关键字:日本 信息系统监查 监查
随着社会信息化进程的步步推进,
计算机系统扮演着愈来愈重要的角色。计算机系统可靠性、安全性及有效性等方面出现的问题在一定程度上严重影响了社会生产、经济各个领域,成为社会信息化的一大绊脚石。由此,围绕着确保
信息系统的可靠性、安全性和有效性这一课题,诞生了信息系统监查技术(有时亦称为信息系统审计技术)。
系统监查是指由独立于监查
对象的系统监查人员对信息系统进行全面的检查与评价,从而对有关人员进行有效的指导。实践证明系统监查能有效地提高计算机系统安全性和计算机系统的使用效率。
既然要实施系统监查,因此就必须制定一个标准作为以计算机为核心的信息系统进行监查的依据。这个标准我们称之为系统监查标准。它由一般标准、实施标准以及报告标准三部分组成。其具体内容如下:
(1)一般标准 主要是进行系统监查的综合事项。内容包括系统监查的基本目的、实施对象、系统监查人员、监查时期、监查计划、监查顺序等;
(2)实施标准 主要是系统监查具体的实施内容。内容包括系统监查人员从业务计划、业务开发到业务实施各阶段监查的方针与内容;
(3)报告标准 主要是系统监查结果的归纳事项。内容包括监查结果的收集和整理,按照监查结果必须采取的措施等;
当然、光有系统监查标准是不够的,必须建立一个独立于监查对象的监查机构和一套监查体制来保证系统监查的有效实施。此外在实施过程中,根据具体业务采用相应的实施标准和监查方法也是必不可少的。
一般标准的具体内容如下:
(1)监查的目的 :提高系统的可靠性、安全性、效率;
(2)监查的对象及
业务对象:信息系统开发涉及的全部要素,系统规划、开发及实施的全部业务;
(3)监查人员要求系统监查机构、人员具有独立性,系统监查员必须具备系统开发知识、监查活动的实施能力以及实施知识(信息安全、经济管理、相关法律、业务等);
(4)监查时期:根据具体情况可分为系统规划、业务实施、系统变更等时期;
(5)监查计划:分基本计划和个别计划,基本计划阐述了年度内将实施的各项监查措施,比较全面。个别计划则阐述针对个别对象所采取特殊的监查措施;
(6)监查顺序:按时间先后分为准备阶段、实施阶段、评价与结论阶段;
实施标准是对一般标准的细化,其内容根据具体实施情节可以有所增删,基本要点如下:
(1)业务计划监查:对系统规划中的规模、目的、手段、资金、时间、人员、设备、组织体制、业务变更、安全措施等项目进行审核。
需求分析中用户
需求是否得到正确理解,系统开发条件是否明确、是否进行风险评估、是否进行成本分析等一切涉及系统开发前期(系统计划和需求分析)的全体工作要素的各个细目部分进行一一监查;
(2)业务开发监查:系统开发顺序是否合理、各
类文档是否齐备、人员分配是否合理、人员时间安排符合规定吗,系统设计书是否正确、完整,编码是否符合规范、是否正确,测试是否完全等一切涉及系统开发中、后期(系统设计、编码、测试)的全体工作要素的各个细目部分进行监查;
(3)业务实施监查:系统交付,一切涉及用户操作和系统投入运行后需进行处理的因素的细目部分均纳入监查范围。这个阶段也可称为维护监查;
报告标准是关于将监查结果按照一定格式书面化汇总成监查报告书的格式标准。监查报告书必须记述监查负责人、报告书日期、对象、目的、范围及手续、实施时间、实施分配及人员安排、监查结果的概要(可靠性状况、安全性状况、有效性状况)、指摘事项(监查结果的各种问题)、改进指导(紧急改进、一般改进),此外监查报告书的提交、监查结果的追踪也属于监查报告标准的范围。
在执行系统监查中,根据具体情况采用正确的监查方法是必不可少的。常见的系统监查的方法有测试数据法、监查
程序法、监查模块法、ITE法、并行模拟法、Snapshot法、跟踪法和代码比较法等等。各种方法的要点如下:
测试数据法,是按拟定的测试数据对使用中的系统进行测试,以检查验证系统功能正确性的一种方法。采用这种方法,可进行特定功能的测试和综合的
功能测试,并能根据系统监查人员的判断决定测试范围。此外,不仅能测试系统是否满足用户需求的功能,还能测试出系统是否执行其他不需要的功能。
监查程序法,是指监查人员使用监查
软件对系统进行监查后生成相应的报告书。这样一来,监查人员不需具有很高的技术水平就可以实施系统监查,监查软件能方便地适应系统的变化,此外一个监查软件还可同时对多个系统进行监查。
监查模块法,监查模块是供监查人员使用的当符合指定条件的数据通过系统时,就把该数据抽出并录入供监查人员使用
文件的一种程序。由于在系统处理过程中自动抽出数据,因此可以为监查人员节省很多时间。监查模块的抽出条件必须在模块中指定。监查时如果必要的数据需要全部收集的话,所得文件将非常庞大,因而此方法缺少灵活性,但对错误和异常情况来说它却是有效的手段。
ITF法,或称
集成测试法(Integrated Test Facility ),这是一种在系统中预先设置ITF,系统在运行中录入测试数据,之后将测试结果和预先手工操作所得到的正确结果进行对照的联机
系统测试方法。
并行模拟法(Parallel Simulation)是指针对特定的应用程序,监查员准备一个监查用的测试程序(并行模拟程序),对输人数据同时进行并行处理,其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。值得一提的是它不是对应用程序的全部功能进行测试,而是监查人员根据监查目的对其认为必要的功能进行测试。
Snapshot法,也即快照法,是指在系统中附有快照法程序,当程序所需的数据通过时,将这一点的主存的内容进行输出(从这一点上来看,它类似于内存驻留程序),然后对这个黑盒(Black Box)内的处理过程全部进行确认,以确保监查踪迹。
跟踪法(Tracing)是指对特定事件处理进行跟踪,列出执行过的程序清单,验证程序在逻辑上的正确性的一种方法。
代码比较法(Program Code Comparison),是将正式的程序与监查用的程序进行比较,以检查它的正确性。它能够检查源程序或目标程序、使用中的程序和文档之间是否存在差异。
由上可见,不同监查阶段和不同的情况,采用的监查方法也不同,有时需要多种方法结合在一起使用。
系统监查贯穿整个信息系统周期,对整个系统开发过程进行监督和指导,在信息系统开发中起着非常重要的作用。由于其涉及的范围广而细,所以对系统监查人员来说,需要具备很高的素质和技术水平方能够胜任该工作。在欧美和日本,系统监查人员的地位也相当的高,其在信息部门地位不亚于系统分析员。在日本国内,系统监查员跟系统分析员、项目经理、应用系统开发工程师一同列为高度情报技术者(高级信息技术人员),其地位与系统分析员等同。日本的大部分IT企业都设置了专门的监查部门(一级部门)负责公司系统监查工作实施。值得一提的是,日本政府早在六十年代末意识到信息系统开发中系统监查的重要性,通过了《监查待例法》《商法》等涉及系统监查的法律,并于1969年在日本信息处理技术人员考试设置了系统监查员考种,至今已有72150人次参加考试,4755人通过。而在国内,至今尚无任何高水平的系统监查考试来对信息系统审计人员进行能力考核,能够实施系统监查的企业更是寥寥无几,除了计算机信息系统安全法规外,有关系统监查方面的立法也尚未出现,这不能不引起我们的高度重视和反思。
来源:张华
