从软件工程的视角来进行信息系统审计的实践,审计论文

从软件工程的视角来进行信息系统审计的实践,审计论文在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中，对每个行业都带来了革命性的变革。为适应这种变革，企业、单位、机构等都投入了大量的人力、物力资源构建复杂的信息系统来提高工作效率，完善工作管理。企业构建的是MIS、ERP、CRM等系统，主要追求的是经济效益，等机构和组织构建的是电子政务系统〔G2B、G2C〕，主要追求的是社会效益。对于这些信息系统能否能实现业务、管理的需求，真实的反响整个业务、管理经过，并能够适应各种需求的变化，最终实现所要追求的经济和社会效益，需要对信息系统生命周期中的某些或者全部经过进行评介，即通过信息系统审计的经过，对信息系统的真实、合法、有效进行审计和评价。软件工程正是构建这些复杂信息系统的工程理论基础。因而从软件工程的视角来进行信息系统审计的实践有着必要性和必然性。1软件工程和信息系统审计的介绍软件工程是一门研究用工程化方式方法构建和维护有效、实用和高质量的软件的学科，它着重研究和应用怎样以系统性的、规范化的、可定量的经过化方式方法去开发和维护软件，以及怎样把经过时间考验而证明正确的管理技术和当下能够得到的最好的技术方式方法结合起来。软件工程包括需求分析、设计、实现、测试和维护等经过。信息系统审计〔InformationSystemsAudit，ISA〕是一个经过，在这里经过中审计人员搜集和评估证据以确定信息系统和相关资源能否充分保卫资产、维持数据和系统完好性、提供相关和可靠信息、有效实现组织机构目的、有效地使用资源、包含有效内部控制以提供运营和控制目的得到知足的合理保障〔国际信息系统审计协会ISACA的标准定义〕。信息系统审计的目的愈加注重于从信息资产的安全性、数据的完好性以及系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期经过进行全面审查与评价，以确定其能否能够有效可靠地到达组织的战略目的，并为改善和健全组织对信息系统的控制提出建议。2软件工程对信息系统审计的助力1〕两者研究的内容高度重合。信息系统审计主要有6方面的内容，包括信息系统审计程序；IT治理〔信息技术治理〕；系统和基础建设生命周期管理；IT服务的交付与支持；信息资产的保卫；灾难恢复和业务连续性计划。软件工程研究的内容涵盖软件的技术方式方法、软件工程管理，详细为在定义、开发、运行和维护三个阶段中的技术管理、工程管理各阶段的工程质量实现。软件工程研究的内容包含在信息系统审计内容中重要的后4项。2〕两者的目的有一致性。信息系统审计的目的是通过对信息系统的审查，评价系统的真实性、合法性、有效性，发现信息系统在使用和管理经过中存在的问题，确定能否存在漏洞和缺陷，有无非法和错误的处理和控制的薄弱环节，客观评价系统的现在状况，促进被审计单位进一步加强信息系统管理，完善信息系统功能，保证和完善各项流程，防备利用计算机系统进行欺诈与舞弊，并提出具有建设性的建议。软件工程的目的是在给定成本、进度的前提下，开发出具有适用性、有效性、可修改性、可靠性、可理解性、可维护性、可重用性、可移植性、可追踪性、可互操作性和知足用户需求的软件产品，尽量减少软件在运行经过中的漏洞和缺陷。追求这些目的有助于提高软件产品的质量和开发效率，减少维护的困难，提高信息系统的效益。两者的目的具有一定的一致性。3〕软件工程定义的标准、规范为信息系统审计部分审计事项的评介提供了参考。软件工程经过主要包括开发经过、动作经过、维护经过，在这些经过中都有着明确的规则、规范、要求以及需要到达的质量标准。在信息系统审计经过，通过材料和证据的收集，能够参考软件工程的标准，对审计事项发表审计评价。如对信息系统的工程管理质量发表评价时可参考软件工程软件管理的理论〔如ISO9000质量体系、CMM能力成熟度模型等〕。4〕软件工程为信息系统审计提供了审计方式方法和手段。在信息系统审计经过中，需要收集材料和数据，进行符合性和本质性审计测试。这一经过需要有一定的审计方式方法和技术手段，而软件工程正好能够提供。如对信息系统所运行的业务流程进行真实性、完好性的符合性测试，可通过审计技术文档，重构软件工程需求分析阶段的实体关系图、数据流图、数据字典的方式方法进行。如对信息系统所运行的业务流程进行真实性、完好性的本质性测试，可通过使用软件工程软件测试阶段的各种测试方式方法〔如静态、动态测试，白盒、黑盒测试、并行模拟等〕进行。3审计项目实践在2020年对(XX物流监管系统〕进行信息系统审计经过中，审计小组正是利用软件工程理论对整个系统的建设、施行、运行和维护经过进行了审计。主要审计成果如下。1〕工程建设管理。根据软件工程的要求，收集各阶段的管理和技术资料。在这里经过中，发现存在资料缺失、版本管理控制缺乏、某些必须的开发阶段被忽略，构成不符合相关法规和工程管理、技术上的问题及风险。2〕应用系统一般控制和个别控制。在对应用系统的一般控制审计时，主要对组织控制、人员职权职责的分配与分工及资源掌控、多系统互联及数据传输等方面进行了具体审查，发现了牵涉用户管理权限、人员背景调查、保密管理、数据传输控制缺乏等方面的缺乏与漏洞。在对应用系统的主要模块物流调拨模块进行个别控制审计时，使用了软件工程中的各种测试方式方法，对程序和数据进行了审计，发现了物资备案、调拨经过控制等业务方面的管理、控制缺乏，使部分无备案无审核的物资调拨得以进行，或者实际调拨数与申报数发生差异。3〕数据资产保卫和业务连续性。根据软件工程对软件维护阶段的标准和要求，对系统的数据保卫方案和业务连续性计划与施行进行审查，发现有单点故障、业务连续性计划缺乏、方案和计划施行不充分、无实际演练计划等问题和风险。4总结与瞻望本文闸述了软件工程与信息系统审计之间的关系，通过一个实际审计项目实例，展示了怎样利用软件工程的相关理论，从软件工程的视角来看待信息系统审计，并详细施行审计施行。一方面提高了信息系统审计中的规范性、操作性、可控制性和效率性，有利于审计项目的管理和审计项目质量的提高，降低审计风险；另一方面软件工程为信息系统审计提供了方式方法论和实用工具