1.8 审计数据分析

数据分析是信息系统审计师的重要工具。通过使用技术，信息系统审计师可以选择和分析完整的数据集，以持续审计或监控关键组织数据中的异常或变化，从而识别和评估组织风险，并实现控制和监管要求的合规性。

信息系统审计师可以将数据分析用于以下目的：

• 确定当前控制环境的运营有效性。

• 确定反欺诈程序和控制的有效性。

• 识别业务流程错误。

• 识别业务流程的改进和控制环境中存在的效率低下问题。

• 识别异常情况或不寻常的业务规则。

• 识别欺诈。

• 识别存在较差数据质量的领域。

• 在审计的规划阶段执行风险评估。

用于收集和分析数据的流程包括：

• 设定范围（例如，确定审计/审查目标；定义数据需求、来源和可靠性）。

• 识别和获取数据（例如，从可靠来源请求数据、测试数据样本、提取数据以供使用）。

• 通过以下方式对数据进行验证（例如，确定执行审计测试所用的数据是否充足和可靠）：

■ 不依赖所提取的数据集来验证余额。

■ 将详细数据与报告控制总数进行核对。

■ 验证数值、字符和日期字段。

■ 验证数据集的时间段（即确定其符合范围和目的）。

■ 验证范围中识别的所有必要字段都已包含在获取的数据集中。

• 执行测试（例如，运行脚本和执行其他分析测试）。

• 记录结果（例如，记录测试目的、数据源和所得结论）。

• 审查结果（例如，确保测试程序已由合格人员妥为执行和审查）。

• 保留结果（例如，维护重要的测试要素），例如：

■ 程序文件。

■ 脚本。

■ 宏/自动化命令测试。

■ 数据文件。

在审计的规划和现场工作阶段，信息系统审计师均可执行有效的数据分析。

分析可用于：

• 将逻辑访问文件与人力资源部门的获授权用户员工主文件相结合。

• 将文件库设置与变更管理系统中的数据以及可与授权事件日期匹配的文件变更日期相结合。

• 将入口与出口记录进行匹配，以识别物理安全日志中的尾随情况。

• 审查表格或系统配置设置。

• 审查系统日志中未经授权的访问或异常活动。

• 测试系统转换。

• 测试逻辑访问SoD（例如，结合工作说明对Active Directory数据进行分析）。