信息系统开发各阶段的审计技术方法

作 者:
于昆 

作者简介:
于昆,审计署审计科研所

原文出处:
中国审计报

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2008 年 11 期

关 键 词:

字号:

      信息系统开发审计是指对信息系统本身开发过程进行的审计,按照信息系统开发流程进行,分为系统规划审计、需求分析审计、系统设计审计、系统编码审计、系统测试审计和系统试运行审计这六个阶段。信息系统开发审计的方法包括问卷调查法、文档审阅法、面谈法、流程图检查法、功能与需求对比法、系统描述法、编码检查法、测试数据法等,其中问卷调查法、文档审阅法和面谈法在系统开发审计各阶段均可使用,而其他方法则在每阶段各有侧重。

      问卷调查法。广泛用于各个阶段。主要是设计各阶段审计调查问卷,对系统开发阶段的主要工作和控制点进行调查了解,综合分析系统各阶段实施的合规性、规范性。

      文档审阅法。广泛用于各个阶段。审阅系统开发各阶段的可行性研究报告、系统分析说明书、需求规格说明书、总体设计说明书、概要设计说明书、程序设计规格书、程序测试报告、系统测试报告及试运行记录等文档,审查上述文档是否完整、正确,是否符合《信息技术软件生存周期过程》(CB/T8566-2007或GB/T8566-2007)或IEEE标准830-1998(IEEE 1998)等国家标准。

      面谈法。广泛用于各个阶段。审计人员通过与被审计单位及软件开发商等有关系统开发人员进行面谈,掌握各方面信息。

      流程图检查法。主要用于需求分析审计阶段。是指详实审阅资料的基础上借助系统开发人员的技术帮助,准确绘制出信息系统核心处理数据流程图,通过该方法,达到快速掌握信息系统关键数据处理流程的重要目标,对系统的总体情况有一定了解。

      功能与需求对比法。主要用于需求分析审计阶段。是通过绘制系统数据流程图,分析信息系统所具备的全部系统功能,通过系统功能与业务需求的对比分析,检查系统功能是否能够完全满足业务的要求。

      系统描述法。主要用于系统设计审计阶段。审计人员可以通过适当的描述方法,对系统结构和功能进行描述,并与系统有关设计文档进行对比分析,从而确定系统设计的正确性和完整性。系统描述的方法又可以分为三类:文字描述法、表格描述法、图形描述法。三种方法各有优缺点,文字描述法可以对系统进行较为深入具体的描述,但有时文字表述难以简洁明了,显得比较冗赘;表格描述法能对系统作出一个简洁明确的概括说明,编制也较方便,有利于审计人员进行分析评价,但由于系统的特殊性,设置标准问题的表格往往适用性有限,且只能按项目分别考察,不能提供一个完整的意见;图形描述法可以比较形象地表现系统的处理流程,易与相关设计文档的对比,但绘制图形需要具备娴熟的技术并花费较多时间,对审计机关技术、人力资源提出较高要求。在具体审计中,可以采用多种描述方法相结合的方式,全面清晰地对系统结构和功能进行描述。

      编码检查法。主要用于系统编码审计阶段。审计人员可以直接对编码进行检查,一般包含七个步骤:1.选择要检查的源代码。由于对全部代码进行检查非常繁琐,所以需要通过风险分析,根据各模块失效概率、危险因素可能造成的损失等方面,确定高风险的程序模块,进行代码检查。2.评审编码标准、规范。通过评审编码标准、规范,可以发现存在于其中的缺陷,有助于审计人员明确错误隐患的所在。3.掌握程序规格说明。通过了解程序规格说明,可以检查程序是否按预先要求进行了编制。4.获得源代码。可以通过代码比较法来确定源代码的版本,要确保获得的源代码是当前版本,没有过时。5.评审编程语言。评审系统开发人员是否使用合适的编码语言。6.评审源代码。评审源代码的工作量很大,审计人员可以通过检查、使用程序结构图等方法,掌握编码的细节,寻找更多问题。7.阐明缺陷所在。

      测试数据法。主要用于系统测试审计阶段。软件测试的目的是通过执行程序,暴露潜在的错误并及时纠正,从而保证程序的可靠运行。它又可以分为黑盒测试和白盒测试两种,黑盒测试是把程序看成黑盒子,完全不考虑其内部结构和处理过程,只检查程序的功能是否符合它的需求规格说明,它是一种宏观上的测试,适合大单元、大系统的测试;白盒测试是把程序看成一个打开的盒子,测试人员对程序所有逻辑路径进行测试,在不同检查点输出结果,与预期的结果比较,确定程序是否有错,它是一种微观上的测试,适合从事软件底层工作人员对小单元进行测试。必要时,审计人员也可以使用系统测试阶段使用的黑盒测试、白盒测试等方法对系统的功能、性能、负载、安全、强度等进行测试。

相关文章: