本篇文章是由《审计研究》发表的一篇审计论文,以推动中国的审计理论与实务研究为己任,坚持理论联系实际、百家争鸣的方针和为审计事业发展服务的办刊宗旨,在积极探索审计基础理论的同时,大力倡导审计应用理论研究,密切关注审计实践中的重点、难点、热点问题,反映、介绍国内外审计理论与实务及相关学科研究的最新成果及发展趋势,是审计理论研究人员探讨审计理论、进行学术交流的平台。
审计方法是审计人员履行审计职能、完成审计任务、达到审计目标所采取的方式、手段和技术的总称。
一、审计证据采集方法
信息系统效益审计证据采集方法主要包括两类:一类为常规审计证据采集方法。这类方法在审计过程中被广泛使用,审计人员可从信息系统建设者、技术开发人员以及用户等方面获取审计证据时都会运用到上述方法。另一类为特殊审计证据采集方法。由于信息系统有别于其他项目,其审计证据的采集也比较独特,因此需要一些特殊的方法进行证据采集。
(一)计算机辅助审计方法
信息系统效益审计的需要有效监督整个项目的建设过程和建设效果,但由于软件开发的不可视性,采用传统的审计取证方法很难展现存在于这个过程中的各种审计线索,因此,审计人员需要借助计算机工具才能高效地完成审计任务。
1、嵌入审计模块方式。审计人员可以自己设计或利用已有的应用程序和控制模块,植入应用软件开发系统中,然后根据需要详细记录各种的开发信息,从而在建设成本、项目管理以及综合测试等方面形成有力的审计证据。
2、利用通用和专用审计软件。目前国内外各类审计通用软件层出不穷而且功能强大,审计人员可以根据实际需要选择使用,同时也可以独立开发更具针对性的专用软件,能够更有效的对信息系统开发实施阶段的资金和项目管理方面进行审查。
3、利用专业测试系统。由于信息系统建设需要满足相应业务领域的专业和战术需要,因此,在实施效果审计时,有必要采用相应的专业测试系统,对建成信息系统的信息获取、传递、分析和处理质量等进行详细检测,从而形成具体较强权威性的审计证据。
(二)信息系统性能度量方法
信息系统性能度量方法是审计人员利用一系列的性能度量工具获取信息系统性能等方面的审计证据的方法。一般常用的性能度量工具有硬件监视器和软件监视器两种。其中,硬件监视器通过对连接的信息系统硬件设备进行信息流处理检测,可以直观地反馈出该设备的基本状态,有效检测系统硬件的有效性;而软件监视器实际是一段具体的程序指令,它插入到系统代码或其他程序中,以收集应用软件的性能数据,包括数据库操作访问记录、应用程序模块调用情况以及系统响应时间等方面,为进一步的系统性能分析和评价提供依据。
二、审计分析评价方法
开展信息系统效益审计,不能仅单纯地罗列一些审计查出的问题,更重要的是对信息系统进行效益评价。一般来说,使用不同的分析评价方法对评价结果会产生不同的影响,因此需要根据评价对象的特征和属性采用不同的评价方法。
(一)德尔菲法
信息系统效益审计评价的很多方面都无法进行定量评价,所以都需要运用德尔菲法来开展工作。首先,以当前审计组为基础成立管理小组,并要求小组成员必须了解专家们的详细情况,具备必要的专业知识和统计、数据处理等方面的基础知识;然后根据具体的评价要求筛选信息系统工程方面的专家,组织专家应答小组,将需要定性评价的问题以匿名的方式,反复征求专家们意见,从而形成评价结果。
(二)软件度量技术
软件度量技术是研究软件质量与复杂性的定量评价技术,它可以对一个软件系统、组件或过程在给定属性标度的前提下进行定量测量。一般来说,对应用软件的建设过程进行分析和评价是信息系统效益审计的重点和难度,因此软件过程度量技术是一项很有效的审计评价工具。
目前比较成熟的软件过程度量技术是GQM模型,它是一种基于目标的自上而下的度量定义方法,具体包括3个层次。概念层次:为度量对象制定一个目标。过程的度量对象一般是与时间有关的软件活动,如设计、编程等。操作层次:用一组问题来描述将被用来评价实现一个特定目标的方法,这些问题应根据所选的质量要点来描述度量对象。量化层次:针对每个问题得到一组数据来回答此问题。这3层是一个继承性的结构,下一层对上面一层的细化,通过这种细化和逐步求精,最终由目标得到需要的度量。
(三)层次分析法
它合理地将定性与定量分析结合起来,按照思维、心理的规律把目标过程层次化、数量化。该方法首先将所要分析的问题层次化,根据问题的性质和目标,将问题分解成不同的组成因素,按照因素间的相互关系及隶属关系,将各因素按不同层次聚集组合,形成一个多层分析结构模型,最终归结为最低层指标等相对于最高层总目标相对重要程度的权重值或相对优劣次序的问题。它是确定信息系统各项评价指标权重的重要方法。
(四)模糊综合评价法
模糊评价法可以与多种方法混合使用,在进行信息系统效益审计评价时,第一步,采用德尔菲法,通过多专家分析,确定评价指标体系和评价等级划分;第二步,构造判别矩阵并确定各指标权重,其中对权重的计算可运用层次分析法;第三步,确定指标的隶属度,由审计人员根据之前确定的评价等级,对信息系统效益评价指标进行具体判断,并将所得结果用隶属度矩阵来表示;第四步,计算评价值,将得到的隶属度矩阵和综合指标权重进行矢量相乘,最终得到信息系统效益评价值。
参考文献:
1、陈晓剑等.系统评价方法及应用[M].中国科学技术大学出版社,1993.
2、肖敏.审计信息化的审计软件过程度量的研究[J].审计月刊,2008(2).
3、李丹.浅谈软件过程度量及技术[J].电脑知识与技术,2007(23).
4、吴俊卿,郑慕琦,张志兴.绩效评价的理论与方法[M].科学技术文献出版社,1992.