信息系統(tǒng)審計(jì) 課件 【ch06】信息系統(tǒng)內(nèi)部控制審計(jì)

信息系統(tǒng)內(nèi)部控制審計(jì)第六章高等院校公共課系列精品教材信息系統(tǒng)審計(jì)一般控制審計(jì)0101組織架構(gòu)審計(jì)組織架構(gòu)審計(jì)目標(biāo)和內(nèi)容組織架構(gòu)審計(jì)的主要方法和程序組織架構(gòu)審計(jì)的目標(biāo)是：通過對信息系統(tǒng)決策與規(guī)劃、執(zhí)行與實(shí)施、風(fēng)險(xiǎn)管理、監(jiān)督機(jī)構(gòu)的評價(jià)，向管理層提供信息系統(tǒng)組織工作得到控制、監(jiān)督、持續(xù)優(yōu)化的合理保證。組織架構(gòu)審計(jì)的主要內(nèi)容包括：審查被審計(jì)單位的IT組織架構(gòu)設(shè)置、部門職責(zé)及IT人力資源招聘、選用、培訓(xùn)、考核和晉升機(jī)制等是否真實(shí)存在，以及相關(guān)管理制度等是否規(guī)范。組織架構(gòu)審計(jì)的主要方法和程序如表6-1所示。02制度體系審計(jì)制度體系審計(jì)目標(biāo)和內(nèi)容健全的信息化管理制度體系應(yīng)包括人力資源管理制度、內(nèi)部監(jiān)督制度、軟件采購制度、軟件外包制度、軟件開發(fā)制度、系統(tǒng)運(yùn)維制度等。明確各層級管理者的權(quán)責(zé)關(guān)系和溝通機(jī)制。制度體系審計(jì)的目標(biāo)是：確保被審計(jì)單位的信息化控制相關(guān)制度體系的真實(shí)性和有效性。制度體系審計(jì)的主要內(nèi)容包括：審查被審計(jì)單位的信息化管理制度體系是否真實(shí)存在，以及各層管理人員的崗位職責(zé)和權(quán)責(zé)關(guān)系是否明確，溝通渠道是否通暢。檢查人力資源管理制度，信息系統(tǒng)人才選拔、培訓(xùn)、儲備等關(guān)鍵崗位職責(zé)，績效考核等制度，評價(jià)人力資源管理對信息系統(tǒng)架構(gòu)的支持程度。檢查主要業(yè)務(wù)流程如采購管理、資產(chǎn)管理、財(cái)務(wù)管理等制度，評價(jià)相關(guān)制度對信息系統(tǒng)架構(gòu)的支持程度。02制度體系審計(jì)制度體系審計(jì)的主要方法和程序制度體系審計(jì)的主要方法和程序如表6-2所示。03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)目標(biāo)和內(nèi)容被審計(jì)單位應(yīng)設(shè)置信息化系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維等崗位，明確崗位職責(zé)，配備相應(yīng)人員，做到權(quán)責(zé)分離、獎懲合理、溝通順暢。崗位職責(zé)審計(jì)的目標(biāo)是：確保被審計(jì)單位的信息化崗位配置、崗位考核機(jī)制的真實(shí)性和有效性。03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)目標(biāo)和內(nèi)容03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)目標(biāo)和內(nèi)容03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)目標(biāo)和內(nèi)容03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)目標(biāo)和內(nèi)容03崗位職責(zé)審計(jì)崗位職責(zé)審計(jì)的主要方法和程序崗位職責(zé)審計(jì)的主要方法和程序如表6-7所示。04教育培訓(xùn)審計(jì)教育培訓(xùn)審計(jì)的目標(biāo)和內(nèi)容教育培訓(xùn)審計(jì)的目標(biāo)是：確保被審計(jì)單位的IT培訓(xùn)制度及其落實(shí)情況的真實(shí)性和有效性。教育培訓(xùn)審計(jì)的主要內(nèi)容包括：審查教育培訓(xùn)的制度體系是否健全，是否落實(shí)到位，培訓(xùn)的力度如何，培訓(xùn)的內(nèi)容是否全面和有針對性；審查教育培訓(xùn)是否有考核管理制度來保證培訓(xùn)的效果等；審查信息技術(shù)人員是否有專業(yè)領(lǐng)域的持續(xù)培訓(xùn)以加強(qiáng)專業(yè)技能。04教育培訓(xùn)審計(jì)教育培訓(xùn)審計(jì)的主要方法和程序教育培訓(xùn)審計(jì)的主要方法和程序如表6-8所示。05內(nèi)部監(jiān)督審計(jì)內(nèi)容監(jiān)督審計(jì)的目標(biāo)和內(nèi)容完善的內(nèi)部監(jiān)督制度有利于被審計(jì)單位規(guī)避由信息系統(tǒng)帶來的各種風(fēng)險(xiǎn)，保障其各項(xiàng)業(yè)務(wù)順利開展。內(nèi)部監(jiān)督審計(jì)的目標(biāo)是：確保被審計(jì)單位的IT風(fēng)險(xiǎn)管理和內(nèi)部監(jiān)督機(jī)構(gòu)設(shè)置、管理政策和流程等制度的真實(shí)性和有效性。內(nèi)部監(jiān)督審計(jì)的主要內(nèi)容包括：審查被審計(jì)單位是否明確信息系統(tǒng)監(jiān)督職能，在信息系統(tǒng)監(jiān)督部門設(shè)立信息系統(tǒng)監(jiān)督崗位；是否建立了信息系統(tǒng)審計(jì)制度；是否按照組織的要求開展信息系統(tǒng)審計(jì)。05內(nèi)部監(jiān)督審計(jì)內(nèi)部監(jiān)督審計(jì)的主要方法和程序內(nèi)部監(jiān)督審計(jì)的主要方法和程序如表6-9所示。應(yīng)用控制審計(jì)0201業(yè)務(wù)流程控制審計(jì)業(yè)務(wù)流程控制審計(jì)的目標(biāo)業(yè)務(wù)流程控制審計(jì)的內(nèi)容業(yè)務(wù)流程控制審計(jì)的目標(biāo)是：確保業(yè)務(wù)流程的有效性和合規(guī)性。一是系統(tǒng)的業(yè)務(wù)流程設(shè)計(jì)與實(shí)際業(yè)務(wù)需求相吻合，并能滿足生產(chǎn)經(jīng)營管理的需求，提高管理水平和市場應(yīng)變能力；二是保障信息系統(tǒng)平穩(wěn)、安全運(yùn)行，有較強(qiáng)的故障恢復(fù)能力；三是系統(tǒng)具有較好的業(yè)務(wù)協(xié)同能力和可擴(kuò)展性；四是防范業(yè)務(wù)流程的操作風(fēng)險(xiǎn)，為實(shí)現(xiàn)職責(zé)分離提供保證并在業(yè)務(wù)流程中得以體現(xiàn)，同時符合監(jiān)管的相關(guān)要求。審計(jì)人員需檢查被審計(jì)單位的信息系統(tǒng)的業(yè)務(wù)流程設(shè)計(jì)與實(shí)際業(yè)務(wù)的匹配度，系統(tǒng)流程設(shè)計(jì)是否符合經(jīng)濟(jì)活動的需求，是否對業(yè)務(wù)流程進(jìn)行了整合或改造來避免重復(fù)的操作，是否對關(guān)鍵業(yè)務(wù)環(huán)節(jié)和關(guān)鍵崗位采取了正確有效的控制，做到了職責(zé)分離等。評估業(yè)務(wù)流程的合理性，看系統(tǒng)功能是否能滿足經(jīng)濟(jì)業(yè)務(wù)活動的需要，突發(fā)狀況管理、應(yīng)急響應(yīng)和系統(tǒng)控制是否有效。發(fā)現(xiàn)系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)的缺陷，評價(jià)系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)的合理性和有效性，提出審計(jì)意見和建議。01業(yè)務(wù)流程控制審計(jì)業(yè)務(wù)流程控制的風(fēng)險(xiǎn)業(yè)務(wù)流程控制的風(fēng)險(xiǎn)包括：(1)核心業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程設(shè)計(jì)沒有滿足組織的需求；(2)信息系統(tǒng)的業(yè)務(wù)流程缺乏或規(guī)劃不合理，導(dǎo)致重復(fù)建設(shè)或經(jīng)營管理效率低下；(3)未統(tǒng)籌兼顧業(yè)務(wù)風(fēng)險(xiǎn)和信息科技風(fēng)險(xiǎn)，在業(yè)務(wù)信息系統(tǒng)的流程處理控制中未做風(fēng)險(xiǎn)控制的考慮；(4)業(yè)務(wù)流程中關(guān)鍵環(huán)節(jié)的相關(guān)控制點(diǎn)沒有得到有效執(zhí)行；(5)業(yè)務(wù)系統(tǒng)的接口不符合相關(guān)規(guī)范的要求，存在接口標(biāo)準(zhǔn)不統(tǒng)一、安全控制不到位的風(fēng)險(xiǎn)；(6)業(yè)務(wù)處理過程中的接口訪問權(quán)限沒有得到有效管理，存在數(shù)據(jù)泄露及被濫用的風(fēng)險(xiǎn)；(7)信息系統(tǒng)的業(yè)務(wù)流程功能對系統(tǒng)的性能和容量有一定要求時，因缺乏有效、及時的監(jiān)控，導(dǎo)致信息系統(tǒng)運(yùn)行效率低下，甚至出現(xiàn)安全事故，使信息系統(tǒng)不能正常運(yùn)行，從而無法滿足業(yè)務(wù)需求。01業(yè)務(wù)流程控制審計(jì)業(yè)務(wù)流程控制審計(jì)的主要方法和程序業(yè)務(wù)流程控制審計(jì)的主要方法和程序如表6-10所示。01業(yè)務(wù)流程控制審計(jì)業(yè)務(wù)流程控制審計(jì)的主要方法和程序02數(shù)據(jù)輸入控制審計(jì)數(shù)據(jù)輸入控制審計(jì)的目標(biāo)數(shù)據(jù)輸入控制審計(jì)的內(nèi)容業(yè)務(wù)流程控制審計(jì)的目標(biāo)是：確保輸入數(shù)據(jù)的合規(guī)性、安全性、完整性和準(zhǔn)確性。數(shù)據(jù)輸入控制審計(jì)主要對信息系統(tǒng)數(shù)據(jù)輸入操作進(jìn)行審計(jì)，評價(jià)數(shù)據(jù)輸入操作及其管理的正確性和規(guī)范性；是否在系統(tǒng)中建立用戶賬號和權(quán)限管理機(jī)制，并根據(jù)設(shè)定的權(quán)限使用數(shù)據(jù)輸入功能，以及監(jiān)督操作的規(guī)范性；是否具備日志記錄功能；同時它也是對輸入界面和數(shù)據(jù)進(jìn)行有效驗(yàn)證的再審計(jì)，以進(jìn)一步確定和評價(jià)系統(tǒng)數(shù)據(jù)輸入的有效性和合規(guī)性，以及對錯誤數(shù)據(jù)的識別和糾正能力；是否制定數(shù)據(jù)管理規(guī)范，規(guī)定數(shù)據(jù)入庫的工作流程和崗位職責(zé)，以及數(shù)據(jù)入庫工作是否嚴(yán)格按照規(guī)范和制度執(zhí)行；信息系統(tǒng)功能是否存在數(shù)據(jù)入庫控制，系統(tǒng)的數(shù)據(jù)入庫控制是否有效；是否能夠保證共享與交換數(shù)據(jù)的完整性、準(zhǔn)確性和合規(guī)性；是否能夠保證用戶通過數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)接收功能接收的數(shù)據(jù)的完整、準(zhǔn)確、可用。02數(shù)據(jù)輸入控制審計(jì)數(shù)據(jù)輸入控制的風(fēng)險(xiǎn)數(shù)據(jù)輸入控制的風(fēng)險(xiǎn)包括以下幾種。(1)職責(zé)分工不明確。(2)系統(tǒng)賬號與權(quán)限管理機(jī)制不存在或不健全。(3)系統(tǒng)的數(shù)據(jù)錄入、導(dǎo)入、修改、刪除不符合國家、行業(yè)或單位規(guī)范標(biāo)準(zhǔn)，或存在未經(jīng)許可的數(shù)據(jù)錄入、導(dǎo)入接口。(4)數(shù)據(jù)錄入、導(dǎo)入、修改、刪除的結(jié)果不準(zhǔn)確、不完整，或存在錯誤的數(shù)據(jù)輸入。(5)數(shù)據(jù)錄入、導(dǎo)入接口未設(shè)置數(shù)據(jù)校驗(yàn)控制，或設(shè)置的數(shù)據(jù)校驗(yàn)控制失效。(6)數(shù)據(jù)輸入操作無日志記錄。(7)數(shù)據(jù)校驗(yàn)功能不符合國家、行業(yè)或單位的規(guī)范標(biāo)準(zhǔn)。02數(shù)據(jù)輸入控制審計(jì)數(shù)據(jù)輸入控制的風(fēng)險(xiǎn)(8)未制定數(shù)據(jù)管理規(guī)范、數(shù)據(jù)入庫的工作流程和崗位職責(zé)，或雖然制定但沒嚴(yán)格按照制度執(zhí)行。(9)數(shù)據(jù)入庫控制功能缺失。(10)數(shù)據(jù)入庫不完整，采集的數(shù)據(jù)、緩沖區(qū)的最終數(shù)據(jù)庫數(shù)據(jù)出現(xiàn)不一致情況。(11)訪問共享數(shù)據(jù)的用戶未經(jīng)過授權(quán)。(12)共享數(shù)據(jù)的傳輸未經(jīng)加密。(13)未建立數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的制度規(guī)范。(14)備份與恢復(fù)接收數(shù)據(jù)的安全性無法得到保障，備份數(shù)據(jù)未進(jìn)行恢復(fù)測試。(15)其他輸入控制的不完善。作案者主要是系統(tǒng)的內(nèi)部用戶和計(jì)算機(jī)操作員，他們比較了解系統(tǒng)的運(yùn)行狀況和內(nèi)部控制的薄弱環(huán)節(jié)，從而利用工作上的便利實(shí)施犯罪。02數(shù)據(jù)輸入控制審計(jì)數(shù)據(jù)輸入控制審計(jì)的主要方法和程序數(shù)據(jù)輸入控制審計(jì)的主要方法和程序如表6-11所示。02數(shù)據(jù)輸入控制審計(jì)數(shù)據(jù)輸入控制審計(jì)的主要方法和程序03數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)處理控制審計(jì)的目標(biāo)數(shù)據(jù)處理控制審計(jì)的內(nèi)容數(shù)據(jù)處理控制審計(jì)的目標(biāo)是：信息系統(tǒng)的數(shù)據(jù)計(jì)算控制是否符合國家、行業(yè)或者單位的相關(guān)規(guī)定和規(guī)范；數(shù)據(jù)計(jì)算控制是否能夠按照預(yù)計(jì)條件完成數(shù)據(jù)計(jì)算過程中的正確控制。審計(jì)人員應(yīng)該對處理過程進(jìn)行抽樣，并對抽樣的處理過程進(jìn)行全程跟蹤和記錄，對數(shù)據(jù)從被系統(tǒng)接收到處理完畢之間的整個處理過程進(jìn)行檢驗(yàn)分析和評價(jià)數(shù)據(jù)處理的正確性和效率，給出信息系統(tǒng)數(shù)據(jù)處理性能的評價(jià)報(bào)告和合理建議。03數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)處理控制的風(fēng)險(xiǎn)數(shù)據(jù)處理控制審計(jì)的主要方法和程序數(shù)據(jù)處理控制的風(fēng)險(xiǎn)包括以下幾種。(1)信息系統(tǒng)的數(shù)據(jù)計(jì)算控制不符合國家、行業(yè)或單位相關(guān)規(guī)定和規(guī)范。(2)信息系統(tǒng)存在未經(jīng)許可的數(shù)據(jù)計(jì)算功能。(3)存在數(shù)據(jù)計(jì)算控制失效的情況。數(shù)據(jù)處理控制審計(jì)的主要方法和程序如表6-12所示。03數(shù)據(jù)處理控制審計(jì)04數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)輸出控制審計(jì)的目標(biāo)數(shù)據(jù)輸出控制審計(jì)的內(nèi)容數(shù)據(jù)輸出控制審計(jì)的目標(biāo)是：確保輸出數(shù)據(jù)的合規(guī)性、安全性、完整性和準(zhǔn)確性。數(shù)據(jù)輸出控制審計(jì)是對信息系統(tǒng)輸出數(shù)據(jù)的管理進(jìn)行的審計(jì)，也是對報(bào)告等系統(tǒng)輸出結(jié)果的再審計(jì)，它進(jìn)一步確定系統(tǒng)數(shù)據(jù)輸出的正確有效性和系統(tǒng)輸出數(shù)據(jù)對用戶的易接受性和易理解性，評價(jià)對系統(tǒng)輸出數(shù)據(jù)的管理的科學(xué)性和規(guī)范性，指出系統(tǒng)輸出的缺陷與不足并提出相應(yīng)的改進(jìn)建議。04數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)輸出控制的風(fēng)險(xiǎn)數(shù)據(jù)輸出控制的風(fēng)險(xiǎn)包括以下幾種。(1)職責(zé)分工不明確。(2)系統(tǒng)賬號與權(quán)限管理機(jī)制不存在或不健全，未根據(jù)用戶需要約束其使用數(shù)據(jù)信息的計(jì)算機(jī)顯示、打印、介質(zhì)復(fù)制等外設(shè)輸出功能，或雖然建立了權(quán)限控制但未建立相關(guān)約束用戶數(shù)據(jù)外設(shè)輸出操作的制度規(guī)范。(3)數(shù)據(jù)輸出操作無日志記錄。(4)敏感數(shù)據(jù)的輸出失控，缺失相關(guān)人員的許可與監(jiān)督。(5)輸出結(jié)果不正確或不準(zhǔn)確。(6)因未建立加密傳輸機(jī)制，或共享后無法確認(rèn)是否被指定用戶使用，無法確認(rèn)是否存在非法用戶獲取共享數(shù)據(jù)，從而共享數(shù)據(jù)的安全性得不到保障。(7)因備份數(shù)據(jù)未進(jìn)行恢復(fù)測試，無法確認(rèn)備份數(shù)據(jù)是否安全、完整、可用，從而導(dǎo)致數(shù)據(jù)備份和恢復(fù)的安全無法得到保障。04數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)輸出控制審計(jì)的主要方法和程序數(shù)據(jù)輸出控制審計(jì)的主要方法和程序如表6-13所示。04數(shù)據(jù)處理控制審計(jì)數(shù)據(jù)輸出控制審計(jì)的主要方法和程序05業(yè)務(wù)協(xié)同、信息共享控制審計(jì)業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的目標(biāo)業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的內(nèi)容業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的目標(biāo)是：業(yè)務(wù)協(xié)同和信息共享是否充分合理和合法性。業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的內(nèi)容包括：檢查被審計(jì)單位的信息資源目錄體系是否符合國家或行業(yè)的相關(guān)規(guī)范，是否較好地滿足各類業(yè)務(wù)和管理需要；檢查信息資源交換體系是否符合國家或行業(yè)的相關(guān)規(guī)范，是否較好地滿足信息交換的需要；檢查數(shù)據(jù)元素和數(shù)據(jù)庫表是否符合行業(yè)或組織的相關(guān)規(guī)范，是否較好地滿足信息系統(tǒng)建設(shè)、應(yīng)用和共享的需要；通過內(nèi)、外部數(shù)據(jù)的比對，確認(rèn)數(shù)據(jù)之間的一致性；檢查信息系統(tǒng)是否建立了滿足信息共享和業(yè)務(wù)協(xié)同的信息資源標(biāo)準(zhǔn)和規(guī)范，是否執(zhí)行了國家或者行業(yè)的標(biāo)準(zhǔn)化要求。通過以上審計(jì)和評價(jià)，指出系統(tǒng)輸出控制的缺陷與不足，并提出相應(yīng)的改進(jìn)建議。05業(yè)務(wù)協(xié)同、信息共享控制審計(jì)業(yè)務(wù)協(xié)同、信息共享控制的風(fēng)險(xiǎn)業(yè)務(wù)協(xié)同、信息共享控制的風(fēng)險(xiǎn)包括以下幾種。(1)職責(zé)分工不明確。(2)信息規(guī)劃、部署過程中未設(shè)置信息資源目錄體系。(3)目錄體系設(shè)計(jì)缺乏整體性，未覆蓋組織的主要信息系統(tǒng)。(4)目錄體系的要素設(shè)計(jì)不全。(5)由于信息化建設(shè)缺乏長遠(yuǎn)和統(tǒng)籌規(guī)劃，造成不同系統(tǒng)間形成彼此隔離的信息孤島問題。(6)外部數(shù)據(jù)的獲取渠道和方式存在問題，與內(nèi)部數(shù)據(jù)出現(xiàn)重大分歧和不一致。(7)通過內(nèi)、外數(shù)據(jù)驗(yàn)證，發(fā)現(xiàn)內(nèi)、外數(shù)據(jù)的完整性、正確性和真實(shí)性存在問題。(8)被審計(jì)單位未開展信息資源標(biāo)準(zhǔn)化工作，各信息系統(tǒng)之間的數(shù)據(jù)無法實(shí)現(xiàn)共享和交換。05業(yè)務(wù)協(xié)同、信息共享控制審計(jì)業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的主要方法和程序業(yè)務(wù)協(xié)同、信息共享控制審計(jì)的主要方法和程序如表6-14所示。06應(yīng)用控制審計(jì)案例審計(jì)計(jì)劃測試目的：對XX連鎖藥房銷售數(shù)據(jù)的真實(shí)性和一致性進(jìn)行應(yīng)用控制測試。通過比對核查，測試該藥房的業(yè)務(wù)管理系統(tǒng)內(nèi)記錄的有關(guān)銷售訂單和銷售金額與財(cái)務(wù)記賬信息之間是否存在差異。審計(jì)方法：采用數(shù)據(jù)庫查詢法，通過SQL查詢語句獲取業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)，分別按會計(jì)月度、門店和收款方式進(jìn)行數(shù)據(jù)匯總。首先比對匯總層級的數(shù)據(jù)，如果某一項(xiàng)匯總數(shù)據(jù)存在差異或者異常，則依據(jù)其重要性，再獲取其相應(yīng)的明細(xì)數(shù)據(jù)進(jìn)行進(jìn)一步比對。本例主要介紹匯總層級的數(shù)據(jù)核對。準(zhǔn)備工作：向客戶詳細(xì)了解業(yè)務(wù)系統(tǒng)中相關(guān)數(shù)據(jù)庫以及業(yè)務(wù)數(shù)據(jù)表的組成，并掌握各數(shù)據(jù)字段的含義以及數(shù)據(jù)表之間的關(guān)聯(lián)關(guān)系，獲取