第四章计算机信息系统开发审计
信息系统审计的操作流程
参数法:检查设置的相关参数是否与实际时点的业务发生数据一致。
编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。
测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。
系统开发阶段审计的关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障 对策和安全保护等。
三、审计完成阶段 在审计完成阶段的工作分成以下三部分: 1、整理、评价执行审计业务过程中收集到的证据 。 2、复核审计底稿,完成二级复核 。 3、评价审计结果,形成审计意见,完成三级复核,编制审计报告。
附录:信息系统审计方法
几种常见的用于信息系统审计的传统审计方法 :
1、观察、查看与穿行测试: 审计人员通过到信息系统相关部门观察技术人员工作情况以了解其内控执行是否到位,上机查看 以证实有关电脑确实发挥相应功能,查阅系统日志和运行维护记录以了解系统最近一段时间内是 否发生错误。同时,索取并检查业务文档资料,如系统规划方案、数据字典、运行维护记录、说 明文档及相关合同等以了解信息系统的相关情况。 这里的穿行测试,是指审计人员亲自执行一次业务发生过程。比如,高速公路审计中,审计人员 在不通知被审计单位的情况下,亲自驾车体验高速公路收费合理性;又如,审计人员以普通人员 身份试图进入对方核心机房,以检测被审计单位信息系统物理访问控制的安全性等。穿行测试是 通过追踪交易在信息系统中的处理过程,来证实审计人员对控制的了解并评价控制设计的有效性 以及确定控制是否得到执行。
信息系统审计教学大纲 - 南京审计学院网络课堂
《信息系统审计》教学大纲(Information System Auditing)制定单位:信息科学学院信息管理系制定人:吕新民审核人:黄作明编写时间:2008年1月29日《信息系统审计》教学大纲学分和学时:54 学时学分 3适用专业:审计学、信息管理与信息系统课程类型:必修先修课程:审计学,计算机基础,数据库管理系统,管理信息系统执笔人:吕新民教研室主任:黄作明一课程教学目的和要求掌握信息系统审计的基本概念、理论方法以及信息系统审计实务,了解信息系统审计的内容、程序、方法与技术,懂得如何设计和审查信息系统的内部控制、如何恰当有效地使用信息系统审计方法与技术对信息系统的安全性、可靠性与有效性等方面进行审计。
了解和掌握主要的审计软件的设计和使用。
二课程介绍《信息系统审计》是一门综合性课程。
随着现代信息技术的发展,审计的目标、对象、内容等已发生了变化,传统环境下的审计已不能适应信息技术环境下的审计要求,需要开展信息系统审计。
本课程主要介绍了有关信息系统审计的基本概念、理论方法以及信息系统审计实务内容。
本课程在介绍了信息系统审计的产生与发展、特点、内容、方法、程序步骤、准则等基本概念内容的基础上,从理论和实务两方面具体介绍了IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统运营与维护审计、应用程序审计、数据文件审计等信息系统审计所包含的内容。
在实践教学中,通过上机实验,主要使学生具有掌握、运用计算机辅助技术工具于审计工作中的能力。
三课时分配四教学内容第一章信息系统审计概论(10 学时)主要内容:一、信息系统审计的产生与发展1、电子数据处理系统对审计的影响2、信息系统审计的产生与发展二、信息系统审计的含义与特点1、信息系统审计的定义2、信息系统审计的特点三、信息系统审计目标四、信息系统审计的内容1、内部控制系统审计2、系统开发审计3、应用程序审计4、数据文件审计五、信息系统审计的基本方法1、绕过信息系统审计2、通过信息系统审计六、信息系统审计的步骤1、准备阶段2、实施阶段3、终结阶段七、信息系统审计准则1、信息系统审计准则的概念和作用2、国际信息系统审计准则3、我国信息系统审计规范体系八、我国信息系统审计人才培养策略1、信息时代呼唤信息系统审计师2、信息系统审计师应具备的素质3、信息系统审计师的培养九、金审工程简介1、金审工程总体规划2、金审工程建设情况3、金审工程二期建设展望基本要求:理解和掌握信息系统审计的概念、特点、目标、内容、方法以及程序步骤,了解信息系统审计标准、金审工程等内容。
信息系统审计培训大纲
北京时代新威信息技术有限公司
王连强
审计报告
源代码安全审计的交付物为审计报告,其内容包括: 所使用的开发技术和编程语言中常见的错误; 对黑客有兴趣的资产、代码实现上的错误; 每一个已识别漏洞的报告,包括漏洞的概述、影响和 严重性以及再现该漏洞的步骤和可用于修复该漏洞缺陷 的补救措施建议; 详细说明被审计代码的总体情况、审计发现的问题、 进行追加审计的建议,以及针对已确定漏洞进行补救的 建议。
• 3.实施和管理物理访问限制, 以确保仅有经适当的授权人员 可以访问和使用信息资源
2.1 IT的定义
• 为了信息系统的安全、可靠与有效,由独 立于审计对象的IT审计师,以第三方的客 观立场对以计算机为核心的信息系统进行 综合的检查与评价,向IT审计对象的最高 领导,提出问题与建议的一连串的活动。
北京时代新威信息技术有限公司
王连强
2.2 IT的要点
• IT审计的要点: – 独立性 – 综合性 – IT审计师资格 – IT审计报告 – 促进信息系统安全、可靠与有效
北京时代新威信息技术有限公司 王连强
目标用户
源代码安全审计适用于以C、C++、C#、Java、VB、 、ABAP等语言开发的应用程序,以及以Ruby、 PHP、AJAX和Perl等在内的各种Web技术编写的应用 程序。源代码安全审计的对象可以是一个应用程序 的全部代码,也可以是其中的一部分代码。
包括: • 信息系统运作 • 信息安全 • 应用系统的实施及维护 • 数据库的实施及维护 • 网络支持 • 系统软件支持 • 信息资源战略及规划 • 与外包供应商的关系 • 业务连续性计划 • 硬件支持
北京时代新威信息技术有限公司 王连强
1.2信息系统运作
第新4章计算机审计方法、技术与工具
二、平行模拟法
• 方法应用评价
– 这种测试方法,实际是把模拟程序作为“白 盒子”,去处理被审计程序“黑盒子”的数 据,当两个结果完全一致时,就可以认为被 审计程序是真实、可靠的。
– 实际操作中,还要通过不断扩大测试的样本 量,降低平行模拟法存在的抽样风险。
22
三、流程图检查法
• 定义
– 研究流程图,分析各个程序之间的 关联性和逻辑性,审阅数据的来源 和完整性。
• 在信息系统审计中的应用
– “重车多收费”功能测试
29
应用案例:“重车多收费”测试
入口站
南京 南京 南京 南京
出口站
苏州 苏州 苏州 苏州
轴重 (吨) 24 32 40 45
费额 (元) 320 340 320 360
入、出口相同,轴重40吨的货车,收 费反而低于轴重32吨的货车。
这是怎么回事呢?
ABCD
如何检查(步骤或流程)
选择要检查的源代码
凭准编程标准
掌握程序规格说明
获得源代码
评审源代码 确定缺陷所在
1. 根据重要性程度和成本效益 原则,确定缺陷位置;
2. 是否影响到实质性测试和符 合性测试
3. 底稿中的表达方式
计算机审计
应用案例 某机场高速收费系统
两种结果之间的差异
月份 3 4 5 6 7 8 9 10 11 12
1. 行业规范
2. 国家标准
3. 惯例和习惯
4. 文档和代码的风格与企业文 化
ABCD
计算机审计
一、源(程序)代码检查法
如何检查(步骤或流程) 选择要检查的源代码 凭准编程标准 掌握程序规格说明 获得源代码 评审源代码 确定缺陷所在
解析计算机信息系统审计的探索之路
解析计算机信息系统审计的探索之路摘要:对于计算机信息系统的审计工作而言,为了完成各种各样不同的审计目标,经常会用到许多不同的计算机审计技术,本文会对计算机常用的几个信息系统审计技术做出详细探讨。
关键词:计算机;系统审计;探讨在这个信息技术迅猛发展的时代中,作为最为常见的计算机,早已被各行各业所广泛运用。
对于审计工作而言,在计算机的帮助下,审计工作的范围、环境以及对象都出现了巨大变化,想要降低审计中的风险,提升整个审计效率,就要从根本上开展好计算机的审计工作。
因为计算机系统较为复杂,单一的计算机审核技术并不能够完全解决所有问题.因此,想要完成各种不同的审计目标,就要使用各种不同的工具以及不同的计算机审核技术。
一、计算机系统数据的测试审计人员在对数据进行测试的时候,会将一些有效数据和无效数据通通编制在内。
这些数据通常都会事先经过处理,然后在被录入到计算机中,再由计算机确定输出结果。
当这些由计算机所确定的输出结果出来之后,审计人员会对其进行详细对比。
如果计算机系统运行出来的结果,和人工结果不一样,那么审计人员就要从中找出不一样的原因。
从之前的经验中看,数据测试是让计算机通过审计的第一步。
虽然审计人员都清楚的知道计算机所运行出来的结果不会百分之百准确,但审计人员们可以通过这些数据,得知一个大体情况,并且通过这些判定的数据,来确定这套系统是否可行。
这种计算机的数据测试技术被审计人员以及计算机的程序开发人员广泛利用,尤其是在测试计算机系统程序的准确性方面,它的作用显得尤为突出,这种计算机数据测试可以用来确定计算机输入事项中的程序、逻辑以及计算机的计算方式,除了这些以外,还可以用来确定计算机的准确性。
通常,审计人员会把这项技术用来测试相关利息以及折旧计算。
想要掌握这门计算机技术,并不需要太多的专业知识,在对所有的数据和资料进行测试的过程中,也不需要花费太多的成本,最为主要的一点是,当计算机在审计的过程中,并不会修改现有的计算机程序。
计算机审计过程
计算机审计过程在计算机化会计系统环境下,传统审计技术和方法中的相当一部分仍然可利用,但是计算机数据处理与手工处理有很多不同点,从而产生很多独特的计算机审计技术和工具。
本文拟对计算机审计的过程和具体的审计技术进行讨论。
一、计算机审计的过程与传统手工审计一样,计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。
其中重点是计算机审计实施阶段,包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据(信息)进行测试评价。
计算机审计过程具体可细分为以下主要步骤。
1.准备阶段。
①了解企业基本情况,与企业的相关人员初步面谈并查阅其会计电算化系统的基本资料,归纳出被审计系统的特点和重点。
②组织审计人员和准备所需要的审计软件。
根据被审计企业会议电算化系统的构成特点,复杂水准可选择安排有计算机审计经验的注册会计师担任项目负责人,组成审计小组,准备审计软件。
如果对某审计项目需要特殊的审计软件,还必须组成一个专门小组预先开发好所需要的软件,以保障审计工作顺利开展。
2.内部控制的初步审查。
初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用水准,初步熟悉电算化会计系统的业务流程和内部控制的基本结构,包括从原始凭证的编制到各种会计报表的输出的整个过程。
一般采用如下的检查和会谈:①审阅上期的审计报告和管理建议书,初步了解上期系统的弱点。
②检查会计电算化系统的文档和系统使用手册,了解系统模块结构、名称、数据库以及相对应的功能。
③检查输入数据的基本依据(电子数据和相关的原始凭证),初步了解企业会计原始数据产生的内部控制制度的基本情况。
④针对一些基本情况和上述检查发现的问题,与会计人员、系统开发和维护人员、程序员面谈,以便得到与司题相关的背景资料。
⑤初步审查数据处理流程图,了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施,以及对产生和使用数据的单位的内部控制,并制作必要的简明数据流程图。
计算机会计信息系统内部控制审计
了更新 的职责 和使命 . 于价值增 值 的 任 ” SASN .将控 制界 定 为 : 管理 层 管 理 与 控 制 体 系 ” 基 。I o 1 “ :关 于 内 部 控 制 。 内 “
目标 , 内部 审 计 更 强 调 服 务 职 能 . 服 为 达成 既 定 目的及 目标 所采 取 的各 种 部审 计 活动 应该 评 价控 制 的效 率 与效 将 促 以 务与监督 放在 同等重 要的位 置 风险导 行 动 ” ,它特 别 声 明 : 本 说 明 书 所 称 果 、 进 控 制 的 不 断 改 善 . 此 来 帮 助 “ 向 内 部 审 计 的 职 能 是 以 确 认 与 咨 询 为 ‘ 理 层 ’ 管 包括 组 织 内负 责 制 定 及( 组织保 持有效 的控制 ”关 于公 司治 理 , 或1 ; . 管 内部 审 计 活 动 应 该 评 价 并 改 进 组 织 的 主 要 内 容 的 监 督 职 能 与 服 务 职 能 的 融 达 成 目 的 任 何 人 ” 而 且 “ 理 层 和 内 “ 合 . 两 项 职 能 都 是 紧 密 结 合 内部 审 计 部 审 计 人 员 所关 心 的是 广 义控 制 . 这 外 治 理 程 序 , 组 织 的 治 理 作 贡 为 风 险管理 与公 司 治理
公 司治理 服务 。风 险 导 向 内部 审计 的
目标 由 微 观 转 向宏 观 。将 其 目标 与 组 审计 的对象 扩展 到风 险管 理 、控 制 和 关 注 点 转 向 了 科 学 决 策 . 因 此 风 险 是 织 的 目标 联 系 在 一 起 .开 始 关 注 组 织 治 理 程 序 。 风 险 作 为 一 种 核 心 理 念 . 必 须 考虑 的 因 素 就后 者 而 言 . O O 而 C S 的 战 略 方 向 .评 估 和 改 善 组 织 的 风 险 贯 穿 在 整 个 内 部 审 计 过 程 中 委 员 会 的 E M 框 架 报 告 认 为 .R R E M
东北财经大学管理信息系统课后题答案
东北财经大学管理信息系统课后题答案第一章管理信息系统的基本概念1、何为数据?何为信息?信息和数据有何区别?所谓数据是由原始事实组成的。
要表示数据通常有三个方面事情要做:数据名称、数据类型、数据长度。
当原始事实按照具有一定意义的方式组织和安排在一起时,它就成了信息。
信息是按一定的规则组织在一起的数据集合,是对数据进行处理而产生的。
这种组织规则和方式具有超出数据本身以外的额外价值。
2、什么叫系统?有哪几类系统?请分别对各类系统进行举例说明?系统是由相互联系、相互作用的多个元素(部件)有机集合而成的,能够执行特定功能的综合体。
概念系统是最抽象的系统逻辑系统是再概念系统的基础上构造出的原理上可行得通的系统实在系统也可以叫物理系统,它是完整的系统,是客观存在的并可以实际运行的系统3、什么是系统方法?什么是系统观点?说出系统方法解决问题的主要步骤?所谓系统方法,就是按照事物本身的系统性把对象放在系统的形式中加以考察的一种方法,是一种立足整体、统筹兼顾、使整体与部分辩证地统一起来的科学方法。
所谓系统观点,就是不着眼于个别要素的优良与否,而是把一个系统内部的各个环节、各个部分,把一个系统的内部和外部环境都看成是相互联系、相互影响、相互制约着的综合体,从整体上追求系统的功能最优。
系统方法解决问题的主演步骤:①定义问题:列出一个或一组希望达到的目标②列出资源和约束:供选择的技术或手段以及每个系统所需的“成本”或资源③给出方案:一个或一组数学模型④评估被选方案⑤选择最佳方案并实施⑥总结解决方案的有效性4、什么是信息系统?信息系统是一系列相互关联的可以输入、处理、输出数据和信息,并提供反馈、控制机制以实现某个目标的元素或组成部分的集合。
5、什么叫管理?如何理解管理信息系统的概念?其主要特征是什么?管理是人有目的、有意识的实践活动,是管理者在一定的条件下,为了实现预定目标,对各种资源和实践环节进行规划安排、优化控制的总称。
计算机审计与信息系统审计
联网审计是金审二期规划中的重点建设项目, 根据该规划,审计署将重点建设中央部门预算 执行、海关、银行、社保等四类联网审计,并 对中央财政组织预算执行、国税和大型企业等 进行联网审计试点.
目前已成功研制了中央部门预算执行联网审计 系统,并从2010年开始在中央各部门推广使用.
各地方政府也在逐步推广政府部门预算执行联 网审计系统.
又称IT审计.
信息系统审计的三大目标
从以上信息系统审计的定义,可知信息系统审 计项目依目标不同,有三大类:
信息系统安全审计安全性 信息系统可靠性审计可靠性 信息系统绩效审计经济性
信息系统审计的内涵
IT审计是独立的第三方IT审计师采用客观的标准对 信息系统的规划、开发、使用维护等相关活动和产 物进行完整地、有效地检查和评估.
信息系统逻辑结构示意图
信息资产保护
组织结构 管理政策
服务器、工作站、打印机 人
网线 Windows /UNIX
交换机 /HUB
… …
Oracle 数据库
销售业务系统 会计核算系统
灾难恢复与 业务持续计划
财务报表 销售收入 1000万
……
从构成要素上来看,信息系统有以下组成部分:
硬件 软件 网络 数据 人 管理制度
适用范围:
由于这一审计模式对审计人员素质提出了更高的要 求,而且审计成本很高,因此这一审计模式适用于大 中型会计师事务所对业务处理复杂、系统集成度较 高的大中型企业的审计工作.
联网审计
所谓联网审计,就是在线实时审计,是指通过审 计机关和被审计单位的网络互联,实时审查被 审计单位会计信息系统的审计方式.
信息系统审计是通过对信息系统的调查与了解,对 系统控制及系统功能的分析与测评,综合评价一个 信息系统是否能够满足安全性、有效性、与经济性 目标,是否能够提供真实、准确、完整的电子数据.
12计算机审计与信息系统审计详解
12计算机审计与信息系统审计详解计算机审计与信息系统审计是现代企业管理中的一项重要工作。
它们旨在评估和审查计算机系统和信息系统的运作情况,以确定潜在的风险和问题,并提供改进和优化的建议。
计算机审计是指对计算机系统硬件、软件、网络以及与之相关的管理流程进行全面审查的过程。
计算机审计的目标是确保计算机系统的可靠性、安全性和经济效益。
计算机审计的重点包括但不限于以下几个方面:1.硬件审计:对计算机硬件进行审查,包括服务器、计算机终端、网络设备等。
硬件审计的目的是确定硬件设备是否正常运行,是否存在故障或风险。
2.软件审计:对计算机系统的软件进行审查,包括操作系统、应用软件、数据库等。
软件审计的目的是确定软件是否合法、正版且无恶意代码,同时评估软件的性能和功能是否符合企业需求。
3.网络审计:对企业内部和外部网络进行审查,包括网络拓扑、网络安全策略等。
网络审计的目标是确定网络安全性是否得到保障,是否存在风险和漏洞。
4.流程审计:对计算机系统的管理流程进行审查,包括用户授权、数据备份与恢复、安全策略等。
流程审计的目的是确定管理流程是否合理、规范且能够保障计算机系统的正常运行。
信息系统审计是对企业信息系统的运作情况进行评估和审查的过程。
信息系统审计的目标是确定信息系统是否能够提供准确、可靠、及时的信息支持业务决策。
信息系统审计的重点包括但不限于以下几个方面:1.信息安全审计:对信息系统的安全性进行审查,包括权限管理、数据加密、风险管理等。
信息安全审计的目的是确定信息系统是否能够防止未经授权的访问、修改和删除信息。
2.业务流程审计:对企业的业务流程进行审查,包括业务流程的合规性、高效性等。
业务流程审计的目的是确定业务流程是否合理、规范且能够提高工作效率。
3.数据完整性审计:对企业数据的完整性进行审查,包括数据的采集、存储、处理等。
数据完整性审计的目的是确保企业数据的准确性和完整性,防止数据丢失或篡改。
4.监控与评估审计:对信息系统的监控和评估进行审查,包括系统性能监控、运维管理等。
关于计算机审计概论
计算机审计导论1.推动计算机审计出现的两个原因(1)审计业务不断扩大(2)电子数据处理的不断深入2.中国计算机审计的发展(1)报告检查阶段:1980年代以前,计算机主要用于中国人民银行的合同组组长和专业统计工作。
现阶段,审计部主要负责计算机应用业务部和技术部。
主要目标是数据的正确性和报表的平衡性。
,是否按时报告,设备安全和程序安全。
(2)程序功能审计阶段:在 1980 年代后期,计算机被用于各个行业的各个领域。
这些应用领域是各行业业务工作的重要领域,直接关系到各行业资金的运作。
在此期间,发生了一些本地使用计算犯罪的案例。
在这种情况下,计算机审计应运而生,成立了计算机审计机构,开始培养专业人员学习计算机知识。
(3)综合网络审计阶段:进入21世纪,计算机审计工作受到各行各业的广泛关注,也涉及和冲击各行各业的各个领域。
需要。
在这种情况下,许多行业单位的审计部门开始配备自己的计算机审计员,现在计算机审计已经成为各行业审计的重要组成部分。
财政审计项目:总体目标是在几年内建成对依法接受审计监督的财政收支的真实性、合法性和有效性实施有效审计监督的信息化系统。
逐步实现审计监督的三个“转变”,即从单一的事后审计向事后审计与事中审计相结合,从单一的静态审计向静态与动态审计相结合,从单一的现场审核到现场审核与远程审核相结合。
提高审计机关查错纠错能力,规范管理,揭露腐败,打击计算机环境犯罪,维护经济秩序,推进廉政建设,更好履行法定监督职责的审计。
3.计算机审计包括两个方面(1)审计会计信息系统的设计,审计会计信息系统的数据处理过程和处理结果。
(2)审计员利用计算来帮助审计。
将计算机、网络技术等多种手段引入审计工作,建立审计信息系统,实现审计办公自动化。
4.计算机审计的特点(一)电算化信息系统的审计特点(1)审计范围的广泛性(2)审计追踪的隐蔽性和易腐性(3)审计和取证的实时性和动态性(4)审计技术的复杂性(二)计算机辅助审计的特点(1)审计过程的自动控制(2)审计信息自动存储(3)更改了审计任务的组组成(4)转移审计技术主体5.计算机审计的目的(1)保护系统资源的完整性和安全性(2)保证信息的可靠性(3)维护法律和纪律,维护社会和国家利益(4)促进计算机应用的效率、效果和效益(5)推动完善部管制度6.计算机审计的内容(一)审计项目管理系统的计算机辅助审计(二)人工会计系统的计算机辅助审计(三)会计信息系统审计(1)部门控制系统审计:一般控制、应用控制(输入、输出、处理)(2)系统开发审计(3)应用控制审计(4)数据审计7.计算机审计的基本方法(1)绕过计算机审计:指审计人员不检查计算机程序和文件,而是检查输入数据和打印输出及其管理系统的方法。
信息系统审计
信息系统审计【字体:大中小】【打印】前言:如果不掌握计算机技术,将失去审计资格————李金华1998计算机审计骨干的要求:1.能打开审计单位数据库2.能转换被审计单位数据3.能使用审计软件进行查询和分析4.能在审计现场搭建临时网络5.能排除常见的软硬件故障————审计署计算机审计中级培训信息系统审计在进行数据式审计时,关注信息系统审计,以保证数据的可靠性和可用性.内部审计中计算机技术的地位1.内部审计在治理、风险、控制中的作用2.实施内部审计业务3.经营分析与信息技术(1)计算机审计技术:计算机辅助审计(2)信息系统审计信息化的影响1.信息化的发展给审计对象带来的影响被审计单位的信息系统很多2.最早开展信息技术审计的人民银行目前使用的业务信息系统有26种被审计单位的财务软件很多3.怎么审?审什么?目标,方法,程序,证据,模式。
信息化环境下的审计对执业人员的知识技能要求1.审计专业技能2.信息系统知识与应用技能(1)信息化对审计的影响①会计信息化对审计的直接影响②信息化环境下审计的特点③案例(2)信息系统的构成(3)信息系统审计标准和程序(4)信息系统审计的内容IT治理(5)CISA在我国的发展信息化发展的影响一、历史上四次影响到审计的IT事件(1)美国产权基金公司(2)美国电话电报公司(3)安然和安达信公司(4)911恐怖事件美国产权基金公司 1964-1973①通过运用虚假保险政策来虚增利润,使公司股票大幅上涨。
Touche Ross事务所花了两年的事件进行审计,证实了保险政策的虚假。
首次采用“通过计算机审计”方式进行审计②绕过计算机审计,通过计算机审计,利用计算机审计③1998年,AT&T公司的IT故障导致全世界的通讯受到严重影响,由于软件和程序的错误,一台主要的交换机发生故障,信用卡持卡用户18个小时内无法正常交易。
④人们开始关注IT服务的可靠性。
风险的认定?银联420事件。
安然和安达信导致2002年萨班斯法案诞生。
《非银行支付机构信息科技风险管理指引》
非银行支付机构信息科技风险管理指引第一章 总则第一条为加强非银行支付机构信息科技风险管理,根据国家法律法规和信息安全相关要求、人民银行的行业监管要求以及中国支付清算协会的行业自律相关规定,制定本指引。
第二条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在支付机构业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第三条本指引所称信息科技风险,是指支付机构运用信息科技的过程中,由于自然因素、人为因素、技术漏洞和管理缺陷导致的操作、法律和声誉等风险。
第四条本指引适用于中国支付清算协会会员单位中根据中国人民银行《非金融机构支付服务管理办法》规定,取得《支付业务许可证》的非银行支付机构,以下简称“支付机构”。
第二章 信息科技风险管理第五条支付机构的负责人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。
第六条支付机构管理层履行以下信息科技管理职责:(一)遵守并贯彻执行国家和行业有关信息科技管理的法律、法规和技术标准,落实中国人民银行相关监管要求,以及中国支付清算协会的相关自律规范,确保持续符合国家、行业相关标准要求。
(二)配合监管部门及行业自律组织做好信息科技风险监督检查工作,并按照监督检查意见进行整改。
(三)审查批准信息科技战略,确保其与支付机构的总体业务战略和重大决策相一致;评估信息科技及其风险管理工作的总体效果。
(四)履行信息科技风险管理其他相关工作。
第七条支付机构应制定符合本机构总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够资源,维持稳定、安全的信息科技环境。
第八条支付机构应设立专门的高级管理职位,统筹负责信息化规划、建设、运行维护、信息安全、业务连续性等工作,并负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面。
第九条支付机构应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。
审计署计算机审计实务公告第34号-关于印发信息系统审计指南——的通知
中华人民共和国审计署文件审计发〔2012〕11号审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局:信息系统审计指南——计算机审计实务公告第34号,经署领导同意,现予印发,供审计机关实施信息系统审计参考。
二○一二年二月一日— 1 —信息系统审计指南——计算机审计实务公告第34号目录第一章总则第二章信息系统审计的组织第三章应用控制审计第一节信息系统业务流程控制审计第二节数据输入、处理和输出控制审计第三节信息共享和业务协同审计第四章一般控制审计第一节信息系统总体控制审计第二节信息安全技术控制审计第三节信息安全管理控制审计第五章项目管理审计第一节信息系统建设经济性评价第二节信息系统建设管理评价第三节信息系统绩效评价第六章信息系统审计方法第七章附则— 2 —第一章总则第一条为进一步指导和规范国家审计机关组织开展的信息系统审计活动,提高审计效率,保证审计质量,制定本指南。
第二条本指南所称信息系统,是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。
第三条本指南所称信息系统审计,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。
第四条本指南所称审计指标,是指对审计事项的测评指标或者评价指标。
第五条信息系统审计可以作为财政收支、财务收支及其相关经济业务活动(以下简称经济业务活动)审计项目的审计内容组织开展,也可以作为独立组织的信息系统审计项目实施。
第二章信息系统审计的组织第六条信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性,揭示信息系统存在的问题,提出完善信息系统控制的审计意见和建议,促进被审计单位信息系统实现组织目标;同时,通过检查和评价信息系统产生数据的真实性、完整性和正确性,防范和控制审计风险。
信息系统审计准则
第一章总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
第八条内部审计人员应当采用以风险为基础的审计方法进行信息系统审计,风险评估应当贯穿于信息系统审计的全过程。
第三章信息系统审计计划第九条内部审计人员在实施信息系统审计前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或者专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,编制信息系统审计方案。
中国内部审计准则第2203号内部审计具体准则——信息系统审计
中国内部审计准则第2203号内部审计具体准则——信息系统审计发文机关:中国内部审计协会发布日期:2013.08.20生效日期:2014.01.01时效性:现行有效中国内部审计准则第2203号内部审计具体准则——信息系统审计第一章 总则第一条为了规范信息系统审计工作,提高审计质量和效率,根据《内部审计基本准则》,制定本准则。
第二条本准则所称信息系统审计,是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。
其他组织或者人员接受委托、聘用,承办或者参与内部审计业务,也应当遵守本准则。
第二章 一般原则第四条信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括:(一)保证组织的信息技术战略充分反映组织的战略目标;(二)提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效果与效率,合理保证信息系统的运行符合法律法规以及相关监管要求。
第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护,以及与信息技术相关的内部控制的设计、执行和监控;信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。
第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。
必要时,实施信息系统审计可以利用外部专家服务。
第七条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
当信息系统审计作为综合性内部审计项目的一部分时,信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现,并考虑依据审计结果调整其他相关审计的范围、时间及性质。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.本环节主要的审查内容与方法
(1)审阅系统安全保密设计文档,查明 系统的安全保密设计是否符合《会计核 算软件基本功能规范》的要求,能否满 足用户在安全保密方面的需求。
(2)查明系统的安全保密措施是否能有 效预防未经授权人员接触系统及其数据 文件,对系统的操作和文件的修改是否 都能留下可追索的记录,系统的自动与 强制备份措施是否恰当。
2.此阶段审计的内容与方法
(1)复核系统分析人员对现行系统调查的 记录,审查系统分析人员是否取得了现行 系统的全部资料。 (2)审查系统分析人员是否已与用户部门 有充分的交流,分析人员对用户的需求是 否已作了正确的理解与记录。
2.此阶段审计的内容与方法
(3)审查为建立新系统所提出的业务流 程重组方案各用户部门是否了解与接受, 可能出现什么问题,人员素质和其他条 件能否满足业务重组的要求。 (4)审查系统分析报告,查明系统说明 书中分析人员是否正确表达了用户对系 统的需求,目标系统的逻辑模型是否正 确体现了系统的业务与信息处理流程。
(三)代码设计
1、本环节的主要任务 (1)按代码设计的一般原则和用户实际情 况设计系统所用的各项代码的编码方案, 以便用户进行编码和下一步程序员进行程 序设计。 (2)编写代码设计文档。
2、本环节主要的审查内容与方法
(1)审查代码设计文档资料,查明各项 代码的设计方案是否符合单义性、方便 性、通用型和可扩展性的原则。
2.本环节主要的审查内容与方法
(3)综合考虑系统的安全保密措施能否确 保系统的安全可靠性,有无安全的漏洞。 (4)审查系统安全保密设计文档是否清晰、 规范。
三、系统实施阶段的审计内容与方法
(一)系统测试 1.本环节的主要任务 (1)根据系统说明书中明确的对系统功能 和性能的需求,准备测试系统的测试数据 和应有的预期结果。 (2)利用测试数据对系统进行测试,并把 系统实际处理结果与预期结果比较,确定 系统是否达到预定的需求。
(2)审查会计科目编码方案是否能保证 一级科目编码符合财政部颁布的会计制 度对科目编码的规定。
(3)查明各项代码的设计方案能否满足 用户单位管理的要求,是否考虑了今后 发展的要求。
(四)各模块的输入设计
1、本环节的主要任务 (1)根据各模块要输入的数据和用户要 求的输入方式(如键盘输入、软盘输入、 网络输入或光电读入设备输入等)进行 输入格式设计或输入接口设计。 (2)为方便用户输入,根据各模块要输 入数据的特点,设计输入过程中的提示、 选择、容错、纠错和帮助等功能。
(1)复核所编制的操作手册,查明操作手册 是否清晰,内容是否完整规范。 (2)复查使用单位的岗位责任制度和操作管 理制度,查明各岗位的职责分工是否恰当, 查明用户在数据采集、业务处理及更正错误 或有问题业务的程序是否适当。 (3)复查使用单位的硬软件管理制度和会计 档案管理制度的恰当性,确定这些制度能否
一、系统准备与分析阶段的审计 内容与方法
(一)系统开发准备 1.此阶段的主要任务 (1)提出开发系统,成立系统开发小组。 (2)为系统开发项目准备备适当的人员和 资金。
(一)系统开发准备
2.此阶段的审查内容与方法 (1)审查并确保系统开发小组包括有关部 门的代表,且代表有能力在开发小组中发 挥应有的作用。 (2)确保系统开发小组中的用户代表知道 他们在系统开发中的任务和责任。
1、本环节的主要任务
(3)为提高输入的准确性,根据各模块要 输入数据的特点和控制要求,设计输入过 程中的各种检验和控制方法和对输入数据 的复核方法。 (4)编写输入设计文档。
2、本环节主要的审查内容与方法
(1)审查输入设计文档,查明各类单 据和凭证的输入格式和内容是否符合国 家统一会计制度、有关财经法纪和《会 计核算软件基本功能规范》的要求。
2.此阶段审计的内容与方法
(1)审计人员不仅要从审计的角度(如程 序控制、审计线索和嵌入审计模块等)提 出对系统的需求,而且要审查确定用户是 否已正确充分表达了对系统的需求。 (2)督促系统分析人员对问题定义理解 不恰当之处进行修改。 (3)复核新系统的成本与效益分析。
2.此阶段审计的内容与方法
二、系统开发审计的目标与任务
(一)审查系统的可行性 (二)审查系统分析的恰当性 (三)审查系统功能的合法、正确性 (四)审查系统程序化控制的恰当性 (五)审查系统的可审性 (六)审查系统测试的全面性和恰当性 (七)审查系统文档资料的完整性 (八)审查系统的可维护性
第二节系统开发审计的内容与方法
系统开发审计可行且恰当的方法是针对系 统开发各阶段的关键点进行,即根据系统 开发审计的目标和任务,针对系统准备与 系统分析、系统设计和系统实施各阶段的 关键点进行审查。
1.本环节的主要任务
(3)若测试中发现某些方面未达到预定需 求,要由系统开发人员进行修改。经修改 的系统要重新进行测试. (4)编写系统测试报告,记录测试数据、 测试的进行和测试结果。
2.本环节主要的审查内容与方法
(1)确保系统测试要有用户代表、程序设计 人员和内部审计人员共同参与,在与真实使 用一致的情况下进行。测试应包括手工和计 算机两部分及其联接。 (2)审查系统测试报告,确定测试数据能覆 盖系统的所有功能。 (3)审查系统测试报告,查明报告是否清楚 正确记录了测试的过程和结果,修改后的系 统是否重新进行了测试,测试能否说明系统 能满足有关规定和用户预定的各项需求。
(二)数据文件设计
1.本环节的主要任务 (1)根据用户对信息的要求、数据来源和 处理方法,详细设计系统数据文件的设置、 各文件的结构和组织方式。 (2)编写数据文件设计文档。
2.本环节主要的审查内容与方法
(1)审阅数据文件设计文档,确定数据文件 的设计是否能满足用户对输出信息的要求,是 否能存放输入的各种单据及其他原始数据,是 否便于处理。 (2)审查数据文件的设计是否能在系统中保 留充分的、可追索各项经济业务处理过程的审 计线索。 (3)审查系统数据文件的设计是否能满足用 户实际业务数据量的情况,并考虑了用户今后 发展的需要。
(5)审阅各程序设计说明书是否清晰、规 范,方便今后系统的维护与审计。
(七)安全保密设计
1.本环节的主要任务 (1)根据一般系统安全的要求和用户在 安全保密方面的特殊需求,设计系统的 安全控制措施,常用的安全控制措施一 般包括权限密码控制、操作日志的记录 与管理、数据备份与恢复、系统处理状 态的自动记录与检查、数据文件的加密 处理等。 (2)编写系统安全保密设计文档。
第四章 计算机信息系统开发审计
本章学习目标
1.掌握信息系统开发审计的目标与任务。 2.掌握在系统开发各阶段,系统开发审计
的内容与方法。
第一节系统开发审计的目标与任务
一、系统开发审计的作用 (一)提高系统的合法合规性、安全可靠 性、效率效果性。 (二)加深审计人员对系统的了解,方便 今后对系统的审计。
2.本环节主要的审查内容与方法
(1)审查输出设计文档,查明系统的输出 功能是否符合《会计核算软件基本功能规 范》的要求。 (2)查明系统打印输出的各种单据、凭证、 的格式和内容是否符合国家统一会计制度 和其他财经法纪的规定。
2.本环节主要的审查内容与方法
(3)查明系统的输出环节是否包含适当 的控制措施,以确保要输出的信息能被 完整准确的输出,若输出过程中出现问 题,系统应能发现并给出错误信息。 (4)复核系统的输出设计,看其是否能 提供充分的审计线索,以便日后能顺利 对系统提供的信息进行审计。 (5)审查输出设计文档是否清晰、规范
(2)查明各类单据和凭证输入过程中 的程序控制是否符合《会计核算软件基 本功能规范》的要求和输入数据的特点, 控制措施是否能有效防止或及时发现输 入的错误。
2、本环节主要的审查内容与方法
(3)查明输入设计是否方便用户的输入 操作,并考虑了用户可预见未来的发展。 (4)审查输入设计文档是否清晰、规范
(4)确定新系统开发的资金来源和成本预 算,考虑系统开发所需资金是否得到保证。
(5)结合用户单位的管理基础工作、会计 基础工作和新系统所需作的业务流程重构, 考虑新系统在管理实施上的可行性。 (6)审查可行性分析报告。
(三)现行系统的详细调查与新 系统的分析
1.此阶段的主要任务 (1)对现行系统进行详细调查和记录。 (2)详细了解并记录用户对系统的功能和 性能等各方面的需求。 (3)抽象出现行系统的逻辑模型,分析现 行系统的利弊,考虑需要进行的业务流程 重组。 (4)分析目标系统与现行系统逻辑上的差 别,建立目标系统的逻辑模型。 (5)编写并审批系统分析报告。
(二)问题定义与可行性研究
1.此阶段的主要任务 (1)由用户介绍对系统的大致需求和基本 构想,系统分析人员从较高的角度抽象、 概括系统所要做的工作。 (2)系统分析人员对现行系统进行初步调 查分析。
1.此阶段的主要任务
(3)通过对系统用户和使用部门负责人的 调查,写出对问题的理解,形成双方一致 的意见,提出目标系统的初步方案。 (4)对目标系统从技术、经济和管理实施 方面进行可行性分析。 (5)编写并审批可行性分析报告。
2、本环节主要的审查内容与方法
(3)查明各项处理是否设有恰当的控制措 施,以确保所有经审核的输入数据均能被 完整准确地处理,若在处理过程中出现问 题,系统应能发现,能自动恢复到处理前 状态,并给出错误信息。
(4)查明处理的设计是否充分考虑了用户 要求可预见的变化,可不必改变现有的应 用程序,方便可预见的维护修改。
有效保护系统硬软件和会计档案的安全。
(三)系统的试运行
1.本环节的主要任务
(1)做好系统初始化和试运行所需的准 备工作,准备工作包括:①准备好各种 代码对照表,以某一个月初为始点,清 点和结出在初始点原系统的各项初始数 据;②根据重组的业务流程和计算机系 统的要求,对原来的手工凭证作适当的 改进;③做好操作人员的培训工作。
(六)各模块的处理算法设计