第6章 信息系統(tǒng)審計

第6章

信息系統(tǒng)審計6-2本章學習目標理解為什么需要開展信息系統(tǒng)審計？掌握信息系統(tǒng)審計的內涵、內容及步驟掌握一般控制審計的原理、內容及應用掌握應用控制審計的原理、內容及應用6-3概述：信息系統(tǒng)審計的重要性信息系統(tǒng)審計簡介信息系統(tǒng)一般控制及審計信息系統(tǒng)應用控制及審計IT治理審計信息系統(tǒng)審計準則與規(guī)范本章主要內容6-4信息系統(tǒng)審計的重要性6-5信息系統(tǒng)內部控制是指一個單位在信息系統(tǒng)環(huán)境下，為了確保業(yè)務活動的有效進行，保護資產的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，確保信息系統(tǒng)提供真實、合法、完整的信息，而制定和實施的一系列政策、程序和措施。信息系統(tǒng)內部控制6-6信息系統(tǒng)內部控制分類方法6-7信息系統(tǒng)內部控制分類方法（依據(jù)控制層次）6-8信息系統(tǒng)內部控制分類方法（依據(jù)技術和管理的視角）6-9一般控制審計應用控制審計IT治理審計信息系統(tǒng)審計主要內容分類6-10信息系統(tǒng)審計的基本步驟審計準備階段審計實施階段審計報告形成階段審計結果執(zhí)行階段6-11簡單地講，信息系統(tǒng)一般控制是除了信息系統(tǒng)應用程序控制以外的其他控制，它應用于一個單位信息系統(tǒng)全部或較大范圍的內部控制。其基本目標為：防止系統(tǒng)被非法侵入、保護信息系統(tǒng)、確保數(shù)據(jù)安全、保證在意外情況下的持續(xù)運行等。信息系統(tǒng)一般控制簡介6-12根據(jù)以上信息系統(tǒng)一般控制的主要內容及目標，信息系統(tǒng)一般控制審計的主要內容一般包括等。信息系統(tǒng)一般控制審計的主要內容信息系統(tǒng)開發(fā)、測試和維護審計信息系統(tǒng)運行管理審計信息系統(tǒng)安全審計業(yè)務連續(xù)性管理審計IT外包審計6-13信息系統(tǒng)開發(fā)、測試和維護審計信息系統(tǒng)開發(fā)、測試和維護審計的主要目的是：檢查信息系統(tǒng)開發(fā)、測試和維護的方法和程序是否科學，是否含有恰當?shù)目刂?。檢查信息系統(tǒng)開發(fā)、測試和維護過程中產生的系統(tǒng)文檔資料是否規(guī)范。確保信息系統(tǒng)開發(fā)、測試和維護目標的實現(xiàn)。6-14信息系統(tǒng)開發(fā)、測試和維護審計6-15信息系統(tǒng)開發(fā)、測試和維護審計6-16信息系統(tǒng)開發(fā)、測試和維護審計6-17信息系統(tǒng)運行管理審計信息系統(tǒng)運行管理主是對上線系統(tǒng)的日常運行進行管理。系統(tǒng)的日常運行要與系統(tǒng)開發(fā)和維護分離，確保一個單位信息科技部門內部的崗位制約。6-18信息系統(tǒng)運行管理審計6-19信息系統(tǒng)運行管理審計6-20信息系統(tǒng)安全審計信息系統(tǒng)安全是通過維護信息系統(tǒng)中信息的機密性、完整性和可用性，來管理和保護一個單位所有的信息資產。信息系統(tǒng)安全涉及到管理、人員、技術等各個方面，因此，信息系統(tǒng)安全主要包含：管理安全（如安全管理制度與管理組織）人員安全技術安全（如計算機機房、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡通訊、軟件、硬件等）6-21信息系統(tǒng)安全審計6-22信息系統(tǒng)安全審計6-23業(yè)務連續(xù)性管理審計業(yè)務連續(xù)性管理是為了防止業(yè)務活動中斷，保護關鍵業(yè)務流程不受信息系統(tǒng)失效或自然災害的影響，將意外事件或災難對業(yè)務的影響降低到最低水平。業(yè)務連續(xù)性管理包括識別和降低風險，制訂連續(xù)性計劃，建立應對意外事件或災難的響應與恢復機制，測試和檢查業(yè)務連續(xù)性計劃的有效性與合規(guī)性，維護業(yè)務連續(xù)性計劃。6-24業(yè)務連續(xù)性管理審計6-25業(yè)務連續(xù)性管理審計6-26IT外包審計為了滿足需要，一些單位除了依靠內部力量開發(fā)一些信息系統(tǒng)，還常常會依靠外部力量開發(fā)一些信息系統(tǒng)，這些依靠外部力量開發(fā)信息系統(tǒng)被稱為IT外包。IT外包審計主要審計被審計單位在進行信息系統(tǒng)外包時是否按照風險控制的原則，合理確定外包的范圍和內容，分析和評估外包風險，建立健全相關規(guī)章制度，制定風險防范措施。

6-27IT外包審計6-28IT外包審計6-29信息系統(tǒng)應用控制及審計信息系統(tǒng)應用控制是為了適應各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內部控制，它針對的是與信息系統(tǒng)應用相關的事務和數(shù)據(jù)，目的是確保數(shù)據(jù)的準確性、完整性、有效性、可驗證性、可靠性和一致性。6-30信息系統(tǒng)應用控制及審計——應用控制的主要內容輸入控制處理控制輸出控制6-31應用控制審計基本步驟6-32應用控制審計案例步驟6-33應用控制審計案例步驟——業(yè)務流程分析6-34應用控制審計案例步驟——應用控制識別6-35應用控制審計案例步驟——應用控制測試6-36應用控制審計案例步驟——應用控制測試6-37應用控制審計案例步驟——應用控制測試6-38應用控制審計案例步驟——控制缺陷確認和審計報告撰寫6-39IT治理審計高級管理層情況信息科技（或信息管理）部門情況知識產權保護工作情況IT（信息技術）治理用于描述一個單位是否采取有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術與過程的風險，確保實現(xiàn)組織的戰(zhàn)略目標。IT治理是高級管理層的責任，考慮領導層，組織結構以確保業(yè)務目標和IT目標一致。6-40IT治理審計案例6-41IT治理審計案例6-42IT治理審計案例6-43信息系統(tǒng)審計準則與規(guī)范SOX法案COSO內部控制框架COBITGTAG6-44信息系統(tǒng)審計準則與規(guī)范6-45課程思政教學案例隨著大數(shù)據(jù)、云計算、移動互聯(lián)等技術的發(fā)展與應用，為了適用于新型網(wǎng)絡系統(tǒng)的安全保護要求，2019年5月10日，國家標準化管理委員會發(fā)布了新修訂的《信息安全技術網(wǎng)絡安全等級保護基本要求》。2022年1月，中國人民銀行印發(fā)的《金融科技發(fā)展規(guī)劃(2022—2025年)》明確提出“加快監(jiān)管科技的全方位應用，強化數(shù)字化監(jiān)管能力建設”，“筑牢金融與科技的風險防火墻”。信息系統(tǒng)審計對我國防范化解風險具有重要意義6-46什么是信息系統(tǒng)審計?什么是一般控制審計和應用控制審計?一般控制和應用控制有什么關系?為什么需要了解信息系統(tǒng)審計準則與規(guī)范?如何開展信息系統(tǒng)審計?在實際的審計工作中,如何把信息系統(tǒng)審計和電子數(shù)據(jù)審計結合起來?思考題相關參考書6-47陳偉．《審計信息化（第二版）》，高等教育出版社，2022年陳偉．《大數(shù)據(jù)審計》，中國人民大學出版社，2021年陳偉．《智能審計》，機械工業(yè)出版社，2021年陳偉．《信息系統(tǒng)審計》，高等教育出版社，2020年陳偉．《計算機輔助審計原理及應用（第四版）——大數(shù)據(jù)審計基礎》，清華大學出版社，2020年陳偉．《大數(shù)據(jù)審計理論、方法與應用》，科學出版社，2019