计算机审计与信息系统审计演示文稿

计算机审计与信息系统审计演示文稿当前1页，总共79页。计算机审计与信息系统审计当前2页，总共79页。内容计算机审计信息系统审计当前3页，总共79页。计算机审计产生的原因1.审计外部环境信息化是推动计算机审计产生和发展的外部因素审计署前审计长李金华指出：审计人员不掌握计算机技术，将失去审计的资格。信息化对审计产生了巨大影响，主要表现在：数据电子化、审计线索不易识别、数据量急剧增加、数据易被篡改、数据易消失、内部控制易失效、对审计人员的信息技术要求提高。当前4页，总共79页。2.企业经营规模越来越大是推动计算机审计发展的内生动力。审计目标、范围、职能不断扩大，对审计提出了更高的要求。3.计算机技术（特别是软件技术）的发展提高了计算机审计的工作效率和审计质量。利用计算机软件系统自动发现审计问题和线索，利用互联网实现实时审计。当前5页，总共79页。计算机审计计算机审计是审计人员将计算机及网络技术等各种手段引入审计工作，建立审计信息系统，从而实现对会计信息系统的审计。计算机审计的概念有广义和狭义之分。当前6页，总共79页。目前有三种观点：对计算机管理的数据进行审计对管理数据的计算机进行审计即对计算机也对计算机管理的数据进行审计当前7页，总共79页。经过长期的实践，国际上以及我国审计署将计算机审计主要定位在第一种观点，也称计算机辅助审计，或称审计信息化、数字审计等。第二种观点演变为信息系统审计。当前8页，总共79页。计算机审计与信息系统审计的区别1.审计对象不同。计算机审计主要对象是信息系统中的电子数据。信息系统审计主要对象是存储电子数据的信息系统。当前9页，总共79页。2.工作侧重点不同。计算机审计是通过对电子数据的采集、转换、清理、验证、分析，发现审计线索，收集审计证据，从而形成审计结论。计算机审计虽然也需要验证信息系统提供的电子数据的真实性、准确性和完整性，但这种验证具有一定的局限性。信息系统审计是通过对信息系统的调查与了解，对系统控制及系统功能的分析与测评，综合评价一个信息系统是否能够满足安全性、有效性、与经济性目标，是否能够提供真实、准确、完整的电子数据。当前10页，总共79页。3.使用的技术方法不同。计算机审计主要使用与数据采集、转换、清理、验证、分析的数据方法，包括审计数据采集转换技术、审计中间表技术、审计模型构建技术、数据分析方法等。信息系统审计主要采用系统调查、系统分析、系统测试和系统评价的技术方法。当前11页，总共79页。计算机审计与信息系统审计的联系计算机审计和信息系统审计是同一事物的两个方面，两者有密切联系。信息系统中存在的问题必然会反映到电子数据中，计算机审计发现的问题可以作为信息系统审计的参考和线索。电子数据是信息系统功能的重要体现，信息系统审计通过对不同电子数据的分析、处理和测试，以评价信息系统的准确性。当前12页，总共79页。相关资格认证考试注册内部审计师（CCIA-CHINACERTIFIEDINTERNALAUDITOR）：中国内部审计协会组织的考试。国际注册内部审计师（CIA）：国际内部审计师协会（INSTITUTEOFINTERNALAUDITORS简称IIA）组织的考试。国际信息系统审计师（CISA-CertifiedInformationSystemsAuditor）：信息系统审计与控制协会ISACA（InformationSystemsAuditandControlAssociation）组织的考试。当前13页，总共79页。计算机审计的基本方法计算机审计人基本方法经历了绕过计算机审计、利用计算机审计、穿过计算机审计和联网审计四个阶段。当前14页，总共79页。绕过计算机审计绕过计算机审计是指审计人员不审查计算机内部程序和数据文件，只审查输入数据和打印输出资料及管理制度的方法，该方法又称“黑盒”审计。主要应用于20世纪50年代中期至60年代中期。会计电算化还处于起步阶段。输入数据信息系统输出数据审计绕过当前15页，总共79页。绕过计算机审计的优缺点优点：审计技术简单，审计人员计算机水平要求不高。较少干扰被审系统的正常工作。缺点：审计线索和审计证据不充分。审计风险较高适用范围适用于被审计业务简单，处理过程较单一，输入资料与输出资料比较密切且内部控制制度健全。因此，该方法适用于内部控制比较健全的、业务简单的中小企业的审计。当前16页，总共79页。利用计算机审计利用计算机审计又称为计算机辅助审计，是指利用计算机技术和审计软件对会计信息系统所进行的审计。主要在1965-1970这一阶段，会计信息系统被广泛应用。利用计算机技术和审计软件，可以帮助审计人员减轻负担、加快审查速度、提高审计效率。当前17页，总共79页。审计软件一般分为两种：一种是通用审计软件，能够获取、计算、分析会计信息系统中的数据，适用于多种审计工作。另一种是专用审计软件，是为了某个特定的系统或审计项目而编写的程序。当前18页，总共79页。利用计算机审计的过程原始数据信息系统输出数据计算机审计软件绕过审计当前19页，总共79页。利用计算机审计的优缺点优点：审计结果较为可靠，扩大了审计范围，数据收集更为齐全，抽样审计向全面审计扩展，审计结论更加可靠；审计独立性较强；提高了审计效率。缺点：审计技术较复杂，要求审计人员掌握必备的计算机技术知识和审计软件的操作；审计成本较高，审计人员培养成本增加，须购置审计软件。当前20页，总共79页。适用范围：适用于会计信息系统使用较为成熟，且业务处理较为复杂的、内部控制制度较为完善的大中型企业。当前21页，总共79页。穿过计算机审计1970年以后，随着会计信息系统和其它业务系统一体化集成的发展，大量的数据由其它系统自动产生，业务处理日益复杂，原始数据的录入大幅度减少，被审对象的边界越发模糊。计算机审计进入到“穿过计算机审计”发展阶段。当前22页，总共79页。财务-业务一体化系统：用友ERP-U8当前23页，总共79页。穿过计算机审计又称“白盒”审计或直接审计，这种审计方式不仅要求审查被审计单位的输入与输出数据，还要审查被审计单位会计信息系统的系统程序、应用程序、数据文件以及计算机硬件等系统，在对被审系统的可靠性评价的基础上来确定审计结论。输入数据信息系统输出数据审计穿过当前24页，总共79页。穿过计算机审计的优缺点优点：审计风险低，直接对会计信息系统的程序及数据进行审查，对系统内部控制可靠性进行科学评价。增强了审计独立性、可靠性，提高了审计质量。缺点：审计技术复杂，要求对计算机技术、程序设计、数据处理等知识非常熟悉；易干扰被审系统的正常工作，会占用被审系统较多的正常工作时间。当前25页，总共79页。适用范围：由于这一审计模式对审计人员素质提出了更高的要求，而且审计成本很高，因此这一审计模式适用于大中型会计师事务所对业务处理复杂、系统集成度较高的大中型企业的审计工作。当前26页，总共79页。联网审计所谓联网审计，就是在线实时审计，是指通过审计机关和被审计单位的网络互联，实时审查被审计单位会计信息系统的审计方式。当前27页，总共79页。1990年以来，随着互联网和电子商务的发展，现代信息技术为计算机审计的发展带来前所未有的机遇。审计人员只要把自己的计算机连接到网上，并取得被告审计单位的审查权限，就可以在任何地方、任何时间通过网络完成除实地监盘和观察外的大部分审计工作。审计项目负责人可在网上制订审计计划，给不同地点的审计人员分配审计任务，并对审计人员监督与指导，随时了解审计项目的进展情况，协调审计人员的工作，草拟和签发审计报告。当前28页，总共79页。联网审计的过程原始数据信息系统输出数据数据实时采集及转换审计疑点信息和审计数据审计作业系统审计预警监控系统预警方案预警指标当前29页，总共79页。联网审计的优缺点优点：拓展了审计时空，加强了审计监督职能。可以实时连续地抽取审计数据，进行实时远程审计。变事后审计为事前、事中审计，变静态审计为动态审计，提高了审计效率，加强了审计的监督作用。缺点：网络安全问题是联网审计面临的固有风险以外的信息安全风险。会计信息系统自身设计缺陷、黑客攻击、操作失误、审计采集数据的管理等风险问题在联网审计模式中需要重点关注。当前30页，总共79页。适用范围：在线实时审计模式适用于企事业单位的内部审计和动态审计。是未来审计的发展方向。当前31页，总共79页。讨论我国现阶段主要的审计方式是哪些？制约我国审计方式发展的主要原因有哪些？当前32页，总共79页。联网审计是《金审二期规划》中的重点建设项目，根据该规划，审计署将重点建设中央部门预算执行、海关、银行、社保等四类联网审计，并对中央财政组织预算执行、国税和大型企业等进行联网审计试点。目前已成功研制了《中央部门预算执行联网审计系统》，并从2010年开始在中央各部门推广使用。各地方政府也在逐步推广《政府部门预算执行联网审计系统》。当前33页，总共79页。计算机审计的步骤前期准备内部控制的初步审查初步审查结果的评价内部控制测试实质性程序全面评价和编制审计报告当前34页，总共79页。审计软件的分类

(1)审计作业软件审计作业软件是审计工作的主要工具。(2)审计管理软件审计管理软件是用来完成审计统计、审计计划等方面功能的审计软件。(3)专用审计软件如海关审计软件、基建工程预决算审计软件、银行审计软件、外资审计软件等。(4)审计法规软件法规软件主要是为了帮助审计人员在海量的各种财经法规中快速找出所需要的法规条目及内容。(5)联网审计软件当前35页，总共79页。常见的审计软件审计之星上海博科资讯有限责任公司在1997年发布。审计数据采集分析系统审计署驻南京办事处开发,是一个用来采集和分析被审计单位电子数据的通用审计软件。用友审易-审计作业系统（V5.8）用友开发的与U8配套的通用审计软件，可以很好地将U8中的数据进行采集。通审2000中审审易中普审计软件当前36页，总共79页。信息系统审计信息系统审计的定义信息系统审计是一个过程，在此过程中搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。（国际ISACA协会）又称IT审计。当前37页，总共79页。信息系统审计的三大目标从以上信息系统审计的定义，可知信息系统审计项目依目标不同，有三大类：信息系统安全审计（安全性）信息系统可靠性审计（可靠性）信息系统绩效审计（经济性）当前38页，总共79页。信息系统审计的内涵IT审计是独立的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。主体：第三方审计师遵循相关标准（COBIT、信息系统审计指南）对信息系统的规划、开发、使用维护等一系列活动及产物进行检查和评估。当前39页，总共79页。信息系统审计的要点：信息系统审计的对象是计算机为核心的信息系统。信息系统审计的目的是促使信息系统安全、可靠和有效。信息系统审计是一个过程，需要审计师的专业评价与判断。当前40页，总共79页。管理政策组织结构服务器、工作站、打印机网线交换机/HUB……Windows/UNIXOracle数据库信息系统逻辑结构示意图财务报表销售收入1000万……会计核算系统销售业务系统灾难恢复与业务持续计划信息资产保护人当前41页，总共79页。从构成要素上来看，信息系统有以下组成部分：硬件软件网络数据人管理制度当前42页，总共79页。信息系统审计的两大主题内容审计本质是一种控制，从控制的角度来看信息系统，通常区分为信息系统一般控制与应用控制。两者的作用与范围不同。信息系统一般控制审计（GC）信息系统应用控制审计（AC）当前43页，总共79页。一般控制（GC）确认应用系统恰当开发或实施，确保程序与数据文件的完整性，确保信息系统良好运作。一般控制的控制措施适用于所有应用系统，是一种环境上的保证。应用控制（AC）与具体的应用系统有关，确保数据处理完整和正确。应用控制的设计结合具体业务进行。当前44页，总共79页。一般控制与应用控制的关系应用控制的有效性取决于一般控制的有效性一般控制是应用控制的基础，当一般控制薄弱时，应用控制无法提供合理保障当前45页，总共79页。一般控制审计的内容源自：CISAManual（国际信息系统审计协会ISACA）一般控制审计的五大内容评估IT治理结构的效果，确保董事会对IT决策、IT方向和IT性能的充分控制；评估IT组织结构和人力资源管理；评估IT战略及其起草、批准、实施和维护程序；评估IT政策、标准和程序的制定、批准、实施和维护流程；评估IT资源的投资、使用和配置实务；评估IT外包战略和政策，以及合同管理实务；评估监督和审计实务；保证董事和执行层能及时、充分地获得有关的IT绩效信息IT治理开发或采购审计运行与维护审计安全审计灾难恢复和业务连续性计划当前46页，总共79页。一般控制审计的内容源自：CISAManual（国际信息系统审计协会ISACA）IT治理开发或采购审计运行与维护审计安全审计灾难恢复和业务连续性计划信息系统审计的五大内容评估拟定的系统开发或采购，确保其符合组织发展目标；评估项目管理框架和项目治理实务，确保组织在风险管理基础上，以成本—效益原则达成组织的业务目标；确保项目按项目计划进行，并有相应文档充分支持；评估组织相关系统的控制机制，确保其符合组织的政策；评估系统的开发、采购和测试流程，确保其交付符合目标；对系统实施定期检查，确保其持续满足组织目标，并受到有效的内部控制；当前47页，总共79页。一般控制审计的内容源自：CISAManual（国际信息系统审计协会ISACA）信息系统审计的五大内容评估服务管理实务，确保内部和外部服务提供商的服务等级是明确定义并受管理的；评估运营管理，保证IT支持职能有效满足了业务要求；评估数据管理实务，确保数据库的完整性和最优化；评估能力的使用和性能监控工具与技术；评估变更、配置和发布管理实务，确保被详细记录；评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录，分析和解决评估IT基础构架（网络，软硬件）功能，确保其对组织目标的支持IT治理开发或采购审计运行与维护审计安全审计灾难恢复和业务连续性计划当前48页，总共79页。一般控制审计的内容源自：CISAManual（国际信息系统审计协会ISACA）信息系统审计的五大内容评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性和经授权使用；评估网络框架和信息传输的安全；评估环境控制的设计、实施和监控，确保信息资产充分安全；评估保密信息资产的采集、存储、使用、传输和处置程序的流程。IT治理开发或采购审计运行与维护审计安全审计灾难恢复和业务连续性计划当前49页，总共79页。一般控制审计的内容源自：CISAManual（国际信息系统审计协会ISACA）信息系统审计的五大内容评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性和可用性；评估组织的灾难恢复计划，确保一旦发生灾难，IT处理能力可以及时恢复；评估组织的业务连续性计划，确保IT服务中断期间，基本业务运营不间断的能力。IT治理开发或采购审计运行与维护审计安全审计灾难恢复和业务连续性计划当前50页，总共79页。应用控制审计的内容接口审计参数控制当前51页，总共79页。应用控制审计的内容用户权限管理的基本原则：职责分离原则。对于同一组不相容权限，任何用户不能同时具有两种（或两种以上）的权限。未明确允许即禁止原则：除非用户有对于权限的需求得到了相关领导的明确批准，否则不应当授予用户任何权限。需求导向及最小授权原则：对于用户的权限，应当以其实际工作需要为依据，且仅应当授予能够完成其工作任务的最小权限。当前52页，总共79页。信息中心的职责分离矩阵当前53页，总共79页。人力资源系统职责分离矩阵

人力资源系统职责分离矩阵123456序号业务活动配置工资基本设置人事工资主数据维护考勤记录考勤审核工资计算及发放计算工资奖金发放审批1配置工资基本设置

XXXXX2人事工资主数据维护X

X

X3考勤记录X

X

X4考勤审核XXX

X

5工资计算及发放计算X

X

X6工资奖金发放审批XXX

X

当前54页，总共79页。应用控制审计的内容输入控制当前55页，总共79页。应用控制审计的内容处理控制当前56页，总共79页。应用控制审计的内容输出控制当前57页，总共79页。应用控制审计的内容当前58页，总共79页。应用控制审计的内容参数控制审计参数设置的正确性（合法性）参数调整的审批流程与权限参数调整的轨迹当前59页，总共79页。应用控制审计的内容接口审计自动接口手动接口环节当前60页，总共79页。应用控制审计的流程当前61页，总共79页。IT治理IT治理是董事会和最高管理层的职责，是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成，这些流程能保证组织的IT有效支持及促进组织战略目标的实现。当前62页，总共79页。IT治理的使命保持IT与业务目标一致，推动业务发展，促使收益最大化，合理利用IT资源，适当管理与IT相关的风险。当前63页，总共79页。IT治理的目标IT治理应着眼于以下目标：1、与业务目标一致原则：服从于企业战略，不能背离2、有效利用信息资源IT治理的使命：通过及时、有效的IT治理，促进信息的价值转化3、风险管理通过IT治理：构建风险管理制度及风险应对决策；使风险透明化；有效的风险投资、管理和控制；风险的防范措施。实现：平衡信息技术与过程的风险，确保组织目标的实现。当前64页，总共79页。IT治理的关键问题IT治理的关键问题表现在：1、IT投资是否与企业经营在战略目标、策略和运营层面相融合，从而构筑必要的核心竞争力；2、IT治理是否有助于合理的制度安排真正发挥其作用；3、在长期的IT应用中，是否持续地创造商业价值；4、是否有有效的风险管理机制。

其中最关键的问题是第一点：IT治理应体现以“组织战略目标为中心”思想。当前65页，总共79页。IT治理框架构建IT治理框架包含三个方面:组织机构流程沟通机制当前66页，总共79页。1、组织结构（1）IT治理最高管理层（董事会）。IT战略的总体制定与决策者，负责指引信息化的方向与战略制定，平衡支持企业和使企业成长的投资。（2）IT治理委员会。向董事会负责，解决设计标准的问题，负责确立IT战略方向，决定和建立资金杠杆，批准所有主要的发展项目并监督结果。IT治理委员会责任：政策制定；控制(预算通过，项目权限，绩效评价)；绩效度量和报告。

当前67页，总共79页。（3）CIO（首席信息官）CIO岗位的职责:发起制定、组织完成企业IT战略规划;开发企业应用，协调企业和部门的应用开发;保障IT基础设施和体系架构的运行及投资;决定IT服务和技能服务；建立关键的IT供应商和咨询顾问间的战略伙伴关系；提供技术支持使企业增加收入和盈利能力;维护客户满意度；向用户提供培训。（4）管理者（5）信息技术人员。（6）外部和内部审计人员。当前68页，总共79页。2、流程IT投资决策是如何作出的？在决策流程中，投资建议、投资评估、批准投资和区分优先级是如何进行的？当前69页，总共79页。3、沟通这些决策和流程的结果效能如果度量，如何监控风险？又如何得到沟通？在相关利益者之间投资决策采用何种机制加以沟通？当前70页，总共79页。IT治理标准1、COBIT（信息及相关技术的控制目标），；2、IT基础架构库ITIL（InformationTechnologyInfrastructureLibrary）；3、ISO/IEC17799:2000（信息安全管理实务准则）4、COSO综合性框架；当前71页，总共79页。搞好IT治理必须解决的问题1、IT关键领域谁做决策和如何决策。5个IT关键领域：A、信息技术原则；B、信息技术结构；C、信息技术基础设施；D、企业应用需要；E、信息技术投资及优先顺序。2、信息化中的责、权、利问题；3、信息化建设中的风险评估和绩效评价问题；4、信息系统控制与信息技术管理体系问题。当前72页，总共79页。COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology，即信息和相关技术的控制目标。是由美国信息系统审计与控制学会ISACA提出的IT治理控制框架，它是目前国际上通用的信息系统审计的标准，是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。当前73页，总共79页。COBIT的发