审计理论与方法——第十一章计算机审计目录01考情分析02内容介绍03内容讲解【考情分析】随着审计信息化的发展，计算机审计越来越成为审计中一个不可忽略的问题。

本章与其他章节关系不大，属于非重点章节，分值3分左右。

初级资格仅要求第一节，但历年考试内容也可能涉及一些第三节知识。

内容介绍第一节计算机审计概述第二节电子数据审计第三节信息系统审计第一节计算机审计概述一、计算机审计的含义（2019年变化）从广义上来看，计算机审计是在信息技术环境下发展的审计技术方法的总称；从狭义上来看，计算机审计可以包括对计算机产生的电子数据的审计、对信息系统本身的审计和大数据审计。

电子数据审计：是以被审计单位信息系统产生的电子数据，为审计对象的审计，包括被审计单位的财务数据和业务数据。

信息系统审计：是以被审计单位的信息系统本身为审计对象的审计，包括信息系统建设管理情况审计、信息系统应用绩效情况审计，以及网络和信息安全情况审计等。

大数据审计：是以数量巨大、来源分散、格式多样的经济社会运行数据为审计对象的审计，审计人员需要遵循大数理念，运用大数据技术方法和工具，开展跨层级、跨地域、跨系统、跨部门和业务的深入挖掘与分析。

计算机对审计的影响可以分为两个方面，既有对审计对象客体的影响，又有对审计自身的影响。

二、计算机审计的过程三、计算机审计技术（2019年新）计算机审计技术通常分为两类，一类是面向信息系统的审计技术，在信息系统审计中广泛使用，另一类是面向数据的审计技术，在电子数据审计和大数据审计中广泛使用。

面向信息系统：程序代码检查法、平行模拟法、测试数据法、嵌入审计模块法等。

面向数据：数据查询、统计分析、数值分析等方法。

常见的工具包括 Excel、 Access等通用类工具，也包括 SQL Server、 Oracle等专用的数据库工具，还包括ACL、IDEA等专业分析工具。

【例题1·多选题】下列关于计算机审计的表述，正确的有：A.计算机审计不需要审查纸质材料B.计算机审计的审计内容与传统审计不完全一致C.计算机审计的审计对象既包括电子数据，又包括信息系统D.计算机审计不需要进行内部控制测试E.计算机审计的基本过程与传统审计是一致的『正确答案』BCE『答案解析』选项A，计算机审计对电子数据和信息系统本身的审计中涉及到纸质资料的检查。

选项D，信息系统审计包括对信息系统内部控制的审计。

第二节电子数据审计过程：（会区别）一、数据采集二、数据清理三、数据转换四、数据验证五、创建中间表六、数据分析一、数据采集1.数据采集的概念数据采集是指根据审前调查所提出的数据需求，按照审计目标，采取一定的方法和工具对被审计单位数据库中的数据进行采集的工作。

2.数据采集的特征具有明确的选择性和目的性。

3.数据采集的内容4.数据采集的方式（1）直接拷贝和直接读取。

（2）利用嵌入审计模块采集数据。

（3）利用财务软件标准接口采集数据。

（4）网上采集。

（5）文件传输。

（6）开放数据互连（ODBC）。

5.数据采集的过程（1）发出数据需求说明书。

（2）采集数据。

在数据采集完成后，审计人员和被审计单位人员还应办理对所采集数据的交接手续，并且应由双方派专人进行。

交接时，审计人员获取被审计单位对数据真实性和完整性的承诺，以便划分会计责任和审计责任。

（3）数据验证。

审计人员应对被采集数据的真实性和完整性进行验证。

【例题2·多选题】电子数据审计中，数据采集的方式有：A.文件传输B.数据验证C.直接拷贝和直接读取D.开放数据互连E.平行模拟『正确答案』ACD『答案解析』数据采集的方式：（1）直接拷贝和直接读取。

（2）利用嵌入审计模块采集数据。

（3）利用财务软件标准接口采集数据。

（4）网上采集。

（5）文件传输。

（6）开放数据互连（ODBC）。

二、数据清理1.数据清理的概念和作用数据清理是对所采集到的被审计单位的源数据，进行一系列的操作，使之规范化的过程。

2.数据不规范的情形（1）值缺失；（2）数据值为空；（3）冗余数据；（4）数据值明显错误；（5）其他不规范的地方。

3.数据清理的方法（1）利用通用软件提供的功能进行清理；（2）通过SQL语句进行清理；（3）利用审计及办公软件提供的功能进行清理。

4.数据清理的过程数据清理后，应对数据清理前后的业务金额数、记录数或者借贷是否平衡进行核对，验证清理后数据的正确性、完整性。

【例题3·单选题】审计人员对所采集到的被审计单位的源数据，进行一系列的操作以使之规范化的过程是：A.数据清理B.数据转换C.数据验证D.数据分析『正确答案』A『答案解析』数据清理是对所采集到的被审计单位的源数据，进行一系列的操作，使之规范化的过程。

三、数据转换1.数据转换的概念数据转换是指对数据清理后得到的数据进行语法和语义上的转换，得到适合审计分析数据的过程。

2.数据转换的情形（1）数据类型不一致。

（2）数据格式不一致。

（3）字段名和字段不能一一对应。

（4）事先设定的代码。

（5）数据库加密措施。

3.数据转换的方法（1）使用数据转换工具。

（2）使用SQL语句。

（3）使用程序语句。

4.数据转换的过程转换后可以利用核对总金额、勾稽关系法或确认数据结构法对数据进行验证。

【例题4·单选题】在电子数据审计中，对于被审计单位的源数据存在类型不一致、格式不一致的情况，审计人员应该进行的是：A.数据采集B.数据清理C.数据转换D.数据验证『正确答案』C『答案解析』数据转换是指对数据清理后得到的数据进行语法和语义上的转换，得到适合审计分析数据的过程。

四、数据验证1.数据验证的概念数据验证是指在数据的采集、清理、转换等过程中，对数据进行检查，验证其真实性、准确性和完整性等目标的过程。

2.数据验证的方法（1）通过核对总记录数和总金额数来验证。

（2）通过观察顺序码的断号和重号来进行验证。

（3）通过会计的勾稽关系来进行验证。

五、创建中间表中间表是将被审计单位的电子数据，在进行清理、转换和验证后，进一步进行投影、连接等操作，创建的适合审计人员进行数据分析的表。

中间表的分类：中间表可以分为基础性中间表和分析性中间表。

电子数据经过清理、转换和验证后，…，就可以得到基础性中间表。

对基础性中间表进一步进行处理，如按照审计分析模型进行字段选择、连接处理，就可以得到分析性中间表。

分析性中间表的主要目的是实现分析模型，得到审计结果。

中间表的特点：一是“面向主题”。

二是“面向历史”，任何对中间表的创建都不应该增加和修改其历史数据，而只能是对历史数据的选择和整理。

六、数据分析1.数据分析的概念数据分析是指通过建立审计分析模型对数据进行核对、检查、复算、判断等操作，将被审计单位数据的现实状态与理想状态进行比较，从而发现审计线索，搜集审计证据的过程。

2.数据分析的类型根据分析对象的不同，可以分为总体分析和具体分析。

3.建立审计分析模型的依据（1）根据业务数据的勾稽关系进行建模。

如资产等于负债与所有者权益之和；又如财务利息费用等于借款金额与利率、时间的乘积。

（2）根据业务逻辑进行建模。

被审计单位的经济技术条件在一定时期是不变的。

因此，反映这些经济技术条件的指标如投入产出比例、毛利率、产品成本单耗等，在一定条件下也是保持不变的。

（3）根据法律法规的规定进行建模。

（4）根据审计人员自身经验来进行建模。

4.数据分析方法（2019年新增）（1）查询型分析：是指审计人员对数据库中的记录进行访问和查询。

可以采用SQL语句、开发工具定制查询软件等，查询最大、最小、平均值等。

（数据分析深度，较少）（2）验证型分析：是指审计人员先提出自己的假设，再利用各种工具通过反复的、递归的检索查询来验证自己的假设。

为了快速地对假设作出响应，在验证性分析中，一般要用到联机分析处理技术和数据仓库技术。

（较浅）（3）发掘型分析：是指审计人员从大量数据中发现蕴含的数据模式，预测趋势和行为的数据分析方法。

（深）5.审计取证数据分析完成后，应针对分析得到的问题和线索，进行审计取证。

审计取证可以采取直接和间接两种方式。

第三节信息系统审计一、信息系统审计概述（2019年变化）（一）信息系统审计的概念我国国家审计将信息系统审计定义为：审计机关依法独立履行职责，对被审计单位信息系统的安全性、可靠性和经济性进行审计，揭示信息系统建设运行中存在的突出问题和重大风险，保障资金使用的真实性、合法性和权益性，促进国家信息化重大政策措施的贯彻落实。

（二）信息系统审计的目标总目标：通过监督被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统规划、建设和运行管理中存在的突出问题和重大风险隐患，提出审计意见建议，推动完善相关制度，促进提高资金使用绩效，保障信息系统安全、可靠和高效运行。

（三）信息系统审计在国家审计中的开展方式信息系统审计在国家审计中的开展主要有两种方式：一种是辅助于传统审计的目标纳入传统审计的框架，在这种方式中信息系统审计主要是作为一种技术方法服务于传统审计。

（利用“计算机信息系统”审计）另外一种是独立的信息系统审计，这种方式中信息系统审计是作为独立的审计类型对信息系统本身的安全性、可靠性、有效性和效率性发表意见。

（对“计算机信息系统”审计）本节中所指的是后一种。

二、信息系统审计的内容：信息系统建设管理情况；信息系统应用绩效情况；网络和信息安全情况1.信息系统建设管理情况：关注信息系统整合共享情况，检查是否存在重复建设、信息孤岛等问题；关注项目立项采购情况，检查是否存在资金来源不合理、招投标程序不合规等问题；关注系统开发实施情况，检查是否存在功能目标未实现、进度管理不到位等问题；关注数据资源建设情况，检查是否存在数据质量低、数据中心布局不合理等问题；关注资金使用的真实合法效益情况,检查是否存在截留挪用、损失浪费等问题。

2.信息系统应用绩效情况：检查是否存在重建设轻应用、资源利用率低等问题；关注信息系统的作用发挥情况，检查是否存在系统与业务“两张皮”、支撑能力不足等问题；关注信息系统运行与维护情况，检查是否存在更新升级不及时、岗位权限管理不到位等问题；关注服务外包情况，检查是否存在对数据和系统的管理控制能力弱、外包服务商资质不合规等问题；关注已停用信息系统情况，检查是否存在数据和资产处置不当等问题。

3.网络和信息安全情况：检查是否存在制度不完善、职责不明确等问题；关注信息系统安全等级保护制度执行情况，检查是否存在未按规定进行系统定级,备案、测试和整改等问题；关注系统安全防护情况，检查是否存在防护措施不到位、应急处置不及时等问题；关注数据安全管理情况，检查是否存在管理不完善、数据泄露等问题。

三、信息系统审计的技术方法信息系统审计过程与一般的审计过程一样，分为审计准备、审计实施和审计终结阶段。