第六章信息系统功能的审计.pptVIP

信息系统功能审计也称为信息系统应用程序审计. 一、计算机信息系统功能审计的目标 1、查明信息系统处理功能的合法性 2、查明信息系统处理功能的正确与恰当性 3、查明信息系统控制功能的健全有效性 4、检查并发现系统中易于被攻破和利用的漏洞 二、信息系统功能审计的方法： （1）程序编码审计法 （2）测试数据法 （3）受控处理法 （4）受控再处理法 （5）整体测试法 （6）平行模拟法 （7）程序比较法 （8）程序跟踪法 (一)程序编码审查法 程序编码审查法——直接对系统应用程序的源程序编码进行审查，从而判断系统的功能是否正确的审查方法。 采用程序编码审查法审计的步骤: 1．取得与被审程序有关的文档资料，如程序说明书、程序流程图、源程序表、与此程序有关的数据文件结构和代码表等。 2．通过向有关人员询问及查阅文档资料了解被审程序应有的处理和控制功能。 3．审阅源程序表。 对较复杂的程序，根据源程序画出程序流程图或核对原有的程序流程图（如果文档资料有流程图的话）。通过对源程序和程序流程图的分析，判断被审程序是否能实现预定的功能，逻辑流程有无错误，是否包含舞弊程序，最后导出审计结论。 4.评价审查结果 影响程序编码审查法有效性的因素: 1.被审程序文档资料的详细程度与这些材料反映被审程序的准确程度。 2.被审程序的复杂程度。 3.被审程序的编程语言和程序编写方式。 4.审计人员对程序语言和编程技术的精通程度。 程序编码审查法的优缺点: 1.优点:审计人员审查的是程序的本身，因此能发现程序中存在的任何错弊问题。 2.缺点：对审计人员的计算机水平要求高，较费时费事，而且要注意证实被审的源程序确是真实运行程序的源程序。 (二)测试数据法 测试数据法——将一组针对系统应有功能而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法。 采用测试数据法进行审查的步骤: 1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2．针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确结果（又称预期结果）。 3．在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。 4．把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效。 测试数据的准备: 1.测试数据应包括下列两大类： （１）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。 （２）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。 2.在准备测试业务数据时，审计人员要注意系统功能的覆盖。 测试数据准备的例子 审计人员准备用测试数据法测试一个工资核算子系统，此系统的处理功能包括： 1.可增、删职工； 2.可输入与修改每个职工的工资数据； 3.可根据输入的数据计算各人的应付工资、个人所得税和实付工资； 4.可根据各人工资的应借科目自动汇总并编制工资计提转帐凭证送帐务处理子系统; 5.可输出工资条、工资汇总表、银行转帐表等。 此系统的控制功能包括： 1.增加职工时要检查职工代码及其银行工资帐号不能留空或重复。 2.删除职工时所删除的职工代码必须存在。 3.输入与修改要检查基本工资和工龄工资不得超过最大限额。 测试数据准备的例子 测试数据必须包括： 1.增加职工 : （1）所有数据正确（注意个人所得税包括各个档次） （2）职工代码为空 （3）职工代码与已有职工重复 （4）其基本工资超出限额 （5）其工龄工资超出限额 2 .删除职工 : （1）其职工代码存在 （2）其职工代码不存在 3.修改数据:（1）修改数据没超出限额 （2）修改基本工资超出限额 （3）修改工龄工资超出限额 应用测试数据法要注意的问题： 1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。 2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功能是否正确、可靠。 测试数据法的优缺点 1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。 2缺点：可能不能发现程序中所有的错弊。 （三）受控处理法 受控处理法——审计人员通过监控系统对各类真实业务的处理并检查其处理结果，进而判断系统功能是否正确。 采用受控处理法进行审查的步骤 1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2．在系统正常的运行中，审计人员监控系统对各类真实业务的处理，取得相应的处理结果；同时，审计人员根据正确的处理原则对相应的业务处理，得到正确的处理结果。 3．把系统处