大规模电子数据环境下计算机审计的策略与方法,本文主要内容关键词为:策略论文,环境论文,计算机论文,方法论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、数据采集
目前,安徽省开展的大部分计算机审计项目,都是在审计组需要时,临时到被审计单位进行数据采集,这对于小量数据可能还可以,但是对于大规模数据是非常不可取的。对于大规模数据采集,计算机人员必须参加审前调查,了解被审计单位的信息系统,重点是与被审计单位技术人员沟通,对被审计单位信息系统的开发商、开发平台、后台数据库、有无辅助软件、系统功能等情况进行了解;对于业务信息系统,熟悉业务流程以及相关的数据流向,确定数据采集的重点;尽可能多地得到被审计单位信息系统资料,如开发说明书、数据字典以及系统操作手册等。在对以上情况了解
后,与审计人员共同研究审计内容、审计范围与审计重点,制定可行的数据采集方案,并遵循以下几点原则:
选择性:我们要有这样一个观念,对于被审计单位的海量数据,我们全盘吸收是不可能的,必须有的放矢,在掌握被审计单位第一手资料、把握总体的前提下,确定与审计重点相关的数据,减少采集的盲目性,提高数据采集效率。
可操作性:对于可操作性,要确定以下两点内容:一是方案技术的可能性与现实可能性,要考虑被审计单位的系统运行情况以及系统维护人员的素质等多种情况,采取灵活的采集手段;二是要确保被审计单位系统运行的安全性。
不完整性:我们的数据采集不可能一次全部采集完毕,根据审计深入的需要,可能需要加大采集范围和内容。对于大规模数据采集,更要在数据采集方案中注意此点,做好与被审计单位人员的协调工作。
二、数据清理
作为数据整理重要的一环,由于被审计单位数据的来源很多,且数据结构和数据类型不同,或由于操作人员误操作等原因,使审计原始数据存在很多问题,必须通过数据清理消除数据的冗余、数值缺失以及不完整与不一致。
三、数据转换
由于数据的差异性而带来的与审计软件后台数据库的不一致性,也就是我们通常说的异构数据库问题,给计算机审计工作带来障碍,所以在数据整理阶段我们必须对数据进行处理与转换,其包括以下三个层次。
语法层次:必须通过数据库转换技术,解决被审计单位不同类型和格式的数据库识别问题,将具有相同或相近的不同形式的数据转换为审计软件所需要的数据。
语义层次:需要对被审计单位数据的含义进行识别,通过数据字典和数据分析相结合,明确表与字段的含义,并且清楚表与表之间的关系。
应用层次:必须根据实际需求对采集的数据进行修改,修改部分表结构,生成新的中间表和视图,提高审计效率。
四、数据验证
数据验证严格上说与数据分析一样,不是一个单一的信息审计步骤,而是贯穿于计算机审计的每一步。在数据采集的过程中,主要表现在对采集数据的完整性确认,可通过比较借贷是否平衡法、核对总记录法、日期查看法等进行验证。在数据清理和数据转换以及数据转移的过程中,由于编写语句或程序错误以及误操作,可能影响到数据的完整和正确性,可通过与原始的采集数据比较,或采用钩稽关系进行数据的验证。
数据的整理(包括数据清理、数据转换以及数据验证)大约要花费整个计算机审计过程50%的时间,如果处理不好,可能会影响后期的审计工作,对于大规模数据,更是如此,所以我们十分重视数据整理的效率。不同于少量数据,在大规模数据的整理过程中,应减少小SQL语句的运行和手工调整数据,尽量用临时表或中间表,通过大SQL(程序段)来提高工作效率,减少人工错误。
五、数据分析
对于海量数据的分析,有两个问题是我们需要重点关注的:一是技术层面上探讨的问题,也就是数据分析的效率问题;另一个是需要从系统论和方法论角度去考虑的问题,即数据分析的思路问题。
1、数据分析的效率(分析过程略)
2、数据分析的思路
(1)数据分析要点
从系统论和方法论的角度说,数据的大规模不仅仅体现在数据个体要素的数量上,不是数据要素的简单之和,数据所含的信息量不是简单与数据的数量成正比,因此如何找到尽量多的信息量,是我们必须注意的问题。要对大规模数据分析,要注意以下几个方面:
数据的整体性:整体数据不是各部分数据的简单组合,而是有统一性的,是各数据在各层次的充分协调和连接,因此,在数据的分析和采集过程中,我们千万不能忽视一些小的数据。比如,凭证库中有借款人代码,那么我们一定需要分析借款人代码与姓名对应的表。
数据的相关性:各部分数据是相互制约和相互影响的,这种相关性确定了数据的整体状态和性质。比如在集团公司账套有一笔内部往来款到某分公司,我们可以到某分公司账套查询这笔款的到达方式和金额以及其他内容是否相符合。数据的相关性是数据分析的重点。
数据的层次性和相对性:数据的组织结构、大小以及值域是有变化的,但是其有一定的层次性和范围,对数据要分析其所在的层次,在肯定数据的整体性和关联性基础上,要体现数据的差异性。比如子公司和母公司其数据的特性和信息内容肯定存在很大的不同,对于海量业务数据,可用数据的切片来进行层次分析等。
(2)数据分析步骤
一是测试性数据分析。测试性分析是数据分析的基础,所谓测试性分析,就是对贯穿整个审计分析的一些字段的值、值域结构以及关联关系等隐藏信息(非显示信息)进行研究,以减少后期数据分析中的弯路。不管我们是否有被审计单位的数据字典,对于测试性分析都是必须的。对于有的测试性分析,可能是对某个表进行数据分析,例如,在财务数据中查找科目的级次,在业务数据中找出产品的种类和数量或价格并以此分组,查看某个字段是否唯一等。而对于有些测试性分析,可能是对几张表分析,如找出表与表之间的关联字段。对于另一些测试性分析,如果单个表中数据量非常大,不需要对整个表进行数据分析,可以挑选一部分数据进行分析,如验证某几个字段是否存在某种数学或逻辑关系等。
二是目的性数据分析。所谓目的性数据分析,就是为达到审计目的和揭露问题而做的数据分析。根据上面提到的数据分析要点,我们在做目的性数据分析的时候,要做个性数据分析、关联性数据分析和整体性数据分析。所谓个性数据分析,是针对数据的层次性和相对性而做的分析,对于财务数据而言,是在账套内分析,对于业务数据而言,是对一个可以作为单独数据整体的数据进行分析。个性数据分析的特点表现为对数据的查询统计型分析,常用的方法和操作是对数据的重算、检查、核对,其主要目的是验证被审计单位的数据处理流程的正确性和有效性。在以上三种基本方法的基础上,再对数据进行统计、抽样和做必要的推理以形成判断,是个性数据分析的常用步骤。个性数据分析可以通过常用的审计软件来完成,比较适合于对计算机知识了解不多的审计人员,也是安徽省现阶段审计人员最常用的数据分析方法。关联性数据分析是根据海量数据的相关性而做的数据分析。我们知道,任何整体的数据都不是一个独立的数据,它和其他数据存在时间、空间、数量以及其他的关联性关系,这是我们关联性分析的基础。关联性数据分析有二个层次:一是核对型关联分析,就是我们上面说到的,在数据之间存在明显的制约关系,这是一种简单的关联分析。如:母公司有一笔专款转到子公司,在子公司应该可以查看到该笔专款,并且时间和数量以及用途必须一致。二是挖掘型关联分析,是我们在分析数据的总体上,得到数据的特征,比如两个子公司经营情况,从常规上说,各种收入、利润和负债以及其他项目的比例和数量以及波动情况应该是有一定变化范围的。挖掘型关联分析的关键是在大量数据中发现数据之间存在的潜在规律,通过挖掘发现一组数据项和另一组数据项的密切程度和关系,其常用的方法有归纳法、假设法和决策树等。整体性数据分析是从用户的有限数据整体中发现数据模式,预测数据的趋势的数据分析方法,是一种层次很高的数据分析方法。要从总体上把握海量数据是一个要求非常高的事情。其一般是在前两种数据分析的基础上用推理和归纳以及其他的问题处理方法来进行,需要审计人员具备较深的计算机知识、审计知识以及处理问题的思路、经验和方法。