內(nèi)部審計學(xué)第十三章信息系統(tǒng)審計

1、第十三章 信息系統(tǒng)審計本章大綱 信息系統(tǒng)審計概述 信息系統(tǒng)審計的目標(biāo)和內(nèi)容 信息系統(tǒng)審計的方法 信息系統(tǒng)審計中應(yīng)注意的問題 本章小結(jié) 第一節(jié) 信息系統(tǒng)審計概述一、信息系統(tǒng)審計的概念1、信息系統(tǒng)審計的發(fā)展也經(jīng)歷了萌芽階段、 發(fā)展階段、成熟階段和普及階段四個階段2、代表性的定義有以下幾種：(1)國際信息系統(tǒng)審計委員會(ISACA)定義：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果 地實(shí)現(xiàn)組織目標(biāo)地過程(2)日本通產(chǎn)省(1996)：為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計對象的IT審計師，以第三方的客觀立場對以計算機(jī)為核心的

2、信息系統(tǒng)進(jìn)行綜合的檢查與評價，向 IT 審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動(3)Ron Weber：信息系統(tǒng)審計是一個獲取證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及高效地利用組織的資源并有效地實(shí)現(xiàn)組織目標(biāo)的過程。共同點(diǎn)：一是都認(rèn)為信息系統(tǒng)審計是一個過程，和傳統(tǒng)審計的定義完全一致；二是都為了實(shí)現(xiàn)組織目標(biāo)，通過信息系統(tǒng)審計實(shí)現(xiàn)組織目標(biāo)；三是都是針對信息系統(tǒng)本身的應(yīng)用，都是關(guān)注信息系統(tǒng)在支撐或應(yīng)用的過程中的作用。第一節(jié) 信息系統(tǒng)審計概述二、分類對應(yīng)用控制的審計：信息系統(tǒng)業(yè)務(wù)流程，數(shù)據(jù)輸入、處理和輸出的控制，信息共享和業(yè)務(wù)協(xié)同對一般控制的審計：信息系統(tǒng)總體控制，信息安全技

3、術(shù)控制和信息安全管理控制對項(xiàng)目管理的審計：信息系統(tǒng)建設(shè)的經(jīng)濟(jì)性，信息系統(tǒng)建設(shè)管理和信息系統(tǒng)績效第一節(jié) 信息系統(tǒng)審計概述三、特點(diǎn)審計范圍的廣泛性審計線索的隱蔽性、易逝性 審計取證的動態(tài)性 審計技術(shù)的復(fù)雜性 第一節(jié) 信息系統(tǒng)審計概述 信息系統(tǒng)審計的意義 建立符合國家審計準(zhǔn)則要求以及新會計準(zhǔn)則要求，管理集中、覆蓋全面、分工合作、反應(yīng)及時的一體化審計信息系統(tǒng)，集審計管理、審計視頻會議系統(tǒng)、審計數(shù)據(jù)應(yīng)用分析平臺于一體，對于提高審計工作效率、提升審計工作質(zhì)量和水平有著深遠(yuǎn)的意義。第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容 一、信息系統(tǒng)審計的目標(biāo)信息系統(tǒng)的安全性系統(tǒng)的可靠性 信息系統(tǒng)的有效性系統(tǒng)的效率性有效地使用組織

4、資源和幫助組織實(shí)現(xiàn)目標(biāo) 第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容二、信息系統(tǒng)審計的主要內(nèi)容（一）信息系統(tǒng)審計內(nèi)容概述從信息系統(tǒng)構(gòu)成要素、信息系統(tǒng)生命周期和信息系統(tǒng)管理三個維度來描述信息系統(tǒng)的邏輯結(jié)構(gòu)第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容（二）信息系統(tǒng)內(nèi)部控制審計 1、信息系統(tǒng)控制框架信息系統(tǒng)的控制分為一般控制和應(yīng)用控制。一般控制主要包括規(guī)劃與組織控制、系統(tǒng)開發(fā)控制、硬件控制、安全控制、操作控制、數(shù)據(jù)資源控制、系統(tǒng)維護(hù)控制和災(zāi)難恢復(fù)控制。應(yīng)用控制是對信息系統(tǒng)的某一具體處理過程所實(shí)施的控制，它隨所處理業(yè)務(wù)的不同而不同，一般把應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容2、信息系統(tǒng)

5、內(nèi)部控制審計過程了解信息系統(tǒng)的控制 記錄對信息系統(tǒng)控制的了解對信息系統(tǒng)的控制進(jìn)行測試評價信息系統(tǒng)控制的有效性 第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容3、 信息系統(tǒng)一般控制審計審計對象：規(guī)劃與組織控制、系統(tǒng)開發(fā)控制、軟硬件控制、安全控制、操 作控制、數(shù)據(jù)資源控制、系統(tǒng)維護(hù)控制和災(zāi)難恢復(fù)控制審計目標(biāo)：規(guī)劃與組織控制；系統(tǒng)開發(fā)控制；軟件控制；操作控制；系統(tǒng)維護(hù)控制；災(zāi)難恢復(fù)控制審計程序 第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容4、信息系統(tǒng)應(yīng)用控制審計審計對象審計目標(biāo)：確定應(yīng)用控制是否恰當(dāng)、準(zhǔn)確與完整；確定應(yīng)用控制是 否有效執(zhí)行；確認(rèn)系統(tǒng)是否留有充分的審計線索。 審計程序第二節(jié) 信息系統(tǒng)審計的目標(biāo)和內(nèi)容（三）信息系

6、統(tǒng)安全審計信息系統(tǒng)面臨的威脅 信息系統(tǒng)安全控制 信息系統(tǒng)安全審計 （四）信息系統(tǒng)軟硬件審計 信息系統(tǒng)軟硬件審計目標(biāo)和程序 第三節(jié) 信息系統(tǒng)審計的方法一、信息系統(tǒng)審計主要流程第三節(jié) 信息系統(tǒng)審計的方法 二、信息系統(tǒng)審計的方法（一）傳統(tǒng)的審計方法 1、觀察、查看與穿行測試法；2、調(diào)查問卷；3、訪談。（二） 利用計算機(jī)技術(shù)進(jìn)行信息系統(tǒng)審計方法 1、黑白盒測試法2、集成測試與平行模擬數(shù)據(jù)測試法3、數(shù)據(jù)分析法4、受控處理與受控再處理法5 、程序運(yùn)行記錄檢查法第四節(jié) 信息系統(tǒng)審計中應(yīng)注意的問題一、信息系統(tǒng)審計的組織方式及適用性信息系統(tǒng)審計是指通過對被審計單位信息系統(tǒng)的組成部分及其規(guī)劃、研發(fā)、實(shí)施、運(yùn)行、維

7、護(hù)等過程進(jìn)行審查，就被審計單位的信息系統(tǒng)的安全、可靠、有效和效率性以及信息系統(tǒng)能否有效地使用組織資源并幫助實(shí)現(xiàn)組織目標(biāo)發(fā)表意見的審計。（一）與財務(wù)審計相結(jié)合的組織方式1、與財務(wù)審計相結(jié)合的信息系統(tǒng)審計的審計目標(biāo)；（1）保證信息系統(tǒng)軟件和相關(guān)模塊沒有經(jīng)過非法纂改；（2）保證與信息系統(tǒng)相關(guān)的內(nèi)部控制存在并且有效。（3）在財務(wù)審計重點(diǎn)關(guān)注的領(lǐng)域，應(yīng)重點(diǎn)進(jìn)行信息系統(tǒng)審計，以保證信息系統(tǒng)為實(shí)現(xiàn)被審計單位的目標(biāo)服務(wù)。2、與財務(wù)審計相結(jié)合的組織方式特點(diǎn)（二）專門進(jìn)行信息系統(tǒng)審計的組織方式1、專門進(jìn)行信息系統(tǒng)審計的組織方式的含義。2、專門進(jìn)行信息系統(tǒng)審計的目標(biāo)和特點(diǎn)；（三）兩種組織方式的適用性第四節(jié) 信息系統(tǒng)

8、審計中應(yīng)注意的問題二、信息系統(tǒng)審計人員能力的提升了解信息系統(tǒng)中關(guān)鍵環(huán)節(jié)明確信息系統(tǒng)中審計切入點(diǎn) 提高信息系統(tǒng)審計技術(shù)靈活運(yùn)用信息系統(tǒng)審計工具信息系統(tǒng)審計師是國際注冊信息系統(tǒng)審計師的簡稱，也稱為IT審計師，是指獲得信息系統(tǒng)審計和控制協(xié)會頒發(fā)的CISA資格證書的專業(yè)人士。 國際上，信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit and Control Association）是唯一有權(quán)授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機(jī)構(gòu)。ISACA 該協(xié)會成立于1969年，總部在美國的芝加哥。目前在世界上 100多個國家設(shè)有160多個分會，現(xiàn)有會員兩萬多人資格條

9、件一、順利通過CISA的考試。二、遵守國際信息系統(tǒng)審計與控制協(xié)會的職業(yè)道德規(guī)范。三、提供從事信息系統(tǒng)審計、控制和安全工作5年以上經(jīng)驗(yàn)的證明。具有下列同等經(jīng)驗(yàn)，可申請免除該項(xiàng)經(jīng)驗(yàn)，并應(yīng)獲得如下證明：1、1年以下的信息系統(tǒng)審計、控制與安全工作的經(jīng)驗(yàn)CISA證書 可用以下資歷相抵：（1）滿1年的非信息系統(tǒng)審計工作經(jīng)驗(yàn)，（2）滿1年的信息系統(tǒng)工作經(jīng)驗(yàn)，和/或（3）具有大專學(xué)歷（大學(xué)60個學(xué)分或同等學(xué)歷）。2、2年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗(yàn)可用學(xué)士學(xué)位（大學(xué)120個學(xué)分或同等學(xué)歷）相抵。3、1年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗(yàn)可用2年相關(guān)領(lǐng)域（計算機(jī)科學(xué)、會計、信息系統(tǒng)審計等）內(nèi)從事大學(xué)專業(yè)講

10、師的經(jīng)驗(yàn)相抵。無最高年限（如6年大學(xué)將是經(jīng)驗(yàn)等同于3年信息系統(tǒng)審計、控制與安全工作的經(jīng)驗(yàn)）。專業(yè)經(jīng)驗(yàn)必須在申請前的10年之內(nèi)獲得。注冊信息系統(tǒng)審計師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統(tǒng)審計領(lǐng)域的惟一職業(yè)資格，考試內(nèi)容信息系統(tǒng)審計程序；（10%）信息系統(tǒng)的管理計劃和組織；（11%）技術(shù)基礎(chǔ)和操作實(shí)務(wù)；（13%）信息資產(chǎn)的保護(hù)；（25%）災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃；（10%）業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、取得、實(shí)施和維護(hù)；（16%）業(yè)務(wù)過程的評價和風(fēng)險管理。（15%）CISA考試每年6月組織一次，考試時間為4個小時。目前確定的國內(nèi)考試地點(diǎn)為北京、上海和廣州。CISA考試是200道客觀選擇題，全部為筆答，滿分100分，75分及格。考試語言為英語。本章思考與探討1、簡要概括信息系統(tǒng)審計的目標(biāo)和內(nèi)容。2、描述信息系統(tǒng)審計的主要流程。3、信息系統(tǒng)審計的特點(diǎn)及意義是什么？作為相關(guān)人員，我們要如何應(yīng)對