[Day 28] 系统开发导入(下)

资讯审计人员需要能识别和了解所设计的控制，以确保输入和输出各种业务和应用程序的数据授权、完整性和准确性。

Data Validation Edits and Controls 数据验证编辑和控制

Sequence Check 序列检查 : 数字照顺序
Limit Check 限制检查 : 数字不会有超过预期的值
Validity Check 有效性检查 : 输入的值是可接受的
Range Check : 数字应该在某个范围
Reasonableness check 合理性检查 : 与平时不同或不合理状况 EX.温度平时都30度，突然变成60度
Table Lookups 表查找 : 输入数据符合表格中定义 EX.汇款时银行代码输入不存在的数字无法执行
Existence Check 存在检查 : 数据输入正确并符合有效的预定义标准
Key verification 按键验证 : 重复的按键输入进行比较 EX.输入两次密码都相同才能更改密码
Duplicate check 重复检查 : 检查新交易与之前输入的交易匹配，以确保尚未输入 EX.重覆缴两次电话费

处理控制

Manual recalculations 手动重新计算 : 比对手动结果是否与输出相同
Run to Run : 在每个阶段验证，确保资料在每个阶段正确

输出控制

稽核需确认保留政策是否符合法令法规，例如GDPR跨境传输，传输间的安全，尤其需要注意传出去的资料难以被掌控，可能被复制传给不恰当的地方，因此传出的关卡务必重点管控。

在安全的地方纪录和储存
准确性、完整性、即时性
核对与对帐 : 总数核对
输出错误处理
输出报告保留
报告接收校验 : 接收者需要以类似签收动作

测试

• Unit Testing 单元测试 : 最小规模的测试，确保功能正常
• Component Testing/Module Testing 组件/模块测试 : 对多个Unit组成的Module做测试
• Interface/Integration Testing 接口/整合测试 : 通常指Module间数据串接测试，有的时候包含SIT系统整合测试
• System Testing 系统测试 : 完成上述测试後，对开发的系统测试确定符合功能需求
• System Integration Testing(SIT)系统整合测试 : 系统间数据串接测试
  
  图片来源: https://slideplayer.com/slide/5068105/

系统测试细项

• Volume testing 容量测试 : 系统能承受的最大资料容量(资料储存)
• Usability Testing 可用性测试
• Recovery Testing 恢复测试 : 检查系统在软件或硬件故障後的恢复能力。
  Performance Testing效能测试
• Load Testing 负载测试 : 用大量数据测试应用程序以评估其在高峰时段的性能。(乘载几万人在线)
• Stress Testing 压力测试 : 测试在极端的状态运行状况。(被DDos)
• Performance Testing 性能测试 : 与其他相似产品比较。(手机跑分)

Acceptance test 验收测试

• Function/validation testing 功能/验证测试 : 类似於系统测试，但通常用於根据详细要求来测试系统的功能，以确保已构建的软件可追溯到客户要求。
• Quality Assurance Testing(QAT) 质量保证测试 : 专注於应用程序的技术方面，它通过测试逻辑设计和技术本身来验证应用程序是否按文档所述工作。它还确保该应用程序符合记录的技术规格和可交付成果。通常由IT执行
• User acceptance testing(UAT) 用户接受/验收测试 : 专注於应用程序的功能方面，客户会审查是否符合当初规格要求的功能

更版/上线测试

• Alpha Test 软件发布前的第一个测试，通常在内部测试环境
• Beta Test 测试软件功能的可用性，提供外部人员测试
• Parallel Testing 并行测试 : 这是将测试数据输入修改後的系统和另一个系统的两个系统中并比较结果的过程。
• Sociability testing 社交性测试用於确认新系统或修改後的系统可以在其目标环境中运行，而不会对现有系统造成不利影响。
• Regression testing 回归测试是重新运行一部分测试方案或测试计划以确保更改或更正未引入新错误的过程。

稽核角度的测试

• Test data 使用一组假设的事务来在短时间内验证程序逻辑和内部控制，并为IT背景最少的审核员提供验证
• parallel simulation 并行 将实际程序的结果与为IS审核员编写的程序的结果进行比较； 此技术可能很耗时，并且需要IT专业知识
• integrated test 集成的测试 使在线处理交易时能够持续评估测试数据； 此技术非常耗时，需要IT专业知识
• embedded audit module 嵌入式审计模块是已编程的模块，已插入应用程序以测试控件。 此技术非常耗时，需要IT专业知识。
  
  图片来源: https://www.slide-finder.com/view/Application-Controls-Batch-Processing.264042.html

实施後的审查

• 稽核须查看访问控制配置，确定系统是否达到目的(满足客户需求)、预期成本的效益或ROI衡量
• 是否手册文件供使用者实施，并在异常事件时有Error Code 相对应的处理方式
• 审查输入输出处理报告，查核系统正确处理数据

BPR

business process reengineering 企业流程再造
BPR的目标是帮助企业从根本上，重新思考怎麽样工作，以便根本上地提高客户服务，削减运营成本，成为世界级竞争者(Wiki)，简单来说就是增加效率、增加金钱(省钱)、减少舞弊

• 定义范围
• 制定计画
• 了解流程
• 重新设计
• 实施流程
• 持续改进

benchmarking process
标杆管理是一个衡量公司产品，服务或流程的绩效的过程，该过程与是与同业最佳的业务绩效进行比较，用来确立未来改进的目标。Benchmarking process用来作为BPR的工具

• PLAN 识别基准测试的关键流程
• RESEARCH 收集指标数据
• OBSERVE 收集数据并拜访基准测试合作夥伴
• ANALYZE 汇总和解释所收集的数据，并分析组织过程与其合作夥伴过程之间的差距
• ADOPT 调查结果转化为一些核心原则，并从原则到策略再到行动计划
• IMPROVE 改进

稽核需要关注关键控制是否被撤销，确定管理层对此知情，并愿意承担不设立控制衍伸的风险
须确定变更工作与战略计画一致、避免对其他员工造成负面影响并记录经验教训供其他计画参考改进。

稽核

• 查看系统是否达到目标的要求，查故障申告单、满意度调查等等
• 审查方案是否合理且符合成本效益，并确定有让适当高层批准
• 审查控制配置是否符合设计要求
• 审查操作人员的错误日志，以确定是否有运行问题

参考资料

• Auditing in a computer-based environment
  https://www.accaglobal.com/in/en/student/exam-support-resources/professional-exams-study-resources/p7/technical-articles/auditing-computer-based-environment2.html
• Component Software Testing
  https://www.geeksforgeeks.org/component-software-testing/