系统规划与管理师第2版教程案例分析必背知识点：IT审计常用方法和运用

问：IT审计常用方法和运用

答：（1）访谈法：通过面对面交谈了解被审计对象信息，分结构型（按固定提纲提问）和非结构型（自由交流）访谈。

场景：项目需求调研或阶段末评审。

运用：项目经理与关键用户、业务负责人进行结构型访谈，使用预先准备好的问题清单，深入了解业务需求和当前痛点，确保项目目标与业务战略匹配。在项目出现偏差时，与开发团队进行非结构型访谈，开放式地探讨问题的根本原因。

（2）调查法：制定调研计划，通过书面/口头问答收集资料，分析后得出结论，用于把握现状或揭示问题。

场景：收集广泛用户意见或评估供应商能力。

运用：在新系统上线前，向全公司范围内的潜在用户发放在线调查问卷，收集他们对系统功能的期望和对UI/UX的偏好，为验收标准提供论据。在选型阶段，向多家供应商发放询证函，调查其技术实力、案例和售后服务能力。

（3）检查法：审查内部/外部记录文件（纸质、电子等）或实物资产，技术层面分审阅法、核对法、复算法、分析法。

场景：项目里程碑评审和验收。

运用：在代码审查（CodeReview）中，审阅核心模块的代码是否符合规范。在阶段交付时，核对《测试报告》中的缺陷是否已全部修复。在项目结算前，复算项目人力成本投入是否超出预算。分析项目周期各阶段的耗时数据，为后续项目估算提供依据。

（4）观察法：到经营场所实地察看审计事项，可双向验证（书面→实物/过程或反之），用于补充或直接收集证据。

场景：验证测试结果或评估用户培训效果。

运用：用户验收测试（UAT）期间，审计人员或项目经理亲临测试现场，观察用户操作系统的方式，看其是否与设计初衷一致，能否顺利完成测试用例，这比单纯查看测试报告更能发现易用性和流程上的潜在问题。

（5）测试法：用测试数据跟踪业务从输入到输出，评估程序与系统可靠性，分黑盒法（测功能是否符合需求）和白盒法（测内部结构与通路）。

场景：系统测试和集成测试阶段。

运用：黑盒测试：QA团队根据需求规格说明书设计测试用例，输入数据并验证输出结果是否正确，而不关心内部如何实现（如：测试一个下单功能是否能正确生成订单）。白盒测试：开发人员自己进行单元测试，根据代码逻辑设计测试用例，确保每一条分支和语句都被执行到（如：测试一个复杂的算法函数）。

（6）程序代码检查法：逐条审查被审程序指令，验证合法性、完整性与逻辑正确性，可借助代码静态扫描工具。

场景：代码审计和安全扫描。

运用：在项目开发过程中，引入静态代码分析工具（如SonarQube,Fortify）定期扫描代码库，自动检查代码漏洞、安全缺陷和坏味道，确保程序的安全性、可靠性和可维护性，满足合规性要求。这对于金融、医疗等对安全要求极高的项目至关重要。