第四章 信息系统审计课件.pptVIP

第四章 信息系统审计 第一节 信息系统审计概述 一、信息系统审计的内涵 信息系统审计是对被审计单位用于经营决策、业务处理、财务核算的计算机信息系统及与之相关的规划、建设、管理、使用制度的审计。 二、信息系统审计的目标 （一）总目标：通过对信息系统合法性、可靠性、安全性和有效性的审计，对被审计单位信息系统做出评价。 （二）具体目标 评价电子数据的真实性、完整性 分析信息系统的薄弱环节 发现信息系统的非法功能和漏洞 三、信息系统审计的基本流程 信息系统调查 信息系统控制测试 信息系统初步评价 信息系统分析测试 信息系统综合评价 第二节 信息系统调查 信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解，是进行信息系统审计的基础。 一、了解管理体制 从总体上把握被审计单位信息系统管理的基本情况。调查内容包括： 信息系统的工作程序 信息系统等相关部门 信息系统的管理情况 二、了解总体架构 完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系的调查。 调查内容包括： 信息系统的分布情况 信息系统的主要类型和数量 各信息系统之间的关系 信息系统的总体水平 三、了解规划管理 对信息系统建设、使用、管理情况的调查。 调查内容包括： 信息系统的规划 信息系统的建设 信息系统的使用 信息系统的维护 第三节 信息系统控制测试 信息系统控制测试是为确定信息系统的内部控制可靠性而进行的审计工作。 一、信息系统的内部控制 根据控制的范围，信息系统内部控制分为： ● 一般控制； ● 应用控制。 （一）一般控制 是指对整个计算机信息系统及环境要素实施的，对系统所有的 应用或功能模块具有普遍影响的控制措施。 可具体划分为： 1、组织控制：为实现组织的目标而进行的组织结构设计、权责 安排和制度设计。 它包括如下具体控制措施： （1）电算部门与用户部门的职责分离 一般来说，应注意： 所有业务均应由用户部门发起或授权 电算部门不应负责资产的保管 所有业务记录与主文件记录的改变均需用户部门授权 所有系统的改进、新系统的应用及控制均应由受益部门发起并经高管授权，电算部门无权擅自修改程序。 （2）电算部门内部的职责分离 对系统开发与数据处理职责应该分离 对数据处理的职责进行适当分离（如凭证输入与审核） 资料保管员与程序员、系统操作员等职责分离 （3）业务授权 所有由电算化系统处理的业务都应经过授权 （4）人事控制 包括：各人工作性质的说明；人员的选择和培训；对人的 行为的监督和评价；岗位轮换；休假和合同签订。 （5）领导与监督 建立内部审计机构 2、系统开发与维护控制 主要适用于那些自行设计软件的单位。 （1）开发计划控制 系统开发计划应经过严格审查、仔细研究和反复调查后方可 实施;软件需求分析 （2）开发过程的人员控制 应成立信息系统开发工作领导小组，负责总体规划 由系统分析员负责对原有系统进行调查分析 系统的测试和试行应交由专门的测试人员或操作人员完成 内部审计人员应参与信息系统的开发 （3）系统设计控制 合规合法性控制 正确性控制 安全可靠性控制 效率性控制 可维护性控制 （4）编程控制 即控制编程风险，主要方法是测试。测试技术包括： 静态测试：一种 人工方法，通过对程序的反复阅读或对流 程图的检查来发现错误。 动态测试：“白盒”测试和“黑盒”测试 试运行:试运行3-6个月，验收后才能正式投入使用。 （5）系统维护控制 系统的日常维护 系统功能的改进和扩充（批准和授权） 注意：（1）维护人员应独立于系统操作人员，最好也能独 立于系统开发员。 （2）实用的系统中只保留经编译的程序。 （6）文档控制 文档编写的规范化 文档管理的系统化 文档管理的制度化 注意：文档资料不全，系统不能通过验收。 3、安全控制 这些控制措施可以保证系统有一个良好的运行环境。 （1）接触控制 硬件接触控制 程序资料接触控制 数据文件及应用程序接触控制 联机系统接触控制 （2）环境安全控制 这是一种预防性控制。 （3）安全保密控制 常见方法：对软件进行加密 （4）防病毒控制 4、硬件及系统软件控制 （1）硬件控制 （2）软件控制 5、操作控制 信息系统的使用操作应有一套完整的管理制度，包括上机 守则与操作规程、上级日志记录、保密制度和操作工作计 划等。 （二）应用控制 应用控制是为适应各种数据处理的特殊控制要求，保证数