信息系統(tǒng)審計(jì)

信息系統(tǒng)審計(jì)第一頁，共五十二頁，2022年，8月28日本章學(xué)習(xí)目標(biāo)1.掌握計(jì)算機(jī)信息系統(tǒng)功能審計(jì)的目標(biāo)2.熟練掌握利用測試數(shù)據(jù)法和平行模擬法對計(jì)算機(jī)信息系統(tǒng)功能審計(jì)3.了解利用程序編碼審查法、受控處理法、受控再處理法、整體測試法、程序比較法、漏洞掃描與入侵檢測法、嵌入審計(jì)程序法和程序跟蹤法等各種方法對計(jì)算機(jī)信息系統(tǒng)功能審計(jì)。第二頁，共五十二頁，2022年，8月28日第一節(jié)計(jì)算機(jī)信息系統(tǒng)功能審計(jì)的目標(biāo)一、查明信息系統(tǒng)處理功能的合法性二、查明信息系統(tǒng)處理功能的正確與恰當(dāng)性三、查明信息系統(tǒng)控制功能的健全有效性四、檢查并發(fā)現(xiàn)系統(tǒng)中易于被攻破和利用的漏洞第三頁，共五十二頁，2022年，8月28日第二節(jié)計(jì)算機(jī)信息系統(tǒng)功能審計(jì)的方法一、測試數(shù)據(jù)法測試數(shù)據(jù)法——將一組針對系統(tǒng)應(yīng)有功能而設(shè)計(jì)的測試數(shù)據(jù)輸入被審的系統(tǒng)進(jìn)行處理，將處理的結(jié)果與應(yīng)有的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)處理的處理與控制功能是否正確有效的一種系統(tǒng)功能審查方法。第四頁，共五十二頁，2022年，8月28日一、測試數(shù)據(jù)法（一）采用測試數(shù)據(jù)法進(jìn)行審查的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．針對系統(tǒng)應(yīng)有的功能設(shè)計(jì)測試業(yè)務(wù)數(shù)據(jù)，并根據(jù)系統(tǒng)應(yīng)有的功能準(zhǔn)備這些業(yè)務(wù)處理應(yīng)有的正確結(jié)果（又稱預(yù)期結(jié)果）。第五頁，共五十二頁，2022年，8月28日一、測試數(shù)據(jù)法（一）采用測試數(shù)據(jù)法進(jìn)行審查的步驟3．在專門的測試時(shí)間里，把測試數(shù)據(jù)輸入被審系統(tǒng)處理，得到處理結(jié)果。4．把實(shí)際的處理結(jié)果和預(yù)期的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)的功能是否正確有效。第六頁，共五十二頁，2022年，8月28日一、測試數(shù)據(jù)法（二）測試數(shù)據(jù)的準(zhǔn)備1.測試數(shù)據(jù)應(yīng)包括下列兩大類：（１）正常的、無誤的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的業(yè)務(wù)與信息處理功能是否恰當(dāng)。（２）有錯(cuò)漏、不完整、不合理、不正常的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的控制功能是否存在和有效。2.在準(zhǔn)備測試業(yè)務(wù)數(shù)據(jù)時(shí)，審計(jì)人員要注意系統(tǒng)功能的覆蓋。第七頁，共五十二頁，2022年，8月28日測試數(shù)據(jù)準(zhǔn)備的例子：審計(jì)人員準(zhǔn)備用測試數(shù)據(jù)法測試一個(gè)工資核算子系統(tǒng)，此系統(tǒng)的處理功能包括：1.可增、刪職工；2.可輸入與修改每個(gè)職工的工資數(shù)據(jù)；3.可根據(jù)輸入的數(shù)據(jù)計(jì)算各人的應(yīng)付工資、個(gè)人所得稅和實(shí)付工資；4.可根據(jù)各人工資的應(yīng)借科目自動(dòng)匯總并編制工資計(jì)提轉(zhuǎn)帳憑證送帳務(wù)處理子系統(tǒng);5.可輸出工資條、工資匯總表、銀行轉(zhuǎn)帳表等。第八頁，共五十二頁，2022年，8月28日測試數(shù)據(jù)準(zhǔn)備的例子：此系統(tǒng)的控制功能包括：1.增加職工時(shí)要檢查職工代碼及其銀行工資帳號(hào)不能留空或重復(fù)。2.刪除職工時(shí)所刪除的職工代碼必須存在。3.輸入與修改要檢查基本工資和工齡工資不得超過最大限額。第九頁，共五十二頁，2022年，8月28日測試數(shù)據(jù)準(zhǔn)備的例子：測試數(shù)據(jù)必須包括：1.增加職工:（1）所有數(shù)據(jù)正確（注意個(gè)人所得稅包括各個(gè)檔次）（2）職工代碼為空（3）職工代碼與已有職工重復(fù)（4）工資銀行帳號(hào)為空（5）工資銀行帳號(hào)與已有職工重復(fù)（6）其基本工資超出限額

(7)其工齡工資超出限額第十頁，共五十二頁，2022年，8月28日測試數(shù)據(jù)準(zhǔn)備的例子2.刪除職工:（1）其職工代碼存在（2）其職工代碼不存在3.修改數(shù)據(jù):（1）修改數(shù)據(jù)沒超出限額（2）修改基本工資超出限額（3）修改工齡工資超出限額第十一頁，共五十二頁，2022年，8月28日一、測試數(shù)據(jù)法（三）應(yīng)用測試數(shù)據(jù)法要注意的問題1.要注意證實(shí)被審查的應(yīng)用程序是被審單位現(xiàn)時(shí)真正使用的程序版本。2.此方法只能證明在處理測試數(shù)據(jù)時(shí)系統(tǒng)的功能是否正確，但它不能保證其他期間系統(tǒng)的功能是否正確、可靠。第十二頁，共五十二頁，2022年，8月28日一、測試數(shù)據(jù)法（四）測試數(shù)據(jù)法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：適用范圍廣，應(yīng)用簡單易行，對審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。2.缺點(diǎn)：可能不能發(fā)現(xiàn)程序中所有的錯(cuò)弊。第十三頁，共五十二頁，2022年，8月28日上機(jī)練習(xí)（一）

用測試數(shù)據(jù)法對用友U8的賬務(wù)處理子系統(tǒng)進(jìn)行審查，檢驗(yàn)它是否符合財(cái)政部的《會(huì)計(jì)核算軟件基本功能規(guī)范》（以下簡稱《規(guī)范》）《規(guī)范》的要求具體見《計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)》P502。第十四頁，共五十二頁，2022年，8月28日《規(guī)范》對賬務(wù)處理子系統(tǒng)的主要要求處理功能（不考慮輔助功能）1.數(shù)據(jù)輸入：⑴具備初始化功能，可輸入會(huì)計(jì)科目名稱、編號(hào)、年初數(shù)、累計(jì)發(fā)生數(shù)及有關(guān)數(shù)量指標(biāo)；提供對初始數(shù)據(jù)的正確性檢驗(yàn)；⑵具備記帳憑證輸入功能：輸入項(xiàng)目包括憑證日期、憑證號(hào)、摘要、科目、金額等。⑶對已輸入未登賬的憑證提供審核功能。第十五頁，共五十二頁，2022年，8月28日《規(guī)范》對賬務(wù)處理子系統(tǒng)的主要要求2.數(shù)據(jù)處理：⑴提供根據(jù)審核通過的憑證登記賬簿的功能，計(jì)算出科目發(fā)生客和余額。⑵提供按規(guī)定期間進(jìn)行結(jié)賬的功能。3.數(shù)據(jù)輸出：⑴提供對機(jī)內(nèi)會(huì)計(jì)數(shù)據(jù)查詢的功能。⑵提供記賬憑證、賬簿的打印輸出功能，打印的格式與內(nèi)容符合統(tǒng)一會(huì)計(jì)制度規(guī)定。（此條不作檢測）第十六頁，共五十二頁，2022年，8月28日《規(guī)范》對賬務(wù)處理子系統(tǒng)的主要要求控制功能：⑴輸入的記帳憑證不得與機(jī)內(nèi)憑證重號(hào)。⑵輸入科目編號(hào)的有效性檢驗(yàn)（存在的、最明細(xì)的、與憑證類型相對應(yīng)的）。⑶借貸方金額平衡。⑷憑證日期、憑證號(hào)、摘要、科目、金額等數(shù)據(jù)項(xiàng)要完整。⑸不接受已結(jié)賬月份的憑證輸入。⑹未審核的憑證不得記帳。⑺檢查當(dāng)月憑證已全部入帳才能結(jié)帳。第十七頁，共五十二頁，2022年，8月28日二、程序編碼審查法程序編碼審查法——直接對系統(tǒng)應(yīng)用程序的源程序編碼進(jìn)行審查，從而判斷系統(tǒng)的功能是否正確的審查方法。第十八頁，共五十二頁，2022年，8月28日二、程序編碼審查法（一）采用程序編碼審查法審計(jì)的步驟1．取得與被審程序有關(guān)的文檔資料，如程序說明書、程序流程圖、源程序表、與此程序有關(guān)的數(shù)據(jù)文件結(jié)構(gòu)和代碼表等。2．通過向有關(guān)人員詢問及查閱文檔資料了解被審程序應(yīng)有的處理和控制功能。第十九頁，共五十二頁，2022年，8月28日二、程序編碼審查法（一）采用程序編碼審查法審計(jì)的步驟3．審閱源程序表。對較復(fù)雜的程序，根據(jù)源程序畫出程序流程圖或核對原有的程序流程圖（如果文檔資料有流程圖的話）。通過對源程序和程序流程圖的分析，判斷被審程序是否能實(shí)現(xiàn)預(yù)定的功能，邏輯流程有無錯(cuò)誤，是否包含舞弊程序，最后導(dǎo)出審計(jì)結(jié)論。第二十頁，共五十二頁，2022年，8月28日二、程序編碼審查法（二）影響程序編碼審查法有效性的因素1.被審程序文檔資料的詳細(xì)程度與這些材料反映被審程序的準(zhǔn)確程度。2.被審程序的復(fù)雜程度。3.被審程序的編程語言和程序編寫方式。4.審計(jì)人員對程序語言和編程技術(shù)的精通程度。第二十一頁，共五十二頁，2022年，8月28日二、程序編碼審查法(三）程序編碼審查法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn):審計(jì)人員審查的是程序的本身，因此能發(fā)現(xiàn)程序中存在的任何錯(cuò)弊問題。2.缺點(diǎn)：對審計(jì)人員的計(jì)算機(jī)水平要求高，較費(fèi)時(shí)費(fèi)事，而且要注意證實(shí)被審的源程序確是真實(shí)運(yùn)行程序的源程序。第二十二頁，共五十二頁，2022年，8月28日三、受控處理法受控處理法——審計(jì)人員通過監(jiān)控系統(tǒng)對各類真實(shí)業(yè)務(wù)的處理并檢查其處理結(jié)果，進(jìn)而判斷系統(tǒng)功能是否正確。第二十三頁，共五十二頁，2022年，8月28日三、受控處理法（一）采用受控處理法進(jìn)行審查的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．在系統(tǒng)正常的運(yùn)行中，審計(jì)人員監(jiān)控系統(tǒng)對各類真實(shí)業(yè)務(wù)的處理，取得相應(yīng)的處理結(jié)果；同時(shí)，審計(jì)人員根據(jù)正確的處理原則對相應(yīng)的業(yè)務(wù)處理，得到正確的處理結(jié)果。3．把系統(tǒng)處理結(jié)果與正確結(jié)果比較，從而判斷被審系統(tǒng)功能是否正確有效。第二十四頁，共五十二頁，2022年，8月28日三、受控處理法（二）解決真實(shí)業(yè)務(wù)不能覆蓋系統(tǒng)功能的方法1.審計(jì)人員應(yīng)詳細(xì)了解被審單位的各類真實(shí)業(yè)務(wù)發(fā)生和處理的時(shí)間，根據(jù)實(shí)際情況確定測試日期。測試可以安排在多個(gè)不同的工作日，甚至持續(xù)一段時(shí)間。2.對于系統(tǒng)的控制功能，常要通過一些不完整、不正常、不合理的業(yè)務(wù)輸入系統(tǒng)進(jìn)行檢查。第二十五頁，共五十二頁，2022年，8月28日三、受控處理法（三）受控處理法的優(yōu)點(diǎn)1.優(yōu)點(diǎn)：簡單、易行，不用準(zhǔn)備測試數(shù)據(jù)，對審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。2.缺點(diǎn)：在某一時(shí)間里，真實(shí)業(yè)務(wù)可能不能覆蓋系統(tǒng)的所有功能，此方法可能不能發(fā)現(xiàn)系統(tǒng)存在的所有問題。第二十六頁，共五十二頁，2022年，8月28日四、受控再處理法受控再處理法——通過比較被審系統(tǒng)與經(jīng)審查證實(shí)功能正確的原系統(tǒng)對同一批業(yè)務(wù)處理的結(jié)果來判斷被審系統(tǒng)是否被修改過、其功能是否正確的審查方法。第二十七頁，共五十二頁，2022年，8月28日四、受控再處理法（一）采用受控再處理法進(jìn)行審查的步驟1．審計(jì)人員曾采用測試數(shù)據(jù)法對該系統(tǒng)的應(yīng)用程序功能進(jìn)行審計(jì)，當(dāng)時(shí)的審查證實(shí)系統(tǒng)的處理和控制功能正確有效。審計(jì)人員保留了當(dāng)時(shí)審查用的測試數(shù)據(jù)和處理結(jié)果。2．再次對該系統(tǒng)審計(jì)前，審計(jì)人員通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料，了解被審系統(tǒng)自上次審計(jì)以來是否經(jīng)過修改維護(hù)，明確系統(tǒng)應(yīng)有的處理和控制功能。第二十八頁，共五十二頁，2022年，8月28日四、受控再處理法（一）采用受控再處理法進(jìn)行審查的步驟3．在審計(jì)人員的監(jiān)控下，把保留下來的以前審查用過的測試數(shù)據(jù)輸入被審系統(tǒng)再處理，得到處理結(jié)果。4．比較兩次處理的結(jié)果，從而判斷系統(tǒng)是否經(jīng)過改動(dòng)，功能是否正確有效。第二十九頁，共五十二頁，2022年，8月28日四、受控再處理法（二）受控再處理法的變種審計(jì)人員保留的不是上次測試用的測試數(shù)據(jù)和測試結(jié)果，而是經(jīng)審查證實(shí)功能正確的系統(tǒng)應(yīng)用程序。審計(jì)時(shí)，在審計(jì)人員的監(jiān)控下，把測試數(shù)據(jù)分別輸入被審系統(tǒng)和審計(jì)人員保留下來的經(jīng)審系統(tǒng)處理，比較兩者的處理結(jié)果，從而判斷被審系統(tǒng)是否被改動(dòng)過、功能是否正確第三十頁，共五十二頁，2022年，8月28日四、受控再處理法（三）受控再處理法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：具有測試數(shù)據(jù)法同樣的優(yōu)點(diǎn)。與測試數(shù)據(jù)法相比，它不用準(zhǔn)備測試數(shù)據(jù)和預(yù)期結(jié)果，因此，更省事簡便。2.缺點(diǎn)：具有測試數(shù)據(jù)法同樣的缺點(diǎn)。與測試數(shù)據(jù)法相比，它只能用于對一個(gè)系統(tǒng)的再次審計(jì)，不可用于首次審計(jì)。第三十一頁，共五十二頁，2022年，8月28日五、整體測試法(ITF)整體測試法——又叫集成檢測法或小公司法。它根據(jù)系統(tǒng)是用同一應(yīng)用程序處理各分公司（或部門、或其他個(gè)體）業(yè)務(wù)的原理，通過審查系統(tǒng)對虛構(gòu)公司測試業(yè)務(wù)的處理結(jié)果來判斷系統(tǒng)的功能是否正確。第三十二頁，共五十二頁，2022年，8月28日五、整體測試法（一）采用整體檢測法進(jìn)行審查的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．在被審系統(tǒng)中建立一個(gè)虛擬的公司（根據(jù)所審查的程序功能，還可以是虛擬部門、虛擬供應(yīng)商、虛擬顧客等），針對系統(tǒng)應(yīng)有的功能，設(shè)計(jì)與虛擬公司有關(guān)的測試業(yè)務(wù)，并準(zhǔn)備這些測試業(yè)務(wù)處理應(yīng)有的正確結(jié)果。第三十三頁，共五十二頁，2022年，8月28日五、整體測試法（一）采用整體檢測法進(jìn)行審查的步驟3．在被審系統(tǒng)正常運(yùn)行時(shí)，把虛構(gòu)公司的測試數(shù)據(jù)和被審單位的真實(shí)數(shù)據(jù)一起輸入系統(tǒng)處理。

4．把系統(tǒng)對虛擬公司測試業(yè)務(wù)的處理結(jié)果與應(yīng)有的正確結(jié)果比較，從而判斷被審系統(tǒng)的處理和控制功能是否正確。第三十四頁，共五十二頁，2022年，8月28日五、整體測試法（二）消除測試數(shù)據(jù)對被審單位真實(shí)數(shù)據(jù)影響的方法1．處理虛擬公司的測試業(yè)務(wù)后，盡快向系統(tǒng)輸入沖消業(yè)務(wù)，以沖回測試業(yè)務(wù)對系統(tǒng)業(yè)務(wù)和匯總信息的影響。2．在被審系統(tǒng)中嵌入審計(jì)程序，對審查用的測試業(yè)務(wù)進(jìn)行標(biāo)記，嵌入的審計(jì)程序可對標(biāo)記的業(yè)務(wù)進(jìn)行過濾，防止這些業(yè)務(wù)進(jìn)入?yún)R總信息或輸出與其相聯(lián)系的重要單據(jù)（如發(fā)貨單、支票、發(fā)票等）的輸出。第三十五頁，共五十二頁，2022年，8月28日五、整體測試法（三）整體檢測法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：具有測試數(shù)據(jù)法同樣的優(yōu)點(diǎn)。與測試數(shù)據(jù)法相比，它是動(dòng)態(tài)的審查方法，可確定系統(tǒng)在真實(shí)業(yè)務(wù)處理時(shí)的功能是否正確。2.具有測試數(shù)據(jù)法同樣的缺點(diǎn)。與測試數(shù)據(jù)法相比，因?yàn)樗窃谙到y(tǒng)真實(shí)業(yè)務(wù)處理中對系統(tǒng)進(jìn)行測試的，若對測試數(shù)據(jù)沒有良好控制，可能會(huì)影響被審單位的真實(shí)數(shù)據(jù)。第三十六頁，共五十二頁，2022年，8月28日六、平行模擬法平行模擬法——又叫并行模擬法，它是通過比較被審系統(tǒng)和模擬系統(tǒng)對被審單位真實(shí)業(yè)務(wù)處理的結(jié)果來判斷被審系統(tǒng)功能是否正確的一種系統(tǒng)功能的審查方法。第三十七頁，共五十二頁，2022年，8月28日六、平行模擬法（一）采用平行模擬法進(jìn)行審計(jì)的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．審計(jì)人員取得一套具有被審系統(tǒng)應(yīng)有的處理和控制功能、且功能正確的模擬系統(tǒng)。模擬系統(tǒng)可以專門開發(fā)，也可以通過別的途徑取得，例如購買商品化通用軟件。第三十八頁，共五十二頁，2022年，8月28日六、平行模擬法（一）采用平行模擬法進(jìn)行審計(jì)的步驟3．把被審單位真實(shí)的業(yè)務(wù)數(shù)據(jù)分別輸入模擬系統(tǒng)與被審系統(tǒng)進(jìn)行處理，并分別得出處理結(jié)果。4．把兩者的處理結(jié)果進(jìn)行比較，從而確定被審系統(tǒng)功能是否正確。第三十九頁，共五十二頁，2022年，8月28日六、平行模擬法（二）平行模擬法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：一旦取得了模擬程序，可以隨時(shí)對被審系統(tǒng)進(jìn)行抽查，也可以用模擬系統(tǒng)重新處理全部的真實(shí)業(yè)務(wù)數(shù)據(jù)，進(jìn)行比較全面的審查。2.缺點(diǎn)：模擬系統(tǒng)的開發(fā)通常需要花費(fèi)較長的時(shí)間，開發(fā)或購買費(fèi)用都較高；而且，如果實(shí)際使用的系統(tǒng)更新，則模擬系統(tǒng)亦要隨之更新，相應(yīng)要增加費(fèi)用。第四十頁，共五十二頁，2022年，8月28日七、程序比較法程序比較法——是一種通過把被審程序與標(biāo)準(zhǔn)程序進(jìn)行比較，進(jìn)而確定二者是否一致，被審程序功能是否正確的一種審查方法。第四十一頁，共五十二頁，2022年，8月28日七、程序比較法（一）采用程序比較法進(jìn)行審計(jì)的步驟1．被審的應(yīng)用程序曾被審查過且證實(shí)其處理與控制功能正確有效。審計(jì)人員保存了一份該程序的備份，且確保沒人可改動(dòng)它。2．審計(jì)時(shí)，審計(jì)人員使用專門的程序比較軟件來比較在用的被審程序和此備份程序，確定兩者是否有差異，進(jìn)而確定在用的被審程序是否被改動(dòng)過，功能是否正確。第四十二頁，共五十二頁，2022年，8月28日七、程序比較法（二）程序比較法的具體使用1.比較源程序：要注意確保真實(shí)運(yùn)行的程序由被審源程序編譯而成。2.比較目標(biāo)程序：發(fā)現(xiàn)差異時(shí)很難判斷差異帶來的后果。第四十三頁，共五十二頁，2022年，8月28日七、程序比較法（三）程序比較法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：這種方法因?yàn)楸容^的是程序的本身，因此能發(fā)現(xiàn)被審程序的任何改動(dòng)。2.缺點(diǎn)：要使用程序比較軟件，而且當(dāng)發(fā)現(xiàn)兩者有差異時(shí)，要進(jìn)一步判斷修改后的程序功能是否恰當(dāng)比較困難。第四十四頁，共五十二頁，2022年，8月28日八、漏洞掃描與入侵檢測（一）漏洞掃描漏洞掃描是一種自動(dòng)檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對系統(tǒng)可能存在的“活動(dòng)天窗”、有漏洞軟件的配置錯(cuò)誤等各種脆弱點(diǎn)，對系統(tǒng)進(jìn)行掃描，并按統(tǒng)一的格式輸出掃描結(jié)果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。第四十五頁，共五十二頁，2022年，8月28日八、漏洞掃描與入侵檢測（二）入侵檢測入侵檢測指對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的處理過程。檢測程序可以根據(jù)用戶的行為和系統(tǒng)資源的使用情況是