在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中,对每个行业都带来了革命性的变革。为适应这种变革,企业、单位、政府机构等都投入了大量的人力、物力资源构建复杂的信息系统来提高工作效率 ,完善工作管理。企业构建的是 MIS、ERP、CRM 等系统 ,主要追求的是经济效益 ,政府等机构和组织构建的是电子政务系统(G2B、G2C),主要追求的是社会效益。
对于这些信息系统是否能实现业务、管理的需求 ,真实的反应整个业务、管理过程 ,并能够适应各种需求的变化 ,最终实现所要追求的经济和社会效益 ,需要对信息系统生命周期中的某些或者全部过程进行评介 ,即通过信息系统审计的过程 ,对信息系统的真实、合法、有效进行审计和评价。
软件工程正是构建这些复杂信息系统的工程理论基础。因此从软件工程的视角来进行信息系统审计的实践有着必要性和必然性。
1 软件工程和信息系统审计的介绍
软件工程是一门研究用工程化方法构建和维护有效、实用和高质量的软件的学科 ,它着重研究和应用如何以系统性的、规范化的、可定量的过程化方法去开发和维护软件 ,以及如何把经过时间考验而证明正确的管理技术和当前能够得到的最好的技术方法结合起来。软件工程包括需求分析、设计、实现、测试和维护等过程。
信息系统审计(Information Systems Audit,ISA)是一个过程 ,在此过程中审计人员搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障(国际信息系统审计协会 ISACA 的标准定义)。
信息系统审计的目标更加注重于从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发 ,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价 ,以确定其是否能够有效可靠地达到组织的战略目标 ,并为改善和健全组织对信息系统的控制提出建议。
2 软件工程对信息系统审计的助力
1)两者研究的内容高度重合。信息系统审计主要有 6 方面的内容 ,包括信息系统审计程序 ;IT 治理(信息技术治理);系统和基础建设生命周期管理 ;IT 服务的交付与支持 ;信息资产的保护 ;灾难恢复和业务连续性计划。
软件工程研究的内容涵盖软件的技术方法、软件工程管理 ,具体为在定义、开发、运行和维护三个阶段中的技术管理、工程管理各阶段的工程质量实现。软件工程研究的内容包含在信息系统审计内容中重要的后4 项。
2)两者的目标有一致性。信息系统审计的目标是通过对信息系统的审查 ,评价系统的真实性、合法性、有效性 ,发现信息系统在使用和管理过程中存在的问题 ,确定是否存在漏洞和缺陷 ,有无非法和错误的处理和控制的薄弱环节 ,客观评价系统的现状 ,促进被审计单位进一步加强信息系统管理 ,完善信息系统功能 ,保证和完善各项流程 ,防范利用计算机系统进行欺诈与舞弊 ,并提出具有建设性的建议。
软件工程的目标是在给定成本、进度的前提下 ,开发出具有适用性、有效性、可修改性、可靠性、可理解性、可维护性、可重用性、可移植性、可追踪性、可互操作性和满足用户需求的软件产品 ,尽量减少软件在运行过程中的漏洞和缺陷。追求这些目标有助于提高软件产品的质量和开发效率 ,减少维护的困难 ,提高信息系统的效益。两者的目标具有一定的一致性。
3)软件工程定义的标准、规范为信息系统审计部分审计事项的评介提供了参考。
软件工程过程主要包括开发过程、动作过程、维护过程 ,在这些过程中都有着明确的规则、规范、要求以及需要达到的质量标准。在信息系统审计过程 ,通过材料和证据的收集 ,可以参考软件工程的标准 ,对审计事项发表审计评价。
如对信息系统的工程管理质量发表评价时可参考软件工程软件管理的理论(如 ISO9000 质量体系、CMM 能力成熟度模型等)。
4)软件工程为信息系统审计提供了审计方法和手段。在信息系统审计过程中 ,需要收集材料和数据 ,进行符合性和实质性审计测试。这一过程需要有一定的审计方法和技术手段 ,而软件工程正好可以提供。
如对信息系统所运行的业务流程进行真实性、完整性的符合性测试 ,可通过审计技术文档 ,重构软件工程需求分析阶段的实体关系图、数据流图、数据字典的方法进行。如对信息系统所运行的业务流程进行真实性、完整性的实质性测试 ,可通过使用软件工程软件测试阶段的各种测试方法(如静态、动态测试 ,白盒、黑盒测试、并行模拟等)进行。
3 审计项目实践
在 2013 年对《XX 物流监管系统》进行信息系统审计过程中 ,审计小组正是利用软件工程理论对整个系统的建设、实施、运行和维护过程进行了审计。主要审计成果如下。
1)工程建设管理。根据软件工程的要求 ,收集各阶段的管理和技术资料。在此过程中 ,发现存在资料缺失、版本管理控制不足、某些必须的开发阶段被忽略 ,形成不符合相关法规和工程管理、技术上的问题及风险。
2)应用系统一般控制和个别控制。在对应用系统的一般控制审计时 ,主要对组织控制、人员职权职责的分配与分工及资源掌控、多系统互联及数据传输等方面进行了详细审查 ,发现了涉及用户管理权限、人员背景调查、保密管理、数据传输控制不足等方面的不足与漏洞。
在对应用系统的主要模块物流调拨模块进行个别控制审计时 ,使用了软件工程中的各种测试方法 ,对程序和数据进行了审计 ,发现了物资备案、调拨过程控制等业务方面的管理、控制不足 ,使部分无备案无审核的物资调拨得以进行 ,或者实际调拨数与申报数发生差异。
3)数据资产保护和业务连续性。根据软件工程对软件维护阶段的标准和要求 ,对系统的数据保护方案和业务连续性计划与实施进行审查 ,发现有单点故障、业务连续性计划不足、方案和计划实施不充分、无实际演练计划等问题和风险。
4 总结与展望
本文闸述了软件工程与信息系统审计之间的关系 ,通过一个实际审计项目实例 ,展示了如何利用软件工程的相关理论 ,从软件工程的视角来看待信息系统审计 ,并具体实施审计实施。
一方面提高了信息系统审计中的规范性、操作性、可控制性和效率性 ,有利于审计项目的管理和审计项目质量的提高 ,降低审计风险 ;另一方面软件工程为信息系统审计提供了方法论和实用工具 ,拓宽和深入了信息系统审计的范围和深度 ;最重要的是为信息系统审计中的审计事项提供了审计评价标准、规范和参考等。
参考文献
[1]计算机科学技术百科全书(第二版)[M].清华大学出版社,2005.
[2]张金城.信息系统审计[M].清华大学出版社,2009.
