信息系统审计概论(ppt 90张)

第一章 信息系统审计概论
第二节 信息系统审计的目标、依据和内容 一、信息系统审计的目标
ISA目标一般分为：一般审计目标、特定审计目标
NANJING AUDIT UNIVERSITY
一般目标：是进行所有信息系统审计都必须达到的 目标。 特定目标：指针对特定信息系统的审计目标。 一般来说，ISA的审计目标主要包括： 提高信息系统资产的安全性目标：IS资产包括硬件、 软件、人力资源、数据文件及系统文件等 保护信息系统数据的完整性目标 提高信息系统有效性（效率和效益性）目标 提高信息系统的合法性、合规性目标
SAS70 SAS 70 是经国际确认，由美国注册会计师协会 (American Institute of Certified Public Accountants ， AICPA) 所制定的标准。 SAS 70 审计被公认为是针对服务提供商环境（包括网络和相关程序的控制措施） 最权威的安全性审计。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
Ron Weber 定义: 搜集并评价证据，以判断一个计算机系 统(信息系统)是否有效的做到保护资产、维护数据完 整、完成组织目标，同时最经济的使用资源。 从以上定义可以看出,信息系统审计的两个方面职能: 从外部审计的角度, ISA实现-------监证目标（“保证”职 能） 从内部审计的角度, ISA实现-------管理目标（“咨询”职 一般定义 能） : 根据公认的标准和指导规范，对信息系统从计 划、研发、实施到运行维护各个环节进行审查评价，对 信息系统及其业务应用的完整、效能、效率、安全性进 行监测、评估和控制的过程，以确认预定的业务目标得 以实现，并提出一系列改进建议的管理活动。
NANJING AUDIT UNIVERSITY
信息系统运营与维护审计 保证一个组织已经建立的信息系统能高效的为其服务， 离不开对其良好的操作、运行管理（日常运行事务、系统 执行与监控）和维护，使其保持最佳的运行状态。因此， 对信息系统运行和维护过程的审计非常重要，是对整个信 息系统实现高效服务的保障。本章即介绍信息系统运营和 维护过程的审计。 信息系统安全控制与审计 信息技术环境下信息系统的脆弱性和威胁，使信息系 统及其产生的信息存在信息安全风险。本章主要介绍如何 对信息系统进行安全审计与控制，从而使信息系统的风险 降到最低。
能力方面要求如下： · 系统审计的相关能力；· 审计的立项、分析、评价相关能力； · 信息收集、审核、审计方法掌握、相关技巧运用方面的能力； · 审计报告制作能力；
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
信息系统审计师应该做到: 严格遵循相关实施准则、程序及控制，遵守相关法规； 依据职业准则及最佳实践原则要求自己，做到敬业、公正 及审慎； 以合法的诚实的方式为利益相关者服务，保持高尚的品行， 不从事有损与信息系统审计职业的活动； 除非官方要求揭露，必须维护履行职责进程中获得信息的 隐私与机密，不用于个人利益或泄露给不适合的组织； 维持独立性及客观性，获得充分及客观的证据，作出审计 结论； 保持在审计信息系统控制相关领域的技能，完成审计任务； 审计结果向相关组织、部门和个人报告。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
信息系统审计师相关知识和能力要求： 知识要求: 审计学相关知识: 审计学的基本理论、实务 信息系统计划、开发和运营等相关知识： .信息系统构成相关知识； · 信息化战略规划、构想、提案、立项等相关知识； · 系统设计、程序设计、软件测试等相关知识； · 系统操作和管理、数据管理等相关知识； 信息系统审计实施相关知识： · 经营管理方面相关知识； · 信息安全管理相关知识； · 业务对象相关知识； · 相关法律和法规；
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
三、ISA发展简介 ISA的发展经历了几个阶段： 早期阶段：手工审计阶段（绕过计算机阶段） 萌芽阶段：EDP（电子数据处理）审计阶段 发展阶段：信息系统审计阶段 ISA发展处于领先的国家：美国、日本、加拿大，等 我国ISA的发展： 起步于：20世纪80年代 目前状况：处于EDP审计阶段 “金审工程”简介：（参见教材）
第一节 信息系统审计及其产生与发展 一、何谓信息系统审计（ISA）？ 国际信息系统审计委员会(ISACA)定义：是一个获取 并评价证据，以判断计算机系统是否能够保证资 产的安全、数据的完整以及有效率利用组织的资 源并有效果地实现组织目标地过程。
日本通产省情报处理开发协会信息系统审计委员会定 义为：为了信息系统的安全、可靠与有效，由独 立于审计对象的信息系统审计师，以第三方的客 观立场对以计算机为核心的信息系统进行综合的 检查与评价，向信息系统审计对象的最高领导， 提出问题与建议的一连串的活动。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
CISA：（Certified Information System Auditor， 注册信息系统审计师）： 取得CISA资格的审计人员，既通晓信息系统的软件、硬件、 开发、运营、维护、管理和安全，又熟悉经济管理的核心 要义，能够利用规范和先进的审计技术，对信息系统的安 全性、稳定性和有效性进行审计、检查、评价和改造。 CISA从事的活动： 1、对信息系统的可靠性、安全性、稳定性和有效性进行审 计、检查、评价、咨询，并提出建议； 2、对信息系统的内部控制和风险进行检查、评价、咨询以 及提出改进建议。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
根据ISA概念，应理解： ISA的主体：有胜任能力的信息系统独立审计机构或人员 机构：政府审计机构、内部审计机构、会计和审计事 务所、信息化鉴证咨询机构等中介组织 人员：注册会计师、审计人员、信息技术人员，等。 实施ISA的人员称为：信息系统审计师 (或: IT审计师) 注：
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
信息系统审计的对象：被审计的信息系统 信息系统审计工作的核心：客观地收集和评估证据 信息系统审计的目的 ：对信息系统的可用性、保密性、 完整性进行评估并提供反馈、保证及建议 二、ISA特点： •ISA是一个过程，贯穿于整个信息系统生命周期； •ISA的对象具有综合性和复杂性； •ISA拓展了传统审计的目标； •ISA是事前、事中、事后审计的综合体； •ISA的内容更加广泛； •ISA是一种基于风险基础审计的理论和方法。
《信息系统审计》
本课程主要内容:
NANJING AUDIT UNIVERSITY
信息系统审计概论 IT治理审计
信息系统架构控制与审计
NANJING AUDIT UNIVERSITY
信息系统审计概论 ISA的定义、目标、内容、信息系统审计风险、信息 系统控制与审计、审计程序，以及信息系统审计的准则、 控制模型等。 本章主要介绍有关信息系统审计的基本概念和基本理 论。 IT治理审计 通过本章的学习，信息系统审计师理解评估信息系统 管理、计划和组织的战略、政策、标准、程序和相关实务。 确保组织拥有适当的结构、政策、工作职责、运营管理机 制和监督实务，以达到公司治理中对IT 方面的要求 。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
IT基础架构库(ITIL)： 是IT服务管理最佳做法的一套全面、一致和相关的代码，己在全世界被 广泛采纳为IT服务标准。 ITIL包含下面五个部分：the business perspective（商业远景） 、 managing applications（应用管理） 、delivery of IT services （IT服 务的交付） 、support of IT services （IT服务支撑） 、manage the infrastructure. （基础设施管理）。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
SAS94 美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对 独立审计的影响。2001 年4 月，ASB 发布了第 94号准则：《IT 对 CPA 评价 内部控制的影响》，该准则是作为 SAS( 审计准则公告 ) no.55 的“补丁 公告”推出的，它对下列三方面问题做出了规范：IT对企业内部控制的 影响； IT 对 CPA 了解内部控制的影响； IT 对 CPA 评价审计风险的影响。 SAS no.94于2001年6月1日开始执行。
NANJING AUDIT UNIVERSITY
信息系统架构控制与审计 一个组织要建立信息系统，就需要有效地建立、控制 和管理好其信息技术基础架构。本章主要介绍学习如何正 确评价组织的信息技术基础设施和运行管理（日常运行事 务、系统执行与监控）的效果和效率。 信息系统开发及审计 信息系统开发过程中的问题和错误会产生“积累放大” 效应，并会使企业付出高昂的代价。因此，通过对信息系 统开发过程中每个阶段的跟踪审计，及时发现每个阶段的 错误，并得到及时修正，从而保障整个信息系统的质量。
ISACA（Information System Audit and Control association ，信息系统审计与控制协会）： 是最有权威的信息系统审计行业组织，总部设在美国。主要从 事ISA相关理论与实务研究，制定相关ISA标准、规范、执业 指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、 跨行业的专业机构。
第一章 信息系统审计概论
二、信息系统审计依据
NANJING AUDIT UNIVERSITY
审计依据：也称审计标准，是审计人员实施审计时，判断被审计经济 事项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作 出审计决定的依据。 目前的ISA依据主要有： ISACA：信息系统审计准则 ；IS控制的标准模型COBIT ； ASB第94号准则： SAS70；SAS94； 国际内部审计师协会（IIA）：内部审计师准则说明书 （SIAS）； 国际会计师联合会（IFA）：国际审计准则系列； 最高审计机关国际组织（INTOSAI）：审计准则（AS）； 欧洲：ISO系列（如：ISO17799）、EDIFACT技术标准； 日本通产省：IT审计标准；
NANJING AUDIT UNIVERSITY
信息系统审计技术与方法 面对错综复杂的信息系统和审计环境，向审计人员提 出了挑战，审计人员实施审计的难度很大，需要运用许多 技术、方法和工具来辅助他们进行审计工具。本章即介绍 一些有关信息系统审计的技术和方法。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
我国： –《中华人民共和国审计法》第三十二条； –国务院办公厅的《关于利用计算机信息系统开展审计工作有关问题的 通知》 ； –中国独立审计准则20号《计算机信 –审计署颁布《审计机关计算机辅助审计办法》
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
信息系统审计标准 S1-S8： ISACA的信息系统审计准则由ISA标准、指南和程序 (Standards,Guidelines and Procedures)构成 标准为信息系统审计和报告定义了强制性的要求。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准 的实施程序中应参考指南，同时作出职业判断。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。 ISACA'S COBIT Framework: 信息及相关技术控制目标（COBIT）是由美国IT治理协会提出的一个IT 治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并 在IT治理实践中广泛使用。