搜集资料:李荣姣、周妍
PPT制作:刘倩倩
PPT讲说:高睿、孟妍
计算机审计
第一节:计算机审计的概述
第二节:计算机辅助审计技术
第三节:会计信息系统的内部控制
第四节:信息系审计的发展
第一节计算机审计概述
一.计算机审计的概念:
信息系统审计是一个通过获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效
率地利用组织的资源并有效果地实现组织目标的过程。
从这一定义看,信息系统审计是保证信息系统的合规性、
安全性、可靠性和有效性来实现组织目标的。这不仅需
要关注信息系统本身产生的业务数据、财务数据、管理
数据,还应该把保障信息系统运行的各种管理制度纳入
审计范围。信息系统审计的主体,可以是政府审计机关,
也可以是独立的信息系统审计中介机构;信息系统审计
的客体是信息系统本身,而不仅仅是数据文档审计。信
息系统生命周期的开发、运营、维护等各个阶段都是审
计的对象。
对于“计算机审计”,目前尚无结论性的定义。有人认为,它是以电子数据处理系统(Electronic Data Processing System)为对象范围进行的审计,因此,又称为EDP审计。另一些人认为,它是以电算化信息系统为对象范围进行的审计,因此,又称为电算化信息系统审计。还有些人认为,计算机审计是以计算机为技术手段所进行的审计。前两种看法强调计算机审计的对象范围是电算化信息系统(尽管对信息系统的外延有不同的看法),而不管计算机审计的技术、方法和手段是电算化的还是人工的。第三种看法恰好相反,它强调计算机审计的方法、技术和手段应是电算化的,而不管计算机审计的对象范围是电算化信息系统还是手工信息系统。
二.会计信息化对审计的影响:
会计信息化处理的计算机化是计算机审计产生的直接原因。电子计算机把人类社会带进了电子信息时代。我国从20世纪80年代初起,计算机系统逐渐应用于管理领域,尤其是会计领域,使传统的会计手工数据处理系统转变为会计电算化数据处理系统,进而逐步实现了会计信息化。在实现会计信息化之后,在数据处理和工作效能等方面发生了根本的变化会计信息化导致在会计数据处理和工作效能等方面发生了根本的变化,从而对审计线索、审计内容、审计技术、内部控制和审计人员产生了影响。主要表现在以下几个方面。
(一)对审计线索的影响。审计线索对审计来说是十分重要的。传统的手工会计系统,审计线索一般包括会计凭证、账簿和报表。审计人员可通过顺查或逆查的方法来审查每一笔记录,检查和确定其是否正确地反映了被审计单位的经济业务,检查企业的财务活动是否合法。而在会计信息化的条件下,某些审计线索会中断或消失,会计信息系统通过改变与审计线索有关部门的某些因素(如数据存储介质、存取方式、处理程序等),会对审计线索产生以下影响:(1)从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成,各项处理没有直接的责任人。(2)纸质的会计凭证、账簿和报表由磁性数据文件代替。(3)保存在磁性介质上的数据可能被篡改而不留痕迹,除非依靠计算机和应用程序,否则无法阅读。(4)计算机记录的顺序和数据处理工作很难直接观察等。这些影响的结果是审计人员难以像以前那样对经济业务进行跟踪。为了继续跟踪审计线索,顺利完成审计任务,在电算化会计系统的开发和设计阶段,开发者已注意使系统在处理问题时留下可跟踪的审计线索,另外,审计人员还要学会从磁性文件中找审计线索。
(二)对审计内容的影响。在会计信息化的条件下,审计的监督职能并没有发生变化,但由于会计信息化的特点,审计内容却发生了相应的变化。在信息化
的会计系统中,各会计事项都是由计算机按程序进行自动处理,它可以使因疏忽大意等原因造成的错误不致发生,但若系统应用程序有错误或被人篡改,计算机则只能以错误的方法处理所有的会计事项,后果不堪设想;若应用程序中被非法嵌入舞弊程序,则可帮助犯罪分子贪污国家或集体的财产,或在某种情况下使系统处于瘫痪。电算化会计系统的特点及其固有的风险,决定了会计信息化条件下审计的内容包括对信息化会计系统的处理和控制功能进行审查,这是手工系统下审计所没有也不能审查的内容,这就要求审计人员具有计算机会计和计算机审计的知识和技能来进行审查。对信息化会计系统的审查着重审查系统的应用程序,审查其处理功能是否符合会计制度及其有关规定,是否能合法正确地处理各项业务,应用程序中的控制程序是否恰当有效,是否能达到控制目的。审计人员如果不懂计算机知识就无法进行审计工作。
(三)对内部控制的影响。众所周知,现代审计都是系统基础审计,也就是审计人员要对会计系统的内部控制进行审查和评价,以此作为制定审计方案和决定抽查范围的依据。由于会计系统实现了信息化,会计系统出现了新的特点,因而也带来了新的风险。手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效地降低会计信息化系统特有的风险。例如:在会计信息化系统中,会计信息的处理和存储高度集中于计算机,使手工系统中的某些职责分离、互相牵制的控制失效。为了系统的安全可靠,为了系统处理和存储会计信息的准确完整,必须考虑会计信息化系统的特点,针对其固有的风险,建立新的内部控制。这些内部控制除了有关电子数据处理的制度、规定和人工执行的一些审核、检查外,还包括了不少建立在系统应用程序之中,由计算机运行时的程序进行的控制。在会计信息化条件下,审计人员必须研究信息化会计系统的内部控制,掌握其审计方法。对于程序控制,审计人员要利用计算机辅助审计技术进行审计。
(四)对审计技术的影响。过去审计人员进行审计都是手工操作的,但随着会计信息系统广泛地应用了电子计算机技术,审计人员若仍以手工操作方式进行审计,显然难以达到目的。因此,审计的技术手段也应由手工操作向电子计算机操作转变。当然,这并不是说在审计中能用电子计算机完全替代手工操作,而是审计人员应该掌握电子计算机科学及其应用技术,把电子计算机当作一种有力的审计工具来使用。由于会计信息系统在许多方面发生了变化,审计人员必须采用新的技术方法才能适应这种变化。例如:传统的手工记账一般可从字迹上辨认登记人以明确责任,而计算机只能提供统一模式的输入资料,无法从记录上辨认登
记人,这样,计算机中的记录可轻易被改变而不留痕迹。这就要求审计人员对已经实现了会计电算化的单位的内部管理、控制制度、职责的划分情况进行审查和评价。
(五)对审计人员的影响
由于信息化会计系统的环境比手工处理的会计系统更为复杂,审计线索、内部控制、审计内容和审计技术都发生了变化,如果审计人员只依靠过去的知识和技能是根本不能胜任工作的。因此,审计人员面临着更新知识的需要,他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能,熟悉审计的政策、法令法规及其他审计依据;而且还要掌握计算机和会计电算化方面的知识和技能,了解如何审计计算机系统,如何利用计算机进行审计;要有效地使用计算机、利用计算机进行审计,还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。
三.计算机审计的内容
1.从审计对象的涵义来看,计算机审计包含审计项目管理系统的计算机辅助审计、手工会计系统的计算机辅助审计和会计电算化系统审计三个方面的内容。
2.计算机审计同样是执行经济监督的职能,就其特殊性来说计算机审计包括了下列两个方面的内容:(1)审计人员对计算机信息系统进行审计,即把计算机信息系统作为审计的对象;(2)审计人员利用计算机辅助审计——利用计算
机作为工具,帮助审计人员完成一部分审计工作,即计算机作为审计工具。四.计算机审计的程序
计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶
段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤:
1.准备阶段。①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。②组织审计人员和准备所需要的审计软件。根据被审计企业会计电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈:①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册,
了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
同时,审计人员还要对下列资料进行了解:①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要经济业务。
3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。
初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。
4.内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。
5.符合性测试阶段。符合性测试阶段的目标是寻找证据确定计算机系统的内部控制制度是否在发挥作用,以及实际存在的控制制度是否可信赖。除了在前面审查中所用手工收集证据方法仍可用外,在这一步骤,审计人员基本上是用计算机辅助收集证据和验证审计计划中已提出的各项控制制度是否可依赖。
6.用户补偿控制的审查和测试。在某些情况下,审计人员可能决定不依赖计算机系统的内部控制,因为应用于系统的用户采用了一些补充控制来补充原控制制度的弱点。
7.实质性测试实质性测试阶段的目标是取得充分的证据,使审计人员能作出计算机系统在各重大方面是否偏离公允性或存在哪些弱点的最后判断。实质性测试可分为六类:①出错处理的测试;②数据质量的测试;③
数据一致性的测试;④实物盘点与计算机系统中的数据比较测试;⑤利用外部数据资源对系统内的数据进行的测试;⑥分析性检查测试。
8.全面评价和编制审计报告。通过上述的审计步骤,审计证据和对各项目的初步评价结果已经形成,但这些证据和初步评价的结果是比较分散的。全面评价的目的是将收集到的审计证据和初步评价结果进行综合,筛选出重要的证据和主要的问题,将这些问题和证据作为重点进行综合评价。评价的范围包括对会计数据的公允性、内控制度的健全性和有效性,以及会计电算化系统的效率性和效益性。在评价结果的基础上编制客观公正的审计报告和管理建议书。在报告提供给委托人之前,还应当征求被审计企业的意见,必要时对重大的问题进行追加审计,以保证审计报告和管理建议书有更高的可信度。编制审计报告和建议书的基本过程和方法都与传统审计一样。但应当注意的是,应用计算机进行审计,其审计结果汇总评价的许多方面可由计算机自动完成,甚至最终的审计报告也可由计算机辅助完成。
五.计算机审计方法
信息系统审计的基本方法可归纳为三种:绕过计算机审计、通过计算机审计和利用计算机审计。
1.绕过计算机审计(A udit Around the Computer)
绕过计算机审计是指审计人员不审查机内程序和文件,只审查输入数据和打印输出资料及其管理制度的方法。缺点:1。只有打印文件充分时才适用。2。要求输入与输出联系比较密切。审计结果不太可靠。
2.通过计算机审计(Audit through the computer)
通过计算机审计是指除了审查输入和输出数据以外,还要对计算机内的程序和文件进行审查。缺点:1。审计技术较复杂。2。审计成本较高。
3.利用计算机审计(Audit with the Computer) 利用计算机审计是指利用计
算机的设备和软件进行审计。利用计算机审计的优缺与通过计算机审计的优缺点基本相同。
第二节计算机辅助审计技术
一.计算机辅助审计技术的定义
《国际审计准则第15号》所指出的,在电子数据环境下,审计的总体目标和范围没有改变。但是,在电子数据处理环境中,审计程序的应用可能要求审计人员考虑使用计算机作为审计的工具;这方面的各种计算机使用技术即称之为计算机辅助审计技术。
二、在会计信息计算机化的新环境下,计算机辅助审计的特点
(一)计算机辅助审计有助于增强审计工作的准确性和快速性,提高审计工作的效率与质量。计算机能够对会计信息进行高质、快速、大量的处理,而审计工作的对象正是以会计信息为基础的财务信息及其他会计资料,计算机辅助审计的充分运用提高了审计数据的准确性和快速性,促使审计人员把主要精力用于那些应用专业判断的工作中去。
(二)计算机辅助审计可以扩展被审计对象的范围,由书面形式向其他媒介形式扩展。通过计算机辅助审计可以直接对被审计单位的全部会计资料进行审计,无论其资料是以书面形式保存还是储存在计算机系统的磁媒介或其他储存器中。
(三)计算机辅助审计具有很强的适应性。在采用会计电算化的情况下,运用计算机辅助审计能使计算机在审计人员的操作下对大量的会计信息数据进行全面有效准确的综合分析。
三.计算机辅助审计技术的应用
(一)审计软件.
审计软件由审计人员使用的计算机程序构成,作为其审计程序的一部分,用来处理被审单位会计系统的重要审计数据。它可能由程序包、为特定目的而编制的程序和实用程序组成。无论程序的来源如何,审计人员应在使用之前证实其对于审计目的的有效性。
程序包是用来执行数据处理功能的通用计算机程序,其功能包括读取计算机文件、选择信息、完成运算、建立数据文件以及以审计人员规定的格式打印报告。
为特定目的而编制的程序是为在特殊环境下完成审计任务而设计的计算机程序。这些程序可以由审计人员、被审单位或审计人员委托的外部程序设计人员编制。在某些情况下,审计人员可以利用被审单位的程序或将其略加修改加以利用,这样可能比开发单独的程序更为有效。
实用程序是被审单位使用的、用来完成一般的数据处理功能的一组程序。例
如排序、建立和打印文件等程序。这些程序一般并非为审计目的而设计的,因此,可能不具有诸如自动合计记录数或生成控制总数等功能.
(二)测试数据
测试数据技术是在实施审计程序时通过向被审单位计算机系统输入数据(如
业务样本),并将计算机处理结果与预先确定的结果进行比较的方法。其用途举
例如下:
测试数据用于测试计算机程序的特别的控制,如联机口令和数据存取控制;
从以前处理的业务中选择部分业务,或由审计人员设计模拟的业务,用于测
试被审单位计算机系统的特别的功能特征。一般将这些业务与被审单位的正常业
务分开进行处理;
将测试数据用于整个测试程序,通过建立一个虚拟单位(例如一个部门或职工),并在正常业务处理过程中将测试业务归入该虚拟单位。
四。计算机辅助审计技术应用的主要步骤
审计人员应用计算机辅助审计技术的主要步骤如下:
(a)确定应用计算机辅助审计技术的目标;
(b)确定被审单位文件的内容和可接触性;
(c)确定进行测试的业务类型;
(d)确定对数据的执行过程;
(e)确定输出要求;
(f)确定参与计算机辅助审计技术的设计和应用的审计人员和计
算机专业人员;
(g)精确估计成本和收益;
(h)保证计算机辅助审计技术的应用保持适当的控制和文档记录;
(i)行政事务的安排,包括必要的技能和计算机设施;
(j)实施计算机辅助审计技术;
(k)评价其结果。
第三节会计信息系统的内部控制
一.含义。特点,功能
会计系统的内部控制是指为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计信息资料真实、合法、完整而制定和实施的政策与程序。考虑到会计电算化的特点,电算化会计信息系统内部控制应具有以下功能:着重于组织、批准。权限及保护措施等方面的责任控制功能。由此表现出来的具体特点如
下:
1、控制的重点转向系统职能部门。计算机会计信息系统实现后,数据的处理、存储集中于系统职能部门,因此内部控制的重点必须随之转移。
2、控制的范围扩大。由于计算机会计信息系统的数据处理方式与手工处理方式相比有所不同,以及计算机系统建立与运行的复杂性,要求内部控制的范围相应扩大,其中包括一些手工系统中没有的控制内容,如对系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等等。
3、控制方式和操作手段由人工控制转为人工控制和程序控制相结合。在计算机系统中,原有的手工控制手段有些仍然保留,但需要增设一些存储与计算机程序中的程序化控制。当然随着计算机应用的程度不同,程序化控制的范围也会有所不同。一般来说,计算机应用的程度越高,采用的程序化控制也就越多。
二会计信息系统内部控制的内容
1、一般控制是指对计算机会计信息系统的组织、鉴定、应用环境
等方面进行的控制。一般控制是应用控制的基础。主要包括以
下几个方面:
(1)组织控制:组织控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约的目的;防止或减
少错弊的发生。其中较重要的岗位有系统管理和审核岗位。系统管理主要负责系统的硬软件管理,从技术上保证系统的正常运行审核岗位主要负责监督计算机及电算化系统的运行,防止利用计算机进行舞弊。具体包括:审查机内数据与书面资料的一致性;监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。
(2)系统操作控制:系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。标准操作规程包括:软硬件操作规程,作业运行规程,用机时间记录规程等。
(3)系统文件安全及文档控制:系统文件应由专人负责保管,使用和修改必须经过有关领导审批,与系统无关的人员和按规定不得接触文件的人员,不得使用这些系统文件。
(4)内部审计在系统开发阶段,内部审计人员不仅要参与开发,指出现有措施的不足,提出改进意见,还要对开发工作本身进行审核和评价,在电算化系统的日常运行阶段,内部审计人员还要检查电算化部门的各项规章是否符合整个单位的基本政策和规定,同时,他们还负责对业务处理、记录保存、报告产生和环境安全及相关的控制进行评价和验证,并利用计算机辅助技术对计算机程序进行测试,以检查业务处理过程是否正确可靠。
2、应用控制则指对计算机会计信息系统中具体的数据处理功能的控制。应用控制具有特殊性,不同的应用系统有不同的处理方式和处理环节,因而有不同的控制问题和控制要求。但是,一般来说,计算机会计信息系统的应用控制包括以下几项控制:
●输入控制:常用的控制方法包括:建立科目名称与代码对照文件,
以防止会计科目输错;设计科目代码校验,以保证会计科目代码输入的正确性;设立对应关系参照文件,用来判断对应账户是否发生错误;
●试算平衡控制,对每笔分录和借贷方进行平衡校验。防止输入金
额出错;顺序检查法,防止凭证编号重复;二次输入法,将数据先后两次输入或同时由两人分别输入,经对比后确定输入是否正确等。
●处理控制:常用的控制措施包括:登账条件检验,即系统要有确
认数据经复核后才能登账的控制能力;
●防错、纠错控制,即系统要有防止或及时发现在处理过程中数据
丢失、重复或出错的控制措施;
●修改权限与修改痕迹控制,即对已人账的凭证,系统只能提供留
有痕迹控制,即对已人账的凭证,系统只能提供留有痕迹的更改功能,对已结账的凭证与账簿以及计算机内账簿生成的报表数据,系统不提供更改功能等。
●输出结果控制:控制措施包括:控制只有具有相应权限的人才能
执行输出操作,并要登记操作记录,从而达到限制接触输出信息的目的;打印输出的资料要进行登记,并按会计档案要求保管。
第四节信息系统审计的发展
一,国际信息系统审计的发展历程
1.信息系统审计的萌芽
随着计算机的迅速发展,利用计算机处理的业务越来越广泛。计算机在企业的应用,使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计,但还没有形成统一的制度。IBM出版的《Audit
Encounters Electronic Data Processing》《In-line Electronic Processing and Audit Trail》等文献,给出了在新的电子数据环境下的内部审计规则和组织方法,介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果,金融企业设立了电子数据处理及安全办公室,美国国防部海军审计局引进了通用的审计软件包。
严格意义上讲,最初的信息系统审计就其范围和目的而言,与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronic data processing auditing)或计算机审计,它是作为传统审计业务的扩展发展起来的
2、信息系统审计的发展
由于社会信息化程度的提高,发达国家大力发展信息产业,加上计算机与通信技术的结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率上升,在社会上引起了强烈的反响,使人们日益关
注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外审计,审计届的一个共识。2.信息系统审计的成熟
会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.信息系统审计师(简称CISA)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、咨询公司和专业服务提供商都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管
理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和可靠性的控常常高薪聘请信息系统审计师进行内部审计。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(CERTIFIED INFORMATION SYSTEM AUDITOR)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,符合ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA资
格在世界各国都被广泛的认可。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
二,信息系统审计目标
信息系统审计目标是通过对信息系统合规性、安全性、可靠性和有效性的审计,来评价被审单位信息系统中输入、处理、存储、输出的电子数据的真实、完整性;查找被审单位信息系统管理制度不规范的环节,各系统间关联对比关系不完善,缺少系统的自身校验功能等薄弱环节;通过信息系统审计发现传统审计难以发现的问题,也可以通过传统审计发现的问题,反推信息系统中存在的非法功能和漏洞。
三.信息系统审计的实施
. 1 信息系统审计的准备-审计部门
为了实施信息系统审计,需要在事前进行充足的准备,以获得良好的审计效果。
为了导入信息系统审计,事先需要进行下列的活动:
·信息系统审计的环境构建、文化导入;
· IT审计师的培养;
·各种审计相关规章的整备;
信息系统审计的宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率,使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标,上级主管的完全授权是最重要的一环。
2. 信息系统审计的准备-被审计部门
IT审计师在实施信息系统审计的时候,常常要求被审计部门提供诸如文档之类相应的资料作为审计依据。
被审计部门为此事先应该对文档、操作说明书等进行整理和准备。还要准备好计算机安全措施、个人信息保密措施等实施情况的说明。这些资料要尽可能让IT审计师一目了然。通常,被审计部门(信息化部门,用户部门)需要准备的东西如下面所示。当然,有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态。
信息化部门:
·系统开发计划书
·系统设计书
·系统构成图
·程序一览表
·信息管理相关规章
·操作指南
·故障对应指南
·计算机安全对策现状说明
用户部门:
·终端设备操作手册
·系统输出列表
·系统输入式样
·系统使用指南
3. 信息系统审计的实施步骤
信息系统审计的实施步骤如下所示:
审计计划
·基本计划(每年一度的审计计划,属于年度计划,概要性的计划)
·个别计划(个别,具体的审计实施计划,有实施细则)
审计实施
·审计通知(实施前1-3周通知被审计部门)
·预备调查(审计实施前准备)
·审计实施(实际的审计活动)
·审计意见整备(基于审计结果的记录和文档)
·评议会(基于审计结果,与被审计部门交换本次审计意见)
审计报告
·审计报告制作(完成信息系统审计报告)
·报告书提交(向上级主管提交信息系统审计报告)
·报告会(召集相应的干系人进行会议)
·改良指示(上级主管根据审计意见责令被审计部门进行相关的改良活动)
·审计追踪(IT审计师对改良情况进行检查)
4. 信息系统审计的留意点
在实施信息系统审计的时候为了确保审计高效的得以实施,必须制作相应的审计计划。
IT审计师在审计计划中必须明确审计的对象、审计目的、审计主题。
审计对象、审计主题的选定、优先度确定之类留意点可参照下面所述。
·企业经营方针、上级主管的需求
·信息化部门的问题、要求
·用户部门的问题、要求
·审计对象的业务特征
·信息系统的重要度
·审计对象业务的问题点及其解决紧迫度
·IT审计师自身的知识、经验
5. 信息系统审计的着眼点
下面是进行信息系统审计应该重点注意的地方:
安全:信息系统的物理安全性,防止非法使用
可靠:硬件、软件的正确运行
机密:基于数据访问权限的保密
合法:法律、法规、规章之类
适时:是否符合开发、导入、运营等的时间限制
成本:成本节约方面的效率
资源:资源利用方面的效率
有效:信息系统目标的达成度
6. 信息系统审计技术
可以通过很多方法来实施信息审计,下面给出常见的几种方法,每种方法各有利弊,对这些方法进行组合使用,可以使信息系统审计得以更有效地得以实施。
商谈法:与信息化部门、用户及相关人员进行会谈
资料查阅法:对与信息系统相关的文档、程序进行查阅,核查
实地考察法:对机房、考勤以及业务终端、器材(例如POS)等进行实地考核
银行审计案例分析 2006-11-29 在此具体介绍三个典型案例的审计过程,这几个案例不一定能代表计算机应用的最新成果,介绍它们主要是为了提示具体操作思路和方法。 案例一——审查贷款利息计息计算的正确性 1.发现审计线索。审计人员在浏览某办事处对公系统的“计收贷款利息表”时,发现“积数调整”一项不断出现负金额,却没有发现正金额的调整数。依据审计经验,调整计息积数就相当于少计或多计利息收支,因此这种大量调减计息积数,就有可能会少计利息收入。 2.估计影响大小。在运用计算机辅助审计发现了线索后,应该有一个估计影响大小的步骤。经分析和计算,按影响大小和严重程度对已发现的线索进行排序,选择影响大或较严重的优先落实。对上述线索,审计人员利用通用审计软件的查找功能以“调整税数不为零并且利率不为零”为条件列出全部记录,结果共有139条记录,调整积数总金额达3亿多元、按现有利率计算,对利息收入的影响只有数万元,不能作为重要事项,但考虑到计算机运算具有连续性和高效性,有可能是一个全辖甚至是全省的问题,因此有必要证实是否确实存在。 3.核实电予数据的真实性。在着手进一步开展审计之前,有必要先核实电子数据是否真实。电子数据经过导出、转入等转换过程,难免出现一些差错,因此从电子数据中分析出的线索,应与纸质账表核对证实其真实性。审计人员查找了一笔2.L亿元金额的调整数,再查阅当日记账凭证,证实电子数据反映的业务记录是真实的。考虑到取得的电子数据可能没有完全包含1999年度全部情况,审计人员调阅全年贷款利息计息表。核实了3亿多元的调整数全部存在,进一步证实了电子数据的真实性和准确性。 4.了解大量调整积数的原因。依经验,贷款积数调整一般应该很少调整,这种大量调整应该有原因的。经询问,1996年中国农业银行河北省分行要求对1996年前后发生的贷款用两个会计科目分开进行核算,以明确划分领导人的责任。1999年11月省分行又要求将两个会计科目合并核算,因此需要结转贷款余额。在结转过程中,对公系统要求同时输入计息积数的调整天数,否则不能进行结转。因此产生了大量的计息积数调整金额。审计人员通过关联查询,证实绝大多数调整金额是因此而发生的。 5.核实利息计算是否准确。经询问银行人员,审计人员掌握了该办事处是按月计收贷款利息、按季计支存款利息的信息,再进一步询问进行这样的调整是否少计了一天利息?为什么只见调减计息积数,不见调增计息积数?银行人员回答这个账号调减的积数在那个账号补足,没有因此而少计利息收入。审计人员随即对11月18日调减2.1亿元积数的账号进行核实,发现10月21日至11月20日的计息期银行只计了30天积数,而实际应计算31天的积数。经复核,银行人员确认了少算一天积数的基本事实。 6.落实涉及面的大小。审计人员向对公系统管理人员询问:整个分行是否都使用这套系统?管理人员证实不仅分行都使用这套成都开发的系统,而且全省都是使用同一套系统。
计算机审计技术方法 计算机审计技术方法 我是审计的新兵,2008年3月在审计局工作,2009年6月参加重庆市审计局组织的计算机审计中级培训。通过培训,提高了对计算机审计的认识,发现计算机审计的功能强大,效率高,特别是信息化快速发展的今天,传统的审计方法无法替代。在审计局工作四年,经历了“绕过计算机审计”向“通过计算机审计”再到“利用计算机审计”三个阶段。四年期间,利用计算机审计追缴税费入库上千万元、移送司法机关处理诈骗案2件等违规违法行为,充分发挥了计算机审计的功能。下面结合实际工作谈谈金算盘软件集团账套财务数据手工采集方法,仅供参考。 一、使用金算盘软件集团账套核算情况 我区自2007年起实行会计集中核算,所有区级部门、街镇、学校的财务账由区财政国库集中收付核算中心统一核算,使用的财务软件是重庆金算盘软件公司开发的金算盘8E/ERP系统(以下简称金算盘8E),在具体核算时使用集团账套分部门核算,分县级部门、街镇(行政、总预算)、学校四大块核算。金算盘8E的后台数据库为oracle,版本号为9.21,金算盘8E系统提供了两种备份方式,一种是备份oracle格式,其文件后缀名为dmp;另一种是备份为Access格式,其文件后缀名为gdb。利用审计署金审工程服务网站下载的金算盘8E 财务数据采集模板不能将财务数据采集到AO软件重建账套,导致审计人员不能将财务数据倒入AO软件进行查询分析,给审计查询分析
设置了障碍。财务数据的本文由收集整理采集成为能否成功推广应用AO软件的一个关键,通过实践成功将该数据采集转换,为我区利用计算机技术审计提供了条件。 二、采集数据存在的问题 审计人员对采集备份的access财务数据分析发现,系统导出的access备份数据中有一张voucher表(凭证主表)仅有一条数据,且导出的其他账套也存在同样的问题,即一个账套一个会计年度仅能导出一条凭证记录,导致该财务数据的采集不能应用金算盘8E财务数据采集模板。 三、采集数据的方法步骤 按照财务数据采集的方法之一,从其后台数据库直接获取数据库数据来采集财务数据,针对数据库数据采集财务数据必需获取的三张表,即科目余额表、会计科目表和凭证表。采集三张表的方法步骤为:一是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-账务-凭证-机构-编码”导出凭证表。 二是在金算盘8E系统主菜单下选择“文件-数据导出-基础设置-科目-机构-编码”导出会计科目表。 三是在金算盘8E系统主菜单下选择“文件-数据导出-财务管理-总分类账-账册报表-科目余额表-打印-选择输出类型(一般选择为EXCEL)-输出文件”导出科目余额表。 需注意,由于该系统设置是集团账下分单位核算,采集导出的凭证表和会计科目表时要按该单位编码设置筛选,进行数据分离,导出
在实行审计时,比较常用的计算机审计技术主要有以下八种审计技术,包括通用审计软件、数据检验技术、平行模拟技术、嵌入审计模块技术、整体测试技术、受控处理、受控再处理法、标记和跟踪等,根据有关资料整理如下: 一、通用审计软件 通用审计软件是能够直接访问数据库的标准软件,适用于多种被审计单位的不同数据组织形式和处理方式下生成的计算机数据,辅助审计人员完成审计任务的审计工具软件。简单说通用审计软件可以用于对被审计单位的内部控制测试和余额测试。 1、通用审计软件在余额测试程序与步骤:选取和打印审计样本;检查计算结果;汇总和分析数据;比较计算机数据和审计人员的处理结果等。 ①选取和打印审计样本 审计人员可以根据特定的标准用审计软件来选取审计样本。如将累计欠款达一定金额的户挑选出来,并打印出应收账款询证函。 ②检查计算结果 审计人员可以利用审计软件对计算机的计算结果进行重新计算,以验证其正确性。如存货的单位成本、数量与金额的计算。由于计算机的处理速度很快,这种重新计算可以扩展到很多方面,这在手工审计情况下是无法实现的。 ③汇总和分析数据 使用通用审计软件,审计人员可以根据自己的要求对被审计单位的数据进行多种形式的重新组织整理。如确定呆滞存货、到期未收回的应收账款、应付账款中的借方余额、分析性测试的比率等。 ④比较计算机数据和审计人员的处理结果 将审计人员的审计结果与计算机中的数据记录进行比较,确定是否相符。如将审计人员的存货盘点数量与计算机中的数量记录相核对。 2、通用审计软件的使用包括以下环节: ①明确审计目标和要进行的测试; ②确定对被审计单位计算机数据处理系统使用通用审计软件的可行性; ③设计使用通用审计软件的工作内容和步骤,包括逻辑关系、计算和输出格式等; ④准备通用审计软件所使用的数据; ⑤用通用审计软件对数据进行处理,对结果进行检查和利用。 3、使用通用审计软件的优点:①使用通用审计软件,审计人员可以高效地处理大量数据,减少审计时间和成本;②减小审计人员对被审计单位计算机数据处理人员依赖性。如何取得被审计单位的数据是能够成功地应用通用审计软件的关键。 二、数据检验技术 数据检验技术也称为测试数据法,是指审计人员设计出一些虚拟的经济业务数据,提交给被审计单位的计算机数据处理系统进
我国计算机审计的现状与展望 随着信息技术的迅猛发展和会计电算化的日益普及,审计手段已经由传统的手工审计逐渐向计算机审计过渡,开展计算机审计已是我国审计机构和审计人员面临的紧迫任务。本文拟对我国计算机的现状进行初步分析,并试图展望未来的发展方向来。 一、我国计算机审计的现状 计算机审计是指对计算机信息系统的审计和利用计算机辅助审计,广义的计算机审计,还包括计算机在审计领域中的其他应用。目前我国的计算机审计尚处于起步阶段,但近几年来随着信息化的发展已取得了初步成效。 1.初步培训培养了一批计算机审计人才。为培养更多的人才,审计署就如何使用数据采集软件,通过何种渠道采集电子数据,如何将采取到的数据转换为审计所需要的格式,对查询和人机接口等一系列具体工作进行了专门培训。据统计,在全国7万审计人员中,有一半以上的人通过了计算机基本技能培训考试,有近千人通过了计算机审计中级考试,已经成长为计算机审计的骨干。 2.审计软件的开发取得了显著进步 由于审计环境和审计工作的不确定性,我国审计软件的开发多年来受到较大的困扰,但近几年来有所突破,取得了显著进步。目前,我国在审计法规检索系统和审计信息管理系统的开发方面取得了较大成功,已开发了多个审计信息管理系统和审计办公自动化系统。。例如,审计署计算机技术中心、办公厅和四川省审计厅共同开发的《机关计算机辅助办公系统》。系统有文书起草、审核、签发、收集、分类、归档、查询和按密级管理等功能,该系统已在全国审计机关内推广使用。同时,多种行业审计软件的成功开发和使用,大大提高了行业审计的效率和深度。如近年来在全国审计系统广泛使用的基建工程预决算审计软件,财政预算执行审计软件,银行审计软件,外资审计软件,海关审计软件等等。另外,各种商业化审计软件也百花齐放,在社会审计和内部审计领域日益发挥重要作用。 3.初步建立了计算机审计准则和规范 为规范我国审计人员开展计算机审计工作,我国已初步建立了相应的准则和规范。如审计署1996年12月发布了《审计机关计算机辅助审计办法》,中国注册会计师协会1999年2月颁布了《独立审计具体准则第20号--计算机信息系统环境下的审计》,国务院办公厅2001年11月16日发布了《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的
计算机审计如何进行 与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤: 1.准备阶段。①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。 ②组织审计人员和准备所需要的审计软件。根据被审计企业会计电算化系统的构成特点,复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。 2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈:①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护
人员、程序员面谈,以便得到与司题相关的背景资料。⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。 同时,审计人员还要对下列资料进行了解:①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要经济业务。 3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。 初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,
介绍计算机辅助审计的三个典型案例(一) 在此具体介绍三个典型案例的审计过程,这几个案例不一定能代表计算机应用的最新成果,介绍它们主要是为了提示具体操作思路和方法。案例——审查贷款利息计息计算的正确性1.发现审计线索。审计人员在浏览某办事处对公系统的“计收贷款利息表”时,发现“积数调整”一项不断出现负金额,却没有发现正金额的调整数。依据审计经验,调整计息积数就相当于少计或多计利息收支,因此这种大量调减计息积数,就有可能会少计利息收入。2.估计影响大小。在运用计算机辅助审计发现了线索后,应该有一个估计影响大小的步骤。经分析和计算,按影响大小和严重程度对已发现的线索进行排序,选择影响大或较严重的优先落实。对上述线索,审计人员利用通用审计软件的查找功能以“调整税数不为零并且利率不为零”为条件列出全部记录,结果共有139条记录,调整积数总金额达3亿多元、按现有利率计算,对利息收入的影响只有数万元,不能作为重要事项,但考虑到计算机运算具有连续性和高效性,有可能是一个全辖甚至是全省的问题,因此有必要证实是否确实存在。3.核实电予数据的真实性。在着手进一步开展审计之前,有必要先核实电子数据是否真实。电子数据经过导出、转入等转换过程,难免出现一些差错,因此从电子数据中分析出的线索,应与纸质账表核对证实其真实性。审计人员查找了一笔2.L亿元金额的调整数,再查阅当日记账凭证,证实电子数据反映的业务记录是真实的。考虑到取得的电子数据可能没有完全包含1999年度全部情况,审
计人员调阅全年贷款利息计息表。核实了3亿多元的调整数全部存在,进一步证实了电子数据的真实性和准确性。4.了解大量调整积数的原因。依经验,贷款积数调整一般应该很少调整,这种大量调整应该有原因的。经询问,1996年中国农业银行河北省分行要求对1996年前后发生的贷款用两个会计科目分开进行核算,以明确划分领导人的责任。1999年11月省分行又要求将两个会计科目合并核算,因此需要结转贷款余额。在结转过程中,对公系统要求同时输入计息积数的调整天数,否则不能进行结转。因此产生了大量的计息积数调整金额。审计人员通过关联查询,证实绝大多数调整金额是因此而发生的。5.核实利息计算是否准确。经询问银行人员,审计人员掌握了该办事处是按月计收贷款利息、按季计支存款利息的信息,再进一步询问进行这样的调整是否少计了一天利息?为什么只见调减计息积数,不见调增计息积数?银行人员回答这个账号调减的积数在那个账号补足,没有因此而少计利息收入。审计人员随即对11月18日调减2.1亿元积数的账号进行核实,发现10月21日至11月20日的计息期银行只计了30天积数,而实际应计算31天的积数。经复核,银行人员确认了少算一天积数的基本事实。6.落实涉及面的大小。审计人员向对公系统管理人员询问:整个分行是否都使用这套系统?管理人员证实不仅分行都使用这套成都开发的系统,而且全省都是使用同一套系统。审计人员即对全市所辖办事处进行报送审查,发现绝大多数的分支机构都存在这一问题,只是工作人员及时发现后用手工补记了利息收入。这样审计人员就掌
计算机审计方法
新手使用计算机辅助审计遇到的常见问题 及解决方法 泰安市岱岳区审计局行政事业科 近几年,随着金审工程的进一步推广,计算机审计已逐步开始在县区基层审计机关使用,由于基层审计机关审计人员普遍计算机基础差,很多审计人员只在AO培训时初步了解计算机审计,并未经过系统的计算机审计培训,对计算机基础知识、数据库基础知识等知之甚少,加之应用的机会相对较少,因此在初步使用计算机审计时会遇到很多小障碍、小困难。如:不知如何向被审计单位提取审计所需数据;对被审计单位“业务数据”、“财务软件备份数据”和“财务软件数据库数据”的概念有所混淆等,如何能够解决这些问题哪?现根据自身实践与体会同大家探讨如下: (一)关于业务数据 1、业务数据的提取 业务数据是指被审计单位行使职能和日常业务运转使用的计算机管理软件的后台数据。如医院使用“医院管理系统”的后台数据库数据。因此审计时必须要了解该单位业务管理软件后台服务器使用的是何种数据库管理系统,如sql server、Oracle、Access等;并确定数据库软件中哪些数据库是审计所需要的,然后备份所需数据库。以一般常用的sql server为例,审计人员可使用数据库备份的方式,到被审计
单位服务器上备份所需要的数据库(注意:大型单位一般机房内会有多台服务器,这时就需要被审计单位计算机管理人员确认是那台服务器),再到审计人员使用的计算机数据库软件中新建一个与备份数据库名字相同的数据库,用还原的方式将备份来的数据库还原到新建数据库中即可。 2、所需数据库中数据表提取 获取业务数据以后,审计人员应同时分析数据库中哪些数据表是审计所需用的,计算机知识较差的审计人员可以根据自己的审计思路所用到的统计数字,询问该单位计算机管理人员所需统计数字应从哪些数据表中提取。 3、了解所需数据表中的字段含义 找到审计需用的数据表以后,还要逐一分析数据表中每一个字段的含义(同样也可以询问该单位计算机管理人员或软件服务人员),以便于将来使用SQL语句进行计算分析。 4、数据校验 通过被审计单位计算机管理人员或软件服务人员了解获取的数据表还需要进行校验。以医院管理系统为例,审计人员可以用SQL语句计算出数据库中某一时期住院收费表和门诊收费表的收入金额合计,然后与财务报表中这一时期的相关收入进行核对,校验数据的准确性。通过校验正确的数据,审计人员就可以进行语句查询、分析、计算,获取可疑数据了。
《审计软件介绍》模拟笔试题 一、填空题(4分) 1.人们对数据的存储和管理大致经历了人工管理文件系统数据库系统三个阶段。 2.数据模型通常由数据结构、数据操作和完整性约束三部分组成。 3.按照应用领域的不同,审计软件可以分为通用审计软件和专用审计软件。 二、单项选择题(16分) 1.下列陈述中,属于面向数据的计算机审计主要内容的有()a (A)对数据文件进行查询和分析(B)对信息系统主管进行离任审计 (C)检查防病毒软件安装情况(D)对安全防护系统进行检查 2.大量的数据用()的形式来表示,是计算机数据处理的一个显着特点。b (A)光盘(B)代码 (C)纸性介质(D)软盘 3.在关系数据模型中,实体以及实体间的联系是通过()来描述的。a (A)关系(B)键值 (C)属性(D)元组 4.下列运算(操作)中,属于传统的集合运算(操作)的有()a (A)差(B)连接 (C)选择(D)投影 5.下列数据库管理系统中,属于关系型数据库管理系统的有()a (A)Informix(B)IMS (C)文本文件(D)Microsoft Excel 6.在关系模型的特点中,所谓“关系必须是规范化的关系”,是指关系模型必须至少满足()a (A)1NF(B)2NF (C)3NF (D)BCNF 7.下列工具中,属于数据库设计中可视化的规范化辅助设计软件的有()c (A)Microsoft Access 2000 (B)Power Builder (C)Oracle Designer 2000 (D)Visual Basic 6
8.数据字典的最小组成单位是()a (A)数据项(B)数据结构 (C)数据流(D)数据存储 9.将局部E-R模型集成为全局E-R模型的时候,可能会存在的冲突有()a (A)属性冲突, (B)实体冲突 (C)联系冲突(D)以上都不对 10.为了保证源系统和目标系统对接口中传输的信息不产生歧义,要求接口语法所产生的语言()a (A)没有二义性(B)采用形式化语言 (C)采用自然语言(D)保持独立 11.审计接口一般包括两方面的内容,一是信息传输的格式和规范,二是完成传输作业的()b (A)参数(B)程序 (C)范围(D)字符集 12.审计接口的“前处理器”通常是指传输层的()部分。a (A)数据采集(B)数据传输 (C)数据接收(D)数据校验 13.IDAPI是由()公司为主制定的。a (A)Borland (B)Microsoft (C)Sybase (D)Lotus 14.下列技术和方法中,通过OLE DB提供的COM接口访问数据,能够适合于各种客户机/服务器应用系统和基于Web的应用的是()c (A)ODBC (B)IDAPI (C)ADO (D)DAO 15.在分隔符形式的文本文件中,不同的字段之间是通过()来划分的。d (A)逗号(B)竖线 (C)文本识别符号(D)字段分隔符号 16.在导入包含日期时间信息的文本文件的过程中,一般要进行()操作。c (A)值域转换(B)代码转换 (C)日期时间格式转换(D)相关检验 17.用以标识缺省的Informix数据库服务器名称的环境变量是()b (A)INFORMIXHOSTS (B)INFORMIXSERVER (C)DBCODESET (D)INFORMIXDIR
计算机审计如何进行 '与传统手工审计一样, 审计过程可分成接受业务、编制审计 、实施审计和报告审计结果等四个阶段。其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。计算机审计过程具体可细分为以下主要步骤: 1.准备阶段。①了解企业基本情况,与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。② 审计人员和准备所需要的审计 。根据被审计企业会计电算化系统的构成特点,复杂程度可选择安排有计算机审计 的注册会计师担任项目负责人,组成审计小组,准备审计软件。如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计顺利开展。 2.内部控制的初步审查。初步审查的目标是使审计人员了解计算机信息系统在会计工作中的 程度,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表输出的整个过程。一般采用如下的检查和会谈:①审阅上期的审计报告和 建议书,初步了解上期系统的弱点。②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相应的功能。③检查输入数据的基本依据(电子数据和有关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。 同时,审计人员还要对下列资料进行了解:①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量(数据处理量)。②系统的组织结构、各级管理的职责,以及计算机系统的负责人和系统管理人员。③系统内务应用子系统的控制类型和主要 业务。 3.初步审查结果的评价。初步审查后,审计人员必须从整个会计信息系统内部控制的角度出发,评价初步审查的结果,确定内部控制的可行性程度,并作出结论。其结论可按以下三种方式之一作出:①退出审计。由于缺乏实施审计的技术或内部控制不可依赖等许多问题,审计人员可针对这些问题提出一些管理建议并退出审计。②对一般控制和应用控制进行进一步详细的审查。这一方式是在初步审查表明内部控制有可依赖性的情况下采取的,实质性测试可作一些简化。③决定不依赖于内部控制。作出这一决定可能有两种原因:一是直接进行实质性测试更容易达到预定的审计目标;二是因为计算机内部控制系统可能不完善,各应用系统的用户自己增加了一些必要的补充控制,对补偿控制进行测试更易于达到审计的目的。 初步审查是通过应用面谈、实地检查观察、阅读内控制度和有关系统分析设计的文档、填制内控制度调查表等方法取得初步审查结果,并对这些结果作出评价,为下一步应当怎样审计提供必要信息。 4.内部控制的深入审查。与初步审查一样,审计人员要判断是否退出审计,或是依赖系统的内部控制进入下一阶段符合性测试,或是直接进入实质性测试过程。对于某些应用子系统,审计人员可决定依赖于其内部控制,也可采用其他更适宜的审计过程。'
新手使用计算机辅助审计遇到的常见问题 及解决方法 泰安市岱岳区审计局行政事业科 近几年,随着金审工程的进一步推广,计算机审计已逐步开始在县区基层审计机关使用,由于基层审计机关审计人员普遍计算机基础差,很多审计人员只在AO培训时初步了解计算机审计,并未经过系统的计算机审计培训,对计算机基础知识、数据库基础知识等知之甚少,加之应用的机会相对较少,因此在初步使用计算机审计时会遇到很多小障碍、小困难。如:不知如何向被审计单位提取审计所需数据;对被审计单位“业务数据”、“财务软件备份数据”和“财务软件数据库数据”的概念有所混淆等,如何能够解决这些问题哪?现根据自身实践与体会同大家探讨如下: (一)关于业务数据 1、业务数据的提取 业务数据是指被审计单位行使职能和日常业务运转使用的计算机管理软件的后台数据。如医院使用“医院管理系统”的后台数据库数据。因此审计时必须要了解该单位业务管理软件后台服务器使用的是何种数据库管理系统,如sql server、Oracle、Access等;并确定数据库软件中哪些数据库是审计所需要的,然后备份所需数据库。以一般常用的sql server为例,审计人员可使用数据库备份的方式,到被审计
单位服务器上备份所需要的数据库(注意:大型单位一般机房内会有多台服务器,这时就需要被审计单位计算机管理人员确认是那台服务器),再到审计人员使用的计算机数据库软件中新建一个与备份数据库名字相同的数据库,用还原的方式将备份来的数据库还原到新建数据库中即可。 2、所需数据库中数据表提取 获取业务数据以后,审计人员应同时分析数据库中哪些数据表是审计所需用的,计算机知识较差的审计人员可以根据自己的审计思路所用到的统计数字,询问该单位计算机管理人员所需统计数字应从哪些数据表中提取。 3、了解所需数据表中的字段含义 找到审计需用的数据表以后,还要逐一分析数据表中每一个字段的含义(同样也可以询问该单位计算机管理人员或软件服务人员),以便于将来使用SQL语句进行计算分析。 4、数据校验 通过被审计单位计算机管理人员或软件服务人员了解获取的数据表还需要进行校验。以医院管理系统为例,审计人员可以用SQL语句计算出数据库中某一时期住院收费表和门诊收费表的收入金额合计,然后与财务报表中这一时期的相关收入进行核对,校验数据的准确性。通过校验正确的数据,审计人员就可以进行语句查询、分析、计算,获取可疑数据了。
中华人民共和国审计署文件 审计发〔2012〕29号 审计署关于印发审计机关及其内部机构 编码规则——计算机审计实务 公告第35号的通知 各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局:审计机关及其内部机构编码规则——计算机审计实务公告第35号,经署领导同意,现予印发,供各级审计机关实施信息化建设使用。 二○一二年三月五日 — 1 —
审计机关及其内部机构编码规则 ——计算机审计实务公告第35号 第一条为适应计算机信息系统处理识别审计机关及其内部机构的需求,提升审计软件的数据共享性能,提高数据处理效率,制定本编码规则。 第二条本规则所称审计机关是指依照宪法规定,在县以上各级人民政府设立的审计机关;所称内部机构是指审计机关内部设立的职能部门、事业单位、派出机构、派驻机构。 第三条依据本规则赋值的代码为审计机关及其内部机构的唯一标识。审计管理软件、审计业务实施软件涉及审计机关及其内部机构的,应当使用本编码规则生成的代码规划设计软件功能,并且提供符合本规则的数据接口。 按本规则编制的代码顺序不作为除信息处理识别之外的任一场合中排列顺序的依据。 第四条审计机关及其内部机构代码由阿拉伯数字或者部分大写英文字母组成。为避免混淆,按照编码惯例,不使用“I、O”2个英文字母。 第五条审计机关及其内部机构代码由15位组成,共6段。其结构如下: ①319 ②XXXXXX ③X ④ X ⑤XX ⑥XX 其中:①段3位,为审计行业代码;②段6位,为审计机关代— 2 —
— 3 —码;③段1位,为校验码;④段1位,为审计机关内部机构类别代码;⑤段2位,为一级内部机构代码;⑥段2位,为二级内部机构代码。 第六条 审计机关行业代码以319表示。该赋值引用《GB/T 4657—1995中央党政机关、人民团体及其他机构名称编码》中的审计署编码。 第七条 鉴于每个县以上人民政府仅设立一个审计机关,审计机关代码以行政区划编码表示,该赋值引用《GB/T 2260—2007中华人民共和国行政区划编码》中的6位行政区划数字码。 审计署的审计机关代码为000000。 高新技术区等国家行政区划管理机构没有确定为县以上行政区划,但设立了审计机关的,其审计机关代码赋值引用本地统计部门自定的、体现正确隶属关系的行政区划数字码代替。 第八条 校验码按照《GB/T 17710-2008信息技术 安全技术 校验字符系统》中的下列计算公式赋值: ()M r a i n i i mod 11 1≡?-=∑ 式中: N —包括校验字符的串的字符个数; I —表示从右边开始的字符所在位置索引(即最右边的字符,i=1),空格与分隔符不包括在内; a i —由表1规定的处于i 位置上的字符值;
计算机审计方法体系是在信息化环境下实施数据式系统基础审计的重要建设内容,审计方法体系的标准规范是实现信息化环境下新的审计方式的重要基础设施。 本规划主要包括3个方面的内容:审计方法目录体系、审计方法模型构建法、审计方法要素。审计方法目录体系确定审计方法资源分类、代码结构的规范,为审计方法信息资源的积累、使用和共享提供重要条件。模型构建法提出审计业务模型构建审计方法的规范,为审计方法的构建提供了较为科学的方法。审计方法要素对方法构成要素进行规范,为审计方法的研制、管理和使用提供了规范。 10.专业审计方法体系编制规范 专业计算机审计方法体系依据发布的《计算机审计方法体系基本规划》及其附录的规范要求进行编制。 专业计算机审计方法体系的命名:专业名称+计算机审计方法体系。
【示例】部门预算执行计算机审计方法体系。 专业计算机审计方法体系编制目录: (1)前言。 (2)引言。 (3)范围。 (4)规范性引用文件。 (5)术语和定义。 (6)概述。 (7)审计方法目录(列示目前可规划的审计方法目录体系和方法名称)。 (8)审计方法实例(按本规划第9章审计方法要素具体编制若干个实例)。 计算机审计方法 一、方法正文 1、字体要求: 计算机审计方法:宋体二号 方法代码(填写一级和二级分类码)、方法名称、目标功能、所需数据、分析步骤、流程图、方法语言、适用法规、延伸建议、作者单位、时间、标志等12项内容。等12项元素都用黑体3号。 正文用仿宋3号 Sql 或ASL语言用宋体5号
2、写作要求 标题居中;第一行书写“计算机审计方法”。 十二项元素:开头空二格。正文也空二格。 9.1方法代码 计算机审计方法代码是审计方法分类、管理和应用定位的重要标志。审计方法代码按照7.2代码结构的要求编制。 计算机审计方法代码编制时,分类码执行本规划和专业计算机审计方法体系的规定;流水码在审计师审计方法库中按序列方式编制,入选审计机关、审计署的计算机审计方法库时可重新编制。 【实例】项目支出预算编制与批复审计方法,属于部门预算执行计算机审计方法体系中的部门预算项目支出审计方法。其方法代码表示为:BBD/0001。 9.2方法名称 计算机审计方法名称是具体审计事项的方法表述。方法名称要简明扼要,一般不超过50个字符,能够直接反映其具体审计事项的审计目标,并且尽可能进行正面表述。 9.3目标功能 计算机审计方法的目标功能是对具体审计事项的审计目标、审计功能及其实现的表述。 9.4所需数据 根据审计方法的目标与功能定位,确定所需数据和相关
计算机审计学习心得 在社会经济和科学技术飞速发展的今天,计算机给我们的生活带来了越来越大的改变。为了适应新时代对我们会计提出的更高的要求。因此我们开设了计算机审计这门课。通过计算机审计这门课我学到了很多知识。 首先,计算机审计是与传统手工审计相对应的概念,它包括两反面的含义:一是对会计电算化信息系统的设计和应用效果进行审计,即将电算化会计信息系统作为审计的对象,对信息系统的数据处理过程的合规性、安全性进行审计;二是利用计算机辅助审计,即是为实现其审计目的以计算机作为审计的工具,建立审计信息系统,收集必要的审计证据,采取必要的审计程序,这与传统的审计内容是基本一致的。 其实,计算机审计的特点有:1、审计范围具有广泛性。它讲审计范围由“结果审计”转变为“结果审计与过程审计”并重。对电算化会计系统进行审计必须兼顾系统的开发与运行两方面,既对系统进行事后审计,又进行事前和事中审计。 2、审计线索想“不可视化”转化。审计需要跟踪的线索,以电磁信号的形式分散在磁性介质上,因此审计在信息系统的运行中,如何保留并按需要及时、准时地获得审计线索是能否完成审计人物的关键。 3、审计取证的实时性和动态性。 4、审计急速的复杂性。 5、审计技术的主体任务发生了改变。审计人员赖以主导审计过程的技术和技巧已被计算机所替代,因此,他们可以从繁琐的查证工作中解放出来,把精力放在对一些审计项目内容的规范上或去探讨一些新的审计方法。 6、体现了审计的风险导向精神。现代审计是风险导向审计的时代,审计风险是风险导向审计的核心内容。 其次我总结了我在学习计算机审计这门课中的一些个人心得: 一、推荐从应用出发 由于我们的计算机知识基础比较薄弱,对一些应用及操作理解起来较为困难,要能从整体概念上较好地理解和把握应用,不是仅靠几本培训的书籍,囫囵吞枣的看一遍,然后上机练习几遍就可以大功告成的,因此在学习过程中要多做笔记,要注意从结合实际应用出发。审计数据的采集与转换在计算机审计中非常重要,是难点也是重点,操作难度大。审计人员如果不能获取和转换被审计单位的电子数据,就面临进不了门、打不开账、无账可查的被动局面。审计人员到被审计单位采集数据时,会遇到用友、金蝶、SAP中国、金算盘、浪潮以及自行开
审计署计算机审计中级考试经验介绍 一、培训目的: 计算机审计中级培训的目的是达到审计署提出的“五能”要求,即:能打开被审计单位数据库;能把数据下载到审计人员的计算机中,并转换成为审计人员可阅读的数据格式;能使用通用软件或审计软件对被审计单位的数据进行查询、分析;能在审计现场搭建临时局域网;能排除常见的软件、硬件故障。 二、考试内容: 考试分3天进行,每天一门,考试时间都是3个小时,上午8:30-11:30。 第一门:会计电算化、审计软件(上机考试) 第二门:计算机网络、数据库、vb 程序设计(上机考试) 第三门:综合笔试 第一门:会计电算化和审计软件 第一门考试包含两块内容:会计电算化和审计软件。 1、会计电算化 考试内容包含三块。 一是用友U8财务软件的操作,包含:帐套引入、设置操作员、权限设置、总账、销售、库存、存货系统的操作,资产负债表和损益表等报表的制作。 二是在用友U8的999帐套中进行sql语句查询,在sqlserver中写sql语句,涉及到会计记账知识。 三是财务数据库的分析,一般是在很多的数据表中科目
表、凭证表、余额表,就是省厅培训中的找三张表。 2、审计软件 名为审计软件,但其实是在sqlserver中编写sql语句。可能涉及到南京特派办编写的软件《审计软件3.0》,只需要使用软件的汉化功能,数据库的导入和sql语句完全可以在sqlserver中操作。实际上就是省厅培训的案例分析,一般是有2个案例,每个案例写3条sql语句。难点在题目是大段的文字叙述,占两页纸,题目理解正确后,sql语句并不难写。 分值: 用友U8财务软件的操作。30分 在用友U8的999演示账套中进行sql语句查询。40分 财务数据库的分析。20分 审计案例编写sql语句。60分 第二门:计算机网络、数据库、VB程序设计 1、网络 一是给一个网络地址,有可能是A、B、C类地址,根据要求划分子网,配置本机的IP地址、子网掩码、网关等信息。二是windows防火墙的启用、设置例外的程序或端口、internet选项安全和隐私的设置。 2、数据库 数据库的上机考试包含sqlserver操作、access操作两块、VB程序设计三块。 一是根据题目要求建sqlserver的数据库、建表、编写存储过程、视图,编写sql查询语句,进行数据库备份等操作。
第八章计算机信息系统舞弊的控制和审计 由于计算机本身的脆弱性,计算机信息系统管理的复杂性与软件的失物不足导致信息系统安全性降低,信息与财富的集中性,计算机犯罪风险的巨大诱惑性,法律对于计算机犯罪漠视,计算机道德的滞后性等原因,计算机犯罪伴随着计算机的广泛应用而产生且迅速蔓延。 计算机犯罪是计算机舞弊的重要形式之一。计算机舞弊(包括针对计算机信息系统的舞弊)作为一种新型的舞弊,与传统的舞弊形式有着巨大的差别。最明显的是它的严重的社会危害性远非传统犯罪可望其项背,无论从它危害的深度还是广度都是空前的。据有关资料报道,全世界每年因计算机舞弊直接损失约达20亿美元,舞弊领域已扩达到了银行,保险,航空,证券,商务等行业。我国自1986年发现首个计算机犯罪以来,计算机犯罪和计算机舞弊正在以递增的速度在蔓延。审查计算机舞弊是审计人员的重要职责。如何防范计算机舞弊计算机舞弊,揭示计算机舞弊行为已经成为审计领域的重要课题。本章主要讲述如何对计算机舞弊进行控制和审计。 第一节计算机信息系统舞弊概述 随着计算机技术的和网络技术在企业管理及会计处理中的广泛应用,计算机已经成为经济生活中不可或缺的重要工具。他加快了信息系统的处理速度,拓展了信息处理的领域,丰富了信息处理的内涵,大大减少额了人们处理信息的负担。但是,事物有利必有弊,电子计
算机也不例外,它既是一种有利的信息处理工具,也是一把破坏信息系统,进行舞弊和犯罪的利器。利用计算机可以方便的对信息系统进行偷窃,伪造和挪用等舞弊行为,对社会的经济危害是难以估量的。 一、计算机舞弊和计算机系统无弊的界定 计算机舞弊作为信息时代的社会表征之一,始于20世纪60年代的美国,到了20世纪90年代已经蔓延到了世界各地。 舞弊(fraud)是指为了掠夺他人财物或者达到其他不正当的目的而通过故意掩盖真相,制造假想或者其他方式实施的任何偷窃,伪造,盗用,挪用以及其他欺骗行为。计算机舞弊(Computer Fraud)是指利用计算机系统作为实施舞弊的基本工具,利用各种手段进入计算机系统进行的舞弊行为;后者则是将计算机系统当作目标,对计算机硬件,软件,数据和程序,计算机辅助设备和资源进行的舞弊行为。性质严重的计算机舞弊行为可以构成计算机犯罪。对于计算机犯罪的定义理论有不同的认识,我国公安部计算机管理监察司的定义是:以计算机为工具或者计算机资产为对象实施的犯罪行为;中国政法大学信息技术立法课题组的定义是:与计算机相关的危害社会并应当处以刑罚的行为;美国司法部的定义是:灾导致成功起诉的非法行为中,计算机技术知识起了基础的作用的非法行为;美国律师协会刑事司法处的定义是:直接针对计算机行为和计算机被作用犯罪工具的犯罪行为。 本书认为,计算机犯罪是指行为人利用操作所实施的危害计算机信息系统的(包括内存数据和程序)安全和气让严重危害社会犯罪行为。
部门预算执行计算机审计方法 陆颖琰 【专题名称】审计文摘 【专题号】V3 【复印期号】2010年05期 【原文出处】《审计与理财》(南昌)2010年2期第23,24页 【作者简介】陆颖琰,南京市审计局 【关键词】EE 一、审计背景 部门预算改革是我国实行分税制以来财政管理制度改革的一项重大举措,是构建公共财政框架的有效途径,是保证政府预算完整、实现政府预算统一必然要求,对于促进依法理财、民主理财、科学理财具有十分重要的意义。部门预算审计也成为财政审计的一项重要内容。目前的部门预算审计主要关注预算单位,而财政部门作为部门预算改革的主导者和推进者,对实现部门预算的编制、执行起着举足轻重的作用,所以,笔者所谈的部门预算审计主要是针对财政部门。 二、审计所需资料 部门预算执行审计所需的主要资料包括:1.财政部门下达的指标通知单。该表主要包括资金来源、下达指标处室名称、科目名称、科目代码、金额、预算单位名称、项目代码等信息;2.部门预算导出表。该表主要反映预算单位报送的部门预算基本情况,包括预算单位名称、主管处室名称、支出项目、科目编码、项目、金额等信息;3.项目库。该表主要反映预算单位的编制的预算项目,包括单位名称、项目名称、项目编码、金额等信息;4.支付凭证。该表主要反映财政对预算单位的实际拨款情况,包括拨款时间、资金来源、支付类型、单位名称、付款单位名称、账
号、收款单位名称、账号、开户行、金额等信息:5.银行账户备案情况表。该表主要反映预算单位开户银行在财政的备案情况。 三、审计思路及方法 步骤一:验证预算执行系统中的部门预算数据是否完整。 1.计算部门预算导出表总额和指标通知单中部门预算金额,比较两者是否一致。分析是否存在部门预算没有通过预算执行和国库集中支付系统分配的情况。主要SQL语句如下: select sum(金额)as通知单合计数from指标通知单where编号like‘%部门预算%’and金额,0 select sum(金额)as部门预算合计数from部门预算导出表 审计结果显示:部分单位的部门预算导入数和预算通知单数不一致,进一步分析发现有单位虽然编制部门预算,但是没有通过预算执行系统进行指标下达和国库集中支付。 2.将部门预算导出表和指标通知单部门预算数按单位汇总,再通过单位代码进行关联,将两者数据进行比对,计算两者的合计数,然后将按单位汇总过的部门预算和通知单按单位代码关联,找出两者金额不一致的情况,并分析原因。主要SQL 语句如下: select单位编码,单位名称,sum(金额)as部门预算金额into部门预算导出单位from部门预算导出表group by单位编码,单位名称 select单位代码,单位名称,sum(金额)as通知单金额into指标通知单单位from指标通知单where编号like‘%部门预算%’and金额,0 group by单位代码,单位名称