信息系统审计(ppt 67)
信息系统审计概述
信息系统审计概述一、信息系统审计总体要求(-)信息系统审计的概念信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查与评价活动。
信息系统审计包括审计计划、审计依据、审计方法、审计技术、审计人员配置、审计实施流程、审计报告以及审计质量控制等内容。
内部审计机构应建立信息系统审计的相应组织管理体系,对信息系统审计的流程和质量进行管控,并依照规章制度开展信息系统审计。
(二)信息系统审计的一般原则组织应建立信息系统审计组织管理体系,并根据有关制度、标准和要求开展信息系统审计活动。
其一般原则包括:1 .信息系统审计需结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计。
——目标导向2 .信息系统审计应合理保证信息系统的运行符合法律法规以及相关监管要求。
——合法合规3 .信息系统审计应在充分了解组织信息系统治理、管理和应用的基础上做出客观评价。
——客观性4 .信息系统审计应结合组织的业务流程、信息系统及应用数据开展审计工作。
5 .信息系统审计应不断提升内部审计人员技能,严格履行审计程序,提高审计工作质量。
(三)信息系统审计的目标1 .总体目标通过对信息系统的审计,揭示信息系统面临的风险、评价信息系统技术的适用性、创新性、信息系统投资的经济性、信息系统的安全性、运行的有效性等内容,合理保证信息系统安全、真实、有效、经济。
2 .具体目标(1)保证信息系统建设符合国家有关法律法规和组织内部制度。
保证信息系统建设方案、规划内容充分体现组织的战略目标,对信息系统建设、应用与公司的经营目标的一致性作出评价。
——目标导向(2)信息系统审计应促进信息系统在购置、开发、使用、维护过程中,以及数据在生产、加工、修改、转移、删除等处理中都必须符合国家相关法律法规、准则、组织内部规定等,并应促进信息系统有效实现既定业务目标。
信息系统一般控制审计
信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计(一)业务概述组织的信息系统开发根据方式不同,通常包括自主开发、外委开发、或者二者兼有的开发方式。
组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。
应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。
(二)审计目标和内容审计目标:通过规范开发程序,提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织目标。
审计内容:开发组织机构设置、资源配置情况。
开发过程中与业务部门的沟通情况。
系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。
(三)常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险:1.组织未成立专门的开发建设项目组,可能导致信息系统开发建设责任制未落实的风险。
2.信息系统开发工作缺乏必要支持。
组织内部无专业技术人员或是缺乏必要的财务支持,导致开发失败的风险。
3.信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需要,可能导致与业务需求不相符的风险。
4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。
5.项目需求说明书阐述业务范围及内容不清晰,未能结合需求制定出最优化的技术设计方案的风险。
开发环境、测试环境和生产环境未分离,网络未有效隔离,设备未独立于生产系统,开发人员直接接触生产系统,直接使用未经批准并脱敏的生产数据,导致泄密或造成生产系统受损的风险。
信息系统审计的操作流程
2、数据测试与平行模拟数据测试法:
数据测试:审计人员把一批预先设计好的测试数据,利用被审计程序加 以处理,并把处理的结果与预期结果作比较,以确定被审计程序的处理 和控制功能是否恰当有效。
3、识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时, 信息系统审计人员应对系统重要性进行适当评估。对重要性的评 估一般需要运用专业判断。考虑重要性水平时要根据审计人员的 职业判断或公用标准,系统的服务对象及业务性质,内控的初评 结果。重要性的判断离不开特定环境,审计人员必须根据具体的 信息系统环境确定重要性。重要性具有数量和质量两个方面的特 征。越是重要的子系统,就越需要获取充分的审计证据,以支持 审计结论或意见。
4、编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可 以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略; 重要问题及重要审计领域;工作进度及时间;审计小组成员分工; 重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等 。
信息系统计划阶段的关键控制点有:计划是否有明确的目的;计 划中是否明确描述了系统的效果;是否明确了系统开发的组织; 对整体计划进程是否正确预计;计划能否随经营环境改变而及时 修正;计划是否制定有可行性报告;关于计划的过程和结果是否 有文档记录等等。
系统开发阶段:包括系统分析、系统设计、代码编写和系统测试三部分。 其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、 代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。
信息系统审计
测试数据准备的例子:
⑴输入的记帐审凭证计不得与人机内凭员证重号准。 备用测试数据法测试一个工资
(二)平行模拟法的优缺点
核算子系统,此系统的处理功能包括: 整体测试法——又叫集成检测法或小公司法。
程序比较法——是一种通过把被审程序与标准程序进行比较,进而确定二者是否一致,被审程序功能是否正确的一种审查方法。 与测试数据法相比,它不用准备测试数据和预期结果,因此,更省事简便。
3.修改数据:(1)修改数据没超出限额 (2)修改基本工资超出限额 (3)修改工龄工资超出限额
一、测试数据法
(三)应用测试数据法要注意的问题 1.要注意证实被审查的应用程序是被审 单位现时真正使用的程序版本。 2.此方法只能证明在处理测试数据时系 统的功能是否正确,但它不能保证其他 期间系统的功能是否正确、可靠。
一、测试数据法
(一)采用测试数据法进行审查的步骤 1.通过向有关人员询问及查阅系统的文档 资料了解被审系统应有的处理和控制功能。 2.针对系统应有的功能设计测试业务数据, 并根据系统应有的功能准备这些业务处理 应有的正确结果(又称预期结果)。
一、测试数据法
(一)采用测试数据法进行审查的步骤 3.在专门的测试时间里,把测试数据输入 被审系统处理,得到处理结果。 4.把实际的处理结果和预期的正确结果进 行比较,进而判断系统的功能是否正确有 效。
第一节 计算机信息系统功能 审计的目标
一、查明信息系统处理功能的合法性 二、查明信息系统处理功能的正确与恰 当性 三、查明信息系统控制功能的健全有效 性 四、检查并发现系统中易于被攻破和利 用的漏洞
第二节 计算机信息系统功能 审计的方法
一、测试数据法
测试数据法——将一组针对系统应有功能 而设计的测试数据输入被审的系统进行处 理,将处理的结果与应有的正确结果进行 比较,进而判断系统处理的处理与控制功 能是否正确有效的一种系统功能审查方法。
信息系统审计ppt课件
第一章 信息系统审计概论
我国: –《中华人民共和国审计法》第三十二条; –国务院办公厅的《关于利用计算机信息系统开展审计工作有关问题的 通知》 ; –中国独立审计准则20号《计算机信息系统环境下的审计》; –审计署令第9号《审计署关于计算机审计的暂行规定》 ; –审计署颁布《审计机关计算机辅助审计办法》
SAS94 美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对 独立审计的影响。2001年4月,ASB发布了第94号准则:《IT对CPA评价 内部控制的影响》,该准则是作为SAS(审计准则公告) no.55的“补丁 公告”推出的,它对下列三方面问题做出了规范:IT对企业内部控制的 影响;IT对CPA了解内部控制的影响;IT对CPA评价审计风险的影响。 SAS no.94于2001年6月1日开始执行。
软件、人力资源、数据文件及系统文件等 ▪保护信息系统数据的完整性目标 ▪提高信息系统有效性(效率和效益性)目标 ▪提高信息系统的合法性、合规性目标
第一章 信息系统审计概论
二、信息系统审计依据
审计依据:也称审计标准,是审计人员实施审计时,判断被审计经济事 项正误、是非、优劣的准绳,是形成审计结论、出具审计意见、作出审 计决定的依据。 目前的ISA依据主要有: ISACA:信息系统审计准则 ;IS控制的标准模型COBIT ; ASB第94号准则: SAS70;SAS94; 国际内部审计师协会(IIA):内部审计师准则说明书
第一章 信息系统审计概论
信息系统审计的操作流程
这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如, 高速公路审计中,审计人员在不通知被审计单位的情况下,亲自驾 车体验高速公路收费合理性;又如,审计人员以普通人员身份试图 进入对方核心机房,以检测被审计单位信息系统物理访问控制的安 全性等。穿行测试是通过追踪交易在信息系统中的处理过程,来证 实审计人员对控制的了解并评价控制设计的有效性以及确定控制是 否得到执行。
应用控制:是对信息系统中具体的数据处理活动所进行的控制, 是具体的应用系统中用来预测、检测和更正错误和处置不法行为 的控制措施,信息系统的应用控制主要体现在输入控制、处理控 制和输出控制。应用控制具有特殊性,不同的应用系统有着不同 的处理方式和处理环节,因而有着不同的控制问题和不同的控制 要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
1、整理、评价执行审计业务过程中收集到的证据 。 2、复核审计底稿,完成二级复核 。
3、评价审计结果,形成审计意见,完成三级复核,编 制审计报告。
附录:信息系统审计方法
几种常见的用于信息系统审计的传统审计方法 :
1、观察、查看与穿行测试:
审计人员通过到信息系统相关部门观察技术人员工作情况以了解其 内控执行是否到位,上机查看以证实有关电脑确实发挥相应功能, 查阅系统日志和运行维护记录以了解系统最近一段时间内是否发生 错误。同时,索取并检查业务文档资料,如系统规划方案、数据字 典、运行维护记录、说明文档及相关合同等以了解信息系统的相关 情况。
利用数据进行审计可以将传统的审计经验和计算机技术结合起来,使 审计人员在现有的条件下进行信息系统审计。通过对电子数据的审查, 来推断信息系统本身所存在的缺陷。
信息系统审计
1.项目管理知识介绍
项目管理的定义 • 项目管理就是以项目为对象的系统管理方法,通过一个零时性的、专门的柔性组织,对
项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标 的综合协调和优化。 项目管理概念的理解 • 项目管理的对象——项目; • 项目管理的组织特点——零时性、富有柔性 • 项目管理的手段——计划、组织、指导和控制 • 项目管理的目标——实现项目全过程的动态管理及项目的多项目标。
策略
控制
▪ 执行风险策略 ▪ 继续监测新的项目风险
项目计划----工作明细结构图(WBS)
工作明细结构 图使用项目说 明和风险管理 的输出,它识 别的任务是所 有后来计划的 基础
来自项目定义
项目规则
计划
范围和交付成果
预先计划 ▪开发方法
第一步
风险管理
▪风险管理任务 第二步 任务序列
开发工作明细结构 图
accuracy
项目计划----动态的精确估算
遵守以下黄金规则 ❖ 使用正确的人来做估算 ❖ 基于经验进行估算 ❖ 商议平衡点而非进度
估算技巧 ❖ 阶段性估算 ❖ 参数式估算 ❖ 自下而上地估算
建立详细的预算评估 ❖ 具体预算的数据来源 ❖ 内部人力资源成本 o使用负荷劳动率 o不要遗漏项目人员成本 ❖ 内部设备成本 o估算在项目种使用完的设备成本 o估算在多个项目中使用的设备成本 ❖ 外部人力资源和设备的成本 ❖ 材料成本
使每个人都能理解并认同项目规则的四个方法 发布项目书
发布项目一览表
设置责任矩阵
设立沟通计划
信息系统审计内容及重点、步骤和方法
信息系统审计内容及重点、步骤和方法一、审计内容(一)信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。
(二)信息系统应用控制情况1.信息系统业务流程控制情况;2.数据输入、处理和输出控制情况;3.信息共享和业务协同情况。
二、审计重点及审计步骤和方法(一)一般控制审计1.总体控制审计审计思路:通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论。
审计方法:召开座谈会、发放调查问卷、查阅文件等。
审计步骤:(1)战略规划评价。
检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标和相应的实施机制。
(2)组织架构评价。
检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制。
(3)制度体系评价。
检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。
4)岗位职责评价。
检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。
(5)内部监督评价。
检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。
2.信息安全技术控制审计审计思路:通过检查被审计单位信息系统的信息安全技术及其控制的整体方案,检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计,检查信息系统的安全技术配置和防护措施,发现并揭示信息系统安全技术控制的缺失,分析并评价风险程度,形成信息安全技术控制的审计结论。
审计方法:实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法,以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。
信息系统安全审计
总而言之,信息系统安全是有关人、计算机网络、 物理环境的技术安全和管理安全的总和。
其中,人包括各类用户、支持人员,以及技术管理 和行政管理人员;
计算机网络则指以计算机、网络互联设备、传输介 质、信息内容及其操作系统、通信协议和应用程序 所构成完整体系;
物理环境则是系统稳定和可靠运行所需要的保障体 系,包括建筑物、机房、动力保障等。
安全管理控制审计主要内容包括:安全机构审计、 安全制度审计和人力资源安全审计。
安全技术控制审计主要内容包括:物理环境安全审 计、网络安全审计、操作系统安全审计和数据库安 全审计。
图1 信息系统安全审计----内容域
安全审计两大内容域
审计事项子类
关键控制点
安全机构 安全管理控制审计 安全制度
人力资源安全 物理环境安全
信息系统安全概Βιβλιοθήκη 的发展计算机安全:虽然计算机早在40年代中期就已面世, 但20多年后才提出计算机在使用中存在计算机安全问 题,此时的计算机安全主要是指实体安全及传输加密问 题。
计算机系统安全:七十年代末至八十年代,因各类计算 机软硬件系统的发展而提出计算机系统安全。此时不仅 指实体(物理)安全,也包括软件与信息内容的安全。
我国的《中华人民共和国计算机信息系统安全保护 条例》中指出:
计算机信息系统安全保护是指:保障计算机及相关 配套设施(含网络)安全,运行环境安全,信息安 全,计算机功能正常发挥,以维护计算机信息系统 的安全运行。
信息系统安全有五个基本属性,分别是可用性、可 靠性、完整性、保密性和不可抵赖性。
◦ 信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、 插入等破坏的特性。即信息的内容不能为未授权的第三方 修改。信息在存储或传输时不被修改、破坏,不出现信息 包的丢失、乱序等。
信息系统专项审计
信息系统专项审计一、信息科技外包审计信息科技外包是指组织将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为,包括系统研发类外包、咨询服务类外包、系统运行维护类外包及业务外包中的相关信息科技活动等内容。
服务提供商包括独立的第三方、组织母公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。
非驻场外包是一种特殊形式的外包,与驻场外包一样也会导致各类风险,但具体管控环节和方式不同。
A.信息科技外包战略规划审计(一)业务概述信息科技外包战略是指企业对信息科技外包的目标和策略的组合。
企业信息科技外包的远景、使合、合题等的全局规划和方针及定位。
(二)审计目标和内容通过对信息科技外包战略规划的审计,判断组织在外包战略规划方面:1.是否建立了信息科技外包战略,所建立的外包战略是否具有全局性、长远性及可操作性的特点。
2.是否明确了外包管理基本原则,是否能确保风险、成本和效益的平衡,并考虑了减少对供应商过分依赖和掌握核心技术的相关因素。
3.是否定期修正外包战略;外包战略是否定期由高级管理层审阅,外包战略是否被各相关部门知悉。
B.信息科技外包治理审计(一)业务概述信息科技外包治理是指组织中的信息科技外包的决策机制和管理方式和管理制度等内容。
(二)审计目标和内容通过对信息科技外包治理的审计,判断组织在外包治理方面:1.是否建立信息科技外包组织、明确组织职责、岗位职责;是否建立信息科技外包管理体系,明确管理流程和管理方法。
2.是否建立了正式的信息科技外包管理制度,并评价外包制度和流程的可操作性。
3.是否建立了针对信息科技外包各个环节的风险评估要求,是否建立了外包商尽职调查、外包集中度评估和外包应急预案制订等规定,并得到了有效执行。
C.信息科技外包商管理审计(一)业务概述信息科技外包商管理是指对为组织提供信息科技服务的外包商进行准入、外包采购需求管理、外包商选择与尽职调查、外包合同签订等方面的管理工作。
信息系统一般控制审计154页PPT
五、内部审计与监测
信息系统审计
41
第三节 数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节 数据接口控制 一、接口规划与设计 二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查
信息系统运营与维护审计
并
3、变更申请表的格式、内容应该保证行动的所有变化都考虑在内,
机
为每个申请指定一个唯一的控制人员,将变化申请信息录入计算
PPT文档演模板
系统;
信息系统运营与维护审计
满
4、变更程序需要遵循与全面系统开发项目同样的过程,保证新功能
足需求且不影响其他模块的功能;
管
5、用户对系统测试结果和文档的充分性表示满意后,需要得到用户
PPT文档演模板
作业执行了测试程序;
信息系统运营与维护审计
三、执行码及源代码的完整性:
每个日常作业的执行代码模块应该有一相对应的原始代码模块。只要
有
源代码模块移人日常作业源代码库,就自动创建一个可执行代码的模块移 入
到日常作业程序库。
控制可执行码与源代码的完整性能保证错误版本的程序不会被执行。
4、计划资源水平 ;
5、同意角色和责任 ;
6、建立备用计划 ;
7、为发布的版本建立质量计划 ;
8、计划支持部门和用户的接受度 。
PPT文档演模板
信息系统运营与维护审计
二、程序库控制软件:
有
程序库控制软件来隔离测试库和日常作业程序库。主要目的是确保所
程序变更都是经过授权的。
1、防止程序员访问产品源代码和对象库;
补新,功能满足需求。除此之外,假如风险分析认为必要,需要进行额外测
试以保证:以保证系统的完整性;
91、为已保存证在有的效功利 能用 没维 有护 被系 变统 更破,坏所;有相2、关系文统档性都能需没要有及被时破更坏新;。
3、没有产生不安全的风险。
PPT文档演模板
信息系统运营与维护审计
对于紧急变更管理需关注:
1、制定合适的紧急变更的处理流程;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
背
2003年7月,国家审计署发布《2003至2007年审计
景
工作发展规划》
历
2002年,国务院17号文件界定:“金审工程是12金字工 程之一”
程
2001年11月,国务院办公厅下发了《关于利用计算机信息系统
开展审计工作有关问题的通知》
2001年3月,审计署提出了《审计信息化建设总体目标和构想》: 一个模式、三个转变、五个一工程
2、财政、财务收支及其有关的经济活动(实质内容) - (1)财政收支 - (2)财务收支 - (3)其他有关经济活动
审计的目标
国家审计——真实性、合法性、效益性 独立审计——合法性、公允性、一致性 内部审计——真实性、合法性、效益性 审计总目标是评价受托经济责任,确切些说,
是评价经营管理者对资财所有者应负的经济责 任的履行情况。无论国家审计、社会审计还是 内部审计,评价受托经济责任的履行情况都是 其总目标。
? ?? ??
?
传统审计人才
审计信息化 产品及教程
对传统审计教育模式的思考
❖毕业生为何就业难? ቤተ መጻሕፍቲ ባይዱ如何培养综合型的高素质人才? ❖如何解决这些矛盾?
传统填鸭式教学模式
互动式教学模式
应具备审计知识构成
审计技能
知
审计学知识
识
层
次
积
财务学知识
累
会计学知识
以实践教学为 主,注重经验 的积累。
以理论教学为 主,注重基础 知识积累。
审计信息化工作 的重点,要放在 计算机在审计实
施中的运用上
计算机在审计管 理中的应用,要 把重点放在审计 信息的管理和使 用上,促进信息 集合,形成共享
“十一五”至2020年信息化发展规划
“应从战略高度认识信息化的重要性和紧迫 性,提高信息意识和信息文化素质,切实加强对 信息化的领导力度,从改革入手进行业务流程再 造,协调各部门、各环节的利益与矛盾,持续推 进信息化。 ”
根据审计结果制作审计 底稿
出具审计台账及审计 报告
财务数据、业务数据
查询及查账工具、各种分 析工具、各种检查工具、 各种计算工具、丰富的审 计预警。
国家审计机关要求的审 计日记和工作底稿格式
完成审计成果统计
第1节 信息系统审计的概念框架
概念的发展历程
对电子数据进行审计(1980年代1990年代) 计算机辅助传统审计(1990年代2000) 计算机辅助对计算机会计信息系统进行审计(2000年网络
(3)公正性特征
审计的本质及特征
财产所有者
报告结果
委托经济责任 履行经济责任
经营管理者
审查业务
委托业务
接受审查
第 审三方计
审计的对象
两层涵义: - 外延上——被审计单位 - 内涵上——审计内容或审计内容在范围上的限定
1、会计资料及其有关经济资料(具体形式) - (1)会计资料 - (2)其他相关经济资料
就业后审计工作环境分析
被审计对象业务信息电子化方式已经普及 经济高速发展,审计任务越来越重 审计管理复杂,审计工作质量需要加强 国家经济监督体系日臻完善,审计工作越发精细 国家政府越来越重视审计工作,提出了更高要求
计算机审计能解决的问题
可以转入任意电子 数据
针对被审计数据、结合 审计业务制作了相关审 计工具
1999年,审计署组织编写了《审计信息化系统规划》并报国务院
1998年,国务院出台了《审计机关计算机辅助审计管理办法》
建设之路
2004年的全国审计工作会议上,李金华审计长提出 了审计信息化的具体工作要求:
计算机审计和审计信息 管理是今后审计信息化 建设的两大重点任务, 希望大家在这方面多用 些精力,积极探索实践, 加强人员培训,切实抓 出成效。
审计的分类
- 按照审计主体划分 - 按照审计主体性质分:国家审计、内部审 计、民间审计 - 与被审计单位关系分:外部审计、内部审 计
- 按审计内容和目标分类 - 财政财务审计:传统审计 - 经济效益审计:绩效审计 - 财经法纪审计:专案审计
社会需要什么样的审计人才?
• 国家、市场、行业对注册会计师的要求; • 会计电算化的成孰将导致什么? • 审计信息化人才的严重短缺; • 审计软件已经趋于成熟,开始广泛应用
审计信息化:企业角度
信息时代呼唤计算机审计 ——从一组数据说起
80%的计算机用于企业管理信息的处理 85%的信息来自于计算机系统,其中70-80%的管
理来自于会计信息系统 90%的正规企业用计算机记账 100%的会计师事务所面对计算机审计问题 70-90%的内部审计面临计算机审计的挑战 TCL、中石化、烟草公司等会计和审计的信息化
特征
- 职业资格 - 独立性 - 综合性 - 审计报告 - 安全、可靠与有效
目标
- 对电子数据的审计同手工目标 - 用计算机作为工具的审计同手工目标 - 对会计信息系统的审计目标有较大发展
审计的本质及特征
1、本质 三种观点
- (1)审计就是查账 - (2)审计是经济监督 - (3)审计是独立的经济监督活动
- 经济监督——基本职能 - 独立性——最本质的特征
审计的本质及特征
2、特征
(1)独立性特征
- 组织上 - 人员上 - 工作上 - 经费上
(2)权威性特征
- 独立地位、专业素质 - 法律赋予
基本接近100%
审计专业知识回顾
审计是什么?
1、广义的审计定义: “审计是由 专职机构和人员,对被审计单位的 财政、财务收支及其他经济活动的 真实性、合法性和效益性进行审查 和评价的独立性经济监督活动。”
审计是什么?
2、简明审计定义 审计是独立检查会计账目,监督
财政、财务收支真实、合法、效益 的行为。
和集成思想大量应用后) - 进行审计项目管理(四个过程的管理) - 审计数据库管理 - 审计测试和验证(CAATs)
IT审计(计算机信息系统审计)(发展趋势)
一、信息系统审计的含义
定义
- 信息系统审计是对被审计对象所采用的计算机化的信 息系统的安全性、可靠性进行了解、测试与评价,并 对信息系统对财务报告的影响作出判断或单独提出信 息系统审计报告的过程。
信息系统审计
相关知识铺垫 概念框架 审计证据的获取与评价 信息系统审计的常用方法 信息系统审计报告
第0节 相关背景和知识铺垫
审计信息化:国家角度
审计信息化国家规划
五个一工程
三个转变
一个模式
金审工程
2004年11月,金审工程一期竣工
2004年7月,全国审计工作座谈会专题研 究审计信息化