信息系统审计第6章.ppt

信息系统审计 信息系统审计 §6 管理软件系统审计 §6 管理软件系统审计 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.1 管理软件系统概述 §6.2 访问控制审计 §6.2 访问控制审计 §6.2 访问控制审计 §6.2 访问控制审计 §6.2 访问控制审计 §6.2 访问控制审计 §6.2 访问控制审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.3 账务信息系统审计 §6.4 财务报表信息系统审计 §6.4 财务报表信息系统审计 §6.4 财务报表信息系统审计 §6.4 财务报表信息系统审计 §6.4 财务报表信息系统审计 核心问题讨论： 1、电子财务报表合法性与传统财务报表合法性的关系？ 2、电子财务报表的真实性与传统财务报表真实性的关系？ 3、电子财务报表的有效性与传统财务报表有效性的关系？ 作业： 1、用财务软件生成一张财务报表。 2、电子财务报表的合法性体现在哪里？信息系统审计师应该如何去审计。 3、电子财务报表的真实性体现在哪里？信息系统审计师应该如何去审计。 4、电子财务报表的有效性体现在哪里？信息系统审计师应该如何去审计。 * 管理软件系统审计属于信息系统真实性审计。 它与传统审计相辅相成，从不同的角度鉴证企业数据的合法性与真实性。 讨论： 1、结合超市案例，讨论为什么传统审计会出现“假帐真审”现象？ 2、信息系统审计，特别是管理软件审计为什么可以弥补传统审计的不足？ 3、结合P103，109案例，说明访问安全与企业风险的关系？ 一、管理软件系统概述 二、访问控制审计 三、账务信息系统审计 四、财务报表信息系统审计 信息与数据 ： 计算机擅长处理高量度的信息（结构化数据）。在企业管理软件系统中的信息主要是结构化数据（如数据库中的数据）和半结构化数据(如网页中的数据)。因此，我们对管理软件系统审计的目的是鉴证其中的数据的真实性。 管理软件系统 ： 数据处理系统 管理软件系统 决策支持系统 企业资源计划等 数据处理系统 ： 面向企业业务的信息系统，侧重数据处理，不考虑信息的综合管理和共享。 管理信息系统 ： 面向企业管理的信息系统，追求整个组织的、周期性的报表信息流通体系，解决例行的、程序化的决策问题。 决策支持系统 ： 是面向企业决策的信息系统，辅助决策者进行非程序化决策，即帮助解决半结构化和非结构化决策问题，但不着眼于结构化数据处理或信息管理问题。 企业资源规划 ： 从本质上看,ERP仍然是以MRPⅡ为核心,但在功能和技术上却超越了传统的MRPⅡ。它是以顾客驱动的、基于时间的、面向整个供应链管理的企业资源计划。它在企业资源最优化配置的前提下，整合企业内部主要或所有的经营活动，包括财务会计、管理会计、生产计划及管理、物料管理、销售与分销等主要功能模块，以达到效率化经营的目标。 讨论 ： 1、企业不同功能的软件，其使用人员不同，相应的安全管理措施一样吗？为什么？ 2、同理，企业的信息系统审计策略和内容一样吗？为什么？ 管理软件系统的体系架构 ： 1、单机模式 2、中央集中模式 3、C/S模式 4、B/S模式 讨论： 管理软件的体系架构不同，安全管理措施和审计策略一样吗？为什么？ 审计内容 ： 1、了解管理软件系统 2、管理软件系统安全性审计 3、密码控制 4、访问控制审计 5、财务数据真实性审计 二、访问控制策略 ： · DAC，自主型访问控制策略（discretionary access control） · MAC，强制型访问控制方策略（mandatory access control） · RBAC，基于角色的访问控制策略（role-based access control） 1、自主访问控制 ： 目录表访问控制 访问控制列表