0°

使用计算机辅助审计技术进行数据分析技术

本文根据证据类型和审计目标,研究了常用的典型CAAT以及适当技术的选择。包括对预期结果的预判断和基于这些先入之见的后续分析失真对审计人员的固有危险。

在当今的环境中,审计人员的数据分析将不可避免地涉及使用适当的信息检索和分析程序及程序。计算机辅助审计技术或CAAT通常可以定义为基于计算机的工具,该工具用于通过使用计算机作为收集和分析审计数据的工具来提高审计过程的有效性和效率。

审计员可以使用测试交易技术来审查系统级别的活动,而在高级审计中,基于知识的系统的使用将使技术水平较低的员工可以使用高级审计技术。应当指出,使用CAAT不会改变总体审计目标,而只会改变审计分析方法。

CAAT的使用

当审计员第一次面临在 IT 环境中进行有效审计的问题时,最初的反应是寻找证据来源,允许审计员“围绕计算机进行审计”。从长远来看,当涉及大量和复杂的数据时,这被证明无法实现审计目标。CAAT 最初用于财务和合规审计;然而,CAAT 越来越有效地用于绩效和调查审计。

除了在数据分析中的作用外,CAAT 还可以在审计的计划阶段使用,重点是提高整体审计有效性,例如:

•当 CAAT 可用于识别重要的或实质性的趋势和模式时,更加关注随后的审计活动,无论是手动的还是计算机化的,都可能导致审计时间更短、影响更大。在最终确定审计计划之前“全面”检查数据的

•能力允许审计员在注意到以前未被注意到的异常情况时扩大审计范围。这种类型的“自由形式”检查通常被证明是提醒审计员注意法医审计中的危险信号数据模式的基础。

在提高审计的整体有效性方面,CAATs 已被证明可以让审计员有能力提高风险领域的审计覆盖范围,同时节省时间和成本。当需要先进的分析技术时,CAAT 的使用使没有高级数学能力的审计员能够充满信心地进行复杂的分析,并促进了创新审计方法的引入。

证据标准

IIA实践咨询 2310-1:识别信息表明在进行审计时,收集的证据应:

•充足的

•可靠的

•相关的

计算机辅助审计解决方案的使用涉及将软件合并到审计程序中,包括使用 CAAT 来验证计算机程序中不同流程的有效性以及独立于实时系统进行分析的能力。所用CAAT 的性质在很大程度上取决于审计的目标,可能包括以下内容:

•验证数据完整性的技术

•检查数据流的准确性、完整性和有效性的技术

•扩展数据分析

在开始一系列数据分析 CAAT 之前,审计员必须从架构和风险的角度了解正在使用的 IT 系统。只有深入了解这一点,审计员才能确定证据来源,决定适当的审计技术,选择适当的 CAAT,并在下载数据时,安排适当的下载和数据验证/核对程序。

测试技术

交易测试技术被用来确认处理控制功能,包括编辑和验证控件的评价,异常报告的测试和数据完整性控制的评价。总和计算验证可被执行。

交易的测试技术可以包括以下内容:

•测试数据,该技术涉及使用通过一系列的交易,以产生预定的结果是通过了现场计算机系统的副本。能正常进行处理的数据的量限制了这种技术,虽然它可以有效地用于缺陷搜索编程逻辑。另一个缺点是,审计师根据审计师先前的假设预期的结果可能会导致结果存在偏差。

•集成测试设施 (ITF)——尽管在本质上与测试数据相似,但该技术通过在虚拟实体(部门、仓库等)的实时系统内创建以及针对虚拟实体处理测试数据来实现实体连同实时数据。这种技术具有测试系统的优点,因为它在测试计算机和手动系统时正常运行。它也有明显的缺点。

•所有测试交易必须在它们影响实时总计、过账或可转让单据(例如支票)的生成之前从实时系统中删除。此外,可能存在破坏实时系统的非常真实的危险。

•必须非常小心地使用 ITF。

•源代码审查——这种计算机审计技术涉及审查最初由程序员编写的源代码。在过去,这意味着浏览成堆的打印输出。在当今的环境中,可以使用通用审计软件来实施复杂的搜索,以确定源代码中的弱点。

•并行模拟——并行模拟是一种涉及创建软件以模拟实时系统的某些功能(例如计算)的技术。实时数据通过模拟程序与实时系统并行处理并比较输出。

•在线询问——交互式询问可以提供审计报告的比较数据和所采取的纠正措施的确认,并且可以作为审计信息的额外来源。有效使用需要很少的 IT 技能,但对信息的理解至关重要。有了适当的访问权限,审计师可以获得足够的审计证据来满足他们的要求。但是,您必须确定自己在看什么,因为很容易得出错误的结论。

•审查系统级活动——这涉及检查具有普遍影响的控制领域,例如电信、操作环境本身以及系统开发功能和变更控制。最终用户计算虽然不属于同一类别或一般控制,但可以以与一般威胁相同的方式对待。

检查数据流的技术通常包括以下内容:

快照——该技术是通过使用允许审计员在给定点冻结程序的实用程序来实现的。然后,可以在程序运行时在此处理阶段检查事务的值。尽管功能有限,但快照快速且相对易于使用。例如,快照可能涉及在程序中添加一行代码,该代码会导致处理暂停并输出特定变量的值以供审计审查。一些实用软件使程序能够以系统模式逐步执行。以这种方式,可以在每个处理步骤检查数据的不同元素的值。

跟踪——该技术涉及生成端到端审计线索以跟踪处理过程中的事务。通过执行跟踪,审计员可以看到每行代码如何影响正在处理的任何数据。如果程序计算可疑,则可以使用跟踪来识别发生错误的程序部分。

映射——该技术涉及监控程序的执行以确定统计信息,例如,未执行的程序代码、执行某些行的次数等。该技术最常被管理层用于突出冗余代码,但它是审计人员识别用于欺诈目的的未授权代码的有用工具。

为了证明这些审计技术有效,必须预先定义关键控制问题,以促进使用该技术分析数据并提供答案。

嵌入式审计模块(SCARFs——系统控制审计审查文件)

在审计跟踪可能仅作为计算机记录存在并且仅存在很短时间或不连续的系统中,审计员可能需要有一个内置设施来收集和保留选定的信息,以作为后续检查的审计跟踪。这显然使收集的数据成为破坏或操纵的目标,并且必须如此对待。

用于数据分析的 CAAT

面向程序的 CAAT 旨在关注程序中不同过程的验证。另一方面,面向数据的 CAAT 将忽略用于生成数据的程序,而只专注于数据分析。

在实践中,数据分析通常非常有效地用于评估控制的实际有效性,而不是依赖于程序分析。一般来说,使用基于程序的 CAAT 需要相对较高水平的技术专长,具有与被审计方技术架构相关的特定知识和技能,可能还需要使用的特定编程语言。

此外,数据分析也可以有效地用于绩效和司法审计。

信息检索和分析程序和程序包括组织、组合、提取和分析信息的程序。这包括通用审计软件、应用软件和行业相关软件。定制的审计软件和信息检索软件,以及标准实用程序和在线查询,也可用于信息检索和分析。当审计员具备编程方面的计算机技能时,传统的编程语言可能会提供一个可行的替代方案,但缺乏此类技能并不妨碍审计员使用此类技术。基于微机的软件随时可用,无需技术专长即可提供计算能力,将直接数据分析置于任何审计师的工具包中。主要要求是了解业务应用程序以及数据之间的关系。

各种审计软件和查询工具可用于大型机和PC系统上的数据分析。使用这些工具,常见的数据分析技术包括:

•总计:通常用于证明数据完整性和与规定金额的对账。

•数据挖掘:这是一种基础广泛的询问技术,可用于提供比较和趋势,并确定特定领域以进行扩展分析和测试。

•分层:一种技术,可以让审计员更全面地了解数据文件中的值范围,促进更结构化和更有针对性的询问方法,并快速突出文件中的潜在问题。

•抽样:如前几章所述,这使审计师能够从文件中提取具有代表性的交易选择以进行审计测试。

•异常报告:该技术涉及选择记录并提取符合或违反指定标准的数据以进行进一步分析。审计师必须在分析之前指定标准。

•交易账龄:这是为了识别整个时期的交易模式。例如,可以监控公司接收和支付交易之间的时间段,以确保采取所有适当的折扣。同样,审计师可能会寻求证据,证明已在管理层规定的时间范围内收到已开具发票的付款,并且不会因迟收而采取客户折扣。如果客户的逾期付款受到处罚,审计师可以确保实际收到所有此类应付罚款。

•重复记录检查:此通用选项允许对付款、订单、发票中的错误或这些领域中可能的欺诈活动进行审计识别。

•差距检测:与重复检测一样,这可能是通过识别序列中缺失的数字(例如付款、信用票据、采购订单或发票)来检测错误或欺诈活动的有用工具。

•重新执行计算:此技术通常用于证实准备数据时使用的公式的准确性。输入数据可以在并行模拟中重新处理,以证明控制的功能和计算过程的准确性。例如,财务报表,如资产负债表和现金流量表,可以从详细的交易记录中重新生成,并与打印版本进行比较。

通用审计软件

通用审计软件(GAS)是专为审计人员设计的软件,旨在提供一种用户友好的审计工具来执行各种标准任务,例如检查记录、测试计算和进行计算。

一种常见的审计技术是获取标准数据文件的副本,以便以后与相同数据的更改版本进行比较。再次,GAS 可以进行比较和分析。

选择、分析和打印审计样本是通过量化审计和抽样风险可以显着提高审计质量的技术。在大批量系统中,这些技术可能是审计员可以用来实现令人满意的审计的唯一方法。在这样的系统中,计算机采样的使用简化了结果的使用和解释。大多数 GAS 都带有采样和分析功能来处理复杂性。审计师通常必须处理格式不适合分析的数据。可能需要对数据进行汇总和重新排序,以将信息转化为更有用的格式。重新格式化后,该软件还可以执行适当的分析。

尽管 GAS 不能解决审计师的所有问题,但它可以帮助解决许多常见问题领域。它专为处理大量数据而设计。

输出可用于进一步的计算机处理,允许将审计链接在一起。审计时间可以减少,审计员可以腾出时间来解释结果。由于需要有限的编程技能,两个领先的通用审计包是 IDEA(交互式数据提取和分析)和 ACL(审计命令语言), 这两个软件包都包含以下功能:

•抽样——涵盖以下内容:

样品规划、样品选择和分析;属性、变量、货币单位抽样;样本分层;和样本选择方案,包括随机和系统选择

•序列检查——包括间隙检测和重复事务

•算术函数

•文件比较和链接

•异常报告

•重新计算和计算

这两个软件包都能够从各种常用数据格式(包括打印格式和 PDF 文件)导入数据和将数据导出。

尽管这些是最常用的通用审计软件包,但不应认为它们是唯一可用的软件包。其他通用审计软件工具包括:

ArbutusAnalyzer——这个包与 ACL 非常相似,但据称在数据导入和操作方面更快。(ACL与Arbutus Analyzer都是Grant Brodie创造的)

SPSSClementine——这是一个数据挖掘工具包,便于审计人员进行自己的数据挖掘。它具有可视化编程界面,可简化数据挖掘过程,其应用包括营销公司的客户细分/分析、欺诈检测、信用评分、公用事业公司的负载预测以及零售商的利润预测。

CAPan Audit Plus 旨在帮助 IT、财务和审计专业人员运行基于计算机的审计。它提供了一组例程,非计算机知识的审计员可以使用类似英语的语句来执行,以设计和选择统计上有效的样本。

对于审计软件的发展趋势在12年前我国就有相关的研究论文,参阅计算机科学杂志。

与应用程序和行业相关的审计软件

除了 GAS 之外,审计软件还可用于标准业务应用程序,例如应收账款和应付账款、工资单、总账和库存管理。此类软件应用程序可作为标准 GAS 包的独立或附加组件使用。

行业相关的审计软件可用于特定行业,例如保险、医疗保健和金融服务。大多数这些包需要将输入转换为标准包布局并选择适当的参数。

这意味着转换需要一定程度的 IT 技能。软件本身通常既经济又高效。

定制审计软件

定制审计软件是设计用于在独特环境中运行并执行独特审计测试的软件。当需要以独特的格式输出时,可能需要定制的审计软件。此类软件的开发成本通常很高,并且需要高水平的 IT 技能。必须小心处理,因为运行测试可能不会告诉您它的想法;然而,在独特的加工情况下,它可能是唯一可行的解决方案。

信息检索软件

标准信息检索软件(例如报告编写器和查询语言)可以执行许多常见的审计例程,尽管它不是专门为审计员编写的。此类软件包括报告编写器、程序生成器和第四代语言。

实用程序

实用程序是为执行常见任务而编写的程序,例如复制、排序、打印、合并、选择或编辑。这些程序通常是参数驱动的,可以与其他软件结合使用。它们非常强大,使用它们的权利应该受到限制。从审计的角度来看,他们看到的数据是存在的,这使得他们的结果更加可靠。

常规编程语言

标准编程语言,如COBOL、BASIC、RPG、PASCAL、C等,可用于开发有效的审计工具,但需要一定的编程经验。此类程序通常开发缓慢且成本高昂,并且可能不可靠,因为审计员不是专业的程序员。但是,它们可以执行审计员可以设想的任何审计测试,并且可以与任何其他类型的审计软件结合使用。(随着机器学习与深度学习等计算机科学的发展,编程语言不仅如文字所述)

常见问题

审计员应始终牢记,没有任何 CAAT 是完美的,每个 CAAT 都会遇到问题。审计员会遇到的常见问题包括:

•获取错误的数据文件

•布局错误

•文档已过期

•预判结果

此外,审计对 CAAT 的依赖可能会受到以下因素的影响:

•审计师依赖数据分析来确定其审计结果的程度,而不是审计师通过非基于计算机的审计测试补充 CAAT 分析以提供确凿证据的程度

•审计师是否对 IT 系统进行了控制审查,以评估系统输入或处理的数据的可靠性

•在依赖分析结果之前,审计师是否验证了下载数据的完整性和完整性

•审计员了解被审计方的 IT 系统和数据的程度,并通过参考被审计方的文件和与被审计方人员的讨论来验证这种理解

•审计员接受的培训程度以及他或她使用特定工具和技术进行分析的经验程度

•用于审计数据分析部分的正式审计质量保证程度,包括监督的充分性和同行评审

审计员的第一条经验法则应该是永远不要相信第一次打印出来的内容,特别是如果你自己编写了程序。在任何应用系统中,审计员都应该尝试识别用户所依赖的控制。请记住,文档通常具有误导性,并非所有内容都需要审计。根据经验,程序逻辑应该反映业务逻辑,这样如果审计员了解业务需求和控制,系统测试就会变得容易得多。

审计程序

在对业务系统进行审计时,可以遵循预定义的通用审计程序:

•确定用户的控制问题

•识别系统组件

•识别系统进程

•识别已知控制

•识别已知的控制弱点

•控制验证

•控制环境评估

选择的 CAAT 必须与审计目标明显相关。在许多计划会议中,可能存在捕获过多或不相关数据的诱惑。尽管这通常是可以避免的,但在某些情况下,当更具选择性的方法需要过多的时间和资源时,下载所有被审计方文件、表格或表格中的字段可能会更容易。这有一个额外的好处,即如果审计范围根据初步调查结果扩大,则匹配数据集的其余部分可用。

一般来说,当在规划阶段通常知道所寻求的证据时,财务和合规审计会使用更具选择性的数据选择方法。在绩效审计和司法审计中,范围可能更可扩展,审计师可能会选择“拖钓”数据,寻找异常趋势。

回到规划阶段,审计员会整理一份使用 CAAT 的商业案例并获得批准。在实施阶段,审计员必须制定详细的审计数据分析要求,以便设计和制定相应的CAAT。

CAAT在非计算机化领域的使用

并非所有 CAAT 都只适用于计算机化领域。计算机化工具可以在以下方面帮助审计员:

•风险分析

•样本选择

•运营建模

•分析审查

•回归分析

•趋势分析

并非所有这些都需要在计算机化信息上发生。同样,将审计计算机化并不一定意味着将旧技术计算机化。新的审计方法是可能的,创新的自动化可以使内部审计作为一种职业更具吸引力,从而提高员工的稳定性。

准备开始

当首次采用 CAAT 时,必须有计划地、系统地和分阶段实施引入它们。

应选择审计人员并在 CAAT 的设计以及组织使用的特定通用审计软件包的使用方面接受适当的培训。在计算机分析软件的新用户中可能会发现的一个常见问题是在没有清楚了解所寻求的内容的情况下愿意开始提取和分析。实施软件的能力必须被视为次要于注册会计师对风险、控制目标和所使用的控制技术以及主要控制和可用审计证据来源的理解。

当员工第一次进入数据分析领域时,一个有用的练习是在试点领域进行审计,在该领域中,业务目标已经很好地理解,并且 IT 系统已经过审计,以便架构、数据结构和主要 证据来源已经在审计环境中得到了很好的记录。通过使用该系统,新审计员可以设计审计计划,并在实际开始提取和分析之前与更有经验的审计员进行验证。同时,可以实施适合组织审计方法的内部数据质量管理保证方法。如前所述,基于对方法的不完全理解或错误的技术选择以及对错误证据的检查得出错误的结论将破坏任何未来审计数据分析的可信度。

这种方法还有助于在审计员在实际环境中得出结论和提出建议之前,对高级分析技术进行指导。当审计师认为他们能够在公司环境中开始数据分析时,一个主要因素将是获得最高管理层的承诺和支持。

在内部审计中建立数据分析功能时,有多种选择,包括建立一个专业的CAAT 小组,以代表总审计师下载客户数据、开发和运行 CAAT。这样做的好处是可以使用更有经验的 IT 审计员来开发标准分析脚本,然后可以将这些脚本传递给经验不足的审计员,以便在他们的正常审计程序过程中运行。专家组还可用于培训生产线审计员使用审计软件和独立解释结果。

另一种方法是将计算机辅助数据分析的使用作为所有审计的一部分和对所有审计员进行适当使用的培训相结合。这种方法的优点是确保审计交叉培训,并消除了因专业工作人员流失而给审计职能带来的弱点。然而,当当前的审计目标实际上并不需要此类分析时,它确实会产生额外的问题,即多个审计员可能会下载大量数据以进行持续分析。即使在特定审计中需要进行此类分析,维护下载数据文件的机密性和完整性本身就是一项重要任务,并且在不协调的功能中过度提取数据可能导致确定哪些数据是最新的非常困难 版本以及如何正确存储它。

一种混合方法,由在线审计员处理简单的基于 CAAT 的审计,由专家处理或支持需要使用更复杂的 CAAT 和更复杂的分析的审计,这可能被视为合适的方法。这种方法的优点是既保留了所审查领域业务目标的领域知识,又保留了计算机系统和审计软件工具的技术知识。该决定的关键因素可能包括以下几点:

•组织内 IT 系统的性质和架构

•当前和未来数据分析的使用范围

•作为传统审计的一部分,需要对类似信息进行持续分析

•在内部或外包的基础上使用 CAAT 软件的技能的可用性

•所选审计工具的复杂性以及为内部使用定制它所需的 IT 知识范围

•内部专家团队和总审计师之间所需的协调程度

•在获得数据访问权限以及了解其业务风险和证据来源方面需要与被审计方联络的程度

CAAT用途

除了常规业务信息的常规审计和数据分析,例如以下内容:

•工资记录

•财务会计记录

•现金支出

通过数据分析可以突出控制弱点、低效率甚至欺诈领域,数据分析 CAAT 的审计使用将取决于行业和组织的性质。如下所示,可用于分析的数据可以提供在以下领域开展的业务类型的功能:

•金融和银行业

•政府

•零售

•服务和分销

•卫生保健

•制造业

至于上述行业审计分析的具体事项,请自行构想,不做分享。

一般会计分析

在所有业务领域,还可以有效地分析正常会计程序中的财务比率变化、选择用于审计跟踪和分析的日记账分录、准备试算表、分类账交易与预算报告的比较、现金流量分析以及类似。

业务分析的整体使用仅受审计师的构想和对相关审计证据的要求的限制。

词解:

CAATs:Computer Assisted Audit Techniques | 计算辅助审计技术

GSA:Generalized Audit Software | 通用审计软件

若没有文章所述的CAATs的工具(例如:GAS、IDEA、ACL、SPSS、ArbutusAnalyzer),除了Excel,还可以使用什么呢?R、SQL、Python

0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论