基于数据质量评估的信息系统审计方法.docVIP

基于数据质量评估的信息系统审计方法 陈 伟，姜玉泉 南京审计学院 信息管理系，江苏 南京，210029 chenweich@ 摘要：信息系统审计是目前信息管理领域研究的一个热点。本文简要分析了信息系统审计的主要内容，以及常见的信息系统审计方法。在此基础上，提出了基于数据质量评估的信息系统审计方法，该方法通过评估被审计单位信息系统中电子数据的数据质量，来间接评价被审计单位信息系统的应用控制状况，从而达到信息系统审计的目的。本文的工作为开展信息系统审计提供了新的研究思路。 关键词：信息系统审计，数据质量，审计方法 1 引 言 随着信息技术在各行各业的普及，信息资源像其它有价值的资源一样，对其单位来说是非常重要的。为了确保信息资源能有效地为其单位服务，信息系统审计逐渐引起企业界、学术界以及政府管理部门的关注。信息系统审计（Information System Audit，ISA）一般理解为对计算机信息系统的审计，信息系统审计的国际权威组织——国际信息系统审计和控制协会给信息系统审计作了如下定义[1] ：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。 信息系统审计所包含的范围很广，目前信息系统审计研究与应用的主要内容包括：信息系统开发与维护审计、信息系统安全审计、信息系统应用控制审计（如输入控制审计、处理控制审计和输出控制审计）、业务持续，灾难恢复等。 根据以上信息系统审计的定义，确定信息系统能否适当地维护数据完整、提供相关和可靠的信息是信息系统审计的一个重要方面。为了达到这一目的，本文中，作者提出了一种基于数据质量评估的信息系统审计方法。 2 常见的信息系统审计方法 为了确定信息系统能否适当地维护数据完整、提供相关和可靠的信息，一些信息系统审计方法被设计出来，常见的这类方法分析如下[2] 。 （1） 平行模拟 平行模拟（Parallel Simulation）是指针对某一应用程序，审计人员用一个独立的程序去模拟该程序的部分功能，在输入数据的同时进行并行处理，其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。其原理如图1所示。 图1 平行模拟原理 平行模拟法的优点是一旦取得了模拟程序，可以随时对被审系统进行抽查，也可以用模拟系统重新处理全部的真实业务数据，进行比较全面的审查。与抽查相比，可以进行更彻底的测试。其主要缺点是模拟系统的开发通常需要花费较长的时间，开发或购买费用都较高；另外，如果被审计的系统更新，则模拟系统亦要随之更新，相应要增加费用。 （2）测试数据 测试数据技术（Test Data）是指采用审计人员准备好的输入数据来检测应用系统，通过将处理的结果与应有的正确结果进行比较，从而检测应用系统的逻辑问题和控制问题的一种方法。测试数据法的优点是适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。因此，它被广泛应用于各种系统的测试和验收。其主要的缺点是可能不能发现程序中所有的错弊。 （3）集成测试技术 集成测试技术（Integrated Test Facility，ITF）是通过在正常的应用系统中创建一个虚拟的部分或分支，从而提供一个内置的测试工具。它一般用来审计复杂的应用系统，其原理如图2所示。该技术是在系统正常处理过程中进行测试的，因此可直接测试到被审计系统在真实业务处理时的功能是否正确有效。然而，整体检测法也有弊端。因为测试是在系统真实业务处理过程中进行的，如果未能及时、恰当的处理虚拟的测试数据，这些虚拟的测试数据可能会对被审计单位真实的业务和汇总的信息造成破坏或影响。 图2 集成测试技术原理 （4）程序编码审查 程序编码审查（Program Code Review）是对应用系统的编码进行详细审查的一种技术，它一般不被算作真正的计算机辅助审计技术。通过审查程序编码，审计人员可以识别出程序中的错误代码、未被授权的代码、无效的代码、效率低的代码以及不标准的代码。这种技术的优点是审计人员审查的是程序本身，因此能发现程序中存在的任何错弊问题。其缺点是对审计人员的计算机水平要求高，比较费事费时，而且要确认被审计的源程序的确是真实运行系统的源程序。 （5）程序代码比较 程序代码比较（Program Code Comparison）是指审计人员对程序的两个版本进行比较。审计人员使用这种技术的目的主要有：第一、检查被审计单位所给的被审计系统和被审计单位所使用的系统是否是同一软件；第二、检查和前一个版本相比，程序代码是否发生了变化，如果发生了变化，是否有程序变更管理程序。 （6）跟踪 审计人员