信息系统审计第6章.ppt

1、2020/7/27,信息系统审计,1,6 管理软件系统审计,管理软件系统审计属于信息系统真实性审计。 它与传统审计相辅相成，从不同的角度鉴证企业数据的合法性与真实性。 讨论： 1、结合超市案例，讨论为什么传统审计会出现“假帐真审”现象？ 2、信息系统审计，特别是管理软件审计为什么可以弥补传统审计的不足？ 3、结合P103，109案例，说明访问安全与企业风险的关系？,2020/7/27,信息系统审计,2,6 管理软件系统审计,一、管理软件系统概述,二、访问控制审计,三、账务信息系统审计,四、财务报表信息系统审计,2020/7/27,信息系统审计,3,6.1 管理软件系统概述,信息与数据 ： 计算

2、机擅长处理高量度的信息（结构化数据）。在企业管理软件系统中的信息主要是结构化数据（如数据库中的数据）和半结构化数据(如网页中的数据)。因此，我们对管理软件系统审计的目的是鉴证其中的数据的真实性。,2020/7/27,信息系统审计,4,6.1 管理软件系统概述,管理软件系统 ： 数据处理系统 管理软件系统 决策支持系统 企业资源计划等,2020/7/27,信息系统审计,5,6.1 管理软件系统概述,数据处理系统 ： 面向企业业务的信息系统，侧重数据处理，不考虑信息的综合管理和共享。,2020/7/27,信息系统审计,6,6.1 管理软件系统概述,管理信息系统 ： 面向企业管理的信息系统，追求整个

3、组织的、周期性的报表信息流通体系，解决例行的、程序化的决策问题。,2020/7/27,信息系统审计,7,6.1 管理软件系统概述,决策支持系统 ： 是面向企业决策的信息系统，辅助决策者进行非程序化决策，即帮助解决半结构化和非结构化决策问题，但不着眼于结构化数据处理或信息管理问题。,2020/7/27,信息系统审计,8,6.1 管理软件系统概述,企业资源规划 ： 从本质上看,ERP仍然是以MRP为核心,但在功能和技术上却超越了传统的MRP。它是以顾客驱动的、基于时间的、面向整个供应链管理的企业资源计划。它在企业资源最优化配置的前提下，整合企业内部主要或所有的经营活动，包括财务会计、管理会计、生产

4、计划及管理、物料管理、销售与分销等主要功能模块，以达到效率化经营的目标。,2020/7/27,信息系统审计,9,6.1 管理软件系统概述,讨论 ： 1、企业不同功能的软件，其使用人员不同，相应的安全管理措施一样吗？为什么？ 2、同理，企业的信息系统审计策略和内容一样吗？为什么？,2020/7/27,信息系统审计,10,6.1 管理软件系统概述,管理软件系统的体系架构 ： 1、单机模式 2、中央集中模式 3、C/S模式 4、B/S模式,2020/7/27,信息系统审计,11,6.1 管理软件系统概述,讨论： 管理软件的体系架构不同，安全管理措施和审计策略一样吗？为什么？,2020/7/27,信息

5、系统审计,12,6.1 管理软件系统概述,审计内容 ： 1、了解管理软件系统 2、管理软件系统安全性审计 3、密码控制 4、访问控制审计 5、财务数据真实性审计,2020/7/27,信息系统审计,13,6.2 访问控制审计,二、访问控制策略 ： DAC，自主型访问控制策略（discretionary access control） MAC，强制型访问控制方策略（mandatory access control） RBAC，基于角色的访问控制策略（role-based access control）,2020/7/27,信息系统审计,14,6.2 访问控制审计,1、自主访问控制 ： 目录表访问控

6、制 访问控制列表 访问控制矩阵,2020/7/27,信息系统审计,15,6.2 访问控制审计,2、强制访问控制： 下读/上写 上读/下写,2020/7/27,信息系统审计,16,6.2 访问控制审计,3、基于角色的访问控制 ： （1）用户集：包括系统中可以执行操作用户，是主动的实体。 （2）对象集： 包含系统需要保护的信息，是系统中被动的实体。 （3）操作集：是定义在对象上的一组操作。 （4）特权集：对象上的一组操作构成了一个特权，特权是不可分割的最小单元，一旦将某个特权分配给用户，该用户可以执行特权中包括的所有操作。 （5）会话集：会话表示的是用户和角色之间的关系。用户每次必须通过建立会话来

7、激活角色，得到相应的访问权限。,2020/7/27,信息系统审计,17,6.2 访问控制审计,基于角色的访问控制,2020/7/27,信息系统审计,18,6.2 访问控制审计,结合案例讨论 ： 1、访问安全技术与管理措施（包括审计措施）之间是什么关系？为什么？ 2、不同的访问策略可能给企业造成的风险是什么？,2020/7/27,信息系统审计,19,6.2 访问控制审计,审计内容 ： 1、访问控制的业务要求：控制对信息的访问。 2、用户职责： 防止未授权的用户访问、危害或窃取信息和信息处理设施。 3、 应用和信息访问控制：防止对信息系统持有信息的未授权访问。 4、安全策略、标准以及技术符合性：确

8、保系统符合组织的安全策略及标准。,2020/7/27,信息系统审计,20,6.3 账务信息系统审计,三、账务系统的功能与结构 ： 了解账务系统的功能与结构是进行信息系统审计的前提,2020/7/27,信息系统审计,21,6.3 账务信息系统审计,结合案例讨论：医院的两套财务帐案例 如何对财务软件进行审计呢？,2020/7/27,信息系统审计,22,2020/7/27,信息系统审计,23,6.3 账务信息系统审计,三、账务系统的功能与结构 ： 1、系统初始化 2、记账处理 3、期末业务处理 4、系统管理与维护,2020/7/27,信息系统审计,24,6.3 账务信息系统审计,1、系统初始化 ：

9、初始化的概念 会计前期数据收集与输入 科目与账簿体系的设置 控制信息的设置,2020/7/27,信息系统审计,25,6.3 账务信息系统审计,2、科目与账簿设置： 科目的概念 科目的分类 科目编码的原则 科目编码、属性设置与账簿设置,2020/7/27,信息系统审计,26,6.3 账务信息系统审计,3、期末业务处理 ： 期末的摊、提、结转业务处理 自动转账凭证的设置 试算平衡和对账 结账,2020/7/27,信息系统审计,27,6.3 账务信息系统审计,审计内容 ： 了解账务信息系统中的用户管理，口令管理，权限设置等情况，以便掌握企业信息系统的内部控制水平 。,2020/7/27,信息系统审计

10、,28,6.4 财务报表信息系统审计,四、财务报表简述： 财务报表的定义 财务报表的作用 会计报表的分类,2020/7/27,信息系统审计,29,6.4 财务报表信息系统审计,报表生成原理 ： 账务数据类型表 生成公式 利润表的生成,2020/7/27,信息系统审计,30,6.4 财务报表信息系统审计,审计内容： 信息系统审计师只要抓住了“财务数据类型表”和“生成公式”这两个核心概念，财务报表子系统真实性、合法性审计问题便迎刃而解。,2020/7/27,信息系统审计,31,6.4 财务报表信息系统审计,核心问题讨论： 1、电子财务报表合法性与传统财务报表合法性的关系？ 2、电子财务报表的真实性与传统财务报表真实性的关系？ 3、电子财务报表的有效性与传统财务报表有效性的关系？,使用时，直接删除本页！,精品课件，你值得拥有！,精品课件，你值得拥有！,使用时，直接删除本页！,精品课件，你值得拥有！,精品课件，你值得拥有！,使用时，直接删除本页！,精品课件，你值得拥有！,精品课件，