摘要:本文主要介绍了三大类常用的信息系统审计方法:利用传统审计方法进行信息系统审计、利用相关计算机技术对信息系统进行审计以及利用计算机智能技术对信息系统进行审计。
关键词:信息系统 审计 方法
信息化条件下,审计人员如果仅仅对计算机中保存运行的数据进行计算、核对,而没有能力对处理各种业务的信息系统进行检查,很可能形成信息化条件下的“假账真查”。为了避免出现这样的尴尬情况,审计人员就需要对处理数据的信息系统进行审计。伴随信息系统审计的发展,大致产生了如下三个方面的信息系统审计方法:利用传统审计方法进行信息系统审计、利用计算机技术以及利用程序监控和智能技术对信息系统进行审计。下面简要介绍一下笔者所了解和使用过的一些常用信息系统审计方法,由于笔者知识面和经验有限,难免挂一漏万,在此仅作抛砖引玉之用。
利用传统审计方法进行信息系统审计
传统审计中的经验和方法在信息系统审计中依然有其重要作用,下面介绍几种常见的用于信息系统审计的传统审计方法。
1、观察、查看与穿行测试审计人员通过到信息系统相关部门观察技术人员工作情况以了解其内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能,查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生错误。同时,索取并检查业务文档资料,如系统规划方案、数据字典、运行维护记录、说明文档及相关合同等以了解信息系统的相关情况。
这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如,高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾车体验高速公路收费合理性;又如,审计人员以普通人员身份试图进入对方核心机房,以检测被审计单位信息系统物理访问控制的安全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来证实审计人员对控制的了解并评价控制设计的有效性以及确定控制是否得到执行。
2、调查问卷合理编制信息系统审计调查表、调查提纲、控制矩阵等,内容包括软硬件环境、网络结构以及岗位设置、人员角色及AB岗等,在审前调查阶段提交给被审计单位信息及有关业务部门,以获得信息系统的基本情况、总体架构与业务流程,并可能发现有价值的线索。
另外可函证(或走访)与审计项目有关的单位与个人,并把函证的结果与被审计单位的有关情况进行对比分析。
3、沟通交流好的沟通可以发现审计线索,信息系统审计师需要重视与被审计单位相关人员进行沟通的技巧。主要方法有与被审计单位人员共同召开各种业务会议,与不同的人员进行座谈(技术人员、业务人员等)等。俗话说,在聊天中发现问题。
利用计算机技术进行信息系统审计
计算机技术主要包括基于数据分析的方法和基于程序分析的方法等几种,这些方法的综合使用使得对信息系统的审计更加有效,在一段时间内,这些审计方法将是信息系统审计的主要手段。
1、黑白盒测试黑盒测试也称功能测试或数据驱动测试,它是在已知软件所应具有的功能,通过测试来检测每个功能是否都能正常使用。在测试时,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,审计人员只检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息,并保持外部信息(如数据库或文件)的完整性。“黑盒”法是穷举输入测试,只有把所有可能的输入都作为测试情况使用,才能以这种方法查出程序中所有的错误。
白盒测试也称结构测试或逻辑驱动测试,它是在清楚软件内部结构和工作过程的基础上,按照程序内部的结构测试程序,检验程序中的每条通路是否都能按预定要求正确工作,而不顾它的功能。白盒测试的主要方法有逻辑驱动、基路测试等。
2、数据测试与平行模拟数据测试法。审计人员把一批预先设计好的测试数据,利用被审计程序加以处理,并把处理的结果与预期结果作比较,以确定被审计程序的处理和控制功能是否恰当有效。测试数据包含下列两类:一是正常的、有效的业务数据,以确定被审计程序对有效数据的处理是否正确;二是不正常、无效的业务数据,以确定被审计程序是否可以将这些无效业务检测出来,拒绝接受并给出错误信息,以便修改。优点:应用简单易行,对审计人员的计算机技术水平要求不高,因此,应用范围比较广泛。缺点:与黑盒测试类似,可能不能发现程序中所有的错弊。如果审计人员没有预想到程序中的某些错弊,没有针对它们设计测试数据进行测试,则这种审查方法不可能发现这些错弊。
集成检测法。通过在正常的应用系统中创建一个虚拟的部分或分支,从而进行系统测试。例如:在某个应用系统中建立一个虚拟的职员然后进行正常的业务处理测试。优点:此方法是在系统正常处理过程中进行测试的,因此可直接测试到被审系统在真实业务处理时的功能是否正确有效。缺点:这些虚拟的测试数据可能会对被审单位真实的业务和汇总的信息造成破坏或影响。
平行模拟法。是指针对某应用程序,审计人员用一个独立的程序去模拟该程序的部分功能,对输入数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。但模拟系统的开发对计算机技术要求高,且时间长,费用较高;同时,模拟系统要随实际系统同步更新,相应要增加费用。
3、数据分析利用数据进行审计可以将传统的审计经验和计算机技术结合起来,使审计人员在现有的条件下进行信息系统审计。
通过对电子数据的审查,来推断信息系统本身所存在的缺陷。
抽样数据法。审计人员从被审计单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。如税务审计中,可以通过对不同类型纳税人员纳税数据进行抽样审核,以检查系统对纳税数据处理的正确性与及时性。
数据结构验证法。结合数据字典,检查数据之间逻辑关系以验证输入数据正确性和保存数据完整性,包括业务数据与财务数据对比验证及各业务数据表间勾稽关系核对。
参数法。检查设置的相关参数是否与实际时点的业务发生数据一致。
利用外部关联数据法。外部关联数据是指存在于被审计单位信息系统以外,但是与该系统的数据具有内在联系,能够帮助审计人员对被审计单位的业务数据和财务数据进行有序处理的电子数据。利用外部的关联数据与被审查系统中的数据进行对比分析,可以发现单独由被审计单位的数据无法发现的信息系统的问题。
4、受控处理与再处理受控处理法是指审计人员通过监控被审计程序对实际业务的处理,查明被审计程序的处理和控制功能是否恰当有效的方法。审计人员首先对输入的数据进行查验,并进行审计控制,然后亲自处理或监督处理这些数据,最后将处理的结果与预期结果加以比较分析,判别被审程序的处理和控制功能是否符合设计要求。此方法的主要优点是不需要审计人员具有较高的计算机知识,只要采用突击审计的方式,就可以保证被审程序与实际使用程序的一致性,从而保证审计结论的可靠性。
受控再处理法是指在被审计单位正常业务处理以外的时间,由审计人员亲自进行或在审计人员监督下,把某一批处理过的业务进行再处理,比较两次处理结果,以确定被审计程序有无被非法篡改,被审计程序的处理和控制功能是否恰当有效。运用这种方法前提是以前对此程序进行过审查,并证实它原来的处理和控制功能是恰当有效的。
5、程序检查程序是信息系统的核心,信息系统对业务的处理是否合法、合规、正确,都体现在应用程序中。实践证明,程序是差错、舞弊最容易发生的地方。
程序流程图检查法,是利用信息系统的程序流程图来检查程序的控制功能是否可靠,业务处理逻辑是否正确的方法。例如:根据财务系统流程图,程序中应该对输入的财务信息进行合法性检验,通过追踪审查样本业务,发现当输入非法数据时,程序依然按照正常的步骤进行了处理,说明该项控制措施在程序中是无效的。
程序编码审查法,是对应用系统的编码进行详细审查的一种技术。通过审查程序编码,审计人员可以识别出程序中的错误代码和非法代码等。同时可用跟踪方法进行逐行代码诊断。这种方法的缺点是对审计人员的计算机水平要求高。
程序编码比较法,是指比较两个独立保管的被审程序版本,以确定被审程序是否经过了修改,并对发现的任何程序的改动评估其带来的后果。
6、程序运行记录检查程序运行纪录是由系统自动记录下来的,包含操作的起止时间、中断、故障等方面的信息。通过对运行记录的审查,可以推测被审程序的程序化控制措施是否存在和可靠,如果记录中出现中断则说明程序中可能存在语法或逻辑错误。
同时可对数据处理结果进行检查,通过系统打印输出的结果,来推断被审程序处理功能的正确性和控制措施的健全有效性。这些打印输出包括系统错误清单,业务清单,财务报表,统计报表。此法优点是审计人员不必具有较高的计算机知识,而缺点在于程序中的错误弊端不可能全部出现在一份或多份打印输出的资料上面。
利用程序监控和智能技术对信息系统进行审计
1、程序监控嵌入审计模块技术是指在一个应用系统中长久驻存一个审计模块,该模块检查输入到系统中每一笔事务,并识别出其中不符合预定义标准的事务,审计人员可以对这些识别出的事务进行实时的或定期的审查。嵌入审计模块技术当前一般用于处理大数据量的系统中。
另有一种程序跟踪法,是一种对给定的业务,跟踪被审程序处理步骤的审查技术,一般可由追踪软件来完成,也可利用某些高级语言或管理系统中的跟踪指令跟踪被审程序的处理。
2、智能技术随着计算机技术的逐步发展,信息系统的审计将逐渐转换到智能化审计,大量智能技术将在这个阶段得到充分应用,如数据挖掘技术,征兆发现技术,AGENT技术等,利用这些技术可以开发审计专家系统,审计决策系统,进行信息系统审计。(王强)
参考文献:
[1]《计算机审计数据采集与分析技术》董化礼等 . 清华大学出版社,
[2]《信息系统审计 —传统审计的一场革命》李丹.中国审计, 2002(3)
[3]《计算机审计技术和方法》刘汝焯 . 清华大学出版社 . 2004年
[4]《CISA Review Manual》ISACA . 2009
|
