信息系统审计(ppt-67)

信息系统审计相关知识铺垫概念框架审计证据的获取与评价信息系统审计的常用方法信息系统审计报告信息系统审计(ppt-67)全文共67页，当前为第1页。审计信息化：国家角度第0节相关背景和知识铺垫信息系统审计(ppt-67)全文共67页，当前为第2页。审计信息化国家规划信息系统审计(ppt-67)全文共67页，当前为第3页。

建设之路背景历程1998年，国务院出台了《审计机关计算机辅助审计管理办法》1999年，审计署组织编写了《审计信息化系统规划》并报国务院2001年3月，审计署提出了《审计信息化建设总体目标和构想》：一个模式、三个转变、五个一工程2001年11月，国务院办公厅下发了《关于利用计算机信息系统开展审计工作有关问题的通知》2002年，国务院17号文件界定：“金审工程是12金字工程之一”2003年7月，国家审计署发布《2003至2007年审计工作发展规划》2004年7月，全国审计工作座谈会专题研究审计信息化金审工程2004年11月，金审工程一期竣工信息系统审计(ppt-67)全文共67页，当前为第4页。2004年的全国审计工作会议上，李金华审计长提出了审计信息化的具体工作要求：计算机在审计管理中的应用，要把重点放在审计信息的管理和使用上，促进信息集合，形成共享

计算机审计和审计信息管理是今后审计信息化建设的两大重点任务，希望大家在这方面多用些精力，积极探索实践，加强人员培训，切实抓出成效。

审计信息化工作的重点，要放在计算机在审计实施中的运用上

信息系统审计(ppt-67)全文共67页，当前为第5页。

“应从战略高度认识信息化的重要性和紧迫性，提高信息意识和信息文化素质，切实加强对信息化的领导力度，从改革入手进行业务流程再造，协调各部门、各环节的利益与矛盾，持续推进信息化。”“十一五”至2020年信息化发展规划信息系统审计(ppt-67)全文共67页，当前为第6页。审计信息化：企业角度信息系统审计(ppt-67)全文共67页，当前为第7页。信息时代呼唤计算机审计

——从一组数据说起80%的计算机用于企业管理信息的处理85%的信息来自于计算机系统,其中70-80%的管理来自于会计信息系统90%的正规企业用计算机记账100%的会计师事务所面对计算机审计问题70-90%的内部审计面临计算机审计的挑战TCL、中石化、烟草公司等会计和审计的信息化基本接近100%信息系统审计(ppt-67)全文共67页，当前为第8页。审计专业知识回顾信息系统审计(ppt-67)全文共67页，当前为第9页。审计是什么？1、广义的审计定义：“审计是由专职机构和人员，对被审计单位的财政、财务收支及其他经济活动的真实性、合法性和效益性进行审查和评价的独立性经济监督活动。”信息系统审计(ppt-67)全文共67页，当前为第10页。2、简明审计定义审计是独立检查会计账目，监督财政、财务收支真实、合法、效益的行为。审计是什么？信息系统审计(ppt-67)全文共67页，当前为第11页。审计的本质及特征1、本质三种观点（1）审计就是查账（2）审计是经济监督（3）审计是独立的经济监督活动经济监督——基本职能独立性——最本质的特征信息系统审计(ppt-67)全文共67页，当前为第12页。审计的本质及特征2、特征（1）独立性特征组织上人员上工作上经费上（2）权威性特征独立地位、专业素质法律赋予（3）公正性特征信息系统审计(ppt-67)全文共67页，当前为第13页。财产所有者经营管理者第三方委托经济责任履行经济责任报告结果委托业务审查业务接受审查

审计审计的本质及特征信息系统审计(ppt-67)全文共67页，当前为第14页。两层涵义：外延上——被审计单位内涵上——审计内容或审计内容在范围上的限定1、会计资料及其有关经济资料（具体形式）（1）会计资料（2）其他相关经济资料2、财政、财务收支及其有关的经济活动（实质内容）（1）财政收支（2）财务收支（3）其他有关经济活动审计的对象信息系统审计(ppt-67)全文共67页，当前为第15页。审计的目标国家审计——真实性、合法性、效益性独立审计——合法性、公允性、一致性内部审计——真实性、合法性、效益性审计总目标是评价受托经济责任，确切些说，是评价经营管理者对资财所有者应负的经济责任的履行情况。无论国家审计、社会审计还是内部审计，评价受托经济责任的履行情况都是其总目标。信息系统审计(ppt-67)全文共67页，当前为第16页。按照审计主体划分按照审计主体性质分：国家审计、内部审计、民间审计与被审计单位关系分：外部审计、内部审计按审计内容和目标分类财政财务审计：传统审计经济效益审计：绩效审计财经法纪审计：专案审计审计的分类信息系统审计(ppt-67)全文共67页，当前为第17页。国家、市场、行业对注册会计师的要求；会计电算化的成孰将导致什么？审计信息化人才的严重短缺；审计软件已经趋于成熟，开始广泛应用社会需要什么样的审计人才？？？？？？？传统审计人才审计信息化产品及教程信息系统审计(ppt-67)全文共67页，当前为第18页。对传统审计教育模式的思考传统填鸭式教学模式互动式教学模式毕业生为何就业难？如何培养综合型的高素质人才？如何解决这些矛盾？信息系统审计(ppt-67)全文共67页，当前为第19页。应具备审计知识构成审计学知识审计技能财务学知识会计学知识知识层次积累以实践教学为主，注重经验的积累。以理论教学为主，注重基础知识积累。信息系统审计(ppt-67)全文共67页，当前为第20页。被审计对象业务信息电子化方式已经普及经济高速发展，审计任务越来越重审计管理复杂，审计工作质量需要加强国家经济监督体系日臻完善，审计工作越发精细国家政府越来越重视审计工作，提出了更高要求就业后审计工作环境分析信息系统审计(ppt-67)全文共67页，当前为第21页。可以转入任意电子数据财务数据、业务数据针对被审计数据、结合审计业务制作了相关审计工具查询及查账工具、各种分析工具、各种检查工具、各种计算工具、丰富的审计预警。根据审计结果制作审计底稿国家审计机关要求的审计日记和工作底稿格式出具审计台账及审计报告完成审计成果统计计算机审计能解决的问题信息系统审计(ppt-67)全文共67页，当前为第22页。第1节信息系统审计的概念框架对电子数据进行审计(1980年代1990年代)计算机辅助传统审计(1990年代2000)计算机辅助对计算机会计信息系统进行审计(2000年网络和集成思想大量应用后)进行审计项目管理(四个过程的管理)审计数据库管理审计测试和验证(CAATs)IT审计(计算机信息系统审计)(发展趋势)概念的发展历程信息系统审计(ppt-67)全文共67页，当前为第23页。一、信息系统审计的含义定义信息系统审计是对被审计对象所采用的计算机化的信息系统的安全性、可靠性进行了解、测试与评价，并对信息系统对财务报告的影响作出判断或单独提出信息系统审计报告的过程。特征职业资格独立性综合性审计报告安全、可靠与有效信息系统审计(ppt-67)全文共67页，当前为第24页。目标对电子数据的审计同手工目标用计算机作为工具的审计同手工目标对会计信息系统的审计目标有较大发展安全合法可靠效率效益易用可审安全、合法、可靠、易用、效率、效益、可审信息系统审计(ppt-67)全文共67页，当前为第25页。应用程序系统数据资料系统开发对内部控制二、信息系统审计的内容开发过程6阶段审计实质性、符合性审计鉴定结论、代码检验、模拟测试、替代比较存在、有效、持续、稳定信息系统审计(ppt-67)全文共67页，当前为第26页。信息系统审计的三阶段或四阶段审计完成审计实施审计计划

调研计划实施完成信息系统审计(ppt-67)全文共67页，当前为第27页。信息系统审计步骤信息系统审计

信息系统审计是按照特定项目的范围和目标开展的。其审计的步骤包括：获取并记录审计范围/主题风险评估和制定初步审计计划及排程详细审计计划初步审阅控制测试大量/实质性测试报告/结果沟通跟踪准备阶段实施阶段完成阶段信息系统审计(ppt-67)全文共67页，当前为第28页。开始前要了解什么信息风险评估其它信息风险管理保证一般信息技术控制审计电脑辅助审计技巧应用系统审计(包括运作前及运作后)信息系统审计(ppt-67)全文共67页，当前为第29页。编制计划详细调查成立组织初步调查明确任务发出任务书资源1资源2审计计划阶段主要内容信息系统审计(ppt-67)全文共67页，当前为第30页。审计实施阶段2345详细调查被审计系统：座谈，运行、抽查、观察等测试内部控制系统：问卷、调查文档、座谈、现场查验等收集证据，进行实质性测试：模拟运行、穿行测试、实务运行评价证据，形成诊断：内部控制是否存在有效、管理和应用方面的保证程度形成工作底稿：电子形式或传统形式1信息系统审计(ppt-67)全文共67页，当前为第31页。审计完成阶段1．整理评价审计证据3．编写审计报告2．复核审计工作底稿４．提交审计结论和建议项目平台信息系统审计(ppt-67)全文共67页，当前为第32页。三个过程并不割裂审计计划审计收尾设计实施尽量计划周全-反馈与修改-实施过程的变更信息系统审计(ppt-67)全文共67页，当前为第33页。COBIT:

一套信息技术控制和管制架构综合经营报告–“有一种方式…”架构–“这种方式是…”控制目标–“最低控制措施是…”审计方针–“如何审计…”实施指南–“如何实施”管理层指南–“如何衡量”COBIT的要素–什么?信息系统审计(ppt-67)全文共67页，当前为第34页。COBIT:一套信息技术控制和管制架构

业绩衡量要素（所有信息技术流程的成果衡量指标和表现的影响因素）关键成功因素的清单，它为每个信息技术流程提供简明的非技术性最佳作法一个成熟的模式，用于协助每个信息技术流程控制的基准和决策最近的发展趋势是增加一个管理和管制层，为管理层提供了一套工具，其中包括：信息系统审计(ppt-67)全文共67页，当前为第35页。参资料和网站SAP网站用友网站肖泽中<计算机会计>(经科出版,2000)傅元略<计算机审计>,上海人民出版社,2002信息系统审计(ppt-67)全文共67页，当前为第36页。第2节审计证据的获取证据的种类和特征获取的方法证据评价的方式方法评价的主要内容信息系统审计(ppt-67)全文共67页，当前为第37页。应用IQF收集审计证据面谈内容主要访谈对象面谈过程细节AIS全面情况系统分析员系统设计员面谈准备背景研究面谈对象准备内容确定时间地点子系统和主要功能财务主管操作人员会计数据的来源、流向、频率、存储、保密等数据（库）管理员面谈实施介绍和切入谈话回顾系统的运行情况和满意度操作人员系统管理员面谈分析分析跟踪一、IQF：面谈、问卷和流程图法简称，是现代管理咨询、学术研究、市场调查等活动常用的方法。信息系统审计(ppt-67)全文共67页，当前为第38页。问卷设计时要考虑的因素据回答者特性需收集信息的属性提问的问题本身应注意简洁、清晰不会产生歧义避免无法回答（不熟悉或越权）避免误导二、问卷调查法信息系统审计(ppt-67)全文共67页，当前为第39页。2．回答方式的选择单选多选填空标图３．调查表的利用一个举例二、问卷调查法信息系统审计(ppt-67)全文共67页，当前为第40页。员工对系统的理解高中层对系统的理解问题：您认为公司的信息系统是否方便?信息来源：洪业会计系统问卷调查报告表1.方便2.一般4.不好评价3.不方便问卷结果的分析举例信息系统审计(ppt-67)全文共67页，当前为第41页。

流程图分类数据流程图系统流程图程序流程图控制流程图流程图的制作-P61WordPptVisio作用分析和设计内部控制描述一个应用计划安排三、流程图分析法信息系统审计(ppt-67)全文共67页，当前为第42页。利用软件自身的数据接口转入转出导入导出另存为审计接口嵌入式：函数、公式等外挂式提取：例如SAP、NC利用审计软件的数据接口功能获取利用办公软件的数据接口DBNS：access,excel,dbase,foxp利用ODBC-P63通过数据接口直接获取数据信息系统审计(ppt-67)全文共67页，当前为第43页。在线收集审计证据一、在线系统收集的主要内容、过程和方法-P68输入审查内容、范围、过程和方法处理审查输出审查操作培训数据文档二、在线收集的工作底稿范围描述局限结论使用条件内容、范围、过程和方法信息系统审计(ppt-67)全文共67页，当前为第44页。基于网络的实时收集一、计算机网络的特征-P68资源共享，信息大陆内控复杂、风险较高网络的无限延伸麦特卡夫定律摩尔定律网格定律多点攻击二、网络收集两类证据访问控制证据权限设置密码认证加密控制链路、服务器密钥、加密、自解等信息系统审计(ppt-67)全文共67页，当前为第45页。基于网络的实时收集三、计算机网络系统证据收集的步骤确定收集样本随机抽查样本记录数据传输的一致性准确性可控性分析记录记录工作底稿信息系统审计(ppt-67)全文共67页，当前为第46页。评价过程和步骤定性方法定量方法底稿的撰写信息系统审计证据的评价是审计人员依据一定的标准和原则对收集到的审计证据进行分析和判断并作出符合要求的结论的过程。定义手段第3节审计证据的评价信息系统审计(ppt-67)全文共67页，当前为第47页。计算机审计证据评价的流程和要素一、计算机审计证据评价的鉴定鉴定标准COSO框架COBIT框架独立审计准则鉴定的独立性和专业要求二、证据评价的考虑要素重要性水平风险估计水平选择方法的认可度信息系统审计(ppt-67)全文共67页，当前为第48页。计算机审计证据评价的定性方法一、审计人员对证据的判断过程鉴别有关线索权衡有关线索进行整体判断从系统角度出发判断总体风险和结论成本效益原则二、利用专家系统辅助判断专家系统概述构成和特征头脑风暴+资料获取信息系统审计(ppt-67)全文共67页，当前为第49页。计算机审计证据评价的定量方法一、确定性模型二、概率模型三、贝叶斯模型四、数据包络分析-非线性规划等五、优化与技术等信息系统审计(ppt-67)全文共67页，当前为第50页。作业与参考书建议一、调查报告：COSO/COBIT二、霍尔的《信息系统审计与鉴证》，中信出版社2003年版信息系统审计(ppt-67)全文共67页，当前为第51页。第4节审计的常用方法系统测试法整体检查法平行模拟法信息系统审计(ppt-67)全文共67页，当前为第52页。

软件系统生命周期选择测试模块代测试数据设计黑盒测试白盒测试测试技巧系统测试法系统规划系统分析系统设计系统实现系统转化运行维护信息系统审计(ppt-67)全文共67页，当前为第53页。

软件系统生命周期选择测试模块代测试数据设计黑盒测试白盒测试测试技巧系统测试法识别程序危险因素确定危险因素带来的损失分析各模块的风险利用可靠性模型确定模块故障数量根据公式确定模块产生的损失信息系统审计(ppt-67)全文共67页，当前为第54页。

软件系统生命周期选择测试模块测试数据设计黑盒测试白盒测试测试技巧系统测试法从输入开始经过整个系统后进行结果比较关键是设计测试数据测试数据包括实际业务数据（量大一般不用）、用户数据、审计人员数据、工具软件生成信息系统审计(ppt-67)全文共67页，当前为第55页。

软件系统生命周期选择测试模块测试数据设计黑盒测试白盒测试测试技巧系统测试法建立在规格说明书上只管结果不问过程用例较多严格设计测试数据目前用计算机辅助测试信息系统审计(ppt-67)全文共67页，当前为第56页。

软件系统生命周期选择测试模块测试数据设计黑盒测试白盒测试测试技巧系统测试法建立在代码检查上过程和结果同时测试语句覆盖（case）分支覆盖（case）路径覆盖（case）信息系统审计(ppt-67)全文共67页，当前为第57页。

软件系统生命周期选择测试模块测试数据设计黑盒测试白盒测试测试技巧系统测试法黑盒为基础，白盒做补充重点测试用例数据的边界值采用等价类划分进行补充利用专家经验进行错误推断，补充测试用例根据测试要求，采用语句、分支和路径覆盖，补充测试用例信息系统审计(ppt-67)全文共67页，当前为第58页。整体检测法原理-步骤-结构确定测试系统建立虚拟实体处理测试数据合适过程真实合适过程正确、完整信息系统审计(ppt-67)全文共67页，当前为第5