《{财务管理内部审计}审计软件》由会员分享,可在线阅读,更多相关《{财务管理内部审计}审计软件(11页珍藏版)》请在金锄头文库上搜索。
1、审计软件第1章 计算机数据审计概述1、计算机审计三层含义:面向数据的审计;面向现行信息系统的审计;面向信息系统生命周期的审计2、计算机审计是指运用计算机审计技术对被审单位与财政收支、财务收支有关的计算机信息系统所存储和处理的电子数据进行的审计。通过对被审单位的电子数据进行采集、转换、清理、验证和分析,帮助审计人员掌握总体情况,发现审计线索,搜集审计证据,形成审计结论,实现审计目标。3、计算机数据审计的理论基础是数据式审计模式。根据数据式审计模式理论,可以将数据式审计模式分为两种:一种是数据基础审计模式,即以数据为直接对象的审计方式;另一种是数据式系统基础审计模式,即以系统内部控制测评为基础,通
2、过对电子数据的收集、转换、整理、分析和验证,实现审计目标的审计方式。计算机数据审计也是数据审计模式的重要组成部分,将数据式系统基础审计简单表述为:系统内部控制测评+数据审计。4、计算机数据审计与计算机信息系统审计之间存在一定的区别和联系。区别:审计对象不同;工作的侧重点不同;使用的技术方法不同。相同点:是同一事物的两个方面,不能人为的割裂。5、计算机数据审计的流程归纳为七个流程:调查阶段;数据采集;数据验证、清理和转换;建立审计中间表;把握总体,选择重点;建模分析;延伸、落实与取证。6、调查工作的一般思路是:审计目标审计内容与重点审计内容所涉及的信息系统与信息系统相关的电子数据7、在数据情况调
3、查过程中,审计人员应尽量收集齐全相关的技术文档,以便详细了解系统的数据库和数据情况。在上述工作的基础上,应提出审计数据需求说明书交由被审单位提供数据。8、数据采集是在调查阶段提出数据需求的基础上,按照审计目标,采用一定的工具和方法对被审单位信息系统的电子数据进行采集的过程。数据采集是计算机数据审计的前提和基础。9、常用的数据采集策略有三种:一是通过数据采集接口;二是直接复制;三是通过备份文件恢复。10、数据验证是指检查被审单位所提供电子数据的真实性、准确性和完整性,数据清理是指为提高数据质量而对缺失的,不准确的,不一致的有质量问题的电子数据进行处理。数据转换包括数据库格式的转换及数据内容的转换
4、。11、建立审计中间表:利用被审单位数据库中的基础电子数据,按照审计人员的审计要求由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现数据式审计的关键技术。(EDP电子数据处理)第2章 计算机数据审计基础知识1、结构化的审计数据分为两大类:一是通过数据库管理系统进行管理的,称为数据库类型的数据;反之,则称为非数据库类型的数据。2、非数据库类型的数据大致可以包括以下三种类型:(1)数据交换文件(文本、电子表格); (2)文档文件;(3)其它的操作系统文件3、信息系统中的信息技术架构有五种类型:非集中式架构;集中式架构、分布式架构、客户机/服务器架构及浏览器/服务器架构4、非集中式架构
5、(各自独立):包括信息共享很少的或没有信息共享的系统。5、集中式架构(连接到一个中心主机)6、信息系统开发的方法:生命周期法(生命周期法是20世纪70年代发展起来的,已在国内外广泛被采用,并被许多组织确定为标准的系统开发方法。生命周期法将信息系统的开发过程分为系统分析、系统设计、系统实施三个阶段);原型法(基本思是从1977年开始提出的,它试图改进生命周期法的缺点,其主要优点是:开发过程是一个循环往复的反馈过程,它符合用户对于计算机应用的认识逐步发展、螺旋式上升的规律;原型法很具体,使用户很快、很直观的接触使用系统,容易为不熟悉计算机应用的用户所接受;原型法开发周期短、使用灵活,比较适合管理体
6、制和组织结构不很稳定、有变化的系统);面向对象的方法(20世纪70年代由A.kay在smalltalk计算机语言中道 次提出面向对向的概念,它与传统方法相比有两大突破:一是操作与数据共同封装;二是类与继承机制);计算机辅助软件工程(case的目标是要实现系统开发各阶段工作的自动化)7、信息系统的开发要经过系统规划、系统分析、系统设计、系统实施、系统运行与维护等阶段。8、系统分析包括对现行系统的详细调查以及通过需求分析建立新系统的逻辑模型。需求分析要用到数据流程图(data flow diagram DFD)工具,数据流程图是从数据和处理两个方面来描述系统数据处理流程的图形化工具。需求分析主要进
7、行数据分析和功能分析。数据分析的任务是将数据流程图中所出现数据的内容、特征用数据字典(DD)的形式作出明确的定义和说明。9、数据字典是系统分析阶段的文档,是在系统设计过程中对各类基本要素进行描述的集合,是描述系统逻辑模型的重要工具。是非常重要的文档。10、P18页图11、数据字典通常由数据项、数据结构、数据流、数据存储和处理过程5个部分组成。其中数据项是数据的最小组成单位,若干个数据项可以组成一个数据结构,数据字典通过对数据项和数据结构的定义来来描述数据流和数据存储的内容。12、实际过程中,被审单位可能无法提供格式规范,内容齐全的数据字典,所提供的大多是数据库表结构的含义说明文档,包括数据库表
8、名的含义及字段名的含义。严格的说,这种表结构的定义说明文档描述的是关系数据库模型,是数据库逻辑结构设计的产物。但由于这种方式能够与审计人员所采集的电子数据完全对应起来,有利于审计人员精确理解被审计单位电子数据的含义,因此,在实际过程中经常采用这种方式来取代传统意义的数据字典中关于数据项和数据结构的描述。13数据字典是分析阶段的文档,数据库表是系统设计阶段的文档。14、业务流程图描述的是真实系统的物理模型。15、数据流程图是需求分析的阶段成果,也是一种系统分析的工具。采用数据流程图进行需求分析时,应使用自顶向下,逐步求精的方法,即使用分层次的数据流程图来描述系统。数据流程图是逻辑模型,是业务流程
9、图的数据抽象,它屏蔽了业务流程的物理背影而抽象出数据的特征,描述了数据在业务活动中的运动状况。16、系统分析:业务流程图、数据流程图和数据字典;系统设计:数据库表结构。17、2G是access的最大值。数据库文件大小:2GB,减去系统对象需要的空间;表大小:2GB,减去系统对象18、access,兼容性好。19、oracle,是大型数据库管理系统。20、DB是IBM公司的关系型数据库产品21、SQL是1974年由IBM公司位于加利福尼亚州圣何塞研究实验室的D.D.Chamberlin和R.F.Boyce提出的,当时被称为SEQUEL。1979年甲骨文首先提供商用的SQL。22、SQL的实现环境
10、是交互式环境和嵌入式环境,当数据处理的需求超过SQL提供的功能,或者要对数据集合的每一条记录进行遍历处理时,就需要在编程语言中使用SQL,这时称为嵌入式环境。在存储过程中以及在AO的ASL语言中使用SQL,都属于嵌入式SQL应用。第3章审计接口与数据库访问技术1、审计接口是从被审计单位信息系统向审计应用系统传送审计信息的规范和程序。这个通道包含两方面的内容:一是信息传输的格式和规范;二是完成传输作业的程序。2、按审计接口的用途可分为通用审计接口和专用审计接口;按数据传输的频率来划分,可分为实时审计接口和周期性审计接口3、审计接口的三个基本要素:接口规范;实现方式;控制措施。接品规范负责对信息的
11、含义进行定义和描述,实现方式解决的是如何选择最合适的方式完成从被审计单位信息系统到审计应用系统之间的信息传输,控制措施用于保证信息传输的适时性和完整性。4、审计接口的实现方式三种:被审计单位信息系统与审计应用系统之间采用数据库连接方式,通过计算机网络直接相连;被审计单位信息系统与审计应用系统之间采用数据交换文件传输数据;被审计单位信息系统与审计应用系统之间通过数据采集工作站和数据服务器交换数据。5、Borland、IBM、novell和wordperfect四家公司联合发布了一个“集成数据应用程序接口”(IDAPI)6、ODBC是微软公司制订的数据库互联标准。目前绝大多数DBMS和开发工具均支
12、持ODBC。ODBC的结构分为四层:应用程序(application)、驱动程序管理器(drive manager)、驱动程序(driver),数据源(data source)。ODBC从本抽上就是一组数据访问API,它可以使windows应用程序访问大多数流行的DBMS。ODBC驱动程序分为基于文件的驱动程序,基于DBMS的驱动程序(只处理ODBC调用)。7、ODBC的数据源分为机器数据源和文件数据源。8、微软公司推出的UDA为关系型或非关系型数据访问提供了一致的接口。UDA包括两层软件接口,即ADO和OLE DB,分别对应不同层次的应用开发(ADO,是系统级的编程接口;OLE DB是应用层
13、的编程接口)9、在ADO模型中,主体对象中人connection,command,recordset,其它4个集合对象errors,properties,parameters,fields分别对应error,property,parameter,field,对象,整个ADO对象模型由这些对象组成。第4章审计数据转换策略1、选择审计人员关心的数据:选择的数据应满足审计方案的要求;数据选择应建立在对被审计单位信息系统及其业务流程充分了解的基础上;数据采集不应局限于特定的被审计单位,利用外部数据进行关联分析是一种有效的手段。2、常用的数据采集策略:数据接口;直接复制;备份文件恢复。3、数据接口法是通
14、过已有的数据接口访问和采集被审计单位数据的策略和方法。4、专用审计接口,与通用审计接口相对的专用审计接口,专用审计接口为特定的审计事项采集数据服务,通常处理文换文件,例如海关5、按备份策略使用的层次划分,备份可分为使用应用软件生成数据备份和直接在数据库系统中生成数据的备份。6、大型国企业实施了ERP(enterprise resource planning,企业资源计划)7、SAP R/3后来数据表分为透明表、簇表、池表。透明表与数据库中的物理表一一对应;簇表和池表与在数据库中没有一一对应的物理表,它们是物理表经过合并,解析、筛选等处理后展示出来的,目的是提高系统性能,降低复杂度。此外,系统还
15、可以通过SE11(数据字典)SE16(数据浏览)等事务代码直接查看后台数据表结构和数据,对于簇表和池表还可以查看其来源于哪张物理表。8、采集工作需要以下步骤:(1)使用事务码SQ03(用户组维护)建立用户组,将当前用户分配到用户组中。(2)使用事务码SQ02(信息集维护)建立信息集。(3)将信息集分配给用户所在的用户给(4)使用事务码SQ01(建立查询)在信息集的基础上创建查询。9、审计数据清理主要涉及数据的匹配与合并。通过匹配,发现重复的对象;通过登工,保留或生成一个完整的对象。清理步骤为:记录排序(选择一个或几个字段作为关键字进行排序);识别重复记录;合并重复记录,从相似记录集中获得记录的
16、完整信息,并作为该记录的表示。识别重复记录的具体策略:采用类似LRU(最近最少使用)算法来控制队列长度。10、审计数据转换日志贯穿每一个审计数据转换活动,一种是记录审计数据转换过程中产生的转换错误的日志,称为转换错误日志,另一种是能反映审计数据在转换过程变化情况的日志,称为转换变化日志。11、转换错误日志,常见的冲突:(1)模式层冲突:当审计中间表的实体及其联系在被审单位数据库用不同的概念模式表示时,会产生模式层冲突。包括:命名冲突,主键冲突,结构约束冲突;表达式格式冲突。(2)实例层冲突:当被审计单位的数据转换到审计中间表的过程中,转换错误的来源并不仅限于模式层冲突,还有各种各样的实例冲突。包括:数据缺失;不正确的数据;数据不一致。12、转换变化日志:面向审计数据转换流程步骤的转换流程日志;面向审计数据变化情况的转换数据日志。13
