信息系統(tǒng)審計(jì)第1章課件

現(xiàn)代信息系統(tǒng)審計(jì)

主講：陳耿

12/3/20221現(xiàn)代信息系統(tǒng)審計(jì)

現(xiàn)代信息系統(tǒng)審計(jì)

主講：陳耿

課程地位：特色課

課程性質(zhì)：實(shí)踐性強(qiáng)

上課方式：案例+分組討論+講解

成績：平時(shí)成績+期末考試

12/3/20222現(xiàn)代信息系統(tǒng)審計(jì)

課程地位：特色課

課程性質(zhì)：實(shí)踐性強(qiáng)

上課方式：案例+為什么要上這門課？

2010年3月的計(jì)費(fèi)門事件

分組討論：

1、產(chǎn)生的原因？能避免嗎？

2、消費(fèi)者為什么不相信電信的解釋？

3、消費(fèi)者如何舉證？

4、社會(huì)應(yīng)該如何解決這樣的問題？12/3/20223現(xiàn)代信息系統(tǒng)審計(jì)為什么要上這門課？

2010§1導(dǎo)論

信息系統(tǒng)審計(jì)的發(fā)展演化

信息系統(tǒng)審計(jì)的內(nèi)涵

企業(yè)信息安全的管理

信息管理的相關(guān)規(guī)定

12/3/20224現(xiàn)代信息系統(tǒng)審計(jì)§1導(dǎo)論信息系統(tǒng)審計(jì)的發(fā)展演化信息系統(tǒng)審計(jì)的內(nèi)涵企業(yè)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

早期的信息系統(tǒng)審計(jì)·最早是針對(duì)財(cái)務(wù)數(shù)據(jù)的審計(jì)EDP·對(duì)整個(gè)信息系統(tǒng)進(jìn)行審計(jì)ISA12/3/20225現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化早期的信息系統(tǒng)審計(jì)12§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

導(dǎo)致現(xiàn)代信息系統(tǒng)審計(jì)出現(xiàn)的根本原因：

互聯(lián)網(wǎng)的出現(xiàn)，使得企業(yè)的信息系統(tǒng)不再是一個(gè)信息孤島，由互聯(lián)網(wǎng)與內(nèi)部的信息系統(tǒng)構(gòu)成了企業(yè)一個(gè)完整的信息空間。12/3/20226現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化導(dǎo)致現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

現(xiàn)代信息系統(tǒng)審計(jì)

·信息系統(tǒng)審計(jì)的外延擴(kuò)大了

·信息系統(tǒng)審計(jì)的內(nèi)涵更加豐富了

·信息系統(tǒng)審計(jì)已經(jīng)成為不可或缺的管理職責(zé)12/3/20227現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化現(xiàn)代信息系統(tǒng)審計(jì)12§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)的外延擴(kuò)大了：

互聯(lián)網(wǎng)成為企業(yè)經(jīng)營風(fēng)險(xiǎn)的新來源

12/3/20228現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)的外§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)的內(nèi)涵更加豐富了：安然事件討論：傳統(tǒng)會(huì)計(jì)審計(jì)的盲點(diǎn)如何避免假賬真審

12/3/20229現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)的§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)已經(jīng)成為不可或缺的管理職責(zé)：法國興業(yè)銀行事件討論：內(nèi)部控制的盲點(diǎn)加強(qiáng)IT內(nèi)部控制的必要性12/3/202210現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)已§1.2信息系統(tǒng)審計(jì)的內(nèi)涵

信息系統(tǒng)審計(jì)的定義：

1、日本通產(chǎn)省情報(bào)處理開發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)的定義2、信息系統(tǒng)審計(jì)領(lǐng)域的著名專家威伯（RonWeber）教授的定義3、國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)的定義12/3/202211現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的定義：1、日§1.2信息系統(tǒng)審計(jì)的內(nèi)涵ISACA提出了信息系統(tǒng)審計(jì)的主要內(nèi)容：1.信息系統(tǒng)審計(jì)程序。2.IT治理(信息技術(shù)治理)。3.系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。4.IT服務(wù)的交付與支持。5.信息資產(chǎn)的保護(hù)。6.災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。

12/3/202212現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵ISACA提出了信息系統(tǒng)審計(jì)的§1.2信息系統(tǒng)審計(jì)的內(nèi)涵搞清楚幾個(gè)概念非常重要：

研究對(duì)象

研究方法

IT審計(jì)（計(jì)算機(jī)審計(jì)）信息系統(tǒng)審計(jì)（IS審計(jì)）信息系統(tǒng)，信息資產(chǎn)審計(jì)理論與方法，計(jì)算機(jī)技術(shù)

審計(jì)工程（審計(jì)知識(shí)工程）財(cái)務(wù)數(shù)據(jù)，經(jīng)營數(shù)據(jù)計(jì)算機(jī)技術(shù)，系統(tǒng)工程方法，數(shù)學(xué)理論12/3/202213現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵搞清楚幾個(gè)概念非常重要：§1.2信息系統(tǒng)審計(jì)的內(nèi)涵審計(jì)工程（理論角度）AE計(jì)算機(jī)輔助審計(jì)（應(yīng)用角度）CAA審計(jì)信息化（學(xué)科角度）數(shù)據(jù)審計(jì)（行業(yè)）DA計(jì)算機(jī)審計(jì)CA信息系統(tǒng)審計(jì)ISA12/3/202214現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵審計(jì)工程（理論角度）AE計(jì)算機(jī)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵

研究對(duì)象

研究方法實(shí)踐者知識(shí)結(jié)構(gòu)研究者知識(shí)結(jié)構(gòu)

ISA組織的信息系統(tǒng)

以管理理論為基礎(chǔ)的定性方法

A組織的經(jīng)營管理以管理理論為基礎(chǔ)的定性方法

AE組織的經(jīng)營管理以計(jì)算機(jī)理論為基礎(chǔ)的定量技術(shù)12/3/202215現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵12/§1.2信息系統(tǒng)審計(jì)的內(nèi)涵掌握信息系統(tǒng)審計(jì)的三種基本類型比定義更重要：（1）信息系統(tǒng)的真實(shí)性審計(jì)是對(duì)傳統(tǒng)審計(jì)的補(bǔ)充，防止假賬真審。（2）信息系統(tǒng)的安全性審計(jì)是對(duì)企業(yè)的信息資產(chǎn)的安全性的審核，防止來自信息系統(tǒng)造成的經(jīng)營風(fēng)險(xiǎn)。（3）信息系統(tǒng)的績效審計(jì)是對(duì)信息系統(tǒng)投入產(chǎn)出比的審核。12/3/202216現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵掌握信息系統(tǒng)審計(jì)的三種基本類型§1.2信息系統(tǒng)審計(jì)的內(nèi)涵安全型審計(jì)

真實(shí)型審計(jì)

績效型審計(jì)真實(shí)性（數(shù)據(jù)）合法性（過程）完整性（系統(tǒng)）可用性安全性可靠性保密性可用性效率（工作上）效果（應(yīng)用上）效益（經(jīng)濟(jì)社會(huì)）

外審、內(nèi)審?fù)鈱?/p>

內(nèi)審12/3/202217現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵安全型審計(jì)真實(shí)性（數(shù)據(jù)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的目標(biāo)·真實(shí)性·完整性·合法性·安全性·可用性·可靠性·保密性·效果·效率·效益12/3/202218現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的目標(biāo)12/2/2§1.3企業(yè)信息安全的管理

信息安全管理體系ISMS目前，加強(qiáng)企業(yè)信息安全管理已成趨勢(shì)。英國在這方面作得比較早，其國家標(biāo)準(zhǔn)BS7799已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理方面的標(biāo)準(zhǔn)。

12/3/202219現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理12/2/202219現(xiàn)代信息§1.3企業(yè)信息安全的管理

該標(biāo)準(zhǔn)提出了一個(gè)組織（包括商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織等）應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下，建立信息安全管理體系（informationsecuritymanagementsystem，ISMS）。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。12/3/202220現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理12/2/202220現(xiàn)代信息§1.3企業(yè)信息安全的管理

PDCA模型：·規(guī)劃（建立ISMS）·實(shí)施（實(shí)施和運(yùn)行ISMS）·檢查（監(jiān)視和評(píng)審ISMS）·處置（保持和改進(jìn)ISMS）12/3/202221現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理PDCA模型：12/2/20§1.3企業(yè)信息安全的管理

PDCA模型

12/3/202222現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理PDCA模型12/2/202§1.4企業(yè)信息管理的規(guī)定

企業(yè)保存在信息系統(tǒng)中的大量數(shù)據(jù)是企業(yè)寶貴的資產(chǎn)，同時(shí)也是審計(jì)線索和證據(jù)的重要來源。自從安然丑聞出現(xiàn)后，為了轉(zhuǎn)變這一信用危機(jī)局面，挽回公眾對(duì)政府的信心，投資者對(duì)資本市場(chǎng)的信心。美國國會(huì)和政府加速通過了一系列法律法規(guī)，來規(guī)定企業(yè)的電子數(shù)據(jù)如何保留和儲(chǔ)存的問題，從而準(zhǔn)確地從上市公司的電子文檔記錄中掌握有關(guān)上市公司內(nèi)部運(yùn)營的信息。12/3/202223現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定企業(yè)保存在信息§1.4企業(yè)信息管理的規(guī)定

企業(yè)：薩班斯法案

·對(duì)信息保護(hù)的能力·對(duì)信息準(zhǔn)確跟蹤的能力·對(duì)信息長期保存的能力·對(duì)信息破壞的懲罰12/3/202224現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定企業(yè)：薩班斯法案12/2/2§1.4企業(yè)信息管理的規(guī)定

證券：美國證券交易委員會(huì)法案

·數(shù)據(jù)必須存儲(chǔ)在“不可改寫、不可刪除”的介質(zhì)上·自動(dòng)驗(yàn)證存儲(chǔ)介質(zhì)記錄過程的質(zhì)量和準(zhǔn)確性·將原存儲(chǔ)介質(zhì)及其副本單元（如果合適）以及此電子介質(zhì)上存儲(chǔ)信息的保存期的日期和時(shí)間序列化

·有能力響應(yīng)交易委員會(huì)或自律機(jī)構(gòu)的要求隨時(shí)將電子存儲(chǔ)介質(zhì)上保存的索引和記錄方便地下載到任何可接受的介質(zhì)上12/3/202225現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定證券：美國證券交易委員會(huì)法案§1.4企業(yè)信息管理的規(guī)定

醫(yī)療：健康保險(xiǎn)便攜性和責(zé)任法案·保密性·一致性·可用性·懲罰12/3/202226現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定醫(yī)療：健康保險(xiǎn)便攜性和責(zé)任法案§1.4企業(yè)信息管理的規(guī)定

制藥：美國食品與藥物管理局法案

·確保電子記錄的真實(shí)性、完整性；·驗(yàn)證系統(tǒng)以確保具有準(zhǔn)確性、可靠性，一致的、所希望的性能，識(shí)別無效或被篡改報(bào)告的能力；·保護(hù)記錄以使它們?cè)谡麄€(gè)保留期內(nèi)都準(zhǔn)確而且可以隨時(shí)檢索；·將系統(tǒng)訪問權(quán)限制到有權(quán)訪問的人；·使用安全、由計(jì)算機(jī)生成而且加蓋時(shí)間戳的審核跟蹤，“其保留期至少應(yīng)與主電子記錄保留期一樣長”；·對(duì)開放系統(tǒng)的控制；·文檔加密。12/3/202227現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定制藥：美國食品與藥物管理局法案§1.5專業(yè)建設(shè)

一、信息系統(tǒng)審計(jì)師的素質(zhì)結(jié)構(gòu)二、信息系統(tǒng)審計(jì)師的知識(shí)體系三、信息系統(tǒng)審計(jì)師的教育體系四、信息系統(tǒng)審計(jì)師的培訓(xùn)方法12/3/202228現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)一、信息系統(tǒng)審計(jì)師的素質(zhì)結(jié)構(gòu)12/2§1.5專業(yè)建設(shè)

審計(jì)基礎(chǔ)分析思維

溝通能力

信息系統(tǒng)審計(jì)

信息技術(shù)一、信息系統(tǒng)審計(jì)師的素質(zhì)結(jié)構(gòu)12/3/202229現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)審計(jì)基礎(chǔ)§1.5專業(yè)建設(shè)

二、信息系統(tǒng)審計(jì)師的知識(shí)體系知識(shí)領(lǐng)域（knowledgearea）：是描述知識(shí)體系的最高的分類單位知識(shí)單元(knowledgeunit)：知識(shí)領(lǐng)域中的主題模塊知識(shí)點(diǎn)（topic）：最低層的知識(shí)點(diǎn)（了解、掌握、運(yùn)用）領(lǐng)域1：ISA技術(shù)與基礎(chǔ)計(jì)算機(jī)基礎(chǔ)，信息系統(tǒng)建設(shè)，信息系統(tǒng)應(yīng)用（ERP，DSS，OA，電子商務(wù)），數(shù)據(jù)庫理論與技術(shù)，審計(jì)技術(shù)，內(nèi)控理論基礎(chǔ)領(lǐng)域2：ISA方法與理論導(dǎo)論，一般控制，OS審計(jì)，系統(tǒng)審計(jì)，財(cái)務(wù)系統(tǒng)審計(jì)，電子商務(wù)審計(jì)，數(shù)據(jù)庫審計(jì)，應(yīng)用系統(tǒng)審計(jì)，信息系統(tǒng)績效審計(jì)，基于信息系統(tǒng)的內(nèi)控領(lǐng)域3：ISA綜合與環(huán)境IS運(yùn)行與管理，IT與組織，軟件質(zhì)量控制。IT項(xiàng)目管理領(lǐng)域4：ISA實(shí)踐與職業(yè)教育法規(guī)與準(zhǔn)則，職業(yè)道德教育12/3/202230現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)二、信息系統(tǒng)審計(jì)師的知識(shí)體系12/2/2§1.5專業(yè)建設(shè)

三、信息系統(tǒng)審計(jì)師的課程體系1、基礎(chǔ)課程：計(jì)算機(jī)概論，網(wǎng)絡(luò)概論，信息系統(tǒng)概論，數(shù)據(jù)庫概論，審計(jì)方法概論，內(nèi)控理論概論2、核心課程：信息系統(tǒng)審計(jì)導(dǎo)論，OS審計(jì)，系統(tǒng)審計(jì)，財(cái)務(wù)系統(tǒng)審計(jì)，電子商務(wù)審計(jì)，數(shù)據(jù)庫審計(jì)，應(yīng)用系統(tǒng)審計(jì)，信息系統(tǒng)績效審計(jì)，基于信息系統(tǒng)的內(nèi)控3、拓展課程：案例分析，主題討論，職業(yè)道德、法規(guī)、準(zhǔn)則，ERP實(shí)驗(yàn)，ORACLE實(shí)驗(yàn)12/3/202231現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)三、信息系統(tǒng)審計(jì)師的課程體系12/2/2§1.5專業(yè)建設(shè)

四、信息系統(tǒng)審計(jì)師的培訓(xùn)方法1、教學(xué)體系不能等價(jià)于指南教學(xué)，這是一個(gè)核心問題2、案例+理論3、分類+分層：高級(jí)班應(yīng)偏理論，中級(jí)班理論+實(shí)踐，實(shí)踐更多，低級(jí)班應(yīng)補(bǔ)充基礎(chǔ)理論為主主題研討班4、雙師教學(xué)法5、案例應(yīng)該由老師和一線審計(jì)人員共同編寫，要典型，要真實(shí)，要上升到理論高度，而且定期要做更新，12/3/202232現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)四、信息系統(tǒng)審計(jì)師的培訓(xùn)方法12/2/2§1.5專業(yè)建設(shè)

五、寫作大綱第一章引言第二章ISA的知識(shí)體系（ISA的界定，ISA的素質(zhì)結(jié)構(gòu)，培養(yǎng)目標(biāo)，知識(shí)體系）第三章ISA的課程體系（課程結(jié)構(gòu)，基礎(chǔ)課程，核心課程，拓展課程）第四章核心課程教學(xué)大綱（介紹每一門課，包括知識(shí)點(diǎn)）第五章ISA課程教學(xué)方法12/3/202233現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)五、寫作大綱12/2/202233現(xiàn)代信

現(xiàn)代信息系統(tǒng)審計(jì)

主講：陳耿

12/3/202234現(xiàn)代信息系統(tǒng)審計(jì)

現(xiàn)代信息系統(tǒng)審計(jì)

主講：陳耿

課程地位：特色課

課程性質(zhì)：實(shí)踐性強(qiáng)

上課方式：案例+分組討論+講解

成績：平時(shí)成績+期末考試

12/3/202235現(xiàn)代信息系統(tǒng)審計(jì)

課程地位：特色課

課程性質(zhì)：實(shí)踐性強(qiáng)

上課方式：案例+為什么要上這門課？

2010年3月的計(jì)費(fèi)門事件

分組討論：

1、產(chǎn)生的原因？能避免嗎？

2、消費(fèi)者為什么不相信電信的解釋？

3、消費(fèi)者如何舉證？

4、社會(huì)應(yīng)該如何解決這樣的問題？12/3/202236現(xiàn)代信息系統(tǒng)審計(jì)為什么要上這門課？

2010§1導(dǎo)論

信息系統(tǒng)審計(jì)的發(fā)展演化

信息系統(tǒng)審計(jì)的內(nèi)涵

企業(yè)信息安全的管理

信息管理的相關(guān)規(guī)定

12/3/202237現(xiàn)代信息系統(tǒng)審計(jì)§1導(dǎo)論信息系統(tǒng)審計(jì)的發(fā)展演化信息系統(tǒng)審計(jì)的內(nèi)涵企業(yè)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

早期的信息系統(tǒng)審計(jì)·最早是針對(duì)財(cái)務(wù)數(shù)據(jù)的審計(jì)EDP·對(duì)整個(gè)信息系統(tǒng)進(jìn)行審計(jì)ISA12/3/202238現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化早期的信息系統(tǒng)審計(jì)12§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

導(dǎo)致現(xiàn)代信息系統(tǒng)審計(jì)出現(xiàn)的根本原因：

互聯(lián)網(wǎng)的出現(xiàn)，使得企業(yè)的信息系統(tǒng)不再是一個(gè)信息孤島，由互聯(lián)網(wǎng)與內(nèi)部的信息系統(tǒng)構(gòu)成了企業(yè)一個(gè)完整的信息空間。12/3/202239現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化導(dǎo)致現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

現(xiàn)代信息系統(tǒng)審計(jì)

·信息系統(tǒng)審計(jì)的外延擴(kuò)大了

·信息系統(tǒng)審計(jì)的內(nèi)涵更加豐富了

·信息系統(tǒng)審計(jì)已經(jīng)成為不可或缺的管理職責(zé)12/3/202240現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化現(xiàn)代信息系統(tǒng)審計(jì)12§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)的外延擴(kuò)大了：

互聯(lián)網(wǎng)成為企業(yè)經(jīng)營風(fēng)險(xiǎn)的新來源

12/3/202241現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)的外§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)的內(nèi)涵更加豐富了：安然事件討論：傳統(tǒng)會(huì)計(jì)審計(jì)的盲點(diǎn)如何避免假賬真審

12/3/202242現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)的§1.1信息系統(tǒng)審計(jì)的發(fā)展演化

·信息系統(tǒng)審計(jì)已經(jīng)成為不可或缺的管理職責(zé)：法國興業(yè)銀行事件討論：內(nèi)部控制的盲點(diǎn)加強(qiáng)IT內(nèi)部控制的必要性12/3/202243現(xiàn)代信息系統(tǒng)審計(jì)§1.1信息系統(tǒng)審計(jì)的發(fā)展演化·信息系統(tǒng)審計(jì)已§1.2信息系統(tǒng)審計(jì)的內(nèi)涵

信息系統(tǒng)審計(jì)的定義：

1、日本通產(chǎn)省情報(bào)處理開發(fā)協(xié)會(huì)信息系統(tǒng)審計(jì)委員會(huì)的定義2、信息系統(tǒng)審計(jì)領(lǐng)域的著名專家威伯（RonWeber）教授的定義3、國際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)的定義12/3/202244現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的定義：1、日§1.2信息系統(tǒng)審計(jì)的內(nèi)涵ISACA提出了信息系統(tǒng)審計(jì)的主要內(nèi)容：1.信息系統(tǒng)審計(jì)程序。2.IT治理(信息技術(shù)治理)。3.系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理。4.IT服務(wù)的交付與支持。5.信息資產(chǎn)的保護(hù)。6.災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃。

12/3/202245現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵ISACA提出了信息系統(tǒng)審計(jì)的§1.2信息系統(tǒng)審計(jì)的內(nèi)涵搞清楚幾個(gè)概念非常重要：

研究對(duì)象

研究方法

IT審計(jì)（計(jì)算機(jī)審計(jì)）信息系統(tǒng)審計(jì)（IS審計(jì)）信息系統(tǒng)，信息資產(chǎn)審計(jì)理論與方法，計(jì)算機(jī)技術(shù)

審計(jì)工程（審計(jì)知識(shí)工程）財(cái)務(wù)數(shù)據(jù)，經(jīng)營數(shù)據(jù)計(jì)算機(jī)技術(shù)，系統(tǒng)工程方法，數(shù)學(xué)理論12/3/202246現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵搞清楚幾個(gè)概念非常重要：§1.2信息系統(tǒng)審計(jì)的內(nèi)涵審計(jì)工程（理論角度）AE計(jì)算機(jī)輔助審計(jì)（應(yīng)用角度）CAA審計(jì)信息化（學(xué)科角度）數(shù)據(jù)審計(jì)（行業(yè)）DA計(jì)算機(jī)審計(jì)CA信息系統(tǒng)審計(jì)ISA12/3/202247現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵審計(jì)工程（理論角度）AE計(jì)算機(jī)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵

研究對(duì)象

研究方法實(shí)踐者知識(shí)結(jié)構(gòu)研究者知識(shí)結(jié)構(gòu)

ISA組織的信息系統(tǒng)

以管理理論為基礎(chǔ)的定性方法

A組織的經(jīng)營管理以管理理論為基礎(chǔ)的定性方法

AE組織的經(jīng)營管理以計(jì)算機(jī)理論為基礎(chǔ)的定量技術(shù)12/3/202248現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵12/§1.2信息系統(tǒng)審計(jì)的內(nèi)涵掌握信息系統(tǒng)審計(jì)的三種基本類型比定義更重要：（1）信息系統(tǒng)的真實(shí)性審計(jì)是對(duì)傳統(tǒng)審計(jì)的補(bǔ)充，防止假賬真審。（2）信息系統(tǒng)的安全性審計(jì)是對(duì)企業(yè)的信息資產(chǎn)的安全性的審核，防止來自信息系統(tǒng)造成的經(jīng)營風(fēng)險(xiǎn)。（3）信息系統(tǒng)的績效審計(jì)是對(duì)信息系統(tǒng)投入產(chǎn)出比的審核。12/3/202249現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵掌握信息系統(tǒng)審計(jì)的三種基本類型§1.2信息系統(tǒng)審計(jì)的內(nèi)涵安全型審計(jì)

真實(shí)型審計(jì)

績效型審計(jì)真實(shí)性（數(shù)據(jù)）合法性（過程）完整性（系統(tǒng)）可用性安全性可靠性保密性可用性效率（工作上）效果（應(yīng)用上）效益（經(jīng)濟(jì)社會(huì)）

外審、內(nèi)審?fù)鈱?/p>

內(nèi)審12/3/202250現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵安全型審計(jì)真實(shí)性（數(shù)據(jù)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的目標(biāo)·真實(shí)性·完整性·合法性·安全性·可用性·可靠性·保密性·效果·效率·效益12/3/202251現(xiàn)代信息系統(tǒng)審計(jì)§1.2信息系統(tǒng)審計(jì)的內(nèi)涵信息系統(tǒng)審計(jì)的目標(biāo)12/2/2§1.3企業(yè)信息安全的管理

信息安全管理體系ISMS目前，加強(qiáng)企業(yè)信息安全管理已成趨勢(shì)。英國在這方面作得比較早，其國家標(biāo)準(zhǔn)BS7799已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理方面的標(biāo)準(zhǔn)。

12/3/202252現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理12/2/202219現(xiàn)代信息§1.3企業(yè)信息安全的管理

該標(biāo)準(zhǔn)提出了一個(gè)組織（包括商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織等）應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下，建立信息安全管理體系（informationsecuritymanagementsystem，ISMS）。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。12/3/202253現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理12/2/202220現(xiàn)代信息§1.3企業(yè)信息安全的管理

PDCA模型：·規(guī)劃（建立ISMS）·實(shí)施（實(shí)施和運(yùn)行ISMS）·檢查（監(jiān)視和評(píng)審ISMS）·處置（保持和改進(jìn)ISMS）12/3/202254現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理PDCA模型：12/2/20§1.3企業(yè)信息安全的管理

PDCA模型

12/3/202255現(xiàn)代信息系統(tǒng)審計(jì)§1.3企業(yè)信息安全的管理PDCA模型12/2/202§1.4企業(yè)信息管理的規(guī)定

企業(yè)保存在信息系統(tǒng)中的大量數(shù)據(jù)是企業(yè)寶貴的資產(chǎn)，同時(shí)也是審計(jì)線索和證據(jù)的重要來源。自從安然丑聞出現(xiàn)后，為了轉(zhuǎn)變這一信用危機(jī)局面，挽回公眾對(duì)政府的信心，投資者對(duì)資本市場(chǎng)的信心。美國國會(huì)和政府加速通過了一系列法律法規(guī)，來規(guī)定企業(yè)的電子數(shù)據(jù)如何保留和儲(chǔ)存的問題，從而準(zhǔn)確地從上市公司的電子文檔記錄中掌握有關(guān)上市公司內(nèi)部運(yùn)營的信息。12/3/202256現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定企業(yè)保存在信息§1.4企業(yè)信息管理的規(guī)定

企業(yè)：薩班斯法案

·對(duì)信息保護(hù)的能力·對(duì)信息準(zhǔn)確跟蹤的能力·對(duì)信息長期保存的能力·對(duì)信息破壞的懲罰12/3/202257現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定企業(yè)：薩班斯法案12/2/2§1.4企業(yè)信息管理的規(guī)定

證券：美國證券交易委員會(huì)法案

·數(shù)據(jù)必須存儲(chǔ)在“不可改寫、不可刪除”的介質(zhì)上·自動(dòng)驗(yàn)證存儲(chǔ)介質(zhì)記錄過程的質(zhì)量和準(zhǔn)確性·將原存儲(chǔ)介質(zhì)及其副本單元（如果合適）以及此電子介質(zhì)上存儲(chǔ)信息的保存期的日期和時(shí)間序列化

·有能力響應(yīng)交易委員會(huì)或自律機(jī)構(gòu)的要求隨時(shí)將電子存儲(chǔ)介質(zhì)上保存的索引和記錄方便地下載到任何可接受的介質(zhì)上12/3/202258現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定證券：美國證券交易委員會(huì)法案§1.4企業(yè)信息管理的規(guī)定

醫(yī)療：健康保險(xiǎn)便攜性和責(zé)任法案·保密性·一致性·可用性·懲罰12/3/202259現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定醫(yī)療：健康保險(xiǎn)便攜性和責(zé)任法案§1.4企業(yè)信息管理的規(guī)定

制藥：美國食品與藥物管理局法案

·確保電子記錄的真實(shí)性、完整性；·驗(yàn)證系統(tǒng)以確保具有準(zhǔn)確性、可靠性，一致的、所希望的性能，識(shí)別無效或被篡改報(bào)告的能力；·保護(hù)記錄以使它們?cè)谡麄€(gè)保留期內(nèi)都準(zhǔn)確而且可以隨時(shí)檢索；·將系統(tǒng)訪問權(quán)限制到有權(quán)訪問的人；·使用安全、由計(jì)算機(jī)生成而且加蓋時(shí)間戳的審核跟蹤，“其保留期至少應(yīng)與主電子記錄保留期一樣長”；·對(duì)開放系統(tǒng)的控制；·文檔加密。12/3/202260現(xiàn)代信息系統(tǒng)審計(jì)§1.4企業(yè)信息管理的規(guī)定制藥：美國食品與藥物管理局法案§1.5專業(yè)建設(shè)

一、信息系統(tǒng)審計(jì)師的素質(zhì)結(jié)構(gòu)二、信息系統(tǒng)審計(jì)師的知識(shí)體系三、信息系統(tǒng)審計(jì)師的教育體系四、信息系統(tǒng)審計(jì)師的培訓(xùn)方法12/3/202261現(xiàn)代信息系統(tǒng)審計(jì)§1.5專業(yè)建設(shè)一、信息系統(tǒng)審計(jì)師的素質(zhì)結(jié)構(gòu)12/2§1.5專業(yè)建設(shè)

審計(jì)基礎(chǔ)分析思維