《计算机审计方法撰写.ppt》由会员分享,可在线阅读,更多相关《计算机审计方法撰写.ppt(71页珍藏版)》请在三一办公上搜索。
1、计算机审计方法撰写,河南省审计信息中心,计算机审计方法基本情况计算机审计方法评审标准如何写出一篇好的方法,什么是计算机审计方法,计算机审计专家经验计算机审计方法1、计算机审计方法是审计人员为履行审计职责、实现审计目标,利用信息技术对特定审计事项进行检查和评价的思路和实现步骤。2、计算机审计方法是审计人员在实践中运用计算机开展审计积累下来的重要经验和典型案例,具有较强的实用性、针对性和可操作性,可在其他审计过程中被借鉴和引用。,组织单位,由审计署审计科研所和计算机技术中心共同负责,评审情况,计算机审计方法评审工作自2004年以来已经连续开展了7届,共征集评选出3685篇计算机审计方法和19篇计算
2、机审计方法体系列入审计署计算机审计方法库。2004年至今,河南省共征集计算机审计方法625篇,经省厅评审后共上报审计署303篇,被审计署采用的有111篇,其中共9篇被评为优秀。,河南省审计厅2011年度计算机审计方法征集上报情况,河南省计算机审计方法历年获奖情况明细表,河南省计算机审计方法历年获奖情况明细表,方法比较(河南与全国),方法比较(河南与其他省份),审计方法构建,在建立审计业务模型基础上,对审计方法的审计目标与功能、所需数据和相关资料、审计分析步骤、流程图示、计算机执行语言、方法执行后的审计建议等,逐一研究建立,从而完成计算机审计方法的构建。正向:思路计算机实现总结、提炼形成方法逆向
3、:审计实现倒推、深入挖掘、提升形成方法,计算机审计方法基本要素:方法代码(填写一级和二级分类码)、方法名称、目标功能、审计事项、所需数据、分析步骤、流程图、方法语言、适用法规、延伸建议、作者单位、时间、标志等13项内容,计算机审计方法基本要素,1方法代码2方法名称3目标功能4审计事项5所需数据6分析步骤7流程图8方法语言9适用法规10审计建议11作者单位12时间13标志,一、方法代码,计算机审计方法代码是审计方法分类、管理和应用定位的重要标志。审计方法代码按照14号实务公告7.2代码结构的要求编制。计算机审计方法代码编制时,分类码执行本规划和专业计算机审计方法体系的规定;流水码在审计师审计方法
4、库中按序列方式编制,入选审计机关、审计署的计算机审计方法库时可重新编制。,二、方法名称,计算机审计方法名称是具体审计事项的方法表述。方法名称要简明扼要,一般不超过50个字符,能够直接反映其具体审计事项的审计目标,并且尽可能进行正面表述。,三、目标功能,计算机审计方法的目标功能是对具体审计事项的审计目标、审计功能及其实现的表述。审计目标:检查预算部门项目支出预算编制和批复的程序合规性、及时性,内容真实性、合理性、可行性和完整性。审计功能:通过对预算部门和所属预算单位按照财政部门要求编制、审核、报送、批复项目支出预算的有关程序、部门项目库的管理与利用等事项的检查,实现审计目标,发挥审计监督作用。,
5、四、审计事项,审计署审计事项文件说明:审办计发2010131号 标准审计事项导入导出AO,审计事项数据字典(试行),一、预算执行审计二、海关审计三、税收审计四、金融审计五、企业审计六、社会保障审计七、固定资产投资审计八、资源环保审计九、外资运用审计十、经济责任审计十一、境外审计,五、所需数据,30个计算机审计实务公告:地方税收审计数据规划、社会保险审计数据规划、地方财政审计数据规划、商业银行审计数据规划、地方税务计算机审计方法体系、联网审计系统规格说明书、投资审计数据规划、环保审计数据规划、计算机审计方法体系基本规划以地税公告为例进行说明,六、所需数据,根据审计方法的目标与功能定位,确定所需数
6、据和相关资料。审计所需数据和相关资料的介质载体包括电子数据和纸质资料。电子数据包括结构化数据、非结构化数据、半结构化数据。审计方法引用的经审计数据规划的电子数据,应当遵循国家审计数据中心基本规划的数据规划规范,以及审计方法所对应的专业审计数据规划的基础表或分析表及其数据元素的规范。计算机审计方法所需的基础表或分析表及其数据元素,应标明其专业审计数据规划的版本号。,(一)ER模型及步骤,ER模型说明及其画法实体表示一个离散对象。实体可以被(粗略地)认为是名词,如计算机、雇员、歌曲、数学定理。关联捕获两个或更多实体相互如何关联。联系可以被(粗略地)认为是动词,如:在公司和计算机之间的拥有关联,在雇
7、员和部门之间的管理关联,在演员和歌曲之间的表演关联,在数学家和定理之间的证明关联。实体绘制为矩形,联系绘制为菱形。,(二)数据模型,数据模型构建数据模型(Data Model)是现实世界数据特征的抽象,或者说是现实世界的数据模拟。数据库中,用数据模型来抽象地表示现实世界的数据和信息。数据模型的三要素是:数据结构、数据操作及完整性约束条件。,(二)数据模型,(1)数据模型 数据模型是对现实世界数据特征的抽象或者说是现实世界的数据模拟。数据库中,用数据模型来抽象地表示现实世界的数据和信息。根据模型应用的不同目的,模型分为两类:第一类模型是概念模型,它是按用户的观点对数据建模;另一类模型是数据模型,
8、主要包括网状模型、层次模型、关系模型、面向对象数据模型等,它是按计算机系统的观点对数据建模。两类模型都是由数据结构、数据操作和完整性约束三个要素组成。(2)数据结构:用于描述系统的静态特征;(3)数据操作:指对数据库中数据允许执行的操作的集合,用于描述系统的动态特征。数据模型必须定义操作(如检索、更新)的确切含义、操作符号、操作规则以及实现操作的规则。(4)数据的约束条件:是完整性规则的集合,指对给定的数据模型中数据及其联系所具有的制约和依存规则,如关系模型中的实体完整性和参照完整性。,(三)审计步骤中的注意事项,审计方法分析步骤是依据该方法确定的审计目标、审计功能、所需数据,进行审计业务模型
9、构建、审计事项分解,在此基础上进行逐步分析的描述。这一步非常重要,七、流程图,流程图画法各个图标的意义及其差别审计署发布的计算机审计方法流程图编制规范,流程图画法,结合审计分析步骤的表述,采用计算机审计方法流程图编制规范的规定,编制流程图。常用符号列表,八、方法语言,结合审计分析步骤的表述,将列入计算机审计方法语言执行的内容,采用计算机审计方法语言编制规范的规定,编制方法语言。,方法语言ASL,方法语言说明ASL语法ASL举例,ASL,计算机审计方法语言包括ASL审计脚本语言和SQL语句两部分。ASL审计脚本语言完成审计方法的流程控制。ASL审计脚本语言是由审计署基于PASCAL语言研制的适用
10、于审计人员编制计算机审计方法的语言。SQL语句完成对数据库的操作。本规范的SQL语句采用国家标准GB_12991-91信息处理系统 数据库语言SQL及国际标准ISO/IEC 9075:1992信息技术 数据库语言 SQL 中审计所需的部分内容。为使计算机审计方法语言适用于SQL server、ORACLE、DB2等不同数据库,本规范在4.5节中列示了常用函数在SQL server、ORACLE、DB2等数据库使用中的对照表。,九、适用法规,对审计评价、发现问题的适用法律法规条款。法规名称、发文文号、法规条目、生效日期、失效日期、适用范围,十、审计建议,审计建议是指审计方法执行后,根据执行结果提
11、出对该审计事项的客观评价、对发现问题的疑点描述、对延伸审计分析或取证分析的建议。,十一、作者单位,计算机审计方法的编制作者和所在单位。如有多个作者,要进行作者排序,并填写第一作者所在单位。,十二、时间,计算机审计方法的编制或审计机关评审入选的时间。,十三、标志,计算机审计方法标志是为特定审计方法的应用实现、由执行系统响应完成的一种配置。计算机审计方法标志包括参数标志、批量执行标志等,并根据审计方法的应用实现逐步扩充。本规划确定的标志配置符:参数标志定义为A,批量执行标志定义为B。,计算机审计方法体系,计算机审计方法体系规划包括计算机审计方法体系基本规划和专业计算机审计方法体系规划。计算机审计方
12、法体系是在信息化环境下实施数据式系统基础审计的重要建设内容,审计方法体系的标准规范是实现信息化环境下新的审计方式的重要基础设施。专业计算机审计方法体系依据发布的计算机审计方法体系基本规划及其附录的规范要求进行编制。专业计算机审计方法体系的命名:专业名称+计算机审计方法体系。,计算机审计方法评审标准,基本要求,技术评审环节专业评审环节,技术评审环节,一、基础资料的完备性1资料完整性(2分)2内容完整性(2分)3命名规范性(0.5分)4格式规范性(0.5分)二、关键方法要素的正确性和可执行性1数据提供正确性(1分)2流程图正确性(1.5分)3SQL语句在AO中的可执行性(2分)4ASL语言在AO中
13、的可执行性(0.5分)5sql语句的正确性,一、基础资料的完备性,1资料完整性(2分)上报的审计方法资料是否完整。一个完整的计算机审计方法是一个独立的文件夹,里面应包含四个文件:方法说明文档(.doc)、电子数据信息包(.sjfx)、审计方法包(.func)、sql语句包(.sql)。,一、基础资料的完备性,2内容完整性(2分)“一、方法代码”这一条目是否存在(填写一级和二级分类码,内容可为空,但一定要有该条目)“四、审计事项”与“审办计发2010131号”文中是否存在不一致的情况。“六、分析步骤”中是否存在没有ER图或数据模型的方法。ER模型需基本反映对象之间的关系,从ER图抽象到数据模型需
14、基本正确。“八、方法语言”中是否缺少ASL语言描述。“九、适用法规”内容是否为空。“十一、作者单位”是否存在人数过多,作者单位填写不符合要求等情况。“十三、标志”是否存在没填或填写不正确的情况。,一、基础资料的完备性,3命名规范性(0.5分)一个审计方法中四个文件的文件名、文件夹的命名、以及文件内大标题的方法名称、要素“二、方法名称”下标列的方法名称必须符合要求且名称一致。命名不符合要求或不一致酌情扣分。,一、基础资料的完备性,4格式规范性(0.5分)审计方法中的13个要素必须是标题样式(能在文档结构图中展现)且段落必须整齐。格式不规范酌情扣分。,二、关键方法要素的正确性和可执行性,1数据提供
15、正确性(1分)A、所需数据部分所描述的数据表、字段必须在提供的数据中能够找到且完全一致,英文表名或英文字段需标注中文含义。两者不一致的不合格。B、所需数据部分的描述中能够使用已发布的数据规划中数据表信息的,是否使用。使用不加分。未使用减0.5分。注意:在描述中,阐述了未按照数据规划数据进行描述原因的,核实实际情况不减分。,二、关键方法要素的正确性和可执行性,2流程图正确性(1.5分)检查审计步骤流程图是否与审计步骤相符并检查流程图使用图标符号是否符合标准要求。流程图与审计步骤不相符或者符号使用不规范的不合格。A、流程图与审计步骤相符0.5,不相符不合格。B、流程图符号使用基本正确到完全正确按照
16、实际情况在0.5到1分之间给分;符号使用不规范的不合格。,二、关键方法要素的正确性和可执行性,3SQL语句在AO中的可执行性(2分)检查sql语句包是否能导入AO、SQL语句是否与审计步骤相符、sql语句能否在所提供的电子数据上执行(如存在case when等语句、提供的不是AO导出的SQL数据包);按照SQL的难易程度,调整分数;经过简单修改能够运行的适当减分。,二、关键方法要素的正确性和可执行性,4ASL语言在AO中的可执行性(0.5分)检查FUNC文件是否能导入AO(如导入AO死机)、asl语句是否与审计步骤相符、asl语句能否在所提供的电子数据上执行(如编译失败)。注意:通常情况下,第
17、步与第步在评审时是结合在一起的,总分2.5分,酌情给分或扣分。评审人员的做法是:1、导入.func文件,测试asl语句的可执行性,如果asl语句执行通过,检查ASL语句是否与审计步骤相符,视相符程度与语句的复杂程度酌情给分,结束。如果.func导入不成功或者asl语句运行失败,扣0.5分,进入步骤2;2、导入sql语句包,测试语句是否可以执行,如果sql语句可以执行,视sql语句的复杂程度酌情给分,结束。如果sql语句包导入失败,扣0.1-0.2分,进入步骤3;3、将word文件中的sql语句粘贴到AO中测试其可执行性,如果sql语句可以执行,视sql语句的复杂程度酌情给分,如果经过稍微修改可
18、以执行通过,酌情扣分。如果仍不能执行,不合格。,二、关键方法要素的正确性和可执行性,5sql语句的正确性 根据审计步骤,检查sql语句的编写是否正确,是否能实现审计目标。不能实现审计目标的酌情扣0.1-0.5分。,专业评审环节,思路是否清晰、内容是否具有新意、是否对专业审计具有指导作用、是否有推广价值、是否存在与往年的审计方法重复的情况。与以往年度已选出的专家经验类别、种类、使用方法相雷同的,不再入选。,如何写出一篇好的方法,1如何准备撰写计算机方法前要收集国家审计署审计事项数据字典、审计数据规划及其版本号、计算机审计方法体系基本规划、计算机审计方法流程图编制规范,下载并安装好流程图制作软件。
19、,如何写出一篇好的方法,2如何选题这是写好方法的重要环节。所选的题材一般为被成功运行过的实例,具有一定的代表性,注意不能和以前的经验重复。,如何写出一篇好的方法,3思路清晰撰写计算机审计方法,审计目标清晰,重点内容、方法步骤详细且可操作性强。利用计算机审计工具达到自己的审计目的并取得预期的效果。,如何写出一篇好的方法,4数据量适中一是采集数据前了解对方数据库的基本情况;二是力求采集的电子数据完整、准确;三是需对电子数据进行分析、清理、转换,保证数据适合审计需要;四是找出所写审计方法需用到的相关数据表,对涉及业秘密等敏感问题的电子数据,应进行适当处理,如姓名、身份证号码、摘要有关内容;五是数据量不能过大,否则在AO查询过程中速度缓慢。,如何写出一篇好的方法,5流程图直观把审计思路和审计步骤用图形化的方式表现出来,力求简洁、准确、清楚,让人一目了然。,如何写出一篇好的方法,6方法和语言简练这是计算机方法成败的关键,编写的ASL程序和SQL语句力求准确、精炼、实用、可运行。编好的SQL语句可在AO查询分析器工具中运行,以验证实际效果。,
