信息系統(tǒng)審計(jì)課件

信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)、信息系統(tǒng)控制與審計(jì)、審計(jì)程序，以及信息系統(tǒng)審計(jì)的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計(jì)的基本概念和基本理論。IT治理審計(jì) 通過(guò)本章的學(xué)習(xí)，信息系統(tǒng)審計(jì)師理解評(píng)估信息系統(tǒng)管理、計(jì)劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT方面的要求。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)概論1信息系統(tǒng)審計(jì)概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)、信息系統(tǒng)控制與審計(jì)、審計(jì)程序，以及信息系統(tǒng)審計(jì)的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計(jì)的基本概念和基本理論。IT治理審計(jì) 通過(guò)本章的學(xué)習(xí)，信息系統(tǒng)審計(jì)師理解評(píng)估信息系統(tǒng)管理、計(jì)劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT方面的要求。信息系統(tǒng)審計(jì)概論IT治理審計(jì) 2信息系統(tǒng)架構(gòu)控制與審計(jì) 一個(gè)組織要建立信息系統(tǒng)，就需要有效地建立、控制和管理好其信息技術(shù)基礎(chǔ)架構(gòu)。本章主要介紹學(xué)習(xí)如何正確評(píng)價(jià)組織的信息技術(shù)基礎(chǔ)設(shè)施和運(yùn)行管理（日常運(yùn)行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）的效果和效率。信息系統(tǒng)開(kāi)發(fā)及審計(jì) 信息系統(tǒng)開(kāi)發(fā)過(guò)程中的問(wèn)題和錯(cuò)誤會(huì)產(chǎn)生“積累放大”效應(yīng)，并會(huì)使企業(yè)付出高昂的代價(jià)。因此，通過(guò)對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程中每個(gè)階段的跟蹤審計(jì)，及時(shí)發(fā)現(xiàn)每個(gè)階段的錯(cuò)誤，并得到及時(shí)修正，從而保障整個(gè)信息系統(tǒng)的質(zhì)量。信息系統(tǒng)架構(gòu)控制與審計(jì)信息系統(tǒng)開(kāi)發(fā)及審計(jì) 3信息系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì) 保證一個(gè)組織已經(jīng)建立的信息系統(tǒng)能高效的為其服務(wù)，離不開(kāi)對(duì)其良好的操作、運(yùn)行管理（日常運(yùn)行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）和維護(hù)，使其保持最佳的運(yùn)行狀態(tài)。因此，對(duì)信息系統(tǒng)運(yùn)行和維護(hù)過(guò)程的審計(jì)非常重要，是對(duì)整個(gè)信息系統(tǒng)實(shí)現(xiàn)高效服務(wù)的保障。本章即介紹信息系統(tǒng)運(yùn)營(yíng)和維護(hù)過(guò)程的審計(jì)。信息系統(tǒng)安全控制與審計(jì) 信息技術(shù)環(huán)境下信息系統(tǒng)的脆弱性和威脅，使信息系統(tǒng)及其產(chǎn)生的信息存在信息安全風(fēng)險(xiǎn)。本章主要介紹如何對(duì)信息系統(tǒng)進(jìn)行安全審計(jì)與控制，從而使信息系統(tǒng)的風(fēng)險(xiǎn)降到最低。信息系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì)信息系統(tǒng)安全控制與審計(jì) 4信息系統(tǒng)審計(jì)技術(shù)與方法 面對(duì)錯(cuò)綜復(fù)雜的信息系統(tǒng)和審計(jì)環(huán)境，向?qū)徲?jì)人員提出了挑戰(zhàn)，審計(jì)人員實(shí)施審計(jì)的難度很大，需要運(yùn)用許多技術(shù)、方法和工具來(lái)輔助他們進(jìn)行審計(jì)工具。本章即介紹一些有關(guān)信息系統(tǒng)審計(jì)的技術(shù)和方法。信息系統(tǒng)審計(jì)技術(shù)與方法5第一章信息系統(tǒng)審計(jì)概論第一節(jié)信息系統(tǒng)審計(jì)及其產(chǎn)生與發(fā)展 一、何謂信息系統(tǒng)審計(jì)（ISA）？國(guó)際信息系統(tǒng)審計(jì)委員會(huì)(ISACA)定義：是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)地過(guò)程。

日本通產(chǎn)省情報(bào)處理開(kāi)發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)定義為：為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)。第一章信息系統(tǒng)審計(jì)概論第一節(jié)信息系統(tǒng)審計(jì)及其產(chǎn)生與發(fā)展6從以上定義可以看出,信息系統(tǒng)審計(jì)的兩個(gè)方面職能:從外部審計(jì)的角度,ISA實(shí)現(xiàn)-------監(jiān)證目標(biāo)（“保證”職能）從內(nèi)部審計(jì)的角度,ISA實(shí)現(xiàn)-------管理目標(biāo)（“咨詢(xún)”職能）第一章信息系統(tǒng)審計(jì)概論一般定義:根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)。RonWeber定義:搜集并評(píng)價(jià)證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效的做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。從以上定義可以看出,信息系統(tǒng)審計(jì)的兩個(gè)方面職能:第一章信7第一章信息系統(tǒng)審計(jì)概論注：ISACA（InformationSystemAuditandControlassociation，信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）：是最有權(quán)威的信息系統(tǒng)審計(jì)行業(yè)組織，總部設(shè)在美國(guó)。主要從事ISA相關(guān)理論與實(shí)務(wù)研究，制定相關(guān)ISA標(biāo)準(zhǔn)、規(guī)范、執(zhí)業(yè)指南等；也是唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)的專(zhuān)業(yè)機(jī)構(gòu)。根據(jù)ISA概念，應(yīng)理解：ISA的主體：有勝任能力的信息系統(tǒng)獨(dú)立審計(jì)機(jī)構(gòu)或人員機(jī)構(gòu)：政府審計(jì)機(jī)構(gòu)、內(nèi)部審計(jì)機(jī)構(gòu)、會(huì)計(jì)和審計(jì)事務(wù)所、信息化鑒證咨詢(xún)機(jī)構(gòu)等中介組織人員：注冊(cè)會(huì)計(jì)師、審計(jì)人員、信息技術(shù)人員，等。實(shí)施ISA的人員稱(chēng)為：信息系統(tǒng)審計(jì)師(或:IT審計(jì)師)第一章信息系統(tǒng)審計(jì)概論注：根據(jù)ISA概念，應(yīng)理解：8CISA：（CertifiedInformationSystemAuditor，注冊(cè)信息系統(tǒng)審計(jì)師）：取得CISA資格的審計(jì)人員，既通曉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，又熟悉經(jīng)濟(jì)管理的核心要義，能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。第一章信息系統(tǒng)審計(jì)概論CISA從事的活動(dòng)：1、對(duì)信息系統(tǒng)的可靠性、安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)、咨詢(xún)，并提出建議；2、對(duì)信息系統(tǒng)的內(nèi)部控制和風(fēng)險(xiǎn)進(jìn)行檢查、評(píng)價(jià)、咨詢(xún)以及提出改進(jìn)建議。CISA：（CertifiedInformationSy9第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)師相關(guān)知識(shí)和能力要求：知識(shí)要求:審計(jì)學(xué)相關(guān)知識(shí):審計(jì)學(xué)的基本理論、實(shí)務(wù)信息系統(tǒng)計(jì)劃、開(kāi)發(fā)和運(yùn)營(yíng)等相關(guān)知識(shí)：.信息系統(tǒng)構(gòu)成相關(guān)知識(shí)；·信息化戰(zhàn)略規(guī)劃、構(gòu)想、提案、立項(xiàng)等相關(guān)知識(shí)；·系統(tǒng)設(shè)計(jì)、程序設(shè)計(jì)、軟件測(cè)試等相關(guān)知識(shí)；

·系統(tǒng)操作和管理、數(shù)據(jù)管理等相關(guān)知識(shí)；信息系統(tǒng)審計(jì)實(shí)施相關(guān)知識(shí)：·經(jīng)營(yíng)管理方面相關(guān)知識(shí)；·信息安全管理相關(guān)知識(shí)；

·業(yè)務(wù)對(duì)象相關(guān)知識(shí)；·相關(guān)法律和法規(guī)；

能力方面要求如下：·系統(tǒng)審計(jì)的相關(guān)能力；·審計(jì)的立項(xiàng)、分析、評(píng)價(jià)相關(guān)能力；·信息收集、審核、審計(jì)方法掌握、相關(guān)技巧運(yùn)用方面的能力；

·審計(jì)報(bào)告制作能力；第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)師相關(guān)知識(shí)和能力要10第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)師應(yīng)該做到:嚴(yán)格遵循相關(guān)實(shí)施準(zhǔn)則、程序及控制，遵守相關(guān)法規(guī)；依據(jù)職業(yè)準(zhǔn)則及最佳實(shí)踐原則要求自己，做到敬業(yè)、公正及審慎；以合法的誠(chéng)實(shí)的方式為利益相關(guān)者服務(wù)，保持高尚的品行，不從事有損與信息系統(tǒng)審計(jì)職業(yè)的活動(dòng)；除非官方要求揭露，必須維護(hù)履行職責(zé)進(jìn)程中獲得信息的隱私與機(jī)密，不用于個(gè)人利益或泄露給不適合的組織；維持獨(dú)立性及客觀性，獲得充分及客觀的證據(jù)，作出審計(jì)結(jié)論；保持在審計(jì)信息系統(tǒng)控制相關(guān)領(lǐng)域的技能，完成審計(jì)任務(wù)；審計(jì)結(jié)果向相關(guān)組織、部門(mén)和個(gè)人報(bào)告。

第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)師應(yīng)該做到:11二、ISA特點(diǎn)：ISA是一個(gè)過(guò)程，貫穿于整個(gè)信息系統(tǒng)生命周期；ISA的對(duì)象具有綜合性和復(fù)雜性；ISA拓展了傳統(tǒng)審計(jì)的目標(biāo)；ISA是事前、事中、事后審計(jì)的綜合體；ISA的內(nèi)容更加廣泛；ISA是一種基于風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的理論和方法。第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)的對(duì)象：被審計(jì)的信息系統(tǒng)

信息系統(tǒng)審計(jì)工作的核心：客觀地收集和評(píng)估證據(jù)

信息系統(tǒng)審計(jì)的目的：對(duì)信息系統(tǒng)的可用性、保密性、完整性進(jìn)行評(píng)估并提供反饋、保證及建議

二、ISA特點(diǎn)：第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)的對(duì)象12三、ISA發(fā)展簡(jiǎn)介ISA的發(fā)展經(jīng)歷了幾個(gè)階段：早期階段：手工審計(jì)階段（繞過(guò)計(jì)算機(jī)階段）萌芽階段：EDP（電子數(shù)據(jù)處理）審計(jì)階段發(fā)展階段：信息系統(tǒng)審計(jì)階段

第一章信息系統(tǒng)審計(jì)概論ISA發(fā)展處于領(lǐng)先的國(guó)家：美國(guó)、日本、加拿大，等我國(guó)ISA的發(fā)展：起步于：20世紀(jì)80年代目前狀況：處于EDP審計(jì)階段“金審工程”簡(jiǎn)介：（參見(jiàn)教材）三、ISA發(fā)展簡(jiǎn)介第一章信息系統(tǒng)審計(jì)概論ISA發(fā)13第一章信息系統(tǒng)審計(jì)概論第二節(jié)信息系統(tǒng)審計(jì)的目標(biāo)、依據(jù)和內(nèi)容 一、信息系統(tǒng)審計(jì)的目標(biāo)ISA目標(biāo)一般分為：一般審計(jì)目標(biāo)、特定審計(jì)目標(biāo)一般目標(biāo)：是進(jìn)行所有信息系統(tǒng)審計(jì)都必須達(dá)到的目標(biāo)。特定目標(biāo)：指針對(duì)特定信息系統(tǒng)的審計(jì)目標(biāo)。

一般來(lái)說(shuō)，ISA的審計(jì)目標(biāo)主要包括：提高信息系統(tǒng)資產(chǎn)的安全性目標(biāo)：IS資產(chǎn)包括硬件、軟件、人力資源、數(shù)據(jù)文件及系統(tǒng)文件等保護(hù)信息系統(tǒng)數(shù)據(jù)的完整性目標(biāo)提高信息系統(tǒng)有效性（效率和效益性）目標(biāo)提高信息系統(tǒng)的合法性、合規(guī)性目標(biāo)第一章信息系統(tǒng)審計(jì)概論第二節(jié)信息系統(tǒng)審計(jì)的目標(biāo)、依據(jù)和14第一章信息系統(tǒng)審計(jì)概論二、信息系統(tǒng)審計(jì)依據(jù)審計(jì)依據(jù)：也稱(chēng)審計(jì)標(biāo)準(zhǔn)，是審計(jì)人員實(shí)施審計(jì)時(shí)，判斷被審計(jì)經(jīng)濟(jì)事項(xiàng)正誤、是非、優(yōu)劣的準(zhǔn)繩，是形成審計(jì)結(jié)論、出具審計(jì)意見(jiàn)、作出審計(jì)決定的依據(jù)。

目前的ISA依據(jù)主要有：ISACA：信息系統(tǒng)審計(jì)準(zhǔn)則；IS控制的標(biāo)準(zhǔn)模型COBIT；ASB第94號(hào)準(zhǔn)則：SAS70；SAS94；

國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）：內(nèi)部審計(jì)師準(zhǔn)則說(shuō)明書(shū)（SIAS）；國(guó)際會(huì)計(jì)師聯(lián)合會(huì)（IFA）：國(guó)際審計(jì)準(zhǔn)則系列；最高審計(jì)機(jī)關(guān)國(guó)際組織（INTOSAI）：審計(jì)準(zhǔn)則（AS）；歐洲：ISO系列（如：ISO17799）、EDIFACT技術(shù)標(biāo)準(zhǔn)；日本通產(chǎn)?。篒T審計(jì)標(biāo)準(zhǔn)；

第一章信息系統(tǒng)審計(jì)概論二、信息系統(tǒng)審計(jì)依據(jù)目前的ISA依15第一章信息系統(tǒng)審計(jì)概論我國(guó)：《中華人民共和國(guó)審計(jì)法》第三十二條；國(guó)務(wù)院辦公廳的《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》；中國(guó)獨(dú)立審計(jì)準(zhǔn)則20號(hào)《計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》；審計(jì)署令第9號(hào)《審計(jì)署關(guān)于計(jì)算機(jī)審計(jì)的暫行規(guī)定》；審計(jì)署頒布《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)辦法》第一章信息系統(tǒng)審計(jì)概論我國(guó)：16信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)S1-S8：ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則由ISA標(biāo)準(zhǔn)、指南和程序(Standards,GuidelinesandProcedures)構(gòu)成

標(biāo)準(zhǔn)為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求。指南為信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的實(shí)施提供了指引。信息系統(tǒng)審計(jì)師在標(biāo)準(zhǔn)的實(shí)施程序中應(yīng)參考指南，同時(shí)作出職業(yè)判斷。程序?yàn)樾畔⑾到y(tǒng)審計(jì)師提供審計(jì)項(xiàng)目中可以遵循的步驟范例。ISACA'SCOBITFramework:信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）是由美國(guó)IT治理協(xié)會(huì)提出的一個(gè)IT治理的開(kāi)放性框架或標(biāo)準(zhǔn)，是基于組織的信息技術(shù)平臺(tái)而設(shè)計(jì)的，并在IT治理實(shí)踐中廣泛使用。第一章信息系統(tǒng)審計(jì)概論信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)S1-S8：ISACA'SCOBITF17SAS70SAS70是經(jīng)國(guó)際確認(rèn)，由美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AmericanInstituteofCertifiedPublicAccountants，AICPA)所制定的標(biāo)準(zhǔn)。SAS70審計(jì)被公認(rèn)為是針對(duì)服務(wù)提供商環(huán)境（包括網(wǎng)絡(luò)和相關(guān)程序的控制措施）最權(quán)威的安全性審計(jì)。

IT基礎(chǔ)架構(gòu)庫(kù)(ITIL)：是IT服務(wù)管理最佳做法的一套全面、一致和相關(guān)的代碼，己在全世界被廣泛采納為IT服務(wù)標(biāo)準(zhǔn)。ITIL包含下面五個(gè)部分：thebusinessperspective（商業(yè)遠(yuǎn)景）、managingapplications（應(yīng)用管理）、deliveryofITservices（IT服務(wù)的交付）、supportofITservices（IT服務(wù)支撐）、managetheinfrastructure.（基礎(chǔ)設(shè)施管理）。第一章信息系統(tǒng)審計(jì)概論SAS70IT基礎(chǔ)架構(gòu)庫(kù)(ITIL)：第一章信息系統(tǒng)審計(jì)18SAS94美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)下屬的審計(jì)準(zhǔn)則委員會(huì)(ASB)一直關(guān)注IT對(duì)獨(dú)立審計(jì)的影響。2001年4月，ASB發(fā)布了第94號(hào)準(zhǔn)則：《IT對(duì)CPA評(píng)價(jià)內(nèi)部控制的影響》，該準(zhǔn)則是作為SAS(審計(jì)準(zhǔn)則公告)no.55的“補(bǔ)丁公告”推出的，它對(duì)下列三方面問(wèn)題做出了規(guī)范：IT對(duì)企業(yè)內(nèi)部控制的影響；IT對(duì)CPA了解內(nèi)部控制的影響；IT對(duì)CPA評(píng)價(jià)審計(jì)風(fēng)險(xiǎn)的影響。SASno.94于2001年6月1日開(kāi)始執(zhí)行。第一章信息系統(tǒng)審計(jì)概論SAS94第一章信息系統(tǒng)審計(jì)概論19ISO17799：ISO17799包含以下部分：SecurityPolicy（安全策略）、Assetclassificationandcontrol（資產(chǎn)分類(lèi)和控制）、SecurityOrganisation（組織安全）、PersonnelSecurity（人員安全）、PhysicalandEnvironmentalSecurity（物理安全和環(huán)境安全）、Communication/OperationManagement（通信和操作管理）、AccessControl（存取控制）、SystemDevelopmentandMaitenance（系統(tǒng)研發(fā)和維護(hù)）、BusinessContinuity（業(yè)務(wù)連貫性）、Compliance（一致性）。第一章信息系統(tǒng)審計(jì)概論ISO17799：第一章信息系統(tǒng)審計(jì)概論20第一章信息系統(tǒng)審計(jì)概論三、信息系統(tǒng)審計(jì)的內(nèi)容 ISA包含的兩個(gè)層面的內(nèi)容：其一：是對(duì)信息系統(tǒng)本身的審計(jì)，它貫穿于信息系統(tǒng)的整個(gè)生命周期。以及對(duì)信息系統(tǒng)的數(shù)據(jù)處理過(guò)程及處理結(jié)果的審計(jì)。目的在于確保信息系統(tǒng)的完整性、可靠性、安全性以及效率性和效益性。其二：是將計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)等引入審計(jì)工作中，作為審計(jì)工作的輔助手段，以建立各種審計(jì)信息系統(tǒng)，以及實(shí)現(xiàn)審計(jì)工作的辦公自動(dòng)化。本課程課堂教學(xué)主要講授前者；實(shí)驗(yàn)課程主要是后者第一章信息系統(tǒng)審計(jì)概論三、信息系統(tǒng)審計(jì)的內(nèi)容21第一章信息系統(tǒng)審計(jì)概論ISACA規(guī)定了信息系統(tǒng)審計(jì)主要內(nèi)容：信息系統(tǒng)審計(jì)程序；IT治理(信息技術(shù)治理)；系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理；IT服務(wù)的交付與支持；信息資產(chǎn)的保護(hù)；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。ISA：1、從縱向看，覆蓋了以電子計(jì)算機(jī)為核心的信息系統(tǒng)從計(jì)劃、分析、設(shè)計(jì)、編程、測(cè)試、運(yùn)行、維護(hù)到報(bào)廢的全過(guò)程的各種業(yè)務(wù)；2、從橫向看，它包含對(duì)硬軟件的獲取審計(jì)、軟件審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)完整性審計(jì)、安全審計(jì)和生命周期共同業(yè)務(wù)（如文檔管理、人員管理、災(zāi)難恢復(fù)等）審計(jì)等內(nèi)容。第一章信息系統(tǒng)審計(jì)概論ISACA規(guī)定了信息系統(tǒng)審計(jì)主要內(nèi)22第一章信息系統(tǒng)審計(jì)概論從以上介紹，可以看出：ISA的特征：一是獨(dú)立性；二是綜合性；三是管理特征。ISA的效果：一是提高信息系統(tǒng)可靠性；二是提高信息系統(tǒng)安全性；三是提高信息系統(tǒng)效率。第一章信息系統(tǒng)審計(jì)概論從以上介紹，可以看出：ISA的23第一章信息系統(tǒng)審計(jì)概論風(fēng)險(xiǎn)概念：可從三種角度看審計(jì)風(fēng)險(xiǎn)定義：（見(jiàn)教材）信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)定義：信息系統(tǒng)的安全性、可靠性和有效性存在重大隱患，而信息系統(tǒng)審計(jì)師發(fā)表不恰當(dāng)審計(jì)意見(jiàn)的可能性。信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)可以分為：固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)且有審計(jì)風(fēng)險(xiǎn)模型：DAR=IR╳CR╳DR第三節(jié)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)一、審計(jì)風(fēng)險(xiǎn)及信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)

第一章信息系統(tǒng)審計(jì)概論風(fēng)險(xiǎn)概念：可從三種角度看第24二、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)特征及表現(xiàn)1、固有風(fēng)險(xiǎn)（InherentRisk，簡(jiǎn)稱(chēng)IR）：是指假設(shè)不存在相關(guān)的內(nèi)部控制的情況下,發(fā)生重大錯(cuò)誤的風(fēng)險(xiǎn)。主要表現(xiàn)：第一章信息系統(tǒng)審計(jì)概論電子數(shù)據(jù)的不可見(jiàn)性；數(shù)據(jù)的大量集中和高速處理；原始數(shù)據(jù)的錄入存在錯(cuò)漏的可能性；計(jì)算機(jī)犯罪。

2、控制風(fēng)險(xiǎn)（ControlRisk，簡(jiǎn)稱(chēng)CR）：是指有內(nèi)部控制制度,但無(wú)法預(yù)防、及時(shí)發(fā)現(xiàn)或糾正重要錯(cuò)誤的風(fēng)險(xiǎn)。

二、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)特征及表現(xiàn)第一章信息系統(tǒng)審計(jì)概論電子25主要表現(xiàn)：信息訪問(wèn)的技術(shù)性暴露；未經(jīng)授權(quán)的訪問(wèn)；職責(zé)不分離；網(wǎng)絡(luò)監(jiān)控失效；信息流和業(yè)務(wù)流的不一致；業(yè)務(wù)流程重組

第一章信息系統(tǒng)審計(jì)概論3、檢查風(fēng)險(xiǎn)（DetectionRisk，簡(jiǎn)稱(chēng)DR）：是指信息系統(tǒng)審計(jì)人員由于采用了不恰當(dāng)?shù)臏y(cè)試程序,未能發(fā)現(xiàn)已存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。主要表現(xiàn)：主要表現(xiàn)：第一章信息系統(tǒng)審計(jì)概論3、檢查風(fēng)險(xiǎn)（Det26第一章信息系統(tǒng)審計(jì)概論未能識(shí)別出系統(tǒng)的關(guān)鍵環(huán)節(jié)和重要的信息資產(chǎn)；利用測(cè)試數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行測(cè)試時(shí)測(cè)試不充分；模擬程序的運(yùn)用,加大了檢查風(fēng)險(xiǎn)；系統(tǒng)更新?lián)Q代,使得測(cè)試系統(tǒng)失去時(shí)效性；參與系統(tǒng)開(kāi)發(fā)的人員來(lái)執(zhí)行信息系統(tǒng)的檢查。

信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的特征：1、客觀性；2、復(fù)雜性；3、潛在性；4、時(shí)效性；5、可控性。第一章信息系統(tǒng)審計(jì)概論未能識(shí)別出系統(tǒng)的關(guān)鍵環(huán)節(jié)和重要的信27三、形成信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的原因1、信息處理的虛擬化、網(wǎng)絡(luò)化；2、捕捉證據(jù)的動(dòng)態(tài)化；3、內(nèi)控制度的復(fù)雜化；4、審計(jì)人員知識(shí)結(jié)構(gòu)的單一化。三、形成信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的原因28第一章信息系統(tǒng)審計(jì)概論四、信息系統(tǒng)環(huán)境對(duì)審計(jì)風(fēng)險(xiǎn)的影響1、對(duì)固有風(fēng)險(xiǎn)的影響

資產(chǎn)出現(xiàn)新的特點(diǎn)；會(huì)計(jì)和業(yè)務(wù)處理自動(dòng)化對(duì)信息技術(shù)的依賴(lài)性增強(qiáng)；其他變化。以上這些都使得固有風(fēng)險(xiǎn)增加。

2、對(duì)控制風(fēng)險(xiǎn)的影響

控制環(huán)境；風(fēng)險(xiǎn)評(píng)估；控制活動(dòng)；信息與溝通；監(jiān)控。

第一章信息系統(tǒng)審計(jì)概論四、信息系統(tǒng)環(huán)境對(duì)審計(jì)風(fēng)險(xiǎn)的影響資29第一章信息系統(tǒng)審計(jì)概論3、對(duì)檢查風(fēng)險(xiǎn)的影響降低檢查風(fēng)險(xiǎn)的因素：

提高審計(jì)覆蓋面；提高證據(jù)采集的獨(dú)立性；提高分析處理的可靠性；增加審計(jì)的時(shí)效性。增加檢查風(fēng)險(xiǎn)的因素：

對(duì)信息系統(tǒng)缺乏足夠理解；技術(shù)不成熟；審計(jì)證據(jù)的可靠性；對(duì)技術(shù)的依賴(lài)性。

第一章信息系統(tǒng)審計(jì)概論3、對(duì)檢查風(fēng)險(xiǎn)的影響提高審30第一章信息系統(tǒng)審計(jì)概論五、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的防范措施1、降低固有風(fēng)險(xiǎn)措施

加強(qiáng)信息資產(chǎn)管理；強(qiáng)化內(nèi)外部安全控制機(jī)制；建立安全的運(yùn)行環(huán)境；加強(qiáng)數(shù)據(jù)輸入控制。2、降低控制風(fēng)險(xiǎn)的措施

正確分配訪問(wèn)和操作權(quán)限,及時(shí)管理和維護(hù)權(quán)限分配表；建立嚴(yán)格的職責(zé)分離、輪崗和休假制度；建立安全的網(wǎng)絡(luò)監(jiān)控機(jī)制,減少來(lái)自外部的風(fēng)險(xiǎn)；第一章信息系統(tǒng)審計(jì)概論五、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的防范措施加強(qiáng)313、降低檢查風(fēng)險(xiǎn)的措施

識(shí)別出重要信息資產(chǎn)；確定合理的檢查順序；改進(jìn)審計(jì)手段。第一章信息系統(tǒng)審計(jì)概論2、調(diào)查階段（風(fēng)險(xiǎn)識(shí)別）風(fēng)險(xiǎn)識(shí)別方法：現(xiàn)場(chǎng)檢查、相關(guān)人員交談、召開(kāi)座談會(huì)、流程調(diào)查、技術(shù)資料、有關(guān)文檔、資料分析、理論分析、日志審核、工具分析、模擬攻擊等。風(fēng)險(xiǎn)評(píng)估過(guò)程簡(jiǎn)介：1、準(zhǔn)備階段：明確任務(wù)、建立項(xiàng)目組、職責(zé)分工、制定計(jì)劃3、降低檢查風(fēng)險(xiǎn)的措施識(shí)別出重要信息資產(chǎn)；第一章32定性分析評(píng)估方法：安全檢查表法；專(zhuān)家評(píng)價(jià)法；事故樹(shù)分析法(FTA)事件樹(shù)分析法(ETA)；潛在問(wèn)題分析法(PPA)因果分析法(CCA)；作業(yè)安全分析(WSA)定量分析評(píng)估方法：層次分析法(AHP)；模糊綜合評(píng)判法；BP神經(jīng)網(wǎng)絡(luò)法；灰色系統(tǒng)預(yù)測(cè)模型第一章信息系統(tǒng)審計(jì)概論3、風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析：是識(shí)別機(jī)構(gòu)中存在的風(fēng)險(xiǎn)的過(guò)程，是對(duì)潛在威脅影響的量化，以及為實(shí)現(xiàn)控制所需的成本和產(chǎn)生的利潤(rùn)提供證明。風(fēng)險(xiǎn)分析既可以采取定量分析的方法，用真實(shí)的數(shù)字說(shuō)明威脅可能造成的損失以及損失的數(shù)量；也可以采取定性分析的方法，用排名的方法來(lái)分析對(duì)資材敏感度的威脅的嚴(yán)重性。定性分析評(píng)估方法：第一章信息系統(tǒng)審計(jì)概論3、風(fēng)險(xiǎn)分析33第一章信息系統(tǒng)審計(jì)概論可供參考的標(biāo)準(zhǔn)：BS7799標(biāo)準(zhǔn):將信息作為一種資產(chǎn)并進(jìn)行管理與控制的手段對(duì)信息系統(tǒng)進(jìn)行控制，確保業(yè)務(wù)的連續(xù)性與關(guān)鍵業(yè)務(wù)不受到損害，是當(dāng)前國(guó)際中最重要的管理類(lèi)標(biāo)準(zhǔn)。ISO13355系列標(biāo)準(zhǔn)：安全管理策略標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)：?jiǎn)我坏耐ㄓ脺?zhǔn)則安全技術(shù)方面的重要標(biāo)準(zhǔn)。SSECMM模型：該模型定義了一個(gè)安全工程過(guò)程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。OCTAV方法：可操作的關(guān)鍵威脅、資產(chǎn)、脆弱性評(píng)估方法，風(fēng)險(xiǎn)評(píng)估的重要的方法體系。GB17859-1999：《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》第一章信息系統(tǒng)審計(jì)概論可供參考的標(biāo)準(zhǔn)：34第四節(jié)信息系統(tǒng)內(nèi)部控制與審計(jì)內(nèi)部控制（COSO）：由企業(yè)董事會(huì)、經(jīng)理階層和其他員工實(shí)施的，為運(yùn)營(yíng)的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法律規(guī)章的遵循性等目標(biāo)的達(dá)成而提供合理保證的過(guò)程。內(nèi)部控制：是一個(gè)單位為了保護(hù)其資產(chǎn)的安全性、會(huì)計(jì)資料的準(zhǔn)確性和可靠性，提高經(jīng)營(yíng)效率以及貫徹執(zhí)行其規(guī)定的管理方針而在組織內(nèi)部采取的一系列制度、方針和手續(xù)。第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制的本質(zhì)：是一種制度安排，是一種管理控制內(nèi)部控制的表現(xiàn)形式：一些列方法、措施和程序第四節(jié)信息系統(tǒng)內(nèi)部控制與審計(jì)第一章信息系統(tǒng)審計(jì)概論35內(nèi)部控制的基本原則：1、合法性原則；2、相互牽制原則；3、程式定位原則；4、系統(tǒng)全面原則。內(nèi)部控制的基本方式：1、組織機(jī)構(gòu)控制；2、職務(wù)分離控制；3、其他重要的內(nèi)部控制。如：授權(quán)批準(zhǔn)控制，人員素質(zhì)制度，信息質(zhì)量控制，財(cái)產(chǎn)安全控制，業(yè)務(wù)程序控制、內(nèi)部審計(jì)控制第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制的基本原則：內(nèi)部控制的基本方式：第一章信息36內(nèi)部控制的發(fā)展階段：經(jīng)歷了：內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架COSO提出的《內(nèi)部控制——整體框架》報(bào)告標(biāo)志著內(nèi)部控制理論與實(shí)踐進(jìn)入了內(nèi)部控制整體框架的新階段。COSO《內(nèi)部控制——整體框架》報(bào)告提出了內(nèi)部控制組成要素：控制環(huán)境(Control

Environment)風(fēng)險(xiǎn)評(píng)價(jià)(Risk

Assessment)控制活動(dòng)(Control

Activities)信息與溝通(1nformationand

Communication)監(jiān)控(Monitoring)第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制的發(fā)展階段：第一章信息系統(tǒng)審計(jì)概論37一、信息系統(tǒng)內(nèi)部控制的概念和特點(diǎn)概念：狹義；廣義（參見(jiàn)教材）特點(diǎn)：控制的重點(diǎn)轉(zhuǎn)向系統(tǒng)職能部門(mén)；控制的范圍擴(kuò)大；控制方式和操作手段由人工控制轉(zhuǎn)為人工控制與程序化控制相結(jié)合。

第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制與審計(jì)的關(guān)系：內(nèi)部控制的完善與可靠，直接影響審計(jì)風(fēng)險(xiǎn)的大小和審計(jì)成本的高低內(nèi)部控制完善且可靠，審計(jì)風(fēng)險(xiǎn)小、審計(jì)成本低；內(nèi)部控制不完善可靠，審計(jì)風(fēng)險(xiǎn)大、審計(jì)成本高。

一、信息系統(tǒng)內(nèi)部控制的概念和特點(diǎn)第一章信息系統(tǒng)審計(jì)概論38二、信息系統(tǒng)內(nèi)部控制的目標(biāo)和標(biāo)準(zhǔn)（一）信息系統(tǒng)內(nèi)部控制的目標(biāo)與業(yè)務(wù)目標(biāo)一致；有效利用信息資源；風(fēng)險(xiǎn)管理。

第一章信息系統(tǒng)審計(jì)概論（二）信息系統(tǒng)內(nèi)部控制的標(biāo)準(zhǔn)公認(rèn)標(biāo)準(zhǔn)：COBIT模型COBIT的全名是ControlObjectivesforInformationandrelatedTechnology,是由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）在1996年公布的，目前已經(jīng)更新至第四版，是國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。

二、信息系統(tǒng)內(nèi)部控制的目標(biāo)和標(biāo)準(zhǔn)第一章信息系統(tǒng)審計(jì)概論（39第一章信息系統(tǒng)審計(jì)概論三、信息系統(tǒng)內(nèi)部控制的種類(lèi)依據(jù)要達(dá)到的直接目標(biāo)分為：會(huì)計(jì)控制、管理控制依據(jù)控制的預(yù)定意圖：預(yù)防性控制、檢查性控制、糾正性控制其中：預(yù)防性控制是一種積極的控制（事前控制）檢查性控制是一種中性控制（事中控制）糾正性控制是一種消極的控制（事后控制）依據(jù)信息處理系統(tǒng)的不同可分為：手工系統(tǒng)控制、信息系統(tǒng)控制依據(jù)控制所采取的工具或手段的不同分為：手工控制、程序化控制依據(jù)控制對(duì)象范圍和環(huán)境分為：一般控制、應(yīng)用控制第一章信息系統(tǒng)審計(jì)概論三、信息系統(tǒng)內(nèi)部控制的種類(lèi)40第一章信息系統(tǒng)審計(jì)概論四、信息系統(tǒng)的控制措施（一）信息系統(tǒng)的一般控制一般控制：指對(duì)計(jì)算機(jī)信息系統(tǒng)的構(gòu)成要素和系統(tǒng)環(huán)境實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。具體說(shuō)來(lái)，包括：1、組織控制。基本原則：信息系統(tǒng)部門(mén)與業(yè)務(wù)部門(mén)的職責(zé)相分離；信息處理部門(mén)內(nèi)部的職責(zé)相分離。權(quán)責(zé)劃分：在分工協(xié)作的基礎(chǔ)上明確各部門(mén)的權(quán)限與責(zé)任職能分離：對(duì)不相容職務(wù)進(jìn)行分離第一章信息系統(tǒng)審計(jì)概論四、信息系統(tǒng)的控制措施1、組織控制41主要控制措施包括：系統(tǒng)分析設(shè)計(jì)、系統(tǒng)維護(hù)、系統(tǒng)操作、文檔資料保管以及系統(tǒng)數(shù)據(jù)庫(kù)管理等職責(zé)要相互分離；交易的授權(quán)與交易的執(zhí)行相分離；資產(chǎn)的保管與記錄相分離；交易處理職能在多人之間進(jìn)行分工，明確劃分責(zé)任。例：業(yè)務(wù)要由用戶(hù)部門(mén)發(fā)起或授權(quán)；記錄變動(dòng)要由用戶(hù)部門(mén)授權(quán)；程序員與操作員相分離；等第一章信息系統(tǒng)審計(jì)概論2、系統(tǒng)開(kāi)發(fā)與維護(hù)控制主要控制措施包括：主要控制措施包括：第一章信息系統(tǒng)審計(jì)概論2、系統(tǒng)開(kāi)發(fā)與維42主要控制措施包括：系統(tǒng)開(kāi)發(fā)的可行性控制；包括：目標(biāo)、總體結(jié)構(gòu)、開(kāi)發(fā)方式、組織結(jié)構(gòu)與管理體制、開(kāi)發(fā)進(jìn)度、資金預(yù)算、培訓(xùn)系統(tǒng)的合規(guī)、合法性控制；系統(tǒng)的可審性、系統(tǒng)測(cè)試的全面恰當(dāng)性；開(kāi)發(fā)過(guò)程的人員控制；系統(tǒng)設(shè)計(jì)控制；文檔控制；系統(tǒng)維護(hù)控制。包括：系統(tǒng)的日常維護(hù)；系統(tǒng)功能的改進(jìn)和擴(kuò)充第一章信息系統(tǒng)審計(jì)概論主要控制措施包括：第一章信息系統(tǒng)審計(jì)概論43第一章信息系統(tǒng)審計(jì)概論3、系統(tǒng)安全控制主要控制措施包括：（1）接觸控制只有經(jīng)過(guò)授權(quán)的人才能接觸各項(xiàng)資源硬件接觸控制人員批準(zhǔn)、專(zhuān)用終端，證卡，通知程序資料接觸控制編碼，源程序數(shù)據(jù)文件接觸控制人員限制聯(lián)機(jī)系統(tǒng)接觸控制多級(jí)口令第一章信息系統(tǒng)審計(jì)概論3、系統(tǒng)安全控制44第一章信息系統(tǒng)審計(jì)概論（2）環(huán)境安全控制預(yù)防性措施安全環(huán)境設(shè)備保護(hù)供電安全（3）安全保密控制

防止拷貝，更改和未經(jīng)授權(quán)使用軟件方法硬件方法結(jié)合第一章信息系統(tǒng)審計(jì)概論（2）環(huán)境安全控制（3）安全保密控45第一章信息系統(tǒng)審計(jì)概論（4）防病毒控制技術(shù)手段殺毒軟件，檢測(cè)程序管理手段：慎用軟件，定期檢查，備份，寫(xiě)保護(hù)（5）保險(xiǎn)意外事故第一章信息系統(tǒng)審計(jì)概論（4）防病毒控制（5）保險(xiǎn)464、硬件及系統(tǒng)軟件控制主要控制措施包括：（1）硬件控制計(jì)算機(jī)廠商建立在硬件或系統(tǒng)軟件中，為硬件操作提供可靠控制奇偶校驗(yàn)冗余檢驗(yàn)重復(fù)處理校驗(yàn)回聲校驗(yàn)設(shè)備檢驗(yàn)有效性檢驗(yàn)第一章信息系統(tǒng)審計(jì)概論4、硬件及系統(tǒng)軟件控制第一章信息系統(tǒng)審計(jì)概論47（2）系統(tǒng)軟件控制錯(cuò)誤處置I/O，記錄長(zhǎng)度，存儲(chǔ)裝置程序保護(hù)邊界保護(hù)，外部調(diào)用，庫(kù)程序，控制修改文件保護(hù)內(nèi)部文件標(biāo)簽檢查，存儲(chǔ)保護(hù)，內(nèi)存清理，地址比較安全保護(hù)自動(dòng)記錄使用情況，系統(tǒng)活動(dòng)分析公用程序，口令自我保護(hù)組裝和改動(dòng)控制，職能分割，記錄，監(jiān)視，硬化第一章信息系統(tǒng)審計(jì)概論（2）系統(tǒng)軟件控制第一章信息系統(tǒng)審計(jì)概論485、操作控制主要控制措施包括：第一章信息系統(tǒng)審計(jì)概論上機(jī)守則與操作規(guī)程日志記錄保密制度非常狀態(tài)下的數(shù)據(jù)恢復(fù)冗余工作計(jì)劃系統(tǒng)操作控制主要表現(xiàn)：操作權(quán)限控制、操作規(guī)程控制操作權(quán)限控制：口令操作規(guī)程控制：軟硬件操作規(guī)程,作業(yè)運(yùn)行規(guī)程,用機(jī)時(shí)間記錄規(guī)程等5、操作控制第一章信息系統(tǒng)審計(jì)概論上機(jī)守則與操作規(guī)程49第一章信息系統(tǒng)審計(jì)概論（二）信息系統(tǒng)的應(yīng)用控制應(yīng)用控制：是指對(duì)計(jì)算機(jī)信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制。具體說(shuō)來(lái)，包括：1、輸入控制。主要控制措施包括：防止遺漏和重復(fù)檢查錯(cuò)誤編制書(shū)面文件設(shè)計(jì)格式建立收發(fā)記錄，計(jì)算控制總數(shù)數(shù)據(jù)輸入核對(duì)計(jì)算機(jī)編輯檢查第一章信息系統(tǒng)審計(jì)概論（二）信息系統(tǒng)的應(yīng)用控制1、輸入50第一章信息系統(tǒng)審計(jì)概論案例：計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)輸入控制記賬憑證完整性、合理性檢驗(yàn)建立科目名稱(chēng)和代碼對(duì)照文件設(shè)計(jì)科目代碼校驗(yàn)位設(shè)立對(duì)應(yīng)關(guān)系參照文件試算平衡控制順序檢查屏幕檢查二次輸入法控制總數(shù)法第一章信息系統(tǒng)審計(jì)概論案例：計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)輸入控制51第一章信息系統(tǒng)審計(jì)概論2、處理控制：是計(jì)算機(jī)信息系統(tǒng)按程序指令實(shí)行的內(nèi)部控制功能。主要控制措施包括：數(shù)據(jù)驗(yàn)證。包括：數(shù)據(jù)有效性檢驗(yàn)：文件標(biāo)簽；記錄標(biāo)示業(yè)務(wù)代碼；業(yè)務(wù)順序處理有效性檢驗(yàn)：運(yùn)算正確性檢測(cè)雙重存儲(chǔ)數(shù)據(jù)和理性檢測(cè)數(shù)據(jù)極限檢驗(yàn)交叉合計(jì)檢查第一章信息系統(tǒng)審計(jì)概論2、處理控制：是計(jì)算機(jī)信息系統(tǒng)按程52第一章信息系統(tǒng)審計(jì)概論錯(cuò)誤糾正控制更正和抵消保留審計(jì)線索斷點(diǎn)技術(shù)特殊處理控制技術(shù)處理權(quán)限控制登帳條件檢驗(yàn)防錯(cuò)，糾錯(cuò)控制非正常中斷恢復(fù)修改權(quán)限和修改痕跡控制第一章信息系統(tǒng)審計(jì)概論錯(cuò)誤糾正控制53第一章信息系統(tǒng)審計(jì)概論3、輸出結(jié)果控制主要控制措施包括：控制總數(shù)核對(duì)勾稽關(guān)系檢驗(yàn)對(duì)輸出資料的審視檢查與合理性檢驗(yàn)輸出文件的保管與分發(fā)五、信息系統(tǒng)內(nèi)部控制的審計(jì)審計(jì)目的：確定系統(tǒng)的內(nèi)部控制設(shè)置是否完善適當(dāng)；已有的控制是否恰當(dāng)?shù)匕l(fā)揮了作用，達(dá)到了原來(lái)的設(shè)計(jì)目標(biāo)；針對(duì)系統(tǒng)控制的缺陷和薄弱環(huán)節(jié)提出改進(jìn)的建議，并以此為依據(jù)調(diào)整實(shí)質(zhì)性測(cè)試階段的范圍、內(nèi)容和深度。第一章信息系統(tǒng)審計(jì)概論3、輸出結(jié)果控制控制總數(shù)核對(duì)五、信54（一）一般控制的審計(jì)目的：對(duì)系統(tǒng)一般控制的完善性和有效性進(jìn)行審計(jì)

一般控制的評(píng)審包括兩個(gè)方面：1、對(duì)被審計(jì)單位信息系統(tǒng)背景信息評(píng)審。內(nèi)容有：（1）被審計(jì)單位信息系統(tǒng)的規(guī)模；（2）硬件和網(wǎng)絡(luò)的技術(shù)復(fù)雜性；（3）被審計(jì)單位信息系統(tǒng)會(huì)計(jì)核算和業(yè)務(wù)系統(tǒng)等應(yīng)用軟件取得的方式；（4）系統(tǒng)的管理情況；（5）被審計(jì)單位信息系統(tǒng)處理業(yè)務(wù)流程等。目的：通過(guò)對(duì)以上背景信息評(píng)審，基本收集了被審計(jì)單位信息系統(tǒng)硬件和軟件的基本情況第一章信息系統(tǒng)審計(jì)概論（一）一般控制的審計(jì)第一章信息系統(tǒng)審計(jì)概論55第一章信息系統(tǒng)審計(jì)概論2、對(duì)被審計(jì)單位信息系統(tǒng)控制環(huán)境評(píng)審。內(nèi)容有：（1）系統(tǒng)控制措施；（2）不相容職能分離控制措施；（3）訪問(wèn)控制措施；（4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施；目的：是確定被審計(jì)單位信息系統(tǒng)總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風(fēng)險(xiǎn)。第一章信息系統(tǒng)審計(jì)概論2、對(duì)被審計(jì)單位信息系統(tǒng)控制環(huán)境56（二）應(yīng)用控制的審計(jì)目的：檢查存在于各具體應(yīng)用程序中的輸入控制、處理控制和輸出控制的情況的完善性和有效性。

應(yīng)用控制的評(píng)審包括：1、輸入控制審計(jì)目的：審查輸入控制在確保輸入數(shù)據(jù)的精確、完整、有效以及數(shù)據(jù)輸入的合法性的情況。輸入控制的審計(jì)的主要內(nèi)容包括：（1）輸入權(quán)限控制；（2）輸入完整性控制；（3）數(shù)據(jù)有效性控制；（4）輸入格式檢查；

第一章信息系統(tǒng)審計(jì)概論（二）應(yīng)用控制的審計(jì)第一章信息系統(tǒng)審計(jì)概論57（5）輸入數(shù)據(jù)范圍檢查；（6）校驗(yàn)；（7）有效性檢查；（8）相容性檢查；（9）數(shù)據(jù)重復(fù)控制；（10）數(shù)據(jù)相關(guān)性檢查；（11）輸入異常處理。

第一章信息系統(tǒng)審計(jì)概論2、處理控制的審計(jì)目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復(fù)處理、處理的數(shù)據(jù)是有效的，等。處理控制的審計(jì)的主要內(nèi)容包括：

（5）輸入數(shù)據(jù)范圍檢查；第一章信息系統(tǒng)審計(jì)概論58第一章信息系統(tǒng)審計(jì)概論（1）數(shù)據(jù)被處理前后保持一致；（2）數(shù)據(jù)有效性檢查；（3）處理與數(shù)據(jù)的非相關(guān)檢查；（4）數(shù)據(jù)處理的完整性與一致性；（5）處理的有效性；（6）文件訪問(wèn)沖突控制；（7）錯(cuò)誤控制。3、輸出控制的審計(jì)目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。處理控制的審計(jì)的主要內(nèi)容包括：

第一章信息系統(tǒng)審計(jì)概論（1）數(shù)據(jù)被處理前后保持一致59（1）輸出異常的處理；（2）數(shù)據(jù)輸出完整性；（3）輸出數(shù)據(jù)的保護(hù)；（4）輸出結(jié)果符合要求；（5）輸出數(shù)據(jù)的及時(shí)性；（6）輸出被合適地發(fā)布。第一章信息系統(tǒng)審計(jì)概論六、信息系統(tǒng)內(nèi)部控制的審計(jì)步驟(一)了解并描述內(nèi)部控制

調(diào)查方法：詢(xún)問(wèn)、觀察、查閱文檔資料、檢測(cè)工具描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程圖法

（1）輸出異常的處理；第一章信息系統(tǒng)審計(jì)概論六、60第一章信息系統(tǒng)審計(jì)概論(二)符合性測(cè)試

人工控制審查方法：詢(xún)問(wèn)、觀察、檢查文檔資料、發(fā)放調(diào)查問(wèn)卷，等程序控制審查方法：人工控制審查方法、計(jì)算機(jī)輔助審計(jì)技術(shù)

(三)評(píng)價(jià)內(nèi)部控制

評(píng)價(jià)目標(biāo)：確定被審單位的內(nèi)部控制是否達(dá)到了電算化條件下應(yīng)有的控制目標(biāo)，內(nèi)部控制是否有重大缺陷，有無(wú)過(guò)控或欠控之處，已設(shè)立的控制是否有效執(zhí)行。結(jié)果處理：對(duì)被審單位控制的薄弱環(huán)節(jié)提出管理建議，并形成文檔——管理建議書(shū)；調(diào)整。第一章信息系統(tǒng)審計(jì)概論(二)符合性測(cè)試(三61第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制評(píng)價(jià)指標(biāo)簡(jiǎn)介：內(nèi)部控制的審計(jì)評(píng)價(jià)指標(biāo)通常分為一般性指標(biāo)和具體指標(biāo)（一）信息系統(tǒng)內(nèi)部控制審計(jì)評(píng)價(jià)的一般性指標(biāo)指為保證信息系統(tǒng)安全運(yùn)行所制定的內(nèi)部控制制度應(yīng)遵循的原則和達(dá)到的目標(biāo)，包括：1、信息系統(tǒng)內(nèi)部控制的完整性；2、信息系統(tǒng)內(nèi)部控制的合理性；3、信息系統(tǒng)內(nèi)部控制的有效性。（二）信息系統(tǒng)內(nèi)部控制審計(jì)評(píng)價(jià)的具體指標(biāo)指對(duì)信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容方面的審計(jì)評(píng)價(jià)指標(biāo)，是對(duì)信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容的具體評(píng)價(jià)。第一章信息系統(tǒng)審計(jì)概論內(nèi)部控制評(píng)價(jià)指標(biāo)簡(jiǎn)介：62第五節(jié)風(fēng)險(xiǎn)基礎(chǔ)審計(jì)

第一章信息系統(tǒng)審計(jì)概論審計(jì)模式的發(fā)展經(jīng)歷了三個(gè)階段：賬項(xiàng)基礎(chǔ)審計(jì)制度基礎(chǔ)審計(jì)風(fēng)險(xiǎn)基礎(chǔ)審計(jì)

風(fēng)險(xiǎn)基礎(chǔ)的審計(jì)模式基本要素構(gòu)成：固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的三個(gè)基本環(huán)節(jié)：風(fēng)險(xiǎn)評(píng)估、內(nèi)控測(cè)試及實(shí)質(zhì)性測(cè)試第五節(jié)風(fēng)險(xiǎn)基礎(chǔ)審計(jì)第一章信息系統(tǒng)審計(jì)概論審計(jì)模式的發(fā)展63風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的優(yōu)點(diǎn)：通過(guò)對(duì)被審計(jì)單位風(fēng)險(xiǎn)的評(píng)價(jià)，集中審計(jì)資源于高風(fēng)險(xiǎn)的審計(jì)領(lǐng)域，最大限度地降低審計(jì)的檢查風(fēng)險(xiǎn)；保證審計(jì)效果和質(zhì)量；節(jié)約審計(jì)成本；提高審計(jì)效率。

第一章信息系統(tǒng)審計(jì)概論風(fēng)險(xiǎn)基礎(chǔ)審計(jì)方法的思路：1、編制被審計(jì)單位使用的信息系統(tǒng)清單并對(duì)其進(jìn)行分類(lèi)；2、判斷哪個(gè)系統(tǒng)影響關(guān)鍵功能和資產(chǎn)；3、評(píng)估哪些風(fēng)險(xiǎn)影響這些系統(tǒng)并對(duì)商業(yè)運(yùn)作造成沖擊；4、在上述評(píng)估的基礎(chǔ)上對(duì)系統(tǒng)進(jìn)行分級(jí)，決定審計(jì)的優(yōu)先次序、資源、進(jìn)度和頻率。

風(fēng)險(xiǎn)基礎(chǔ)審計(jì)的優(yōu)點(diǎn)：第一章信息系統(tǒng)審計(jì)概論風(fēng)險(xiǎn)基礎(chǔ)審計(jì)方64第一章信息系統(tǒng)審計(jì)概論第六節(jié)基于風(fēng)險(xiǎn)審計(jì)理論的信息系統(tǒng)審計(jì)步驟與傳統(tǒng)審計(jì)相同，信息系統(tǒng)審計(jì)步驟也分為三個(gè)階段：審計(jì)計(jì)劃階段、審計(jì)實(shí)施階段、審計(jì)報(bào)告階段

（一）審計(jì)計(jì)劃階段（審計(jì)準(zhǔn)備階段）內(nèi)容：制定科學(xué)、合理的審計(jì)計(jì)劃

結(jié)果形式：審計(jì)文檔——信息系統(tǒng)審計(jì)計(jì)劃書(shū)

（二）審計(jì)實(shí)施階段內(nèi)容：調(diào)查取證；結(jié)果形式：工作底稿及附件

（三）審計(jì)報(bào)告階段內(nèi)容：運(yùn)用專(zhuān)業(yè)判斷，綜合各種證據(jù)，評(píng)估測(cè)試結(jié)果，根據(jù)審計(jì)準(zhǔn)則，形成審計(jì)意見(jiàn)。結(jié)果形式：審計(jì)意見(jiàn)書(shū)、審計(jì)報(bào)告

第一章信息系統(tǒng)審計(jì)概論第六節(jié)基于風(fēng)險(xiǎn)審計(jì)理論的信息系65第一章信息系統(tǒng)審計(jì)概論具體的信息系統(tǒng)審計(jì)步驟和內(nèi)容如下所示：（一）審計(jì)計(jì)劃階段審計(jì)計(jì)劃了解被審系統(tǒng)情況；與委托單位簽訂業(yè)務(wù)約定書(shū)；初步評(píng)價(jià)被審系統(tǒng)的內(nèi)部控制及外部控制；確定重要性；分析審計(jì)風(fēng)險(xiǎn)；編制審計(jì)計(jì)劃

1、了解被審計(jì)系統(tǒng)基本情況目的：明確審計(jì)的難度，所需時(shí)間及大致費(fèi)用等。決定是否接受委托對(duì)該系統(tǒng)進(jìn)行審計(jì)，第一章信息系統(tǒng)審計(jì)概論具體的信息系統(tǒng)審計(jì)步驟和內(nèi)容如下所66主要包括：（1）系統(tǒng)擁有者概況；（2）系統(tǒng)建成時(shí)間，運(yùn)行時(shí)間，生命周期概況、規(guī)模及設(shè)備清單；（3）管理者的管理措施，對(duì)IS的內(nèi)部控制；（4）相關(guān)外部控制；（5）技術(shù)操作人員的概況；（6）已做過(guò)的審計(jì)，時(shí)間及審計(jì)機(jī)構(gòu)等。第一章信息系統(tǒng)審計(jì)概論2、與委托單位簽訂業(yè)務(wù)約定書(shū)審計(jì)業(yè)務(wù)約定書(shū)的內(nèi)容一般包括：

主要包括：第一章信息系統(tǒng)審計(jì)概論2、與委托單位簽訂業(yè)務(wù)約67第一章信息系統(tǒng)審計(jì)概論簽約雙方名稱(chēng)；委托目的；審計(jì)范圍；雙方責(zé)任；簽約各方的義務(wù)；出具審計(jì)報(bào)告的時(shí)間要求；審計(jì)報(bào)告的使用責(zé)任；審計(jì)收費(fèi)；業(yè)務(wù)約定書(shū)的有效期間；違約責(zé)任；簽約時(shí)間及其他事項(xiàng)第一章信息系統(tǒng)審計(jì)概論簽約雙方名稱(chēng)；683、初步評(píng)價(jià)被審系統(tǒng)的內(nèi)部控制及外部控制內(nèi)部控制初評(píng)過(guò)程：第一章信息系統(tǒng)審計(jì)概論了解被審單位內(nèi)部控制情況，做出相應(yīng)記錄，初步測(cè)評(píng)內(nèi)控的存在性及完整性和有效性?xún)?nèi)部控制有效嗎評(píng)價(jià)控制風(fēng)險(xiǎn)為最高水平確定較低控制風(fēng)險(xiǎn)確定重要性，分析審計(jì)風(fēng)險(xiǎn)，制定審計(jì)計(jì)劃YN3、初步評(píng)價(jià)被審系統(tǒng)的內(nèi)部控制及外部控制第一章69外部控制初評(píng)：信息系統(tǒng)安全標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程建設(shè)標(biāo)準(zhǔn)、驗(yàn)收標(biāo)準(zhǔn)等各項(xiàng)規(guī)章制度的執(zhí)行情況。第一章信息系統(tǒng)審計(jì)概論5、分析審計(jì)風(fēng)險(xiǎn)方法：審計(jì)風(fēng)險(xiǎn)模型（DAR=IR╳CR╳DR）4、確定重要性重要性特征：數(shù)量、質(zhì)量重要性評(píng)估的目的：確定所需審計(jì)證據(jù)的數(shù)量重要性水平與審計(jì)證據(jù)之間關(guān)系：反向關(guān)系

6、編制審計(jì)計(jì)劃審計(jì)計(jì)劃包括：總體審計(jì)計(jì)劃、具體審計(jì)計(jì)劃外部控制初評(píng)：信息系統(tǒng)安全標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程第一70總體審計(jì)計(jì)劃主要包括：被審單位基本情況；審計(jì)目的、審計(jì)范圍及策略；重要問(wèn)題及重要審計(jì)領(lǐng)域；工作進(jìn)度及時(shí)間、費(fèi)用預(yù)算；審計(jì)小組成員分工；重要性確定及風(fēng)險(xiǎn)評(píng)估等。具體審計(jì)計(jì)劃主要包括：具體審計(jì)目標(biāo)；審計(jì)程序；執(zhí)行人員及時(shí)間限制等。第一章信息系統(tǒng)審計(jì)概論總體審計(jì)計(jì)劃主要包括：具體審計(jì)計(jì)劃主要包括：第一章信息系71第一章信息系統(tǒng)審計(jì)概論（二）審計(jì)實(shí)施階段審計(jì)實(shí)施IT治理審計(jì)IS硬件與系統(tǒng)軟件審計(jì)IS開(kāi)發(fā)審計(jì)IS運(yùn)營(yíng)、維護(hù)審計(jì)IS安全審計(jì)根據(jù)重要性、風(fēng)險(xiǎn)和計(jì)劃獲取有關(guān)資料;符合性測(cè)試，驗(yàn)證固有和控制風(fēng)險(xiǎn)，維持或重新確定檢查風(fēng)險(xiǎn);修改方案;實(shí)質(zhì)性瀏試;對(duì)測(cè)試結(jié)果進(jìn)行分析;找出導(dǎo)致結(jié)果的原因第一章信息系統(tǒng)審計(jì)概論（二）審計(jì)實(shí)施階段審計(jì)實(shí)施72審計(jì)實(shí)施步驟：（1）審計(jì)通知；（2）預(yù)備調(diào)查；（3）審計(jì)實(shí)施；（4）審計(jì)評(píng)審；（5）補(bǔ)充審計(jì)；（6）審計(jì)評(píng)議會(huì)。ISA主要任務(wù)：（1）收集資料；（2）確定審計(jì)或測(cè)試的方式；（3）列出需要訪談的人員名單；（4）查閱有關(guān)部門(mén)的政策、標(biāo)準(zhǔn)及準(zhǔn)則，以供審計(jì)使用；（5）利用審計(jì)方法，對(duì)所有控制進(jìn)行測(cè)試和評(píng)價(jià)；（6）評(píng)估測(cè)試結(jié)果。第一章信息系統(tǒng)審計(jì)概論審計(jì)實(shí)施步驟：第一章信息系統(tǒng)審計(jì)概論73審計(jì)實(shí)施是審計(jì)的中心環(huán)節(jié)，主要由符合性測(cè)試階段和實(shí)質(zhì)性階段構(gòu)成。1、符合性測(cè)試符合性測(cè)試的目標(biāo)：審查被審計(jì)單位信息系統(tǒng)的內(nèi)部控制制度的建立及遵守情況，根據(jù)測(cè)試結(jié)果修訂審計(jì)計(jì)劃，確定后續(xù)測(cè)試――實(shí)質(zhì)性測(cè)試的程度。具體步驟：（1）目標(biāo)設(shè)定；（2）事項(xiàng)識(shí)別；（3）風(fēng)險(xiǎn)評(píng)估；（4）風(fēng)險(xiǎn)應(yīng)對(duì)措施。第一章信息系統(tǒng)審計(jì)概論審計(jì)實(shí)施是審計(jì)的中心環(huán)節(jié)，主要由符合性測(cè)試階74符合性測(cè)試的常用方法有：訪問(wèn)被審計(jì)單位的領(lǐng)導(dǎo)與員工、發(fā)放調(diào)查問(wèn)卷、實(shí)地考察、查閱有關(guān)程序文檔資料等。2、實(shí)施實(shí)質(zhì)性測(cè)試實(shí)質(zhì)性測(cè)試：是對(duì)交易和事項(xiàng)的詳細(xì)測(cè)試或分析性復(fù)核測(cè)試，以獲得審計(jì)期間這些事項(xiàng)或交易合法、完整、準(zhǔn)確或真實(shí)存在的審計(jì)證據(jù)。具體步驟：（1）根據(jù)符合性測(cè)試的結(jié)果，確定進(jìn)行實(shí)質(zhì)性測(cè)試的范圍、數(shù)量以及抽樣方法；（2）判斷是否需要大量測(cè)試，確定是進(jìn)行大量的隨機(jī)或統(tǒng)計(jì)抽樣，還是執(zhí)行有限的隨機(jī)或判斷抽樣；第一章信息系統(tǒng)審計(jì)概論符合性測(cè)試的常用方法有：訪問(wèn)被審計(jì)單位的領(lǐng)導(dǎo)與員工、第一章75（3）確認(rèn)所有的交易事項(xiàng)均已經(jīng)被準(zhǔn)確記錄的可能性；（4）判斷就樣本而言是否達(dá)到控制目標(biāo)？對(duì)能否達(dá)到組織的控制目標(biāo)向管理層提供最終的保證或不保證。實(shí)質(zhì)性測(cè)試的常用方法有：檢測(cè)數(shù)據(jù)法、授控處理法、平行模擬法、利用輔助審計(jì)軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件等方法。第一章信息系統(tǒng)審計(jì)概論符合性測(cè)試示例：在應(yīng)收賬款業(yè)務(wù)的處理模塊中，當(dāng)銷(xiāo)售業(yè)務(wù)數(shù)據(jù)輸入時(shí)，檢測(cè)應(yīng)收賬款的各種記錄是否產(chǎn)生相應(yīng)變化，其發(fā)生的增減變化方向是否與業(yè)務(wù)一致，或測(cè)試該客戶(hù)的應(yīng)收款余額是否超過(guò)信用額度，時(shí)間是否超過(guò)規(guī)定時(shí)間。實(shí)質(zhì)性測(cè)試示例：在對(duì)會(huì)計(jì)報(bào)表模塊審計(jì)中，檢查計(jì)算機(jī)會(huì)計(jì)報(bào)表系統(tǒng)產(chǎn)生的報(bào)表數(shù)據(jù)和經(jīng)審計(jì)人員審計(jì)產(chǎn)生的報(bào)表數(shù)據(jù)是否一致。（3）確認(rèn)所有的交易事項(xiàng)均已經(jīng)被準(zhǔn)確記錄的可能性；第76第一章信息系統(tǒng)審計(jì)概論（三）審計(jì)完成階段審計(jì)完成整理、評(píng)價(jià)審計(jì)證據(jù);復(fù)核工作底稿，完成二級(jí)復(fù)核;匯總審計(jì)差異，同被審系統(tǒng)管理層交流;評(píng)價(jià)審計(jì)結(jié)果(對(duì)重要性和風(fēng)險(xiǎn)進(jìn)行最終評(píng)價(jià))，形成審計(jì)意見(jiàn)，編制審計(jì)報(bào)告，完成三級(jí)復(fù)核

1、整理、評(píng)價(jià)執(zhí)行審計(jì)業(yè)務(wù)過(guò)程中收集到的證據(jù)證據(jù)：所謂證據(jù)就是審計(jì)師按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求，在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)行審計(jì)時(shí)所采用的信息，與審計(jì)目標(biāo)有關(guān)的信息即可作為審計(jì)證據(jù)。證據(jù)形式：口頭證據(jù)、書(shū)面證據(jù)、電子證據(jù)，等證據(jù)來(lái)源：原始憑證、電子記錄、錄音、照相、攝像，等第一章信息系統(tǒng)審計(jì)概論（三）審計(jì)完成階段審1、772、復(fù)核審計(jì)底稿，完成二級(jí)復(fù)核傳統(tǒng)審計(jì)的三級(jí)復(fù)核制度：一級(jí)復(fù)核：項(xiàng)目經(jīng)理二級(jí)復(fù)核：部門(mén)經(jīng)理三級(jí)復(fù)核：主任審計(jì)會(huì)計(jì)師（審計(jì)師）ISA一級(jí)復(fù)核內(nèi)容：審計(jì)中審計(jì)人員所完成的工作；審計(jì)形成的審計(jì)工作底稿及結(jié)論。ISA二級(jí)復(fù)核內(nèi)容：審計(jì)階段結(jié)束后審計(jì)工作底稿及結(jié)論3、匯總審計(jì)差異，與被審計(jì)單位溝通

第一章信息系統(tǒng)審計(jì)概論2、復(fù)核審計(jì)底稿，完成二級(jí)復(fù)核3、匯總78第一章信息系統(tǒng)審計(jì)概論4、評(píng)價(jià)審計(jì)結(jié)果，形成審計(jì)意見(jiàn)，完成三級(jí)復(fù)核，編制審計(jì)報(bào)告。審計(jì)意見(jiàn)的類(lèi)型：無(wú)保留意見(jiàn)的審計(jì)報(bào)告；保留意見(jiàn)的審計(jì)報(bào)告；否定意見(jiàn)的審計(jì)報(bào)告；無(wú)法表示意見(jiàn)的審計(jì)報(bào)告。三級(jí)復(fù)核主要內(nèi)容：采用審計(jì)程序的恰當(dāng)性；審計(jì)工作底稿的充分性；審計(jì)過(guò)程中是否存在重大遺漏；審計(jì)工作是否符合事務(wù)所的質(zhì)量要求等。ISA完成表現(xiàn)形式：審計(jì)意見(jiàn)書(shū)、審計(jì)報(bào)告

第一章信息系統(tǒng)審計(jì)概論4、評(píng)價(jià)審計(jì)結(jié)果，形成審計(jì)意見(jiàn)79第一章信息系統(tǒng)審計(jì)概論審計(jì)報(bào)告的基本格式：[題頭]

報(bào)告日期；上級(jí)主管部門(mén)名稱(chēng)；上級(jí)主管姓名；

審計(jì)說(shuō)明（概要）

[正文]

審計(jì)對(duì)象；重點(diǎn)審計(jì)主題；審計(jì)目的；

審計(jì)范圍和審計(jì)實(shí)施步驟（概要）；實(shí)施期間；

被審計(jì)對(duì)象部門(mén)；被審計(jì)人員及其工作職能；

審計(jì)結(jié)果（概要）

1可靠性：可靠性概要；可靠性評(píng)價(jià)

2安全性：安全性概要；安全性評(píng)價(jià)

3效率：效率概要；效率評(píng)價(jià)

主要存在的問(wèn)題

改良建議：1一般改良建議；2緊急改良建議第一章信息系統(tǒng)審計(jì)概論審計(jì)報(bào)告的基本格式：80第一章信息系統(tǒng)審計(jì)概論第七節(jié)信息系統(tǒng)審計(jì)的意義主要表現(xiàn)在：可以鑒證信息系統(tǒng)的安全和可靠性；可以鑒證電子化數(shù)據(jù)的真實(shí)性和完整性；可以促進(jìn)和提高信息系統(tǒng)的效率和效益；為組織信息化建設(shè)提供咨詢(xún)服務(wù)。

第七節(jié)信息系統(tǒng)審計(jì)準(zhǔn)則和職業(yè)道德規(guī)范簡(jiǎn)介信息系統(tǒng)審計(jì)準(zhǔn)則：為信息系統(tǒng)審計(jì)和報(bào)告定義了強(qiáng)制性的要求；是開(kāi)展信息系統(tǒng)審計(jì)的前提；是實(shí)施信息系統(tǒng)審計(jì)的總綱；是實(shí)施信息系統(tǒng)審計(jì)的具體規(guī)范。

第一章信息系統(tǒng)審計(jì)概論第七節(jié)信息系統(tǒng)審計(jì)的意義第七節(jié)81第一章信息系統(tǒng)審計(jì)概論一、國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則簡(jiǎn)介目前最具代表性和權(quán)威性的審計(jì)準(zhǔn)則制定機(jī)構(gòu)：ISACAISACA的信息系統(tǒng)審計(jì)準(zhǔn)則框架構(gòu)成：ISA標(biāo)準(zhǔn)、指南、程序

第一層次:信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)ISA標(biāo)準(zhǔn)是整個(gè)ISA準(zhǔn)則體系的總綱,是制定ISA指南和ISA程序的基礎(chǔ)依據(jù)。它規(guī)定了審計(jì)章程及審計(jì)過(guò)程(從計(jì)劃、實(shí)施、報(bào)告到跟蹤)必須達(dá)到的基本要求,是CISA的資格條件、執(zhí)業(yè)行為的基本規(guī)范。最新的ISA標(biāo)準(zhǔn)分為11大類(lèi),共43條

第一章信息系統(tǒng)審計(jì)概論一、國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則簡(jiǎn)介第一層82第一章信息系統(tǒng)審計(jì)概論第二層次:信息系統(tǒng)審計(jì)指南ISA指南是依據(jù)ISA標(biāo)準(zhǔn)制定的,是ISA標(biāo)準(zhǔn)的具體化,為ISA準(zhǔn)則體系中11大類(lèi)標(biāo)準(zhǔn)的實(shí)施提供了指引。它詳細(xì)規(guī)定了CISA實(shí)施審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指引,為CISA在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。目前為止有效的ISA指南共有35項(xiàng)第三層次:信息系統(tǒng)審計(jì)程序ISA程序是依據(jù)ISA標(biāo)準(zhǔn)和ISA指南制定的。它為CISA提供了一般審計(jì)業(yè)務(wù)(尤其是審計(jì)計(jì)劃和審計(jì)實(shí)施階段業(yè)務(wù))的程序和步驟,是遵守標(biāo)準(zhǔn)和指南的一些通常審計(jì)程序,它為CISA提供了很好的工作范例。ISA程序是CISA的一個(gè)參照，不要求強(qiáng)制執(zhí)行。目前為止有效的ISA程序共有9項(xiàng)第一章信息系統(tǒng)審計(jì)概論第二層次:信息系統(tǒng)審計(jì)指南第三層次83第一章信息系統(tǒng)審計(jì)概論其他頒布信息系統(tǒng)審計(jì)準(zhǔn)則的有重要影響的組織主要有：美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）：最近的第94號(hào)準(zhǔn)則《IT對(duì)CPA評(píng)價(jià)內(nèi)部控制的影響》（SASNo.94）。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）：如，內(nèi)部審計(jì)師準(zhǔn)則說(shuō)明書(shū)（SIAS）。國(guó)際會(huì)計(jì)師聯(lián)合會(huì)（IFA）：如，國(guó)際審計(jì)準(zhǔn)則——電子數(shù)據(jù)處理環(huán)境下的審計(jì)、國(guó)際審計(jì)準(zhǔn)則16——輔助審計(jì)技術(shù)，等。最高審計(jì)機(jī)關(guān)國(guó)際組織（INTOSAI）：如，審計(jì)準(zhǔn)則（AS）中的ASNo.系列等。其他：如，加拿大特許會(huì)計(jì)師協(xié)會(huì)（CICA）；、澳大利亞特許會(huì)計(jì)師協(xié)會(huì)（ICAA），等。第一章信息系統(tǒng)審計(jì)概論其他頒布信息系統(tǒng)審計(jì)準(zhǔn)則的有重要影84二、我國(guó)計(jì)算機(jī)審計(jì)規(guī)范的現(xiàn)狀主要制定機(jī)構(gòu)：審計(jì)署、中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)目前主要規(guī)范：審計(jì)署令第9號(hào)《審計(jì)署關(guān)于計(jì)算機(jī)審計(jì)的暫行規(guī)定》；審計(jì)署《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)辦法》；注冊(cè)會(huì)計(jì)師協(xié)會(huì)《獨(dú)立審計(jì)準(zhǔn)則第20號(hào)———計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》；國(guó)務(wù)院辦公廳《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知》；等第一章信息系統(tǒng)審計(jì)概論二、我國(guó)計(jì)算機(jī)審計(jì)規(guī)范的現(xiàn)狀第一章信息系統(tǒng)審計(jì)概論85三、信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范簡(jiǎn)介職業(yè)道德規(guī)范主要有：公正、客觀、獨(dú)立的審計(jì)立場(chǎng)；遵循有關(guān)信息系統(tǒng)審計(jì)準(zhǔn)則；遵守職業(yè)道德，以贏得信賴(lài)；保持相關(guān)領(lǐng)域的專(zhuān)業(yè)勝任能力；不從事不能勝任的業(yè)務(wù)；遵守保密義務(wù)，不用于私人目的；保持應(yīng)有的職業(yè)謹(jǐn)慎；向適當(dāng)對(duì)象提交審計(jì)報(bào)告，并揭示重要事件；不利用職務(wù)之便，從事違法犯罪活動(dòng)。第一章信息系統(tǒng)審計(jì)概論三、信息系統(tǒng)審計(jì)職業(yè)道德規(guī)范簡(jiǎn)介第一章信息系統(tǒng)審計(jì)概論86第八節(jié)信息系統(tǒng)審計(jì)的理論知識(shí)框架信息系統(tǒng)審計(jì)是一門(mén)新興的、綜合性的學(xué)科，其理論基礎(chǔ)建立在審計(jì)學(xué)、計(jì)算機(jī)科學(xué)、信息系統(tǒng)管理理論和行為科學(xué)理論諸學(xué)科之上，這些學(xué)科的綜合構(gòu)成了信息系統(tǒng)審計(jì)的理論知識(shí)框架，并且隨著這些學(xué)科的發(fā)展，信息系統(tǒng)審計(jì)也在不斷發(fā)展和完善之中。

第八節(jié)信息系統(tǒng)審計(jì)的理論知識(shí)框架87信息系統(tǒng)審計(jì)案例：某審計(jì)機(jī)構(gòu)對(duì)對(duì)某酒店開(kāi)展了信息系統(tǒng)審計(jì)。審計(jì)目的：酒店信息系統(tǒng)的安全性、可靠性審計(jì)步驟：1、計(jì)劃階段。通過(guò)了解情況、評(píng)估內(nèi)部控制等環(huán)節(jié)，根據(jù)審計(jì)目的，確定了：審計(jì)重點(diǎn)：年審日?qǐng)?bào)匯總系統(tǒng)、會(huì)議團(tuán)體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財(cái)務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個(gè)系統(tǒng)模塊作為對(duì)信息系統(tǒng)進(jìn)行安全性、可靠性測(cè)試的重點(diǎn)。涉及方法：繪制組織機(jī)構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場(chǎng)走訪等方式。2、審計(jì)實(shí)施。（1）通過(guò)詳細(xì)了解信息系統(tǒng)的數(shù)據(jù)庫(kù)結(jié)構(gòu)，對(duì)比數(shù)據(jù)庫(kù)中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢(xún)的數(shù)據(jù)庫(kù)表文件，將主表的數(shù)據(jù)完整性作為重點(diǎn)的測(cè)試目標(biāo)。

信息系統(tǒng)審計(jì)案例：某審計(jì)機(jī)構(gòu)對(duì)對(duì)某酒店開(kāi)展了信息系統(tǒng)審計(jì)。88（2）通過(guò)測(cè)試數(shù)據(jù)的真實(shí)完整性來(lái)審計(jì)信息系統(tǒng)的安全性和可靠性。（3）通過(guò)摸清酒店的業(yè)務(wù)流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務(wù)流程中的走向，鎖定數(shù)據(jù)的大量運(yùn)算點(diǎn)，從而確定審計(jì)方向的關(guān)鍵。（4）針對(duì)數(shù)據(jù)在運(yùn)算、自動(dòng)傳輸和手工傳輸過(guò)程中存在發(fā)生錯(cuò)誤和被調(diào)整修改的可能性，因此利用計(jì)算機(jī)輔助審計(jì)技術(shù)進(jìn)行了驗(yàn)證。（5）在驗(yàn)證過(guò)程中，通過(guò)分步驟編寫(xiě)查詢(xún)語(yǔ)句和程序，調(diào)出數(shù)據(jù)生成中間表進(jìn)行比對(duì)，發(fā)現(xiàn)疑點(diǎn)，根據(jù)疑點(diǎn)特征繼續(xù)比對(duì)，直到發(fā)現(xiàn)錯(cuò)誤點(diǎn)。在SQL語(yǔ)句不能保證完成大批量查詢(xún)和比對(duì)任務(wù)的情況下，采用計(jì)算能力更強(qiáng)、運(yùn)算速度更快的JAVA來(lái)編寫(xiě)查詢(xún)程序，起到了事半功倍的效果。

（2）通過(guò)測(cè)試數(shù)據(jù)的真實(shí)完整性來(lái)審計(jì)信息系893、審計(jì)完成通過(guò)審計(jì)測(cè)試，發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運(yùn)算上存在錯(cuò)誤，通過(guò)數(shù)據(jù)驗(yàn)證，證明錯(cuò)誤產(chǎn)生的原因是由信息系統(tǒng)本身缺陷造成的。上述審計(jì)結(jié)果得到了被審計(jì)單位的認(rèn)可，促使被審計(jì)單位更換了信息系統(tǒng)，提高了計(jì)算機(jī)管理水平。

3、審計(jì)完成90ThankYou世界觸手可及攜手共進(jìn)，齊創(chuàng)精品工程ThankYou世界觸手可及攜手共進(jìn)，齊創(chuàng)精品工程91信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)、信息系統(tǒng)控制與審計(jì)、審計(jì)程序，以及信息系統(tǒng)審計(jì)的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計(jì)的基本概念和基本理論。IT治理審計(jì) 通過(guò)本章的學(xué)習(xí)，信息系統(tǒng)審計(jì)師理解評(píng)估信息系統(tǒng)管理、計(jì)劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT方面的要求。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)概論92信息系統(tǒng)審計(jì)概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)、信息系統(tǒng)控制與審計(jì)、審計(jì)程序，以及信息系統(tǒng)審計(jì)的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計(jì)的基本概念和基本理論。IT治理審計(jì) 通過(guò)本章的學(xué)習(xí)，信息系統(tǒng)審計(jì)師理解評(píng)估信息系統(tǒng)管理、計(jì)劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運(yùn)營(yíng)管理機(jī)制和監(jiān)督實(shí)務(wù)，以達(dá)到公司治理中對(duì)IT方面的要求。信息系統(tǒng)審計(jì)概論IT治理審計(jì) 93信息系統(tǒng)架構(gòu)控制與審計(jì) 一個(gè)組織要建立信息系統(tǒng)，就需要有效地建立、控制和管理好其信息技術(shù)基礎(chǔ)架構(gòu)。本章主要介紹學(xué)習(xí)如何正確評(píng)價(jià)組織的信息技術(shù)基礎(chǔ)設(shè)施和運(yùn)行管理（日常運(yùn)行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）的效果和效率。信息系統(tǒng)開(kāi)發(fā)及審計(jì) 信息系統(tǒng)開(kāi)發(fā)過(guò)程中的問(wèn)題和錯(cuò)誤會(huì)產(chǎn)生“積累放大”效應(yīng)，并會(huì)使企業(yè)付出高昂的代價(jià)。因此，通過(guò)對(duì)信息系統(tǒng)開(kāi)發(fā)過(guò)程中每個(gè)階段的跟蹤審計(jì)，及時(shí)發(fā)現(xiàn)每個(gè)階段的錯(cuò)誤，并得到及時(shí)修正，從而保障整個(gè)信息系統(tǒng)的質(zhì)量。信息系統(tǒng)架構(gòu)控制與審計(jì)信息系統(tǒng)開(kāi)發(fā)及審計(jì) 94信息系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì) 保證一個(gè)組織已經(jīng)建立的信息系統(tǒng)能高效的為其服務(wù)，離不開(kāi)對(duì)其良好的操作、運(yùn)行管理（日常運(yùn)行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）和維護(hù)，使其保持最佳的運(yùn)行狀態(tài)。因此，對(duì)信息系統(tǒng)運(yùn)行和維護(hù)過(guò)程的審計(jì)非常重要，是對(duì)整個(gè)信息系統(tǒng)實(shí)現(xiàn)高效服務(wù)的保障。本章即介紹信息系統(tǒng)運(yùn)營(yíng)和維護(hù)過(guò)程的審計(jì)。信息系統(tǒng)安全控制與審計(jì) 信息技術(shù)環(huán)境下信息系統(tǒng)的脆弱性和威脅，使信息系統(tǒng)及其產(chǎn)生的信息存在信息安全風(fēng)險(xiǎn)。本章主要介紹如何對(duì)信息系統(tǒng)進(jìn)行安全審計(jì)與控制，從而使信息系統(tǒng)的風(fēng)險(xiǎn)降到最低。信息系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì)信息系統(tǒng)安全控制與審計(jì) 95信息系統(tǒng)審計(jì)技術(shù)與方法 面對(duì)錯(cuò)綜復(fù)雜的信息系統(tǒng)和審計(jì)環(huán)境，向?qū)徲?jì)人員提出了挑戰(zhàn)，審計(jì)人員實(shí)施審計(jì)的難度很大，需要運(yùn)用許多技術(shù)、方法和工具來(lái)輔助他們進(jìn)行審計(jì)工具。本章即介紹一些有關(guān)信息系統(tǒng)審計(jì)的技術(shù)和方法。信息系統(tǒng)審計(jì)技術(shù)與方法96第一章信息系統(tǒng)審計(jì)概論第一節(jié)信息系統(tǒng)審計(jì)及其產(chǎn)生與發(fā)展 一、何謂信息系統(tǒng)審計(jì)（ISA）？國(guó)際信息系統(tǒng)審計(jì)委員會(huì)(ISACA)定義：是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)地過(guò)程。

日本通產(chǎn)省情報(bào)處理開(kāi)發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)定義為：為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問(wèn)題與建議的一連串的活動(dòng)。第一章信息系統(tǒng)審計(jì)概論第一節(jié)信息系統(tǒng)審計(jì)及其產(chǎn)生與發(fā)展97從以上定義可以看出,信息系統(tǒng)審計(jì)的兩個(gè)方面職能:從外部審計(jì)的角度,ISA實(shí)現(xiàn)-------監(jiān)證目標(biāo)（“保證”職能）從內(nèi)部審計(jì)的角度,ISA實(shí)現(xiàn)-------管理目標(biāo)（“咨詢(xún)”職能）第一章信息系統(tǒng)審計(jì)概論一般定義:根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)。RonWeber定義:搜集并評(píng)價(jià)證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效的做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源。從以上定義可以看出,信息系統(tǒng)審計(jì)的兩個(gè)方面職能:第一章信98第一章信息系統(tǒng)審計(jì)概論注：ISACA（InformationSystemAuditandControlassociation，信息系統(tǒng)審計(jì)與控制協(xié)會(huì)）：是最有權(quán)威的信息系統(tǒng)審計(jì)行業(yè)組織，總部設(shè)在美國(guó)。主要從事ISA相關(guān)理論與實(shí)務(wù)研究，制定相關(guān)ISA標(biāo)準(zhǔn)、規(guī)范、執(zhí)業(yè)指南等；也是唯一有權(quán)授予國(guó)際信息系統(tǒng)審計(jì)師資格的跨國(guó)界、跨行業(yè)的專(zhuān)業(yè)機(jī)構(gòu)。根據(jù)ISA概念，應(yīng)理解：