当前位置:首页->交流
浅谈计算机审计数据采集及分析的难点与对策
2016-10-24 11:37:26


 计算机审计在审计机关工作中越来越重要。要做好计算机审计,审前调查是前提,无论是传统方式的审计还是计算机审计,审前调查都是必不可少的阶段,直接影响到审计质量;数据采集是基础,采集不了数据,计算机审计就无从谈起;数据分析是关键,围绕审计重点进行数据分析,发现审计疑点,分析宏观政策执行情况;团结协作是保障,审计项目的实施离不开审计团队的协作,要完成审计任务,一个人不可能“包打天下”,数据采集及清理转换、数据分析、数据建模等环节既相互独立又相互关联,必须要靠审计组成员的通力协作才能完成。笔者结合近年来在县级审计机关从事计算机审计工作的经历和体会,从实务操作上谈谈县级审计机关开展计算机审计中数据采集及分析的难点与对策。
 一、数据采集及分析的常用方法和步骤
 (一)审前调查。按照审计准则的要求,不论审计项目的大小,在审计之前都要对审计对象的基本情况进行了解,以便制定切实可行的审计实施方案。在被审计单位运用了财务软件等信息系统的情况下,审前调查不仅要了解常规审计方法下的所有内容,还要了解与计算机审计有关的相关信息系统及其电子数据情况,主要是信息系统的名称、功能及业务流程、软件开发商及版本、后台数据库格式及版本、数据库结构或数据字典等,与计算机审计无关的信息系统可不作为审前调查重点。根据审前调查所了解的情况,预先采集部分数据,对数据进行初步分析,以确定合适的计算机审计软件和审计方式。
 (二)数据采集。审计人员根据审前调查了解的信息,采集相关信息系统的数据。数据采集的一般方法及来源主要有:1、信息系统前台操作界面中的数据查询、导出或备份功能;2、信息系统后台数据库的数据导出或备份功能(如SQL Server数据库的DTS或数据库备份功能);3、以ODBC方式连接到信息系统后台数据库导出数据;4、找到信息系统的数据库文件(如mdb格式),直接拷贝;5、被审计单位没有单独的信息系统,以表格等形式管理,直接提供数据文件(如某证件登记信息表)。
 审计人员在数据采集时要注意:一是应当要求被审计单位提供信息系统的数据库结构或者数据字典,便于数据分析;二是应当采集信息系统的全部数据,避免在审计中发现缺少关键数据表而重新采集,但如果对信息系统的数据库结构很熟悉并且审计方向很明确,可以只采集指定范围内的数据表;三是避免对被审计单位相关信息系统及其电子数据造成不良影响。
 (三)数据转换。审计人员采集到数据后,一般要把财务数据转换到AO2011软件中,业务数据转换到SQL Server数据库或AO2011软件中。数据转换完成后,应当与纸质报表等资料进行核对,确保转换的数据无误。
 1、财务数据的转换。AO2011自带一些常用的财务数据转换模版,采集到的财务数据如果符合AO2011转换模版的数据版本及数据格式要求,就可以直接转换为AO2011电子数据,否则审计人员就需要分析数据库结构,至少找出三张表(科目表、科目余额表、凭证表),手工转换为AO2011电子数据。如在对某医院的专项资金审计中,采集到的财务数据是仁寿财务软件3.0的备份文件,AO2011自带的转换模板只适用于仁寿财务软件2.0。审计人员先将仁寿财务软件的备份文件恢复到SQL数据库中,再根据三张表(科目表及科目余额表ACC_Subject,凭证表ACC_Voucher、ACC_VoucherDetail)以及ACC_SubjectAssist等辅助表,在AO2011生成财务账套及辅助账。
 2、业务数据的转换。业务数据的转换方法一般有:(1)通过SQL Server的DTS功能,将txt/csv/mdb/xls等格式的数据导入到SQL数据库;(2)使用SQL数据库的还原或附加数据库功能;(3)构建原始数据库运行环境,还原数据库备份文件(如在采集到Oracle备份数据后,必须在Oracle数据库中还原备份文件),再导入到SQL数据库。
 (四)数据整理及分析。
 1、数据表结构分析及汉化。数据库中的表名和字段名通常是英文字符,不够直观,审计人员可以对照数据库结构或者数据字典,对数据表进行汉化,将表名和字段名修改为汉字。汉化的步骤一般是:(1)建立“表字段汉化对照表”,至少有英文表名、中文表名、英文字段名、中文字段名等信息;(2)通过“审计数据分析”软件对数据库的表名和字段名进行批量修改,也可以使用Excel软件在“表字段汉化对照表”中设置公式,批量加入修改表名和字段名的SQL语句。在汉化工作量不多的情况下,也可直接在SQL数据库的SSMS中修改。
 2、信息系统的安全性审计。审计人员为了揭示信息系统的信息安全风险,保证审计所需数据的可靠性和可用性,降低审计风险,根据审计项目目标的需要,在软件安全、信息系统功能及运行等方面,有所侧重地检查信息系统的安全性、有效性和经济性。
 3、数据关联分析。审计人员通过数据表间的关联字段进行数据关联分析,找出审计疑点。对经验证确有效果的审计方法,编制审计分析模型,快速分析和查找问题。
 (五)延伸调查及核实。
 审计人员对审计疑点进行延伸调查及核实,取得审计证据,为审计报告提供准确依据。为解决电子数据无痕迹、易篡改等问题,审计人员应将相关的电子数据表打印出来,交给被审计单位盖章,作为审计取证单的附件。如果相关的电子数据表特别庞大等原因无法打印成册,审计人员可以委托专业机构对电子数据证据进行鉴定、取证。
 二、数据采集及分析的难点及对策
 (一)困难和问题。
 1、被审计单位从数据安全和保密的角度出发,拖延甚至不提供电子数据。
 2、审计人员通常能熟练运用SQL Server、Access等数据库,但对Oracle、Sybase等其他数据库不够熟悉,在审计中遇到陌生的数据库系统时无法进行数据操作。
 3、信息系统的数据无法导出和备份。有的财务软件或业务管理软件没有数据导出和备份功能,信息系统的操作及管理人员没有权限登录后台数据库,无法采集数据。
 4、信息系统没有数据库结构和数据字典。有的信息系统没有单独的数据结构表,软件开发商与被审计单位之间因版权保护、费用未结清等原因产生纠纷,不能提供数据库结构和数据字典。
 5、数据来源有限,数据分析难出成果。在大数据时代,数据分析需要各种各样的关联性数据,关联性数据越少,数据分析结果就越难从不同角度进行对比验证,发现的审计疑点也会越少。
 (二)解决对策。
 1、加强数据安全。审计人员因审计工作的需要,收集到的电子数据,如社保、财政、住房、车辆、人员信息等数据,往往是涉密数据,如果发生泄密事故,将对审计机关开展大数据审计造成极其不利的负面影响,因此我们必须高度重视对审计数据的管理使用。在加强安全保密宣传教育的同时,根据国家相关的保密法规,建立审计数据管理使用安全责任制,从电子数据归集和使用范围、审计现场使用管理、机关内电子数据使用管理等方面强化电子数据的安全使用管理;定期归集和备份电子数据,妥善保管备份载体,确保数据安全。
 2、加强沟通和协调。对于被审计单位拖延甚至不提供电子数据的行为,2015年中办、国办发布的《关于实行审计全覆盖的实施意见》中明确规定:“有关部门、金融机构和国有企事业单位应根据审计工作需要,依法向审计机关提供与本单位本系统履行职责相关的电子数据信息和必要的技术文档,不得制定限制向审计机关提供资料和开放计算机信息系统查询权限的规定,已经制定的应予修订或废止”,审计人员应当根据新规要求被审计单位依法提供相关数据。对于财政、公积金、人社等部门的信息系统数据由上级机关集中管理的情况,审计人员可以请被审计单位与其上级机关联系,由上级机关采集并分割、下发数据。
 3、加强计算机审计队伍建设。一是引进一批计算机审计专业技术人才,改善审计队伍结构;二是参加上级审计机关的计算机审计培训,培养一批审计业务精湛的业务骨干;三是出台奖励措施,鼓励审计人员积极参加各种计算机技术水平、职称、资格考试或学历教育,通过学习提高自身素质,更好的适应审计工作需要;四是积极参加上级审计机关统一组织开展的大型审计项目,以实战代替培训,实际参与、切身体会,使审计人员能迅速地提高计算机审计应用水平。
 4、积极开发和运用多种工具软件。除了SQL/Oracle等数据库自带的数据导出和导入功能,审计人员要积极开发工具软件,善于运用SSMA/PLSQL Developer等其他相关数据库软件进行数据采集和数据分析。如在对某集团公司的专案审计中,需要采集下属子公司近六年的财务账数据,该集团公司的财务软件是某软件的网络版,后台数据库是Oracle,因授权费用较高而未购买相关模块,无法通过财务软件取得账套数据。通过一般的ODBC方式手工采集财务数据,面对的是数十个数据库、上千张数据表,在有限的时间内完全无法实现。如果采集不到财务数据,就会面临“打不开账、进不了门”的不利局面,影响审计进度。经过测试,审计人员使用某取数工具软件,在软件工程师的协助下设置好远程连接参数,顺利取得审计需要的财务数据并导入到AO2011。
 5、结合信息系统前台和纸质报表等资料,分析数据库结构,查找关键数据表。如在对某医院的财务收支审计中,审计人员了解到该医院HIS系统的开发商已停业,无法取得数据字典。如果不搞清楚HIS系统的数据结构,数据分析就无从下手,只能就账论账,随机抽查病历和档案的方式也不能全面反映医院在收费、药品等方面存在的问题,无法查深查透。审计人员将HIS系统的数据表按记录条数倒序排列,对照HIS系统前台的查询结果和纸质报表等资料,采取分工协作的方式,分头查找住院收费表、门诊收费表、药品入库及出库表、病人信息表等关键数据表,最终查出该医院多收住院病人药费等问题并作严肃处理。
 6、拓宽数据来源渠道。单一的数据来源难以发现问题,这就需要拓宽数据来源渠道,采集多种关联性数据,运用大数据分析方法,从而可以发现更多的审计疑点。如在开展扶贫信息系统数据审计中,审计人员采集了扶贫办、编办、交警、工商、房产等部门的建档立卡贫困人口信息数据、行政事业单位财政供养人员信息数据、大型汽车和小型汽车的登记数据、工商户和工商企业登记数据、房屋产权登记数据等17项相关数据,经过数据分析,发现部分建档立卡贫困人口不符合贫困条件等问题线索,市纪委对精准扶贫领域涉及的问题线索,集中时间和力量进行了查处,对查实的违规违纪案件进行了公开通报。如果只有建档立卡贫困人口信息数据而缺少其他关联数据,计算机审计也不可能发现较多的问题线索。(湖北省武穴市审计局  陈阳)