信息系统功能的审计-

6 6 计算机信息系统功能的审计计算机信息系统功能的审计信息系统功能审计也称为信息系统应用程序审计信息系统功能审计也称为信息系统应用程序审计信息系统功能审计也称为信息系统应用程序审计信息系统功能审计也称为信息系统应用程序审计. .一、计算机信息系统功能审计的目标一、计算机信息系统功能审计的目标一、计算机信息系统功能审计的目标一、计算机信息系统功能审计的目标 1 1、查明信息系统处理功能的合法性、查明信息系统处理功能的合法性 2 2、查明信息系统处理功能的正确与恰当性、查明信息系统处理功能的正确与恰当性 3 3、查明信息系统控制功能的健全有效性、查明信息系统控制功能的健全有效性 4 4、检查并发现系统中易于被攻破和利用的漏洞、检查并发现系统中易于被攻破和利用的漏洞二、信息系统功能审计的方法：二、信息系统功能审计的方法：二、信息系统功能审计的方法：二、信息系统功能审计的方法：（1 1）程序编码审计法）程序编码审计法）程序编码审计法）程序编码审计法（2 2）测试数据法）测试数据法）测试数据法）测试数据法（3 3）受控处理法）受控处理法）受控处理法）受控处理法（4 4）受控再处理法）受控再处理法）受控再处理法）受控再处理法（5 5）整体测试法）整体测试法）整体测试法）整体测试法（6 6）平行模拟法）平行模拟法）平行模拟法）平行模拟法（7 7）程序比较法）程序比较法）程序比较法）程序比较法（8 8）程序跟踪法）程序跟踪法）程序跟踪法）程序跟踪法 ( (一一一一) )程序编码审查法程序编码审查法程序编码审查法程序编码审查法程程序序编编码码审审查查法法直直接接对对系系统统应应用用程程序序的的源源程程序序编编码码进进行行审审查查，从从而而判判断断系系统统的的功功能能是是否否正正确确的审查方法。的审查方法。采用程序编码审查法审计的步骤采用程序编码审查法审计的步骤: : 1 1取取得得与与被被审审程程序序有有关关的的文文档档资资料料，如如程程序序说说明明书书、程程序序流流程程图图、源源程程序序表表、与与此此程程序序有有关关的的数数据据文文件件结构和代码表等。结构和代码表等。 2 2通通过过向向有有关关人人员员询询问问及及查查阅阅文文档档资资料料了了解解被被审审程程序应有的处理和控制功能。序应有的处理和控制功能。 3 3审阅源程序表。审阅源程序表。对对较较复复杂杂的的程程序序，根根据据源源程程序序画画出出程程序序流流程程图图或或核核对对原原有有的的程程序序流流程程图图（如如果果文文档档资资料料有有流流程程图图的的话话）。通通过过对对源源程程序序和和程程序序流流程程图图的的分分析析，判判断断被被审审程程序序是是否否能能实实现现预预定定的的功功能能，逻逻辑辑流流程程有有无无错错误误，是是否否包包含含舞弊程序，最后导出审计结论。舞弊程序，最后导出审计结论。 4.4.评价审查结果评价审查结果影响程序编码审查法有效性的因素影响程序编码审查法有效性的因素: : 1.1.被被审审程程序序文文档档资资料料的的详详细细程程度度与与这这些些材材料料反反映映被被审审程程序的准确程度。序的准确程度。 2.2.被审程序的复杂程度。被审程序的复杂程度。 3.3.被审程序的编程语言和程序编写方式。被审程序的编程语言和程序编写方式。 4.4.审计人员对程序语言和编程技术的精通程度。审计人员对程序语言和编程技术的精通程度。程序编码审查法的优缺点程序编码审查法的优缺点: : 1 1. .优优点点: :审审计计人人员员审审查查的的是是程程序序的的本本身身，因因此此能能发发现现程序中存在的任何错弊问题。程序中存在的任何错弊问题。 2.2.缺缺点点：对对审审计计人人员员的的计计算算机机水水平平要要求求高高，较较费费时时费费事事，而而且且要要注注意意证证实实被被审审的的源源程程序序确确是是真真实实运运行行程程序序的源程序的源程序。 ( ( ( (二二二二) ) ) )测试数据法测试数据法测试数据法测试数据法测测试试数数据据法法将将一一组组针针对对系系统统应应有有功功能能而而设设计计的的测测试试数数据据输输入入被被审审的的系系统统进进行行处处理理，将将处处理理的的结结果果与与应应有有的的正正确确结结果果进进行行比比较较，进进而而判判断断系系统统处处理理的的处处理理与与控控制制功功能能是否正确有效的一种系统功能审查方法是否正确有效的一种系统功能审查方法。检测业务数据检测业务数据被审程序被审程序手工处理手工处理被审程序处理结果被审程序处理结果预期结果预期结果比较核对比较核对采用测试数据法进行审查的步骤采用测试数据法进行审查的步骤: : 1 1通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资资料料了了解解被审系统应有的处理和控制功能。被审系统应有的处理和控制功能。 2 2针针对对系系统统应应有有的的功功能能设设计计测测试试业业务务数数据据，并并根根据据系系统统应应有有的的功功能能准准备备这这些些业业务务处处理理应应有有的的正正确确结结果果（又称预期结果）。（又称预期结果）。 3 3在在专专门门的的测测试试时时间间里里，把把测测试试数数据据输输入入被被审审系系统统处理，得到处理结果。处理，得到处理结果。 4 4把把实实际际的的处处理理结结果果和和预预期期的的正正确确结结果果进进行行比比较较，进而判断系统的功能是否正确有效。进而判断系统的功能是否正确有效。测试数据的准备测试数据的准备: : 1.1.测试数据应包括下列两大类：测试数据应包括下列两大类：（）正正常常的的、无无误误的的业业务务数数据据。它它们们用用于于审审查查系系统统的业务与信息处理功能是否恰当。的业务与信息处理功能是否恰当。（）有有错错漏漏、不不完完整整、不不合合理理、不不正正常常的的业业务务数数据据。它们用于审查系统的控制功能是否存在和有效。它们用于审查系统的控制功能是否存在和有效。 2.2.在在准准备备测测试试业业务务数数据据时时，审审计计人人员员要要注注意意系系统统功功能能的的覆盖。覆盖。测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子审审计计人人员员准准备备用用测测试试数数据据法法测测试试一一个个工工资资核核算算子子系系统统，此此系系统统的的处理功能包括：处理功能包括： 1.1.可增、删职工；可增、删职工； 2.2.可输入与修改每个职工的工资数据；可输入与修改每个职工的工资数据； 3.3.可根据输入的数据计算各人的应付工资、个人所得税和实付工资；可根据输入的数据计算各人的应付工资、个人所得税和实付工资； 4.4.可可根根据据各各人人工工资资的的应应借借科科目目自自动动汇汇总总并并编编制制工工资资计计提提转转帐帐凭凭证证送送帐帐务处理子系统务处理子系统; ; 5.5.可输出工资条、工资汇总表、银行转帐表等。可输出工资条、工资汇总表、银行转帐表等。此系统的控制功能包括：此系统的控制功能包括： 1.1.增加职工时要检查职工代码及其银行工资帐号不能留空或重复。增加职工时要检查职工代码及其银行工资帐号不能留空或重复。 2.2.删除职工时所删除的职工代码必须存在。删除职工时所删除的职工代码必须存在。 3.3.输入与修改要检查基本工资和工龄工资不得超过最大限额。输入与修改要检查基本工资和工龄工资不得超过最大限额。测试数据必须包括：测试数据必须包括： 1.1.增加职工增加职工 : : （1 1）所有数据正确（注意个人所得税包括各个档次）所有数据正确（注意个人所得税包括各个档次）（2 2）职工代码为空职工代码为空（3 3）职工代码与已有职工重复）职工代码与已有职工重复（4 4）其基本工资超出限额）其基本工资超出限额（5 5）其工龄工资超出限额）其工龄工资超出限额 2 .2 .删除职工删除职工 : : （1 1）其职工代码存在）其职工代码存在（2 2）其职工代码不存在）其职工代码不存在 3.3.修改数据修改数据: :（1 1）修改数据没超出限额）修改数据没超出限额（2 2）修改基本工资超出限额）修改基本工资超出限额（3 3）修改工龄工资超出限额）修改工龄工资超出限额测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子测试数据准备的例子应用测试数据法要注意的问题：应用测试数据法要注意的问题： 1.1.要要注注意意证证实实被被审审查查的的应应用用程程序序是是被被审审单单位位现现时时真真正使用的程序版本。正使用的程序版本。 2.2.此此方方法法只只能能证证明明在在处处理理测测试试数数据据时时系系统统的的功功能能是是否否正正确确，但但它它不不能能保保证证其其他他期期间间系系统统的的功功能能是是否否正正确、可靠。确、可靠。测试数据法的优缺点测试数据法的优缺点 1 1. .优优点点：适适用用范范围围广广，应应用用简简单单易易行行，对对审审计计人人员员的的计算机技术水平要求不高。计算机技术水平要求不高。 2 2缺点：可能不能发现程序中所有的错弊。缺点：可能不能发现程序中所有的错弊。（三）受控处理法（三）受控处理法（三）受控处理法（三）受控处理法受受控控处处理理法法审审计计人人员员通通过过监监控控系系统统对对各各类类真真实实业业务务的的处处理理并并检检查查其其处处理理结结果果，进进而而判判断断系系统统功功能能是否正确。是否正确。采用受控处理法进行审查的步骤采用受控处理法进行审查的步骤 1 1通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资资料料了了解解被审系统应有的处理和控制功能。被审系统应有的处理和控制功能。 2 2在在系系统统正正常常的的运运行行中中，审审计计人人员员监监控控系系统统对对各各类类真真实实业业务务的的处处理理，取取得得相相应应的的处处理理结结果果；同同时时，审审计计人人员员根根据据正正确确的的处处理理原原则则对对相相应应的的业业务务处处理理，得得到正确的处理结果。到正确的处理结果。 3 3把把系系统统处处理理结结果果与与正正确确结结果果比比较较，从从而而判判断断被被审审系统功能是否正确有效。系统功能是否正确有效。受控处理法的优缺点受控处理法的优缺点: : 1 1. .优优点点：简简单单、易易行行，不不用用准准备备测测试试数数据据，对对审审计计人人员员的计算机技术水平要求不高。的计算机技术水平要求不高。 2.2.缺缺点点：在在某某一一时时间间里里，真真实实业业务务可可能能不不能能覆覆盖盖系系统统的的所有功能，此方法可能不能发现系统存在的所有问题。所有功能，此方法可能不能发现系统存在的所有问题。解决真实业务不能覆盖系统功能的方法解决真实业务不能覆盖系统功能的方法 1.1.审审计计人人员员应应详详细细了了解解被被审审单单位位的的各各类类真真实实业业务务发发生生和和处处理理的的时时间间，根根据据实实际际情情况况确确定定测测试试日日期期。测测试试可以安排在多个不同的工作日，甚至持续一段时间。可以安排在多个不同的工作日，甚至持续一段时间。 2.2.对对于于系系统统的的控控制制功功能能，常常要要通通过过一一些些不不完完整整、不不正常、不合理的业务输入系统进行检查。正常、不合理的业务输入系统进行检查。（四）受控再处理法（四）受控再处理法（四）受控再处理法（四）受控再处理法（四）受控再处理法（四）受控再处理法受受控控再再处处理理法法在在被被审审计计单单位位正正常常业业务务处处理理以以外外的的时时间间里里, ,由由审审计计人人员员亲亲自自进进行行或或在在审审计计人人员员的的监监督督下下, ,把把某某一一批批处处理理过过的的业业务务进进行行再再处处理理, ,比比较较两两次次处处理理的的结结果果, ,以以确确定定被被审审程程序序是是否否被被非非法法篡篡改改, ,被被审审程程序序的处理和控制功能是否恰当、有效。的处理和控制功能是否恰当、有效。运运用用这这种种方方法法的的前前提提是是以以前前对对此此程程序序进进行行过过审审查查，并并证证实实它它原原来来的的处处理理和和控控制制功功能能是是恰恰当当、有有效效的的。因此，这种方法不能用于对被审程序的初次审计。因此，这种方法不能用于对被审程序的初次审计。采用受控再处理法进行审查的步骤采用受控再处理法进行审查的步骤: : 1 1审审计计人人员员曾曾采采用用测测试试数数据据法法对对该该系系统统的的应应用用程程序序功功能能进进行行审审计计，当当时时的的审审查查证证实实系系统统的的处处理理和和控控制制功功能能正正确确有有效效。审审计计人人员员保保留留了了当当时时审审查查用用的的测测试试数数据据和处理结果。和处理结果。 2 2再再次次对对该该系系统统审审计计前前，审审计计人人员员通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资资料料，了了解解被被审审系系统统自自上上次次审审计计以以来来是是否否经经过过修修改改维维护护，明明确确系系统统应应有有的的处处理理和和控控制功能。制功能。 3 3在在审审计计人人员员的的监监控控下下，把把保保留留下下来来的的以以前前审审查查用用过的测试数据输入被审系统再处理，得到处理结果。过的测试数据输入被审系统再处理，得到处理结果。 4 4比比较较两两次次处处理理的的结结果果，从从而而判判断断系系统统是是否否经经过过改改动，功能是否正确有效。动，功能是否正确有效。以前处理过以前处理过的业务数据的业务数据当前运行的当前运行的被审程序被审程序处理结果处理结果以前处理结果以前处理结果比较比较受控再处理法的变种受控再处理法的变种审审计计人人员员保保留留的的不不是是上上次次测测试试用用的的测测试试数数据据和和测测试试结结果果，而而是是经经审审查查证证实实功功能能正正确确的的系系统统应应用用程程序序。审审计计时时，在在审审计计人人员员的的监监控控下下，把把测测试试数数据据分分别别输输入入被被审审系系统统和和审审计计人人员员保保留留下下来来的的经经审审系系统统处处理理，比比较较两两者者的的处处理理结结果果，从从而而判判断断被被审审系系统统是是否否被被改改动动过过、功能是否正确功能是否正确. .测试数据测试数据审计人员选用审计人员选用的正确的系统的正确的系统应用程序应用程序处理结果处理结果处理结果处理结果比较比较当前被审程当前被审程序序受控再处理法的优缺点受控再处理法的优缺点 1 1. .优优点点：具具有有测测试试数数据据法法同同样样的的优优点点。与与测测试试数数据据法法相相比比，它它不不用用准准备备测测试试数数据据和和预预期期结结果果，因因此此，更更省省事简便。事简便。 2.2.缺缺点点：具具有有测测试试数数据据法法同同样样的的缺缺点点。与与测测试试数数据据法法相相比比，它它只只能能用用于于对对一一个个系系统统的的再再次次审审计计，不不可可用用于于首次审计。首次审计。 ( ( (五五五五五五) ) ) 整体测试法整体测试法整体测试法整体测试法整体测试法整体测试法( ( (ITF)ITF)ITF) 整整体体测测试试法法根根据据系系统统是是用用同同一一应应用用程程序序处处理理各各分分公公司司（或或部部门门、或或其其他他个个体体）业业务务的的原原理理，通通过过审审查查系系统统对对虚虚构构公公司测试业务的处理结果来判断系统的功能是否正确。司测试业务的处理结果来判断系统的功能是否正确。比较比较核对核对预期结果预期结果虚拟业务处理结果虚拟业务处理结果实际业务处理结果实际业务处理结果手工处理手工处理被审程序被审程序或系统或系统实际业务数据实际业务数据虚拟实体业务数虚拟实体业务数据据采用整体检测法进行审查的步骤采用整体检测法进行审查的步骤: : 1 1通过向有关人员询问及查阅系统的文档资料了解被审系统通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。应有的处理和控制功能。2 2在被审系统中建立一个虚拟的公司（根据所审查的程序功在被审系统中建立一个虚拟的公司（根据所审查的程序功能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系统应有的功能，设计与虚拟公司有关的测试业务，并准备这些统应有的功能，设计与虚拟公司有关的测试业务，并准备这些测试业务处理应有的正确结果。测试业务处理应有的正确结果。 3 3在被审系统正常运行时，把虚构公司的测试数据和被审单在被审系统正常运行时，把虚构公司的测试数据和被审单位的真实数据一起输入系统处理。位的真实数据一起输入系统处理。4 4把系统对虚拟公司测试业务的处理结果与应有的正确结果把系统对虚拟公司测试业务的处理结果与应有的正确结果比较，从而判断被审系统的处理和控制功能是否正确。比较，从而判断被审系统的处理和控制功能是否正确。整体检测法的优缺点整体检测法的优缺点: : 1 1. .优优点点：具具有有测测试试数数据据法法同同样样的的优优点点。与与测测试试数数据据法法相相比比，它它是是动动态态的的审审查查方方法法，可可确确定定系系统统在在真真实实业业务务处理时的功能是否正确。处理时的功能是否正确。 2.2.具具有有测测试试数数据据法法同同样样的的缺缺点点。与与测测试试数数据据法法相相比比，因因为为它它是是在在系系统统真真实实业业务务处处理理中中对对系系统统进进行行测测试试的的，若若对对测测试试数数据据没没有有良良好好控控制制，可可能能会会影影响响被被审审单单位位的的真实数据。真实数据。消除测试数据对被审单位真实数据影响的方法：消除测试数据对被审单位真实数据影响的方法： 1 1处理虚拟公司的测试业务后，尽快向系统输入冲消处理虚拟公司的测试业务后，尽快向系统输入冲消业务，以冲回测试业务对系统业务和汇总信息的影响。业务，以冲回测试业务对系统业务和汇总信息的影响。 2 2在被审系统中嵌入审计程序，对审查用的测试业务在被审系统中嵌入审计程序，对审查用的测试业务进行标记，嵌入的审计程序可对标记的业务进行过滤，进行标记，嵌入的审计程序可对标记的业务进行过滤，防止这些业务进入汇总信息或输出与其相联系的重要单防止这些业务进入汇总信息或输出与其相联系的重要单据（如发货单、支票、发票等）的输出。据（如发货单、支票、发票等）的输出。（六）平行模拟法（六）平行模拟法（六）平行模拟法（六）平行模拟法（六）平行模拟法（六）平行模拟法平平行行模模拟拟法法又又叫叫并并行行模模拟拟法法，它它是是通通过过比比较较被被审审系系统统和和模模拟拟系系统统对对被被审审单单位位真真实实业业务务处处理理的的结结果果来来判判断断被被审审系系统统功功能能是是否否正正确确的的一一种种系系统统功功能能的的审审查查方法。方法。模拟程序模拟程序处理结果处理结果处理结果处理结果比较比较被审程序被审程序实际业务数据实际业务数据采用平行模拟法进行审计的步骤：采用平行模拟法进行审计的步骤： 1 1通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资资料料了了解解被被审审系统应有的处理和控制功能。系统应有的处理和控制功能。 2 2审审计计人人员员取取得得一一套套具具有有被被审审系系统统应应有有的的处处理理和和控控制制功功能能、且且功功能能正正确确的的模模拟拟系系统统。模模拟拟系系统统可可以以专专门门开开发发，也也可以通过别的途径取得，例如购买商品化通用软件。可以通过别的途径取得，例如购买商品化通用软件。 3 3把被审单位真实的业务数据把被审单位真实的业务数据分分别别输输入入模模拟拟系系统统与与被被审审系系统统进进行行处处理理，并并分分别别得得出出处处理理结果。结果。 4 4把把两两者者的的处处理理结结果果进进行行比比较较，从从而而确确定定被被审审系系统统功功能能是否正确。是否正确。平行模拟法的优缺点平行模拟法的优缺点 1.1.优优点点：一一旦旦取取得得了了模模拟拟程程序序，可可以以随随时时对对被被审审系系统统进进行行抽抽查查，也也可可以以用用模模拟拟系系统统重重新新处处理理全全部部的的真真实实业务数据，进行比较全面的审查。业务数据，进行比较全面的审查。 2.2.缺缺点点：模模拟拟系系统统的的开开发发通通常常需需要要花花费费较较长长的的时时间间，开开发发或或购购买买费费用用都都较较高高；而而且且，如如果果实实际际使使用用的的系系统统更更新新，则则模模拟拟系系统统亦亦要要随随之之更更新新，相相应应要要增增加加费费用。用。（七）程序比较法（七）程序比较法（七）程序比较法（七）程序比较法程程序序比比较较法法是是一一种种通通过过把把被被审审程程序序与与标标准准程程序序进进行行比比较较，进进而而确确定定二二者者是是否否一一致致，被被审审程程序序功功能是否正确的一种审查方法。能是否正确的一种审查方法。采用程序比较法进行审计的步骤采用程序比较法进行审计的步骤 1 1被被审审的的应应用用程程序序曾曾被被审审查查过过且且证证实实其其处处理理与与控控制制功功能能正正确确有有效效。审审计计人人员员保保存存了了一一份份该该程程序序的的备备份份，且确保没人可改动它。且确保没人可改动它。 2 2审审计计时时，审审计计人人员员使使用用专专门门的的程程序序比比较较软软件件来来比比较较在在用用的的被被审审程程序序和和此此备备份份程程序序，确确定定两两者者是是否否有有差差异异，进进而而确确定定在在用用的的被被审审程程序序是是否否被被改改动动过过，功功能能是是否正确。否正确。程序比较程序比较法的具体采用法的具体采用 1 1. .比比较较源源程程序序：要要注注意意确确保保真真实实运运行行的的程程序序由由被被审审源源程序编译而成。程序编译而成。 2. 2. 比比较较目目标标程程序序：发发现现差差异异时时很很难难判判断断差差异异带带来来的的后后果。果。程序比较程序比较法的优缺点：法的优缺点： 1.1.优优点点：这这种种方方法法因因为为比比较较的的是是程程序序的的本本身身，因因此此能能发现被审程序的任何改动。发现被审程序的任何改动。 2.2.缺缺点点：要要使使用用程程序序比比较较软软件件，而而且且当当发发现现两两者者有有差差异异时时，要要进进一一步步判判断断修修改改后后的的程程序序功功能能是是否否恰恰当当比比较较困难。困难。