计算机数据审计课程框架
第一部分 基础篇
计算机数据审计
1、计算机数据审计特点 2、计算机数据审计流程 3、计算机数据审计对象 4、计算机数据审计常用文档 5、计算机数据审计接口
吴笑凡 博士
版权所有
2010年
2
计算机数据审计特点
一、引言——从“计算机审计” 谈起
1、计算机审计的3层含义: ? 面向数据的审计,即计算机数据审计 ? 面向现行信息系统的审计 ? 对信息系统生命周期的审计
计算机数据审计特点
二、什么是计算机数据审计
? 运用计算机审计技术对被审计单位与财政收 支、财务收支有关的计算机信息系统所存储 和处理的电子数据进行的审计。 ? 通过对被审计单位的电子数据进行采集、转 换、清理、验证和分析,帮助审计人员掌握 总体情况,发现审计线索,搜集审计证据, 形成审计结论,实现审计目标。
2010年
3
2010年
4
计算机数据审计特点
三、电子数据的特点
? 存储介质改变 ? 基于一定的数据处理平台,有一定的数据模型 ? 数据表示编码化 ? 带来系统控制和数据安全性的新问题 ? 审计线索改变 小知识:老账龄纸质账本真假辨别方法
2010年
5
计算机数据审计特点
四、数据审计VS信息系统审计
? 区别
• 审计对象不同 • 工作的侧重点不同 • 使用的技术方法不同 ? 联系 • 信息系统是电子数据存储和处理的环境,电子数据 不能独立于信息系统存在 • 电子数据是信息系统功能的重要体现
2010年
6
计算机数据审计流程
一、调查阶段 二、数据采集 三、数据验证、清理和转换 四、建立审计中间表 五、把握总体,选择重点 六、建模分析 七、延伸、落实与取证
2010年
7
计算机数据审计流程
一、调查阶段
1、一般思路 ? 审计目标→审计内容与重点→审计内容所涉及 的信息系统→与信息系统相关的电子数据
2010年
8
计算机数据审计流程 一、调查阶段
2、调查内容-组织结构
? 管理体制
• 在管理集中度高的单位,系统相应是集中式的; • 数据由下级部门录入并上传,下级部门可能了解数据结构,也 可能根本不知道数据结构; • 在上传前可能进行具体的数据处理,也可能不进行任何处理, 只上传原始数据; • 通过对管理体制的调查,可以为以后确定索取哪些技术资料、 数据,以及索取的方式方法等提供依据;
计算机数据审计流程
一、调查阶段
2、调查内容--计算机信息系统
? 对计算机信息系统概况的调查
• • • • • 硬件设备 系统软件 系统技术文档资料 系统的主要功能 系统的业务处理流程
? 对数据库及数据的调查
• 数据库相关技术情况
– 系统设计说明书 – 数据库详细设计说明书,基本包含以下内容: » 总数据流图和具体业务数据流图、软件结构图设计 » 数据库表间关系图 » 表结构描述 » 数据库SQL文件(含表、视图、触发器、存储过程等) – 用户使用手册
? 部门设置情况 ? 部门具体职能 ? 部门内计算机信息系统的情况
2010年
• 并非所有的业务都一定运用计算机信息系统 • 选择重点部门进行部门内计算机信息系统情况的调查
9
• 系统对业务处理的流程
2010年
10
计算机数据审计流程
一、调查阶段
3、调查方法--提出数据需求 ? 确定所需数据内容 ? 确定数据获取的具体方式 ? 提出书面数据需求
计算机数据审计流程
一、调查阶段
4、示例
2010年
11
2010年
12
计算机数据审计流程
二、数据采集
1、数据采集是计算机数据审计的前提和基础。 2、数据采集方法 ? 通过数据接口采集 ? 直接拷贝 ? 通过备份文件恢复
计算机数据审计流程
三、数据验证、清理和转换
1、数据验证 ? 检查被审计单位所提供电子数据的真实性、 准确性和完整性。 2、数据清理 ? 为提高数据质量而对缺失的、不准确的、不 一致的等有质量问题的电子数据进行处理。 3、数据转换 ? 数据库格式的转换以及数据内容的转换
2010年
14
2010年
13
计算机数据审计流程
四、建立审计中间表
1、审计中间表 ? 利用被审计单位数据库中的基础电子数据, 按照审计人员的审计要求,由审计人员构建 ,可供审计人员进行数据分析的新型审计工 具。它是实现数据式审计的关键技术。 2、基础性中间表 3、分析性中间表
计算机数据审计流程
五、把握总体,选择重点
1、根据审计目标进行总体分析,把握被审计单 位的总体情况,找准薄弱环节,确定审计重 点。 2、可以从不同层次、不同角度对被审计单位的 电子数据进行汇总、核对与分析
2010年
15
2010年
16
计算机数据审计流程
六、建模分析
? 根据法律、法规和制度规定的状态和关系来建立 ; ? 根据业务的逻辑关系来建立; ? 根据不同类型数据之间的对应关系来建立; ? 根据审计人员的符合客观实际的经验来建立; ? 根据审计人员的合理的预测来建立。
计算机数据审计流程
七、延伸、落实与取证
? 需要根据审计分析模型的分析结果,对发现 的问题进行取证,对发现的问题线索进一步 核查、落实。
2010年
17
2010年
18
计算机数据审计对象
一、对象之一:数据库类型的数据
? 数据库的数据文件 ? 数据库的备份文件 ? 数据库系统
计算机数据审计常用文档
一、信息系统开发的方法
? 生命周期法 ? 原型法 ? 面向对象的方法 ? 计算机辅助软件工程
二、对象之二:非数据库类型的数据
? 数据交换文件
• 文本文件、电子表格和XML文件等
? 文档文件
• 电子邮件、打印格式的输出报表、WORD文档等
? 其他的操作系统文件
• 数据库日志等
2010年
19
2010年
20
计算机数据审计常用文档
二、信息系统开发的过程
? 系统规划 ? 系统分析 ? 系统设计 ? 系统实施 ? 系统运行与维护
计算机数据审计常用文档
系统分析阶段 系统调查
? 业务流程图(Transaction Flow Diagram,TFD)
需求分析
? 数据流程图(Data Flow Diagram,DFD) ? 数据字典(Data Dictionary,DD)
系统设计阶段 详细设计
? 数据库表结构
21
2010年
2010年
22
计算机数据审计常用文档
三、常用文档
? 业务流程图 ? 数据流程图 ? 数据字典 ? 数据库表结构
计算机数据审计常用文档
三、常用文档
? 业务流程图
2010年
23
2010年
24
计算机数据审计常用文档
三、常用文档
? 数据流程图
计算机数据审计常用文档
三、常用文档
? 数据字典
• 数据字典是在系统设计过程中对各类基本要素进行描述的集合 。它是描述系统逻辑模型的重要工具。数据字典的组成部分:
– – – – – 数据项 数据结构 数据流 数据存储 处理过程
• 其中数据项是数据的最小组成单位,若干个数据项可以组成一 个数据结构,数据字典通过对数据项和数据结构的定义来描述 数据流和数据存储的内容。
2010年
25
2010年
26
“数据项”举例
销售业务中有很多数据项,其中“科目代码”数据项 可以描述如下: 数据项编号:Item001 数据项名称:KMDM 数据项含义说明:唯一标识每个科目 别名:科目代码 数据类型:字符型 数据长度:9 取值范围:100000000至999999999 取值含义: 前3位是一级科目,后面每2位是一个科目 级别 与其他数据项的逻辑关系:
2010年
27
“数据流”举例
数据流“工资结算单”可以描述如下: 数据流编号:Flow001 数据流名称:GZJSD 说明:财务部门计算的工资结算单 数据流来源:财务部门 数据流去向:职工 组成(数据结构):职工号+姓名+性别+基本工资+出勤工日 +缺勤工日+病假+事假+工伤假+应扣工资+副食补贴+物 价补贴+房租水电+储蓄+其他+实发工资 平均流量:1500/月(单位职工人数) 高峰期流量: 低谷期流量:
2010年
28
“处理过程”举例
处理过程“登记日记账”可描述如下: 处理过程编号:Proc001 处理过程名称:DJRJZ 输入数据流:记账凭证 输出数据流:现金及银行存款日记账 处理说明:根据收款凭证、付款凭证逐笔顺序登记现金日记 账和银行存款日记账 处理要求:每月处理多次,每次处理时间小于15分钟
计算机数据审计常用文档
三、常用文档
? 数据库表结构
字段名称 Rsc_Code Rsc_Name Type Available Exp_Date 字段含义 资源编号 资源名称 资源类型 剩余额度 有效期限 字段类型 字符型 字符型 字符型 字符型 日期时间型 字段属性 关键字 非空 非空 非空 非空
2010年
29
2010年
30
数据字典→数据库表结构
在实际工作中,被审计单位可能无法提供格 式规范、内容齐全的数据字典,所提供的大 多是数据库表结构的含义说明文档,包括数 据库表名的含义及字段名的含义说明。
计算机数据审计接口
一、定义
? 审计接口是从被审计信息系统向审计应用系统 传送审计信息的规范和程序。
二、接口内容
? 传送数据的格式和规范 ? 完成传送作业的程序
三、数据传递的方式
? 系统内部多采用参数或共享数据来完成 ? 系统与系统之间传递信息需要开发专用的数据 接口
2010年
31
2010年
32
计算机数据审计接口
四、接口分类
? 按接口的用途划分,可以分为通用接口和专用接口; ? 按接口与源系统和目标系统的耦合程度划分,可以分 为强耦合接口、弱耦合接口和一般耦合接口; ? 按接口中数据传输的频率来划分,可以分为实时接口 与周期性接口。 ? 其他的分类方法
计算机数据审计接口
五、接口可以分为3层
? 逻辑层:表示信息含义的语言,对信息的含 义进行定义和描述 ; ? 传输层:载运信息语言的方式,选择最合适 的方式完成源系统到目标系统之间的信息传 输; ? 控制层:控制信息交换过程的规程,保证信 息传输的适时性、正确性和有效性 。
2010年
33
2010年
34
计算机数据审计接口
源系统 目标系统
逻辑层的特点
又称为接口标准
? GB/T19581-2004《信息技术 会计核算软件数据 接口》 ? 中国软件行业协会98-001标准 ? 上海市地方标准 ? 国家电子政务标准
逻辑层
各种接口标准:如EDIFACT,财务软件接口标准等
传输层
数据采集
数据传输
数据接收
描述接口标准的语法必须没有二义性
控制层 适时控制 传输控制 验证控制
2010年
35
2010年
36
传输层的实现方式
被审计单位信息系统和审计系统之间采用数 据库连接件(如ODBC)通过计算机网络直 接相连。 被审计单位信息系统和审计应用系统采用交 换文件传输数据。
传输层的实现方式
2010年
37
2010年
38
传输层的实现方式
控制层的任务
核对总记录数、总金额 检查借贷是否平衡 顺序码断号、重号验证 检查勾稽关系
2010年
39
2010年
40
计算机数据审计接口
六、接口的开发、管理和使用策略
? 审计接口的开发需要被审计单位和审计部门 双方共同参加。 ? 编程实现后,要由双方共同进行确认测试, 确认接口功能的正确性,并对接口开发工作 进行评审认定。 ? 审计接口在使用时,首先由双方人员对要使 用的审计接口进行核查。
基础篇要点回顾
1、计算机数据审计特点 2、计算机数据审计流程 3、计算机数据审计对象 4、计算机数据审计常用文档 5、计算机数据审计接口
2010年
41
2010年
42
谢谢!
上海国家会计学院远程教育网
版权所有
计算机数据审计课程框架
第一部分 基础篇
计算机数据审计
1、计算机数据审计特点 2、计算机数据审计流程 3、计算机数据审计对象 4、计算机数据审计常用文档 5、计算机数据审计接口
吴笑凡 博士
版权所有
2010年
2
计算机数据审计特点
一、引言——从“计算机审计” 谈起
1、计算机审计的3层含义: ? 面向数据的审计,即计算机数据审计 ? 面向现行信息系统的审计 ? 对信息系统生命周期的审计
计算机数据审计特点
二、什么是计算机数据审计
? 运用计算机审计技术对被审计单位与财政收 支、财务收支有关的计算机信息系统所存储 和处理的电子数据进行的审计。 ? 通过对被审计单位的电子数据进行采集、转 换、清理、验证和分析,帮助审计人员掌握 总体情况,发现审计线索,搜集审计证据, 形成审计结论,实现审计目标。
2010年
3
2010年
4
计算机数据审计特点
三、电子数据的特点
? 存储介质改变 ? 基于一定的数据处理平台,有一定的数据模型 ? 数据表示编码化 ? 带来系统控制和数据安全性的新问题 ? 审计线索改变 小知识:老账龄纸质账本真假辨别方法
2010年
5
计算机数据审计特点
四、数据审计VS信息系统审计
? 区别
• 审计对象不同 • 工作的侧重点不同 • 使用的技术方法不同 ? 联系 • 信息系统是电子数据存储和处理的环境,电子数据 不能独立于信息系统存在 • 电子数据是信息系统功能的重要体现
2010年
6
计算机数据审计流程
一、调查阶段 二、数据采集 三、数据验证、清理和转换 四、建立审计中间表 五、把握总体,选择重点 六、建模分析 七、延伸、落实与取证
2010年
7
计算机数据审计流程
一、调查阶段
1、一般思路 ? 审计目标→审计内容与重点→审计内容所涉及 的信息系统→与信息系统相关的电子数据
2010年
8
计算机数据审计流程 一、调查阶段
2、调查内容-组织结构
? 管理体制
• 在管理集中度高的单位,系统相应是集中式的; • 数据由下级部门录入并上传,下级部门可能了解数据结构,也 可能根本不知道数据结构; • 在上传前可能进行具体的数据处理,也可能不进行任何处理, 只上传原始数据; • 通过对管理体制的调查,可以为以后确定索取哪些技术资料、 数据,以及索取的方式方法等提供依据;
计算机数据审计流程
一、调查阶段
2、调查内容--计算机信息系统
? 对计算机信息系统概况的调查
• • • • • 硬件设备 系统软件 系统技术文档资料 系统的主要功能 系统的业务处理流程
? 对数据库及数据的调查
• 数据库相关技术情况
– 系统设计说明书 – 数据库详细设计说明书,基本包含以下内容: » 总数据流图和具体业务数据流图、软件结构图设计 » 数据库表间关系图 » 表结构描述 » 数据库SQL文件(含表、视图、触发器、存储过程等) – 用户使用手册
? 部门设置情况 ? 部门具体职能 ? 部门内计算机信息系统的情况
2010年
• 并非所有的业务都一定运用计算机信息系统 • 选择重点部门进行部门内计算机信息系统情况的调查
9
• 系统对业务处理的流程
2010年
10
计算机数据审计流程
一、调查阶段
3、调查方法--提出数据需求 ? 确定所需数据内容 ? 确定数据获取的具体方式 ? 提出书面数据需求
计算机数据审计流程
一、调查阶段
4、示例
2010年
11
2010年
12
计算机数据审计流程
二、数据采集
1、数据采集是计算机数据审计的前提和基础。 2、数据采集方法 ? 通过数据接口采集 ? 直接拷贝 ? 通过备份文件恢复
计算机数据审计流程
三、数据验证、清理和转换
1、数据验证 ? 检查被审计单位所提供电子数据的真实性、 准确性和完整性。 2、数据清理 ? 为提高数据质量而对缺失的、不准确的、不 一致的等有质量问题的电子数据进行处理。 3、数据转换 ? 数据库格式的转换以及数据内容的转换
2010年
14
2010年
13
计算机数据审计流程
四、建立审计中间表
1、审计中间表 ? 利用被审计单位数据库中的基础电子数据, 按照审计人员的审计要求,由审计人员构建 ,可供审计人员进行数据分析的新型审计工 具。它是实现数据式审计的关键技术。 2、基础性中间表 3、分析性中间表
计算机数据审计流程
五、把握总体,选择重点
1、根据审计目标进行总体分析,把握被审计单 位的总体情况,找准薄弱环节,确定审计重 点。 2、可以从不同层次、不同角度对被审计单位的 电子数据进行汇总、核对与分析
2010年
15
2010年
16
计算机数据审计流程
六、建模分析
? 根据法律、法规和制度规定的状态和关系来建立 ; ? 根据业务的逻辑关系来建立; ? 根据不同类型数据之间的对应关系来建立; ? 根据审计人员的符合客观实际的经验来建立; ? 根据审计人员的合理的预测来建立。
计算机数据审计流程
七、延伸、落实与取证
? 需要根据审计分析模型的分析结果,对发现 的问题进行取证,对发现的问题线索进一步 核查、落实。
2010年
17
2010年
18
计算机数据审计对象
一、对象之一:数据库类型的数据
? 数据库的数据文件 ? 数据库的备份文件 ? 数据库系统
计算机数据审计常用文档
一、信息系统开发的方法
? 生命周期法 ? 原型法 ? 面向对象的方法 ? 计算机辅助软件工程
二、对象之二:非数据库类型的数据
? 数据交换文件
• 文本文件、电子表格和XML文件等
? 文档文件
• 电子邮件、打印格式的输出报表、WORD文档等
? 其他的操作系统文件
• 数据库日志等
2010年
19
2010年
20
计算机数据审计常用文档
二、信息系统开发的过程
? 系统规划 ? 系统分析 ? 系统设计 ? 系统实施 ? 系统运行与维护
计算机数据审计常用文档
系统分析阶段 系统调查
? 业务流程图(Transaction Flow Diagram,TFD)
需求分析
? 数据流程图(Data Flow Diagram,DFD) ? 数据字典(Data Dictionary,DD)
系统设计阶段 详细设计
? 数据库表结构
21
2010年
2010年
22
计算机数据审计常用文档
三、常用文档
? 业务流程图 ? 数据流程图 ? 数据字典 ? 数据库表结构
计算机数据审计常用文档
三、常用文档
? 业务流程图
2010年
23
2010年
24
计算机数据审计常用文档
三、常用文档
? 数据流程图
计算机数据审计常用文档
三、常用文档
? 数据字典
• 数据字典是在系统设计过程中对各类基本要素进行描述的集合 。它是描述系统逻辑模型的重要工具。数据字典的组成部分:
– – – – – 数据项 数据结构 数据流 数据存储 处理过程
• 其中数据项是数据的最小组成单位,若干个数据项可以组成一 个数据结构,数据字典通过对数据项和数据结构的定义来描述 数据流和数据存储的内容。
2010年
25
2010年
26
“数据项”举例
销售业务中有很多数据项,其中“科目代码”数据项 可以描述如下: 数据项编号:Item001 数据项名称:KMDM 数据项含义说明:唯一标识每个科目 别名:科目代码 数据类型:字符型 数据长度:9 取值范围:100000000至999999999 取值含义: 前3位是一级科目,后面每2位是一个科目 级别 与其他数据项的逻辑关系:
2010年
27
“数据流”举例
数据流“工资结算单”可以描述如下: 数据流编号:Flow001 数据流名称:GZJSD 说明:财务部门计算的工资结算单 数据流来源:财务部门 数据流去向:职工 组成(数据结构):职工号+姓名+性别+基本工资+出勤工日 +缺勤工日+病假+事假+工伤假+应扣工资+副食补贴+物 价补贴+房租水电+储蓄+其他+实发工资 平均流量:1500/月(单位职工人数) 高峰期流量: 低谷期流量:
2010年
28
“处理过程”举例
处理过程“登记日记账”可描述如下: 处理过程编号:Proc001 处理过程名称:DJRJZ 输入数据流:记账凭证 输出数据流:现金及银行存款日记账 处理说明:根据收款凭证、付款凭证逐笔顺序登记现金日记 账和银行存款日记账 处理要求:每月处理多次,每次处理时间小于15分钟
计算机数据审计常用文档
三、常用文档
? 数据库表结构
字段名称 Rsc_Code Rsc_Name Type Available Exp_Date 字段含义 资源编号 资源名称 资源类型 剩余额度 有效期限 字段类型 字符型 字符型 字符型 字符型 日期时间型 字段属性 关键字 非空 非空 非空 非空
2010年
29
2010年
30
数据字典→数据库表结构
在实际工作中,被审计单位可能无法提供格 式规范、内容齐全的数据字典,所提供的大 多是数据库表结构的含义说明文档,包括数 据库表名的含义及字段名的含义说明。
计算机数据审计接口
一、定义
? 审计接口是从被审计信息系统向审计应用系统 传送审计信息的规范和程序。
二、接口内容
? 传送数据的格式和规范 ? 完成传送作业的程序
三、数据传递的方式
? 系统内部多采用参数或共享数据来完成 ? 系统与系统之间传递信息需要开发专用的数据 接口
2010年
31
2010年
32
计算机数据审计接口
四、接口分类
? 按接口的用途划分,可以分为通用接口和专用接口; ? 按接口与源系统和目标系统的耦合程度划分,可以分 为强耦合接口、弱耦合接口和一般耦合接口; ? 按接口中数据传输的频率来划分,可以分为实时接口 与周期性接口。 ? 其他的分类方法
计算机数据审计接口
五、接口可以分为3层
? 逻辑层:表示信息含义的语言,对信息的含 义进行定义和描述 ; ? 传输层:载运信息语言的方式,选择最合适 的方式完成源系统到目标系统之间的信息传 输; ? 控制层:控制信息交换过程的规程,保证信 息传输的适时性、正确性和有效性 。
2010年
33
2010年
34
计算机数据审计接口
源系统 目标系统
逻辑层的特点
又称为接口标准
? GB/T19581-2004《信息技术 会计核算软件数据 接口》 ? 中国软件行业协会98-001标准 ? 上海市地方标准 ? 国家电子政务标准
逻辑层
各种接口标准:如EDIFACT,财务软件接口标准等
传输层
数据采集
数据传输
数据接收
描述接口标准的语法必须没有二义性
控制层 适时控制 传输控制 验证控制
2010年
35
2010年
36
传输层的实现方式
被审计单位信息系统和审计系统之间采用数 据库连接件(如ODBC)通过计算机网络直 接相连。 被审计单位信息系统和审计应用系统采用交 换文件传输数据。
传输层的实现方式
2010年
37
2010年
38
传输层的实现方式
控制层的任务
核对总记录数、总金额 检查借贷是否平衡 顺序码断号、重号验证 检查勾稽关系
2010年
39
2010年
40
计算机数据审计接口
六、接口的开发、管理和使用策略
? 审计接口的开发需要被审计单位和审计部门 双方共同参加。 ? 编程实现后,要由双方共同进行确认测试, 确认接口功能的正确性,并对接口开发工作 进行评审认定。 ? 审计接口在使用时,首先由双方人员对要使 用的审计接口进行核查。
基础篇要点回顾
1、计算机数据审计特点 2、计算机数据审计流程 3、计算机数据审计对象 4、计算机数据审计常用文档 5、计算机数据审计接口
2010年
41
2010年
42
谢谢!
上海国家会计学院远程教育网
版权所有