审计轨迹
　　审计轨迹是信息系统审计师在重新描述交易过程时的“地图”。审计工作中审计人员正是通过跟踪审计轨迹，来审核有关经济业务及收集审 计证据的。在传统的业务活动中，每笔交易的每一个环节都有文字记录（如经手人签字），审计轨迹十分清楚。审计人员可以从原始单据开始，对交易事项进行追 踪，直到报表为止；也可以从报表开始，一直追溯到原始单据，形成了顺查、逆查等审计方法。
　　对于信息系统而言，审计轨迹是指从数据输入系统时起，到数据被确认有效并传递给其他子系统为止，对这段时间内发生的所有事件的记录。实现电子化后，传统的审计轨迹完全消失，代替纸制凭证、账簿和报表的是 电磁化的会计信息。这些磁性介质上的信息不再是肉眼所能直接识别的，可能被删改而不留下痕迹，从而大大增加了审计风险。如果系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而无法追溯其来源。因此，审计轨迹是对数据处理的跟踪和记录，也是系统设计良好的必备组件。
　　审计轨迹能够帮助IT部门和审计师提供追溯交易过程的记录，能够帮助信息系统审计师重新创建一个实际的交易流，即从最初存在状态到更新后的文件。在缺少职务分工的情形 下，审计轨迹可以作为一个补偿控制。信息系统审计师应该能判断谁执行这笔交易，交易的时间，输入的数据，输入的形式，交易中包含哪些领域的数据，以及更新过的文件。

质量保证
　　审查每个阶段实施结果是否与需求保持一致。审查点取决于所采用的系统开发生命周期方法论、系统的意义和潜在偏差的影响等几方面的因素。还要关注和每个过程管理相关的技术活动，或具体软件工程过程的使用，这对于达到软件过程能力成熟都具有很重要的作用。


Access Control.  访问控制
限制及控制访问计算机系统资源的规程，包括逻辑性控制及物理性控制以防止未经授权使用计算机资源。
 
Access Method.  访问方法
在文件中选取记录（每次选中一条记录）以对其进行处理、读取或存储的一种技术。访问方法与决定记录如何存储的文件组织有关，但不属于文件的组织。
 
Access Path.  访问路径
一种终端用户访问计算机信息的逻辑路径。通常包括通过操作系统、通信软件、应用软件及访问控制系统的路径。
 
Address.  地址
用于表示某段数据存放于计算机储存器中的位置的代码。
 
Administrative Controls.  管理控制
为达到营运效果、效率及遵循管理政策的控制措施。
 
Asymmetric Key (Public Key),  非对称式密钥 (公开密钥)
使用不同的密钥对信息加(解)密的技术。
 
Asynchronous Transmission.  异步传输
某一时刻传输一个字符的方式。
 
Attribute Sampling.  属性抽样
用以估计某类错误发生次数的抽样方法。
 
Audit Objective.  审计目标
指每次审计的特定目标，目的是在证实内部控制是否落实以降低企业风险。
 
Audit Program.  审计程序
是指完成审计工作所遵循的审计程序与指导，包括说明各审计步骤应有的文书及说明审计证据在工作底稿中的位置。
 
Audit Risk.  审计风险
信息或财务报表含有错误而审计人员未能发现的风险。
 
Audit Trail.  审计轨迹
一项数据的处理过程所留的轨迹，足以重建原始文件的详细数据。
 
Authentication.  鉴别、认证
确认用户的身份及用户对计算机信息访问的资格。以防止非授权者进入。认证也可用于数据正确性的验证。
 
Batch Control.  批量控制
应用于批量的数据输入，检查系统数据处理的正确性，特别是在数据准备阶段。通常批量控制主要可分两种：顺序控制和整体控制。顺序控制包括每笔数据的序号，以表
示出每笔数据的位置，而整体控制则包括建立的总数目，或对每笔数据中的某些字段的数值进行合计，人工地进行批次分类输入交易以便提供控制总量。
 
Biometrics,  生物特征
通过分析天生人体特征的不同，来验证个人身份的技术，这些特征的识别通常采用视网模的扫描、声音的解析或手掌的扫描等等。
 
Biometric Locks.  生物特征锁
对比人体特征如声音、指纹或签名，相符后才能打开的锁。
 
Business Impact Analysis (BIA).  企业影响分析
判断某资源丧失后对企业的影响,通过提供对减少资源所带来的影响的可靠的数据文件，使主管作出某些的预测，以便于进一步做出决策。
 
Business Process Re-engineering (BPR).  企业再工程是现代企业针对防范IS/IT的冲突，对组织进一步发展的一种表现。而企业再工程的主要目的是提高企业的执行效能，对客户及市场的情况也能更快的
做出反应，并且更加节省成本。再工程的意义是重新设计组织结构及企业流程，以期能对每一状况做快速的响应。

Compensating Control.  补偿性控制
可用以降低现存潜在控制弱点所能导致的发生错误或遗漏的风险。
 
Compliance Testing.  符合性测试
用以确定内部控制制度是否落实执行的审计测试。
 
Console Log.  主机控制台日志
自动记录计算机系统活动的详细报告。
 
Continuous Auditing Approach.   连续的审计方式
以一贯的标准为基础并由计算机搜集的审计数据，可使IS审计人员监督系统的信赖度。
 
Control Risk.  控制风险
无法由内部控制及时防止或检测出重大错误的风险。
 
Critical Path Method (CPM).  关键路径法
 一个项目管理计划的控制工具。
 
Database Administrator (DBA).  数据库管理员
负责数据库系统中的信息安全、共享数据的分类的个人或部门，其责任在于数据库的设计、定义、和维护。
 
Data Dictionary.  数据字典
载明数据项的名称、数值范围、来源及访问权限的信息库。数据字典也列示了哪些计算机程序可以使用这些数据，如果数据结构有变更，就可以知道哪些程序受影响。数据字典可以作为独立存在的信息系统或文档来管理，也可以用来控制数据库的操作。
 
Data Diddling.  数据欺骗
在数据输入计算机系统之前或中途恶意的窜改数据。
 
Data Encryption Standard (DES). 数据加密标准
由NIST的前身NBS公布的一种标准加密技术，通常以软件或硬件的方式进行数据加密，DES的长度是依据密钥的长度，例如：56位。以56位的密钥为基础，DES使用16回合的重复运算程序，包括替代、排序和数学的XOR运算。
 
Data Owner.  数据所有者
可以拥有某些数据报告，对计算机数据负有责任的管理人员。
 
Detection Risk.  检查风险
审计人员未能检查到重大错误或发表了错误声明的风险。
 
Digital Signature.  数字签名
一组数字信息，用以鉴定利用私人秘钥进入系统用户的真实性，传输消息的数字签名可通过解开公共秘钥而取得。
 
Fraud Risk.  舞弊风险
这种风险是指某些行为含有故意对控制进行回避的成份，以达到永久掩盖非法活动的目的。未经授权使用资产或服务并教唆或帮助掩盖事实。
 
Inherent Risk.  固有风险
对象本身所产生的错误，而无法以其它相关内部控制预防或检测该错误发生的风险，

Input Controls.  输入控制
是一种技术或工作规程，用以检查数据的正确性及合理性，以确保只有正确的数据才能输入计算机。
 
Integrated Test Facilities (ITF).  整合性测试设施
在正常工作的系统中处理测试数据。这些测试数据通常是一群虚构的实体，如部门、客户及产品数据，产生输出报表以证实程序处理的正确性。
 
Librarian.  计算机管理员
负责所有程序和数据文件安全保护和维护的人员。
 
Network Administrator.  网络管理人员
负责维护一个局域网络及协助用户操作的人员。
 
Off-Line Files.  离线文件
没有物理地连接到计算机的计算机文件，如磁带通常供数据备份用途。
 
Operator Console.  操作员主控台
计算机操作人员用以控制计算机及系统作业功能的特殊终端机，主控台通常有高级的计算机使用操作，因此应有适当的防护措施。
 
Program Evaluation Review Technique (PERT).   计划评价与审查技术
系统规划与控制的项目管理技术。
 
Prototyping.  原型
促使用户与系统开发者在系统需求上一致协议的系统开发技术。原型化利用程序化的仿真技术表达系统的最终模型，供用户给予建议或评论。因仅是一种模型，强调用户所使用的屏幕和报告，内部控制并非重点。
 
Reasonableness Check.  合理性检查
验证数据可被接受之合理范围或重复发生之比率。
 
Redundancy Check.  冗余检查
经计算的位附加在数据每个区段的末端以检测传输的错误。
 
Security Administrator.  安全管理员
负责安装、监视和实施由管理阶层授权且建立的安全管理与控制规程的人员。
 
Sequence Check.  顺序检查
验证供控制用的号码符合序号使用规则，且不符合序号规则的数据记录将被拒绝或记录在例外报告中供进一步追踪。
 
Sequential File.  顺序文件
一笔记录接续一笔记录储存的计算机文件储存格式。这些记录只能被顺序访问，如磁带即要求这种文件储存格式。
 
Substantive Testing.  实质性测试
一种审计测试的方法，用来保证在足够的内部控制的基础上，可以避免发生严重错误或诈欺行为。
 
Symmetric Key Encryption.   对称式密钥加密法
两个交易上的伙伴共享一个或多个密钥。其它人不可读取他们的信息，不同对的伙伴间须要不同的密钥对信息进行加密或解密。