审计培训-9-信息系统审计技术方法.ppt

1、第七章第七章 信息系统审计技术方法信息系统审计技术方法 在信息系统审计过程中，需要运用各种审计技术方法以获取审计证据、在信息系统审计过程中，需要运用各种审计技术方法以获取审计证据、完成审计任务。完成审计任务。随着计算机信息技术的发展与应用，在信息系统审计中除了采取传统的随着计算机信息技术的发展与应用，在信息系统审计中除了采取传统的审计方法以外，计算机辅助审计技术得到了广泛的应用。审计方法以外，计算机辅助审计技术得到了广泛的应用。第一节第一节 风险评估技术风险评估技术 IS审计师在实施信息系统审计时，必须评估存在的不同的审计风险，并审计师在实施信息系统审计时，必须评估存在的不同的审计风险，并 且

2、选择高风险的区域进行审计。且选择高风险的区域进行审计。如何评估存在的审计风险？如何评估存在的审计风险？涉及：涉及：风险分析技术风险分析技术 IS审计师可以选择多种风险分析技术，可采用计算机辅助分析，也可以审计师可以选择多种风险分析技术，可采用计算机辅助分析，也可以 采用人工分析采用人工分析 风险分析的标准可以是简单的定性分类，也可以通过复杂的科学计算进风险分析的标准可以是简单的定性分类，也可以通过复杂的科学计算进 行定量计算。行定量计算。（一）风险评估常用定性评估技术：（一）风险评估常用定性评估技术：1、定性分级技术：、定性分级技术：根据风险从低到高分级根据风险从低到高分级 如：如：用用1-5

3、分进行定性分级；用高、中、低分级分进行定性分级；用高、中、低分级 考虑因素：考虑因素：审计对象的技术复杂性、现有控制程序的水平、审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失，等因素可能造成的财务损失，等因素 方法：方法：根据每一个因素给出一个分值（如根据每一个因素给出一个分值（如5分制、分制、10分制），分制），然后把各种因素的风险值累计即为的风险值，然后对然后把各种因素的风险值累计即为的风险值，然后对 根据分值大小进行排列。根据分值大小进行排列。2、经验判断法：、经验判断法：原理：原理：审计师根据专业经验、业务知识、管理层的指导、业审计师根据专业经验、业务知识、管理层的指导、

4、业 务目标、环境因素等进行判断，以决定风险大小。务目标、环境因素等进行判断，以决定风险大小。（二）风险评估常用定量评估技术：（二）风险评估常用定量评估技术：基于一个数学模型的定量分析技术：基于一个数学模型的定量分析技术：数学模型公式：数学模型公式：风险风险=威胁威胁弱点弱点影响影响 威胁表示：威胁表示：3（高风险）、（高风险）、2（中风险）、（中风险）、1（低风险）、（低风险）、0（无）（无）弱点表示：弱点表示：事件发生的概率在事件发生的概率在01之间之间 影响表示：影响表示：07之间之间 第二节第二节 审计抽样技术审计抽样技术 审计抽样是从审计总体中选取一定数量的样本进行测试，并根据测试审计

5、抽样是从审计总体中选取一定数量的样本进行测试，并根据测试 结果，推断审计对象总体特征的一种方法。结果，推断审计对象总体特征的一种方法。审计抽样分类的方法有很多种，审计抽样分类的方法有很多种，常用的分类方法是：常用的分类方法是：按抽样决策的依据不同分为：按抽样决策的依据不同分为：统计抽样和非统计抽样；统计抽样和非统计抽样；依据所了解的总体特征的不同分为：依据所了解的总体特征的不同分为：属性抽样和变量抽样。属性抽样和变量抽样。一、统计抽样和非统计抽样一、统计抽样和非统计抽样 统计抽样统计抽样(Statistical Sampling)：是审计人员在计算正式抽样结果时采是审计人员在计算正式抽样结果时

6、采 用统计推断技术的一种用统计推断技术的一种 抽样方法，统计抽样采用客观的方法来决抽样方法，统计抽样采用客观的方法来决 定样本量大小及抽样方式。定样本量大小及抽样方式。非统计抽样非统计抽样(Nonstatistical Sampling)：是审计人员全凭主观标准和个是审计人员全凭主观标准和个 人经验来评价样本结果人经验来评价样本结果 并对总体做出结论。并对总体做出结论。两者最根本的区别：两者最根本的区别：非统计抽样不能量化抽样风险，而统计抽样可以。非统计抽样不能量化抽样风险，而统计抽样可以。二、属性抽样和变量抽样二、属性抽样和变量抽样 属性抽样：属性抽样：用来估计一个控制或一组相关控制属性的发

7、生概率。主要用来估计一个控制或一组相关控制属性的发生概率。主要 用来测试控制的，用来测试控制的，与符合性测试相关。与符合性测试相关。在进行控制测试时，在进行控制测试时，属性抽样又可分为以下三种基本方法：属性抽样又可分为以下三种基本方法：1、固定样本量抽样（、固定样本量抽样（Fixed sample size sampling）：）：常用于估计审计对象总体中某种偏差的发生比例。其特点是预常用于估计审计对象总体中某种偏差的发生比例。其特点是预 先确定样本量，在执行抽样计划的过程中不再进行变动。先确定样本量，在执行抽样计划的过程中不再进行变动。2、停、停-走抽样（走抽样（stop or go sam

8、pling）：是在固定样本量抽样的基础上的一种改进形式。它从预计总体是在固定样本量抽样的基础上的一种改进形式。它从预计总体 误差为零开始，通过边抽样边审查评价来完成审计工作。可以误差为零开始，通过边抽样边审查评价来完成审计工作。可以 克服固定样本量抽样时要选取过多的样本缺点，提高审计工作克服固定样本量抽样时要选取过多的样本缺点，提高审计工作 的效率。的效率。3、发现抽样（、发现抽样（discovery sampling）：是属性抽样的一种特殊形式，主要用于查找非法重大事件。其是属性抽样的一种特殊形式，主要用于查找非法重大事件。其 理论依据是，如果总体偏差率大于或等于某一特定比率，那么理论依据是

9、，如果总体偏差率大于或等于某一特定比率，那么 在既定的可信赖程度下，从一个足够大的样本中至少能查出一在既定的可信赖程度下，从一个足够大的样本中至少能查出一 个偏差。个偏差。变量抽样：变量抽样：是根据总体的抽样来估计总体的金额数或其他衡量单位。是根据总体的抽样来估计总体的金额数或其他衡量单位。与实质性测试相关。其主要目的是验证可能存在于程序或与实质性测试相关。其主要目的是验证可能存在于程序或 功能中的因控制失效导致重大影响的重大金额。功能中的因控制失效导致重大影响的重大金额。在选用这种方法时，在选用这种方法时，必须满足以下三个条件：必须满足以下三个条件：1、设计分层样本的能力、设计分层样本的能力

10、；2、审计价值与账目价值之间的差异不能太大、审计价值与账目价值之间的差异不能太大；3、资料的可得性、资料的可得性。变量抽样法主要变量抽样法主要运用在实质性测试运用在实质性测试中。中。通常有以下几种常用方法：通常有以下几种常用方法：1、分层单位平均估计抽样、分层单位平均估计抽样(Stratified Mean Per unit)：先对样本总体进行分层，在不同分层中进行抽样检查确定样先对样本总体进行分层，在不同分层中进行抽样检查确定样 本的平均值，根据样本平均值推断总体的平均值和总值。本的平均值，根据样本平均值推断总体的平均值和总值。2、不分层单位平均估计抽样、不分层单位平均估计抽样(Unstra

11、tified Mean Per unit)：通过抽样检查确定样本的平均值，根据样本平均值推断总体通过抽样检查确定样本的平均值，根据样本平均值推断总体 的平均值和总值。的平均值和总值。3、差额估计抽样（、差额估计抽样（difference estimation）：以样本实际价值与帐面价值的平均差额来估计总体实际价值以样本实际价值与帐面价值的平均差额来估计总体实际价值 与帐面价值的平均差额，然后再以这个平均差额乘以总体项与帐面价值的平均差额，然后再以这个平均差额乘以总体项 目个数，从而求出总体的实际价值与帐面价值差额。目个数，从而求出总体的实际价值与帐面价值差额。在实质性测试中，在实质性测试中，如

12、果推断的总体误差超过了可容忍误差，应增加样本如果推断的总体误差超过了可容忍误差，应增加样本 量或执行替代审计程序。量或执行替代审计程序。在符合性测试中，在符合性测试中，如果认为抽样结果无法达到其对所测试内部控制的预如果认为抽样结果无法达到其对所测试内部控制的预 期信赖程度，则应考虑增加样本量或者修改实质性测试程序。期信赖程度，则应考虑增加样本量或者修改实质性测试程序。第三节第三节 计算机辅助审计技术与工具计算机辅助审计技术与工具 在信息系统审计中，为了达到审计目的，必须要收集大量存储于计算在信息系统审计中，为了达到审计目的，必须要收集大量存储于计算 机的数据，并借助于计算机对这些数据进行分析，

13、以得出结论。因此，计机的数据，并借助于计算机对这些数据进行分析，以得出结论。因此，计 算机辅助审计技术（算机辅助审计技术（computer assisted audit techniques,CAATs）越来越）越来越 成为审计师不可或缺的工具。成为审计师不可或缺的工具。目前，计算机辅助审计技术与工具主要包括以下几种：目前，计算机辅助审计技术与工具主要包括以下几种：（一）通用和专业审计软件（一）通用和专业审计软件 是一组能够读取、计算、分析计算机可读记录的程序。是一组能够读取、计算、分析计算机可读记录的程序。通用审计软件：通用审计软件：具有较强的扩充能力和较为广泛的适用范围和应具有较强的扩充能

14、力和较为广泛的适用范围和应 用前景；用前景；专业审计软件：专业审计软件：适用范围较小，功能和专用性强。适用范围较小，功能和专用性强。主要功能：主要功能：1、数据读取和转换、数据读取和转换；2、查询、查询；3、计算、计算；4、分类、分类；5、抽样选择、抽样选择；6、排序、排序；7、数据文件联结、比较、合并、数据文件联结、比较、合并；8、输出、输出。（二）实用工具软件。包括：（二）实用工具软件。包括：1、评估安全性和完整性的工具软件。评估安全性和完整性的工具软件。如：如：访问控制分析软件访问控制分析软件 2、熟悉系统的工具软件。熟悉系统的工具软件。如：如：系统配置分析软件、流程图制作器系统配置分析

15、软件、流程图制作器 3、评价数据质量的工具软件。评价数据质量的工具软件。如：如：查询工具、数据比较软件查询工具、数据比较软件 4、评估程序质量的工具软件。评估程序质量的工具软件。如：如：程序比较软件、测试数据生成器程序比较软件、测试数据生成器 5、辅助审计程序开发的工具软件。辅助审计程序开发的工具软件。如：如：程序生成器程序生成器 6、辅助生成有关审计文档的工具软件。辅助生成有关审计文档的工具软件。如：如：文档生成器、办公软件文档生成器、办公软件 （三）性能度量工具（三）性能度量工具 包括：包括：硬件监测器、软件监测器、固件监测器、混合监测器硬件监测器、软件监测器、固件监测器、混合监测器 （四

16、）测试数据法（平行模拟法）（四）测试数据法（平行模拟法）基本原理：基本原理：通过编制模拟程序输入测试数据与实际应用程序结果比通过编制模拟程序输入测试数据与实际应用程序结果比 较，以评价系统。较，以评价系统。测测试试数数据据法法（平行模拟技术）（平行模拟技术）测试数据测试数据处理结果处理结果1模拟程序模拟程序结果比较结果比较审计评价审计评价实际应用程序实际应用程序处理结果处理结果2 （五）连续在线审计（五）连续在线审计 连续在线审计可以利用信息技术在不中断被审计业务系统的正常运行的连续在线审计可以利用信息技术在不中断被审计业务系统的正常运行的 情况下，对业务系统的内部控制进行检查与评估，连续监测

17、系统运作，评价情况下，对业务系统的内部控制进行检查与评估，连续监测系统运作，评价 系统安全性、有效性以及评价数据的真实性和完整性。系统安全性、有效性以及评价数据的真实性和完整性。目前常用的连续在线审计方法有以下几种：目前常用的连续在线审计方法有以下几种：1、系统控制审计检查文件、系统控制审计检查文件/嵌入式审计模型（嵌入式审计模型（SCARF/EAM）：）：通过在应用系统中嵌入特殊的审计软件模块，实现对系统有选择的监通过在应用系统中嵌入特殊的审计软件模块，实现对系统有选择的监 测。测。IS审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连审计师在认为重要的控制点上嵌入审计模块对系统中的

18、事务进行连 续的监控，将收集的信息写入一个特殊的审计文件续的监控，将收集的信息写入一个特殊的审计文件SCARF主文主文 件。件。事务文件事务文件输出主文件输出主文件SCARF输入主文件输入主文件更新程序更新程序（含（含SCARF嵌入嵌入式审计模块）式审计模块）更新报告更新报告SCARF报告系统报告系统审计报告审计报告 2、整体测试法（、整体测试法（ITF）：）：通过在系统中建立虚拟实体（通过在系统中建立虚拟实体（dummy entity），用正常系统运行，对），用正常系统运行，对 结果进行比较分析，判断控制。适用于一般测试数据不能有效测试系结果进行比较分析，判断控制。适用于一般测试数据不能有效

19、测试系 统控制的情况统控制的情况。在实施整体测试方法时在实施整体测试方法时要注意要注意测试数据可能会进入测试数据可能会进入 被审计系统的真实数据环境。被审计系统的真实数据环境。终端终端终端终端实际数据实际数据测试数据测试数据应用系统应用系统ITF结果分结果分析比较析比较 3、快照：、快照：对输入业务标记，记录业务的处理轨迹，适用于需要记录审计轨迹的对输入业务标记，记录业务的处理轨迹，适用于需要记录审计轨迹的 情况。情况。事务事务输入有效性输入有效性确认程序确认程序快拍报告快拍报告出错报告出错报告输入主输入主文件文件更新程序更新程序更新报告更新报告快拍报告快拍报告输出主输出主文件文件报告程序报告

20、程序快拍报告快拍报告管理报告管理报告快拍点快拍点1，2，3快拍点快拍点7快拍点快拍点4，5，6 4、持续性与间歇性模拟（、持续性与间歇性模拟（CIS）：）：采用计算机系统模拟事务采用计算机系统模拟事务/交易的执行，当事务交易的执行，当事务/交易满足预定的标准，交易满足预定的标准，对该事务对该事务/交易进行检查，否则等待下一个满足标准事务交易进行检查，否则等待下一个满足标准事务/交易的输入。交易的输入。适用于在已确定满足某种条件的数据需要被检查的情况。适用于在已确定满足某种条件的数据需要被检查的情况。应用系统应用系统数据库数据库管理系统管理系统CIS数据库数据库连续和间歇模拟连续和间歇模拟CIS

21、原理原理异常日志异常日志事务事务建立标准建立标准比较比较 5、审计钩：、审计钩：在应用系统中嵌入审计钩程序，在审计人员既定的错误或不规范问题在应用系统中嵌入审计钩程序，在审计人员既定的错误或不规范问题 失控之前引导失控之前引导IS审计师进行检查，并实施相应的控制。这种方法针对审计师进行检查，并实施相应的控制。这种方法针对 特定的业务或过程进行检查。特定的业务或过程进行检查。目前，多数目前，多数ERP软件包、操作系统和网络管理软件等都软件包、操作系统和网络管理软件等都提供了提供了连续监控连续监控 与连续审计工具的采样器，针对这些环境，如果适当的配置、应用相关规则、与连续审计工具的采样器，针对这些

22、环境，如果适当的配置、应用相关规则、设置参数和公式，投入生产后可以获得预期的例外交易清单，这也是实施连设置参数和公式，投入生产后可以获得预期的例外交易清单，这也是实施连 续在线审计的具体事例。续在线审计的具体事例。（六）审计专家系统（六）审计专家系统 作为一种决策支持工具，专家系统可以为审计师提供指导及有价值的作为一种决策支持工具，专家系统可以为审计师提供指导及有价值的 信息。信息。（七）其他特殊的审计软件（七）其他特殊的审计软件。以上工具或技术可以帮助审计师对交易与账面数据的详细测试、实施分以上工具或技术可以帮助审计师对交易与账面数据的详细测试、实施分 析性的检查过程、对信息系统一般控制与应用控制进行符合性测试、对操作析性的检查过程、对信息系统一般控制与应用控制进行符合性测试、对操作 系统脆弱性进行评估及实施穿透性测试等。系统脆弱性进行评估及实施穿透性测试等。本章习题：本章习题：1、简述审计抽样方法的类型及适用情况简述审计抽样方法的类型及适用情况 2、简述计算机辅助审计技术与工具简述计算机辅助审计技术与工具