第六章 计算机信息系统应用程序审计.docVIP

第六章 计算机信息系统应用程序审计 程序是计算机执行的指令序列。计算机信息系统的应用程序是计算机信息系统的核心。计算机信息系统是否遵循国家的财经政策和制度,它对经济业务的处理是否合规、合法、正确等，都体现在其应用程序之中。因此，计算机信息系统应用程序的审计是计算机信息系统审计中最困难的任务之一。实践证明，程序是差错与舞弊最容易发生的地方，只有通过对计算机信息系统应用程序进行审计，才能对系统的合规性、合法性、正确性、可靠性等作出公正的评价。本章主要介绍应用程序审计的内容和方法。 第一节 应用程序审计的内容 一、审查程序控制是否健全有效 对计算机信息系统程序控制的审计内容包括： （一〕程序中输入控制的审计 计算机信息系统应用程序中输入控制是保证整个系统能输出正确可靠信息的关键环节，输入控制的措施因系统复杂程度和重要程度而有所不同，一般可采取：业务数点计、控制总核对、合理性检验、有效性检验、顺序检验、平衡检验等程序化控制措施。对应用程序中输入控制的审计，主要审查程序的输入部分是否编制了上述一些控制措施，其控制措施能否保证未经授权批准的业务不能输入计算机，经过授权批准的业务能否完整、准确地输入计算机中。 （二）程序中处理控制的审计 计算机信息系统应用程序中的处理环节可采取：记录数点计、控制总数核对、溢出检验、平衡检验、合理性检验等程序化控制措施。对程序中处理控制的审计，主要审查程序中是否建立了必要的处理控制措施，其控制措施能否保证输入计算机中的正确业务被完整准确地处理，对输入环节的不正确业务能否检查出来，并拒绝处理。 （三）程序中输出控制的审计 计算机信息系统应用程序中的输出环节可采取：控制总数核对、勾稽关系检验、平衡检验等控制措施。对程序中输出控制的审查，主要是审查程序中是否建立必要的输出控制措施，经计算机处理的数据能否按被审计单位的要求完整、准确地输出。 二、审查程序的合法性 审查程序的合法性，是指审查程序中是否含有非法的编码。非法的编码是指为了舞弊目的而设计的。有些非法编码往往是在满足某种条件下执行，并产生非法结果。例如，程序员可能设计或修改一个程序，使其不打印某个透支的帐户，因此，当透支帐户号与该特定的帐户相同时，系统即执行非法编码。又如，某工资系统的程序员在程序中加了一段非法编码，使得他的名字一旦从人事文件中取消（被解雇），非法编码将会使整个系统被清除。还有些非法编码往往与正常编码一起执行，执行非法功能。例如，在银行存款系统中，每个帐户利息的计算一般精确到分，对分以后的数字，程序员在编制程序中，把它舍入到自己或某个特定帐户，此非法编码在计算利息时自动执行。 三、审查程序编码的正确性 审查程序编码的正确性，主要是审查程序编码是否有错误。错误的编码是指无意造成的执行错误功能的编码，这些编码可能会使会计业务进行错误处理，或错误地计算成本、税金、利润等。程序编码错误的主要原因有： （一〕目标和任务不明确 程序设计人员对程序应该达到的目标或完成的任务不明确。这种不明确可能是由于在系统需求中没有正确地定义，或者在定义时有两义性，使系统设计人员错误地理解需求说明书，从而导致程序设计人员在设计程序时编制了错误的编码。 （二）系统设计差错 在系统设计阶段，系统设计人员没有严格按照系统说明书中的需求正确地设计，或者设计人员对需求说明理解错误，从而导致程序设计错误，据统计，程序编码中的错误近50％来自系统设计错误。 （三）程序设计说明书错误 如果程序按照程序设计说明书编写，但说明书不符合设计要求，没有体现系统设计的意图或者说明书本身描述不清，最后将导致程序编码错误。 （四）程序语法或逻辑错误 一般来说，语法错误在程序测试时比较容易发现和修改，一般高级语言本身就具有指出语法错误的功能，而对逻辑错误的审查则比较困难，需要采用一些专门的审计方法。 四、审查程序的有效性 审查程序的有效性，主要是审查程序中是否含有无效的或效率较差的编码。无效的或效率较差的编码，会降低系统的运行效率。程序运行效率与详细设计阶段所确定的算法效率直接有关。因此，审查程序运行的效率性，主要是查明当把详细设计转变为源程序时，是否遵循了下列指导原则：①在具体编写程序前应简化算术表达式及逻辑表达式；②细心地分析多层嵌套循环，以确定能否把一些语句或表达式移到循环体之外；③尽量避免采用多维数组；④尽量避免采用指针及复杂的表；⑤采用“快”的算法；⑥不要把不同的数据类型混在一起；⑦只要可能就采用整形数的算法运算和布尔表达式。 第二节 应用程序的手工审计方法 由于对应用程序进行审计，往