信息系统审计 课件 【ch06】信息系统内部控制审计

信息系统内部控制审计第六章高等院校公共课系列精品教材信息系统审计一般控制审计0101组织架构审计组织架构审计目标和内容组织架构审计的主要方法和程序组织架构审计的目标是：通过对信息系统决策与规划、执行与实施、风险管理、监督机构的评价，向管理层提供信息系统组织工作得到控制、监督、持续优化的合理保证。组织架构审计的主要内容包括：审查被审计单位的IT组织架构设置、部门职责及IT人力资源招聘、选用、培训、考核和晋升机制等是否真实存在，以及相关管理制度等是否规范。组织架构审计的主要方法和程序如表6-1所示。02制度体系审计制度体系审计目标和内容健全的信息化管理制度体系应包括人力资源管理制度、内部监督制度、软件采购制度、软件外包制度、软件开发制度、系统运维制度等。明确各层级管理者的权责关系和沟通机制。制度体系审计的目标是：确保被审计单位的信息化控制相关制度体系的真实性和有效性。制度体系审计的主要内容包括：审查被审计单位的信息化管理制度体系是否真实存在，以及各层管理人员的岗位职责和权责关系是否明确，沟通渠道是否通畅。检查人力资源管理制度，信息系统人才选拔、培训、储备等关键岗位职责，绩效考核等制度，评价人力资源管理对信息系统架构的支持程度。检查主要业务流程如采购管理、资产管理、财务管理等制度，评价相关制度对信息系统架构的支持程度。02制度体系审计制度体系审计的主要方法和程序制度体系审计的主要方法和程序如表6-2所示。03岗位职责审计岗位职责审计目标和内容被审计单位应设置信息化系统规划、建设、运维等岗位，明确岗位职责，配备相应人员，做到权责分离、奖惩合理、沟通顺畅。岗位职责审计的目标是：确保被审计单位的信息化岗位配置、岗位考核机制的真实性和有效性。03岗位职责审计岗位职责审计目标和内容03岗位职责审计岗位职责审计目标和内容03岗位职责审计岗位职责审计目标和内容03岗位职责审计岗位职责审计目标和内容03岗位职责审计岗位职责审计的主要方法和程序岗位职责审计的主要方法和程序如表6-7所示。04教育培训审计教育培训审计的目标和内容教育培训审计的目标是：确保被审计单位的IT培训制度及其落实情况的真实性和有效性。教育培训审计的主要内容包括：审查教育培训的制度体系是否健全，是否落实到位，培训的力度如何，培训的内容是否全面和有针对性；审查教育培训是否有考核管理制度来保证培训的效果等；审查信息技术人员是否有专业领域的持续培训以加强专业技能。04教育培训审计教育培训审计的主要方法和程序教育培训审计的主要方法和程序如表6-8所示。05内部监督审计内容监督审计的目标和内容完善的内部监督制度有利于被审计单位规避由信息系统带来的各种风险，保障其各项业务顺利开展。内部监督审计的目标是：确保被审计单位的IT风险管理和内部监督机构设置、管理政策和流程等制度的真实性和有效性。内部监督审计的主要内容包括：审查被审计单位是否明确信息系统监督职能，在信息系统监督部门设立信息系统监督岗位；是否建立了信息系统审计制度；是否按照组织的要求开展信息系统审计。05内部监督审计内部监督审计的主要方法和程序内部监督审计的主要方法和程序如表6-9所示。应用控制审计0201业务流程控制审计业务流程控制审计的目标业务流程控制审计的内容业务流程控制审计的目标是：确保业务流程的有效性和合规性。一是系统的业务流程设计与实际业务需求相吻合，并能满足生产经营管理的需求，提高管理水平和市场应变能力；二是保障信息系统平稳、安全运行，有较强的故障恢复能力；三是系统具有较好的业务协同能力和可扩展性；四是防范业务流程的操作风险，为实现职责分离提供保证并在业务流程中得以体现，同时符合监管的相关要求。审计人员需检查被审计单位的信息系统的业务流程设计与实际业务的匹配度，系统流程设计是否符合经济活动的需求，是否对业务流程进行了整合或改造来避免重复的操作，是否对关键业务环节和关键岗位采取了正确有效的控制，做到了职责分离等。评估业务流程的合理性，看系统功能是否能满足经济业务活动的需要，突发状况管理、应急响应和系统控制是否有效。发现系统业务流程设计的缺陷，评价系统业务流程设计的合理性和有效性，提出审计意见和建议。01业务流程控制审计业务流程控制的风险业务流程控制的风险包括：(1)核心业务系统的业务流程设计没有满足组织的需求；(2)信息系统的业务流程缺乏或规划不合理，导致重复建设或经营管理效率低下；(3)未统筹兼顾业务风险和信息科技风险，在业务信息系统的流程处理控制中未做风险控制的考虑；(4)业务流程中关键环节的相关控制点没有得到有效执行；(5)业务系统的接口不符合相关规范的要求，存在接口标准不统一、安全控制不到位的风险；(6)业务处理过程中的接口访问权限没有得到有效管理，存在数据泄露及被滥用的风险；(7)信息系统的业务流程功能对系统的性能和容量有一定要求时，因缺乏有效、及时的监控，导致信息系统运行效率低下，甚至出现安全事故，使信息系统不能正常运行，从而无法满足业务需求。01业务流程控制审计业务流程控制审计的主要方法和程序业务流程控制审计的主要方法和程序如表6-10所示。01业务流程控制审计业务流程控制审计的主要方法和程序02数据输入控制审计数据输入控制审计的目标数据输入控制审计的内容业务流程控制审计的目标是：确保输入数据的合规性、安全性、完整性和准确性。数据输入控制审计主要对信息系统数据输入操作进行审计，评价数据输入操作及其管理的正确性和规范性；是否在系统中建立用户账号和权限管理机制，并根据设定的权限使用数据输入功能，以及监督操作的规范性；是否具备日志记录功能；同时它也是对输入界面和数据进行有效验证的再审计，以进一步确定和评价系统数据输入的有效性和合规性，以及对错误数据的识别和纠正能力；是否制定数据管理规范，规定数据入库的工作流程和岗位职责，以及数据入库工作是否严格按照规范和制度执行；信息系统功能是否存在数据入库控制，系统的数据入库控制是否有效；是否能够保证共享与交换数据的完整性、准确性和合规性；是否能够保证用户通过数据备份与恢复数据接收功能接收的数据的完整、准确、可用。02数据输入控制审计数据输入控制的风险数据输入控制的风险包括以下几种。(1)职责分工不明确。(2)系统账号与权限管理机制不存在或不健全。(3)系统的数据录入、导入、修改、删除不符合国家、行业或单位规范标准，或存在未经许可的数据录入、导入接口。(4)数据录入、导入、修改、删除的结果不准确、不完整，或存在错误的数据输入。(5)数据录入、导入接口未设置数据校验控制，或设置的数据校验控制失效。(6)数据输入操作无日志记录。(7)数据校验功能不符合国家、行业或单位的规范标准。02数据输入控制审计数据输入控制的风险(8)未制定数据管理规范、数据入库的工作流程和岗位职责，或虽然制定但没严格按照制度执行。(9)数据入库控制功能缺失。(10)数据入库不完整，采集的数据、缓冲区的最终数据库数据出现不一致情况。(11)访问共享数据的用户未经过授权。(12)共享数据的传输未经加密。(13)未建立数据备份与数据恢复的制度规范。(14)备份与恢复接收数据的安全性无法得到保障，备份数据未进行恢复测试。(15)其他输入控制的不完善。作案者主要是系统的内部用户和计算机操作员，他们比较了解系统的运行状况和内部控制的薄弱环节，从而利用工作上的便利实施犯罪。02数据输入控制审计数据输入控制审计的主要方法和程序数据输入控制审计的主要方法和程序如表6-11所示。02数据输入控制审计数据输入控制审计的主要方法和程序03数据处理控制审计数据处理控制审计的目标数据处理控制审计的内容数据处理控制审计的目标是：信息系统的数据计算控制是否符合国家、行业或者单位的相关规定和规范；数据计算控制是否能够按照预计条件完成数据计算过程中的正确控制。审计人员应该对处理过程进行抽样，并对抽样的处理过程进行全程跟踪和记录，对数据从被系统接收到处理完毕之间的整个处理过程进行检验分析和评价数据处理的正确性和效率，给出信息系统数据处理性能的评价报告和合理建议。03数据处理控制审计数据处理控制的风险数据处理控制审计的主要方法和程序数据处理控制的风险包括以下几种。(1)信息系统的数据计算控制不符合国家、行业或单位相关规定和规范。(2)信息系统存在未经许可的数据计算功能。(3)存在数据计算控制失效的情况。数据处理控制审计的主要方法和程序如表6-12所示。03数据处理控制审计04数据处理控制审计数据输出控制审计的目标数据输出控制审计的内容数据输出控制审计的目标是：确保输出数据的合规性、安全性、完整性和准确性。数据输出控制审计是对信息系统输出数据的管理进行的审计，也是对报告等系统输出结果的再审计，它进一步确定系统数据输出的正确有效性和系统输出数据对用户的易接受性和易理解性，评价对系统输出数据的管理的科学性和规范性，指出系统输出的缺陷与不足并提出相应的改进建议。04数据处理控制审计数据输出控制的风险数据输出控制的风险包括以下几种。(1)职责分工不明确。(2)系统账号与权限管理机制不存在或不健全，未根据用户需要约束其使用数据信息的计算机显示、打印、介质复制等外设输出功能，或虽然建立了权限控制但未建立相关约束用户数据外设输出操作的制度规范。(3)数据输出操作无日志记录。(4)敏感数据的输出失控，缺失相关人员的许可与监督。(5)输出结果不正确或不准确。(6)因未建立加密传输机制，或共享后无法确认是否被指定用户使用，无法确认是否存在非法用户获取共享数据，从而共享数据的安全性得不到保障。(7)因备份数据未进行恢复测试，无法确认备份数据是否安全、完整、可用，从而导致数据备份和恢复的安全无法得到保障。04数据处理控制审计数据输出控制审计的主要方法和程序数据输出控制审计的主要方法和程序如表6-13所示。04数据处理控制审计数据输出控制审计的主要方法和程序05业务协同、信息共享控制审计业务协同、信息共享控制审计的目标业务协同、信息共享控制审计的内容业务协同、信息共享控制审计的目标是：业务协同和信息共享是否充分合理和合法性。业务协同、信息共享控制审计的内容包括：检查被审计单位的信息资源目录体系是否符合国家或行业的相关规范，是否较好地满足各类业务和管理需要；检查信息资源交换体系是否符合国家或行业的相关规范，是否较好地满足信息交换的需要；检查数据元素和数据库表是否符合行业或组织的相关规范，是否较好地满足信息系统建设、应用和共享的需要；通过内、外部数据的比对，确认数据之间的一致性；检查信息系统是否建立了满足信息共享和业务协同的信息资源标准和规范，是否执行了国家或者行业的标准化要求。通过以上审计和评价，指出系统输出控制的缺陷与不足，并提出相应的改进建议。05业务协同、信息共享控制审计业务协同、信息共享控制的风险业务协同、信息共享控制的风险包括以下几种。(1)职责分工不明确。(2)信息规划、部署过程中未设置信息资源目录体系。(3)目录体系设计缺乏整体性，未覆盖组织的主要信息系统。(4)目录体系的要素设计不全。(5)由于信息化建设缺乏长远和统筹规划，造成不同系统间形成彼此隔离的信息孤岛问题。(6)外部数据的获取渠道和方式存在问题，与内部数据出现重大分歧和不一致。(7)通过内、外数据验证，发现内、外数据的完整性、正确性和真实性存在问题。(8)被审计单位未开展信息资源标准化工作，各信息系统之间的数据无法实现共享和交换。05业务协同、信息共享控制审计业务协同、信息共享控制审计的主要方法和程序业务协同、信息共享控制审计的主要方法和程序如表6-14所示。06应用控制审计案例审计计划测试目的：对XX连锁药房销售数据的真实性和一致性进行应用控制测试。通过比对核查，测试该药房的业务管理系统内记录的有关销售订单和销售金额与财务记账信息之间是否存在差异。审计方法：采用数据库查询法，通过SQL查询语句获取业务数据和财务数据，分别按会计月度、门店和收款方式进行数据汇总。首先比对汇总层级的数据，如果某一项汇总数据存在差异或者异常，则依据其重要性，再获取其相应的明细数据进行进一步比对。本例主要介绍汇总层级的数据核对。准备工作：向客户详细了解业务系统中相关数据库以及业务数据表的组成，并掌握各数据字段的含义以及数据表之间的关联关系，获取