信息系统审计ppt课件.ppt

本课程主要内容 信息系统审计概论IT治理审计信息系统架构控制与审计信息系统开发及审计信息系统运营与维护审计信息安全控制与审计信息系统审计技术方法 信息系统审计 信息系统审计概论ISA的定义 目标 内容 信息系统审计风险 信息系统控制与审计 审计程序 以及信息系统审计的准则 控制模型等 本章主要介绍有关信息系统审计的基本概念和基本理论 IT治理审计通过本章的学习 信息系统审计师理解评估信息系统管理 计划和组织的战略 政策 标准 程序和相关实务 确保组织拥有适当的结构 政策 工作职责 运营管理机制和监督实务 以达到公司治理中对IT方面的要求 信息系统架构控制与审计一个组织要建立信息系统 就需要有效地建立 控制和管理好其信息技术基础架构 本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理 日常运行事务 系统执行与监控 的效果和效率 信息系统开发及审计信息系统开发过程中的问题和错误会产生 积累放大 效应 并会使企业付出高昂的代价 因此 通过对信息系统开发过程中每个阶段的跟踪审计 及时发现每个阶段的错误 并得到及时修正 从而保障整个信息系统的质量 信息系统运营与维护审计保证一个组织已经建立的信息系统能高效的为其服务 离不开对其良好的操作 运行管理 日常运行事务 系统执行与监控 和维护 使其保持最佳的运行状态 因此 对信息系统运行和维护过程的审计非常重要 是对整个信息系统实现高效服务的保障 本章即介绍信息系统运营和维护过程的审计 信息系统安全控制与审计信息技术环境下信息系统的脆弱性和威胁 使信息系统及其产生的信息存在信息安全风险 本章主要介绍如何对信息系统进行安全审计与控制 从而使信息系统的风险降到最低 信息系统审计技术与方法面对错综复杂的信息系统和审计环境 向审计人员提出了挑战 审计人员实施审计的难度很大 需要运用许多技术 方法和工具来辅助他们进行审计工具 本章即介绍一些有关信息系统审计的技术和方法 第一章信息系统审计概论 第一节信息系统审计及其产生与发展一 何谓信息系统审计 ISA 国际信息系统审计委员会 ISACA 定义 是一个获取并评价证据 以判断计算机系统是否能够保证资产的安全 数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程 日本通产省情报处理开发协会信息系统审计委员会定义为 为了信息系统的安全 可靠与有效 由独立于审计对象的信息系统审计师 以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价 向信息系统审计对象的最高领导 提出问题与建议的一连串的活动 从以上定义可以看出 信息系统审计的两个方面职能 从外部审计的角度 ISA实现 监证目标 保证 职能 从内部审计的角度 ISA实现 管理目标 咨询 职能 第一章信息系统审计概论 一般定义 根据公认的标准和指导规范 对信息系统从计划 研发 实施到运行维护各个环节进行审查评价 对信息系统及其业务应用的完整 效能 效率 安全性进行监测 评估和控制的过程 以确认预定的业务目标得以实现 并提出一系列改进建议的管理活动 RonWeber定义 搜集并评价证据 以判断一个计算机系统 信息系统 是否有效的做到保护资产 维护数据完整 完成组织目标 同时最经济的使用资源 第一章信息系统审计概论 注 ISACA InformationSystemAuditandControlassociation 信息系统审计与控制协会 是最有权威的信息系统审计行业组织 总部设在美国 主要从事ISA相关理论与实务研究 制定相关ISA标准 规范 执业指南等 也是唯一有权授予国际信息系统审计师资格的跨国界 跨行业的专业机构 根据ISA概念 应理解 ISA的主体 有胜任能力的信息系统独立审计机构或人员机构 政府审计机构 内部审计机构 会计和审计事务所 信息化鉴证咨询机构等中介组织人员 注册会计师 审计人员 信息技术人员 等 实施ISA的人员称为 信息系统审计师 或 IT审计师 CISA CertifiedInformationSystemAuditor 注册信息系统审计师 取得CISA资格的审计人员 既通晓信息系统的软件 硬件 开发 运营 维护 管理和安全 又熟悉经济管理的核心要义 能够利用规范和先进的审计技术 对信息系统的安全性 稳定性和有效性进行审计 检查 评价和改造 第一章信息系统审计概论 CISA从事的活动 1 对信息系统的可靠性 安全性 稳定性和有效性进行审计 检查 评价 咨询 并提出建议 2 对信息系统的内部控制和风险进行检查 评价 咨询以及提出改进建议 第一章信息系统审计概论 信息系统审计师相关知识和能力要求 知识要求 审计学相关知识 审计学的基本理论 实务信息系统计划 开发和运营等相关知识 信息系统构成相关知识 信息化战略规划 构想 提案 立项等相关知识 系统设计 程序设计 软件测试等相关知识 系统操作和管理 数据管理等相关知识 信息系统审计实施相关知识 经营管理方面相关知识 信息安全管理相关知识 业务对象相关知识 相关法律和法规 能力方面要求如下 系统审计的相关能力 审计的立项 分析 评价相关能力 信息收集 审核 审计方法掌握 相关技巧运用方面的能力 审计报告制作能力 第一章信息系统审计概论 信息系统审计师应该做到 严格遵循相关实施准则 程序及控制 遵守相关法规 依据职业准则及最佳实践原则要求自己 做到敬业 公正及审慎 以合法的诚实的方式为利益相关者服务 保持高尚的品行 不从事有损与信息系统审计职业的活动 除非官方要求揭露 必须维护履行职责进程中获得信息的隐私与机密 不用于个人利益或泄露给不适合的组织 维持独立性及客观性 获得充分及客观的证据 作出审计结论 保持在审计信息系统控制相关领域的技能 完成审计任务 审计结果向相关组织 部门和个人报告 二 ISA特点 ISA是一个过程 贯穿于整个信息系统生命周期 ISA的对象具有综合性和复杂性 ISA拓展了传统审计的目标 ISA是事前 事中 事后审计的综合体 ISA的内容更加广泛 ISA是一种基于风险基础审计的理论和方法 第一章信息系统审计概论 信息系统审计的对象 被审计的信息系统信息系统审计工作的核心 客观地收集和评估证据信息系统审计的目的 对信息系统的可用性 保密性 完整性进行评估并提供反馈 保证及建议 三 ISA发展简介ISA的发展经历了几个阶段 早期阶段 手工审计阶段 绕过计算机阶段 萌芽阶段 EDP 电子数据处理 审计阶段发展阶段 信息系统审计阶段 第一章信息系统审计概论 ISA发展处于领先的国家 美国 日本 加拿大 等我国ISA的发展 起步于 20世纪80年代目前状况 处于EDP审计阶段 金审工程 简介 参见教材 第一章信息系统审计概论 第二节信息系统审计的目标 依据和内容一 信息系统审计的目标 ISA目标一般分为 一般审计目标 特定审计目标一般目标 是进行所有信息系统审计都必须达到的目标 特定目标 指针对特定信息系统的审计目标 一般来说 ISA的审计目标主要包括 提高信息系统资产的安全性目标 IS资产包括硬件 软件 人力资源 数据文件及系统文件等保护信息系统数据的完整性目标提高信息系统有效性 效率和效益性 目标提高信息系统的合法性 合规性目标 第一章信息系统审计概论 二 信息系统审计依据审计依据 也称审计标准 是审计人员实施审计时 判断被审计经济事项正误 是非 优劣的准绳 是形成审计结论 出具审计意见 作出审计决定的依据 目前的ISA依据主要有 ISACA 信息系统审计准则 IS控制的标准模型COBIT ASB第94号准则 SAS70 SAS94 国际内部审计师协会 IIA 内部审计师准则说明书 SIAS 国际会计师联合会 IFA 国际审计准则系列 最高审计机关国际组织 INTOSAI 审计准则 AS 欧洲 ISO系列 如 ISO17799 EDIFACT技术标准 日本通产省 IT审计标准 第一章信息系统审计概论 我国 中华人民共和国审计法 第三十二条 国务院办公厅的 关于利用计算机信息系统开展审计工作有关问题的通知 中国独立审计准则20号 计算机信息系统环境下的审计 审计署令第9号 审计署关于计算机审计的暂行规定 审计署颁布 审计机关计算机辅助审计办法 信息系统审计标准S1 S8 ISACA的信息系统审计准则由ISA标准 指南和程序 Standards GuidelinesandProcedures 构成标准为信息系统审计和报告定义了强制性的要求 指南为信息系统审计标准的实施提供了指引 信息系统审计师在标准的实施程序中应参考指南 同时作出职业判断 程序为信息系统审计师提供审计项目中可以遵循的步骤范例 ISACA SCOBITFramework 信息及相关技术控制目标 COBIT 是由美国IT治理协会提出的一个IT治理的开放性框架或标准 是基于组织的信息技术平台而设计的 并在IT治理实践中广泛使用 第一章信息系统审计概论 SAS70SAS70是经国际确认 由美国注册会计师协会 AmericanInstituteofCertifiedPublicAccountants AICPA 所制定的标准 SAS70审计被公认为是针对服务提供商环境 包括网络和相关程序的控制措施 最权威的安全性审计 IT基础架构库 ITIL 是IT服务管理最佳做法的一套全面 一致和相关的代码 己在全世界被广泛采纳为IT服务标准 ITIL包含下面五个部分 thebusinessperspective 商业远景 managing applications 应用管理 deliveryofITservices IT服务的交付 support ofITservices IT服务支撑 managetheinfrastructure 基础设施管理 第一章信息系统审计概论 SAS94美国注册会计师协会 AICPA 下属的审计准则委员会 ASB 一直关注IT对独立审计的影响 2001年4月 ASB发布了第94号准则 IT对CPA评价内部控制的影响 该准则是作为SAS 审计准则公告 no 55的 补丁公告 推出的 它对下列三方面问题做出了规范 IT对企业内部控制的影响 IT对CPA了解内部控制的影响 IT对CPA评价审计风险的影响 SASno 94于2001年6月1日开始执行 第一章信息系统审计概论 ISO17799 ISO17799包含以下部分 SecurityPolicy 安全策略 Assetclassificationandcontrol 资产分类和控制 SecurityOrganisation 组织安全 PersonnelSecurity 人员安全 PhysicalandEnvironmentalSecurity 物理安全和环境安全 Communication OperationManagement 通信和操作管理 AccessControl 存取控制 SystemDevelopmentandMaitenance 系统研发和维护 BusinessContinuity 业务连贯性 Compliance 一致性 第一章信息系统审计概论 第一章信息系统审计概论 三 信息系统审计的内容ISA包含的两个层面的内容 其一 是对信息系统本身的审计 它贯穿于信息系统的整个生命周期 以及对信息系统的数据处理过程及处理结果的审计 目的在于确保信息系统的完整性 可靠性 安全性以及效率性和效益性 其二 是将计算机 网络技术等引入审计工作中 作为审计工作的辅助手段 以建立各种审计信息系统 以及实现审计工作的办公自动化 本课程课堂教学主要讲授前者 实验课程主要是后者 第一章信息系统审计概论 ISACA规定了信息系统审计主要内容 信息系统审计程序 IT治理 信息技术治理 系统和基础建设生命周期管理 IT服务的交付与支持 信息资产的保护 灾难恢复和业务连续性计划 ISA 1 从纵向看 覆盖了以电子计算机为核心的信息系统从计划 分析 设计 编程 测试 运行 维护到报废的全过程的各种业务 2 从横向看 它包含对硬软件的获取审计 软件审计 应用程序审计 数据完整性审计 安全审计和生命周期共同业务 如文档管理 人员管理 灾难恢复等 审计等内容 第一章信息系统审计概论 从以上介绍 可以看出 ISA的特征 一是独立性 二是综合性 三是管理特征 ISA的效果 一是提高信息系统可靠性 二是提高信息系统安全性 三是提高信息系统效率 第一章信息系统审计概论 风险概念 可从三种角度看审计风险定义 见教材 信息系统审计风险定义 信息系统的安全性 可靠性和有效性存在重大隐患 而信息系统审计师发表不恰当审计意见的可能性 信息系统审计风险可以分为 固有风险 控制风险 检查风险且有审计风险模型 DAR IR CR DR 第三节信息系统审计风险一 审计风险及信息系统审计风险 二 信息系统审计风险特征及表现1 固有风险 InherentRisk 简称IR 是指假设不存在相关的内部控制的情况下 发生重大错误的风险 主要表现 第一章信息系统审计概论 电子数据的不可见性 数据的大量集中和高速处理 原始数据的录入存在错漏的可能性 计算机犯罪 2 控制风险 ControlRisk 简称CR 是指有内部控制制度 但无法预防 及时发现或纠正重要错误的风险 主要表现 信息访问的技术性暴露 未经授权的访问 职责不分离 网络监控失效 信息流和业务流的不一致 业务流程重组 第一章信息系统审计概论 3 检查风险 DetectionRisk 简称DR 是指信息系统审计人员由于采用了不恰当的测试程序 未能发现已存在的重大错误的风险 主要表现 第一章信息系统审计概论 未能识别出系统的关键环节和重要的信息资产 利用测试数据对系统进行测试时测试不充分 模拟程序的运用 加大了检查风险 系统更新换代 使得测试系统失去时效性 参与系统开发的人员来执行信息系统的检查 信息系统审计风险的特征 1 客观性 2 复杂性 3 潜在性 4 时效性 5 可控性 三 形成信息系统审计风险的原因1 信息处理的虚拟化 网络化 2 捕捉证据的动态化 3 内控制度的复杂化 4 审计人员知识结构的单一化 第一章信息系统审计概论 四 信息系统环境对审计风险的影响1 对固有风险的影响 资产出现新的特点 会计和业务处理自动化对信息技术的依赖性增强 其他变化 以上这些都使得固有风险增加 2 对控制风险的影响 控制环境 风险评估 控制活动 信息与沟通 监控 第一章信息系统审计概论 3 对检查风险的影响降低检查风险的因素 提高审计覆盖面 提高证据采集的独立性 提高分析处理的可靠性 增加审计的时效性 增加检查风险的因素 对信息系统缺乏足够理解 技术不成熟 审计证据的可靠性 对技术的依赖性 第一章信息系统审计概论 五 信息系统审计风险的防范措施1 降低固有风险措施 加强信息资产管理 强化内外部安全控制机制 建立安全的运行环境 加强数据输入控制 2 降低控制风险的措施 正确分配访问和操作权限 及时管理和维护权限分配表 建立严格的职责分离 轮岗和休假制度 建立安全的网络监控机制 减少来自外部的风险 3 降低检查风险的措施 识别出重要信息资产 确定合理的检查顺序 改进审计手段 第一章信息系统审计概论 2 调查阶段 风险识别 风险识别方法 现场检查 相关人员交谈 召开座谈会 流程调查 技术资料 有关文档 资料分析 理论分析 日志审核 工具分析 模拟攻击等 风险评估过程简介 1 准备阶段 明确任务 建立项目组 职责分工 制定计划 定性分析评估方法 安全检查表法 专家评价法 事故树分析法 FTA 事件树分析法 ETA 潜在问题分析法 PPA 因果分析法 CCA 作业安全分析 WSA 定量分析评估方法 层次分析法 AHP 模糊综合评判法 BP神经网络法 灰色系统预测模型 第一章信息系统审计概论 3 风险分析风险分析 是识别机构中存在的风险的过程 是对潜在威胁影响的量化 以及为实现控制所需的成本和产生的利润提供证明 风险分析既可以采取定量分析的方法 用真实的数字说明威胁可能造成的损失以及损失的数量 也可以采取定性分析的方法 用排名的方法来分析对资材敏感度的威胁的严重性 第一章信息系统审计概论 可供参考的标准 BS7799标准 将信息作为一种资产并进行管理与控制的手段对信息系统进行控制 确保业务的连续性与关键业务不受到损害 是当前国际中最重要的管理类标准 ISO13355系列标准 安全管理策略标准 CC标准 单一的通用准则安全技术方面的重要标准 SSECMM模型 该模型定义了一个安全工程过程应有的特征 这些特征是完善的安全工程的根本保证 OCTAV方法 可操作的关键威胁 资产 脆弱性评估方法 风险评估的重要的方法体系 GB17859 1999 计算机信息安全保护等级划分准则 第四节信息系统内部控制与审计内部控制 COSO 由企业董事会 经理阶层和其他员工实施的 为运营的效率效果 财务报告的可靠性 相关法律规章的遵循性等目标的达成而提供合理保证的过程 内部控制 是一个单位为了保护其资产的安全性 会计资料的准确性和可靠性 提高经营效率以及贯彻执行其规定的管理方针而在组织内部采取的一系列制度 方针和手续 第一章信息系统审计概论 内部控制的本质 是一种制度安排 是一种管理控制内部控制的表现形式 一些列方法 措施和程序 内部控制的基本原则 1 合法性原则 2 相互牵制原则 3 程式定位原则 4 系统全面原则 内部控制的基本方式 1 组织机构控制 2 职务分离控制 3 其他重要的内部控制 如 授权批准控制 人员素质制度 信息质量控制 财产安全控制 业务程序控制 内部审计控制 第一章信息系统审计概论 内部控制的发展阶段 经历了 内部牵制 内部控制制度 内部控制结构 内部控制整体框架COSO提出的 内部控制 整体框架 报告标志着内部控制理论与实践进入了内部控制整体框架的新阶段 COSO 内部控制 整体框架 报告提出了内部控制组成要素 控制环境 ControlEnvironment 风险评价 RiskAssessment 控制活动 ControlActivities 信息与沟通 1nformationandCommunication 监控 Monitoring 第一章信息系统审计概论 一 信息系统内部控制的概念和特点概念 狭义 广义 参见教材 特点 控制的重点转向系统职能部门 控制的范围扩大 控制方式和操作手段由人工控制转为人工控制与程序化控制相结合 第一章信息系统审计概论 内部控制与审计的关系 内部控制的完善与可靠 直接影响审计风险的大小和审计成本的高低内部控制完善且可靠 审计风险小 审计成本低 内部控制不完善可靠 审计风险大 审计成本高 二 信息系统内部控制的目标和标准 一 信息系统内部控制的目标与业务目标一致 有效利用信息资源 风险管理 第一章信息系统审计概论 二 信息系统内部控制的标准公认标准 COBIT模型COBIT的全名是ControlObjectivesforInformationandrelatedTechnology 是由美国信息系统审计与控制协会 ISACA 在1996年公布的 目前已经更新至第四版 是国际上公认的最先进 最权威的安全与信息技术管理和控制标准 第一章信息系统审计概论 三 信息系统内部控制的种类依据要达到的直接目标分为 会计控制 管理控制依据控制的预定意图 预防性控制 检查性控制 纠正性控制其中 预防性控制是一种积极的控制 事前控制 检查性控制是一种中性控制 事中控制 纠正性控制是一种消极的控制 事后控制 依据信息处理系统的不同可分为 手工系统控制 信息系统控制依据控制所采取的工具或手段的不同分为 手工控制 程序化控制依据控制对象范围和环境分为 一般控制 应用控制 第一章信息系统审计概论 四 信息系统的控制措施 一 信息系统的一般控制一般控制 指对计算机信息系统的构成要素和系统环境实施的 对系统所有的应用或功能模块具有普遍影响的控制措施 具体说来 包括 1 组织控制 基本原则 信息系统部门与业务部门的职责相分离 信息处理部门内部的职责相分离 权责划分 在分工协作的基础上明确各部门的权限与责任职能分离 对不相容职务进行分离 主要控制措施包括 系统分析设计 系统维护 系统操作 文档资料保管以及系统数据库管理等职责要相互分离 交易的授权与交易的执行相分离 资产的保管与记录相分离 交易处理职能在多人之间进行分工 明确划分责任 例 业务要由用户部门发起或授权 记录变动要由用户部门授权 程序员与操作员相分离 等 第一章信息系统审计概论 2 系统开发与维护控制主要控制措施包括 主要控制措施包括 系统开发的可行性控制 包括 目标 总体结构 开发方式 组织结构与管理体制 开发进度 资金预算 培训系统的合规 合法性控制 系统的可审性 系统测试的全面恰当性 开发过程的人员控制 系统设计控制 文档控制 系统维护控制 包括 系统的日常维护 系统功能的改进和扩充 第一章信息系统审计概论 第一章信息系统审计概论 3 系统安全控制主要控制措施包括 1 接触控制只有经过授权的人才能接触各项资源硬件接触控制人员批准 专用终端 证卡 通知程序资料接触控制编码 源程序数据文件接触控制人员限制联机系统接触控制多级口令 第一章信息系统审计概论 2 环境安全控制预防性措施安全环境设备保护供电安全 3 安全保密控制防止拷贝 更改和未经授权使用软件方法硬件方法结合 第一章信息系统审计概论 4 防病毒控制技术手段杀毒软件 检测程序管理手段 慎用软件 定期检查 备份 写保护 5 保险意外事故 4 硬件及系统软件控制主要控制措施包括 1 硬件控制计算机厂商建立在硬件或系统软件中 为硬件操作提供可靠控制奇偶校验冗余检验重复处理校验回声校验设备检验有效性检验 第一章信息系统审计概论 2 系统软件控制错误处置I O 记录长度 存储装置程序保护边界保护 外部调用 库程序 控制修改文件保护内部文件标签检查 存储保护 内存清理 地址比较安全保护自动记录使用情况 系统活动分析公用程序 口令自我保护组装和改动控制 职能分割 记录 监视 硬化 第一章信息系统审计概论 5 操作控制主要控制措施包括 第一章信息系统审计概论 上机守则与操作规程日志记录保密制度非常状态下的数据恢复冗余工作计划系统操作控制主要表现 操作权限控制 操作规程控制操作权限控制 口令操作规程控制 软硬件操作规程 作业运行规程 用机时间记录规程等 第一章信息系统审计概论 二 信息系统的应用控制应用控制 是指对计算机信息系统中具体的数据处理功能的控制 具体说来 包括 1 输入控制 主要控制措施包括 防止遗漏和重复检查错误编制书面文件设计格式建立收发记录 计算控制总数数据输入核对计算机编辑检查 第一章信息系统审计概论 案例 计算机会计信息系统输入控制 记账凭证完整性 合理性检验建立科目名称和代码对照文件设计科目代码校验位设立对应关系参照文件试算平衡控制顺序检查屏幕检查二次输入法控制总数法 第一章信息系统审计概论 2 处理控制 是计算机信息系统按程序指令实行的内部控制功能 主要控制措施包括 数据验证 包括 数据有效性检验 文件标签 记录标示业务代码 业务顺序处理有效性检验 运算正确性检测双重存储数据和理性检测数据极限检验交叉合计检查 第一章信息系统审计概论 错误纠正控制更正和抵消保留审计线索断点技术特殊处理控制技术处理权限控制登帐条件检验防错 纠错控制非正常中断恢复修改权限和修改痕迹控制 第一章信息系统审计概论 3 输出结果控制主要控制措施包括 控制总数核对勾稽关系检验对输出资料的审视检查与合理性检验输出文件的保管与分发 五 信息系统内部控制的审计审计目的 确定系统的内部控制设置是否完善适当 已有的控制是否恰当地发挥了作用 达到了原来的设计目标 针对系统控制的缺陷和薄弱环节提出改进的建议 并以此为依据调整实质性测试阶段的范围 内容和深度 一 一般控制的审计目的 对系统一般控制的完善性和有效性进行审计一般控制的评审包括两个方面 1 对被审计单位信息系统背景信息评审 内容有 1 被审计单位信息系统的规模 2 硬件和网络的技术复杂性 3 被审计单位信息系统会计核算和业务系统等应用软件取得的方式 4 系统的管理情况 5 被审计单位信息系统处理业务流程等 目的 通过对以上背景信息评审 基本收集了被审计单位信息系统硬件和软件的基本情况 第一章信息系统审计概论 第一章信息系统审计概论 2 对被审计单位信息系统控制环境评审 内容有 1 系统控制措施 2 不相容职能分离控制措施 3 访问控制措施 4 系统的安全性和灾难恢复控制措施 目的 是确定被审计单位信息系统总体控制环境中控制的健全性 合理性和有效性及其存在的风险 二 应用控制的审计目的 检查存在于各具体应用程序中的输入控制 处理控制和输出控制的情况的完善性和有效性 应用控制的评审包括 1 输入控制审计目的 审查输入控制在确保输入数据的精确 完整 有效以及数据输入的合法性的情况 输入控制的审计的主要内容包括 1 输入权限控制 2 输入完整性控制 3 数据有效性控制 4 输入格式检查 第一章信息系统审计概论 5 输入数据范围检查 6 校验 7 有效性检查 8 相容性检查 9 数据重复控制 10 数据相关性检查 11 输入异常处理 第一章信息系统审计概论 2 处理控制的审计目的 审查处理控制是否能确保数据被正确的处理 所有数据都被处理 数据未被重复处理 处理的数据是有效的 等 处理控制的审计的主要内容包括 第一章信息系统审计概论 1 数据被处理前后保持一致 2 数据有效性检查 3 处理与数据的非相关检查 4 数据处理的完整性与一致性 5 处理的有效性 6 文件访问冲突控制 7 错误控制 3 输出控制的审计目的 审查输出数据控制是否能确保输出数据的完整 有效 保密等 处理控制的审计的主要内容包括 1 输出异常的处理 2 数据输出完整性 3 输出数据的保护 4 输出结果符合要求 5 输出数据的及时性 6 输出被合适地发布 第一章信息系统审计概论 六 信息系统内部控制的审计步骤 一 了解并描述内部控制调查方法 询问 观察 查阅文档资料 检测工具描述方法 文字描述法 内部控制调查表法 流程图法 第一章信息系统审计概论 二 符合性测试人工控制审查方法 询问 观察 检查文档资料 发放调查问卷 等程序控制审查方法 人工控制审查方法 计算机辅助审计技术 三 评价内部控制评价目标 确定被审单位的内部控制是否达到了电算化条件下应有的控制目标 内部控制是否有重大缺陷 有无过控或欠控之处 已设立的控制是否有效执行 结果处理 对被审单位控制的薄弱环节提出管理建议 并形成文档 管理建议书 调整 第一章信息系统审计概论 内部控制评价指标简介 内部控制的审计评价指标通常分为一般性指标和具体指标 一 信息系统内部控制审计评价的一般性指标指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标 包括 1 信息系统内部控制的完整性 2 信息系统内部控制的合理性 3 信息系统内部控制的有效性 二 信息系统内部控制审计评价的具体指标指对信息系统内部控制相关内容方面的审计评价指标 是对信息系统内部控制相关内容的具体评价 第五节风险基础审计 第一章信息系统审计概论 审计模式的发展经历了三个阶段 账项基础审计制度基础审计风险基础审计 风险基础的审计模式基本要素构成 固有风险 控制风险 检查风险风险基础审计的三个基本环节 风险评估 内控测试及实质性测试 风险基础审计的优点 通过对被审计单位风险的评价 集中审计资源于高风险的审计领域 最大限度地降低审计的检查风险 保证审计效果和质量 节约审计成本 提高审计效率 第一章信息系统审计概论 风险基础审计方法的思路 1 编制被审计单位使用的信息系统清单并对其进行分类 2 判断哪个系统影响关键功能和资产 3 评估哪些风险影响这些系统并对商业运作造成冲击 4 在上述评估的基础上对系统进行分级 决定审计的优先次序 资源 进度和频率 第一章信息系统审计概论 第六节基于风险审计理论的信息系统审计步骤与传统审计相同 信息系统审计步骤也分为三个阶段 审计计划阶段 审计实施阶段 审计报告阶段 一 审计计划阶段 审计准备阶段 内容 制定科学 合理的审计计划结果形式 审计文档 信息系统审计计划书 二 审计实施阶段内容 调查取证 结果形式 工作底稿及附件 三 审计报告阶段内容 运用专业判断 综合各种证据 评估测试结果 根据审计准则 形成审计意见 结果形式 审计意见书 审计报告 第一章信息系统审计概论 具体的信息系统审计步骤和内容如下所示 一 审计计划阶段 1 了解被审计系统基本情况目的 明确审计的难度 所需时间及大致费用等 决定是否接受委托对该系统进行审计 主要包括 1 系统拥有者概况 2 系统建成时间 运行时间 生命周期概况 规模及设备清单 3 管理者的管理措施 对IS的内部控制 4 相关外部控制 5 技术操作人员的概况 6 已做过的审计 时间及审计机构等 第一章信息系统审计概论 2 与委托单位签订业务约定书审计业务约定书的内容一般包括 第一章信息系统审计概论 签约双方名称 委托目的 审计范围 双方责任 签约各方的义务 出具审计报告的时间要求 审计报告的使用责任 审计收费 业务约定书的有效期间 违约责任 签约时间及其他事项 3 初步评价被审系统的内部控制及外部控制内部控制初评过程 第一章信息系统审计概论 外部控制初评 信息系统安全标准 行业标准 工程建设标准 验收标准等各项规章制度的执行情况 第一章信息系统审计概论 5 分析审计风险方法 审计风险模型 DAR IR CR DR 4 确定重要性重要性特征 数量 质量重要性评估的目的 确定所需审计证据的数量重要性水平与审计证据之间关系 反向关系 6 编制审计计划审计计划包括 总体审计计划 具体审计计划 总体审计计划主要包括 被审单位基本情况 审计目的 审计范围及策略 重要问题及重要审计领域 工作进度及时间 费用预算 审计小组成员分工 重要性确定及风险评估等 具体审计计划主要包括 具体审计目标 审计程序 执行人员及时间限制等 第一章信息系统审计概论 第一章信息系统审计概论 二 审计实施阶段 审计实施步骤 1 审计通知 2 预备调查 3 审计实施 4 审计评审 5 补充审计 6 审计评议会 ISA主要任务 1 收集资料 2 确定审计或测试的方式 3 列出需要访谈的人员名单 4 查阅有关部门的政策 标准及准则 以供审计使用 5 利用审计方法 对所有控制进行测试和评价 6 评估测试结果 第一章信息系统审计概论 审计实施是审计的中心环节 主要由符合性测试阶段和实质性阶段构成 1 符合性测试符合性测试的目标 审查被审计单位信息系统的内部控制制度的建立及遵守情况 根据测试结果修订审计计划 确定后续测试 实质性测试的程度 具体步骤 1 目标设定 2 事项识别 3 风险评估 4 风险应对措施 第一章信息系统审计概论 符合性测试的常用方法有 访问被审计单位的领导与员工 发放调查问卷 实地考察 查阅有关程序文档资料等 2 实施实质性测试实质性测试 是对交易和事项的详细测试或分析性复核测试 以获得审计期间这些事项或交易合法 完整 准确或真实存在的审计证据 具体步骤 1 根据符合性测试的结果 确定进行实质性测试的范围 数量以及抽样方法 2 判断是否需要大量测试 确定是进行大量的随机或统计抽样 还是执行有限的随机或判断抽样 第一章信息系统审计概论 3 确认所有的交易事项均已经被准确记录的可能性 4 判断就样本而言是否达到控制目标 对能否达到组织的控制目标向管理层提供最终的保证或不保证 实质性测试的常用方法有 检测数据法 授控处理法 平行模拟法 利用辅助审计软件直接审查信息系统的数据文件等方法 第一章信息系统审计概论 符合性测试示例 在应收账款业务的处理模块中 当销售业务数据输入时 检测应收账款的各种记录是否产生相应变化 其发生的增减变化方向是否与业务一致 或测试该客户的应收款余额是否超过信用额度 时间是否超过规定时间 实质性测试示例 在对会计报表模块审计中 检查计算机会计报表系统产生的报表数据和经审计人员审计产生的报表数据是否一致 第一章信息系统审计概论 三 审计完成阶段 1 整理 评价执行审计业务过程中收集到的证据证据 所谓证据就是审计师按照审计标准及目标的要求 在对某一实体或数据进行审计时所采用的信息 与审计目标有关的信息即可作为审计证据 证据形式 口头证据 书面证据 电子证据 等证据来源 原始凭证 电子记录 录音 照相 摄像 等 2 复核审计底稿 完成二级复核传统审计的三级复核制度 一级复核 项目经理二级复核 部门经理三级复核 主任审计会计师 审计师 ISA一级复核内容 审计中审计人员所完成的工作 审计形成的审计工作底稿及结论 ISA二级复核内容 审计阶段结束后审计工作底稿及结论 3 汇总审计差异 与被审计单位沟通 第一章信息系统审计概论 第一章信息系统审计概论 4 评价审计结果 形成审计意见 完成三级复核 编制审计报告 审计意见的类型 无保留意见的审计报告 保留意见的审计报告 否定意见的审计报告 无法表示意见的审计报告 三级复核主要内容 采用审计程序的恰当性 审计工作底稿的充分性 审计过程中是否存在重大遗漏 审计工作是否符合事务所的质量要求等 ISA完成表现形式 审计意见书 审计报告 第一章信息系统审计概论 审计报告的基本格式 题头 报告日期 上级主管部门名称 上级主管姓名 审计说明 概要 正文 审计对象 重点审计主题 审计目的 审计范围和审计实施步骤 概要 实施期间 被审计对象部门 被审计人员及其工作职能 审计结果 概要 1可靠性 可靠性概要 可靠性评价2安全性 安全性概要 安全性评价3效率 效率概要 效率评价主要存在的问题改良建议 1一般改良建议 2紧急改良建议 第一章信息系统审计概论 第七节信息系统审计的意义主要表现在 可以鉴证信息系统的安全和可靠性 可以鉴证电子化数据的真实性和完整性 可以促进和提高信息系统的效率和效益 为组织信息化建设提供咨询服务 第七节信息系统审计准则和职业道德规范简介信息系统审计准则 为信息系统审计和报告定义了强制性的要求 是开展信息系统审计的前提 是实施信息系统审计的总纲 是实施信息系统审计的具体规范 第一章信息系统审计概论 一 国际信息系统审计准则简介目前最具代表性和权威性的审计准则制定机构 ISACAISACA的信息系统审计准则框架构成 ISA标准 指南 程序 第一层次 信息系统审计标准ISA标准是整个ISA准则体系的总纲 是制定ISA指南和ISA程序的基础依据 它规定了审计章程及审计过程 从计划 实施 报告到跟踪 必须达到的基本要求 是CISA的资格条件 执业行为的基本规范 最新的ISA标准分为11大类 共43条 第一章信息系统审计概论 第二层次 信息系统审计指南ISA指南是依据ISA标准制定的 是ISA标准的具体化 为ISA准则体系中11大类标准的实施提供了指引 它详细