掌握审计方法是实现审计目标的工具。高级审计师不仅要会用,更要会组织团队使用,并评价方法获取证据的充分性和适当性。
1.传统审计方法的运用
检查法:审查IT政策文件、系统日志、操作手册、变更记录、机房访问登记表、用户权限列表。
观察法:实地观察机房环境、系统操作流程(如:观察用户如何修改密码)、备份介质的存放。
询问法:访谈IT经理、系统管理员、关键用户,了解控制执行的实际情况。
2.技术性测试方法
穿行测试:选取一笔交易,追踪其从输入、处理到输出的全过程,以验证对系统流程的理解和关键控制点的存在。
系统配置审查:检查操作系统、数据库、网络设备的关键安全参数设置是否符合安全基线。
(了解)漏洞扫描/渗透测试:模拟黑客攻击,主动发现系统脆弱性。高级审计师通常不亲自执行,但必须能够组织第三方执行,并分析评价测试报告,将其转化为审计风险。
3.计算机辅助审计技术
这是高级审计师必须掌握的核心技能,是大纲“运用审计技术与方法发现问题”的直接体现。
定义:利用计算机和软件工具(通用审计软件如ACL、IDEA,或专用工具如SQL查询、Python脚本、BI工具)来提高审计效率和效果的技术。
主要应用:
数据提取与分析:从被审系统海量数据中提取、筛选、排序、汇总审计所需的数据。
异常检测(发现问题):
分析性复核:对数据进行趋势分析、比率分析。
查找异常项:查找重复(如:重复支付的发票)、间断(如:缺失的凭证号)、超限(如:超出信用额度的订单)的记录。
特定测试:如运用“本福特定律”分析财务数据是否存在人为操纵。
抽样:运用系统进行随机抽样或按特定标准(如:大金额)进行样本选取。
(高级)持续审计/监控:利用嵌入式审计模块或脚本,对交易进行实时或近实时的监控。
【高级审计师考点关注】
(实务操作能力)考试会设置场景,要求你设计一个审计方案。例如,要核查工资表是否存在“幽灵员工”,你需要获取哪些数据文件(员工主数据、工资发放表、考勤表、银行转账记录),以及如何运用计算机辅助审计技术对这些文件进行比对分析?
(分析评价能力)给你一份运行结果(如:发现100条“周末操作的系统日志”),你必须分析这“意味着什么”?是正常加班,还是权限滥用?你判断下一步应采取什么审计程序(如:访谈当事人、检查加班审批)来核实这一发现。
(组织协调能力)作为高级审计师,你可能需要协调被审单位IT人员提供数据(数据接口、只读权限),或组织团队(可能包括IT审计专家)来实施计算机辅助审计技术。
