27用于数据分析的CAATsIntosaiCommunityPortal.doc

INTOSAI IT 审计委员会 计算机辅助审计技术（CAATS） 学员资料 2004年9月 目录 1. 简介 1 1.1 本教程的编写初衷和教学目标 1 1.2 CAATs的作用 2 2. CAATS种类 1 2.1 程序审查与文件审查 1 2.2 用于计算机程序分析的CAATs 1 2.3 检查数据流 2 2.4 检查数据和文件的完整性 2 2.5 嵌入审计模块 3 2.6 其他工具 3 2.7 用于数据分析的CAATs 4 2.8 数据分析 – 问题探讨 5 3. 使用CAATS进行数据分析中要考虑的问题 6 3.1 何时使用CAATs数据分析 6 3.2 何时使用CAATs进行程序分析 6 4. 将CAATS引入审计机关 7 5. CAATS职能的组织 8 6. 数据访问 9 7. 分阶段使用CAATS的方法 10 8. 数据的选取 11 9. 数据分析工具 12 9.1 通用审计软件 12 9.2 SQL 和基于SQL的工具 12 9.3 SQL中的‘SELECT’语句 14 9.4 Microsoft Access 15 9.5 其他工具 16 10. 数据下载 17 11. CAATS的设计、实施和档案记录 18 11.1 CAATs的设计 18 11.2 文档归集的要求 – 检查清单 18 1. 简介 1.1 本教程的编写初衷和教学目标 编写本教程是为了向大家介绍计算机辅助审计技术（CAATs）。目的是为了使审计人员能够理解在何时、何地，可以使用哪些CAAT工具。 本教程并不具体针对某种软件工具，也不涉及CAATs的开发。然而，可以利用某些具体的软件工具资料做为本教程的补充。这类资料可以通过以下途径取得： · 市场上销售的或EDP委员会专门开发的完整培训教程，或者是 · 不同国家审计机关提供的具体案例。尽管这种案例不会象培训教程那样具有一般性，但它们可以通过在不同环境下的实际工作经验，为各国审计机关提供有益的指导。这些案例可能是针对某种软件工具或是针对某个审计领域。 虽然本教程中也会涉及一点程序的检查，但主要还是集中在CAATs在数据分析中的运用。数据下载是IT审计人员在使用CAATs过程中的一个重要步骤，该部分内容将会在另一个独立的教程中讨论，本教程不包括这方面的内容。 在学完本教程之后，学员们应该能够理解如下内容： · CAATS的作用：CAATS在审计过程中发挥作用的途径； · CAATS的种类：用于程序检查和数据分析的CAATs的之间的区别，和两种常用的CAATs，以及与数据分析相关的一些关键问题； · CAATs的使用条件：适于使用CAATs的条件，以及将CAATs引入审计机关的方法； · CAATs职能的组织：可以选择的不同CAATs职能组织方式，以及在做出选择时应考虑的相关因素； · 数据的访问：访问客户数据的方法，以及这些方法之间的优缺点； · 一种分阶段的使用CAATs的方法，以及不同阶段的详细介绍； · 数据选择的相关问题； · 数据分析的常用工具； · 与数据下载相关的一些关键问题，以及….. · CAATs的设计和文档记录的相关问题。 1.2 CAATs的作用 我们可以将计算机辅助审计技术或CAATs定义为：为了提高审计过程的效果和效率而使用的基于计算机的工具；另外一种定义是：审计人员使用计算机作为工具，进行数据采集和分析工作的相关技术。本教程不涉及那些单纯用于行政事务管理的软件工具，而只包括那些可以使审计工作更加有效的软件工具。 必须指出的是，CAATs的使用并未改变审计的目标，而只是改变了审计的方法。当今，许多甚至说是绝大多数信息处理环境下，审计证据要么无法以纸质文档的形式存在，要么是根据电子数据打印出来（因此可靠性会降低）。因此，审计人员不得不依靠CAATs才能搜集到充分、相关及可靠的证据。 被审计单位最初使用电子数据处理的时期，审计人员将IT系统当作一个黑箱，实施“绕过计算机审计”。经过了若干年的发展审计人员（包括最高审计机关）能够运用CAATs，对被审计单位的电子数据实施“通过计算机的审计”。这种趋势不仅为审计的实施阶段，也为审计的计划阶段带来好处。虽然使用CAATs的初衷集中在财务审计和合规性审计，但随着最高审计机关的审计性质和审计重点的改变，CAATs越来越多用于效益审计和案件调查审计中，并发挥了积极的作用。 在审计的计划阶段，（使用CAATs）着眼于如何提高审计效果，如： · 重大/重要的趋势和规律可能更加直观地显现出来，并使得下一步的审计工作重点更加突出，无论是手工审计还是计算机化的审计。 · 由于被审计单位在开始审计之前就可以提供电子数据，审计人员就有了在数据上“自由发挥”的能力。这方面的作用不可低估，尤其是在效益审计和案件调查审计项目中。 在审计的实施阶段，通常是着重于如何提高审计的效率： · 提高审计的覆盖面-包括深度和广度； · 节省时间和成本； · 提出更加复杂的审计问题，并提高分析能力； · 为创新审计方法提供更多机会。 2. CAATS种类 2.1 程序审查与文件审查 在审计工作中，可以将CAATS分为两个不同的领域： · 程序审查 · 数据分析 从广义上讲，针对计算机程序的CAATs关注于对计算机程序的不同处理过程进行审查。从理论上讲这种审查可以覆盖整个计算机程序，当然这种情况在实践中很难实现。另一方面，针对数据的CAATs只关注数据分析，而不关注产生数据的计算机程序。这倒不一定是说，数据分析的CAATs只能用于实质性测试，而针对计算机程序的CAATs就只能用于基于系统的审计。计算机程序的审查一般只用于合规性审计或者最多能用于财务证实性审计，数据分析可以用于效益审计和案件调查审计。 实际上，数据分析用在评估控制的实际效果方面也十分有用，并不一定只依靠对程序的分析（对程序的分析只是IT控制的一个方面）。一般来说，使用针对计算机程序的CAATs需要较高的专业技术水平，以及与被审计单位的技术环境相关的专门知识和技能。这对于许多最高审计机关来说可能并不一定是可行的，尤其是对于那些缺少IT审计专家（对应于INTOSAI IT审计教学大纲中描述的技术水平的第3级）的审计机关来说。 同样，计算机程序分析一般只用于合规性审计或者最多能用于财务证实性审计，数据分析用于效益审计和案件调查审计十分有效。因此，在大多数据情况下，运用CAATs进行数据分析不仅更加可行，而且可以用于更加广泛的领域。 2.2 用于计算机程序分析的CAATs 这方面的CAATs可以归为以下几类: 检查数据流 · 快照 · 追踪 · 映像 检查数据和文件的完整性 · 平行模拟 · 测试数据生成器和整体测试工具 嵌入审计模块 · 系统控制审计复查文件（SCARF） · 样本审计复查文件（SARF） 其他工具 · 源代码检查 · 程序库分析 · 代码比较 · 用户日志分析 2.3 检查数据流 快照（Snapshot） - 是一种实用工具软件，审计人员可以用它将一个计算机程序在某一点冻结。这样就可以检查交易的值和运行的程序所完成的处理。快照是一种快速和相对容易的工具，但它的功能有限，而且只能针对具体的软件。快照的典型例子是，在程序中加入一个代码行，以便将程序中断并输出某个特定变量的值。另一个例子是开发工具所提供的程序排错功能，它可以使程序在规定的模式下运行；每一步都可以对不同的数据值进行检查。 追踪（Tracing） - 这种方法涉及生成一个完整的审计轨迹，以便在处理过程中对交易进行追踪。通过追踪，可以看到每一个代码行对所处理的数据产生的效果或者程序本身的结果。如果一个程序不能正确地将交易汇总，通过追踪的方法就可以发现错误出现在哪里。追踪的主要优点是，这种方法可以使审计人员看到程序运行的不同阶段，而这种阶段的变化在正常情况下是非常快的。追踪方法的缺点是，这种方法要求审计人员具有编程的知识，而且不同的软件的追踪功能也各不相同。 映像（Mapping） - 这种方法涉及对程序的执行进行监视，以取得某些统计信息。如：未被执行的程序代码、某些特定的代码行执行的次数等等。审计人员可以通过映像功能发现冗余代码或用于舞弊目的的代码。 2.4 检查数据和文件的完整性 平行模拟（Parallel Simulation） - 使用这种工具，审计人员可以对所测试的应用程序或其中的一部分进行再次执行。平行模拟法的使用包括建立另外一套独立的代码，来模拟所要测试的功能。平行模拟的结果可以与应用程序的处理结果进行比较。这种方法的好处在于它可以证明系统中计算或处理过程的准确性，而不对系统本身产生影响。采用这种方法，审计人员需要对系统非常了解，并具备丰富的编程经验。 测试数据生成器（Test Data Generators）和整体测试工具（Integrated Test Facilities） - 这种工具可以根据审计人员的要求生成测试数据。这是一种证明被测试的应用软件能够正确地处理数据的好方法。采用这种方法，审计人员需要对被测试的应用软件非常了解，而且必须确保生成的测试数据不能对系统中的真实数据产生影响。整体测试工具由应用软件自己产生，而测试数据生成器在应用软件之外产生数据记录。这种测试的结果必须从最终报告只清除，不然汇总结果将受到影响。要想设计出能够对应用软件控制进行全面测试所需的数据组合通常也是比较困难的。 2.5 嵌入审计模块 在审计人员不需要客户应用系统中产生的全部数据的情况下，可以使用这种方法。嵌入审计模块可以按照一定的标准从系统中提出信息，以便使审计人员做进一步的测试。嵌入审计模块也可以在应用系统运用期间执行某些功能。例如，可以用它来清除审计人员为了证明系统有效性而植入的测试数据。 嵌入审计模块有以下三方面的优点： · 审计人员可以得到一个数据文件，其中只包括与审计切实相关的信息； · 可以就测试记录从应用系统中删除，以免计算的汇总结果； · 可以在预定的某一点按照审计人员要求的格式提取到变化不定的数据（随着程序的运行而变化或后续程序将数据改变）。 嵌入审计模块的缺点存在于以下三个方面： · 如果审计人员想要编写一个嵌入审计模块，就必须对系统有十详细的了解并掌握编程技巧； · 如果是由被审计单位的人替审计人员编写，则编程要求必须准确并且容易实现。客户通常需要预约对程序进行改动的日期，这会耽误取得审计所需要的信息； · 审计人员必须有办法确保从中提取数据或从中抽样的数据文件是完整的。由被审计单位人员编写嵌入审计模块，就相当于被审计单位可以进行相同的审计工作，而这是审计人员的责任。 采用嵌入审计模块方法的两个特例是系统控制审计检查文件（SCARF）和抽样审计检查文件（SARF）： · SCARF方法是将审计人员确定的合理性测试植入应用程序中，随着程序的运行，那些不合理的交易就会被复制到一个专门的文件中以供审计人员随后审查。 · SARF方法与SCARF方法相类似，它只是随机地抽取数据而不是根据设定的合理性条件来抽取数据。 2.6 其他工具 源代码审查（Source Code Reviews）： 审计人员可以尝试审查程序源代码的片断。一般来说，审查全部的源代码是不切实际的；审计人员通常是重点审查几个感兴趣的片断，如：金额的计算、关键逻辑点。 程序库分析（Program Library Analysis）： 在程序输出结果中出现异常变化时，审计人员可以通过分析程序修改的记录，确定问题的潜在原因。 代码比较（Code Comparison）： 审计人员将应用软件的源代码或目标代码与可靠保存的原始版本进行比较。审计人员也常常有兴趣去发现实际运行的经编译的程序（目标代码）是否真的源自于源代码的主版本。这样就可能发现舞弊人员的篡改或错误，以保证正在使用的是软件的最新版本。 用户日志分析软件（User Log Analysis Software）： 这种方法可以发现未经授权的进入尝试或非法口令。大多数系统都有一个用户进入和登录尝试的记录日志。这个文件通常是简单的文本文件，可以方便地使用文件审查软件或自己的程序进行审查。 2.7 用于数据分析的CAATs CAATs其它方面的用途就是分析被审计单位的数据。由于这方面的应用相对容易掌握，这就使这方面的应用占了CAATs应用的绝大部分。有许多审计软件和SQL查询工具可以用于数据分析，一般用于个人电脑系统。这些工具适用于合规性审计、效益审计、案件调查审计和财务审计。 常用的数据分析技术包括以下几个方面： 汇总（Totalling）： 这是一种用来证明账户完整和进行调节对账的技术； 分层（Stratification）：可以给审计人员描绘出一个文件中的不同的数值的更加完整的图像，以便进行更加复杂的审查及更快地显示文件中可能存在的问题； 数据挖掘（Data mining）： 可以用来进行比较和趋势分析，以找出可以进一步分析和测试的领域； 抽样（Sampling）： 审计人员可以用这种技术从文件中抽取代表性的交易样本； 例外报告（Exception reporting）： 选取记录及按照一定的条件选择抽取数据记录以便进一步分析； 重复记录检查（Duplicate record checks）： 查找错误的支付或可能的舞弊行为； 账龄分析（Ageing）： 可以显示在一定的期间内支付的规律。对交易的收据日和支付日之间的时段进行监控。这在货币价值审计（如：支付系统是否能完全发挥作用？）中十分有用； 断号查找（Gap detection）：显示在一串连续的号码中缺失的号码。可以用于发现漏掉的交易或舞弊行为； 重新计算（Reperformance of Calculations）：可以用来证明处理数据中所使用的公式的正确性。可以对输入数据再次处理，以证明控制功能切实发挥作用及处理的准确性，例如，根据交易数据重新生成资产负债表和利润表等财务报表，并与原来打印出来的版本进行对比。 2.8 数据分析 – 问题探讨 审计人员依赖数据分析的结果做出审计结论会存在潜在的风险。这些风险受到下列因素的影响： · 审计人员是否仅仅依靠数据分析来查找审计发现？或者是审计人员是否还通过非计算机化的审计测试来为CAATs提供必要的补充证据？审计人员是否通过核对纸质文档来对数据分析的结果进行了交叉验证（或者至少抽几个例子来验证）？ · 审计人员是否执行IT系统的控制检查，以评估进入系统或由系统处理的数据的可靠性？审计人员是否通过与控制总数调节等方式对下载的数据的完整性进行了检查？ · 审计人员对被单位的计算机系统，尤其是数据，理解到什么程度？这种理解是否与审计单位的系统文档资料进行了核对，或与被审计单位的人员进行了讨论？ · 审计人员对CAAT工具掌握到什么程度？审计人员接受了多大程度培训以及有多少使用这种软件工具的经验？ · 是否有正式的有关保证数据分析质量的方法？这种方法一般应涉及(a) 监督和复查， (b)同业复查。 3. 使用CAATs进行数据分析中要考虑的问题 3.1 何时使用CAATs数据分析 虽然使用CAATs进行数据分析可以为审计机关带来一些好处，但我们还是建议在具体的审计环境中使用CAATs时，首先要进行正式的成本 – 效益分析。这种分析通常只是做一个定量的评估。尽管如此，它还是有助于对要产生的好处和成本设定一个更为现实的期待。 主要的成本是为了准备使用CAAT所涉及的相关资源的成本；这些资源涉及到如下几个方面： · 为理解IT系统所做的工作； · 确定使用哪种CAAT工具以及数据访问或传输的方式； · 下载数据，进行下载检验/核对。 这种成本从本质上说属于固定成本，一般与数据审查的量和程度无关。 在权衡是否要使用CAATs时，需要考虑以下几个重要因素： · 在未来审计中要重复使用CAATs，对于审计机关来说这是很重要的一点，因为审计机关通常与被审计单位会有一个长期的审计关系（与民间审计事务所不同）； · 审计的重要程度很高，或者是已经确认的高风险审计领域； · 被审计单位核心业务（而不是单纯的行政管理领域，如：财务、人事、存货等）的计算机化，可能是实时的或在线的交易处理； · 相关的非计算机化的审计技术不现实或成本很高。 3.2 何时使用CAATs进行程序分析 决定是否使用CAATs进行程序分析要考虑如下重要因素： · 应用程序执行关键任务； · 无法依靠数据分析提供有关控制是否充分有效的保证。 4. 将CAATs引入审计机关 许多最高审计机关，尤其是那些规模较小、财政和人力资源有限的审计机关在工作大多还一直采用手工审计技术。在需要采用CAATs的情况下，需要以一种有计划的、系统的和分阶段的方式将CAATs引入审计机关： · 开始使用计算机软件工具来进行一些事务性工作，如：审计计划、管理和报告，以及办公自动化： · 在一个试点项目中使用CAATs完成数据提取和分析； · 然后有选择地在一些审计项目中使用； · 最后，在所有的审计项目中使用CAATs，并将其作为一种常规的审计方法。 如下几个重要因素值得考虑： · 取得高层领导的肯定和支持； · 用户培训； · 质量保证机制； · 资金，包括直接和间接成本。 5. CAATs职能的组织 审计机关可以采用几种不同的方式来组织自己的CAATs职能；正如第3部分谈到的，由于CAATs涉及到多方面的功能，这一点就显得十分重要： · 设立一个CAATs专家组，由他们为普通审计人员下载客户的数据、开发和使用CAATs； · 培训一线审计人员，使他们能够独立完成上述工作； · 上面两种方式结合，同时设立一个职能部门 - CAATs 专家支持小组，由他们负责客户数据下载，由审计人员负责运用CAATs。CAATs的开发可以由CAATs专家组负责，也可以由审计部门负责，或者是两家共同负责； · 一线审计人员负责简单的CAAT审计业务，复杂的CAATs运用由专家负责或由专家提供支持。 在这方面，审计机关应考虑如下几个方面的重要因素： · 哪些是关键的制约条件？对业务数据的了解，还是IT系统方面的及CAATs工具方面的技术知识。 · CAATs在目前和未来的使用量和程度； · 是不是一次性的任务？如果能够重复使用，由一线审计人员使用CAATs可能更符合成本效益原则； · CAAT工具的复杂程度，例如，对编程的要求有多高； · 审计机关内部CAAT的技术水平以及外包CAATs专家支持职能的范围，全部或是部分。 如果在CAATs专家组和一线审计人员之间进行职责分工，下列问题需要考虑： · 与被审计单位保持联系，尤其是与IT部门之间在数据下载、操作以及取得必要的数据文档资料的问题上； · CAATs 专家组与一线审计人员之间的配合，以保证CAAT符合一线审计人员的要求； · 下载得到的数据和CAAT实施文档的管理的归档。 6. 数据访问 从大的方面讲，审计人员可以采用两种方式使用CAATs分析客户的数据： · 在被审计单位的IT系统上运行CAAT，直接在被审计单位的PC机或终端上运行或是将审计人员的计算机连接到被审计单位的网络上； · 数据数据下载到审计人员的IT系统上，然后在审计人员的计算机上运行 CAAT。 上述两种方式各有优缺点。 由于技术平台不同等原因，在审计单位的IT系统上安装CAAT软件的方式不一定行得通。 审计人员通常可以利用审计单位系统中已经存在的软件工具，而不是将审计机关的CAAT软件安装到被审计单位的系统上。 审计人员需要广泛地熟悉在客户IT环境中可能使用的软件工具。而且，在被审计单位的系统上直接运行CAATs软件会带来潜在的风险，对被审计单位的系统的正常运行产生干扰，影响被审计单位的系统性能和数据的完整性（被审计单位的数据可能在不经意间被修改或删除）。如果采用将审计人员的计算机与被审计单位的IT系统之间进行数据连接的方式，这种问题也有可能发生。另一个角度来看，这种办法至少可以保证数据的完整性，因为CAAT直接在现行的生产数据上运行。 最常用的做法是将数据下载到审计人员的IT系统中，通常是PC机上。审计人员只需熟悉PC机上的审计软件即可，这些软件对用户来说一般都比较方便。同时，采用这种方式也不会对被审计单位的信息处理设施造成负面的影响。然而，将数据转换成便于审计人员审查的格式的过程通常是复杂和繁琐的。由于审计人员的数据处理条件的限制，有时使用下载的数据进行审计的效率可能也不会很高。同时，对于下载过程需要有一种质量保证检查，以确保数据的完整性。在数据下载不可行或不切合实际的情况下，还得采用其他的审计方法，即便是这些方法并不理想。 7. 分阶段使用CAATs的方法 在审计中有系统地计划和管理CAATs通常要以分阶段的方式进行： 计划阶段（通常比实施阶段花的时间长） · 决定使用CAATs · CAAT的使用范围；估计需要的资源/时间 · 选择需要的数据 · 选择使用哪种软件工具 ß 实施阶段 · 数据下载 · CAATs的设计、测试和运行 · CAAT 的文档编写 · 后期检查 8. 数据的选取 CAAT必须与审计目标紧密相关，还应尽量避免下载过多的无关数据。然而，在有些情况下，简单地将被单位的数据表或字段都下载过来会更加容易，过多的数据选择工作可能要花更多的时间和资源。 一般来讲，在财务审计和合规性审计中对数据选取的选择性要求更多一些。而在效益审计和案件调查审计中，审计人员更倾向于挖掘数据以发现趋势性的规律。 如果可能的话，审计人员应尽量选择与原始交易最为接近的数据（如交易文件/表，或主文件/表，而不是汇总数据或次要文件/表）以使数据的处理程度最小。 “遗留”系统（很早以前开发并一直在用）一般以“平面文件”的格式存储数据，而现代的系统一般以关系型数据库管理系统的形式存储数据。平面文件系统中的每个文件是独立的，可以单独下载和分析，关系型数据库管理系统以内部关联的表的形式存储数据。审计人员通常需要选取若干数据表才能涉足分析数据的要求。 为了选取所需的数据，审计人员应从业务的角度，而不是技术的角度，对被审计单位可能提供的数据进行深入的了解。这种了解可以通过两种途径获得，一个是关于数据结构的系统文档和与被审计单位的工作人员讨论（尤其是IT部门和“系统所有者”）。另一个是审计人员以前对系统的检查结果。 9. 数据分析工具 数据分析工具可以分为以下几类： · 通用审计软件； · SQL 和基于SQL的工具； · Microsoft Access；以及…… · 其他工具，如：电子表格。 9.1 通用审计软件 这类审计软件是已经开发好的软件包，专门为审计人员设计。可以用在许多不同的技术环境中。两种主流的通过审计软件分别是IDEA (Interactive Data Extraction and Analysis) 和ACL (Audit Command Language)，这两种软件都有在Windows环境下运用的版本。这些软件具有下列功能： · 抽样：包括计划、样本选取和分析；几种抽样方法（属性抽样、变量抽样、货币单位抽样），也支持分层抽样和样本选取方法（随机选样、系统选样）； · 连续性检查、断号查找及重复查找； · 汇总； · 文件比较； · 例外报告； · 重新计算。 两种软件都可以导入和导出多种格式的数据。 其他通用审计软件工具包括： · Prospector：属于文件下载和文件审查工具； · CA- Panaudit Plus：可以PC机和大型机系统上运行。 9.2 SQL 和基于SQL的工具 SQL (结构化查询语言 – 读作“sequel”)是一种应用广泛于关系型数据库管理系统的数据定义和操纵语言。几个国家的和国际性的组织，包括美国国家标准委员会 (ANSI) 和国际标准化组织 (ISO)都定义和发布了SQL标准，这些标准都得到了各家关系型数据库管理系统产品的支持，包括桌面型数据库，如：Microsoft Access。 从审计人员的观点来看， SQL是比较容易掌握的工具，适合于审查采用关系型数据库管理系统的应用软件。它主要有以下几方面的优点： · 在传统的编程语言中，需要指定数据的处理过程，但在SQL中无需这样做。SQL是一种“非过程的”语言。审计人员在SELECT语句中只需只指定所需的数据和需要满足的条件就可以从数据表中找出所需的数据记录，无需设置复杂的循环过程； · SQL标准受到几乎所有关系型数据库产品供应商的支持（他们还以自己的各自方式在标准的SQL基础上做一些补充），包括桌面型产品，如：Microsoft Access。这样，审计人员在使用标准的SQL时就不必了解不同的关系型数据库产品的具体细节，并且可以在所有的平台上运行同样的SQL查询； · 流行的关系型数据库产品，如Oracle或Microsoft SQL Server还提供便于用户使用的具有复杂功能的SQL工具。这些工具提供操作简单的图形化界面来方便人们创建和执行查询，并且用“鼠标拖放”的方法就可以添加表、建立关系、选择所需的栏目以及指定查询条件。这些功能与Microsoft Access 等流行的桌面型数据库所提供的功能相类似； · 如果下载数据有困难，审计人员还可以直接在被审计单位的关系型数据库上创建和运行SQL查询。审计人员也可以先与被审计单位的关系型数据库管理系统连接，然后在前台工具，如：Microsoft Access，上运行查询。 使用SQL工具与现存的审计查询或通过审计软件相比，可以为审计人员提供更大的灵活性。在审计的开始阶段，审计人员往往并不清楚自己到底需要哪些数据。具体情况会随着审计人员用SQL工具对数据进行多种形式的分析而不断变化。另外，SQL工具不会将审计人员束缚在某些特定的数据上。在过去，由于数据下载是一个沉重的话题，审计人员只能被束缚在别人为他们下的数据上，用传统的审计软件进行着数据分析工作。SQL赋予了审计人员重返数据库的自由。有了SQL查询工具，审计人员就可能访问整个系统。如果他觉得原来的查询不能提供自己想要的结果，那就再写一个新的也不费事。 然而，无论是直接在被审计单位的IT系统上使用SQL查询，或是间接地通过网络连接， 都必须保持极度谨慎。SQL是一种功能极强的语言，一条代码行就可以同时对几百万条记录进行处理。错误的或设计糟糕的查询会对被审计单位的IT系统造成严重的处理负载，甚至会对被审计单位的正常IT运行造成全面的影响。而且错误的查询有可能会在不知不觉之间修改或删除了被审计单位的数据；即便是在被审计单位仅对审计人员开放只读访问权限的情况下，这种问题也有可能发生。所以，最好是将数据下载到审计人员的IT系统上，再运行查询功能。还有一种办法是在被审计单位的备份系统或独立的开发环境中使用查询功能，这些系统中的数据可能会比现行的数据晚几个小或几天。 SQL并非在所有情况下都是最佳的选择。许多公共机构使用遗留系统保存他们的数据。这种情况下，审计人员就要用通用审计软件提取和下载数据。而且，SQL工具中缺少象通用审计软件中的那些审计和财务处理功能，如：断号查找、统计抽样等。因此，审计人员通常是将 SQL和通用审计软件工具结合起来使用。 9.3 SQL中的‘SELECT’语句 审计人员使用的主要SQL语句 – 甚至是唯一的语句就是SELECT。下面是SQL SELECT语句的一个简单的例子： SELECT Product_Code, Product_Description, Product_Rate, Product_Quantity FROM Products WHERE Product_Rate > 10 这个语句可以拆分成以下几层意思： · 产品表：数据从该表“选取”（“selected”），用“FROM”子句表示； · 字段：产品表中的Product_Code, Product_Description, Product_Rate and Product_Quantity 字段，审计人员对这些字段感兴趣； · 条件是只选取那些Product_Rate 大于10的数据记录。用“WHERE”子句指定条件。 审计人员所需的每一个SQL查询都是用这种句式来表示。选项和子句有很多，可以构造出复杂的查询。这使得审计人员可以构造、执行SQL查询，并对其进行微调，直接在被审计单位的数据库上得到满足审计需要的结果： · 除了象上面的例子那样从一个表中选取数据之外，还可以从几张表中选取数据。在这种情况下，不同表之间的关系要用“JOINS” 表指定，说明相关的字段和关系的性质； · 通过指定“计算字段”，审计人员可以在SELECT 语句中实现计算功能（如：产品的价值 - Product Value，是Product_Rate 和Product_Quantity的计算结果）。另外还有可以实现统计功能的选项，如：加总、平均、记录计数、最大值和最小值等。 · 通过“ORDER BY” 子句可以将SQL SELECT 语句的结果按照一个多个字段的值来排序（如：Product_Quantity 或 Product_Rate）。 · SELECT语句中的“WHERE” 子句中可以指明不止一个条件。可以指定多个条件，并说明这些条件之间的关系（如：所有的条件都必须满足或只需满足其中一条），而且可以涉及多个表中的不同字段。 · 不同分组的统计数据可以通过“GROUP BY”和“HAVING”子句来计算； · 不同SQL语句的结果可以通过“UNION”结合在一起，或用“嵌套”的方法来实现； · 有大量的内置数学函数和逻辑运算符。另外，有编程知识的审计人员还可以用常用的编程语言（如：Visual Basic 或C语言）来编写自己的函数和过程，并用它们来进一步细化SELECT 查询。 将上述的子句和选组合起来，可以构造出无数和SELECT 语句，这些语句几乎能够满足审计人员所有的数据分析需要。 初学者可以使用图形化的界面和“向导”来接触SQL，许多关系型数据库产品都提供这种自动生成SQL语句的功能。审计人员对SQL语法熟悉之后，下一步就可以修改由图形界面或向导生的的SQL语句，或者自己动手来写SQL语句。才能是经验的积累。 9.4 Microsoft Access Microsoft Access是一种桌面型的关系型数据库应用软件，它是Microsoft’s Office专业版办公自动化软件的一个组成部分。Microsoft Access除了正常的小型数据库应用之外，还为审计人员提供了十分方便的查询工具。 对于小型的关系型数据库（几百MB规模）来说，可以方便地将客户的关系型数据库导出成Access数据库。然后审计人员就可能用Microsoft’s Query Designer / wizards，或用SQL 语句进行检索。关系型数据库产品的那些复杂的交易处理功能（如：交易日志、回退、多用户功能、在线备份、安全机制等）对于审计人员来说并不重要，因此，查询性能不成问题。 理论上讲，MS Office 2000版的Access数据库可以容纳2G的数据，Access XP版的容易更大一些。然而，随着数据库变大（在达到GB规模的时候）Microsoft Access的性能就会受到影响。总之，它还只是一个桌面型产品，而不是工业化的客户服务器型的关系型数据库管理系统。面对大容量的数据库，审计人员有两种选择。比较好的方法是，将大型数据库移植到审计人员IT系统的关系型数据管理系统中，然后用Microsoft Access作为该数据库的前台工具。还有一种作法是，将数据库拆分成小型的Access数据库，然后用连接的方法创建并运用查询。 9.5 其他工具 电子表格，如：Microsoft Excel或者Lotus 123，对于小型数据库来说也非常有用。MS Excel 2000 可以处理65,000条记录，Excel XP可以处理的记录数更多。虽然Excel的查询功能比较基本，但它提供非常好的作图功能。通常可以将汇总结果从Access中导出成电子表格，然后用Excel制作成统计图表。 10. 数据下载 数据下载的细节问题超出了本教程的范围，它应该属于相关培训教程的内容。然而，在这里我们有必要指出，成功的数据下载的关键因素是对所下载数据完整性的校验，不然有可能会导致整个使用CAATs的过程不可靠。 以下几方面的问题与数据的完整性相关： · 如果数据以独立的磁性文件形式提供，则一定要从被审计单位取得每个文件中数据记录的条数。我们还建议审计人员应从被审计单位取得每个单位的控制总数，或者是列有汇总数据的打印出的纸质文档。 （例如：财务报表的汇总数）； · 然后将数据导入CAAT软件，用CAAT工具通过重新计算记录条数和汇总数，并与被审计单位提供的相关情况进行比较，完成对数据的完整性的检验。 · 如果对数据进行了转换，要核对转换前后的记录条数和控制总数； · 以原始格式从被审计单位取得的数据必须保持原样不动。一旦需要审计人员把数据退给被审计单位，最好在审计人员的IT系统上保留一个原封不动的备份。 数据下载大概可以分成两种情况，一种是下载平面文件，另一种是下载关系型数据库。由于平面文件一般都独立存在，因此也可以有选择性地下载。对于关系型数据库管理系统来说，“开放数据库连接”（ODBC）是最常用的数据下载方法。还有两个重要的问题需要关注： a)数据传输，和b)数据下载过程中数据的完整性。 11. CAATs的设计、实施和档案记录 11.1 CAATs的设计 在计划阶段，应该准备一个应用CAATs的案例，并经过审批。在实施阶段，应按照设计和开发CAAT的要求制定出具体的审计需求。按照组织政策的要求，在一线审计人员和CAATs专家之间进行责任分工。一般来讲，通常应该采用一个有系统的、结构化的方法来编写CAATs： · 审计计划应该转换成一系列具体的查询； · 在对数据有了彻底的了解之后，将这些查询以“伪代码”的形式表达出来（看起来像英文表达而不是用计算机语法表达），指出来自不同表中的数据要素、用来识别例外情况的逻辑以及所要采用的抽样方法； · 将“伪代码”的形式表达的查询转换成用计算机语法形式，然后在计算机系统执行。 11.2 文档归集的要求 – 检查清单 计划阶段 · CAATs的业务案例 · 审计计划 · 系统/数据文档 · CAATs 和数据下载计划 实施阶段 · 数据下载的审计轨迹和数据完整性检查 · 审计查询和轨迹/历史记录和结果 · 结果分析，包括对结果进行非CAAT的补充测试 · 管理当局的意见和反馈 · 数据、查询和结果的电子归档