《內(nèi)部審計學(xué)》課件：信息系統(tǒng)審計

信息系統(tǒng)審計

信息系統(tǒng)審計，作為一種可以確保信息系統(tǒng)的安全、可靠及高效運行的新的審計模式受到世界各國的普遍重視。隨著我國公司信息技術(shù)的轉(zhuǎn)型升級戰(zhàn)略的全面實施,公司信息化被提到了前所未有的高度。因此，加快發(fā)展我國信息系統(tǒng)審計具有重要意義。前言

第2節(jié)信息系統(tǒng)審計策略

第5節(jié)應(yīng)用軟件審計

第1節(jié)信息系統(tǒng)審計概述

第3節(jié)信息系統(tǒng)審計流程

第4節(jié)信息系統(tǒng)生命周期審計01信息系統(tǒng)審計概述

第1節(jié)信息系統(tǒng)審計概述

信息系統(tǒng)審計就是對公司信息系統(tǒng)的規(guī)劃、建設(shè)、使用、更新、管理的審計,涵蓋公司IT(InformationTechnology)治理和管理的全部流程。

信息系統(tǒng)審計是指由組織內(nèi)部審計機構(gòu)及人員對信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評價與報告活動。（中國內(nèi)部審計協(xié)會）

收集并評估證據(jù)以決定一個計算機系統(tǒng)(信息系統(tǒng))是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標,同時最經(jīng)濟的使用資源。（美國信息系統(tǒng)審計權(quán)威專家RonWeber）

一、信息系統(tǒng)審計的概念二、信息系統(tǒng)審計的特點

（一）審計目標的明確性

信息系統(tǒng)審計五個目標

符合性目標信息系統(tǒng)戰(zhàn)略規(guī)劃、IT治理與管理框架是否符合公司目標

完成性目標公司IT相關(guān)目標的實現(xiàn)程度是否達到了戰(zhàn)略規(guī)劃和IT相關(guān)目標的要求

合規(guī)性目標公司信息系統(tǒng)的建設(shè)是否符合外部監(jiān)管的要求和公司內(nèi)部的規(guī)章制度

安全性目標信息系統(tǒng)能否有效地揭示、防范、規(guī)避、減輕風(fēng)險,是否符合優(yōu)化風(fēng)險的目標

效益性目標信息系統(tǒng)的建設(shè)是否符合程序,達到要求,是否有效管理投資,滿足利益相關(guān)者需要

（二）審計對象的多樣性1.從信息系統(tǒng)本身的形態(tài)劃分,可以分為對現(xiàn)行的已投入運行的信息系統(tǒng)的審計和對信息系統(tǒng)完整生命周期,即開發(fā)過程的審計。2.從信息系統(tǒng)的控制來劃分,可以分為對一般控制的審計和對應(yīng)用控制的審計。3.從具體的審計事項來劃分,有對硬件的審計,有對軟件的審計;有對管理制度的審計,有對應(yīng)用程序的審計;有對紙質(zhì)文件的審計,有對電子數(shù)據(jù)的審計;有對物的審計,有對人的審計。（三）審計技術(shù)和方法的針對性（四）內(nèi)部審計人員素質(zhì)的復(fù)合性（五）發(fā)展變化快的復(fù)雜性

三、信息系統(tǒng)審計的標準框架—COBIT5

COBIT5即以前所稱的“信息及相關(guān)技術(shù)控制目標”(COBIT),現(xiàn)在僅用作其第五迭代的縮略詞。這是一套完整的、全球公認的、用于治理和管理公司信息和技術(shù)(IT)的框架,該框架支持公司行政層和管理層確定和實現(xiàn)其業(yè)務(wù)目標和相關(guān)的IT目標。

COBIT5是一個家族,包括的產(chǎn)品如圖11-1-1所示,一共有四個板塊。其一是COBIT5(框架),這是基礎(chǔ)和內(nèi)核。其二是動力指引,其中詳細討論了治理和管理動力,具體內(nèi)容包括COBIT5:啟用流程、COBIT5:啟用信息、其他動力指引。其三是COBIT5專業(yè)指引,具體內(nèi)容包括COBIT5實施指南,針對信息安全的COBIT5,針對鑒證的COBIT5,針對風(fēng)險的COBIT5(開發(fā)中),其他專業(yè)指引。其四是協(xié)作的網(wǎng)絡(luò)環(huán)境,這個環(huán)境能支持COBIT5的運用。

圖11-1-1COBIT5家族產(chǎn)品

COBIT5是以五個基本原則為本創(chuàng)建而成的,這些原則詳細地涵蓋并包括對公司IT治理和管理動力的精細指導(dǎo),如圖11-1-2所示。圖11-1-2COBIT5原則(一)COBIT5的五個基本原則

1.滿足利益相關(guān)者需要

公司的存在就是為了給公司利益相關(guān)者創(chuàng)造價值。因此,任何公司,無論是什么類型的,都將創(chuàng)造價值作為核心的治理目標。創(chuàng)造價值就意味著在優(yōu)化風(fēng)險的同時,以最佳資源成本實現(xiàn)收益。利益相關(guān)者的需要必須轉(zhuǎn)換成公司可行動的戰(zhàn)略。COBIT5建立了一套完善的分層機制,能層層將利益相關(guān)者的需要轉(zhuǎn)換成具體的、可行動的和定制化的企業(yè)目標、IT相關(guān)的目標和動力目標,如圖11-1-3所示。

步驟1:利益相關(guān)者驅(qū)動因素影響利益相關(guān)者需要。利益相關(guān)者需要受到多種驅(qū)動因素的影響,例如,戰(zhàn)略變化,變化中的商業(yè)和監(jiān)管環(huán)境以及新技術(shù)等。

圖11-1-3COBIT5目標分層

步驟2:利益相關(guān)者需要逐層分解至公司目標。利益相關(guān)者需要與一系列通用公司目標關(guān)聯(lián)。這些公司目標是運用平衡記分卡(BSC)維度開發(fā)的,并代表某一公司可能自行定義的常用目標列表。盡管這一列表不甚詳盡,但大多數(shù)公司特定的目標可以輕而易舉地映射到一個或多個公司目標之上。COBIT5定義了如表11-1-1所示的17項通用目標,包括平衡記分卡維度、公司目標、與三種主要治理目標(實現(xiàn)收益、風(fēng)險優(yōu)化和資源優(yōu)化)的關(guān)系(P代表主要關(guān)系,S代表次要關(guān)系)。

步驟3:公司目標逐層分解至IT相關(guān)的目標。公司目標的實現(xiàn)要求若干個IT相關(guān)的成果,而這些成果是通過IT相關(guān)的目標來體現(xiàn)。在COBIT5中信息及相關(guān)技術(shù)的IT相關(guān)目標是根據(jù)IT平衡記分卡(ITBSC)的維度來架構(gòu)的,定義了17項IT相關(guān)的目標,如表11-1-2所示。

步驟4:IT相關(guān)目標逐層分解至動力目標。實現(xiàn)IT相關(guān)的目標要求成功的應(yīng)用和使用若干個動力。對于每一種動力,可規(guī)定一系列具體的相關(guān)目標以支持IT相關(guān)的目標。

公司目標與治理目標的關(guān)系實現(xiàn)收益優(yōu)化風(fēng)險優(yōu)化資源1.商務(wù)投資的利益相關(guān)者價值P

S2.競爭性產(chǎn)品與服務(wù)的組合PPS3.管理的業(yè)務(wù)風(fēng)險(資產(chǎn)保障)

PS4.外部法律法規(guī)的合規(guī)性

P

5.財務(wù)透明度PSS6.以顧客為中心的服務(wù)文化P

S7.業(yè)務(wù)服務(wù)的持續(xù)性和可用性

P

8.對變化的企業(yè)環(huán)境敏捷的反映P

S表11-1-1企業(yè)目標表11-1-1企業(yè)目標

公司目標與治理目標的關(guān)系實現(xiàn)收益優(yōu)化風(fēng)險優(yōu)化資源9.信息為本的戰(zhàn)略決策PPP10.服務(wù)交付成本優(yōu)化P

P11.業(yè)務(wù)流程功能性優(yōu)化P

P12.業(yè)務(wù)流程成本優(yōu)化P

P13.管理的業(yè)務(wù)變更方案PPS14.運營及員工生產(chǎn)率P

P15.內(nèi)部政策合規(guī)性

P

16.熟練的有進取心的人員SPP17.產(chǎn)品和業(yè)務(wù)創(chuàng)新的文化P

（續(xù)表）

ITBSC維度信息及相關(guān)技術(shù)目標財務(wù)01IT與業(yè)務(wù)戰(zhàn)略的一致性02IT合規(guī)和對業(yè)務(wù)的外部法律法規(guī)合規(guī)的支持03行政管理層對進行IT相關(guān)決策的承諾04管理的IT相關(guān)業(yè)務(wù)風(fēng)險05從IT驅(qū)動的投資和服務(wù)組合中實現(xiàn)的收益06IT成本、收益和風(fēng)險的透明度客戶07符合業(yè)務(wù)要求的IT服務(wù)交付08應(yīng)用程序、信息和技術(shù)解決方案的充分利用內(nèi)部09IT敏捷性10信息、處理基礎(chǔ)設(shè)施和應(yīng)用程序的安全11IT資產(chǎn)、資源和能力的優(yōu)化12通過將應(yīng)用程序和技術(shù)整合進業(yè)務(wù)流程之中來推動和支持業(yè)務(wù)流程13準時、按預(yù)算提交收益和滿足要求及質(zhì)量標準的項目集交付14用于決策之可靠和有用的信息的可用性15IT對內(nèi)部政策的合規(guī)性學(xué)習(xí)和成長16勝任的有進取心的業(yè)務(wù)和IT人員17業(yè)務(wù)創(chuàng)新的知識、專門技術(shù)和首創(chuàng)精神表11-1-2IT相關(guān)的目標

通過上述幾個步驟的分解就能把公司IT相關(guān)的目標和公司目標有機地融合在一起,規(guī)定各責(zé)任主體的有形的、可操作的目標。即使公司在IT治理和管理中有所遵循,也使得在公司信息系統(tǒng)審計中有所依據(jù),有了基本的檢查和評價標準,具備了可操作性。在強調(diào)這種分層的重要性時,也要明確認識到,每個公司的情況不同,這種分層和映射只能作為一種指引,不能以純粹機械的方式照搬,而是要充分考慮每個公司的具體情況,考慮具體的環(huán)境或行業(yè),考慮具體的治理和管理目標,實施分層的映射,確定具體的權(quán)重或重要性。

因為在信息化社會企業(yè)高度依賴于IT的關(guān)系,任何公司中利益相關(guān)者需要的履行都會提出關(guān)于公司IT治理和管理的問題。表11-1-3列出了常見的治理管理問題。

內(nèi)部利益相關(guān)者內(nèi)部利益相關(guān)者問題董事會我如何能從使用IT中獲得價值?終端用戶對IT服務(wù)的質(zhì)量滿意嗎?首席執(zhí)行官(CEO)我如何管理IT的績效?首席財務(wù)官(CFO)我如何才能以最佳方式為新的戰(zhàn)略機遇開拓新技術(shù)?首席信息官(CIO)我如何才能以最佳方式構(gòu)建和架構(gòu)我的IT部門?首席風(fēng)險官(CRO)我如何依靠外部提供商?IT外包協(xié)議如何才能管理好?業(yè)務(wù)執(zhí)行經(jīng)理我如何獲取外部提供商的保證?業(yè)務(wù)流程所有者什么是對信息的控制要求?業(yè)務(wù)經(jīng)理我是否了解了所有IT相關(guān)的風(fēng)險?風(fēng)險經(jīng)理我是否正在運行一種高效的和靈活的IT運營?安全經(jīng)理我該如何控制IT成本?我怎樣才能以最有效的、高效的方式利用IT資源?服務(wù)經(jīng)理什么是最有效的、高效的采購選項?人力資源(HR)經(jīng)理我是否有足夠的IT人員?我該如何發(fā)展和維護他們的技能,如何管理他們的績效?內(nèi)部審計師我如何獲得IT鑒證?隱私官員我正在處理的信息是否足夠安全可靠?IT用戶我該如何通過更為靈活的IT環(huán)境來改善業(yè)務(wù)敏捷性?其他IT項目是否未能交付承諾事項?——如果未能,原因何在?IT是否妨礙著業(yè)務(wù)戰(zhàn)略的執(zhí)行?

IT對于企業(yè)永續(xù)發(fā)展的關(guān)鍵程度如何?如果IT不能發(fā)揮作用我該怎么辦?

哪些關(guān)鍵業(yè)務(wù)流程依賴于IT,這些業(yè)務(wù)流程的要求是什么?

IT運營預(yù)算的平均超限是多少?IT項目超過預(yù)算的頻率和程度如何?表11-1-3關(guān)于IT的治理和管理問題

（續(xù)表）外部利益相關(guān)者外部利益相關(guān)者問題業(yè)務(wù)合作伙伴我如何才能知道業(yè)務(wù)合作伙伴的經(jīng)營是安全可靠的?供應(yīng)商我如何才能知道企業(yè)遵循了適用的規(guī)章和條令?股東我如何才能知道企業(yè)維護著一種有效的外部控制體系?監(jiān)管者/政府業(yè)務(wù)合作伙伴之間是否有可控的信息鏈?外部用戶

客戶

標準化組織

外部審計師

顧問

其他

IT成果有多大部分是用于應(yīng)急而不是推動業(yè)務(wù)改善?

IT資源是否充足,且基礎(chǔ)設(shè)施是否可用以滿足必需的企業(yè)戰(zhàn)略目標?

重大IT決策需要多長時間?

整個IT投入和投資是否透明?

IT是否支持企業(yè)符合監(jiān)管要求和服務(wù)等級?我怎樣才能知道是否遵循了所有適用法規(guī)?

2.端到端覆蓋企業(yè)3.運用單一整合式框架4.采用一個整體全面的方法

推進公司的信息系統(tǒng)治理和管理必須要有動力,也就是推動力和促進因素。COBIT5框架描述了動力的七種范疇,如圖11-1-4所示。圖11-1-4COBIT5公司動力5.區(qū)分治理和管理

表11-1-4治理和管理的互動

動力治理—管理的互動流程在COBIT5流程模型(《COBIT5:啟用流程》)中,治理和管理之間存在著區(qū)別,包括各自的一系列具體的實踐和活動。流程模型還包括RACI圖,以說明不同組織結(jié)構(gòu)的責(zé)任和企業(yè)內(nèi)的角色信息流程模型描述從不同流程實踐到其他流程的輸入和輸出,包括治理和管理流程之間交換的信息。用于評價、指導(dǎo)和監(jiān)控企業(yè)IT的信息,以流程模型輸入和輸出的方式描述在治理和管理之間進行的交換組織結(jié)構(gòu)每一個企業(yè)都會定義若干個組織結(jié)構(gòu);這些結(jié)構(gòu)可參加到治理空間和管理空間之中,取決于其決策的組分和范圍。因為治理是關(guān)乎設(shè)定方向,互動是在治理結(jié)構(gòu)所作出的決策(如關(guān)于投資組合的決策和設(shè)定風(fēng)險偏好)和實施前者所需的決策和運營之間進行原則、政策和框架原則、政策和框架是企業(yè)內(nèi)治理決策制度化的載體,因此,也是治理決策(設(shè)定方向)和管理(執(zhí)行決策)之間的一種互動文化、道德和行為行為也是企業(yè)良好治理和管理的關(guān)鍵動力之一,并由高層設(shè)定——以榜樣為先導(dǎo)——因此也是一項治理和管理之間的重要互動人員、技能和能力治理和管理要求不同的技能組合,但對于治理機構(gòu)成員和管理層而言,一項根本的技能就是理解各種任務(wù)以及任務(wù)之間的差異服務(wù)、基礎(chǔ)設(shè)施和應(yīng)用程序服務(wù)需要并由應(yīng)用程序和基礎(chǔ)設(shè)施支持,以為治理機構(gòu)提供充分的信息和支持評價、設(shè)定方向和監(jiān)控治理活動

COBIT5整合IT風(fēng)險管理(RiskIT)和IT價值管理(ValIT)流程,構(gòu)建了一套完整的流程參考模型。該流程參考模型將公司IT治理和管理劃分為兩大主要流程領(lǐng)域:

治理——包括5個治理流程;在每一個流程中對評價、指導(dǎo)和監(jiān)控(EDM)實踐予以定義(在治理領(lǐng)域的環(huán)境中,“監(jiān)控”的意思指治理機構(gòu)檢查為管理層設(shè)定的方向的實際應(yīng)用程度之活動)。

管理——包括四大領(lǐng)域32個流程:

全套的治理流程和管理流程一共有37個,覆蓋了公司實施治理和管理的關(guān)鍵領(lǐng)域,真正實現(xiàn)了端到端覆蓋公司。如圖11-1-5所示。定位、計劃和組織(APO)01交付、服務(wù)和支持(DSS)02構(gòu)建、購置和實施(BAI)監(jiān)控、評價和評估(MEA)0304圖11-1-5

COBIT5流程參考模型(二)RACI模型RACI是一個用以明確公司治理和管理過程中的各個角色及其相關(guān)責(zé)任的直觀的模型。

R(執(zhí)行方Responsible)——誰在完成任務(wù)?這指在履行列示的活動中承擔主要運行職責(zé),并創(chuàng)造出欲達到的結(jié)果的角色。

A(責(zé)任方Accountable)——誰對任務(wù)的成功負責(zé)?這分配了完成任務(wù)的整體責(zé)任(責(zé)任范圍的劃定)。要注意的是,這里提到的角色是問責(zé)制中最低的適合等級;當然,還有較高等級的責(zé)任方。為便于公司授權(quán),責(zé)任可盡可能細分。

C(商議方Consulted)——誰提供輸入(信息)?這指提供輸入信息的關(guān)鍵角色。應(yīng)注意的是,還要由責(zé)任或執(zhí)行角色從其他單元或外部合作伙伴處獲得信息;然而,從列示的角色處獲得的輸入應(yīng)予以考慮,并且如有必要,可采取適當?shù)男袆又鸩缴?這包括流程所有者和/或指導(dǎo)委員會的信息。

I(告知對象Informed)——誰接收信息?即被告知任務(wù)的成果和/或接收可交付項的角色。作為“責(zé)任方”的角色應(yīng)當總是接收適當?shù)男畔⒁员O(jiān)督任務(wù)的進程,就像“執(zhí)行方”角色在其負責(zé)的領(lǐng)域中接收適當?shù)男畔⒁粯?。關(guān)鍵管理實踐董事會首席執(zhí)行官首席財務(wù)官首席運營官業(yè)務(wù)執(zhí)行經(jīng)理業(yè)務(wù)流程所有者戰(zhàn)略執(zhí)行委員會項目或項目集督導(dǎo)委員會項目管理辦公室價值管理辦公室首席風(fēng)險官首席信息安全官架構(gòu)委員會企業(yè)風(fēng)險委員會人力資源負責(zé)人合規(guī)部審計部首席信息官架構(gòu)負責(zé)人開發(fā)負責(zé)人IT運營負責(zé)人IT行政管理負責(zé)人服務(wù)經(jīng)理信息安全經(jīng)理業(yè)務(wù)持續(xù)性經(jīng)理隱私官APO02.01理解企業(yè)導(dǎo)向

CCCACC

CC

C

RCRR

RRR

APO02.02評估當前的環(huán)境能力和績效

CCCRCC

C

CCARRRCCCC

APO02.03定義目標IT能力

ACCCIR

I

C

C

CCRCCCCCCC

APO02.04進行差距分析

RRC

C

CRRARRRRRRC

APO02.05定義戰(zhàn)略計劃和路線圖

CICC

C

R

CC

CCACCCCCCC

APO02.06溝通IT戰(zhàn)略導(dǎo)向IRIIRIAIIIIIIIIIIRIIIIIIII

表11-1-5APO02流程RACI示例02信息系統(tǒng)審計策略

第2節(jié)信息系統(tǒng)審策略

隨著信息技術(shù)的飛速發(fā)展,尤其是伴隨著大數(shù)據(jù)時代的到來，公司的信息系統(tǒng)越來越復(fù)雜化。內(nèi)部審計對公司如此復(fù)雜的信息系統(tǒng)開展審計,在審計過程中會遇到一系列的問題和挑戰(zhàn)。按照內(nèi)部審計的實務(wù)流程來歸納,這些問題和挑戰(zhàn)可以分為審計什么、由什么人來實施審計、運用什么樣的技術(shù)方法、按照什么標準來評價審計線索、審計的質(zhì)量如何控制、如何宣傳審計成果的價值、如何運用審計成果促進信息系統(tǒng)的改進等幾個大的方面(詳見表11-2-1)。審計階段問題對策責(zé)任方準備審計什么?哪些人來實施審計?審計質(zhì)量全過程控制定義審計邊界組建項目團隊董事會、管理層、項目團隊董事會、管理層實施用什么樣的技術(shù)方法?用什么標準評價審計線索?因地制宜法律法規(guī)、相關(guān)準則、企業(yè)規(guī)章制度項目團隊項目團隊報告如何宣傳審計成果的價值?寫好審計報告匯報溝通信息項目團隊整改如何按照審計認定的問題整頓和改進?落實責(zé)任、限定時間董事會、管理層、相關(guān)業(yè)務(wù)和IT部門

表11-2-1審計實務(wù)中常見問題1.對信息系統(tǒng)生命周期進行同步審計,對每一個流程都開展詳細審計。這種情況作為公司內(nèi)部審計都會遇到,也是公司內(nèi)部審計的一項職責(zé)。盡管如此,對每一個治理和管理流程開展審計時,也要明確的規(guī)范好每個流程的邊界。2.對已經(jīng)開發(fā)好、并投入運行的系統(tǒng)開展審計。這類審計的目的是評估信息系統(tǒng)的功能是否達到了公司需要,是否需要更新。這類系統(tǒng)是公司整個信息系統(tǒng)的一個部分,是其中的一個或者幾個子系統(tǒng)。開展這種情況的審計時要明確審計的是什么?是哪一個或者哪幾個子系統(tǒng),把需要審計的對象摘取出來,與審計目的無關(guān)的不要涉及。3.與公司業(yè)務(wù)審計結(jié)合在一起開展審計。如檢查公司對供應(yīng)商管理的審計中,要檢查到信息系統(tǒng)中供應(yīng)商子系統(tǒng);檢查公司人力資源管理時,涉及人力資源管理子系統(tǒng)。在開展這類審計時,要明確業(yè)務(wù)涉及的信息系統(tǒng)是什么系統(tǒng),范圍是什么,系統(tǒng)的邊界如何劃分,審計應(yīng)該審計的內(nèi)容。一、明確內(nèi)部審計的邊界二、組建審計項目團隊1.要選好各類人才2.要有的放矢,有針對性地強化對項目團隊成員的培訓(xùn)3.要組織融合好項目團隊三、選擇最佳的審計方法四、建立健全信息系統(tǒng)審計法規(guī)庫1.建立健全信息系統(tǒng)審計評價的法律法規(guī)庫2.認真組織學(xué)習(xí)和培訓(xùn),提升內(nèi)部審計人員的專業(yè)勝任能力3.全面掌握和了解公司信息系統(tǒng)的相關(guān)情況五、寫好信息系統(tǒng)審計報告六、對信息系統(tǒng)審計全過程質(zhì)量控制03信息系統(tǒng)審計流程

第3節(jié)信息系統(tǒng)審計流程

一、信息系統(tǒng)調(diào)查（一）了解治理、管理體制1.工作程序2.相關(guān)部門3.系統(tǒng)管理（二）了解總體架構(gòu)（三）了解規(guī)劃管理規(guī)劃、建設(shè)、使用、維護系統(tǒng)分布類型數(shù)量系統(tǒng)關(guān)系總體水平

（一）控制測試的內(nèi)容

信息系統(tǒng)的控制測試是對調(diào)查了解內(nèi)容的系統(tǒng)總結(jié)和提煉,概括地說,測試的內(nèi)容主要包括環(huán)境測試和功能測試兩部分。（二）控制測試的方法

填寫控制測試表是進行信息系統(tǒng)控制測試的基本方法。信息系統(tǒng)控制測試表,是內(nèi)部審計人員在總結(jié)大量信息系統(tǒng)基本情況的基礎(chǔ)上形成的,具有較強的通用性,可滿足對信息系統(tǒng)的初步測試。信息系統(tǒng)控制測試表包含的內(nèi)容較多，其格式如表11-3-1所示。

控制測試的調(diào)查表是進行信息系統(tǒng)初步評價的主要基礎(chǔ),填寫中應(yīng)做到制度要讀,功能要試,設(shè)備要查。所謂制度要讀,是指在涉及制度建設(shè)的測試中,應(yīng)認真閱讀分析制度;功能要試,是指在關(guān)于功能的測試中,要盡可能地通過各種方法測試系統(tǒng)的功能,不可只聽介紹;設(shè)備要查,是指涉及物理環(huán)境建設(shè)的測試,要現(xiàn)場查看。二、信息系統(tǒng)控制測試

表11-3-1組織管理的控制測試調(diào)查表序號控制措施控制目標備注職責(zé)分離人員管理控制1是否制定了職責(zé)分離的規(guī)章制度√√

2業(yè)務(wù)人員的工作職責(zé)明確清晰√√

3信息技術(shù)部門只負責(zé)信息系統(tǒng)的開發(fā)和維護工作,日常的業(yè)務(wù)操作只能由相關(guān)業(yè)務(wù)部門的工作人員來進行√

4信息技術(shù)人員未經(jīng)批準不能接觸備份的數(shù)據(jù),不能在無監(jiān)督的情況下進行數(shù)據(jù)備份和恢復(fù)的工作√

5系統(tǒng)的輸入人員與復(fù)核人員不能相互兼任√

6業(yè)務(wù)操作人員不能保管除操作手冊以外的系統(tǒng)技術(shù)文檔√

7業(yè)務(wù)操作人員不能管理系統(tǒng)產(chǎn)生的重要的業(yè)務(wù)檔案√

8聘用人員與工作崗位是否相符

√

9對因工作需要接觸秘密數(shù)據(jù)的工作人員簽訂保密協(xié)議書

√

10對關(guān)鍵性業(yè)務(wù)配備了后備人員

√

11定期對工作人員的工作進行考核

√

12定期對信息系統(tǒng)人員進行培訓(xùn)

√

13關(guān)鍵技術(shù)有多人掌握

√

14人員離崗后,信息系統(tǒng)中的賬號和口令及時刪除

√

15人員離崗后,及時歸還所有的報告、文檔和書籍

√

1.信息系統(tǒng)安全性

信息系統(tǒng)安全性關(guān)注系統(tǒng)運行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性,包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲的安全性。對系統(tǒng)安全性的評價主要依據(jù)系統(tǒng)調(diào)查和控制測試掌握的情況來完成,信息系統(tǒng)分析測試中將不再涉及此項工作內(nèi)容,因此信息系統(tǒng)初步評價中對信息系統(tǒng)安全性的評價將直接在信息系統(tǒng)的綜合評價中反映。

2.信息系統(tǒng)包含數(shù)據(jù)的真實、完整性

數(shù)據(jù)真實、完整性的評價是指通過對信息系統(tǒng)功能及相關(guān)制度的關(guān)注,評價信息系統(tǒng)中包含電子數(shù)據(jù)的真實性、完整性。電子數(shù)據(jù)是信息系統(tǒng)審計的切入點,對電子數(shù)據(jù)真實、完整性的評價是計算機數(shù)據(jù)審計中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗證方法選擇、數(shù)據(jù)分析重點確定的重要依據(jù)。

3.信息系統(tǒng)中的薄弱點

發(fā)現(xiàn)信息系統(tǒng)的薄弱點是指發(fā)現(xiàn)系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運行管理控制等方面存在的薄弱環(huán)節(jié)。發(fā)現(xiàn)被審計單位信息系統(tǒng)中的薄弱點是為公司改進治理和管理,防范風(fēng)險提出合理化建議的需要,也是為信息系統(tǒng)審計確定重點的需要。三、信息系統(tǒng)初步評價1.信息系統(tǒng)功能分析。信息系統(tǒng)功能分析是指將業(yè)務(wù)特點和需求與信息系統(tǒng)具有的功能進行對比,分析功能存在的不足。2.信息系統(tǒng)數(shù)據(jù)處理邏輯分析。信息系統(tǒng)數(shù)據(jù)處理邏輯分析是對信息系統(tǒng)處理數(shù)據(jù)來源是否正當,數(shù)據(jù)處理方法是否科學(xué)合法的分析,包含以下內(nèi)容和步驟:①信息系統(tǒng)的數(shù)據(jù)來源;②信息系統(tǒng)的數(shù)據(jù)處理過程,包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程;③信息系統(tǒng)的數(shù)據(jù)流向,包括與相關(guān)信息系統(tǒng)之間的關(guān)系和信息系統(tǒng)的數(shù)據(jù)通信情況。3.信息系統(tǒng)數(shù)據(jù)對比分析。主要應(yīng)包含以下內(nèi)容（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況;（2）結(jié)合數(shù)據(jù)審計,篩選問題線索;（3）對比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問題線索,查找信息系統(tǒng)自身存在的問題。四、信息系統(tǒng)分析測試4.數(shù)據(jù)追蹤分析

數(shù)據(jù)追蹤分析方法是通過選取典型數(shù)據(jù),追蹤處理結(jié)果,進而判斷系統(tǒng)處理的功能是否正確有效的一種審計方法。

數(shù)據(jù)追蹤分析一般應(yīng)包含以下內(nèi)容和步驟:（1）向有關(guān)人員詢問或查閱系統(tǒng)的文檔資料,了解被審計信息系統(tǒng)應(yīng)有的處理和控制功能;（2）針對系統(tǒng)應(yīng)有的功能和數(shù)據(jù)處理特點,選取部分典型數(shù)據(jù);（3）跟蹤數(shù)據(jù)處理過程和處理結(jié)果;（4）分析數(shù)據(jù)處理結(jié)果的差異原因。四、信息系統(tǒng)分析測試

04信息系統(tǒng)生命周期審計

第4節(jié)信息系統(tǒng)生命周期審計

信息系統(tǒng)的生命周期由系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施以及系統(tǒng)維護四個時期組成,每一個時期又進一步劃分成若干個階段。（一）系統(tǒng)分析

系統(tǒng)分析時期通常進一步劃分成三個階段:問題的定義、可行性研究和需求分析。（二）系統(tǒng)設(shè)計1.系統(tǒng)總體設(shè)計2.系統(tǒng)詳細設(shè)計（三）系統(tǒng)實施（四）系統(tǒng)維護一、信息系統(tǒng)生命周期概述1.審查系統(tǒng)的可行性2.審查系統(tǒng)的合法性和合規(guī)性3.審查系統(tǒng)內(nèi)部控制的適當性4.審查系統(tǒng)的可審計性5.審查系統(tǒng)的測試是否全面6.審查系統(tǒng)文檔資料的完整性二、信息系統(tǒng)生命周期的審計目標(一)信息系統(tǒng)規(guī)劃1.問題的定義2.可行性分析(二)系統(tǒng)規(guī)劃審計三、信息系統(tǒng)規(guī)劃及其審計經(jīng)濟可行性技術(shù)可行性法律可行性(一)信息系統(tǒng)分析1.獲取用戶需求2.問題分析3.需求描述4.需求復(fù)審(二)信息系統(tǒng)分析審計

在信息系統(tǒng)分析階段,內(nèi)部審計人員要重點對以下方面的內(nèi)容進行審計。1.系統(tǒng)需求規(guī)格說明書是否滿足正確性、無歧義性、完整性、可驗證性、一致性、可理解性、可修改性、可追蹤性的要求。2.數(shù)據(jù)需求規(guī)格說明中是否清楚準確地描述了信息系統(tǒng)在功能、性能、可靠性、安全性、系統(tǒng)運行、開發(fā)費用和開發(fā)時間方面的要求。3.需求分析階段提交的文檔是否得到開發(fā)方和用戶的認可。4.是否根據(jù)需求分析的結(jié)果對以前制定的系統(tǒng)開發(fā)計劃進行了修改。四、信息系統(tǒng)分析及其審計5.用戶是否參加了需求分析的工作。6.為確保系統(tǒng)的可靠性、安全性和效率性,是否對各種機器和技術(shù)進行了比較選擇。7.是否制定或探討了既能達到系統(tǒng)目標又現(xiàn)實可行的代替方案。8.是否對因信息系統(tǒng)停止運行或運行出錯而造成的影響和損失進行了分析。9.是否對因使用信息系統(tǒng)發(fā)生的數(shù)據(jù)錯誤、數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)篡改、數(shù)據(jù)的非法使用以及隱私侵犯而造成的影響和損失進行了分析。10.是否對信息系統(tǒng)有關(guān)的法律、制度等進行了全面調(diào)查。11.是否對由于系統(tǒng)建立后可能受到影響的業(yè)務(wù)、管理體制、各項制度以及這些方面的修改意見進行了研究。12.文檔是否齊全,需求分析階段需要提交系統(tǒng)規(guī)格說明、數(shù)據(jù)需求、初步的用戶手冊、用戶系統(tǒng)描述和修改過的系統(tǒng)開發(fā)計劃。13.執(zhí)行系統(tǒng)開發(fā)計劃時所必要的資金、人員、設(shè)備、時間等是否得到保證。14.執(zhí)行系統(tǒng)開發(fā)計劃時任務(wù)分配及責(zé)任體制是否妥當。(一)信息系統(tǒng)設(shè)計1.選取最佳的方案2.功能分解3.軟件結(jié)構(gòu)設(shè)計4.數(shù)據(jù)庫設(shè)計5.制定初步的測試計劃6.書寫文檔7.概要設(shè)計審查和復(fù)審五、信息系統(tǒng)設(shè)計及其審計(二)信息系統(tǒng)設(shè)計審計

在信息系統(tǒng)設(shè)計階段,內(nèi)部審計人員要重點對以下方面的內(nèi)容進行審計。1.從開發(fā)規(guī)模、時間、系統(tǒng)特性等觀點看,系統(tǒng)開發(fā)順序是否適當。2.系統(tǒng)的設(shè)計說明書和用戶手冊是否得到主管人員和用戶的承認。3.系統(tǒng)的概要設(shè)計說明書是否詳細提供了系統(tǒng)的組成結(jié)構(gòu),系統(tǒng)各模塊之間的關(guān)系,軟件的結(jié)構(gòu),軟件各模塊之間的關(guān)系。4.系統(tǒng)的詳細設(shè)計說明書是否詳細提供了各個模塊的功能,模塊的調(diào)用關(guān)系,各個模塊的輸入項和的輸出項,各個模塊的處理流程和數(shù)據(jù)結(jié)構(gòu),各個模塊接口的詳細說明(如輸入/輸出數(shù)據(jù)的類型、個數(shù)和格式等),數(shù)據(jù)庫中各個數(shù)據(jù)表的關(guān)系模式以及用戶界面的組成結(jié)構(gòu)和規(guī)范。5.系統(tǒng)的設(shè)計說明書(指概要設(shè)計說明書和詳細設(shè)計說明書)中是否考慮了信息系統(tǒng)的故障或錯誤對策。6.系統(tǒng)的設(shè)計說明書中是否包括確保信息系統(tǒng)安全而設(shè)置的各種控制措施。7.系統(tǒng)的設(shè)計說明書中是否考慮了數(shù)據(jù)庫的安全性、完整性、一致性和規(guī)范化要求。8.系統(tǒng)的設(shè)計說明書中是否考慮了系統(tǒng)的軟件、硬件和網(wǎng)絡(luò)在系統(tǒng)運行負載處于高峰時期的運行要求。9.系統(tǒng)的使用界面和數(shù)據(jù)的輸出格式是否清晰明了,便于用戶使用。10.系統(tǒng)設(shè)計是否考慮讓系統(tǒng)能夠提供足夠的審計線索。11.系統(tǒng)設(shè)計是否考慮在系統(tǒng)內(nèi)部實施職責(zé)分離等內(nèi)部控制措施。12.系統(tǒng)的單元測試計劃中是否提供測試的目的,測試方案和測試進度安排。(一)信息系統(tǒng)編碼1.對源程序質(zhì)量的要求2.源程序的編碼(1)對程序控制結(jié)構(gòu)的要求(2)對程序設(shè)計的要求(3)程序設(shè)計的風(fēng)格六、信息系統(tǒng)編碼及其審計正確性可讀性效率(二)信息系統(tǒng)編碼審計

在信息系統(tǒng)編碼階段,內(nèi)部審計人員要注意對以下方面的內(nèi)容進行審計。1.編寫程序是否按照系統(tǒng)詳細設(shè)計說明書的要求進行。2.編寫程序的任務(wù)分工是否適當,管理人員是否確實掌握工作進度。3.編寫程序的任務(wù)是否按系統(tǒng)開發(fā)計劃完成。4.源程序是否具有較好的可讀性。5.源程序是否滿足上述良好的程序應(yīng)具備的風(fēng)格。6.源程序的設(shè)計工作是否按照自頂向下與逐步求精的結(jié)構(gòu)化程序設(shè)計原則7.源程序代碼的管理是否規(guī)范。8.源程序的編寫格式、變量的命名和數(shù)據(jù)的說明格式是否遵循統(tǒng)一的規(guī)范。(一)信息系統(tǒng)測試信息系統(tǒng)測試的錯誤類型(1)功能錯誤(2)系統(tǒng)錯誤(3)過程錯誤(4)數(shù)據(jù)錯誤(5)編碼錯誤2.信息系統(tǒng)測試過程的要素(1)測試的對象(2)測試的配置七、信息系統(tǒng)測試及其審計3.信息系統(tǒng)的測試步驟

信息系統(tǒng)的測試步驟分成單元測試、集成測試和系統(tǒng)測試三個部分,它們之間的順序如圖9-4-4所示。圖9-4-1信息系統(tǒng)的測試單元測試(2)集成測試(3)系統(tǒng)測試(二)信息系統(tǒng)測試審計

在信息系統(tǒng)測試階段,內(nèi)部審計人員要注意對以下方面的內(nèi)容進行審計。1.是否根據(jù)系統(tǒng)的需求規(guī)格說明書的內(nèi)容來制定集成測試計劃和系統(tǒng)測試計劃。2.集成測試計劃和系統(tǒng)測試計劃是否制定了測試進度安排。3.是否制定集成測試和系統(tǒng)測試的測試方案并設(shè)計出測試數(shù)據(jù)和預(yù)期結(jié)果。4.測試的內(nèi)容是否覆蓋了系統(tǒng)需求規(guī)格說明書中所有的功能、性能、安全和可靠方面的要求。5.是否按測試計劃進行測試。6.是否由編程人員以外的人執(zhí)行測試。7.用戶是否參加了測試。

8.是否對程序的測試結(jié)果進行完整的記錄。9.測試結(jié)果記錄和測試數(shù)據(jù)等是否得到妥善保管。10.測試工作完成以后是否提交測試報告,測試結(jié)果是否得到了開發(fā)部門和用戶負責(zé)人的承認。11.驗收測試環(huán)境是否與信息系統(tǒng)運行的實際生產(chǎn)環(huán)境相同。12.信息系統(tǒng)經(jīng)過集成測試和系統(tǒng)測試是否滿足系統(tǒng)需求規(guī)格說明書中所有功能、性能、安全和可靠方面的要求。(一)信息系統(tǒng)運行1.制定試運行計劃。試運行計劃的內(nèi)容包括試運行的時間安排,試運行的方案,試運行的內(nèi)容等。2.系統(tǒng)的初始化。系統(tǒng)的初始化包括系統(tǒng)的安裝,對系統(tǒng)進行設(shè)置,輸入各種業(yè)務(wù)數(shù)據(jù)。3.對系統(tǒng)的運行結(jié)果進行評估。在系統(tǒng)投入試運行后,需要及時跟蹤系統(tǒng)的運行情況,包括系統(tǒng)的輸入、處理和輸出情況,把系統(tǒng)的處理結(jié)果與正常的處理結(jié)果進行對比,如果新系統(tǒng)的試運行是與舊系統(tǒng)的運行并行進行的,則還需要核對新舊系統(tǒng)的處理結(jié)果。在上述過程中如果發(fā)現(xiàn)差異要追查原因,發(fā)現(xiàn)錯誤后要協(xié)助系統(tǒng)開發(fā)人員及時糾正,需要注意的是修改后的系統(tǒng)一定要重新測試。4.培訓(xùn)人員。讓操作人員熟悉系統(tǒng)的使用,減少系統(tǒng)投入生產(chǎn)性運行后誤操作的發(fā)生。八、信息系統(tǒng)運行及其審計(二)信息系統(tǒng)運行審計

在信息系統(tǒng)運行階段,內(nèi)部審計人員的審計要點可劃分成系統(tǒng)試運行階段的審計要點和系統(tǒng)生產(chǎn)性運行階段的審計要點兩個部分。在系統(tǒng)投入生產(chǎn)性運行后,內(nèi)部審計人員的審計的內(nèi)容實際上就是我們前面介紹的系統(tǒng)的一般控制和應(yīng)用控制,在此不再贅述。在系統(tǒng)試運行階段,內(nèi)部審計人員要注意對以下方面的內(nèi)容進行審計。1.信息系統(tǒng)試運行的環(huán)境是否與實際使用時的環(huán)境一樣。2.信息系統(tǒng)試運行時是否達到系統(tǒng)需求規(guī)格說明書中所有的功能、性能、安全和可靠的要求。3.對試運行階段發(fā)現(xiàn)的問題,系統(tǒng)開發(fā)人員是否及時進行修改,對經(jīng)過修改的系統(tǒng),是否與用戶一起進行重新測試。

信息系統(tǒng)維護是信息系統(tǒng)生命周期最后一個階段,也是持續(xù)時間最長代價最大的一個階段。(一)信息系統(tǒng)維護1.改正性維護2.適應(yīng)性維護3.完善性維護4.預(yù)防性維護七、信息系統(tǒng)維護及其審計

系統(tǒng)的維護過程可成六個步驟:(1)接收用戶提出的維護請求(2)對用戶維護請求的內(nèi)容進行分析,對維護內(nèi)容進行分類(3)分配維護人員修改現(xiàn)行系統(tǒng)(4)對修改部分及整個系統(tǒng)先后測試,然后對整個系統(tǒng)再次試運行(5)對維護工作進行評估(6)修改后的系統(tǒng)投入正常的使用(二)信息系統(tǒng)維護審計

在信息系統(tǒng)維護階段,內(nèi)部審計人員要注意對以下方面的內(nèi)容進行審計。1.信息系統(tǒng)是否配備了維護人員。2.維護工作是否有詳細的維護計劃,包括維護的要求、維護的性質(zhì)和范圍、所需要的資源、維護的進度安排等。3.對信息系統(tǒng)功能的修改、增加、刪除是否在得到負責(zé)人的批準后按規(guī)定手續(xù)進行。4.系統(tǒng)設(shè)計報告、軟件設(shè)計說明書等,是否按維護計劃進行了修改,是否得到了維護和用戶負責(zé)人的認可。5.是否按修改后的軟件設(shè)計說明書對信息系統(tǒng)的軟件進行修改。6.對修改后的系統(tǒng)在投入使用之前是否進行詳細的測試和試運行。7.用戶是否參加了系統(tǒng)維護后的測試工作。8.對修改后的系統(tǒng)在投入使用之前是否得到開發(fā)、運行、維護及用戶負責(zé)人的認可。9.是否有詳細的維護日志記錄。10.舊信息系統(tǒng)的廢除是否得到了運行及用戶負責(zé)人的認可。05應(yīng)用軟件審計

第5節(jié)應(yīng)用軟件審計

應(yīng)用軟件審計,是指公司內(nèi)部審計機構(gòu)和內(nèi)部審計人員通過各種軟件檢查方法,檢查測評公司信息系統(tǒng)中的應(yīng)用軟件,客觀地評價應(yīng)用軟件在合法性、正確性、安全性、性能等方面是否符合要求。通過應(yīng)用軟件審計,公司內(nèi)部審計機構(gòu)和內(nèi)部審計人員了解應(yīng)用軟件的現(xiàn)狀,發(fā)現(xiàn)軟件中存在的錯誤、非法處理,漏洞或缺陷,揭示和懲處利用計算機應(yīng)用軟件進行欺詐與舞弊的行為,揭示風(fēng)險,健全制度,完善內(nèi)部控制系統(tǒng)。

對應(yīng)用軟件審計的方法主要有四種:1.查看應(yīng)用軟件的文檔資料,檢查應(yīng)用軟件是否合法、正確、安全和可靠2.程序代碼檢查,它是指內(nèi)部審計人員獲得被審計程序的源程序清單后仔細閱讀程序,然后對程序代碼的合法性、正確性和質(zhì)量進行評估3.軟件測試,它是指內(nèi)部審計人員設(shè)計出測試數(shù)據(jù)樣本,交給被審計程序進行處理,然后對輸出的結(jié)果進行檢查以判斷程序的合法性、正確性4.代碼比較,它是指內(nèi)部審計人員對同一個程序兩個版本的源程序或目標程序進行比較(其中一個版本的功能或其他特性是內(nèi)部審計人員已知的),然后檢查出另一個版本的程序是否具有同樣的功能或特性一、應(yīng)用軟件審計概述

上述四種技術(shù)可以獨立使用,也可以綜合使用。在綜合使用的時候,可分為五個步驟。1.內(nèi)部審計人員通過審查文檔資料和源程序代碼,初步判斷被審計程序代碼是否存在缺陷(如舞弊、錯誤或低效)。2.設(shè)計測試數(shù)據(jù)來測試被審計程序,并根據(jù)測試的結(jié)果檢測上述初步判斷是否正確。3.內(nèi)部審計人員對通過軟件測試檢查出的缺陷進行改正。4.內(nèi)部審計人員重復(fù)上述三個步驟直至被審計程序的質(zhì)量符合要求,此時所得到的程序版本稱為可靠的版本,可以用作同一程序比較的樣本。5.內(nèi)部審計人員把當前的程序與相應(yīng)的可靠版本的程序進行比較,檢查當前程序的版本是否正確。

軟件的文檔資料是軟件內(nèi)部結(jié)構(gòu)和外部功能的書面反映。軟件開發(fā)維護過程中產(chǎn)生的一系列文檔如開發(fā)計劃,需求說明書,概要設(shè)計報告,詳細設(shè)計說明書,軟件的測試報告,使用說明書以及軟件日常運行過程中所產(chǎn)生的文檔如記賬憑證、財務(wù)報表等都屬于重要的文檔資料。

內(nèi)部審計人員可以通過檢查軟件的文檔來對軟件進行初步的審計。在對軟件的文檔資料進行審計的時候,內(nèi)部審計人員應(yīng)注意檢查如下要點。1.審計軟件的需求說明書,檢查軟件的功能是否違反了國家的法律法規(guī)。2.對比檢查需求說明書和功能說明書,判斷所實現(xiàn)的軟件在功能上是否已達到用戶的要求。3.仔細審計軟件的概要設(shè)計報告和詳細設(shè)計說明書,檢查程序設(shè)計中是否存在違法違規(guī)的代碼。4.審計應(yīng)用軟件日常運行過程中所產(chǎn)生的憑證、報表等文檔,來檢查應(yīng)用軟件中是否存在欺詐的行為,如利用應(yīng)用軟件進行舞弊、提供虛假會計信息等。

在利用文檔來審計軟件的時候,內(nèi)部審計人員要確保所審計的文檔是反映軟件最新變化的最新版本,否則審計結(jié)果可能不正確,達不到審計的目的。二、軟件文檔資料審計

有時審計軟件的文檔資料不能發(fā)現(xiàn)應(yīng)用軟件中存在的問題,如軟件中是否存在錯誤的代碼,是否存在違反安全規(guī)定的非法代碼等,通過審計軟件的文檔是很難回答的。此時,內(nèi)部審計人員可以采取對軟件的源程序代碼進行審計的方法。程序代碼審計是審計應(yīng)用軟件的一種重要的方法,內(nèi)部審計人員并不只是通過審計程序的輸入和輸出來評估程序的質(zhì)量,相反,他們通過仔細審計源程序代碼的內(nèi)部運行邏輯來發(fā)現(xiàn)所存在的問題并對程序的質(zhì)量作出判斷。

程序代碼審計的目標主要包括以下幾個方面：1.發(fā)現(xiàn)錯誤代碼2.識別非法的代碼3.發(fā)現(xiàn)無效的代碼4.發(fā)現(xiàn)低效的代碼5.發(fā)現(xiàn)不規(guī)范的代碼三、程序代碼審計

程序代碼審計的七個步驟：1.選擇要審計的程序2.審計公司內(nèi)部的編程規(guī)范3.理解程序規(guī)格說明書4.獲取源程序代碼5.考察所用的編程語言6.審計源程序代碼7.初步了解程序代碼中存在的錯誤和缺陷（一）測試數(shù)據(jù)

內(nèi)部審計人員可以采用的測試數(shù)據(jù)主要有以下幾類：1.實際業(yè)務(wù)數(shù)據(jù)2.用戶的測試數(shù)據(jù)3.內(nèi)部審計人員測試數(shù)據(jù)（二）應(yīng)用軟件測試的策略1.在任何情況下都應(yīng)該使用包括輸入數(shù)據(jù)和輸出數(shù)據(jù)的邊界值分析法。實踐表明,用這種方法設(shè)計出的測試數(shù)據(jù)發(fā)現(xiàn)程序錯誤的能力很強。2.采用等價類劃分法進行補充。3.依靠專家經(jīng)驗,針對輸入數(shù)據(jù)組合的情況下程序中可能存在的錯誤和容易發(fā)生錯誤的特殊情況補充測試數(shù)據(jù)。4.根據(jù)測試要求,按照語句、分支或路徑覆蓋,補充測試數(shù)據(jù)。四、應(yīng)用軟件測試（三）應(yīng)用軟件測試的工具

由于設(shè)計、生成和使用測試數(shù)據(jù)常常需要花費大量的時間,而且容易出錯,因此人們開發(fā)了大量的輔助工具來幫助內(nèi)部審計人員完成設(shè)計、生成和使用測試數(shù)據(jù)的工作?，F(xiàn)在已出現(xiàn)的輔助工具能夠完成以下功能。1.自動產(chǎn)生測試數(shù)據(jù)2.捕獲和重放3.路徑覆蓋和執(zhí)行監(jiān)測4.輸出比較5.靜態(tài)分析

程序代碼的比較是將被審計的程序代碼與正確版本的程序代碼進行比較,以審計程序代碼的正確性。

程序代碼的比較在內(nèi)部審計工作中有兩個重要的用途。1.通過程序代碼的比較,內(nèi)部審計人員可以確認他們所獲得的是正確版本的程序。2.通過程序代碼的比較,內(nèi)部審計人員可以確定所使用的審計工具的版本是否可靠。

通?？梢圆捎萌缦聝煞N方法來對目標程序代碼進行比較。1.通過功能對比來進行比較。2.通過操作系統(tǒng)提供的命令來進行比較。五、程序代碼的比較

檢查軟件文檔資料的優(yōu)點是內(nèi)部審計人員可以快速地對軟件的質(zhì)量進行審計,審計開銷較小。但這種檢查軟件文檔的方法審計能力有限,只能對軟件的質(zhì)量做出粗略的估計,往往不