計算機系統(tǒng)審計是指對電子數(shù)據(jù)處理的審計,是收集與評價物證的過程,這些物證是用于確定計算機系統(tǒng)是否使資產(chǎn)安全,是否維護了數(shù)據(jù)的完整和是否是高效地消耗了資源。
物證收集技術(shù)和方法分為六個方面:通用審計軟件、其他審計軟件、程序檢查測試數(shù)據(jù)及程序比較、同時審計技術(shù)和調(diào)查表與控制流圖和性能監(jiān)視工具。
一、通用審計軟件。通用審計軟件是一個有著很強數(shù)據(jù)檢索和數(shù)據(jù)管理能力的程序,是收集應用系統(tǒng)安全和質(zhì)量物證的最有效的工具。運行通用審計軟件后可直接由產(chǎn)生的記錄中得到有關的物證。
二、其他審計軟件。它們是行業(yè)審計軟件、高級語言、系統(tǒng)軟件和專用審計軟件。最為著名和成功的是一種為金融機構(gòu)設計的叫棋盤式對照表的審計軟件。近年來也有人用決策支持軟件來收集物證。
1、行業(yè)審計軟件。它是針對特定的行業(yè),所提供的高級語言命令是調(diào)用行業(yè)內(nèi)的功能所需要的。文件、記錄和字段都已定義好,不需要使用前再定義。
行業(yè)審計軟件的優(yōu)點是容易使用和運行效率高。缺點是使用面窄。行業(yè)審計軟件是內(nèi)部控制不可缺少的工具。
2、高級語言。現(xiàn)在審計人員一般都采用第四代語言與通用統(tǒng)計軟件來作為物證收集工具。它更面向用戶、更適用于聯(lián)機交互應用和與用戶有更好的接口。
3、系統(tǒng)軟件。系統(tǒng)軟件包括在數(shù)據(jù)處理裝置中用于支持開發(fā)、實行運行和利用應用系統(tǒng)的程序。
4、專用審計軟件。專用審計軟件是用面向過程或面向問題的語言書寫的,是為了完成審計工作中的特殊項目而設計的。所以,專門審計軟件在某些方面功能有限或效率很低,甚至無效,在某些方面則很強、效率高、容易使用和容易實現(xiàn)。
5、決策支持系統(tǒng)。該軟件幫助審計人員作出各種物證收集的決策。這種軟件的關鍵是支持決策。
三、程序檢查、測試數(shù)據(jù)和程序比較
1、程序檢查法:程序員讀程序源代碼清單,以確定是否有不容許的程序存在,并形成一個假想邏輯上可能在何處出錯。程序檢查的優(yōu)點是提供了關于對程序詳細的認識,這是其它物證收集無法提供的缺點是要花費大量的人力。
2、測試數(shù)據(jù)法:就是利用數(shù)據(jù)樣本來估計程序質(zhì)量。它是基本的物證收集方法,主要用于估價數(shù)據(jù)的完整性。
3、程序比較法。其目的是證明被審計的軟件是正確的軟件版本。程序比較法分為兩類:一類是源程序比較法,另一類是目標程序比較法。
四、同時審計技術(shù)
前面討論的物證收集技術(shù)都是在系統(tǒng)數(shù)據(jù)處理以后使用,屬于事后進行的物證收集技術(shù),而同時審計技術(shù)是在系統(tǒng)運行的同時收集物證的技術(shù)。他收集的物證更為及時和安全。利用同時審計技術(shù)提供的測試能力,可以得到數(shù)據(jù)處理人員也關心的應用系統(tǒng)處理質(zhì)量的情況。同時審計技術(shù)也有缺點,就是它要求對系統(tǒng)有較深的了解,要求較豐富的電子數(shù)據(jù)處理的經(jīng)驗。所以,同時審計技術(shù)一般對應用系統(tǒng)的關鍵程序進行審計時使用。
五、面談調(diào)查、調(diào)查表與控制流圖
1、面談調(diào)查。在運用這種方法時,首先應對發(fā)生的事件和所運行的系統(tǒng)有基本的了解。然后對記錄進行分析,并提出報告。
2、調(diào)查表。它主要在于調(diào)查表中各項目的設計。其設計要點是:可以用簡單的語言回答和表中所提出的問題不能模棱兩可,意義不明確;要避免所提的問題是有前提性、誘導性、假設性和會使回答者難堪的問題,更不要提當事人不知道的問題。
在所要詢問的問題明確后,要很好設計調(diào)查表的層次與結(jié)構(gòu)。對調(diào)查表中回答一定要唯一,不應是多值的。調(diào)查表既可以直接分發(fā)給被調(diào)查人員,也可以郵寄到調(diào)查人員不能到達的地區(qū)。調(diào)查表方法是一種很有用的收集情況的方法。
3、控制流圖。這是一種表明系統(tǒng)中能控制什么和這些控制在什么地方的物證收集方法。它有四種形式,即文本流圖、數(shù)據(jù)流圖、系統(tǒng)流圖和程序流圖。它們分別被用在文本、系統(tǒng)數(shù)據(jù)流、系統(tǒng)實體和程序上的控制,在構(gòu)成這些流圖時,有以下幾個步驟:(1)選擇一個主要流圖技術(shù);(2)選擇一個適當?shù)淖屑毘潭龋?3)準備主流圖;(4)準備控制流圖。
六、性能監(jiān)控
性能監(jiān)控是用來收集系統(tǒng)效率方面物證的。其主要形式一般有四種,即軟件監(jiān)控、硬件監(jiān)控、固件監(jiān)控和混合監(jiān)控。
所謂軟件監(jiān)控就是把一些程序(子程序或一組指令)插入系統(tǒng)程序中以收集性能測量數(shù)據(jù),如監(jiān)控程序插入操作系統(tǒng)中,通常目的是檢查系統(tǒng)范圍的功能;如插人應用程序中,則目的是收集關于特定程序的性能數(shù)據(jù)。
所謂硬件監(jiān)控就是通過連接主機的設備來檢測主機電路上的脈沖。它是由一組探頭連接到主機,用一個集線器來減少從主系統(tǒng)到監(jiān)控器的數(shù)目,經(jīng)一個比較器對測試結(jié)果的輸出與寄存器的內(nèi)容進行比較,再交由處理器對檢測出的事件記數(shù),并測量兩次連續(xù)事件之間的時間間隔,同時產(chǎn)生同步脈沖,由磁帶記錄器記錄。
所謂固件監(jiān)控它類似于軟件監(jiān)控,是將收集數(shù)據(jù)的一些指令轉(zhuǎn)換成微碼,存入固件內(nèi)。
所謂混合監(jiān)控是由硬件、軟件和固件組成的,由外部設備接收、處理和存儲,由內(nèi)部軟件或固件收集數(shù)據(jù)。
總之,不管采用什么形式的監(jiān)控器,使用時首先要確定是否安裝正確,主系統(tǒng)處理和數(shù)據(jù)的完整性是否被破壞。一句話,性能監(jiān)控手段要得到系統(tǒng)中軟件和硬件資源的物證來達到確定資源的利用率。
計算機系統(tǒng)審計的物證收集技術(shù)與方法
上一篇:論會計軟件細分市場的開發(fā)
- 發(fā)表評論
- 我要糾錯