怎樣開展信息系統(tǒng)審計工作課件

1、怎樣開展信息系統(tǒng)審計工作審計署計算中心 輔助審計處 陳劍課程目的 這部分內(nèi)容是對信息系統(tǒng)審計這一新興的審計領(lǐng)域的介紹性質(zhì)的課程。 通過學(xué)習(xí)，學(xué)員能夠了解國內(nèi)外信息系統(tǒng)審計開展的狀況，明確國家審計中信息系統(tǒng)審計的范圍和目標(biāo)，初步了解開展信息系統(tǒng)審計的工作流程和技術(shù)方法，達到開闊眼界，啟發(fā)思路、指導(dǎo)實踐的作用。小調(diào)查1你的專業(yè)背景是：計算機相關(guān)審計業(yè)務(wù)相關(guān)其他是否參加過本單位開展的信息系統(tǒng)審計項目是否是否有信息系統(tǒng)審計相關(guān)學(xué)習(xí)經(jīng)歷CISACISSP其他無小調(diào)查2你認為影響本單位開展信息系統(tǒng)審計工作的主要因素是：（多選） 人才和技術(shù)手段缺乏 信息系統(tǒng)審計在國家審計中的定位模糊 法規(guī)不健全 目前單位的

2、考核機制 不知道該如何開展 認為沒有開展的必要 其他（請具體說明）內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動什么是信息系統(tǒng)審計INTOSAI（最高審計機關(guān)國際組織 ）： 信息系統(tǒng)審計是： 一個通過獲取并評估證據(jù)，以判斷IT系統(tǒng)是否保護了組織的資產(chǎn)，有效率地利用組織的資源，保障數(shù)據(jù)的安全性和一致性，以及有效地達到組織的業(yè)務(wù)目標(biāo)的過程。 為什么要開展信息系統(tǒng)審計計算機在各級政府組織中的廣泛使用 交易處理財務(wù)報表決策支持功能數(shù)據(jù)挖掘被審計單位的IT系統(tǒng)對審計人員的審計方法和在審計測試中采用的技術(shù)

3、產(chǎn)生了影響；內(nèi)部控制環(huán)境的變更；匿名用戶帶來的責(zé)任缺失；未經(jīng)授權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性；看得見的審計痕跡和/或紙質(zhì)文件的缺失；審計證據(jù)的變化；數(shù)據(jù)復(fù)制/無內(nèi)容數(shù)據(jù)的可能性；出現(xiàn)欺詐和錯誤的新機會和機制；分布式數(shù)據(jù)處理和存儲；關(guān)鍵業(yè)務(wù)信息的機密性和一致性；由于組織內(nèi)部或組織之間的通訊，特別是因特網(wǎng)增加的風(fēng)險；系統(tǒng)故障/宕機的可能性。信息系統(tǒng)審計的類型對信息系統(tǒng)控制的檢查 對財務(wù)信息系統(tǒng)的審計 信息系統(tǒng)的績效審計或VFM審計 對正在開發(fā)的信息系統(tǒng)的審計 信息系統(tǒng)舞弊審計 信息系統(tǒng)安全審計 計算機輔助審計技術(shù)（CAATs）信息系統(tǒng)審計的起源與發(fā)展社會審計：伴隨著財務(wù)報告審計發(fā)展1954年，

4、第一套計算機化的會計系統(tǒng)在通用電氣公司開始使用。六十年代中期，出現(xiàn)了第一套通用審計軟件（GAS）。1968年，AICPA（美國注冊會計師協(xié)會）和當(dāng)時的八大會計師事務(wù)所聯(lián)合開始開展EDP（電子數(shù)據(jù)處理）審計。1968年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）成立。該協(xié)會于1977年發(fā)布了控制目標(biāo)第一版（即Cobit的前身）。1977年，IIA發(fā)布了一項研究成果，即系統(tǒng)可審計性與控制（ the Systems, Auditability, and Control, 簡稱SAC)。 信息系統(tǒng)審計發(fā)展的歷史（續(xù)）1994年，電子數(shù)據(jù)處理審計師協(xié)會（EDPAA）改名為信息系統(tǒng)審計與控制協(xié)會（ISACA）。

5、2019年，信息系統(tǒng)審計與控制基金會（Control Objectives for Information and Related Technology，簡稱ISACF）發(fā)布了信息技術(shù)控制目標(biāo)COBIT第一版。目前已經(jīng)修訂到第四版。2019年，IT治理學(xué)會（IT Governance Institute）成立。1978年，出現(xiàn)了CISA職業(yè)化認證，并在1981年舉辦了第一次CISA考試。2019年9月，美國國家標(biāo)準(zhǔn)協(xié)會（ANSI）對ISACA提供的CISA和CISM資格進行了鑒定的認可，鞏固了這兩個資格的地位。信息系統(tǒng)審計發(fā)展的歷史（續(xù)）政府審計：起源于對政府信息系統(tǒng)的評價1959年，GAO發(fā)

6、布第一份政府的信息系統(tǒng)審計報告：評價自動化數(shù)據(jù)處理系統(tǒng)的安裝；2019年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計手冊（第一版）； 2019年， GAO發(fā)布聯(lián)邦信息系統(tǒng)安全審計管理的計劃指南；2019年，審計署組織了第一次信息系統(tǒng)審計項目；2019年，審計署組織了第一次獨立的信息系統(tǒng)審計項目；2009年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計手冊（第二 版）信息系統(tǒng)審計的標(biāo)準(zhǔn)體系ISACA的信息系統(tǒng)審計標(biāo)準(zhǔn)標(biāo)準(zhǔn)（Standards）指南（Guidelines）流程（Procedures）信息系統(tǒng)審計可以參考的其他標(biāo)準(zhǔn)信息系統(tǒng)控制方面信息系統(tǒng)運營、服務(wù)管理方面信息系統(tǒng)安全方面信息系統(tǒng)審計必須遵循的行業(yè)法規(guī)ISAC

7、A的信息系統(tǒng)審計標(biāo)準(zhǔn)標(biāo)準(zhǔn)：定義了信息系統(tǒng)審計和報告的強制性要求。指南：對審計人員執(zhí)行信息系統(tǒng)審計標(biāo)準(zhǔn)的指導(dǎo)，信息系統(tǒng)審計人員在實施相關(guān)工作時，應(yīng)當(dāng)考慮這些指南的要求。 流程：為信息系統(tǒng)審計人員在執(zhí)行具體審計任務(wù)時提供詳細的案例，供審計人員參考。 標(biāo)準(zhǔn)生效日期指南生效日期流程生效日期信息系統(tǒng)審計可以參考的其他標(biāo)準(zhǔn)信息系統(tǒng)控制方面COSO COBIT SAC&eSAC 信息系統(tǒng)運營、服務(wù)管理方面ITIL信息系統(tǒng)安全方面ISO/ICT17799 COSOCOSO內(nèi)部控制框架實際上是COSO組織在1992年9月發(fā)布的一份報告，報告的正式名稱是“內(nèi)部控制-完整框架”。它是在美國審計行業(yè)最為廣泛接受并使用

8、的內(nèi)部控制框架。包括政府審計和會計師事務(wù)所的審計都以COSO作為檢查組織內(nèi)部控制的標(biāo)準(zhǔn)框架。盡管COSO框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審計領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計的框架和指南都會考慮吸取它的主要思想作為內(nèi)部控制的考慮出發(fā)點。特別是2019年薩班斯奧克斯利法案(SOX)頒布后，美國證券交易管理委員會（SEC）把COSO框架作為組織加強內(nèi)部控制的唯一參考框架，更進一步提升了COSO框架的重要地位。許多組織為了達到SOX法案對內(nèi)部控制和信息真實性的要求，紛紛對信息系統(tǒng)進行控制評估和風(fēng)險測試，開發(fā)了各種信息技術(shù)控制框架以符合COSO提出的要求，從而把信息技術(shù)的一般控制和

9、應(yīng)用控制方法與COSO框架結(jié)合起來。 SAC&eSAC SAC是第一個與信息技術(shù)相關(guān)的內(nèi)部控制框架，它其實是由內(nèi)部審計師學(xué)會（IIA）在1977年發(fā)布一份報告，報告的正式名稱是系統(tǒng)審計與控制報告，該報告著重從業(yè)務(wù)視角考察信息技術(shù)，分析了存在于信息系統(tǒng)的計劃、實施、自動化應(yīng)用中的風(fēng)險，希望為組織提供“對信息技術(shù)與系統(tǒng)審計的控制的指導(dǎo)”。 SAC報告包含了14個模塊，分別是：執(zhí)行概要、審計與控制環(huán)境、審計中信息技術(shù)的應(yīng)用、計算機資源管理、管理信息與開發(fā)系統(tǒng)、業(yè)務(wù)系統(tǒng)、最終用戶與部門級計算、通訊、安全、意外計劃、技術(shù)、索引、先進技術(shù)支持、案例研究。2019年，內(nèi)部審計師學(xué)會（IIA）發(fā)布了適應(yīng)時代的

10、信息系統(tǒng)控制模型：電子系統(tǒng)驗證與控制（eSAC），主要內(nèi)容包括高級管理人員、公司治理實體、審計人員在理解、評估、監(jiān)控、化解技術(shù)風(fēng)險時需要掌握的新知識。eSAC的核心通過五個驗證目標(biāo)（可用性、性能、功能、保護、責(zé)任）與COSO的四個內(nèi)部控制目標(biāo)（運行、報告、符合、維護）以及五項基礎(chǔ)設(shè)施模塊（人員、技術(shù)、過程、投資、通訊）結(jié)合起來。 ITIL ITIL是指信息技術(shù)基礎(chǔ)設(shè)施庫（IT Infrastructure Library）。是一個能促進組織接近提供高質(zhì)量的信息技術(shù)服務(wù)的最佳實踐的框架。ITIL專門關(guān)注怎樣做和誰來做。核心過程包括在兩個ITIL的文檔中：服務(wù)支持和服務(wù)交付。服務(wù)支持主要包括以下過

11、程：事故管理問題管理配置管理變更管理版本管理服務(wù)交付主要包括以下過程：服務(wù)水平管理信息技術(shù)服務(wù)的財務(wù)管理能力管理信息技術(shù)服務(wù)持續(xù)度管理可用性管理ITIL還包括了基礎(chǔ)架構(gòu)管理、應(yīng)用程序管理、安全管理、規(guī)劃與實施服務(wù)管理、軟件資產(chǎn)管理等內(nèi)容。ISO/ICT17799 ISO/ICT17799是信息安全的國際標(biāo)準(zhǔn)，是由國際標(biāo)準(zhǔn)化組織（ISO）和國際電子技術(shù)委員會（ICT）頒布的。該標(biāo)準(zhǔn)的正式名稱是“信息技術(shù)安全技術(shù)信息安全管理實務(wù)規(guī)定”。其中ISO/ICT17799：2000版本，是對英國標(biāo)準(zhǔn)BS7799-1：2019的復(fù)制。2019版的ISO/ICT17799標(biāo)準(zhǔn)包含了以下12個方面：風(fēng)險評估與處

12、理、安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通訊與運營管理、訪問控制、信息系統(tǒng)獲取、開發(fā)與維護、信息安全事故管理、業(yè)務(wù)持續(xù)管理、符合性。在標(biāo)準(zhǔn)的每一部分中，都清楚地標(biāo)明了信息技術(shù)安全控制的目標(biāo)，信息技術(shù)安全控制被作為達到這些目標(biāo)的最佳實踐。 信息系統(tǒng)審計必須遵循的行業(yè)法規(guī)Gramm-Leach-Bliley 法案(GLBA) 又稱金融現(xiàn)代化法案，2019年11月12日獲得美國國會的通過， GLBA規(guī)定金融機構(gòu)必須評估客戶機密信息的風(fēng)險，制定控制措施，盡量降低已知風(fēng)險，并定期更新風(fēng)險評估結(jié)果和控制措施。 健康保險流通與責(zé)任法案(HIPAA) 2019年8月21日，健康保險

13、流通與責(zé)任法案(HIPAA) (The Health Insurance Portability and Accountability Act)獲得美國國會的通過，法案規(guī)定所有處理和/或持有健康醫(yī)療相關(guān)信息的組織都必須遵守保護病患信息 (PHI) 的安全性規(guī)定。 HIPAA把醫(yī)療記錄和相關(guān)信息定義為需要特別控制的受保護的健康信息。薩班斯一奧史斯利法案(Sarbanes-Oxley Act) 2019 年通過的薩班斯一奧史斯利法案 (Sarbanes-Oxley (SOX) Act of 2019) 規(guī)定美國證券交易所 (SEC) 的注冊公司必須針對運營和金融業(yè)務(wù)建立并維持有效的內(nèi)部控制架構(gòu)，為

14、控制措施的有效性提供管理報告，而且控制措施的有效性必須通過外部審計人員的審核。 內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀美國聯(lián)邦審計機構(gòu)信息系統(tǒng)審計美國地方審計機構(gòu)信息系統(tǒng)審計國外IT績效審計與電子政務(wù)審計美國聯(lián)邦機構(gòu)信息系統(tǒng)審計美國的聯(lián)邦審計機構(gòu)（中央級）由兩部分組成：一部分是美國審計署（GAO），另一部分是兼有審計、監(jiān)察兩種職能的行政部門和機構(gòu)的監(jiān)察長辦公室（OIGs）。美國聯(lián)邦審計機構(gòu)美國審計署作為議會的調(diào)查機構(gòu)，是議會用來監(jiān)督和評價聯(lián)邦政府的工具

15、。其主要工作是開展項目效果評價和管理評估、政策評估以及為國會提供有關(guān)政府施政方面的復(fù)雜問題的研究報告。除對聯(lián)邦合并財務(wù)報表和個別機構(gòu)、單位的財務(wù)報表由美國審計署進行審計外，部門和機構(gòu)的財務(wù)審計基本上交由監(jiān)察長辦公室進行。美國的監(jiān)察長審計制度是通過1978年監(jiān)察長法建立起來的。根據(jù)1978年的監(jiān)察長法及其后來的修正案，聯(lián)邦政府各部門均設(shè)立監(jiān)察長辦公室，監(jiān)察長負責(zé)監(jiān)察長辦公室的工作，由總統(tǒng)任命。監(jiān)察長辦公室的預(yù)算是獨立的，由國會批準(zhǔn)，部門負責(zé)人不能用經(jīng)費來限制監(jiān)察長辦公室的業(yè)務(wù)活動。監(jiān)察長辦公室的工作范圍十分廣泛，涉及到影響部門工作效率和效果的各個方面。其主要工作包括審計、對投訴、舉報和有關(guān)事項的

16、調(diào)查和監(jiān)察等工作。其中，審計工作主要包括財務(wù)審計和績效審計兩個方面。美國審計署和監(jiān)察長辦公室在分工上各有側(cè)重，二者共同構(gòu)成了美國國家審計的整體。美國審計署與監(jiān)察長辦公室的關(guān)系美國審計署監(jiān)察長辦公室作用范圍整個政府部門、機構(gòu)內(nèi)部關(guān)注問題普遍性（橫向）和長期性的問題深入（縱向）和短期性的問題工作類型較多審計、評價和政策分析較多調(diào)查對財務(wù)報表審計的分工對聯(lián)邦政府合并報表發(fā)表意見對部門、機構(gòu)財務(wù)報表進行審計對政府績效進行監(jiān)督的方式提出聯(lián)邦政府部門績效和責(zé)任高風(fēng)險名單提出政府部門面臨的管理挑戰(zhàn)清單（根據(jù)2019年3月24日美國審計長大衛(wèi)沃克所做的美國審計署和監(jiān)察長辦公室：提高政府績效和責(zé)任演講中的幻燈片

17、的內(nèi)容編譯。）1、美國審計署美國審計署與計算機相關(guān)的組織機構(gòu) 在業(yè)務(wù)方面，設(shè)置了專門的信息技術(shù)局開展信息系統(tǒng)審計； 另外，在應(yīng)用研究與技術(shù)局下設(shè)有專門的技術(shù)工程和信息安全實驗中心，負責(zé)改善信息技術(shù)和促進軟件工程現(xiàn)代化，評估聯(lián)邦政府計算機系統(tǒng)的安全性。 在保障方面，設(shè)置了專門的信息系統(tǒng)與技術(shù)服務(wù)部門保障內(nèi)部信息系統(tǒng)的運轉(zhuǎn)。相關(guān)計算機機構(gòu)的任務(wù)信息技術(shù)局（截止至2019年4月）有局領(lǐng)導(dǎo)2人，5個處，分別是： （1）信息管理； （2）信息技術(shù)架構(gòu)與系統(tǒng)； （3）信息技術(shù)人力資本與管理； （4）信息技術(shù)管理事務(wù)： （5）信息技術(shù)安全事務(wù)。信息系統(tǒng)與技術(shù)服務(wù)部門設(shè)GAO首席信息官（CIO）一名，承擔(dān)9項

18、任務(wù)： （1）業(yè)務(wù)系統(tǒng)；（2）客戶關(guān)系； （3）預(yù)約管理； （4）組織架構(gòu)；（5）信息系統(tǒng)安全；（6）網(wǎng)絡(luò)運營； （7）運行與計劃；（8）通訊；（9）網(wǎng)頁服務(wù) 技術(shù)工程和信息安全實驗中心負責(zé)對工作成果有關(guān)內(nèi)容的準(zhǔn)確性進行技術(shù)檢驗，包括具備系統(tǒng)工程、軟件工程、成本概算和計算機安全等方面的工程師和科學(xué)家。美國審計署文件對信息系統(tǒng)審計組織機構(gòu)的要求美國審計署信息系統(tǒng)安全審計管理的計劃指南（2019年12月）中提到： 審計機關(guān)所轄信息系統(tǒng)審計部門的大小決定了信息系統(tǒng)審計的能力，州和地方審計機關(guān)信息系統(tǒng)審計部門的大小和職能區(qū)別很大。 一些審計機關(guān)沒有設(shè)置信息系統(tǒng)審計部門，而是通過與社會審計有關(guān)方面簽訂合

19、同，完成信息系統(tǒng)審計工作。還有一些審計機關(guān)的信息系統(tǒng)審計人員直接整合進入財務(wù)審計和業(yè)務(wù)審計小組。 此外，審計機關(guān)應(yīng)該根據(jù)其大小、結(jié)構(gòu)和任務(wù)建立健全信息系統(tǒng)安全審計方面的能力。美國審計署對信息系統(tǒng)控制審計的提法1、一般控制（摘自聯(lián)邦信息系統(tǒng)控制審計手冊）：實體安全控制訪問控制應(yīng)用軟件開發(fā)和變更控制系統(tǒng)軟件控制職責(zé)分離控制服務(wù)連續(xù)性控制2、應(yīng)用控制（摘自聯(lián)邦政府內(nèi)部控制標(biāo)準(zhǔn)和控制管理與評價工具）：授權(quán)控制完整性控制準(zhǔn)確性控制數(shù)據(jù)文件和處理的完整性控制美國審計署關(guān)于信息系統(tǒng)安全審計的提法（摘自信息系統(tǒng)安全審計管理的計劃指南） 信息系統(tǒng)安全審計的目標(biāo)是：支持財務(wù)審計、支持效益審計、支持計算機輔助審計和

20、完成系統(tǒng)開發(fā)的安全檢查等。 滿足信息系統(tǒng)安全審計目標(biāo)的活動有：計劃支持； 一般控制檢查（組織和管理、應(yīng)用開發(fā)與維護、系統(tǒng)軟件、計算機運行、安全管理、邏輯安全、物理安全）、 應(yīng)用控制檢查（輸入控制、輸出控制）；采用專門的安全技術(shù)工具；收集其他安全相關(guān)信息；其他的專業(yè)支持。美國審計署與信息技術(shù)投資相關(guān)的指南和手冊信息技術(shù)：評估采購風(fēng)險的審計指南, 1992年12月；執(zhí)行指南：通過信息管理戰(zhàn)略來提高執(zhí)行任務(wù)的效果，1994年5月；信息技術(shù)投資：聯(lián)邦機構(gòu)能提高效益、降低成本和使風(fēng)險最小，2019年9月；信息技術(shù)投資評價指南，2019年2月；執(zhí)行指南：信息技術(shù)投資的效益計量和成果演示，2019年3月；執(zhí)

21、行指南：信息安全管理，2019年8月；信息安全風(fēng)險評估：領(lǐng)先者的實踐經(jīng)驗，2019年11月；信息技術(shù)投資管理執(zhí)行指南：評估和改進過程成熟度的框架 2019年3月。美國審計署發(fā)布的信息系統(tǒng)審計報告根據(jù)對美國審計署官方網(wǎng)站上審計報告的統(tǒng)計,自1959年12月15日的評價自動化數(shù)據(jù)處理系統(tǒng)的安裝開始至今（2019年5月），美國審計署共發(fā)布1632份有關(guān)信息管理的審計報告。自2000年1月至今，美國審計署共發(fā)布有有關(guān)信息管理的審計報告392篇，占同期全部審計報告（ 7087份）約5.5%。以美國審計署網(wǎng)站公布的第一份信息管理類審計報告為例這是一份提交給郵政事務(wù)委員會（THE COMMITTEE ON

22、POST OFFICE AND CIVIL SERVICE）的報告。審計調(diào)查：1959年10月，郵政事務(wù)委員會請求美國審計署對其自動化數(shù)據(jù)處理系統(tǒng)的安裝進行評價。1952年12月，其下屬部門租得一套中型計算機系統(tǒng)Datatron 205，年度租金$123,300，增加運營成本$156,700，該部門不久 安裝了一套更大處理能力的Datatron 220,將進一步增加運營成本$127, 500。 審計署認為，該部門決定租用計算機系統(tǒng)Datatron 205的理由是充分的，但調(diào)查也發(fā)現(xiàn)使用該套設(shè)備并不能直接節(jié)約費用。以美國審計署發(fā)布的最新一期信息管理類審計報告為例信息安全：美國聯(lián)邦存款保險公司需要

23、繼續(xù)改進其處理程序。 GAO-07-351, 2019年5月18日 美國審計署為什么要完成進行這項審計任務(wù)？ 美國聯(lián)邦存款保險公司（FDIC）有責(zé)任強制要求金融機構(gòu)遵守銀行法，保護存款人的利益。作為2019年度財務(wù)報表審計的一部分，美國審計署評估以下內(nèi)容：（1）美國聯(lián)邦存款保險公司按照先前報告要求，對信息安全薄弱環(huán)節(jié)的糾正情況。 （2）信息系統(tǒng)完整性控制的效力，以保證財務(wù)信息和信息系統(tǒng)的機密性和有效性。美國審計署的建議是： 美國聯(lián)邦存款保險公司應(yīng)采取措施解決控制薄弱點，并將NFE“新財務(wù)環(huán)境”充分整合，納入統(tǒng)一的信息安全程序。 在起草報告的過程中，美國聯(lián)邦存款保險公司反映他們正在落實整改。以美

24、國審計署發(fā)布的最新一期信息管理類審計報告為例（續(xù)）美國審計署的審計發(fā)現(xiàn)： 首先，美國聯(lián)邦存款保險公司積極按照2019年美國審計署報告的建議，對26項薄弱點進行了糾正。其中包括： （1）正在開發(fā)和已經(jīng)完成的計算機程序不得在網(wǎng)絡(luò)中以可讀取的方式傳輸主機用戶和管理員的密碼； （2）使用程序變更供應(yīng)商的用戶名/密碼； （3）改進主機的安全監(jiān)控等。 雖然，美國聯(lián)邦存款保險公司已經(jīng)采取了有效措施改進其信息系統(tǒng)控制，但是原有的和新發(fā)現(xiàn)的薄弱點將阻礙公司保護其財務(wù)和敏感信息與系統(tǒng)的完整、機密和有效。除了還有5項薄弱點還沒有得到糾正以外，本次審計還發(fā)現(xiàn)以下控制存在薄弱點： （1）e-mail安全；（2）物理安全

25、；（3）配置管理。 雖然這些薄弱點可能不會給公司的財務(wù)報表造成虛假陳述的顯著風(fēng)險，但是他們的確是可能造成財務(wù)和信息系統(tǒng)風(fēng)險的發(fā)生。此外，公司沒有將其“新財務(wù)環(huán)境”（NFE）納入整體的信息安全程序，沒有對其實施關(guān)鍵的控制活動。 2、監(jiān)察長辦公室（OIGs）監(jiān)察長辦公室下設(shè)多個部門，其中包括審計處。審計處主要負責(zé)： 1、實施和監(jiān)督與部門項目和業(yè)務(wù)活動有關(guān)的審計； 2、提出相關(guān)政策建議以提升部門項目和業(yè)務(wù)活動管理的經(jīng)濟、效率和效果，揭露并杜絕項目和業(yè)務(wù)活動管理過程中出現(xiàn)的舞弊、浪費、濫用和管理不善問題，協(xié)助監(jiān)察長提請部長和國會注意有關(guān)部門項目和業(yè)務(wù)管理方面的問題、不足以及改善的必要性和過程。監(jiān)察長下

26、設(shè)的審計部門在信息系統(tǒng)審計領(lǐng)域，同樣要遵守美國審計署頒布的審計標(biāo)準(zhǔn)、手冊和指南。美國小企業(yè)管理局監(jiān)察長辦公室，2019財年信息系統(tǒng)控制審計報告，2019年4月審計人員檢查了小企業(yè)管理局的財務(wù)管理系統(tǒng)的一般控制和應(yīng)用控制，確認其是否控制符合聯(lián)邦的要求。本次審計，對聯(lián)邦政府進行一般控制和應(yīng)用控制的檢查，主要依據(jù)下列文件： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）聯(lián)邦信息資源和計算機安全法案，1987年。審計結(jié)論認為：小企業(yè)管理局在實施信息系統(tǒng)安全程序方面獲得相當(dāng)大的進展，但仍然存在不足，部分控制仍需加強，包括：整體的安全控制、訪問控制、應(yīng)用軟件開發(fā)和變更控制、系統(tǒng)軟件控制、職責(zé)分

27、離控制控制和業(yè)務(wù)持續(xù)性控制。該報告也提出了相應(yīng)的解決建議。聯(lián)邦通信委員會監(jiān)察長辦公室， 呼叫中心的計算機控制審計，2000年6月審計依據(jù)： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）美國審計署聯(lián)邦信息系統(tǒng)控制審計手冊； （3）通訊委員會自定的“計算機安全程序”； （4）“計算機舞弊和濫用法”。審計發(fā)現(xiàn)： 審計最終發(fā)現(xiàn)103處問題，其中高風(fēng)險（13處），中風(fēng)險（52處），低風(fēng)險（38處）。 呼叫中心共有3大系統(tǒng)，分別是：自動呼叫管理系統(tǒng)、語音響應(yīng)系統(tǒng)和專家顧問系統(tǒng)。國外的信息系統(tǒng)審計美國聯(lián)邦審計機構(gòu)信息系統(tǒng)審計美國地方審計機構(gòu)信息系統(tǒng)審計國外IT績效審計與電子政務(wù)審計兩個協(xié)會美國

28、州審計師、主計師、司庫全國協(xié)會(NASACT)美國地方政府審計師協(xié)會（ALGA）美國州審計師、主計師、司庫全國協(xié)會(NASACT)美國州審計師、主計師、司庫協(xié)會由州政府開展財務(wù)管理政府官員組成的一個組織。其會員包括美國50個州、哥倫比亞特區(qū)等美國領(lǐng)土的所有審計師、主計師和司庫。該協(xié)會成立了專門的政府間信息安全審計論壇，以促進加強政府信息安全審計能力。包括5個組，任務(wù)目標(biāo)組、法律文件和報告組、技術(shù)組、培訓(xùn)和課件開發(fā)組和信息共享組。其目標(biāo)是：技術(shù)技巧和人力資源；采用的審計方法和工具；建立完成信息安全審計的技術(shù)、法律和程序基礎(chǔ)；開發(fā)材料，教育信息安全風(fēng)險與審計；討論改善信息安全的統(tǒng)一標(biāo)準(zhǔn)。其開發(fā)的操

29、作手冊包括：一般控制、應(yīng)用控制、計算機輔助審計技術(shù)、計算機取證審計美國地方政府審計師協(xié)會（ALGA）美國地方政府審計師協(xié)會是由有關(guān)審計機構(gòu)組成，自由入會，共享資源。該協(xié)會對信息系統(tǒng)審計沒有特別定義，它收集了很多與信息系統(tǒng)審計相關(guān)的資源，包括： （1）AICPA，SASNo.94“信息技術(shù)對審計師在財務(wù)報表審計中考慮內(nèi)部控制的影響”； （2）信息系統(tǒng)控制與審計學(xué)會的信息系統(tǒng)審計； （3）內(nèi)部審計學(xué)會信息技術(shù)審計； （4）NIST關(guān)于聯(lián)邦信息處理標(biāo)準(zhǔn)中計算機安全的描述 ；德克薩斯州審計局犯罪司法信息系統(tǒng)數(shù)據(jù)的準(zhǔn)確性，2019年12月經(jīng)過審計，審計局認為德州CJIS（犯罪司法信息系統(tǒng)）比5年完善和準(zhǔn)

30、確。但是，還有部分有待改善。審計局曾經(jīng)作出評估德州犯罪司法信息系統(tǒng)的審計報告，指出該系統(tǒng)存在多個薄弱點可能影響數(shù)據(jù)的可靠性。審計報告指出需要采取若干基本控制以確保數(shù)據(jù)的可靠性。審計報告的內(nèi)容主要分兩個部分： （1）州公共安全廳應(yīng)加強控制確保犯罪數(shù)據(jù)庫系統(tǒng)（CCH）數(shù)據(jù)的完整和準(zhǔn)確； 犯罪數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)是不完整的，審計發(fā)現(xiàn)法院部署實施逮捕的數(shù)據(jù)與在冊的罪犯數(shù)據(jù)不匹配。其原因有：有關(guān)方面還沒有提交逮捕信息，公共安全廳的“自動指紋識別系統(tǒng)”和現(xiàn)場掃描系統(tǒng)存在數(shù)據(jù)重復(fù)等。 （2）州犯罪司法廳應(yīng)改進罪犯改正跟蹤系統(tǒng)，并加強該系統(tǒng)的IT控制。國外的信息系統(tǒng)審計美國聯(lián)邦審計機構(gòu)信息系統(tǒng)審計美國地方審計機構(gòu)

31、信息系統(tǒng)審計國外IT績效審計與電子政務(wù)審計美國的做法電子政務(wù)法案，2019 在頒布電子政務(wù)法案前的20年，美國陸續(xù)頒布過很多與聯(lián)邦信息技術(shù)管理相關(guān)的法律文件，如隱私法、信息自由法 、Clinger-Cohen 法（信息技術(shù)管理改革法）、文書削減法等。 2019年,由預(yù)算與管理辦公室(OMB)主導(dǎo),促成了電子政務(wù)法的頒布。該法案在第2章“聯(lián)邦管理與電子政務(wù)促進”中3707條款提到：美國審計署應(yīng)在4年內(nèi)向眾議院政府改革委員會和參議院政務(wù)事務(wù)委員會提交一份報告，包括評價信息技術(shù)交換技術(shù)的效力；以及該程序是否應(yīng)該繼續(xù)或終止的建議。該法案第2章“聯(lián)邦信息系統(tǒng)標(biāo)準(zhǔn)的責(zé)任”11331條款中提到：國家技術(shù)標(biāo)準(zhǔn)

32、委在制定相關(guān)標(biāo)準(zhǔn)時應(yīng)與預(yù)算與管理辦公室、國防部、能源部、國家安全局、審計署和國土安全部協(xié)商。該法案第3章2332條款提到：美國審計署在六個月內(nèi)向國會提交一份有關(guān)“結(jié)余分享”（share-in-savings contracts）的報告。美國地方審計機關(guān)對電子政務(wù)的審計報告美國新澤西州審計局在2019年對信息技術(shù)局的電子政務(wù)服務(wù)進行了審計；美國明尼蘇達州審計機關(guān)在2019年4月對當(dāng)?shù)氐碾娮诱?wù)進行了審計；美國亞利桑那州審計局在2019年9月對州運輸局的車輛處進行了對信息安全和電子政務(wù)的審計英國的做法英國審計署十分注重VFM（Value for Money）審計，即價值衡量審計（績效審計），IT項

33、目績效也在其重點考慮和評價之列。有資料表明，英國審計署對IT項目的最初審計實踐始于1984年，經(jīng)過多年發(fā)展，英國審計署已經(jīng)將有關(guān)信息技術(shù)服務(wù)管理作為進一步利用計算機開展績效審計工作的主要方向。2019年12月和2019年4月，英國審計署分兩次提交網(wǎng)上政府報告；2019年4月，提交通過電子政務(wù)提供更好的公眾服務(wù)報告；2019年5月，提交采購和管理軟件許可證報告；2019年，提交改進IT采購：商務(wù)部改進IT程序和項目效益的動機及影響報告；2019年，提交健康部：健康部的國家IT項目報告。“信息通信技術(shù)在電子政務(wù)審計中的應(yīng)用：關(guān)于效率、透明和責(zé)任的戰(zhàn)略”的國際專題討論會。2019年4月，聯(lián)合國（UN

34、）和最高審計機關(guān)國際組織（INTOSAI）在奧地利維也納召開。電子政務(wù)審計作為加強政府透明和責(zé)任不可缺失的手段正在受到各國審計機關(guān)的高度重視。審計機關(guān)電子政務(wù)審計的成熟度，取決于國家電子政務(wù)達到的水平，以及審計機關(guān)自身的技術(shù)。2019年4月，最高審計機關(guān)國際組織IT審計委員會在莫斯科召開了第4次效益審計工作會議議題：“如何對電子政務(wù)開展效益審計”包含3個子議題，分別是: “電子政務(wù)項目的風(fēng)險評估”， “以用戶為導(dǎo)向的效率問題”， “審計電子政務(wù)時面臨的挑戰(zhàn)”。內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎

35、么審交流互動信息系統(tǒng)審計模型COBITCOBIT：全稱是信息技術(shù)控制目標(biāo)框架，由ISACF在2019年發(fā)布，分別在2019、2000、2019年進行了修訂，目前的版本是COBIT4.1。信息系統(tǒng)審計模型COBITCOBIT是一個全面的內(nèi)部控制框架，是一個在國際上公認為最先進、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn) 。 COBIT的內(nèi)容主要參考了不同的國際組織的標(biāo)準(zhǔn)或最佳實踐，覆蓋了當(dāng)今世界上關(guān)于控制和IT的主要標(biāo)準(zhǔn) 。 如：國際標(biāo)準(zhǔn)化組織（ISO）ISACA信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC）COSOGAOIFACIIAAICPACICA歐洲安全論壇（ESF）國家標(biāo)準(zhǔn)與技術(shù)學(xué)會（NIST） CO

36、BIT的基本原理COBIT是基于控制的模型 COBIT對控制的定義是：“組織為了能夠預(yù)防、檢測、糾正非預(yù)想情況的發(fā)生，而設(shè)計實施的一整套策略、程序、實務(wù)以及組織結(jié)構(gòu)等的集合，以達到組織的各項業(yè)務(wù)目標(biāo)。”這個定義與其他內(nèi)部控制框架對控制的定義差不多。COBIT架起了強調(diào)業(yè)務(wù)的控制模型（如COSO）和強調(diào)IT的控制模型（如BS7799）之間的橋梁。 COBIT是面向過程的模型COBIT把IT環(huán)境下的各項活動組合成為過程，對每個過程設(shè)定了一批詳細的控制目標(biāo)，又把這些過程按照邏輯相關(guān)性組合成為域。COBIT有四個最高層的域，在這四個域中共包含了34個高層控制目標(biāo)和318個具體控制目標(biāo)。這四個域是：PO

37、域：計劃與組織（11個過程）AI域：獲取與實施（6個過程）DS域：交付與支持（13個過程）ME域：監(jiān)測與評估（4個過程） 信息系統(tǒng)審計模型COBITCOBIT定義了組織中的4種關(guān)鍵信息技術(shù)資源：人員信息應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness） ：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效” 的信息效率性（Efficiency） ：“有效率” 地使用資源，提供信息保密性（Confidentiality） ： 保護敏感信息，避免泄漏信息一致性（Integrity） ：保證信息的“真實可信” ，即信息準(zhǔn)確、完整，并且 從業(yè)務(wù)價值和業(yè)務(wù)需要的角度來說是正確有效的

38、可用性（Availablity）：當(dāng)業(yè)務(wù)需要時，信息可隨時獲得可靠性（Reliability）：為管理層維持組織運轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng) 的信息合規(guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動信息系統(tǒng)審計的提出與探索從審計署計算中心成立之初，就開始提出開展信息系統(tǒng)審計，建立中國自己的信息系統(tǒng)審計人才認證；十幾年來，全國各級審計機關(guān)逐步嘗試開展信息系統(tǒng)審計實踐，為其發(fā)展積累了經(jīng)驗；學(xué)術(shù)界也為信息系統(tǒng)審計工作進行了多年的理論

39、準(zhǔn)備。有了這些積累，以下的事情也就成為水到渠成了：開展的信息系統(tǒng)審計項目2019年以前，部分特派辦和省廳已經(jīng)開始在審計項目中嘗試開展信息系統(tǒng)審計工作。2019年6月到11月，審計署組織在國家開發(fā)銀行的資產(chǎn)、負債及損益審計項目中開展了對信息系統(tǒng)控制的審計，這是審計署第一次正式組織信息系統(tǒng)審計項目。2019年上半年，審計署組織對中國煙草總公司、中國石油化工集團、中化集團開展了信息系統(tǒng)審計調(diào)查。2019年下半年，審計署組織對中化集團及天津公司開展了信息系統(tǒng)審計項目，這是審計署第一次獨立組織的信息系統(tǒng)審計項目。培訓(xùn)和交流2019年底，審計署派團前往美國學(xué)習(xí)信息系統(tǒng)審計，歸國后學(xué)員的學(xué)習(xí)報告和建議得到署

40、領(lǐng)導(dǎo)重視。2019年5月到6月，審計署在南京審計學(xué)院舉辦第一期信息系統(tǒng)審計培訓(xùn)班，來自審計署機關(guān)、派出局、特派辦、地方審計機關(guān)的49名學(xué)員參加了培訓(xùn)。12月又舉辦了第二期培訓(xùn)班。2019年，面向全國審計機關(guān)征集了第一批信息系統(tǒng)審計案例，并召開了研討會。2009年，再次面向全國審計機關(guān)征集信息系統(tǒng)審計案例，計劃在11月份再次評審并召開了研討會。資料編寫和翻譯2019年，審計署培訓(xùn)中心組織把最高審計機關(guān)國際組織的IT審計課件翻譯成為中文，計算中心與相關(guān)機構(gòu)聯(lián)系，把該資料掛在委員會網(wǎng)站上。2019年，審計署科研所組織編寫了信息系統(tǒng)審計技術(shù)方法。2009年，審計署計算中心開始翻譯GAO的聯(lián)邦信息系統(tǒng)控

41、制審計手冊。規(guī)范準(zhǔn)備2019年，審計署計算中心組織編制了信息系統(tǒng)審計準(zhǔn)則，后此項工作交由法規(guī)司負責(zé)。2019年，審計署計算中心組織開始編制信息系統(tǒng)審計指南，此項工作計劃在2009年3月底完成。內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動案例1：國家開發(fā)銀行信息系統(tǒng)審計案例2：中化集團信息系統(tǒng)審計內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動政府信息系統(tǒng)審計的總體目的對被審計單位的信息系統(tǒng)運行

42、、管理中的控制的有效性進行評價，包括對相關(guān)控制的設(shè)計是否合理、執(zhí)行是否有效，有無重大的控制缺失等。審計機關(guān)和審計人員應(yīng)當(dāng)根據(jù)本單位擬開展的信息系統(tǒng)審計項目的實際情況，確定信息系統(tǒng)審計的目的，包括以下不同情況：在財務(wù)收支審計中，通過對與財務(wù)收支審計目標(biāo)相關(guān)的信息系統(tǒng)一般控制和應(yīng)用控制的有效性進行評價，從而為財務(wù)收支審計提供支持；在獨立的信息系統(tǒng)審計項目中，通過對系統(tǒng)控制的有效性進行測試，指出系統(tǒng)的關(guān)鍵控制缺陷，在此基礎(chǔ)上進一步對信息系統(tǒng)控制的有效性給予評價；或者僅指出系統(tǒng)的關(guān)鍵控制缺陷，而不進行整體評價。政府信息系統(tǒng)審計的范圍針對以上目的，信息系統(tǒng)審計可以在以下不同的層次開展：可以針對被審計單位

43、的整體信息系統(tǒng)運行和管理進行審計；可以針對被審計單位的特定的信息系統(tǒng)（如ERP系統(tǒng)）或者使用的特定技術(shù)（如網(wǎng)絡(luò)安全）進行審計；可以只對一般控制或應(yīng)用控制情況開展審計。審計計劃階段計劃階段的目的是：了解被審計單位以及其業(yè)務(wù)運作情況；識別風(fēng)險和內(nèi)部控制；確定審計的性質(zhì)、范圍和重點。計劃階段主要的任務(wù)有：確定合適的被審計單位以及適合開展審計的信息系統(tǒng)。確定審計所關(guān)注的重要領(lǐng)域。初步評估系統(tǒng)的風(fēng)險。了解并初步評估信息系統(tǒng)控制。形成審計方案和審計實施方案。確定合適的被審計單位以及適合開展審計的信息系統(tǒng)1、選擇合適的被審計單位是國家審計特有的任務(wù)，這主要取決于：（1）根據(jù)國家政策監(jiān)管的要求，國家審計的關(guān)注

44、點、行業(yè)的重要程度、以及被審計單位的信息化程度等多方面因素確定。例如金融行業(yè)、電信行業(yè)等重點行業(yè)對于保障國計民生以及維護國家經(jīng)濟安全至關(guān)重要，國家有很多監(jiān)管要求，本行業(yè)信息化程度也很高，審計機關(guān)應(yīng)當(dāng)充分考慮對其開展信息系統(tǒng)審計。（2）在日常審計工作中，感覺有必要開展信息系統(tǒng)審計的單位，可在對其充分調(diào)查的基礎(chǔ)上，開展各種形式的信息系統(tǒng)審計。確定合適的被審計單位以及適合開展審計的信息系統(tǒng)2、選擇適合開展審計的信息系統(tǒng)時，要考慮：（1）該系統(tǒng)對于被審計單位的重要程度。被審計單位對系統(tǒng)的依賴程度越高，開展信息系統(tǒng)審計的意義越大。（2）該系統(tǒng)的復(fù)雜程度。太復(fù)雜的系統(tǒng)應(yīng)當(dāng)考慮進行非全面的，特定范圍的信息系

45、統(tǒng)審計，如僅對其業(yè)務(wù)環(huán)節(jié)的應(yīng)用控制進行審計。了解被審計單位的相關(guān)情況在審計計劃階段，審計人員應(yīng)當(dāng)系統(tǒng)地搜集掌握被審計單位的相關(guān)信息，進行專業(yè)的分析和評估，為后續(xù)的工作做好準(zhǔn)備。為開展信息系統(tǒng)審計，審計人員需要了解的被審計單位的相關(guān)情況主要包括以下幾類：1、被審計單位的基本情況。2、被審計單位信息系統(tǒng)的情況。3、被審計單位的網(wǎng)絡(luò)和安全管理情況。4、影響被審計單位信息系統(tǒng)的內(nèi)、外部因素。（1）國家、行業(yè)的監(jiān)管信息，如IT相關(guān)法律法規(guī)、監(jiān)管要求、技術(shù)發(fā)展趨勢；（2）組織內(nèi)部的制度要求。5、組織的戰(zhàn)略目標(biāo)對信息技術(shù)和信息系統(tǒng)的依賴程度。6、信息技術(shù)的戰(zhàn)略目標(biāo)、發(fā)展規(guī)劃及近期發(fā)展計劃。7、信息技術(shù)組織架

46、構(gòu)和關(guān)鍵人員，以及最近一年的人員變更情況。8、信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的變更情況。9、被審計單位對外部信息技術(shù)服務(wù)的依賴程度。10、最近一年主要信息系統(tǒng)的上線、升級、變更情況。11、被審計單位的信息資產(chǎn)的敏感程度。12、以前年度IT審計、外部審計等相關(guān)的審計發(fā)現(xiàn)及追蹤情況。了解被審計單位的相關(guān)情況（續(xù)）識別出審計所關(guān)注的關(guān)鍵領(lǐng)域通過以上步驟，審計人員能夠?qū)Ρ粚徲媶挝坏南到y(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求都有了初步的了解，也就可以初步分析出組織所面臨的風(fēng)險。結(jié)合審計整體目的和以上情況，審計人員能夠識別出所關(guān)注的潛在的審計事項，在將這些潛在的審計事項按照風(fēng)險進行比較，審計人員就確

47、定了本次審計所關(guān)注的關(guān)鍵領(lǐng)域，也就是那些對于達到審計目標(biāo)而言關(guān)鍵的領(lǐng)域。審計計劃階段制定總體審計工作方案初步評估信息系統(tǒng)的風(fēng)險對信息系統(tǒng)的控制給出初步的評價制定審計實施方案審計實施階段信息系統(tǒng)的一般控制信息系統(tǒng)的應(yīng)用控制確定審計所關(guān)注的控制領(lǐng)域和控制目標(biāo)。根據(jù)已識別并評估的IT風(fēng)險，對潛在審計對象的了解程度、機構(gòu)重要性程度、審計資源配置，對控制的有效程度的初步評估結(jié)果，以及一般控制的審計目標(biāo)，審計機關(guān)和審計人員可以確定審計所關(guān)注的控制領(lǐng)域。識別被審計單位的控制活動。確定審計程序和測試方案。開展審計測試。審計人員根據(jù)既定的具體審計方案進行審計測試，編制審計工作底稿。評價一般控制和應(yīng)用控制的有效性

48、。審計報告階段內(nèi)容提要信息系統(tǒng)審計概述國際上開展的政府的信息系統(tǒng)審計現(xiàn)狀信息系統(tǒng)審計模型COBIT審計署所做的信息系統(tǒng)審計工作案例介紹與分析審什么和怎么審交流互動聯(lián)系方式審計署計算機技術(shù)中心輔助審計處 陳劍TEL13901167943E-MAIL:geermuusina謝謝大家！-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQ

49、iTlXo#r%v(y0B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x

50、-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLd

51、PgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)

52、z1C4F7JaMdPhSkWnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcO

53、fRjUmXp!s&v)z0C4F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u

54、(x+B2E5H9KcNfRiUmXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+7IaMdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQ

55、iTlXo#r%v(y+B3E6I9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w

56、-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7NeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePh

57、SkWnZr$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+A2E5H