第六章信息系统功能的审计

6 计算机信息系统功能的审计信息系统功能审计也称为信息系统应用程序审计 .一、计算机信息系统功能审计的目标1、查明信息系统处理功能的合法性2、查明信息系统处理功能的正确与恰当性3、查明信息系统控制功能的健全有效性4、检查并发现系统中易于被攻破和利用的漏洞二、信息系统功能审计的方法：（ 1）程序编码审计法（ 2）测试数据法（ 3）受控处理法（ 4）受控再处理法（ 5）整体测试法（ 6）平行模拟法（ 7）程序比较法（ 8）程序跟踪法(一 )程序编码审查法程序编码审查法 直接对系统应用程序的源程序编码进行审查 ，从而判断系统的功能是否正确的审查方法。采用程序编码审查法审计的步骤 :1取得与被审程序有关的文档资料，如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。2通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制功能。3审阅源程序表。对较复杂的程序，根据源程序画出程序流程图或核对原有的程序流程图（如果文档资料有流程图的话）。通过对源程序和程序流程图的分析，判断被审程序是否能实现预定的功能，逻辑流程有无错误，是否包含舞弊程序，最后导出审计结论。4.评价审查结果影响程序编码审查法有效性的因素 :1.被审程序文档资料的详细程度与这些材料反映被审程序的准确程度。2.被审程序的复杂程度。3.被审程序的编程语言和程序编写方式。4.审计人员对程序语言和编程技术的精通程度。程序编码审查法的优缺点 :1.优点 :审计人员审查的是程序的本身，因此能发现程序中存在的任何错弊问题。2.缺点： 对审计人员的计算机水平要求高，较费时费事，而且要注意证实被审的源程序确是真实运行程序的源程序 。(二 )测试数据法 测试数据法 将一组针对系统应有功能而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法 。检测业务数据被审程序手工处理被审程序处理结果预期结果比较核对采用测试数据法进行审查的步骤 :1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确结果（又称预期结果）。3在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。4把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效。测试数据的准备 :1.测试数据应包括下列两大类：（）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。（）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。2.在准备测试业务数据时，审计人员要注意系统功能的覆盖。测试数据准备的例子审计人员准备用测试数据法测试一个工资核算子系统，此系统的处理功能包括：1.可增、删职工；2.可输入与修改每个职工的工资数据；3.可根据输入的数据计算各人的应付工资、个人所得税和实付工资；4.可根据各人工资的应借科目自动汇总并编制工资计提转帐凭证送帐务处理子系统 ;5.可输出工资条、工资汇总表、银行转帐表等。此系统的控制功能包括：1.增加职工时要检查职工代码及其银行工资帐号不能留空或重复。2.删除职工时所删除的职工代码必须存在。3.输入与修改要检查基本工资和工龄工资不得超过最大限额。测试数据必须包括：1.增加职工 :（ 1）所有数据正确（注意个人所得税包括各个档次）（ 2） 职工代码为空（ 3）职工代码与已有职工重复（ 4）其基本工资超出限额（ 5）其工龄工资超出限额2 .删除职工 :（ 1）其职工代码存在 （ 2）其职工代码不存在3.修改数据 :（ 1）修改数据没超出限额（ 2）修改基本工资超出限额 （ 3）修改工龄工资超出限额测试数据准备的例子应用测试数据法要注意的问题：1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功能是否正确、可靠。测试数据法的优缺点1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。2缺点：可能不能发现程序中所有的错弊。（三）受控处理法受控处理法 审计人员通过监控系统对各类真实业务的处理并检查其处理结果，进而判断系统功能是否正确。采用受控处理法进行审查的步骤1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2在系统正常的运行中，审计人员监控系统对各类真实业务的处理，取得相应的处理结果；同时，审计人员根据正确的处理原则对相应的业务处理，得到正确的处理结果。3把系统处理结果与正确结果比较，从而判断被审系统功能是否正确有效。受控处理法的优缺点 :1.优点：简单、易行，不用准备测试数据，对审计人员的计算机技术水平要求不高。2.缺点：在某一时间里，真实业务可能不能覆盖系统的所有功能，此方法可能不能发现系统存在的所有问题。解决真实业务不能覆盖系统功能的方法1.审计人员应详细了解被审单位的各类真实业务发生和处理的时间，根据实际情况确定测试日期。测试可以安排在多个不同的工作日，甚至持续一段时间。2.对于系统的控制功能，常要通过一些不完整、不正常、不合理的业务输入系统进行检查。（四）受控再处理法受控再处理法 在被审计单位正常业务处理以外的时间里 ,由审计人员亲自进行或在审计人员的监督下 ,把某一批处理过的业务进行再处理 ,比较两次处理的结果 ,以确定被审程序是否被非法篡改 ,被审程序的处理和控制功能是否恰当、有效。运用这种方法的前提是以前对此程序进行过审查，并证实它原来的处理和控制功能是恰当、有效的。因此，这种方法不能用于对被审程序的初次审计。采用受控再处理法进行审查的步骤 :1审计人员曾采用测试数据法对该系统的应用程序功能进行审计，当时的审查证实系统的处理和控制功能正确有效。审计人员保留了当时审查用的测试数据和处理结果。2再次对该系统审计前，审计人员通过向有关人员询问及查阅系统的文档资料，了解被审系统自上次审计以来是否经过修改维护，明确系统应有的处理和控制功能。3在审计人员的监控下，把保留下来的以前审查用过的测试数据输入被审系统再处理，得到处理结果。4比较两次处理的结果，从而判断系统是否经过改动，功能是否正确有效。以前处理过的业务数据当前运行的被审程序 处理结果以前处理结果比较受控再处理法的变种审计人员保留的不是上次测试用的测试数据和测试结果，而是经审查证实功能正确的系统应用程序。审计时，在审计人员的监控下，把测试数据分别输入被审系统和审计人员保留下来的经审系统处理，比较两者的处理结果，从而判断被审系统是否被改动过、功能是否正确 .测试数据审计人员选用的正确的系统应用程序处理结果处理结果比较当前被审程序受控再处理法的优缺点1.优点：具有测试数据法同样的优点。与测试数据法相比，它不用准备测试数据和预期结果，因此，更省事简便。2.缺点：具有测试数据法同样的缺点。与测试数据法相比，它只能用于对一个系统的再次审计，不可用于首次审计。(五 ) 整体测试法 (ITF)整体测试法 根据系统是用同一应用程序处理各分公司（或部门、或其他个体）业务的原理，通过审查系统对虚构公司测试业务的处理结果来判断系统的功能是否正确。比较核对预期结果虚拟业务处理结果实际业务处理结果手工处理被审程序或系统实际业务数据虚拟实体业务数据采用整体检测法进行审查的步骤 :1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2在被审系统中建立一个虚拟的公司（根据所审查的程序功能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系统应有的功能，设计与虚拟公司有关的测试业务，并准备这些测试业务处理应有的正确结果。3在被审系统正常运行时，把虚构公司的测试数据和被审单位的真实数据一起输入系统处理。4把系统对虚拟公司测试业务的处理结果与应有的正确结果比较，从而判断被审系统的处理和控制功能是否正确。整体检测法的优缺点 :1.优点：具有测试数据法同样的优点。与测试数据法相比，它是动态的审查方法，可确定系统在真实业务处理时的功能是否正确。2.具有测试数据法同样的缺点。与测试数据法相比，因为它是在系统真实业务处理中对系统进行测试的，若对测试数据没有良好控制，可能会影响被审单位的真实数据。消除测试数据对被审单位真实数据影响的方法： 1处理虚拟公司的测试业务后，尽快向系统输入冲消业务，以冲回测试业务对系统业务和汇总信息的影响。2在被审系统中嵌入审计程序，对审查用的测试业务进行标记，嵌入的审计程序可对标记的业务进行过滤，防止这些业务进入汇总信息或输出与其相联系的重要单据（如发货单、支票、发票等）的输出。（六）平行模拟法平行模拟法 又叫并行模拟法，它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法。模拟程序 处理结果处理结果比较被审程序实际业务数据