信息系统审计常用方法

作 者:
王强 

作者简介:
王强,南京市审计局。

原文出处:
审计月刊

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2012 年 01 期

关 键 词:

字号:

      信息化条件下,审计人员如果仅仅对计算机中保存运行的数据进行计算、核对,而没有能力对处理各种业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。为了避免这种情况,审计人员就需要对处理数据的信息系统进行审计。下面简要介绍一下笔者所了解和使用过的一些常用信息系统审计方法。

      利用传统审计方法进行信息系统审计

      1、观察、查看与穿行测试

      审计人员通过到信息系统相关部门观察技术人员工作情况以了解其内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能,查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生错误。同时,索取并检查业务文档资料,如系统规划方案、数据字典、运行维护记录、说明文档及相关合同等以了解信息系统的相关情况。

      这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如,高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾车体验高速公路收费合理性;又如,审计人员以普通人员身份试图进入对方核心机房,以检测被审计单位信息系统物理访问控制的安全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来证实审计人员对控制的了解并评价控制设计的有效性以及确定控制是否得到执行。

      2、调查问卷

      合理编制信息系统审计调查表、调查提纲、控制矩阵等,内容包括软硬件环境、网络结构以及岗位设置、人员角色及AB岗等,在审前调查阶段提交给被审计单位信息及有关业务部门,以获得信息系统的基本情况、总体架构与业务流程,并可能发现有价值的线索。

      另外可函证(或走访)与审计项目有关的单位与个人,并把函证的结果与被审计单位的有关情况进行对比分析。

      3、沟通交流

      好的沟通可以发现审计线索,信息系统审计师要注重与被审计单位相关人员进行沟通的技巧。主要方法有与被审计单位人员共同召开各种业务会议,与不同的人员(技术人员、业务人员等)进行座谈等。

      利用计算机技术进行信息系统审计

      1、黑白盒测试

      黑盒测试也称功能测试或数据驱动测试,是在已知软件所应具有的功能的前提下,通过测试来检测每个功能是否能正常使用。在测试时,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,审计人员只检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息,并保持外部信息(如数据库或文件)的完整性。“黑盒”法是穷举输入测试,只有把所有可能的输入都作为测试情况使用,才能以这种方法查出程序中所有的错误。

      白盒测试也称结构测试或逻辑驱动测试,它是在清楚软件内部结构和工作过程的基础上,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,而不顾它的功能。白盒测试的主要方法有逻辑驱动、基路测试等。

      2、数据测试与平行模拟

      数据测试法。审计人员把一批预先设计好的测试数据,利用被审计程序加以处理,并把处理的结果与预期结果作比较,以确定被审计程序的处理和控制功能是否恰当有效。测试数据包含下列两类:一是正常的、有效的业务数据,以确定被审计程序对有效数据的处理是否正确:二是不正常、无效的业务数据,以确定被审计程序是否可以将这些无效业务数据检测出来,拒绝接受并给出错误信息,以便修改。优点:应用简单易行,对审计人员的计算机技术水平要求不高,因此,应用范围比较广泛。缺点:与黑盒测试类似,可能不能发现程序中所有的错弊。如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。

      集成检测法。通过在正常的应用系统中创建一个虚拟的部分或分支,从而进行系统测试。例如:在某个应用系统中建立一个虚拟的职员然后进行正常的业务处理测试。优点:此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审计系统在真实业务处理时的功能是否正确有效。缺点:这些虚拟的测试数据可能会对被审计单位真实的业务和汇总的信息造成破坏或影响。

      平行模拟法。是指针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。但模拟系统的开发对计算机技术要求高,且时间长,费用较高;同时,模拟系统要随实际系统同步更新,相应要增加费用。

      3、数据分析

      抽样数据法。审计人员从被审计单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。

      数据结构验证法。结合数据字典,检查数据之间逻辑关系以验证输入数据正确性和保存数据完整性,包括业务数据与财务数据对比验证及各业务数据表间勾稽关系核对。

      参数法。检查设置的相关参数是否与实际时点的业务发生数据一致。

      利用外部关联数据法。外部关联数据是指存在于被审计单位信息系统以外,但是与该系统的数据具有内在联系,能够帮助审计人员对被审计单位的业务数据和财务数据进行有序处理的电子数据。利用外部的关联数据与被审查系统中的数据进行对比分析,可以发现单独由被审计单位的数据无法发现的信息系统的问题。

相关文章: