cmb培训-it系统审计实务介绍.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息系统内部控制评估范围 IT公司层面 应用程序控制层面 IT一般控制层面 具体内容 IT内部控制领域 IT一般控制 应用程序控制 管理层控制 ... ... 人工依赖的IT控制 主要针对与IT 相关的管理层的控制进行评估： 控制环境 风险评估 控制活动 信息与沟通 监督 对IT常规流程控制进行评估，信息技术控制评估对应用层面控制的有效性起着持续不断的影响。这些控制包括： IT公司层面控制测试 IT一般控制测试 应用程序控制测试 网络层面控制测试 对流程层面中通过系统实现的自动控制部分进行评估，包括： 身份认证 输入控制 接口控制 权限控制 职责分工 一般IT审计架构 网络层面 IT一般控制 IT公司层面 检查企业内部关于IT方面的控制设计及实施是否有效，为公司管理层最终发表内控有效性声明提供支持证据。 应用程序控制 流程层面的应用程序控制是在应用系统中由程序执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适用于各种交易的处理，所以应用程序控制是否有效对于财务报表的完整性和正确性以及公司内控的有效性有着重要的影响。 IT一般控制是指为保证一段时间内系统的持续有效性，在系统变更和数据访问等方面的系统控制。对应手册中的部分为：信息技术管理、信息安全管理以及应急管理方面的评估工作。 信息系统内部控制评估范围 IT审计审计范围 * * * * 1.信息系统审计的萌芽随着计算机的迅速发展，利用计算机处理的业务越来越广泛。计算机在企业的应用，使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计，但还没有形成统一的制度。IBM出版的《Audit?Encounters?Electronic?Data?Processing》《In-line?Electronic?Processing?and?Audit?Trail》等文献，给出了在新的电子数据环境下的内部审计规则和组织方法，介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果，金融企业设立了电子数据处理及安全办公室，美国国防部海军审计局引进了通用的审计软件包。 在初期，信息系统审计是作为传统审计业务的一部分，在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源，在必要时为同事提供技术支持。对于信息系统审计，需求领域很广。如对组织的信息系统审计（主要集中在对信息技术的管理控制）、技术方面的信息系统审计（包括架构、数据中心、数据通信等）、应用的信息系统审计（包括经营、财务）、开发实施信息系统审计（包括需求识别、设计、开发以及实施后阶段）和信息系统是否符合国家或国际标准的审计等等 2.信息系统审计的发展信息系统审计最早称为计算机审计，是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单，相应地，计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务，还称不上信息系统审计。从财务报表审计的角度来看，这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查，属于审计程序中的实质性测试环节。此时，它只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。随着计算机技术应用范围的不断扩展，计算机对被审计单位各个业务环节的影响越来越大，计算机审计所关注的内容也从单纯的对电子的处理，延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下，计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用，信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密，并且直接或间接地影响到财务报表的真实、公允。在这种情况下，对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段，计算机审计的业务范围已经覆盖了一项审计业务的全过程，计算机审计这一概念已经不能反映这一业务的全部内涵，信息系统审计的概念随之出现。目前，计算机审计和信息系统审计，IT审计师和IS审计师的概念还在同时使用，但这些概念之间已经有了微妙的差别。 由于社会信息化程度的提高，发达国家大力发展信息产业，加上计算机与通信技术的结合，使计算机的应用更加普及，同时也导致了利用计算机犯罪的比率上升，在社会上引起了强烈的反响，使人们日益关注包括财务