信息系統(tǒng)審計(jì)復(fù)習(xí)大綱

1、信息系統(tǒng)審計(jì)復(fù)習(xí)大綱、概念管理彳言，息、系統(tǒng)白勺概念：(定義)個(gè)由人計(jì)算機(jī)等組成的能進(jìn)行信息的收集、傳遞、儲(chǔ)存、加工、 維護(hù)和使用的系統(tǒng).管理信息系統(tǒng)能實(shí)測企業(yè)的各種運(yùn)行情況；利用過去的數(shù)據(jù)預(yù)測未來；從企業(yè)全局出 發(fā)輔 助企業(yè)進(jìn)行決策；利用信息控制企業(yè)的行為；幫助企業(yè)實(shí)現(xiàn)其規(guī)劃目標(biāo)。管理信息系統(tǒng)是一個(gè)人機(jī)系統(tǒng)。管理信息系統(tǒng)是一個(gè)一體化系統(tǒng)或集成系統(tǒng)。管理信息系統(tǒng)需用數(shù)學(xué)模型分析 數(shù)據(jù)，輔助決策。ERPEnterprise Resource Planning企業(yè)資源il劃系統(tǒng)，是拒建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運(yùn)行手段的管理平臺(tái).ERP系統(tǒng)集中信息技術(shù)與先進(jìn)

2、的管 理思想於一身，成為現(xiàn)代企業(yè)的運(yùn)行模式，反映時(shí)代對(duì)企業(yè)合理調(diào)配資源，最大化地創(chuàng)造社會(huì)財(cái)富的要求，成 為企業(yè)在信息時(shí)代生存、發(fā)展的基石。由MRPH (制造資源計(jì)劃)發(fā)展來的.信息系統(tǒng)一般控制/應(yīng)用控制書計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)審計(jì)宿息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃，實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審査評(píng) 價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的安全性，有效性，可靠性等進(jìn)行檢測，評(píng)估和控制的過程，以確定預(yù)定的業(yè)務(wù) 目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng).(1) 信息系統(tǒng)審計(jì)的主體是“有勝任能力的佰息系統(tǒng)獨(dú)立審計(jì)機(jī)構(gòu)或人員” (2) 信息系統(tǒng)審計(jì)的對(duì)象是“被審計(jì)的信息系統(tǒng)”.(3) 信息系

3、統(tǒng)審計(jì)工作的核心是“客觀地收集和評(píng)估證據(jù)”。(4) 信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。(5) 信息系統(tǒng)審計(jì)目標(biāo)是安全性，可靠性，有效性.IT治理IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡伯息技術(shù)與工程的風(fēng)險(xiǎn)、增 加價(jià)值來確保實(shí)現(xiàn)企業(yè)的目標(biāo).(1) IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致.(2) IT治理的主體是管理執(zhí)行人員和利益相關(guān)者的責(zé)任(以董事會(huì)為代麥)。(3) IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織戰(zhàn)路目標(biāo).IT服務(wù)管理IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能

4、力及其水平.1) IT組織，無論是企業(yè)內(nèi)部的還是外部的，都是IT服務(wù)提供者，其主要工作是提供低成本、高 質(zhì)量的IT服務(wù)。2）IT服務(wù)的質(zhì)量和成本則需從IT服務(wù)的客戶和用戶方加以判斷。災(zāi)難恢復(fù)與持續(xù)性訃劃書為了防止正常業(yè)務(wù)行為的中斷災(zāi)難對(duì)信息系統(tǒng)資源造成重大損失后的行為二、理解辨識(shí)IT治理與公司治理書信息系統(tǒng)審計(jì)與傳統(tǒng)財(cái)務(wù)審計(jì)信息系統(tǒng)市計(jì)是傳統(tǒng)審計(jì)的一部分，是以傳統(tǒng)審計(jì)理論為理論基礎(chǔ)的，兩者之何有緊密的聯(lián)系，也存在一定的區(qū)別。兩考的聯(lián)系：信息系統(tǒng)審計(jì)繼承了傳統(tǒng)審計(jì)的基本理論與方法，與傳統(tǒng)的審計(jì)一樣.區(qū)別主要表現(xiàn)在：首先，信息系統(tǒng)的市計(jì)對(duì)象不同于傳統(tǒng)審計(jì)的財(cái)務(wù)領(lǐng)域，而是信息系統(tǒng)，包括基礎(chǔ)設(shè)施，軟

5、硬件管理，信息安全，網(wǎng)絡(luò)管理合通信等；其次，信息系統(tǒng)審計(jì)提出了更多的審計(jì)法與審計(jì)程序，這都是傳統(tǒng) 審計(jì)所不具備的一般控制與應(yīng)用控制ERP 與 MRPIIMRPII是將經(jīng)營.財(cái)務(wù)，生產(chǎn)系統(tǒng)相結(jié)合，不僅對(duì)生產(chǎn)過程驚取有效的管理和控制.還能對(duì)整個(gè)企業(yè)汁劃 的經(jīng)濟(jì) 效果進(jìn)行模擬，對(duì)企業(yè)高級(jí)管理人員進(jìn)行決策具有重耍意義。ERP是在MRPII的基礎(chǔ)上通過反饋的物流和反饋的信息流，資金流，把客戶需求和企業(yè)內(nèi)部生產(chǎn)活動(dòng)，以及供 應(yīng)商的制造資源結(jié)合在一起，體現(xiàn)了完全按客戶需求制造的一種供應(yīng)鏈管理思想的功能網(wǎng)鏈結(jié)構(gòu)模式。ERP打 破r MRPII H局限在傳統(tǒng)制造業(yè)的格局，并把它的儺角伸向各行各業(yè)，如：金融業(yè).高

6、科技產(chǎn)業(yè)，通訊行業(yè)，零售 業(yè)。COBIT模型（包括兒個(gè)域，分別有哪些子流程）IS027001 （包括哪些主要的安全要素）ITIL （包括哪些主要流程）ITIL的兩個(gè)流程一 IT服務(wù)支持流程和IT服務(wù)提供流程1）服務(wù)提供流程：（1）服務(wù)級(jí)別管理；（2） IT服務(wù)財(cái)務(wù)管理；（S） IT服務(wù)持續(xù)性管理；（4）可用性 管理；（5）能力管理；2）服務(wù)支持流程：（1）服務(wù)臺(tái)；（2）問題管理；（3）突發(fā)事件管理；（4）變更管理：（5）配置管 理：（6）發(fā)布管理:三.分析應(yīng)用信息系統(tǒng)審訃的發(fā)展史信息系統(tǒng)審計(jì)的主要內(nèi)容信息系統(tǒng)市計(jì)的主要內(nèi)容包括一般控制審計(jì)的內(nèi)容和應(yīng)用控制審計(jì)的內(nèi)容.一般控制中計(jì)的內(nèi)容包括IT治

7、理，開發(fā)或采購巾計(jì)，運(yùn)行與維護(hù)中計(jì)，安全永計(jì)，災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù) 性控制五大內(nèi)容。應(yīng)用控制審計(jì)對(duì)的內(nèi)容包括輸入控制，處理控制，輸出控制，參數(shù)控制，接口審計(jì)，訪問控制與職責(zé)分離 六大塊內(nèi)容。開展信息系統(tǒng)審計(jì)的主要技術(shù)方法信息系統(tǒng)審計(jì)的流程（D準(zhǔn)備階段' 1）明確審計(jì)任務(wù)：2）組成信息系統(tǒng)審計(jì)小組：3） 了解被審系統(tǒng)的基本悄況；4）制定怡息系統(tǒng)審計(jì)方案；5）發(fā)出審計(jì)通知書；（2）實(shí)施階段：1）對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)査和符合性測試：2）對(duì)賬表單證或數(shù) 據(jù)文件的實(shí)質(zhì)性審査；（3）終結(jié)階段，1）整理歸納市計(jì)資料：2）撰寫審計(jì)報(bào)告：3）發(fā)出審計(jì)結(jié)論和決定：4）審計(jì)資料的 歸檔和管理

8、；管理信息系統(tǒng)的主流開發(fā)方法，請列舉三種，并說明各自特點(diǎn)面向?qū)ο蟮姆椒ㄋ且粋€(gè)逐步細(xì)化的過程，可以把一個(gè)系統(tǒng)的開發(fā)分成若干個(gè)小范圍進(jìn)行。原型法它通過對(duì)原型的不斷修改完善而逐漸控制借誤，減少風(fēng)險(xiǎn)；采用快速開發(fā)工具，提高開發(fā)效率和時(shí)間生命周期法每個(gè)階段有明確的目標(biāo)和活動(dòng)：淸晰的責(zé)任；預(yù)期的結(jié)果和完成時(shí)間。國際IT治理主要參考模型，請列舉4種，并說明各自主要內(nèi)容（D itil：即信息技術(shù)基礎(chǔ)構(gòu)架庫。一套被廣泛承認(rèn)的用于有效n服務(wù)管理的實(shí)踐準(zhǔn)則。（2）COBIT：即信息和相關(guān)技術(shù)的控制目標(biāo)，是有關(guān)IT治理的一個(gè)開放標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是國際公認(rèn)的最先進(jìn)、 最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的

9、治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提供指導(dǎo)。（3）BS 7799：即國際倍息安全管理標(biāo)準(zhǔn)體系，是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn).包括安全內(nèi)容的所有準(zhǔn)則。（4）PRINCE2：有關(guān)項(xiàng)目管理支持服務(wù)標(biāo)準(zhǔn)，是一種對(duì)項(xiàng)目管理的某些待定方面提供支持的方法。ERP系統(tǒng)主要包括哪些功能模塊，以某一關(guān)鍵流程為例（如銷售收款流程，或采 購付款流程）,描述ERP系統(tǒng)審計(jì)的要點(diǎn)ERP銷售系統(tǒng)實(shí)例（1主要流程：訂單作業(yè)一一發(fā)貨運(yùn)送一一開立發(fā)票一一銷售退回折讓一收款作業(yè)一過賬（2）涉及的子模塊：配銷系統(tǒng)，訂單管理系統(tǒng)，銷售分析管理系統(tǒng)，庫存管理系.應(yīng)收管理系統(tǒng)。（3）審計(jì)更點(diǎn)：D訂單作業(yè)：銷售價(jià)格低于銷貨成本；超出交貨口期仍未出貨：出貨口期早卜訂購 口期，2）發(fā)貨運(yùn)送，出貨數(shù)量.單價(jià)及品名是否與訂單相符；無訂購單卻有出貨紀(jì)錄；3）開立發(fā)票：銷貨發(fā) 栗與訂單中的品名、數(shù)量不同；出貨未開立發(fā)票：4）銷貨退回折讓：己退回之貨物仍未收回：未 經(jīng)授權(quán)之折 扣；5）收款作業(yè)：出貨口期晚于應(yīng)收帳款口期；應(yīng)收帳款未入賬：6）過賬（總賬）作業(yè)：比較應(yīng)收模塊之帳款與總底余額是否相符；銷退審分析: 采購付款系統(tǒng)實(shí)例（1）主要流程：記錄訂貨單和收貨報(bào)表一一驗(yàn)收收貨一確認(rèn)發(fā)票一一銷售退回或換貨一一付款作業(yè)一一 過賬（2）審計(jì)要點(diǎn)：1）收到的發(fā)栗沒有記錄在計(jì)算機(jī)中