第四章信息系统审计课件

第四章信息系统审计第四章信息系统审计第一节信息系统审计概述一、信息系统审计的内涵

信息系统审计是对被审计单位用于经营决策、业务处理、财务核算的计算机信息系统及与之相关的规划、建设、管理、使用制度的审计。二、信息系统审计的目标（一）总目标：通过对信息系统合法性、可靠性、安全性和有效性的审计，对被审计单位信息系统做出评价。第一节信息系统审计概述一、信息系统审计的内涵（二）具体目标评价电子数据的真实性、完整性分析信息系统的薄弱环节发现信息系统的非法功能和漏洞三、信息系统审计的基本流程信息系统调查信息系统控制测试信息系统初步评价信息系统分析测试信息系统综合评价（二）具体目标调查阶段信息系统内部控制初步评审内部控制可信赖吗？控制测试信息系统控制测试结果的评价内部控制可信赖吗？测试和评价补偿控制实质性测试全面评价编制审计报告退出审计提出管理建议审计结束否否内部控制的详细审查与评价计算机信息系统审计流程调查阶段信息系统内部控制初步评审内部控制可信赖吗？控制测试信第二节信息系统调查信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解，是进行信息系统审计的基础。一、了解管理体制从总体上把握被审计单位信息系统管理的基本情况。调查内容包括：信息系统的工作程序信息系统等相关部门信息系统的管理情况第二节信息系统调查信息系统调查是对被审计二、了解总体架构完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系的调查。调查内容包括：信息系统的分布情况信息系统的主要类型和数量各信息系统之间的关系信息系统的总体水平实质是数据之间的关系。包括：（1）关联关系：不同环节的系统包含的数据反映生产的不同方面，相互补充。（2）核对关系：同处关键环节都不同系统，其包含的数据存在钩稽关系，相互印证。绘制完整、详细的信息系统分布图是了解总体架构时常用的方法。二、了解总体架构实质是数据之间的关系。包括：绘制完整、详细的三、了解规划管理对信息系统建设、使用、管理情况的调查。

调查内容包括：信息系统的规划信息系统的建设信息系统的使用信息系统的维护三、了解规划管理第三节信息系统控制测试信息系统控制测试是为确定信息系统的内部控制可靠性而进行的审计工作。一、信息系统的内部控制根据控制的范围，信息系统内部控制分为：●一般控制；●应用控制。第三节信息系统控制测试信息系统控制测试是为确定信（一）一般控制是指对整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。

可具体划分为：1、组织控制：为实现组织的目标而进行的组织结构设计、权责安排和制度设计。它包括如下具体控制措施：（1）电算部门与用户部门的职责分离一般来说，应注意：所有业务均应由用户部门发起或授权电算部门不应负责资产的保管所有业务记录与主文件记录的改变均需用户部门授权所有系统的改进、新系统的应用及控制均应由受益部门发起并经高管授权，电算部门无权擅自修改程序。（一）一般控制（2）电算部门内部的职责分离对系统开发与数据处理职责应该分离对数据处理的职责进行适当分离（如凭证输入与审核）资料保管员与程序员、系统操作员等职责分离（3）业务授权

所有由电算化系统处理的业务都应经过授权（4）人事控制

包括：各人工作性质的说明；人员的选择和培训；对人的行为的监督和评价；岗位轮换；休假和合同签订。（5）领导与监督

建立内部审计机构（2）电算部门内部的职责分离2、系统开发与维护控制主要适用于那些自行设计软件的单位。（1）开发计划控制系统开发计划应经过严格审查、仔细研究和反复调查后方可实施;软件需求分析（2）开发过程的人员控制应成立信息系统开发工作领导小组，负责总体规划由系统分析员负责对原有系统进行调查分析系统的测试和试行应交由专门的测试人员或操作人员完成内部审计人员应参与信息系统的开发2、系统开发与维护控制（3）系统设计控制合规合法性控制正确性控制安全可靠性控制效率性控制可维护性控制（4）编程控制

即控制编程风险，主要方法是测试。测试技术包括：静态测试：一种人工方法，通过对程序的反复阅读或对流程图的检查来发现错误。动态测试：“白盒”测试和“黑盒”测试试运行:试运行3-6个月，验收后才能正式投入使用。（3）系统设计控制（5）系统维护控制系统的日常维护系统功能的改进和扩充（批准和授权）注意：（1）维护人员应独立于系统操作人员，最好也能独立于系统开发员。（2）实用的系统中只保留经编译的程序。（6）文档控制文档编写的规范化文档管理的系统化文档管理的制度化注意：文档资料不全，系统不能通过验收。（5）系统维护控制3、安全控制这些控制措施可以保证系统有一个良好的运行环境。（1）接触控制硬件接触控制程序资料接触控制数据文件及应用程序接触控制联机系统接触控制（2）环境安全控制这是一种预防性控制。（3）安全保密控制常见方法：对软件进行加密（4）防病毒控制3、安全控制4、硬件及系统软件控制（1）硬件控制（2）软件控制5、操作控制信息系统的使用操作应有一套完整的管理制度，包括上机守则与操作规程、上级日志记录、保密制度和操作工作计划等。4、硬件及系统软件控制（二）应用控制应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。包括：1、输入控制

保证只有经过授权批准的业务才能输入计算机信息系统；保证经批准的数据没有丢失、遗漏和篡改；保证被计算机拒绝的错误数据能改正后重新提交。（1）数据采集控制例如：建立明确的凭证编制程序；制定工作手册；合理设置使用控制总数等（2）数据输入控制

例如：编制数据输入工作内容、方法及程序要求的书面文件、事先设计规定数据格式、数据输入核对等。（二）应用控制2、处理控制对信息系统进行的内部数据处理活动的控制措施，这些控制措施往往被写入计算机程序，因此，处理控制往往又是自动控制。（1）审核处理输出（2）进行数据有效性检验（3）进行处理有效性检测（4）错误纠正控制（5）保留审计线索（6）断点技术2、处理控制3、输出控制（1）控制只有经批准的人才能执行输出操作，并要登记操作记录。（2）报表打印输出前检查应有的勾稽关系。（3）经有关人员检查后签章才送出使用或按会计档案的要求保管，未经批准的人不得接触系统的输出资料。（4）对敏感的重要输出资料应有人监督整个操作过程，输出后立即送到使用者手中。（5）打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。（6）要防止有人窜改打印队列文件内的数据。（7）输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员。3、输出控制二、关于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相关技术的控制目标。是由美国信息系统审计与控制学会ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前国际上通用的信息系统审计的标准，是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。二、关于COBIT（一）COBIT的发展历程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初单一的审计师的内控评价工具发展到目前系统的IT治理框架。（一）COBIT的发展历程（二）COBIT信息技术的控制目标

COBIT将信息技术的控制目标设定为七个：（1）有效性（Effectiveness）：是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。（2）高效性（Efficiency）：关于如何最佳（最高产和最经济）利用资源来提供信息。（3）机密性（Confidentiality）：涉及对敏感信息的保护，以防止未经授权的披露（4）完整性（Integrity）：涉及信息的精确性和完全性，以及与商业评价和期望相一致（二）COBIT信息技术的控制目标（5）可用性（Availability）：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。（6）符合性（Compliance）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。（7）信息可靠性（ReliabilityofInformation）：为管理者的日常经营管理以及履行财务报告责任提供适当的信息。（5）可用性（Availability）：指在现在和将来的商（三）COBIT的体系结构

COBIT将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。企业策略维IT资源维IT过程维

策略维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；（三）COBIT的体系结构企业策略维IT资源维IT过程维企业策略维IT资源维IT过程维

IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象；企业策略维IT资源维IT过程维IT资源维主要包括以企业策略维IT资源维IT过程维

IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。企业策略维IT资源维IT过程维IT过程维则是在IT准则三、控制测试★一般控制的测试审计目标：获取证据，以证实被审计单位在被审计期间有关的制度和规程是否健全；计算机信息系统是否按规定的制度和规程工作的；控制的作用是否达到预期的结果。三、控制测试（一）对组织控制的测试1、测试关键点：完整获取被审单位工作规章制度和员工管理制度。2、测试方法：（1）阅读工作规章制度和员工管理制度，检查有关政策程序是否存在；（2）与被审计单位管理层交谈，了解组织结构及部门设置等情况；（3）向相关部门人员询问，确定信息系统的使用状况；（4）实地观察业务的处理和系统的操作，关注职责分离情况。（一）对组织控制的测试（二）对系统开发与维护控制的测试1、测试关键点：对信息系统开发和维护管理制度完善性的检查。2、测试方法：（1）查阅内审人员审查系统开发和维护工作的工作底稿；（2）了解系统的测试方法，查阅测试的数据和结果；（3）关注系统试运行阶段的运行情况，查实系统在正式投入使用时是否经过最后的授权批准；（4）检查信息系统是否编有完整的文档资料，并查阅这些资料，将其复印下来作为审计工作底稿以备用。（5）若是再次审计，则不必审查系统的开发和测试，只需审查自上次审计以来系统所作的维护改进。查实修改是否经过批准；修改后是否经过测试；有无对修改作详细的文档记录。（二）对系统开发与维护控制的测试（三）对系统安全控制的测试1、测试关键点：对信息系统运行环境、管理制度安全性的检查。2、测试方法：（1）实地观察信息系统的运行环境；（2）检查预防灾害（防火、防水、防尘、防潮）的控制措施；（3）检查预防电源变化的控制措施；（4）检查预防计算机病毒侵害的措施；（5）实地观察以证实只有经过授权的人才能接触系统的设备和资料。（6）确定只有经过授权的人员才可能获得密码的使用权。（三）对系统安全控制的测试（四）对系统硬件和软件控制的测试硬件和系统软件是由计算机厂商提供的，一般来说，其功能和控制时较可靠的。它们的审查一般与整个计算机信息系统的处理和控制功能审查一起执行，较少单独审查。当系统软件有多种可选择的功能和控制时，审计人员应注意被审计单位选择了哪些功能，是否充分利用了其控制。

硬件、系统软件功能和控制的审查要利用计算机辅助审计。（四）对系统硬件和软件控制的测试（五）对操作控制的测试1、测试关键点：对数据资源的使用环境和数据资源的操作管理制度完善性的检查。2、测试方法：（1）检查有无操作管理制度并阅读有关制度确定是否规范；（2）实地察看操作人员的操作情况，是否按照操作手册中规定的操作步骤进行操作；（3）检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则；（4）检查是否存在详细的操作日志记录，确定记录的完整性和恰当性；（5）检查当系统出现异常情况时，有无及时恢复系统操作的方法。（五）对操作控制的测试★应用控制的审计审计目标：获取证据，以证实被审计单位是否存在相应的技术措施来保证数据的正确性、合理性、安全性和完整性；应用系统本身是否存在漏洞和功能缺陷；评价信息系统的可靠性、效果和效率。★应用控制的审计（一）对输入控制的审计1、测试关键点：对输入程序技术性控制措施的检查。2、测试方法：（1）了解信息系统的输入程序，对输入操作的控制进行检查，确定操作人员已获取授权；（2）实施分析程序，确定输入数据的正确性、合理性、完整性；审计人员输入不正确的数据，系统是否提示输入出错并拒绝接收；信息系统是否提供复核功能，系统仅接收输入与复核完全一致的数据；对比分析输入的数据与系统其他数据是否满足一定的勾稽关系；（3）检查输入界面，是否简单、清晰、具有可操作性；（4）询问系统操作员对错误业务的处理方法；（5）抽查被审期间的出错业务，跟踪检查其改正和重新提交过程，以证实有关控制措施的有效性。（一）对输入控制的审计（二）对处理控制的审计1、测试关键点：对信息系统处理程序的控制措施的检查。2、测试方法：（1）对信息系统处理程序中确保系统处理结果正确性、完整性和合理性的控制进行检查；阅读信息系统设计说明书，确定系统存在有关的自动检查功能；询问系统设计或操作人员，系统的处理过程是否正常且一贯；获取系统数据处理的流程图，检查其合理性、完整性；审计人员模拟一个不满足处理条件的数据，系统是否能提示出错并拒绝处理；测试数据法和数据验证法的使用。（2）对信息系统处理程序中确保系统处理结果安全性的控制进行检查。（二）对处理控制的审计（三）对输出控制的审计1、测试关键点：对信息系统输出程序的正确性、完整性和及时性及安全性进行检查。2、测试方法：（1）了解系统的输出资料是如何处置的，有无健全的检查、保管和分发制度；（2）实地观察系统的输出情况，跟踪输出的资料的分发和保管；（3）检查输出信息的安全性控制，包括是否有人负责审视输出资料，是否有人核对输入输出控制总数等；（4）通过咨询和察看对输出信息的格式进行检查；（5）询问并检查输出的信息是否能够满足使用部门的需要。（三）对输出控制的审计★控制矩阵在信息系统内控测试中的应用（一）控制矩阵概述（controlmatrix）控制矩阵是一个控制目标及其相关控制措施的列表。包括三个基本的元素：（1）控制目标。分为经营系统的控制目标和信息系统的控制目标两类。（2）控制措施。指为了确保系统目标的实现所应采取的各种合理、有效的控制措施。（3）单元内容。在控制矩阵中，位于某项控制措施和控制目标的行和列的交汇处的矩形方框，称为单元。其内容为是否打勾。★控制矩阵在信息系统内控测试中的应用（二）控制矩阵的编制方法◆

基本表的编制1．对系统进行全面、透彻的分析和深入的了解。了解和分析的内容包括系统的功能、任务、目标、业务处理的程序、步骤以及易发生错误和舞弊的环节。可通过分析系统流程图、数据流程图、功能结构图及对系统的有关文字描述等方面而得出。2．定出系统控制目标。包括经营系统的控制目标和信息系统的控制目标3．在对现有的信息系统进行调查分析的基础上，列出系统现有的控制措施。4．根据每一项措施对那些控制目标所起作用，在相应的单元中打上"√"。（二）控制矩阵的编制方法◆

表的完善5．分析这些单元内容所反映的状况判断控制系统是否恰当地对所有的控制目标进行了必要的控制，把分析结果填入“原有控制措施分析底稿”上，最后反复推敲，提出处置建议，填入分析底稿的处置建议栏。6．扩充控制矩阵的行数，增加修改后的控制措施栏，填入修改后的控制措施，并根据每一项措施针对的控制目标，在相应的单元中打"√"。7．针对系统控制的不足，提出需增加的控制措施，扩充控制矩阵填入新增加的措施，并根据每一项措施针对的控制目标，在相应的单元中打"√"。8．最后，在控制矩阵的底部，对需要说明的事项（如控制目标的详细内容等）以注释的形式进行详细的说明。◆表的完善（三）控制矩阵的作用和使用方法1．通过控制矩阵，可以了解现有控制系统的有效性、完整性。通过控制矩阵，可以很明了地看出现有控制系统的每一项目标是否都有控制措施来加以保证，从而便于我们对现有控制系统的有效性、完整性做出评价。2．通过控制矩阵，可以了解现有控制系统的控制效率。当系统中的某项控制措施对多项控制目标有效时，则可定性地认为该控制措施是经济、高效、符合成本效益原则的。3．通过控制矩阵，可以了解现有控制系统所存在的优缺点，以利于我们对控制系统进一步加以改进、完善。那些系统不可或缺的控制措施和能同时对多个目标起作用的控制措施，构成原有控制系统的主要优点。那些过分控制、控制不足或不符合成本效益原则的控制措施构成原有控制系统的基本缺点；（三）控制矩阵的作用和使用方法（四）利用控制矩阵模型辅助信息系统控制审计步骤1．通过调查询问、查阅系统的文档资料、跟踪系统的一些业务处理等了解计算机信息系统现有的内部控制，包括一般控制、应用控制，并用文字描述法、内部控制问卷法或流程图法记录与描述系统的内部控制。2．根据对系统控制的了解画出系统的控制矩阵。3．分析控制矩阵，对各控制目标是否有完善的控制措施、已有的控制措施是否恰当进行中肯的评价和提出恰当的建议。（四）利用控制矩阵模型辅助信息系统控制审计步骤4．根据上述建议修改、完善原控制矩阵。5．对系统原有的必要控制措施进行符合性审计，确定这些控制的有效性。6．对系统的内部控制提出审计意见，包括对系统内部控制（包括控制的强点与薄弱环节）的评价和改进的建议（包括应增加与强化的控制和可减少的重复控制）。4．根据上述建议修改、完善原控制矩阵。第四节信息系统初步评价信息系统初步评价是对系统调查和控制测试的系统分析,评价的主要内容包括三个方面:●信息系统安全性●信息系统包含数据的真实、完整性●信息系统中的薄弱点第四节信息系统初步评价信息系统初步评价是对系统调一、信息系统的安全性1、审计人员应评价系统运行环境和系统数据的安全性，包括数据的产生、传输、存储的安全性。2、对系统安全性的评价主要依据系统调查和控制测试掌握的情况来完成，信息系统分析测试中将不再涉及此项工作内容，因此，信息系统初步评价中对信息系统安全性的评价将直接在信息系统综合评价中反映。一、信息系统的安全性二、信息系统包含数据的真实性、完整性1、审计人员应通过对信息系统功能及相关制度的关注，评价信息系统中包含电子数据的真实性、完整性。2、电子数据真实性、完整性评价是计算机数据审计中数据采集方案制定、数据验证方法选择、数据分析重点确定的重要依据。二、信息系统包含数据的真实性、完整性三、信息系统中的薄弱点1、审计人员应指出系统之间关联关系的建立、系统运行管理控制等方面存在的薄弱环节。2、发现信息系统的薄弱点是为被审计单位改进管理，防范风险提出合理化建议的需要，也是为计算机数据审计确定重点的需要。三、信息系统中的薄弱点第五节信息系统分析测试信息系统分析测试的主要目标是发现信息系统中存在的漏洞、功能的不足以及可能存在的非法模块。●功能分析●处理逻辑分析●数据对比分析●数据追踪分析第五节信息系统分析测试信息系统分析测试的主要目标一、功能分析

目的：分析系统功能上存在的不足。有时也称之为功能审计。重点：对业务的特点和需求有清晰的认识，也可通过信息系统的使用情况来分析信息系统功能能否满足业务需求。一、功能分析二、处理逻辑分析目的：对信息系统处理数据来源是否正当、数据处理方法是否科学合法的分析。包含的内容：（1）信息系统的数据来源；（2）信息系统的数据处理过程，包括数据处理逻辑、方法和数据处理流程；（3）信息系统的数据流向。核心：对信息系统数据处理方法是否科学合法的分析。二、处理逻辑分析三、数据对比分析包含的内容：（1）掌握信息系统的数据输入和输出情况；（2）结合数据审计，筛选问题线索；（3）对比分析信息系统的输入、输出数据以及问题线索，查找信息系统自身存在的问题。重点：依据计算机数据审计中发现的问题线索，反推信息系统存在的问题，这是信息系统审计和计算机数据审计的重要结合点。三、数据对比分析四、数据追踪分析目的：通过选取典型数据，追踪处理结果，进而判断系统处理的功能是否正确有效。包含的步骤：（1）了解信息系统应有的处理和控制功能；（2）针对系统应用的特点，选取部分典型数据；（3）跟踪数据处理过程和处理结果；（4）分析数据处理结果的差异原因。重点：选取典型数据，选择的数据既要符合该系统处理的数据的特点，又要具有突出的特征能够发现问题。四、数据追踪分析五、常用的方法测试数据法受控处理法整体测试法平行模拟法程序比较法五、常用的方法(一)测试数据法

测试数据法——将一组针对系统应有功能而设计的测试数据输入被审的系统进行处理，将处理的结果与应有的正确结果进行比较，进而判断系统处理的处理与控制功能是否正确有效的一种系统功能审查方法。检测业务数据被审程序手工处理被审程序处理结果预期结果比较核对(一)测试数据法检测业务数据被审程序手工处理被审程序采用测试数据法进行审查的步骤:1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2．针对系统应有的功能设计测试业务数据，并根据系统应有的功能准备这些业务处理应有的正确结果（又称预期结果）。3．在专门的测试时间里，把测试数据输入被审系统处理，得到处理结果。4．把实际的处理结果和预期的正确结果进行比较，进而判断系统的功能是否正确有效。采用测试数据法进行审查的步骤:测试数据的准备:1.测试数据应包括下列两大类：（１）正常的、无误的业务数据。它们用于审查系统的业务与信息处理功能是否恰当。（２）有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否存在和有效。2.在准备测试业务数据时，审计人员要注意系统功能的覆盖。测试数据的准备:应用测试数据法要注意的问题：1.要注意证实被审查的应用程序是被审单位现时真正使用的程序版本。2.此方法只能证明在处理测试数据时系统的功能是否正确，但它不能保证其他期间系统的功能是否正确、可靠。应用测试数据法要注意的问题：测试数据法的优缺点1.优点：适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。2缺点：可能不能发现程序中所有的错弊。测试数据法的优缺点（二）受控处理法受控处理法——审计人员通过监控系统对各类真实业务的处理并检查其处理结果，进而判断系统功能是否正确。（二）受控处理法受控处理法——审计人员通过监控系采用受控处理法进行审查的步骤1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2．在系统正常的运行中，审计人员监控系统对各类真实业务的处理，取得相应的处理结果；同时，审计人员根据正确的处理原则对相应的业务处理，得到正确的处理结果。3．把系统处理结果与正确结果比较，从而判断被审系统功能是否正确有效。采用受控处理法进行审查的步骤受控处理法的优缺点:1.优点：简单、易行，不用准备测试数据，对审计人员的计算机技术水平要求不高。2.缺点：在某一时间里，真实业务可能不能覆盖系统的所有功能，此方法可能不能发现系统存在的所有问题。受控处理法的优缺点:解决真实业务不能覆盖系统功能的方法1.审计人员应详细了解被审单位的各类真实业务发生和处理的时间，根据实际情况确定测试日期。测试可以安排在多个不同的工作日，甚至持续一段时间。2.对于系统的控制功能，常要通过一些不完整、不正常、不合理的业务输入系统进行检查。解决真实业务不能覆盖系统功能的方法(三)整体测试法(ITF)整体测试法——根据系统是用同一应用程序处理各分公司（或部门、或其他个体）业务的原理，通过审查系统对虚构公司测试业务的处理结果来判断系统的功能是否正确。比较核对预期结果虚拟业务处理结果实际业务处理结果手工处理被审程序或系统实际业务数据虚拟实体业务数据(三)整体测试法(ITF)整体测试法——根据系统采用整体检测法进行审查的步骤:1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。

2．在被审系统中建立一个虚拟的公司（根据所审查的程序功能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系统应有的功能，设计与虚拟公司有关的测试业务，并准备这些测试业务处理应有的正确结果。3．在被审系统正常运行时，把虚构公司的测试数据和被审单位的真实数据一起输入系统处理。

4．把系统对虚拟公司测试业务的处理结果与应有的正确结果比较，从而判断被审系统的处理和控制功能是否正确。采用整体检测法进行审查的步骤:整体检测法的优缺点:1.优点：具有测试数据法同样的优点。与测试数据法相比，它是动态的审查方法，可确定系统在真实业务处理时的功能是否正确。2.具有测试数据法同样的缺点。与测试数据法相比，因为它是在系统真实业务处理中对系统进行测试的，若对测试数据没有良好控制，可能会影响被审单位的真实数据。整体检测法的优缺点:消除测试数据对被审单位真实数据影响的方法：

1．处理虚拟公司的测试业务后，尽快向系统输入冲消业务，以冲回测试业务对系统业务和汇总信息的影响。2．在被审系统中嵌入审计程序，对审查用的测试业务进行标记，嵌入的审计程序可对标记的业务进行过滤，防止这些业务进入汇总信息或输出与其相联系的重要单据（如发货单、支票、发票等）的输出。消除测试数据对被审单位真实数据影响的方法：（四）平行模拟法平行模拟法——又叫并行模拟法，它是通过比较被审系统和模拟系统对被审单位真实业务处理的结果来判断被审系统功能是否正确的一种系统功能的审查方法。模拟程序处理结果处理结果比较被审程序实际业务数据（四）平行模拟法平行模拟法——又叫并行模拟法，它采用平行模拟法进行审计的步骤：1．通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。2．审计人员取得一套具有被审系统应有的处理和控制功能、且功能正确的模拟系统。模拟系统可以专门开发，也可以通过别的途径取得，例如购买商品化通用软件。3．把被审单位真实的业务数据分别输入模拟系统与被审系统进行处理，并分别得出处理结果。4．把两者的处理结果进行比较，从而确定被审系统功能是否正确。采用平行模拟法进行审计的步骤：平行模拟法的优缺点1.优点：一旦取得了模拟程序，可以随时对被审系统进行抽查，也可以用模拟系统重新处理全部的真实业务数据，进行比较全面的审查。2.缺点：模拟系统的开发通常需要花费较长的时间，开发或购买费用都较高；而且，如果实际使用的系统更新，则模拟系统亦要随之更新，相应要增加费用。平行模拟法的优缺点（五）程序比较法程序比较法——是一种通过把被审程序与标准程序进行比较，进而确定二者是否一致，被审程序功能是否正确的一种审查方法。（五）程序比较法程序比较法——是一种通过把被审程序与采用程序比较法进行审计的步骤1．被审的应用程序曾被审查过且证实其处理与控制功能正确有效。审计人员保存了一份该程序的备份，且确保没人可改动它。2．审计时，审计人员使用专门的程序比较软件来比较在用的被审程序和此备份程序，确定两者是否有差异，进而确定在用的被审程序是否被改动过，功能是否正确。采用程序比较法进行审计的步骤程序比较法的具体采用1.比较源程序：要注意确保真实运行的程序由被审源程序编译而成。2.比较目标程序：发现差异时很难判断差异带来的后果。程序比较法的具体采用程序比较法的优缺点：1.优点：这种方法因为比较的是程序的本身，因此能发现被审程序的任何改动。2.缺点：要使用程序比较软件，而且当发现两者有差异时，要进一步判断修改后的程序功能是否恰当比较困难。程序比较法的优缺点：第六节信息系统综合评价一、综合评价的目的信息系统综合评价的主要目标是将审计中发现的信息系统存在的问题按照审计需要进行总结、归纳，以报告的形式进行反映。二、评价技术对信息系统安全性的评价技术对信息系统可靠性的评价技术对信息系统有效性的评价技术综合评价模型第六节信息系统综合评价一、综合评价的目的信息系统安全性及其评价数据安全性资产安全性总体安全性评价方法：计算资产被破坏、盗窃或以非法目的使用后所造成的预期损失。评价方法：取决于审计目标和数据项的性质，着重关注内部控制系统。控制矩阵确定性模型贝叶斯模型假设因资产保护不当造成损失，其中预期损失额为700000元的概率为0.4，损失额为900000元的概率为0.5，损失额为1100000元的概率为0.1。预期的总损失额为700000*0.4+900000*0.5+100000*0.1=840000信息系统安全性及其评价资产安全性总体评价方法：计算资产被破坏贝叶斯模型系统的状态安全P（S）不安全P（US）审计师的决定肯定P（F）正确的决定P（F|S）引起损失：0元错误的决定P（F|US）引起损失：X1元否定P（UF）错误的决定P（UF|S）引起损失：X2元正确的决定P（UF|US）引起损失：0元贝叶斯模型的运用可以看作一个循环的过程：开始于对系统是否安全的先前估计，随着新证据的不断获得，逐步对先前的评估值进行校验更新，直到某一个阶段，审计师可以适时地停止新证据的收集而站在一个宏观的角度上对整个系统的安全性做一个全局性判断。贝叶斯模型系统的状态安全P（S）不安全P（信息系统可靠性及其评价软件可靠性可靠度故障强度平均故障间隔时间平均故障修复时间

可靠性模型R＝p＋(1－p)P(e)P(c)

系统的可靠性是指系统在规定的时间内无故障运行的概率，通常被分为硬件的可靠性和软件的可靠性。信息系统可靠性及其评价可靠度故障强度平均故障平均故障信息系统有效性及其评价明确评价目标评价费用的预算明确性能指标构建负荷模型构建系统模型进行实验结果分析给出建议图信息系统有效性评价过程评价技术信息系统有效性及其评价明确评价目标评价费用的预算明确性能指标综合评价模型系统质量信息质量有用性感受对计算机使用能力的判断易用性感受使用情况：量、类型信息系统满意度对个人的影响对组织的影响系统特性使用者两者结合综合评价模型系统质量信息质量有用性感受对计算机使用能力的判断综合评价模型信息系统对组织的影响

主要从两个方面关注信息系统对组织的影响：一是组织有效性；二是经济有效性。1、组织有效性评价方法：竞争价值模型①组织有效性分解成两维：

焦点维和结构维②不同的维度诠释了组织不同的目标，一个有效的组织必须能有效地平衡这些目标，以避免企业陷入困境。③审计师必须全面领会组织的各个目标追求，对这些目标进行综合分析，以此对信息系统进行评价。开放系统模型人际关系模型常规目标模型

内部处理模型柔性结构稳定结构内部焦点外部焦点综合评价模型信息系统对组织的影响柔性结构稳定结构内部焦点外部综合评价模型信息系统对组织的影响2、经济有效性评价信息系统对组织的利润率产生多大贡献。①

生产力悖论：我们总是可以观察到组织在继续向信息技术投入，但我们很难确定哪些投入得到了物化？或者：为什么信息技术投入的回报甚少甚至没有，但组织仍然继续投入资金？②审计时，关注三个问题：

投入是否提高了企业生产力？

投入是否提高了利润率？投入是否创造了客户价值？

综合评价模型信息系统对组织的影响综合评价模型③评价信息系统经济有效性的四个步骤：

第一步：

确定信息系统的收益；

区分信息系统的收益是否体现在生产力的增长、利润率的增长？区分信息系统的收益是有形的，还是是无形的？

第二步：确定信息系统的成本；

两类成本：信息系统实施成本；系统运行成本。

第三步：对信息系统的收益与成本进行估价；估价方法：分类估价法；排序估计法；细分估价法等。第四步：求出信息系统的净现值。综合评价模型③评价信息系统经济有效性的四个步骤：COBIT认证

CobiTFoundation认证是由国际信息系统控制协会(ISACA)联合全球著名的IT治理与IT管理培训的领导厂商itpreneurs共同开发,在全世界都能举办的考试,符合考试资格的人员通过考试后授予COBITFoundation认证。一、考试详情

这项考试包含40道单选题，要求1个小时内完成。要通过这项考试，必须答对至少28道题，也就是正确率至少在70%以上。考试在网上进行。COBIT认证二、考试范围考试涉及CobiTFoundation课程所包括的对以下方面的理解：

◎IT管理问题如何影响整个组织

◎IT治理的原则，IT治理如何帮助解决IT管理问题，以及谁应对IT治理负责？

◎由IT治理需求推动的对控制框架的需求

◎CobiT如何满足IT治理框架的需求

◎CobiT如何与其它标准和实践结合使用

◎CobiT框架以及CobiT的所有组成部分（控制目标、控制实践、管理指南、审计指南）

◎如何在实际情况中应用CobiT

◎运用CobiT的收益

◎ITGI（信息科技管理研究所）提供的产品与支持二、考试范围COBIT采用关键目标指示KGI（KeyGoalIndicators）表达一个过程要达到哪些目标，KGI可以与著名的绩效考核方法“平衡记分法”中的绩效指标相关联。为了衡量每个过程在“多大程度”上达到了KGI，COBIT设置了“关键性能指示（KPI）”（KeyPerformanceIndicators）。每个过程达到的关键性能指示（KPI）的程度则用六个成熟度级别来表示，它们是：0-混沌（根本不存在）、1-初始级；2-可重复级、3-可定义级、4-可管理级、5-优化级。COBIT采用关键目标指示KGI（Key信息及资源的关系见上图.可以看到，IT资源是将事件转换为信息的装置，COBIT将这个装置形象地描述为一个圆柱体，圆柱体的核心是数据，数据外围包裹着由“技术”、“（IT）设施”、“人员”组成竖井，竖井外包围的是“应用（系统）”。信息及资源的关系见上图.可以看到，IT资源是将事件转换为信

计算中心的安全和控制（1）物理位置的选择。计算中心应远离人造和自然灾害多发的地方，例如加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等。（2）建筑最好是单层的坚固建筑（防地震），电线电缆等应埋入地下，窗户应紧闭，装上空气过滤器以防尘，安装空调机、抽湿机等。计算中心的安全和控制（1）物理位置的选择。（3）访问控制。要锁门及设门卫，进出登记，有闭路电视或摄像系统、报警系统等监视，防止未经授权的人进入。（4）火灾监控。安装烟雾探测器和自动报警系统，重要之处放上灭火装置。（5）电源控制。计算中心应配备稳压电源和配备不间断电源。（6）灾难恢复计划。（3）访问控制。要锁门及设门卫，进出登记，有闭路电视或摄像系灾难恢复队伍可参考下图：灾难恢复队伍可参考下图：

数据通信的安全控制（1）防火墙（Firewall）。它是置于一个单位内部网与外部网之间，用于防止外部访问者入侵系统的软件和硬软件组合，可检查内部网外来的访问者的权限级别而自动堵塞或引导到相应的程序、数据和服务器上，也可分隔局网内不同部分之间的访问。防火墙一般分过滤型和代理服务器型。数据通信的安全控制（1）防火墙（Firewall）。（2）一次性口令（One-timePassword）。访问网络的用户需使用一个智能卡，它与存储在服务器上的相应软件同步地每６０秒产生一个相同的密码，不同的用户的智能卡有不同的同步密码，且每次产生的密码是不同的。当用户访问网络时，首先必须输入用户标识PIN，然后输入自己智能卡上当前显示的密码。这样黑客即使使用循询方法，也很难得到你当时的准确密码。某人即使检到了你的智能卡，但他不知道你的ＰＩＮ，也无法冒充你。（2）一次性口令（One-timePassword）。另一种一次性口令的产生方法是所谓挑战/应战方式。当用户登录网络时，网络防火墙的授权软件发出一个6位的挑战字给用户的计算机，用户的智能卡可接收挑战字，经智能卡的内置密码生成程序产生一个即时应战密码于显示屏上，用户键入此密码即可登录网络。另一种一次性口令的产生方法是所谓挑战/应战方式。当（3）发数字证书（DigitalCertification）其内容包括：证书所有者的姓名。证书所有者的公钥。公钥及证书的有效期。颁发证书的单位名称。数字证书的序列号。颁发证书单位的数字签名。数字证书发布于用户自己的网页上，供交易对手查阅，从而确信交易对手的合法性。（3）发数字证书（DigitalCertification第四章信息系统审计第四章信息系统审计第一节信息系统审计概述一、信息系统审计的内涵

信息系统审计是对被审计单位用于经营决策、业务处理、财务核算的计算机信息系统及与之相关的规划、建设、管理、使用制度的审计。二、信息系统审计的目标（一）总目标：通过对信息系统合法性、可靠性、安全性和有效性的审计，对被审计单位信息系统做出评价。第一节信息系统审计概述一、信息系统审计的内涵（二）具体目标评价电子数据的真实性、完整性分析信息系统的薄弱环节发现信息系统的非法功能和漏洞三、信息系统审计的基本流程信息系统调查信息系统控制测试信息系统初步评价信息系统分析测试信息系统综合评价（二）具体目标调查阶段信息系统内部控制初步评审内部控制可信赖吗？控制测试信息系统控制测试结果的评价内部控制可信赖吗？测试和评价补偿控制实质性测试全面评价编制审计报告退出审计提出管理建议审计结束否否内部控制的详细审查与评价计算机信息系统审计流程调查阶段信息系统内部控制初步评审内部控制可信赖吗？控制测试信第二节信息系统调查信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解，是进行信息系统审计的基础。一、了解管理体制从总体上把握被审计单位信息系统管理的基本情况。调查内容包括：信息系统的工作程序信息系统等相关部门信息系统的管理情况第二节信息系统调查信息系统调查是对被审计二、了解总体架构完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系的调查。调查内容包括：信息系统的分布情况信息系统的主要类型和数量各信息系统之间的关系信息系统的总体水平实质是数据之间的关系。包括：（1）关联关系：不同环节的系统包含的数据反映生产的不同方面，相互补充。（2）核对关系：同处关键环节都不同系统，其包含的数据存在钩稽关系，相互印证。绘制完整、详细的信息系统分布图是了解总体架构时常用的方法。二、了解总体架构实质是数据之间的关系。包括：绘制完整、详细的三、了解规划管理对信息系统建设、使用、管理情况的调查。

调查内容包括：信息系统的规划信息系统的建设信息系统的使用信息系统的维护三、了解规划管理第三节信息系统控制测试信息系统控制测试是为确定信息系统的内部控制可靠性而进行的审计工作。一、信息系统的内部控制根据控制的范围，信息系统内部控制分为：●一般控制；●应用控制。第三节信息系统控制测试信息系统控制测试是为确定信（一）一般控制是指对整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。

可具体划分为：1、组织控制：为实现组织的目标而进行的组织结构设计、权责安排和制度设计。它包括如下具体控制措施：（1）电算部门与用户部门的职责分离一般来说，应注意：所有业务均应由用户部门发起或授权电算部门不应负责资产的保管所有业务记录与主文件记录的改变均需用户部门授权所有系统的改进、新系统的应用及控制均应由受益部门发起并经高管授权，电算部门无权擅自修改程序。（一）一般控制（2）电算部门内部的职责分离对系统开发与数据处理职责应该分离对数据处理的职责进行适当分离（如凭证输入与审核）资料保管员与程序员、系统操作员等职责分离（3）业务授权

所有由电算化系统处理的业务都应经过授权（4）人事控制

包括：各人工作性质的说明；人员的选择和培训；对人的行为的监督和评价；岗位轮换；休假和合同签订。（5）领导与监督

建立内部审计机构（2）电算部门内部的职责分离2、系统开发与维护控制主要适用于那些自行设计软件的单位。（1）开发计划控制系统开发计划应经过严格审查、仔细研究和反复调查后方可实施;软件需求分析（2）开发过程的人员控制应成立信息系统开发工作领导小组，负责总体规划由系统分析员负责对原有系统进行调查分析系统的测试和试行应交由专门的测试人员或操作人员完成内部审计人员应参与信息系统的开发2、系统开发与维护控制（3）系统设计控制合规合法性控制正确性控制安全可靠性控制效率性控制可维护性控制（4）编程控制

即控制编程风险，主要方法是测试。测试技术包括：静态测试：一种人工方法，通过对程序的反复阅读或对流程图的检查来发现错误。动态测试：“白盒”测试和“黑盒”测试试运行:试运行3-6个月，验收后才能正式投入使用。（3）系统设计控制（5）系统维护控制系统的日常维护系统功能的改进和扩充（批准和授权）注意：（1）维护人员应独立于系统操作人员，最好也能独立于系统开发员。（2）实用的系统中只保留经编译的程序。（6）文档控制文档编写的规范化文档管理的系统化文档管理的制度化注意：文档资料不全，系统不能通过验收。（5）系统维护控制3、安全控制这些控制措施可以保证系统有一个良好的运行环境。（1）接触控制硬件接触控制程序资料接触控制数据文件及应用程序接触控制联机系统接触控制（2）环境安全控制这是一种预防性控制。（3）安全保密控制常见方法：对软件进行加密（4）防病毒控制3、安全控制4、硬件及系统软件控制（1）硬件控制（2）软件控制5、操作控制信息系统的使用操作应有一套完整的管理制度，包括上机守则与操作规程、上级日志记录、保密制度和操作工作计划等。4、硬件及系统软件控制（二）应用控制应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。包括：1、输入控制

保证只有经过授权批准的业务才能输入计算机信息系统；保证经批准的数据没有丢失、遗漏和篡改；保证被计算机拒绝的错误数据能改正后重新提交。（1）数据采集控制例如：建立明确的凭证编制程序；制定工作手册；合理设置使用控制总数等（2）数据输入控制

例如：编制数据输入工作内容、方法及程序要求的书面文件、事先设计规定数据格式、数据输入核对等。（二）应用控制2、处理控制对信息系统进行的内部数据处理活动的控制措施，这些控制措施往往被写入计算机程序，因此，处理控制往往又是自动控制。（1）审核处理输出（2）进行数据有效性检验（3）进行处理有效性检测（4）错误纠正控制（5）保留审计线索（6）断点技术2、处理控制3、输出控制（1）控制只有经批准的人才能执行输出操作，并要登记操作记录。（2）报表打印输出前检查应有的勾稽关系。（3）经有关人员检查后签章才送出使用或按会计档案的要求保管，未经批准的人不得接触系统的输出资料。（4）对敏感的重要输出资料应有人监督整个操作过程，输出后立即送到使用者手中。（5）打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。（6）要防止有人窜改打印队列文件内的数据。（7）输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员。3、输出控制二、关于COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology

，即信息和相关技术的控制目标。是由美国信息系统审计与控制学会ISACA（InformationSystemsAuditandControlAssociation）提出的IT治理控制框架，它是目前国际上通用的信息系统审计的标准，是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。二、关于COBIT（一）COBIT的发展历程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年5月，COBIT4.1逐步由最初单一的审计师的内控评价工具发展到目前系统的IT治理框架。（一）COBIT的发展历程（二）COBIT信息技术的控制目标

COBIT将信息技术的控制目标设定为七个：（1）有效性（Effectiveness）：是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。（2）高效性（Efficiency）：关于如何最佳（最高产和最经济）利用资源来提供信息。（3）机密性（Confidentiality）：涉及对敏感信息的保护，以防止未经授权的披露（4）完整性（Integrity）：涉及信息的精确性和完全性，以及与商业评价和期望相一致（二）COBIT信息技术的控制目标（5）可用性（Availability）：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。（6）符合性（Compliance）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。（7）信息可靠性（ReliabilityofInformation）：为管理者的日常经营管理以及履行财务报告责任提供适当的信息。（5）可用性（Availability）：指在现在和将来的商（三）COBIT的体系结构

COBIT将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。企业策略维IT资源维IT过程维

策略维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；（三）COBIT的体系结构企业策略维IT资源维IT过程维企业策略维IT资源维IT过程维

IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象；企业策略维IT资源维IT过程维IT资源维主要包括以企业策略维IT资源维IT过程维

IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。企业策略维IT资源维IT过程维IT过程维则是在IT准则三、控制测试★一般控制的测试审计目标：获取证据，以证实被审计单位在被审计期间有关的制度和规程是否健全；计算机信息系统是否按规定的制度和规程工作的；控制的作用是否达到预期的结果。三、控制测试（一）对组织控制的测试1、测试关键点：完整获取被审单位工作规章制度和员工管理制度。2、测试方法：（1）阅读工作规章制度和员工管理制度，检查有关政策程序是否存在；（2）与被审计单位管理层交谈，了解组织结构及部门设置等情况；（3）向相关部门人员询问，确定信息系统的使用状况；（4）实地观察业务的处理和系统的操作，关注职责分离情况。（一）对组织控制的测试（二）对系统开发与维护控制的测试1、测试关键点：对信息系统开发和维护管理制度完善性的检查。2、测试方法：（1）查阅内审人员审查系统开发和维护工作的工作底稿；（2）了解系统的测试方法，查阅测试的数据和结果；（3）关注系统试运行阶段的运行情况，查实系统在正式投入使用时是否经过最后的授权批准；（4）检查信息系统是否编有完整的文档资料，并查阅这些资料，将其复印下来作为审计工作底稿以备用。（5）若是再次审计，则不必审查系统的开发和测试，只需审查自上次审计以来系统所作的维护改进。查实修改是否经过批准；修改后是否经过测试；有无对修改作详细的文档记录。（二）对系统开发与维护控制的测试（三）对系统安全控制的测试1、测试关键点：对信息系统运行环境、管理制度安全性的检查。2、测试方法：（1）实地观察信息系统的运行环境；（2）检查预防灾害（防火、防水、防尘、防潮）的控制措施；（3）检查预防电源变化的控制措施；（4）检查预防计算机病毒侵害的措施；（5）实地观察以证实只有经过授权的人才能接触系统的设备和资料。（6）确定只有经过授权的人员才可能获得密码的使用权。（三）对系统安全控制的测试（四）对系统硬件和软件控制的测试硬件和系统软件是由计算机厂商提供的，一般来说，其功能和控制时较可靠的。它们的审查一般与整个计算机信息系统的处理和控制功能审查一起执行，较少单独审查。当系统软件有多种可选择的功能和控制时，审计人员应注意被审计单位选择了哪些功能，是否充分利用了其控制。

硬件、系统软件功能和控制的审查要利用计算机辅助审计。（四）对系统硬件和软件控制的测试（五）对操作控制的测试1、测试关键点：对数据资源的使用环境和数据资源的操作管理制度完善性的检查。2、测试方法：（1）检查有无操作管理制度并阅读有关制度确定是否规范；（2）实地察看操作人员的操作情况，是否按照操作手册中规定的操作步骤进行操作；（3）检查操作人员的分工以及错误的处理和更正程序是否符合内部控制的原则；（4）检查是否存在详细的操作日志记录，确定记录的完整性和恰当性；（5）检查当系统出现异常情况时，有无及时恢复系统操作的方法。（五）对操作控制的测试★应用控制的审计审计目标：获取证据，以证实被审计单位是否存在相应的技术措施来保证数据的正确性、合理性、安全性和完整性；应用系统本身是否存在漏洞和功能缺陷；评价信息系统的可靠性、效果和效率。★应用控制的审计（一）对输入控制的审计1、测试关键点：对输入程序技术性控制措施的检查。2、测试方法：（1）了解信息系统的输入程序，对输入操作的控制进行检查，确定操作人员已获取授权；（2）实施分析程序，确定输入数据的正确性、合理性、完整性；审计人员输入不正确的数据，系统是否提示输入出错并拒绝接收；信息系统是否提供复核功能，系统仅接收输入与复核完全一致的数据；对比分析输入的数据与系统其他数据是否满足一定的勾稽关系；（3）检查输入界面，是否简单、清晰、具有可操作性；（4）询问系统操作员对错误业务的处理方法；（5）抽查被审期间的出错业务，跟踪检查其改正和重新提交过程，以证实有关控制措施的有效性。（一）对输入控制的审计（二）对处理控制的审计1、测试关键点：对信息系统处理程序的控制措施的检查。2、测试方法：（1）对信息系统处理程序中确保系统处理结果正确性、完整性和合理性的控制进行检查；阅读信息系统设计说明书，确定系统存在有关的自动检查功能；询问系统设计或操作人员，系统的处理过程是否正常且一贯；获取系统数据处理的流程图，检查其合理性、完整性；审计人员模拟一个不满足处理条件的数据，系统是否能提示出错并拒绝处理；测试数据法和数据验证法的使用。（2）对信息系统处理程序中确保系统处理结果安全性的控制进行检查。（二）对处理控制的审计（三）对输出控制的审计1、测试关键点：对信息系统输出程序的正确性、完整性和及时性及安全性进行检查。2、测试方法：（1）了解系统的输出资料是如何处置的，有无健全的检查、保管和分发制度；（2）实地观察系统的输出情况，跟踪输出的资料的分发和保管；（3）检查输出信息的安全性控制，包括是否有人负责审视输出资料，是否有人核对输入输出控制总数等；（4）通过咨询和察看对输出信息的格式进行检查；（5）询问并检查输出的信息是否能够满足使用部门的需要。（三）对输出控制的审计★控制矩阵在信息系统内控测试中的应用（一）控制矩阵概述（controlmatrix）控制矩阵是一个控制目标及其相关控制措施的列表。包括三个基本的元素：（1）控制目标。分为经营系统的控制目标和信息系统的控制目标两类。（2）控制措施。指为了确保系统目标的实现所应采取的各种合理、有效的控制措施。（3）单元内容。在控制矩阵中，位于某项控制措施和控制目标的行和列的交汇处的矩形方框，称为单元。其内容为是否打勾。★控制矩阵在信息系统内控测试中的应用（二）控制矩阵的编制方法◆

基本表的编制1．对系统进行全面、透彻的分析和深入的了解。了解和分析的内容包括系统的功能、任务、目标、业务处理的程序、步骤以及易发生错误和舞弊的环节。可通过分析系统流程图、数据流程图、功能结构图及对系统的有关文字描述等方面而得出。2．定出系统控制目标。包括经营系统的控制目标和信息系统的控制目标3．在对现有的信息系统进行调查分析的基础上，列出系统现有的控制措施。4．根据每一项措施对那些控制目标所起作用，在相应的单元中打上"√"。（二）控制矩阵的编制方法◆

表的完善5．分析这些单元内容所反映的状况判断控制系统是否恰当地对所有的控制目标进行了必要的控制，把分析结果填入“原有控制措施分析底稿”上，最后反复推敲，提出处置建议，填入分析底稿的处置建议栏。6．扩充控制矩阵的行数，增加修改后的控制措施栏，填入修改后的控制措施，并根据每一项措施针对的控制目标，在相应的单元中打"√"。7．针对系统控制的不足，提出需增加的控制措施，扩充控制矩阵填入新增加的措施，并根据每一项措施针对的控制目标，在相应的单元中打"√"。8．最后，在控制矩阵的底部，对需要说明的事项（如控制目标的详细内容等）以注释的形式进行详细的说明。◆表的完善（三）控制矩阵的作用和使用方法1．通过控制矩阵，可以了解现有控制系统的有效性、完整性。通过控制矩阵，可以很明了地看出现有控制系统的每一项目标是否都有控制措施来加以保证，从而便于我们对现有控制系统的有效性、完整性做出评价。2．通过控制矩阵，可以了解现有控制系统的控制效率。当系统中的某项控制措施对多项控制目标有效时，则可定性地认为该控制措施是经济、高效、符合成本效益原则的。3．通过控制矩阵，可以了解现有控制系统所存在的优缺点，以利于我们对控制系统进一步加以改进、完善。那些系统不可或缺的控制措施和能同时对多个目标起作用的控制措施，构成原有控制系统的主要优点。那些过分控制、控制不足或不符合成本效益原则的控制措施构成原有控制系统的基本缺点；（三）控制矩阵的作用和使用方法（四）利用控制矩阵模型辅助信息系统控制审计步骤1．通过调查询问、查阅系统的文档资料、跟踪系统的一些业务处理等了解计算机信息系统现有的内部控制，包括一般控制、应用控制，并用文字描述法、内部控制问卷法或流程图法记录与描述系统的内部控制。2．根据对系统控制的了解画出系统的控制矩阵。3．分析控制矩阵，对各控制目标是否有完善的控制措施、已有的控制措施是否恰当进行中肯的评价和提出恰当的建议。（四）利用控制矩阵模型辅助信息系统控制审计步骤4．根据上述建议修改、完善原控制矩阵。5．对系统原有的必要控制措施进行符合性审计，确定这些控制的有效性。6．对系统的内部控制提出审计意见，包括对系统内部控制（包括控制的强点与薄弱环节）的评价和改进的建议（包括应增加与强化的控制和可减少的重复控制）。4．根据上述建议修改、完善原控制矩阵。第四节信息系统初步评价信息系统初步评价是对系统调查和控制测试的系统分析,评价的主要内容包括三个方面:●信息系统安全性●信息系统包含数据的真实、完整性●信息系统中的薄弱点第四节信息系统初步评价信息系统初步评价是对系统调一、信息系统的安全性1、审计人员应评价系统运行环境和系统数据的安全性，包括数据的产生、传输、存储的安全性。2、对系统安全性的评价主要依据系统调查和控制测试掌握的情况来完成，信息系统分析测试中将不再涉及此项工作内容，因此，信息系统初步评价中对信息系统安全性的评价将直接在信息系统综合评价中反映。一、信息系统的安全性二、信息系统包含数据的真实性、完整性1、审计人员应通过对信息系统功能及相关制度的关注，评价信息系统中包含电子数据的真实性、完整性。2、电子数据真实性、完整性评价是计算机数据审计中数据采集方案制定、数据验证方法选择、数据分析重点确定的重要依据。二、信息系统包含数据的真实性、完整性三、信息系统中的薄弱点1、审计人员应指出系统之间关联关系的建立、系统运行管理控制等方面存在的薄弱环节。2、发现信息系统的薄弱点是为被审计单位改进管理，防范风险提出合理化建议的需要，也是为计算机数据审计确定重点的需要。三、信息系统中的薄弱点第五节信息系统分析测试信息系统分析测试的主要目标是发现信息系统中存在的漏洞、功能的不足以及可能存在的非法模块。●功能分析●处理逻辑分析●数据对比分析●数据追踪分析第五节信息系统分析测试信息系统分析测试的主要目标一、功能分析

目的：分析系统功能上存在的不足。有时也称之为功能审计。重点：对业务的特点和需求有清晰的认识，也可通过信息系统的使用情况来分析信息系统功能能否满足业务需求。一、功能分析二、处理逻辑分析目的：对信息系统处理数据来源是否正当、数据处理方法是否科学合法的分析。包含的内容：（1）信息系统的数据来源；（2）信息系统的数据处理过程，包括数据处理逻辑、方法和数据处理流程；（3）信息系统的数据流向。核心：对信息系统数据处理方法是否科学合法的分析。二、处理逻辑分析三、数据对比分析包含的内容：（1）掌握信息系统的数据输入和输出情况；（2）结合数据审计，筛选问题线索；（3）对比分析信息系统的输入、输出数据以及问题线索，查找信息系统自身存在的问题。重点：依据计算机数据审计中发现的问题线索，反推信息系统存在的问题，这是信息系统审计和计算机数据审计的重要结合点。三、数据对比分析四、数据追踪分析目的：通过选取典型数据，追踪处理结果，进而判断系统处理的功能是否正确有效。包含的步骤：（1）了解信息系统应有的处理和控制功能；（2）针对系统应用的特点，选取部分典