信息系统审计.doc

信息系统审计本课程主要内容: 信息系统审计概论 IT治理审计 信息系统架构控制与审计 信息系统开发及审计 信息系统运营与维护审计 信息安全控制与审计 信息系统审计技术方法第一章 信息系统审计概论ISA的定义、目标、内容、信息系统审计风险、信息 系统控制与审计、审计程序，以及信息系统审计的准则、控制模型等。本章主要介绍有关信息系统审计的基本概念和基本理论。基本要求：理解和掌握信息系统审计的概念、特点、目标、内容、方法以及程序步骤，了解信息系统审计标准、金审工程等内容。重点：信息系统审计概念、特点、目标、内容、方法以及程序步骤难点：信息系统审计方法以及程序步骤一、信息系统审计的产生与发展1、电子数据处理系统对审计的影响2、信息系统审计的产生与发展二、信息系统审计的含义与特点1、信息系统审计的定义2、信息系统审计的特点 三、信息系统审计目标 四、信息系统审计的内容 1、内部控制系统审计 2、系统开发审计 3、应用程序审计 4、数据文件审计 五、信息系统审计的基本方法 1、绕过信息系统审计 2、通过信息系统审计 六、信息系统审计的步骤 1、准备阶段 2、实施阶段 3、终结阶段 七、信息系统审计准则 1、信息系统审计准则的概念和作用 2、国际信息系统审计准则 3、我国信息系统审计规范体系 八、我国信息系统审计人才培养策略 1、信息时代呼唤信息系统审计师 2、信息系统审计师应具备的素质 3、信息系统审计师的培养1.1 信息系统审计的产生与发展 EDP(电子数据处理)对审计的影响1、对审计线索的影响：肉眼不可见性。2、对审计方法与技术的影响：计算机辅助审计方法。3、对审计人员的影响：懂得计算机操作、应用等知识。4、对审计标准与准则的影响：对信息系统审计人员的一般要求、事前审计准则、内部控制审计准则。纸质会计凭证的电子化使得审计人员在开展传统审计业务的过程中不得不关注电子数据的取得、分析、计算等数据处理业务。那时人们开始称这种审计为电子数据处理审计（EDP审计）。为了解决会计师在新环境中开展审计工作时所面临的问题，美国等发达国家的注册会计师职业组织对电子数据处理环境下如何开展内部和外部审计进行了大量的研究并取得了引人注目的成果。1969年，电子数据处理审计师协会（EDPAA）在美国洛杉矾成立。这个协会下设的电子数据处理审计师基金会（EDPAA）负责研究当时情况下一个胜任的信息系统(计算机)审计师应该具备哪些类型、什么水平的知识，并将其主要研究成果收录成书。总体来讲，这一时期社会对信息系统审计的认识不够，信息系统审计远未普及，审计人员本身也缺乏对信息系统的知识。20世纪70年代，随着计算机系统的发展， 计算机在企业中得到了更广泛的应用，电子数据处理在企业间普及。企业开始关注计算机应用带来的成本和效益问题，并注意召集各部门人员共同对信息系统的建设和发展进行规划。数据库管理技术的逐渐成熟使得企业可以解决因各部门独立开发数据处理系统所带来的数据冗余和数据很难共享等问题；20世纪 60年代末期发展起来的管理信息系统得以广泛应用于企业，使企业可以从整体目标出发，对各项管理信息进行系统和综合的处理，来为企业的管理决策服务。计算机以及信息系统在企业的普及使得这一时期利用计算机进行欺诈舞弊的犯罪事件不断出现，如1973年1月美国“产权基金公司”的保险经营商就利用计算机诈骗了数亿美元。这些事件让负责对实施欺诈的公司进行审计的注册会计师事务所在经济和信誉上都遭受了巨大的损失，美国审计界开始重视信息系统在企业的应用给审计工作带来的风险，并对电子数据处理审计的标准、计算机系统内部控制设置与评审、信息系统审计方法、计算机辅助审计技术和工具 （CAATT）等问题进行了详细的研究。日本也派人到美国进行考察，以借鉴美国的经验,研究如何在日本开展信息系统审计工作。进入20世纪80年代，网络和通讯技术迅速发展。企业业务的发展使得企业必须把其本地的信息系统和外地分支机构的信息系统互联互通，以共享信息等资源；同时，企业更注重从战略目标出发，建立一个支持全企业的集成信息系统，来实现管理控制上的统一和协调。闭环物料需求计划（闭环MRP）系统和制造资源计划 （MRP）系统相继在企业中广泛应用，企业的物流和资金流实现了集成。这样，业务系统数据能够向财务会计信息系统自动转换和传送，企业可以随时控制和指导生产经营活动，使其与企业战略目标相符合。由于这时财务数据的采集是由整个信息系统实时完成的，在进行财务审计时，必须考虑信息系统的安全性、可靠性和效率性，以保证信息的真实性和可靠性。随着社会对信息系统的依赖性普遍增强，利用计算机犯罪的案件也不断增多。如日本仅1982年一年利用磁卡欺诈犯罪的案件数量就相当于该年之前确认的所有计算机犯罪案件之和；在美国，仅1987年因公司之间间谍利用信息技术窃取公司系统中的信息所造成的损失就高达500多亿美元。这些都说明信息系统的防范体系还很不充分。越来越多的人认识到了信息系统审计的重要性。审计师们开始利用先进的工具和技术，研究与被审计信息系统相联系的有关开发、程序设计和计算机处理的具体过程和内容，以便更好地开展信息系统审计工作。1981年，美国电子数据处理审计师协会（EDPAA）开始举办注册信息系统审计师（CISA）认证考试。日本也在1985年发表了系统审计标准，并在全国软件水平考试中增加了“系统审计师”一级的考试。信息系统审计师成为了一种专门的职业。20世纪90年代以来，互联网技术和信息技术高速持续发展，网络向世界范围不断扩充。人类社会开发利用信息资源的方式和能力发生了很大的变化。信息系统变得越来越复杂化、大型化、多样化和网络化。企业开始注重外部信息的处理效率和利用效益，逐渐对自己价值链上各类信息进行全面的管理和集成，以此来提高企业在市场中的竞争力。世界各国的学者、审计机关和组织都积极对此进行研究与探索。1994年，电子数据处理审计师协会（EDPAA）更名为信息系统审计与控制协会（ISACA），从而成为从事信息系统审计的专业人员惟一的国际性组织，这个组织的注册信息系统审计师（CISA）资格认证也是信息系统审计领域的惟一职业资格认证。东南亚各国也开始制定电子商务法规，成立专门机构开展信息系统审计业务，并制定技术标准。审计的方法从手工审计发展到手工审计与计算机辅助审计工具和技术兼而有之；开展审计的人员从注册会计师发展到信息系统审计师；指导信息系统审计的组织从传统的审计机关和组织发展成为专业的信息系统审计组织。另外，信息系统审计的内容、依据、准则等也在随着信息技术和信息系统的发展而不断发展与完善。 在这里，我们引用国际信息系统审计领域的权威专家RonWeber对信息系统审计的定义，即信息系统审计就是“收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。目前，一些国际大型会计公司中已经出现了没有注册会计师资格的合伙人，他们持有的职业资格是注册信息系统审计师（CISA）。很多大公司也高薪聘请注册信息系统审计师（CISA）为公司的发展出谋划策。尽管如此，注册会计师和会计师组织仍将在信息系统审计领域发挥重要的作用。现代以风险为基础的审计模式使得注册会计师在对企业进行审计时必须考虑企业应用信息技术给企业带来的风险，而他们对企业财务会计和内部控制的深刻理解有助于他们采取措施控制这些风险； 同时，长期以来在企业信息化过程中积累的审计工作的经验和他们在风险控制方面的良好声誉也有助于他们开展信息系统审计工作。 1.2 信息系统审计的含义与特点 国际信息系统审计领域的权威专家 Ron Weber :“收集并评价证据，以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。日本通产省情报处理开发协会 :“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。 我们可将“信息系统审计”界定为：信息系统审计是指根据公认的标准和指导规范，对信息系统从规划、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整性、有效性、效率性、安全性等进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。 第二章 IT治理通过本章的学习，信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求 。基本要求：了解和掌握IT治理相关知识重点：IT治理关键问题、标准、机制、方法、成熟度模型难点：IT治理成熟度模型主要内容：一、IT治理的定义 二、IT治理的关键问题 1、IT治理缺失的症状 2、IT治理的关键问题 三、IT治理与公司治理 1、公司治理和公司管理 2、IT治理和IT管理 3、公司治理和IT治理 四、IT治理标准 五、建立IT治理的机制和方法1、IT治理机制2、IT治理方法 六、IT治理的目标和范围1、IT治理目标2、IT治理范围 七、IT治理成熟度模型IT治理的产生背景从公司管理到IT审计2.1 IT治理的定义其一侧重于内部审计与控制:国际信息系统审计与控制协会 (ISACA)定义如下：IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。2.1 IT治理的定义德勤定义如下: IT治理是一个含义广泛的概念，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。IT治理主要任务是：保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，IT相关风险的适当管理。2.1 IT治理的定义其二侧重于利益相关者收益:Robert s. Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于组织能否达到它的使命、战略目标至关重要。 2.1 IT治理的定义其二侧重于利益相关者收益:Grembergen (比利时安特卫普大学):认为治理包括全部由利益相关者驱动的四个主要方面的内容,两个收益方面即价值贡献和风险规避;两个来源于其驱动力,即战略的一致性和绩效评估。2.1 IT治理的定义其三侧重责权归属框架:美国麻省理工学院的Peter weill和Joanne Ross在大量实证研究的基础上指出:治理就是为鼓励应用的期望行为,而明确的决策权归属和责任担当框架,是行为而不是战略创造价值,任何战略的实施都要落实到具体的行为上.2.1 IT治理的定义中国IT治理研究中心在综合研究的基础上提出如下定义：IT治理用于描述企业或政府是否采用有效的机制（就是为鼓励IT应用的期望行为而明确决策权归属和责任承担的框架），使得IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。2.1 IT治理的定义对治理内涵的诠释 IT治理其本质是一种治理结构,它包含了所有与有关的活动,也包括信息技术条件下所有利益相关者新的利益均衡 IT治理是一种机制的集合,其治理机制的形成是一个动态的过程,责权利的归属及利益和风险的分担虽会因组织的性质不同的战略目标和组织文化而各有差异,但均会在反复的动态博弈中达到均衡。 IT治理的目标是提高从IT中获取的价值保持与IT业务的一致性，保证与IT相关的资产、人员、流程、技术等处于可控的范围内。2.2.2 IT治理的关键问题IT治理的一个关键性问题是：公司的IT投资是否与战略目标相一致，从而构筑必要的核心竞争力。 2.2.2 IT治理的关键问题IT治理主要涉及两个方面：IT要为企业交付价值，降低IT风险。 2.3 IT治理与公司治理2.3.1 公司治理和公司管理公司治理是一个涉及公司的管理层、董事会、股东和其他利益相关者之间的一整套关系体系。它提供了一个确立公司目标、决定实现目标的措施和绩效监控的框架。 2.3 IT治理与公司治理(1)公司治理问题的产生和内涵公司治理有狭义和广义之分。狭义的公司治理解决的是因所有权和控制权相分离而产生的代理问题，它要处理的是公司股东与公司高层管理人员之间的关系问题。 2.3 IT治理与公司治理广义的公司治理可以理解为关于企业组织方式、控制机制、利益分配的一系列法律、机构、文化和制度安排，它界定的不仅仅是企业与其所有者之间的关系，而且包括企业与其所有利益相关者之间的关系。2.3 IT治理与公司治理公司治理要解决的就是三个方面的问题：第一，在所有权和控制权分离情况下，解决经营者和股东之间的委托代理问题，从而保证股东利益最大化的问题；第二，在股权分散的条件下，如何协调所有者之间关系的问题，特别是保护中小投资者不被大股东侵犯的问题；第三，在股东追求利益最大化的情况下，协调利益相关者之间关系的问题。2.3 IT治理与公司治理2.3.2 IT治理和IT管理IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；IT治理是指最高管理层（董事会）利用它来监督管理层在IT战略上的过程、结构和联系，以确保这种运营处于正确的轨道之上。 2.3 IT治理与公司治理2.3.3 公司治理和IT治理2.4 IT治理标准(1)ITIL (2)COBIT (3)BS 7799 IT治理的目标 (1)与业务目标一致(2)有效利用信息资源(3)IT治理风险管理总体而言，IT治理是一组面向IT资源、IT流程、IT收益以及IT风险的体制或机制，用于指导和控制企业的IT 应用能够完成组织赋予它的使命，主要是通过平衡IT 战略及其实施过程中的风险与收益来促进企业价值的增加，并实现其战略目标。IT 治理主要关注建立企业IT应用战略运作与实施的规范和框架，以此监控IT 战略的制定、实施以及运作，以促使企业的IT 资源与服务的有效配置，保证企业IS 的运营以及信息服务能够持续的有效。IT治理的范围 好的治理需要在企业全部范围内推行; IT治理的范围是动态的,随着企业的业务战略与战略的进一步结合而不断扩大。 (1)从行业的角度；(2)与企业核心业务的关联度(3)投资回报率2.5 建立IT治理的机制1.目标平衡机制。在当前电子商务的环境下，IT 应用涉及到企业组织的各个组成部分，而不仅仅是股东。IT资源及其价值的实现受到企业的各个利益相关者的影响，譬如客户、雇员、供应商、银行、政府机构等。因此，在IT 治理过程中，对于IT 战略的决策制定必须要综合考虑各个利益相关者的价值需求，促进不同决策目标的融合与平衡，从而更好地开发IT 资源的价值。2.5 建立IT治理的机制2.战略集成机制。IT 应用不是简单的技术应用，IT 资源的价值只能在IT与商务的完美结合中才可以得到充分实现。因此，IT治理必须促进并保持企业的战略和IT战略的有效融合与一致，实现企业业务战略和IT 战略之间的相互促进，从而更大限度地发掘IT 资源的价值潜能，推动企业目标的达成。一般而言，企业业务战略与IT 战略的集成机制主要包括IT 驱动型、业务驱动型、互惠型等几种形式。2.5 建立IT治理的机制3.监控与评价机制。IT 治理不仅仅是关注IT 战略的决策和制定过程，它还必须为企业IT 战略的执行、实施过程提供相应的管控机制。通过监控企业IT 战略实施的各个环节，企业可以很清晰地了解IT 战略的实施进程，并进行相应的调控，从而确保IT 战略的实施始终保持正确的方向。同时，通过有效的评价，不断地改善IT 战略实施以及IT运营的绩效，提升企业IT战略实施的水平和具体应用的能力，有效利用IT资源。2.5 建立IT治理的机制4.组织协调机制。IT 应用战略的成功需要强大的组织保障。在电子商务环境下，企业IT 战略及其应用越来越复杂，而传统的层级、职能式的组织模式已不能适应日益多样化的IT 服务需要。因此，企业必须有效的实现组织的权利结构、工作方式与业务流程、沟通模式等组织要素的集成，增强企业组织的灵活性和有效性，这样才能有效地、及时地满足企业的IT 需求，确保实现组织的IT 战略目标。IT治理成熟度模型 (1)不存在。 (2)初始级。 (3)可重复级。 (4)已定义级。 (5)已管理级。 (6)优化级 第三章 信息系统一般控制及审计 一个组织要建立信息系统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。基本要求：了解信息系统一般控制与审计概念、内容、方法重点：信息系统一般控制与审计内容、方法难点：信息系统一般控制与审计方法信息系统一般控制及审计（ 4 学时）主要内容：一、信息系统一般控制综述 二、管理控制及其审计1、管理控制的基本内容2、管理控制审计3、管理控制测试 三、系统基础设施控制及其审计1、信息系统环境控制2、信息系统硬件控制与审计3、系统软件控制 四、系统访问控制及其审计1、逻辑访问控制2、物理访问控制3、对访问控制的审计 五、系统网络架构控制及其审计 1、局域网控制与审计 2、客户机/服务器架构风险与控制 3、互联网风险与控制 4、网络安全技术 5、网络架构控制的审计 六、灾难恢复控制及其审计 1、灾难与业务中断 2、灾难恢复与业务持续计划 3、灾难恢复与业务持续计划的审计一、信息系统内部控制信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。 内部控制是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径，从而更好地确保组织目标的实现。内部控制分类：依据所要达到的直接目标分：会计控制、管理控制；依据控制的预定意图分：预防性控制、检查性控制、纠正性控制；依据信息处理系统的不同可以分：人工系统控制、信息系统控制；依据控制所采用的工具不同可以分：手工控制、依据控制对象的范围和环境不同可以分：一般控制、应用控制；二、一般控制与应用控制一般控制指对信息系统构成要素的控制。信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行一般控制包括以下几方面的控制:组织控制;操作控制;硬件及系统软件的控制;系统安全控制.应用控制指对信息系统中具体的数据处理活动所进行的控制。应用控制一般可以分为：输入控制、处理控制、输出控制。 一般控制与应用控制的关系？符合性测试：符合性测试是对信息系统内部控制的存在性、有效性及控制的程序的编写方法的合规性进行核实，并得出相应审计结论的一种审计方法。实质性测试：符合性测试是指经被审计信息系统处理过的各种包括财务会计信息在内的经济信息合法性、正确性、真实性所进行的直接检查和分析性复核，以便对企业经济信息的质量发表审计意见。 信息安全管理是指导组织的安全实践活动，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，通过维护信息的机密性、完整性和可用性，来管理和保护组织所有的信息资产。信息安全管理一般包括制定合理的信息安全方针与策略、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作，通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等领域内建立管理控制措施，来保证组织信息资产的安全与业务的连续性。信息系统的安全管理控制的主要目标是实现职责分离和人员的管理。 三、系统基础设施控制与审计系统基础设施是指保障信息系统工作所必需的设施与条件。系统基础设施控制重点是信息系统环境、信息系统硬件、系统软件的采购、配置、运行与管理。1、信息系统环境控制信息系统有哪些环境风险？如何控制信息系统的环境风险？2、信息系统硬件控制信息系统硬件设施的控制，主要考虑硬件设施的采购、运行、维护、监控和能力管理等方面。3、信息系统软件控制信息系统中有哪些软件？信息系统软件有哪些风险点？如何控制信息系统软件的风险？四、系统访问控制及其审计1、系统访问就是利用计算机资源达到一定目的能力，对计算机化的信息资源的访问。可以基于逻辑方式，也可以基于物理方式。 逻辑访问控制是通过一定的技术方法去控制用户可以利用什么样的信息，可以运行什么样的程序与事务，可以修改什么样的信息与数据。逻辑访问的风险？如何控制逻辑访问的风险？四、系统访问控制及其审计物理访问控制可以限制人员进出敏感区域。系统用户或者相关人员出入系统的关键区域，需要采用适当的物理访问控制。物理访问的风险？如何控制物理访问的风险？五、系统网络架构控制及其审计 六、灾难恢复控制及其审计 灾难恢复 计划（DRP） 业务持续计划（BCP）第4章 信息系统应用控制及其审计信息系统应用控制及审计 （3学时）基本要求：了解和掌握信息系统应用控制与审计概念、内容、方法重点：信息系统应用控制与审计内容、方法难点：信息系统应用控制与审计方法主要内容：一、输入控制 1、数据采集控制 2、数据输入控制 3、会计信息系统输入控制 二、处理控制 1、审核处理输出 2、进行数据有效性检验 3、会计信息系统中几种特殊的处理控制技术 三、输出控制 四、应用控制的审计 1、业务处理规程和输入控制的审查 2、输出控制的审查 五、内部控制审计实例 1、被审单位基本情况 2、被审计算机信息系统采购和付款系统说明 3、内部控制制度 4、收集审计证据 5、审计证据的分析与报告一、应用控制的概念应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制针对的是与计算机应用相关的事务和数据。由于数据处理过程一般都是由输入、处理和输出三个阶段构成，从这一共性出发，可将应用控制划分为输入控制、处理控制和输出控制。应用控制也是由手工控制和程序化控制构成，但以程序化控制为主。一般来说，应用控制的目标是确保： 输入的数据是准确、完整、授权和正确的 数据在可接受的时间内得到预期的处理 数据存贮是准确和完整的 输出是准确和完整的 记录在从输入到存贮，再到最终的输出的整个过程中是可追溯的二、应用控制和计算机环境整体控制的关系 良好的计算机环境整体控制可以为应用控制的有效性提供有力的保障 由计算机系统提供的自动控制优于手工控制应用控制的主要内容根据信息系统的属性，结合业务流程风险和控制分析，应用系统控制主要包括以下内容：访问控制与职责分离；输入控制；处理控制；输出控制。第五章 信息系统开发与获取审计信息系统开发与获取审计 （4学时）基本要求：理解和掌握信息系统开发与获取审计的内容和方法重点：信息系统开发与获取审计的内容和方法难点：信息系统开发与获取的审计评估方法主要内容： 一、信息系统生命周期与审计 1、信息系统审计师在信息系统开发中的职责 2、信息系统开发与实施评价 二、基于生命周期的信息系统开发方法 1、软件开发生命周期 2、传统的SDLC各阶段描述 三、信息系统的其它开发方法1、原型法（prototyping）2、面向对象的方法（Object-Oriented Method）3、计算机辅助开发方法（CASE）4、基于组件的开发方法（Component-based Development）5、基于Web应用开发方法(Web-based Application Development）6、快速应用开发方法（RAD）7、敏捷开发(Agile Development） 四、信息系统开发团队、角色和责任 五、项目管理 六、软件配置管理 七、与软件开发相关的风险 八、软件开发过程的完善 1、ISO9126 2、软件能力成熟度模型（CMM） 3、软件能力成熟度模型集成（CMMI） 九、信息系统开发过程审计1、信息系统审计师对系统开发过程进行风险评估2、制定审计计划3、系统开发过程审计一、信息系统开发审计信息系统开发审计是对信息系统开发过程进行的审计。审计的目的：一是要检查开发的方法、程序是否科学，是否含有恰当的控制；二是要检查开发过程中产生的系统文档资料是否规范。信息系统生命周期与审计信息系统生存周期包括5个基本过程：(1)获取过程确定信息系统需求，获取系统、软件产品或软件服务的活动。(2)供应过程确定信息系统提供者，向信息系统需求者提供系统、软件产品或软件服务的活动。(3)开发过程确定信息系统开发者，定义并开发软件产品的活动。(4)运作过程确定信息系统操作者，在规定的环境中为用户提供运行计算机系统服务的活动。(5)维护过程确定信息系统维护者，提供维护软件产品服务的活动。一、信息系统开发审计内容： 需不需要信息系统开发审计（Why） 谁来实施信息系统开发审计（Who） 怎样实施信息系统开发审计（How）信息系统审计师在系统开发过程中的主要任务有：(1)赢得用户信息系统专家的支持与合作；(2)审查用户需求；(3)审查人工控制与应用控制；(4)审查所有技术说明文档是否符合标准、规范；(5)审计系统开发过程中是否实施项目管理，采用项目管理工具；(6)在每个开发阶段，进行设计检查并在每次检查之后提出书面建议；(7)在下一阶段开始之前，保证建议被采纳；(8)每个阶段结束后进行项目审查；(9)审查测试计划；(10)评估实施准备；(11)向管理层提交审计发现；(12)保持审计过程的独立性。信息系统审计师的任务还包括：(1)信息系统审计师需要审查所有相关领域以及系统开发生命周期(SDLC)的各个阶段，并独立向管理层报告系统开发阶段目标的完成情况与流程的执行情况；(2)信息系统审计师应该判断所有相关人员是否各司其责；(3)信息系统审计师应在系统开发过程中，提供方法与技术方面的评估；(4)通过系统调查，信息系统审计师应该判定系统的主要组成部分、系统功能、系统目标及系统用户的使用需求，以进一步决定系统的哪些区域需要加以系统控制；(5)通过向权威人士咨询，与系统开发人员和用户项目组成员的讨论，向项目组提出控制措施的设计与实施等方面的建议；(6)通过定期会见系统开发人员和用户项目组成员，审查文档和交付系统等方式，监控系统开发过程是否实施了控制，用户的业务需求是否得到满足，是否遵循了系统开发与实施的规范。同时对应用系统的审计轨迹进行审查和评价，确保检查控制措施的落实。审计轨迹作为追溯机制，能够帮助信息系统审计师实现程序变化的追踪和查验机制。在一个动态的系统环境中，应保存作为审计轨迹的信息有：所有的工作活动日志；程序员登录和退出的历史记录；程序变更的记录；(7)参与安装后审计； (8)通过审查文档、与关键人员会谈、观察等方式，评估与测试信息系统维护作业程序，判定是否依据标准执行；(9)通过分析测试结果和其他审计证据，评估系统维护流程是否实现了控制目标；(10)通过识别和测试现有的控制，判定对程序库的安全控制是否充分适当，以确保程序库的完整性。第六章 信息系统运营与维护审计 信息系统运营与维护审计 （4 学时）基本要求： 理解和掌握信息系统运营与维护及审计的内容、方法重点：信息系统运营与维护及审计内容和方法难点：信息系统运营与维护的审计方法主要内容： 一、信息系统的运营与维护工作存在的问题 二、软件维护 1、软件维护的种类 2、软件维护的实施 3、软件维护申请报告 4、维护档案记录 5、维护阶段的审计 三、信息系统变更管理 四、系统变更流程和迁移程序的审计 五、IT服务管理 1、IT服务管理产生的背景 2、IT服务管理的发展历史 3、IT服务管理的定义 4、ITIL 5、IT服务提供流程 6、IT服务支持管理 7、IT服务管理案例如何建立一个基于ITIL的服务台 六、信息系统生命周期的审计程序信息系统的运营管理是对信息系统的运行进行控制，记录其运行的状态，进行必要的修改和扩充，以便使信息系统在其生命周期内保持良好的可运行的状态，保证其功能的发挥，真正符合管理决策的需要，为管理决策服务。6.1 信息系统的运营与维护工作存在的问题一是如何管理、控制和维护这些系统，二是如何在资源有限的条件下协调这些系统。一旦这两个问题没解决好，就会产生另外两个问题：一是IT部门成了“救火队员”，而且往往是吃力不讨好；二是业务部门烦躁不已，虽然不断进行大量IT投资，却不但感觉不到信息系统带来的效益，还经常碰到系统出现各种问题，有时甚至还会影响企业的业务工作。在企业信息化过程中，存在两种现象:一方面试图利用信息系统实现更多功能，以支持业务运营；另一方面却不注重对信息系统本身的有效支持和维护。信息系统不能充分发挥其应有的效用，加之信息系统本身也存在诸多问题，在信息系统和业务的相互跌跌撞撞之中，企业目标无法实现。IT管理大致经历了以下三个阶段：(1)设备管理阶段。 (2)系统和网络管理阶段。 (3)服务管理阶段。 6.2 软件维护软件维护的种类有以下几种：1.纠错性维护(Corrective Maintenance)2.适应性维护(Adaptive Maintenance) 3.完善性维护(Perfective Maintenance) 4.预防性维护(Preventive Maintenance) 软件维护申请报告软件维护申请应按规定的方式提出。软件维护部门通常提供维护申请报告（Maintenance Request Report，MRR)，或称软件问题报告，由申请维护的用户填写。IT部门应相应地做出软件修改报告（Software Change Report ,SCR），指明： (1)所需修改变动的性质； (2)申请修改的优先级； (3)为满足某个维护申请报告，所需的工作量； (4)预计修改后的状况。软件修改报告应提交修改负责人，经批准后才能开始进一步安排维护工作。维护档案记录的内容包括：维护程序名称、源程序语句条数、机器代码指令条数、所用的程序设计语言、程序安装的日期、程序安装后的运行次数、与程序安装后运行次数有关的处理故障次数、程序改变的层次及名称、修改程序所增加的源程序语句条数、修改程序所减少的源程序语句条数、每次修改所付出的“人时”数、修改程序的日期、软件维护人员的姓名、维护申请报告的名称、维护类型、维护开始时间和维护结束时间、花费在维护上的累计“人时”数、维护工作的净收益等。对每项维护任务都应该收集上述数据。维护阶段的审计 1.建立明确的软件质量目标和优先级 2.使用提高软件质量的技术和工具3.进行明确的质量保证审查4.周期性地维护审查5.健全的程序文档6.3 信息系统变更管理变更管理需要注意以下方面：(1)最终用户、员工、系统开发和维护人员都会提出变更请求，目的是解决问题，提高系统操作性能。(2)用户需要采用正式书面申请信函，向管理层表达系统变更申请，(3)变更申请表的格式、内容应该涵盖所有变更行动，保证系统管理人员能够追溯到变更申请的状态。(4)变更主要是由于源程序错误和业务处理流程发生变化。(5)用户对系统测试结果和文档的充分性表示满意后，需要得到用户管理层的批准。(6)所有变更请求和相关信息作为系统的永久性文档，由用户维护人员保留。(7)需要用户管理层关注程序员所做的变化或者升级，在进行任何变更之前，程序员必须得到授权。除了管理层批准变更申请之外，可以通过安装变更控制软件，防止未经授权的程序变更。2.实施变更3.文档化4.测试变更后的程序5.程序变更审计6.紧急变更7.将变更移植到生产环境8.变更风险（非授权变更）6.4 系统变更流程和迁移程序的审计 在系统维护阶段，对于变更管理，信息系统审计师的主要工作包括：(1)当用户提出系统变更需求时，应有授权、优先排序及跟踪的机制；(2)在日常工作手册中，是否明确指出紧急变更程序；(3)变更控制程序是否为用户及项目开发组所认可；(4)变更控制日志中记录的所有变更是否已完成(5)评估访问产品源代码和可执行代码模块的安全访问控制是否充分；(6)评估企业在处理紧急情况下的程序变更的流程是否合理；(7)评估对使用紧急情况下登录的安全访问控制是否充分；(8)评估变更需求被记录在适当的变更申请文件中；(9)确认现存文件均已反映变更后的系统环境；(10)评估系统变更的测试程序的适当性；(11)复核测试计划与测试结果等适当证据，确认该测试程序是依据企业的相关标准而定的；(12)复核保证源代码与可执行码完整性的程序；(13)复核产品可执行模块，证实有且只有惟一与源代码对应的最新版本；(14)复核整个变革管理流程在时间成本、效率方面、用户满意度上是否有需改善之处。6.5 IT服务管理IT服务管理(IT Service Management，简称ITSM)作为一种比较成熟的IT管理模式，在我国己受到越来越多的关注。 IT服务管理产生的背景 1.IT发展历程数据处理阶段(20世纪6070年代)、信息技术阶段(80年代)、信息管理阶段(90年代) 、信息业务阶段(现在)。1.IT发展历程IT服务管理产生的背景 2.IT的压力和挑战IT服务管理产生的背景 3.IT服务管理产生背景首先，信息技术的发展直接推动了企业信息化的发展。 其次，现代化社会非常显著的特征就是服务意识的兴起。 第三，企业为了实现业务目标纷纷确立了“以客户为中心，以市场为导向”的服务理念，要求企业的IT管理能够紧扣客户需求和业务流程，确保IT作为一种服务帮助企业实现业务目标。 IT服务管理的发展历史1.萌芽期2.发展期3.成熟期 IT服务管理的定义 IT的定义lT所指的范围相当广泛，包括技术基础设施(硬件、系统软件和通信设施)、应用基础设施(应用软件和数据库)等设施以及文档等。 IT服务管理的定义 什么是服务？ 著名的服务管理大师格罗鲁斯将服务定义为：“服务是由一系列或多或少具有无形特征的活动所构成的一种过程，这种过程是在客户与员工、有形资源互动关系中进行的，这些有形资源（有形产品或有形系统）是作为客户问题的解决方案而提供给客户的”。 服务是由一系列活动构成的过程； 服务具有生产、传递和消费的同步性； 客户或多或少地参与服务的生产过程。 IT服务管理的定义 IT服务 IT服务可以理解为由IT服务提供商支持的、以让客户感觉协调一致的方式满足客户的一种或多种需求的可用系统或功能。 IT服务提供者应该深入理解客户和他们的业务，一方面正确认识客户的业务模型，一方面要了解客户的实际需求，然后通过高质量的IT服务为客户创造出更多的价值，以提高IT投资的回报。 概括地说，在提供IT服务的时候，首先应该考虑业务需求，再根据业务需求确定IT的需求。IT服务是综合利用人、资源和程序以满足客户的信息需求。 IT服务管理的定义 IT服务管理(IT Serviee Management，ITSM) 主要内容就是将IT服务纳入高效、科学的管理之下，为企业、组织的业务提供稳定、优质的IT保障。 IT服务管理的定义 IT服务管理(IT Service Management，ITSM) 定义一：IT服务管理是一种以流程为导向、以客户为中心的方法。它通过整合IT服务与企业业务，提高了企业的IT服务提供和服务支持的能力和水平。 定义二：IT服务管理是一套通过SLA(服务级别协议)来保证IT服务质量的协同流程。它融合了系统管理、网络管理、系统开发管理等管理活动以及变更管理、资产管理、问题管理等许多流程理论和实践。 IT服务管理的定义 ITSM的核心思想是： (1)IT组织，无论是企业内部的还是外部的，都是IT服务提供者，其主要工作就是提供低成本、高质量的IT服务。 (2)IT服务的质量和成本则需从IT服务的客户（购买IT服务的）和用户（使用IT服务的）方加以判断。 IT服务管理的定义 ITSM的特点是：以客户为中心；服务可计量；服务是高质量、低成本的。 ITIL ITIL 作为一套IT服务管理标准库，它的主体框架包括6个主要模块： 服务管理（Service Management）、 业务管理(Business Management)、 ICT（信息与通信技术） 基础设施管理（ICT Infrastructure）、 贯穿业务和IT基础设施的应用管理（Application Management）、 IT服务管理实施规划（Planning to Implement Service Management）和 集中的安全管理（Security Management）。 ITIL ITIL 1.IT服务管理实施规划IT服务管理实施规划用以建立IT服务管理流程，讨论规划和实施IT服务管理的关键性问题，并对实施和提升IT服务提供了全面的指导。包括如下内容：(1)创建清晰的战略远景和使命(2)分析企业当前IT状况与服务状况(3)定义期望状态并进行差距分析(4)设定优先级并启动过程改进(5)定义关键成功因素（Critical Success Factors，CSF）和关键绩效指标（Key Performance Indicators，KPI） ITIL 2.业务观点业务观点是为业务管理提供视角，从客户(业务)而不是IT服务提供者(技术)的角度理解IT服务需求。这个模块可以帮助业务管理者理解为支持业务流程而设计的TI基础架构和应用程序，并熟悉TI服务管理的标准和实践。这样，业务部门可以更好地理解IT服务管理在企业中所扮演的角色，并能够更好地处理与服务提供方之间的关系，从而更好地实现组织的商业利益。 ITIL 3.IT基础设施架构IT基础设施覆盖了网络服务管理、运营管理、本地处理器的管理、计算机系统安装与验收、系统管理等方面，目标是确保提供一个稳定可靠的IT基础架构，以支撑业务运营。其焦点在于技术管理，从初始的业务需求识别，经历交付、测试、实施、应用以及持续的支持与维护。流程包括设计与规划、应用、运营以及技术支持等。 ITIL 3.IT基础设施架构IT基础设施覆盖了网络服务管理、运营管理、本地处理器的管理、计算机系统安装与验收、系统管理等方面，目标是确保提供一个稳定可靠的IT基础架构，以支撑业务运营。其焦点在于技术管理，从初始的业务需求识别，经历交付、测试、实施、应用以及持续的支持与维护。流程包括设计与规划、应用、运营以及技术支持等。 4.应用管理应用管理负责整个软件生命周期，包括业务需求分析、开发、测试、部署和运行，最后到应用程序退役的全面管理以及与其他服务管理流程之间的联系。这个模块要解决的是如何协调好TI服务管理和应用管理，以使它们一致地服务于客户。 4.应用管理应用管理负责整个软件生命周期，包括业务需求分析、开发、测试、部署和运行，最后到应用程序退役的全面管理以及与其他服务管理流程之间的联系。这个模块要解决的是如何协调好TI服务管理和应用管理，以使它们一致地服务于