内部审计学第11章 信息系统审计教学课件.pptx

《内部审计学第11章 信息系统审计教学课件.pptx》由会员分享，可在线阅读，更多相关《内部审计学第11章 信息系统审计教学课件.pptx（72页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、内部审计学第11 章 信息系统审计教学课件Integrity 第11章 信息系统审计信息系统审计，作为一种可以确保信息系统的安全、可靠及高效运行的新的审计模式受到世界各国的普遍重视。随着我国公司信息技术的转型升级战略的全面实施,公司信息化被提到了前所未有的高度。因此，加快发展我国信息系统审计具有重要意义。前 言目 录CONTENTS 第2节 信息系统审计策略 第5节 应用软件审计 第1节 信息系统审计概述 第3节 信息系统审计流程 第4节 信息系统生命周期审计01信息系统审计概述 第1节 信息系统审计概述信息系统审计就是对公司信息系统的规划、建设、使用、更新、管理的审计,涵盖公司IT(Info

2、rmation Technology)治理和管理的全部流程。信息系统审计是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。（中国内部审计协会）收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。（美国信息系统审计权威专家RonWeber）一、信息系统审计的概念二、信息系统审计的特点（一）审计目标的明确性信息系统审计 五个目标 符合性目标信息系统战略规划、IT治理与管理框架是否符合公司目标 完成性目标公司IT相关目标的实现程度是否达到了战略规划和IT相关目标的要求 合规性目

3、标公司信息系统的建设是否符合外部监管的要求和公司内部的规章制度 安全性目标信息系统能否有效地揭示、防范、规避、减轻风险,是否符合优化风险的目标 效益性目标信息系统的建设是否符合程序,达到要求,是否有效管理投资,满足利益相关者需要（二）审计对象的多样性1.从信息系统本身的形态划分,可以分为对现行的已投入运行的信息系统的审计和对信息系统完整生命周期,即开发过程的审计。2.从信息系统的控制来划分,可以分为对一般控制的审计和对应用控制的审计。3.从具体的审计事项来划分,有对硬件的审计,有对软件的审计;有对管理制度的审计,有对应用程序的审计;有对纸质文件的审计,有对电子数据的审计;有对物的审计,有对人的

4、审计。（三）审计技术和方法的针对性（四）内部审计人员素质的复合性（五）发展变化快的复杂性 三、信息系统审计的标准框架COBIT5COBIT5即以前所称的“信息及相关技术控制目标”(COBIT),现在仅用作其第五迭代的缩略词。这是一套完整的、全球公认的、用于治理和管理公司信息和技术(IT)的框架,该框架支持公司行政层和管理层确定和实现其业务目标和相关的IT目标。COBIT5是一个家族,包括的产品如图11-1-1所示,一共有四个板块。其一是COBIT5(框架),这是基础和内核。其二是动力指引,其中详细讨论了治理和管理动力,具体内容包括COBIT5:启用流程、COBIT5:启用信息、其他动力指引。其

5、三是COBIT5专业指引,具体内容包括COBIT5实施指南,针对信息安全的COBIT5,针对鉴证的COBIT5,针对风险的COBIT5(开发中),其他专业指引。其四是协作的网络环境,这个环境能支持COBIT5的运用。图11-1-1COBIT5家族产品 COBIT5是以五个基本原则为本创建而成的,这些原则详细地涵盖并包括对公司IT治理和管理动力的精细指导,如图11-1-2所示。图11-1-2COBIT5原则(一)COBIT5的五个基本原则 1.满足利益相关者需要公司的存在就是为了给公司利益相关者创造价值。因此,任何公司,无论是什么类型的,都将创造价值作为核心的治理目标。创造价值就意味着在优化风险

6、的同时,以最佳资源成本实现收益。利益相关者的需要必须转换成公司可行动的战略。COBIT5建立了一套完善的分层机制,能层层将利益相关者的需要转换成具体的、可行动的和定制化的企业目标、IT相关的目标和动力目标,如图11-1-3所示。步骤1:利益相关者驱动因素影响利益相关者需要。利益相关者需要受到多种驱动因素的影响,例如,战略变化,变化中的商业和监管环境以及新技术等。图11-1-3COBIT5目标分层 步骤2:利益相关者需要逐层分解至公司目标。利益相关者需要与一系列通用公司目标关联。这些公司目标是运用平衡记分卡(BSC)维度开发的,并代表某一公司可能自行定义的常用目标列表。尽管这一列表不甚详尽,但大

7、多数公司特定的目标可以轻而易举地映射到一个或多个公司目标之上。COBIT5定义了如表11-1-1所示的17项通用目标,包括平衡记分卡维度、公司目标、与三种主要治理目标(实现收益、风险优化和资源优化)的关系(P代表主要关系,S代表次要关系)。步骤3:公司目标逐层分解至IT相关的目标。公司目标的实现要求若干个IT相关的成果,而这些成果是通过IT相关的目标来体现。在COBIT5中信息及相关技术的IT相关目标是根据IT平衡记分卡(ITBSC)的维度来架构的,定义了17项IT相关的目标,如表11-1-2所示。步骤4:IT相关目标逐层分解至动力目标。实现IT相关的目标要求成功的应用和使用若干个动力。对于每

8、一种动力,可规定一系列具体的相关目标以支持IT相关的目标。公司目标与治理目标的关系实现收益 优化风险 优化资源1.商务投资的利益相关者价值 P S2.竞争性产品与服务的组合 P P S3.管理的业务风险(资产保障)P S4.外部法律法规的合规性 P 5.财务透明度 P S S6.以顾客为中心的服务文化 P S7.业务服务的持续性和可用性 P 8.对变化的企业环境敏捷的反映 P S表11-1-1企 业 目 标表11-1-1企业目标 公司目标与治理目标的关系实现收益 优化风险 优化资源9.信息为本的战略决策 P P P10.服务交付成本优化 P P11.业务流程功能性优化 P P12.业务流程成本

9、优化 P P13.管理的业务变更方案 P P S14.运营及员工生产率 P P15.内部政策合规性 P 16.熟练的有进取心的人员 S P P17.产品和业务创新的文化 P（续表）ITBSC 维度 信息及相关技术目标财务01 IT 与业务战略的一致性02 IT 合规和对业务的外部法律法规合规的支持03 行政管理层对进行IT 相关决策的承诺04 管理的IT 相关业务风险05 从IT 驱动的投资和服务组合中实现的收益06 IT 成本、收益和风险的透明度客户07 符合业务要求的IT 服务交付08 应用程序、信息和技术解决方案的充分利用内部09 IT 敏捷性10 信息、处理基础设施和应用程序的安全11

10、 IT 资产、资源和能力的优化12 通过将应用程序和技术整合进业务流程之中来推动和支持业务流程13 准时、按预算提交收益和满足要求及质量标准的项目集交付14 用于决策之可靠和有用的信息的可用性15 IT 对内部政策的合规性学习和成长16 胜任的有进取心的业务和IT 人员17 业务创新的知识、专门技术和首创精神表11-1-2 IT相关的目标 通过上述几个步骤的分解就能把公司IT相关的目标和公司目标有机地融合在一起,规定各责任主体的有形的、可操作的目标。即使公司在IT治理和管理中有所遵循,也使得在公司信息系统审计中有所依据,有了基本的检查和评价标准,具备了可操作性。在强调这种分层的重要性时,也要明

11、确认识到,每个公司的情况不同,这种分层和映射只能作为一种指引,不能以纯粹机械的方式照搬,而是要充分考虑每个公司的具体情况,考虑具体的环境或行业,考虑具体的治理和管理目标,实施分层的映射,确定具体的权重或重要性。因为在信息化社会企业高度依赖于IT的关系,任何公司中利益相关者需要的履行都会提出关于公司IT治理和管理的问题。表11-1-3列出了常见的治理管理问题。内部利益相关者 内部利益相关者问题董事会 我如何能从使用IT 中获得价值?终端用户对IT 服务的质量满意吗?首席执行官(CEO)我如何管理IT 的绩效?首席财务官(CFO)我如何才能以最佳方式为新的战略机遇开拓新技术?首席信息官(CIO)我

12、如何才能以最佳方式构建和架构我的IT 部门?首席风险官(CRO)我如何依靠外部提供商?IT 外包协议如何才能管理好?业务执行经理 我如何获取外部提供商的保证?业务流程所有者 什么是对信息的控制要求?业务经理 我是否了解了所有IT 相关的风险?风险经理 我是否正在运行一种高效的和灵活的IT 运营?安全经理 我该如何控制IT 成本?我怎样才能以最有效的、高效的方式利用IT 资源?服务经理 什么是最有效的、高效的采购选项?人力资源(HR)经理 我是否有足够的IT 人员?我该如何发展和维护他们的技能,如何管理他们的绩效?内部审计师 我如何获得IT 鉴证?隐私官员 我正在处理的信息是否足够安全可靠?IT

13、 用户 我该如何通过更为灵活的IT 环境来改善业务敏捷性?其他 IT 项目是否未能交付承诺事项?如果未能,原因何在?IT 是否妨碍着业务战略的执行?IT 对于企业永续发展的关键程度如何?如果IT 不能发挥作用我该怎么办?哪些关键业务流程依赖于IT,这些业务流程的要求是什么?IT 运营预算的平均超限是多少?IT 项目超过预算的频率和程度如何?表11-1-3关于IT的治理和管理问题（续表）外部利益相关者 外部利益相关者问题业务合作伙伴 我如何才能知道业务合作伙伴的经营是安全可靠的?供应商 我如何才能知道企业遵循了适用的规章和条令?股东 我如何才能知道企业维护着一种有效的外部控制体系?监管者/政府

14、业务合作伙伴之间是否有可控的信息链?外部用户 客户 标准化组织 外部审计师 顾问 其他 IT 成果有多大部分是用于应急而不是推动业务改善?IT 资源是否充足,且基础设施是否可用以满足必需的企业战略目标?重大IT 决策需要多长时间?整个IT 投入和投资是否透明?IT 是否支持企业符合监管要求和服务等级?我怎样才能知道是否遵循了所有适用法规?2.端到端覆盖企业 3.运用单一整合式框架 4.采用一个整体全面的方法 推进公司的信息系统治理和管理必须要有动力,也就是推动力和促进因素。COBIT5框架描述了动力的七种范畴,如图11-1-4所示。图11-1-4COBIT5公司动力5.区分治理和管理表11-1

15、-4治理和管理的互动 动力 治理 管理的互动流程在COBIT5 流 程 模 型(COBIT5:启 用 流 程)中,治 理 和 管 理 之 间 存 在 着 区 别,包 括 各 自 的 一 系 列 具 体 的 实 践 和 活 动。流 程 模 型 还 包 括RACI 图,以说明不同组织结构的责任和企业内的角色信息流 程 模 型 描 述 从 不 同 流 程 实 践 到 其 他 流 程 的 输 入 和 输 出,包 括 治 理 和 管 理 流 程 之 间 交 换 的 信 息。用 于 评 价、指 导 和 监 控 企 业IT 的 信 息,以流程模型输入和输出的方式描述在治理和管理之间进行的交换组织结构每 一

16、个 企 业 都 会 定 义 若 干 个 组 织 结 构;这 些 结 构 可 参 加 到 治 理 空 间 和 管 理 空 间 之 中,取 决 于 其 决 策 的 组 分 和 范 围。因 为 治 理 是 关 乎 设 定 方向,互动是在治理结构所作出的决策(如关于投资组合的决策和设定风险偏好)和实施前者所需的决策和运营之间进行原则、政策和框架原则、政策和框架是企业内治理决策制度化的载体,因此,也是治理决策(设定方向)和管理(执行决策)之间的一种互动文化、道德和行为行为也是企业良好治理和管理的关键动力之一,并由高层设定 以榜样为先导 因此也是一项治理和管理之间的重要互动人员、技能和能力治理和管理要求不

17、同的技能组合,但对于治理机构成员和管理层而言,一项根本的技能就是理解各种任务以及任务之间的差异服务、基础设施和应用程序服务需要并由应用程序和基础设施支持,以为治理机构提供充分的信息和支持评价、设定方向和监控治理活动 COBIT5整合IT风险管理(RiskIT)和IT价值管理(ValIT)流程,构建了一套完整的流程参考模型。该流程参考模型将公司IT治理和管理划分为两大主要流程领域:治理包括5个治理流程;在每一个流程中对评价、指导和监控(EDM)实践予以定义(在治理领域的环境中,“监控”的意思指治理机构检查为管理层设定的方向的实际应用程度之活动)。管理包括四大领域32个流程:全套的治理流程和管理流

18、程一共有37个,覆盖了公司实施治理和管理的关键领域,真正实现了端到端覆盖公司。如图11-1-5所示。定位、计划和组织(APO)交付、服务和支持(DSS)构建、购置和实施(BAI)监控、评价和评估(MEA)04图11-1-5COBIT5流程参考模型(二)RACI模型 RACI是一个用以明确公司治理和管理过程中的各个角色及其相关责任的直观的模型。R(执行方 Responsible)谁在完成任务?这指在履行列示的活动中承担主要运行职责,并创造出欲达到的结果的角色。A(责任方Accountable)谁对任务的成功负责?这分配了完成任务的整体责任(责任范围的划定)。要注意的是,这里提到的角色是问责制中最

19、低的适合等级;当然,还有较高等级的责任方。为便于公司授权,责任可尽可能细分。C(商议方Consulted)谁提供输入(信息)?这指提供输入信息的关键角色。应注意的是,还要由责任或执行角色从其他单元或外部合作伙伴处获得信息;然而,从列示的角色处获得的输入应予以考虑,并且如有必要,可采取适当的行动逐步升级,这包括流程所有者和/或指导委员会的信息。I(告知对象Informed)谁接收信息?即被告知任务的成果和/或接收可交付项的角色。作为“责任方”的角色应当总是接收适当的信息以监督任务的进程,就像“执行方”角色在其负责的领域中接收适当的信息一样。关键管理实践董事会首席执行官首席财务官首席运营官业务执

20、行经 理业务流程所有者战略执行委员会项目或项目集督导委员会项目管理办公室价值管理办公室首席风险官首席信息安全官架构委员会企业风险委员会人力资源负责人合规部审计部首席信息官架构负责人开发负责人IT 运营负责人IT 行政管理负责人服务经理信息安全经理业务持续性经理隐私官APO02.01理解企业导向 C C C A C C C C C R C R R R R R APO02.02评 估 当 前 的 环 境 能力和绩效 C C C R C C C C C A R R R C C C C APO02.03定义目标IT 能力 A C C C I R I C C C C R C C C C C C C AP

21、O02.04进行差距分析 R R C C C R R A R R R R R R C APO02.05定 义 战 略 计 划 和 路线图 C I C C C R C C C C A C C C C C C C APO02.06沟通IT 战略导向I R I I R I A I I I I I I I I I I R I I I I I I I I表11-1-5APO02流程RACI示例02信息系统审计策略 第2节 信息系统审策略随着信息技术的飞速发展,尤其是伴随着大数据时代的到来，公司的信息系统越来越复杂化。内部审计对公司如此复杂的信息系统开展审计,在审计过程中会遇到一系列的问题和挑战。按照内部

22、审计的实务流程来归纳,这些问题和挑战可以分为审计什么、由什么人来实施审计、运用什么样的技术方法、按照什么标准来评价审计线索、审计的质量如何控制、如何宣传审计成果的价值、如何运用审计成果促进信息系统的改进等几个大的方面(详见表11-2-1)。审计阶段 问题 对策 责任方准备审计什么?哪些人来实施审计?审计质量全过程控制定义审计边界组建项目团队董事会、管理层、项目团队董事会、管理层实施用什么样的技术方法?用什么标准评价审计线索?因地制宜法律法规、相关准则、企业规章制度项目团队项目团队报告 如何宣传审计成果的价值?写好审计报告汇报沟通信息 项目团队整改 如何按照审计认定的问题整顿和改进?落实责任、限

23、定时间 董事会、管理层、相关业务和IT 部门表11-2-1审计实务中常见问题1.对信息系统生命周期进行同步审计,对每一个流程都开展详细审计。这种情况作为公司内部审计都会遇到,也是公司内部审计的一项职责。尽管如此,对每一个治理和管理流程开展审计时,也要明确的规范好每个流程的边界。2.对已经开发好、并投入运行的系统开展审计。这类审计的目的是评估信息系统的功能是否达到了公司需要,是否需要更新。这类系统是公司整个信息系统的一个部分,是其中的一个或者几个子系统。开展这种情况的审计时要明确审计的是什么?是哪一个或者哪几个子系统,把需要审计的对象摘取出来,与审计目的无关的不要涉及。3.与公司业务审计结合在一

24、起开展审计。如检查公司对供应商管理的审计中,要检查到信息系统中供应商子系统;检查公司人力资源管理时,涉及人力资源管理子系统。在开展这类审计时,要明确业务涉及的信息系统是什么系统,范围是什么,系统的边界如何划分,审计应该审计的内容。一、明确内部审计的边界二、组建审计项目团队1.要选好各类人才2.要有的放矢,有针对性地强化对项目团队成员的培训3.要组织融合好项目团队三、选择最佳的审计方法四、建立健全信息系统审计法规库1.建立健全信息系统审计评价的法律法规库2.认真组织学习和培训,提升内部审计人员的专业胜任能力3.全面掌握和了解公司信息系统的相关情况五、写好信息系统审计报告六、对信息系统审计全过程质

25、量控制03信息系统审计流程 第3节 信息系统审计流程一、信息系统调查（一）了解治理、管理体制1.工作程序2.相关部门3.系统管理（二）了解总体架构（三）了解规划管理规划、建设、使用、维护系统分布类型数量 系统关系总体水平（一）控制测试的内容信息系统的控制测试是对调查了解内容的系统总结和提炼,概括地说,测试的内容主要包括环境测试和功能测试两部分。（二）控制测试的方法填写控制测试表是进行信息系统控制测试的基本方法。信息系统控制测试表,是内部审计人员在总结大量信息系统基本情况的基础上形成的,具有较强的通用性,可满足对信息系统的初步测试。信息系统控制测试表包含的内容较多，其格式如表11-3-1所示。控

26、制测试的调查表是进行信息系统初步评价的主要基础,填写中应做到制度要读,功能要试,设备要查。所谓制度要读,是指在涉及制度建设的测试中,应认真阅读分析制度;功能要试,是指在关于功能的测试中,要尽可能地通过各种方法测试系统的功能,不可只听介绍;设备要查,是指涉及物理环境建设的测试,要现场查看。二、信息系统控制测试表11-3-1组织管理的控制测试调查表序号 控 制 措 施控 制 目 标备注职责分离 人员管理控制1 是否制定了职责分离的规章制度 2 业务人员的工作职责明确清晰 3 信息技术部门只负责信息系统的开发和维护工作,日常的业务操作只能由相关业务部门的工作人员来进行 4 信息技术人员未经批准不能接

27、触备份的数据,不能在无监督的情况下进行数据备份和恢复的工作 5 系统的输入人员与复核人员不能相互兼任 6 业务操作人员不能保管除操作手册以外的系统技术文档 7 业务操作人员不能管理系统产生的重要的业务档案 8 聘用人员与工作岗位是否相符 9 对因工作需要接触秘密数据的工作人员签订保密协议书 10 对关键性业务配备了后备人员 11 定期对工作人员的工作进行考核 12 定期对信息系统人员进行培训 13 关键技术有多人掌握 14 人员离岗后,信息系统中的账号和口令及时删除 15 人员离岗后,及时归还所有的报告、文档和书籍 1.信息系统安全性信息系统安全性关注系统运行环境和系统数据的安全性,包括数据的

28、产生、传输、存储的安全性。对系统安全性的评价主要依据系统调查和控制测试掌握的情况来完成,信息系统分析测试中将不再涉及此项工作内容,因此信息系统初步评价中对信息系统安全性的评价将直接在信息系统的综合评价中反映。2.信息系统包含数据的真实、完整性数据真实、完整性的评价是指通过对信息系统功能及相关制度的关注,评价信息系统中包含电子数据的真实性、完整性。电子数据是信息系统审计的切入点,对电子数据真实、完整性的评价是计算机数据审计中数据采集方案制定、数据验证方法选择、数据分析重点确定的重要依据。3.信息系统中的薄弱点发现信息系统的薄弱点是指发现系统之间关联关系的建立、系统运行管理控制等方面存在的薄弱环节

29、。发现被审计单位信息系统中的薄弱点是为公司改进治理和管理,防范风险提出合理化建议的需要,也是为信息系统审计确定重点的需要。三、信息系统初步评价1.信息系统功能分析。信息系统功能分析是指将业务特点和需求与信息系统具有的功能进行对比,分析功能存在的不足。2.信息系统数据处理逻辑分析。信息系统数据处理逻辑分析是对信息系统处理数据来源是否正当,数据处理方法是否科学合法的分析,包含以下内容和步骤:信息系统的数据来源;信息系统的数据处理过程,包括数据处理逻辑、方法和数据处理流程;信息系统的数据流向,包括与相关信息系统之间的关系和信息系统的数据通信情况。3.信息系统数据对比分析。主要应包含以下内容（1）掌握

30、信息系统的数据输入和输出情况;（2）结合数据审计,筛选问题线索;（3）对比分析信息系统的输入、输出数据以及问题线索,查找信息系统自身存在的问题。四、信息系统分析测试4.数据追踪分析数据追踪分析方法是通过选取典型数据,追踪处理结果,进而判断系统处理的功能是否正确有效的一种审计方法。数据追踪分析一般应包含以下内容和步骤:（1）向有关人员询问或查阅系统的文档资料,了解被审计信息系统应有的处理和控制功能;（2）针对系统应有的功能和数据处理特点,选取部分典型数据;（3）跟踪数据处理过程和处理结果;（4）分析数据处理结果的差异原因。四、信息系统分析测试04信息系统生命周期审计 第4节 信息系统生命周期审计

31、信息系统的生命周期由系统分析、系统设计、系统实施以及系统维护四个时期组成,每一个时期又进一步划分成若干个阶段。（一）系统分析系统分析时期通常进一步划分成三个阶段:问题的定义、可行性研究和需求分析。（二）系统设计1.系统总体设计2.系统详细设计（三）系统实施（四）系统维护一、信息系统生命周期概述1.审查系统的可行性2.审查系统的合法性和合规性3.审查系统内部控制的适当性4.审查系统的可审计性5.审查系统的测试是否全面6.审查系统文档资料的完整性二、信息系统生命周期的审计目标(一)信息系统规划1.问题的定义2.可行性分析(二)系统规划审计三、信息系统规划及其审计经济可行性技术可行性法律可行性(一)

32、信息系统分析1.获取用户需求2.问题分析3.需求描述4.需求复审(二)信息系统分析审计在信息系统分析阶段,内部审计人员要重点对以下方面的内容进行审计。1.系统需求规格说明书是否满足正确性、无歧义性、完整性、可验证性、一致性、可理解性、可修改性、可追踪性的要求。2.数据需求规格说明中是否清楚准确地描述了信息系统在功能、性能、可靠性、安全性、系统运行、开发费用和开发时间方面的要求。3.需求分析阶段提交的文档是否得到开发方和用户的认可。4.是否根据需求分析的结果对以前制定的系统开发计划进行了修改。四、信息系统分析及其审计5.用户是否参加了需求分析的工作。6.为确保系统的可靠性、安全性和效率性,是否对

33、各种机器和技术进行了比较选择。7.是否制定或探讨了既能达到系统目标又现实可行的代替方案。8.是否对因信息系统停止运行或运行出错而造成的影响和损失进行了分析。9.是否对因使用信息系统发生的数据错误、数据泄露、数据破坏、数据篡改、数据的非法使用以及隐私侵犯而造成的影响和损失进行了分析。10.是否对信息系统有关的法律、制度等进行了全面调查。11.是否对由于系统建立后可能受到影响的业务、管理体制、各项制度以及这些方面的修改意见进行了研究。12.文档是否齐全,需求分析阶段需要提交系统规格说明、数据需求、初步的用户手册、用户系统描述和修改过的系统开发计划。13.执行系统开发计划时所必要的资金、人员、设备、

34、时间等是否得到保证。14.执行系统开发计划时任务分配及责任体制是否妥当。(一)信息系统设计1.选取最佳的方案2.功能分解3.软件结构设计4.数据库设计5.制定初步的测试计划6.书写文档7.概要设计审查和复审五、信息系统设计及其审计(二)信息系统设计审计在信息系统设计阶段,内部审计人员要重点对以下方面的内容进行审计。1.从开发规模、时间、系统特性等观点看,系统开发顺序是否适当。2.系统的设计说明书和用户手册是否得到主管人员和用户的承认。3.系统的概要设计说明书是否详细提供了系统的组成结构,系统各模块之间的关系,软件的结构,软件各模块之间的关系。4.系统的详细设计说明书是否详细提供了各个模块的功能

35、,模块的调用关系,各个模块的输入项和的输出项,各个模块的处理流程和数据结构,各个模块接口的详细说明(如输入/输出数据的类型、个数和格式等),数据库中各个数据表的关系模式以及用户界面的组成结构和规范。5.系统的设计说明书(指概要设计说明书和详细设计说明书)中是否考虑了信息系统的故障或错误对策。6.系统的设计说明书中是否包括确保信息系统安全而设置的各种控制措施。7.系统的设计说明书中是否考虑了数据库的安全性、完整性、一致性和规范化要求。8.系统的设计说明书中是否考虑了系统的软件、硬件和网络在系统运行负载处于高峰时期的运行要求。9.系统的使用界面和数据的输出格式是否清晰明了,便于用户使用。10.系统

36、设计是否考虑让系统能够提供足够的审计线索。11.系统设计是否考虑在系统内部实施职责分离等内部控制措施。12.系统的单元测试计划中是否提供测试的目的,测试方案和测试进度安排。(一)信息系统编码1.对源程序质量的要求2.源程序的编码(1)对程序控制结构的要求(2)对程序设计的要求(3)程序设计的风格六、信息系统编码及其审计正确性 可读性 效率(二)信息系统编码审计在信息系统编码阶段,内部审计人员要注意对以下方面的内容进行审计。1.编写程序是否按照系统详细设计说明书的要求进行。2.编写程序的任务分工是否适当,管理人员是否确实掌握工作进度。3.编写程序的任务是否按系统开发计划完成。4.源程序是否具有较

37、好的可读性。5.源程序是否满足上述良好的程序应具备的风格。6.源程序的设计工作是否按照自顶向下与逐步求精的结构化程序设计原则7.源程序代码的管理是否规范。8.源程序的编写格式、变量的命名和数据的说明格式是否遵循统一的规范。(一)信息系统测试1.信息系统测试的错误类型(1)功能错误(2)系统错误(3)过程错误(4)数据错误(5)编码错误2.信息系统测试过程的要素(1)测试的对象(2)测试的配置七、信息系统测试及其审计3.信息系统的测试步骤信息系统的测试步骤分成单元测试、集成测试和系统测试三个部分,它们之间的顺序如图9-4-4所示。图9-4-1信息系统的测试(1)单元测试(2)集成测试(3)系统测试(二)信息系统测试审计在信息系统测试阶段,内部审计人员要注意对以下方面的内容进行审计。1.是否根据系统的需求规格说明书的内容来制定集成测试计划和系统测试计划。2.集成测试计划和系统测试计划是否制定了测试进度安排。3.是否制定集成测试和系统测试的测试方案并设计出测试数据和预期结果。4.测试的内容是否覆盖了系统需求规格说明书中所有的功能、性能、安全和可靠方面的要求。5.是否按测试计划进行测试。6.是否由编程人员以外的人执行测试。