计算机审计ppt课件.ppt

IT环境下审计技术和方法讲座,山东财经大学会计学院牛艳芳,IT带来的深刻变化,经济活动的管理手段发生了变化记录经济活动的载体发生了变化表现会计核算内容的形式发生了变化存储数据的空间发生了变化人与人联系的方式发生了变化,审计人员面临巨大挑战,IT环境下审计的变化,审计环境的信息化审计对象的信息化审计主体的信息化,前审计署审计长李金华，就提到： 审计人员面临的最大问题：进不了门，打不开账 “如果审计人员不掌握计算机，就会失去审计的资格”，“计算机审计是一场深刻的革命”,IT审计,目 录,IT审计发展现状,IT审计相关概念,一、IT审计相关概念,（一）IT审计相关概念,IT与审计结合后，类似的概念很多，例如：计算机审计、IT审计、数据审计、信息系统审计、计算机辅助审计，持续审计、非现场审计等等,概念1：IT审计（也称计算机审计）,无论是对计算机信息系统进行审计还是利用计算机辅助审计，都统称为计算机审计或者，计算机审计的涵义包括计算机系统作为审计的对象和作为审计的工具电子数据审计信息系统审计,审计数据过程？审计处理后的数据？,概念2：电子数据审计,对被审单位信息系统中的电子数据进行采集、预处理以及分析，从而发现审计线索，获得审计证据的过程。特点：将信息系统当成黑箱是传统财务审计的延伸，是计算机审计的重要组成部分,概念3：信息系统审计,收集并评估证据，以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源。特点：将信息系统当成白箱目标：安全性、有效性和效率性国际信息系统审计协会（ISACA）出台了全球信息系统审计指南COBIT,信息系统审计与控制协会（ISACA）,国际上引领信息系统审计的民间组织 发布信息系统审计准则体系16个标准39个指南11个程序 COBIT IT准则维 IT资源维 IT过程维,信息系统审计分类,信息系统审计包括：信息系统开发与维护审计信息系统绩效审计信息系统安全审计,11,12,我国政府信息系统审计的探索,2007年开始尝试开展信息系统审计对国家开发银行的信息系统审计中国联通总公司的信息系统审计各省市开展的信息系统审计开始征集信息系统审计案例 2010年出台审计署关于检查信息系统相关审计事项的指导意见2012年2月颁布国家信息系统审计指南,概念4：计算机辅助审计技术,Computer Assisted Audit Technologies，简称CAATs,是帮助完成审计过程中所使用的任何IT技术。基于计算机的用来对信息系统或被信息系统处理的数据进行审计的技术。面向数据的CAATS面向系统的CAATS,面向系统的计算机辅助审计技术,平行模拟测试数据集成测试程序编码审查程序代码比较跟踪,面向数据的计算机辅助审计技术,通用审计软件,审计软件是审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指用于帮助完成审计工作的各种软件工具。审计软件可分为四种类型：第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。国内常用审计软件介绍（现场审计实施系统AO、用友审易、审计之星等）国外常用审计软件：IDEA、ACL,计算机辅助审计技术分类,常见计算机辅助审计技术比较,概念5：审计信息化,审计信息化，辅助审计作业和管理在审计工作中的资料管理、过程管理、数据计算和资源管理的信息化过程。强调各种资源的信息化管理过程按应用领域：政府审计信息化、民间审计信息化、内部审计信息化,常见的认识误区,基于上述几个概念，人们经常会有以下认识误区：IT审计或审计信息化就是审计软件审计软件是开展IT审计所必备的信息系统审计与数据审计的技术完全不同，不能结合开展,结合IT技术的新概念,持续审计云审计,持续审计,根据CICA/AICPA的研究报告，持续审计是指：能使独立审计师通过使用在委托项目出现相关事件的同时或短时间内生成的一系列审计报告，来对委托项目提供书面鉴证的一种审计方法。这一定义强调了持续审计是用于独立审计的一种方法。持续审计能够提高审计质量，降低审计风险，是一种将审计投入到整个组织运行流程中的实时审计。特点：连续或实时获取数据联网审计、非现场审计,联网审计,联网审计是近年来兴起的一项现代化审计技术，它是指通过网络与被审计单位信息系统进行互联后，在系统测评和数据动态采集分析基础上，对被审计单位财政财务的真实、合法和效益进行实时、远程监督的行为最常见于政府审计，见后续“IT审计发展现状”,非现场审计,非现场审计是指审计人员通过连续地收集、整理被审计对象业务经营管理的数据和资料，运用适当的方法和流程进行分析的远程审计程序。现场审计依托高科技手段，通过远程调集所属机构的业务数据，进行持续监测，有助于全面把握各项业务的风险程度和内控状况。,云审计,云审计就是利用互联网的云计算技术，通过数据云存储，使得各种审计资源（审计人员、程序和相关设备）通过云来协同，从而为审计人员提供更富有效率，更科学的审计过程。见“IT审计未来发展”介绍,IT审计概念总结,（二）IT审计发展现状,政府审计领域社会审计领域内部审计领域,1.政府审计领域,自上世纪90年代末期以来，特别是自金审一、二期工程实施以来，初步建立了各类审计应用系统和信息化相关设施，为履行审计监督职责发挥了积极的促进作用。当前，金审工程二期基本结束，金审三期将重点放在联网审计、数字中心等方面。,政府审计信息化发展,审计资源集成管理,现场审计作业软件AO,AO提供了多套审计作业操作模式，特别适用于中国财务软件的审计AO附带计算机审计方法，来自于全国审计人员的积累。这些方法的应用为消除审计盲区、规避审计风险提供了可能；AO提供部分项目管理功能，落实了项目组的人员、任务、数据、资料、底稿、报告等一系列管理任务政府审计部门积累了大量AO审计案例,联网审计,联网审计，持续审计实现方法的一种，是审计机关与被审计单位进行网络互连后，在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上，对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为适用于关计民生的重要行业和部门,面向数据的联网审计原理,我省建立的联网审计项目,例如:青岛市社保、地税、财政联网审计平台济南市的公积金联网审计项目等等,现阶段政府审计信息化重点,建设国家审计数据中心和省级地方分中心审计数据中心：一般以省或市为依托，整合多行业审计数据，统一纳入平台管理，实现数据集中存储，同时构建跨地区、跨行业、跨部门、跨年度的审计方法体系。,基于数据中心的审计流程特征,(1) 多行业数据归集。（2）数据整合。数据标准化和数据规范化。（3）全面数据分析。构建跨年度、跨行业的数据分析方法。,审计信息化相关规范,审计署颁布了若干计算机审计实务公告，社保、地税、财政、企业等同时，陆续颁布了企业、行政事业单位、总预算会计、商业银行等会计核算软件数据接口国家标准。,政府审计人才培养,审计署计算机审计中级认证考试：数据库:SQL Server审计采集与分析会计信息系统网络知识Visal Basic等,审计信息系统建设、IT审计规范建设、IT审计人才培训，促进了政府审计信息化的全面发展,2.事务所审计领域,要推进会计师事务所审计信息化建设。逐步实现财务报告审计和内部控制审计信息化、会计师事务所内部管理信息化，全面提升会计师事务所的管理水平和执业能力。 摘自会计改革与发展“十二五”规划纲要,提高注册事务所审计质量必须借助于IT审计，原先靠翻凭证、帐簿的时代已经过时,三、内部审计领域,开展IT审计优势：数据易采集熟悉企业内部业务流程易获得各种内部资料企业领导支持可以开展个性化的审计业务,3.内部审计信息化现状,各行业内部信息化水平参层不齐银行、电信、移动等高科技型企业相对较高；例如中国工商银行出台的非现场审计多数企业内审信息化水平较低审计软件未实施，或未能充分利用业务数据审计未能得到重视跨国集团正全面推广持续审计,目 录,电子数据审计流程,审计基本流程概述,信息系统审计流程,二、IT审计基本流程,（一）审计基本流程,（二）电子审计数据基本流程,一般不会有单独的电子数据审计项目，越来越多的审计业务必须取得被审计单位的电子数据，才能开展审计工作。从审计工作流程方面，与传统审计业务相同在审计作业流程方面，侧重的是审计的采集、处理和分析。,电子审计数据基本流程,电子数据审计具体实施流程,1.调查阶段：电子数据的组织、处理和存储2.数据采集：数据库访问技术、数据采集技术3.数据验证、清理和转换4.建立审计中间表5.把握总体，选择重点6.建模分析：数据分析技术、SQL、审计软件7.延伸、落实与取证,审计署审计数据采集与分析,电子数据审计流程重点,1.审计计划重点2.审计实施重点3.审计报告重点,审计计划,审计目标审计内容与重点审计内容所涉及的信息系统与信息系统相关的电子数据,与传统审计类似,审前调查的内容和方法,对组织结构调查1.管理体制例如：管理集中度高的单位，系统相对集中；通过对管理体制的调查，可以为以后确定索取哪些技术资料、数据，以及索取的方式方法等提供依据；2.部门设置情况及具体职能3.部门内信息系统配备情况,信息系统审前调查的内容,1.对计算机信息系统概况的调查2.对数据库及数据的调查 3.对信息化的依赖程度 4.与信息系统相关的管理机构及管理方式5.开展计算机审计的条件,硬件设备 系统软件 系统技术文档资料 系统的主要功能 系统的业务处理流程用户使用手册,系统设计说明书数据库详细设计说明书总数据流图和具体业务数据流图、软件结构图设计数据库表间关系图表结构描述数据库SQL文件（含表、视图、触发器、存储过程等）,信息系统停止运行或部分停止对被审计单位的运行程度信息化处理占全部业务流程的比重员工对信息系统的满意度,IT部门地位；财务、业务人员分工；信息系统主要控制环节；,设备；网络；数据库及管理软件；被审单位对审计工作的影响程度,审计数据需求分析,1.确定所需数据内容 2.确定数据获取的具体方式 3.提出书面数据需求,编制电子数据审计方案,编制内容审计的范围和重点对被审计单位的符合性测试方案数据的获取和转换方案数据的分析方法人员及分工必需的硬件、软件和技术条件,审计计划,审计实施阶段,获取审计证据编制工作底稿电子数据仅是获取审计证据的重要途径挑战：如何审？审计的标准如何确定？如何评价审计发现的事项,数据采集,数据处理,数据分析,面向数据的CAATS：审计软件、SQL、Access、EXCEL,审计报告,整理评价审计证据复核汇总审计底稿管理层交流评价审计结果，编制审计报告,（三）信息系统审计流程,信息系统审计的流程是指信息系统审计工作从开始到结束的整个过程中， 审计人员所采取的系统性工作步骤。1.审计计划2.审计方案3.审计实施4.审计报告,1.信息系统审计-审计计划,被审计单位及信息系统基本情况明确被审系统涉及的关键业务流程调查了解被审系统的控制状况确定审计关系与责任（审计项目论证）初步评价被审计系统的风险薄弱环节明确具体审计目标与内容、分配审计资源编制审计工作方案,审计计划-审计项目可行性,信息系统审计可行性考虑两方面：一是被审信息系统情况，二是审计资源情况。评估被审系统评估被审计单位的信息系统情况：信息系统对实现审计目标的重要性被审计单位业务对信息系统的依赖度信息系统的复杂性和专业化程度信息系统电子数据对审计基础设施的要求等。评估自身审计资源人力资源技术资源信息资源,审计计划-调查了解IS系统及控制,信息系统审计可从如下方面开展调查：外部规章制度被审计单位基本情况及主营业务信息系统基本情况（投资额、功能、业务流程、网络架构、数据量）IT治理架构体系IT战略规划信息化建设投资政策运维管理安全管理人力资源政策以及内部风险控制,这些调查内容与电子数据审计基本相同，更侧重信息系统的运营、控制和安全,2.审计实施,依据审计工作方案和计划阶段已获得的信息编制审计实施方案，并按照实施方案开展审计，获取审计证据，编制审计工作底稿和作出审计评价。注意：信息系统审计离不开数据测试面向系统的CAATS技术可以配备信息系统审计的专业测试工具例如：,例：信息系统审计工作底稿,3.审计报告,审计报告阶段的主要工作包括整理归纳审计取证和资料、复核工作底稿、撰写并出具审计报告、作出审计决定等。结合式的信息系统审计，意见建议部分提出信息系统相关意见。专项信息系统审计，单独出具审计报告。,IT审计基本流程小结,IT审计与传统审计基本流程一致IT审计项目的审计计划，侧重对信息系统的审前调查IT审计项目的审计实施阶段，为获取审计证据的审计方法有较大差异围绕审计目标的审计报告,目 录,三、IT审计方法与案例,面向系统的CAATS,面向数据的CAATS,计算机辅助技术CAATS,数据采集、处理和分析审计人员应当具备知识与技能,平行模拟法、集成测试、程序代码法要求具备较高的计算机水平，难度较大,数据采集方法,审前调查方法,数据预处理方法,数据分析方法,三、IT审计方法与案例,电子数据审计方法,综合案例分析,5,（一）审前调查方法,经营业务情况信息系统情况电子数据情况审计经验情况,逐步细化，适当扩展,（1）结合业务流程（2）信息化部门为依托（3）以审计关注点为切入,数据的可信度、数据量、数据关系、采集方法等,审计相关案例、资料,数据采集方法,审前调查方法,数据预处理方法,数据分析方法,三、电子数据审计方法与案例,综合案例分析,5,（二）数据采集方法,该步骤是进行数据审计的关键。1.数据采集原理2.数据采集特点3.数据采集方法,巧妇难为无米之炊,1.电子数据采集原理,审计人员在被审计单位的技术人员的配合支持下，通过可行的技术手段，如直接拷贝、文件传输、ODBC等方式，取得被审计单位会计核算和经济业务完整数据，掌握审计对象的整体信息。,2.数据采集特点,选择性 根据审计范围、审计内容和审计重点，特别是海量数据目的性 是开展计算机审计的首步，为获取审计证据做准备可操作性 可以采用多种数据采集方案，选择最佳的；复杂性 被审计单位的信息化程度的差异性导致其复杂性。,3.数据采集方法,直接读取利用数据库导入导出实体迁移先备份后恢复通过ODBC采集利用审计软件的专用工具,A.直接读取,对于小型财务系统，数据量小用用友财务（V6.0-U8.2）,后台数据库是Access，可以直接读取复制、粘贴,B.数据库导入导出（DTS）,DTS（数据库本身的导入、导出功能）优点：速度快，可转换成多种数据格式缺点：对数据库掌握熟练使用风险：对数据库操作，有一定风险例如SQL Server的导入导出,C.实体迁移,主要针对市面上较多的SQL Server数据库，如果审计人员也安装了该数据库，就可以进行实体迁移要求：被审计单位数据处于空闲状态SQL Server源数据库文件:MDF,LDF如图：,D.先备份后恢复,如果数据库总是繁忙，应该采用数据库备份、恢复的方式采集数据财务软件系统本身的备份和恢复有的财务软件备份格式是txt、mdb数据库系统的备份操作。,E.通过ODBC采集,ODBC（Open Database Connectivity）,微软公司推出的一种基于SQL的数据库访问接口，利用它就可以访问来自多种数据库管理系统的数据。比如，如果有一个访问Access 数据库的程序，数据源 (ODBC) 会允许您用同一个程序访问SQL数据库中的数据。至于具体访问细节不用关心，由ODBC来完成。,设置数据源,依次选择【开始】、【设置】、【控制面板】、【管理工具】、【数据源（ODBC）】选项。,F 、利用审计软件的专业工具,我国多数审计软件是面向财务数据的取数政府审计AO：可采取财务、业务数据、国标数据、财务备份数据国际主流软件不分财务、业务,政府审计AO的采集界面,IDEA的采集界面,例1：数据采集技巧,用友软件备份数据采集用友份数据UFDATA.BA_和UfErpYer.Lst，财务软件版本是用友8.X，后台数据库是SQL 2000。用友.LST是个简单的索引文件，用记事本可以打开用友财务软件的UFDATA.BA_备份文件实际上就是一个经过了压缩的SQL备份文件。在用备份模板采集失败时，可以通过恢复SQL数据库的方法，完成数据的采集。实际工作中我们发现，在财务备份数据预处理阶段，后台SQL2000的企业管理器中也自动加载了用友的一个帐套数据库，我们也可通过这一帐套数据，完成数据的采集。,例2：鉴别真假账套,某公司为自收自支事业单位，独立核算，预算外资金“收支两条线”管理。审计人员根据经验怀疑账套有假。思路：如果被审计单位有账外账，其财务核算系统的后台数据库中应有相应的数据表，系统日志中有可能有操作记录，另外，可能有账套备份文件，因此从系统日志、后台数据库以及备份文件三个方面入手检查是否存在账外账疑似账套,例2：鉴别真假账套（续）,采集转换-业务数据-采集数据，业务-日志表；检测日志文件流水号是否存在断号，比较流水数和最大流水号，如果一致，则表明没有断号检测日志文件是否存在非正常时间操作记录检查后台数据库是否存在可疑数据库检查备份文件，搜索硬盘上后缀名为.BA的备份文件,例2：鉴别真假账套（续）,有5个账套，后缀后为.BA，导入AO，有4个为临时账套，其中一个为完整的账套备份，对疑似账套的数据完整性、正确性与采集账套进行对比发现两个表中存在月份和凭证号相同，但金额不同的记录，存为审计疑点最终发现，该单位将代扣代繳手续费形成账外资金，用到发放奖金。,数据采集注意问题,采集数据要考虑多因素采集难点在于特殊财务数据海量业务数据采集是难点,审计目标业务流程特点数据关联关系审计经验审计手段审计资源限制,熟悉财务数据存储结构将财务与业务数据相同对待基于XML国标数据,数据采集后的转移,将被审计单位数据转移到审计人员自己电脑的过程常用方式：刻录光盘通过直线传输接入局域网移动存储,数据采集方法,审前调查方法,数据预处理方法,数据分析方法,三、IT审计方法与案例,综合案例分析,5,1.数据质量概念及分类2.数据预处理的意义3.数据预处理的内容4.审计中间表的建立,（三）数据预处理,数据质量问题并不仅仅是指数据错误。有的文献把数据质量定义为数据的一致性（consistency）、正确性（correctness）、完整性（completeness）和最小性（minimality）这4个指标在信息系统中得到满足的程度，有的文献则把“适合使用”作为衡量数据质量的初步标准。,1.数据质量概念及分类,数据质量分类,单数据源数据质量问题,数据质量问题更加突出、严重每个数据源都可能含有脏数据，多数据源中的数据可能会出现不同表示、重复、冲突等现象在数据库设计时，主要问题命名冲突和结构冲突实例级上，即数据冲突 不仅单数据源中的所有问题都可能会出现，数据冲突问题严重,多数据源集成时数据质量问题,例如，对性别的描述，一个数据源中可能用“0/1”来描述，另一个数据源中可能会用“F/M”来描述例如，不同数据源中的信息可能表示在不同的聚集级别上，如一个数据源中信息可能指的是每种产品的销售量，而另一个数据源中信息可能指的是每组产品的销售量。,多数据源数据质量问题,为下一步的审计数据分析提供准备帮助发现隐含的审计线索降低审计风险,2.数据预处理的意义,A.数据转换B.数据清理C.数据验证,3.数据预处理的内容,A.数据转换,将采集到的不同类型的数据转换成为审计人员熟悉、常用的数据格式明确标识出每张表、每个字段的含义,数据转换格式间的转换,Access、EXCEL、TXT互换补充：XML格式SQL Server与Access之间的互换方式：直接转换，如Access、EXCEL、TXT之间的转换）；DTS；ODBC大型数据库之间的转换，DB2，Oracle,数据类型及其转换策略对照表,数据转换-数值类型的转换,日期/时间格式的转换，统一时间格式代码转换 信息系统中存在大量代码，便于分类、检索，但审计人员对此并不太了解，需要进行一定的转换金额的转换 金额表示的三种方法：借方金额+贷方金额；借贷方向+金额；带正负号的金额值,经过处理后的凭证表,B.数据清理,清理原因：值缺失限制了审计人员的数据分析工作数据表中的空值直接影响了数据分析结果的准确性；大量的冗余数据降低了数据分析的效率数据值域定义的不完整性给数据审计工作带来障碍。,数据清理的主要工作,修改错误值替换空值（NULL）保证数据值落入定义域消除冗余数据解决数据中的冲突（不一致）等等,C.数据验证,数据验证的原因数据验证的方法不同阶段的数据验证,数据验证的原因,避免假账真审，降低审计风险避免数据在采集过程中发生遗漏避免清理转换过程对数据的破坏,验证方法,分析数据与业务的吻合程度业务大致规模、整体变化趋势分析数据自身应该具有的勾稽关系例如财务数据勾稽关系分析数据之间的关系例如：内部与外部、不同信息系统数据、业务明细与汇总数据,例：某航空公司的数据验证通过数据自身特点和规律来验证数据的准确性,审计人员采集生产管理系统的飞行任务数据，发现：同一天内航班号不唯一；航班起飞时间晚于降落时间；航班夜航时间大于空中时间；,原因：存在延误航班未做标记、北京时与国际时混用、飞行时间录入错误等等；按照原有任务书一一改正，保证数据准确性。,数据验证贯穿于审计的各个阶段，应该将不同阶段的具体情况，确定适当的数据验证方法，对采集、转换、清理后的数据以及创建的审计中间表数据进行真实性、完整性和准确性的验证。,4.审计中间表的创建,备份源数据设计中间表生成中间表中间表的构建查询，也就是审计分析的过程审计署对各行业提供了中间表模版,审计数据预处理小结,数据采集方法,审前调查方法,数据预处理方法,数据分析方法,三、电子数据审计方法与案例,综合案例分析,5,（四）审计数据分析方法,审计数据分析思路财务数据分析方法业务数据分析方法,、审计数据分析的流程,（1）把握电子数据的特点和规律 以业务为导向，把握电子数据自身的钩稽关系明确需要分析什么明确中间表的数据可以分析什么明确利用哪些数据进行分析明确利用什么方法分析明确利用什么评价分析结果（2）确定数据分析的内容和方法，构建审计分析模型,系统分析模型把握总体类别分析模型锁定重点个体分析模型筛选线索,结构分析、趋势分析、比率分析,对业务类别层次的深入分析，锁住重点,利用法律法规构建模型数据勾稽关系构建模型业务处理关系构建模型内部和外部数据构建模型利用审计经验构建模型,审计分析模型构建,采购业务审计思路,类别分析：物资数量结构分析采购量趋势分析供应商结构分析 供应商价格对比分析,个体分析：行业差异较大审计真实性：申请单、订单、验收单、入库单、合同等明细资料的对比分析，验证真实性。审计价格公允性：主营业务成本明细表、库存明细表、采购订单分析表、产品成本明细账分析；取得该物资同时期的市场价格，查询异常供应商、订货日期,采购业务审计思路（续）,（3）诠释和说明各类分析模型的运行结果选择标准和方法主要：与被审单位同行业、行业主管部门以及其他行业权威部门提供的标准值（趋势）的对比；被审单位自身各指标（趋势）之间的关联分析；被审单位重要事件、所处发展环境等因素对各指标的影响；审计专家经验的判断。,（4）审核数据分析过程分析逻辑的科学性；分析数据选择的正确性；查询条件设置、查询语句编写的正确性；诠释标准和方法选择的科学性；分析结论的科学性,2、财务数据分析思路,从财务基础数据中发现审计线索从会计报表中发现审计线索从各类查询中发现审计线索业务循环中的审计分的思路充分应用审计软件的分析方法,（1）从财务基础数据中发现审计线索,从科目设置中发现审计线索从年初数或年末数中发现审计线索从银行对账单中发现审计线索从内控调查表中发现审计线索,（2）从会计报表中发现审计线索,从对比分析中发现审计线索从结构分析中发现审计线索从趋势分析中发现审计线索从因素分析中发现审计线索,（3）从各类查询中发现审计线索,从敏感时间中发现审计线索从敏感科目中发现审计线索从敏感数字中发现审计线索从敏感事项中发现审计线索从敏感单位中发现审计线索例如：,凭借审计经验，关注审计中的敏感内容，包括：敏感时间：年初、年末结转调整账务集中；新企业注册时间；干部离任交接时间；会计制度及其他规定变动时间。敏感科目：往来科目、成本费用类科目、预提待摊类科目、估计类科目。,敏感数字：红字,负数,整数,大数（红字冲账的数额若又大又整，一般不要轻易放过）。敏感事项：社会和舆论关注的焦点、热点内容，如购房、建房、与银行或其他金融机构往来业务等,（四）业务循环中审计分析思路,货币资金审计 现金-余额表明细账、对方科目分析、科目发生额趋势分析、大金额预警 银行存款明细账、对账单、对方科目分析、抽样分析销售与收款循环审计 主营业务收入往来实际收支分析、科目配比分析、明细账 应收账款和坏帐准备明细账、账龄分析、货币资金往来科目生产与费用循环审计 存货对方科目分析、存货盘点表、往来单位、供应商、 在建工程明细表、与资金的对方科目分析 三项费用，待摊、预提、管理费用三项费用检查，单科目分析，报表,购货与付款循环审计 原材料、固定资产、应付账款等常见会计科目投资与投资循环审计 长期股权投资、长期债权投资、投资性房地产等筹资循环审计 短期借款，长期借款-余额查询、趋势图、指标、杜邦分析固定资产业务审计特殊项目审计 关联方交易、八大减值准备单科目分析，季度分析、账簿查询,（）应用审计软件分析功能,单科目分析对方科目分析摘要汇总分析多科目图形对比分析会计平衡分析负值分析坏账准备分析银行贷款计算固定资产折旧计算个人所得税计算营业税计算,各审计软件功能名称存在差异,例：电信企业月租费审计思路,电信运营商有成千上万的套餐，如一年月租费、预存话费送手机等等；形成月租费收取和月租费确认不同步的情况，月租费审计是其收入审计重点思路：来电显示收费、彩玲、其他固定数据作为审计重点；按地区、按月份分类汇总，对月租费进行分析性复核，查找有疑点的地市、月份。按执行运营标准，再查找不合理数据，发现部分数据过大，经分析发现实施一次性缴纳的月租并全部计入当月收入所致，导致虚计收入。,例： 销售收入审计分析思路某烟草集团的销售收入真实性审计在销售库中查询商品进销存结转表”，字段有：“入帐日期，单位代码，商品代码，数量”和新生成的字段经过对入账日期处理，生成“月份”字段以“月份”为分组字段，对“数量”进行分组统计，并汇总数量的“降序”排列。 发现企业110月份销售数量都保持在3至4万箱左右，11月份达6万箱，而到了12月份销售数量异常增长为7万多箱，引起审计人员注意，决定将12月份的销售作为审计的重点内容。,进一步对 “商品进销存结转表”分类汇总，以“月份”、“商品代码”和“单位代码”为分组条件对“数量”进行汇总，并对汇总的数量进行“降序”排列。 审计人员发现数量最大的是6600箱，单位代码为“011220”，商品代码为“03”。因此审计人员决定将此作为分析对象。再对表“商品进销存结转表”以“入帐日期”、“商品代码”和“单位代码”为分组条件对“数量”进行汇总。对汇总数量进行“降序”排列。发现仅12月29日一天被审计单位就对代码为“011220”的购货单位销售了数量为4700箱的产品,后续通过检查该笔业务的原始附件，发现一是该笔业务没有相应的购货合同，二是提货单显示该笔销售的4700箱产品竟在一天内全部由购货方用卡车提货运走审计人员认为这不符合常规，因为按照该产品的体积和重量，一辆卡车一次才能装几十箱产品，也就是这4700箱产品要一天提完货的话需要几百辆卡车，显然是不太可能的。被审计单位不得不承认，为了完成利税指标，制造已经销售的假象，而将该批4700箱产品在企业外另租仓库保管，形成账外资产。,举例：烟草 生产成本审计 对生产成本的审计是企业审计的难点之一，但是根据卷烟企业的生产特点，选择具有固定单耗定额，并且与企业生产流程相关性不强的辅料如烟箱、条盒、烟盒等作为分析的对象往往可以发现一些线索。已知产成品和各种辅料耗用在数量上有以下关系： 标准：生产1大箱香烟所需包装物：烟箱（5个）；条盒（250个）；烟盒（2500个） 关系：辅料耗用数量、产量和产品单耗的关系式为产品单耗辅料耗用数量 / 产量 ,全部以凭证数据为对象的审计分析：（1）建立辅料耗用统计表。科目编号 123011（条盒的科目编号）、 借贷方=1（表示贷） 对方科目编号 like 401%（生产成本的科目编号） 生成“辅料耗用统计表”（第一张审计中间表）（2）建立产量统计表。科目编号 like 137%（产成品的科目编号）借贷方=1（表示借） 对方科目编号 like 401%（生产成本的科目编号） 生成“产量统计表”（第二张审计中间表）,（3）建立和分析产品单耗 利用这两张统计表和产品单耗的计算公式（关系式），计算出每个月的产品单耗（4）与产品单耗标准比较 生产1大箱香烟所需包装物：烟箱（5个）；条盒（250个）；烟盒（2500个） 如果比较接近，说明生产成本计算基本正确， 如果相关较远，继续找证据,财务数据分析小结,结合传统审计方法财务与业务数据必须结合重要会计准则的熟悉和运用,3.业务数据分析方法,A.统计分析B.数值分析C.基于业务规则的数据查询D.重视信息系统内部控制E.数据分析新方法,A.统计分析,统计分析目的是探索被审计数据内在的数量规律性，以发现异常现象，快速寻找审计突破口。一般来说，常用的统计分析方法包括一般统计、分层分析和分类分析等。（）一般统计. 一般统计对数值字段提供下列统计信息：全部字段以及正值字段、负值字段和零值字段的个数，某类数据的平均值，绝对值以及最大或最小的若干个值等。,审计软件统计分析功能,（）分层分析的做法是：首先选取一个数值类型的字段作为分层字段，根据其值域将这一字段划分为若干个相等或不等的区间，通过观察对应的其它字段在分层字段的各个区间上的分布情况来确定需要重点考察的范围。它是通过数据分布来发现异常的一种常用方法。,（）分类分析的做法是：首先选择某一字段作为分类字段，然后，通过观察其它对应字段在分类字段各个取值点上的分布情况来确定需要重点考察的对象。它是通过数据分布来发现异常的另一种常用方法。分类分析的思路类似于“分类汇总”，它是一种简单而非常有用的数据分析手段。,与分层分析不同的是，分类分析中用作分类的某一字段不一定是数值型，可以是其他类型的数据，而分层分析中用作分层的某一字段则一定是数值型数据。,B.数值分析,重号分析：重号分析用来查找被审计数据某个字段（或某些字段）中重复的数据。例如，检查一个数据表中是否存在相同的发票被重复多次记账断号分析：断号分析主要是对某字段在数据记录中是否连续进行分析。负值分析Benford定律在审计中的应用,数值分析重号分析,重号分析用来查找被审计数据某个字段（或某些字段）中同值的数据，主要实现查找每月均衡的发生额。例：未发生新购置情况下的计提折旧、企业所得税的按月缴纳、稳定来源的收入或补贴等；相同编号的发票重复记账，以判断是否有利用发票重复报销或重复使用发票、使用虚假发票的情况。,，A企业为国有大型锅炉设备生产企业，为关注与锅炉制造企业签订合同较多即购买锅炉较多的大客户，笔者在AO中导入A企业的锅炉销售合同台账，针对购买锅炉的电力公司名称字段利用重号分析工具进行统计分析。分析结果如下：,A企业为国有大型锅炉设备生产企业，为关注与锅炉制造企业签订合同较多即购买锅炉较多的大客户，针对购买锅炉的电力公司名称字段利用重号分析工具进行统计分析。分析结果如下：,主要是对某字段值在数据记录中是否连续进行分析。通过断号分析可以实现对一些有特定要求的经济业务事项进行分析，以发现不规范的业务处理事项。发票号不连续,数值分析断号分析,数值分析Benford定律,Benford定律含义Benford定律适用条件Benford定律应用举例Benford定律优缺点,负值分析是通过检查与分析所有科目（或某个科目）在选定的时间段出现负值的情况，对被审计单位所有冲账或调账等情况进行统计分析，以发现异常情况或审计线索。例如，通过对凭证金额负值记录数量的分析，判断企业业务处理的规范性和内部控制的有效性以及是否存在调节收益的现象。,数值分析负值分析,Benford定律的审计应用,Benford定律:在不同种类的统计数据中，首位数字是d的概率为Log10(1+1/d).其中，数据的首位数字是指左边的第一位非零 数字。,Benford法则是数据式审计模式下，基于详细交易数据的分析性复核方法，这种方法通过分析数据的统计规律发现异常，从而定位异常，以便后续审计查证工作。Benford法则对审计人员的审计专业经验和专业判断依赖程度不高，非常适合普通审计人员使用。运用Benford法则进行分析和检测，可以提高审计数据的质量，使有效审查数据量大大缩小，提高审计工作效率，在一定程度上降低审计风险,Benford定律的适用条件,（1）被分析数据量具备一定的规模，能够代表所有样本。一般而言，应用Benford法则进行分析的数据集规模越大，分析结果越精确。（2）没有人工设定的最大值和最小值范围。如：一般单位的固定资产台账数据就可能不适合Benford分布规律，因为按照财务制度，在一定金额上的固定资产才能登录台账。（3）目标数据受人为影响较小。 例如：价格、身份证、发票号都不可以。,例：选择了截至2003年4月15日我国1394家上市公司公布的主要财务数据作为样本。为了进行对比测试，笔者还请参与测试的学生采用“模拟造假”的方式形成了1394个“虚假的”对比数据,Benford定律的审计应用举例,例：审计师就对某x公司近5年收到的8206引张购货发票以及公司的4家主要供应商出具的发票金额首位数字出现的概率做了统计,在EXCEL中实现Benford定律,首位数字处理举例：对数字进行处理，提取首位数字（也可是头两位数字）利用COUNTIF函数统计利用图表与Benford定律首位数字分例比例进行对比从而发现异常,优点：成本比较低简单易行保密性好缺点：只能确定存在欺诈的可能性，并不能确定地说明一定存在欺诈。如果数据检测的结果符合奔福德定律的概率分布，也并不一定说明就没有欺诈的发生。,Benford定律的优缺点,C.基于业务规则的数据查询,数据查询是目前面向数据的计算机辅助审计中最常用的数据分析方法。数据查询是指审计人员根据自己的经验，按照一定的审计分析模型，在通用软件（如MS Access）中采用SQL语句来分析采集来的电子数据。或采用一些审计软件通过运行各种各样的查询命令以某些预定义的格式来检测被审计单位的电子数据。运用SQL语句的强大查询功能，通过构建一些复杂的SQL语句，来构造被审计单位的业务规则，可以完成模糊查询以及多表之间的交叉查询等功能，从而可以完成复杂的数据分析功能。,业务查询举例烟草审计案例,select 入帐日期,商品代码,单位代码, SUM(数量) from 生成表 group by 入帐日期,商品代码,单位代码order by SUM(数量) desc,信息系统环境下的内部控制审计作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行审计的范围、重点及方法，有效提高审计工作效率和质量。 针对性地开展对信息系统审计及内部控制测评，发现控制弱点，发现审计线索。常用方法：内控流程图穿行测试法,D.信息系统内部控制审计,内部控制审计-内控流程图,内控流程图法就是审查系统内部控制，通过与被审计单位各个部门的沟通与交流，汇制被审单位采购、供应、生产、销售、成本核算等各业务流程图、数据流程图，摸清被审计单位的各业务流程的控制环节，从而验证被审计单位内控制度是否有效存在的一种方法。,信息系统内控审计穿行测试,在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。是了解被审计单位业务流程及其相关控制时经常使用的审计方法。,E.数据分析的新方法,多维分析模型统计分析方法关键指标评价数据挖掘方法等等,数据采集方法,审前调查方法,数据预处理方法,数据分析方法,三、IT审计方法与案例,综合案例分析,5,综合实例分析,某钢铁集团的经济