怎樣开展信息系统审计工作.pptVIP

怎样开展信息系统审计工作 审计署计算中心 辅助审计处 陈剑 课程目的 这部分内容是对信息系统审计这一新兴的审计领域的介绍性质的课程。 通过学习，学员能够了解国内外信息系统审计开展的状况，明确国家审计中信息系统审计的范围和目标，初步了解开展信息系统审计的工作流程和技术方法，达到开阔眼界，启发思路、指导实践的作用。 小调查1 你的专业背景是： 计算机相关 审计业务相关 其他 是否参加过本单位开展的信息系统审计项目 是 否 是否有信息系统审计相关学习经历 CISA CISSP 其他 无 小调查2 你认为影响本单位开展信息系统审计工作的主要因素是：（多选） □ 人才和技术手段缺乏 □ 信息系统审计在国家审计中的定位模糊 □ 法规不健全 □ 目前单位的考核机制 □ 不知道该如何开展 □ 认为没有开展的必要 □ 其他（请具体说明） 内容提要 信息系统审计概述 国际上开展的政府的信息系统审计现状 信息系统审计模型－－COBIT 审计署所做的信息系统审计工作 案例介绍与分析 审什么和怎么审 交流互动 什么是信息系统审计 INTOSAI（最高审计机关国际组织 ）： 信息系统审计是： 一个通过获取并评估证据，以判断IT系统是否保护了组织的资产，有效率地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织的业务目标的过程。 为什么要开展信息系统审计 计算机在各级政府组织中的广泛使用 交易处理 财务报表 决策支持功能 数据挖掘 被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术产生了影响； 内部控制环境的变更； 匿名用户带来的责任缺失； 未经授权的和未记录下来的数据修改的可能性； 看得见的审计痕迹和/或纸质文件的缺失； 审计证据的变化； 数据复制/无内容数据的可能性； 出现欺诈和错误的新机会和机制； 分布式数据处理和存储； 关键业务信息的机密性和一致性； 由于组织内部或组织之间的通讯，特别是因特网增加的风险； 系统故障/宕机的可能性。 信息系统审计的类型 对信息系统控制的检查 对财务信息系统的审计 信息系统的绩效审计或VFM审计 对正在开发的信息系统的审计 信息系统舞弊审计 信息系统安全审计 计算机辅助审计技术（CAATs） 信息系统审计的起源与发展 社会审计：伴随着财务报告审计发展 1954年，第一套计算机化的会计系统在通用电气公司开始使用。六十年代中期，出现了第一套通用审计软件（GAS）。 1968年，AICPA（美国注册会计师协会）和当时的八大会计师事务所联合开始开展EDP（电子数据处理）审计。 1968年，电子数据处理审计师协会（EDPAA）成立。该协会于1977年发布了《控制目标》第一版（即Cobit的前身）。 1977年，IIA发布了一项研究成果，即《系统可审计性与控制》（ the Systems, Auditability, and Control, 简称SAC)。 信息系统审计发展的历史（续） 1994年，电子数据处理审计师协会（EDPAA）改名为信息系统审计与控制协会（ISACA）。 1996年，信息系统审计与控制基金会（Control Objectives for Information and Related Technology，简称ISACF）发布了信息技术控制目标COBIT第一版。目前已经修订到第四版。 1998年，IT治理学会（IT Governance Institute）成立。 1978年，出现了CISA职业化认证，并在1981年举办了第一次CISA考试。2005年9月，美国国家标准协会（ANSI）对ISACA提供的CISA和CISM资格进行了鉴定的认可，巩固了这两个资格的地位。 …… 信息系统审计发展的历史（续） 政府审计：起源于对政府信息系统的评价 1959年，GAO发布第一份政府的信息系统审计报告：《评价自动化数据处理系统的安装》； 1999年，GAO发布《联邦信息系统控制审计手册》（第一版）； 2001年， GAO发布《联邦信息系统安全审计管理的计划指南》； 2007年，审计署组织了第一次信息系统审计项目； 2008年，审计署组织了第一次独立的信息系统审计项目； 2009年，GAO发布《联邦信息系统控制审计手册》（第二 版） 信息系统审计的标准体系 ISACA的信息系统审计