信息系统审计第一章.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 可能增加检查风险的因素： （1）对信息系统缺乏足够理解。当信息系统成为审计对象的一部分时，为了评估风险，审计师必须对信息系统有足够的理解。 （2）技术不成熟。审计师采用信息技术辅助审计以降低审计风险，但其本身就引入了风险，尤其是没有经过严格测试的技术。例如，审计人员自己编写的程序，往往没有经过认真的测试就投入使用。很多流行的审计软件也存在缺陷。例如，在导入数据时丢失记录，数据处理结果错误。 （3）审计证据的可靠性。目前，有些被审计单位的信息化程度仍然处在较初级的阶段。有的单位或部门虽然购买或开发了各种信息系统，但是由于各种原因并没有真正投入使用，或者已经投入使用，但运行处在缺乏控制的状态。在这种情况下，如果审计人员过分依靠电子数据，完全依靠从信息系统中进行取证，那么证据的可靠性是很难得到保证的。 （4）对技术的依赖性。由于信息技术(如CAATTs)的使用确实能够有效地提高工作效率，审计师很容易对技术产生过分的依赖。例如，期望通过电子数据分析来获得所有审计线索，忽略其他审计方法，如向有关人员调查询问、实物盘点、信函、现场观察等。过分依赖信息技术可能导致检查效率降低，取证范围变得狭窄，以至于审计证据的充分性得不到保证。 五、信息系统审计风险的防范措施 1、降低固有风险措施。管理层对固有风险的认识是降低固有风险的关键,所以要和被审计单位有关人员通过座谈的方式,充分了解被审计单位的信息化环境。通过了解识别出固有风险,制定出相应的策略和机制。一般采取的措施是: (1)加强信息资产管理。信息资产应采用表单管理,使所有的信息资产都在可控状态中。 (2)强化内外部安全控制机制。对信息数据的使用和存储建立有效的控制机制,降低信息数据被滥用、篡改和丢失的可能性。 (3)建立安全的运行环境。为了保护企业信息的安全传递,建立一个相对开放且安全级别较高的专用局域网,合理设置多层加密关口和防火墙。 (4)加强数据输入控制。在系统设计中设定限制性输入和复核机制,保证有效数据输入准确无误。 2、降低控制风险的措施。控制风险是由内部控制制度不健全或执行内控制度不严造成的。可以采用以下措施 :(1)正确分配访问和操作权限,及时管理和维护权限分配表。用户要定期修改自己的密码,管理人员要及时删除解雇员工的权限和口令,动态监视是否有超权限访问或操作的行为。 (2)建立严格的职责分离、轮岗和休假制度。职责分离,避免一个员工操作多岗位给企业带来的风险;轮岗制度最能发现一个人长期操作积累的错误和风险;休假给企业一个全面检查员工在职时有无工作弊端的机会。 (3)建立安全的网络监控机制,减少来自外部的风险。一是建立外部连接的用户的身份认证机制,保证只有授权用户才可以录陆访问。二是建立强制性的路径,对使用者的终端机和网络服务器之间的路径加以控制。三是远程诊断端口的保护。 3、降低检查风险的措施。要降低检查风险,要求审计人员在充分了解被审计单位的业务流程和信息流程的基础上有效的识别出各个风险点。主要措施有: (1)识别出重要信息资产。从管理部门索要一份详细的信息资产列表,进行分类。一是按类型归类,如分为数据与文档、书面文件、软件资产、实物资产和人员等,二是根据敏感性及重要性进行定性分级,可以分为高、中、低或其他级别。 (2)确定合理的检查顺序。按重要性原则依次进行下列检查:一是对信息系统防范犯罪控制的检查;二是对信息系统实体的检查;三是对信息系统安全管理控制机制的检查;三是对数据网络安全的审查,四是对财务核算数据的核对检查。 (3)改进审计手段。选择有效的审计软件和进行科学抽样,尽量减少因审计手段使用不当引起的风险。对系统进行测试时,测试技术很多,应根据审计成本和审计重要性原则选择不同的方式进行。 一、内部控制概述 内部牵制阶段 内部控制制度阶段 内部控制结构阶段 内部控制整合阶段 　　第一个阶段是内部控制的雏形--内部牵制。古罗马帝国宫廷库房采取的双人记帐制度，我国西周时期的内部牵制都是内部控制雏形的表现形式。20世纪初期，西方资本主义经济得到了较大的发展，生产关系和生产力的重大变化，促进了社会化大生产程度的发展，加剧了企业间的竞争，加强企业的内部控制管理成了关系企业生死存亡的关键因素。因而一些企业在非常激烈的竞争中，逐步摸索出一些组织调节、制约和检查企业生产活动的办法，即当时的内部牵制，它基本上是以查错防弊为目的，以职务分离和交互核对为手法，以钱、帐、物等会计事项，这也是现代内部控制理论中有关组织控制、职务分离控制的雏形。 　　第二阶段是内部控制的初