第四章信息系统审计课件.ppt

1、第四章第四章 信息系统审计信息系统审计第一节第一节 信息系统审计概述信息系统审计概述一、信息系统审计的内涵 信息系统审计是对被审计单位用于经营决策、业务处理、财务核算的计算机信息系统及与之相关的规划、建设、管理、使用制度的审计。二、信息系统审计的目标 （一）总目标：通过对信息系统合法性、可靠性、安全性和有效性的审计，对被审计单位信息系统做出评价。（二）具体目标 评价电子数据的真实性、完整性 分析信息系统的薄弱环节 发现信息系统的非法功能和漏洞三、信息系统审计的基本流程 信息系统调查 信息系统控制测试 信息系统初步评价 信息系统分析测试 信息系统综合评价调查阶段调查阶段信息系统内部控制初步评审信

2、息系统内部控制初步评审内部控制可信赖吗？内部控制可信赖吗？控制测试控制测试信息系统控制测试结果的评价信息系统控制测试结果的评价内部控制可信赖吗？内部控制可信赖吗？测试和评价补偿控制测试和评价补偿控制实质性测试实质性测试全面评价全面评价编制审计报告编制审计报告退出审计退出审计提出管理建议提出管理建议审计结束审计结束否否否否内部控制的详细审查与评价内部控制的详细审查与评价计算机信息系统审计流程计算机信息系统审计流程第二节第二节 信息系统调查信息系统调查 信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解，是进行信息系统审计的基础。一、了解管理体制一、了

3、解管理体制 从总体上把握被审计单位信息系统管理的基本情况。调查内容包括：信息系统的工作程序 信息系统等相关部门 信息系统的管理情况二、了解总体架构二、了解总体架构 完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系的调查。调查内容包括：信息系统的分布情况 信息系统的主要类型和数量 各信息系统之间的关系 信息系统的总体水平实质是数据之间的关系。包括：实质是数据之间的关系。包括：（1）关联关系：不同环节的系统包含的数据）关联关系：不同环节的系统包含的数据反映生产的不同方面，相互补充。反映生产的不同方面，相互补充。（2）核对关系：同处关键环节都

4、不同系统，）核对关系：同处关键环节都不同系统，其包含的数据存在钩稽关系，相互印证。其包含的数据存在钩稽关系，相互印证。绘制完整、详细的信息系统分布图信息系统分布图是了解总体架构时常用的方法。三、了解规划管理三、了解规划管理 对信息系统建设、使用、管理情况的调查。调查内容包括：信息系统的规划 信息系统的建设 信息系统的使用 信息系统的维护第三节第三节 信息系统控制测试信息系统控制测试 信息系统控制测试是为确定信息系统的内部控制可靠性而进行的审计工作。一、信息系统的内部控制 根据控制的范围，信息系统内部控制分为：一般控制；应用控制。（一）一般控制（一）一般控制 是指对整个计算机信息系统及环境要素实

5、施的，对系统所有的是指对整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。应用或功能模块具有普遍影响的控制措施。可具体划分为：可具体划分为：1、组织控制：为实现组织的目标而进行的组织结构设计、权责、组织控制：为实现组织的目标而进行的组织结构设计、权责安排和制度设计。安排和制度设计。它包括如下具体控制措施：它包括如下具体控制措施：（1）电算部门与用户部门的职责分离电算部门与用户部门的职责分离 一般来说，应注意：一般来说，应注意：所有业务均应由用户部门发起或授权所有业务均应由用户部门发起或授权 电算部门不应负责资产的保管电算部门不应负责资产的保管 所有业务记录与

6、主文件记录的改变均需用户部门授权所有业务记录与主文件记录的改变均需用户部门授权 所有系统的改进、新系统的应用及控制均应由受益部门发起并所有系统的改进、新系统的应用及控制均应由受益部门发起并经高管授权，电算部门无权擅自修改程序。经高管授权，电算部门无权擅自修改程序。（2）电算部门内部的职责分离电算部门内部的职责分离 对系统开发与数据处理职责应该分离对系统开发与数据处理职责应该分离 对数据处理的职责进行适当分离（如凭证输入与审核）对数据处理的职责进行适当分离（如凭证输入与审核）资料保管员与程序员、系统操作员等职责分离资料保管员与程序员、系统操作员等职责分离（3）业务授权业务授权 所有由电算化系统处

7、理的业务都应经过授权所有由电算化系统处理的业务都应经过授权（4）人事控制人事控制 包括：各人工作性质的说明；人员的选择和培训；对人的包括：各人工作性质的说明；人员的选择和培训；对人的行为的监督和评价；岗位轮换；休假和合同签订。行为的监督和评价；岗位轮换；休假和合同签订。（5）领导与监督领导与监督 建立内部审计机构建立内部审计机构2、系统开发与维护控制、系统开发与维护控制主要适用于那些自行设计软件的单位。主要适用于那些自行设计软件的单位。（1）开发计划控制）开发计划控制 系统开发计划应经过严格审查、仔细研究和反复调查后方可系统开发计划应经过严格审查、仔细研究和反复调查后方可实施实施;软件需求分析

8、软件需求分析（2）开发过程的人员控制）开发过程的人员控制 应成立信息系统开发工作领导小组，负责总体规划应成立信息系统开发工作领导小组，负责总体规划 由系统分析员负责对原有系统进行调查分析由系统分析员负责对原有系统进行调查分析 系统的测试和试行应交由专门的测试人员或操作人员完成系统的测试和试行应交由专门的测试人员或操作人员完成 内部审计人员应参与信息系统的开发内部审计人员应参与信息系统的开发（3）系统设计控制）系统设计控制 合规合法性控制合规合法性控制 正确性控制正确性控制 安全可靠性控制安全可靠性控制 效率性控制效率性控制 可维护性控制可维护性控制（4）编程控制）编程控制 即控制编程风险，主要

9、方法是测试。测试技术包括：即控制编程风险，主要方法是测试。测试技术包括：静态测试：一种静态测试：一种 人工方法，通过对程序的反复阅读或对流人工方法，通过对程序的反复阅读或对流程图的检查来发现错误。程图的检查来发现错误。动态测试：动态测试：“白盒白盒”测试和测试和“黑盒黑盒”测试测试 试运行试运行:试运行试运行3-6个月，验收后才能正式投入使用个月，验收后才能正式投入使用。（5）系统维护控制）系统维护控制 系统的日常维护系统的日常维护 系统功能的改进和扩充（批准和授权）系统功能的改进和扩充（批准和授权）注意：（注意：（1）维护人员应独立于系统操作人员，最好也能独）维护人员应独立于系统操作人员，最

10、好也能独 立于系统开发员。立于系统开发员。（2）实用的系统中只保留经编译的程序。）实用的系统中只保留经编译的程序。（6）文档控制）文档控制 文档编写的规范化文档编写的规范化 文档管理的系统化文档管理的系统化 文档管理的制度化文档管理的制度化注意：文档资料不全，系统不能通过验收。注意：文档资料不全，系统不能通过验收。3、安全控制、安全控制 这些控制措施可以保证系统有一个良好的运行环境。这些控制措施可以保证系统有一个良好的运行环境。（1）接触控制）接触控制 硬件接触控制硬件接触控制 程序资料接触控制程序资料接触控制 数据文件及应用程序接触控制数据文件及应用程序接触控制 联机系统接触控制联机系统接触

11、控制（2）环境安全控制）环境安全控制这是一种预防性控制。这是一种预防性控制。（3）安全保密控制）安全保密控制常见方法：对软件进行加密常见方法：对软件进行加密（4）防病毒控制）防病毒控制4、硬件及系统软件控制、硬件及系统软件控制（1）硬件控制）硬件控制（2）软件控制）软件控制5、操作控制、操作控制信息系统的使用操作应有一套完整的管理制度，包括上机信息系统的使用操作应有一套完整的管理制度，包括上机守则与操作规程、上级日志记录、保密制度和操作工作计守则与操作规程、上级日志记录、保密制度和操作工作计划等。划等。（二）应用控制（二）应用控制 应用控制是为适应各种数据处理的特殊控制要求，保证数据应用控制是

12、为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。包括：处理完整、准确地完成而建立的内部控制。包括：1、输入控制、输入控制 保证只有经过授权批准的业务才能输入计算机信息系统；保证只有经过授权批准的业务才能输入计算机信息系统；保证经批准的数据没有丢失、遗漏和篡改；保证经批准的数据没有丢失、遗漏和篡改；保证被计算机拒绝的错误数据能改正后重新提交。保证被计算机拒绝的错误数据能改正后重新提交。（1）数据采集控制）数据采集控制 例如：建立明确的凭证编制程序；制定工作手册；合理设置使例如：建立明确的凭证编制程序；制定工作手册；合理设置使用控制总数等用控制总数等（2）数据输入控

13、制）数据输入控制 例如：编制数据输入工作内容、方法及程序要求的书面文件、例如：编制数据输入工作内容、方法及程序要求的书面文件、事先设计规定数据格式、数据输入核对等。事先设计规定数据格式、数据输入核对等。2、处理控制、处理控制 对信息系统进行的内部数据处理活动的控制措施，这些控制对信息系统进行的内部数据处理活动的控制措施，这些控制措施往往被写入计算机程序，因此，处理控制往往又是自动控措施往往被写入计算机程序，因此，处理控制往往又是自动控制。制。（1）审核处理输出）审核处理输出（2）进行数据有效性检验）进行数据有效性检验（3）进行处理有效性检测）进行处理有效性检测（4）错误纠正控制）错误纠正控制（

14、5）保留审计线索）保留审计线索（6）断点技术）断点技术3、输出控制、输出控制（1）控制只有经批准的人才能执行输出操作，并要登记操作记录。控制只有经批准的人才能执行输出操作，并要登记操作记录。（2）报表打印输出前检查应有的勾稽关系。报表打印输出前检查应有的勾稽关系。（3）经有关人员检查后签章才送出使用或按会计档案的要求保管，经有关人员检查后签章才送出使用或按会计档案的要求保管，未经批准的人不得接触系统的输出资料。未经批准的人不得接触系统的输出资料。（4）对敏感的重要输出资料应有人监督整个操作过程，输出后立）对敏感的重要输出资料应有人监督整个操作过程，输出后立即送到使用者手中。即送到使用者手中。（

15、5）打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放）打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。进废纸箱。（6）要防止有人窜改打印队列文件内的数据。）要防止有人窜改打印队列文件内的数据。（7）输出资料的使用者发现资料上有错误、可疑之处应报告系统）输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员。管理员。二、二、关于关于COBIT COBIT：Control Objectives for Information and related Technology，即信息和相关技术的控制目标。是由美国信息系，即信息和相关技术的控制目标。是由美国信息系统审计与控制学会统审

16、计与控制学会ISACA（Information Systems Audit and Control Association）提出的）提出的IT治理控制框架，它是目前国际治理控制框架，它是目前国际上通用的信息系统审计的标准，是一个在国际上公认的、权威的上通用的信息系统审计的标准，是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用，指该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。导这些组织有效利用信息资源，有效地管理与信息相关的风险。（一）

17、（一）COBIT的发展历程的发展历程1、1996年，年，COBIT1.02、1998年，年，COBIT2.03、2000年，年，COBIT3.04、2005年，年，COBIT4.05、2007年年5月，月，COBIT4.1 逐步由最初单一的审计师的内控评价工具发展到目前系统的逐步由最初单一的审计师的内控评价工具发展到目前系统的IT治理框架。治理框架。（二）（二）COBIT信息技术的控制目标信息技术的控制目标 COBIT将信息技术的控制目标设定为七个：将信息技术的控制目标设定为七个：（1）有效性（）有效性（Effectiveness）：是指信息与商业过程相关，并）：是指信息与商业过程相关，并以及

18、时、准确、一致和可行的方式传送。以及时、准确、一致和可行的方式传送。（2）高效性（）高效性（Efficiency）：关于如何最佳（最高产和最经济）：关于如何最佳（最高产和最经济）利用利用 资源来提供信息。资源来提供信息。（3）机密性（）机密性（Confidentiality）：涉及对敏感信息的保护，以防）：涉及对敏感信息的保护，以防止未经授权的披露止未经授权的披露（4）完整性（）完整性（Integrity）：涉及信息的精确性和完全性，以及与）：涉及信息的精确性和完全性，以及与商业评价和期望相一致商业评价和期望相一致（5）可用性（）可用性（Availability）：指在现在和将来的商业处理需求

19、中，）：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。信息是可用的。还指对必要的资源和相关性能的维护。（6）符合性（）符合性（Compliance）：遵守商业运作过程中必须遵守的）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。法律、法规和契约条款，如外部强制商业标准。（7）信息可靠性（）信息可靠性（Reliability of Information）：为管理者的日）：为管理者的日常经营管理以及履行财务报告责任提供适当的信息。常经营管理以及履行财务报告责任提供适当的信息。（三）（三）COBIT的体系结构的体系结构 COBIT将将IT过

20、程，过程，IT资源与企业的策略与目标（准则）联系资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。起来，形成一个三维的体系结构。企业策略维企业策略维IT资源维资源维IT过程过程维维 策略维策略维集中反映了企业集中反映了企业的战略目标，主要从质量、的战略目标，主要从质量、成本、时间、资源利用率、成本、时间、资源利用率、系统效率、保密性、完整性、系统效率、保密性、完整性、可用性等方面来保证信息的可用性等方面来保证信息的安全性、可靠性、有效性；安全性、可靠性、有效性；企业策略维企业策略维IT资源维资源维IT过程过程维维 IT资源维资源维主要包括以人、主要包括以人、应用系统、技术、设施及

21、数应用系统、技术、设施及数据在内的信息相关的资源据在内的信息相关的资源,这是这是IT治理过程的主要对象；治理过程的主要对象；企业策略维企业策略维IT资源维资源维IT过程过程维维 IT过程维过程维则是在则是在IT准则的准则的指导下，对信息及相关资源指导下，对信息及相关资源进行规划与处理，从信息技进行规划与处理，从信息技术的规划与组织、采集与实术的规划与组织、采集与实施、交付与支持、监控等四施、交付与支持、监控等四个方面确定了个方面确定了34个信息技个信息技术处理过程，每个处理过程术处理过程，每个处理过程还包括更加详细的控制目标还包括更加详细的控制目标和审计方针对和审计方针对IT处理过程进处理过程

22、进行评估。行评估。三、三、控制测试控制测试 一般控制的测试一般控制的测试审计目标：获取证据，以证实审计目标：获取证据，以证实 被审计单位在被审计期间有关的制度和规程是否健全；被审计单位在被审计期间有关的制度和规程是否健全；计算机信息系统是否按规定的制度和规程工作的；计算机信息系统是否按规定的制度和规程工作的；控制的作用是否达到预期的结果。控制的作用是否达到预期的结果。（一）对组织控制的测试（一）对组织控制的测试1、测试关键点：完整获取被审单位工作规章制度和员工管理制度。、测试关键点：完整获取被审单位工作规章制度和员工管理制度。2、测试方法：、测试方法：（1）阅读工作规章制度和员工管理制度，检查

23、有关政策程序是否存在；）阅读工作规章制度和员工管理制度，检查有关政策程序是否存在；（2）与被审计单位管理层交谈，了解组织结构及部门设置等情况；）与被审计单位管理层交谈，了解组织结构及部门设置等情况；（3）向相关部门人员询问，确定信息系统的使用状况；）向相关部门人员询问，确定信息系统的使用状况；（4）实地观察业务的处理和系统的操作，关注职责分离情况。）实地观察业务的处理和系统的操作，关注职责分离情况。（二）对系统开发与维护控制的测试（二）对系统开发与维护控制的测试1、测试关键点：对信息系统开发和维护管理制度完善性的检查。、测试关键点：对信息系统开发和维护管理制度完善性的检查。2、测试方法：、测试

24、方法：（1）查阅内审人员审查系统开发和维护工作的工作底稿；）查阅内审人员审查系统开发和维护工作的工作底稿；（2）了解系统的测试方法，查阅测试的数据和结果；）了解系统的测试方法，查阅测试的数据和结果；（3）关注系统试运行阶段的运行情况，查实系统在正式投入使用时）关注系统试运行阶段的运行情况，查实系统在正式投入使用时是否经过最后的授权批准；是否经过最后的授权批准；（4）检查信息系统是否编有完整的文档资料，并查阅这些资料，将）检查信息系统是否编有完整的文档资料，并查阅这些资料，将其复印下来作为审计工作底稿以备用。其复印下来作为审计工作底稿以备用。（5）若是再次审计，则不必审查系统的开发和测试，只需审

25、查自上）若是再次审计，则不必审查系统的开发和测试，只需审查自上次审计以来系统所作的维护改进。次审计以来系统所作的维护改进。查实修改是否经过批准；查实修改是否经过批准；修改后是否经过测试；修改后是否经过测试；有无对修改作详细的文档记录。有无对修改作详细的文档记录。（三）对系统安全控制的测试（三）对系统安全控制的测试1、测试关键点：对信息系统运行环境、管理制度安全性的检查。、测试关键点：对信息系统运行环境、管理制度安全性的检查。2、测试方法：、测试方法：（1）实地观察信息系统的运行环境；）实地观察信息系统的运行环境；（2）检查预防灾害（防火、防水、防尘、防潮）的控制措施；）检查预防灾害（防火、防水

26、、防尘、防潮）的控制措施；（3）检查预防电源变化的控制措施；）检查预防电源变化的控制措施；（4）检查预防计算机病毒侵害的措施；）检查预防计算机病毒侵害的措施；（5）实地观察以证实只有经过授权的人才能接触系统的设备和资料。）实地观察以证实只有经过授权的人才能接触系统的设备和资料。（6）确定只有经过授权的人员才可能获得密码的使用权。）确定只有经过授权的人员才可能获得密码的使用权。（四）对系统硬件和软件控制的测试（四）对系统硬件和软件控制的测试 硬件和系统软件是由计算机厂商提供的，一般来说，其功能和控硬件和系统软件是由计算机厂商提供的，一般来说，其功能和控制时较可靠的。它们的审查一般与整个计算机信息

27、系统的处理和控制时较可靠的。它们的审查一般与整个计算机信息系统的处理和控制功能审查一起执行，较少单独审查。制功能审查一起执行，较少单独审查。当系统软件有多种可选择的功能和控制时，审计人员应注意被审当系统软件有多种可选择的功能和控制时，审计人员应注意被审计单位选择了哪些功能，是否充分利用了其控制。计单位选择了哪些功能，是否充分利用了其控制。硬件、系统软件功能和控制的审查要利用计算机辅助审计。硬件、系统软件功能和控制的审查要利用计算机辅助审计。（五）对操作控制的测试（五）对操作控制的测试1、测试关键点：对数据资源的使用环境和数据资源的操作管理制度完善、测试关键点：对数据资源的使用环境和数据资源的操

28、作管理制度完善性的检查。性的检查。2、测试方法：、测试方法：（1）检查有无操作管理制度并阅读有关制度确定是否规范；）检查有无操作管理制度并阅读有关制度确定是否规范；（2）实地察看操作人员的操作情况，是否按照操作手册中规定的操作步）实地察看操作人员的操作情况，是否按照操作手册中规定的操作步骤进行操作；骤进行操作；（3）检查操作人员的分工以及错误的处理和更正程序是否符合内部控制）检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则；的原则；（4）检查是否存在详细的操作日志记录，确定记录的完整性和恰当性；）检查是否存在详细的操作日志记录，确定记录的完整性和恰当性；（5）检查当系统出现异常

29、情况时，有无及时恢复系统操作的方法。）检查当系统出现异常情况时，有无及时恢复系统操作的方法。应用控制的审计应用控制的审计审计目标：获取证据，以证实审计目标：获取证据，以证实 被审计单位是否存在相应的技术措施来保证数据的正确被审计单位是否存在相应的技术措施来保证数据的正确性、合理性、安全性和完整性；性、合理性、安全性和完整性；应用系统本身是否存在漏洞和功能缺陷；应用系统本身是否存在漏洞和功能缺陷；评价信息系统的可靠性、效果和效率。评价信息系统的可靠性、效果和效率。（一）对输入控制的审计（一）对输入控制的审计1、测试关键点：对输入程序技术性控制措施的检查。、测试关键点：对输入程序技术性控制措施的检

30、查。2、测试方法：、测试方法：（1）了解信息系统的输入程序，对输入操作的控制进行检查，确定操）了解信息系统的输入程序，对输入操作的控制进行检查，确定操作人员已获取授权；作人员已获取授权；（2）实施分析程序，确定输入数据的正确性、合理性、完整性；）实施分析程序，确定输入数据的正确性、合理性、完整性；审计人员输入不正确的数据，系统是否提示输入出错并拒绝接收；审计人员输入不正确的数据，系统是否提示输入出错并拒绝接收；信息系统是否提供复核功能，系统仅接收输入与复核完全一致的数据；信息系统是否提供复核功能，系统仅接收输入与复核完全一致的数据；对比分析输入的数据与系统其他数据是否满足一定的勾稽关系；对比分

31、析输入的数据与系统其他数据是否满足一定的勾稽关系；（3）检查输入界面，是否简单、清晰、具有可操作性；）检查输入界面，是否简单、清晰、具有可操作性；（4）询问系统操作员对错误业务的处理方法；）询问系统操作员对错误业务的处理方法；（5）抽查被审期间的出错业务，跟踪检查其改正和重新提交过程，以）抽查被审期间的出错业务，跟踪检查其改正和重新提交过程，以证实有关控制措施的有效性。证实有关控制措施的有效性。（二）对处理控制的审计（二）对处理控制的审计 1、测试关键点：对信息系统处理程序的控制措施的检查。、测试关键点：对信息系统处理程序的控制措施的检查。2、测试方法：、测试方法：（1）对信息系统处理程序中确

32、保系统处理结果正确性、完整性和合理性）对信息系统处理程序中确保系统处理结果正确性、完整性和合理性的控制进行检查；的控制进行检查；阅读信息系统设计说明书，确定系统存在有关的自动检查功能；阅读信息系统设计说明书，确定系统存在有关的自动检查功能；询问系统设计或操作人员，系统的处理过程是否正常且一贯；询问系统设计或操作人员，系统的处理过程是否正常且一贯；获取系统数据处理的流程图，检查其合理性、完整性；获取系统数据处理的流程图，检查其合理性、完整性；审计人员模拟一个不满足处理条件的数据，系统是否能提示出错并审计人员模拟一个不满足处理条件的数据，系统是否能提示出错并拒绝处理；拒绝处理；测试数据法和数据验证

33、法的使用。测试数据法和数据验证法的使用。（2）对信息系统处理程序中确保系统处理结果安全性的控制进行检查）对信息系统处理程序中确保系统处理结果安全性的控制进行检查。（三）对输出控制的审计（三）对输出控制的审计1、测试关键点：对信息系统输出程序的正确性、完整性和及时性及安、测试关键点：对信息系统输出程序的正确性、完整性和及时性及安全性进行检查。全性进行检查。2、测试方法：、测试方法：（1）了解系统的输出资料是如何处置的，有无健全的检查、保管和分）了解系统的输出资料是如何处置的，有无健全的检查、保管和分发制度；发制度；（2）实地观察系统的输出情况，跟踪输出的资料的分发和保管；）实地观察系统的输出情况

34、，跟踪输出的资料的分发和保管；（3）检查输出信息的安全性控制，包括是否有人负责审视输出资料，）检查输出信息的安全性控制，包括是否有人负责审视输出资料，是否有人核对输入输出控制总数等；是否有人核对输入输出控制总数等；（4）通过咨询和察看对输出信息的格式进行检查；）通过咨询和察看对输出信息的格式进行检查；（5）询问并检查输出的信息是否能够满足使用部门的需要。）询问并检查输出的信息是否能够满足使用部门的需要。控制矩阵在信息系统内控测试中的应用控制矩阵在信息系统内控测试中的应用（一）控制矩阵概述（一）控制矩阵概述（control matrixcontrol matrix）控制矩阵是一个控制目标及其相关

35、控制措施的控制矩阵是一个控制目标及其相关控制措施的列表列表。包括三个基本的元素：包括三个基本的元素：（1 1）控制目标。分为经营系统的控制目标和信息系统的控制目标）控制目标。分为经营系统的控制目标和信息系统的控制目标两类。两类。（2 2）控制措施。指为了确保系统目标的实现所应采取的各种合理、）控制措施。指为了确保系统目标的实现所应采取的各种合理、有效的控制措施。有效的控制措施。（3 3）单元内容。在控制矩阵中，位于某项控制措施和控制目标的）单元内容。在控制矩阵中，位于某项控制措施和控制目标的行和列的交汇处的矩形方框，称为单元。其内容为是否打勾。行和列的交汇处的矩形方框，称为单元。其内容为是否打

36、勾。（二）控制矩阵的编制方法（二）控制矩阵的编制方法 基本表的编制基本表的编制1对系统进行全面、透彻的分析和深入的了解。对系统进行全面、透彻的分析和深入的了解。了解和分析的内容包括系统的功能、任务、目标、业务处理了解和分析的内容包括系统的功能、任务、目标、业务处理的程序、步骤以及易发生错误和舞弊的环节。的程序、步骤以及易发生错误和舞弊的环节。可通过分析系统流程图、数据流程图、功能结构图及对系统可通过分析系统流程图、数据流程图、功能结构图及对系统的有关文字描述等方面而得出。的有关文字描述等方面而得出。2 定出系统控制目标。定出系统控制目标。包括经营系统的控制目标和信息系统的控制目标包括经营系统的

37、控制目标和信息系统的控制目标3在对现有的信息系统进行调查分析的基础上，列出系统现有在对现有的信息系统进行调查分析的基础上，列出系统现有的控制措施。的控制措施。4根据每一项措施对那些控制目标所起作用，在相应的单元中根据每一项措施对那些控制目标所起作用，在相应的单元中打上打上。表的完善表的完善5分析这些单元内容所反映的状况分析这些单元内容所反映的状况 判断控制系统是否恰当地对所有的控制目标进行了必要的判断控制系统是否恰当地对所有的控制目标进行了必要的控制，把分析结果填入控制，把分析结果填入“原有控制措施分析底稿原有控制措施分析底稿”上，最后反上，最后反复推敲，提出处置建议，填入分析底稿的处置建议栏

38、。复推敲，提出处置建议，填入分析底稿的处置建议栏。6扩充控制矩阵的行数，增加修改后的控制措施栏，填入修扩充控制矩阵的行数，增加修改后的控制措施栏，填入修改后的控制措施，并根据每一项措施针对的控制目标，在相改后的控制措施，并根据每一项措施针对的控制目标，在相应的单元中打应的单元中打。7针对系统控制的不足，提出需增加的控制措施，扩充控制针对系统控制的不足，提出需增加的控制措施，扩充控制矩阵填入新增加的措施，并根据每一项措施针对的控制目标，矩阵填入新增加的措施，并根据每一项措施针对的控制目标，在相应的单元中打在相应的单元中打。8最后，在控制矩阵的底部，对需要说明的事项（如控制目最后，在控制矩阵的底部

39、，对需要说明的事项（如控制目标的详细内容等）以注释的形式进行详细的说明。标的详细内容等）以注释的形式进行详细的说明。（三）控制矩阵的作用和使用方法（三）控制矩阵的作用和使用方法1通过控制矩阵，可以了解现有控制系统的有效性、完整性。通过控制矩阵，可以了解现有控制系统的有效性、完整性。通过控制矩阵，可以很明了地看出现有控制系统的每一项目通过控制矩阵，可以很明了地看出现有控制系统的每一项目标是否都有控制措施来加以保证，从而便于我们对现有控制标是否都有控制措施来加以保证，从而便于我们对现有控制系统的有效性、完整性做出评价。系统的有效性、完整性做出评价。2通过控制矩阵，可以了解现有控制系统的控制效率。通

40、过控制矩阵，可以了解现有控制系统的控制效率。当系统中的某项控制措施对多项控制目标有效时，则可定性当系统中的某项控制措施对多项控制目标有效时，则可定性地认为该控制措施是经济、高效、符合成本效益原则的。地认为该控制措施是经济、高效、符合成本效益原则的。3通过控制矩阵，可以了解现有控制系统所存在的优缺点，以利通过控制矩阵，可以了解现有控制系统所存在的优缺点，以利于我们对控制系统进一步加以改进、完善。于我们对控制系统进一步加以改进、完善。那些系统不可或缺的控制措施和能同时对多个目标起作用的那些系统不可或缺的控制措施和能同时对多个目标起作用的控制措施，构成原有控制系统的主要优点。控制措施，构成原有控制系

41、统的主要优点。那些过分控制、控制不足或不符合成本效益原则的控制措施那些过分控制、控制不足或不符合成本效益原则的控制措施构成原有控制系统的基本缺点；构成原有控制系统的基本缺点；（四）利用控制矩阵模型辅助信息系统控制审计步骤（四）利用控制矩阵模型辅助信息系统控制审计步骤1通过调查询问、查阅系统的文档资料、跟踪系统的一些业务通过调查询问、查阅系统的文档资料、跟踪系统的一些业务处理等了解计算机信息系统现有的内部控制，包括一般控制、处理等了解计算机信息系统现有的内部控制，包括一般控制、应用控制，并用文字描述法、内部控制问卷法或流程图法记录应用控制，并用文字描述法、内部控制问卷法或流程图法记录与描述系统的

42、内部控制。与描述系统的内部控制。2根据对系统控制的了解画出系统的控制矩阵。根据对系统控制的了解画出系统的控制矩阵。3分析控制矩阵，对各控制目标是否有完善的控制措施、已有分析控制矩阵，对各控制目标是否有完善的控制措施、已有的控制措施是否恰当进行中肯的评价和提出恰当的建议。的控制措施是否恰当进行中肯的评价和提出恰当的建议。4根据上述建议修改、完善原控制矩阵。根据上述建议修改、完善原控制矩阵。5对系统原有的必要控制措施进行符合性审计，确定这些控对系统原有的必要控制措施进行符合性审计，确定这些控制的有效性。制的有效性。6对系统的内部控制提出审计意见，包括对系统内部控制对系统的内部控制提出审计意见，包括

43、对系统内部控制（包括控制的强点与薄弱环节）的评价和改进的建议（包括（包括控制的强点与薄弱环节）的评价和改进的建议（包括应增加与强化的控制和可减少的重复控制）。应增加与强化的控制和可减少的重复控制）。第四节第四节 信息系统初步评价信息系统初步评价 信息系统初步评价是对系统调查和控制测试的系统分析,评价的主要内容包括三个方面:信息系统安全性 信息系统包含数据的真实、完整性 信息系统中的薄弱点一、信息系统的安全性1、审计人员应评价系统运行环境和系统数据的安全性，包括数据的产生、传输、存储的安全性。2、对系统安全性的评价主要依据系统调查和控制测试掌握的情况来完成，信息系统分析测试中将不再涉及此项工作内

44、容，因此，信息系统初步评价中对信息系统安全性的评价将直接在信息系统综合评价中反映。二、信息系统包含数据的真实性、完整性1、审计人员应通过对信息系统功能及相关制度的关注，评价信息系统中包含电子数据的真实性、完整性。2、电子数据真实性、完整性评价是计算机数据审计中数据采集方案制定、数据验证方法选择、数据分析重点确定的重要依据。三、信息系统中的薄弱点1、审计人员应指出系统之间关联关系的建立、系统运行管理控制等方面存在的薄弱环节。2、发现信息系统的薄弱点是为被审计单位改进管理，防范风险提出合理化建议的需要，也是为计算机数据审计确定重点的需要。第五节第五节 信息系统分析测试信息系统分析测试 信息系统分析

45、测试的主要目标是发现信息系统中存在的漏洞、功能的不足以及可能存在的非法模块。功能分析 处理逻辑分析 数据对比分析 数据追踪分析一、功能分析 目的：分析系统功能上存在的不足。有时也称之为功能审计。重点：对业务的特点和需求有清晰的认识，也可通过信息系统的使用情况来分析信息系统功能能否满足业务需求。二、处理逻辑分析 目的：对信息系统处理数据来源是否正当、数据处理方法是否科学合法的分析。包含的内容：（1）信息系统的数据来源；（2）信息系统的数据处理过程，包括数据处理逻辑、方法和数据处理流程；（3）信息系统的数据流向。核心：对信息系统数据处理方法是否科学合法的分析。三、数据对比分析 包含的内容：（1）掌

46、握信息系统的数据输入和输出情况；（2）结合数据审计，筛选问题线索；（3）对比分析信息系统的输入、输出数据以及问题线索，查找信息系统自身存在的问题。重点：依据计算机数据审计中发现的问题线索，反推信息系统存在的问题，这是信息系统审计和计算机数据审计的重要结合点。四、数据追踪分析 目的：通过选取典型数据，追踪处理结果，进而判断系统处理的功能是否正确有效。包含的步骤：（1）了解信息系统应有的处理和控制功能；（2）针对系统应用的特点，选取部分典型数据；（3）跟踪数据处理过程和处理结果；（4）分析数据处理结果的差异原因。重点：选取典型数据，选择的数据既要符合该系统处理的数据的特点，又要具有突出的特征能够发

47、现问题。五、常用的方法 测试数据法 受控处理法 整体测试法 平行模拟法 程序比较法(一一)测试数据法测试数据法 测试数据法将一组针对系统应有功能而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法。检测业务数据检测业务数据被审程序被审程序手工处理手工处理被审程序处理结果被审程序处理结果预期结果预期结果比较核对比较核对 采用测试数据法进行审查的步骤:1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确

48、结果（又称预期结果）。3在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。4把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效。测试数据的准备:1.测试数据应包括下列两大类：（）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。（）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。2.在准备测试业务数据时，审计人员要注意系统功能的覆盖。应用测试数据法要注意的问题：1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功

49、能是否正确、可靠。测试数据法的优缺点 1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。2缺点：可能不能发现程序中所有的错弊。受控处理法审计人员通过监控系统对各类真实业务的处理并检查其处理结果，进而判断系统功能是否正确。采用受控处理法进行审查的步骤 1通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2在系统正常的运行中，审计人员监控系统对各类真实业务的处理，取得相应的处理结果；同时，审计人员根据正确的处理原则对相应的业务处理，得到正确的处理结果。3把系统处理结果与正确结果比较，从而判断被审系统功能是否正确有效。受控处理法的优缺点:1.优点：简单、易

50、行，不用准备测试数据，对审计人员的计算机技术水平要求不高。2.缺点：在某一时间里，真实业务可能不能覆盖系统的所有功能，此方法可能不能发现系统存在的所有问题。解决真实业务不能覆盖系统功能的方法 1.审计人员应详细了解被审单位的各类真实业务发生和处理的时间，根据实际情况确定测试日期。测试可以安排在多个不同的工作日，甚至持续一段时间。2.对于系统的控制功能，常要通过一些不完整、不正常、不合理的业务输入系统进行检查。整体测试法根据系统是用同一应用程序处理各分公司（或部门、或其他个体）业务的原理，通过审查系统对虚构公司测试业务的处理结果来判断系统的功能是否正确。比较比较核对核对预期结果预期结果虚拟业务处