信息系统审计汇.ppt

信息系统审计 课程目的 统一思想 提高认识 转变观念 澄清概念 传递理念 提纲 背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路 背景介绍 信息技术改变着我们的生活 沟通方式 电子邮件、即时通讯（MSN、QQ）、IP电话 娱乐休闲 网络游戏、视频点播、 信息获取 网站、论坛、博客 生活方式 网上购物、电视、电影 背景介绍 信息技术改变着我们的工作 作业工具 计算机、打印机、扫描仪 作业手段 企业网、门户网站、办公自动化 管理方法 数据集中、业务集成、动态监控 分析决策 统计数据、分析趋势、发现规律 内部控制 业务流程重组、自动控制增加、舞弊手段 信息技术的积极面 作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少 信息技术的消极影响 数据信息的安全受到了挑战 病毒、黑客、非法入侵 业务持续性很难得到保证 停电、系统故障、人为破坏 控制过程透明度下降 控制内嵌于软件中、手工控制变为自动控制 错误容易产生累计效应 一个点的错误会引起连锁反应 对人员素质提出了更高的要求 操作计算机、软件知识、网络知识 中国石油信息技术总体规划 中国石油信息技术总体规划 A 勘探开发与管道项目 B 炼油化工与销售项目 D ERP项目 E 综合管理项目 提纲 背景介绍 信息系统审计相关概念 信息系统审计的发展情况 开展信息系统审计的必然性 开展信息系统审计的条件 开展信息系统审计的方法 ERP审计介绍 信息系统审计的工作思路 信息系统审计的概念 审计 1972年美国会计学会的《基础审计概念的说明》中对审计的定义是： 审计是为了查明经济活动和经济现象的表现与所定标准之间的一致程序而客观地收集和评价有关证据，并将其结果传达给有利害关系使用者的有组织的过程 《中华人民共和国审计法实施条例》第2条对审计所下的定义是: 审计是审计机关依法独立检查被审计单位的会计凭证、会计账簿、会计报表以及其他与财政收支、财务收支有关的资料和资产，监督财政收支、财务收支真实、合法和效益的行为 信息系统审计的概念 内部审计 1999年6月，内部审计师学会对内部审计的如下定义： “内部审计是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。” 国际内部审计师协会在《内部审计实务标准》对内部审计作了新的定义: “内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。” 与计算机有关的几个审计概念 IT审计 计算机审计 电子数据审计 计算机辅助审计 信息系统测试 信息系统审计 IS审计 信息系统审计的概念 信息系统 信息系统是与信息加工，信息传递，信息存贮以及信息利用等有关的系统现代信息系统一般均指人、机共存的系统。 信息系统一般包括： 数据处理系统 管理信息系统 决策支持系统 办公自动化系统 信息系统审计的概念 国外： 日本通产省情报协会在1996 年对信息系统审计定义: 为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。 1999 年,国际信息系统审计领域的权威专家Ron Weber 将它定义为 收集并评估证据以判断一个计算机系统(信息系统) 是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。 信息系统审计的概念 国内： 国内专家孙强在《信息系统审计- 安全、风险管理与控制》定义: 审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统) 是否有效做到保护资产、维护数据完整并最有效率地完成组织活动。 中国内部审计协会在《信息系统审计准则（征求意见稿）》里定义： 是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。 信息系统审计的概念 信息系统内部审计： 是企业内部审计职能下的一个专业团队 是企业内部审计工作不可或缺的一部分 不是一个独立的团队： 没有单独的章程或手册