信息系統(tǒng)審計(jì)方法與工具

信息系統(tǒng)審計(jì)方法與工具一、信息系統(tǒng)主要審計(jì)方法信息系統(tǒng)審計(jì)方法是為了完成信息系統(tǒng)審計(jì)任務(wù)所采取的手段。在信息系統(tǒng)審計(jì)工作中，要完成每一項(xiàng)審計(jì)工作，都應(yīng)選擇合適的審計(jì)方法。信息系統(tǒng)審計(jì)方法主要包括訪談法、調(diào)查法、檢查法、觀察法、測(cè)試和平行模擬法、程序代碼檢查、編碼比較法、風(fēng)險(xiǎn)評(píng)估法等。（一） 訪談法訪談法是指通過(guò)面對(duì)面或在線視頻、音頻等方式交談來(lái)了解被審計(jì)對(duì)象的信息。依據(jù)不同問(wèn)題的性質(zhì)、目的或?qū)ο螅捎貌煌脑L談形式。（二） 調(diào)查法調(diào)查法是在制定調(diào)研計(jì)劃的基礎(chǔ)上，通過(guò)書面或口頭回答問(wèn)題的方式收集研究對(duì)象的相關(guān)資料，并做出分析綜合，得到某一結(jié)論的研究方法。（三） 檢查法檢查法是指內(nèi)部審計(jì)人員對(duì)組織內(nèi)部或外部生成的記錄和文件（包括但不限于紙質(zhì)、電子或其他介質(zhì)形式存在的資料）進(jìn)行檢查，或?qū)Y產(chǎn)進(jìn)行實(shí)物檢查。信息系統(tǒng)審計(jì)人員審閱可行性研究報(bào)告、系統(tǒng)分析說(shuō)明書、現(xiàn)狀分析報(bào)告、輸入輸出和代碼調(diào)查表等文檔，檢查上述文檔以及相應(yīng)的信息系統(tǒng)建設(shè)、應(yīng)用、管理、運(yùn)行是否符合國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及組織內(nèi)部規(guī)章制度等。（四） 觀察法內(nèi)部審計(jì)人員運(yùn)用觀察法，觀察被審計(jì)組織員工的職責(zé)履行情況以及業(yè)務(wù)操作程序等以識(shí)別員工的邏輯訪問(wèn)權(quán)限是否合規(guī)，軟硬件物理控制是否有效，盤點(diǎn)信息資產(chǎn)是否安全。（五） 數(shù)據(jù)測(cè)試的黑、白盒法與平行模擬法數(shù)據(jù)測(cè)試法：從計(jì)算機(jī)輸入開始，跟蹤某項(xiàng)業(yè)務(wù)直至計(jì)算機(jī)輸出，以檢驗(yàn)計(jì)算機(jī)應(yīng)用程序、控制程序和系統(tǒng)可靠性。黑盒法：當(dāng)內(nèi)部審計(jì)人員重點(diǎn)關(guān)注程序是否達(dá)到所需求的功能時(shí)，可采用黑盒法來(lái)設(shè)計(jì)測(cè)試數(shù)據(jù)。黑盒法設(shè)計(jì)出的測(cè)試數(shù)據(jù)除了可以檢查程序功能上的錯(cuò)誤和缺陷外，還可以審計(jì)系統(tǒng)用戶界面、接口、效率、初始化和終止錯(cuò)誤。白盒法：當(dāng)內(nèi)部審計(jì)人員主要關(guān)注在程序中是否存在錯(cuò)誤的執(zhí)行路線時(shí)可以采用白盒法。白盒法是從程序內(nèi)部的邏輯結(jié)構(gòu)出發(fā)選取測(cè)試數(shù)據(jù)的方法，它的原理是通過(guò)審計(jì)程序中的所有執(zhí)行路線來(lái)發(fā)現(xiàn)程序中的錯(cuò)誤和缺陷。平行模擬法：針對(duì)某應(yīng)用程序，審計(jì)人員用一個(gè)獨(dú)立的程序去模擬該程序的部分功能，對(duì)輸入數(shù)據(jù)同時(shí)進(jìn)行并行處理，其結(jié)果和該應(yīng)用程序處理的結(jié)果進(jìn)行比較以驗(yàn)證其功能正確性的方法。具體應(yīng)用是先將測(cè)試數(shù)據(jù)輸入信息系統(tǒng)和測(cè)試程序，經(jīng)程序處理后輸出結(jié)果，然后將輸出結(jié)果與測(cè)試程序的結(jié)果相比較，從而確定系統(tǒng)的控制及應(yīng)用程序在邏輯上是否正確。內(nèi)部審計(jì)人員在設(shè)計(jì)測(cè)試數(shù)據(jù)時(shí)，應(yīng)充分考慮信息系統(tǒng)中可能發(fā)生的每一種錯(cuò)誤包括但不限于：數(shù)據(jù)類型錯(cuò)誤。順序紊亂的編碼。數(shù)據(jù)超越了限制的條件。數(shù)據(jù)比較出錯(cuò)。無(wú)效的賬戶編碼及關(guān)鍵字。不合理的邏輯條件判斷。內(nèi)部數(shù)據(jù)文件不匹配。計(jì)量單位用錯(cuò)。（六） 程序代碼檢查法、編碼比較法程序代碼檢查法是指對(duì)被審計(jì)程序的指令逐條審計(jì)，以驗(yàn)證程序的合法性、完整性和程序邏輯的正確性。程序編碼比較法：比較兩個(gè)及以上獨(dú)立保管的被審計(jì)程序版本，以確定被審計(jì)程序是否經(jīng)過(guò)修改，并評(píng)估程序的改動(dòng)所帶來(lái)的后果。（七） 風(fēng)險(xiǎn)評(píng)估法風(fēng)險(xiǎn)評(píng)估常用技術(shù)。分級(jí)技術(shù)：根據(jù)審計(jì)對(duì)象的技術(shù)復(fù)雜性、現(xiàn)有控制程序的水平、可能造成的財(cái)務(wù)損失等各種因素的風(fēng)險(xiǎn)值累計(jì)為總風(fēng)險(xiǎn)值，根據(jù)分值大小進(jìn)行排列分為高、中、低級(jí)風(fēng)險(xiǎn)。經(jīng)驗(yàn)判斷法：內(nèi)部審計(jì)人員根據(jù)專業(yè)經(jīng)驗(yàn)、業(yè)務(wù)知識(shí)、管理層的指導(dǎo)、業(yè)務(wù)目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險(xiǎn)大小。二、信息系統(tǒng)審計(jì)的工具（一） 數(shù)據(jù)分析工具數(shù)據(jù)分析工具主要有文件查找工具、數(shù)據(jù)檢索工具、數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換工具、指針檢測(cè)工具、數(shù)據(jù)處理工具（包括但不限于排序、合并、復(fù)制、創(chuàng)建、修改、刪除、重組）、文件打印工具、數(shù)據(jù)比較工具等。（二） 數(shù)據(jù)庫(kù)審計(jì)工具數(shù)據(jù)庫(kù)審計(jì)工具是指跟蹤數(shù)據(jù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)變化的工具。包括本地?cái)?shù)據(jù)庫(kù)審計(jì)、安全信息和事件管理及日志管理、數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控等。（三）源代碼安全審計(jì)工具源代碼安全審計(jì)是依據(jù)公共漏洞字典表、開放式Web應(yīng)用程序安全項(xiàng)目以及設(shè)備、軟件廠商公布的漏洞庫(kù)，結(jié)合專業(yè)源代碼掃描工具對(duì)各種程序語(yǔ)言編寫的源代碼進(jìn)行安全審計(jì)。可提供包括安全編碼規(guī)范咨詢、源代碼安全現(xiàn)狀測(cè)評(píng)、定位源代碼中存在的安全漏洞、分析漏洞風(fēng)險(xiǎn)、提出修改建議等一系列服務(wù)。（四） 日志安全審計(jì)工具日志安全審計(jì)目的是收集系統(tǒng)日志，通過(guò)從各種網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶計(jì)算機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進(jìn)行統(tǒng)一管理和分析。日志審計(jì)系統(tǒng)功能包括信息采集、信息分析、信息存儲(chǔ)、信息展示等功能。（五） 網(wǎng)絡(luò)安全審計(jì)工具網(wǎng)絡(luò)安全審計(jì)是指按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。也是檢查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)并采取相應(yīng)措施的一個(gè)過(guò)程。網(wǎng)絡(luò)安全審計(jì)從審計(jì)級(jí)別上可分為三種類型：系統(tǒng)級(jí)審計(jì)、應(yīng)用級(jí)審計(jì)和用戶級(jí)審計(jì)。（六）專用審計(jì)工具箱包括病毒查殺軟件、壞