第四章信息系統(tǒng)審計(jì)課件

第四章信息系統(tǒng)審計(jì)第四章信息系統(tǒng)審計(jì)第一節(jié)信息系統(tǒng)審計(jì)概述一、信息系統(tǒng)審計(jì)的內(nèi)涵

信息系統(tǒng)審計(jì)是對(duì)被審計(jì)單位用于經(jīng)營決策、業(yè)務(wù)處理、財(cái)務(wù)核算的計(jì)算機(jī)信息系統(tǒng)及與之相關(guān)的規(guī)劃、建設(shè)、管理、使用制度的審計(jì)。二、信息系統(tǒng)審計(jì)的目標(biāo)（一）總目標(biāo)：通過對(duì)信息系統(tǒng)合法性、可靠性、安全性和有效性的審計(jì)，對(duì)被審計(jì)單位信息系統(tǒng)做出評(píng)價(jià)。第一節(jié)信息系統(tǒng)審計(jì)概述一、信息系統(tǒng)審計(jì)的內(nèi)涵（二）具體目標(biāo)評(píng)價(jià)電子數(shù)據(jù)的真實(shí)性、完整性分析信息系統(tǒng)的薄弱環(huán)節(jié)發(fā)現(xiàn)信息系統(tǒng)的非法功能和漏洞三、信息系統(tǒng)審計(jì)的基本流程信息系統(tǒng)調(diào)查信息系統(tǒng)控制測試信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)分析測試信息系統(tǒng)綜合評(píng)價(jià)（二）具體目標(biāo)調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評(píng)價(jià)內(nèi)部控制可信賴嗎？測試和評(píng)價(jià)補(bǔ)償控制實(shí)質(zhì)性測試全面評(píng)價(jià)編制審計(jì)報(bào)告退出審計(jì)提出管理建議審計(jì)結(jié)束否否內(nèi)部控制的詳細(xì)審查與評(píng)價(jià)計(jì)算機(jī)信息系統(tǒng)審計(jì)流程調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測試信第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。一、了解管理體制從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。調(diào)查內(nèi)容包括：信息系統(tǒng)的工作程序信息系統(tǒng)等相關(guān)部門信息系統(tǒng)的管理情況第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)二、了解總體架構(gòu)完成對(duì)被審計(jì)單位有什么類型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。調(diào)查內(nèi)容包括：信息系統(tǒng)的分布情況信息系統(tǒng)的主要類型和數(shù)量各信息系統(tǒng)之間的關(guān)系信息系統(tǒng)的總體水平實(shí)質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：（1）關(guān)聯(lián)關(guān)系：不同環(huán)節(jié)的系統(tǒng)包含的數(shù)據(jù)反映生產(chǎn)的不同方面，相互補(bǔ)充。（2）核對(duì)關(guān)系：同處關(guān)鍵環(huán)節(jié)都不同系統(tǒng)，其包含的數(shù)據(jù)存在鉤稽關(guān)系，相互印證。繪制完整、詳細(xì)的信息系統(tǒng)分布圖是了解總體架構(gòu)時(shí)常用的方法。二、了解總體架構(gòu)實(shí)質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：繪制完整、詳細(xì)的三、了解規(guī)劃管理對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。

調(diào)查內(nèi)容包括：信息系統(tǒng)的規(guī)劃信息系統(tǒng)的建設(shè)信息系統(tǒng)的使用信息系統(tǒng)的維護(hù)三、了解規(guī)劃管理第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信息系統(tǒng)的內(nèi)部控制可靠性而進(jìn)行的審計(jì)工作。一、信息系統(tǒng)的內(nèi)部控制根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為：●一般控制；●應(yīng)用控制。第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信（一）一般控制是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。

可具體劃分為：1、組織控制：為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。它包括如下具體控制措施：（1）電算部門與用戶部門的職責(zé)分離一般來說，應(yīng)注意：所有業(yè)務(wù)均應(yīng)由用戶部門發(fā)起或授權(quán)電算部門不應(yīng)負(fù)責(zé)資產(chǎn)的保管所有業(yè)務(wù)記錄與主文件記錄的改變均需用戶部門授權(quán)所有系統(tǒng)的改進(jìn)、新系統(tǒng)的應(yīng)用及控制均應(yīng)由受益部門發(fā)起并經(jīng)高管授權(quán)，電算部門無權(quán)擅自修改程序。（一）一般控制（2）電算部門內(nèi)部的職責(zé)分離對(duì)系統(tǒng)開發(fā)與數(shù)據(jù)處理職責(zé)應(yīng)該分離對(duì)數(shù)據(jù)處理的職責(zé)進(jìn)行適當(dāng)分離（如憑證輸入與審核）資料保管員與程序員、系統(tǒng)操作員等職責(zé)分離（3）業(yè)務(wù)授權(quán)

所有由電算化系統(tǒng)處理的業(yè)務(wù)都應(yīng)經(jīng)過授權(quán)（4）人事控制

包括：各人工作性質(zhì)的說明；人員的選擇和培訓(xùn)；對(duì)人的行為的監(jiān)督和評(píng)價(jià)；崗位輪換；休假和合同簽訂。（5）領(lǐng)導(dǎo)與監(jiān)督

建立內(nèi)部審計(jì)機(jī)構(gòu)（2）電算部門內(nèi)部的職責(zé)分離2、系統(tǒng)開發(fā)與維護(hù)控制主要適用于那些自行設(shè)計(jì)軟件的單位。（1）開發(fā)計(jì)劃控制系統(tǒng)開發(fā)計(jì)劃應(yīng)經(jīng)過嚴(yán)格審查、仔細(xì)研究和反復(fù)調(diào)查后方可實(shí)施;軟件需求分析（2）開發(fā)過程的人員控制應(yīng)成立信息系統(tǒng)開發(fā)工作領(lǐng)導(dǎo)小組，負(fù)責(zé)總體規(guī)劃由系統(tǒng)分析員負(fù)責(zé)對(duì)原有系統(tǒng)進(jìn)行調(diào)查分析系統(tǒng)的測試和試行應(yīng)交由專門的測試人員或操作人員完成內(nèi)部審計(jì)人員應(yīng)參與信息系統(tǒng)的開發(fā)2、系統(tǒng)開發(fā)與維護(hù)控制（3）系統(tǒng)設(shè)計(jì)控制合規(guī)合法性控制正確性控制安全可靠性控制效率性控制可維護(hù)性控制（4）編程控制

即控制編程風(fēng)險(xiǎn)，主要方法是測試。測試技術(shù)包括：靜態(tài)測試：一種人工方法，通過對(duì)程序的反復(fù)閱讀或?qū)α鞒虉D的檢查來發(fā)現(xiàn)錯(cuò)誤。動(dòng)態(tài)測試：“白盒”測試和“黑盒”測試試運(yùn)行:試運(yùn)行3-6個(gè)月，驗(yàn)收后才能正式投入使用。（3）系統(tǒng)設(shè)計(jì)控制（5）系統(tǒng)維護(hù)控制系統(tǒng)的日常維護(hù)系統(tǒng)功能的改進(jìn)和擴(kuò)充（批準(zhǔn)和授權(quán)）注意：（1）維護(hù)人員應(yīng)獨(dú)立于系統(tǒng)操作人員，最好也能獨(dú)立于系統(tǒng)開發(fā)員。（2）實(shí)用的系統(tǒng)中只保留經(jīng)編譯的程序。（6）文檔控制文檔編寫的規(guī)范化文檔管理的系統(tǒng)化文檔管理的制度化注意：文檔資料不全，系統(tǒng)不能通過驗(yàn)收。（5）系統(tǒng)維護(hù)控制3、安全控制這些控制措施可以保證系統(tǒng)有一個(gè)良好的運(yùn)行環(huán)境。（1）接觸控制硬件接觸控制程序資料接觸控制數(shù)據(jù)文件及應(yīng)用程序接觸控制聯(lián)機(jī)系統(tǒng)接觸控制（2）環(huán)境安全控制這是一種預(yù)防性控制。（3）安全保密控制常見方法：對(duì)軟件進(jìn)行加密（4）防病毒控制3、安全控制4、硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì)劃等。4、硬件及系統(tǒng)軟件控制（二）應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。包括：1、輸入控制

保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。（1）數(shù)據(jù)采集控制例如：建立明確的憑證編制程序；制定工作手冊(cè)；合理設(shè)置使用控制總數(shù)等（2）數(shù)據(jù)輸入控制

例如：編制數(shù)據(jù)輸入工作內(nèi)容、方法及程序要求的書面文件、事先設(shè)計(jì)規(guī)定數(shù)據(jù)格式、數(shù)據(jù)輸入核對(duì)等。（二）應(yīng)用控制2、處理控制對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控制措施往往被寫入計(jì)算機(jī)程序，因此，處理控制往往又是自動(dòng)控制。（1）審核處理輸出（2）進(jìn)行數(shù)據(jù)有效性檢驗(yàn)（3）進(jìn)行處理有效性檢測（4）錯(cuò)誤糾正控制（5）保留審計(jì)線索（6）斷點(diǎn)技術(shù)2、處理控制3、輸出控制（1）控制只有經(jīng)批準(zhǔn)的人才能執(zhí)行輸出操作，并要登記操作記錄。（2）報(bào)表打印輸出前檢查應(yīng)有的勾稽關(guān)系。（3）經(jīng)有關(guān)人員檢查后簽章才送出使用或按會(huì)計(jì)檔案的要求保管，未經(jīng)批準(zhǔn)的人不得接觸系統(tǒng)的輸出資料。（4）對(duì)敏感的重要輸出資料應(yīng)有人監(jiān)督整個(gè)操作過程，輸出后立即送到使用者手中。（5）打錯(cuò)作廢的機(jī)密資料應(yīng)即時(shí)銷毀或用碎紙機(jī)切成碎片后才放進(jìn)廢紙箱。（6）要防止有人竄改打印隊(duì)列文件內(nèi)的數(shù)據(jù)。（7）輸出資料的使用者發(fā)現(xiàn)資料上有錯(cuò)誤、可疑之處應(yīng)報(bào)告系統(tǒng)管理員。3、輸出控制二、關(guān)于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，是一個(gè)在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。二、關(guān)于COBIT（一）COBIT的發(fā)展歷程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初單一的審計(jì)師的內(nèi)控評(píng)價(jià)工具發(fā)展到目前系統(tǒng)的IT治理框架。（一）COBIT的發(fā)展歷程（二）COBIT信息技術(shù)的控制目標(biāo)

COBIT將信息技術(shù)的控制目標(biāo)設(shè)定為七個(gè)：（1）有效性（Effectiveness）：是指信息與商業(yè)過程相關(guān)，并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。（2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟(jì)）利用資源來提供信息。（3）機(jī)密性（Confidentiality）：涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授權(quán)的披露（4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致（二）COBIT信息技術(shù)的控制目標(biāo)（5）可用性（Availability）：指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。（6）符合性（Compliance）：遵守商業(yè)運(yùn)作過程中必須遵守的法律、法規(guī)和契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。（7）信息可靠性（ReliabilityofInformation）：為管理者的日常經(jīng)營管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。?）可用性（Availability）：指在現(xiàn)在和將來的商（三）COBIT的體系結(jié)構(gòu)

COBIT將IT過程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。企業(yè)策略維IT資源維IT過程維

策略維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；（三）COBIT的體系結(jié)構(gòu)企業(yè)策略維IT資源維IT過程維企業(yè)策略維IT資源維IT過程維

IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過程的主要對(duì)象；企業(yè)策略維IT資源維IT過程維IT資源維主要包括以企業(yè)策略維IT資源維IT過程維

IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估。企業(yè)策略維IT資源維IT過程維IT過程維則是在IT準(zhǔn)則三、控制測試★一般控制的測試審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí)被審計(jì)單位在被審計(jì)期間有關(guān)的制度和規(guī)程是否健全；計(jì)算機(jī)信息系統(tǒng)是否按規(guī)定的制度和規(guī)程工作的；控制的作用是否達(dá)到預(yù)期的結(jié)果。三、控制測試（一）對(duì)組織控制的測試1、測試關(guān)鍵點(diǎn)：完整獲取被審單位工作規(guī)章制度和員工管理制度。2、測試方法：（1）閱讀工作規(guī)章制度和員工管理制度，檢查有關(guān)政策程序是否存在；（2）與被審計(jì)單位管理層交談，了解組織結(jié)構(gòu)及部門設(shè)置等情況；（3）向相關(guān)部門人員詢問，確定信息系統(tǒng)的使用狀況；（4）實(shí)地觀察業(yè)務(wù)的處理和系統(tǒng)的操作，關(guān)注職責(zé)分離情況。（一）對(duì)組織控制的測試（二）對(duì)系統(tǒng)開發(fā)與維護(hù)控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)開發(fā)和維護(hù)管理制度完善性的檢查。2、測試方法：（1）查閱內(nèi)審人員審查系統(tǒng)開發(fā)和維護(hù)工作的工作底稿；（2）了解系統(tǒng)的測試方法，查閱測試的數(shù)據(jù)和結(jié)果；（3）關(guān)注系統(tǒng)試運(yùn)行階段的運(yùn)行情況，查實(shí)系統(tǒng)在正式投入使用時(shí)是否經(jīng)過最后的授權(quán)批準(zhǔn)；（4）檢查信息系統(tǒng)是否編有完整的文檔資料，并查閱這些資料，將其復(fù)印下來作為審計(jì)工作底稿以備用。（5）若是再次審計(jì)，則不必審查系統(tǒng)的開發(fā)和測試，只需審查自上次審計(jì)以來系統(tǒng)所作的維護(hù)改進(jìn)。查實(shí)修改是否經(jīng)過批準(zhǔn)；修改后是否經(jīng)過測試；有無對(duì)修改作詳細(xì)的文檔記錄。（二）對(duì)系統(tǒng)開發(fā)與維護(hù)控制的測試（三）對(duì)系統(tǒng)安全控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)運(yùn)行環(huán)境、管理制度安全性的檢查。2、測試方法：（1）實(shí)地觀察信息系統(tǒng)的運(yùn)行環(huán)境；（2）檢查預(yù)防災(zāi)害（防火、防水、防塵、防潮）的控制措施；（3）檢查預(yù)防電源變化的控制措施；（4）檢查預(yù)防計(jì)算機(jī)病毒侵害的措施；（5）實(shí)地觀察以證實(shí)只有經(jīng)過授權(quán)的人才能接觸系統(tǒng)的設(shè)備和資料。（6）確定只有經(jīng)過授權(quán)的人員才可能獲得密碼的使用權(quán)。（三）對(duì)系統(tǒng)安全控制的測試（四）對(duì)系統(tǒng)硬件和軟件控制的測試硬件和系統(tǒng)軟件是由計(jì)算機(jī)廠商提供的，一般來說，其功能和控制時(shí)較可靠的。它們的審查一般與整個(gè)計(jì)算機(jī)信息系統(tǒng)的處理和控制功能審查一起執(zhí)行，較少單獨(dú)審查。當(dāng)系統(tǒng)軟件有多種可選擇的功能和控制時(shí)，審計(jì)人員應(yīng)注意被審計(jì)單位選擇了哪些功能，是否充分利用了其控制。

硬件、系統(tǒng)軟件功能和控制的審查要利用計(jì)算機(jī)輔助審計(jì)。（四）對(duì)系統(tǒng)硬件和軟件控制的測試（五）對(duì)操作控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)數(shù)據(jù)資源的使用環(huán)境和數(shù)據(jù)資源的操作管理制度完善性的檢查。2、測試方法：（1）檢查有無操作管理制度并閱讀有關(guān)制度確定是否規(guī)范；（2）實(shí)地察看操作人員的操作情況，是否按照操作手冊(cè)中規(guī)定的操作步驟進(jìn)行操作；（3）檢查操作人員的分工以及錯(cuò)誤的處理和更正程序是否符合內(nèi)部控制的原則；（4）檢查是否存在詳細(xì)的操作日志記錄，確定記錄的完整性和恰當(dāng)性；（5）檢查當(dāng)系統(tǒng)出現(xiàn)異常情況時(shí)，有無及時(shí)恢復(fù)系統(tǒng)操作的方法。（五）對(duì)操作控制的測試★應(yīng)用控制的審計(jì)審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí)被審計(jì)單位是否存在相應(yīng)的技術(shù)措施來保證數(shù)據(jù)的正確性、合理性、安全性和完整性；應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷；評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率。★應(yīng)用控制的審計(jì)（一）對(duì)輸入控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)輸入程序技術(shù)性控制措施的檢查。2、測試方法：（1）了解信息系統(tǒng)的輸入程序，對(duì)輸入操作的控制進(jìn)行檢查，確定操作人員已獲取授權(quán)；（2）實(shí)施分析程序，確定輸入數(shù)據(jù)的正確性、合理性、完整性；審計(jì)人員輸入不正確的數(shù)據(jù)，系統(tǒng)是否提示輸入出錯(cuò)并拒絕接收；信息系統(tǒng)是否提供復(fù)核功能，系統(tǒng)僅接收輸入與復(fù)核完全一致的數(shù)據(jù)；對(duì)比分析輸入的數(shù)據(jù)與系統(tǒng)其他數(shù)據(jù)是否滿足一定的勾稽關(guān)系；（3）檢查輸入界面，是否簡單、清晰、具有可操作性；（4）詢問系統(tǒng)操作員對(duì)錯(cuò)誤業(yè)務(wù)的處理方法；（5）抽查被審期間的出錯(cuò)業(yè)務(wù)，跟蹤檢查其改正和重新提交過程，以證實(shí)有關(guān)控制措施的有效性。（一）對(duì)輸入控制的審計(jì)（二）對(duì)處理控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)處理程序的控制措施的檢查。2、測試方法：（1）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果正確性、完整性和合理性的控制進(jìn)行檢查；閱讀信息系統(tǒng)設(shè)計(jì)說明書，確定系統(tǒng)存在有關(guān)的自動(dòng)檢查功能；詢問系統(tǒng)設(shè)計(jì)或操作人員，系統(tǒng)的處理過程是否正常且一貫；獲取系統(tǒng)數(shù)據(jù)處理的流程圖，檢查其合理性、完整性；審計(jì)人員模擬一個(gè)不滿足處理?xiàng)l件的數(shù)據(jù)，系統(tǒng)是否能提示出錯(cuò)并拒絕處理；測試數(shù)據(jù)法和數(shù)據(jù)驗(yàn)證法的使用。（2）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果安全性的控制進(jìn)行檢查。（二）對(duì)處理控制的審計(jì)（三）對(duì)輸出控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)輸出程序的正確性、完整性和及時(shí)性及安全性進(jìn)行檢查。2、測試方法：（1）了解系統(tǒng)的輸出資料是如何處置的，有無健全的檢查、保管和分發(fā)制度；（2）實(shí)地觀察系統(tǒng)的輸出情況，跟蹤輸出的資料的分發(fā)和保管；（3）檢查輸出信息的安全性控制，包括是否有人負(fù)責(zé)審視輸出資料，是否有人核對(duì)輸入輸出控制總數(shù)等；（4）通過咨詢和察看對(duì)輸出信息的格式進(jìn)行檢查；（5）詢問并檢查輸出的信息是否能夠滿足使用部門的需要。（三）對(duì)輸出控制的審計(jì)★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應(yīng)用（一）控制矩陣概述（controlmatrix）控制矩陣是一個(gè)控制目標(biāo)及其相關(guān)控制措施的列表。包括三個(gè)基本的元素：（1）控制目標(biāo)。分為經(jīng)營系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo)兩類。（2）控制措施。指為了確保系統(tǒng)目標(biāo)的實(shí)現(xiàn)所應(yīng)采取的各種合理、有效的控制措施。（3）單元內(nèi)容。在控制矩陣中，位于某項(xiàng)控制措施和控制目標(biāo)的行和列的交匯處的矩形方框，稱為單元。其內(nèi)容為是否打勾?！锟刂凭仃囋谛畔⑾到y(tǒng)內(nèi)控測試中的應(yīng)用（二）控制矩陣的編制方法◆

基本表的編制1．對(duì)系統(tǒng)進(jìn)行全面、透徹的分析和深入的了解。了解和分析的內(nèi)容包括系統(tǒng)的功能、任務(wù)、目標(biāo)、業(yè)務(wù)處理的程序、步驟以及易發(fā)生錯(cuò)誤和舞弊的環(huán)節(jié)?？赏ㄟ^分析系統(tǒng)流程圖、數(shù)據(jù)流程圖、功能結(jié)構(gòu)圖及對(duì)系統(tǒng)的有關(guān)文字描述等方面而得出。2．定出系統(tǒng)控制目標(biāo)。包括經(jīng)營系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo)3．在對(duì)現(xiàn)有的信息系統(tǒng)進(jìn)行調(diào)查分析的基礎(chǔ)上，列出系統(tǒng)現(xiàn)有的控制措施。4．根據(jù)每一項(xiàng)措施對(duì)那些控制目標(biāo)所起作用，在相應(yīng)的單元中打上"√"。（二）控制矩陣的編制方法◆

表的完善5．分析這些單元內(nèi)容所反映的狀況判斷控制系統(tǒng)是否恰當(dāng)?shù)貙?duì)所有的控制目標(biāo)進(jìn)行了必要的控制，把分析結(jié)果填入“原有控制措施分析底稿”上，最后反復(fù)推敲，提出處置建議，填入分析底稿的處置建議欄。6．?dāng)U充控制矩陣的行數(shù)，增加修改后的控制措施欄，填入修改后的控制措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打"√"。7．針對(duì)系統(tǒng)控制的不足，提出需增加的控制措施，擴(kuò)充控制矩陣填入新增加的措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打"√"。8．最后，在控制矩陣的底部，對(duì)需要說明的事項(xiàng)（如控制目標(biāo)的詳細(xì)內(nèi)容等）以注釋的形式進(jìn)行詳細(xì)的說明?！舯淼耐晟疲ㄈ┛刂凭仃嚨淖饔煤褪褂梅椒?．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的有效性、完整性。通過控制矩陣，可以很明了地看出現(xiàn)有控制系統(tǒng)的每一項(xiàng)目標(biāo)是否都有控制措施來加以保證，從而便于我們對(duì)現(xiàn)有控制系統(tǒng)的有效性、完整性做出評(píng)價(jià)。2．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的控制效率。當(dāng)系統(tǒng)中的某項(xiàng)控制措施對(duì)多項(xiàng)控制目標(biāo)有效時(shí)，則可定性地認(rèn)為該控制措施是經(jīng)濟(jì)、高效、符合成本效益原則的。3．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)所存在的優(yōu)缺點(diǎn)，以利于我們對(duì)控制系統(tǒng)進(jìn)一步加以改進(jìn)、完善。那些系統(tǒng)不可或缺的控制措施和能同時(shí)對(duì)多個(gè)目標(biāo)起作用的控制措施，構(gòu)成原有控制系統(tǒng)的主要優(yōu)點(diǎn)。那些過分控制、控制不足或不符合成本效益原則的控制措施構(gòu)成原有控制系統(tǒng)的基本缺點(diǎn)；（三）控制矩陣的作用和使用方法（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計(jì)步驟1．通過調(diào)查詢問、查閱系統(tǒng)的文檔資料、跟蹤系統(tǒng)的一些業(yè)務(wù)處理等了解計(jì)算機(jī)信息系統(tǒng)現(xiàn)有的內(nèi)部控制，包括一般控制、應(yīng)用控制，并用文字描述法、內(nèi)部控制問卷法或流程圖法記錄與描述系統(tǒng)的內(nèi)部控制。2．根據(jù)對(duì)系統(tǒng)控制的了解畫出系統(tǒng)的控制矩陣。3．分析控制矩陣，對(duì)各控制目標(biāo)是否有完善的控制措施、已有的控制措施是否恰當(dāng)進(jìn)行中肯的評(píng)價(jià)和提出恰當(dāng)?shù)慕ㄗh。（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計(jì)步驟4．根據(jù)上述建議修改、完善原控制矩陣。5．對(duì)系統(tǒng)原有的必要控制措施進(jìn)行符合性審計(jì)，確定這些控制的有效性。6．對(duì)系統(tǒng)的內(nèi)部控制提出審計(jì)意見，包括對(duì)系統(tǒng)內(nèi)部控制（包括控制的強(qiáng)點(diǎn)與薄弱環(huán)節(jié)）的評(píng)價(jià)和改進(jìn)的建議（包括應(yīng)增加與強(qiáng)化的控制和可減少的重復(fù)控制）。4．根據(jù)上述建議修改、完善原控制矩陣。第四節(jié)信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)初步評(píng)價(jià)是對(duì)系統(tǒng)調(diào)查和控制測試的系統(tǒng)分析,評(píng)價(jià)的主要內(nèi)容包括三個(gè)方面:●信息系統(tǒng)安全性●信息系統(tǒng)包含數(shù)據(jù)的真實(shí)、完整性●信息系統(tǒng)中的薄弱點(diǎn)第四節(jié)信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)初步評(píng)價(jià)是對(duì)系統(tǒng)調(diào)一、信息系統(tǒng)的安全性1、審計(jì)人員應(yīng)評(píng)價(jià)系統(tǒng)運(yùn)行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性，包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)的安全性。2、對(duì)系統(tǒng)安全性的評(píng)價(jià)主要依據(jù)系統(tǒng)調(diào)查和控制測試掌握的情況來完成，信息系統(tǒng)分析測試中將不再涉及此項(xiàng)工作內(nèi)容，因此，信息系統(tǒng)初步評(píng)價(jià)中對(duì)信息系統(tǒng)安全性的評(píng)價(jià)將直接在信息系統(tǒng)綜合評(píng)價(jià)中反映。一、信息系統(tǒng)的安全性二、信息系統(tǒng)包含數(shù)據(jù)的真實(shí)性、完整性1、審計(jì)人員應(yīng)通過對(duì)信息系統(tǒng)功能及相關(guān)制度的關(guān)注，評(píng)價(jià)信息系統(tǒng)中包含電子數(shù)據(jù)的真實(shí)性、完整性。2、電子數(shù)據(jù)真實(shí)性、完整性評(píng)價(jià)是計(jì)算機(jī)數(shù)據(jù)審計(jì)中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗(yàn)證方法選擇、數(shù)據(jù)分析重點(diǎn)確定的重要依據(jù)。二、信息系統(tǒng)包含數(shù)據(jù)的真實(shí)性、完整性三、信息系統(tǒng)中的薄弱點(diǎn)1、審計(jì)人員應(yīng)指出系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運(yùn)行管理控制等方面存在的薄弱環(huán)節(jié)。2、發(fā)現(xiàn)信息系統(tǒng)的薄弱點(diǎn)是為被審計(jì)單位改進(jìn)管理，防范風(fēng)險(xiǎn)提出合理化建議的需要，也是為計(jì)算機(jī)數(shù)據(jù)審計(jì)確定重點(diǎn)的需要。三、信息系統(tǒng)中的薄弱點(diǎn)第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞、功能的不足以及可能存在的非法模塊。●功能分析●處理邏輯分析●數(shù)據(jù)對(duì)比分析●數(shù)據(jù)追蹤分析第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標(biāo)一、功能分析

目的：分析系統(tǒng)功能上存在的不足。有時(shí)也稱之為功能審計(jì)。重點(diǎn)：對(duì)業(yè)務(wù)的特點(diǎn)和需求有清晰的認(rèn)識(shí)，也可通過信息系統(tǒng)的使用情況來分析信息系統(tǒng)功能能否滿足業(yè)務(wù)需求。一、功能分析二、處理邏輯分析目的：對(duì)信息系統(tǒng)處理數(shù)據(jù)來源是否正當(dāng)、數(shù)據(jù)處理方法是否科學(xué)合法的分析。包含的內(nèi)容：（1）信息系統(tǒng)的數(shù)據(jù)來源；（2）信息系統(tǒng)的數(shù)據(jù)處理過程，包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程；（3）信息系統(tǒng)的數(shù)據(jù)流向。核心：對(duì)信息系統(tǒng)數(shù)據(jù)處理方法是否科學(xué)合法的分析。二、處理邏輯分析三、數(shù)據(jù)對(duì)比分析包含的內(nèi)容：（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況；（2）結(jié)合數(shù)據(jù)審計(jì)，篩選問題線索；（3）對(duì)比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問題線索，查找信息系統(tǒng)自身存在的問題。重點(diǎn)：依據(jù)計(jì)算機(jī)數(shù)據(jù)審計(jì)中發(fā)現(xiàn)的問題線索，反推信息系統(tǒng)存在的問題，這是信息系統(tǒng)審計(jì)和計(jì)算機(jī)數(shù)據(jù)審計(jì)的重要結(jié)合點(diǎn)。三、數(shù)據(jù)對(duì)比分析四、數(shù)據(jù)追蹤分析目的：通過選取典型數(shù)據(jù)，追蹤處理結(jié)果，進(jìn)而判斷系統(tǒng)處理的功能是否正確有效。包含的步驟：（1）了解信息系統(tǒng)應(yīng)有的處理和控制功能；（2）針對(duì)系統(tǒng)應(yīng)用的特點(diǎn)，選取部分典型數(shù)據(jù)；（3）跟蹤數(shù)據(jù)處理過程和處理結(jié)果；（4）分析數(shù)據(jù)處理結(jié)果的差異原因。重點(diǎn)：選取典型數(shù)據(jù)，選擇的數(shù)據(jù)既要符合該系統(tǒng)處理的數(shù)據(jù)的特點(diǎn)，又要具有突出的特征能夠發(fā)現(xiàn)問題。四、數(shù)據(jù)追蹤分析五、常用的方法測試數(shù)據(jù)法受控處理法整體測試法平行模擬法程序比較法五、常用的方法(一)測試數(shù)據(jù)法

測試數(shù)據(jù)法——將一組針對(duì)系統(tǒng)應(yīng)有功能而設(shè)計(jì)的測試數(shù)據(jù)輸入被審的系統(tǒng)進(jìn)行處理，將處理的結(jié)果與應(yīng)有的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)處理的處理與控制功能是否正確有效的一種系統(tǒng)功能審查方法。檢測業(yè)務(wù)數(shù)據(jù)被審程序手工處理被審程序處理結(jié)果預(yù)期結(jié)果比較核對(duì)(一)測試數(shù)據(jù)法檢測業(yè)務(wù)數(shù)據(jù)被審程序手工處理被審程序采用測試數(shù)據(jù)法進(jìn)行審查的步驟:1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．針對(duì)系統(tǒng)應(yīng)有的功能設(shè)計(jì)測試業(yè)務(wù)數(shù)據(jù)，并根據(jù)系統(tǒng)應(yīng)有的功能準(zhǔn)備這些業(yè)務(wù)處理應(yīng)有的正確結(jié)果（又稱預(yù)期結(jié)果）。3．在專門的測試時(shí)間里，把測試數(shù)據(jù)輸入被審系統(tǒng)處理，得到處理結(jié)果。4．把實(shí)際的處理結(jié)果和預(yù)期的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)的功能是否正確有效。采用測試數(shù)據(jù)法進(jìn)行審查的步驟:測試數(shù)據(jù)的準(zhǔn)備:1.測試數(shù)據(jù)應(yīng)包括下列兩大類：（１）正常的、無誤的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的業(yè)務(wù)與信息處理功能是否恰當(dāng)。（２）有錯(cuò)漏、不完整、不合理、不正常的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的控制功能是否存在和有效。2.在準(zhǔn)備測試業(yè)務(wù)數(shù)據(jù)時(shí)，審計(jì)人員要注意系統(tǒng)功能的覆蓋。測試數(shù)據(jù)的準(zhǔn)備:應(yīng)用測試數(shù)據(jù)法要注意的問題：1.要注意證實(shí)被審查的應(yīng)用程序是被審單位現(xiàn)時(shí)真正使用的程序版本。2.此方法只能證明在處理測試數(shù)據(jù)時(shí)系統(tǒng)的功能是否正確，但它不能保證其他期間系統(tǒng)的功能是否正確、可靠。應(yīng)用測試數(shù)據(jù)法要注意的問題：測試數(shù)據(jù)法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：適用范圍廣，應(yīng)用簡單易行，對(duì)審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。2缺點(diǎn)：可能不能發(fā)現(xiàn)程序中所有的錯(cuò)弊。測試數(shù)據(jù)法的優(yōu)缺點(diǎn)（二）受控處理法受控處理法——審計(jì)人員通過監(jiān)控系統(tǒng)對(duì)各類真實(shí)業(yè)務(wù)的處理并檢查其處理結(jié)果，進(jìn)而判斷系統(tǒng)功能是否正確。（二）受控處理法受控處理法——審計(jì)人員通過監(jiān)控系采用受控處理法進(jìn)行審查的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．在系統(tǒng)正常的運(yùn)行中，審計(jì)人員監(jiān)控系統(tǒng)對(duì)各類真實(shí)業(yè)務(wù)的處理，取得相應(yīng)的處理結(jié)果；同時(shí)，審計(jì)人員根據(jù)正確的處理原則對(duì)相應(yīng)的業(yè)務(wù)處理，得到正確的處理結(jié)果。3．把系統(tǒng)處理結(jié)果與正確結(jié)果比較，從而判斷被審系統(tǒng)功能是否正確有效。采用受控處理法進(jìn)行審查的步驟受控處理法的優(yōu)缺點(diǎn):1.優(yōu)點(diǎn)：簡單、易行，不用準(zhǔn)備測試數(shù)據(jù)，對(duì)審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。2.缺點(diǎn)：在某一時(shí)間里，真實(shí)業(yè)務(wù)可能不能覆蓋系統(tǒng)的所有功能，此方法可能不能發(fā)現(xiàn)系統(tǒng)存在的所有問題。受控處理法的優(yōu)缺點(diǎn):解決真實(shí)業(yè)務(wù)不能覆蓋系統(tǒng)功能的方法1.審計(jì)人員應(yīng)詳細(xì)了解被審單位的各類真實(shí)業(yè)務(wù)發(fā)生和處理的時(shí)間，根據(jù)實(shí)際情況確定測試日期。測試可以安排在多個(gè)不同的工作日，甚至持續(xù)一段時(shí)間。2.對(duì)于系統(tǒng)的控制功能，常要通過一些不完整、不正常、不合理的業(yè)務(wù)輸入系統(tǒng)進(jìn)行檢查。解決真實(shí)業(yè)務(wù)不能覆蓋系統(tǒng)功能的方法(三)整體測試法(ITF)整體測試法——根據(jù)系統(tǒng)是用同一應(yīng)用程序處理各分公司（或部門、或其他個(gè)體）業(yè)務(wù)的原理，通過審查系統(tǒng)對(duì)虛構(gòu)公司測試業(yè)務(wù)的處理結(jié)果來判斷系統(tǒng)的功能是否正確。比較核對(duì)預(yù)期結(jié)果虛擬業(yè)務(wù)處理結(jié)果實(shí)際業(yè)務(wù)處理結(jié)果手工處理被審程序或系統(tǒng)實(shí)際業(yè)務(wù)數(shù)據(jù)虛擬實(shí)體業(yè)務(wù)數(shù)據(jù)(三)整體測試法(ITF)整體測試法——根據(jù)系統(tǒng)采用整體檢測法進(jìn)行審查的步驟:1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。

2．在被審系統(tǒng)中建立一個(gè)虛擬的公司（根據(jù)所審查的程序功能，還可以是虛擬部門、虛擬供應(yīng)商、虛擬顧客等），針對(duì)系統(tǒng)應(yīng)有的功能，設(shè)計(jì)與虛擬公司有關(guān)的測試業(yè)務(wù)，并準(zhǔn)備這些測試業(yè)務(wù)處理應(yīng)有的正確結(jié)果。3．在被審系統(tǒng)正常運(yùn)行時(shí)，把虛構(gòu)公司的測試數(shù)據(jù)和被審單位的真實(shí)數(shù)據(jù)一起輸入系統(tǒng)處理。

4．把系統(tǒng)對(duì)虛擬公司測試業(yè)務(wù)的處理結(jié)果與應(yīng)有的正確結(jié)果比較，從而判斷被審系統(tǒng)的處理和控制功能是否正確。采用整體檢測法進(jìn)行審查的步驟:整體檢測法的優(yōu)缺點(diǎn):1.優(yōu)點(diǎn)：具有測試數(shù)據(jù)法同樣的優(yōu)點(diǎn)。與測試數(shù)據(jù)法相比，它是動(dòng)態(tài)的審查方法，可確定系統(tǒng)在真實(shí)業(yè)務(wù)處理時(shí)的功能是否正確。2.具有測試數(shù)據(jù)法同樣的缺點(diǎn)。與測試數(shù)據(jù)法相比，因?yàn)樗窃谙到y(tǒng)真實(shí)業(yè)務(wù)處理中對(duì)系統(tǒng)進(jìn)行測試的，若對(duì)測試數(shù)據(jù)沒有良好控制，可能會(huì)影響被審單位的真實(shí)數(shù)據(jù)。整體檢測法的優(yōu)缺點(diǎn):消除測試數(shù)據(jù)對(duì)被審單位真實(shí)數(shù)據(jù)影響的方法：

1．處理虛擬公司的測試業(yè)務(wù)后，盡快向系統(tǒng)輸入沖消業(yè)務(wù)，以沖回測試業(yè)務(wù)對(duì)系統(tǒng)業(yè)務(wù)和匯總信息的影響。2．在被審系統(tǒng)中嵌入審計(jì)程序，對(duì)審查用的測試業(yè)務(wù)進(jìn)行標(biāo)記，嵌入的審計(jì)程序可對(duì)標(biāo)記的業(yè)務(wù)進(jìn)行過濾，防止這些業(yè)務(wù)進(jìn)入?yún)R總信息或輸出與其相聯(lián)系的重要單據(jù)（如發(fā)貨單、支票、發(fā)票等）的輸出。消除測試數(shù)據(jù)對(duì)被審單位真實(shí)數(shù)據(jù)影響的方法：（四）平行模擬法平行模擬法——又叫并行模擬法，它是通過比較被審系統(tǒng)和模擬系統(tǒng)對(duì)被審單位真實(shí)業(yè)務(wù)處理的結(jié)果來判斷被審系統(tǒng)功能是否正確的一種系統(tǒng)功能的審查方法。模擬程序處理結(jié)果處理結(jié)果比較被審程序?qū)嶋H業(yè)務(wù)數(shù)據(jù)（四）平行模擬法平行模擬法——又叫并行模擬法，它采用平行模擬法進(jìn)行審計(jì)的步驟：1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2．審計(jì)人員取得一套具有被審系統(tǒng)應(yīng)有的處理和控制功能、且功能正確的模擬系統(tǒng)。模擬系統(tǒng)可以專門開發(fā)，也可以通過別的途徑取得，例如購買商品化通用軟件。3．把被審單位真實(shí)的業(yè)務(wù)數(shù)據(jù)分別輸入模擬系統(tǒng)與被審系統(tǒng)進(jìn)行處理，并分別得出處理結(jié)果。4．把兩者的處理結(jié)果進(jìn)行比較，從而確定被審系統(tǒng)功能是否正確。采用平行模擬法進(jìn)行審計(jì)的步驟：平行模擬法的優(yōu)缺點(diǎn)1.優(yōu)點(diǎn)：一旦取得了模擬程序，可以隨時(shí)對(duì)被審系統(tǒng)進(jìn)行抽查，也可以用模擬系統(tǒng)重新處理全部的真實(shí)業(yè)務(wù)數(shù)據(jù)，進(jìn)行比較全面的審查。2.缺點(diǎn)：模擬系統(tǒng)的開發(fā)通常需要花費(fèi)較長的時(shí)間，開發(fā)或購買費(fèi)用都較高；而且，如果實(shí)際使用的系統(tǒng)更新，則模擬系統(tǒng)亦要隨之更新，相應(yīng)要增加費(fèi)用。平行模擬法的優(yōu)缺點(diǎn)（五）程序比較法程序比較法——是一種通過把被審程序與標(biāo)準(zhǔn)程序進(jìn)行比較，進(jìn)而確定二者是否一致，被審程序功能是否正確的一種審查方法。（五）程序比較法程序比較法——是一種通過把被審程序與采用程序比較法進(jìn)行審計(jì)的步驟1．被審的應(yīng)用程序曾被審查過且證實(shí)其處理與控制功能正確有效。審計(jì)人員保存了一份該程序的備份，且確保沒人可改動(dòng)它。2．審計(jì)時(shí)，審計(jì)人員使用專門的程序比較軟件來比較在用的被審程序和此備份程序，確定兩者是否有差異，進(jìn)而確定在用的被審程序是否被改動(dòng)過，功能是否正確。采用程序比較法進(jìn)行審計(jì)的步驟程序比較法的具體采用1.比較源程序：要注意確保真實(shí)運(yùn)行的程序由被審源程序編譯而成。2.比較目標(biāo)程序：發(fā)現(xiàn)差異時(shí)很難判斷差異帶來的后果。程序比較法的具體采用程序比較法的優(yōu)缺點(diǎn)：1.優(yōu)點(diǎn)：這種方法因?yàn)楸容^的是程序的本身，因此能發(fā)現(xiàn)被審程序的任何改動(dòng)。2.缺點(diǎn)：要使用程序比較軟件，而且當(dāng)發(fā)現(xiàn)兩者有差異時(shí)，要進(jìn)一步判斷修改后的程序功能是否恰當(dāng)比較困難。程序比較法的優(yōu)缺點(diǎn)：第六節(jié)信息系統(tǒng)綜合評(píng)價(jià)一、綜合評(píng)價(jià)的目的信息系統(tǒng)綜合評(píng)價(jià)的主要目標(biāo)是將審計(jì)中發(fā)現(xiàn)的信息系統(tǒng)存在的問題按照審計(jì)需要進(jìn)行總結(jié)、歸納，以報(bào)告的形式進(jìn)行反映。二、評(píng)價(jià)技術(shù)對(duì)信息系統(tǒng)安全性的評(píng)價(jià)技術(shù)對(duì)信息系統(tǒng)可靠性的評(píng)價(jià)技術(shù)對(duì)信息系統(tǒng)有效性的評(píng)價(jià)技術(shù)綜合評(píng)價(jià)模型第六節(jié)信息系統(tǒng)綜合評(píng)價(jià)一、綜合評(píng)價(jià)的目的信息系統(tǒng)安全性及其評(píng)價(jià)數(shù)據(jù)安全性資產(chǎn)安全性總體安全性評(píng)價(jià)方法：計(jì)算資產(chǎn)被破壞、盜竊或以非法目的使用后所造成的預(yù)期損失。評(píng)價(jià)方法：取決于審計(jì)目標(biāo)和數(shù)據(jù)項(xiàng)的性質(zhì)，著重關(guān)注內(nèi)部控制系統(tǒng)?？刂凭仃嚧_定性模型貝葉斯模型假設(shè)因資產(chǎn)保護(hù)不當(dāng)造成損失，其中預(yù)期損失額為700000元的概率為0.4，損失額為900000元的概率為0.5，損失額為1100000元的概率為0.1。預(yù)期的總損失額為700000*0.4+900000*0.5+100000*0.1=840000信息系統(tǒng)安全性及其評(píng)價(jià)資產(chǎn)安全性總體評(píng)價(jià)方法：計(jì)算資產(chǎn)被破壞貝葉斯模型系統(tǒng)的狀態(tài)安全P（S）不安全P（US）審計(jì)師的決定肯定P（F）正確的決定P（F|S）引起損失：0元錯(cuò)誤的決定P（F|US）引起損失：X1元否定P（UF）錯(cuò)誤的決定P（UF|S）引起損失：X2元正確的決定P（UF|US）引起損失：0元貝葉斯模型的運(yùn)用可以看作一個(gè)循環(huán)的過程：開始于對(duì)系統(tǒng)是否安全的先前估計(jì)，隨著新證據(jù)的不斷獲得，逐步對(duì)先前的評(píng)估值進(jìn)行校驗(yàn)更新，直到某一個(gè)階段，審計(jì)師可以適時(shí)地停止新證據(jù)的收集而站在一個(gè)宏觀的角度上對(duì)整個(gè)系統(tǒng)的安全性做一個(gè)全局性判斷。貝葉斯模型系統(tǒng)的狀態(tài)安全P（S）不安全P（信息系統(tǒng)可靠性及其評(píng)價(jià)軟件可靠性可靠度故障強(qiáng)度平均故障間隔時(shí)間平均故障修復(fù)時(shí)間

可靠性模型R＝p＋(1－p)P(e)P(c)

系統(tǒng)的可靠性是指系統(tǒng)在規(guī)定的時(shí)間內(nèi)無故障運(yùn)行的概率，通常被分為硬件的可靠性和軟件的可靠性。信息系統(tǒng)可靠性及其評(píng)價(jià)可靠度故障強(qiáng)度平均故障平均故障信息系統(tǒng)有效性及其評(píng)價(jià)明確評(píng)價(jià)目標(biāo)評(píng)價(jià)費(fèi)用的預(yù)算明確性能指標(biāo)構(gòu)建負(fù)荷模型構(gòu)建系統(tǒng)模型進(jìn)行實(shí)驗(yàn)結(jié)果分析給出建議圖信息系統(tǒng)有效性評(píng)價(jià)過程評(píng)價(jià)技術(shù)信息系統(tǒng)有效性及其評(píng)價(jià)明確評(píng)價(jià)目標(biāo)評(píng)價(jià)費(fèi)用的預(yù)算明確性能指標(biāo)綜合評(píng)價(jià)模型系統(tǒng)質(zhì)量信息質(zhì)量有用性感受對(duì)計(jì)算機(jī)使用能力的判斷易用性感受使用情況：量、類型信息系統(tǒng)滿意度對(duì)個(gè)人的影響對(duì)組織的影響系統(tǒng)特性使用者兩者結(jié)合綜合評(píng)價(jià)模型系統(tǒng)質(zhì)量信息質(zhì)量有用性感受對(duì)計(jì)算機(jī)使用能力的判斷綜合評(píng)價(jià)模型信息系統(tǒng)對(duì)組織的影響

主要從兩個(gè)方面關(guān)注信息系統(tǒng)對(duì)組織的影響：一是組織有效性；二是經(jīng)濟(jì)有效性。1、組織有效性評(píng)價(jià)方法：競爭價(jià)值模型①組織有效性分解成兩維：

焦點(diǎn)維和結(jié)構(gòu)維②不同的維度詮釋了組織不同的目標(biāo)，一個(gè)有效的組織必須能有效地平衡這些目標(biāo)，以避免企業(yè)陷入困境。③審計(jì)師必須全面領(lǐng)會(huì)組織的各個(gè)目標(biāo)追求，對(duì)這些目標(biāo)進(jìn)行綜合分析，以此對(duì)信息系統(tǒng)進(jìn)行評(píng)價(jià)。開放系統(tǒng)模型人際關(guān)系模型常規(guī)目標(biāo)模型

內(nèi)部處理模型柔性結(jié)構(gòu)穩(wěn)定結(jié)構(gòu)內(nèi)部焦點(diǎn)外部焦點(diǎn)綜合評(píng)價(jià)模型信息系統(tǒng)對(duì)組織的影響柔性結(jié)構(gòu)穩(wěn)定結(jié)構(gòu)內(nèi)部焦點(diǎn)外部綜合評(píng)價(jià)模型信息系統(tǒng)對(duì)組織的影響2、經(jīng)濟(jì)有效性評(píng)價(jià)信息系統(tǒng)對(duì)組織的利潤率產(chǎn)生多大貢獻(xiàn)。①

生產(chǎn)力悖論：我們總是可以觀察到組織在繼續(xù)向信息技術(shù)投入，但我們很難確定哪些投入得到了物化？或者：為什么信息技術(shù)投入的回報(bào)甚少甚至沒有，但組織仍然繼續(xù)投入資金？②審計(jì)時(shí)，關(guān)注三個(gè)問題：

投入是否提高了企業(yè)生產(chǎn)力？

投入是否提高了利潤率？投入是否創(chuàng)造了客戶價(jià)值？

綜合評(píng)價(jià)模型信息系統(tǒng)對(duì)組織的影響綜合評(píng)價(jià)模型③評(píng)價(jià)信息系統(tǒng)經(jīng)濟(jì)有效性的四個(gè)步驟：

第一步：

確定信息系統(tǒng)的收益；

區(qū)分信息系統(tǒng)的收益是否體現(xiàn)在生產(chǎn)力的增長、利潤率的增長？區(qū)分信息系統(tǒng)的收益是有形的，還是是無形的？

第二步：確定信息系統(tǒng)的成本；

兩類成本：信息系統(tǒng)實(shí)施成本；系統(tǒng)運(yùn)行成本。

第三步：對(duì)信息系統(tǒng)的收益與成本進(jìn)行估價(jià)；估價(jià)方法：分類估價(jià)法；排序估計(jì)法；細(xì)分估價(jià)法等。第四步：求出信息系統(tǒng)的凈現(xiàn)值。綜合評(píng)價(jià)模型③評(píng)價(jià)信息系統(tǒng)經(jīng)濟(jì)有效性的四個(gè)步驟：COBIT認(rèn)證

CobiTFoundation認(rèn)證是由國際信息系統(tǒng)控制協(xié)會(huì)(ISACA)聯(lián)合全球著名的IT治理與IT管理培訓(xùn)的領(lǐng)導(dǎo)廠商itpreneurs共同開發(fā),在全世界都能舉辦的考試,符合考試資格的人員通過考試后授予COBITFoundation認(rèn)證。一、考試詳情

這項(xiàng)考試包含40道單選題，要求1個(gè)小時(shí)內(nèi)完成。要通過這項(xiàng)考試，必須答對(duì)至少28道題，也就是正確率至少在70%以上?？荚囋诰W(wǎng)上進(jìn)行。COBIT認(rèn)證二、考試范圍考試涉及CobiTFoundation課程所包括的對(duì)以下方面的理解：

◎IT管理問題如何影響整個(gè)組織

◎IT治理的原則，IT治理如何幫助解決IT管理問題，以及誰應(yīng)對(duì)IT治理負(fù)責(zé)？

◎由IT治理需求推動(dòng)的對(duì)控制框架的需求

◎CobiT如何滿足IT治理框架的需求

◎CobiT如何與其它標(biāo)準(zhǔn)和實(shí)踐結(jié)合使用

◎CobiT框架以及CobiT的所有組成部分（控制目標(biāo)、控制實(shí)踐、管理指南、審計(jì)指南）

◎如何在實(shí)際情況中應(yīng)用CobiT

◎運(yùn)用CobiT的收益

◎ITGI（信息科技管理研究所）提供的產(chǎn)品與支持二、考試范圍COBIT采用關(guān)鍵目標(biāo)指示KGI（KeyGoalIndicators）表達(dá)一個(gè)過程要達(dá)到哪些目標(biāo)，KGI可以與著名的績效考核方法“平衡記分法”中的績效指標(biāo)相關(guān)聯(lián)。為了衡量每個(gè)過程在“多大程度”上達(dá)到了KGI，COBIT設(shè)置了“關(guān)鍵性能指示（KPI）”（KeyPerformanceIndicators）。每個(gè)過程達(dá)到的關(guān)鍵性能指示（KPI）的程度則用六個(gè)成熟度級(jí)別來表示，它們是：0-混沌（根本不存在）、1-初始級(jí)；2-可重復(fù)級(jí)、3-可定義級(jí)、4-可管理級(jí)、5-優(yōu)化級(jí)。COBIT采用關(guān)鍵目標(biāo)指示KGI（Key信息及資源的關(guān)系見上圖.可以看到，IT資源是將事件轉(zhuǎn)換為信息的裝置，COBIT將這個(gè)裝置形象地描述為一個(gè)圓柱體，圓柱體的核心是數(shù)據(jù)，數(shù)據(jù)外圍包裹著由“技術(shù)”、“（IT）設(shè)施”、“人員”組成豎井，豎井外包圍的是“應(yīng)用（系統(tǒng)）”。信息及資源的關(guān)系見上圖.可以看到，IT資源是將事件轉(zhuǎn)換為信

計(jì)算中心的安全和控制（1）物理位置的選擇。計(jì)算中心應(yīng)遠(yuǎn)離人造和自然災(zāi)害多發(fā)的地方，例如加油站、儲(chǔ)氣站、蓄水池、機(jī)場、低洼地帶、高犯罪率地區(qū)等。（2）建筑最好是單層的堅(jiān)固建筑（防地震），電線電纜等應(yīng)埋入地下，窗戶應(yīng)緊閉，裝上空氣過濾器以防塵，安裝空調(diào)機(jī)、抽濕機(jī)等。計(jì)算中心的安全和控制（1）物理位置的選擇。（3）訪問控制。要鎖門及設(shè)門衛(wèi)，進(jìn)出登記，有閉路電視或攝像系統(tǒng)、報(bào)警系統(tǒng)等監(jiān)視，防止未經(jīng)授權(quán)的人進(jìn)入。（4）火災(zāi)監(jiān)控。安裝煙霧探測器和自動(dòng)報(bào)警系統(tǒng)，重要之處放上滅火裝置。（5）電源控制。計(jì)算中心應(yīng)配備穩(wěn)壓電源和配備不間斷電源。（6）災(zāi)難恢復(fù)計(jì)劃。（3）訪問控制。要鎖門及設(shè)門衛(wèi)，進(jìn)出登記，有閉路電視或攝像系災(zāi)難恢復(fù)隊(duì)伍可參考下圖：災(zāi)難恢復(fù)隊(duì)伍可參考下圖：

數(shù)據(jù)通信的安全控制（1）防火墻（Firewall）。它是置于一個(gè)單位內(nèi)部網(wǎng)與外部網(wǎng)之間，用于防止外部訪問者入侵系統(tǒng)的軟件和硬軟件組合，可檢查內(nèi)部網(wǎng)外來的訪問者的權(quán)限級(jí)別而自動(dòng)堵塞或引導(dǎo)到相應(yīng)的程序、數(shù)據(jù)和服務(wù)器上，也可分隔局網(wǎng)內(nèi)不同部分之間的訪問。防火墻一般分過濾型和代理服務(wù)器型。數(shù)據(jù)通信的安全控制（1）防火墻（Firewall）。（2）一次性口令（One-timePassword）。訪問網(wǎng)絡(luò)的用戶需使用一個(gè)智能卡，它與存儲(chǔ)在服務(wù)器上的相應(yīng)軟件同步地每６０秒產(chǎn)生一個(gè)相同的密碼，不同的用戶的智能卡有不同的同步密碼，且每次產(chǎn)生的密碼是不同的。當(dāng)用戶訪問網(wǎng)絡(luò)時(shí)，首先必須輸入用戶標(biāo)識(shí)PIN，然后輸入自己智能卡上當(dāng)前顯示的密碼。這樣黑客即使使用循詢方法，也很難得到你當(dāng)時(shí)的準(zhǔn)確密碼。某人即使檢到了你的智能卡，但他不知道你的ＰＩＮ，也無法冒充你。（2）一次性口令（One-timePassword）。另一種一次性口令的產(chǎn)生方法是所謂挑戰(zhàn)/應(yīng)戰(zhàn)方式。當(dāng)用戶登錄網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)防火墻的授權(quán)軟件發(fā)出一個(gè)6位的挑戰(zhàn)字給用戶的計(jì)算機(jī)，用戶的智能卡可接收挑戰(zhàn)字，經(jīng)智能卡的內(nèi)置密碼生成程序產(chǎn)生一個(gè)即時(shí)應(yīng)戰(zhàn)密碼于顯示屏上，用戶鍵入此密碼即可登錄網(wǎng)絡(luò)。另一種一次性口令的產(chǎn)生方法是所謂挑戰(zhàn)/應(yīng)戰(zhàn)方式。當(dāng)（3）發(fā)數(shù)字證書（DigitalCertification）其內(nèi)容包括：證書所有者的姓名。證書所有者的公鑰。公鑰及證書的有效期。頒發(fā)證書的單位名稱。數(shù)字證書的序列號(hào)。頒發(fā)證書單位的數(shù)字簽名。數(shù)字證書發(fā)布于用戶自己的網(wǎng)頁上，供交易對(duì)手查閱，從而確信交易對(duì)手的合法性。（3）發(fā)數(shù)字證書（DigitalCertification第四章信息系統(tǒng)審計(jì)第四章信息系統(tǒng)審計(jì)第一節(jié)信息系統(tǒng)審計(jì)概述一、信息系統(tǒng)審計(jì)的內(nèi)涵

信息系統(tǒng)審計(jì)是對(duì)被審計(jì)單位用于經(jīng)營決策、業(yè)務(wù)處理、財(cái)務(wù)核算的計(jì)算機(jī)信息系統(tǒng)及與之相關(guān)的規(guī)劃、建設(shè)、管理、使用制度的審計(jì)。二、信息系統(tǒng)審計(jì)的目標(biāo)（一）總目標(biāo)：通過對(duì)信息系統(tǒng)合法性、可靠性、安全性和有效性的審計(jì)，對(duì)被審計(jì)單位信息系統(tǒng)做出評(píng)價(jià)。第一節(jié)信息系統(tǒng)審計(jì)概述一、信息系統(tǒng)審計(jì)的內(nèi)涵（二）具體目標(biāo)評(píng)價(jià)電子數(shù)據(jù)的真實(shí)性、完整性分析信息系統(tǒng)的薄弱環(huán)節(jié)發(fā)現(xiàn)信息系統(tǒng)的非法功能和漏洞三、信息系統(tǒng)審計(jì)的基本流程信息系統(tǒng)調(diào)查信息系統(tǒng)控制測試信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)分析測試信息系統(tǒng)綜合評(píng)價(jià)（二）具體目標(biāo)調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評(píng)價(jià)內(nèi)部控制可信賴嗎？測試和評(píng)價(jià)補(bǔ)償控制實(shí)質(zhì)性測試全面評(píng)價(jià)編制審計(jì)報(bào)告退出審計(jì)提出管理建議審計(jì)結(jié)束否否內(nèi)部控制的詳細(xì)審查與評(píng)價(jià)計(jì)算機(jī)信息系統(tǒng)審計(jì)流程調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測試信第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。一、了解管理體制從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。調(diào)查內(nèi)容包括：信息系統(tǒng)的工作程序信息系統(tǒng)等相關(guān)部門信息系統(tǒng)的管理情況第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)二、了解總體架構(gòu)完成對(duì)被審計(jì)單位有什么類型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。調(diào)查內(nèi)容包括：信息系統(tǒng)的分布情況信息系統(tǒng)的主要類型和數(shù)量各信息系統(tǒng)之間的關(guān)系信息系統(tǒng)的總體水平實(shí)質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：（1）關(guān)聯(lián)關(guān)系：不同環(huán)節(jié)的系統(tǒng)包含的數(shù)據(jù)反映生產(chǎn)的不同方面，相互補(bǔ)充。（2）核對(duì)關(guān)系：同處關(guān)鍵環(huán)節(jié)都不同系統(tǒng)，其包含的數(shù)據(jù)存在鉤稽關(guān)系，相互印證。繪制完整、詳細(xì)的信息系統(tǒng)分布圖是了解總體架構(gòu)時(shí)常用的方法。二、了解總體架構(gòu)實(shí)質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：繪制完整、詳細(xì)的三、了解規(guī)劃管理對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。

調(diào)查內(nèi)容包括：信息系統(tǒng)的規(guī)劃信息系統(tǒng)的建設(shè)信息系統(tǒng)的使用信息系統(tǒng)的維護(hù)三、了解規(guī)劃管理第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信息系統(tǒng)的內(nèi)部控制可靠性而進(jìn)行的審計(jì)工作。一、信息系統(tǒng)的內(nèi)部控制根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為：●一般控制；●應(yīng)用控制。第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信（一）一般控制是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。

可具體劃分為：1、組織控制：為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。它包括如下具體控制措施：（1）電算部門與用戶部門的職責(zé)分離一般來說，應(yīng)注意：所有業(yè)務(wù)均應(yīng)由用戶部門發(fā)起或授權(quán)電算部門不應(yīng)負(fù)責(zé)資產(chǎn)的保管所有業(yè)務(wù)記錄與主文件記錄的改變均需用戶部門授權(quán)所有系統(tǒng)的改進(jìn)、新系統(tǒng)的應(yīng)用及控制均應(yīng)由受益部門發(fā)起并經(jīng)高管授權(quán)，電算部門無權(quán)擅自修改程序。（一）一般控制（2）電算部門內(nèi)部的職責(zé)分離對(duì)系統(tǒng)開發(fā)與數(shù)據(jù)處理職責(zé)應(yīng)該分離對(duì)數(shù)據(jù)處理的職責(zé)進(jìn)行適當(dāng)分離（如憑證輸入與審核）資料保管員與程序員、系統(tǒng)操作員等職責(zé)分離（3）業(yè)務(wù)授權(quán)

所有由電算化系統(tǒng)處理的業(yè)務(wù)都應(yīng)經(jīng)過授權(quán)（4）人事控制

包括：各人工作性質(zhì)的說明；人員的選擇和培訓(xùn)；對(duì)人的行為的監(jiān)督和評(píng)價(jià)；崗位輪換；休假和合同簽訂。（5）領(lǐng)導(dǎo)與監(jiān)督

建立內(nèi)部審計(jì)機(jī)構(gòu)（2）電算部門內(nèi)部的職責(zé)分離2、系統(tǒng)開發(fā)與維護(hù)控制主要適用于那些自行設(shè)計(jì)軟件的單位。（1）開發(fā)計(jì)劃控制系統(tǒng)開發(fā)計(jì)劃應(yīng)經(jīng)過嚴(yán)格審查、仔細(xì)研究和反復(fù)調(diào)查后方可實(shí)施;軟件需求分析（2）開發(fā)過程的人員控制應(yīng)成立信息系統(tǒng)開發(fā)工作領(lǐng)導(dǎo)小組，負(fù)責(zé)總體規(guī)劃由系統(tǒng)分析員負(fù)責(zé)對(duì)原有系統(tǒng)進(jìn)行調(diào)查分析系統(tǒng)的測試和試行應(yīng)交由專門的測試人員或操作人員完成內(nèi)部審計(jì)人員應(yīng)參與信息系統(tǒng)的開發(fā)2、系統(tǒng)開發(fā)與維護(hù)控制（3）系統(tǒng)設(shè)計(jì)控制合規(guī)合法性控制正確性控制安全可靠性控制效率性控制可維護(hù)性控制（4）編程控制

即控制編程風(fēng)險(xiǎn)，主要方法是測試。測試技術(shù)包括：靜態(tài)測試：一種人工方法，通過對(duì)程序的反復(fù)閱讀或?qū)α鞒虉D的檢查來發(fā)現(xiàn)錯(cuò)誤。動(dòng)態(tài)測試：“白盒”測試和“黑盒”測試試運(yùn)行:試運(yùn)行3-6個(gè)月，驗(yàn)收后才能正式投入使用。（3）系統(tǒng)設(shè)計(jì)控制（5）系統(tǒng)維護(hù)控制系統(tǒng)的日常維護(hù)系統(tǒng)功能的改進(jìn)和擴(kuò)充（批準(zhǔn)和授權(quán)）注意：（1）維護(hù)人員應(yīng)獨(dú)立于系統(tǒng)操作人員，最好也能獨(dú)立于系統(tǒng)開發(fā)員。（2）實(shí)用的系統(tǒng)中只保留經(jīng)編譯的程序。（6）文檔控制文檔編寫的規(guī)范化文檔管理的系統(tǒng)化文檔管理的制度化注意：文檔資料不全，系統(tǒng)不能通過驗(yàn)收。（5）系統(tǒng)維護(hù)控制3、安全控制這些控制措施可以保證系統(tǒng)有一個(gè)良好的運(yùn)行環(huán)境。（1）接觸控制硬件接觸控制程序資料接觸控制數(shù)據(jù)文件及應(yīng)用程序接觸控制聯(lián)機(jī)系統(tǒng)接觸控制（2）環(huán)境安全控制這是一種預(yù)防性控制。（3）安全保密控制常見方法：對(duì)軟件進(jìn)行加密（4）防病毒控制3、安全控制4、硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì)劃等。4、硬件及系統(tǒng)軟件控制（二）應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。包括：1、輸入控制

保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。（1）數(shù)據(jù)采集控制例如：建立明確的憑證編制程序；制定工作手冊(cè)；合理設(shè)置使用控制總數(shù)等（2）數(shù)據(jù)輸入控制

例如：編制數(shù)據(jù)輸入工作內(nèi)容、方法及程序要求的書面文件、事先設(shè)計(jì)規(guī)定數(shù)據(jù)格式、數(shù)據(jù)輸入核對(duì)等。（二）應(yīng)用控制2、處理控制對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控制措施往往被寫入計(jì)算機(jī)程序，因此，處理控制往往又是自動(dòng)控制。（1）審核處理輸出（2）進(jìn)行數(shù)據(jù)有效性檢驗(yàn)（3）進(jìn)行處理有效性檢測（4）錯(cuò)誤糾正控制（5）保留審計(jì)線索（6）斷點(diǎn)技術(shù)2、處理控制3、輸出控制（1）控制只有經(jīng)批準(zhǔn)的人才能執(zhí)行輸出操作，并要登記操作記錄。（2）報(bào)表打印輸出前檢查應(yīng)有的勾稽關(guān)系。（3）經(jīng)有關(guān)人員檢查后簽章才送出使用或按會(huì)計(jì)檔案的要求保管，未經(jīng)批準(zhǔn)的人不得接觸系統(tǒng)的輸出資料。（4）對(duì)敏感的重要輸出資料應(yīng)有人監(jiān)督整個(gè)操作過程，輸出后立即送到使用者手中。（5）打錯(cuò)作廢的機(jī)密資料應(yīng)即時(shí)銷毀或用碎紙機(jī)切成碎片后才放進(jìn)廢紙箱。（6）要防止有人竄改打印隊(duì)列文件內(nèi)的數(shù)據(jù)。（7）輸出資料的使用者發(fā)現(xiàn)資料上有錯(cuò)誤、可疑之處應(yīng)報(bào)告系統(tǒng)管理員。3、輸出控制二、關(guān)于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，是一個(gè)在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。二、關(guān)于COBIT（一）COBIT的發(fā)展歷程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初單一的審計(jì)師的內(nèi)控評(píng)價(jià)工具發(fā)展到目前系統(tǒng)的IT治理框架。（一）COBIT的發(fā)展歷程（二）COBIT信息技術(shù)的控制目標(biāo)

COBIT將信息技術(shù)的控制目標(biāo)設(shè)定為七個(gè)：（1）有效性（Effectiveness）：是指信息與商業(yè)過程相關(guān)，并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。（2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟(jì)）利用資源來提供信息。（3）機(jī)密性（Confidentiality）：涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授權(quán)的披露（4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致（二）COBIT信息技術(shù)的控制目標(biāo)（5）可用性（Availability）：指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。（6）符合性（Compliance）：遵守商業(yè)運(yùn)作過程中必須遵守的法律、法規(guī)和契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。（7）信息可靠性（ReliabilityofInformation）：為管理者的日常經(jīng)營管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。?）可用性（Availability）：指在現(xiàn)在和將來的商（三）COBIT的體系結(jié)構(gòu)

COBIT將IT過程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。企業(yè)策略維IT資源維IT過程維

策略維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；（三）COBIT的體系結(jié)構(gòu)企業(yè)策略維IT資源維IT過程維企業(yè)策略維IT資源維IT過程維

IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過程的主要對(duì)象；企業(yè)策略維IT資源維IT過程維IT資源維主要包括以企業(yè)策略維IT資源維IT過程維

IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估。企業(yè)策略維IT資源維IT過程維IT過程維則是在IT準(zhǔn)則三、控制測試★一般控制的測試審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí)被審計(jì)單位在被審計(jì)期間有關(guān)的制度和規(guī)程是否健全；計(jì)算機(jī)信息系統(tǒng)是否按規(guī)定的制度和規(guī)程工作的；控制的作用是否達(dá)到預(yù)期的結(jié)果。三、控制測試（一）對(duì)組織控制的測試1、測試關(guān)鍵點(diǎn)：完整獲取被審單位工作規(guī)章制度和員工管理制度。2、測試方法：（1）閱讀工作規(guī)章制度和員工管理制度，檢查有關(guān)政策程序是否存在；（2）與被審計(jì)單位管理層交談，了解組織結(jié)構(gòu)及部門設(shè)置等情況；（3）向相關(guān)部門人員詢問，確定信息系統(tǒng)的使用狀況；（4）實(shí)地觀察業(yè)務(wù)的處理和系統(tǒng)的操作，關(guān)注職責(zé)分離情況。（一）對(duì)組織控制的測試（二）對(duì)系統(tǒng)開發(fā)與維護(hù)控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)開發(fā)和維護(hù)管理制度完善性的檢查。2、測試方法：（1）查閱內(nèi)審人員審查系統(tǒng)開發(fā)和維護(hù)工作的工作底稿；（2）了解系統(tǒng)的測試方法，查閱測試的數(shù)據(jù)和結(jié)果；（3）關(guān)注系統(tǒng)試運(yùn)行階段的運(yùn)行情況，查實(shí)系統(tǒng)在正式投入使用時(shí)是否經(jīng)過最后的授權(quán)批準(zhǔn)；（4）檢查信息系統(tǒng)是否編有完整的文檔資料，并查閱這些資料，將其復(fù)印下來作為審計(jì)工作底稿以備用。（5）若是再次審計(jì)，則不必審查系統(tǒng)的開發(fā)和測試，只需審查自上次審計(jì)以來系統(tǒng)所作的維護(hù)改進(jìn)。查實(shí)修改是否經(jīng)過批準(zhǔn)；修改后是否經(jīng)過測試；有無對(duì)修改作詳細(xì)的文檔記錄。（二）對(duì)系統(tǒng)開發(fā)與維護(hù)控制的測試（三）對(duì)系統(tǒng)安全控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)運(yùn)行環(huán)境、管理制度安全性的檢查。2、測試方法：（1）實(shí)地觀察信息系統(tǒng)的運(yùn)行環(huán)境；（2）檢查預(yù)防災(zāi)害（防火、防水、防塵、防潮）的控制措施；（3）檢查預(yù)防電源變化的控制措施；（4）檢查預(yù)防計(jì)算機(jī)病毒侵害的措施；（5）實(shí)地觀察以證實(shí)只有經(jīng)過授權(quán)的人才能接觸系統(tǒng)的設(shè)備和資料。（6）確定只有經(jīng)過授權(quán)的人員才可能獲得密碼的使用權(quán)。（三）對(duì)系統(tǒng)安全控制的測試（四）對(duì)系統(tǒng)硬件和軟件控制的測試硬件和系統(tǒng)軟件是由計(jì)算機(jī)廠商提供的，一般來說，其功能和控制時(shí)較可靠的。它們的審查一般與整個(gè)計(jì)算機(jī)信息系統(tǒng)的處理和控制功能審查一起執(zhí)行，較少單獨(dú)審查。當(dāng)系統(tǒng)軟件有多種可選擇的功能和控制時(shí)，審計(jì)人員應(yīng)注意被審計(jì)單位選擇了哪些功能，是否充分利用了其控制。

硬件、系統(tǒng)軟件功能和控制的審查要利用計(jì)算機(jī)輔助審計(jì)。（四）對(duì)系統(tǒng)硬件和軟件控制的測試（五）對(duì)操作控制的測試1、測試關(guān)鍵點(diǎn)：對(duì)數(shù)據(jù)資源的使用環(huán)境和數(shù)據(jù)資源的操作管理制度完善性的檢查。2、測試方法：（1）檢查有無操作管理制度并閱讀有關(guān)制度確定是否規(guī)范；（2）實(shí)地察看操作人員的操作情況，是否按照操作手冊(cè)中規(guī)定的操作步驟進(jìn)行操作；（3）檢查操作人員的分工以及錯(cuò)誤的處理和更正程序是否符合內(nèi)部控制的原則；（4）檢查是否存在詳細(xì)的操作日志記錄，確定記錄的完整性和恰當(dāng)性；（5）檢查當(dāng)系統(tǒng)出現(xiàn)異常情況時(shí)，有無及時(shí)恢復(fù)系統(tǒng)操作的方法。（五）對(duì)操作控制的測試★應(yīng)用控制的審計(jì)審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí)被審計(jì)單位是否存在相應(yīng)的技術(shù)措施來保證數(shù)據(jù)的正確性、合理性、安全性和完整性；應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷；評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率?！飸?yīng)用控制的審計(jì)（一）對(duì)輸入控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)輸入程序技術(shù)性控制措施的檢查。2、測試方法：（1）了解信息系統(tǒng)的輸入程序，對(duì)輸入操作的控制進(jìn)行檢查，確定操作人員已獲取授權(quán)；（2）實(shí)施分析程序，確定輸入數(shù)據(jù)的正確性、合理性、完整性；審計(jì)人員輸入不正確的數(shù)據(jù)，系統(tǒng)是否提示輸入出錯(cuò)并拒絕接收；信息系統(tǒng)是否提供復(fù)核功能，系統(tǒng)僅接收輸入與復(fù)核完全一致的數(shù)據(jù)；對(duì)比分析輸入的數(shù)據(jù)與系統(tǒng)其他數(shù)據(jù)是否滿足一定的勾稽關(guān)系；（3）檢查輸入界面，是否簡單、清晰、具有可操作性；（4）詢問系統(tǒng)操作員對(duì)錯(cuò)誤業(yè)務(wù)的處理方法；（5）抽查被審期間的出錯(cuò)業(yè)務(wù)，跟蹤檢查其改正和重新提交過程，以證實(shí)有關(guān)控制措施的有效性。（一）對(duì)輸入控制的審計(jì)（二）對(duì)處理控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)處理程序的控制措施的檢查。2、測試方法：（1）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果正確性、完整性和合理性的控制進(jìn)行檢查；閱讀信息系統(tǒng)設(shè)計(jì)說明書，確定系統(tǒng)存在有關(guān)的自動(dòng)檢查功能；詢問系統(tǒng)設(shè)計(jì)或操作人員，系統(tǒng)的處理過程是否正常且一貫；獲取系統(tǒng)數(shù)據(jù)處理的流程圖，檢查其合理性、完整性；審計(jì)人員模擬一個(gè)不滿足處理?xiàng)l件的數(shù)據(jù)，系統(tǒng)是否能提示出錯(cuò)并拒絕處理；測試數(shù)據(jù)法和數(shù)據(jù)驗(yàn)證法的使用。（2）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果安全性的控制進(jìn)行檢查。（二）對(duì)處理控制的審計(jì)（三）對(duì)輸出控制的審計(jì)1、測試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)輸出程序的正確性、完整性和及時(shí)性及安全性進(jìn)行檢查。2、測試方法：（1）了解系統(tǒng)的輸出資料是如何處置的，有無健全的檢查、保管和分發(fā)制度；（2）實(shí)地觀察系統(tǒng)的輸出情況，跟蹤輸出的資料的分發(fā)和保管；（3）檢查輸出信息的安全性控制，包括是否有人負(fù)責(zé)審視輸出資料，是否有人核對(duì)輸入輸出控制總數(shù)等；（4）通過咨詢和察看對(duì)輸出信息的格式進(jìn)行檢查；（5）詢問并檢查輸出的信息是否能夠滿足使用部門的需要。（三）對(duì)輸出控制的審計(jì)★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應(yīng)用（一）控制矩陣概述（controlmatrix）控制矩陣是一個(gè)控制目標(biāo)及其相關(guān)控制措施的列表。包括三個(gè)基本的元素：（1）控制目標(biāo)。分為經(jīng)營系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo)兩類。（2）控制措施。指為了確保系統(tǒng)目標(biāo)的實(shí)現(xiàn)所應(yīng)采取的各種合理、有效的控制措施。（3）單元內(nèi)容。在控制矩陣中，位于某項(xiàng)控制措施和控制目標(biāo)的行和列的交匯處的矩形方框，稱為單元。其內(nèi)容為是否打勾?！锟刂凭仃囋谛畔⑾到y(tǒng)內(nèi)控測試中的應(yīng)用（二）控制矩陣的編制方法◆

基本表的編制1．對(duì)系統(tǒng)進(jìn)行全面、透徹的分析和深入的了解。了解和分析的內(nèi)容包括系統(tǒng)的功能、任務(wù)、目標(biāo)、業(yè)務(wù)處理的程序、步驟以及易發(fā)生錯(cuò)誤和舞弊的環(huán)節(jié)?？赏ㄟ^分析系統(tǒng)流程圖、數(shù)據(jù)流程圖、功能結(jié)構(gòu)圖及對(duì)系統(tǒng)的有關(guān)文字描述等方面而得出。2．定出系統(tǒng)控制目標(biāo)。包括經(jīng)營系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo)3．在對(duì)現(xiàn)有的信息系統(tǒng)進(jìn)行調(diào)查分析的基礎(chǔ)上，列出系統(tǒng)現(xiàn)有的控制措施。4．根據(jù)每一項(xiàng)措施對(duì)那些控制目標(biāo)所起作用，在相應(yīng)的單元中打上"√"。（二）控制矩陣的編制方法◆

表的完善5．分析這些單元內(nèi)容所反映的狀況判斷控制系統(tǒng)是否恰當(dāng)?shù)貙?duì)所有的控制目標(biāo)進(jìn)行了必要的控制，把分析結(jié)果填入“原有控制措施分析底稿”上，最后反復(fù)推敲，提出處置建議，填入分析底稿的處置建議欄。6．?dāng)U充控制矩陣的行數(shù)，增加修改后的控制措施欄，填入修改后的控制措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打"√"。7．針對(duì)系統(tǒng)控制的不足，提出需增加的控制措施，擴(kuò)充控制矩陣填入新增加的措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打"√"。8．最后，在控制矩陣的底部，對(duì)需要說明的事項(xiàng)（如控制目標(biāo)的詳細(xì)內(nèi)容等）以注釋的形式進(jìn)行詳細(xì)的說明?！舯淼耐晟疲ㄈ┛刂凭仃嚨淖饔煤褪褂梅椒?．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的有效性、完整性。通過控制矩陣，可以很明了地看出現(xiàn)有控制系統(tǒng)的每一項(xiàng)目標(biāo)是否都有控制措施來加以保證，從而便于我們對(duì)現(xiàn)有控制系統(tǒng)的有效性、完整性做出評(píng)價(jià)。2．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的控制效率。當(dāng)系統(tǒng)中的某項(xiàng)控制措施對(duì)多項(xiàng)控制目標(biāo)有效時(shí)，則可定性地認(rèn)為該控制措施是經(jīng)濟(jì)、高效、符合成本效益原則的。3．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)所存在的優(yōu)缺點(diǎn)，以利于我們對(duì)控制系統(tǒng)進(jìn)一步加以改進(jìn)、完善。那些系統(tǒng)不可或缺的控制措施和能同時(shí)對(duì)多個(gè)目標(biāo)起作用的控制措施，構(gòu)成原有控制系統(tǒng)的主要優(yōu)點(diǎn)。那些過分控制、控制不足或不符合成本效益原則的控制措施構(gòu)成原有控制系統(tǒng)的基本缺點(diǎn)；（三）控制矩陣的作用和使用方法（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計(jì)步驟1．通過調(diào)查詢問、查閱系統(tǒng)的文檔資料、跟蹤系統(tǒng)的一些業(yè)務(wù)處理等了解計(jì)算機(jī)信息系統(tǒng)現(xiàn)有的內(nèi)部控制，包括一般控制、應(yīng)用控制，并用文字描述法、內(nèi)部控制問卷法或流程圖法記錄與描述系統(tǒng)的內(nèi)部控制。2．根據(jù)對(duì)系統(tǒng)控制的了解畫出系統(tǒng)的控制矩陣。3．分析控制矩陣，對(duì)各控制目標(biāo)是否有完善的控制措施、已有的控制措施是否恰當(dāng)進(jìn)行中肯的評(píng)價(jià)和提出恰當(dāng)?shù)慕ㄗh。（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計(jì)步驟4．根據(jù)上述建議修改、完善原控制矩陣。5．對(duì)系統(tǒng)原有的必要控制措施進(jìn)行符合性審計(jì)，確定這些控制的有效性。6．對(duì)系統(tǒng)的內(nèi)部控制提出審計(jì)意見，包括對(duì)系統(tǒng)內(nèi)部控制（包括控制的強(qiáng)點(diǎn)與薄弱環(huán)節(jié)）的評(píng)價(jià)和改進(jìn)的建議（包括應(yīng)增加與強(qiáng)化的控制和可減少的重復(fù)控制）。4．根據(jù)上述建議修改、完善原控制矩陣。第四節(jié)信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)初步評(píng)價(jià)是對(duì)系統(tǒng)調(diào)查和控制測試的系統(tǒng)分析,評(píng)價(jià)的主要內(nèi)容包括三個(gè)方面:●信息系統(tǒng)安全性●信息系統(tǒng)包含數(shù)據(jù)的真實(shí)、完整性●信息系統(tǒng)中的薄弱點(diǎn)第四節(jié)信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)初步評(píng)價(jià)是對(duì)系統(tǒng)調(diào)一、信息系統(tǒng)的安全性1、審計(jì)人員應(yīng)評(píng)價(jià)系統(tǒng)運(yùn)行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性，包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)的安全性。2、對(duì)系統(tǒng)安全性的評(píng)價(jià)主要依據(jù)系統(tǒng)調(diào)查和控制測試掌握的情況來完成，信息系統(tǒng)分析測試中將不再涉及此項(xiàng)工作內(nèi)容，因此，信息系統(tǒng)初步評(píng)價(jià)中對(duì)信息系統(tǒng)安全性的評(píng)價(jià)將直接在信息系統(tǒng)綜合評(píng)價(jià)中反映。一、信息系統(tǒng)的安全性二、信息系統(tǒng)包含數(shù)據(jù)的真實(shí)性、完整性1、審計(jì)人員應(yīng)通過對(duì)信息系統(tǒng)功能及相關(guān)制度的關(guān)注，評(píng)價(jià)信息系統(tǒng)中包含電子數(shù)據(jù)的真實(shí)性、完整性。2、電子數(shù)據(jù)真實(shí)性、完整性評(píng)價(jià)是計(jì)算機(jī)數(shù)據(jù)審計(jì)中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗(yàn)證方法選擇、數(shù)據(jù)分析重點(diǎn)確定的重要依據(jù)。二、信息系統(tǒng)包含數(shù)據(jù)的真實(shí)性、完整性三、信息系統(tǒng)中的薄弱點(diǎn)1、審計(jì)人員應(yīng)指出系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運(yùn)行管理控制等方面存在的薄弱環(huán)節(jié)。2、發(fā)現(xiàn)信息系統(tǒng)的薄弱點(diǎn)是為被審計(jì)單位改進(jìn)管理，防范風(fēng)險(xiǎn)提出合理化建議的需要，也是為計(jì)算機(jī)數(shù)據(jù)審計(jì)確定重點(diǎn)的需要。三、信息系統(tǒng)中的薄弱點(diǎn)第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞、功能的不足以及可能存在的非法模塊?！窆δ芊治觥裉幚磉壿嫹治觥駭?shù)據(jù)對(duì)比分析●數(shù)據(jù)追蹤分析第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標(biāo)一、功能分析

目的：分析系統(tǒng)功能上存在的不足。有時(shí)也稱之為功能審計(jì)。重點(diǎn)：對(duì)業(yè)務(wù)的特點(diǎn)和需求有清晰的認(rèn)識(shí)，也可通過信息系統(tǒng)的使用情況來分析信息系統(tǒng)功能能否滿足業(yè)務(wù)需求。一、功能分析二、處理邏輯分析目的：對(duì)信息系統(tǒng)處理數(shù)據(jù)來源是否正當(dāng)、數(shù)據(jù)處理方法是否科學(xué)合法的分析。包含的內(nèi)容：（1）信息系統(tǒng)的數(shù)據(jù)來源；（2）信息系統(tǒng)的數(shù)據(jù)處理過程，包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程；（3）信息系統(tǒng)的數(shù)據(jù)流向。核心：對(duì)信息系統(tǒng)數(shù)據(jù)處理方法是否科學(xué)合法的分析。二、處理邏輯分析三、數(shù)據(jù)對(duì)比分析包含的內(nèi)容：（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況；（2）結(jié)合數(shù)據(jù)審計(jì)，篩選問題線索；（3）對(duì)比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問題線索，查找信息系統(tǒng)自身存在的問題。重點(diǎn)：依據(jù)計(jì)算機(jī)數(shù)據(jù)審計(jì)中發(fā)現(xiàn)的問題線索，反推信息系統(tǒng)存在的問題，這是信息系統(tǒng)審計(jì)和計(jì)算機(jī)數(shù)據(jù)審計(jì)的重要結(jié)合點(diǎn)。三、數(shù)據(jù)對(duì)比分析四、數(shù)據(jù)追蹤分析目的：通過選取典型數(shù)據(jù)，追蹤處理結(jié)果，進(jìn)而判斷系統(tǒng)處理的功能是否正確有效。包含的步驟：（1）了解信息系統(tǒng)應(yīng)有的處理和控制功能；（2）針對(duì)系統(tǒng)應(yīng)用的特點(diǎn)，選取部分典