從軟件工程的視角來(lái)進(jìn)行信息系統(tǒng)審計(jì)的實(shí)踐,審計(jì)論文

從軟件工程的視角來(lái)進(jìn)行信息系統(tǒng)審計(jì)的實(shí)踐,審計(jì)論文在信息技術(shù)向人們工作、生活的每一個(gè)角落發(fā)起全面沖擊的大潮中，對(duì)每個(gè)行業(yè)都帶來(lái)了革命性的變革。為適應(yīng)這種變革，企業(yè)、單位、機(jī)構(gòu)等都投入了大量的人力、物力資源構(gòu)建復(fù)雜的信息系統(tǒng)來(lái)提高工作效率，完善工作管理。企業(yè)構(gòu)建的是MIS、ERP、CRM等系統(tǒng)，主要追求的是經(jīng)濟(jì)效益，等機(jī)構(gòu)和組織構(gòu)建的是電子政務(wù)系統(tǒng)〔G2B、G2C〕，主要追求的是社會(huì)效益。對(duì)于這些信息系統(tǒng)能否能實(shí)現(xiàn)業(yè)務(wù)、管理的需求，真實(shí)的反響整個(gè)業(yè)務(wù)、管理經(jīng)過(guò)，并能夠適應(yīng)各種需求的變化，最終實(shí)現(xiàn)所要追求的經(jīng)濟(jì)和社會(huì)效益，需要對(duì)信息系統(tǒng)生命周期中的某些或者全部經(jīng)過(guò)進(jìn)行評(píng)介，即通過(guò)信息系統(tǒng)審計(jì)的經(jīng)過(guò)，對(duì)信息系統(tǒng)的真實(shí)、合法、有效進(jìn)行審計(jì)和評(píng)價(jià)。軟件工程正是構(gòu)建這些復(fù)雜信息系統(tǒng)的工程理論基礎(chǔ)。因而從軟件工程的視角來(lái)進(jìn)行信息系統(tǒng)審計(jì)的實(shí)踐有著必要性和必然性。1軟件工程和信息系統(tǒng)審計(jì)的介紹軟件工程是一門(mén)研究用工程化方式方法構(gòu)建和維護(hù)有效、實(shí)用和高質(zhì)量的軟件的學(xué)科，它著重研究和應(yīng)用怎樣以系統(tǒng)性的、規(guī)范化的、可定量的經(jīng)過(guò)化方式方法去開(kāi)發(fā)和維護(hù)軟件，以及怎樣把經(jīng)過(guò)時(shí)間考驗(yàn)而證明正確的管理技術(shù)和當(dāng)下能夠得到的最好的技術(shù)方式方法結(jié)合起來(lái)。軟件工程包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試和維護(hù)等經(jīng)過(guò)。信息系統(tǒng)審計(jì)〔InformationSystemsAudit，ISA〕是一個(gè)經(jīng)過(guò)，在這里經(jīng)過(guò)中審計(jì)人員搜集和評(píng)估證據(jù)以確定信息系統(tǒng)和相關(guān)資源能否充分保衛(wèi)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完好性、提供相關(guān)和可靠信息、有效實(shí)現(xiàn)組織機(jī)構(gòu)目的、有效地使用資源、包含有效內(nèi)部控制以提供運(yùn)營(yíng)和控制目的得到知足的合理保障〔國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA的標(biāo)準(zhǔn)定義〕。信息系統(tǒng)審計(jì)的目的愈加注重于從信息資產(chǎn)的安全性、數(shù)據(jù)的完好性以及系統(tǒng)的可靠性、有效性和效率性等方面出發(fā)，對(duì)信息系統(tǒng)從開(kāi)發(fā)、運(yùn)行到維護(hù)的整個(gè)生命周期經(jīng)過(guò)進(jìn)行全面審查與評(píng)價(jià)，以確定其能否能夠有效可靠地到達(dá)組織的戰(zhàn)略目的，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出建議。2軟件工程對(duì)信息系統(tǒng)審計(jì)的助力1〕兩者研究的內(nèi)容高度重合。信息系統(tǒng)審計(jì)主要有6方面的內(nèi)容，包括信息系統(tǒng)審計(jì)程序；IT治理〔信息技術(shù)治理〕；系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理；IT服務(wù)的交付與支持；信息資產(chǎn)的保衛(wèi)；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。軟件工程研究的內(nèi)容涵蓋軟件的技術(shù)方式方法、軟件工程管理，詳細(xì)為在定義、開(kāi)發(fā)、運(yùn)行和維護(hù)三個(gè)階段中的技術(shù)管理、工程管理各階段的工程質(zhì)量實(shí)現(xiàn)。軟件工程研究的內(nèi)容包含在信息系統(tǒng)審計(jì)內(nèi)容中重要的后4項(xiàng)。2〕兩者的目的有一致性。信息系統(tǒng)審計(jì)的目的是通過(guò)對(duì)信息系統(tǒng)的審查，評(píng)價(jià)系統(tǒng)的真實(shí)性、合法性、有效性，發(fā)現(xiàn)信息系統(tǒng)在使用和管理經(jīng)過(guò)中存在的問(wèn)題，確定能否存在漏洞和缺陷，有無(wú)非法和錯(cuò)誤的處理和控制的薄弱環(huán)節(jié)，客觀評(píng)價(jià)系統(tǒng)的現(xiàn)在狀況，促進(jìn)被審計(jì)單位進(jìn)一步加強(qiáng)信息系統(tǒng)管理，完善信息系統(tǒng)功能，保證和完善各項(xiàng)流程，防備利用計(jì)算機(jī)系統(tǒng)進(jìn)行欺詐與舞弊，并提出具有建設(shè)性的建議。軟件工程的目的是在給定成本、進(jìn)度的前提下，開(kāi)發(fā)出具有適用性、有效性、可修改性、可靠性、可理解性、可維護(hù)性、可重用性、可移植性、可追蹤性、可互操作性和知足用戶需求的軟件產(chǎn)品，盡量減少軟件在運(yùn)行經(jīng)過(guò)中的漏洞和缺陷。追求這些目的有助于提高軟件產(chǎn)品的質(zhì)量和開(kāi)發(fā)效率，減少維護(hù)的困難，提高信息系統(tǒng)的效益。兩者的目的具有一定的一致性。3〕軟件工程定義的標(biāo)準(zhǔn)、規(guī)范為信息系統(tǒng)審計(jì)部分審計(jì)事項(xiàng)的評(píng)介提供了參考。軟件工程經(jīng)過(guò)主要包括開(kāi)發(fā)經(jīng)過(guò)、動(dòng)作經(jīng)過(guò)、維護(hù)經(jīng)過(guò)，在這些經(jīng)過(guò)中都有著明確的規(guī)則、規(guī)范、要求以及需要到達(dá)的質(zhì)量標(biāo)準(zhǔn)。在信息系統(tǒng)審計(jì)經(jīng)過(guò)，通過(guò)材料和證據(jù)的收集，能夠參考軟件工程的標(biāo)準(zhǔn)，對(duì)審計(jì)事項(xiàng)發(fā)表審計(jì)評(píng)價(jià)。如對(duì)信息系統(tǒng)的工程管理質(zhì)量發(fā)表評(píng)價(jià)時(shí)可參考軟件工程軟件管理的理論〔如ISO9000質(zhì)量體系、CMM能力成熟度模型等〕。4〕軟件工程為信息系統(tǒng)審計(jì)提供了審計(jì)方式方法和手段。在信息系統(tǒng)審計(jì)經(jīng)過(guò)中，需要收集材料和數(shù)據(jù)，進(jìn)行符合性和本質(zhì)性審計(jì)測(cè)試。這一經(jīng)過(guò)需要有一定的審計(jì)方式方法和技術(shù)手段，而軟件工程正好能夠提供。如對(duì)信息系統(tǒng)所運(yùn)行的業(yè)務(wù)流程進(jìn)行真實(shí)性、完好性的符合性測(cè)試，可通過(guò)審計(jì)技術(shù)文檔，重構(gòu)軟件工程需求分析階段的實(shí)體關(guān)系圖、數(shù)據(jù)流圖、數(shù)據(jù)字典的方式方法進(jìn)行。如對(duì)信息系統(tǒng)所運(yùn)行的業(yè)務(wù)流程進(jìn)行真實(shí)性、完好性的本質(zhì)性測(cè)試，可通過(guò)使用軟件工程軟件測(cè)試階段的各種測(cè)試方式方法〔如靜態(tài)、動(dòng)態(tài)測(cè)試，白盒、黑盒測(cè)試、并行模擬等〕進(jìn)行。3審計(jì)項(xiàng)目實(shí)踐在2020年對(duì)(XX物流監(jiān)管系統(tǒng)〕進(jìn)行信息系統(tǒng)審計(jì)經(jīng)過(guò)中，審計(jì)小組正是利用軟件工程理論對(duì)整個(gè)系統(tǒng)的建設(shè)、施行、運(yùn)行和維護(hù)經(jīng)過(guò)進(jìn)行了審計(jì)。主要審計(jì)成果如下。1〕工程建設(shè)管理。根據(jù)軟件工程的要求，收集各階段的管理和技術(shù)資料。在這里經(jīng)過(guò)中，發(fā)現(xiàn)存在資料缺失、版本管理控制缺乏、某些必須的開(kāi)發(fā)階段被忽略，構(gòu)成不符合相關(guān)法規(guī)和工程管理、技術(shù)上的問(wèn)題及風(fēng)險(xiǎn)。2〕應(yīng)用系統(tǒng)一般控制和個(gè)別控制。在對(duì)應(yīng)用系統(tǒng)的一般控制審計(jì)時(shí)，主要對(duì)組織控制、人員職權(quán)職責(zé)的分配與分工及資源掌控、多系統(tǒng)互聯(lián)及數(shù)據(jù)傳輸?shù)确矫孢M(jìn)行了具體審查，發(fā)現(xiàn)了牽涉用戶管理權(quán)限、人員背景調(diào)查、保密管理、數(shù)據(jù)傳輸控制缺乏等方面的缺乏與漏洞。在對(duì)應(yīng)用系統(tǒng)的主要模塊物流調(diào)撥模塊進(jìn)行個(gè)別控制審計(jì)時(shí)，使用了軟件工程中的各種測(cè)試方式方法，對(duì)程序和數(shù)據(jù)進(jìn)行了審計(jì)，發(fā)現(xiàn)了物資備案、調(diào)撥經(jīng)過(guò)控制等業(yè)務(wù)方面的管理、控制缺乏，使部分無(wú)備案無(wú)審核的物資調(diào)撥得以進(jìn)行，或者實(shí)際調(diào)撥數(shù)與申報(bào)數(shù)發(fā)生差異。3〕數(shù)據(jù)資產(chǎn)保衛(wèi)和業(yè)務(wù)連續(xù)性。根據(jù)軟件工程對(duì)軟件維護(hù)階段的標(biāo)準(zhǔn)和要求，對(duì)系統(tǒng)的數(shù)據(jù)保衛(wèi)方案和業(yè)務(wù)連續(xù)性計(jì)劃與施行進(jìn)行審查，發(fā)現(xiàn)有單點(diǎn)故障、業(yè)務(wù)連續(xù)性計(jì)劃缺乏、方案和計(jì)劃施行不充分、無(wú)實(shí)際演練計(jì)劃等問(wèn)題和風(fēng)險(xiǎn)。4總結(jié)與瞻望本文閘述了軟件工程與信息系統(tǒng)審計(jì)之間的關(guān)系，通過(guò)一個(gè)實(shí)際審計(jì)項(xiàng)目實(shí)例，展示了怎樣利用軟件工程的相關(guān)理論，從軟件工程的視角來(lái)看待信息系統(tǒng)審計(jì)，并詳細(xì)施行審計(jì)施行。一方面提高了信息系統(tǒng)審計(jì)中的規(guī)范性、操作性、可控制性和效率性，有利于審計(jì)項(xiàng)目的管理和審計(jì)項(xiàng)目質(zhì)量的提高，降低審計(jì)風(fēng)險(xiǎn)；另一方面軟件工程為信息系統(tǒng)審計(jì)提供了方式方法論和實(shí)用工具