用于數(shù)據(jù)分析的CAATs

1、INTOSAI IT審計(jì)委員會INTOSAI IT審計(jì) 培訓(xùn)計(jì)算機(jī)輔助審計(jì)技術(shù)CAATS 學(xué)員資料2004年9月目錄1.簡介11.1本教程的編寫初衷和教學(xué)目標(biāo)11.2CAATs的作用22.CAATS種類12.1程序?qū)彶榕c文件審查12.2用于計(jì)算機(jī)程序分析的 CAATs12.3檢查數(shù)據(jù)流22.4檢查數(shù)據(jù)和文件的完整性22.5嵌入審計(jì)模塊32.6其他工具32.7用于數(shù)據(jù)分析的CAATs42.8數(shù)據(jù)分析-問題探討53.使用CAATS進(jìn)行數(shù)據(jù)分析中要考慮的問題63.1何時(shí)使用CAATs數(shù)據(jù)分析63.2何時(shí)使用CAATs進(jìn)行程序分析64.將CAATS引入審計(jì)機(jī)關(guān)75.CAATS職能的組織86.數(shù)據(jù)訪問9

2、7.分階段使用CAATS的方法10118.數(shù)據(jù)的選取9.數(shù)據(jù)分析工具129.1通用審計(jì)軟件129.2SQL和基于SQL的工具129.3SQL中的SELECT '語句149.4Microsoft Access159.5其他工具1610.數(shù)據(jù)下載1711.CAATS的設(shè)計(jì)、實(shí)施和檔案記錄1811.1CAATs的設(shè)計(jì)1811.2文檔歸集的要求-檢查清單181. 簡介1.1本教程的編寫初衷和教學(xué)目標(biāo)編寫本教程是為了向大家介紹計(jì)算機(jī)輔助審計(jì)技術(shù) CAATs 。目的是為了使審計(jì)人員能夠 理解在何時(shí)、何地，可以使用哪些 CAAT工具。本教程并不具體針對某種軟件工具，也不涉及 CAATs的開發(fā)。然而，

3、可以利用某些具體的軟 件工具資料做為本教程的補(bǔ)充。這類資料可以通過以下途徑取得：市場上銷售的或EDP委員會專門開發(fā)的完整培訓(xùn)教程，或者是不同國家審計(jì)機(jī)關(guān)提供的具體案例。盡管這種案例不會象培訓(xùn)教程那樣具 有一般性，但它們可以通過在不同環(huán)境下的實(shí)際工作經(jīng)驗(yàn)，為各國審計(jì)機(jī) 關(guān)提供有益的指導(dǎo)。這些案例可能是針對某種軟件工具或是針對某個(gè)審計(jì) 領(lǐng)域。雖然本教程中也會涉及一點(diǎn)程序的檢查，但主要還是集中在CAATs在數(shù)據(jù)分析中的運(yùn)用。數(shù)據(jù)下載是IT審計(jì)人員在使用CAATs過程中的一個(gè)重要步驟，該局部內(nèi)容將會在另一個(gè)獨(dú)立的 教程中討論，本教程不包括這方面的內(nèi)容。在學(xué)完本教程之后，學(xué)員們應(yīng)該能夠理解如下內(nèi)容：*

4、CAATS的作用：CAATS在審計(jì)過程中發(fā)揮作用的途徑；* CAATS的種類：用于程序檢查和數(shù)據(jù)分析的CAATs的之間的區(qū)別，和兩種常用的 CAATs，以及與數(shù)據(jù)分析相關(guān)的一些關(guān)鍵問題；* CAATs的使用條件：適于使用CAATs的條件，以及將CAATs引入審計(jì)機(jī)關(guān)的方 法；* CAATs職能的組織：可以選擇的不同CAATs職能組織方式，以及在做出選擇時(shí)應(yīng) 考慮的相關(guān)因素；*數(shù)據(jù)的訪問：訪問客戶數(shù)據(jù)的方法，以及這些方法之間的優(yōu)缺點(diǎn)；* 一種分階段的使用CAATs的方法，以及不同階段的詳細(xì)介紹；*數(shù)據(jù)選擇的相關(guān)問題；*數(shù)據(jù)分析的常用工具；*與數(shù)據(jù)下載相關(guān)的一些關(guān)鍵問題，以及 .* CAATs的設(shè)

5、計(jì)和文檔記錄的相關(guān)問題。1.2 CAATs的作用我們可以將計(jì)算機(jī)輔助審計(jì)技術(shù)或 CAATs定義為：為了提高審計(jì)過程的效果和效率而使用的 基于計(jì)算機(jī)的工具；另外一種定義是：審計(jì)人員使用計(jì)算機(jī)作為工具，進(jìn)行數(shù)據(jù)采集和分析 工作的相關(guān)技術(shù)。本教程不涉及那些單純用于行政事務(wù)管理的軟件工具，而只包括那些可以 使審計(jì)工作更加有效的軟件工具。必須指出的是，CAATs的使用并未改變審計(jì)的目標(biāo)，而只是改變了審計(jì)的方法。當(dāng)今，許多 甚至說是絕大多數(shù)信息處理環(huán)境下，審計(jì)證據(jù)要么無法以紙質(zhì)文檔的形式存在，要么是根據(jù) 電子數(shù)據(jù)打印出來因此可靠性會降低。因此，審計(jì)人員不得不依靠CAATs才能搜集到充分、相關(guān)及可靠的證據(jù)。

6、被審計(jì)單位最初使用電子數(shù)據(jù)處理的時(shí)期，審計(jì)人員將 IT系統(tǒng)當(dāng)作一個(gè)黑箱，實(shí)施“繞過計(jì) 算機(jī)審計(jì)。經(jīng)過了假設(shè)干年的開展審計(jì)人員包括最高審計(jì)機(jī)關(guān)能夠運(yùn)用CAATs，對被審計(jì)單位的電子數(shù)據(jù)實(shí)施“通過計(jì)算機(jī)的審計(jì)。這種趨勢不僅為審計(jì)的實(shí)施階段，也為審計(jì) 的方案階段帶來好處。雖然使用CAATs的初衷集中在財(cái)務(wù)審計(jì)和合規(guī)性審計(jì)，但隨著最高審 計(jì)機(jī)關(guān)的審計(jì)性質(zhì)和審計(jì)重點(diǎn)的改變，CAATs越來越多用于效益審計(jì)和案件調(diào)查審計(jì)中，并發(fā)揮了積極的作用。在審計(jì)的方案階段，使用CAATs著眼于如何提高審計(jì)效果，如：重大/重要的趨勢和規(guī)律可能更加直觀地顯現(xiàn)出來，并使得下一步的審計(jì)工作重點(diǎn)更加突出，無論是手工審計(jì)還是計(jì)算機(jī)

7、化的審計(jì)。-由于被審計(jì)單位在開始審計(jì)之前就可以提供電子數(shù)據(jù)，審計(jì)人員就有了在數(shù)據(jù)上“自由發(fā)揮的能力。這方面的作用不可低估，尤其是在效益審計(jì)和案件調(diào)查審 計(jì)工程中。在審計(jì)的實(shí)施階段，通常是著重于如何提高審計(jì)的效率：*提高審計(jì)的覆蓋面-包括深度和廣度；節(jié)省時(shí)間和本錢；-提出更加復(fù)雜的審計(jì)問題，并提高分析能力；-為創(chuàng)新審計(jì)方法提供更多時(shí)機(jī)。2. CAATS 種類2.1程序?qū)彶榕c文件審查在審計(jì)工作中，可以將CAATS分為兩個(gè)不同的領(lǐng)域：*程序?qū)彶?數(shù)據(jù)分析從廣義上講，針對計(jì)算機(jī)程序的CAATs關(guān)注于對計(jì)算機(jī)程序的不同處理過程進(jìn)行審查。從理 論上講這種審查可以覆蓋整個(gè)計(jì)算機(jī)程序，當(dāng)然這種情況在實(shí)踐中很難

8、實(shí)現(xiàn)。另一方面，針 對數(shù)據(jù)的CAATs只關(guān)注數(shù)據(jù)分析，而不關(guān)注產(chǎn)生數(shù)據(jù)的計(jì)算機(jī)程序。這倒不一定是說，數(shù)據(jù) 分析的CAATs只能用于實(shí)質(zhì)性測試，而針對計(jì)算機(jī)程序的 CAATs就只能用于基于系統(tǒng)的審 計(jì)。計(jì)算機(jī)程序的審查一般只用于合規(guī)性審計(jì)或者最多能用于財(cái)務(wù)證實(shí)性審計(jì)，數(shù)據(jù)分析可 以用于效益審計(jì)和案件調(diào)查審計(jì)。實(shí)際上，數(shù)據(jù)分析用在評估控制的實(shí)際效果方面也十分有用，并不一定只依靠對程序的分析對程序的分析只是IT控制的一個(gè)方面。一般來說，使用針對計(jì)算機(jī)程序的CAATs需要較高的專業(yè)技術(shù)水平，以及與被審計(jì)單位的技術(shù)環(huán)境相關(guān)的專門知識和技能。這對于許多最高 審計(jì)機(jī)關(guān)來說可能并不一定是可行的，尤其是對于那些

9、缺少IT審計(jì)專家對應(yīng)于INTOSAI IT審計(jì)教學(xué)大綱中描述的技術(shù)水平的第3級的審計(jì)機(jī)關(guān)來說。同樣，計(jì)算機(jī)程序分析一般只用于合規(guī)性審計(jì)或者最多能用于財(cái)務(wù)證實(shí)性審計(jì)，數(shù)據(jù)分析用 于效益審計(jì)和案件調(diào)查審計(jì)十分有效。因此，在大多數(shù)據(jù)情況下，運(yùn)用CAATs進(jìn)行數(shù)據(jù)分析不僅更加可行，而且可以用于更加廣泛的領(lǐng)域。2.2用于計(jì)算機(jī)程序分析的CAATs 這方面的CAATs可以歸為以下幾類：檢查數(shù)據(jù)流快照追蹤映像檢查數(shù)據(jù)和文件的完整性平行模擬測試數(shù)據(jù)生成器和整體測試工具嵌入審計(jì)模塊系統(tǒng)控制審計(jì)復(fù)查文件SCARF樣本審計(jì)復(fù)查文件SARF其他工具源代碼檢杳程序庫分析代碼比擬用戶日志分析2.3檢查數(shù)據(jù)流快照Snaps

10、hot-是一種實(shí)用工具軟件，審計(jì)人員可以用它將一個(gè)計(jì)算機(jī)程序在某 一點(diǎn)凍結(jié)。這樣就可以檢查交易的值和運(yùn)行的程序所完成的處理?？煺帐且环N快速和 相對容易的工具，但它的功能有限，而且只能針對具體的軟件。快照的典型例子是， 在程序中參加一個(gè)代碼行，以便將程序中斷并輸出某個(gè)特定變量的值。另一個(gè)例子是 開發(fā)工具所提供的程序排錯(cuò)功能，它可以使程序在規(guī)定的模式下運(yùn)行；每一步都可以 對不同的數(shù)據(jù)值進(jìn)行檢查。追蹤Tracing-這種方法涉及生成一個(gè)完整的審計(jì)軌跡，以便在處理過程中對交 易進(jìn)行追蹤。通過追蹤，可以看到每一個(gè)代碼行對所處理的數(shù)據(jù)產(chǎn)生的效果或者程序 本身的結(jié)果。如果一個(gè)程序不能正確地將交易匯總，通過追

11、蹤的方法就可以發(fā)現(xiàn)錯(cuò)誤 出現(xiàn)在哪里。追蹤的主要優(yōu)點(diǎn)是，這種方法可以使審計(jì)人員看到程序運(yùn)行的不同階 段，而這種階段的變化在正常情況下是非?？斓摹Ｗ粉櫡椒ǖ娜秉c(diǎn)是，這種方法要求 審計(jì)人員具有編程的知識，而且不同的軟件的追蹤功能也各不相同。映像Mapping-這種方法涉及對程序的執(zhí)行進(jìn)行監(jiān)視，以取得某些統(tǒng)計(jì)信息。 如：未被執(zhí)行的程序代碼、某些特定的代碼行執(zhí)行的次數(shù)等等。審計(jì)人員可以通過映 像功能發(fā)現(xiàn)冗余代碼或用于舞弊目的的代碼。2.4檢查數(shù)據(jù)和文件的完整性平行模擬Parallel Simulation-使用這種工具，審計(jì)人員可以對所測試的應(yīng)用程 序或其中的一局部進(jìn)行再次執(zhí)行。平行模擬法的使用包括建立

12、另外一套獨(dú)立的代碼， 來模擬所要測試的功能。平行模擬的結(jié)果可以與應(yīng)用程序的處理結(jié)果進(jìn)行比擬。這種 方法的好處在于它可以證明系統(tǒng)中計(jì)算或處理過程的準(zhǔn)確性，而不對系統(tǒng)本身產(chǎn)生影 響。采用這種方法，審計(jì)人員需要對系統(tǒng)非常了解，并具備豐富的編程經(jīng)驗(yàn)。測試數(shù)據(jù)生成器Test Data Generators和整體測試工具Integrated Test Facilities-這種工具可以根據(jù)審計(jì)人員的要求生成測試數(shù)據(jù)。這是一種證明被測試 的應(yīng)用軟件能夠正確地處理數(shù)據(jù)的好方法。采用這種方法，審計(jì)人員需要對被測試的應(yīng)用軟件非常了解，而且必須確保生成的測試數(shù)據(jù)不能對系統(tǒng)中的真實(shí)數(shù)據(jù)產(chǎn)生影 響。整體測試工具由應(yīng)用軟

13、件自己產(chǎn)生，而測試數(shù)據(jù)生成器在應(yīng)用軟件之外產(chǎn)生數(shù)據(jù) 記錄。這種測試的結(jié)果必須從最終報(bào)告只去除，不然匯總結(jié)果將受到影響。要想設(shè)計(jì) 出能夠?qū)?yīng)用軟件控制進(jìn)行全面測試所需的數(shù)據(jù)組合通常也是比擬困難的。2.5嵌入審計(jì)模塊在審計(jì)人員不需要客戶應(yīng)用系統(tǒng)中產(chǎn)生的全部數(shù)據(jù)的情況下，可以使用這種方法。嵌入審計(jì) 模塊可以按照一定的標(biāo)準(zhǔn)從系統(tǒng)中提出信息，以便使審計(jì)人員做進(jìn)一步的測試。嵌入審計(jì)模 塊也可以在應(yīng)用系統(tǒng)運(yùn)用期間執(zhí)行某些功能。例如，可以用它來去除審計(jì)人員為了證明系統(tǒng) 有效性而植入的測試數(shù)據(jù)。嵌入審計(jì)模塊有以下三方面的優(yōu)點(diǎn)：- 審計(jì)人員可以得到一個(gè)數(shù)據(jù)文件，其中只包括與審計(jì)切實(shí)相關(guān)的信息； 可以就測試記錄從應(yīng)

14、用系統(tǒng)中刪除，以免計(jì)算的匯總結(jié)果； 可以在預(yù)定的某一點(diǎn)按照審計(jì)人員要求的格式提取到變化不定的數(shù)據(jù)隨著程 序的運(yùn)行而變化或后續(xù)程序?qū)?shù)據(jù)改變。嵌入審計(jì)模塊的缺點(diǎn)存在于以下三個(gè)方面： 如果審計(jì)人員想要編寫一個(gè)嵌入審計(jì)模塊，就必須對系統(tǒng)有十詳細(xì)的了解并掌 握編程技巧；* 如果是由被審計(jì)單位的人替審計(jì)人員編寫，那么編程要求必須準(zhǔn)確并且容易實(shí) 現(xiàn)?？蛻敉ǔＰ枰A(yù)約對程序進(jìn)行改動的日期，這會耽誤取得審計(jì)所需要的信 息；- 審計(jì)人員必須有方法確保從中提取數(shù)據(jù)或從中抽樣的數(shù)據(jù)文件是完整的。由被 審計(jì)單位人員編寫嵌入審計(jì)模塊，就相當(dāng)于被審計(jì)單位可以進(jìn)行相同的審計(jì)工 作，而這是審計(jì)人員的責(zé)任。采用嵌入審計(jì)模塊方法

15、的兩個(gè)特例是系統(tǒng)控制審計(jì)檢查文件SCARF和抽樣審計(jì)檢查文件SARF:* SCARF方法是將審計(jì)人員確定的合理性測試植入應(yīng)用程序中，隨著程序的運(yùn) 行，那些不合理的交易就會被復(fù)制到一個(gè)專門的文件中以供審計(jì)人員隨后審 查。* SARF方法與SCARF方法相類似，它只是隨機(jī)地抽取數(shù)據(jù)而不是根據(jù)設(shè)定的合 理性條件來抽取數(shù)據(jù)。2.6其他工具源代碼審查(Source Code Reviews : 審計(jì)人員可以嘗試審查程序源代碼的片斷。 一般來說，審查全部的源代碼是不切實(shí)際的；審計(jì)人員通常是重點(diǎn)審查幾個(gè)感興趣的 片斷，如：金額的計(jì)算、關(guān)鍵邏輯點(diǎn)。程序庫分析(Program Library Analysis)

16、：在程序輸出結(jié)果中出現(xiàn)異常變化時(shí)，審 計(jì)人員可以通過分析程序修改的記錄，確定問題的潛在原因。代碼比擬(Code Comparison :審計(jì)人員將應(yīng)用軟件的源代碼或目標(biāo)代碼與可靠保 存的原始版本進(jìn)行比擬。審計(jì)人員也常常有興趣去發(fā)現(xiàn)實(shí)際運(yùn)行的經(jīng)編譯的程序(目 標(biāo)代碼)是否真的源自于源代碼的主版本。這樣就可能發(fā)現(xiàn)舞弊人員的篡改或錯(cuò)誤， 以保證正在使用的是軟件的最新版本。用戶日志分析軟件(User Log Analysis Software :這種方法可以發(fā)現(xiàn)未經(jīng)授權(quán)的進(jìn) 入嘗試或非法口令。大多數(shù)系統(tǒng)都有一個(gè)用戶進(jìn)入和登錄嘗試的記錄日志。這個(gè)文件 通常是簡單的文本文件，可以方便地使用文件審查軟件或自

17、己的程序進(jìn)行審查。2.7用于數(shù)據(jù)分析的CAATsCAATs其它方面的用途就是分析被審計(jì)單位的數(shù)據(jù)。由于這方面的應(yīng)用相對容易掌握，這就 使這方面的應(yīng)用占了 CAATs應(yīng)用的絕大局部。有許多審計(jì)軟件和 SQL查詢工具可以用于數(shù)據(jù) 分析，一般用于個(gè)人電腦系統(tǒng)。這些工具適用于合規(guī)性審計(jì)、效益審計(jì)、案件調(diào)查審計(jì)和財(cái) 務(wù)審計(jì)。常用的數(shù)據(jù)分析技術(shù)包括以下幾個(gè)方面：匯總(Totalling)：這是一種用來證明賬戶完整和進(jìn)行調(diào)節(jié)對賬的技術(shù)；分層(Stratification)：可以給審計(jì)人員描繪出一個(gè)文件中的不同的數(shù)值的更加完整 的圖像，以便進(jìn)行更加復(fù)雜的審查及更快地顯示文件中可能存在的問題；數(shù)據(jù)挖掘(Data

18、 mining)：可以用來進(jìn)行比擬和趨勢分析，以找出可以進(jìn)一步分析 和測試的領(lǐng)域；抽樣(Sampling)：審計(jì)人員可以用這種技術(shù)從文件中抽取代表性的交易樣本；例外報(bào)告(Exception reporting)： 選取記錄及按照一定的條件選擇抽取數(shù)據(jù)記錄以 便進(jìn)一步分析；重復(fù)記錄檢查(Duplicate record checks : 查找錯(cuò)誤的支付或可能的舞弊行為；賬齡分析(Ageing)：可以顯示在一定的期間內(nèi)支付的規(guī)律。對交易的收據(jù)日和支付 日之間的時(shí)段進(jìn)行監(jiān)控。這在貨幣價(jià)值審計(jì)(如：支付系統(tǒng)是否能完全發(fā)揮作用？) 中十分有用；斷號查找(Gap detection):顯示在一串連續(xù)的號碼

19、中缺失的號碼?？梢杂糜诎l(fā)現(xiàn)漏 掉的交易或舞弊行為；重新計(jì)算Reperformance of Calculations：可以用來證明處理數(shù)據(jù)中所使用的公式 的正確性?？梢詫斎霐?shù)據(jù)再次處理，以證明控制功能切實(shí)發(fā)揮作用及處理的準(zhǔn)確 性，例如，根據(jù)交易數(shù)據(jù)重新生成資產(chǎn)負(fù)債表和利潤表等財(cái)務(wù)報(bào)表，并與原來打印出 來的版本進(jìn)行比照。2.8數(shù)據(jù)分析-問題探討審計(jì)人員依賴數(shù)據(jù)分析的結(jié)果做出審計(jì)結(jié)論會存在潛在的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)受到以下因素的影 響：* 審計(jì)人員是否僅僅依靠數(shù)據(jù)分析來查找審計(jì)發(fā)現(xiàn)？或者是審計(jì)人員是否還通過 非計(jì)算機(jī)化的審計(jì)測試來為CAATs提供必要的補(bǔ)充證據(jù)？審計(jì)人員是否通過核 對紙質(zhì)文檔來對數(shù)據(jù)分

20、析的結(jié)果進(jìn)行了交叉驗(yàn)證或者至少抽幾個(gè)例子來驗(yàn) 證？* 審計(jì)人員是否執(zhí)行IT系統(tǒng)的控制檢查，以評估進(jìn)入系統(tǒng)或由系統(tǒng)處理的數(shù)據(jù)的 可靠性？審計(jì)人員是否通過與控制總數(shù)調(diào)節(jié)等方式對下載的數(shù)據(jù)的完整性進(jìn)行 了檢查？* 審計(jì)人員對被單位的計(jì)算機(jī)系統(tǒng)，尤其是數(shù)據(jù)，理解到什么程度？這種理解是 否與審計(jì)單位的系統(tǒng)文檔資料進(jìn)行了核對，或與被審計(jì)單位的人員進(jìn)行了討 論？* 審計(jì)人員對CAAT工具掌握到什么程度？審計(jì)人員接受了多大程度培訓(xùn)以及有多 少使用這種軟件工具的經(jīng)驗(yàn)？* 是否有正式的有關(guān)保證數(shù)據(jù)分析質(zhì)量的方法？這種方法一般應(yīng)涉及a監(jiān)督和復(fù)查，b同業(yè)復(fù)查。3. 使用CAATs進(jìn)行數(shù)據(jù)分析中要考慮的問題3.1何時(shí)使

21、用CAATs數(shù)據(jù)分析雖然使用CAATs進(jìn)行數(shù)據(jù)分析可以為審計(jì)機(jī)關(guān)帶來一些好處，但我們還是建議在具體的審計(jì) 環(huán)境中使用CAATs時(shí)，首先要進(jìn)行正式的本錢 -效益分析。這種分析通常只是做一個(gè)定量的 評估。盡管如此，它還是有助于對要產(chǎn)生的好處和本錢設(shè)定一個(gè)更為現(xiàn)實(shí)的期待。主要的本錢是為了準(zhǔn)備使用CAAT所涉及的相關(guān)資源的本錢；這些資源涉及到如下幾個(gè)方面：為理解IT系統(tǒng)所做的工作；*確定使用哪種CAAT工具以及數(shù)據(jù)訪問或傳輸?shù)姆绞?；下載數(shù)據(jù)，進(jìn)行下載檢驗(yàn)/核對。這種本錢從本質(zhì)上說屬于固定本錢，一般與數(shù)據(jù)審查的量和程度無關(guān)。在權(quán)衡是否要使用CAATs時(shí)，需要考慮以下幾個(gè)重要因素： 在未來審計(jì)中要重復(fù)使用

22、CAATs，對于審計(jì)機(jī)關(guān)來說這是很重要的一點(diǎn)，因?yàn)閷徲?jì)機(jī)關(guān)通常與被審計(jì)單位會有一個(gè)長期的審計(jì)關(guān)系與民間審計(jì)事 務(wù)所不同；* 審計(jì)的重要程度很高，或者是已經(jīng)確認(rèn)的高風(fēng)險(xiǎn)審計(jì)領(lǐng)域； 被審計(jì)單位核心業(yè)務(wù)而不是單純的行政管理領(lǐng)域，如：財(cái)務(wù)、人事、存貨等的計(jì)算機(jī)化，可能是實(shí)時(shí)的或在線的交易處理； 相關(guān)的非計(jì)算機(jī)化的審計(jì)技術(shù)不現(xiàn)實(shí)或本錢很高。3.2何時(shí)使用CAATs進(jìn)行程序分析決定是否使用CAATs進(jìn)行程序分析要考慮如下重要因素：* 應(yīng)用程序執(zhí)行關(guān)鍵任務(wù)；* 無法依靠數(shù)據(jù)分析提供有關(guān)控制是否充分有效的保證。4. 將CAATs引入審計(jì)機(jī)關(guān)許多最高審計(jì)機(jī)關(guān)，尤其是那些規(guī)模較小、財(cái)政和人力資源有限的審計(jì)機(jī)關(guān)在工

23、作大多還一 直采用手工審計(jì)技術(shù)。在需要采用 CAATs的情況下，需要以一種有方案的、系統(tǒng)的和分階段 的方式將CAATs引入審計(jì)機(jī)關(guān)： 開始使用計(jì)算機(jī)軟件工具來進(jìn)行一些事務(wù)性工作，如：審計(jì)方案、管理和 報(bào)告，以及辦公自動化： 在一個(gè)試點(diǎn)工程中使用CAATs完成數(shù)據(jù)提取和分析； 然后有選擇地在一些審計(jì)工程中使用； 最后，在所有的審計(jì)工程中使用CAATs，并將其作為一種常規(guī)的審計(jì)方 法。如下幾個(gè)重要因素值得考慮： 取得高層領(lǐng)導(dǎo)的肯定和支持； 用戶培訓(xùn)； 質(zhì)量保證機(jī)制； 資金，包括直接和間接本錢。5. CAATs職能的組織審計(jì)機(jī)關(guān)可以采用幾種不同的方式來組織自己的 CAATs職能；正如第3局部談到的，

24、由于 CAATs涉及到多方面的功能，這一點(diǎn)就顯得十分重要：* 設(shè)立一個(gè)CAATs專家組，由他們?yōu)槠胀▽徲?jì)人員下載客戶的數(shù)據(jù)、開發(fā)和 使用CAATs ；* 培訓(xùn)一線審計(jì)人員，使他們能夠獨(dú)立完成上述工作；* 上面兩種方式結(jié)合，同時(shí)設(shè)立一個(gè)職能部門-CAATs專家支持小組，由他們負(fù)責(zé)客戶數(shù)據(jù)下載，由審計(jì)人員負(fù)責(zé)運(yùn)用 CAATs。CAATs的開發(fā)可以 由CAATs專家組負(fù)責(zé)，也可以由審計(jì)部門負(fù)責(zé)，或者是兩家共同負(fù)責(zé)；* 一線審計(jì)人員負(fù)責(zé)簡單的CAAT審計(jì)業(yè)務(wù)，復(fù)雜的CAATs運(yùn)用由專家負(fù)責(zé) 或由專家提供支持。在這方面，審計(jì)機(jī)關(guān)應(yīng)考慮如下幾個(gè)方面的重要因素：* 哪些是關(guān)鍵的制約條件？對業(yè)務(wù)數(shù)據(jù)的了解，還

25、是 IT系統(tǒng)方面的及CAATs 工具方面的技術(shù)知識。* CAATs在目前和未來的使用量和程度；* 是不是一次性的任務(wù)？如果能夠重復(fù)使用，由一線審計(jì)人員使用CAATs可能更符合本錢效益原那么；* CAAT工具的復(fù)雜程度，例如，對編程的要求有多高；* 審計(jì)機(jī)關(guān)內(nèi)部CAAT的技術(shù)水平以及外包CAATs專家支持職能的范圍，全 部或是局部。如果在CAATs專家組和一線審計(jì)人員之間進(jìn)行職責(zé)分工，以下問題需要考慮：* 與被審計(jì)單位保持聯(lián)系，尤其是與IT部門之間在數(shù)據(jù)下載、操作以及取得 必要的數(shù)據(jù)文檔資料的問題上；* CAATs專家組與一線審計(jì)人員之間的配合，以保證 CAAT符合一線審計(jì) 人員的要求；* 下載

26、得到的數(shù)據(jù)和CAAT實(shí)施文檔的管理的歸檔。6. 數(shù)據(jù)訪問從大的方面講，審計(jì)人員可以采用兩種方式使用 CAATs分析客戶的數(shù)據(jù)： 在被審計(jì)單位的IT系統(tǒng)上運(yùn)行CAAT，直接在被審計(jì)單位的PC機(jī)或終端上運(yùn)行或是將審計(jì)人員的計(jì)算機(jī)連接到被審計(jì)單位的網(wǎng)絡(luò)上； 數(shù)據(jù)數(shù)據(jù)下載到審計(jì)人員的IT系統(tǒng)上，然后在審計(jì)人員的計(jì)算機(jī)上運(yùn)行 CAAT。上述兩種方式各有優(yōu)缺點(diǎn)。由于技術(shù)平臺不同等原因，在審計(jì)單位的IT系統(tǒng)上安裝CAAT軟件的方式不一定行得通。 審 計(jì)人員通?？梢岳脤徲?jì)單位系統(tǒng)中已經(jīng)存在的軟件工具，而不是將審計(jì)機(jī)關(guān)的 CAAT軟件 安裝到被審計(jì)單位的系統(tǒng)上。審計(jì)人員需要廣泛地熟悉在客戶IT環(huán)境中可能使用的

27、軟件工具。而且，在被審計(jì)單位的系統(tǒng) 上直接運(yùn)行CAATs軟件會帶來潛在的風(fēng)險(xiǎn)，對被審計(jì)單位的系統(tǒng)的正常運(yùn)行產(chǎn)生干擾，影響 被審計(jì)單位的系統(tǒng)性能和數(shù)據(jù)的完整性被審計(jì)單位的數(shù)據(jù)可能在不經(jīng)意間被修改或刪 除。如果采用將審計(jì)人員的計(jì)算機(jī)與被審計(jì)單位的IT系統(tǒng)之間進(jìn)行數(shù)據(jù)連接的方式，這種問題也有可能發(fā)生。另一個(gè)角度來看，這種方法至少可以保證數(shù)據(jù)的完整性，因?yàn)镃AAT直接在現(xiàn)行的生產(chǎn)數(shù)據(jù)上運(yùn)行。最常用的做法是將數(shù)據(jù)下載到審計(jì)人員的IT系統(tǒng)中，通常是PC機(jī)上。審計(jì)人員只需熟悉PC機(jī) 上的審計(jì)軟件即可，這些軟件對用戶來說一般都比擬方便。同時(shí)，采用這種方式也不會對被 審計(jì)單位的信息處理設(shè)施造成負(fù)面的影響。然而，

28、將數(shù)據(jù)轉(zhuǎn)換成便于審計(jì)人員審查的格式的 過程通常是復(fù)雜和繁瑣的。由于審計(jì)人員的數(shù)據(jù)處理?xiàng)l件的限制，有時(shí)使用下載的數(shù)據(jù)進(jìn)行 審計(jì)的效率可能也不會很高。同時(shí)，對于下載過程需要有一種質(zhì)量保證檢查，以確保數(shù)據(jù)的 完整性。在數(shù)據(jù)下載不可行或不切合實(shí)際的情況下，還得采用其他的審計(jì)方法，即便是這些 方法并不理想。7. 分階段使用CAATs的方法在審計(jì)中有系統(tǒng)地方案和管理CAATs通常要以分階段的方式進(jìn)行:方案階段通常比實(shí) 施階段花的時(shí)間長實(shí)施階段決定使用CAATsCAAT的使用范圍；估計(jì)需要的資源/時(shí)間選擇需要的數(shù)據(jù)選擇使用哪種軟件工具數(shù)據(jù)下載CAATs的設(shè)計(jì)、測試和運(yùn)行CAAT的文檔編寫后期檢查8. 數(shù)據(jù)的

29、選取CAAT必須與審計(jì)目標(biāo)緊密相關(guān)，還應(yīng)盡量防止下載過多的無關(guān)數(shù)據(jù)。 然而，在有些情況下，簡單地將被單位的數(shù)據(jù)表或字段都下載過來會更 加容易，過多的數(shù)據(jù)選擇工作可能要花更多的時(shí)間和資源。一般來講，在財(cái)務(wù)審計(jì)和合規(guī)性審計(jì)中對數(shù)據(jù)選取的選擇性要求更多一 些。而在效益審計(jì)和案件調(diào)查審計(jì)中，審計(jì)人員更傾向于挖掘數(shù)據(jù)以發(fā) 現(xiàn)趨勢性的規(guī)律。如果可能的話，審計(jì)人員應(yīng)盡量選擇與原始交易最為接近的數(shù)據(jù)如交 易文件/表，或主文件/表，而不是匯總數(shù)據(jù)或次要文件/表以使數(shù)據(jù)的 處理程度最小?！斑z留系統(tǒng)很早以前開發(fā)并一直在用一般以“平面文件的格式 存儲數(shù)據(jù)，而現(xiàn)代的系統(tǒng)一般以關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的形式存儲數(shù) 據(jù)。平面文

30、件系統(tǒng)中的每個(gè)文件是獨(dú)立的，可以單獨(dú)下載和分析，關(guān)系 型數(shù)據(jù)庫管理系統(tǒng)以內(nèi)部關(guān)聯(lián)的表的形式存儲數(shù)據(jù)。審計(jì)人員通常需要 選取假設(shè)干數(shù)據(jù)表才能涉足分析數(shù)據(jù)的要求。為了選取所需的數(shù)據(jù)，審計(jì)人員應(yīng)從業(yè)務(wù)的角度，而不是技術(shù)的角度， 對被審計(jì)單位可能提供的數(shù)據(jù)進(jìn)行深入的了解。這種了解可以通過兩種 途徑獲得，一個(gè)是關(guān)于數(shù)據(jù)結(jié)構(gòu)的系統(tǒng)文檔和與被審計(jì)單位的工作人員 討論尤其是IT部門和“系統(tǒng)所有者。另一個(gè)是審計(jì)人員以前對系 統(tǒng)的檢查結(jié)果。9. 數(shù)據(jù)分析工具數(shù)據(jù)分析工具可以分為以下幾類：* 通用審計(jì)軟件；* SQL和基于SQL的工具；* Microsoft Access; 以及* 其他工具，如：電子表格。9.1通

31、用審計(jì)軟件這類審計(jì)軟件是已經(jīng)開發(fā)好的軟件包，專門為審計(jì)人員設(shè)計(jì)。可以用在許多不同的技術(shù)環(huán)境中。兩種主流的通過審計(jì)軟件分別是 IDEA (In teractive Data Extraction and An alysis)和ACL (Audit Comma nd Lan guage),這兩種軟件都有在 Win dows環(huán)境下運(yùn)用的版本。這些軟件具有下 列功能：*抽樣：包括方案、樣本選取和分析；幾種抽樣方法(屬性抽樣、變量抽樣、貨幣單位抽樣)，也支持分層抽樣和樣本選取方法(隨機(jī)選樣、系統(tǒng)選樣)；*連續(xù)性檢查、斷號查找及重復(fù)查找；*匯總；*文件比擬；*例外報(bào)告；*重新計(jì)算。兩種軟件都可以導(dǎo)入和導(dǎo)出

32、多種格式的數(shù)據(jù)。其他通用審計(jì)軟件工具包括：* Prospector:屬于文件下載和文件審查工具；* CA- Panaudit Plus：可以PC機(jī)和大型機(jī)系統(tǒng)上運(yùn)行。9.2 SQL和基于SQL的工具SQL (結(jié)構(gòu)化查詢語言-讀作“sequel是一種應(yīng)用廣泛于關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)定義 和操縱語言。幾個(gè)國家的和國際性的組織，包括美國國家標(biāo)準(zhǔn)委員會(ANSI)和國際標(biāo)準(zhǔn)化組織(ISO)都定義和發(fā)布了 SQL標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都得到了各家關(guān)系型數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品的支 持，包括桌面型數(shù)據(jù)庫，如：Microsoft Access o從審計(jì)人員的觀點(diǎn)來看，SQL是比擬容易掌握的工具，適合于審查采用關(guān)系型數(shù)

33、據(jù)庫管理系統(tǒng)的應(yīng)用軟件。它主要有以下幾方面的優(yōu)點(diǎn)： 在傳統(tǒng)的編程語言中，需要指定數(shù)據(jù)的處理過程，但在SQL中無需這樣做。SQL是一種“非過程的語言。審計(jì)人員在 SELECT語句中只需只指 定所需的數(shù)據(jù)和需要滿足的條件就可以從數(shù)據(jù)表中找出所需的數(shù)據(jù)記錄， 無需設(shè)置復(fù)雜的循環(huán)過程； SQL標(biāo)準(zhǔn)受到幾乎所有關(guān)系型數(shù)據(jù)庫產(chǎn)品供給商的支持他們還以自己的各自方式在標(biāo)準(zhǔn)的SQL根底上做一些補(bǔ)充，包括桌面型產(chǎn)品，如： Microsoft Access。這樣，審計(jì)人員在使用標(biāo)準(zhǔn)的 SQL時(shí)就不必了解不同的 關(guān)系型數(shù)據(jù)庫產(chǎn)品的具體細(xì)節(jié)，并且可以在所有的平臺上運(yùn)行同樣的SQL查詢；* 流行的關(guān)系型數(shù)據(jù)庫產(chǎn)品，如 O

34、racle或Microsoft SQL Server還提供便于用戶使用的具有復(fù)雜功能的SQL工具。這些工具提供操作簡單的圖形化界面 來方便人們創(chuàng)立和執(zhí)行查詢，并且用“鼠標(biāo)拖放的方法就可以添加表、 建立關(guān)系、選擇所需的欄目以及指定查詢條件。這些功能與MicrosoftAccess等流行的桌面型數(shù)據(jù)庫所提供的功能相類似；* 如果下載數(shù)據(jù)有困難，審計(jì)人員還可以直接在被審計(jì)單位的關(guān)系型數(shù)據(jù)庫上創(chuàng)立和運(yùn)行SQL查詢。審計(jì)人員也可以先與被審計(jì)單位的關(guān)系型數(shù)據(jù)庫 管理系統(tǒng)連接，然后在前臺工具，如：Microsoft Access，上運(yùn)行查詢。使用SQL工具與現(xiàn)存的審計(jì)查詢或通過審計(jì)軟件相比，可以為審計(jì)人員提

35、供更 大的靈活性。在審計(jì)的開始階段，審計(jì)人員往往并不清楚自己到底需要哪些數(shù) 據(jù)。具體情況會隨著審計(jì)人員用SQL工具對數(shù)據(jù)進(jìn)行多種形式的分析而不斷變 化。另外，SQL工具不會將審計(jì)人員束縛在某些特定的數(shù)據(jù)上。在過去，由于 數(shù)據(jù)下載是一個(gè)沉重的話題，審計(jì)人員只能被束縛在別人為他們下的數(shù)據(jù)上， 用傳統(tǒng)的審計(jì)軟件進(jìn)行著數(shù)據(jù)分析工作。SQL賦予了審計(jì)人員重返數(shù)據(jù)庫的自由。有了 SQL查詢工具，審計(jì)人員就可能訪問整個(gè)系統(tǒng)。如果他覺得原來的查 詢不能提供自己想要的結(jié)果，那就再寫一個(gè)新的也不費(fèi)事。然而，無論是直接在被審計(jì)單位的IT系統(tǒng)上使用SQL查詢，或是間接地通過網(wǎng)絡(luò)連接，都必須保持極度謹(jǐn)慎。SQL是一種功

36、能極強(qiáng)的語言，一條代碼行就可以同時(shí)對幾百萬條記錄進(jìn)行 處理。錯(cuò)誤的或設(shè)計(jì)糟糕的查詢會對被審計(jì)單位的 IT系統(tǒng)造成嚴(yán)重的處理負(fù)載，甚至?xí)Ρ?審計(jì)單位的正常IT運(yùn)行造成全面的影響。而且錯(cuò)誤的查詢有可能會在不知不覺之間修改或刪 除了被審計(jì)單位的數(shù)據(jù)；即便是在被審計(jì)單位僅對審計(jì)人員開放只讀訪問權(quán)限的情況下，這 種問題也有可能發(fā)生。所以，最好是將數(shù)據(jù)下載到審計(jì)人員的IT系統(tǒng)上，再運(yùn)行查詢功能。還有一種方法是在被審計(jì)單位的備份系統(tǒng)或獨(dú)立的開發(fā)環(huán)境中使用查詢功能，這些系統(tǒng)中的 數(shù)據(jù)可能會比現(xiàn)行的數(shù)據(jù)晚幾個(gè)小或幾天。SQL并非在所有情況下都是最正確的選擇。許多公共機(jī)構(gòu)使用遺留系統(tǒng)保存他們的數(shù)據(jù)。這種 情況下

37、，審計(jì)人員就要用通用審計(jì)軟件提取和下載數(shù)據(jù)。而且，SQL工具中缺少象通用審計(jì)軟件中的那些審計(jì)和財(cái)務(wù)處理功能，如：斷號查找、統(tǒng)計(jì)抽樣等。因此，審計(jì)人員通常是將SQL和通用審計(jì)軟件工具結(jié)合起來使用9.3 SQL 中的 SELECT '語句審計(jì)人員使用的主要SQL語句-甚至是唯一的語句就是SELECT。下面是SQL SELECT語句 的一個(gè)簡單的例子：SELECT Product_Code, Product_Descriptio n, Product_Rate, Product_Qua ntity FROM ProductsWHERE Product_Rate > 10這個(gè)語句可以拆分

38、成以下幾層意思：* 產(chǎn)品表：數(shù)據(jù)從該表“選取 “ selected ，用“ FROM 子句表示；* 字段：產(chǎn)品表中的 Product_Code, Product_Description, Product_Rateand Product_Quantity字段，審計(jì)人員對這些字段感興趣；* 條件是只選取那些Product_Rate大于10的數(shù)據(jù)記錄。用“ WHERE 子句 指定條件。審計(jì)人員所需的每一個(gè)SQL查詢都是用這種句式來表示。選項(xiàng)和子句有很多，可以構(gòu)造出復(fù) 雜的查詢。這使得審計(jì)人員可以構(gòu)造、執(zhí)行 SQL查詢，并對其進(jìn)行微調(diào)，直接在被審計(jì)單位 的數(shù)據(jù)庫上得到滿足審計(jì)需要的結(jié)果：* 除了象上面

39、的例子那樣從一個(gè)表中選取數(shù)據(jù)之外，還可以從幾張表中選取數(shù)據(jù)。在這種情況下，不同表之間的關(guān)系要用“JOINS表指定，說明相關(guān)的字段和關(guān)系的性質(zhì)；* 通過指定“計(jì)算字段，審計(jì)人員可以在 SELECT語句中實(shí)現(xiàn)計(jì)算功能如：產(chǎn)品的價(jià)值 -Product Value，是Product_Rate 和Product_Quantity的計(jì)算結(jié)果。另外還有可以實(shí)現(xiàn)統(tǒng)計(jì)功能的選項(xiàng)，ln：加總、平均、記錄 計(jì)數(shù)、最大值和最小值等。* 通過“ORDER BY子句可以將SQL SELECT語句的結(jié)果按照一個(gè)多個(gè)字段的值來排序如：Product_Quantity 或 Product_Rate。* SELECT語句中的“

40、WHERE子句中可以指明不止一個(gè)條件?？梢灾付?多個(gè)條件，并說明這些條件之間的關(guān)系如：所有的條件都必須滿足或只 需滿足其中一條，而且可以涉及多個(gè)表中的不同字段。* 不同分組的統(tǒng)計(jì)數(shù)據(jù)可以通過“ GROUP BY和“ HAVING 子句來計(jì)* 不同SQL語句的結(jié)果可以通過“ UNION 結(jié)合在一起，或用“嵌套的方 法來實(shí)現(xiàn)；* 有大量的內(nèi)置數(shù)學(xué)函數(shù)和邏輯運(yùn)算符。另外，有編程知識的審計(jì)人員還可 以用常用的編程語言如：Visual Basic或C語言來編寫自己的函數(shù)和過 程，并用它們來進(jìn)一步細(xì)化SELECT查詢。將上述的子句和選組合起來，可以構(gòu)造出無數(shù)和SELECT語句，這些語句幾乎能夠滿足審計(jì)人員

41、所有的數(shù)據(jù)分析需要。初學(xué)者可以使用圖形化的界面和“向?qū)斫佑| SQL,許多關(guān)系型數(shù)據(jù)庫產(chǎn)品都提供這種自 動生成SQL語句的功能。審計(jì)人員對SQL語法熟悉之后，下一步就可以修改由圖形界面或向 導(dǎo)生的的SQL語句，或者自己動手來寫SQL語句。才能是經(jīng)驗(yàn)的積累。9.4 Microsoft AccessMicrosoft Access是一種桌面型的關(guān)系型數(shù)據(jù)庫應(yīng)用軟件，它是Microsoft ' s Offe業(yè)版辦公自動化軟件的一個(gè)組成局部。Microsoft Access除了正常的小型數(shù)據(jù)庫應(yīng)用之外，還為審計(jì)人員 提供了十分方便的查詢工具。對于小型的關(guān)系型數(shù)據(jù)庫幾百 MB規(guī)模來說，可以方便地將客戶的關(guān)系型數(shù)據(jù)庫導(dǎo)出成Access數(shù)據(jù)庫。然后審計(jì)人員就可能用 Microsoft ' s Query Designer / wizard!用SQL語句進(jìn) 行檢索。關(guān)系型數(shù)據(jù)庫產(chǎn)品的那些復(fù)雜的交易處理功能如：交易日志、回退、多用戶功能、在線備份、平安機(jī)制等對于審計(jì)人員來說并不重要，因此，查詢性能不成問題。理論上講，MS Office 2000版的Access數(shù)據(jù)庫可以容納2G的數(shù)據(jù)，Access XR版的容