软件工程助力信息系统审计

1、软件工程助力信息系统审计摘 要 文章论述了软件工程和信息系统审计的关 系，并用一个实例简要介绍了如何用软件工程理论具体指导 信息系统审计的实践。关键词软件工程；信息系统审计中图分类号：f239文献标识码：a文章编号:1671-7597(2014) 09-0176-01在信息技术向人们工作、生活的每一个角落发起全面冲 击的大潮中，对每个行业都带来了革命性的变革。为适应这 种变革，企业、单位、政府机构等都投入了大量的人力、物 力资源构建复杂的信息系统来提高工作效率，完善工作管 理。企业构建的是mis、erp、crm等系统，主要追求的是经 济效益，政府等机构和组织构建的是电子政务系统(g2b、 g2

2、c),主要追求的是社会效益。对于这些信息系统是否能实现业务、管理的需求，真实 的反应整个业务、管理过程，并能够适应各种需求的变化， 最终实现所要追求的经济和社会效益，需要对信息系统生命 周期中的某些或者全部过程进行评介，即通过信息系统审计 的过程，对信息系统的真实、合法、有效进行审计和评价。软件工程正是构建这些复杂信息系统的工程理论基础。 因此从软件工程的视角来进行信息系统审计的实践有着必 要性和必然性。1软件工程和信息系统审计的介绍软件工程是一门研究用工程化方法构建和维护有效、实 用和高质量的软件的学科，它着重研究和应用如何以系统性 的、规范化的、可定量的过程化方法去开发和维护软件，以 及如

3、何把经过时间考验而证明正确的管理技术和当前能够 得到的最好的技术方法结合起来。软件工程包括需求分析、 设计、实现、测试和维护等过程。信息系统审计（information systems audit, isa）是 一个过程，在此过程中审计人员搜集和评估证据以确定信息 系统和相关资源是否充分保护资产、维持数据和系统完整 性、提供相关和可靠信息、有效实现组织机构目标、有效地 使用资源、包含有效内部控制以提供运营和控制目标得到满 足的合理保障（国际信息系统审计协会isaca的标准定义）。信息系统审计的目标更加注重于从信息资产的安全性、 数据的完整性以及系统的可靠性、有效性和效率性等方面出 发，对信息系

4、统从开发、运行到维护的整个生命周期过程进 行全面审查与评价，以确定其是否能够有效可靠地达到组织 的战略目标，并为改善和健全组织对信息系统的控制提出建 议。2软件工程对信息系统审计的助力1）两者研究的内容高度重合。信息系统审计主要有6 方面的内容，包括信息系统审计程序；it治理（信息技术治 理）；系统和基础建设生命周期管理；it服务的交付与支持; 信息资产的保护；灾难恢复和业务连续性计划。软件工程研究的内容涵盖软件的技术方法、软件工程管 理，具体为在定义、开发、运行和维护三个阶段中的技术管 理、工程管理各阶段的工程质量实现。软件工程研究的内容包含在信息系统审计内容中重要 的后4项。2）两者的目标

5、有一致性。信息系统审计的目标是通过 对信息系统的审查，评价系统的真实性、合法性、有效性， 发现信息系统在使用和管理过程中存在的问题，确定是否存 在漏洞和缺陷，有无非法和错误的处理和控制的薄弱环节， 客观评价系统的现状，促进被审计单位进一步加强信息系统 管理，完善信息系统功能，保证和完善各项流程，防范利用 计算机系统进行欺诈与舞弊，并提出具有建设性的建议。软件工程的目标是在给定成本、进度的前提下，开发出 具有适用性、有效性、可修改性、可靠性、可理解性、可维 护性、可重用性、可移植性、可追踪性、可互操作性和满足 用户需求的软件产品，尽量减少软件在运行过程中的漏洞和 缺陷。追求这些目标有助于提高软件

6、产品的质量和开发效 率，减少维护的困难，提高信息系统的效益。两者的目标具有一定的一致性。3）软件工程定义的标准、规范为信息系统审计部分审 计事项的评介提供了参考。软件工程过程主要包括开发过程、动作过程、维护过程, 在这些过程中都有着明确的规则、规范、要求以及需要达到 的质量标准。在信息系统审计过程，通过材料和证据的收集, 可以参考软件工程的标准，对审计事项发表审计评价。如对信息系统的工程管理质量发表评价时可参考软件 工程软件管理的理论（如is09000质量体系、cmm能力成熟 度模型等）。4）软件工程为信息系统审计提供了审计方法和手段。 在信息系统审计过程中，需要收集材料和数据，进行符合性 和

7、实质性审计测试。这一过程需要有一定的审计方法和技术 手段，而软件工程正好可以提供。如对信息系统所运行的业务流程进行真实性、完整性的 符合性测试，可通过审计技术文档，重构软件工程需求分析 阶段的实体关系图、数据流图、数据字典的方法进行。如对 信息系统所运行的业务流程进行真实性、完整性的实质性测 试，可通过使用软件工程软件测试阶段的各种测试方法（如 静态、动态测试，白盒、黑盒测试、并行模拟等）进行。3审计项目实践在2013年对xx物流监管系统进行信息系统审计过 程中，审计小组正是利用软件工程理论对整个系统的建设、 实施、运行和维护过程进行了审计。主要审计成果如下。1）工程建设管理。根据软件工程的要

8、求，收集各阶段 的管理和技术资料。在此过程中，发现存在资料缺失、版本 管理控制不足、某些必须的开发阶段被忽略，形成不符合相 关法规和工程管理、技术上的问题及风险。2）应用系统一般控制和个别控制。在对应用系统的一 般控制审计时，主要对组织控制、人员职权职责的分配与分 工及资源掌控、多系统互联及数据传输等方面进行了详细审 查，发现了涉及用户管理权限、人员背景调查、保密管理、 数据传输控制不足等方面的不足与漏洞。在对应用系统的主要模块物流调拨模块进行个别控制 审计时，使用了软件工程中的各种测试方法，对程序和数据 进行了审计，发现了物资备案、调拨过程控制等业务方面的 管理、控制不足，使部分无备案无审核的物资调拨得以进行, 或者实际调拨数与申报数发生差异。3）数据资产保护和业务连续性。根据软件工程对软件 维护阶段的标准和要求，对系统的数据保护方案和业务连续 性计划与实施进行审查，发现有单点故障、业务连续性计划 不足、方案和计划实施不充分、无实际演练计划等问题和风 险。4总结与展望本文闸述了软件工程与信息系统审计之间的关系，通过 一个实际审计项目实例，展示了如何利用软件工程的相关理 论，从软件工程的视角来看待信息系统审计，并具体实施审 计实施。一方面提高了信息系统审计中的规范性、操作性、 可控制性和效率性，有利于审计项目的管理和审计项目质量 的提高，降低审计风险；另一方面软件