信息系统审计

信息系统审计办公楼内白天因有人员办公，用水量较大，晚上基本无人用水，污水总变化系数较大，结合表4.8，取污水总变化系数Kz=3，通过计算得：信息系统审计信息系统审计办公楼内白天因有人员办公，用水量较大，晚上基本无人用水，污水总变化系数较大，结合表4.8，取污水总变化系数Kz=3，通过计算得：课程目的统一思想提高认识转变观念澄清概念传递理念交流想法梳理思路确定目标掌握方法着手准备1信息系统审计全文共223页，当前为第1页。信息系统审计全文共223页，当前为第2页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第3页。背景介绍信息技术改变着我们的生活沟通方式电子邮件、即时通讯（MSN、QQ）、IP电话娱乐休闲网络游戏、视频点播、信息获取网站、论坛、博客生活方式网上购物、电视、电影信息系统审计全文共223页，当前为第4页。背景介绍信息技术改变着我们的工作作业工具计算机、打印机、扫描仪作业手段企业网、门户网站、办公自动化管理方法数据集中、业务集成、动态监控分析决策统计数据、分析趋势、发现规律内部控制业务流程重组、自动控制增加、舞弊手段信息系统审计全文共223页，当前为第5页。信息技术的积极面作业效率的提高信息渠道更加畅通集中管理成为可能数据的搜集和管理更加高效信息的查询和分析更加容易人为的差错大大减少纸质介质的使用减少背景介绍信息系统审计全文共223页，当前为第6页。信息技术的消极影响数据信息的安全受到了挑战病毒、黑客、非法入侵业务持续性很难得到保证停电、系统故障、人为破坏控制过程透明度下降控制内嵌于软件中、手工控制变为自动控制错误容易产生累计效应一个点的错误会引起连锁反应对人员素质提出了更高的要求操作计算机、软件知识、网络知识背景介绍信息系统审计全文共223页，当前为第7页。

围绕集团公司实施资源、市场和国际化三大战略，遵循“统一、成熟、实用、兼容、高效”的十字方针，坚持统一规划、统一标准、统一设计、统一投资、统一建设、统一管理的“六统一”原则，加快整体推进信息技术总体规划实施步伐，为提高集团公司管理水平与核心竞争力提供强有力支撑。十一五”信息化建设指导思想中国石油信息技术总体规划信息系统审计全文共223页，当前为第8页。中国石油信息技术总体规划信息技术总体规划是中国石油业务战略规划的重要组成部分，共分7大类51个项目。A勘探开发与管道项目A1.勘探与生产技术数据管理系统A4.地理信息系统A3.管道生产管理

系统A2.油气水井生产

数据管理系统

B炼油化工与

销售项目B1.炼油与化工

运行系统B3.客户关系管理

系统B4.加油站管理

系统B2.炼化物料优化

与排产系统G组织与保障项目G2.信息技术标准

制定G6.信息技术专家

中心建设G4.帮助热线建设G1.信息部门职能

建设G5.信息技术支持

中心建设G3.信息技术培训A5.采油与地面工程

运行管理系统

A6.数字盆地系统C商务与支持项目C1.电子采购系统C2.电子销售系统C3.贸易管理系统C4.矿区服务系统C5.物流管理系统C6.发电供电信息

系统E综合管理项目E7.内控管理系统E6.档案管理系统E4.数据仓库系统E1.健康安全环保

系统E5.办公管理系统A7.工程技术生产

运行管理系统F基础设施项目F1.广域网改进F6.电子邮件服务

改进F2.局域网改进F9.灾难恢复系统

建设F5.企业信息系统

管理F4.数据中心建设F3.因特网接入

改进F10.软硬件标准化F7.视频会议系统

改进F8.信息安全体系

建设DERP项目D5.销售与市场ERP系统D6.总部ERP系统

D3.天然气与管道ERP系统D2.勘探与生产ERP系统D1.ERP业务分析

与实施计划D4.炼油与化工ERP系统D10.油田服务ERP系统D7.工程技术服务ERP系统D8.物资装备ERP系统D9.海外业务ERP系统E2.应急管理系统F11.应用系统集成平台建设E3.企业信息门户

系统完成实施项目完成可研项目正在实施项目信息系统审计全文共223页，当前为第9页。单位投资（亿元人民币）未上市部分29.9896股份公司62.0121合计92.0017集团公司“十一五”信息技术总体规划项目投资总额为92亿元中国石油信息技术总体规划信息系统审计全文共223页，当前为第10页。单位：万元人民币“十一五”信息技术总体规划投资信息系统审计全文共223页，当前为第11页。单位：万元人民币“十一五”信息技术总体规划投资信息系统审计全文共223页，当前为第12页。单位：万元人民币“十一五”信息技术总体规划投资信息系统审计全文共223页，当前为第13页。

基本建成支持公司业务发展的网络畅通、安全可靠、统一集成、先进实用的信息系统平台，信息化建设整体水平继续保持国内领先、接近国际先进，初步实现公司从传统企业向数字化、网络化企业的转变。信息化建设总体目标信息系统审计全文共223页，当前为第14页。序号信息系统实施效果1电子商务4年累计实现网上采购579亿元，节约采购成本超过5%2炼化物料优化与排产系统在大连石化实现了原油采购结构优化、生产计划优化，年增效益3000多万元3炼油与化工运行系统每年可在大连石化降低加工费用约2000万元4勘探与生产技术数据管理系统第一次实现了勘探与开发数据库一体化的集成目标，为勘探开发综合研究提供了全过程的信息应用手段5油气水井生产数据管理系统搭建了涵盖上游生产领域一体化的生产管理和辅助决策集成平台，实现了生产的实时化动态管理6管道生产管理系统实现了天然气管道运行数据的集成应用，提高了工作效率和管理水平7健康安全环保系统实现了HSE数据的集中管理，有利于公司整体HSE业务及时、有效的管理8电子邮件系统每年收发邮件3000万封以上，年节约资金1500万元9视频会议系统召开视频会议148次，12.6万人次在分会场参加会议，仅差旅费就节约1.2亿元10信息门户系统上网文档583万个，信息主门户日访问量1.8万人次，大大推进了信息共享

几年来，随着各信息系统的建设和上线应用，对主营业务的支撑作用开始逐渐显现出来。信息系统应用初见成效信息系统审计全文共223页，当前为第15页。生产服务炼油与销售基础社会服务机械制造天然气与管道总部业务国际贸易化工与销售工程技术服务勘探与生产生产服务综合管理系统专业应用系统设施ERP系统海外业务装备制造矿区服务

贸易销售与市场工程技术服务勘探与生产炼化物料优化与排产系统炼油与化工运行系统广域网改进、局域网改进、电子邮件服务改进、数据中心建设、软硬件标准化、企业系统管理系统、灾难恢复系统、信息安全体系建设、因特网接入改进、视频会议系统改进健康安全环保系统、数据仓库系统、企业信息门户系统、档案管理系统、内控管理系统、办公管理系统、应急管理系统勘探与生产技术数据管理系统地理信息系统采油与地面工程

运行管理系统数字盆地系统油气水井生产数据管理系统工程技术生产运行管理系统管道生产管理系统客户关系管理系统加油站管理系统炼油与化工天然气与管道勘探与生产ERP系统炼油与化工ERP系统销售与市场ERP系统天然气与管道ERP系统工程技术服务ERP系统物资装备ERP系统海外业务ERP系统矿区服务系统电子采购系统电子销售系统贸易管理系统发电供电系统物流管理系统工作体系信息部门职能建设、信息技术标准、信息技术培训、帮助热线建设、信息技术支持中心建设、信息技术专家中心建设信息技术覆盖的业务领域信息系统审计全文共223页，当前为第16页。A勘探开发与管道项目项目说明：

主要实现以下功能需求：A1-勘探与生产技术数据管理系统：建设技术数据管理平台，为勘探开发研究提供高质量的基础数据，实现地震解释、地质解释、测井解释、油气藏建模、钻井应用等功能，改进对勘探生产数据资产的管理，优化勘探生产流程。A2-油气水井生产数据管理系统：实现油气水井生产数据管理、油藏动态监测、增产措施和效果数据管理等功能，规范生产流程，提高管理效率。A3-管道生产管理系统：实现管道生产计划、需求预测、计量管理、统计报表等功能，提高原油、天然气和成品油管道运销的网络化管理水平。A4-地理信息系统：建立集团公司统一的基础地理信息管理平台，提供空间数据查询与展示的功能，实现与空间位置密切相关的业务数据管理。在建设过程中将从集团公司整体业务需求角度考虑地理信息系统的建设A5-采油与地面工程运行管理系统：对油气井的采油工程动态数据以及井上生产作业实施动态管理和监控A6-数字盆地系统：利用虚拟现实等信息技术手段，对勘探、开发等基础资料和技术成果进行深加工，进一步提高对盆地的认识水平，为找油、找气提供技术支持A7-工程技术生产运行管理系统：完成对工程技术服务现场作业管理、现场数据传输、生产调度指挥、专家远程监控和生产报表统计的功能。项目目标：改进对勘探生产技术数据的收集和分析能力，提高勘探成功度，促进勘探开发项目管理和流程的优化和标准化；提高勘探开发与管道生产运行和管理效率，提升计划能力和动态管理能力；增强工程技术服务作业现场管理能力，提高业务的总体管控能力；实现与空间位置密切相关的业务数据管理，提高数据的共享与可视化管理能力。信息系统审计全文共223页，当前为第17页。B炼油化工与销售项目项目说明：

主要实现以下功能需求：B1-炼油与化工运行系统：实现工厂基础信息管理、实验室信息管理、实时数据库、实时数据库应用、生产计划与排产、运行管理、物料移动管理、物料平衡、收率计算、生产统计、生产运行信息平台等功能。B2-炼化物料优化与排产系统：实现原油评价、采购、常减压装置、动力及二次加工装置、产品调合、产品销售、库存优化等功能。B3-客户关系管理系统：实现终端客户管理、中间商管理、竞争对手管理、营销活动管理、定价管理、销售机会管理、报价管理、待确认订单管理、客户服务管理、电子自助服务、分析工具等功能。B4-加油站管理系统：实现基础业务功能（包括组织机构管理、用户管理、类别管理、编码管理、设备维护管理）、基本运营业务功能（油品业务管理、非油品业务管理、账务与报表处理）、客户管理、卡支付管理、增强型业务等功能。项目目标：

建立从原料采购、生产加工到产品销售整个流程的经济效益优化生产计划模型，优化炼化企业的资源配置和生产排产，实现下游供应链的整体效益最大化更为准确和及时地收集下游工厂生产运行信息，及时掌握其计划调度、运行管理、生产执行等情况，优化生产过程，完善控制条件并提高工厂运作效率实现客户统一管理，为客户提供更高质量的服务，增强中国石油的市场竞争力提高和优化对加油站油品和非油品业务的管理水平，强化客户管理，提高中国石油对零售市场的反应速度和竞争力，增加市场份额和销售量信息系统审计全文共223页，当前为第18页。C商务与支持项目项目说明：主要实现以下功能需求：C1-电子采购系统：已完成了项目建设，需要在未来五年内根据业务发展，进一步建立健全电子采购环节的流程改进、采购需求分析、全价值采购、目录管理、市场划分，以及采购类型管理，并和ERP集成C2-电子销售系统：已完成了项目建设，需要在未来五年内根据业务发展，实现电子市场与ERP和其它系统的集成，完善电子市场网站内容管理、采购定单管理C3-贸易管理系统：涵盖整个集团公司的前台、中台和后台交易系统以及整合的决策支持、风险管理和审计控制系统，实现石油、天然气和能源、化工贸易的实物和帐面资金在统一平台的管理C4-矿区服务系统：利用信息技术手段规范矿区服务流程、优化矿区服务质量、完善矿区服务功能、提升矿区服务管理水平，支持实现集团矿区服务系统的业务与管理改革目标C5-物流管理系统：实施具有车船监控、运输、仓储、计划调度、成本核算等管理功能在内的应用系统，降低运输管理成本C6-发电供电信息系统：建设具有生产运行监控、燃料、配电调度和营销功能的应用系统项目目标：

提高集团公司采购流程的效率，降低采购交易成本，实施全价值采购和供应商联盟；提高运用电子市场进行石油产品交易能力，吸引更多的合作伙伴；增加原油及成品油贸易的利润水平、竞争能力以及在全球市场的贸易功能透明度，并提高原油及成品油交易、控制、审计等管理能力；规范矿区服务流程、优化服务质量、完善服务功能、提升管理水平；提高物流专业运输、仓储和配送等业务的管理水平；提高发电供电业务的管理效率，降低管理成本。信息系统审计全文共223页，当前为第19页。DERP项目项目说明：

主要实现以下功能需求：D1-ERP业务分析与实施计划：对ERP系统进行可行性研究、选型和模板设计等工作。D2-勘探与生产ERP系统：实现财务管理、采购及库存管理、销售管理、设备管理等功能，规范管理流程，提高业务数据的准确性、及时性D3-天然气与管道ERP系统：实现财务管理、采购及库存管理、项目管理、设备管理等功能，规范管理流程，提高业务数据的质量，提升业务管理水平D4-炼油与化工ERP系统：实现财务管理、生产管理、采购及库存管理、设备管理等功能，规范管理流程，加强成本核算，对下游业务板块提供核心数据支持D5-销售与市场ERP系统：实现财务管理、采购管理、销售管理、库存管理等功能，规范管理流程，降低成本，提高竞争能力和盈利能力D6-总部ERP系统：实现财务管理、采购管理等功能，规范管理流程。统一实施人力资源管理系统、预算管理系统等，提高总部决策管理效率D7-工程技术服务ERP系统：实现财务管理、采购与库存管理、设备管理、项目管理等功能，规范管理流程，提高管理水平D8-物资装备ERP系统：实现财务管理、采购与库存管理、生产管理、销售管理、设备管理等功能，规范管理流程，实现物资装备企业的采购、生产和销售业务流程一体化D9-海外业务ERP系统：实现财务管理、采购与库存管理、设备管理、项目管理等功能，规范管理流程，提高海外业务的管理水平D10-油田服务ERP系统：实现财务管理等功能，规范管理流程，提高管理水平D11-炼化服务ERP系统：实现财务管理等功能，规范管理流程，提高管理水平项目目标：

支持集团公司的规范管理，实现人、财、物、购、销、存在统一平台中的管理，提高管理水平，促进业务流程和各级组织间的信息共享与协作。建成完整、规范、集成、开放的ERP系统，为业务发展及公司决策提供有力支持。信息系统审计全文共223页，当前为第20页。E综合管理项目项目说明：

主要实现以下功能需求：E1-健康安全环保系统：实现环境管理、安全管理、职业健康管理、QHSE报告系统等功能。确保相关法律、法规、企业制度等得到贯彻和执行，提高健康安全环保的管理水平，降低发生事故的风险，提升企业形象E2-应急管理系统：提高公司整体应急管理能力，统一、高效地处置突发的自然灾害、事故灾难、社会安全、公共卫生、政治事件等应急事件，尽量降低危害程度E3-企业信息门户系统：实现信息的统一发布和综合查询、整合业务应用系统、搭建起应用系统等功能E4-数据仓库系统：实现综合统计、QHSE报表、多维分析、KPI/平衡积分卡等功能E5-办公管理系统：实现公司办公自动化管理、基地业务管理、审计管理、出国项目审批管理、科技项目管理、法律合同管理等功能，提高综合办公管理的效率，加强信息共享E6-档案管理系统：实现档案存储、版本控制功能和安全机制、支持文档网上流转、强大的检索和相关文档定义机制、支持大型团队对文档的协同使用等功能，对档案及文档流转全过程的管理。建设满足档案管理部门工作需要的应用系统E7-内控管理系统：实现内控工作流程自动化管理，规范内控管理流程，满足内控管理和SOX需求项目目标：

提高中国石油保存历史数据、分析数据的能力；为公司内部使用者提供数据快捷获取的工具，为集团公司的信息发布提供一个公用的渠道；完善信息系统总体控制机制，符合SOX法案的要求，完善信息系统的内部控制，高效率低成本进行信息系统内部控制；通过高效的文档管理、存储和检索，提高企业对相关需求的响应和解决速度。信息系统审计全文共223页，当前为第21页。F基础设施项目项目说明：主要实施以下建设内容：F1-广域网改进：国内已完成，未来五年内仍需要进行投入，支持其功能扩展及系统升级，实现公司骨干网的互通互联、远程数据通讯网络、建设海外网络F2-局域网改进：建设无线局域网、推广局域网建设标准和管理规范，在优先级较高地区对局域网进行升级F3-因特网接入改进：制定互联网使用政策和互联网接入构架、防火墙配置、代理服务器配置、互联网信息发布政策F4-数据中心建设：提高数据中心标准化，提升系统可靠性和数据安全性，制订设立、运行和维护数据中心的标准和流程，并推广实施F5-企业信息系统管理：实现网络管理、安全管理、服务器管理、客户端桌面管理、企业资源计划应用管理、系统集成、数据库管理、存储与备份管理、信息技术资产管理以及与帮助热线的集成等F6-电子邮件服务改进：支持公司电子邮件系统功能扩展及系统升级，建立灵活的电子邮件平台F7-视频会议系统改进：建立集团公司统一的视频会议系统，实现“实时、可视、交互”的沟通与协作平台，提高工作效率，降低企业管理成本F8-信息安全体系建设：建立集团公司统一的信息安全体系，确保信息系统安全平稳运行，逐步提高中国石油的信息安全保障水平，达到或接近世界同行业的先进水平F9-灾难恢复系统建设：建立主信息系统备份系统，在主系统发生故障或灾难时，备份系统能够及时替代主系统，保证信息系统连续运行，避免由于主信息系统的损坏所引起的业务风险F10-软硬件标准化：实现硬件供应商的标准化、平台标准化、效率工具标准化、配置标准化项目目标：进一步提高广域网和局域网管理的能力、建设海外网络，满足集团公司的业务发展需求；改善电子邮件服务的质量、可靠性和运行性能；提高数据中心标准化以提升系统可靠性和数据安全性；改善服务，并获得批量折扣并且提高供应商支持水平，以及获得应用的互操作性；改善信息技术基础设施的可靠性和性能，降低支持成本，对基础设施的规划进行最佳的决策和采用更好的系统支持策略；在灾难发生时，避免由于信息技术基础设施的损坏所引起的主要业务风险；提高互联网接入的质量和效率。信息系统审计全文共223页，当前为第22页。经过努力，在“十一五”信息技术总体规划全部实施完成后，集团公司信息化整体水平将会得到提升，促进各业务的发展。炼油与化工实现炼化生产过程和业务流程的优化，使炼化生产处于最佳运行状态实现原油采购结构优化，生产计划优化降低物耗，提高产品质量加强产品生产、销售与市场之间的联系勘探与生产实现勘探与生产数据库一体化的集成，为勘探开发综合研究提供全过程的信息应用手段搭建涵盖上游生产领域一体化的生产管理和辅助决策集成平台，实现生产实时化动态管理天然气与管道实现天然气管道运行数据的集成应用，提高工作效率和管理水平成品油/化工产品销售优化储运网络，合理配置资源，缩短配送时间，提高效率实现加油站智能化管理“十一五”信息技术总体规划预期效果集团总部及时准确把握业务状况汇集大量公司数据，辅助决策总部的指令可以迅速得以下达信息系统审计全文共223页，当前为第23页。集团总部及时准确把握业务状况汇集大量集团公司数据，辅助决策总部的指令可以迅速得以下达国际投资提高油藏管理能力，提高钻井成功率，提高油气田采收率统一管理地球科学和工程数据，实现远程决策，提高远程控制能力工程技术服务提高勘探、钻井成功率，有效控制工程技术服务成本与股份公司上游企业形成勘探开发一体化作业能力实现工程设计/建设/监理信息化生产服务改善设备运行，优化电力输配网络，降低电力生产/输配成本保证电力供应安全优化运输网络，实现运输途中监控机械制造提高设计工作的信息化水平，并与生产控制紧密衔接快速响应市场需求，合理安排

生产计划，缩短交货周期加强生产过程管理，控制损耗，细化成本结构，降低生产成本基地业务提高矿区、社区生产生活服务质量和保障能力提高基地业务管理效率，实现管理透明化“十一五”信息技术总体规划预期效果信息系统审计全文共223页，当前为第24页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第25页。信息系统审计的概念审计1972年美国会计学会的《基础审计概念的说明》中对审计的定义是：

"审计是为了查明经济活动和经济现象的表现与所定标准之间的一致程序而客观地收集和评价有关证据，并将其结果传达给有利害关系使用者的有组织的过程"

《中华人民共和国审计法实施条例》第2条对审计所下的定义是:

审计是审计机关依法独立检查被审计单位的会计凭证、会计账簿、会计报表以及其他与财政收支、财务收支有关的资料和资产，监督财政收支、财务收支真实、合法和效益的行为

信息系统审计全文共223页，当前为第26页。信息系统审计的概念内部审计1999年6月，内部审计师学会对内部审计的如下定义：

“内部审计是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。”国际内部审计师协会在《内部审计实务标准》对内部审计作了新的定义:

“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”

信息系统审计全文共223页，当前为第27页。与计算机有关的几个审计概念IT审计计算机审计电子数据审计计算机辅助审计信息系统测试信息系统审计IS审计信息系统审计的概念信息系统审计全文共223页，当前为第28页。信息系统审计的概念信息系统

信息系统是与信息加工，信息传递，信息存贮以及信息利用等有关的系统现代信息系统一般均指人、机共存的系统。信息系统一般包括：数据处理系统管理信息系统决策支持系统办公自动化系统

信息系统审计全文共223页，当前为第29页。信息系统审计的概念国外：日本通产省情报协会在1996年对信息系统审计定义:

为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动。1999年,国际信息系统审计领域的权威专家RonWeber将它定义为

收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。信息系统审计全文共223页，当前为第30页。信息系统审计的概念国内：国内专家孙强在《信息系统审计-安全、风险管理与控制》定义:

审计人员接受委托或授权,收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织活动。中国内部审计协会在《信息系统审计准则（征求意见稿）》里定义：

是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。

信息系统审计全文共223页，当前为第31页。信息系统审计的概念信息系统内部审计：是企业内部审计职能下的一个专业团队是企业内部审计工作不可或缺的一部分不是一个独立的团队：没有单独的章程或手册必须符合内审的工作需求和各项程序同样的汇报机制，包括向内审职能负责人和审计委员会的汇报工作应包括在审计年度计划内由于是专业领域，因此可能需要一些专题指引和方法信息系统审计全文共223页，当前为第32页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第33页。信息系统审计的发展

信息系统审计的起源在信息社会中，人们的工作生活，企业的经营运作，政府的施政，都离不开各种的信息系统。人类社会已对信息系统产生极大的依赖性，对信息系统的可靠性、安全性、有效性进行了解和评价显得异常重要。信息化的发展，推动了新的审计业务———信息系统审计的产生。

手工处理部分计算机处理应用系统管理高度集成的信息系统手工方式纸质介质无手工方式纸质介质很小计算机辅助审计电子数据很大系统审计+数据审计系统控制+数据重大审计方式审计对象影响程度信息系统审计全文共223页，当前为第34页。信息系统审计的发展

信息系统审在美国起源

信息系统审计源于EDP（ElectronicDataProcessing)审计。当计算机技术应用于电子数据处理，特别是应用于财务数据的电子数据处理，针对电子数据处理系统信的审计便出现，称为EDP审计。世界上最早出现的EDP审计专业组织是在1969年在美国成立的EDP审计师协会EDPAA（EDPauditorsassociation)。1994后来也发展为信息系统审计与控制协会ISACA(internationalsystemauditandcontrolassociation)

是目前世界上唯一的信息系统审计领域国际性专业组织。

信息系统审计全文共223页，当前为第35页。信息系统审计的发展信息系统审计与控制协会（ISACA）介绍创始于1967年，当时它是由从事同类职业的人所组成的小团体。计算机系统的审计和控制对他们各自机构的运作都变得愈发关键，因此他们聚集起来讨论制定信息集中化资源和本领域指导准则的必要性。1969年，这个团体正式组建为EDP审计师协会。1976年，这个协会成立一项教育基金来开展大规模的研究工作，以拓展信息产业管理与控制领域的知识与价值。

今天，ISACA在全球有65000多名成员分布在140多个国家

ISACA的另一个强势就是它的分会网络。ISACA的分会遍布世界60多个国家，可提供成员教育、资源共享、支持、专业网络，以及其他由当地分会提供的诸多利益。它的国际信息系统审计师（CISA）认证得到全球的公认，并有三万多名专业人员得到认证。它最新推出的国际信息安全经理（CISM）认证特别针对信息安全管理的审计事务。

信息系统审计全文共223页，当前为第36页。

美国：

美国在计算机进入实用阶段时就开始提出系统审计（SYSTEMAUDIT）从事系统审计活动已有30多年历史。美国IT产业的兴起,促进了IT审计的发展。IT审计规范的建设,促进了全球IT审计事业的进步。IT审计行业建立了较完善的自我管理机制,行业发展进入了良性循环。IT审计建立了较完善的培训和职业认证体系,拥有坚实的人才基础。信息系统审计的发展信息系统审计全文共223页，当前为第37页。其他国家：日本的系统审计是从80年代开始，1983年通产省公开发表了《系统审计标准》，并在全国软件水平考试中增加了"系统审计师"一级的考试，着手培养从事系统审计的骨干队伍。东南亚各国也开始制定EDI法规，成立专门机构开展系统审计业务，并制定技术标准。信息系统审计的发展信息系统审计全文共223页，当前为第38页。中国：1988年我国开始探索在审计中应用计算机技术1998年审技术提出了审计信息化建设意近年来我国先后出台了部分与IT审计相关的法律法规

《过五关办公厅关于利用计算机信息系统开展审计工作有关问题的通知》《审计机关计算机辅助审计办法》《信息技术、会计核算软件数据接口》1999年颁布了

《独立审计准则第20号———计算机信息系统环境下的审计》

准则规范了电子数据处理审计的内容，但对有关网络信息系统的审计则没有涉及2008年颁布了

《信息系统审计准则（征求意见稿）》

信息系统审计的发展信息系统审计全文共223页，当前为第39页。我国信息系统审计的发展面临的问题：缺少通用的行业标准。缺乏技术层面的规范。组织中还没有形成制度重要性没有得到广泛的认同没有成熟的经验可以借鉴缺少胜任的专业人才信息系统审计的发展信息系统审计全文共223页，当前为第40页。发展前景企业管理层对信息系统审计愈加重视。信息系统审计在审计共作中的比重逐渐加大不断推出的相关法规和标准将陆续推出。信息系统审计理论和实务更加成熟。信息系统审计拥更广阔市场。信息系统审计师成为稀缺人才信息系统审计的发展信息系统审计全文共223页，当前为第41页。国内外信息系统认证介绍信息安全国际国内标准重要里程碑信息系统审计准则信息系统审计全文共223页，当前为第42页。国内外信息系统认证介绍主要的信息安全标准－国际标准信息系统审计全文共223页，当前为第43页。国内外信息系统认证介绍主要的信息安全标准－国际标准主要的信息安全标准－国际标准（续）信息系统审计全文共223页，当前为第44页。国内外信息系统认证介绍主要的信息安全标准－国内标准信息系统审计全文共223页，当前为第45页。国内外信息系统认证介绍国际标准化组织简介

国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担ISO技术工作的成果是正式出版的国际标准，即ISO标准ISO在信息安全方面的标准主要包括：ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569信息系统审计全文共223页，当前为第46页。国内外信息系统认证介绍ISO/IEC17799/27001/27002

ISO/IEC17799是由国际标准化组织（ISO）与IEC（国际电工委员会）共同成立的联合技术委员会ISO/IECJTC1，以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准前BS7799在2000年成为ISO/IEC17799:2000（第一版），后在2005年10月更新2007年7月ISO17799:2005改名为ISO27002:2005ISO/IEC27001:2005信息安全管理体系规范，相当于BS7799-2的改进版；内容涉及12个领域，有多个控制措施供企业选择ISO/IEC27002:2005信息安全管理体系的实施指南，相当于BS7799-1的改进版；内容涉及10个领域，36个管理目标和127个控制措施2007年ISO又颁布了ISO/IEC27006截至于2008年4月，全球的各个认证机构大约颁发了4千多ISO27001或BS7799的认证书信息系统审计全文共223页，当前为第47页。国内外信息系统认证介绍ISO/IEC1540890年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题1991年欧盟(EuropeanCommission)颁布了ITSEC（信息技术安全评估准则）在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：CommonCriteria）1999年6月ISO通过了ISO/IEC15408安全评估准则目前的最新版本于2005年发布信息系统审计全文共223页，当前为第48页。国内外信息系统认证介绍ISO/IEC13335ISO/IEC13335InformationTechnology—GuidelinesfortheManagementITSecurity是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在1996至2001年间发布第一部分：安全概念和模型（Part1—ConceptsandModelsforITSecurity），发布于1996年12月15日第二部分：安全管理和规划（Part2—ManagingandPlanningITSecurity），发布于1997年12月15日第三部分：安全管理技术（Part3—TechniquesfortheManagementofITSecurity），发布于1998年6月15日第四部分：保护的选择（Part4—SelectionofSafeguards），发布于2000年3月1日第五部分：外部联接的防护（Part5—ManagementGuidanceonNetworkSecurity），发布于2001年1月2日其中第一部分分别于1997年和2004年发布了更新版本信息系统审计全文共223页，当前为第49页。CoBITCOBIT简介

COBIT（ControlObjectivesforInformationandrelatedTechnology）是由信息系统审计与控制学会ISACA在1996年所公布的控制框架；目前已经更新至第4.1版;COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。COBIT框架共有34个IT的流程，分成四个领域：PO（计划与组织）AI（获取与实施）DS（交付与支持）ME（监控与评估）是一个在国际上公认的、先进权威的安全与信息技术管理和控制的框架。国内外信息系统认证介绍信息系统审计全文共223页，当前为第50页。CoBITCOBIT来源1992年：ISACF(InformationSystemAuditandControlFoundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会。1996年：COBIT指导委员会公布COBIT第一版。1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标扩充成34个。2000年：COBIT指导委员会公布COBIT第三版。2005年：COBIT指导委员会公布COBIT第四版。2007年：发布COBIT4.1版，为目前最新版本国内外信息系统认证介绍信息系统审计全文共223页，当前为第51页。COBITCOBIT的作用作为基于风险的IT内控标准被企业参考和借鉴提供一个IT控制框架，确保企业IT支持业务目标，IT治理融合了许多良好实践并将其制度化。为企业的IT治理提治理框架，确保企业可以充分利用信息，进而实现收益最大化、充分利用机遇，获得竞争优势，满足并支持那些广为接受的企业治理及风险管理的控制框架，如COSO的内部控制整体框架。为做好IT控制和IT审计提供很好的参照物。国内外信息系统认证介绍信息系统审计全文共223页，当前为第52页。COBITCOBIT的作用

COSO通常作为企业的内部控制框架，COBIT则是通用的IT控制框架，其产品分为三个层次，以支持：执行经理及董事会；业务经理和IT经理；从事治理、保障、控制和安全的专业人士。

COBIT通过提供框架来支持IT治理，进而确保：IT与业务保持一致；IT保障业务并实现收益最大化；IT资源的充分管理；适当管理IT风险。国内外信息系统认证介绍信息系统审计全文共223页，当前为第53页。

ISO20000（ITIL和BS15000）

ITIL的全称是信息技术基础设施库（InformationTechnologyInfrastructureLibrary），是英国商务部（OGC）于1980年开发的一套IT业界的服务管理标准库，是截至目前为止世界范围内IT服务管理的最佳实践。ITIL最核心的内容包括服务交付和服务支持服务交付是针对IT部门对客户提供信息服务时应有的工作流程。其中包括：

服务水平管理、IT服务财务管理、能力管理、

IT服务持续性管理、可用性管理。服务支持是针对一般系统的运作部分，目的是让使用者可以顺利存取到IT服务。其中包括：服务台、事件管理、问题管理、配置管理、变更管理、版本管理。国内外信息系统认证介绍信息系统审计全文共223页，当前为第54页。

ISO20000（ITIL和BS15000）

2001年，英国标准协会在国际IT服务管理论坛（ITSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT服务管理领域具有历史意义的重大事件。BS15000有两个部分，目前都已经转化成国际标准了。ISO/IEC20000-1:2005信息技术服务管理-服务管理规范、ISO/IEC20000-2:2005信息技术服务管理-服务管理实用规范。与ISO/IEC

27000系列相比，ISO20000关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将ISO/IEC

27000系列作为ISO20000在信息安全方面的补充，同时引入ISO20000流程的方法，以此加强信息安全管理的实施能力。国内外信息系统认证介绍信息系统审计全文共223页，当前为第55页。通用标准（CC）通用标准或通用准则（CommonCriteria，简称CC）是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2；CC2.1版在1999年成为国际标准ISO/IEC15408:1999；我国在2001年等同采用为国家标准GB/T18336－2001。简介和一般模型。安全功能要求。安全保证要求。与ISO/IEC

27000系列相比，CC的侧重点放在系统和产品的技术指标评价上，ISO/IEC

27000系列在阐述信息安全管理要求时，并没有强调技术细节。因此，组织在依照ISO/IEC

27000系列来实施ISMS时，一些牵涉系统和产品安全的技术要求，可以借鉴CC标准。国内外信息系统认证介绍信息系统审计全文共223页，当前为第56页。NISTSP800系列美国国家标准技术协会（NationalInstituteofStandardsandTechnology，NIST）发布的SpecialPublication800文档是一系列针对信息安全技术和管理领域的实践参考指南，其中有多篇是有关信息安全管理的。SP800-12：计算机安全介绍SP800-30：IT系统风险管理指南SP800-34：IT系统应急计划指南SP800-26：IT系统安全自我评估指南这些文件可以作为实施ISMS过程中一些关键任务的指导和参照（例如风险评估、应急计划等），是对ISO/IEC

27000系列很好的补充和细化。

国内外信息系统认证介绍信息系统审计全文共223页，当前为第57页。SSE-CMM系列CMM即软件开发能力的成熟度模型，是软件工程协会SEI(softwareengineeringinstitution)在卡内基.梅隆大学开发完成的对一个组织软件开发能力进行评价的标准。它侧重于对软件开发过程和开发方法论的考察。CMM包括五个成熟等级，开发的能力越强，开发组织的成熟度越高，等级越高。这五级包括：初级、可重复的、被定义的、被管理的以及优化的。SSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型，是由美国国家安全局(NSA)于1996年在CMM模型基础上开发的，在系统安全工程这个具体领域应用而产生的一个分支，是专门用于系统安全工程的能力成熟度模型。目前最新版本是SSE-CMM2.0国内外信息系统认证介绍信息系统审计全文共223页，当前为第58页。SSE-CMM系列系统安全工程过程一共有3个相关组织过程、5个能力级别，11个过程区域。3个相关组织过程：工程过程、风险过程、保证过程。5个能力级别：基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级

国内外信息系统认证介绍信息系统审计全文共223页，当前为第59页。SSE-CMM系列2002年被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002《信息技术系统安全工程－成熟度模型》。SSE-CMM和ISO/IEC

27000系列都提出了一系列最佳实践，但ISO/IEC

27000系列是一个认证标准（ISO/IEC

27001），提出了一个可供认证的ISMS体系，组织应该将其作为目标，通过选择适当的控制措施（ISO/IEC

27002/3）去实现。而SSE-CMM则是一个评估标准，适合作为评估工程实施组织能力与资质的标准。国内外信息系统认证介绍信息系统审计全文共223页，当前为第60页。信息系统管理认证–个人认证信息安全管理体系主任审核员（ISO27001Principal/LeadAuditor）IT服务管理体系国际标准主任审核员（ISO/IEC20000LA）ITIL认证：ITILFoundation、ITILPractitioner、ITILManager项目管理专业资质认证（PMP，ProjectManagementProfessional）国际项目管理专业资质认证（IPMP，InternationalProjectManagementProfessional）中国项目管理师（CPMP，ChinaProjectManagementProfessional）-中国国内外信息系统认证介绍信息系统审计全文共223页，当前为第61页。信息安全系统管理认证–个人认证CISA(信息系统审计师)-

ISACA

CISM（注册信息系统经理）-

ISACA

CISSP（信息系统安全认证专业人员）CompTIASecurity+™认证SANSGSEC（GIACSecurityEssentialsCertification）CISP（注册信息安全专业人员）-中国国内外信息系统认证介绍信息系统审计全文共223页，当前为第62页。信息系统管理认证–个人认证信息系统高校相关专业–国外OpenUniversity-InformationSecurityManagement:www3.open.ac.ukRoyalHolloway,UniversityofLondon-MScinInformationSecurity:RoyalHolloway,UniversityofLondon-PhDinSecurity:www.isg.rhul.ac.ukWestminsterUniversity-MScinITSecurity:www.wmin.ac.ukLoughboroughUniversity-MScinSecurityManagement:www.lboro.ac.ukGeorgiaInstituteofTechnology-MScinInformationSecurity:/welcomeUniversityofCalifornia–Berkeley-MScinInformationSecurity:MassachusettsInstituteofTechnology(MIT)-MScinInformationSecurity:/CarnegieMellonUniversity-MScinInformationSecurity:StanfordUniversity-MScinInformationSecurity:国内外信息系统认证介绍信息系统审计全文共223页，当前为第63页。信息系统管理认证–个人认证信息系统高校相关专业-国内西安电子科技大学-密码学及信息安全硕士:武汉大学-信息安全硕士:上海交通大学-信息安全硕士:北京邮电大学-信息安全硕士:哈尔滨工业大学–信息安全硕士:山东大学-密码学硕士:东北大学-信息安全硕士:

国内外信息系统认证介绍信息系统审计全文共223页，当前为第64页。信息系统技术认证–硬件CompTIAA+®认证CompTIAA+认证是针对核心硬件和操作系统技术方面的一项认证。该认证是一项厂商中立的国际性认证，并得到了主要软硬件厂商、分销商和经销商的认可。CompTIAA+认证将对技术人员从事如下工作的能力进行检验：安装、配置、诊断、定期维护和基础组网的能力。截止到2006年底，全球有70万人拥有CompTIAA+认证。国内外信息系统认证介绍信息系统审计全文共223页，当前为第65页。信息系统技术认证–操作系统Windows微软认证系统工程师(MCSE)

LinuxRed

Hat认证工程师（Red

Hat

Certified

Engineer

，简称RHCE）CompTIALinux+认证

UnixHP-UX系统管理员认证HP-UXSystemAdministrationCertification国内外信息系统认证介绍信息系统审计全文共223页，当前为第66页。信息系统技术认证–数据库OracleOracle认证专员OracleCertifiedAssociate(OCA)Oracle认证专家OracleCertifiedProfessional(OCP)Oracle认证资深专家

OracleCertifiedMaster(OCM)SybaseCPD-Associate

(Sybase

Certified

PowerBuilder

Developer--Associate)CASA-Associate

(Sybase

Certified

Adaptive

Server

Administrator--Associate)国内外信息系统认证介绍信息系统审计全文共223页，当前为第67页。信息系统技术认证–应用系统SAPSAP顾问学院认证(SolutionAcademy)SAPAll-in-One顾问认证SAPBusinessOne认证考试国内外信息系统认证介绍信息系统审计全文共223页，当前为第68页。信息系统技术认证–网络CiscoCisco认证网络支持工程师CCNACiscoCertifiedNetworkAssociateCisco认证资深网络支持工程师CCNPCiscoCertifiedNetworkProfessional

Cisco认证互联网专家CCIECiscoCertifiedInternetworkExpertCompTIANetwork+®认证国内外信息系统认证介绍信息系统审计全文共223页，当前为第69页。信息系统技术认证–网络及其他华为认证华为认证网络工程师HuaweiCertifiedNetworkEngineer（HCNE）华为认证高级网络工程师HuaweiCertifiedSeniorNetworkEngineer（HCSE）CheckpointCheckpoint认证安全管理员Check

Point

Certified

Security

Administrator（CCSA）

Checkpoint认证安全工程师Check

Point

Certified

Security

Engineer（CCSE）

国内外信息系统认证介绍信息系统审计全文共223页，当前为第70页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第71页。开展信息系统审计的必要性信息系统对业务的影响程度越来越大，信息系统的稳定性直接关系到企业的连续运营手工控制转为系统控制，系统控制的效果直接影响到内部控制的有效性分析决策基于系统生成的数据，数据的准确性直接影响到分析决策的科学性、合理性。企业的重要信息都由信息系统管理，信息系统的安全水平和保密措施至关重要。数据信息成为企业最重要的一种资产，对信息资产的保护成为一项重要的工作。信息系统对企业的重要性信息系统审计全文共223页，当前为第72页。开展信息系统审计的必要性财务核算和管理全面实现信息系统管理，手工查帐的方式已经不适用。手工控制转为系统控制，缺少对系统控制的检查就无法评价内部控制的有效性。业务高度依赖信息系统，缺少对系统的审计相当于回避了可能存在的问题，无法得出可信的审计结论。审计要全面关注企业运营的风险，信息系统已经成为企业的主要风险来源之一。“不搞信息系统审计，我们将失去审计资格”信息系统审计全文共223页，当前为第73页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第74页。开展信息系统审计的条件明确目标

信息系统审计的目标：协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。

组织的信息技术管理目标：保证组织的信息技术战略充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，保证信息系统的运行符合法律法规及监管的相关要求。信息系统审计全文共223页，当前为第75页。开展信息系统审计的条件分清责任组织中信息技术管理人员的责任

信息系统的开发、运行和维护，以及信息技术相关的内部控制的设计和执行；信息系统审计人员的责任

实施信息系统审计工作并出具审计报告。信息系统审计全文共223页，当前为第76页。开展信息系统审计的条件胜任能力

从事信息系统审计人员的专业胜任能力是指在信息系统审计领域,胜任管理层与其他利益方的委托、履行其信息系统审计职能所应拥有的相关知识、技能和素质。信息系统审计人员应当：熟悉内部审计业务具备必要的信息技术及信息系统审计的专业知识。审计项目负责人员具备信息系统审计相关工作经验，或相关行业的从业经验。组织应当建立信息系统审计人员培训制度，取得注册信息系统审计师等执业资格，以保证审计人员的专业胜任能力。对于不熟悉的领域可以利用外部专家的服务。信息系统审计全文共223页，当前为第77页。提纲背景介绍信息系统审计相关概念信息系统审计的发展情况开展信息系统审计的必然性开展信息系统审计的条件开展信息系统审计的方法ERP审计介绍信息系统审计的工作思路信息系统审计全文共223页，当前为第78页。开展信息系统审计开展方式：信息系统审计是组织内部审计工作的重要组成部分，可以：作为独立的审计项目组织实施

由相关业务背景的审计人员和外部专家组成独立的审计组，对特定信息系统的整个生命周期或者某个阶段进行审计。作为综合性内部审计项目的组成部分实施

为了确保审计结论的可信，信息系统审计人员参与到其他审计项目中完成对被审计业务高度依赖的信息系统的评价，综合得出审计结论信息系统审计全文共223页，当前为第79页。开展信息系统审计过程阶段：信息系统审计只是一种新的审计业务类型，开展过程与其他审计业务基本一致信息系统审计划分为以下阶段：审计计划阶段审计实施阶段审计报告阶段后续工作阶段。信息系统审计全文共223页，当前为第80页。开展信息系统审计过程阶段：信息系统审计只是一种新的审计业务类型，开展过程与其他审计业务基本一致信息系统审计划分为以下阶段：风险评估审计计划审计实施审计报告后续工作信息系统审计全文共223页，当前为第81页。开展信息系统审计风险评估：

进行信息系统审计时，审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。信息技术风险

组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险包括组织层面一般性控制层面业务流程层面信息系统审计全文共223页，当前为第82页。风险评估组织层面需要关注以下几方面：组织的信息技术战略与组织整体发展战略规划的契合度信息技术对业务和用户需求的支持度信息资产的重要性对信息技术的依赖程度对信息技术部门人员的依赖程度对外部信息技术服务的依赖程度开展信息系统审计信息系统审计全文共223页，当前为第83页。风险评估一般性控制层面需要关注以下几方面：信息系统的可靠性；信息技术变更；法律规范环境；其他。开展信息系统审计信息系统审计全文共223页，当前为第84页。风险评估业务流程层面：业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。审计人员应了解业务流程并关注以下几方面信息技术风险：数据输入数据处理数据输出开展信息系统审计信息系统审计全文共223页，当前为第85页。审计计划阶段审计计划的依据

明确的审计目标初步风险评估的结果对所需的资源估算重点审计领审计活动的优先次序，审计组成员的职责开展信息系统审计信息系统审计全文共223页，当前为第86页。审计计划阶段

针对信息系统审计的特殊性，审计人员还应充分考虑以下因素：高度依赖信息技术、信息系统的关键业务流程及相关的组织战略目标信息技术管理的组织架构信息系统框架和信息系统的长期发展规划及近期发展计划信息系统及其支持的业务流程的变更情况信息系统的复杂程度以前年度信息系统内、外部审计等相关的审计发现及跟进情况

信息系统审计作为其他综合性内部审计项目的一部分时审计人员在审计计划阶段还应综合考虑相关内部审计的审计目标及要求。开展信息系统审计信息系统审计全文共223页，当前为第87页。信息系统审计内容信息系统审计通常包括审计组织层面信息技术控制审计信息技术一般性控制审计业务流程层面相关应用控制信息技术内部控制的各个层面都包括人工控制自动控制人工自动相结合的控制审计人员应根据不同的控制形式采取恰当的审计程序。开展信息系统审计信息系统审计全文共223页，当前为第88页。信息系统审计内容组织层面信息技术控制

指管理层及治理层对信息技术治理职能及内部控制的重要性的态度、认识和措施。审计人员应考虑以下控制要素中与信息技术相关的内容：

控制环境风险评估信息与沟通监控开展信息系统审计信息系统审计全文共223页，当前为第89页。信息系统审计内容组织层面信息技术控制——控制环境审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度信息技术治理制度体系的建设信息技术部门的组织结构和关系信息技术治理相关职权与责任的分配信息技术人力资源管理对用户的信息技术教育和培训开展信息系统审计信息系统审计全文共223页，当前为第90页。信息系统审计内容组织层面信息技术控制——风险评估审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架流程和执行情况信息资产的分类以信息资产所有者的职责开展信息系统审计信息系统审计全文共223页，当前为第91页。信息系统审计内容组织层面信息技术控制——信息与沟通审计人员应关注组织的信息系统架构及其对财务业务流程的支持度管理层及治理层的信息沟通模式信息技术政策/信息安全制度的传达与沟通开展信息系统审计信息系统审计全文共223页，当前为第92页。信息系统审计内容组织层面信息技术控制——监控审计人员应关注组织的监控管理报告系统监控反馈与跟踪处理程序、组织对信息技术内部控制的自我评估机制等方面。开展信息系统审计信息系统审计全文共223页，当前为第93页。信息系统审计内容信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动：信息安全管理系统变更管理系统开发和采购管理系统运行管理开展信息系统审计信息系统审计全文共223页，当前为第94页。信息系统审计内容信息技术一般性控制——信息安全管理审计人员应关注组织的信息安全管理政策物理访问及针对网络操作系统、数据库、应用系统的身份认证和逻辑访问管理机制系统设置的职责分离控制开展信息系统审计信息系统审计全文共223页，当前为第95页。信息系统审计内容信息技术一般性控制——系统变更管理审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到生产环境的流程控制等。开展信息系统审计信息系统审计全文共223页，当前为第96页。信息系统审计内容信息技术一般性控制——系统开发和采购管理审计人员应关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发的方法论，开发环境、测试环境、生产环境严格分离情况，系统的测试、审核、移植到生产环境等环节。开展信息系统审计信息系统审计全文共223页，当前为第97页。信息系统审计内容信息技术一般性控制——系统运行管理审计人员应关注组织的信息技术资产管理系统容量管理系统物理环境控制系统和数据备份及恢复管理问题管理和系统的日常运行管理开展信息系统审计信息系统审计全文共223页，当前为第98页。信息系统审计内容业务流程层面应用控制

是指在业务流程层面为了合理保证应用系统能够准确、完整、及时完成业务数据的生成、记录、处理、报告交易等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑数据输入环节的控制活动数据处理环节的控制活动数据输出环节的控制活动：

开展信息系统审计信息系统审计全文共223页，当前为第99页。信息系统审计内容业务流程层面应用控制审计师应该关注授权与批准系统配置控制异常情