信息系統(tǒng)審計

1、信息系統(tǒng)審計電子數(shù)據(jù)處理系統(tǒng)發(fā)展分為三階段：數(shù)據(jù)的單項處理階段（1953-1965）、數(shù)據(jù)的綜合處理階段（1965-1970）、數(shù)據(jù)的系統(tǒng)處理階段（1970年以后），對傳統(tǒng)審計產(chǎn)生了巨大的影響，主要表現(xiàn)在（1）對審計線索的影響：傳統(tǒng)的審計線索缺失；EDP下：數(shù)據(jù)處理、存儲電子化，不可見，難辨真?zhèn)?。?）對審計方法和技術(shù)的影響：技術(shù)方法復雜化；EDP下：利用計算機審計技術(shù)變得復雜化（3）對審計人員的影響：知識構(gòu)成要求發(fā)生變化；EDP下：會計、審計、計算機等知識和技能（4）對審計準則的影響：信息化下審計準則與標準的缺失；EDP下：在原有審計準則的基礎(chǔ)上，建立一系列新的準則（5）對內(nèi)部控制的影響：內(nèi)

2、部控制方式發(fā)生改變：傳統(tǒng)方式下：強調(diào)對業(yè)務活動及會計活動使用授權(quán)批準和職責分工等控制程序來保證。EDP下：數(shù)據(jù)處理根據(jù)既定的指令程序自動進行，信息的處理和存儲高度集中于計算機，控制依賴于計算機信息系統(tǒng)，控制方式發(fā)生改變。2、信息系統(tǒng)審計的定義：指根據(jù)公認的標準和指導規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務應用的完整、效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預定的業(yè)務目標得以實現(xiàn)，并提出一系列改進建議的管理活動。3、信息系統(tǒng)審計的特點（1）審計范圍的廣泛性（2）審計線索的隱蔽性、易逝性（3）審計取證的動態(tài)性（4）審計技術(shù)的復雜性：首先，由于

3、不同被審單位的信息系統(tǒng)所配備的計算機設(shè)備各式各樣，各個機器的功能各異，所配備的系統(tǒng)軟件也各不相同。審計人員在審計過程中，必然要和計算機的硬件和系統(tǒng)軟件打交道，各種機型功能不一，配備的系統(tǒng)軟件各異，必然增加了審計技術(shù)的復雜性，其次，由于不同被審單位的業(yè)務規(guī)模和性質(zhì)不同，所采用的數(shù)據(jù)處理及存儲方式也不同，不同的數(shù)據(jù)處理，存儲方式，審計所采用的方法、技術(shù)也不同。此外，不同被審單位其應用軟甲你的開發(fā)方式、軟件開發(fā)的程序設(shè)計語言也不盡相同，不同開發(fā)方式以及用不同的程序設(shè)計語言開發(fā)的應用軟件，其審計方法與技術(shù)也不一樣。4、信息系統(tǒng)審計的目標：（1）保護資產(chǎn)的完整性：信息系統(tǒng)的資產(chǎn)包括硬件、軟件、設(shè)備、人員

4、、數(shù)據(jù)文件、系統(tǒng)檔案等；（2）保證數(shù)據(jù)的準確性：數(shù)據(jù)準確性是指數(shù)據(jù)能滿足規(guī)定的條件，防止粗無信息的輸入和輸出，一級非授權(quán)狀態(tài)下的修改信息所造成的無效操作和錯誤后果；（3）提高系統(tǒng)的有效性：系統(tǒng)的有效性表明系統(tǒng)能否獲得預期的目標；（4）提高系統(tǒng)的效率性：系統(tǒng)效率是指系統(tǒng)達到預定目標所消耗的資源，一個效率高的信息系統(tǒng)能夠以盡量少的資源達到需要的目標；（5）保證信息系統(tǒng)的合規(guī)性合法性：信息系統(tǒng)及其運用必須遵守有關(guān)法律、法規(guī)和規(guī)章制度。5、信息系統(tǒng)審計的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計內(nèi)部控制系統(tǒng)包括一般控制系統(tǒng)（包含組織控制、系統(tǒng)開發(fā)控制、系統(tǒng)安全控制、硬件和系統(tǒng)軟件控制等方面）應用控制系統(tǒng)（輸入、處理、

5、輸出）；系統(tǒng)開發(fā)審計；應用程序?qū)徲嫞Q定了數(shù)據(jù)處理的合規(guī)性、正確性目的：一是測試應用控制系統(tǒng)的符合性；二是通過檢查程序運行和邏輯的正確性達到實質(zhì)性測試目的。測試應用控制的符合性是指對嵌入應用程序中的控制措施進行測試，看它們是否按設(shè)計要求在運行和起作用）；數(shù)據(jù)文件審計（目的：一是數(shù)據(jù)文件進行實質(zhì)性測試；而是通過數(shù)據(jù)文件的審計，測試一般控制或應用控制的復合型，但數(shù)據(jù)文件審計主要是為了實質(zhì)性測試）6、基本方法：繞過信息系統(tǒng)審計：基于黑箱（Blackbox）原理，審計人員不審查系統(tǒng)內(nèi)的程序和文件，只審查I/O數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。缺點：審計結(jié)果不太可靠、要求I/O聯(lián)系

6、緊密通過信息系統(tǒng)審計：基于黑箱（Blackbox）原理，審計人員不審查系統(tǒng)內(nèi)的程序和文件，只審查I/O數(shù)據(jù)及其管理制度。優(yōu)點：審計技術(shù)簡單、較少干擾被審系統(tǒng)。缺點：審計結(jié)果不太可靠、要求I/O聯(lián)系緊密。7、步驟：準備階段（明確審計任務、組成信息系統(tǒng)小組、了解被審系統(tǒng)的基本情況、制定信息系統(tǒng)審計方案、發(fā)出審計通知書）；實施階段（對被審計系統(tǒng)的內(nèi)部控制制度進行健全性調(diào)查和符合性測試、對張單證或數(shù)據(jù)文件的實質(zhì)性審查）；終結(jié)階段（整理歸納審計資料、撰寫審計報告（審計報告主要是對信息系統(tǒng)審計結(jié)果的綜合歸納，由審計小組撰寫）、發(fā)出審計結(jié)論和決定、審計資料的歸檔和檔案）8、國際信息系統(tǒng)審計原則：審計標準（是

7、整個信息系統(tǒng)準則體系的總綱，是制定審計指南和作業(yè)程序的基礎(chǔ)和依據(jù)）；審計指南（為審計標準的應用提供了指引，信息系統(tǒng)審計師在審計過程中應考慮如何應用指南以實現(xiàn)審計標準的要求，在應用過程中應靈活運用專業(yè)判斷并糾正任何偏離準則的行為）；作業(yè)程序（提供了信息系統(tǒng)審計師在審計過程中可能遇到的審計程序的示例）9、審計師應具備的素質(zhì)：（1）應具備的理論知識：傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學、行為科學理論（2）應具有的實踐技能：參加過不同類別的工作培訓，尤其是在組織采用和實施新技術(shù)時，此外也參加過組織內(nèi)部計劃的制定等；參與專業(yè)的機構(gòu)或廠商組織的研討會，動態(tài)掌握信息技術(shù)的新發(fā)展對審計時間的影響；具有理

8、解信息處理活動的各種技術(shù)，尤其是影響組織財務活動的技術(shù)，能夠與來自各領(lǐng)域的管理者、用戶、技術(shù)專家進行交流；理解并熟悉操作環(huán)境，評估內(nèi)部控制的有效性；理解現(xiàn)有與未來系統(tǒng)的技術(shù)復雜性，以及它們對各級操作與決策的影響；能使用技術(shù)的方法去識別技術(shù)的完整性；要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風險等；能夠提供審計集成服務并對審計員工提供指導，與財務審計師一起對公司財務狀況作出聲明；具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、實施后評估等；掌握網(wǎng)絡(luò)相關(guān)的安全事件、信息安全服務、災難恢復與業(yè)務持續(xù)計劃、異步傳輸模式等通信技術(shù)。10、IT治理德勤定義：IT治理是是一個含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商

9、業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務是保持IT與業(yè)務目標一致推動業(yè)務發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風險的適當管理。11、共同點：（1）IT治理必須與企業(yè)戰(zhàn)略目標一致，IT對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭。（2）IT治理保護利益相關(guān)者的權(quán)益，使風險透明化，知道和控制IT投資、機遇、利益、風險。（3）IT治理和其他治理主題一樣，是管理執(zhí)行人員和利益相關(guān)者的責任（以董事會為代表）（4）IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維持和拓展組織戰(zhàn)略目標（5）應該合理利用企業(yè)的信息資源，有效地進程與協(xié)調(diào)。（6）確保IT戰(zhàn)略及時按照目標交付，有合適的功能和

10、期望的收益，是一個一致性和價值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段。（7）引導IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)構(gòu)架，保證業(yè)務增長，并在一個新的領(lǐng)域競爭。（8）對于核心IT資源做出合理的決策，進入新的市場，驅(qū)動競爭策略，創(chuàng)造總的收入增長,改善客戶滿意度，維系客戶關(guān)系。12、IT管理是公司的信息及信息系統(tǒng)的運營，確定IT目標以及實現(xiàn)此目標所采取的行動。IT治理是指最高管理層（董事會）利用它來監(jiān)督管理層在IT戰(zhàn)略上的過程、結(jié)構(gòu)和聯(lián)系，以確保這種運營處于正確的軌道之上。IT治理規(guī)定了整個企業(yè)IT運行的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標。13

11、、公司治理和IT治理：公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動和調(diào)整IT治理。IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，是公司治理的重要功能。14、ITIL:信息技術(shù)基礎(chǔ)構(gòu)架庫；COBIT:信息和相關(guān)技術(shù)的控制目標；BS7799：國際安全管理標準體系；PRINCE2是一種對項目管理的某些特定方面提供支持的方法。15、IT治理成熟度模型：不存在（0級）、初始級（1級）、可重復級（2級）、已定義級（3級）、已管理級（4級）、優(yōu)化級（5級）作用:IT治理成熟度模型制定了一個基準，組織可能根據(jù)上面的指標確定自己的等級，從而了解自身的境界。在此基礎(chǔ)上確定組織的關(guān)鍵成功因素，通過關(guān)鍵績效指標進

12、行監(jiān)控，并衡量組織是否能達到關(guān)鍵目標指標中所設(shè)定的目標。16、信息系統(tǒng)內(nèi)部控制：一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。17、一般控制系統(tǒng)：范圍：應用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。對象：應為除信息系統(tǒng)應用程序以外的其他部分?；灸繕耍罕ＷC數(shù)據(jù)安全、保護計算機應用程序、防止系統(tǒng)被非法侵入、保證在意外情況下的持續(xù)運行等。18、良好的一般控制是應用控制的基礎(chǔ)。如果一般控制審計結(jié)果很差，應用控制審計就沒有進行的必要。19、審計邏輯訪問安全策略：此策略

13、應當為邏輯訪問建立“知所必需”的原則，并合理評估在訪問過程中暴露的風險。20、審查離職員工的訪問控制：一般來說，員工離職的情況主要有請辭、聘用合同期滿和非自愿離職三種。對于非自愿離職的員工，組織應當在接觸其職務之前，及時收回或嚴格限制其對組織信息資源的訪問權(quán)，使其不能繼續(xù)訪問組織的機密信息，或使其不能破壞組織有價值的信息資產(chǎn)。如果對于這類員工還需要保留一部分訪問權(quán)，必須得到相關(guān)管理層批準，并對其進行嚴格的監(jiān)督。對其他兩種離職的員工，由管理層批準是否保留他們的訪問權(quán)，這取決于每一種人所處的特定環(huán)境、員工所訪問IT資產(chǎn)的敏感程度以及組織的信息安全策略、標準和程序的要求。21、系統(tǒng)訪問：通過某種途徑

14、允許或限制對網(wǎng)絡(luò)資源（軟件和硬件）和數(shù)據(jù)（存儲的和通信的）的訪問能力及范圍。邏輯訪問控制：通過一定的技術(shù)方法控制用戶可以利用什么樣的信息，可以運行什么程序與事務，可以修改什么信息與數(shù)據(jù)。物理訪問控制：限制人員進出敏感區(qū)域。對極端及信息的物理訪問與邏輯訪問應當建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式書面文件記錄下來，作為信息安全的重要文件加以妥善管理。22、身份識別與驗證：（賬號與口令，令牌設(shè)備，生物測定技術(shù)與行為測定技術(shù)）“只有你知道的事情”賬號與口令，賬號的控制、口令的控制；“只有你擁有的東西”令牌設(shè)備，發(fā)送許可權(quán)的特殊

15、消息或一次性口令的設(shè)備；“只有你具有的特征”生物/行為測定，指紋、虹膜等和簽名等。23、邏輯訪問授權(quán)：一般情況下，邏輯訪問控制基于最小授權(quán)原則，只對因工作需要訪問信息系統(tǒng)的人員進行必要的授權(quán)，當用戶在組織變換工作角色時，在賦予他們新訪問權(quán)限時，一般沒有及時取消舊的訪問權(quán)限，這回產(chǎn)生訪問控制上的風險。所以當員工職位有變動時，信息系統(tǒng)審計是要及時審核訪問控制列表是否做了有效變更。24、BCP一般包括業(yè)務持續(xù)性計劃（BCP）、業(yè)務恢復計劃（BRP）、連續(xù)作業(yè)計劃（COOP）、持續(xù)支持計劃/IT應急計劃、危機通信計劃、事件響應計劃、災難恢復計劃（DRP）、場所應急計劃（OEP）25、數(shù)據(jù)備份：完全備份

16、、增量備份、差分備份等26、信息系統(tǒng)審計針對災難恢復與業(yè)務連續(xù)性計劃，其主要任務是理解預評價組織的業(yè)務連續(xù)性策略，及其與組織業(yè)務目標的符合性；參考相應的標準和法律法規(guī)，評估該計劃的充分性和實效性；審核信息系統(tǒng)及終端用戶對計劃所做測試的結(jié)果，驗證計劃的有效性；審核異地存儲設(shè)施及其內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當性；通過審核應急措施、員工培訓、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應能力；確認組織對業(yè)務持續(xù)性計劃的維護措施存在并有效。27、應用控制市委適應各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制?？蓪每刂苿澐譃檩斎肟刂?、處理控制和輸

17、出控制。應用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。28、信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進行的審計，審計的目的一是要檢查開發(fā)的方法、程序是否科學，是否含有恰當?shù)目刂?；二是要檢查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料室否規(guī)范。29、系統(tǒng)開發(fā)過程審計：遵守標準與流程；有效的操作；使系統(tǒng)合乎法律要求；必要的控制，預防可能的損失及嚴重錯誤；為管理層、信息系統(tǒng)審計師、操作人員提供必要的審計軌跡；系統(tǒng)文檔，便于系統(tǒng)維護與審計。30、軟件維護的種類：糾錯性維護、適應性維護、完善性維護、預防性維護31、ITIL:六個主要模塊:服務管理(servicemanagement)、業(yè)務管理(busines

18、smanagement)、信息與通信技術(shù)基礎(chǔ)設(shè)施管理(ICTinfrastructure)、應用管理(applicationmanagement)、IT服務管理實施規(guī)劃、安全管理(securitymanagement)32、服務管理模塊：面向IT基礎(chǔ)設(shè)施管理的服務支持和面向業(yè)務管理的服務提供。IT服務提供流程主要面對付費的機構(gòu)和個人客戶，負責為客戶提供高質(zhì)量、低成本的IT服務。它的任務是根據(jù)組織的業(yè)務需求，對服務能力、持續(xù)性、可用性等服務級別目標進行規(guī)劃和設(shè)計，同時，還必須考到這些服務目標所需要好費電成本。IT服務主要包括服務水平管理、IT服務財務管理、能力管理、IT服務持續(xù)性管理和可用性管理五個服務管理流程。IT服務支持的服務支持流程主要面向終端用戶，責任確保IT服務的穩(wěn)定性與靈活性，用于確保終端用戶得到適當?shù)姆?，以支持組織的業(yè)務功能。服務支持流程包括體現(xiàn)服務接觸和溝通的服務臺職能和五個運作層次的流程，即配置管理、事故管理、問題管理、變更管理和發(fā)布管理等。33、應用程序?qū)徲?/p>