随着信息技术的迅速发展,被审计单位普遍采用信息化管理,审计人员不仅要面对纸质账目,还要面对计算机系统与多种多样的数据库。面对审计对象的信息化,为了规避审计风险,确保审计质量,审计人员就必须改变审计视角,不仅要对计算机管理的数据进行审计,还要对管理计算机的信息系统进行审计。前不久,审计署领导提出了数据式系统基础审计模式,即以系统内部控制测评为基础,通过对电子数据的收集、转移、整理、分析和验证,来实现审计目标的审计方式。为了突破计算机审计技术瓶颈,今年我们大胆尝试,积极在失业保险基金、养老保险基金、住房公积金等多个审计项目中实施了数据式系统基础审计,审计成效显著。
我们认为,数据式系统基础审计是以审计模型为出发点,通过采集审计模型需要的数据,并对数据进行处理和分析,实现对数据和信息系统进行审计的方法。其核心技术:一是通过研究政策、对信息系统内部控制测评等工作,结合可以采集到的电子数据,确定审计需求,构建审计分析模型。二是根据审计分析模型,通过数据采集、处理与分析,确定审计疑点,实现审计目标。下面结合我们开展数据式系统基础审计的实践,就上述两大核心技术谈一下肤浅的认识。
如传统审计一样,在审前调查阶段,着重开展两方面的工作,一是对政策的研究,通过法律法规的定量、定性规定,确定计算机可审的内容;二是对信息系统内部控制的测评,主要包括信息系统的控制环境和应用控制的测评。对信息系统的应用控制测试包括应该程序中输入控制、处理控制和输出控制的情况,重点检查信息系统的关键控制点的设置及运行情况,从而来评价系统内部控制,确定信息系统审计的重点。我们确定审计需求,构建审计分析模型方法有以下五种:
1、构建信息系统数据的真实性、完整性验证分析模型。主要对信息系统输入、输出两个源头数据的真实性、完整性进行审核,方法上采用与财务数据进行对比验证,实现信息系统数据和财务数据的真实性、完整性审核。如在社会保障基金审计中通过对基金财务收支数据、信息系统收支数据与基金银行发放数、银行托收数、地税征收数据的对比分析,审核社保基金信息系统数据中征收与发放的真实性、完整性。
2、构建与其他相关业务系统的数据对比验证分析模型。主要根据法律法规的定量、定性规定构建审计分析模型。在审计过程中,将被审计单位数据与其他相关业务系统的数据进行对比分析,可有效开阔审计视野,往往能收到意想不到的效果。如对享受基本养老保险待遇的人员发放失业保险金情况的审计等,均是通过将被审计单位数据与其他业务系统数据进行关联查询分析,实现真实、合法性审计目标。
3、构建信息系统内部数据间逻辑关系模型。主要有两类:一是根据法律法规的数据间逻辑关系规定,测试信息系统设置控制及其运行情况,以此来构建审计分析模型,如养老保险金个人账户计息审计分析模型,是根据养老保险基金政策中关于个人账户计息的规定,构建审计分析模型,审核信息系统该项功能运行情况。二是根据被审计单位业务运行中存在的相对稳定的指标构建审计分析模型。如一定的投入产出比、产品成本单耗、毛利率等在一定时期是相对稳定的,据此构建审计分析模型,发现与业务处理逻辑关系不相吻合的事项。该类模型不但实现了对数据的审计,而且实现了对信息系统控制功能的审计。
4、构建经验模型(线索模型)。根据审计人员在审计中发现某类问题或掌握的线索,总结出问题或线索的表现特征,并将问题的表征转化为特定的数据特征,实现根据审计经验构建审计分析模型。在审计准备阶段可以从审计信息和审计机关网站查询各地审计机关在审计中发现的问题,以此确定审计重点,构建审计分析模型。
5、构建绩效评价模型。在上述真实、合法性审计的基础上,从不同层次、不同角度对被审计单位数据进行汇总、分析,建立指标或指标体系,通过纵向对比、指标变化趋势等分析把握总体,构建审计分析模型,关注绩效,提出政策层面、操作层面存在的问题。如被征地人员养老保险基金支撑能力分析,是以参保人员年龄结构、平均寿命、基金增值率等为基础,测算基金支撑能力,关注基金运转的支撑风险。
二、数据采集、处理与分析
根据建立的审计分析模型,采集模型需要的数据,并对数据进行处理和分析,生成审计疑点,实现审计目标。
1、数据采集。数据采集是进行计算机数据审计的首要前提,采集审计分析模型需要的数据,包括被审计单位信息系统中的数据和相关业务系统的数据。采集数据一般可采用三种方式:一是备份法,在本地恢复被审计单位数据库备份,该方法普遍使用于ORACLE数据库、SQL SERVER数据库的采集。二是通过ODBC数据库访问接口采集数据。三是要求被审计单位按审计要求格式和内容提供所需数据的文本文件。
2、数据处理。根据数据字典及关联图,对采集到的原始数据格式的转换、关系表的处理和字段类型的调整等数据转换和整理工作,创建审计中间表。审计中间表既解决了原始数据中表名和字段名难以识别的问题,又解决了因范式分解而造成的信息分裂问题,更重要的是审计中间表面向全体审计分析人员,解决了计算机审计多人合作模式,同时有利于构建行业审计标准数据表,开发行业审计软件。
3、数据分析。根据审计模型,通过编写SQL查询语句或编制程序对审计中间表进行核对、检查、判断或复算等,发现审计疑点,收集审计证据。
背景:
最近,浙江慈溪市审计局在养老基金专项审计调查中,进一步创新审计方式,以审前调查阶段研究政策、测试信息系统控制功能为主线,以构建审计分析模型为审计目标实现途径,首次尝试开展了数据式系统基础审计,取得良好成效。
审计过程中,审计组通过构建信息系统数据验证分析模型、其他相关业务系统数据对比验证分析模型、信息系统内部数据逻辑关系模型、经验模型(线索模型)及绩效评价模型,很快全面采集到了必要的系统电子数据,包括企业职工基本养老保险数据库、被征地人员养老保险数据库、农村养老保险数据库、养老金社会化发放电子数据及地税征收养老保险费电子数据等,还包括市公安局、民政局、国土资源局等部门的电子数据,数据量达10G.在此基础上,审计人员对所采集的原始数据进行了转换、整理与分析,创建审计中间表,不但对信息系统管理的数据进行审计,而且还对管理数据的信息系统进行审计,审计效率大大提高,审计风险有效降低。