信息系统审计(-67)课件.ppt

1、信息系统审计信息系统审计n相关知识铺垫相关知识铺垫n概念框架概念框架n审计证据的获取与评价审计证据的获取与评价n信息系统审计的常用方法信息系统审计的常用方法n信息系统审计报告信息系统审计报告审计信息化：国家角度审计信息化：国家角度五个一工程五个一工程一个模式一个模式三个转变三个转变审计信息化国家规划审计信息化国家规划 建设之路建设之路背背景景历历程程1998年，国务院出台了审计机关计算机辅助审计管理办法1999年，审计署组织编写了审计信息化系统规划并报国务院2001年3月，审计署提出了审计信息化建设总体目标和构想：一个模式、三个转变、五个一工程2001年11月，国务院办公厅下发了关于利用计算机

2、信息系统 开展审计工作有关问题的通知2002年，国务院17号文件界定：“金审工程是12金字工 程之一”2003年7月，国家审计署发布2003至2007年审计 工作发展规划2004年7月，全国审计工作座谈会专题研 究审计信息化2004年11月，金审工程一期竣工2004年的全国审计工作会议上，李金华审计长提出了审计信息化的具体工作要求：计算机在审计管计算机在审计管理中的应用，要理中的应用，要把重点放在审计把重点放在审计信息的管理和使信息的管理和使用上，促进信息用上，促进信息集合，形成共享集合，形成共享计算机审计和审计信息计算机审计和审计信息管理管理是今后审计信息化是今后审计信息化建设的两大重点任务

3、，建设的两大重点任务，希望大家在这方面多用希望大家在这方面多用些精力，积极探索实践，些精力，积极探索实践，加强人员培训，切实抓加强人员培训，切实抓出成效。出成效。审计信息化工作审计信息化工作的重点，要放在的重点，要放在计算机在审计实计算机在审计实施中的运用上施中的运用上应从战略高度认识信息化的重要性和紧迫应从战略高度认识信息化的重要性和紧迫性，提高信息意识和信息文化素质，切实加强对性，提高信息意识和信息文化素质，切实加强对信息化的领导力度，从改革入手进行业务流程再信息化的领导力度，从改革入手进行业务流程再造，协调各部门、各环节的利益与矛盾，持续推造，协调各部门、各环节的利益与矛盾，持续推进信息

4、化进信息化审计信息化：企业角度审计信息化：企业角度n80%的计算机用于企业管理信息的处理的计算机用于企业管理信息的处理n85%的信息来自于计算机系统的信息来自于计算机系统,其中其中70-80%的的管理来自于会计信息系统管理来自于会计信息系统n90%的正规企业用计算机记账的正规企业用计算机记账n100%的会计师事务所面对计算机审计问题的会计师事务所面对计算机审计问题n70-90%的内部审计面临计算机审计的挑战的内部审计面临计算机审计的挑战nTCL、中石化、烟草公司等会计和审计的信息、中石化、烟草公司等会计和审计的信息化基本接近化基本接近100%审计专业知识回顾审计专业知识回顾审计是什么？审计是什

5、么？n1、广义的审计定义：“审计是由专职机构和人员专职机构和人员，对被审计单位的被审计单位的财政、财务收支及其他经济活动财政、财务收支及其他经济活动的真实性、合法性和效益性进行审查审查和评价和评价的独立性经济监督活动。”n2、简明审计定义、简明审计定义 审计是独立检查会计账目，审计是独立检查会计账目，监督财政、财务收支真实、合法、监督财政、财务收支真实、合法、效益的行为。效益的行为。审计是什么？审计是什么？审计的本质及特征审计的本质及特征n1 1、本质、本质三种观点-（1 1）审计就是查账）审计就是查账-（2 2）审计是经济监督）审计是经济监督-（3 3）审计是独立的经济监督活动）审计是独立的

6、经济监督活动-经济监督经济监督基本职能基本职能-独立性独立性最本质的特征最本质的特征审计的本质及特征审计的本质及特征n2、特征n（1）独立性特征-组织上组织上-人员上人员上-工作上工作上-经费上经费上n（2）权威性特征-独立地位、专业素独立地位、专业素质质-法律赋予法律赋予n（3）公正性特征财产所有者财产所有者经营管理者经营管理者 第三方第三方委托经济责任委托经济责任履行经济责任履行经济责任报告结果报告结果委托业务委托业务审查业务审查业务接受审查接受审查 审审 计计审计的本质及特征审计的本质及特征n两层涵义：-外延上外延上被审计单位被审计单位-内涵上内涵上审计内容或审计内容在范围上的限定审计内

7、容或审计内容在范围上的限定 n1、会计资料及其有关经济资料（具体形式）-（1 1）会计资料）会计资料-（2 2）其他相关经济资料）其他相关经济资料n2、财政、财务收支及其有关的经济活动（实质内容）-（1 1）财政收支）财政收支-（2 2）财务收支）财务收支-（3 3）其他有关经济活动）其他有关经济活动审计的对象审计的对象审计的目标审计的目标n国家审计国家审计真实性、合法性、效益性真实性、合法性、效益性n独立审计独立审计合法性、公允性、一致性合法性、公允性、一致性n内部审计内部审计真实性、合法性、效益性真实性、合法性、效益性n审计总目标是评价受托经济责任，确切些说，审计总目标是评价受托经济责任，

8、确切些说，是评价经营管理者对资财所有者应负的经济责是评价经营管理者对资财所有者应负的经济责任的履行情况。无论国家审计、社会审计还是任的履行情况。无论国家审计、社会审计还是内部审计，评价受托经济责任的履行情况都是内部审计，评价受托经济责任的履行情况都是其总目标。其总目标。-按照审计主体划分按照审计主体划分-按照审计主体性质分：国家审计、内部审按照审计主体性质分：国家审计、内部审计、民间审计计、民间审计-与被审计单位关系分：外部审计、内部审与被审计单位关系分：外部审计、内部审计计-按审计内容和目标分类按审计内容和目标分类-财政财务审计：传统审计财政财务审计：传统审计-经济效益审计：绩效审计经济效益

9、审计：绩效审计-财经法纪审计：专案审计财经法纪审计：专案审计审计的分类审计的分类？传统审计人才传统填鸭式教学模式互动式教学模式v毕业生为何就业难？毕业生为何就业难？v如何培养综合型的高素质人才？如何培养综合型的高素质人才？v如何解决这些矛盾？如何解决这些矛盾？审计学知识审计学知识审计技能审计技能财务学知识财务学知识会计学知识会计学知识知识层次积累知识层次积累以实践教学为以实践教学为主，注重经验主，注重经验的积累。的积累。以理论教学为以理论教学为主，注重基础主，注重基础知识积累。知识积累。被审计对象业务信息电子化方式已经普及被审计对象业务信息电子化方式已经普及经济高速发展，审计任务越来越重经济高

10、速发展，审计任务越来越重审计管理复杂，审计工作质量需要加强审计管理复杂，审计工作质量需要加强国家经济监督体系日臻完善，审计工作越发精细国家经济监督体系日臻完善，审计工作越发精细国家政府越来越重视审计工作，提出了更高要求国家政府越来越重视审计工作，提出了更高要求可以转入任意电子可以转入任意电子 数据数据财务数据、业务数据财务数据、业务数据针对被审计数据、结合针对被审计数据、结合审计业务制作了相关审审计业务制作了相关审计工具计工具查询及查账工具、各种分查询及查账工具、各种分析工具、各种检查工具、析工具、各种检查工具、各种计算工具、丰富的审各种计算工具、丰富的审计预警。计预警。根据审计结果制作审计根

11、据审计结果制作审计底稿底稿国家审计机关要求的审国家审计机关要求的审计日记和工作底稿格式计日记和工作底稿格式出具审计台账及审计出具审计台账及审计报告报告完成审计成果统计完成审计成果统计计算机审计能解决的问题计算机审计能解决的问题n对电子数据进行审计对电子数据进行审计(1980年代年代1990年代年代)n计算机辅助传统审计计算机辅助传统审计(1990年代年代2000)n计算机辅助对计算机会计信息系统进行审计计算机辅助对计算机会计信息系统进行审计(2000年网年网络和集成思想大量应用后络和集成思想大量应用后)-进行审计项目管理(四个过程的管理)-审计数据库管理-审计测试和验证(CAATs)nIT审计

12、审计(计算机信息系统审计计算机信息系统审计)(发展趋势发展趋势)概念的发展历程概念的发展历程一、信息系统审计的含义一、信息系统审计的含义n定义定义-信息系统审计是对被审计对象所采用的计算机化的信息系统的安全性、可靠性进行了解、测试与评价，并对信息系统对财务报告的影响作出判断或单独提出信息系统审计报告的过程。n特征特征-职业资格-独立性-综合性-审计报告-安全、可靠与有效n目标目标-对电子数据的审计同手工目标-用计算机作为工具的审计同手工目标-对会计信息系统的审计目标有较大发展安全安全合法合法可靠可靠效率效率效益效益易用易用可审可审安全、合法安全、合法、可靠、易、可靠、易用、效率、用、效率、效益

13、、可审效益、可审应用程序系统数据资料系统开发二、信息系统审计的内容二、信息系统审计的内容开发过程开发过程6阶段审计阶段审计实质性、符合性审计实质性、符合性审计鉴定结论、代码检验、鉴定结论、代码检验、模拟测试、替代比较模拟测试、替代比较存在、有效、持续、稳定存在、有效、持续、稳定审计完成审计完成审计审计实施实施审计计划审计计划 调研调研计划计划实施实施完成完成信息系统审计步骤信息系统审计步骤信息系统审计信息系统审计信息系统审计是按照特定项目的范围和目标开展的。其信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括：审计的步骤包括：n获取并记录审计范围获取并记录审计范围/主题主题n风险评

14、估和制定初步审计计划及排程风险评估和制定初步审计计划及排程n详细审计计划详细审计计划n初步审阅初步审阅n控制测试控制测试n大量大量/实实质性质性测试测试n报告报告/结果沟通结果沟通n跟踪跟踪准备阶段准备阶段实施阶段实施阶段完成阶段完成阶段开始前要了解什么开始前要了解什么信息风险评估信息风险评估其它信息风其它信息风险管理保证险管理保证一般信息技一般信息技术控制审计术控制审计电脑电脑辅助辅助审计技巧审计技巧应用系统审应用系统审计计(包括运作包括运作前及运作后前及运作后)资资源源1资源资源2审计计划阶段主要内容审计计划阶段主要内容审计实施阶段审计实施阶段2345详细调查被审计系统：座谈，运行、抽查、

15、观察等详细调查被审计系统：座谈，运行、抽查、观察等测试内部控制系统：问卷、调查文档、座谈、现场查验等测试内部控制系统：问卷、调查文档、座谈、现场查验等收集证据，进行实质性测试：模拟运行、穿行测试、实务运行收集证据，进行实质性测试：模拟运行、穿行测试、实务运行评价证据，形成诊断：内部控制是否存在有效、管理和应评价证据，形成诊断：内部控制是否存在有效、管理和应用方面的保证程度用方面的保证程度形成工作底稿：电子形式或传统形式形成工作底稿：电子形式或传统形式1审计完成阶段审计完成阶段三个过程并不割裂三个过程并不割裂审计计划审计计划审计收尾审计收尾设计实施设计实施-尽量计划周全尽量计划周全-反馈与修改反

16、馈与修改-实施过程的实施过程的变更变更COBIT:一套信息技术控制和管制架构一套信息技术控制和管制架构综合经营报告综合经营报告 “有一种方式有一种方式”架构架构“这种方式是这种方式是”控制目标控制目标“最低控制措施是最低控制措施是”审计方针审计方针“如何审计如何审计”实施指南实施指南“如何实施如何实施”管理层指南管理层指南“如何衡量如何衡量”COBIT的要素的要素 什么什么?COBIT:一套信息技术控制和管制一套信息技术控制和管制架构架构业绩衡量要素（所有信息技术流程的成果衡量指标业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）和表现的影响因素）关键成功因素的清单，它为每个信息技

17、术流程提供关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法简明的非技术性最佳作法一个成熟的模式，用于协助每个信息技术流程控制一个成熟的模式，用于协助每个信息技术流程控制的基准和决策的基准和决策最近的发展趋势是增加一个管理和管制层，为管最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：理层提供了一套工具，其中包括：参资料和网站参资料和网站nSAP网站网站n用友网站用友网站n肖泽中肖泽中(经科出版经科出版,2000)n傅元略傅元略,上海人民出版社上海人民出版社,2002n证据的种类和特征证据的种类和特征n获取的方法获取的方法n证据评价的方式方法证据评价的方式

18、方法n评价的主要内容评价的主要内容面谈内容主要访谈对象面谈过程细节nAISAIS全面情况全面情况n系统分析员系统分析员n系统设计员系统设计员n面谈准备面谈准备n背景研究背景研究n面谈对象面谈对象n准备内容准备内容n确定时间地点确定时间地点n子系统和主要功能n财务主管n操作人员n会计数据的来源、会计数据的来源、流向、频率、存储、流向、频率、存储、保密等保密等n数据（库）管数据（库）管理员理员n面谈实施n介绍和切入n谈话n回顾n系统的运行情况和满意度n操作人员n系统管理员n面谈分析面谈分析n分析分析n跟踪跟踪一、一、IQF：面谈、问卷和流程图法简称，是现代管理咨询、学术研究、：面谈、问卷和流程图法

19、简称，是现代管理咨询、学术研究、市场调查等活动常用的方法。市场调查等活动常用的方法。u回答者特性u需收集信息的属性u提问的问题本身应注意u简洁、清晰u不会产生歧义u避免无法回答（不熟悉或越权）u避免误导二、问卷调查法二、问卷调查法u单选u多选u填空u标图二、问卷调查法二、问卷调查法员工对系统的理解员工对系统的理解高中层对系统的理解高中层对系统的理解问题：您认为公司的信息系统是否方便?信息来源：洪业会计系统问卷调查报告表1.方便2.一般4.不好评价3.不方便问卷结果的分析举例问卷结果的分析举例u u数据流程图数据流程图u系统流程图u程序流程图u控制流程图三、流程图分析法三、流程图分析法利用软件自

20、身的数据接口转入转出导入导出另存为审计接口嵌入式：函数、公式等外挂式提取：例如SAP、NC利用审计软件的数据接口功能获取利用办公软件的数据接口DBNS：access,excel,dbase,foxp利用ODBC-P63u输入审查输入审查u内容、范围、过程和方法内容、范围、过程和方法u处理审查处理审查u输出审查输出审查u操作培训操作培训u数据文档数据文档二、在线收集的工作底稿u范围u描述u局限u结论u使用条件内容、范围、过程和方法内容、范围、过程和方法u资源共享，信息大陆资源共享，信息大陆u内控复杂、风险较高内控复杂、风险较高u网络的无限延伸网络的无限延伸u麦特卡夫定律麦特卡夫定律u摩尔定律摩尔

21、定律u网格定律网格定律u多点攻击多点攻击u访问控制证据u权限设置u密码认证u加密控制u链路、服务器密钥、加密、自解等u确定收集样本确定收集样本u随机抽查样本记录随机抽查样本记录u数据传输的一致性数据传输的一致性u准确性准确性u可控性可控性u分析记录分析记录u记录工作底稿记录工作底稿信息系统审计证据的评价是审计人员依据一信息系统审计证据的评价是审计人员依据一定的标准和原则对收集到的审计证据进行分定的标准和原则对收集到的审计证据进行分析和判断并作出符合要求的结论的过程。析和判断并作出符合要求的结论的过程。定定义义手手段段u鉴定标准鉴定标准uCOSO框架框架uCOBIT框架框架u独立审计准则独立审计

22、准则u鉴定的独立性和专业要求鉴定的独立性和专业要求u重要性水平u风险估计水平u选择方法的认可度u鉴别有关线索鉴别有关线索u权衡有关线索权衡有关线索u进行整体判断进行整体判断u从系统角度出发从系统角度出发u判断总体风险和结论判断总体风险和结论u成本效益原则成本效益原则u专家系统概述u构成和特征u头脑风暴+资料获取n系统测试法系统测试法n整体检查法整体检查法n平行模拟法平行模拟法u 软件系统生命周期软件系统生命周期u选择测试模块u代测试数据设计u黑盒测试u白盒测试u测试技巧系统测试法系统测试法系统规划系统规划系统分析系统分析系统设计系统设计系统实现系统实现系统转化系统转化运行维护运行维护u 软件系

23、统生命周期u选择测试模块选择测试模块u代测试数据设计u黑盒测试u白盒测试u测试技巧系统测试法系统测试法识别程序危险因素识别程序危险因素确定危险因素带来的损失确定危险因素带来的损失分析各模块的风险分析各模块的风险利用可靠性模型确定模块故利用可靠性模型确定模块故障数量障数量根据公式确定模块产生的损根据公式确定模块产生的损失失u 软件系统生命周期u选择测试模块u测试数据设计测试数据设计u黑盒测试u白盒测试u测试技巧系统测试法系统测试法从输入开始从输入开始经过整个系统后进行结果比经过整个系统后进行结果比较较关键是设计测试数据关键是设计测试数据测试数据包括实际业务数据测试数据包括实际业务数据（量大一般不

24、用）、用户数（量大一般不用）、用户数据、审计人员数据、工具软据、审计人员数据、工具软件生成件生成u 软件系统生命周期u选择测试模块u测试数据设计u黑盒测试黑盒测试u白盒测试u测试技巧系统测试法系统测试法建立在规格说明书上建立在规格说明书上只管结果不问过程只管结果不问过程用例较多用例较多严格设计测试数据严格设计测试数据目前用计算机辅助测试目前用计算机辅助测试u 软件系统生命周期u选择测试模块u测试数据设计u黑盒测试u白盒测试白盒测试u测试技巧系统测试法系统测试法建立在代码检查上建立在代码检查上过程和结果同时测试过程和结果同时测试语句覆盖（语句覆盖（case）分支覆盖分支覆盖（case）路径覆盖（

25、路径覆盖（case）u 软件系统生命周期u选择测试模块u测试数据设计u黑盒测试u白盒测试u测试技巧测试技巧系统测试法系统测试法黑盒为基础，白盒做补充黑盒为基础，白盒做补充重点测试用例数据的边界值重点测试用例数据的边界值采用等价类划分进行补充采用等价类划分进行补充利用专家经验进行错误推断利用专家经验进行错误推断，补充测试用例，补充测试用例根据测试要求，采用语句、根据测试要求，采用语句、分支和路径覆盖，补充测试分支和路径覆盖，补充测试用例用例整体检测法整体检测法原理-步骤-结构确定测试系统 建立虚拟实体处理测试数据 合适过程真实合适过程正确、完整u 标记事务法标记事务法u数据混合法（一）输入数据的

26、选择（一）输入数据的选择在主文件中标记在主文件中标记在系统中嵌入在系统中嵌入系统抽样嵌入系统抽样嵌入优缺点：简单但有优缺点：简单但有副作用副作用u 标记事务法（一）输入数据的选择（一）输入数据的选择选择测试数据后打乱次选择测试数据后打乱次序序插入到数据库中插入到数据库中优点缺点：数据真实、优点缺点：数据真实、覆盖面大但成本高，任覆盖面大但成本高，任务重务重u u提交附加项 抵消ITF影响（二）消除虚拟（二）消除虚拟(ITF)事务对系统输出的影响事务对系统输出的影响简单，直接简单，直接增加开发、维护、运行增加开发、维护、运行成本成本增加新的风险增加新的风险u 修改应用程序，剥离ITF影响（二）消

27、除（二）消除ITF事务对系统输出的影响事务对系统输出的影响简单，无须修改原系统简单，无须修改原系统增加工作量增加工作量易产生新的干扰信息易产生新的干扰信息新方法是自动筛选（新方法是自动筛选（2000年后兴起）年后兴起）n快拍技术快拍技术-确定设置快拍点的位置-确定对事务处理快拍的时间-确定记录和分析上述快拍数据n报告的内容报告的内容-受件人-本审计单位情况-报告内容-重大发现和建议-审计结论-其他补充n报告的编制要求报告的编制要求-沟通审计结果-保证审计质量-及时提供报告-期后事项处理n本章课后调查本章课后调查调查相关网站(根据企业主页上的信息，虚拟一些资料和证据)，取得在用系统的资料模拟一份审计报告，2个周后上交要求：写一篇5000字左右的审计报告，格式完整、措辞专业，体系规范，独立完成。