第七章信息系统审计技术方法

第七章信息系统审计技术方法 在信息系统审计过程中，需要运用各种审计技术方法以获取审计证据、完成审计任务。随着计算机信息技术的发展与应用，在信息系统审计中除了采取传统的审计方法以外，计算机辅助审计技术得到了广泛的应用。第一节风险评估技术 IS审计师在实施信息系统审计时，必须评估存在的不同的审计风险，并且选择高风险的区域进行审计。如何评估存在的审计风险？涉及：风险分析技术 IS审计师可以选择多种风险分析技术，可采用计算机辅助分析，也可以采用人工分析风险分析的标准可以是简单的定性分类，也可以通过复杂的科学计算进行定量计算。

（一）风险评估常用定性评估技术： 1、定性分级技术：根据风险从低到高分级如：用1-5分进行定性分级；用高、中、低分级考虑因素：审计对象的技术复杂性、现有控制程序的水平、可能造成的财务损失，等因素方法：根据每一个因素给出一个分值（如5分制、10分制），然后把各种因素的风险值累计即为的风险值，然后对根据分值大小进行排列。 2、经验判断法：原理：审计师根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断，以决定风险大小。（二）风险评估常用定量评估技术：基于一个数学模型的定量分析技术：数学模型公式：风险=威胁ⅹ弱点ⅹ影响

威胁表示：3（高风险）、2（中风险）、1（低风险）、0（无）威胁表示：3（高风险）、2（中风险）、1（低风险）、0（无）弱点表示：事件发生的概率在0——1之间影响表示：0——7之间

第二节审计抽样技术 审计抽样是从审计总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。审计抽样分类的方法有很多种，常用的分类方法是：按抽样决策的依据不同分为：统计抽样和非统计抽样；依据所了解的总体特征的不同分为：属性抽样和变量抽样。一、统计抽样和非统计抽样统计抽样(Statistical Sampling)：是审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，统计抽样采用客观的方法来决定样本量大小及抽样方式。非统计抽样(Non—statistical Sampling)：是审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论。两者最根本的区别：非统计抽样不能量化抽样风险，而统计抽样可以。

二、属性抽样和变量抽样 属性抽样：用来估计一个控制或一组相关控制属性的发生概率。主要用来测试控制的，与符合性测试相关。在进行控制测试时，属性抽样又可分为以下三种基本方法： 1、固定样本量抽样（Fixed sample – size sampling）：常用于估计审计对象总体中某种偏差的发生比例。其特点是预先确定样本量，在执行抽样计划的过程中不再进行变动。 2、停--走抽样（stop – or go sampling）：是在固定样本量抽样的基础上的一种改进形式。它从预计总体误差为零开始，通过边抽样边审查评价来完成审计工作。可以克服固定样本量抽样时要选取过多的样本缺点，提高审计工作的效率。 3、发现抽样（discovery sampling）：

是属性抽样的一种特殊形式，主要用于查找非法重大事件。其是属性抽样的一种特殊形式，主要用于查找非法重大事件。其理论依据是，如果总体偏差率大于或等于某一特定比率，那么在既定的可信赖程度下，从一个足够大的样本中至少能查出一个偏差。变量抽样：是根据总体的抽样来估计总体的金额数或其他衡量单位。与实质性测试相关。其主要目的是验证可能存在于程序或功能中的因控制失效导致重大影响的重大金额。在选用这种方法时，必须满足以下三个条件： 1、设计分层样本的能力； 2、审计价值与账目价值之间的差异不能太大； 3、资料的可得性。变量抽样法主要运用在实质性测试中。通常有以下几种常用方法： 1、分层单位平均估计抽样(Stratified Mean Per unit) ：

先对样本总体进行分层，在不同分层中进行抽样检查确定样先对样本总体进行分层，在不同分层中进行抽样检查确定样本的平均值，根据样本平均值推断总体的平均值和总值。 2、不分层单位平均估计抽样(Unstratified Mean Per unit) ：通过抽样检查确定样本的平均值，根据样本平均值推断总体的平均值和总值。 3、差额估计抽样（difference estimation）：以样本实际价值与帐面价值的平均差额来估计总体实际价值与帐面价值的平均差额，然后再以这个平均差额乘以总体项目个数，从而求出总体的实际价值与帐面价值差额。在实质性测试中，如果推断的总体误差超过了可容忍误差，应增加样本量或执行替代审计程序。在符合性测试中，如果认为抽样结果无法达到其对所测试内部控制的预期信赖程度，则应考虑增加样本量或者修改实质性测试程序。

第三节计算机辅助审计技术与工具 在信息系统审计中，为了达到审计目的，必须要收集大量存储于计算机的数据，并借助于计算机对这些数据进行分析，以得出结论。因此，计算机辅助审计技术（computer assisted audit techniques ,CAATs）越来越成为审计师不可或缺的工具。目前，计算机辅助审计技术与工具主要包括以下几种：（一）通用和专业审计软件是一组能够读取、计算、分析计算机可读记录的程序。通用审计软件：具有较强的扩充能力和较为广泛的适用范围和应用前景；专业审计软件：适用范围较小，功能和专用性强。主要功能： 1、数据读取和转换； 2、查询； 3、计算； 4、分类； 5、抽样选择； 6、排序； 7、数据文件联结、比较、合并； 8、输出。

（二）实用工具软件。包括： 1、评估安全性和完整性的工具软件。如：访问控制分析软件 2、熟悉系统的工具软件。如：系统配置分析软件、流程图制作器 3、评价数据质量的工具软件。如：查询工具、数据比较软件 4、评估程序质量的工具软件。如：程序比较软件、测试数据生成器 5、辅助审计程序开发的工具软件。如：程序生成器 6、辅助生成有关审计文档的工具软件。如：文档生成器、办公软件（三）性能度量工具包括：硬件监测器、软件监测器、固件监测器、混合监测器（四）测试数据法（平行模拟法）基本原理：通过编制模拟程序输入测试数据与实际应用程序结果比较，以评价系统。

测试数据 模拟程序实际应用程序处理结果1 处理结果2 结果比较审计评价测试数据法（平行模拟技术）

（五）连续在线审计 连续在线审计可以利用信息技术在不中断被审计业务系统的正常运行的情况下，对业务系统的内部控制进行检查与评估，连续监测系统运作，评价系统安全性、有效性以及评价数据的真实性和完整性。目前常用的连续在线审计方法有以下几种： 1、系统控制审计检查文件/嵌入式审计模型（SCARF/EAM）：通过在应用系统中嵌入特殊的审计软件模块，实现对系统有选择的监测。 IS审计师在认为重要的控制点上嵌入审计模块对系统中的事务进行连续的监控，将收集的信息写入一个特殊的审计文件——SCARF主文件。

事务文件 输入主文件 SCARF 更新程序（含SCARF嵌入式审计模块） SCARF 报告系统更新报告输出主文件审计报告

应用系统 ITF 2、整体测试法（ITF）：通过在系统中建立虚拟实体（dummy entity），用正常系统运行，对结果进行比较分析，判断控制。适用于一般测试数据不能有效测试系统控制的情况。在实施整体测试方法时要注意测试数据可能会进入被审计系统的真实数据环境。终端实际数据结果分析比较终端测试数据

3、快照： 对输入业务标记，记录业务的处理轨迹，适用于需要记录审计轨迹的情况。事务输入有效性确认程序快拍点1，2，3 快拍报告出错报告输入主文件输出主文件快拍点4，5，6 更新程序报告程序快拍点7 快拍报告更新报告快拍报告管理报告

4、持续性与间歇性模拟（CIS）： 采用计算机系统模拟事务/交易的执行，当事务/交易满足预定的标准，对该事务/交易进行检查，否则等待下一个满足标准事务/交易的输入。适用于在已确定满足某种条件的数据需要被检查的情况。事务数据库管理系统应用系统数据库比较建立标准 CIS 异常日志连续和间歇模拟CIS原理

5、审计钩： 在应用系统中嵌入审计钩程序，在审计人员既定的错误或不规范问题失控之前引导IS审计师进行检查，并实施相应的控制。这种方法针对特定的业务或过程进行检查。目前，多数ERP软件包、操作系统和网络管理软件等都提供了连续监控与连续审计工具的采样器，针对这些环境，如果适当的配置、应用相关规则、设置参数和公式，投入生产后可以获得预期的例外交易清单，这也是实施连续在线审计的具体事例。（六）审计专家系统作为一种决策支持工具，专家系统可以为审计师提供指导及有价值的信息。

（七）其他特殊的审计软件。 以上工具或技术可以帮助审计师对交易与账面数据的详细测试、实施分析性的检查过程、对信息系统一般控制与应用控制进行符合性测试、对操作系统脆弱性进行评估及实施穿透性测试等。

本章习题： 1、简述审计抽样方法的类型及适用情况 2、简述计算机辅助审计技术与工具

第七章 信息系统审计技术方法