计算机信息系统功能的审计

1、第五章 计算机信息系统功能的审计,本章学习目标,1. 掌握计算机信息系统功能审计的目标 2 . 熟练掌握利用测试数据法和平行模拟法对计算机信息系统功能审计 3. 了解利用程序编码审查法、受控处理法、受控再处理法、整体测试法、程序比较法、漏洞扫描与入侵检测法、嵌入审计程序法和程序跟踪法等各种方法对计算机信息系统功能审计,第一节 计算机信息系统功能审计的目标,一、查明信息系统处理功能的合法性 二、查明信息系统处理功能的正确与恰当性 三、查明信息系统控制功能的健全有效性 四、检查并发现系统中易于被攻破和利用的漏洞,第二节 计算机信息系统功能审计的方法,一、测试数据法 测试数据法将一组针对系统应有功能

2、而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法,一、测试数据法,一）采用测试数据法进行审查的步骤 1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确结果（又称预期结果,一、测试数据法,一）采用测试数据法进行审查的步骤 3在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。 4把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效,一、测试数据法,二）测试数据的准

3、备 1.测试数据应包括下列两大类： （）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。 （）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。 2.在准备测试业务数据时，审计人员要注意系统功能的覆盖,测试数据准备的例子,审计人员准备用测试数据法测试一个工资核算子系统，此系统的处理功能包括： 1.可增、删职工； 2.可输入与修改每个职工的工资数据； 3.可根据输入的数据计算各人的应付工资、个人所得税和实付工资； 4.可根据各人工资的应借科目自动汇总并编制工资计提转帐凭证送帐务处理子系统; 5.可输出工资条、工资汇总表、银行转帐表等,测试数

4、据准备的例子,此系统的控制功能包括： 1.增加职工时要检查职工代码及其银行工资帐号不能留空或重复。 2.删除职工时所删除的职工代码必须存在。 3.输入与修改要检查基本工资和工龄工资不得超过最大限额,测试数据准备的例子,测试数据必须包括： 1.增加职工 :（1）所有数据正确（注意个 人所得税包括各个档次） （2）职工代码为空 （3）职工代码与已有职工重复 （4）工资银行帐号为空 （5）工资银行帐号与已有职工重复 （6）其基本工资超出限额 (7)其工龄工资超出限额,测试数据准备的例子,2 .删除职工 :（1）其职工代码存在 （2）其职工代码不存在 3.修改数据:（1）修改数据没超出限额 （2）修改

5、基本工资超出限额 （3）修改工龄工资超出限额,一、测试数据法,三）应用测试数据法要注意的问题 1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。 2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功能是否正确、可靠,一、测试数据法,四）测试数据法的优缺点 1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。 2 .缺点：可能不能发现程序中所有的错弊,上机练习（一,用测试数据法对用友U8的账务处理子系统进行审查，检验它是否符合财政部的会计核算软件基本功能规范（以下简称规范） 规范的要求具体见计算机会计信息系统P502,规范对账务处理

6、子系统的主要要求,处理功能（不考虑辅助功能） 1. 数据输入： 具备初始化功能，可输入会计科目名称、编号、年初数、累计发生数及有关数量指标；提供对初始数据的正确性检验； 具备记帐凭证输入功能：输入项目包括凭证日期、凭证号、摘要、科目、金额等。 对已输入未登账的凭证提供审核功能,规范对账务处理子系统的主要要求,2. 数据处理： 提供根据审核通过的凭证登记账簿的功能，计算出科目发生客和余额。 提供按规定期间进行结账的功能。 3.数据输出： 提供对机内会计数据查询的功能。 提供记账凭证、账簿的打印输出功能，打印的格式与内容符合统一会计制度规定。（此条不作检测,规范对账务处理子系统的主要要求,控制功能

7、： 输入的记帐凭证不得与机内凭证重号。 输入科目编号的有效性检验（存在的、最明细的、与凭证类型相对应的）。 借贷方金额平衡。 凭证日期、凭证号、摘要、科目、金额等数据项要完整。 不接受已结账月份的凭证输入。 未审核的凭证不得记帐。 检查当月凭证已全部入帐才能结帐,二、程序编码审查法,程序编码审查法直接对系统应用程序的源程序编码进行审查，从而判断系统的功能是否正确的审查方法,二、程序编码审查法,一）采用程序编码审查法审计的步骤 1取得与被审程序有关的文档资料，如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。 2通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制

8、功能,二、程序编码审查法,一）采用程序编码审查法审计的步骤3审阅源程序表。对较复杂的程序，根据源程序画出程序流程图或核对原有的程序流程图（如果文档资料有流程图的话）。通过对源程序和程序流程图的分析，判断被审程序是否能实现预定的功能，逻辑流程有无错误，是否包含舞弊程序，最后导出审计结论,二、程序编码审查法,二）影响程序编码审查法有效性的因素 1.被审程序文档资料的详细程度与这些材料反映被审程序的准确程度。 2.被审程序的复杂程度。 3.被审程序的编程语言和程序编写方式。 4.审计人员对程序语言和编程技术的精通程度,二、程序编码审查法,三）程序编码审查法的优缺点 1.优点:审计人员审查的是程序的本

9、身，因此能发现程序中存在的任何错弊问题。 2.缺点：对审计人员的计算机水平要求高，较费时费事，而且要注意证实被审的源程序确是真实运行程序的源程序,三、受控处理法,受控处理法审计人员通过监控系统对各类真实业务的处理并检查其处理结果，进而判断系统功能是否正确,三、受控处理法,一）采用受控处理法进行审查的步骤 1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2在系统正常的运行中，审计人员监控系统对各类真实业务的处理，取得相应的处理结果；同时，审计人员根据正确的处理原则对相应的业务处理，得到正确的处理结果。 3把系统处理结果与正确结果比较，从而判断被审系统功能是否正确有效,

10、三、受控处理法,二）解决真实业务不能覆盖系统功能的方法 1.审计人员应详细了解被审单位的各类真实业务发生和处理的时间，根据实际情况确定测试日期。测试可以安排在多个不同的工作日，甚至持续一段时间。 2.对于系统的控制功能，常要通过一些不完整、不正常、不合理的业务输入系统进行检查,三、受控处理法,三）受控处理法的优点 1.优点：简单、易行，不用准备测试数据，对审计人员的计算机技术水平要求不高。 2.缺点：在某一时间里，真实业务可能不能覆盖系统的所有功能，此方法可能不能发现系统存在的所有问题,四、受控再处理法,受控再处理法通过比较被审系统与经审查证实功能正确的原系统对同一批业务处理的结果来判断被审系

11、统是否被修改过、其功能是否正确的审查方法,四、受控再处理法,一）采用受控再处理法进行审查的步骤 1审计人员曾采用测试数据法对该系统的应用程序功能进行审计，当时的审查证实系统的处理和控制功能正确有效。审计人员保留了当时审查用的测试数据和处理结果。 2再次对该系统审计前，审计人员通过向有关人员询问及查阅系统的文档资料，了解被审系统自上次审计以来是否经过修改维护，明确系统应有的处理和控制功能,四、受控再处理法,一）采用受控再处理法进行审查的步骤 3在审计人员的监控下，把保留下来的以前审查用过的测试数据输入被审系统再处理，得到处理结果。 4比较两次处理的结果，从而判断系统是否经过改动，功能是否正确有效

12、,四、受控再处理法,二）受控再处理法的变种 审计人员保留的不是上次测试用的测试数据和测试结果，而是经审查证实功能正确的系统应用程序。审计时，在审计人员的监控下，把测试数据分别输入被审系统和审计人员保留下来的经审系统处理，比较两者的处理结果，从而判断被审系统是否被改动过、功能是否正确,四、受控再处理法,三）受控再处理法的优缺点 1.优点：具有测试数据法同样的优点。与测试数据法相比，它不用准备测试数据和预期结果，因此，更省事简便。 2.缺点：具有测试数据法同样的缺点。与测试数据法相比，它只能用于对一个系统的再次审计，不可用于首次审计,五、整体测试法(ITF,整体测试法又叫集成检测法或小公司法。它根

13、据系统是用同一应用程序处理各分公司（或部门、或其他个体）业务的原理，通过审查系统对虚构公司测试业务的处理结果来判断系统的功能是否正确,五、整体测试法,一）采用整体检测法进行审查的步骤 1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2在被审系统中建立一个虚拟的公司（根据所审查的程序功能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系统应有的功能，设计与虚拟公司有关的测试业务，并准备这些测试业务处理应有的正确结果,五、整体测试法,一）采用整体检测法进行审查的步骤 3在被审系统正常运行时，把虚构公司的测试数据和被审单位的真实数据一起输入系统处理。4把系统对虚拟公司测

14、试业务的处理结果与应有的正确结果比较，从而判断被审系统的处理和控制功能是否正确,五、整体测试法,二）消除测试数据对被审单位真实数据影响的方法 1处理虚拟公司的测试业务后，尽快向系统输入冲消业务，以冲回测试业务对系统业务和汇总信息的影响。 2在被审系统中嵌入审计程序，对审查用的测试业务进行标记，嵌入的审计程序可对标记的业务进行过滤，防止这些业务进入汇总信息或输出与其相联系的重要单据（如发货单、支票、发票等）的输出,五、整体测试法,三）整体检测法的优缺点 1.优点：具有测试数据法同样的优点。与测试数据法相比，它是动态的审查方法，可确定系统在真实业务处理时的功能是否正确。 2.具有测试数据法同样的缺

15、点。与测试数据法相比，因为它是在系统真实业务处理中对系统进行测试的，若对测试数据没有良好控制，可能会影响被审单位的真实数据,六、平行模拟法,平行模拟法又叫并行模拟法，它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法,六、平行模拟法,一）采用平行模拟法进行审计的步骤 1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2审计人员取得一套具有被审系统应有的处理和控制功能、且功能正确的模拟系统。模拟系统可以专门开发，也可以通过别的途径取得，例如购买商品化通用软件,六、平行模拟法,一）采用平行模拟法进行审计的步骤 3把

16、被审单位真实的业务数据 分别输入模拟系统与被审系统进行处理，并分别得出处理结果。 4把两者的处理结果进行比较，从而确定被审系统功能是否正确,六、平行模拟法,二）平行模拟法的优缺点 1.优点：一旦取得了模拟程序，可以随时对被审系统进行抽查，也可以用模拟系统重新处理全部的真实业务数据，进行比较全面的审查。 2.缺点：模拟系统的开发通常需要花费较长的时间，开发或购买费用都较高；而且，如果实际使用的系统更新，则模拟系统亦要随之更新，相应要增加费用,七、程序比较法,程序比较法是一种通过把被审程序与标准程序进行比较，进而确定二者是否一致，被审程序功能是否正确的一种审查方法,七、程序比较法,一）采用程序比较

17、法进行审计的步骤 1被审的应用程序曾被审查过且证实其处理与控制功能正确有效。审计人员保存了一份该程序的备份，且确保没人可改动它。 2审计时，审计人员使用专门的程序比较软件来比较在用的被审程序和此备份程序，确定两者是否有差异，进而确定在用的被审程序是否被改动过，功能是否正确,七、程序比较法,二）程序比较法的具体使用 1.比较源程序：要注意确保真实运行的程序由被审源程序编译而成。 2. 比较目标程序：发现差异时很难判断差异带来的后果,七、程序比较法,三）程序比较法的优缺点 1.优点：这种方法因为比较的是程序的本身，因此能发现被审程序的任何改动。 2.缺点：要使用程序比较软件，而且当发现两者有差异时

18、，要进一步判断修改后的程序功能是否恰当比较困难,八、漏洞扫描与入侵检测,一）漏洞扫描 漏洞扫描是一种自动检测远端或本地主机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法，针对系统可能存在的“活动天窗”、有漏洞软件的配置错误等各种脆弱点，对系统进行扫描，并按统一的格式输出扫描结果，以便审查人员分析并发现系统存在的漏洞,八、漏洞扫描与入侵检测,二）入侵检测 入侵检测指对计算机和网络资源的恶意使用行为进行识别的处理过程。 检测程序可以根据用户的行为和系统资源的使用情况是否出现异常判断是否发生了入侵情况；也可以根据常见的入侵略模式和入侵过程的特征判断入侵是否发生,九、嵌入审计程序法,嵌入审计程序法指在被审系统的开发阶段，在被审系统中嵌入为执行特定审计功能而设计的程序，利用嵌入审计程序对系统功能进行审查的方法,嵌入审计程序的种类,1.主要是在一些特定点上对系统的功能进行实时监控的程序。 2.只有在审计人员调用时才起作用的程序,十、程序跟踪法,程序跟踪法通过一步一步跟踪被审程序对业务的处理过程和处理结果，进而判断被审程序是否正确的程序审查方法,FOXPRO或VISUAL FOXPRO的跟踪