內(nèi)部審計(jì)學(xué)第十三章信息系統(tǒng)審計(jì)

1、第十三章 信息系統(tǒng)審計(jì)本章大綱 信息系統(tǒng)審計(jì)概述 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容 信息系統(tǒng)審計(jì)的方法 信息系統(tǒng)審計(jì)中應(yīng)注意的問(wèn)題 本章小結(jié) 第一節(jié) 信息系統(tǒng)審計(jì)概述一、信息系統(tǒng)審計(jì)的概念1、信息系統(tǒng)審計(jì)的發(fā)展也經(jīng)歷了萌芽階段、 發(fā)展階段、成熟階段和普及階段四個(gè)階段2、代表性的定義有以下幾種：(1)國(guó)際信息系統(tǒng)審計(jì)委員會(huì)(ISACA)定義：信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果 地實(shí)現(xiàn)組織目標(biāo)地過(guò)程(2)日本通產(chǎn)省(1996)：為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的

2、信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向 IT 審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)(3)Ron Weber：信息系統(tǒng)審計(jì)是一個(gè)獲取證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及高效地利用組織的資源并有效地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。共同點(diǎn)：一是都認(rèn)為信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，和傳統(tǒng)審計(jì)的定義完全一致；二是都為了實(shí)現(xiàn)組織目標(biāo)，通過(guò)信息系統(tǒng)審計(jì)實(shí)現(xiàn)組織目標(biāo)；三是都是針對(duì)信息系統(tǒng)本身的應(yīng)用，都是關(guān)注信息系統(tǒng)在支撐或應(yīng)用的過(guò)程中的作用。第一節(jié) 信息系統(tǒng)審計(jì)概述二、分類對(duì)應(yīng)用控制的審計(jì)：信息系統(tǒng)業(yè)務(wù)流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同對(duì)一般控制的審計(jì)：信息系統(tǒng)總體控制，信息安全技

3、術(shù)控制和信息安全管理控制對(duì)項(xiàng)目管理的審計(jì)：信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性，信息系統(tǒng)建設(shè)管理和信息系統(tǒng)績(jī)效第一節(jié) 信息系統(tǒng)審計(jì)概述三、特點(diǎn)審計(jì)范圍的廣泛性審計(jì)線索的隱蔽性、易逝性 審計(jì)取證的動(dòng)態(tài)性 審計(jì)技術(shù)的復(fù)雜性 第一節(jié) 信息系統(tǒng)審計(jì)概述 信息系統(tǒng)審計(jì)的意義 建立符合國(guó)家審計(jì)準(zhǔn)則要求以及新會(huì)計(jì)準(zhǔn)則要求，管理集中、覆蓋全面、分工合作、反應(yīng)及時(shí)的一體化審計(jì)信息系統(tǒng)，集審計(jì)管理、審計(jì)視頻會(huì)議系統(tǒng)、審計(jì)數(shù)據(jù)應(yīng)用分析平臺(tái)于一體，對(duì)于提高審計(jì)工作效率、提升審計(jì)工作質(zhì)量和水平有著深遠(yuǎn)的意義。第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容 一、信息系統(tǒng)審計(jì)的目標(biāo)信息系統(tǒng)的安全性系統(tǒng)的可靠性 信息系統(tǒng)的有效性系統(tǒng)的效率性有效地使用組織

4、資源和幫助組織實(shí)現(xiàn)目標(biāo) 第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容二、信息系統(tǒng)審計(jì)的主要內(nèi)容（一）信息系統(tǒng)審計(jì)內(nèi)容概述從信息系統(tǒng)構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個(gè)維度來(lái)描述信息系統(tǒng)的邏輯結(jié)構(gòu)第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容（二）信息系統(tǒng)內(nèi)部控制審計(jì) 1、信息系統(tǒng)控制框架信息系統(tǒng)的控制分為一般控制和應(yīng)用控制。一般控制主要包括規(guī)劃與組織控制、系統(tǒng)開(kāi)發(fā)控制、硬件控制、安全控制、操作控制、數(shù)據(jù)資源控制、系統(tǒng)維護(hù)控制和災(zāi)難恢復(fù)控制。應(yīng)用控制是對(duì)信息系統(tǒng)的某一具體處理過(guò)程所實(shí)施的控制，它隨所處理業(yè)務(wù)的不同而不同，一般把應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容2、信息系統(tǒng)

5、內(nèi)部控制審計(jì)過(guò)程了解信息系統(tǒng)的控制 記錄對(duì)信息系統(tǒng)控制的了解對(duì)信息系統(tǒng)的控制進(jìn)行測(cè)試評(píng)價(jià)信息系統(tǒng)控制的有效性 第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容3、 信息系統(tǒng)一般控制審計(jì)審計(jì)對(duì)象：規(guī)劃與組織控制、系統(tǒng)開(kāi)發(fā)控制、軟硬件控制、安全控制、操 作控制、數(shù)據(jù)資源控制、系統(tǒng)維護(hù)控制和災(zāi)難恢復(fù)控制審計(jì)目標(biāo)：規(guī)劃與組織控制；系統(tǒng)開(kāi)發(fā)控制；軟件控制；操作控制；系統(tǒng)維護(hù)控制；災(zāi)難恢復(fù)控制審計(jì)程序 第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容4、信息系統(tǒng)應(yīng)用控制審計(jì)審計(jì)對(duì)象審計(jì)目標(biāo)：確定應(yīng)用控制是否恰當(dāng)、準(zhǔn)確與完整；確定應(yīng)用控制是 否有效執(zhí)行；確認(rèn)系統(tǒng)是否留有充分的審計(jì)線索。 審計(jì)程序第二節(jié) 信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容（三）信息系

6、統(tǒng)安全審計(jì)信息系統(tǒng)面臨的威脅 信息系統(tǒng)安全控制 信息系統(tǒng)安全審計(jì) （四）信息系統(tǒng)軟硬件審計(jì) 信息系統(tǒng)軟硬件審計(jì)目標(biāo)和程序 第三節(jié) 信息系統(tǒng)審計(jì)的方法一、信息系統(tǒng)審計(jì)主要流程第三節(jié) 信息系統(tǒng)審計(jì)的方法 二、信息系統(tǒng)審計(jì)的方法（一）傳統(tǒng)的審計(jì)方法 1、觀察、查看與穿行測(cè)試法；2、調(diào)查問(wèn)卷；3、訪談。（二） 利用計(jì)算機(jī)技術(shù)進(jìn)行信息系統(tǒng)審計(jì)方法 1、黑白盒測(cè)試法2、集成測(cè)試與平行模擬數(shù)據(jù)測(cè)試法3、數(shù)據(jù)分析法4、受控處理與受控再處理法5 、程序運(yùn)行記錄檢查法第四節(jié) 信息系統(tǒng)審計(jì)中應(yīng)注意的問(wèn)題一、信息系統(tǒng)審計(jì)的組織方式及適用性信息系統(tǒng)審計(jì)是指通過(guò)對(duì)被審計(jì)單位信息系統(tǒng)的組成部分及其規(guī)劃、研發(fā)、實(shí)施、運(yùn)行、維

7、護(hù)等過(guò)程進(jìn)行審查，就被審計(jì)單位的信息系統(tǒng)的安全、可靠、有效和效率性以及信息系統(tǒng)能否有效地使用組織資源并幫助實(shí)現(xiàn)組織目標(biāo)發(fā)表意見(jiàn)的審計(jì)。（一）與財(cái)務(wù)審計(jì)相結(jié)合的組織方式1、與財(cái)務(wù)審計(jì)相結(jié)合的信息系統(tǒng)審計(jì)的審計(jì)目標(biāo)；（1）保證信息系統(tǒng)軟件和相關(guān)模塊沒(méi)有經(jīng)過(guò)非法纂改；（2）保證與信息系統(tǒng)相關(guān)的內(nèi)部控制存在并且有效。（3）在財(cái)務(wù)審計(jì)重點(diǎn)關(guān)注的領(lǐng)域，應(yīng)重點(diǎn)進(jìn)行信息系統(tǒng)審計(jì)，以保證信息系統(tǒng)為實(shí)現(xiàn)被審計(jì)單位的目標(biāo)服務(wù)。2、與財(cái)務(wù)審計(jì)相結(jié)合的組織方式特點(diǎn)（二）專門(mén)進(jìn)行信息系統(tǒng)審計(jì)的組織方式1、專門(mén)進(jìn)行信息系統(tǒng)審計(jì)的組織方式的含義。2、專門(mén)進(jìn)行信息系統(tǒng)審計(jì)的目標(biāo)和特點(diǎn)；（三）兩種組織方式的適用性第四節(jié) 信息系統(tǒng)

8、審計(jì)中應(yīng)注意的問(wèn)題二、信息系統(tǒng)審計(jì)人員能力的提升了解信息系統(tǒng)中關(guān)鍵環(huán)節(jié)明確信息系統(tǒng)中審計(jì)切入點(diǎn) 提高信息系統(tǒng)審計(jì)技術(shù)靈活運(yùn)用信息系統(tǒng)審計(jì)工具信息系統(tǒng)審計(jì)師是國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師的簡(jiǎn)稱，也稱為IT審計(jì)師，是指獲得信息系統(tǒng)審計(jì)和控制協(xié)會(huì)頒發(fā)的CISA資格證書(shū)的專業(yè)人士。 國(guó)際上，信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（Information System Audit and Control Association）是唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)的專業(yè)機(jī)構(gòu)。ISACA 該協(xié)會(huì)成立于1969年，總部在美國(guó)的芝加哥。目前在世界上 100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人資格條

9、件一、順利通過(guò)CISA的考試。二、遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的職業(yè)道德規(guī)范。三、提供從事信息系統(tǒng)審計(jì)、控制和安全工作5年以上經(jīng)驗(yàn)的證明。具有下列同等經(jīng)驗(yàn)，可申請(qǐng)免除該項(xiàng)經(jīng)驗(yàn)，并應(yīng)獲得如下證明：1、1年以下的信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)CISA證書(shū) 可用以下資歷相抵：（1）滿1年的非信息系統(tǒng)審計(jì)工作經(jīng)驗(yàn)，（2）滿1年的信息系統(tǒng)工作經(jīng)驗(yàn)，和/或（3）具有大專學(xué)歷（大學(xué)60個(gè)學(xué)分或同等學(xué)歷）。2、2年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)可用學(xué)士學(xué)位（大學(xué)120個(gè)學(xué)分或同等學(xué)歷）相抵。3、1年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)可用2年相關(guān)領(lǐng)域（計(jì)算機(jī)科學(xué)、會(huì)計(jì)、信息系統(tǒng)審計(jì)等）內(nèi)從事大學(xué)專業(yè)講

10、師的經(jīng)驗(yàn)相抵。無(wú)最高年限（如6年大學(xué)將是經(jīng)驗(yàn)等同于3年信息系統(tǒng)審計(jì)、控制與安全工作的經(jīng)驗(yàn)）。專業(yè)經(jīng)驗(yàn)必須在申請(qǐng)前的10年之內(nèi)獲得。注冊(cè)信息系統(tǒng)審計(jì)師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統(tǒng)審計(jì)領(lǐng)域的惟一職業(yè)資格，考試內(nèi)容信息系統(tǒng)審計(jì)程序；（10%）信息系統(tǒng)的管理計(jì)劃和組織；（11%）技術(shù)基礎(chǔ)和操作實(shí)務(wù)；（13%）信息資產(chǎn)的保護(hù)；（25%）災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃；（10%）業(yè)務(wù)應(yīng)用系統(tǒng)的開(kāi)發(fā)、取得、實(shí)施和維護(hù)；（16%）業(yè)務(wù)過(guò)程的評(píng)價(jià)和風(fēng)險(xiǎn)管理。（15%）CISA考試每年6月組織一次，考試時(shí)間為4個(gè)小時(shí)。目前確定的國(guó)內(nèi)考試地點(diǎn)為北京、上海和廣州。CISA考試是200道客觀選擇題，全部為筆答，滿分100分，75分及格?？荚囌Z(yǔ)言為英語(yǔ)。本章思考與探討1、簡(jiǎn)要概括信息系統(tǒng)審計(jì)的目標(biāo)和內(nèi)容。2、描述信息系統(tǒng)審計(jì)的主要流程。3、信息系統(tǒng)審計(jì)的特點(diǎn)及意義是什么？作為相關(guān)人員，我們要如何應(yīng)對(duì)