计算机审计方法撰写.ppt

计算机审计方法撰写河南省审计信息中心计算机审计方法基本情况计算机审计方法评审标准如何写出一篇好的方法什么是计算机审计方法计算机审计专家经验计算机审计方法1、计算机审计方法是审计人员为履行审计职责、实现审计目标，利用信息技术对特定审计事项进行检查和评价的思路和实现步骤2、计算机审计方法是审计人员在实践中运用计算机开展审计积累下来的重要经验和典型案例，具有较强的实用性、针对性和可操作性，可在其他审计过程中被借鉴和引用组织单位由审计署审计科研所和计算机技术中心共同负责 评审情况计算机审计方法评审工作自2004年以来已经连续开展了7届，共征集评选出3685篇计算机审计方法和19篇计算机审计方法体系列入审计署《计算机审计方法库》2004年至今，河南省共征集计算机审计方法625篇，经省厅评审后共上报审计署303篇，被审计署采用的有111篇，其中共9篇被评为优秀河南省审计厅2011年度计算机审计方法征集上报情况河南省计算机审计方法历年获奖情况明细表河南省河南省计算机算机审计方法方法历年年获奖情况明情况明细表表年度年度征集征集上上报入入选其中：其中：优秀秀20045500200555312006101070200773401812008117531602009～2010164691932011251121484合合计6253031119河南省计算机审计方法历年获奖情况明细表方法比较（河南与全国）方法比较（河南与其他省份）审计方法构建在建立审计业务模型基础上，对审计方法的审计目标与功能、所需数据和相关资料、审计分析步骤、流程图示、计算机执行语言、方法执行后的审计建议等，逐一研究建立，从而完成计算机审计方法的构建。

正向：思路——计算机实现——总结、提炼——形成方法逆向：审计实现——倒推、深入挖掘、提升——形成方法计算机审计方法基本要素：方法代码（填写一级和二级分类码）、方法名称方法名称、目标功能目标功能、审计事项、所需数据所需数据、分析步骤分析步骤、流程图流程图、方法语言方法语言、适用法规、延伸建议延伸建议、作者单位、时间、标志等13项内容计算机审计方法基本要素1方法代码2方法名称3目标功能4审计事项5所需数据6分析步骤7流程图8方法语言9适用法规10审计建议11作者单位12时间13标志一、方法代码￿计算机审计方法代码是审计方法分类、管理和应用定位的重要标志审计方法代码按照14号实务公告7.2代码结构的要求编制计算机审计方法代码编制时，分类码执行本规划和专业计算机审计方法体系的规定;流水码在审计师审计方法库中按序列方式编制，入选审计机关、审计署的计算机审计方法库时可重新编制二、方法名称￿计算机审计方法名称是具体审计事项的方法表述方法名称要简明扼要，一般不超过50个字符，能够直接反映其具体审计事项的审计目标，并且尽可能进行正面表述三、目标功能计算机审计方法的目标功能是对具体审计事项的审计目标、审计功能及其实现的表述。

审计目标：检查预算部门项目支出预算编制和批复的程序合规性、及时性，内容真实性、合理性、可行性和完整性审计功能：通过对预算部门和所属预算单位按照财政部门要求编制、审核、报送、批复项目支出预算的有关程序、部门项目库的管理与利用等事项的检查，实现审计目标，发挥审计监督作用四、审计事项审计署审计事项文件说明:审办计发〔2010〕131号 标准审计事项导入导出AO审计事项数据字典（试行）一、预算执行审计二、海关审计三、税收审计四、金融审计五、企业审计六、社会保障审计七、固定资产投资审计八、资源环保审计九、外资运用审计十、经济责任审计十一、境外审计五、所需数据30个计算机审计实务公告:地方税收审计数据规划、社会保险审计数据规划、地方财政审计数据规划、商业银行审计数据规划、地方税务计算机审计方法体系、《联网审计系统》规格说明书、投资审计数据规划、环保审计数据规划、计算机审计方法体系基本规划以地税公告为例进行说明六、所需数据￿根据审计方法的目标与功能定位，确定所需数据和相关资料审计所需数据和相关资料的介质载体包括电子数据和纸质资料电子数据包括结构化数据、非结构化数据、半结构化数据。

审计方法引用的经审计数据规划的电子数据，应当遵循《国家审计数据中心基本规划》的数据规划规范，以及审计方法所对应的专业审计数据规划的基础表或分析表及其数据元素的规范计算机审计方法所需的基础表或分析表及其数据元素，应标明其专业审计数据规划的版本号（一）ER模型及步骤ER模型说明及其画法实体表示一个离散对象实体可以被（粗略地）认为是名词，如计算机、雇员、歌曲、数学定理关联捕获两个或更多实体相互如何关联联系可以被（粗略地）认为是动词，如：在公司和计算机之间的拥有关联，在雇员和部门之间的管理关联，在演员和歌曲之间的表演关联，在数学家和定理之间的证明关联实体绘制为矩形，联系绘制为菱形 （二）数据模型数据模型构建数据模型(Data Model)是现实世界数据特征的抽象，或者说是现实世界的数据模拟数据库中，用数据模型来抽象地表示现实世界的数据和信息 数据模型的三要素是：数据结构、数据操作及完整性约束条件 （二）数据模型(1)数据模型    数据模型是对现实世界数据特征的抽象或者说是现实世界的数据模拟数据库中，用数据模型来抽象地表示现实世界的数据和信息根据模型应用的不同目的，模型分为两类：第一类模型是概念模型，它是按用户的观点对数据建模；另一类模型是数据模型，主要包括网状模型、层次模型、关系模型、面向对象数据模型等，它是按计算机系统的观点对数据建模。

    两类模型都是由数据结构、数据操作和完整性约束三个要素组成2)数据结构：用于描述系统的静态特征；(3)数据操作：指对数据库中数据允许执行的操作的集合，用于描述系统的动态特征数据模型必须定义操作（如检索、更新）的确切含义、操作符号、操作规则以及实现操作的规则 (4)数据的约束条件：是完整性规则的集合，指对给定的数据模型中数据及其联系所具有的制约和依存规则，如关系模型中的实体完整性和参照完整性（三）审计步骤中的注意事项审计方法分析步骤是依据该方法确定的审计目标、审计功能、所需数据，进行审计业务模型构建、审计事项分解，在此基础上进行逐步分析的描述这一步非常重要这一步非常重要七、流程图流程图画法各个图标的意义及其差别审计署发布的《计算机审计方法流程图编制规范》流程图画法结合审计分析步骤的表述，采用《计算机审计方法流程图编制规范》的规定，编制流程图常用符号列表一级类别二级类别符号符号名计算机审计方法描述定义数据符号基本数据符号数 据此符号在审计方法流程图用于描述审计分析结果数据存储数据此符号用于描述已按照数据规划要求规范整理好的审计基础表数据或根据审计业务需求整理好的分析表数据直接存取存储器此符号用于描述被审计单位原始数据文件此符号用于描述各类无法由程序直接比较分析的非结构化数据，如各类纸质文书人工输入此符号用于描述审计人员的输入数据，输入可以是各类数据库查询语句，ASL语句或相关的操作步骤，在处理过程中，信息以人工方式送入处理符号基本处理符号处理此符号表示一个已命名的处理集合，该处理无法借助计算机程序直接实现，由已事先定义好的一个或多个处理步骤所组成。

特定处理符号 既定处理此符号表示一个已命名的处理集合，该处理可借助计算机程序直接实现，由已事先定义好的一个或多个处理步骤所组成判断此符号用于描述判断，该符号只有一个入口，但可以有若干个可选择的出口，可在对符号中定义的条件进行求值后，有一个且仅有一个出口被激活求值结果可在表示路径的流线附近写出流线符号基本符号流线为了增强可读性，可以在流线上加上箭头；但在必要时，必须加上箭头指示流向虚线此符号表示两个或更多符号间的选择关系；也可用来标出被注释区特殊符号连接符此符号表示转向流程图它处，或自流程图它处转入，它用来作为一条流线的断点， 使该流线在别处继续下去对应的连接符应有同一标记端点符此符号表示审计方法流程的开始或结束注解符此符号用来标识注解内容注解符的虚线要连接在相关的符号上或框住一组符号注解的正文应该靠近边线八、方法八、方法语言言结合审计分析步骤的表述，将列入计算机审计方法语言执行的内容，采用《计算机审计方法语言编制规范》的规定，编制方法语言方法语言ASL方法语言说明ASL语法ASL举例ASL计算机审计方法语言包括ASL审计脚本语言和SQL语句两部分ASL审计脚本语言完成审计方法的流程控制。

ASL审计脚本语言是由审计署基于PASCAL语言研制的适用于审计人员编制计算机审计方法的语言SQL语句完成对数据库的操作本规范的SQL语句采用国家标准GB_12991-91《信息处理系统 数据库语言SQL》及国际标准ISO/IEC 9075：1992《信息技术 数据库语言 SQL 》中审计所需的部分内容为使计算机审计方法语言适用于SQL server、ORACLE、DB2等不同数据库，本规范在4.5节中列示了常用函数在SQL server、ORACLE、DB2等数据库使用中的对照表九、适用法九、适用法规对审计评价、发现问题的适用法律法规条款 法规名称、发文文号 、法规条目 、生效日期 、失效日期 、适用范围 十、十、审计建建议审计建议是指审计方法执行后，根据执行结果提出对该审计事项的客观评价、对发现问题的疑点描述、对延伸审计分析或取证分析的建议十一、作者十一、作者单位位计算机审计方法的编制作者和所在单位如有多个作者，要进行作者排序，并填写第一作者所在单位十二、十二、时间计算机审计方法的编制或审计机关评审入选的时间十三、十三、标志志计算机审计方法标志是为特定审计方法的应用实现、由执行系统响应完成的一种配置。

计算机审计方法标志包括参数标志、批量执行标志等，并根据审计方法的应用实现逐步扩充本规划确定的标志配置符：参数标志定义为A，批量执行标志定义为B计算机审计方法体系计算机审计方法体系规划包括计算机审计方法体系基本规划和专业计算机审计方法体系规划计算机审计方法体系是在信息化环境下实施数据式系统基础审计的重要建设内容，审计方法体系的标准规范是实现信息化环境下新的审计方式的重要基础设施专业计算机审计方法体系依据发布的《计算机审计方法体系基本规划》及其附录的规范要求进行编制专业计算机审计方法体系的命名：专业名称+计算机审计方法体系计算机审计方法评审标准基本要求基本要求技术评审环节专业评审环节技术评审环节一、基础资料的完备性一、基础资料的完备性1．资料完整性（．资料完整性（2分）分）2．内容完整性（．内容完整性（2分）分）3．命名规范性（．命名规范性（0.5分）分）4．格式规范性（．格式规范性（0.5分）分）二、关键方法要素的正确性和可执行性二、关键方法要素的正确性和可执行性1．数据提供正确性（．数据提供正确性（1分）分）2．流程图正确性（．流程图正确性（1.5分）分）3．．SQL语句在语句在AO中的可执行性（中的可执行性（2分）分）4．．ASL语言在语言在AO中的可执行性（中的可执行性（0.5分）分）5．．sql语句的正确性语句的正确性一、基一、基础资料的完料的完备性性1．资料完整性（．资料完整性（2分）分） 上报的审计方法资料是否完整。

一个完整的计算机审计方法是一个独立的文件夹，里面应包含四个文件：方法说明文档（.doc）、电子数据信息包（.sjfx）、审计方法包（.func）、sql语句包（.sql）一、基一、基础资料的完料的完备性性2．内容完整性（．内容完整性（2分）分） “一、方法代码”这一条目是否存在（填写一级和二级分类码，内容可为空，但一定要有该条目） “四、审计事项”与“审办计发〔2010〕131号”文中是否存在不一致的情况 “六、分析步骤”中是否存在没有ER图或数据模型的方法ER模型需基本反映对象之间的关系，从ER图抽象到数据模型需基本正确 “八、方法语言”中是否缺少ASL语言描述 “九、适用法规”内容是否为空 “十一、作者单位”是否存在人数过多，作者单位填写不符合要求等情况 “十三、标志”是否存在没填或填写不正确的情况一、基一、基础资料的完料的完备性性3．命名规范性（．命名规范性（0.5分）分） 一个审计方法中四个文件的文件名、文件夹的命名、以及文件内大标题的方法名称、要素“二、方法名称”下标列的方法名称必须符合要求且名称一致。

命名不符合要求或不一致酌情扣分一、基一、基础资料的完料的完备性性4．格式规范性（．格式规范性（0.5分）分） 审计方法中的13个要素必须是标题样式（能在文档结构图中展现）且段落必须整齐格式不规范酌情扣分二、关二、关键方法要素的正确性和可方法要素的正确性和可执行性行性1．数据提供正确性（．数据提供正确性（1分）分） A、所需数据部分所描述的数据表、字段必须在提供的数据中能够找到且完全一致，英文表名或英文字段需标注中文含义两者不一致的不合格两者不一致的不合格 B、所需数据部分的描述中能够使用已发布的数据规划中数据表信息的，是否使用使用不加分未使用减0.5分 注意：在描述中，阐述了未按照数据规划数据进行描述原因的，核实实际情况不减分二、关二、关键方法要素的正确性和可方法要素的正确性和可执行性行性2．流程图正确性（．流程图正确性（1.5分）分） 检查审计步骤流程图是否与审计步骤相符并检查流程图使用图标符号是否符合标准要求流程图与审计步骤不相符或者符号使用不规范的不合格 A、流程图与审计步骤相符0.5，不相符不合格不相符不合格 B、流程图符号使用基本正确到完全正确按照实际情况在0.5到1分之间给分；符号使用不规范的不合符号使用不规范的不合格。

格二、关二、关键方法要素的正确性和可方法要素的正确性和可执行性行性3．．SQL语句在语句在AO中的可执行性（中的可执行性（2分）分） 检查sql语句包是否能导入AO、SQL语句是否与审计步骤相符、sql语句能否在所提供的电子数据上执行（如存在case when等语句、提供的不是AO导出的SQL数据包）；按照SQL的难易程度，调整分数；经过简单修改能够运行的适当减分二、关二、关键方法要素的正确性和可方法要素的正确性和可执行性行性4．．ASL语言在语言在AO中的可执行性（中的可执行性（0.5分）分） 检查FUNC文件是否能导入AO（如导入AO死机）、asl语句是否与审计步骤相符、asl语句能否在所提供的电子数据上执行（如编译失败） 注意：通常情况下，第５步与第６步在评审时是结合在一起的，总分注意：通常情况下，第５步与第６步在评审时是结合在一起的，总分2.5分，酌情给分或扣分分，酌情给分或扣分评审人员的做法是：1、导入.func文件，测试asl语句的可执行性，如果asl语句执行通过，检查ASL语句是否与审计步骤相符，视相符程度与语句的复杂程度酌情给分，结束如果.func导入不成功或者asl语句运行失败，扣0.5分，进入步骤2；2、导入sql语句包，测试语句是否可以执行，如果sql语句可以执行，视sql语句的复杂程度酌情给分，结束。

如果sql语句包导入失败，扣0.1-0.2分，进入步骤3；3、将word文件中的sql语句粘贴到AO中测试其可执行性，如果sql语句可以执行，视sql语句的复杂程度酌情给分，如果经过稍微修改可以执行通过，酌情扣分如果仍不能执行，不合格 二、关二、关键方法要素的正确性和可方法要素的正确性和可执行性行性5．．sql语句的正确性语句的正确性 根据审计步骤，检查sql语句的编写是否正确，是否能实现审计目标不能实现审计目标的酌情扣0.1-0.5分专业评审环节思路是否清晰、内容是否具有新意、是否对专业审计具有指导作用、是否有推广价值、是否存在与往年的审计方法重复的情况与以往年度已选与以往年度已选出的专家经验类别、种类、使用方法相雷同的，出的专家经验类别、种类、使用方法相雷同的，不再入选不再入选如何写出一篇好的方法1．如何准备．如何准备撰写计算机方法前要收集国家审计署审计事项数据字典、审计数据规划及其版本号、计算机审计方法体系基本规划、计算机审计方法流程图编制规范，下载并安装好流程图制作软件如何写出一篇好的方法2．如何选题．如何选题这是写好方法的重要环节所选的题材一般为被成功运行过的实例，具有一定的代表性，注意不能和以前的经验重复。

如何写出一篇好的方法3．思路清晰．思路清晰撰写计算机审计方法，审计目标清晰，重点内容、方法步骤详细且可操作性强利用计算机审计工具达到自己的审计目的并取得预期的效果如何写出一篇好的方法4．数据量适中．数据量适中一是采集数据前了解对方数据库的基本情况；二是力求采集的电子数据完整、准确；三是需对电子数据进行分析、清理、转换，保证数据适合审计需要；四是找出所写审计方法需用到的相关数据表，对涉及业秘密等敏感问题的电子数据，应进行适当处理，如姓名、身份证号码、摘要有关内容；五是数据量不能过大，否则在AO查询过程中速度缓慢如何写出一篇好的方法5．流程图直观．流程图直观把审计思路和审计步骤用图形化的方式表现出来，力求简洁、准确、清楚，让人一目了然如何写出一篇好的方法6．方法和语言简练．方法和语言简练这是计算机方法成败的关键，编写的ASL程序和SQL语句力求准确、精炼、实用、可运行编好的SQL语句可在AO查询分析器工具中运行，以验证实际效果。