第五章 计算机信息系统功能审计.ppt

第五章 计算机信息系统功能的审计 本章学习目标 1. 掌握计算机信息系统功能审计的目标 2 . 熟练掌握利用测试数据法和平行模拟法对计算机信息系统功能审计 3. 了解利用程序编码审查法、受控处理法、受控再处理法、整体测试法、程序比较法、漏洞扫描与入侵检测法、嵌入审计程序法和程序跟踪法等各种方法对计算机信息系统功能审计。 第一节 计算机信息系统功能审计的目标 一、查明信息系统处理功能的合法性 二、查明信息系统处理功能的正确与恰当性 三、查明信息系统控制功能的健全有效性 四、检查并发现系统中易于被攻破和利用的漏洞 第二节 计算机信息系统功能审计的方法 一、测试数据法 测试数据法——将一组针对系统应有功能而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法。 一、测试数据法 （一）采用测试数据法进行审查的步骤 1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。 2．针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确结果（又称预期结果）。 一、测试数据法 （一）采用测试数据法进行审查的步骤 3．在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。 4．把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效。 一、测试数据法 （二）测试数据的准备 1.测试数据应包括下列两大类： （１）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。 （２）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。 2.在准备测试业务数据时，审计人员要注意系统功能的覆盖。 测试数据准备的例子： 审计人员准备用测试数据法测试一个工资核算子系统，此系统的处理功能包括： 1.可增、删职工； 2.可输入与修改每个职工的工资数据； 3.可根据输入的数据计算各人的应付工资、个人所得税和实付工资； 4.可根据各人工资的应借科目自动汇总并编制工资计提转帐凭证送帐务处理子系统; 5.可输出工资条、工资汇总表、银行转帐表等。 测试数据准备的例子： 此系统的控制功能包括： 1.增加职工时要检查职工代码及其银行工资帐号不能留空或重复。 2.删除职工时所删除的职工代码必须存在。 3.输入与修改要检查基本工资和工龄工资不得超过最大限额。 测试数据准备的例子： 测试数据必须包括： 1.增加职工 :（1）所有数据正确（注意个 人所得税包括各个档次） （2）职工代码为空 （3）职工代码与已有职工重复 （4）工资银行帐号为空 （5）工资银行帐号与已有职工重复 （6）其基本工资超出限额 (7)其工龄工资超出限额 测试数据准备的例子 2 .删除职工 :（1）其职工代码存在 （2）其职工代码不存在 3.修改数据:（1）修改数据没超出限额 （2）修改基本工资超出限额 （3）修改工龄工资超出限额 一、测试数据法 （三）应用测试数据法要注意的问题 1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。 2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功能是否正确、可靠。 一、测试数据法 （四）测试数据法的优缺点 1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。 2 .缺点：可能不能发现程序中所有的错弊。 上机练习（一） 用测试数据法对用友U8的账务处理子系统进行审查，检验它是否符合财政部的《会计核算软件基本功能规范》（以下简称《规范》） 《规范》的要求具体见《计算机会计信息系统》P502。 《规范》对账务处理子系统的主要要求 处理功能（不考虑辅助功能） 1. 数据输入： ⑴具备初始化功能，可输入会计科目名称、编号、年初数、累计发生数及有关数量指标；提供对初始数据的正确性检验； ⑵具备记帐凭证输入功能：输入项目包括凭证日期、凭证号、摘要、科目、金额等。 ⑶对已输入未登账的凭证提供审核功能。 《规范》对账务处理子系统的主要要求 2. 数据处理： ⑴提供根据审核通过的凭证登记账簿的功能，计算出科目发生客和余额。 ⑵提供按规定期间进行结账的功能。 3.数据输出： ⑴提供对机内会计数据查询的功能。 ⑵提供记账凭证、账簿的打印输