軟件工程助力信息系統(tǒng)審計(jì)

1、軟件工程助力信息系統(tǒng)審計(jì)摘 要 文章論述了軟件工程和信息系統(tǒng)審計(jì)的關(guān) 系，并用一個(gè)實(shí)例簡(jiǎn)要介紹了如何用軟件工程理論具體指導(dǎo) 信息系統(tǒng)審計(jì)的實(shí)踐。關(guān)鍵詞軟件工程；信息系統(tǒng)審計(jì)中圖分類號(hào)：f239文獻(xiàn)標(biāo)識(shí)碼：a文章編號(hào):1671-7597(2014) 09-0176-01在信息技術(shù)向人們工作、生活的每一個(gè)角落發(fā)起全面沖 擊的大潮中，對(duì)每個(gè)行業(yè)都帶來(lái)了革命性的變革。為適應(yīng)這 種變革，企業(yè)、單位、政府機(jī)構(gòu)等都投入了大量的人力、物 力資源構(gòu)建復(fù)雜的信息系統(tǒng)來(lái)提高工作效率，完善工作管 理。企業(yè)構(gòu)建的是mis、erp、crm等系統(tǒng)，主要追求的是經(jīng) 濟(jì)效益，政府等機(jī)構(gòu)和組織構(gòu)建的是電子政務(wù)系統(tǒng)(g2b、 g2

2、c),主要追求的是社會(huì)效益。對(duì)于這些信息系統(tǒng)是否能實(shí)現(xiàn)業(yè)務(wù)、管理的需求，真實(shí) 的反應(yīng)整個(gè)業(yè)務(wù)、管理過(guò)程，并能夠適應(yīng)各種需求的變化， 最終實(shí)現(xiàn)所要追求的經(jīng)濟(jì)和社會(huì)效益，需要對(duì)信息系統(tǒng)生命 周期中的某些或者全部過(guò)程進(jìn)行評(píng)介，即通過(guò)信息系統(tǒng)審計(jì) 的過(guò)程，對(duì)信息系統(tǒng)的真實(shí)、合法、有效進(jìn)行審計(jì)和評(píng)價(jià)。軟件工程正是構(gòu)建這些復(fù)雜信息系統(tǒng)的工程理論基礎(chǔ)。 因此從軟件工程的視角來(lái)進(jìn)行信息系統(tǒng)審計(jì)的實(shí)踐有著必 要性和必然性。1軟件工程和信息系統(tǒng)審計(jì)的介紹軟件工程是一門研究用工程化方法構(gòu)建和維護(hù)有效、實(shí) 用和高質(zhì)量的軟件的學(xué)科，它著重研究和應(yīng)用如何以系統(tǒng)性 的、規(guī)范化的、可定量的過(guò)程化方法去開發(fā)和維護(hù)軟件，以 及如

3、何把經(jīng)過(guò)時(shí)間考驗(yàn)而證明正確的管理技術(shù)和當(dāng)前能夠 得到的最好的技術(shù)方法結(jié)合起來(lái)。軟件工程包括需求分析、 設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試和維護(hù)等過(guò)程。信息系統(tǒng)審計(jì)（information systems audit, isa）是 一個(gè)過(guò)程，在此過(guò)程中審計(jì)人員搜集和評(píng)估證據(jù)以確定信息 系統(tǒng)和相關(guān)資源是否充分保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完整 性、提供相關(guān)和可靠信息、有效實(shí)現(xiàn)組織機(jī)構(gòu)目標(biāo)、有效地 使用資源、包含有效內(nèi)部控制以提供運(yùn)營(yíng)和控制目標(biāo)得到滿 足的合理保障（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)isaca的標(biāo)準(zhǔn)定義）。信息系統(tǒng)審計(jì)的目標(biāo)更加注重于從信息資產(chǎn)的安全性、 數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性等方面出 發(fā)，對(duì)信息系

4、統(tǒng)從開發(fā)、運(yùn)行到維護(hù)的整個(gè)生命周期過(guò)程進(jìn) 行全面審查與評(píng)價(jià)，以確定其是否能夠有效可靠地達(dá)到組織 的戰(zhàn)略目標(biāo)，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出建 議。2軟件工程對(duì)信息系統(tǒng)審計(jì)的助力1）兩者研究的內(nèi)容高度重合。信息系統(tǒng)審計(jì)主要有6 方面的內(nèi)容，包括信息系統(tǒng)審計(jì)程序；it治理（信息技術(shù)治 理）；系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理；it服務(wù)的交付與支持; 信息資產(chǎn)的保護(hù)；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。軟件工程研究的內(nèi)容涵蓋軟件的技術(shù)方法、軟件工程管 理，具體為在定義、開發(fā)、運(yùn)行和維護(hù)三個(gè)階段中的技術(shù)管 理、工程管理各階段的工程質(zhì)量實(shí)現(xiàn)。軟件工程研究的內(nèi)容包含在信息系統(tǒng)審計(jì)內(nèi)容中重要 的后4項(xiàng)。2）兩者的目標(biāo)

5、有一致性。信息系統(tǒng)審計(jì)的目標(biāo)是通過(guò) 對(duì)信息系統(tǒng)的審查，評(píng)價(jià)系統(tǒng)的真實(shí)性、合法性、有效性， 發(fā)現(xiàn)信息系統(tǒng)在使用和管理過(guò)程中存在的問(wèn)題，確定是否存 在漏洞和缺陷，有無(wú)非法和錯(cuò)誤的處理和控制的薄弱環(huán)節(jié)， 客觀評(píng)價(jià)系統(tǒng)的現(xiàn)狀，促進(jìn)被審計(jì)單位進(jìn)一步加強(qiáng)信息系統(tǒng) 管理，完善信息系統(tǒng)功能，保證和完善各項(xiàng)流程，防范利用 計(jì)算機(jī)系統(tǒng)進(jìn)行欺詐與舞弊，并提出具有建設(shè)性的建議。軟件工程的目標(biāo)是在給定成本、進(jìn)度的前提下，開發(fā)出 具有適用性、有效性、可修改性、可靠性、可理解性、可維 護(hù)性、可重用性、可移植性、可追蹤性、可互操作性和滿足 用戶需求的軟件產(chǎn)品，盡量減少軟件在運(yùn)行過(guò)程中的漏洞和 缺陷。追求這些目標(biāo)有助于提高軟件

6、產(chǎn)品的質(zhì)量和開發(fā)效 率，減少維護(hù)的困難，提高信息系統(tǒng)的效益。兩者的目標(biāo)具有一定的一致性。3）軟件工程定義的標(biāo)準(zhǔn)、規(guī)范為信息系統(tǒng)審計(jì)部分審 計(jì)事項(xiàng)的評(píng)介提供了參考。軟件工程過(guò)程主要包括開發(fā)過(guò)程、動(dòng)作過(guò)程、維護(hù)過(guò)程, 在這些過(guò)程中都有著明確的規(guī)則、規(guī)范、要求以及需要達(dá)到 的質(zhì)量標(biāo)準(zhǔn)。在信息系統(tǒng)審計(jì)過(guò)程，通過(guò)材料和證據(jù)的收集, 可以參考軟件工程的標(biāo)準(zhǔn)，對(duì)審計(jì)事項(xiàng)發(fā)表審計(jì)評(píng)價(jià)。如對(duì)信息系統(tǒng)的工程管理質(zhì)量發(fā)表評(píng)價(jià)時(shí)可參考軟件 工程軟件管理的理論（如is09000質(zhì)量體系、cmm能力成熟 度模型等）。4）軟件工程為信息系統(tǒng)審計(jì)提供了審計(jì)方法和手段。 在信息系統(tǒng)審計(jì)過(guò)程中，需要收集材料和數(shù)據(jù)，進(jìn)行符合性 和

7、實(shí)質(zhì)性審計(jì)測(cè)試。這一過(guò)程需要有一定的審計(jì)方法和技術(shù) 手段，而軟件工程正好可以提供。如對(duì)信息系統(tǒng)所運(yùn)行的業(yè)務(wù)流程進(jìn)行真實(shí)性、完整性的 符合性測(cè)試，可通過(guò)審計(jì)技術(shù)文檔，重構(gòu)軟件工程需求分析 階段的實(shí)體關(guān)系圖、數(shù)據(jù)流圖、數(shù)據(jù)字典的方法進(jìn)行。如對(duì) 信息系統(tǒng)所運(yùn)行的業(yè)務(wù)流程進(jìn)行真實(shí)性、完整性的實(shí)質(zhì)性測(cè) 試，可通過(guò)使用軟件工程軟件測(cè)試階段的各種測(cè)試方法（如 靜態(tài)、動(dòng)態(tài)測(cè)試，白盒、黑盒測(cè)試、并行模擬等）進(jìn)行。3審計(jì)項(xiàng)目實(shí)踐在2013年對(duì)xx物流監(jiān)管系統(tǒng)進(jìn)行信息系統(tǒng)審計(jì)過(guò) 程中，審計(jì)小組正是利用軟件工程理論對(duì)整個(gè)系統(tǒng)的建設(shè)、 實(shí)施、運(yùn)行和維護(hù)過(guò)程進(jìn)行了審計(jì)。主要審計(jì)成果如下。1）工程建設(shè)管理。根據(jù)軟件工程的要

8、求，收集各階段 的管理和技術(shù)資料。在此過(guò)程中，發(fā)現(xiàn)存在資料缺失、版本 管理控制不足、某些必須的開發(fā)階段被忽略，形成不符合相 關(guān)法規(guī)和工程管理、技術(shù)上的問(wèn)題及風(fēng)險(xiǎn)。2）應(yīng)用系統(tǒng)一般控制和個(gè)別控制。在對(duì)應(yīng)用系統(tǒng)的一 般控制審計(jì)時(shí)，主要對(duì)組織控制、人員職權(quán)職責(zé)的分配與分 工及資源掌控、多系統(tǒng)互聯(lián)及數(shù)據(jù)傳輸?shù)确矫孢M(jìn)行了詳細(xì)審 查，發(fā)現(xiàn)了涉及用戶管理權(quán)限、人員背景調(diào)查、保密管理、 數(shù)據(jù)傳輸控制不足等方面的不足與漏洞。在對(duì)應(yīng)用系統(tǒng)的主要模塊物流調(diào)撥模塊進(jìn)行個(gè)別控制 審計(jì)時(shí)，使用了軟件工程中的各種測(cè)試方法，對(duì)程序和數(shù)據(jù) 進(jìn)行了審計(jì)，發(fā)現(xiàn)了物資備案、調(diào)撥過(guò)程控制等業(yè)務(wù)方面的 管理、控制不足，使部分無(wú)備案無(wú)審核的物資調(diào)撥得以進(jìn)行, 或者實(shí)際調(diào)撥數(shù)與申報(bào)數(shù)發(fā)生差異。3）數(shù)據(jù)資產(chǎn)保護(hù)和業(yè)務(wù)連續(xù)性。根據(jù)軟件工程對(duì)軟件 維護(hù)階段的標(biāo)準(zhǔn)和要求，對(duì)系統(tǒng)的數(shù)據(jù)保護(hù)方案和業(yè)務(wù)連續(xù) 性計(jì)劃與實(shí)施進(jìn)行審查，發(fā)現(xiàn)有單點(diǎn)故障、業(yè)務(wù)連續(xù)性計(jì)劃 不足、方案和計(jì)劃實(shí)施不充分、無(wú)實(shí)際演練計(jì)劃等問(wèn)題和風(fēng) 險(xiǎn)。4總結(jié)與展望本文閘述了軟件工程與信息系統(tǒng)審計(jì)之間的關(guān)系，通過(guò) 一個(gè)實(shí)際審計(jì)項(xiàng)目實(shí)例，展示了如何利用軟件工程的相關(guān)理 論，從軟件工程的視角來(lái)看待信息系統(tǒng)審計(jì)，并具體實(shí)施審 計(jì)實(shí)施。一方面提高了信息系統(tǒng)審計(jì)中的規(guī)范性、操作性、 可控制性和效率性，有利于審計(jì)項(xiàng)目的管理和審計(jì)項(xiàng)目質(zhì)量 的提高，降低審計(jì)風(fēng)險(xiǎn)；另一方面軟件