第四章信息系統(tǒng)審計課件

第四章信息系統(tǒng)審計第四章信息系統(tǒng)審計第一節(jié)信息系統(tǒng)審計概述一、信息系統(tǒng)審計的內(nèi)涵

信息系統(tǒng)審計是對被審計單位用于經(jīng)營決策、業(yè)務處理、財務核算的計算機信息系統(tǒng)及與之相關(guān)的規(guī)劃、建設(shè)、管理、使用制度的審計。二、信息系統(tǒng)審計的目標（一）總目標：通過對信息系統(tǒng)合法性、可靠性、安全性和有效性的審計，對被審計單位信息系統(tǒng)做出評價。第一節(jié)信息系統(tǒng)審計概述一、信息系統(tǒng)審計的內(nèi)涵（二）具體目標評價電子數(shù)據(jù)的真實性、完整性分析信息系統(tǒng)的薄弱環(huán)節(jié)發(fā)現(xiàn)信息系統(tǒng)的非法功能和漏洞三、信息系統(tǒng)審計的基本流程信息系統(tǒng)調(diào)查信息系統(tǒng)控制測試信息系統(tǒng)初步評價信息系統(tǒng)分析測試信息系統(tǒng)綜合評價（二）具體目標調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信賴嗎？測試和評價補償控制實質(zhì)性測試全面評價編制審計報告退出審計提出管理建議審計結(jié)束否否內(nèi)部控制的詳細審查與評價計算機信息系統(tǒng)審計流程調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進行全面、深入地了解，是進行信息系統(tǒng)審計的基礎(chǔ)。一、了解管理體制從總體上把握被審計單位信息系統(tǒng)管理的基本情況。調(diào)查內(nèi)容包括：信息系統(tǒng)的工作程序信息系統(tǒng)等相關(guān)部門信息系統(tǒng)的管理情況第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計二、了解總體架構(gòu)完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。調(diào)查內(nèi)容包括：信息系統(tǒng)的分布情況信息系統(tǒng)的主要類型和數(shù)量各信息系統(tǒng)之間的關(guān)系信息系統(tǒng)的總體水平實質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：（1）關(guān)聯(lián)關(guān)系：不同環(huán)節(jié)的系統(tǒng)包含的數(shù)據(jù)反映生產(chǎn)的不同方面，相互補充。（2）核對關(guān)系：同處關(guān)鍵環(huán)節(jié)都不同系統(tǒng)，其包含的數(shù)據(jù)存在鉤稽關(guān)系，相互印證。繪制完整、詳細的信息系統(tǒng)分布圖是了解總體架構(gòu)時常用的方法。二、了解總體架構(gòu)實質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：繪制完整、詳細的三、了解規(guī)劃管理對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。

調(diào)查內(nèi)容包括：信息系統(tǒng)的規(guī)劃信息系統(tǒng)的建設(shè)信息系統(tǒng)的使用信息系統(tǒng)的維護三、了解規(guī)劃管理第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信息系統(tǒng)的內(nèi)部控制可靠性而進行的審計工作。一、信息系統(tǒng)的內(nèi)部控制根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為：●一般控制；●應用控制。第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信（一）一般控制是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或功能模塊具有普遍影響的控制措施。

可具體劃分為：1、組織控制：為實現(xiàn)組織的目標而進行的組織結(jié)構(gòu)設(shè)計、權(quán)責安排和制度設(shè)計。它包括如下具體控制措施：（1）電算部門與用戶部門的職責分離一般來說，應注意：所有業(yè)務均應由用戶部門發(fā)起或授權(quán)電算部門不應負責資產(chǎn)的保管所有業(yè)務記錄與主文件記錄的改變均需用戶部門授權(quán)所有系統(tǒng)的改進、新系統(tǒng)的應用及控制均應由受益部門發(fā)起并經(jīng)高管授權(quán)，電算部門無權(quán)擅自修改程序。（一）一般控制（2）電算部門內(nèi)部的職責分離對系統(tǒng)開發(fā)與數(shù)據(jù)處理職責應該分離對數(shù)據(jù)處理的職責進行適當分離（如憑證輸入與審核）資料保管員與程序員、系統(tǒng)操作員等職責分離（3）業(yè)務授權(quán)

所有由電算化系統(tǒng)處理的業(yè)務都應經(jīng)過授權(quán)（4）人事控制

包括：各人工作性質(zhì)的說明；人員的選擇和培訓；對人的行為的監(jiān)督和評價；崗位輪換；休假和合同簽訂。（5）領(lǐng)導與監(jiān)督

建立內(nèi)部審計機構(gòu)（2）電算部門內(nèi)部的職責分離2、系統(tǒng)開發(fā)與維護控制主要適用于那些自行設(shè)計軟件的單位。（1）開發(fā)計劃控制系統(tǒng)開發(fā)計劃應經(jīng)過嚴格審查、仔細研究和反復調(diào)查后方可實施;軟件需求分析（2）開發(fā)過程的人員控制應成立信息系統(tǒng)開發(fā)工作領(lǐng)導小組，負責總體規(guī)劃由系統(tǒng)分析員負責對原有系統(tǒng)進行調(diào)查分析系統(tǒng)的測試和試行應交由專門的測試人員或操作人員完成內(nèi)部審計人員應參與信息系統(tǒng)的開發(fā)2、系統(tǒng)開發(fā)與維護控制（3）系統(tǒng)設(shè)計控制合規(guī)合法性控制正確性控制安全可靠性控制效率性控制可維護性控制（4）編程控制

即控制編程風險，主要方法是測試。測試技術(shù)包括：靜態(tài)測試：一種人工方法，通過對程序的反復閱讀或?qū)α鞒虉D的檢查來發(fā)現(xiàn)錯誤。動態(tài)測試：“白盒”測試和“黑盒”測試試運行:試運行3-6個月，驗收后才能正式投入使用。（3）系統(tǒng)設(shè)計控制（5）系統(tǒng)維護控制系統(tǒng)的日常維護系統(tǒng)功能的改進和擴充（批準和授權(quán)）注意：（1）維護人員應獨立于系統(tǒng)操作人員，最好也能獨立于系統(tǒng)開發(fā)員。（2）實用的系統(tǒng)中只保留經(jīng)編譯的程序。（6）文檔控制文檔編寫的規(guī)范化文檔管理的系統(tǒng)化文檔管理的制度化注意：文檔資料不全，系統(tǒng)不能通過驗收。（5）系統(tǒng)維護控制3、安全控制這些控制措施可以保證系統(tǒng)有一個良好的運行環(huán)境。（1）接觸控制硬件接觸控制程序資料接觸控制數(shù)據(jù)文件及應用程序接觸控制聯(lián)機系統(tǒng)接觸控制（2）環(huán)境安全控制這是一種預防性控制。（3）安全保密控制常見方法：對軟件進行加密（4）防病毒控制3、安全控制4、硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應有一套完整的管理制度，包括上機守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。4、硬件及系統(tǒng)軟件控制（二）應用控制應用控制是為適應各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制。包括：1、輸入控制

保證只有經(jīng)過授權(quán)批準的業(yè)務才能輸入計算機信息系統(tǒng)；保證經(jīng)批準的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機拒絕的錯誤數(shù)據(jù)能改正后重新提交。（1）數(shù)據(jù)采集控制例如：建立明確的憑證編制程序；制定工作手冊；合理設(shè)置使用控制總數(shù)等（2）數(shù)據(jù)輸入控制

例如：編制數(shù)據(jù)輸入工作內(nèi)容、方法及程序要求的書面文件、事先設(shè)計規(guī)定數(shù)據(jù)格式、數(shù)據(jù)輸入核對等。（二）應用控制2、處理控制對信息系統(tǒng)進行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控制措施往往被寫入計算機程序，因此，處理控制往往又是自動控制。（1）審核處理輸出（2）進行數(shù)據(jù)有效性檢驗（3）進行處理有效性檢測（4）錯誤糾正控制（5）保留審計線索（6）斷點技術(shù)2、處理控制3、輸出控制（1）控制只有經(jīng)批準的人才能執(zhí)行輸出操作，并要登記操作記錄。（2）報表打印輸出前檢查應有的勾稽關(guān)系。（3）經(jīng)有關(guān)人員檢查后簽章才送出使用或按會計檔案的要求保管，未經(jīng)批準的人不得接觸系統(tǒng)的輸出資料。（4）對敏感的重要輸出資料應有人監(jiān)督整個操作過程，輸出后立即送到使用者手中。（5）打錯作廢的機密資料應即時銷毀或用碎紙機切成碎片后才放進廢紙箱。（6）要防止有人竄改打印隊列文件內(nèi)的數(shù)據(jù)。（7）輸出資料的使用者發(fā)現(xiàn)資料上有錯誤、可疑之處應報告系統(tǒng)管理員。3、輸出控制二、關(guān)于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相關(guān)技術(shù)的控制目標。是由美國信息系統(tǒng)審計與控制學會ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前國際上通用的信息系統(tǒng)審計的標準，是一個在國際上公認的、權(quán)威的安全與信息技術(shù)管理和控制的標準。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關(guān)的風險。二、關(guān)于COBIT（一）COBIT的發(fā)展歷程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初單一的審計師的內(nèi)控評價工具發(fā)展到目前系統(tǒng)的IT治理框架。（一）COBIT的發(fā)展歷程（二）COBIT信息技術(shù)的控制目標

COBIT將信息技術(shù)的控制目標設(shè)定為七個：（1）有效性（Effectiveness）：是指信息與商業(yè)過程相關(guān)，并以及時、準確、一致和可行的方式傳送。（2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟）利用資源來提供信息。（3）機密性（Confidentiality）：涉及對敏感信息的保護，以防止未經(jīng)授權(quán)的披露（4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評價和期望相一致（二）COBIT信息技術(shù)的控制目標（5）可用性（Availability）：指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對必要的資源和相關(guān)性能的維護。（6）符合性（Compliance）：遵守商業(yè)運作過程中必須遵守的法律、法規(guī)和契約條款，如外部強制商業(yè)標準。（7）信息可靠性（ReliabilityofInformation）：為管理者的日常經(jīng)營管理以及履行財務報告責任提供適當?shù)男畔?。?）可用性（Availability）：指在現(xiàn)在和將來的商（三）COBIT的體系結(jié)構(gòu)

COBIT將IT過程，IT資源與企業(yè)的策略與目標（準則）聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。企業(yè)策略維IT資源維IT過程維

策略維集中反映了企業(yè)的戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；（三）COBIT的體系結(jié)構(gòu)企業(yè)策略維IT資源維IT過程維企業(yè)策略維IT資源維IT過程維

IT資源維主要包括以人、應用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過程的主要對象；企業(yè)策略維IT資源維IT過程維IT資源維主要包括以企業(yè)策略維IT資源維IT過程維

IT過程維則是在IT準則的指導下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。企業(yè)策略維IT資源維IT過程維IT過程維則是在IT準則三、控制測試★一般控制的測試審計目標：獲取證據(jù)，以證實被審計單位在被審計期間有關(guān)的制度和規(guī)程是否健全；計算機信息系統(tǒng)是否按規(guī)定的制度和規(guī)程工作的；控制的作用是否達到預期的結(jié)果。三、控制測試（一）對組織控制的測試1、測試關(guān)鍵點：完整獲取被審單位工作規(guī)章制度和員工管理制度。2、測試方法：（1）閱讀工作規(guī)章制度和員工管理制度，檢查有關(guān)政策程序是否存在；（2）與被審計單位管理層交談，了解組織結(jié)構(gòu)及部門設(shè)置等情況；（3）向相關(guān)部門人員詢問，確定信息系統(tǒng)的使用狀況；（4）實地觀察業(yè)務的處理和系統(tǒng)的操作，關(guān)注職責分離情況。（一）對組織控制的測試（二）對系統(tǒng)開發(fā)與維護控制的測試1、測試關(guān)鍵點：對信息系統(tǒng)開發(fā)和維護管理制度完善性的檢查。2、測試方法：（1）查閱內(nèi)審人員審查系統(tǒng)開發(fā)和維護工作的工作底稿；（2）了解系統(tǒng)的測試方法，查閱測試的數(shù)據(jù)和結(jié)果；（3）關(guān)注系統(tǒng)試運行階段的運行情況，查實系統(tǒng)在正式投入使用時是否經(jīng)過最后的授權(quán)批準；（4）檢查信息系統(tǒng)是否編有完整的文檔資料，并查閱這些資料，將其復印下來作為審計工作底稿以備用。（5）若是再次審計，則不必審查系統(tǒng)的開發(fā)和測試，只需審查自上次審計以來系統(tǒng)所作的維護改進。查實修改是否經(jīng)過批準；修改后是否經(jīng)過測試；有無對修改作詳細的文檔記錄。（二）對系統(tǒng)開發(fā)與維護控制的測試（三）對系統(tǒng)安全控制的測試1、測試關(guān)鍵點：對信息系統(tǒng)運行環(huán)境、管理制度安全性的檢查。2、測試方法：（1）實地觀察信息系統(tǒng)的運行環(huán)境；（2）檢查預防災害（防火、防水、防塵、防潮）的控制措施；（3）檢查預防電源變化的控制措施；（4）檢查預防計算機病毒侵害的措施；（5）實地觀察以證實只有經(jīng)過授權(quán)的人才能接觸系統(tǒng)的設(shè)備和資料。（6）確定只有經(jīng)過授權(quán)的人員才可能獲得密碼的使用權(quán)。（三）對系統(tǒng)安全控制的測試（四）對系統(tǒng)硬件和軟件控制的測試硬件和系統(tǒng)軟件是由計算機廠商提供的，一般來說，其功能和控制時較可靠的。它們的審查一般與整個計算機信息系統(tǒng)的處理和控制功能審查一起執(zhí)行，較少單獨審查。當系統(tǒng)軟件有多種可選擇的功能和控制時，審計人員應注意被審計單位選擇了哪些功能，是否充分利用了其控制。

硬件、系統(tǒng)軟件功能和控制的審查要利用計算機輔助審計。（四）對系統(tǒng)硬件和軟件控制的測試（五）對操作控制的測試1、測試關(guān)鍵點：對數(shù)據(jù)資源的使用環(huán)境和數(shù)據(jù)資源的操作管理制度完善性的檢查。2、測試方法：（1）檢查有無操作管理制度并閱讀有關(guān)制度確定是否規(guī)范；（2）實地察看操作人員的操作情況，是否按照操作手冊中規(guī)定的操作步驟進行操作；（3）檢查操作人員的分工以及錯誤的處理和更正程序是否符合內(nèi)部控制的原則；（4）檢查是否存在詳細的操作日志記錄，確定記錄的完整性和恰當性；（5）檢查當系統(tǒng)出現(xiàn)異常情況時，有無及時恢復系統(tǒng)操作的方法。（五）對操作控制的測試★應用控制的審計審計目標：獲取證據(jù)，以證實被審計單位是否存在相應的技術(shù)措施來保證數(shù)據(jù)的正確性、合理性、安全性和完整性；應用系統(tǒng)本身是否存在漏洞和功能缺陷；評價信息系統(tǒng)的可靠性、效果和效率?！飸每刂频膶徲嫞ㄒ唬斎肟刂频膶徲?、測試關(guān)鍵點：對輸入程序技術(shù)性控制措施的檢查。2、測試方法：（1）了解信息系統(tǒng)的輸入程序，對輸入操作的控制進行檢查，確定操作人員已獲取授權(quán)；（2）實施分析程序，確定輸入數(shù)據(jù)的正確性、合理性、完整性；審計人員輸入不正確的數(shù)據(jù)，系統(tǒng)是否提示輸入出錯并拒絕接收；信息系統(tǒng)是否提供復核功能，系統(tǒng)僅接收輸入與復核完全一致的數(shù)據(jù)；對比分析輸入的數(shù)據(jù)與系統(tǒng)其他數(shù)據(jù)是否滿足一定的勾稽關(guān)系；（3）檢查輸入界面，是否簡單、清晰、具有可操作性；（4）詢問系統(tǒng)操作員對錯誤業(yè)務的處理方法；（5）抽查被審期間的出錯業(yè)務，跟蹤檢查其改正和重新提交過程，以證實有關(guān)控制措施的有效性。（一）對輸入控制的審計（二）對處理控制的審計1、測試關(guān)鍵點：對信息系統(tǒng)處理程序的控制措施的檢查。2、測試方法：（1）對信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果正確性、完整性和合理性的控制進行檢查；閱讀信息系統(tǒng)設(shè)計說明書，確定系統(tǒng)存在有關(guān)的自動檢查功能；詢問系統(tǒng)設(shè)計或操作人員，系統(tǒng)的處理過程是否正常且一貫；獲取系統(tǒng)數(shù)據(jù)處理的流程圖，檢查其合理性、完整性；審計人員模擬一個不滿足處理條件的數(shù)據(jù)，系統(tǒng)是否能提示出錯并拒絕處理；測試數(shù)據(jù)法和數(shù)據(jù)驗證法的使用。（2）對信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果安全性的控制進行檢查。（二）對處理控制的審計（三）對輸出控制的審計1、測試關(guān)鍵點：對信息系統(tǒng)輸出程序的正確性、完整性和及時性及安全性進行檢查。2、測試方法：（1）了解系統(tǒng)的輸出資料是如何處置的，有無健全的檢查、保管和分發(fā)制度；（2）實地觀察系統(tǒng)的輸出情況，跟蹤輸出的資料的分發(fā)和保管；（3）檢查輸出信息的安全性控制，包括是否有人負責審視輸出資料，是否有人核對輸入輸出控制總數(shù)等；（4）通過咨詢和察看對輸出信息的格式進行檢查；（5）詢問并檢查輸出的信息是否能夠滿足使用部門的需要。（三）對輸出控制的審計★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應用（一）控制矩陣概述（controlmatrix）控制矩陣是一個控制目標及其相關(guān)控制措施的列表。包括三個基本的元素：（1）控制目標。分為經(jīng)營系統(tǒng)的控制目標和信息系統(tǒng)的控制目標兩類。（2）控制措施。指為了確保系統(tǒng)目標的實現(xiàn)所應采取的各種合理、有效的控制措施。（3）單元內(nèi)容。在控制矩陣中，位于某項控制措施和控制目標的行和列的交匯處的矩形方框，稱為單元。其內(nèi)容為是否打勾。★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應用（二）控制矩陣的編制方法◆

基本表的編制1．對系統(tǒng)進行全面、透徹的分析和深入的了解。了解和分析的內(nèi)容包括系統(tǒng)的功能、任務、目標、業(yè)務處理的程序、步驟以及易發(fā)生錯誤和舞弊的環(huán)節(jié)?？赏ㄟ^分析系統(tǒng)流程圖、數(shù)據(jù)流程圖、功能結(jié)構(gòu)圖及對系統(tǒng)的有關(guān)文字描述等方面而得出。2．定出系統(tǒng)控制目標。包括經(jīng)營系統(tǒng)的控制目標和信息系統(tǒng)的控制目標3．在對現(xiàn)有的信息系統(tǒng)進行調(diào)查分析的基礎(chǔ)上，列出系統(tǒng)現(xiàn)有的控制措施。4．根據(jù)每一項措施對那些控制目標所起作用，在相應的單元中打上"√"。（二）控制矩陣的編制方法◆

表的完善5．分析這些單元內(nèi)容所反映的狀況判斷控制系統(tǒng)是否恰當?shù)貙λ械目刂颇繕诉M行了必要的控制，把分析結(jié)果填入“原有控制措施分析底稿”上，最后反復推敲，提出處置建議，填入分析底稿的處置建議欄。6．擴充控制矩陣的行數(shù)，增加修改后的控制措施欄，填入修改后的控制措施，并根據(jù)每一項措施針對的控制目標，在相應的單元中打"√"。7．針對系統(tǒng)控制的不足，提出需增加的控制措施，擴充控制矩陣填入新增加的措施，并根據(jù)每一項措施針對的控制目標，在相應的單元中打"√"。8．最后，在控制矩陣的底部，對需要說明的事項（如控制目標的詳細內(nèi)容等）以注釋的形式進行詳細的說明?！舯淼耐晟疲ㄈ┛刂凭仃嚨淖饔煤褪褂梅椒?．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的有效性、完整性。通過控制矩陣，可以很明了地看出現(xiàn)有控制系統(tǒng)的每一項目標是否都有控制措施來加以保證，從而便于我們對現(xiàn)有控制系統(tǒng)的有效性、完整性做出評價。2．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的控制效率。當系統(tǒng)中的某項控制措施對多項控制目標有效時，則可定性地認為該控制措施是經(jīng)濟、高效、符合成本效益原則的。3．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)所存在的優(yōu)缺點，以利于我們對控制系統(tǒng)進一步加以改進、完善。那些系統(tǒng)不可或缺的控制措施和能同時對多個目標起作用的控制措施，構(gòu)成原有控制系統(tǒng)的主要優(yōu)點。那些過分控制、控制不足或不符合成本效益原則的控制措施構(gòu)成原有控制系統(tǒng)的基本缺點；（三）控制矩陣的作用和使用方法（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計步驟1．通過調(diào)查詢問、查閱系統(tǒng)的文檔資料、跟蹤系統(tǒng)的一些業(yè)務處理等了解計算機信息系統(tǒng)現(xiàn)有的內(nèi)部控制，包括一般控制、應用控制，并用文字描述法、內(nèi)部控制問卷法或流程圖法記錄與描述系統(tǒng)的內(nèi)部控制。2．根據(jù)對系統(tǒng)控制的了解畫出系統(tǒng)的控制矩陣。3．分析控制矩陣，對各控制目標是否有完善的控制措施、已有的控制措施是否恰當進行中肯的評價和提出恰當?shù)慕ㄗh。（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計步驟4．根據(jù)上述建議修改、完善原控制矩陣。5．對系統(tǒng)原有的必要控制措施進行符合性審計，確定這些控制的有效性。6．對系統(tǒng)的內(nèi)部控制提出審計意見，包括對系統(tǒng)內(nèi)部控制（包括控制的強點與薄弱環(huán)節(jié)）的評價和改進的建議（包括應增加與強化的控制和可減少的重復控制）。4．根據(jù)上述建議修改、完善原控制矩陣。第四節(jié)信息系統(tǒng)初步評價信息系統(tǒng)初步評價是對系統(tǒng)調(diào)查和控制測試的系統(tǒng)分析,評價的主要內(nèi)容包括三個方面:●信息系統(tǒng)安全性●信息系統(tǒng)包含數(shù)據(jù)的真實、完整性●信息系統(tǒng)中的薄弱點第四節(jié)信息系統(tǒng)初步評價信息系統(tǒng)初步評價是對系統(tǒng)調(diào)一、信息系統(tǒng)的安全性1、審計人員應評價系統(tǒng)運行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性，包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲的安全性。2、對系統(tǒng)安全性的評價主要依據(jù)系統(tǒng)調(diào)查和控制測試掌握的情況來完成，信息系統(tǒng)分析測試中將不再涉及此項工作內(nèi)容，因此，信息系統(tǒng)初步評價中對信息系統(tǒng)安全性的評價將直接在信息系統(tǒng)綜合評價中反映。一、信息系統(tǒng)的安全性二、信息系統(tǒng)包含數(shù)據(jù)的真實性、完整性1、審計人員應通過對信息系統(tǒng)功能及相關(guān)制度的關(guān)注，評價信息系統(tǒng)中包含電子數(shù)據(jù)的真實性、完整性。2、電子數(shù)據(jù)真實性、完整性評價是計算機數(shù)據(jù)審計中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗證方法選擇、數(shù)據(jù)分析重點確定的重要依據(jù)。二、信息系統(tǒng)包含數(shù)據(jù)的真實性、完整性三、信息系統(tǒng)中的薄弱點1、審計人員應指出系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運行管理控制等方面存在的薄弱環(huán)節(jié)。2、發(fā)現(xiàn)信息系統(tǒng)的薄弱點是為被審計單位改進管理，防范風險提出合理化建議的需要，也是為計算機數(shù)據(jù)審計確定重點的需要。三、信息系統(tǒng)中的薄弱點第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標是發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞、功能的不足以及可能存在的非法模塊?！窆δ芊治觥裉幚磉壿嫹治觥駭?shù)據(jù)對比分析●數(shù)據(jù)追蹤分析第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標一、功能分析

目的：分析系統(tǒng)功能上存在的不足。有時也稱之為功能審計。重點：對業(yè)務的特點和需求有清晰的認識，也可通過信息系統(tǒng)的使用情況來分析信息系統(tǒng)功能能否滿足業(yè)務需求。一、功能分析二、處理邏輯分析目的：對信息系統(tǒng)處理數(shù)據(jù)來源是否正當、數(shù)據(jù)處理方法是否科學合法的分析。包含的內(nèi)容：（1）信息系統(tǒng)的數(shù)據(jù)來源；（2）信息系統(tǒng)的數(shù)據(jù)處理過程，包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程；（3）信息系統(tǒng)的數(shù)據(jù)流向。核心：對信息系統(tǒng)數(shù)據(jù)處理方法是否科學合法的分析。二、處理邏輯分析三、數(shù)據(jù)對比分析包含的內(nèi)容：（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況；（2）結(jié)合數(shù)據(jù)審計，篩選問題線索；（3）對比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問題線索，查找信息系統(tǒng)自身存在的問題。重點：依據(jù)計算機數(shù)據(jù)審計中發(fā)現(xiàn)的問題線索，反推信息系統(tǒng)存在的問題，這是信息系統(tǒng)審計和計算機數(shù)據(jù)審計的重要結(jié)合點。三、數(shù)據(jù)對比分析四、數(shù)據(jù)追蹤分析目的：通過選取典型數(shù)據(jù)，追蹤處理結(jié)果，進而判斷系統(tǒng)處理的功能是否正確有效。包含的步驟：（1）了解信息系統(tǒng)應有的處理和控制功能；（2）針對系統(tǒng)應用的特點，選取部分典型數(shù)據(jù)；（3）跟蹤數(shù)據(jù)處理過程和處理結(jié)果；（4）分析數(shù)據(jù)處理結(jié)果的差異原因。重點：選取典型數(shù)據(jù)，選擇的數(shù)據(jù)既要符合該系統(tǒng)處理的數(shù)據(jù)的特點，又要具有突出的特征能夠發(fā)現(xiàn)問題。四、數(shù)據(jù)追蹤分析五、常用的方法測試數(shù)據(jù)法受控處理法整體測試法平行模擬法程序比較法五、常用的方法(一)測試數(shù)據(jù)法

測試數(shù)據(jù)法——將一組針對系統(tǒng)應有功能而設(shè)計的測試數(shù)據(jù)輸入被審的系統(tǒng)進行處理，將處理的結(jié)果與應有的正確結(jié)果進行比較，進而判斷系統(tǒng)處理的處理與控制功能是否正確有效的一種系統(tǒng)功能審查方法。檢測業(yè)務數(shù)據(jù)被審程序手工處理被審程序處理結(jié)果預期結(jié)果比較核對(一)測試數(shù)據(jù)法檢測業(yè)務數(shù)據(jù)被審程序手工處理被審程序采用測試數(shù)據(jù)法進行審查的步驟:1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應有的處理和控制功能。2．針對系統(tǒng)應有的功能設(shè)計測試業(yè)務數(shù)據(jù)，并根據(jù)系統(tǒng)應有的功能準備這些業(yè)務處理應有的正確結(jié)果（又稱預期結(jié)果）。3．在專門的測試時間里，把測試數(shù)據(jù)輸入被審系統(tǒng)處理，得到處理結(jié)果。4．把實際的處理結(jié)果和預期的正確結(jié)果進行比較，進而判斷系統(tǒng)的功能是否正確有效。采用測試數(shù)據(jù)法進行審查的步驟:測試數(shù)據(jù)的準備:1.測試數(shù)據(jù)應包括下列兩大類：（１）正常的、無誤的業(yè)務數(shù)據(jù)。它們用于審查系統(tǒng)的業(yè)務與信息處理功能是否恰當。（２）有錯漏、不完整、不合理、不正常的業(yè)務數(shù)據(jù)。它們用于審查系統(tǒng)的控制功能是否存在和有效。2.在準備測試業(yè)務數(shù)據(jù)時，審計人員要注意系統(tǒng)功能的覆蓋。測試數(shù)據(jù)的準備:應用測試數(shù)據(jù)法要注意的問題：1.要注意證實被審查的應用程序是被審單位現(xiàn)時真正使用的程序版本。2.此方法只能證明在處理測試數(shù)據(jù)時系統(tǒng)的功能是否正確，但它不能保證其他期間系統(tǒng)的功能是否正確、可靠。應用測試數(shù)據(jù)法要注意的問題：測試數(shù)據(jù)法的優(yōu)缺點1.優(yōu)點：適用范圍廣，應用簡單易行，對審計人員的計算機技術(shù)水平要求不高。2缺點：可能不能發(fā)現(xiàn)程序中所有的錯弊。測試數(shù)據(jù)法的優(yōu)缺點（二）受控處理法受控處理法——審計人員通過監(jiān)控系統(tǒng)對各類真實業(yè)務的處理并檢查其處理結(jié)果，進而判斷系統(tǒng)功能是否正確。（二）受控處理法受控處理法——審計人員通過監(jiān)控系采用受控處理法進行審查的步驟1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應有的處理和控制功能。2．在系統(tǒng)正常的運行中，審計人員監(jiān)控系統(tǒng)對各類真實業(yè)務的處理，取得相應的處理結(jié)果；同時，審計人員根據(jù)正確的處理原則對相應的業(yè)務處理，得到正確的處理結(jié)果。3．把系統(tǒng)處理結(jié)果與正確結(jié)果比較，從而判斷被審系統(tǒng)功能是否正確有效。采用受控處理法進行審查的步驟受控處理法的優(yōu)缺點:1.優(yōu)點：簡單、易行，不用準備測試數(shù)據(jù)，對審計人員的計算機技術(shù)水平要求不高。2.缺點：在某一時間里，真實業(yè)務可能不能覆蓋系統(tǒng)的所有功能，此方法可能不能發(fā)現(xiàn)系統(tǒng)存在的所有問題。受控處理法的優(yōu)缺點:解決真實業(yè)務不能覆蓋系統(tǒng)功能的方法1.審計人員應詳細了解被審單位的各類真實業(yè)務發(fā)生和處理的時間，根據(jù)實際情況確定測試日期。測試可以安排在多個不同的工作日，甚至持續(xù)一段時間。2.對于系統(tǒng)的控制功能，常要通過一些不完整、不正常、不合理的業(yè)務輸入系統(tǒng)進行檢查。解決真實業(yè)務不能覆蓋系統(tǒng)功能的方法(三)整體測試法(ITF)整體測試法——根據(jù)系統(tǒng)是用同一應用程序處理各分公司（或部門、或其他個體）業(yè)務的原理，通過審查系統(tǒng)對虛構(gòu)公司測試業(yè)務的處理結(jié)果來判斷系統(tǒng)的功能是否正確。比較核對預期結(jié)果虛擬業(yè)務處理結(jié)果實際業(yè)務處理結(jié)果手工處理被審程序或系統(tǒng)實際業(yè)務數(shù)據(jù)虛擬實體業(yè)務數(shù)據(jù)(三)整體測試法(ITF)整體測試法——根據(jù)系統(tǒng)采用整體檢測法進行審查的步驟:1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應有的處理和控制功能。

2．在被審系統(tǒng)中建立一個虛擬的公司（根據(jù)所審查的程序功能，還可以是虛擬部門、虛擬供應商、虛擬顧客等），針對系統(tǒng)應有的功能，設(shè)計與虛擬公司有關(guān)的測試業(yè)務，并準備這些測試業(yè)務處理應有的正確結(jié)果。3．在被審系統(tǒng)正常運行時，把虛構(gòu)公司的測試數(shù)據(jù)和被審單位的真實數(shù)據(jù)一起輸入系統(tǒng)處理。

4．把系統(tǒng)對虛擬公司測試業(yè)務的處理結(jié)果與應有的正確結(jié)果比較，從而判斷被審系統(tǒng)的處理和控制功能是否正確。采用整體檢測法進行審查的步驟:整體檢測法的優(yōu)缺點:1.優(yōu)點：具有測試數(shù)據(jù)法同樣的優(yōu)點。與測試數(shù)據(jù)法相比，它是動態(tài)的審查方法，可確定系統(tǒng)在真實業(yè)務處理時的功能是否正確。2.具有測試數(shù)據(jù)法同樣的缺點。與測試數(shù)據(jù)法相比，因為它是在系統(tǒng)真實業(yè)務處理中對系統(tǒng)進行測試的，若對測試數(shù)據(jù)沒有良好控制，可能會影響被審單位的真實數(shù)據(jù)。整體檢測法的優(yōu)缺點:消除測試數(shù)據(jù)對被審單位真實數(shù)據(jù)影響的方法：

1．處理虛擬公司的測試業(yè)務后，盡快向系統(tǒng)輸入沖消業(yè)務，以沖回測試業(yè)務對系統(tǒng)業(yè)務和匯總信息的影響。2．在被審系統(tǒng)中嵌入審計程序，對審查用的測試業(yè)務進行標記，嵌入的審計程序可對標記的業(yè)務進行過濾，防止這些業(yè)務進入?yún)R總信息或輸出與其相聯(lián)系的重要單據(jù)（如發(fā)貨單、支票、發(fā)票等）的輸出。消除測試數(shù)據(jù)對被審單位真實數(shù)據(jù)影響的方法：（四）平行模擬法平行模擬法——又叫并行模擬法，它是通過比較被審系統(tǒng)和模擬系統(tǒng)對被審單位真實業(yè)務處理的結(jié)果來判斷被審系統(tǒng)功能是否正確的一種系統(tǒng)功能的審查方法。模擬程序處理結(jié)果處理結(jié)果比較被審程序?qū)嶋H業(yè)務數(shù)據(jù)（四）平行模擬法平行模擬法——又叫并行模擬法，它采用平行模擬法進行審計的步驟：1．通過向有關(guān)人員詢問及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應有的處理和控制功能。2．審計人員取得一套具有被審系統(tǒng)應有的處理和控制功能、且功能正確的模擬系統(tǒng)。模擬系統(tǒng)可以專門開發(fā)，也可以通過別的途徑取得，例如購買商品化通用軟件。3．把被審單位真實的業(yè)務數(shù)據(jù)分別輸入模擬系統(tǒng)與被審系統(tǒng)進行處理，并分別得出處理結(jié)果。4．把兩者的處理結(jié)果進行比較，從而確定被審系統(tǒng)功能是否正確。采用平行模擬法進行審計的步驟：平行模擬法的優(yōu)缺點1.優(yōu)點：一旦取得了模擬程序，可以隨時對被審系統(tǒng)進行抽查，也可以用模擬系統(tǒng)重新處理全部的真實業(yè)務數(shù)據(jù)，進行比較全面的審查。2.缺點：模擬系統(tǒng)的開發(fā)通常需要花費較長的時間，開發(fā)或購買費用都較高；而且，如果實際使用的系統(tǒng)更新，則模擬系統(tǒng)亦要隨之更新，相應要增加費用。平行模擬法的優(yōu)缺點（五）程序比較法程序比較法——是一種通過把被審程序與標準程序進行比較，進而確定二者是否一致，被審程序功能是否正確的一種審查方法。（五）程序比較法程序比較法——是一種通過把被審程序與采用程序比較法進行審計的步驟1．被審的應用程序曾被審查過且證實其處理與控制功能正確有效。審計人員保存了一份該程序的備份，且確保沒人可改動它。2．審計時，審計人員使用專門的程序比較軟件來比較在用的被審程序和此備份程序，確定兩者是否有差異，進而確定在用的被審程序是否被改動過，功能是否正確。采用程序比較法進行審計的步驟程序比較法的具體采用1.比較源程序：要注意確保真實運行的程序由被審源程序編譯而成。2.比較目標程序：發(fā)現(xiàn)差異時很難判斷差異帶來的后果。程序比較法的具體采用程序比較法的優(yōu)缺點：1.優(yōu)點：這種方法因為比較的是程序的本身，因此能發(fā)現(xiàn)被審程序的任何改動。2.缺點：要使用程序比較軟件，而且當發(fā)現(xiàn)兩者有差異時，要進一步判斷修改后的程序功能是否恰當比較困難。程序比較法的優(yōu)缺點：第六節(jié)信息系統(tǒng)綜合評價一、綜合評價的目的信息系統(tǒng)綜合評價的主要目標是將審計中發(fā)現(xiàn)的信息系統(tǒng)存在的問題按照審計需要進行總結(jié)、歸納，以報告的形式進行反映。二、評價技術(shù)對信息系統(tǒng)安全性的評價技術(shù)對信息系統(tǒng)可靠性的評價技術(shù)對信息系統(tǒng)有效性的評價技術(shù)綜合評價模型第六節(jié)信息系統(tǒng)綜合評價一、綜合評價的目的信息系統(tǒng)安全性及其評價數(shù)據(jù)安全性資產(chǎn)安全性總體安全性評價方法：計算資產(chǎn)被破壞、盜竊或以非法目的使用后所造成的預期損失。評價方法：取決于審計目標和數(shù)據(jù)項的性質(zhì)，著重關(guān)注內(nèi)部控制系統(tǒng)?？刂凭仃嚧_定性模型貝葉斯模型假設(shè)因資產(chǎn)保護不當造成損失，其中預期損失額為700000元的概率為0.4，損失額為900000元的概率為0.5，損失額為1100000元的概率為0.1。預期的總損失額為700000*0.4+900000*0.5+100000*0.1=840000信息系統(tǒng)安全性及其評價資產(chǎn)安全性總體評價方法：計算資產(chǎn)被破壞貝葉斯模型系統(tǒng)的狀態(tài)安全P（S）不安全P（US）審計師的決定肯定P（F）正確的決定P（F|S）引起損失：0元錯誤的決定P（F|US）引起損失：X1元否定P（UF）錯誤的決定P（UF|S）引起損失：X2元正確的決定P（UF|US）引起損失：0元貝葉斯模型的運用可以看作一個循環(huán)的過程：開始于對系統(tǒng)是否安全的先前估計，隨著新證據(jù)的不斷獲得，逐步對先前的評估值進行校驗更新，直到某一個階段，審計師可以適時地停止新證據(jù)的收集而站在一個宏觀的角度上對整個系統(tǒng)的安全性做一個全局性判斷。貝葉斯模型系統(tǒng)的狀態(tài)安全P（S）不安全P（信息系統(tǒng)可靠性及其評價軟件可靠性可靠度故障強度平均故障間隔時間平均故障修復時間

可靠性模型R＝p＋(1－p)P(e)P(c)

系統(tǒng)的可靠性是指系統(tǒng)在規(guī)定的時間內(nèi)無故障運行的概率，通常被分為硬件的可靠性和軟件的可靠性。信息系統(tǒng)可靠性及其評價可靠度故障強度平均故障平均故障信息系統(tǒng)有效性及其評價明確評價目標評價費用的預算明確性能指標構(gòu)建負荷模型構(gòu)建系統(tǒng)模型進行實驗結(jié)果分析給出建議圖信息系統(tǒng)有效性評價過程評價技術(shù)信息系統(tǒng)有效性及其評價明確評價目標評價費用的預算明確性能指標綜合評價模型系統(tǒng)質(zhì)量信息質(zhì)量有用性感受對計算機使用能力的判斷易用性感受使用情況：量、類型信息系統(tǒng)滿意度對個人的影響對組織的影響系統(tǒng)特性使用者兩者結(jié)合綜合評價模型系統(tǒng)質(zhì)量信息質(zhì)量有用性感受對計算機使用能力的判斷綜合評價模型信息系統(tǒng)對組織的影響

主要從兩個方面關(guān)注信息系統(tǒng)對組織的影響：一是組織有效性；二是經(jīng)濟有效性。1、組織有效性評價方法：競爭價值模型①組織有效性分解成兩維：

焦點維和結(jié)構(gòu)維②不同的維度詮釋了組織不同的目標，一個有效的組織必須能有效地平衡這些目標，以避免企業(yè)陷入困境。③審計師必須全面領(lǐng)會組織的各個目標追求，對這些目標進行綜合分析，以此對信息系統(tǒng)進行評價。開放系統(tǒng)模型人際關(guān)系模型常規(guī)目標模型

內(nèi)部處理模型柔性結(jié)構(gòu)穩(wěn)定結(jié)構(gòu)內(nèi)部焦點外部焦點綜合評價模型信息系統(tǒng)對組織的影響柔性結(jié)構(gòu)穩(wěn)定結(jié)構(gòu)內(nèi)部焦點外部綜合評價模型信息系統(tǒng)對組織的影響2、經(jīng)濟有效性評價信息系統(tǒng)對組織的利潤率產(chǎn)生多大貢獻。①

生產(chǎn)力悖論：我們總是可以觀察到組織在繼續(xù)向信息技術(shù)投入，但我們很難確定哪些投入得到了物化？或者：為什么信息技術(shù)投入的回報甚少甚至沒有，但組織仍然繼續(xù)投入資金？②審計時，關(guān)注三個問題：

投入是否提高了企業(yè)生產(chǎn)力？

投入是否提高了利潤率？投入是否創(chuàng)造了客戶價值？

綜合評價模型信息系統(tǒng)對組織的影響綜合評價模型③評價信息系統(tǒng)經(jīng)濟有效性的四個步驟：

第一步：

確定信息系統(tǒng)的收益；

區(qū)分信息系統(tǒng)的收益是否體現(xiàn)在生產(chǎn)力的增長、利潤率的增長？區(qū)分信息系統(tǒng)的收益是有形的，還是是無形的？

第二步：確定信息系統(tǒng)的成本；

兩類成本：信息系統(tǒng)實施成本；系統(tǒng)運行成本。

第三步：對信息系統(tǒng)的收益與成本進行估價；估價方法：分類估價法；排序估計法；細分估價法等。第四步：求出信息系統(tǒng)的凈現(xiàn)值。綜合評價模型③評價信息系統(tǒng)經(jīng)濟有效性的四個步驟：COBIT認證

CobiTFoundation認證是由國際信息系統(tǒng)控制協(xié)會(ISACA)聯(lián)合全球著名的IT治理與IT管理培訓的領(lǐng)導廠商itpreneurs共同開發(fā),在全世界都能舉辦的考試,符合考試資格的人員通過考試后授予COBITFoundation認證。一、考試詳情

這項考試包含40道單選題，要求1個小時內(nèi)完成。要通過這項考試，必須答對至少28道題，也就是正確率至少在70%以上?？荚囋诰W(wǎng)上進行。COBIT認證二、考試范圍考試涉及CobiTFoundation課程所包括的對以下方面的理解：

◎IT管理問題如何影響整個組織

◎IT治理的原則，IT治理如何幫助解決IT管理問題，以及誰應對IT治理負責？

◎由IT治理需求推動的對控制框架的需求

◎CobiT如何滿足IT治理框架的需求

◎CobiT如何與其它標準和實踐結(jié)合使用

◎CobiT框架以及CobiT的所有組成部分（控制目標、控制實踐、管理指南、審計指南）

◎如何在實際情況中應用CobiT

◎運用CobiT的收益

◎ITGI（信息科技管理研究所）提供的產(chǎn)品與支持二、考試范圍COBIT采用關(guān)鍵目標指示KGI（KeyGoalIndicators）表達一個過程要達到哪些目標，KGI可以與著名的績效考核方法“平衡記分法”中的績效指標相關(guān)聯(lián)。為了衡量每個過程在“多大程度”上達到了KGI，COBIT設(shè)置了“關(guān)鍵性能指示（KPI）”（KeyPerformanceIndicators）。每個過程達到的關(guān)鍵性能指示（KPI）的程度則用六個成熟度級別來表示，它們是：0-混沌（根本不存在）、1-初始級；2-可重復級、3-可定義級、4-可管理級、5-優(yōu)化級。COBIT采用關(guān)鍵目標指示KGI（Key信息及資源的關(guān)系見上圖.可以看到，IT資源是將事件轉(zhuǎn)換為信息的裝置，COBIT將這個裝置形象地描述為一個圓柱體，圓柱體的核心是數(shù)據(jù)，數(shù)據(jù)外圍包裹著由“技術(shù)”、“（IT）設(shè)施”、“人員”組成豎井，豎井外包圍的是“應用（系統(tǒng)）”。信息及資源的關(guān)系見上圖.可以看到，IT資源是將事件轉(zhuǎn)換為信

計算中心的安全和控制（1）物理位置的選擇。計算中心應遠離人造和自然災害多發(fā)的地方，例如加油站、儲氣站、蓄水池、機場、低洼地帶、高犯罪率地區(qū)等。（2）建筑最好是單層的堅固建筑（防地震），電線電纜等應埋入地下，窗戶應緊閉，裝上空氣過濾器以防塵，安裝空調(diào)機、抽濕機等。計算中心的安全和控制（1）物理位置的選擇。（3）訪問控制。要鎖門及設(shè)門衛(wèi)，進出登記，有閉路電視或攝像系統(tǒng)、報警系統(tǒng)等監(jiān)視，防止未經(jīng)授權(quán)的人進入。（4）火災監(jiān)控。安裝煙霧探測器和自動報警系統(tǒng)，重要之處放上滅火裝置。（5）電源控制。計算中心應配備穩(wěn)壓電源和配備不間斷電源。（6）災難恢復計劃。（3）訪問控制。要鎖門及設(shè)門衛(wèi)，進出登記，有閉路電視或攝像系災難恢復隊伍可參考下圖：災難恢復隊伍可參考下圖：

數(shù)據(jù)通信的安全控制（1）防火墻（Firewall）。它是置于一個單位內(nèi)部網(wǎng)與外部網(wǎng)之間，用于防止外部訪問者入侵系統(tǒng)的軟件和硬軟件組合，可檢查內(nèi)部網(wǎng)外來的訪問者的權(quán)限級別而自動堵塞或引導到相應的程序、數(shù)據(jù)和服務器上，也可分隔局網(wǎng)內(nèi)不同部分之間的訪問。防火墻一般分過濾型和代理服務器型。數(shù)據(jù)通信的安全控制（1）防火墻（Firewall）。（2）一次性口令（One-timePassword）。訪問網(wǎng)絡(luò)的用戶需使用一個智能卡，它與存儲在服務器上的相應軟件同步地每６０秒產(chǎn)生一個相同的密碼，不同的用戶的智能卡有不同的同步密碼，且每次產(chǎn)生的密碼是不同的。當用戶訪問網(wǎng)絡(luò)時，首先必須輸入用戶標識PIN，然后輸入自己智能卡上當前顯示的密碼。這樣黑客即使使用循詢方法，也很難得到你當時的準確密碼。某人即使檢到了你的智能卡，但他不知道你的ＰＩＮ，也無法冒充你。（2）一次性口令（One-timePassword）。另一種一次性口令的產(chǎn)生方法是所謂挑戰(zhàn)/應戰(zhàn)方式。當用戶登錄網(wǎng)絡(luò)時，網(wǎng)絡(luò)防火墻的授權(quán)軟件發(fā)出一個6位的挑戰(zhàn)字給用戶的計算機，用戶的智能卡可接收挑戰(zhàn)字，經(jīng)智能卡的內(nèi)置密碼生成程序產(chǎn)生一個即時應戰(zhàn)密碼于顯示屏上，用戶鍵入此密碼即可登錄網(wǎng)絡(luò)。另一種一次性口令的產(chǎn)生方法是所謂挑戰(zhàn)/應戰(zhàn)方式。當（3）發(fā)數(shù)字證書（DigitalCertification）其內(nèi)容包括：證書所有者的姓名。證書所有者的公鑰。公鑰及證書的有效期。頒發(fā)證書的單位名稱。數(shù)字證書的序列號。頒發(fā)證書單位的數(shù)字簽名。數(shù)字證書發(fā)布于用戶自己的網(wǎng)頁上，供交易對手查閱，從而確信交易對手的合法性。（3）發(fā)數(shù)字證書（DigitalCertification第四章信息系統(tǒng)審計第四章信息系統(tǒng)審計第一節(jié)信息系統(tǒng)審計概述一、信息系統(tǒng)審計的內(nèi)涵

信息系統(tǒng)審計是對被審計單位用于經(jīng)營決策、業(yè)務處理、財務核算的計算機信息系統(tǒng)及與之相關(guān)的規(guī)劃、建設(shè)、管理、使用制度的審計。二、信息系統(tǒng)審計的目標（一）總目標：通過對信息系統(tǒng)合法性、可靠性、安全性和有效性的審計，對被審計單位信息系統(tǒng)做出評價。第一節(jié)信息系統(tǒng)審計概述一、信息系統(tǒng)審計的內(nèi)涵（二）具體目標評價電子數(shù)據(jù)的真實性、完整性分析信息系統(tǒng)的薄弱環(huán)節(jié)發(fā)現(xiàn)信息系統(tǒng)的非法功能和漏洞三、信息系統(tǒng)審計的基本流程信息系統(tǒng)調(diào)查信息系統(tǒng)控制測試信息系統(tǒng)初步評價信息系統(tǒng)分析測試信息系統(tǒng)綜合評價（二）具體目標調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信賴嗎？測試和評價補償控制實質(zhì)性測試全面評價編制審計報告退出審計提出管理建議審計結(jié)束否否內(nèi)部控制的詳細審查與評價計算機信息系統(tǒng)審計流程調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進行全面、深入地了解，是進行信息系統(tǒng)審計的基礎(chǔ)。一、了解管理體制從總體上把握被審計單位信息系統(tǒng)管理的基本情況。調(diào)查內(nèi)容包括：信息系統(tǒng)的工作程序信息系統(tǒng)等相關(guān)部門信息系統(tǒng)的管理情況第二節(jié)信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對被審計二、了解總體架構(gòu)完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。調(diào)查內(nèi)容包括：信息系統(tǒng)的分布情況信息系統(tǒng)的主要類型和數(shù)量各信息系統(tǒng)之間的關(guān)系信息系統(tǒng)的總體水平實質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：（1）關(guān)聯(lián)關(guān)系：不同環(huán)節(jié)的系統(tǒng)包含的數(shù)據(jù)反映生產(chǎn)的不同方面，相互補充。（2）核對關(guān)系：同處關(guān)鍵環(huán)節(jié)都不同系統(tǒng)，其包含的數(shù)據(jù)存在鉤稽關(guān)系，相互印證。繪制完整、詳細的信息系統(tǒng)分布圖是了解總體架構(gòu)時常用的方法。二、了解總體架構(gòu)實質(zhì)是數(shù)據(jù)之間的關(guān)系。包括：繪制完整、詳細的三、了解規(guī)劃管理對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。

調(diào)查內(nèi)容包括：信息系統(tǒng)的規(guī)劃信息系統(tǒng)的建設(shè)信息系統(tǒng)的使用信息系統(tǒng)的維護三、了解規(guī)劃管理第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信息系統(tǒng)的內(nèi)部控制可靠性而進行的審計工作。一、信息系統(tǒng)的內(nèi)部控制根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為：●一般控制；●應用控制。第三節(jié)信息系統(tǒng)控制測試信息系統(tǒng)控制測試是為確定信（一）一般控制是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應用或功能模塊具有普遍影響的控制措施。

可具體劃分為：1、組織控制：為實現(xiàn)組織的目標而進行的組織結(jié)構(gòu)設(shè)計、權(quán)責安排和制度設(shè)計。它包括如下具體控制措施：（1）電算部門與用戶部門的職責分離一般來說，應注意：所有業(yè)務均應由用戶部門發(fā)起或授權(quán)電算部門不應負責資產(chǎn)的保管所有業(yè)務記錄與主文件記錄的改變均需用戶部門授權(quán)所有系統(tǒng)的改進、新系統(tǒng)的應用及控制均應由受益部門發(fā)起并經(jīng)高管授權(quán)，電算部門無權(quán)擅自修改程序。（一）一般控制（2）電算部門內(nèi)部的職責分離對系統(tǒng)開發(fā)與數(shù)據(jù)處理職責應該分離對數(shù)據(jù)處理的職責進行適當分離（如憑證輸入與審核）資料保管員與程序員、系統(tǒng)操作員等職責分離（3）業(yè)務授權(quán)

所有由電算化系統(tǒng)處理的業(yè)務都應經(jīng)過授權(quán)（4）人事控制

包括：各人工作性質(zhì)的說明；人員的選擇和培訓；對人的行為的監(jiān)督和評價；崗位輪換；休假和合同簽訂。（5）領(lǐng)導與監(jiān)督

建立內(nèi)部審計機構(gòu)（2）電算部門內(nèi)部的職責分離2、系統(tǒng)開發(fā)與維護控制主要適用于那些自行設(shè)計軟件的單位。（1）開發(fā)計劃控制系統(tǒng)開發(fā)計劃應經(jīng)過嚴格審查、仔細研究和反復調(diào)查后方可實施;軟件需求分析（2）開發(fā)過程的人員控制應成立信息系統(tǒng)開發(fā)工作領(lǐng)導小組，負責總體規(guī)劃由系統(tǒng)分析員負責對原有系統(tǒng)進行調(diào)查分析系統(tǒng)的測試和試行應交由專門的測試人員或操作人員完成內(nèi)部審計人員應參與信息系統(tǒng)的開發(fā)2、系統(tǒng)開發(fā)與維護控制（3）系統(tǒng)設(shè)計控制合規(guī)合法性控制正確性控制安全可靠性控制效率性控制可維護性控制（4）編程控制

即控制編程風險，主要方法是測試。測試技術(shù)包括：靜態(tài)測試：一種人工方法，通過對程序的反復閱讀或?qū)α鞒虉D的檢查來發(fā)現(xiàn)錯誤。動態(tài)測試：“白盒”測試和“黑盒”測試試運行:試運行3-6個月，驗收后才能正式投入使用。（3）系統(tǒng)設(shè)計控制（5）系統(tǒng)維護控制系統(tǒng)的日常維護系統(tǒng)功能的改進和擴充（批準和授權(quán)）注意：（1）維護人員應獨立于系統(tǒng)操作人員，最好也能獨立于系統(tǒng)開發(fā)員。（2）實用的系統(tǒng)中只保留經(jīng)編譯的程序。（6）文檔控制文檔編寫的規(guī)范化文檔管理的系統(tǒng)化文檔管理的制度化注意：文檔資料不全，系統(tǒng)不能通過驗收。（5）系統(tǒng)維護控制3、安全控制這些控制措施可以保證系統(tǒng)有一個良好的運行環(huán)境。（1）接觸控制硬件接觸控制程序資料接觸控制數(shù)據(jù)文件及應用程序接觸控制聯(lián)機系統(tǒng)接觸控制（2）環(huán)境安全控制這是一種預防性控制。（3）安全保密控制常見方法：對軟件進行加密（4）防病毒控制3、安全控制4、硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應有一套完整的管理制度，包括上機守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。4、硬件及系統(tǒng)軟件控制（二）應用控制應用控制是為適應各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制。包括：1、輸入控制

保證只有經(jīng)過授權(quán)批準的業(yè)務才能輸入計算機信息系統(tǒng)；保證經(jīng)批準的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機拒絕的錯誤數(shù)據(jù)能改正后重新提交。（1）數(shù)據(jù)采集控制例如：建立明確的憑證編制程序；制定工作手冊；合理設(shè)置使用控制總數(shù)等（2）數(shù)據(jù)輸入控制

例如：編制數(shù)據(jù)輸入工作內(nèi)容、方法及程序要求的書面文件、事先設(shè)計規(guī)定數(shù)據(jù)格式、數(shù)據(jù)輸入核對等。（二）應用控制2、處理控制對信息系統(tǒng)進行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控制措施往往被寫入計算機程序，因此，處理控制往往又是自動控制。（1）審核處理輸出（2）進行數(shù)據(jù)有效性檢驗（3）進行處理有效性檢測（4）錯誤糾正控制（5）保留審計線索（6）斷點技術(shù)2、處理控制3、輸出控制（1）控制只有經(jīng)批準的人才能執(zhí)行輸出操作，并要登記操作記錄。（2）報表打印輸出前檢查應有的勾稽關(guān)系。（3）經(jīng)有關(guān)人員檢查后簽章才送出使用或按會計檔案的要求保管，未經(jīng)批準的人不得接觸系統(tǒng)的輸出資料。（4）對敏感的重要輸出資料應有人監(jiān)督整個操作過程，輸出后立即送到使用者手中。（5）打錯作廢的機密資料應即時銷毀或用碎紙機切成碎片后才放進廢紙箱。（6）要防止有人竄改打印隊列文件內(nèi)的數(shù)據(jù)。（7）輸出資料的使用者發(fā)現(xiàn)資料上有錯誤、可疑之處應報告系統(tǒng)管理員。3、輸出控制二、關(guān)于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相關(guān)技術(shù)的控制目標。是由美國信息系統(tǒng)審計與控制學會ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前國際上通用的信息系統(tǒng)審計的標準，是一個在國際上公認的、權(quán)威的安全與信息技術(shù)管理和控制的標準。該標準體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導這些組織有效利用信息資源，有效地管理與信息相關(guān)的風險。二、關(guān)于COBIT（一）COBIT的發(fā)展歷程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初單一的審計師的內(nèi)控評價工具發(fā)展到目前系統(tǒng)的IT治理框架。（一）COBIT的發(fā)展歷程（二）COBIT信息技術(shù)的控制目標

COBIT將信息技術(shù)的控制目標設(shè)定為七個：（1）有效性（Effectiveness）：是指信息與商業(yè)過程相關(guān)，并以及時、準確、一致和可行的方式傳送。（2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟）利用資源來提供信息。（3）機密性（Confidentiality）：涉及對敏感信息的保護，以防止未經(jīng)授權(quán)的披露（4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評價和期望相一致（二）COBIT信息技術(shù)的控制目標（5）可用性（Availability）：指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對必要的資源和相關(guān)性能的維護。（6）符合性（Compliance）：遵守商業(yè)運作過程中必須遵守的法律、法規(guī)和契約條款，如外部強制商業(yè)標準。（7）信息可靠性（ReliabilityofInformation）：為管理者的日常經(jīng)營管理以及履行財務報告責任提供適當?shù)男畔?。?）可用性（Availability）：指在現(xiàn)在和將來的商（三）COBIT的體系結(jié)構(gòu)

COBIT將IT過程，IT資源與企業(yè)的策略與目標（準則）聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。企業(yè)策略維IT資源維IT過程維

策略維集中反映了企業(yè)的戰(zhàn)略目標，主要從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；（三）COBIT的體系結(jié)構(gòu)企業(yè)策略維IT資源維IT過程維企業(yè)策略維IT資源維IT過程維

IT資源維主要包括以人、應用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過程的主要對象；企業(yè)策略維IT資源維IT過程維IT資源維主要包括以企業(yè)策略維IT資源維IT過程維

IT過程維則是在IT準則的指導下，對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面確定了34個信息技術(shù)處理過程，每個處理過程還包括更加詳細的控制目標和審計方針對IT處理過程進行評估。企業(yè)策略維IT資源維IT過程維IT過程維則是在IT準則三、控制測試★一般控制的測試審計目標：獲取證據(jù)，以證實被審計單位在被審計期間有關(guān)的制度和規(guī)程是否健全；計算機信息系統(tǒng)是否按規(guī)定的制度和規(guī)程工作的；控制的作用是否達到預期的結(jié)果。三、控制測試（一）對組織控制的測試1、測試關(guān)鍵點：完整獲取被審單位工作規(guī)章制度和員工管理制度。2、測試方法：（1）閱讀工作規(guī)章制度和員工管理制度，檢查有關(guān)政策程序是否存在；（2）與被審計單位管理層交談，了解組織結(jié)構(gòu)及部門設(shè)置等情況；（3）向相關(guān)部門人員詢問，確定信息系統(tǒng)的使用狀況；（4）實地觀察業(yè)務的處理和系統(tǒng)的操作，關(guān)注職責分離情況。（一）對組織控制的測試（二）對系統(tǒng)開發(fā)與維護控制的測試1、測試關(guān)鍵點：對信息系統(tǒng)開發(fā)和維護管理制度完善性的檢查。2、測試方法：（1）查閱內(nèi)審人員審查系統(tǒng)開發(fā)和維護工作的工作底稿；（2）了解系統(tǒng)的測試方法，查閱測試的數(shù)據(jù)和結(jié)果；（3）關(guān)注系統(tǒng)試運行階段的運行情況，查實系統(tǒng)在正式投入使用時是否經(jīng)過最后的授權(quán)批準；（4）檢查信息系統(tǒng)是否編有完整的文檔資料，并查閱這些資料，將其復印下來作為審計工作底稿以備用。（5）若是再次審計，則不必審查系統(tǒng)的開發(fā)和測試，只需審查自上次審計以來系統(tǒng)所作的維護改進。查實修改是否經(jīng)過批準；修改后是否經(jīng)過測試；有無對修改作詳細的文檔記錄。（二）對系統(tǒng)開發(fā)與維護控制的測試（三）對系統(tǒng)安全控制的測試1、測試關(guān)鍵點：對信息系統(tǒng)運行環(huán)境、管理制度安全性的檢查。2、測試方法：（1）實地觀察信息系統(tǒng)的運行環(huán)境；（2）檢查預防災害（防火、防水、防塵、防潮）的控制措施；（3）檢查預防電源變化的控制措施；（4）檢查預防計算機病毒侵害的措施；（5）實地觀察以證實只有經(jīng)過授權(quán)的人才能接觸系統(tǒng)的設(shè)備和資料。（6）確定只有經(jīng)過授權(quán)的人員才可能獲得密碼的使用權(quán)。（三）對系統(tǒng)安全控制的測試（四）對系統(tǒng)硬件和軟件控制的測試硬件和系統(tǒng)軟件是由計算機廠商提供的，一般來說，其功能和控制時較可靠的。它們的審查一般與整個計算機信息系統(tǒng)的處理和控制功能審查一起執(zhí)行，較少單獨審查。當系統(tǒng)軟件有多種可選擇的功能和控制時，審計人員應注意被審計單位選擇了哪些功能，是否充分利用了其控制。

硬件、系統(tǒng)軟件功能和控制的審查要利用計算機輔助審計。（四）對系統(tǒng)硬件和軟件控制的測試（五）對操作控制的測試1、測試關(guān)鍵點：對數(shù)據(jù)資源的使用環(huán)境和數(shù)據(jù)資源的操作管理制度完善性的檢查。2、測試方法：（1）檢查有無操作管理制度并閱讀有關(guān)制度確定是否規(guī)范；（2）實地察看操作人員的操作情況，是否按照操作手冊中規(guī)定的操作步驟進行操作；（3）檢查操作人員的分工以及錯誤的處理和更正程序是否符合內(nèi)部控制的原則；（4）檢查是否存在詳細的操作日志記錄，確定記錄的完整性和恰當性；（5）檢查當系統(tǒng)出現(xiàn)異常情況時，有無及時恢復系統(tǒng)操作的方法。（五）對操作控制的測試★應用控制的審計審計目標：獲取證據(jù)，以證實被審計單位是否存在相應的技術(shù)措施來保證數(shù)據(jù)的正確性、合理性、安全性和完整性；應用系統(tǒng)本身是否存在漏洞和功能缺陷；評價信息系統(tǒng)的可靠性、效果和效率?！飸每刂频膶徲嫞ㄒ唬斎肟刂频膶徲?、測試關(guān)鍵點：對輸入程序技術(shù)性控制措施的檢查。2、測試方法：（1）了解信息系統(tǒng)的輸入程序，對輸入操作的控制進行檢查，確定操作人員已獲取授權(quán)；（2）實施分析程序，確定輸入數(shù)據(jù)的正確性、合理性、完整性；審計人員輸入不正確的數(shù)據(jù)，系統(tǒng)是否提示輸入出錯并拒絕接收；信息系統(tǒng)是否提供復核功能，系統(tǒng)僅接收輸入與復核完全一致的數(shù)據(jù)；對比分析輸入的數(shù)據(jù)與系統(tǒng)其他數(shù)據(jù)是否滿足一定的勾稽關(guān)系；（3）檢查輸入界面，是否簡單、清晰、具有可操作性；（4）詢問系統(tǒng)操作員對錯誤業(yè)務的處理方法；（5）抽查被審期間的出錯業(yè)務，跟蹤檢查其改正和重新提交過程，以證實有關(guān)控制措施的有效性。（一）對輸入控制的審計（二）對處理控制的審計1、測試關(guān)鍵點：對信息系統(tǒng)處理程序的控制措施的檢查。2、測試方法：（1）對信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果正確性、完整性和合理性的控制進行檢查；閱讀信息系統(tǒng)設(shè)計說明書，確定系統(tǒng)存在有關(guān)的自動檢查功能；詢問系統(tǒng)設(shè)計或操作人員，系統(tǒng)的處理過程是否正常且一貫；獲取系統(tǒng)數(shù)據(jù)處理的流程圖，檢查其合理性、完整性；審計人員模擬一個不滿足處理條件的數(shù)據(jù)，系統(tǒng)是否能提示出錯并拒絕處理；測試數(shù)據(jù)法和數(shù)據(jù)驗證法的使用。（2）對信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果安全性的控制進行檢查。（二）對處理控制的審計（三）對輸出控制的審計1、測試關(guān)鍵點：對信息系統(tǒng)輸出程序的正確性、完整性和及時性及安全性進行檢查。2、測試方法：（1）了解系統(tǒng)的輸出資料是如何處置的，有無健全的檢查、保管和分發(fā)制度；（2）實地觀察系統(tǒng)的輸出情況，跟蹤輸出的資料的分發(fā)和保管；（3）檢查輸出信息的安全性控制，包括是否有人負責審視輸出資料，是否有人核對輸入輸出控制總數(shù)等；（4）通過咨詢和察看對輸出信息的格式進行檢查；（5）詢問并檢查輸出的信息是否能夠滿足使用部門的需要。（三）對輸出控制的審計★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應用（一）控制矩陣概述（controlmatrix）控制矩陣是一個控制目標及其相關(guān)控制措施的列表。包括三個基本的元素：（1）控制目標。分為經(jīng)營系統(tǒng)的控制目標和信息系統(tǒng)的控制目標兩類。（2）控制措施。指為了確保系統(tǒng)目標的實現(xiàn)所應采取的各種合理、有效的控制措施。（3）單元內(nèi)容。在控制矩陣中，位于某項控制措施和控制目標的行和列的交匯處的矩形方框，稱為單元。其內(nèi)容為是否打勾。★控制矩陣在信息系統(tǒng)內(nèi)控測試中的應用（二）控制矩陣的編制方法◆

基本表的編制1．對系統(tǒng)進行全面、透徹的分析和深入的了解。了解和分析的內(nèi)容包括系統(tǒng)的功能、任務、目標、業(yè)務處理的程序、步驟以及易發(fā)生錯誤和舞弊的環(huán)節(jié)?？赏ㄟ^分析系統(tǒng)流程圖、數(shù)據(jù)流程圖、功能結(jié)構(gòu)圖及對系統(tǒng)的有關(guān)文字描述等方面而得出。2．定出系統(tǒng)控制目標。包括經(jīng)營系統(tǒng)的控制目標和信息系統(tǒng)的控制目標3．在對現(xiàn)有的信息系統(tǒng)進行調(diào)查分析的基礎(chǔ)上，列出系統(tǒng)現(xiàn)有的控制措施。4．根據(jù)每一項措施對那些控制目標所起作用，在相應的單元中打上"√"。（二）控制矩陣的編制方法◆

表的完善5．分析這些單元內(nèi)容所反映的狀況判斷控制系統(tǒng)是否恰當?shù)貙λ械目刂颇繕诉M行了必要的控制，把分析結(jié)果填入“原有控制措施分析底稿”上，最后反復推敲，提出處置建議，填入分析底稿的處置建議欄。6．擴充控制矩陣的行數(shù)，增加修改后的控制措施欄，填入修改后的控制措施，并根據(jù)每一項措施針對的控制目標，在相應的單元中打"√"。7．針對系統(tǒng)控制的不足，提出需增加的控制措施，擴充控制矩陣填入新增加的措施，并根據(jù)每一項措施針對的控制目標，在相應的單元中打"√"。8．最后，在控制矩陣的底部，對需要說明的事項（如控制目標的詳細內(nèi)容等）以注釋的形式進行詳細的說明?！舯淼耐晟疲ㄈ┛刂凭仃嚨淖饔煤褪褂梅椒?．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的有效性、完整性。通過控制矩陣，可以很明了地看出現(xiàn)有控制系統(tǒng)的每一項目標是否都有控制措施來加以保證，從而便于我們對現(xiàn)有控制系統(tǒng)的有效性、完整性做出評價。2．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的控制效率。當系統(tǒng)中的某項控制措施對多項控制目標有效時，則可定性地認為該控制措施是經(jīng)濟、高效、符合成本效益原則的。3．通過控制矩陣，可以了解現(xiàn)有控制系統(tǒng)所存在的優(yōu)缺點，以利于我們對控制系統(tǒng)進一步加以改進、完善。那些系統(tǒng)不可或缺的控制措施和能同時對多個目標起作用的控制措施，構(gòu)成原有控制系統(tǒng)的主要優(yōu)點。那些過分控制、控制不足或不符合成本效益原則的控制措施構(gòu)成原有控制系統(tǒng)的基本缺點；（三）控制矩陣的作用和使用方法（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計步驟1．通過調(diào)查詢問、查閱系統(tǒng)的文檔資料、跟蹤系統(tǒng)的一些業(yè)務處理等了解計算機信息系統(tǒng)現(xiàn)有的內(nèi)部控制，包括一般控制、應用控制，并用文字描述法、內(nèi)部控制問卷法或流程圖法記錄與描述系統(tǒng)的內(nèi)部控制。2．根據(jù)對系統(tǒng)控制的了解畫出系統(tǒng)的控制矩陣。3．分析控制矩陣，對各控制目標是否有完善的控制措施、已有的控制措施是否恰當進行中肯的評價和提出恰當?shù)慕ㄗh。（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計步驟4．根據(jù)上述建議修改、完善原控制矩陣。5．對系統(tǒng)原有的必要控制措施進行符合性審計，確定這些控制的有效性。6．對系統(tǒng)的內(nèi)部控制提出審計意見，包括對系統(tǒng)內(nèi)部控制（包括控制的強點與薄弱環(huán)節(jié)）的評價和改進的建議（包括應增加與強化的控制和可減少的重復控制）。4．根據(jù)上述建議修改、完善原控制矩陣。第四節(jié)信息系統(tǒng)初步評價信息系統(tǒng)初步評價是對系統(tǒng)調(diào)查和控制測試的系統(tǒng)分析,評價的主要內(nèi)容包括三個方面:●信息系統(tǒng)安全性●信息系統(tǒng)包含數(shù)據(jù)的真實、完整性●信息系統(tǒng)中的薄弱點第四節(jié)信息系統(tǒng)初步評價信息系統(tǒng)初步評價是對系統(tǒng)調(diào)一、信息系統(tǒng)的安全性1、審計人員應評價系統(tǒng)運行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性，包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲的安全性。2、對系統(tǒng)安全性的評價主要依據(jù)系統(tǒng)調(diào)查和控制測試掌握的情況來完成，信息系統(tǒng)分析測試中將不再涉及此項工作內(nèi)容，因此，信息系統(tǒng)初步評價中對信息系統(tǒng)安全性的評價將直接在信息系統(tǒng)綜合評價中反映。一、信息系統(tǒng)的安全性二、信息系統(tǒng)包含數(shù)據(jù)的真實性、完整性1、審計人員應通過對信息系統(tǒng)功能及相關(guān)制度的關(guān)注，評價信息系統(tǒng)中包含電子數(shù)據(jù)的真實性、完整性。2、電子數(shù)據(jù)真實性、完整性評價是計算機數(shù)據(jù)審計中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗證方法選擇、數(shù)據(jù)分析重點確定的重要依據(jù)。二、信息系統(tǒng)包含數(shù)據(jù)的真實性、完整性三、信息系統(tǒng)中的薄弱點1、審計人員應指出系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運行管理控制等方面存在的薄弱環(huán)節(jié)。2、發(fā)現(xiàn)信息系統(tǒng)的薄弱點是為被審計單位改進管理，防范風險提出合理化建議的需要，也是為計算機數(shù)據(jù)審計確定重點的需要。三、信息系統(tǒng)中的薄弱點第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標是發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞、功能的不足以及可能存在的非法模塊?！窆δ芊治觥裉幚磉壿嫹治觥駭?shù)據(jù)對比分析●數(shù)據(jù)追蹤分析第五節(jié)信息系統(tǒng)分析測試信息系統(tǒng)分析測試的主要目標一、功能分析

目的：分析系統(tǒng)功能上存在的不足。有時也稱之為功能審計。重點：對業(yè)務的特點和需求有清晰的認識，也可通過信息系統(tǒng)的使用情況來分析信息系統(tǒng)功能能否滿足業(yè)務需求。一、功能分析二、處理邏輯分析目的：對信息系統(tǒng)處理數(shù)據(jù)來源是否正當、數(shù)據(jù)處理方法是否科學合法的分析。包含的內(nèi)容：（1）信息系統(tǒng)的數(shù)據(jù)來源；（2）信息系統(tǒng)的數(shù)據(jù)處理過程，包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程；（3）信息系統(tǒng)的數(shù)據(jù)流向。核心：對信息系統(tǒng)數(shù)據(jù)處理方法是否科學合法的分析。二、處理邏輯分析三、數(shù)據(jù)對比分析包含的內(nèi)容：（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況；（2）結(jié)合數(shù)據(jù)審計，篩選問題線索；（3）對比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問題線索，查找信息系統(tǒng)自身存在的問題。重點：依據(jù)計算機數(shù)據(jù)審計中發(fā)現(xiàn)的問題線索，反推信息系統(tǒng)存在的問題，這是信息系統(tǒng)審計和計算機數(shù)據(jù)審計的重要結(jié)合點。三、數(shù)據(jù)對比分析四、數(shù)據(jù)追蹤分析目的：通過選取典型數(shù)據(jù)，追蹤處理結(jié)果，進而判斷系統(tǒng)處理的功能是否正確有效。包含的步驟：（1）了解信息系統(tǒng)應有的處理和控制功能；（2）針對系統(tǒng)應用的特點，選取部分典