爱华网主题词:审计 信息化 环境 质量 控制
审计项目质量控制是指为保障具体的审计项目按已确定的审计实施方案的要求顺利进行,保证审计目标正确、全面实现而采取的策略、程序、组织和具体技术与方法等。信息化条件下的审计项目实施大致分为3个阶段:审计准备阶段,包括调查了解、数据采集;审计实施阶段,包括数据转换、数据清理、数据验证、建立审计中间表进行数据分析、审计取证、编制底稿;审计报告阶段,即得出审计结论和形成电子审计档案进行归档。与其相对应,信息化环境下审计项目质量控制可分为三大相对独立的部分。
一、审计准备阶段审计质量控制对策
审计准备以调查了解或试审为基础,充分掌握被审计单位的基本情况,搜集财务、业务等其他相关资料,特别是计算机财务、业务应用系统、数据库管理系统和电子数据的相关情况,在此基础上制定审计实施方案和计算机审计实施方案、获取审计所需的电子数据。
(一)调查了解阶段审计质量控制对策。在审计准备阶段,审计人员需要调查了解被审计单位计算机应用系统和相应的数据库管理系统,为制定审计实施方案及计算机审计项目、采集电子数据奠定基础。
1.调查了解被审计单位及被审计事项信息化系统环境情况。
(1)结合被审计单位整体情况的调查了解计算机系统。了解被审计单位的管理体制、机构设置及隶属关系,了解各部门的职能,了解整个计算机应用系统所依托的业务流程情况,这样可以帮助对其计算机系统的总体情况的了解和确定计算机系统分布及调查的重点。在此基础之上应选择重点部门进行部门内计算机系统情况的调查。可采取问卷调查、实地观察的方式。建议最好采用实地观察,在业务人员的陪同下到各部门现场进行观察,及时询问,同时填写调查表完成调查工作。在OA系统的被审计单位资料库中已经登记有一些单位的基本信息、财务信息和业务信息可以作为参考。对现在已经发生变化的情况进行重点调查,同时,应及时更新OA系统中此单位的信息,为下次对同单位的审计做好准备。加强被审计单位信息库的建设,也是计算机审计的重点工作之一。
(2)充分掌握被审计单位计算机应用系统情况。在深入了解被审计单位整体情况之后,应进一步与相关业务部门的人员进行沟通交流,对被审计单位的计算机应用系统进行调查,为下一步的数据库调查奠定基础。一般应通过观察、检查和询问等方式对以下几个方面进行了解,并搜集相关的技术资料。
①计算机应用系统的开发、建设和应用概况。
②计算机应用系统的硬件配置情况。
③计算机应用系统软件情况。如,主要系统的名称、系统之间的关系,系统使用的操作系统环境、系统采用的模式、系统编程语言及后台数据库系统、数据的存放方式及管理维护情况等。
④检查单位内部是否存在相应合理的管理控制措施来实现相应的控制目标,包括对数据资源管理、系统环境安全管理和系统运行管理的控制,确保系统运行及数据的安全可靠。
⑤计算机应用系统的主要功能、内部控制和整个的业务处理流程,对系统的数据的流向即数据的输入、处理和输出要有详细深入的了解,对一些重要、特殊的业务处理流程以及一些需手工和计算机同时处理的业务流程应重点关注。
⑥搜集系统技术文档类资料:系统需求说明书、系统设计说明、系统维护手册、用户使用手册、管理员操作手册等。
在调查了解过程中,应把握好调查的尺度,紧紧围绕审计目的,对于与审计目的关系密切的系统调查时可详细一点,对于与审计目的关系不大的系统可以只进行简单的调查。被审计单位采用计算机进行业务管理的,要关注其业务工作流程,了解业务的每个环节。尤其要注意其中哪些环节可以人为操作,哪些环节是计算机自动控制。对于计算机自动控制部分,审计时只需要做验证性测试即可;而对于人为操作环节,就是审计的重点。
在对计算机应用系统整个调查过程中,要争取取得被审计单位计算机技术部门人员和系统开发、维护人员的配合,有疑问应及时交流沟通,尽量不要直接操作被审计单位的计算机应用系统,以免造成不必要的后果。
(3)对应用系统后台数据库及数据的调查。对计算机应用系统后台数据库操作系统、数据库和具体数据的整体情况进行了解,是准确提出数据需求进行数据采集的必要前提。
一般而言,数据库系统的设计都有详细的设计文档,主要包括:①系统设计说明书。②系统详细说明书,主要包括:总数据流图、具体业务数据流图和软件结构图设计;数据库表间关系图;表结构描述;数据库的SQL文件(含表、视图、触发器等)。③用户操作手册。
应将以上资料尽量搜集齐全,通过学习这些资料可以快速把握数据库系统的总体情况、各数据库的关联情况、各数据库中表结构以及表之间的关系,从而可以准确的决定从哪些数据库中采集审计所需要的数据。
但往往在实际工作中,对于一些技术资料如系统详细说明书或通常所说的数据字典,被审计单位根本就没有,只有关于操作说明的一些材料。遇到这种情况,要求被审计单位向其上级取得相关资料,同时应与被审计单位计算机技术部门人员,特别是数据库系统管理人员或系统维护人员加强交流,分析系统,尽量获取一些对审计有帮助的系统和数据的信息。
2.提出书面数据需求。
审计组在完成以上调查的基础之上,应围绕本次审计目的和审计重点,提出合理可行的书面数据需求说明书,在这之前应注意以下两点。
(1)应尽量考虑周全,提出全面、完整的数据需求,防止因考虑不周重复提出数据需求,不仅延误数据的获取,更加引起被审计单位反感。
(2)初步确定所需数据之后,应及时与被审计单位计算机技术人员沟通,确定所需数据的格式、获取数据的最佳方法途径等,以免造成数据获取方式不合理,数据格式不可用等,从而影响数据的采集转换。
向被审计单位提出的书面数据需求说明书主要包括以下几个方面的内容:一是被采集的系统名称。二是数据的内容。是整个数据库还是具体某个数据库中的一些表;若是表,需注明表的名称。三是指定数据采集方式。如,直接联网采集、文件交换方式拷贝等。四是指定采集的数据格式。如,文本格式、电子表格格式、数据库备份文件等。五是时限要求。六是双方对数据的责任。七是其他事宜。
3.确定计算机审计实施方案。
审前调查结束以后,要及时将被审计单位的计算机应用情况进行汇总,制作被审计单位工作流程图,包括业务流程图、内部管理控制流程图等。根据工作流程图,分析被审计单位工作的关键环节和薄弱环节,确定审计方向和重点,编制内容全面、操作性强的计算机审计实施方案。方案的内容主要包含以下几个方面。
(1)计算机审计实施背景;
(2)计算机审计所需软件、硬件配置及所需的技术条件;
(3)数据采集方案;
(4)数据检查与整理方案;
(5)数据使用说明;
(6)重要审计事项和关键环节的计算机审计步骤和方法;
(7)计算机审计的人员配置及工作分工;
(8)其他事项。
(二)数据采集阶段审计质量控制对策。所谓数据采集是指在调查了解提出数据需求之后,按照审计目标和数据需求的要求和规定,采用一定的工具和技术方法对被审计单位信息系统的数据库(文件)进行采集的工作。在数据采集阶段的质量控制要突出以下几点:①真实性。是指采集到的数据必须是被审计单位计算机系统中存储或备份的数据,未经蓄意修改、删除、增加等操作,能准确反映财务、业务真实情况的原始数据。②选择性。是指应明确把握审计方案中的审计范围、内容及重点,应确保采集出的数据能完成审计方案中规定的各项内容,同时避免采集的数据过多,对完成审计目标起不到作用。③完整性。是指在选择性的基础上采集的数据应是完整的,未发生数据的丢失或增加。④安全性。是指获取数据的途径、采集数据的技术方法应安全可靠,从被审计单位采集的数据与获取的技术文档应当保证不被无关人员获知,保证其安全可靠。
1.数据采集真实性的质量控制对策。要保证采集的数据真实可靠,未经被审计单位人为改动,应做好以下几点。
(1)采集数据应在双方的共同监督下进行。数据的采集应取得被审计单位的同意或有关机关的批准,严禁私下进行,应在审计人员的监督之下,按照数据需求说明书的要求,由被审计单位的技术人员直接从系统中下载电子数据,以保证数据来源可靠、数据真实。如果必须由审计人员来采集数据,一定要得到被审计单位的授权并在一定的权限范围内操作,在双方共同监督下进行,确保操作没有损害被审计单位的操作系统。这里特别强调数据的采集,必须在双方监督之下,尽量由被审计单位技术人员完成。
(2)审计人员应对采集的数据进行真实性验证。在数据采集的同时或之后,审计组可以采用多种技术方法或成功经验等,对采集的数据真实性进行验证,保证数据的真实可靠,避免“假账真查”的发生。如,对SQL Server数据库中数据进行真实性验证,可以在企业管理器中找到所需的数据库,查询其属性,查看数据库的创建日期是否与预计的相同或接近,若相差甚远,则可对被审计单位提供的数据真实性提出质疑,也可以通过在查询分析器中输入EXEC sp_helpdb了解所有数据库的基本信息,或输入带参数的sp_helpdb的存储过程来了解某个具体数据库的信息;也可进一步执行sp_spaceused系统存储过程来了解各表包含的数据量,利用这些方法了解所有或某个数据库及相关表的基本信息,通过执行EXEC sp_tables @Table_TYPE= "'table'" 了解某个数据库中所有的基本表,查看被审计单位提供的表是否在这个数据库中,从而进一步查看这些表的创建日期,注意查看这些表是否是新创建的表。通过以上操作并结合审前调查的结果分析判断数据的真实性。以上数据验证工作也应在双方共同监督之下,由被审计单位技术人员在信息系统上操作执行。
(3)数据的交接应填写数据接收单,明确责任。数据采集后应通过正式的交接手续转移到审计组,进行交接时,被审计单位应同时对提供的数据真实性和完整性作出承诺,并清晰地分清会计责任和审计责任,审计人员要履行保密的义务,确保数据不泄露,维护被审计单位财务、业务数据的安全。交接时填写数据接收单,注明采集的数据名称、位置、内容、大小,并经双方签字确认,签字日期为数据正式交接的日期。
(4)注重对基础数据的保存备份。审计组应保存一份基础数据作为备份,另外复制一份或几份进行数据的转换、清理和分析,同时要求被审计单位对接收单中提到的数据进行备份,以便被审计单位对审计人员提供的数据分析结果产生疑义时进行验证核实。
(5)采集数据前后应保证被审计单位应用系统能正常运行。
在采集数据前应注意让被审计单位的技术人员运行应用系统,确保被审计单位的应用系统本身是正常的。采集数据后,当场让同一技术人员运行应用系统,以保证数据的采集并没有影响应用系统的正常运行,没有造成被审计单位应用系统和操作系统的损坏,以降低审计风险。
2.数据采集完整性的质量控制对策。要保证数据采集的完整性,不仅要使用正确合理的数据采集工具和采集方法,而且要进行必要的数据完整性的验证。
(1) 数据采集的基本方法
①小型单机数据库数据的采集可直接拷贝数据库文件。如,ACCESS数据库、VFP型的单机数据库可直接拷贝被审计单位的数据库文件。
②用审计软件进行数据的采集。如,审计现场审计实施系统(AO)提供了对财务、业务数据的采集功能,其中对财务数据的采集提供了目前市场上流行的绝大多数财务软件的转化模板,而且金审工程网站上也提供了大量的转化模板,可下载使用,业务数据可采集的数据库的类型有Access、Excel、dBase、SQL Server、Oracle、Sybase及ODBC数据源等。
③利用软件自身的导出、导入、备份和还原等功能进行数据的采集。如,Access数据库可利用导出功能将本身的数据转化为Excel、dBase、FoxPro、文本文件等,也可利用导入功能将其他格式文件导入Access中。SQL Server数据库可利用导入导出功能实现与其他数据库的互相转化,同时也可利用自身的备份数据库、分离数据库的功能实现对数据的采集。
(2)数据采集完整性的验证方法。在采集数据同时或之后应及时对数据的完整性进行验证。如,在采集数据之前应在被审计单位的数据库环境中打开采集的数据库,确定所需的表是否在此数据库中。同时,应记录下每张表的记录条数、所需的重要字段、统计一些数据,如某些货币类型字段的金额总和等,在数据采集之后导入到审计软件或SQL Server中,进行一些验证性的数据分析,看所需的表以及重要字段是否都在,统计每张表的记录条数或金额总和等是否与先前记录的信息一致。如果不一致,说明采集的数据不完整,应查明原因。在数据的完整性验证中,往往需要从数据的经济含义出发进行验证。如,经济总量、分量的核对、勾稽关系、借贷平衡等方面验证;利用AO数据采集功能将被审计单位的财务数据导入到AO中,可利用AO的资产负债表审查功能生成资产负债表,查看借贷是否平衡,并与纸质资料的相关指标进行核对是否一致,若不平衡或不一致,应查明原因是数据不完整还是数据本身就存在问题。对于一些业务数据的分析时,往往发现这些记录都是按照顺序由计算机逐笔进行登记的,常常通过某个字段体现出来,如流水号,一般不存在断号。对于这种情况,可利用AO的断号分析功能查看这些业务记录是否存在断号。可见,数据的完整性验证过程也是数据分析的过程,对于完整性验证不仅靠一些技术方法常常也需要审计人员丰富的审计经验。
二、审计实施阶段审计质量控制对策
计算机审计实施阶段就是将准备阶段所产生的计算机审计方案付之实施。在实施阶段,要针对审计方案中所确定的审计内容、范围、重点,对采集的被审计单位电子数据进行转换、清理和数据分析,发现疑点,搜集审计证据,作出审计记录。为提高审计质量,计算机审计的实施阶段应注重以下几个环节的质量控制。
(一)数据转换阶段审计质量控制对策。被审计单位的信息系统可谓是千差万别、多种多样,从被审计单位采集下的电子数据一般情况下不是可以直接使用的,这是因为审计人员所使用的审计软件或数据分析工具都是基于特定的数据结构或数据模式,必须进行数据格式的转换,同时对数据的内容进行转换,转换成审计人员可以分析使用的、便于理解的数据。
在数据的转换中应根据审计实施方案的重点、内容和目标,选择性对实现审计目标有帮助的数据进行转换。同时,选择自己能熟练掌握的,相对而言更简便、更高效、更准确的数据转换技术方法,做到转换过程中数据不丢失、不增加、不改变数据原来的语义。下面介绍一些数据转换的质量控制对策。
1.确定转换的格式和内容。在数据转换之前应确定数据转换的格式,因为现有的审计软件或数据分析工具虽然能够处理很多种类的数据,但不是意味着能够处理任意格式的数据。因此,应确定数据转换的格式,可利用AO提供的对财务、业务数据的多种转换方法或SQL Server的DTS导入导出向导进行转换。这些功能基本上能满足现有审计对财务、业务数据的转换。
确定转换的格式之后,应重点考虑转换的内容,即选择哪些表以及表的哪些字段进行转换,要做到准确地确定数据转换的内容,主要取决于对审计实施方案中审计目标、内容和重点的把握以及对数据库中表及表字段的理解,要做到对数据的理解,就要充分做好审前调查工作,以及对审前调查得到的用户数据字典、使用说明等资料的充分学习理解,对照数据字典中关于数据库中数据项与事务处理逻辑的描述选择转换的内容;如果不能够直接得到用户数据字典等文档,可尝试在数据库操作系统中利用系统存储过程(如EXEC sp_spaceused 、EXEC sp_helpdb、EXEC sp_tables @Table_TYPE=“‘table’”等)或系统表得到系统数据字典,获取表和表字段等的描述,从而确定转换的内容;如果确实无法获取用户数据字典,应在被审计单位技术人员的支持下,结合审计人员的经验、业务知识,利用观察、推断、验证等方法确定表及字段含义,进行数据的转换。
2.在数据转换中应注重数据存储格式的变换。有时在数据转换之后,发现数据的精确度发生丢失等,这都是在数据转换中没有注重转换前后数据存储格式的变化。要保证将一种类型的数据转换成另一种类型的数据时不改变数据的属性,这就要求数据转换的前提是类型相容,从而保证数据的转换不出现数据的偏差。类型相容的转换有:整形转化为文本型(字符型)、单精度型、双精度型、长整型;长整型转化为文本型;日期时间型转为文本型;单精度型、双精度型转为文本型。不适合转换的类型有:文本型转换为整型、单精度型、双精度型、日期时间型;长整型转换为单精度型、双精度型、日期时间型;日期时间型转换为整型、单精度型、双精度型、长整型。对于日期时间型的转换应将所有表中日期时间型的字段转换成统一的格式,这样在以后的分析中便于操作,从而提高数据的运行质量和效率。
3.在数据转换中应注重有效值的检查。在数据转换过程中常常遇到这种情况,在转换过程中提示数据溢出,这往往是由于某字段中的数值无效,不在字段规定的数据类型的范围之内。
可以通过有效值检查查看数据字段中的值是否有效,采取的方法有范围检验、枚举清单和相关检验来完成。范围检验是指检验一个字段中的数值是否在字段设置的预期范围之内,通常是指数值范围或日期范围。如,审查2007年企业养老保险缴费情况,那么缴费记录的时间范围应是2007年1至12月,此时就可使用范围检验。枚举清单是在数据字段的取值为有限个时,可采用此种方法,检查字段中的值是否在数据字段规定的几个值的范围之内。如,在社保审计中,基本医疗保险费在职职工个人应当按其缴费基数2%的比例缴纳,那么“缴费基数”字段乘以2%等于“个人缴纳金额”。根据这种内在关系,可以验证“个人缴纳金额”字段值是否满足这种关系,同样可以验证“单位缴纳金额”,从而实现有效值检查的质量控制。其实,这种验证过程也是数据分析的过程,在计算机审计的整个过程中,数据的验证是相伴而行的,是保证数据分析结果准确无误的保障。
4.在数据转换中应注重代码转换的质量控制。从被审计单位采集下的电子数据,它们的表名、字段名一般都是英文或拼音代码表示,这时为了便于审计人员的理解和提高审计分析的效率,必须按照数据字典对表及表结构的说明将其转化成易于理解的中文形式,如,一些表字段名为KMBM或CODE,应将其转换为“科目编码”。同样对于表内代码也要进行转换,因为这些代码更具隐蔽性,审计人员更不容易理解。如,在某银行审计中,涉及“借款凭证表”,其中“担保方式”、“四级分类状态”、“五级分类状态”等字段都是用代码表示,其中“担保方式”取值为“1、2、3、4”四种,具体这4个数字代表什么,必须与“担保方式表”进行关联转换,“1”转换成“保证”,“2”转换成“抵押”,“3”转换成“质押”,“4”转换成“信用”,这样就便于以后的审计分析需要。表内代码转换的方式一般是运用SQL语句将主表和数据代码表按主键等值连接。
(二)数据清理阶段审计质量控制对策。数据清理是指在保持数据正确性、完整性和一致性的前提下,对作出审计判断无用、妨碍数据分析的效率和质量的数据进行改正或清除的过程。计算机审计数据清理阶段质量控制应做好以下几个方面。
1.在数据清理之前做好数据备份和数据的观察分析工作。既然对于数据进行清理,必然会对数据进行大量的修改,然而在清理过程中难免由于考虑的不够周全或误操作,导致数据清理的不准确。如果不备份直接对基础数据进行修改,那么必须重新去还原数据或重新获取基础数据,必然会妨碍审计的开展。因此,在数据清理之前应做好数据的清理。在数据清理之前应对数据进行初步的观察、分析,了解哪些数据是审计所需要的,哪些是不需要的,哪些记录是冗余的、哪些数据是错误的、哪些数据是异常的,从而判断存在的问题,确定清理的内容、重点和采取的方法。
2.数据清理中几种常见的数据清理方法。对于数据清理工作,一些审计人员不够重视,认为没有必要,就直接进行数据的分析,结果造成由于存在大量的冗余数据,致使数据分析效率低下。执行一个分析语句,等待时间过长等,也由于一些错误、异常、不规范的数据的存在造成数据分析的错误或不准确,影响数据分析工作的开展。还有一些审计人员对数据清理不够谨慎,往往造成审计线索的丢失和审计分析的不准确,直接影响审计质量,给审计工作带来一定的风险。下面介绍几种数据清理中常见的数据清理方法。
(1)空值的数据清理方法。在数据表中常常存在一些数值型字段的值为空值,必须明确空值与数值“0”的含义是不同的,它的存在会影响到数据表的运算操作,如不能进行加减、比较大小、数字统计等运算,必须对这些空值进行处理,可以将这些空值全部替换为“0”。如,使用如下代码将“缴费金额”字段的空值转换为“0”。
Update 缴费明细表 set 缴费金额=0 where 缴费金额 is null
(2)冗余数据的数据清理方法。冗余数据就是指数据表中存在的对于审计分析判断没有意义的字段或记录。冗余数据的存在不仅占用了有限的存储空间,更重要的是它严重降低了审计分析的效率。对于冗余数据的清理主要包括对冗余字段的清理、对冗余记录的清理和对重复行的清理。对于那些没有使用或存储辅助信息的冗余字段的清理,可以使用如下SQL 语句:
Alter table 表名
Drop column 冗余字段名称
对于冗余记录的清理的方法是利用SQL语句:
Delete from 表名 where 满足冗余记录的条件
如,假设已经销户人员的信息对于审计没有任何意义,形成大量冗余记录可利用如下语句清理。
delete from 人员信息表 where 状态 like‘%销户%’
往往表与表之间存在某种关联,在删除某张表的冗余记录时,也应根据这种联系,删除其他表中与这些冗余记录相关的记录。
对于重复行,应分析产生重复行的原因,是人为原因还是文件传输或复制的问题,对于重复行的清理,建议应生成两张表,一张用于存放去掉重复行后的数据,另一张表存放全部的重复行数据,以便在分析中进行对比,查看去掉重复行所产生的结果,以进一步分析产生重复行数据的原因。
(3)不规范数据的数据清理方法。不规范数据的形成往往是由于数据录入人员的不规范操作所造成。一些操作人员在录入数据时,在对多条连续记录中存在的相同数据值进行录入时,往往只录入第一条记录,而后续的记录中相同的数据值就不进行录入,导致值缺失。这些缺失的值有时是审计中必须用到的或是与其他表进行关联的数值,所以必须在查明缺失的程度、原因后,与被审计单位人员一起对缺失的值进行补充。也有一些操作人员在录入数据时经常存在这种习惯,无意间在数据的录入之前或之后敲一下空格键,这些数据前后的无用空格往往会影响审计分析的结果。
(4)错误数据的数据清理方法。在查看数据表时,有时明显会发现一些错误数据。如,某字段数据超出了规定的范围或与经济含义不符。这些往往是由于字段的约束性存在问题或输入有误等。如,某表的“工资”字段出现负值,这明显是不合理的,应查明原因,是否是输入错误,若是应进行修改,可用ABS()函数取其绝对值。
3.在数据清理之后应做好数据的验证工作。在数据清理之后,也应进行数据的验证工作,确认数据清理工作没有损害数据整体的完整性、正确性和一致性。这里再次强调审计人员应在审计的全过程中加强数据验证的意识,保证审计质量、降低审计风险。数据清理之后的验证可采取核对金额、核对记录数等验证方法。如,通过金额核对法,核对数据清理之后某些指标的金额是否与清理前备份数据这些指标金额一致,注意因删除冗余记录所造成的金额损失也应考虑在内,核对记录数的方法与核对金额的方法是一致的。
(三)建立审计中间表阶段审计质量控制对策。建立审计中间表虽然也要进行数据的整理,但与数据清理阶段是不同的,它是指将转换、清理后的数据按照能提高审计分析效率,根据审计实施方案的审计目的、内容进行进一步的选择、整合等操作而形成的可以直接用于审计分析的数据的过程。建立审计中间表阶段相对数据清理阶段而言,更具针对性,它是面向主题的,往往是在明确审计目标和审计的思路与方法之后,分析、选择、整合有分析价值和必要的数据形成可直接解决某类问题的数据集合即基础性中间表。在具体的数据分析过程中,按照审计分析模型还需进一步的处理数据形成分析性中间表。下面介绍建立数据中间表阶段的一些质量控制对策。
1.应注重做好数据的备份和验证工作。在建立中间表之前,应对数据清理之后的数据进行备份。因为在建立中间表的过程中,会进行数据字段的选择、删除、整合等操作往往造成数据大范围的修改,特别是在进行表间关系的分析、关联时往往会发生一些失误,如果不备份,是很难进行数据还原的,难免影响数据处理的进展。在做好数据备份的同时,也应做好验证工作,检查是否将有用的字段删除、应删除的字段仍保留,在数据表之间关联时,有无连接条件出现逻辑错误或表间关联时造成不必要记录的增加或丢失等。在发生错误时,建议用备份的数据进行重新分析。
2.应在注重表间关系分析的基础上进行数据的整合。在数据整合之前,应清楚认识表间的关系,一般表间的关系有3种:模式分解形成的表间关系、业务处理流程和实现内部控制形成的表间关系以及财务数据和业务数据形成的表间关系。模式分解形成的表间关系一般是被审计单位数据库设计时,处于规范化的要求,将一个实体中的内容分解到多个关系表中,并通过一个关键字段进行关联形成的表间关系。这类表间关系的整合往往是通过关键字进行关联。如,通过“科目代码”关键字段将“科目代码表”与“明细账”进行关联整合。业务处理流程和实现内部控制形成的表间关系是围绕业务的处理流程和内部控制而设计的相互关联的多张表。可以将这些反映某项业务不同流程的表进行整合,以反映业务的全貌,掌握业务的整体情况。财务数据和业务数据形成的表间关系,是根据财务数据和业务数据之间存在的内在联系,即财务系统所需的数据往往来源于业务系统而形成的表间关系,根据这种特性进行整合,进行财务、业务数据的对比分析,拓展审计的广度和深度。在对具体财务、业务数据的分析时,也可将多年的数据进行整合,反映出几年来的整体情况,便于进行横向、纵向的多维数据分析。
在确认了数据的表间关系,可以围绕审计的目的选择所需的字段和进行数据的整合,实现方法可以利用AO的“生成数据中间表”功能进行数据的选择、整合,也可以利用SQL Server的“新建数据库关系图”功能实现或直接编写SQL语句实现。
(四)数据分析阶段审计质量控制对策。数据分析是整个计算机审计过程中的核心阶段,前面几个阶段的工作都是为数据分析阶段奠定基础。数据分析的一般思路是“建立模型、全面分析、发现线索、验证结果”。即在具体的数据分析中,审计人员根据法律法规、业务和财务数据的对比分析或审计经验等,明确审计思路,建立审计模型,然后在基础性“中间表”的基础上建立分析性“中间表”,再通过AO或编写SQL语句等对数据进行全面、准确的分析,发现审计线索,最后查阅相关纸质资料或进行延伸调查验证结果,得出审计结论。在整个数据分析的思路中,能否根据实际情况建立准确可靠的、可以实现的分析模型是实现数据分析准确与否的前提。因此,建立分析模型的质量控制是至关重要的。建立审计分析模型的质量控制主要有以下对策。
1.根据财务数据与业务数据的对比分析建立审计模型控制审计质量。
财务系统所需的数据往往来源于业务系统,根据财务数据与业务系统之间的这种内在关联,可以建立审计分析模型,进行财务与业务数据的对比分析,进行相互的验证,以发现审计线索。
如,审计人员在对2006年某医院重复使用手术材料收取费用审计,就必须结合业务数据去核实财务资料的真实性、准确性。将业务数据中2006年住院病人费用明细表,按每一种材料品种汇总当年向病人实际收取手术材料数量,经过与当年财务数据中材料领用情况进行核对、分析建立审计分析模型如下:
select 药品名称,sum(药品数量) as 材料实际使用数量 ,sum(药品单价) as 总金额 from 2006年住院病人费用明细表 group by 药品名称
通过以上分析统计每种材料的实际使用数量和总金额,与当年财务数据中材料账领用情况进行对比(如下表)。
以上对比说明医院存在重复收取使用手术材料费用的违规行为。
2.根据内部数据和外部数据进行对比分析建立审计模型控制审计质量。这里所说的内部数据与外部数据具有相对性,是针对具体的被审计单位而言的,被审计单位内部的数据称为内部数据,被审计单位以外其他单位数据称之为外部数据。当被审计单位发生变化,内部数据与外部数据也就发生变化。往往内部数据与外部数据是有关联的,特别是在目前一些单位之间的数据不能共享,更需注重这种关联来建立审计分析模型,往往会有意想不到的结果。
如,审计人员对冒领企业养老金问题的审查,将社保机构提供的内部数据,如离退休费发放记录表、个人资料表、参保人员身份表,与从公安部门获取的外部数据即死亡注销登记表以身份证号关联进行对比分析,查看离退休费发放记录表中是否存在(1)从公安部门获取的外部数据即死亡注销登记表中已注明某参保人员已经死亡,但在社保机构提供的内部数据中此参保人员仍在继续领取养老金;(2)参保人员已经死亡,也已经停发养老金,但外部数据与内部数据中注明的死亡日期不符,导致冒领养老金,是否足额追缴养老金。根据这种内部数据与外部数据的对比分析思路建立审计分析模型。
3.根据法律法规创建审计分析模型控制审计质量。根据法律法规建立审计分析模型是审计人员常用的方法,可以根据法律、法规和具体条文定性、定量的规定转换为分析模型中的筛选、分组、统计等条件,对反映具体业务内容的特定字段设定判断、限制等条件建立模型。
如,审计人员在针对医院自立项目收取费用问题审计中,发现在纸质的业务收费表中登记有“陪护”、“专科治疗”等收费项目,这些医疗服务项目在《医疗服务价格(试行)》中未列明,明显违反了规定,存在乱收费的现象。根据规定和发现的线索建立分析模型如下(主要分析语句如下)。
select * from业务收费表 where 业务名称 like '%专科治疗%' and 时间>='2004-04-01 00:00:00'
select * from业务收费表 where 业务名称 like'%陪护%' and 时间>'2003-10-01 00:00:00'
根据法规的时间变动及内容的调整,确定时间范围并在业务收费表中筛选收费项目中含有陪护、专科治疗关键字的收费记录,发现大量自立项目收取费用的情况发生。
4.根据逻辑关系创建审计分析模型控制审计质量。审计人员应重点关注业务处理的逻辑关系并建立分析模型,发现与业务处理逻辑关系不相吻合的事项,从而达到审计发现、核查问题的目的。如,在医院审计中,通过计算机辅助审计建立审计分析模型(审计模型略),对按小时为计量单位的收费,数量大于24小时的,进行汇总,就可以发现违反常规,不规范计费的问题。
5.根据勾稽关系建立审计分析模型控制审计质量。勾稽关系是指数据间存在的某种明确而固定的对应关系,一般体现为机械准确性,是不同经济变量之间在量上的依赖、对应关系。如,资产负债表的资金合计应等于负债与所有者权益之和,总分类账户的金额等于所属明细分类账户的金额之和,“应税额”乘以“适用税率”应等于“应纳税额”等。通过存在的这些勾稽关系,快速建立审计模型进行复算、核对,达到分析问题、发现线索的目的。
6.根据审计经验建立审计分析模型控制审计质量。审计人员长期在对某类、某个问题的审计中,往往能总结出一套很实用、很高效的审计方法,能够通过现象发现问题的本质,将审计人员的这种经验运用到审计中,编写审计分析模型,将这种表象转换为数值特征,发现疑点。
在利用以上方法建立审计分析模型控制审计质量的同时,数据的验证和取证也是数据分析阶段重要的步骤。
审计人员应结合审计业务和数据分析技术,验证数据分析的思路、查询条件、相应的SQL语句等,保证建立的分析模型以及编写的SQL分析语句等没有出现逻辑上的错误。
如果数据分析的结果可以直接发现和核实问题,审计人员可以利用有关电子数据直接取证,但为了保证审计取证的准确性,应先将数据分析的明细结果交予被审计单位征求意见,得到被审计单位认定后,便可由被审计单位签章,作为审计取证材料。若被审计单位对审计分析结果存在疑义,审计组应进一步核实结果的准确性,在深信分析过程和结果准确无误的情况下,可根据相关规定进行取证。如果数据分析的结果仅仅揭示了问题的线索,应进一步进行延伸调查,获取审计证明材料。在编制审计底稿时,应记录所使用数据的系统名称、数据表名、数据分析的过程、方法等,以准确反映审计人员对数据进行分析和发现问题的过程。
(五)审计实施方案执行情况审计质量控制对策。无论何种审计方式,审计人员按审计分工对审计方案确定的审计事项实施必要的审计步骤和方法,是审计实施阶段质量控制的关键环节。计算机审计环境下保证审计方案的执行,需做好以下几点。
1.分工的控制。计算机审计环境下,审计分工的控制可以通过审计组长分发审计任务包的形式进行控制。任务包可以将被审计单位的有关情况及每个审计人员应完成的审计事项,每一具体审计事项的审计目标、必要的审计程序(步骤)等进行明确,任务到人,责任到人。
2.审计步骤与方法的控制。对重点的审计事项,审计实施方案已规定了审计实施的步骤,审计人员必须按程序要求与提示完成,否则无法实施下一步骤或视为任务未完成;对一般的审计事项,由于方案未确定审计步骤,审计人员可以通过软件中的审计方法、审计专家经验库或以前年度的审计实施步骤得到帮助与提示,从而规范审计作业。
3.方案调整及批准的控制。审计人员按方案确定的内容、重点、步骤与方法实施,当审计人员根据被审计单位实际情况认为需要调整的,可以通过软件设定的流程进行报批调整。
4.审计进度及其他情况的监控。计算机审计环境下,可以通过软件自动进度汇总、问题与线索汇总及查阅相关审计轨迹对审计实施情况进行监控,有利于及时决策与调整。
三、审计报告阶段审计质量控制对策
审计报告阶段主要是搜集、整理计算机审计取证资料、审计记录及其他资料,在此基础之上撰写审计报告,代拟审计决定。由于开展的审计项目都要求在AO系统中完成,这样形成的审计结果都是电子数据,而目前仍然要形成纸质的审计档案进行保存,因此还需转化为纸质的审计证据,由被审计单位签章。同时,将其他所需归档资料也应转化为纸质资料,进行归档保存。目前,在AO系统中可以依靠固定的标准模板完成对证据、底稿、底稿汇总表及审计报告初稿的编制,这无疑提高了审计的质量。在审计报告中,对于计算机审计的成果,要着重说明采用了哪些计算机审计技术方法,发现了哪些问题,尤其是被审计单位存在的具有代表性的问题。如,应用系统存在重大漏洞,严重危害系统安全的问题。对于违反法律法规的事项,还要作出审计决定。审计完成后,进行传统的纸质归档之外,还需完成AO与OA系统审计资料的交互,被审计单位基本信息、财务和业务信息的进一步更新以及利用AO生成归档数据包打包上传,由档案管理软件接收,并有档案管理员统一进行对电子档案的分类、借阅、保管等工作,保障电子档案的安全和完整。(江东东)
