信息系统审计概论.ppt

《信息系统审计概论.ppt》由会员分享，可在线阅读，更多相关《信息系统审计概论.ppt（90页珍藏版）》请在三一办公上搜索。

1、本课程主要内容:信息系统审计概论IT治理审计信息系统架构控制与审计信息系统开发及审计信息系统运营与维护审计信息安全控制与审计信息系统审计技术方法,信息系统审计,信息系统审计概论 ISA的定义、目标、内容、信息系统审计风险、信息 系统控制与审计、审计程序，以及信息系统审计的准则、控制模型等。本章主要介绍有关信息系统审计的基本概念和基本理论。,IT治理审计 通过本章的学习，信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求。,信息系统架构控制与审计 一个组织要建立信息系

2、统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。,信息系统开发及审计 信息系统开发过程中的问题和错误会产生“积累放大”效应，并会使企业付出高昂的代价。因此，通过对信息系统开发过程中每个阶段的跟踪审计，及时发现每个阶段的错误，并得到及时修正，从而保障整个信息系统的质量。,信息系统运营与维护审计 保证一个组织已经建立的信息系统能高效的为其服务，离不开对其良好的操作、运行管理（日常运行事务、系统执行与监控）和维护，使其保持最佳的运行状态。因此，对信息系统运行和维护过程的审计非常重要，是对整

3、个信息系统实现高效服务的保障。本章即介绍信息系统运营和维护过程的审计。,信息系统安全控制与审计 信息技术环境下信息系统的脆弱性和威胁，使信息系统及其产生的信息存在信息安全风险。本章主要介绍如何对信息系统进行安全审计与控制，从而使信息系统的风险降到最低。,信息系统审计技术与方法 面对错综复杂的信息系统和审计环境，向审计人员提出了挑战，审计人员实施审计的难度很大，需要运用许多技术、方法和工具来辅助他们进行审计工具。本章即介绍一些有关信息系统审计的技术和方法。,第一章 信息系统审计概论,第一节 信息系统审计及其产生与发展 一、何谓信息系统审计（ISA）？,国际信息系统审计委员会(ISACA)定义：是

4、一个获取 并评价证据，以判断计算机系统是否能够保证资 产的安全、数据的完整以及有效率利用组织的资 源并有效果地实现组织目标地过程。,日本通产省情报处理开发协会信息系统审计委员会定 义为：为了信息系统的安全、可靠与有效，由独 立于审计对象的信息系统审计师，以第三方的客 观立场对以计算机为核心的信息系统进行综合的 检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动。,从以上定义可以看出,信息系统审计的两个方面职能:从外部审计的角度,ISA实现-监证目标（“保证”职能）从内部审计的角度,ISA实现-管理目标（“咨询”职能）,第一章 信息系统审计概论,一般定义:根据公认的标准和指导

5、规范，对信息系统从计 划、研发、实施到运行维护各个环节进行审查评价，对 信息系统及其业务应用的完整、效能、效率、安全性进 行监测、评估和控制的过程，以确认预定的业务目标得 以实现，并提出一系列改进建议的管理活动。,Ron Weber 定义:搜集并评价证据，以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源。,第一章 信息系统审计概论,注：ISACA（Information System Audit and Control association，信息系统审计与控制协会）：是最有权威的信息系统审计行业组织，总部设在美国。主要从事ISA相关理论

6、与实务研究，制定相关ISA标准、规范、执业指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。,根据ISA概念，应理解：ISA的主体：有胜任能力的信息系统独立审计机构或人员 机构：政府审计机构、内部审计机构、会计和审计事 务所、信息化鉴证咨询机构等中介组织 人员：注册会计师、审计人员、信息技术人员，等。实施ISA的人员称为：信息系统审计师(或:IT审计师),CISA：（Certified Information System Auditor，注册信息系统审计师）：取得CISA资格的审计人员，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义

7、，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。,第一章 信息系统审计概论,CISA从事的活动：1、对信息系统的可靠性、安全性、稳定性和有效性进行审 计、检查、评价、咨询，并提出建议；2、对信息系统的内部控制和风险进行检查、评价、咨询以 及提出改进建议。,第一章 信息系统审计概论,信息系统审计师相关知识和能力要求：知识要求:审计学相关知识:审计学的基本理论、实务 信息系统计划、开发和运营等相关知识：.信息系统构成相关知识；信息化战略规划、构想、提案、立项等相关知识；系统设计、程序设计、软件测试等相关知识；系统操作和管理、数据管理等相关知识；信息系统

8、审计实施相关知识：经营管理方面相关知识；信息安全管理相关知识；业务对象相关知识；相关法律和法规；,能力方面要求如下：系统审计的相关能力；审计的立项、分析、评价相关能力；信息收集、审核、审计方法掌握、相关技巧运用方面的能力；审计报告制作能力；,第一章 信息系统审计概论,信息系统审计师应该做到:严格遵循相关实施准则、程序及控制，遵守相关法规；依据职业准则及最佳实践原则要求自己，做到敬业、公正 及审慎；以合法的诚实的方式为利益相关者服务，保持高尚的品行，不从事有损与信息系统审计职业的活动；除非官方要求揭露，必须维护履行职责进程中获得信息的 隐私与机密，不用于个人利益或泄露给不适合的组织；维持独立性及

9、客观性，获得充分及客观的证据，作出审计 结论；保持在审计信息系统控制相关领域的技能，完成审计任务；审计结果向相关组织、部门和个人报告。,二、ISA特点：ISA是一个过程，贯穿于整个信息系统生命周期；ISA的对象具有综合性和复杂性；ISA拓展了传统审计的目标；ISA是事前、事中、事后审计的综合体；ISA的内容更加广泛；ISA是一种基于风险基础审计的理论和方法。,第一章 信息系统审计概论,信息系统审计的对象：被审计的信息系统 信息系统审计工作的核心：客观地收集和评估证据 信息系统审计的目的：对信息系统的可用性、保密性、完整性进行评估并提供反馈、保证及建议,三、ISA发展简介 ISA的发展经历了几个

10、阶段：早期阶段：手工审计阶段（绕过计算机阶段）萌芽阶段：EDP（电子数据处理）审计阶段 发展阶段：信息系统审计阶段,第一章 信息系统审计概论,ISA发展处于领先的国家：美国、日本、加拿大，等 我国ISA的发展：起步于：20世纪80年代 目前状况：处于EDP审计阶段“金审工程”简介：（参见教材）,第一章 信息系统审计概论,第二节 信息系统审计的目标、依据和内容 一、信息系统审计的目标,ISA目标一般分为：一般审计目标、特定审计目标 一般目标：是进行所有信息系统审计都必须达到的 目标。特定目标：指针对特定信息系统的审计目标。,一般来说，ISA的审计目标主要包括：提高信息系统资产的安全性目标：IS资

11、产包括硬件、软件、人力资源、数据文件及系统文件等保护信息系统数据的完整性目标 提高信息系统有效性（效率和效益性）目标提高信息系统的合法性、合规性目标,第一章 信息系统审计概论,二、信息系统审计依据审计依据：也称审计标准，是审计人员实施审计时，判断被审计经济事项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作出审计决定的依据。,目前的ISA依据主要有：ISACA：信息系统审计准则；IS控制的标准模型COBIT；ASB第94号准则：SAS70；SAS94；国际内部审计师协会（IIA）：内部审计师准则说明书（SIAS）；国际会计师联合会（IFA）：国际审计准则系列；最高审计机关国际组织（IN

12、TOSAI）：审计准则（AS）；欧洲：ISO系列（如：ISO17799）、EDIFACT技术标准；日本通产省：IT审计标准；,第一章 信息系统审计概论,我国：中华人民共和国审计法第三十二条；国务院办公厅的关于利用计算机信息系统开展审计工作有关问题的通知；中国独立审计准则20号计算机信息系统环境下的审计；审计署令第9号审计署关于计算机审计的暂行规定；审计署颁布审计机关计算机辅助审计办法,信息系统审计标准 S1-S8：ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,Guidelines and Procedures)构成 标准为信息系统审计和报告定义了强制性的要求。指南为

13、信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。,ISACAS COBIT Framework:信息及相关技术控制目标（COBIT）是由美国IT治理协会提出的一个IT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在IT治理实践中广泛使用。,第一章 信息系统审计概论,SAS70SAS 70 是经国际确认，由美国注册会计师协会(American Institute of Certified Public Accountants，AICPA)所制定的标准。SAS 70 审计被公认为是针

14、对服务提供商环境（包括网络和相关程序的控制措施）最权威的安全性审计。,IT基础架构库(ITIL)：是IT服务管理最佳做法的一套全面、一致和相关的代码，己在全世界被广泛采纳为IT服务标准。ITIL包含下面五个部分：the business perspective（商业远景）、managing applications（应用管理）、delivery of IT services（IT服务的交付）、support of IT services（IT服务支撑）、manage the infrastructure.（基础设施管理）。,第一章 信息系统审计概论,SAS94美国注册会计师协会(AICPA)下

15、属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月，ASB发布了第94号准则：IT对CPA评价内部控制的影响，该准则是作为SAS(审计准则公告)no.55的“补丁公告”推出的，它对下列三方面问题做出了规范：IT对企业内部控制的影响；IT对CPA了解内部控制的影响；IT对CPA评价审计风险的影响。SAS no.94于2001年6月1日开始执行。,第一章 信息系统审计概论,ISO17799：ISO17799包含以下部分：Security Policy（安全策略）、Asset classification and control（资产分类和控制）、Security Organi

16、sation（组织安全）、Personnel Security（人员安全）、Physical and Environmental Security（物理安全和环境安全）、Communication/Operation Management（通信和操作管理）、Access Control（存取控制）、System Development and Maitenance（系统研发和维护）、Business Continuity（业务连贯性）、Compliance（一致性）。,第一章 信息系统审计概论,第一章 信息系统审计概论,三、信息系统审计的内容ISA包含的两个层面的内容：其一：是对信息系统本身的

17、审计，它贯穿于信息系统 的整个生命周期。以及对信息系统的数据处理 过程及处理结果的审计。目的在于确保信息系 统的完整性、可靠性、安全性以及效率性和效 益性。其二：是将计算机、网络技术等引入审计工作中，作 为审计工作的辅助手段，以建立各种审计信息 系统，以及实现审计工作的办公自动化。本课程课堂教学主要讲授前者；实验课程主要是后者,第一章 信息系统审计概论,ISACA规定了信息系统审计主要内容：信息系统审计程序；IT治理(信息技术治理)；系统和基础建设生命周期管理；IT 服务的交付与支持；信息资产的保护；灾难恢复和业务连续性计划。,ISA：1、从纵向看，覆盖了以电子计算机为核心的信息系统从计划、分

18、析、设计、编程、测试、运行、维护到报废的全过程的各种业务；2、从横向看，它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务（如文档管理、人员管理、灾难恢复等）审计等内容。,第一章 信息系统审计概论,从以上介绍，可以看出：ISA的特征：一是独立性；二是综合性；三是管理特征。,ISA的效果：一是提高信息系统可靠性；二是提高信息系统安全性；三是提高信息系统效率。,第一章 信息系统审计概论,风险概念：可从三种角度看 审计风险定义：（见教材）信息系统审计风险定义：信息系统的安全性、可靠性 和有效性存在重大隐患，而信息系统审计师发表 不恰当审计意见的可能性。信息系

19、统审计风险可以分为：固有风险、控制风险、检查风险 且有审计风险模型：DAR=IRCRDR,第三节 信息系统审计风险 一、审计风险及信息系统审计风险,二、信息系统审计风险特征及表现 1、固有风险（Inherent Risk，简称IR）：是指假设不 存在相关的内部控制的情况下,发生重大错误的风险。主要表现：,第一章 信息系统审计概论,电子数据的不可见性；数据的大量集中和高速处理；原始数据的录入存在错漏的可能性；计算机犯罪。,2、控制风险（Control Risk，简称CR）：是指有内部控 制制度,但无法预防、及时发现或纠正重要错误的风 险。,主要表现：信息访问的技术性暴露；未经授权的访问；职责不分

20、离；网络监控失效；信息流和业务流的不一致；业务流程重组,第一章 信息系统审计概论,3、检查风险（Detection Risk，简称DR）：是指信息系 统审计人员由于采用了不恰当的测试程序,未能发现 已存在的重大错误的风险。主要表现：,第一章 信息系统审计概论,未能识别出系统的关键环节和重要的信息资产；利用测试数据对系统进行测试时测试不充分；模拟程序的运用,加大了检查风险；系统更新换代,使得测试系统失去时效性；参与系统开发的人员来执行信息系统的检查。,信息系统审计风险的特征：1、客观性；2、复杂性；3、潜在性；4、时效性；5、可控性。,三、形成信息系统审计风险的原因 1、信息处理的虚拟化、网络化

21、；2、捕捉证据的动态化；3、内控制度的复杂化；4、审计人员知识结构的单一化。,第一章 信息系统审计概论,四、信息系统环境对审计风险的影响 1、对固有风险的影响,资产出现新的特点；会计和业务处理自动化对信息技术的依赖性增强；其他变化。以上这些都使得固有风险增加。,2、对控制风险的影响,控制环境；风险评估；控制活动；信息与沟通；监控。,第一章 信息系统审计概论,3、对检查风险的影响 降低检查风险的因素：,提高审计覆盖面；提高证据采集的独立性；提高分析处理的可靠性；增加审计的时效性。增加检查风险的因素：,对信息系统缺乏足够理解；技术不成熟；审计证据的可靠性；对技术的依赖性。,第一章 信息系统审计概论

22、,五、信息系统审计风险的防范措施 1、降低固有风险措施,加强信息资产管理；强化内外部安全控制机制；建立安全的运行环境；加强数据输入控制。,2、降低控制风险的措施,正确分配访问和操作权限,及时管理和维护权限分 配表；建立严格的职责分离、轮岗和休假制度；建立安全的网络监控机制,减少来自外部的风险；,3、降低检查风险的措施,识别出重要信息资产；确定合理的检查顺序；改进审计手段。,第一章 信息系统审计概论,2、调查阶段（风险识别）风险识别方法：现场检查、相关人员交谈、召开座谈会、流程调查、技术资料、有关文档、资料分析、理论分析、日志审核、工具分析、模拟攻击等。,风险评估过程简介：1、准备阶段：明确任务

23、、建立项目组、职责分工、制定计划,定性分析评估方法：安全检查表法；专家评价法；事故树分析法(FTA)事件树分析法(ETA)；潜在问题分析法(PPA)因果分析法(CCA)；作业安全分析(WSA),定量分析评估方法：层次分析法(AHP)；模糊综合评判法；BP神经网络法；灰色系统预测模型,第一章 信息系统审计概论,3、风险分析风险分析：是识别机构中存在的风险的过程，是对潜在威胁影响的量化，以及为实现控制所需的成本和产生的利润提供证明。风险分析既可以采取定量分析的方法，用真实的数字说明威胁可能造成的损失以及损失的数量；也可以采取定性分析的方法，用排名的方法来分析对资材敏感度的威胁的严重性。,第一章 信

24、息系统审计概论,可供参考的标准：BS 7799标准:将信息作为一种资产并进行管理与控制的手 段对信息系统进行控制，确保业务的连续性与关键业务 不受到损害，是当前国际中最重要的管理类标准。ISO 13355系列标准：安全管理策略标准。CC标准：单一的通用准则安全技术方面的重要标准。SSE CMM模型：该模型定义了一个安全工程过程应有的特 征，这些特征是完善的安全工程的根本保证。OCTAV方法：可操作的关键威胁、资产、脆弱性评估方 法，风险评估的重要的方法体系。GB 17859-1999：计算机信息安全保护等级划分准则,第四节 信息系统内部控制与审计内部控制（COSO）：由企业董事会、经理阶层和其

25、他员 工实施的，为运营的效率效果、财务报告的可靠性、相关法律规章的遵循性等目标的达成而提供合理保证 的过程。内部控制：是一个单位为了保护其资产的安全性、会计资 料的准确性和可靠性，提高经营效率以及贯彻执行其 规定的管理方针而在组织内部采取的一系列制度、方 针和手续。,第一章 信息系统审计概论,内部控制的本质：是一种制度安排，是一种管理控制 内部控制的表现形式：一些列方法、措施和程序,内部控制的基本原则：1、合法性原则；2、相互牵制原则；3、程式定位原则；4、系统全面原则。,内部控制的基本方式：1、组织机构控制；2、职务分离控制；3、其他重要的内部控制。如：授权批准控制，人员 素质制度，信息质量

26、控制，财产安全控制，业 务程序控制、内部审计控制,第一章 信息系统审计概论,内部控制的发展阶段：经历了：内部牵制、内部控制制度、内部控制结构、内 部控制整体框架 COSO提出的内部控制整体框架报告标志着内部 控制理论与实践进入了内部控制整体框架的新阶段。COSO内部控制整体框架报告提出了内部控制 组成要素：控制环境(ControlEnvironment)风险评价(RiskAssessment)控制活动(ControlActivities)信息与沟通(1nformationandCommunication)监控(Monitoring),第一章 信息系统审计概论,一、信息系统内部控制的概念和特点概

27、念：狭义；广义（参见教材）特点：控制的重点转向系统职能部门；控制的范围扩大；控制方式和操作手段由人工控制转为人工控制与程序 化控制相结合。,第一章 信息系统审计概论,内部控制与审计的关系：内部控制的完善与可靠，直接影响审计风险的大小和审计 成本的高低 内部控制完善且可靠，审计风险小、审计成本低；内部控制不完善可靠，审计风险大、审计成本高。,二、信息系统内部控制的目标和标准（一）信息系统内部控制的目标 与业务目标一致；有效利用信息资源；风险管理。,第一章 信息系统审计概论,（二）信息系统内部控制的标准公认标准：COBIT模型 COBIT的全名是Control Objectives for Inf

28、ormation and related Technology,是由美国信息系统审计与控制协会（ISACA）在1996年公布的，目前已经更新至第四版，是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。,第一章 信息系统审计概论,三、信息系统内部控制的种类依据要达到的直接目标分为：会计控制、管理控制依据控制的预定意图：预防性控制、检查性控制、纠 正性控制 其中：预防性控制是一种积极的控制（事前控制）检查性控制是一种中性控制（事中控制）纠正性控制是一种消极的控制（事后控制）依据信息处理系统的不同可分为：手工系统控制、信 息系统控制 依据控制所采取的工具或手段的不同分为：手工控制、程序化控

29、制依据控制对象范围和环境分为：一般控制、应用控制,第一章 信息系统审计概论,四、信息系统的控制措施（一）信息系统的一般控制 一般控制：指对计算机信息系统的构成要素和系统 环境实施的，对系统所有的应用或功能 模块具有普遍影响的控制措施。具体说来，包括：,1、组织控制。基本原则：信息系统部门与业务部门的职责相分离；信息处理部门内部的职责相分离。权责划分：在分工协作的基础上明确各部门的权限 与责任职能分离：对不相容职务进行分离,主要控制措施包括：系统分析设计、系统维护、系统操作、文档资料保 管以及系统数据库管理等职责要相互分离；交易的授权与交易的执行相分离；资产的保管与记录相分离；交易处理职能在多人

30、之间进行分工，明确划分责任。例：业务要由用户部门发起或授权；记录变动要由 用户部门授权；程序员与操作员相分离；等,第一章 信息系统审计概论,2、系统开发与维护控制主要控制措施包括：,主要控制措施包括：系统开发的可行性控制；包括：目标、总体结构、开发方式、组织结构与管理体制、开发进度、资金预算、培训系统的合规、合法性控制；系统的可审性、系统测试的全面恰当性；开发过程的人员控制；系统设计控制；文档控制；系统维护控制。包括：系统的日常维护；系统功能 的改进和扩充,第一章 信息系统审计概论,第一章 信息系统审计概论,3、系统安全控制主要控制措施包括：（1）接触控制只有经过授权的人才能接触各项资源硬件接

31、触控制人员批准、专用终端，证卡，通知 程序资料接触控制编码，源程序数据文件接触控制 人员限制联机系统接触控制多级口令,第一章 信息系统审计概论,（2）环境安全控制 预防性措施安全环境设备保护供电安全,（3）安全保密控制 防止拷贝，更改和未经授权使用软件方法硬件方法结合,第一章 信息系统审计概论,（4）防病毒控制技术手段杀毒软件，检测程序管理手段：慎用软件，定期检查，备份，写保护,（5）保险意外事故,4、硬件及系统软件控制主要控制措施包括：（1）硬件控制计算机厂商建立在硬件或系统软件中，为硬件操作提供可靠控制奇偶校验冗余检验重复处理校验回声校验设备检验有效性检验,第一章 信息系统审计概论,（2）

32、系统软件控制错误处置 I/O，记录长度，存储装置程序保护边界保护，外部调用，库程序，控制修改文件保护内部文件标签检查，存储保护，内存清理，地址比较安全保护自动记录使用情况，系统活动分析公用程序，口令自我保护组装和改动控制，职能分割，记录，监视，硬化,第一章 信息系统审计概论,5、操作控制主要控制措施包括：,第一章 信息系统审计概论,上机守则与操作规程日志记录保密制度非常状态下的数据恢复冗余工作计划系统操作控制主要表现：操作权限控制、操作规程控制操作权限控制：口令 操作规程控制：软硬件操作规程,作业运行规程,用机时间记录规程等,第一章 信息系统审计概论,（二）信息系统的应用控制 应用控制：是指对

33、计算机信息系统中具体的数据处理 功能的控制。具体说来，包括：,1、输入控制。主要控制措施包括：防止遗漏和重复检查错误编制书面文件设计格式建立收发记录，计算控制总数数据输入核对计算机编辑检查,第一章 信息系统审计概论,案例：计算机会计信息系统输入控制,记账凭证完整性、合理性检验建立科目名称和代码对照文件设计科目代码校验位设立对应关系参照文件试算平衡控制顺序检查屏幕检查二次输入法控制总数法,第一章 信息系统审计概论,2、处理控制：是计算机信息系统按程序指令实行的 内部控制功能。主要控制措施包括：,数据验证。包括：数据有效性检验：文件标签；记录标示业务代码；业务顺序 处理有效性检验：运算正确性检测双

34、重存储数据和理性检测数据极限检验交叉合计检查,第一章 信息系统审计概论,错误纠正控制更正和抵消保留审计线索断点技术特殊处理控制技术处理权限控制登帐条件检验防错，纠错控制非正常中断恢复修改权限和修改痕迹控制,第一章 信息系统审计概论,3、输出结果控制主要控制措施包括：,控制总数核对勾稽关系检验对输出资料的审视检查与合理性检验输出文件的保管与分发,五、信息系统内部控制的审计 审计目的：确定系统的内部控制设置是否完善适当；已有的控制 是否恰当地发挥了作用，达到了原来的设计目标；针对系 统控制的缺陷和薄弱环节提出改进的建议，并以此为依据调 整实质性测试阶段的范围、内容和深度。,（一）一般控制的审计 目

35、的：对系统一般控制的完善性和有效性进行审计 一般控制的评审包括两个方面：1、对被审计单位信息系统背景信息评审。内容有：（1）被审计单位信息系统的规模；（2）硬件和网络的技术复杂性；（3）被审计单位信息系统会计核算和业务系统等应 用软件取得的方式；（4）系统的管理情况；（5）被审计单位信息系统处理业务流程等。目的：通过对以上背景信息评审，基本收集了被审计 单位信息系统硬件和软件的基本情况,第一章 信息系统审计概论,第一章 信息系统审计概论,2、对被审计单位信息系统控制环境评审。内容有：（1）系统控制措施；（2）不相容职能分离控制措施；（3）访问控制措施；（4）系统的安全性和灾难恢复控制措施；目的

36、：是确定被审计单位信息系统总体控制环境中控制 的健全性、合理性和有效性及其存在的风险。,（二）应用控制的审计 目的：检查存在于各具体应用程序中的输入控制、处 理控制和输出控制的情况的完善性和有效性。应用控制的评审包括：1、输入控制审计 目的：审查输入控制在确保输入数据的精确、完整、有效以及数据输入的合法性的情况。输入控制的审计的主要内容包括：（1）输入权限控制；（2）输入完整性控制；（3）数据有效性控制；（4）输入格式检查；,第一章 信息系统审计概论,（5）输入数据范围检查；（6）校验；（7）有效性检查；（8）相容性检查；（9）数据重复控制；（10）数据相关性检查；（11）输入异常处理。,第一

37、章 信息系统审计概论,2、处理控制的审计 目的：审查处理控制是否能确保数据被正确的处理、所有数据都被处理、数据未被重复处理、处 理的数据是有效的，等。处理控制的审计的主要内容包括：,第一章 信息系统审计概论,（1）数据被处理前后保持一致；（2）数据有效性检查；（3）处理与数据的非相关检查；（4）数据处理的完整性与一致性；（5）处理的有效性；（6）文件访问冲突控制；（7）错误控制。,3、输出控制的审计 目的：审查输出数据控制是否能确保输出数据的完 整、有效、保密等。处理控制的审计的主要内容包括：,（1）输出异常的处理；（2）数据输出完整性；（3）输出数据的保护；（4）输出结果符合要求；（5）输出

38、数据的及时性；（6）输出被合适地发布。,第一章 信息系统审计概论,六、信息系统内部控制的审计步骤(一)了解并描述内部控制 调查方法：询问、观察、查阅文档资料、检测工具 描述方法：文字描述法、内部控制调查表法、流程 图法,第一章 信息系统审计概论,(二)符合性测试 人工控制审查方法：询问、观察、检查文档资料、发放调查问卷，等 程序控制审查方法：人工控制审查方法、计算机辅 助审计技术,(三)评价内部控制 评价目标：确定被审单位的内部控制是否达到了电算化条件下应 有的控制目标，内部控制是否有重大缺陷，有无过控 或欠控之处，已设立的控制是否有效执行。结果处理：对被审单位控制的薄弱环节提出管理建议，并形

39、成文 档管理建议书；调整。,第一章 信息系统审计概论,内部控制评价指标简介：内部控制的审计评价指标通常分为一般性指标和具体指标（一）信息系统内部控制审计评价的一般性指标 指为保证信息系统安全运行所制定的内部控制制度应遵 循的原则和达到的目标，包括：1、信息系统内部控制的完整性；2、信息系统内部控制的合理性；3、信息系统内部控制的有效性。（二）信息系统内部控制审计评价的具体指标 指对信息系统内部控制相关内容方面的审计评价指标，是对信息系统内部控制相关内容的具体评价。,第五节 风险基础审计,第一章 信息系统审计概论,审计模式的发展经历了三个阶段：账项基础审计制度基础审计风险基础审计,风险基础的审计

40、模式基本要素构成：固有风险、控制风险、检查风险 风险基础审计的三个基本环节：风险评估、内控测试及实质性测试,风险基础审计的优点：通过对被审计单位风险的评价，集中审计资源于高风险的审计领域，最大限度地降低审计的检查风险；保证审计效果和质量；节约审计成本；提高审计效率。,第一章 信息系统审计概论,风险基础审计方法的思路：1、编制被审计单位使用的信息系统清单并对其进行分类；2、判断哪个系统影响关键功能和资产；3、评估哪些风险影响这些系统并对商业运作造成冲击；4、在上述评估的基础上对系统进行分级，决定审计的优先次序、资 源、进度和频率。,第一章 信息系统审计概论,第六节 基于风险审计理论的信息系统审计

41、步骤 与传统审计相同，信息系统审计步骤也分为三个阶段：审计计划阶段、审计实施阶段、审计报告阶段,（一）审计计划阶段（审计准备阶段）内容：制定科学、合理的审计计划 结果形式：审计文档信息系统审计计划书,（二）审计实施阶段 内容：调查取证；结果形式：工作底稿及附件,（三）审计报告阶段 内容：运用专业判断，综合各种证据，评估测试结 果，根据审计准则，形成审计意见。结果形式：审计意见书、审计报告,第一章 信息系统审计概论,具体的信息系统审计步骤和内容如下所示：（一）审计计划阶段,1、了解被审计系统基本情况 目的：明确审计的难度，所需时间及大致费用等。决定是否 接受委托对该系统进行审计，,主要包括：（1

42、）系统拥有者概况；（2）系统建成时间，运行时间，生命周期概况、规模及 设备清单；（3）管理者的管理措施，对IS的内部控制；（4）相关外部控制；（5）技术操作人员的概况；（6）已做过的审计，时间及审计机构等。,第一章 信息系统审计概论,2、与委托单位签订业务约定书 审计业务约定书的内容一般包括：,第一章 信息系统审计概论,签约双方名称；委托目的；审计范围；双方责任；签约各方的义务；出具审计报告的时间要求；审计报告的使用责任；审计收费；业务约定书的有效期间；违约责任；签约时间及其他事项,3、初步评价被审系统的内部控制及外部控制 内部控制初评过程：,第一章 信息系统审计概论,外部控制初评：信息系统安

43、全标准、行业标准、工程 建设标准、验收标准等各项规章制度的执行情况。,第一章 信息系统审计概论,5、分析审计风险 方法：审计风险模型（DAR=IRCRDR）,4、确定重要性 重要性特征：数量、质量 重要性评估的目的：确定所需审计证据的数量 重要性水平与审计证据之间关系：反向关系,6、编制审计计划 审计计划包括：总体审计计划、具体审计计划,总体审计计划主要包括：被审单位基本情况；审计目的、审计范围及策略；重要问题及重要审计领域；工作进度及时间、费用预算；审计小组成员分工；重要性确定及风险评估等。,具体审计计划主要包括：具体审计目标；审计程序；执行人员及时间限制等。,第一章 信息系统审计概论,第一

44、章 信息系统审计概论,（二）审计实施阶段,审计实施步骤：（1）审计通知；（2）预备调查；（3）审计实施；（4）审计评审；（5）补充审计；（6）审计评议会。ISA主要任务：（1）收集资料；（2）确定审计或测试的方式；（3）列出需要访谈的人员名单；（4）查阅有关部门的政策、标准及准则，以供审计使用；（5）利用审计方法，对所有控制进行测试和评价；（6）评估测试结果。,第一章 信息系统审计概论,审计实施是审计的中心环节，主要由符合性测试阶段和实质性阶段构成。1、符合性测试 符合性测试的目标：审查被审计单位信息系统的内部控 制制度的建立及遵守情况，根据测试结果修订审计 计划，确定后续测试实质性测试的程度

45、。具体步骤：（1）目标设定；（2）事项识别；（3）风险评估；（4）风险应对措施。,第一章 信息系统审计概论,符合性测试的常用方法有：访问被审计单位的领导与员工、发放调查问卷、实地考察、查阅有关程序文档资料等。2、实施实质性测试 实质性测试：是对交易和事项的详细测试或分析性复核测 试，以获得审计期间这些事项或交易合法、完整、准 确或真实存在的审计证据。具体步骤：（1）根据符合性测试的结果，确定进行实质性测试的范 围、数量以及抽样方法；（2）判断是否需要大量测试，确定是进行大量的随机或 统计抽样，还是执行有限的随机或判断抽样；,第一章 信息系统审计概论,（3）确认所有的交易事项均已经被准确记录的可

46、能性；（4）判断就样本而言是否达到控制目标？对能否达到组织的控制 目标向管理层提供最终的保证或不保证。实质性测试的常用方法有：检测数据法、授控处理法、平行模拟 法、利用辅助审计软件直接审查信息系统的数据文件等方法。,第一章 信息系统审计概论,符合性测试示例：在应收账款业务的处理模块中，当销售业务数据输入时，检测应收账款的各种记录是否产生相应变化，其发生的增减变化方向是否与业务一致，或测试该客户的应收款余额是否超过信用额度，时间是否超过规定时间。,实质性测试示例：在对会计报表模块审计中，检查计算机会计报表系统产生的报表数据和经审计人员审计产生的报表数据是否一致。,第一章 信息系统审计概论,（三）

47、审计完成阶段,1、整理、评价执行审计业务过程中收集到的证据 证据：所谓证据就是审计师按照审计标准及目标的要求，在对某一实体或数据进行审计时所采用的信息，与审计目标有关的信息即可作为审计证据。证据形式：口头证据、书面证据、电子证据，等 证据来源：原始凭证、电子记录、录音、照相、摄像，等,2、复核审计底稿，完成二级复核 传统审计的三级复核制度：一级复核：项目经理 二级复核：部门经理 三级复核：主任审计会计师（审计师）ISA一级复核内容：审计中审计人员所完成的工作；审计形成的审计工作底稿及结论。ISA二级复核内容：审计阶段结束后审计工作底稿及 结论,3、汇总审计差异，与被审计单位沟通,第一章 信息系

48、统审计概论,第一章 信息系统审计概论,4、评价审计结果，形成审计意见，完成三级复核，编制 审计报告。审计意见的类型：无保留意见的审计报告；保留意见的审计报告；否定意见的审计报告；无法表示意见的审计报告。三级复核主要内容：采用审计程序的恰当性；审计工作底稿的充分性；审计过程中是否存在重大遗漏；审计工作是否符合事务所的质量要 求等。ISA完成表现形式：审计意见书、审计报告,第一章 信息系统审计概论,审计报告的基本格式：题头 报告日期；上级主管部门名称；上级主管姓名；审计说明（概要）正文 审计对象；重点审计主题；审计目的；审计范围和审计实施步骤（概要）；实施期间；被审计对象部门；被审计人员及其工作职

49、能；审计结果（概要）1 可靠性：可靠性概要；可靠性评价 2 安全性：安全性概要；安全性评价 3 效率：效率概要；效率评价 主要存在的问题 改良建议：1 一般改良建议；2 紧急改良建议,第一章 信息系统审计概论,第七节 信息系统审计的意义主要表现在：可以鉴证信息系统的安全和可靠性；可以鉴证电子化数据的真实性和完整性；可以促进和提高信息系统的效率和效益；为组织信息化建设提供咨询服务。,第七节 信息系统审计准则和职业道德规范简介信息系统审计准则：为信息系统审计和报告定义了强制性的要求；是开展信息系统审计的前提；是实施信息系统审计的总纲；是实施信息系统审计的具体规范。,第一章 信息系统审计概论,一、国

50、际信息系统审计准则简介 目前最具代表性和权威性的审计准则制定机构：ISACA ISACA的信息系统审计准则框架构成：ISA标准、指南、程序,第一层次:信息系统审计标准 ISA标准是整个ISA准则体系的总纲,是制定ISA指南和ISA程序的基础依据。它规定了审计章程及审计过程(从计划、实施、报告到跟踪)必须达到的基本要求,是CISA的资格条件、执业行为的基本规范。最新的ISA标准分为11大类,共43条,第一章 信息系统审计概论,第二层次:信息系统审计指南 ISA指南是依据ISA标准制定的,是ISA标准的具体化,为ISA准则体系中11大类标准的实施提供了指引。它详细规定了CISA实施审计业务、出具审