第五章 计算机信息系统开发控制与审计.docVIP

第五章 计算机信息系统开发控制与审计 计算机信息系统开发控制与审计，是指审计人员对系统开发过程中的各项活动所进行的控制与审计。由于计算机信息系统的开发成本都比较高，如果建立的系统在经济上、技术上不可行，或者在系统设计阶段没有建立必要的内部控制，待系统运行以后再作修改，不仅影响系统的正常运行，而且花费的成本也较高，有时甚至无法实现。因此，审计人员特别是内部审计人员对计算机信息系统开发进行控制与审计，对于保证系统运行以后的数据处理结果的合规性、合法性、正确性与完整性，系统内部控制的适当性，系统运行效率性，以及提高事后审计的可审性，都具有重要意义。 第一节 系统开发审计的目标 一、审查系统的可行性 如果系统在开发之前已进行了必要的可行性研究，则审计人员必须对可行性研究资料进行审查，看其是否从技术上、经济上分别进行了分析，分析是否全面，特别是在估计系统运行以后可能产生的效益时，是否有估计过高的现象，硬件与软件能否满足本单位数据处理的要求。如果在开发之前，没有进行可行性研究，则审计人员要与用户及有关人员共同对系统进行可行性研究，在保证系统的目标能够达到，投入的成本小于系统运行后取得的效益时，才能开发系统。 二、审查系统的合规性、合法性 计算机信息系统与手工住处系统一样，系统的设计必须符合国家有关的法律、法令、方针、政策，符合有关部门颁布的各种规章制度、条例等。例如，现行的会计制度、财务制度等等。因此，在设计系统的过程中，审计人员要对设计给予适当的监督、指导，对系统设计的文档资料进行审查，保证系统的功能符合有关的法规、政策制度。 三、审查系统内部控制的适当性 内部控制是一个组织为了保护资产，保证会计数据及其他数据的正确性、可靠性，提高组织的经营效率和确保组织既定的经营目标的实现而采取的一系列方式、方法、手续和措施等的总称。在计算机信息系统中，内部控制的原则和目标，与传统的手工信息系统一样。但内部控制的技术与方法发生了很大变化。计算机信息系统的内部控制有相当一部分是设计在系统程序中的程序控制。由于计算机信息系统数据与处理高度集中于电子数据处理部门，数据容易被丢失、盗窃、篡改。此外，系统还具有自动授权、批准某项业务以及系统错误的重复性与连续牲等特点，使得计算机信息系统比手工信息系统具有更大的风险，计算机信息系统比手工信息系统更加重视内部控制。审计人员要监督系统设计人员在进行系统设计时遵循应有的系统开发控制，同时，在应用程序中，建立必要的内部控制。当然，仅片面强调内部控制，则会降低系统运行效率。因此，审计人员还要注意设计在系统中的内部控制是否恰当，看其控制的效益是否大于控制的成本，如果某项控制的效益小于控制的成本，则可取消这项控制措施。 四、审查系统的可审性 所谓可审性，是指有能力、有资格的审计人员，能够在一个合理的时间和人力限度内，对系统的正确性和可靠性等作出公正的评价。可审性是反映审计复杂性的一个重要指标，影响计算机信息系统可审性的因素较多。例如，审计线索、系统的内部控制、系统的输入与操作方式、系统分析与设计技术等。这里一个重要的因素就是审计线索。所谓审计线索，是指有可能为审计人员提供发现问题的途径的一系列经济业务活动的历史记录。计算机信息系统的审计线索既容易被销毁，也容易被篡改，若设计时考虑不周，甚至可以不留下任何审计线索，这样就很难进行事后审计。因此，审计人员在进行系统开发审计时，要注意审查系统是否保留了足够的审计线索。必要时，在系统设计过程中，可设计在应用程序中嵌入适当的审计程序，以便日后开展计算机审计。 五、审查系统测试的全面性、恰当性 每一个设计好的计算机信息系统，在正式投入试运行之前，必须进行最后的调试和检测。审计人员在审查正在进行测试的系统时，要重点审查测试是否在与实际应用完全相同的条件下进行的；检测数据是否既包括一些有代表性的错误业务，又包括真实业务；真实业务能否被正确地处理，错误业务能否被系统拒绝接受，并输出错误信息；系统的凋试和检测是否包括手工和计算机两部分以及两部分联接等。审计人员通过对上述各种问题的审查监督，只有在实际开发出的计算机信息系统在合法、功能、性能、安全等各方面均达到系统目标以后，才能通过测试。否则，要与有关人员共同分析存在问题及原因，督促其加以改正。 六、审查系统文档资料的完整性 系统的文档资料是一个完整的计算机信息系统不可缺少的部分，每一个计算机信息系统在正式投入使用之前，都应编好书面的系统文档资料。系统的文档资料应包括：可行性研究报告及其批准资料，系统分析与设计资料，程序设计资料及操作手册，这些资料一方面可以为负责维护改进和使用系统的人员提供必要的资料，另一方面也是今后审计的重要线索。因此，审计人员要审查系统的文档资料是