信息系统审计内容课件

1、信息系统审计内容信息系统审计内容目录o信息系统审计定义与内涵-回顾o信息系统的逻辑结构分析o信息系统审计的内容与程序3.1 一般控制审计内容与程序3.2 应用控制审计内容3.3 应用控制审计流程o政府投资信息化建设项目绩效指标o信息系统审计项目的质量控制信息系统审计内容1管理信息系统的定义o管理信息系统一词，最早出现于1970年，瓦尔特（Walter T.Kennevan）给它下了一个定义： 以书面或口头的形式，在合适的时间向经理、职员以及外界人员提供过去的、现在的、未来的有关企业内部及其环境的信息，以帮助他们进行决策。o高登戴维斯，是管理信息系统的创始人，于1985年给管理信息系统下了一个较

2、完整的定义：它是一个利用计算机硬件、软件，手工作业，分析、计划、控制和决策模型，以及数据库的用户-机器系统。它能提供信息，支持企业或组织的运行、管理和决策功能。信息系统审计内容1管理信息系统的标准定义o是一个以人人为主导，利用计算机硬件、软件、计算机硬件、软件、网络通信设备网络通信设备以及其他办公设备其他办公设备，进行信息收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支持企业高层决策、中层控制、基层运作的集成化的人机系统人机系统。信息系统审计内容1. 信息系统审计的定义 This process collects and evaluates evidence to

3、determine whether information system and related resources, adequately safeguard assets, maintain data and system integrity, provide relevant and reliable information, achieve organizational goals effectively, consume resources efficiently, and have in effect internal controls that provide reasonabl

4、e assurance that operational and control objectives will be met.o信息系统审计是一个过程，在此过程中搜集和评估证搜集和评估证据据以确定信息系统和相关资源是否充分保护保护资产、维持数据和系统完整性完整性、提供相关和可靠可靠信息、有有效效实现组织机构目标、有效地使用使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。Source: CISA Manual（国际ISACA协会）信息系统审计内容信息系统审计的三大类别： 从以上信息系统审计的定义，可知信息系统审计项目依目标目标不同，有三大类： o信息系统安全审计o信息系统可靠

5、性审计1.信息系统绩效审计信息系统审计内容信息系统审计的内涵oIT审计是独立的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。 o主体：第三方审计师o遵循相关标准o对信息系统的规划、开发、使用维护等一系列活动及产物进行检查和评估。o信息系统审计的要点：信息系统审计的要点：u信息系统审计的对象是计算机为核心的信息系统u信息系统审计的目的是促使信息系统安全、可靠和有效。u信息系统审计是一个过程，需要审计师的专业评价与判断。 信息系统审计内容管理政策组织结构服务器、工作站、打印机网线交换机/HUBWindows /UNIXOracle 数据

6、库2. 信息系统逻辑结构示意图-1财务报表销售收入 1000万会计核算系统销售业务系统灾难恢复与业务持续计划信息资产保护人信息系统审计内容o从构成要素上来看，信息系统有以下组成部分：n硬件n软件n网络n数据n人n管理制度信息系统审计内容2. 信息系统逻辑结构示意图-2信息系统审计内容2. 信息系统逻辑结构分析o信息系统审计的对象是信息系统，因此从上述信息系统的逻辑结构（构成要素和生命周期）可以综合分析其内容。o信息系统审计的内容应包含所有构成要素，涉及生命周期的各个阶段。信息系统审计内容3. 信息系统审计的两大主题内容 审计本质是一种控制，从控制的角度来看信息系统，通常区分为信息系统一般控制与

7、应用控制。两者的作用与范围作用与范围不同。3.1 信息系统一般控制审计（GC）3.2 信息系统应用控制审计（AC）信息系统审计内容o一般控制（GC）：确认应用系统恰当开发或实施，确保程序与数据文件的完整性，确保信息系统良好运作。一般控制的控制措施适用于所有应用系统，是一种环境上的保证。o应用控制（AC）：与具体的应用系统有关，确保数据处理完整和正确。应用控制的设计结合具体业务进行。信息系统审计内容一般控制与应用控制的关系o应用控制的有效性取决于一般控制的有效性o一般控制是应用控制的基础，当一般控制薄弱时，应用控制无法提供合理保障信息系统审计内容3.1 一般控制审计的内容-1源自：CISA Ma

8、nual（国际信息系统审计协会ISACA）一般控制审计的五大内容o评估IT治理结构的效果，确保董事会对IT决策、IT方向和IT性能的充分控制；o评估评估IT组织结构和人力资源管理；组织结构和人力资源管理；o评估评估IT战略及其起草、批准、实施和维护程战略及其起草、批准、实施和维护程序；序；o评估IT政策、标准和程序的制定、批准、实施和维护流程；o评估IT资源的投资、使用和配置实务；o评估IT外包战略和政策，以及合同管理实务；o评估监督和审计实务；o保证董事和执行层能及时、充分地获得有关的IT绩效信息IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连

9、续性计划灾难恢复和业务连续性计划信息系统审计内容3.1 一般控制审计的内容-2源自：CISA Manual（国际信息系统审计协会ISACA）IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计的五大内容o评估拟定的系统开发或采购，确保其符合组织发展目标；o评估项目管理框架和项目治理实务，确保组织在风险管理基础上，以成本效益原则达成组织的业务目标；o确保项目按项目计划进行，并有相应文档充分支持确保项目按项目计划进行，并有相应文档充分支持；o评估组织相关系统的控制机制，确保其符合组织的政策；o评估系统的开发、采

10、购和测试流程，确保其交付符合目评估系统的开发、采购和测试流程，确保其交付符合目标；标；o对系统实施定期检查，确保其持续满足组织目标，并受到有效的内部控制；信息系统审计内容3.1 一般控制审计的内容-3源自：CISA Manual（国际信息系统审计协会ISACA）信息系统审计的五大内容o评估服务管理实务，确保内部和外部服务提供商的服务等级是明确定义并受管理的；o评估运营管理，保证评估运营管理，保证IT支持职能有效满足了业支持职能有效满足了业务要求；务要求；o评估数据管理实务，确保数据库的完整性和最评估数据管理实务，确保数据库的完整性和最优化；优化；o评估能力的使用和性能监控工具与技术；评估能力的

11、使用和性能监控工具与技术；o评估变更、配置和发布管理实务，确保被详细评估变更、配置和发布管理实务，确保被详细记录；记录；o评估问题和事件管理实务，确保所有事件、问评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录，分析和解决题和错误都被及时记录，分析和解决 o评估IT基础构架（网络，软硬件）功能，确保其对组织目标的支持IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计内容3.1 一般控制审计的内容-4源自：CISA Manual（国际信息系统审计协会ISACA）信息系统审计的五大内容o 评估逻辑

12、访问控制的设计、实施和监控，确保信息资产评估逻辑访问控制的设计、实施和监控，确保信息资产的的 机密性、完整性、有效性和经授权使用；机密性、完整性、有效性和经授权使用；o 评估网络框架和信息传输的安全；评估网络框架和信息传输的安全；o 评估环境控制的设计、实施和监控，确保信息资产充分评估环境控制的设计、实施和监控，确保信息资产充分安安 全；全；o 评估保密信息资产的采集、存储、使用、传输和处置程序 的流程。IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计内容3.1 一般控制审计的内容-5源自：CISA M

13、anual（国际信息系统审计协会ISACA）信息系统审计的五大内容o评估备份和恢复准备的充分性，确保恢复运营所需信息的有效评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性和可用性；性和可用性；o评估组织的灾难恢复计划，确保一旦发生灾难，评估组织的灾难恢复计划，确保一旦发生灾难，IT处理能力可处理能力可以及时恢复；以及时恢复；o评估组织的业务连续性计划，确保评估组织的业务连续性计划，确保IT服务中断期间，基本业务服务中断期间，基本业务运营不间断的能力运营不间断的能力 IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续

14、性计划信息系统审计内容3.1 常见的一般控制审计需求o组织管理审计o信息中心职责分离审计信息中心职责分离审计o机房物理环境审计机房物理环境审计o操作系统审计o数据库审计数据库审计o网络安全审计o开发审计开发审计o运行审计运行审计o灾备审计信息系统审计内容组织管理审计目标与程序o审计目标：（1）确认企业是否制订了信息系统规划，规划是否得当（2）确定职责划分是否合理，不相容职责是否相分离，确定职责划分是否认真执行。o审计程序（1）获取被审计单位的信息系统规划文档，分析其规划是否得当，能否支持企业目标，满足业务活动需求和信息需求（2）审阅组织结构文件，如组织结构图、重要岗位的工作描述和作业流程，确认

15、各项职责划分是否合理，不相容职责是否进行了严格的分离（3）实地观察与组织控制相关的作业活动，确认各项关键职能工作是否有由不同员工担任，以及职责分离政策是否在实际作业活动中得以贯彻落实（4）观察员工的操作是否符合流程描述（5）检查用户权限，确认有关人员的权限是否与其工作描述一致。信息系统审计内容信息中心的职责分离矩阵信息系统审计内容操作系统的审计目标与程序o操作系统的审计目标：（1）验证访问权限的分配是滞与不相容职责分离的要求相一致，并符合企业的政策（2）确认企业是滞有恰当和有效的口令控制对操作系统的访问 （3）确定管理政策、程序和控制步骤是否严密有效，是否能防护操作系统不受硬件失灵，软件差错、

16、人为故障和病毒侵蚀等因素干扰o审计程序：（1）查阅企业有关不相容职责的分离政策，确定其能否实现合理的安全水平（2）检查是否建立操作系统口令制度，对口令的授予和更改程序是否合理得当（3）查阅员工招聘记录，检查选定权限的用户组和用户的权限，确定其访问权限是否与工作范围及职责一致。（4）检查员工记录，确定员工是否均有书面承诺对企业数据的责任（5）检查操作记录，确定具有权限的人员是否根据有关规定，授受了充分的安全责任（6）检查所有用户都必须拥有口令（7）审查口令标准的适当性，如长度和有效期等（8）审查锁定账户的规定和程序，在锁定账户之前，允许有多少次失败登录（9）询问操作人员，确认其是否授受过有关计算

17、病毒的培训，是否清楚病毒侵入和传播的风险（10）询问企业是否规定必须向声誉良好的软件供应商购买防病毒软件（11）审查企业的防病毒软件使用政策（12）检查系统管理员是否实施例行扫描工作站和服务器中的病毒信息系统审计内容数据库的审计目标与程序o审计目标：（1）确定数据库访问权限和优先权限是否根据用户的合法需要给预分配（2）确认数据资源控制措施是否能够保证数据资源的完整和安全（3）确定各项数据资源控制是否有效执行o审计程序：（1）检查企业政策和职责描述，确定是否是数据库管理员对创建权限表和设计用户模式负有唯一责任（2）检查程序员权限表，查证其访问数据定义语言命令的特权（3）与数据库管理员和程序员进行

18、访谈（4）检查对数据资源的接触和访问是否有严格的授权控制，授权是否恰当（5）检查系统的授权表，审计数据存取控制的有效性（6）抽查数据库访问日志，确认对数据库的访问是经过授权的（7）查阅数据资源的访问权限文件样本，判断是否规定适当的权限，权限的取得要求是滞合理（9）观察数据库管理员对数据库资源的管理活动（10）尝试访问数据资源，确认访问控制是否起作用信息系统审计内容网络安全审计目标与程序o审计目标（1）确认被审计单位信息系统的网络安全控制措施是否健全、能否使信息系统的硬件、软件和数据资源得到妥善保护；（2）确认各项网络安全措施是否有效的执行o审计程序：（1）与安全管理人员、网管人员面谈，了解其工

19、作职责及相应的安全管理过程（2）检查被审计单位的系统入侵防范控制，通信网络安全控制和病毒防范控制等安全控制制度，确认其是否健全（3）审查网络连接图，查看各计算机、终端设备及网络交换机和调制解调器等辅助系统间的通信传输连接点，盘点其数量以确保网络架构图的正确性（4）检查系统是否安装实施防火墙，评估网络架构和防火墙的配置是否正确设计（5）审查所使用的加密机制和网络安全认证机制（6）模仿入侵者访问系统，检查系统入侵防范控制有否有效（7）检查入侵访问报告，查看对入侵访问的追踪和审查记录（8）检查是否安装有防病毒软件，查看计算机病毒检测和清除的记录信息系统审计内容开发审计目标与程序o审计目标：（1）确定

20、系统开发各阶段是否严格执行了有关政策和规则；（2）确定系统实施之前是否经过全面测试，不存在重大错误和舞弊行为（3）确认系统开发各阶段的报告是否获得使用者和高层主管的认可审批（4）确定系统开发的文档记录准确完整o审计程序：（1）检查系统开发过程是否有内审人员参与，每个开发阶段结束时内审人员是否进行了审计评价（2）检查系统开发周期的文档记录是否准确完整，确认系统开发活动是否符合既定的政策与规划（3）检查系统开发各阶段的报告是否获得使用者和高层主管的认可与签署审批（4）向质量管理员询问质量管理工作，获取质量管理控制的有关文档，确认质量控制是否有效进行（5）检查系统测试文档，确认是否对系统进行了全面测

21、试信息系统审计内容运行审计目标与程序o审计目标：（1）确定是否有维护计划，维护工作是否得到负责人批准，系统是否按照维护计划进行了维护（2）确认是否存在未经授权擅自修改或更改系统的问题（3）确定维护工作是否保护了应用程序，并使程序库不受非法访问（4）确定系统维护后是否经过了充分测试，用户是否参与了系统维护后的测试工作（5）确定是否对每一次维护工作都有详细记录（6）确定系统维护后文档资料是否及时更新o审计程序：（1）检查维护计划，确认维护工作是否有详细的计划，包括维护请求、维护的性质和范围、所需要的资源，维护进度安排等（2）检查系统维护的审计手续，查看维护作业申请资料和高层主管的授权签名，确认维护

22、工作是否得到负责人的批准（3）核对应用程序的版本。如果所使用的版本与授权的版本不符，表明存在未经授权的更改应用程序的问题（4）检查系统的维护日志，确认是否对每一次维护都有详细记录，包括程序的标识、维护的类型、维护的目的、增加和修改及删除代码的地方，维护人的签名和维护日期（5）系统维护测试记录与报告，确定系统维护后在投入使用前是否进行了充分测试，用户是否参与的测试过程。（6）检查运行计划，确认维护后的系统在投入使用前得到了开发、运行、维护和用户负责人的认可与批准（7）检查系统设计报告和软件设计说明书是否按照维护计划进行了修改，是否按修改后的软件设计说明书对系统进行了维护修改（8）抽查重要应用程序

23、重新进行测试，分析评价测试结果是否正确有效（9）检查文档资料，确认系统维护后相关文档资料是否及时更新，并妥善保存。信息系统审计内容灾备审计目标与程序o审计目标：（1）确认灾难恢复计划是否适应企业的要求，实施方案是否可行和有效（2）确认灾难恢复的相应资源包括数据和设备是否做好了备份（3）评估异地存储及其安全性（4）确认灾难恢复计划测试结果是滞达到了预定目标o审计程序:（1）获取灾难恢复计划和操作手册，确认其是否为最新的计划和操作手册（2）检查所制订的灾难恢复计划是否为处理受灾企业空难的现实解决方案（3）查看备份现场，评估备份现场的安排是否恰当（4）检查关键应用程序清单是否完整，以确保可以恢复系统（5）检查关键应用程序副本是滞在非现场存储，一旦发生灾难或事故可以使用备用副本（6）检查关键数据文件是否依据灾难恢复计划进行备份（7）检查恢复与运行关键应用程序所需要的文档，支持材料和源文件是否完整并在非现场存储（8）查阅灾难恢复小组成员名单、联系方式、分担的职责及是否为在册职员（9）