信息系統(tǒng)審計 課件 【ch01】緒論

緒論第一章高等院校公共課系列精品教材信息系統(tǒng)審計信息系統(tǒng)審計概述0101信息系統(tǒng)審計的概念審計信息系統(tǒng)審計審計是經(jīng)濟發(fā)展到一定階段的產物，隨著經(jīng)濟和社會的進步也在不斷地發(fā)生著變化，但許多人仍然把審計理解為對會計賬目的監(jiān)督。實際上，審計是指具有一定資格的獨立機構或個人接受委托，客觀地收集和評價特定經(jīng)濟實體的可衡量的信息證據(jù)，從而確定這些信息與既定標準的遵從程度，并向利益相關者報告。信息系統(tǒng)審計(InformationSystemAudit)是指在信息系統(tǒng)從計劃、研發(fā)、實施到運行維護的整個過程中，審計人員依據(jù)公認的規(guī)范或準則對信息系統(tǒng)各方面進行審查和評價，以判斷計算機系統(tǒng)是否能夠保證資產的安全，數(shù)據(jù)的完整、真實、合法，以及有效率地利用資源并有效果地實現(xiàn)組織目標的過程。02信息系統(tǒng)審計的特點從審計實施時間看，信息系統(tǒng)審計是貫穿事前、事中和事后審計的全過程審計信息系統(tǒng)審計拓展了傳統(tǒng)審計的對象和內容傳統(tǒng)的財務審計通常是注冊會計師對被審計單位前一周期的財務情況進行的審計，屬于事后審計。而信息系統(tǒng)審計是事前、事中和事后審計兼而有之。信息系統(tǒng)審計的對象是全面而復雜的。從信息系統(tǒng)的生命周期看，包含信息系統(tǒng)從開發(fā)、運行和維護的全生命周期的各種業(yè)務；從信息系統(tǒng)的各階段來看，包含對系統(tǒng)的長期和短期規(guī)劃審計、軟硬件的獲取審計、內部控制審計、安全審計和績效審計。信息系統(tǒng)審計拓展了傳統(tǒng)審計的目標電子數(shù)據(jù)處理審計、電算化審計和計算機輔助審計都沒有改變審計的目標，但信息系統(tǒng)審計除了上述目標外，還包括審查和評價信息資產的安全性、數(shù)據(jù)的真實性和完整性，以及系統(tǒng)的可靠性和績效性。02信息系統(tǒng)審計的特點信息系統(tǒng)審計的審計方法和業(yè)務范圍都在不斷變化信息系統(tǒng)審計是一種基于風險基礎審計的理論和方法信息系統(tǒng)審計是伴隨信息技術的不斷發(fā)展而發(fā)展的，目前我國信息化發(fā)展已經(jīng)從基礎設施的大規(guī)模采購、單一系統(tǒng)的探索建設階段，全面進入主流業(yè)務系統(tǒng)的信息化建設階段，隨著被審計單位，特別是一些國家機關、大型國企、商業(yè)銀行信息化水平的不斷提高，不但會計核算實現(xiàn)了信息化管理，而且在業(yè)務流程環(huán)節(jié)也實現(xiàn)了計算機信息管理，以ERP為代表的集財務、人事、供銷、生產為一體的綜合性信息系統(tǒng)逐漸興起。“互聯(lián)網(wǎng)+”、云計算和大數(shù)據(jù)已成為企業(yè)信息化的發(fā)展方向，信息系統(tǒng)審計的業(yè)務范圍也將拓展到包括聯(lián)網(wǎng)審計、XBRL審計、電子商務審計、“互聯(lián)網(wǎng)+”相關業(yè)務審計等。那么相應的審計技術和方法也將隨之發(fā)展進化，比如基于大數(shù)據(jù)或云計算的審計技術和方法必然會出現(xiàn)，以適應審計工作的要求?，F(xiàn)今的管理者大多能認識到信息技術的發(fā)展所帶來的好處，但采用新技術時也會伴隨著許多風險。信息系統(tǒng)有著與生俱來的風險，這些風險以同樣的方式影響著信息系統(tǒng)。因此，信息系統(tǒng)審計從基于控制的方法演變?yōu)榛陲L險的方法，其內涵包括風險管理的整體框架；內部環(huán)境的控制、目標的設定、風險識別、風險評估、風險管理與應對、風險控制、信息與溝通以及對風險的監(jiān)控。03信息系統(tǒng)審計的業(yè)務范圍本書所涵蓋的信息系統(tǒng)審計的業(yè)務范圍不僅僅是指為財務審計服務的信息系統(tǒng)審計，而是包括系統(tǒng)生命周期審計、內部控制審計、安全審計以及信息系統(tǒng)績效審計等所有與信息系統(tǒng)相關的領域，涵蓋以下方面：(1)信息系統(tǒng)審計的主要工作，集中在對信息技術的管理控制；(2)技術層面的信息系統(tǒng)審計，包括系統(tǒng)構架、數(shù)據(jù)中心、數(shù)據(jù)通信流程設計、信息安全等；(3)應用的信息系統(tǒng)審計，包括經(jīng)營、財務、辦公協(xié)同等應用；(4)開發(fā)實施信息系統(tǒng)審計，包括需求分析、程序設計與開發(fā)、實施及維護；(5)信息系統(tǒng)的合規(guī)性審計，主要指信息系統(tǒng)是否符合國家或國際標準的審計；(6)電子商務審計，包括電子商務系統(tǒng)設計審計、服務功能的審計、運作中的安全性審計和風險分析的審計等。(7)信息系統(tǒng)績效審計，包括經(jīng)濟效益評價、服務評價和控制評價。03信息系統(tǒng)審計的業(yè)務范圍具體而言，信息系統(tǒng)審計的業(yè)務范圍有：(1)信息系統(tǒng)開發(fā)計劃、管理及組織架構的戰(zhàn)略、政策、標準及相應實踐過程的評估；(2)信息資源在運行環(huán)境、邏輯訪問、IT基礎設施等方面安全性的評估；(3)業(yè)務流程風險管理水平的評估；(4)災難恢復及業(yè)務持續(xù)能力的評估；(5)技術基礎設施及運行實踐的效能以及效率的評估；(6)對于系統(tǒng)開發(fā)、實施與維護方法和過程的評估；(7)績效評估。04信息系統(tǒng)審計的重要意義有利于維護市場經(jīng)濟秩序為利益各方提供更加全面有效的鑒證服務市場經(jīng)濟建立在信用的基礎上，信息系統(tǒng)審計人員應成為市場經(jīng)濟中公正的鑒證人。只有當產生信息的系統(tǒng)是可靠的，它產生的信息數(shù)據(jù)才有意義和價值，能對利益相關者有用。被審計單位的信息系統(tǒng)所產生數(shù)據(jù)的真實性、可靠性和完整性關系到其經(jīng)營和決策，影響被審計單位的生存和發(fā)展。同時，這些信息對利益相關者也非常重要。因而信息系統(tǒng)具有容易刪除或篡改數(shù)據(jù)而不留痕跡的存儲特性，導致信息系統(tǒng)在缺乏管理和控制的情況下生成的數(shù)據(jù)信息缺乏可信度。04信息系統(tǒng)審計的重要意義為管理者和業(yè)務人員提供及時的咨詢服務幫助被審計單位更快、更好地發(fā)展在信息系統(tǒng)審計過程中，信息系統(tǒng)審計人員可以根據(jù)自身在建立和完善被審計單位內部控制和信息系統(tǒng)管理方面的專業(yè)知識和工作經(jīng)驗，從被審計單位實際需求出發(fā)，為管理者和業(yè)務人員提出調整現(xiàn)有的組織結構、業(yè)務流程和軟件功能的意見和建議，以更好地適應被審計單位的發(fā)展，幫助降低信息化帶來的風險。實施信息系統(tǒng)審計后，審計機構可出具具有一定法律效力的審計報告。同時，信息系統(tǒng)審計師也可以通過在線的方式進行聯(lián)網(wǎng)審計，實時鑒證被審計單位的信息。審計報告和實時鑒證對于被審計單位的利益相關者來說具有重大價值。如果通過審計報告和實時鑒證能證明其信息系統(tǒng)所產生的信息是真實完整的，將有利于利益相關者對被審計單位經(jīng)營活動的監(jiān)督，同時也有利于被審計單位的融資活動，促進其快速發(fā)展。05計算機審計與信息系統(tǒng)審計的關系概念上的區(qū)分20世紀80年代，隨著審計環(huán)境、審計對象日益復雜，以及信息化的初步發(fā)展，以手工審計為代表的傳統(tǒng)審計已經(jīng)越來越不能適應形勢的需要，傳統(tǒng)審計越來越快地向以計算機審計為代表的新的審計方式轉變。80年代末，最初有學者將其稱為“電算化審計”,現(xiàn)在已比較多地稱“計算機審計”。從定義上看，計算機審計是指以計算機作為審計工具來執(zhí)行經(jīng)濟監(jiān)督、鑒證和評價職能的審計，包括對計算機管理的數(shù)據(jù)進行審查和對管理數(shù)據(jù)的計算機進行審查。而信息系統(tǒng)審計則是指通過一定的技術手段采集審計證據(jù)，對被審計單位的計算機信息系統(tǒng)的安全性、可靠性、有效性和運行效率進行審查與評價。此外，計算機輔助審計是另一個會經(jīng)常遇到的名詞，計算機輔助審計是指審計機構、審計人員利用計算機信息技術的優(yōu)勢，將計算機作為審計工作的工具，借助計算機硬件及審計專業(yè)軟件，對被審計單位會計報表的合法性、公允性及會計處理方法運用的一貫性進行審查、評價并發(fā)表審計意見。05計算機審計與信息系統(tǒng)審計的關系審計目標與內容層面的比較審計技術層面的比較就審計目標而言，一方面，計算機審計可以提高經(jīng)濟業(yè)務的執(zhí)行能力和會計信息處理能力，可以保證計算機系統(tǒng)的安全性和有效性；另一方面，可以提高審計工作的效率和質量，滿足審計目標的需要。而信息系統(tǒng)審計的審計目標相對明確，即保護資產，維護信息系統(tǒng)的安全性、實用性和有效性。就審計對象而言，計算機審計側重于對信息系統(tǒng)中的數(shù)據(jù)進行審計，而信息系統(tǒng)審計側重于對信息系統(tǒng)本身及其管理控制環(huán)境的審計。信息系統(tǒng)審計發(fā)展至今，以被審計單位的信息系統(tǒng)為主要審計對象，其審計內容主要是信息系統(tǒng)的管理與規(guī)劃、運營實務、資產保護、業(yè)務開發(fā)、一系列應用系統(tǒng)開發(fā)、系統(tǒng)流程評價、績效評價和風險管理等方面。計算機審計技術涉及面廣，信息系統(tǒng)審計技術具有針對性。首先，在計算機審計和信息系統(tǒng)審計之間有一些常見的技術工具。其次，從兩個不同的技術工具的角度來看：一方面，計算機審計技術被審計系統(tǒng)輔助方法、數(shù)據(jù)管理系統(tǒng)輔助方法；另一方面，在信息系統(tǒng)審計中，程序流程圖審核法、快照法、穿行測試法、平行模擬法、嵌入審計程序法等技術工具能夠滿足審計發(fā)展的實際需要。06財務審計與信息系統(tǒng)審計的關系信息系統(tǒng)審計的本質也是一種控制活動，其目的是確保信息系統(tǒng)的資產保全責任和對信息系統(tǒng)運行效率的受托責任得到充分有效的履行。信息系統(tǒng)審計的本質目標仍然是確保受托經(jīng)濟責任的充分有效履行。表1-1是從不同層面對二者進行的比較。06財務審計與信息系統(tǒng)審計的關系審計對象與目標的比較財務審計的對象是被審計單位的財務收支及其相關的經(jīng)營管理活動。無論是手工環(huán)境下的紙質憑證、會計賬簿、財務報表，還是信息技術環(huán)境下的電子賬套，都是被審計單位財務收支活動的反映。注冊會計師在進行財務審計時，往往將會計報表的合法性和公正性作為審計目標。同時，會計人員進行日常工作的方式也被作為審計目標。審計可以反映出被審計單位的財務收支以及相關的經(jīng)營管理情況。信息系統(tǒng)審計的對象是被審計單位的信息系統(tǒng)本身，不僅僅是對數(shù)據(jù)的審計，還涵蓋了信息系統(tǒng)從規(guī)劃、研發(fā)、實施、運行、維護這一生命周期的所有活動。具體對象應包括被審計單位的硬件和軟件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡和通信設備、辦公場所、人員、財務和業(yè)務數(shù)據(jù)文件，以及被審計單位的管理控制活動。06財務審計與信息系統(tǒng)審計的關系審計依據(jù)與準則的比較審計時間的比較在審計過程中，審計依據(jù)是審計人員在審計過程中用來判斷和評價被審計事項、得出審計結論和審計意見的依據(jù)，而審計準則是審計工作人員進行審計工作的規(guī)范。就審計依據(jù)而言，注冊會計師將會計法及相關法規(guī)、財務制度及相關活動作為審計財務報表的依據(jù)。而信息系統(tǒng)審計師則將與信息系統(tǒng)安全控制管理相關的法規(guī)和管理制度，以及信息系統(tǒng)的實際運行情況作為審計財務報表的依據(jù)。就審計準則而言，注冊會計師經(jīng)常借助獨立審計準則進行財務審計。而信息系統(tǒng)審計師則借助信息系統(tǒng)審計標準對被審計單位的信息系統(tǒng)進行審計。財務審計屬于事后審計，注冊會計師的財務審計通常是年度審計。而信息系統(tǒng)審計往往是結合了事前審計、事中審計和事后審計。審計人員在信息系統(tǒng)開發(fā)過程中進行的審計可以看作是事中審計。同時，與信息系統(tǒng)運行后實施的審計相比，本次審計也可視為事前審計。如果將信息系統(tǒng)運行前進行的審核視為事前審核，那么信息系統(tǒng)運行后，在系統(tǒng)某個運行階段進行的審計可以視為事后審計。因此，對信息系統(tǒng)實施事前審計、事中審計和事后審計都是相對而言的。06財務審計與信息系統(tǒng)審計的關系審計技術的比較審計人員的比較進行財務審計不僅可以采用手工審計技術，還可以采用計算機作為輔助審計技術。在信息技術環(huán)境下，大量的會計數(shù)據(jù)將存儲在計算機等磁性存儲介質中，采用計算機輔助審計，可以提高審計效率。而對于信息系統(tǒng)審計，在某些審計環(huán)節(jié)雖然也能夠采用手工審計技術，例如對實體資料的查閱評價，但其他絕大部分審計環(huán)節(jié)只有借助計算機審計技術，才能對信息應用系統(tǒng)和控制程序實施審計的措施。在信息技術環(huán)境下，財務審計人員不僅要具備專業(yè)的會計知識，掌握會計法等相關法規(guī)和財務制度，還要具備信息技術知識。信息系統(tǒng)審計人員既要具備一定的審計理論和踐知識，又要具備一定的信息技術知識。06財務審計與信息系統(tǒng)審計的關系審計測試的比較符合性測試與實質性測試是審計測試的兩種主要方法，符合性測試的評價為定性評價，實質性測試的評價為定量評價。符合性測試對財務審計而言屬于可選方法。在財務審計過程中，如果發(fā)生下列情況，注冊會計師就會進行實質性測試：沒有相關內部控制，即使有內部控制也沒有有效運行，符合性測試工作量要比實質性測試工作量大。審計人員在對財務審計實施審計測試時，可以根據(jù)測試情況選擇是否實施符合性測試，但必須進行實質性測試。在財務審計中，符合性測試多針對影響會計報表的內部控制制度。而在信息系統(tǒng)審計中，信息系統(tǒng)審計師往往對信息系統(tǒng)內部控制的健全性和有效性進行審計，并提出建議。因此，信息系統(tǒng)審計一定會實施符合性測試。06財務審計與信息系統(tǒng)審計的關系審計測試的比較就實質性測試而言，雖然財務審計和信息系統(tǒng)審計都必須進行實質性測試，但測試的目的是不同的。注冊會計師在進行財務審計時，往往將信息系統(tǒng)輸出的財務報表數(shù)據(jù)作為審計的重點，這屬于實質性測試。實質性測試主要包括：盤點實物、檢查憑證、核實交易和余額、復算結果等。而信息系統(tǒng)審計，在對財務交易活動進行實質性測試與分析性復核測試基礎上，還要對財務交易的完整性與準確性進行確認。07信息系統(tǒng)審計師的主要工作評價信息系統(tǒng)的安全性關注信息系統(tǒng)的穩(wěn)定性在信息化時代，企業(yè)或組織的運營管理離不開計算機信息系統(tǒng)，信息系統(tǒng)及其存儲的數(shù)據(jù)和其他的資源(如資金、原材料、員工等)一樣，成為組織資源的重要組成部分。信息系統(tǒng)審計師主要是對被審單位信息系統(tǒng)進行技術審計，采用各種方法來測試系統(tǒng)的安全性，并對來自內部和外部的安全隱患提出相應對策，防止和降低信息技術條件下的審計風險。信息系統(tǒng)的穩(wěn)定性同樣非常重要，不穩(wěn)定的系統(tǒng)會給企業(yè)或組織帶來巨大的損失。信息系統(tǒng)面臨的不穩(wěn)定性包括宕機、內存溢出、系統(tǒng)安全性低易遭侵入或感染病毒、應用軟件不當安裝影響系統(tǒng)正常運行等。失去持續(xù)的穩(wěn)定性，組織無法保證正常的生產運營，在面對激烈的市場競爭時也會被“拖后腿”。因此，信息系統(tǒng)審計師的職責就是要不斷地跟蹤記錄，定期地檢查軟件、服務和管理控制情況，提出一系列建議和改進措施，如建議對信息系統(tǒng)定期維護升級、更新殺毒軟件病毒庫、安裝軟件補丁、升級防火墻、使用性能分析工具、優(yōu)化配置等，以保證信息系統(tǒng)的穩(wěn)定運行。07信息系統(tǒng)審計師的主要工作鑒別信息系統(tǒng)的有效性一個好的系統(tǒng)必須能最大限度地符合企業(yè)或組織的運營管理流程，經(jīng)濟有效地解決問題、提供信息。要實現(xiàn)這一點，在信息系統(tǒng)的開發(fā)和維護過程中，需要有大量的管理者參與，設計最優(yōu)的系統(tǒng)業(yè)務流程和數(shù)據(jù)流程。如果只注重信息系統(tǒng)的安全性和穩(wěn)定性，而不注重信息系統(tǒng)的有效性，其危害也將是巨大的：一方面，由于信息技術的復雜性，內部業(yè)務人員可能不會使用、不想使用或使用不當；另一方面，使用中的錯誤會導致穩(wěn)定性和安全性出問題。因此，最安全、最穩(wěn)定的系統(tǒng)不一定是最有效的系統(tǒng)，而低效的系統(tǒng)會消耗大量的資源。信息系統(tǒng)審計師的職責是熟悉信息系統(tǒng)的各個環(huán)節(jié)，憑借自身的專業(yè)素質對信息系統(tǒng)從設計到運行的全過程進行評價，為系統(tǒng)改造和風險控制提供建議，提高信息系統(tǒng)的投資和運行效率。信息系統(tǒng)審計的目標、對象和主要內容0201信息系統(tǒng)審計的目標真實性(真實、完整、合法)真實性是指業(yè)務活動的實際情況與信息系統(tǒng)所產生的數(shù)據(jù)的相符合程度。由于信息系統(tǒng)本身非常復雜，采用傳統(tǒng)審計方法難以判斷其產生數(shù)據(jù)的真實性。因此，信息系統(tǒng)審計的目標是審核被審計單位信息系統(tǒng)內部流轉和處理的數(shù)據(jù)，審查這些數(shù)據(jù)是否存在被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的風險。只有確保數(shù)據(jù)本身是真實的，才能保證財務審計的真實有效，并防止“假賬真審”現(xiàn)象的出現(xiàn)。信息系統(tǒng)真實性審計是財務審計的前提和基礎，兩者相輔相成、協(xié)同使用，才能保證信息系統(tǒng)中的數(shù)據(jù)真實反映被審計單位的生產經(jīng)營活動。01信息系統(tǒng)審計的目標安全性(安全、可靠、可用、保密)安全性是指防止來自外部或內部因素的破壞，如計算機病毒、黑客攻擊、未經(jīng)授權的系統(tǒng)訪問或盜竊已被授權的賬號對數(shù)據(jù)進行篡改，這些威脅甚至可能對被審計單位帶來毀滅性打擊。一個在安全方面存在嚴重的問題信息系統(tǒng)，所產生數(shù)據(jù)的真實性和可靠性也將大打折扣。同時，信息系統(tǒng)的構成除了軟件系統(tǒng)，還包括硬件設備和相關基礎設施。軟件可能遭到攻擊，硬件也可能受到火災、臺風或地震等災害的破壞，從而造成服務器停機、網(wǎng)絡中斷、數(shù)據(jù)損毀或丟失等影響。安全性是真實性的基礎。01信息系統(tǒng)審計的目標績效性(效果、效率、經(jīng)濟)績效性是指被審計單位投入建設信息系統(tǒng)，從而使其經(jīng)驗管理活動各個方面的效率得以改善，整體競爭力得到提升。然而信息系統(tǒng)本身不能直接給被審計單位創(chuàng)造經(jīng)濟效益，很難簡單地量化或衡量信息系統(tǒng)的貢獻，信息系統(tǒng)的實施和運行又非常復雜和耗時，且投資通常比較大。因此，被審計單位在信息系統(tǒng)建設上要加強風險控制和績效評價工作。綜上所述，信息系統(tǒng)審計的目標可以概括為：(1)信息系統(tǒng)的真實性審計是對傳統(tǒng)審計的補充，防止“假賬真審”;(2)信息系統(tǒng)的安全性審計是對被審計單位信息資產安全性的審核，以防止和管控由信息系統(tǒng)產生的經(jīng)營風險；(3)信息系統(tǒng)的績效審計是對信息系統(tǒng)投入產出比的審核。02信息系統(tǒng)審計的對象信息系統(tǒng)審計對象如圖1-1所示。從信息系統(tǒng)生命周期的發(fā)展看，覆蓋信息系統(tǒng)總體規(guī)劃、需求分析、資源獲取、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)運維活動，具體對象應當包括被審計單位的應用軟件、數(shù)據(jù)庫、操作系統(tǒng)、信息中心、辦公場所、人員及其管理、財務和業(yè)務等相關數(shù)據(jù)及文檔、硬件設備等。從審計內容看，它包含信息系統(tǒng)生命周期審計、信息系統(tǒng)內部控制審計、信息系統(tǒng)安全審計、信息系統(tǒng)績效審計。03信息系統(tǒng)審計的主要內容信息系統(tǒng)生命周期審計系統(tǒng)開發(fā)、運行和維護構成了信息系統(tǒng)的生命周期。對信息系統(tǒng)生命周期的審計活動包括系統(tǒng)開發(fā)審計、系統(tǒng)交付運行后對應用系統(tǒng)的審計和系統(tǒng)維護審計。信息系統(tǒng)生命周期分為六個階段：戰(zhàn)略規(guī)劃、需求分析、資源獲取、系統(tǒng)開發(fā)、系統(tǒng)實施、系統(tǒng)維護。生命周期的每個階段都需要形成一套規(guī)范文檔，在后期作為評估信息系統(tǒng)質量的審計證據(jù)。信息系統(tǒng)生命周期中的系統(tǒng)開發(fā)和系統(tǒng)采購是兩個可供選擇的方案。信息系統(tǒng)項目的成功不僅需要充分有效的規(guī)劃、分析和開發(fā)，還需要正確的操控和維護，只有做好相關的工作，才能保證系統(tǒng)正常運行，從而達到設計目標，提高經(jīng)營管理效率。03信息系統(tǒng)審計的主要內容03信息系統(tǒng)審計的主要內容信息系統(tǒng)內部控制審計信息系統(tǒng)內部控制審計分為一般控制審計和應用控制審計，對信息系統(tǒng)的內部控制系統(tǒng)進行審計的目的是在內部控制審計的基礎上對信息系統(tǒng)的處理結果進行審計，加強內部控制，完善內部控制系統(tǒng)。對信息資源、信息使用者及其操作規(guī)程的管理活動主要體現(xiàn)在被審計單位的內部控制系統(tǒng)中，包括計劃與組織控制、系統(tǒng)開發(fā)控制、軟硬件控制、運行控制、數(shù)據(jù)資源控制、系統(tǒng)維護控制、災難恢復控制等一般控制活動，以及輸入控制、處理控制、輸出控制等應用控制活動。因此，對信息資源、信息用戶與運行規(guī)程的主要審計內容表現(xiàn)為信息系統(tǒng)內部控制審計。03信息系統(tǒng)審計的主要內容信息系統(tǒng)安全審計信息系統(tǒng)績效審計隨著企業(yè)或組織越來越依賴信息系統(tǒng)，信息安全問題日益突出，信息資產比傳統(tǒng)資產更易受到損害。一般來說，為了有效地保護信息資產，組織需要建立一些信息安全管理制度或規(guī)則。信息系統(tǒng)績效審計是績效審計與信息系統(tǒng)審計的交叉研究和應用，是對信息系統(tǒng)的經(jīng)濟性、效率性和效果性的評價與監(jiān)督。信息化建設被認為是一項投資大、風險高、見效難的工程。信息系統(tǒng)審計師需從經(jīng)濟效益、控制、服務和可持續(xù)性這幾個維度出發(fā)，科學、準確地評價系統(tǒng)運行結果的有效性或可行性，以及信息系統(tǒng)是否滿足業(yè)務和管理需求，用戶是否對系統(tǒng)的運行過程和結果感到滿意。信息系統(tǒng)審計的發(fā)展歷程0301信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的萌芽期信息系統(tǒng)審計的概念最早出現(xiàn)于20世紀60年代，隨著計算機的迅速發(fā)展，利用計算機處理的業(yè)務越來越廣泛。計算機在企業(yè)或組織的應用，使企業(yè)或組織的經(jīng)營過程、思想意識和方法等產生了顯著的變化。會計業(yè)務處理開始往會計電算化方向發(fā)展，這使得審計人員開始關注電子數(shù)據(jù)的采集、處理和分析，即EDP審計，這是信息系統(tǒng)審計的萌芽。在信息系統(tǒng)審計的萌芽階段，人們稱之為電子數(shù)據(jù)處理審計(ElectronicDataProcessingAudit)或計算機審計，它是作為傳統(tǒng)審計業(yè)務的擴展發(fā)展起來的。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的萌芽期人們需要信息系統(tǒng)審計主要是由于：(1)審計師認識到計算機已經(jīng)影響了他們執(zhí)行鑒證業(yè)務的能力；(2)企業(yè)認識到在信息時代，計算機像其他有價值的商業(yè)資源一樣，是商業(yè)競爭的關鍵資源，因此也迫切需要對其進行審計；(3)職業(yè)團體、組織和政府機構認識到需要對信息技術加以控制，并使其可以審核。在萌芽期，信息系統(tǒng)審計是作為傳統(tǒng)審計業(yè)務的一部分，在審計師對由計算機系統(tǒng)處理的數(shù)據(jù)的質量進行判斷時提供技術支持。有信息系統(tǒng)審計技能的審計師被看作是會計師事務所的技術資源，在必要時能為同事提供技術支持。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的發(fā)展成熟期20世紀70年代，計算機逐漸在工業(yè)界普及，信息系統(tǒng)也日趨復雜，計算機犯罪開始出現(xiàn)。信息系統(tǒng)的安全性、可靠性和效率性就顯得越來越重要，信息系統(tǒng)審計得以在美國和日本等國迅速應用和發(fā)展。這一時期，美國注冊會計師協(xié)會(AICPA)和國際內部審計師協(xié)會(IIA)等對信息系統(tǒng)審計予以了一定的重視。美國注冊會計師協(xié)會發(fā)布了《內部控制制度的調查與評價對電子數(shù)據(jù)處理的影響》,美國內部審計師協(xié)會發(fā)布了《系統(tǒng)可審計性及規(guī)則的研究》。這一時期的信息系統(tǒng)審計還被稱為計算機審計，是隨著計算機在財務會計領域的應用而產生的。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的發(fā)展成熟期20世紀80年代，互聯(lián)網(wǎng)的產生促進信息產業(yè)迅速發(fā)展，通過信息系統(tǒng)審計確保信息系統(tǒng)的安全、可靠成為業(yè)界共識，此階段是信息系統(tǒng)審計成熟期。在制度基礎審計的模式下，計算機審計的業(yè)務內容已經(jīng)擴展到了符合性測試領域?；陲L險控制的審計模式的采用以及信息技術在被審計單位的各個領域的廣泛應用，信息系統(tǒng)的安全性、可靠性與其所服務的組織所面臨的各種風險的聯(lián)系越來越緊密，并且直接或間接地影響到財務報表的真實、公允。在這種情況下，對被審計單位風險的評估必須將計算機信息系統(tǒng)納入考慮范圍。發(fā)展到這一階段，計算機審計的業(yè)務范圍已經(jīng)覆蓋了一項審計業(yè)務的全過程，計算機審計這一概念已經(jīng)不能反映這一業(yè)務的全部內涵，信息系統(tǒng)審計的概念隨之出現(xiàn)。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的普及期20世紀90年代開始，信息系統(tǒng)更加復雜化、大型化、多樣化和網(wǎng)絡化，信息系統(tǒng)安全演變?yōu)閲覒?zhàn)略，信息系統(tǒng)審計升級為國際共識，并在組織、準則、標準及規(guī)范、培訓等各個層面逐漸形成了較為完善的工作體系(見圖1-3)。由于社會信息化程度的提高，發(fā)達國家大力發(fā)展信息產業(yè)，加上計算機與通信技術的結合，使計算機的應用更加普及，同時也導致利用計算機犯罪的比率上升，在社會上引起了強烈的反響，使人們日益關注包括財務信息系統(tǒng)在內的所有信息系統(tǒng)的安全性、可靠性，及其與組織目標的一致性。信息系統(tǒng)審計的必要性逐漸凸顯。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計的普及期01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計在中國的發(fā)展我國信息系統(tǒng)審計標準和規(guī)范發(fā)展較為滯后。2001年，審計署將注冊信息系統(tǒng)審計(CISA)認證考試引入我國，此后國內各行各業(yè)迅速推廣和發(fā)展，這對于促進信息系統(tǒng)審計行業(yè)發(fā)展具有重要意義。在審計部門等推動下，審計信息化理念逐步向信息系統(tǒng)審計理念演進，并形成我國信息系統(tǒng)審計工作體系，如表1-2所示。在我國大部分經(jīng)濟領域，信息系統(tǒng)審計還沒有被納入強制審計的范疇，基本上屬于自愿審計的范疇。01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計在中國的發(fā)展01信息系統(tǒng)審計的發(fā)展歷程信息系統(tǒng)審計在中國的發(fā)展信息系統(tǒng)審計人才定位0401信息系統(tǒng)審計人才定位信息系統(tǒng)審計師應具備的素質對于信息系統(tǒng)審計業(yè)務而言，信息系統(tǒng)審計師的需求領域很廣。如對企業(yè)或組織的信息系統(tǒng)審計(主要集中在對信息技術的管理控制)、技術方面的信息系統(tǒng)審計(包括架構、數(shù)據(jù)中心、數(shù)據(jù)通信等)、應用的信息系統(tǒng)審計(包括經(jīng)營、財務)、開發(fā)實施信息系統(tǒng)審計(包括需求識別、設計、開發(fā)以及實施后階段)和信息系統(tǒng)是否符合國家或國際標準的審計等。為滿足信息系統(tǒng)業(yè)務需求，信息系統(tǒng)審計師需要對信息技術能有充分了解和熟練運用，應具備全面的計算機軟硬件知識，對網(wǎng)絡和系統(tǒng)安全具有獨特的職業(yè)敏感性，對電子商務、財務會計和內部控制有深刻的理解。綜合來講，信息系統(tǒng)審計師應具備待審計對象所要求的業(yè)務知識和豐富的信息系統(tǒng)開發(fā)經(jīng)驗。01信息系統(tǒng)審計人才定位信息系統(tǒng)審計師應具備的素質國際信息系統(tǒng)審計協(xié)會(ISACA)于1981年開始了注冊信息系統(tǒng)審計師(CISA)考試，這是最早產生的對信息系統(tǒng)審計師的職業(yè)技能要求，也是目前信息系統(tǒng)審計領域唯一的職業(yè)資格認證。該協(xié)會提出的信息系統(tǒng)審計師職業(yè)必須具備的知識體系包括以下5個方面(援引2020年CISA考試大綱):01信息系統(tǒng)審計人才定位信息系統(tǒng)審計師應具備的素質(1)信息系統(tǒng)審計流程遵照IT審計標準提供審計服務，以幫助組織保護和控制其信息系統(tǒng)。(2)IT治理和管理用以確保具備必要的管理層、組織結構及流程來實現(xiàn)相關目標和支持組織戰(zhàn)略。(3)信息系統(tǒng)購置、開發(fā)與實施用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務符合組織的戰(zhàn)略與目標。(4)信息系統(tǒng)的運營和業(yè)