第四章信息系统审计课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第四章信息系统审计课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第四 信息系统 审计 课件
- 资源描述:
-
1、第四章第四章 信息系统审计信息系统审计第一节第一节 信息系统审计概述信息系统审计概述一、信息系统审计的内涵 信息系统审计是对被审计单位用于经营决策、业务处理、财务核算的计算机信息系统及与之相关的规划、建设、管理、使用制度的审计。二、信息系统审计的目标 (一)总目标:通过对信息系统合法性、可靠性、安全性和有效性的审计,对被审计单位信息系统做出评价。(二)具体目标 评价电子数据的真实性、完整性 分析信息系统的薄弱环节 发现信息系统的非法功能和漏洞三、信息系统审计的基本流程 信息系统调查 信息系统控制测试 信息系统初步评价 信息系统分析测试 信息系统综合评价调查阶段调查阶段信息系统内部控制初步评审信
2、息系统内部控制初步评审内部控制可信赖吗?内部控制可信赖吗?控制测试控制测试信息系统控制测试结果的评价信息系统控制测试结果的评价内部控制可信赖吗?内部控制可信赖吗?测试和评价补偿控制测试和评价补偿控制实质性测试实质性测试全面评价全面评价编制审计报告编制审计报告退出审计退出审计提出管理建议提出管理建议审计结束审计结束否否否否内部控制的详细审查与评价内部控制的详细审查与评价计算机信息系统审计流程计算机信息系统审计流程第二节第二节 信息系统调查信息系统调查 信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解,是进行信息系统审计的基础。一、了解管理体制一、了
3、解管理体制 从总体上把握被审计单位信息系统管理的基本情况。调查内容包括:信息系统的工作程序 信息系统等相关部门 信息系统的管理情况二、了解总体架构二、了解总体架构 完成对被审计单位有什么类型的信息系统,每个系统有多少子系统,信息系统分布在哪些部门,信息系统之间有什么关系的调查。调查内容包括:信息系统的分布情况 信息系统的主要类型和数量 各信息系统之间的关系 信息系统的总体水平实质是数据之间的关系。包括:实质是数据之间的关系。包括:(1)关联关系:不同环节的系统包含的数据)关联关系:不同环节的系统包含的数据反映生产的不同方面,相互补充。反映生产的不同方面,相互补充。(2)核对关系:同处关键环节都
4、不同系统,)核对关系:同处关键环节都不同系统,其包含的数据存在钩稽关系,相互印证。其包含的数据存在钩稽关系,相互印证。绘制完整、详细的信息系统分布图信息系统分布图是了解总体架构时常用的方法。三、了解规划管理三、了解规划管理 对信息系统建设、使用、管理情况的调查。调查内容包括:信息系统的规划 信息系统的建设 信息系统的使用 信息系统的维护第三节第三节 信息系统控制测试信息系统控制测试 信息系统控制测试是为确定信息系统的内部控制可靠性而进行的审计工作。一、信息系统的内部控制 根据控制的范围,信息系统内部控制分为:一般控制;应用控制。(一)一般控制(一)一般控制 是指对整个计算机信息系统及环境要素实
5、施的,对系统所有的是指对整个计算机信息系统及环境要素实施的,对系统所有的应用或功能模块具有普遍影响的控制措施。应用或功能模块具有普遍影响的控制措施。可具体划分为:可具体划分为:1、组织控制:为实现组织的目标而进行的组织结构设计、权责、组织控制:为实现组织的目标而进行的组织结构设计、权责安排和制度设计。安排和制度设计。它包括如下具体控制措施:它包括如下具体控制措施:(1)电算部门与用户部门的职责分离电算部门与用户部门的职责分离 一般来说,应注意:一般来说,应注意:所有业务均应由用户部门发起或授权所有业务均应由用户部门发起或授权 电算部门不应负责资产的保管电算部门不应负责资产的保管 所有业务记录与
6、主文件记录的改变均需用户部门授权所有业务记录与主文件记录的改变均需用户部门授权 所有系统的改进、新系统的应用及控制均应由受益部门发起并所有系统的改进、新系统的应用及控制均应由受益部门发起并经高管授权,电算部门无权擅自修改程序。经高管授权,电算部门无权擅自修改程序。(2)电算部门内部的职责分离电算部门内部的职责分离 对系统开发与数据处理职责应该分离对系统开发与数据处理职责应该分离 对数据处理的职责进行适当分离(如凭证输入与审核)对数据处理的职责进行适当分离(如凭证输入与审核)资料保管员与程序员、系统操作员等职责分离资料保管员与程序员、系统操作员等职责分离(3)业务授权业务授权 所有由电算化系统处
7、理的业务都应经过授权所有由电算化系统处理的业务都应经过授权(4)人事控制人事控制 包括:各人工作性质的说明;人员的选择和培训;对人的包括:各人工作性质的说明;人员的选择和培训;对人的行为的监督和评价;岗位轮换;休假和合同签订。行为的监督和评价;岗位轮换;休假和合同签订。(5)领导与监督领导与监督 建立内部审计机构建立内部审计机构2、系统开发与维护控制、系统开发与维护控制主要适用于那些自行设计软件的单位。主要适用于那些自行设计软件的单位。(1)开发计划控制)开发计划控制 系统开发计划应经过严格审查、仔细研究和反复调查后方可系统开发计划应经过严格审查、仔细研究和反复调查后方可实施实施;软件需求分析
8、软件需求分析(2)开发过程的人员控制)开发过程的人员控制 应成立信息系统开发工作领导小组,负责总体规划应成立信息系统开发工作领导小组,负责总体规划 由系统分析员负责对原有系统进行调查分析由系统分析员负责对原有系统进行调查分析 系统的测试和试行应交由专门的测试人员或操作人员完成系统的测试和试行应交由专门的测试人员或操作人员完成 内部审计人员应参与信息系统的开发内部审计人员应参与信息系统的开发(3)系统设计控制)系统设计控制 合规合法性控制合规合法性控制 正确性控制正确性控制 安全可靠性控制安全可靠性控制 效率性控制效率性控制 可维护性控制可维护性控制(4)编程控制)编程控制 即控制编程风险,主要
9、方法是测试。测试技术包括:即控制编程风险,主要方法是测试。测试技术包括:静态测试:一种静态测试:一种 人工方法,通过对程序的反复阅读或对流人工方法,通过对程序的反复阅读或对流程图的检查来发现错误。程图的检查来发现错误。动态测试:动态测试:“白盒白盒”测试和测试和“黑盒黑盒”测试测试 试运行试运行:试运行试运行3-6个月,验收后才能正式投入使用个月,验收后才能正式投入使用。(5)系统维护控制)系统维护控制 系统的日常维护系统的日常维护 系统功能的改进和扩充(批准和授权)系统功能的改进和扩充(批准和授权)注意:(注意:(1)维护人员应独立于系统操作人员,最好也能独)维护人员应独立于系统操作人员,最
10、好也能独 立于系统开发员。立于系统开发员。(2)实用的系统中只保留经编译的程序。)实用的系统中只保留经编译的程序。(6)文档控制)文档控制 文档编写的规范化文档编写的规范化 文档管理的系统化文档管理的系统化 文档管理的制度化文档管理的制度化注意:文档资料不全,系统不能通过验收。注意:文档资料不全,系统不能通过验收。3、安全控制、安全控制 这些控制措施可以保证系统有一个良好的运行环境。这些控制措施可以保证系统有一个良好的运行环境。(1)接触控制)接触控制 硬件接触控制硬件接触控制 程序资料接触控制程序资料接触控制 数据文件及应用程序接触控制数据文件及应用程序接触控制 联机系统接触控制联机系统接触
11、控制(2)环境安全控制)环境安全控制这是一种预防性控制。这是一种预防性控制。(3)安全保密控制)安全保密控制常见方法:对软件进行加密常见方法:对软件进行加密(4)防病毒控制)防病毒控制4、硬件及系统软件控制、硬件及系统软件控制(1)硬件控制)硬件控制(2)软件控制)软件控制5、操作控制、操作控制信息系统的使用操作应有一套完整的管理制度,包括上机信息系统的使用操作应有一套完整的管理制度,包括上机守则与操作规程、上级日志记录、保密制度和操作工作计守则与操作规程、上级日志记录、保密制度和操作工作计划等。划等。(二)应用控制(二)应用控制 应用控制是为适应各种数据处理的特殊控制要求,保证数据应用控制是
12、为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。包括:处理完整、准确地完成而建立的内部控制。包括:1、输入控制、输入控制 保证只有经过授权批准的业务才能输入计算机信息系统;保证只有经过授权批准的业务才能输入计算机信息系统;保证经批准的数据没有丢失、遗漏和篡改;保证经批准的数据没有丢失、遗漏和篡改;保证被计算机拒绝的错误数据能改正后重新提交。保证被计算机拒绝的错误数据能改正后重新提交。(1)数据采集控制)数据采集控制 例如:建立明确的凭证编制程序;制定工作手册;合理设置使例如:建立明确的凭证编制程序;制定工作手册;合理设置使用控制总数等用控制总数等(2)数据输入控
13、制)数据输入控制 例如:编制数据输入工作内容、方法及程序要求的书面文件、例如:编制数据输入工作内容、方法及程序要求的书面文件、事先设计规定数据格式、数据输入核对等。事先设计规定数据格式、数据输入核对等。2、处理控制、处理控制 对信息系统进行的内部数据处理活动的控制措施,这些控制对信息系统进行的内部数据处理活动的控制措施,这些控制措施往往被写入计算机程序,因此,处理控制往往又是自动控措施往往被写入计算机程序,因此,处理控制往往又是自动控制。制。(1)审核处理输出)审核处理输出(2)进行数据有效性检验)进行数据有效性检验(3)进行处理有效性检测)进行处理有效性检测(4)错误纠正控制)错误纠正控制(
14、5)保留审计线索)保留审计线索(6)断点技术)断点技术3、输出控制、输出控制(1)控制只有经批准的人才能执行输出操作,并要登记操作记录。控制只有经批准的人才能执行输出操作,并要登记操作记录。(2)报表打印输出前检查应有的勾稽关系。报表打印输出前检查应有的勾稽关系。(3)经有关人员检查后签章才送出使用或按会计档案的要求保管,经有关人员检查后签章才送出使用或按会计档案的要求保管,未经批准的人不得接触系统的输出资料。未经批准的人不得接触系统的输出资料。(4)对敏感的重要输出资料应有人监督整个操作过程,输出后立)对敏感的重要输出资料应有人监督整个操作过程,输出后立即送到使用者手中。即送到使用者手中。(
15、5)打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放)打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。进废纸箱。(6)要防止有人窜改打印队列文件内的数据。)要防止有人窜改打印队列文件内的数据。(7)输出资料的使用者发现资料上有错误、可疑之处应报告系统)输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员。管理员。二、二、关于关于COBIT COBIT:Control Objectives for Information and related Technology,即信息和相关技术的控制目标。是由美国信息系,即信息和相关技术的控制目标。是由美国信息系统审计与控制学会统审
16、计与控制学会ISACA(Information Systems Audit and Control Association)提出的)提出的IT治理控制框架,它是目前国际治理控制框架,它是目前国际上通用的信息系统审计的标准,是一个在国际上公认的、权威的上通用的信息系统审计的标准,是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用,指该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。导这些组织有效利用信息资源,有效地管理与信息相关的风险。(一)
17、(一)COBIT的发展历程的发展历程1、1996年,年,COBIT1.02、1998年,年,COBIT2.03、2000年,年,COBIT3.04、2005年,年,COBIT4.05、2007年年5月,月,COBIT4.1 逐步由最初单一的审计师的内控评价工具发展到目前系统的逐步由最初单一的审计师的内控评价工具发展到目前系统的IT治理框架。治理框架。(二)(二)COBIT信息技术的控制目标信息技术的控制目标 COBIT将信息技术的控制目标设定为七个:将信息技术的控制目标设定为七个:(1)有效性()有效性(Effectiveness):是指信息与商业过程相关,并):是指信息与商业过程相关,并以及
18、时、准确、一致和可行的方式传送。以及时、准确、一致和可行的方式传送。(2)高效性()高效性(Efficiency):关于如何最佳(最高产和最经济):关于如何最佳(最高产和最经济)利用利用 资源来提供信息。资源来提供信息。(3)机密性()机密性(Confidentiality):涉及对敏感信息的保护,以防):涉及对敏感信息的保护,以防止未经授权的披露止未经授权的披露(4)完整性()完整性(Integrity):涉及信息的精确性和完全性,以及与):涉及信息的精确性和完全性,以及与商业评价和期望相一致商业评价和期望相一致(5)可用性()可用性(Availability):指在现在和将来的商业处理需求
19、中,):指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。信息是可用的。还指对必要的资源和相关性能的维护。(6)符合性()符合性(Compliance):遵守商业运作过程中必须遵守的):遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。法律、法规和契约条款,如外部强制商业标准。(7)信息可靠性()信息可靠性(Reliability of Information):为管理者的日):为管理者的日常经营管理以及履行财务报告责任提供适当的信息。常经营管理以及履行财务报告责任提供适当的信息。(三)(三)COBIT的体系结构的体系结构 COBIT将将IT过
20、程,过程,IT资源与企业的策略与目标(准则)联系资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。起来,形成一个三维的体系结构。企业策略维企业策略维IT资源维资源维IT过程过程维维 策略维策略维集中反映了企业集中反映了企业的战略目标,主要从质量、的战略目标,主要从质量、成本、时间、资源利用率、成本、时间、资源利用率、系统效率、保密性、完整性、系统效率、保密性、完整性、可用性等方面来保证信息的可用性等方面来保证信息的安全性、可靠性、有效性;安全性、可靠性、有效性;企业策略维企业策略维IT资源维资源维IT过程过程维维 IT资源维资源维主要包括以人、主要包括以人、应用系统、技术、设施及
21、数应用系统、技术、设施及数据在内的信息相关的资源据在内的信息相关的资源,这是这是IT治理过程的主要对象;治理过程的主要对象;企业策略维企业策略维IT资源维资源维IT过程过程维维 IT过程维过程维则是在则是在IT准则的准则的指导下,对信息及相关资源指导下,对信息及相关资源进行规划与处理,从信息技进行规划与处理,从信息技术的规划与组织、采集与实术的规划与组织、采集与实施、交付与支持、监控等四施、交付与支持、监控等四个方面确定了个方面确定了34个信息技个信息技术处理过程,每个处理过程术处理过程,每个处理过程还包括更加详细的控制目标还包括更加详细的控制目标和审计方针对和审计方针对IT处理过程进处理过程
22、进行评估。行评估。三、三、控制测试控制测试 一般控制的测试一般控制的测试审计目标:获取证据,以证实审计目标:获取证据,以证实 被审计单位在被审计期间有关的制度和规程是否健全;被审计单位在被审计期间有关的制度和规程是否健全;计算机信息系统是否按规定的制度和规程工作的;计算机信息系统是否按规定的制度和规程工作的;控制的作用是否达到预期的结果。控制的作用是否达到预期的结果。(一)对组织控制的测试(一)对组织控制的测试1、测试关键点:完整获取被审单位工作规章制度和员工管理制度。、测试关键点:完整获取被审单位工作规章制度和员工管理制度。2、测试方法:、测试方法:(1)阅读工作规章制度和员工管理制度,检查
23、有关政策程序是否存在;)阅读工作规章制度和员工管理制度,检查有关政策程序是否存在;(2)与被审计单位管理层交谈,了解组织结构及部门设置等情况;)与被审计单位管理层交谈,了解组织结构及部门设置等情况;(3)向相关部门人员询问,确定信息系统的使用状况;)向相关部门人员询问,确定信息系统的使用状况;(4)实地观察业务的处理和系统的操作,关注职责分离情况。)实地观察业务的处理和系统的操作,关注职责分离情况。(二)对系统开发与维护控制的测试(二)对系统开发与维护控制的测试1、测试关键点:对信息系统开发和维护管理制度完善性的检查。、测试关键点:对信息系统开发和维护管理制度完善性的检查。2、测试方法:、测试
24、方法:(1)查阅内审人员审查系统开发和维护工作的工作底稿;)查阅内审人员审查系统开发和维护工作的工作底稿;(2)了解系统的测试方法,查阅测试的数据和结果;)了解系统的测试方法,查阅测试的数据和结果;(3)关注系统试运行阶段的运行情况,查实系统在正式投入使用时)关注系统试运行阶段的运行情况,查实系统在正式投入使用时是否经过最后的授权批准;是否经过最后的授权批准;(4)检查信息系统是否编有完整的文档资料,并查阅这些资料,将)检查信息系统是否编有完整的文档资料,并查阅这些资料,将其复印下来作为审计工作底稿以备用。其复印下来作为审计工作底稿以备用。(5)若是再次审计,则不必审查系统的开发和测试,只需审
25、查自上)若是再次审计,则不必审查系统的开发和测试,只需审查自上次审计以来系统所作的维护改进。次审计以来系统所作的维护改进。查实修改是否经过批准;查实修改是否经过批准;修改后是否经过测试;修改后是否经过测试;有无对修改作详细的文档记录。有无对修改作详细的文档记录。(三)对系统安全控制的测试(三)对系统安全控制的测试1、测试关键点:对信息系统运行环境、管理制度安全性的检查。、测试关键点:对信息系统运行环境、管理制度安全性的检查。2、测试方法:、测试方法:(1)实地观察信息系统的运行环境;)实地观察信息系统的运行环境;(2)检查预防灾害(防火、防水、防尘、防潮)的控制措施;)检查预防灾害(防火、防水
展开阅读全文