中华人民共和国审计署文件
审计发?2011?192号
审计署关于印发数据审计指南──计算机
审计实务公告第33号的通知
各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局: 数据审计指南——计算机审计实务公告第33号,经署领导同意,现予印发,供审计机关实施数据审计参考。
二○一一年十二月二十七日
— 1 —
数据审计指南——计算机审计
实务公告第33号
— 2 —
第一章 第二章 第三章 第四章 第五章 第六章 第七章 目 录
概 述
适用范围和人员要求
名词解释 数据准备 数据分析 特殊例外 附 则
第一章 概 述
第一条 为进一步指导和规范计算机数据审计行为,保障审计质量,提高审计效率,制定本指南。
第二条 本指南所称的数据是指内部数据、外部数据以及审计数据。
第三条 本指南所称的数据审计是指审计机关通过数据准备和数据分析进行审计的行为。
第四条 数据审计的目的是在信息化环境下,审计人员通过开展数据分析,科学高效地确定项目、编制方案、实施审计、出具报告,从而实现真实性、合法性、效益性的审计目标。 第五条 数据审计应当充分考虑信息系统审计结果对数据准备和数据分析的影响。
第六条 数据审计过程中,审计人员应当关注电子数据具有的易拷贝、易扩散特性对信息安全的影响。
第二章 适用范围和人员要求
第七条 本指南适用于下列审计项目:
(一)被审计单位的会计核算信息、业务信息以电子数据形式存在的,或者虽然缺少部分电子数据,考虑成本效益原则,进行适当的手工补充后,开展数据审计仍有较高的投入产出比的。 (二)信息系统审计项目中实施IT效益审计的。
第八条 参与数据审计的人员,除具有相关的审计业务知识
— 3 —
外,还应当具有必要的计算机知识和技能。必要时审计机关可以聘请外部计算机专业技术人员参加。
第三章 名词解释
第九条 本指南涉及的名词定义如下: (一)会计核算数据。
会计核算数据是指被审计单位在对已经发生或者已经完成的经济活动进行会计核算过程中,运用相关的会计核算信息系统所处理的电子数据。如会计报表、记账凭证。 (二)业务数据。
业务数据是指由被审计单位的业务信息系统所处理的,在生产、经营、管理活动中产生的电子数据。如税务部门的税收征管信息系统中存储的纳税人基本信息、税收入库信息、减免税信息;电信企业的客户关系管理系统中存储的话费缴存信息、客户基本信息。
(三)结构化数据。
结构化数据一般是指数据结构含义确定、清晰,能够存储在关系型数据库中,可以用二维表结构来逻辑表达并实现的数据。如常见的关系型数据库(SQL Server、Access、Oracle、FoxPro、DB2、Sybase、MySQL等)中的数据。 (四)非结构化数据。
非结构化数据一般是指数据结构不清晰,不能利用关系型数
— 4 —
据库二维表结构来逻辑表现的数据。如文本、网页、图像、音频、视频信息。
(五)内部数据。
内部数据是指由被审计单位信息系统所存储、处理的数据,包括会计核算数据和业务数据。 (六)外部数据。
外部数据是指被审计单位以外的单位或部门的,与审计项目相关的数据。如海关审计中,港口的放行数据、船舶公司的集装箱过磅重量数据、外汇管理部门的进出口收付汇数据。 (七)审计数据。
审计数据是指审计机关在开展审计活动中产生的数据。如调查了解记录、审计工作底稿、重要管理事项记录、审计(调查)报告。
(八)基础表。
基础表是指对采集的源数据进行整理、加工、验证,再按照一定的规则创建而成的完整规范的基础性审计数据,是审计数据准备工作完结的标志。 (九)分析表。
分析表是将基础表按照提高审计分析效率、实现审计目标的要求进一步选择、整合而成的数据表,是审计人员开展审计数据分析工作的对象,是面向审计分析的数据存储模式。
— 5 —
第四章 数据准备
第十条 数据准备通过对被审计单位以及其他相关单位的数据进行采集、整理、加工、验证,形成便于审计人员开展数据分析的基础表。
第十一条 审计组应当根据审计目标和被审计单位以及其他相关单位的具体情况,确定需要的内部数据与外部数据。 第十二条 一般情况下审计人员应当依法要求被审计单位以及其他相关单位按照审计需求提供数据。当被审计单位以及其他相关单位无法按照审计需求及时完整提供数据时,审计人员可以在满足下列所有条件下,按照审计需求进行数据采集: (一)被审计单位以及其他相关单位不具备提供数据的技术条件。
(二)经过被审计单位以及其他相关单位许可或权力部门批准。
(三)采集操作不会对被审计单位以及其他相关单位的正常业务产生不良影响。
(四)由被审计单位以及其他相关单位现场监督、记录数据采集过程。
第十三条 审计需要的内部数据,可以是被审计单位各类信息系统所存储、处理的所有数据。满足下列情形之一的,也可以明确到其中的部分数据:
(一)审计范围仅涉及被审计单位财务、业务活动的某一方
— 6 —
面。
(二)审计人员对被审计单位信息系统所存储、处理的电子数据内容、结构等情况比较了解,足以确定完成审计项目所需要的数据。
第十四条 审计组确定所需要的数据后应当向被审计单位或者其他相关单位提出书面的数据需求,内容主要包括: (一)时间范围,即数据的起讫时间。 (二)业务范围,如固定资产管理,航空售票。
(三)数据范围,如信息系统名称、数据库名称、数据表名称、字段名称。
(四)数据格式,如通用交换文件(TXT、XML);数据库管理系统的数据文件或者数据备份(Access、SQL Server、Oracle);会计核算软件的数据文件或者数据备份。
(五)提供方式,如移动存储设备拷贝、刻制光盘、网络传输。
(六)时限要求,即向审计组提供数据的时限。
(七)双方责任,如被审计单位对提供数据的真实性和完整性负责,审计组对数据负有妥善保管和保密义务。 (八)其他事项。
建议要求被审计单位以及其他相关单位提供符合国家标准(如GB/T 24589—2010)和审计数据规划的数据文件。 第十五条 采集会计核算数据时,结合现场审计实施系统(以
— 7 —
下简称AO)功能,可以采用下列技术方法:
(一)利用会计核算信息系统的数据导出或者备份功能,生成符合国家标准(如GB/T 24589—2010)的数据文件,然后直接拷贝。适用于通过相关国家标准检测认证的会计核算信息系统。 (二)利用会计核算信息系统的数据导出或者备份功能,生成备份数据文件,然后直接拷贝。适用于AO中存在对应采集转换模板(如“用友安易GRP_R9导出ASD文件”)的会计核算信息系统。
(三)从被审计单位会计核算信息系统后台数据库中采集数据,可以采用的技术方法同第十六条。
第十六条 采集业务数据时,根据不同的后台数据库类型,可以采用下列技术方法:
(一)拷贝后台数据文件。适用于数据文件格式为TXT、Excel、DBF,或后台数据库为Access、SQL Server等情况。 (二)拷贝数据库的备份文件。
(三)通过ODBC、SQL Server DTS、Link Server等工具直联后台数据库,将数据转换为Access、SQL Server等数据库后拷贝相应文件。
第十七条 审计所需的非结构化数据,包括年度工作报告、各种规章制度、会议纪要、财务报表附注以及社会审计报告等,如果是以电子形式存在的,则直接从相应的系统中拷贝或导出,如果是以纸质文件存在的,考虑成本效益原则,可以采用扫描、
— 8 —
拍照等方式将纸质文件电子化。
第十八条 获取数据时,应当同时要求被审计单位或者其他相关单位提供元数据(如数据字典)、信息系统用户使用手册、业务流程图、数据流程图等文档资料。
如果被审计单位或者其他相关单位提供的数据是加密的,则应当同时提供数据解密工具和密码信息等。
第十九条 数据采集完成时,应当办理相应的电子数据移交手续,对所接收的电子数据进行登记,并要求被审计单位对电子数据的真实性、完整性等作出书面承诺。
第二十条 审计人员应当加强对数据的保管,电子数据应当存储在专用的计算机中。
第二十一条 当采集的源数据存在值缺失、空值、冗余、错误、格式不一致、含义不清等问题时,审计人员应当进行数据整理、加工,以提高审计分析的准确性和效率。
第二十二条 数据整理、加工前,应当保留一套完整的源数据备份。
第二十三条 数据整理、加工前,应当对数据表结构、内容、表间关系进行充分了解,了解的途径可以采用以下几种方式: (一)查阅元数据或者数据库中的字典表。 (二)询问信息系统管理员或者软件开发人员。
(三)根据业务流程图,结合信息系统用户使用手册等文档资料,了解业务流程以及业务逻辑关系,分析数据处理流程,并
— 9 —
与数据表对应。
(四)结合信息系统界面、功能,与数据表中的数据元素对应。 (五)调取纸质档案、凭证,与数据表中的数据元素对应。 第二十四条 数据整理、加工的工具软件可以是AO、Excel、Access、SQL Server、Oracle等,审计人员可以根据数据量的大小和对软件的熟练掌握程度选择使用。
第二十五条 整理、加工结构化数据应当包括以下内容: (一)去除或标记空数据表。 (二)重定义数据表名称、字段。 (三)清除冗余数据。 (四)补充缺失的数据。 (五)合理替换空值。 (六)修改错误数据。 (七)整合分布存储的信息。 (八)转换数据类型。
(九)转换日期/时间型、数值型数据的格式。 (十)转换代码数据。
第二十六条 整理、加工非结构化数据,可以按照一定的分类规则将各种文档或者图片归集整理到相应的文件系统中便于审计分析时的查询检索,如可以分为法规文件资料、项目综合资料;对于PDF或者图片格式的文档资料可以进行文字识别,转化为可以用计算机分析、处理的格式。
— 10 —
第二十七条 数据整理、加工时,应当遵循对应的专业审计数据规划。在审计署尚未颁布相应的专业审计数据规划或者数据规划未包含所采集的数据时,审计人员也可以将数据整理、加工成其他基础表。
第二十八条 审计人员应当根据实际需要安排对数据的真实性和完整性进行验证,以降低由于被审计单位的刻意修改、有意隐瞒或者审计人员在整理加工时的遗漏、失误等因素带来的审计风险。
第二十九条 数据验证可以采用下列方法:
(一)检查关系模型完整性约束,包括检查实体和主键约束、检查引用约束、检查用户定义的完整性约束等。
(二)核对数据总量和主要变量统计指标,包括核对总记录数、核对主要变量的统计指标等。
(三)验证业务规则,包括检查借贷平衡、检查断号和重号、验证钩稽关系、验证法律法规约束等。 (四)其他适用的方法。
第三十条 会计核算数据的真实性、完整性可以通过下列方法进行判断:
(一)检查会计平衡关系。如检查借贷方发生额是否相等、借贷方期初余额是否相等,平衡关系检查范围可以是某个会计期间,也可以具体到某张凭证。
(二)核对科目期初余额、发生额、期末余额与纸质会计账
— 11 —
表是否一致。
(三)核对部分凭证数据与纸质会计凭证是否一致。主要核对凭证科目、发生额、借贷方向、摘要、凭证日期等。 (四)检查凭证号断号,判断凭证数据有无缺漏。
(五)核对会计核算数据与实际发生的业务数据的对应关系。 (六)核对内部数据与外部数据的对应关系。
第三十一条 业务数据的真实性、完整性可以通过下列方法进行判断:
(一)核对业务数据总量(总记录数、总金额等)与纸质业务报表是否一致。如将某税务机关全年税款入库额与金库报表比对。 (二)核对部分业务数据与业务原始资料是否一致。 (三)检查业务钩稽关系。如纳税人应当先登记后缴纳税款,依据该业务钩稽关系,检查是否存在已缴纳税款但是纳税人登记信息缺失的情况,判断纳税人登记信息是否完整。
(四)检查断号重号。如检查发票开具信息表中发票号码是否断号、重号。
(五)核对业务数据与会计核算数据的对应关系。 (六)核对内部数据与外部数据的对应关系。
第五章 数据分析
第三十二条 数据分析适用于审计计划、审计实施、审计报告等审计工作过程,审计人员应当充分利用历史积累数据以及数
— 12 —
据准备阶段形成的基础表,采用适当的组织方式、方法、技术和工具进行数据分析,以便更高效地选择审计项目、确定审计重点、发现问题线索、得出审计结论。
第三十三条 数据分析前审计人员应当依据审计目标、审计项目的特点,在理解以下两个方面内容的基础上,形成数据分析的对象——分析表。 (一)业务处理逻辑。
(二)数据之间的关系,包括会计核算数据和业务数据之间的关系、内部数据和外部数据之间的关系等。
第三十四条 数据分析应当根据不同的审计阶段、审计分析目标,选择相应的分析表以及数据分析方法、技术和工具进行分析。
第三十五条 在审计计划阶段,审计人员可以通过对以前审计年度积累的内部数据、外部数据以及审计数据进行综合分析,为确定审计项目提供数据分析支持。
第三十六条 在审计实施阶段,审计人员可以综合运用各种数据分析技术、方法、工具对被审计单位以及审计对象的总体情况进行分析,确定审计重点。在此基础上,针对特定问题进行深入分析,发现问题,筛选线索,得出结论。
第三十七条 在审计报告阶段,根据数据分析结果的核实情况,形成审计成果。同时还应当对数据利用情况进行分析和评价,总结审计项目在数据准备和分析中的经验,以提高以后审计项目
— 13 —
成效。
第三十八条 根据审计需要,结合数据准备情况,数据分析可以通过以下组织方式进行:
(一)现场分散分析。将准备好的数据分别存储在审计现场各审计人员的计算机中,由审计人员分别进行数据分析。 (二)现场集中分析。将准备好的数据集中存储于审计现场的服务器中,由审计人员通过终端联接服务器进行数据分析。 (三)数据中心分析。将准备好的数据集中存储于审计机关专门用于存储、分析数据的数据中心,在数据中心统一管理下,由审计人员或者专门成立的数据分析小组对数据中心积累的数据进行分析。在这种组织方式下,审计人员可以在审计机关进行数据分析,也可以通过远程登录的方式进行数据分析。
(四)远程联网分析。审计人员在审计现场或者审计机关通过网络来远程联接被审计单位的信息系统,适时获取审计数据进行数据分析。
必要时,以上4种组织方式也可以组合运用。 第三十九条 数据分析的技术包括:
(一)查询分析技术。通过编写结构化查询语言(SQL)或者运用数据分析软件的查询功能来筛选、计算数据。
(二)统计分析技术。运用统计方法以及与分析对象有关的知识,从定量与定性结合的角度进行数据分析。
(三)多维分析技术。运用切片、切块、钻取、旋转等方式
— 14 —
从不同角度、快速灵活地对数据进行多角度、多侧面的查询和分析,并以直观易懂的形式展现查询和分析结果。
(四)挖掘分析技术。从海量数据中提取隐含在其中的、事先不明确的、但又潜在有用的信息和知识。 (五)其他分析技术。
第四十条 数据分析应当根据数据的格式、大小、存储的具体情况,以及采用的分析技术来选用合适的分析工具。分析工具包括:
(一)审计软件,主要功能包括项目管理、数据采集、数据分析等。如现场审计实施系统。
(二)电子表格软件,主要功能包括数据筛选、分类汇总、计算、数据透视表和数据透视图等。
(三)关系型数据库管理系统,主要功能包括结构化查询、多维分析、数据挖掘等。
(四)统计分析软件,主要功能包括数据分布分析、总体均值比较、非线性估计、数据挖掘等。
(五)其他工具。如操作系统自带的关键字搜索以及一些文本识别、语义检索、文本挖掘等工具。
第四十一条 根据不同层次的审计需求,数据分析一般可以分为总体分析和主题分析。
总体分析是从整体层次上对被审计单位的情况进行全面系统地分析,把握其主要特点、运营规律和发展趋势,指导审计人员
— 15 —
确定审计重点。
主题分析是在确定审计重点的基础上,进行深入分析,筛选线索,为审计取证提供明确具体的目标。
第四十二条 审计人员在开展数据分析时,可以采用以下方法:
(一)结构分析。是指计算分析对象各个组成部分占总体的比重来揭示总体的结构关系。
(二)趋势分析。是指将若干期相关数据进行比较和分析,从中找出规律或者发现异常变动。
(三)比率分析。是指通过选取、计算相关的比率并加以比较分析。
(四)对比分析。是指根据各种数据之间的钩稽关系进行复算、比较、核对。
(五)逻辑分析。是指根据业务逻辑关系进行计算、核对,验证数据是否与业务逻辑相符。
(六)数理统计。数理统计是利用各种统计方法对数据所表现出的状态、趋势、规律进行分析。
(七)特征发现。是指根据审计经验总结数据特征,或者运用数据挖掘等技术发现未知的数据特征,运用查询分析、多维分析等技术发现符合特征的数据,并据此确定审计线索。 (八)其他方法。
第四十三条 数据分析的具体操作方法有复算、检查、核对等。
— 16 —
复算是对某一项数据,按照规定的方法进行重新计算,验证数据以及处理方法的正确性。如海关审计中的征税总额计算,金融审计中的表外息计算。
检查是按照政策或法规,对某一项数据或处理进行检查,检查被审计单位政策与法规的执行情况。如海关审计中的不予减免商品的检查,金融审计中的利率执行情况检查。
核对是将某些具有内在联系的数据,按照其钩稽关系,进行逐一核对与排查,验证处理数据的过程有无人为非法干预等。如将明细账汇总之后与总账科目进行核对,检查有无非法修改数据。 此外还可以采用抽样、判断等方法。抽样,即依据抽样的原则与方法,从分析对象中选取样本进行分析,并且根据分析结果,推断总体特征;判断,即根据经验与规则,依据定量分析结果,针对某个问题给出定性结论。
第四十四条 根据真实性、合法性、效益性的审计目标,可以选择不同的数据分析方法和操作方法。
为实现真实性审计目标,可以运用对比分析、逻辑分析、数理统计等分析方法,以及重算、核对、检查、抽样等操作方法,对反映被审计单位财政收支、财务收支以及有关经济活动的数据是否真实公允地反映了实际情况进行判断。
为实现合法性审计目标,可以运用趋势分析、比率分析、对比分析、逻辑分析、特征发现等分析方法,以及重算、核对、检查、判断等操作方法,对被审计单位财政收支、财务收支以及有
— 17 —
关经济活动是否存在违反法律法规的情况进行判断。
为实现效益性审计目标,可以运用结构分析、比率分析、数理统计等分析方法,以及抽样、判断等操作方法得到分析结果,再将分析结果与审计评价标准进行对比,从而对被审计单位管理和使用资源的经济性、效率性、效果性作出判断。常用的审计评价标准可以包括:相关法律、法规、规章和制度;通用的管理原则;同行业的先进做法;被审计单位制定的计划、方针、政策和规章制度;专家意见等。
第四十五条 对会计核算数据进行分析,判断其反映经济活动的真实性,可以通过数据验证、账表核对实现。
数据验证包括检查会计平衡关系,核对科目期初余额、发生额、期末余额与纸质会计报表是否一致,核对部分凭证数据与纸质会计凭证是否一致,检查断号重号等。
账表核对包括核对会计报表中的数据与有关总账的期末余额是否相符,与有关明细账的期末余额是否相符,与有关明细账的发生额是否相符等。
第四十六条 对会计核算数据进行分析,检查其反映经济活动的合法性,可以通过数理统计、特征发现实现。
第四十七条 对会计核算数据进行分析,评价其反映经济活动的效益性,可以运用比率分析、对比分析等分析方法,计算主要的财务活动指标,并进行纵向、横向的比较和分析。如运用总资产报酬率、资产负债率、净资产收益率等财务评价指标,对被
— 18 —
审计单位的营运能力、偿债能力、盈利能力等进行综合评测。 第四十八条 对业务数据进行分析,判断其反映经济活动的真实性,可以通过数据验证、数据重算实现。
数据验证包括核对业务数据总量(总记录数、总金额等)与纸质业务报表的对应关系,核对部分业务数据与业务原始资料是否一致,检查业务钩稽关系,检查断号重号等。
数据重算是根据产生业务数据的规则、规定等对业务数据进行重新计算。
第四十九条 对业务数据进行分析,检查其反映经济活动的合法性,可以通过数理统计、特征发现实现。
第五十条 对业务数据进行分析,评价其反映经济活动的效益性,可以运用比率分析、对比分析等分析方法,计算主要的业务活动指标,并进行纵向、横向的比较和分析。
第五十一条 审计人员在数据分析时应当对会计核算数据与业务数据、内部数据与外部数据等进行综合分析。
通过会计核算数据与业务数据之间的相互核对,验证会计核算数据是否真实、完整地反映了实际业务。
通过内部数据与外部数据之间的核实、对比,充分利用内部数据与外部数据之间的关联关系验证经济活动是否真实准确。 第五十二条 数据分析并不能完全满足所有的审计需求,需要结合其他方法实现审计目标。
第五十三条 审计组在数据分析过程中应当做好工作记录,
— 19 —
可以在数据分析结束时撰写数据分析报告。数据分析报告应当包括下列基本要素: (一)标题。
(二)被审计单位名称。 (三)审计项目名称。 (四)审计机关名称。 (五)内容。
(六)形成数据分析报告的时间。
第五十四条 数据分析报告的内容主要包括:
(一)数据分析的基本情况,一般包括数据分析中所用电子数据的范围、内容、来源等相关情况,数据分析中采用的主要技术方法,数据分析中做出分析结论的主要依据,其他数据分析情况的说明。
(二)总体分析情况和结果,一般包括所需的数据、采用的方法和步骤、对分析结果的判断依据和结论。
(三)主题分析情况和结果,一般包括所需的数据、采用的方法和步骤、对分析结果的判断依据和结论、延伸审计建议。 第五十五条 审计数据以及数据分析记录应当由审计机关集中存储,并指定专门的部门进行管理。
第五十六条 审计人员在审计中,应当结合实际情况,充分利用审计机关历史积累的审计数据以及数据分析记录,以提高数据分析效率和质量。
— 20 —
第六章 特殊例外
第五十七条 审计组开展独立的信息系统审计项目(除信息系统审计项目中实施IT效益审计外)或者ERP(企业资源计划)环境下财务收支审计项目时,涉及到的数据审计应当参照信息系统审计指南和ERP环境下财务收支审计指南。
第七章 附 则
第五十八条 本指南所提及的“应当”和“可以”,均为对数据审计过程的设计要求,不代替应当由国家主管部门、各级审计机关颁布的规章制度所提出的要求。
第五十九条 本指南由审计署计算机技术中心、京津冀特派员办事处、哈尔滨特派员办事处、广东省审计厅、南京市审计局、哈尔滨工程大学起草。
本指南的内容来自于审计署及地方审计机关的实践总结。 第六十条 本指南的解释权归审计署计算机技术中心。
— 21 —
主题词:审计 计算机 公告 通知
署内分送:署领导,总经济师,办公厅、计算中心(4)。 审计署办公厅 2011年12月28日印发 (只发电子文件)
— 22 —