāng)?shù)呐渲?、?yīng)用相關(guān)規(guī)則、,設(shè)置參數(shù)和公式,投入生產(chǎn)后可以獲得預(yù)期的例外交易清單,這也是實施連,續(xù)在線審計的具體事例。,(六)審計專家系統(tǒng),作為一種決策支持工具,專家系統(tǒng)可以為審計師提供指導(dǎo)及有價值的,信息。,(七)其他特殊的審計軟件。,以上工具或技術(shù)可以幫助審計師對交易與賬面數(shù)據(jù)的詳細測試、實施分,析性的檢查過程、對信息系統(tǒng)一般控制與應(yīng)用控制進行符合性測試、對操作,系統(tǒng)脆弱性進行評估及實施穿透性測試等。,本章習(xí)題:,1,、,簡述審計抽樣方法的類型及適用情況,2,、,簡述計算機輔助審計技術(shù)與工具,