计算机信息系统控制审计

合集下载

计算机和信息系统安全保密审计报告

文件制修订记录计算机和信息系统安全保密审计报告根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。

虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。

通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。

现将自查情况汇报如下：一、加大保密宣传教育，增强保密观念。

始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。

涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。

涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。

非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。

涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。

笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。

对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

计算机审计学专业就业方向

计算机审计学专业就业方向计算机审计学是一门结合计算机科学和审计学的专业。

随着信息技术的飞速发展和企业对信息安全的重视，计算机审计学专业的就业前景越来越广阔。

本文将重点探讨计算机审计学专业的就业方向，并介绍相关的职业发展路径和能力要求。

一、就业方向1. 信息系统审计师：信息系统审计师负责对企业的信息系统进行全面评估和审计，确保信息系统的安全性、合规性和有效性。

他们需要熟悉计算机网络和安全技术，能够发现和解决信息系统中存在的风险和问题。

2. 数据分析师：数据分析师利用统计学和数据挖掘技术，对企业的数据进行分析和解读，为企业的决策提供科学依据。

计算机审计学专业的学生在数据处理和分析方面具有较强的能力，很适合从事数据分析工作。

3. 风险管理师：风险管理师负责对企业的风险进行评估和管理，帮助企业避免潜在的风险和损失。

计算机审计学专业的学生在学习过程中接触到了很多风险管理的知识和方法，具备较强的风险识别和评估能力。

4. 内部审计师：内部审计师负责对企业的内部控制和运营过程进行审计，发现和解决企业内部存在的问题和风险。

计算机审计学专业的学生熟悉企业内部控制和审计流程，能够胜任内部审计工作。

5. 信息安全专家：随着网络攻击和数据泄露事件的增多，企业对信息安全的需求不断增加。

信息安全专家负责保护企业的信息资产和敏感数据，预防和应对安全事件。

计算机审计学专业的学生在学习过程中接触到了信息安全的基础知识和技术，具备一定的信息安全专业能力。

二、职业发展路径1. 初级职位：毕业后，可以从基础的审计员、分析师等职位起步，熟悉企业的运营和审计工作流程，积累实战经验。

2. 中级职位：在初级职位上工作一段时间后，可以晋升为高级审计师、风险管理师等职位，负责更复杂的审计和风险管理工作。

3. 高级职位：在中级职位上积累丰富经验后，可以晋升为内部审计经理、信息安全专家等职位，负责团队管理和决策支持工作。

4. 顾问或独立咨询师：有一定经验和专业知识的计算机审计专业人士可以选择成为独立咨询师或顾问，为企业提供专业的审计和咨询服务。

计算机审计的工作内容

计算机审计的工作内容
计算机审计的工作内容包括对计算机系统本身的审计和对计算机辅助审计。

对计算机系统本身的审计包括系统安装、使用成本，系统和数据、硬件和系统环境的审计。

计算机辅助审计则包括用计算机手段进行传统审计，用计算机建立一个审计数据库，帮助专业部门进行审计。

此外，计算机审计还包括对系统内部控制进行调查、测试和评价，以及对电子数据直接进行测试，深入到计算机信息系统的底层数据库，通过对底层数据的分析处理，获得非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息等。

总的来说，计算机审计的目的是对企业的计算机系统进行全面和客观的评估，并提供相应的改进建议。

如需了解更多相关信息，可以查阅相关书籍获取。

计算机审计详细概述

计算机审计详细概述1. 概述计算机审计是指对计算机系统、应用程序、网络通信等进行检查和评估，以确保其合规性、安全性和有效性。

计算机审计的目的是评估组织的信息技术控制措施，发现并解决潜在的风险和问题。

本文将详细介绍计算机审计的各个方面，包括审计的目的、过程、方法和技术工具等。

2. 审计目的计算机审计的主要目的是帮助组织评估其信息技术控制措施，发现并解决潜在的风险和问题。

具体而言，审计的目标包括：•评估信息系统的安全性：检查系统和应用程序的安全设置，评估密码策略、身份验证和访问控制等安全措施。

•评估信息系统的可靠性：检查系统和应用程序的可靠性，包括备份和恢复策略、故障处理过程等。

•评估信息系统的合规性：确保系统和应用程序符合法律、法规和标准的要求，例如个人隐私保护法、数据安全标准等。

3. 审计过程计算机审计通常包括以下几个步骤：3.1. 筹备阶段在审计开始之前，审计师需要与组织内部的相关人员进行沟通，了解审计的范围、目标和要求。

同时，还需要收集相关文件和资料，包括安全策略、系统文档、日志记录等。

3.2. 风险评估审计师需要评估潜在的风险，确定审计的重点和范围。

这通常包括分析系统的安全漏洞、评估潜在的攻击风险、查找系统中的弱点等。

在确定审计的范围和重点之后，审计师需要制定详细的审计计划。

该计划应包括审计的时间表、审计的目标和具体的审计方法。

3.4. 数据采集与分析审计师需要收集并分析相关的数据和信息，包括系统日志、安全事件记录等。

通过对这些数据和信息的分析，审计师可以发现潜在的问题和风险。

3.5. 发现与解决问题在数据采集和分析的基础上，审计师需要发现并解决潜在的问题和风险。

这包括制定相应的改进措施、修复安全漏洞等。

审计师需要撰写一份审计报告，汇总审计的结果、问题和建议。

该报告应发送给组织的管理层和相关人员，以便他们了解审计结果并采取相应的措施。

4. 审计方法计算机审计可以采用多种方法和技术工具来实施。

第十一章计算机审计与信息系统审计

第二节信息系统审计概述
一、信息系统审计的必要性随着信息技术的高速发展和企业信息化进程的
不断加快，企业对信息系统的依赖日益增强，信息系统已经成为企业的重要资产。同其他资产一样，信息系统也需要严格管理与控制，并应定期进行审计。通过审计可以发现信息系统本身及其控制环节的不足与缺陷，以便及时改进与完善，从而使信息系统在企业的生产、经营和管理工作中发挥更大的作用。
举例：
如图11.1所示，对现金余额的实质性测试包括对银行账户余额的直接函证，对应收账款的实质性测试包括对客户余额的直接函证。
交易
会计信息系统
过渡审计
符合性测试：确认内控存在性；有效性和持续性。
图11.1 财务报表审计的结构
财务报告
.
现金
银行
应收账款
顾客
.
（确认余额）
.
财务报表审计信息系统审计的目标
审计目标是指审计主体通过审计实践活动所期望达到的境地或最终结果，或者说是审计活动的目的和要求。信息系统审计的目标是对被审计单位的计算机信息系统的安全性、可靠性、有效性和运行效率进行审查与评价，并对存在的不足提出改进意见，使之更完善。
1. 系统的安全性
系统的安全性是指构成信息系统的硬件、软件和数据资源是否得到妥善保护，不因自然或人为的因素而遭到破坏。
四、计算机审计的优越性
审计人员对信息技术的应用不再是任意的，而是必须的。审计人员面对的评估数据大部分都是电子版，为了审计而将电子版转化为书面版除了浪费是没有任何意义的。更何况考虑审计自身的竞争压力，运用信息技术提高审计的工作效率也是完全必要的。因为计算机审计具有如下优越性：
1. 计算机生成的工作底稿更易读、更一致。这样的工作底稿更易存储、访问和修改。

计算机信息系统功能的审计

《规范》对账务处理子系统的主要要求
2. 数据处理： ⑴提供根据审核通过的凭证登记账簿的功能，
计算出科目发生客和余额。 ⑵提供按规定期间进行结账的功能。 3 . 数据输出： ⑴提供对机内会计数据查询的功能。 ⑵提供记账凭证、账簿的打印输出功能，打
印的格式与内容符合统一会计制度规定。（此条不作检测）
2.缺点：模拟系统的开发通常需要花费较长的时间，开发或购买费用都较高；而且，如果实际使用的系统更新，则模拟系统亦要随之更新，相应要增加费用。
七、程序比较法
程序比较法——是一种通过把被审程序与标准程序进行比较，进而确定二者是否一致，被审程序功能是否正确的一种审查方法。
七、程序比较法
（一）采用程序比较法进行审计的步骤 1 ．被审的应用程序曾被审查过且证实其处
二、程序编码审查法
（二）影响程序编码审查法有效性的因素 1 . 被审程序文档资料的详细程度与这些材
料反映被审程序的准确程度。 2. 被审程序的复杂程度。 3. 被审程序的编程语言和程序编写方式。 4.审计人员对程序语言和编程技术的精通
程度。
二、程序编码审查法
( 三）程序编码审查法的优缺点 1. 优点:审计人员审查的是程序的本身，
五、整体测试法
（一）采用整体检测法进行审查的步骤 3．在被审系统正常运行时，把虚构公司
的测试数据和被审单位的真实数据一起输入系统处理。 4．把系统对虚拟公司测试业务的处理结果与应有的正确结果比较，从而判断被审系统的处理和控制功能是否正确。
五、整体测试法
（二）消除测试数据对被审单位真实数据影响的方法
第一节计算机信息系统功能审计的目标
一、查明信息系统处理功能的合法性二、查明信息系统处理功能的正确与恰

信息系统审计的指南—计算机审计实务公告

信息系统审计的指南—计算机审计实务公告计算机审计实务参考指南是一个相对完整的框架，用于帮助审计人员进行计算机审计工作。

以下是一个关于计算机审计实务的公告，介绍了信息系统审计的指南和一些建议，帮助审计人员进行有效的计算机审计工作。

尊敬的领导、各位同事：为了提高企业的信息系统安全性和风险管理水平，确保信息系统的正常运行和数据的可靠性，本公司决定进行一次信息系统审计。

为了便于大家的工作，制定了以下指南和建议，希望能够帮助大家有效地完成计算机审计工作。

1.审计目的和范围：明确审计的目的和范围，包括所审计的信息系统的规模和功能，以及需要审计的重点和关注的问题。

2.审计计划：制定一份详细的审计计划，包括审计的时间表、人员安排和审计程序。

确保审计工作可以按照计划进行，并保证每个环节都得到充分的关注。

3.风险评估：对信息系统的风险进行评估，确定可能存在的威胁和漏洞。

基于评估结果，确定审计的重点和关注的问题，优化审计资源的分配。

4.审计程序：根据审计目标和风险评估结果，制定相应的审计程序。

审计程序应该包括对系统漏洞的扫描和检测、对权限和访问控制的审查、对安全策略和控制措施的评估等。

5.数据采集和分析：采集所需的数据，并进行必要的分析。

数据的采集和分析是评估信息系统安全性和效率的关键步骤，必须进行全面和准确的数据采集，并进行合理的数据分析。

6.风险管理：根据审计发现的问题，制定相应的风险管理措施。

风险管理措施应该包括对系统漏洞的修复、对权限和访问控制的改进、对安全策略和控制措施的更新等。

7.审计报告：根据审计结果，编写一份详细的审计报告。

审计报告应该包括所审计的信息系统的概述和背景、审计的目的和范围、审计的程序和结果、审计发现的问题和建议等。

8.问题跟踪和改进：针对审计报告中的问题和建议，制定相应的改进计划，并跟踪实施情况。

确保问题得到及时解决，改进措施得以落实。

本次信息系统审计的指南和建议，主要是为了帮助大家更好地进行计算机审计工作，提高企业的信息系统安全性和风险管理水平。

计算机会计信息系统内部控制审计

了更新的职责和使命．于价值增值的任 ” ＳＡＳＮ．将控制界定为：管理层管理与控制体系 ” 基。Ｉｏ１ “ ：关于内部控制。内 “
目标，内部审计更强调服务职能．服为达成既定目的及目标所采取的各种部审计活动应该评价控制的效率与效将促以务与监督放在同等重要的位置风险导行动 ” ，它特别声明：本说明书所称果、进控制的不断改善．此来帮助 “ 向内部审计的职能是以确认与咨询为 ‘ 理层 ’ 管包括组织内负责制定及（组织保持有效的控制 ”关于公司治理，或１；．管内部审计活动应该评价并改进组织的主要内容的监督职能与服务职能的融达成目的任何人 ” 而且 “ 理层和内 “ 合．两项职能都是紧密结合内部审计部审计人员所关心的是广义控制．这外治理程序，组织的治理作贡为风险管理与公司治理
公司治理服务。风险导向内部审计的
目标由微观转向宏观。将其目标与组审计的对象扩展到风险管理、控制和关注点转向了科学决策．因此风险是织的目标联系在一起．开始关注组织治理程序。风险作为一种核心理念．必须考虑的因素就后者而言．ＯＯ而ＣＳ的战略方向．评估和改善组织的风险贯穿在整个内部审计过程中委员会的ＥＭ框架报告认为．ＲＲＥＭ

基于CobiT的信息系统内部控制及审计

基于CobiT的信息系统内部控制及审计随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率，改进服务。

会计电算化、电子商务(EC)、管理信息系统（MIS）、企业资源计划(ERP）的逐步实施与普及应用，使企业面临着前所未有的信息风险，信息系统的安全、可靠、效率也日益重要。

基于信息系统的重要性及IT挑战，产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。

面对信息系统审计具有的专业性、技术性和复杂性，信息系统审计与控制协会（ISACA）的IT治理学会(ITGI）制定出了专门适用于信息系统控制和审计的标准-——CobiT，即信息及相关技术控制目标.这样以CobiT为基础进行信息系统控制和审计成为了可能.一、信息系统内部控制、审计的理论框架企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。

IT控制所关注的对象是企业IT资产的整个运维状况，它与整个企业的内部控制应该是子集与全集的关系。

COSO通常作为企业的整体内部控制框架，CobiT则是通用的IT控制框架。

COSO框架已广为人知，在此主要介绍CobiT理论框架。

1、CobiT简介CobiT---信息及相关技术控制目标，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。

它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。

该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来，形成一个三维的体系结构（图1）。

其中,信息准则维集中反映了企业使用IT的战略目标，包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面.IT资源维描述了I T治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。

计算机舞弊的控制与审计概述

计算机舞弊的控制与审计概述导言随着计算机技术的迅速发展，计算机舞弊（Computer Fraud）已经成为一个严重的问题。

计算机舞弊是指利用计算机系统或网络来进行欺诈、盗窃、篡改和滥用信息资源等非法行为。

为了应对这一问题，控制和审计成为了至关重要的手段。

本文将对计算机舞弊的控制与审计进行概述，并介绍一些常见的控制和审计方法。

一、计算机舞弊的常见形式计算机舞弊的形式多种多样，常见的有以下几种：1.数据篡改：利用计算机系统修改、删除、篡改数据，以达到欺骗或迷惑他人的目的。

2.资源滥用：滥用计算机和网络资源，例如利用公司电脑进行个人娱乐活动。

3.虚假交易：通过网络创建虚假交易，诈骗他人财物。

4.软件盗版：未经授权使用他人软件，侵犯版权。

5.网络钓鱼：发送虚假或冒充合法机构的电子邮件，骗取个人或机构的敏感信息。

6.黑客攻击：利用计算机系统的漏洞，非法获取他人计算机系统中的信息和资源。

二、计算机舞弊的控制方法为了有效控制计算机舞弊，我们可以采取以下措施：1. 强化访问控制通过实施严格的访问控制机制，限制用户对系统和数据的访问权限。

这可以包括用户身份验证、访问授权和权限管理等措施来确保只有授权人员能够访问敏感信息。

2. 加强安全策略和网络防御建立有效的安全策略，包括网络防火墙、入侵检测系统和网络监控等技术手段，以保护计算机系统免受非法入侵和攻击。

3. 实施数据加密对重要的机密信息进行加密，确保即使被非法获取，也无法解读其中的内容。

这可以有效防止数据泄露和非授权获取。

4. 增强员工教育和意识加强员工教育和培训，提高他们对计算机舞弊的认识和风险意识，从而减少被欺骗和操控的可能性。

5. 建立监控和日志记录机制建立有效的监控和日志记录机制，以便及时发现和追踪计算机舞弊行为。

监控可以通过实施实时监控系统和日志记录器，以及定期检查日志来实现。

6. 定期进行安全审计定期进行安全审计，包括对系统和网络进行检查，查找潜在的安全漏洞和风险，及时采取措施进行修复和改进。

计算机审计与信息系统审计

联网审计是金审二期规划中的重点建设项目, 根据该规划,审计署将重点建设中央部门预算执行、海关、银行、社保等四类联网审计,并对中央财政组织预算执行、国税和大型企业等进行联网审计试点.
目前已成功研制了中央部门预算执行联网审计系统,并从2010年开始在中央各部门推广使用.
各地方政府也在逐步推广政府部门预算执行联网审计系统.
又称IT审计.
信息系统审计的三大目标
从以上信息系统审计的定义,可知信息系统审计项目依目标不同,有三大类：
信息系统安全审计安全性信息系统可靠性审计可靠性信息系统绩效审计经济性
信息系统审计的内涵
IT审计是独立的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估.
信息系统逻辑结构示意图
信息资产保护
组织结构管理政策
服务器、工作站、打印机人
网线 Windows /UNIX
交换机 /HUB
… …
Oracle 数据库
销售业务系统会计核算系统
灾难恢复与业务持续计划
财务报表销售收入 1000万
……
从构成要素上来看,信息系统有以下组成部分：
硬件软件网络数据人管理制度
适用范围：
由于这一审计模式对审计人员素质提出了更高的要求,而且审计成本很高,因此这一审计模式适用于大中型会计师事务所对业务处理复杂、系统集成度较高的大中型企业的审计工作.
联网审计
所谓联网审计,就是在线实时审计,是指通过审计机关和被审计单位的网络互联,实时审查被审计单位会计信息系统的审计方式.
信息系统审计是通过对信息系统的调查与了解,对系统控制及系统功能的分析与测评,综合评价一个信息系统是否能够满足安全性、有效性、与经济性目标,是否能够提供真实、准确、完整的电子数据.

计算机信息系统内部控制的审计重点

的
审
是因为计算机环境下内部控制失当所致：通过对计算机内控制度的调查研究．有助于审计人员确认可能发生的潜在
的重要错报的种类及领域，达到既降低风险叉提高效率的
目的：
一
计
重
，ｌｔ、
、
内部控制调查览表等：
１获取被审计单位计算机会计核算审批制度、．会计电算化管理制度、系统操作人员内部分工
二、内部控制符台性测试
６发现已登记＾账的记账凭证有错，是古秉用凭证更正法（负数或补充）更正：月末结账后．行仍可以更正以前月份的是错误．修改记账凭证错误后是否留有书面记录一
７是否及时作好备份：备份后的磁盘是否单独存放，年度终
了．结账时是否必须由软件强制进行会计基础数据的备份工作。８是否利用软件自动完成会计报丧格式，会计撮表自动生．成公式是否经常变动：９有无必要的上机操作记录制度．．是否有专人监督，实际执行的效果如何。１０是否严格按《会计档案管理办法》的规定保管计算机输出的会计档案，特别是磁介质档案一⑤
率不相容职务，必须加以分离：记雌凭证的输入与审核也是不相容工作．必须分离。５被审计单位的计算机系统是否单独为会计业务活动服务：若其他部门或人员也可操作计算机从事其他工作，将相应
增大审计风险：
样．如果应用控制有缺陷，将会直接影响数据的输＾、处理、输
据也容易被非法篡改，整个系统的安全性就没有保证。因此，一般控制如有缺陷．日使应用控制功能强大，也难以发挥作用同

12计算机审计与信息系统审计详解

12计算机审计与信息系统审计详解计算机审计与信息系统审计是现代企业管理中的一项重要工作。

它们旨在评估和审查计算机系统和信息系统的运作情况，以确定潜在的风险和问题，并提供改进和优化的建议。

计算机审计是指对计算机系统硬件、软件、网络以及与之相关的管理流程进行全面审查的过程。

计算机审计的目标是确保计算机系统的可靠性、安全性和经济效益。

计算机审计的重点包括但不限于以下几个方面：1.硬件审计：对计算机硬件进行审查，包括服务器、计算机终端、网络设备等。

硬件审计的目的是确定硬件设备是否正常运行，是否存在故障或风险。

2.软件审计：对计算机系统的软件进行审查，包括操作系统、应用软件、数据库等。

软件审计的目的是确定软件是否合法、正版且无恶意代码，同时评估软件的性能和功能是否符合企业需求。

3.网络审计：对企业内部和外部网络进行审查，包括网络拓扑、网络安全策略等。

网络审计的目标是确定网络安全性是否得到保障，是否存在风险和漏洞。

4.流程审计：对计算机系统的管理流程进行审查，包括用户授权、数据备份与恢复、安全策略等。

流程审计的目的是确定管理流程是否合理、规范且能够保障计算机系统的正常运行。

信息系统审计是对企业信息系统的运作情况进行评估和审查的过程。

信息系统审计的目标是确定信息系统是否能够提供准确、可靠、及时的信息支持业务决策。

信息系统审计的重点包括但不限于以下几个方面：1.信息安全审计：对信息系统的安全性进行审查，包括权限管理、数据加密、风险管理等。

信息安全审计的目的是确定信息系统是否能够防止未经授权的访问、修改和删除信息。

2.业务流程审计：对企业的业务流程进行审查，包括业务流程的合规性、高效性等。

业务流程审计的目的是确定业务流程是否合理、规范且能够提高工作效率。

3.数据完整性审计：对企业数据的完整性进行审查，包括数据的采集、存储、处理等。

数据完整性审计的目的是确保企业数据的准确性和完整性，防止数据丢失或篡改。

4.监控与评估审计：对信息系统的监控和评估进行审查，包括系统性能监控、运维管理等。

计算机审计内容

计算机审计内容计算机审计是指对计算机系统和应用进行全面检查和评估的过程，以确保其合规性、安全性和可靠性。

它是保障信息系统运行正常的重要环节，可以帮助企业识别和解决潜在的风险和问题，提高信息系统的管理水平和运行效率。

一、计算机审计的意义和目的计算机审计的意义在于通过对信息系统的检查和评估，发现和解决问题，提高信息系统的可靠性和安全性。

其主要目的包括：1. 保障信息系统的合规性。

计算机审计可以帮助企业遵守相关法律法规和规章制度，确保信息系统的合规性。

2. 发现和解决潜在风险。

计算机审计可以发现信息系统中存在的潜在风险，及时采取措施解决问题，避免潜在的安全威胁和经济损失。

3. 提高信息系统的管理水平。

计算机审计可以评估信息系统的管理水平，发现管理问题并提出改进措施，提高信息系统的运行效率和管理水平。

4. 保护信息系统的安全性。

计算机审计可以发现信息系统中存在的安全漏洞和风险，提供相应的安全建议和措施，保护信息系统不受恶意攻击和破坏。

二、计算机审计的内容和方法计算机审计的内容主要包括以下几个方面：1. 系统安全审计。

对信息系统的安全策略、用户权限、访问控制、密码策略等进行审计，发现和解决系统安全方面的问题。

2. 数据完整性审计。

对数据库和数据文件的完整性进行审计，确保数据的一致性和准确性。

3. 网络安全审计。

对网络设备、防火墙、入侵检测系统等进行审计，发现网络安全方面的问题。

4. 应用程序审计。

对企业的应用程序进行审计，发现潜在的安全风险和问题。

5. IT基础设施审计。

对企业的硬件设备、软件系统、通信设备等进行审计，确保基础设施的正常运行。

6. 业务流程审计。

对企业的业务流程进行审计，发现流程中的问题和风险，提出改进措施。

7. 物理安全审计。

对企业的机房、服务器等进行审计，确保物理环境的安全性。

计算机审计的方法主要包括以下几种：1. 审查文档和记录。

通过审查相关的文档和记录，了解信息系统的运行情况和问题。

如何进行计算机审计

如何进行计算机审计如何进行计算机审计与传统手工审计一样，计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等四个阶段。

其中重点是计算机审计实施阶段，包括计算机信息系统的内部控制评价和对计算机系统所产生的会计数据（信息）进行测试评价。

计算机审计过程具体可细分为以下主要步骤：1.准备阶段。

①了解企业基本情况，与企业的有关人员初步面谈并查阅其会计电算化系统的基本资料，归纳出被审计系统的特点和重点。

②组织审计人员和准备所需要的审计软件。

根据被审计企业会计电算化系统的构成特点，复杂程度可选择安排有计算机审计经验的注册会计师担任项目负责人，组成审计小组，准备审计软件。

如果对某审计项目需要特殊的审计软件，还必须组成一个专门小组预先开发好所需要的软件，以保障审计工作顺利开展。

2.内部控制的初步审查。

初步审查的目标是使审计人员了解计算机信息系统在会计工作中的应用程度，初步熟悉电算化会计系统的业务流程和内部控制的基本结构，包括从原始凭证的编制到各种会计报表输出的整个过程。

一般采用如下的检查和会谈：①审阅上期的审计报告和管理建议书，初步了解上期系统的弱点。

②检查会计电算化系统的文档和系统使用手册，了解系统模块结构、名称、数据库以及相应的功能。

③检查输入数据的基本依据（电子数据和有关的原始凭证），初步了解企业会计原始数据产生的内部控制制度的基本情况。

④针对一些基本情况和上述检查发现的问题，与会计人员、系统开发和维护人员、程序员面谈，以便得到与司题相关的背景资料。

⑤初步审查数据处理流程图，了解原始数据的起点、文件名称和系统内的代码、数据经过的单位或部门、数据的终点和保管的措施，以及对产生和使用数据的单位的内部控制，并制作必要的简明数据流程图。

同时，审计人员还要对下列资料进行了解：①系统安装日期、计算机硬件系统的型号、机房的基本管理设施、系统管理制度、系统的负荷量（数据处理量）。

②系统的组织结构、各级管理的职责，以及计算机系统的负责人和系统管理人员。

信息系统一般控制审计154页PPT

输时,有必要增加额外的控制以防出现错误。
五、内部审计与监测
信息系统审计
41
第三节数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节数据接口控制一、接口规划与设计二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查

审计署计算机审计实务公告第34号-关于印发信息系统审计指南——的通知

中华人民共和国审计署文件审计发〔2012〕11号审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅（局），署机关各单位、各特派员办事处、各派出审计局：信息系统审计指南——计算机审计实务公告第34号，经署领导同意，现予印发，供审计机关实施信息系统审计参考。

二○一二年二月一日— 1 —信息系统审计指南——计算机审计实务公告第34号目录第一章总则第二章信息系统审计的组织第三章应用控制审计第一节信息系统业务流程控制审计第二节数据输入、处理和输出控制审计第三节信息共享和业务协同审计第四章一般控制审计第一节信息系统总体控制审计第二节信息安全技术控制审计第三节信息安全管理控制审计第五章项目管理审计第一节信息系统建设经济性评价第二节信息系统建设管理评价第三节信息系统绩效评价第六章信息系统审计方法第七章附则— 2 —第一章总则第一条为进一步指导和规范国家审计机关组织开展的信息系统审计活动，提高审计效率，保证审计质量，制定本指南。

第二条本指南所称信息系统，是指被审计单位利用现代信息技术实现财政收支、财务收支及其相关经济业务活动的信息处理的系统。

第三条本指南所称信息系统审计，是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。

第四条本指南所称审计指标，是指对审计事项的测评指标或者评价指标。

第五条信息系统审计可以作为财政收支、财务收支及其相关经济业务活动（以下简称经济业务活动）审计项目的审计内容组织开展，也可以作为独立组织的信息系统审计项目实施。

第二章信息系统审计的组织第六条信息系统审计的主要目标是通过检查和评价被审计单位信息系统的安全性、可靠性和经济性，揭示信息系统存在的问题，提出完善信息系统控制的审计意见和建议，促进被审计单位信息系统实现组织目标；同时，通过检查和评价信息系统产生数据的真实性、完整性和正确性，防范和控制审计风险。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

计算机信息系统控制审计
学习目的
通过学习，我们要掌握以下三个问题：
◆一、在信息技术环境下，审计有什么改变？
◆二、信息技术环境下控制测试的范围。

◆三、信息技术一般控制与运用控制的关系，及其如何影响实质性测试？
案例1.1信息系统环境下控制测试
•华兴集团公司是今明会计师事务所的常年审计客户，上年度各项内部控制设计合理并运行有效。

注册会计师正在对华兴集团公司本年度的内部控制进行了解，并评估重大错报风险。

华兴集团公司有20余家子公司。

2018年初，为了满足集团公司对财务信息实时性、准确性、真实性的要求，推行企业信息化管理。

通过与ERP系统开发公司的协商，购进新开发的ERP系统并投入使用。

由于采用ERP系统，财务核算人员由原来的163减至61人。

案例1.1信息系统环境下控制测试
•注册会计师了解采购与付款循环时，注意到供货单位的发票信息由会计部输入，并由计算机将其与其他信息（订购单等）相核对。

在收到货物时，由验收部门将验收入库信息输入计算机系统，计算机会自动生成一份入库单，由仓库审核后自动更新存货记录。

计算机能够自动将订购单、验收单、入库单和供货单位的发票上的信息（如供货单位、型号、规格、单价等）相核对并经审批后开出未付凭单。

付款部门根据未付凭单打印出支票，计算机自动将该未付凭单标记，防止重复付款。

通过询问采购人员，发现有一供货商将同一笔交易发来两张不同编号的发票，在月末存货监盘时发现重复记录购货，追回了多付的货款。

后来公司加强了该系统的手工校验程序。

案例1.1分析与思考
•1.信息系统下控制测试的范围如何变化？为什么？
•2.分析信息系统控制存在什么缺陷？这些缺陷影响哪些认定？如何应对？
信息技术对审计过程的影响
•对审计线索的影响;
•对审计技术手段的影响;
•对内部控制的影响;
•对审计内容的影响;
•对注册会计师的影响。

上信息系统后，审计的不变
•不变：
•注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求，基本审计准则和财务报告审计目标在所有情况下都适用。

•内部控制的目标
•人工控制的基本原理与方式
信息系统下控制测试
•1.人工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会计师仍需要按照标准执行相关的审计程序
•2.对于自动控制，就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑
公司层面信息技术控制
•公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调。

包括：
•对于信息技术的重视程度和依赖程度
•信息技术复杂性
•对于外部信息技术资源的使用和管理情况
•信息技术风险偏好
•这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。

信息系统一般性控制
•信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。

•信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。

信息技术应用控制
•信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括：
•检查数据计算准确性，
•审核账户和试算平衡表，
•设置对输入数据和数字序号的自动检查，
•对例外报告进行人工干预。

•应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。

如何确定系统控制测试的范围？
•信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

•与财务报告相关的控制活动一般由一系列手工控制和自动控制所组
成。

自动控制程度愈高，信息系统对控制的影响愈大。

•无论被审计单位运用信息技术的程度如何，注册会计师均需了解与审计相关的信息技术一般控制和应用控制。

•在理论上，测试每个自动系统控制时都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。

信息系统审计关联范围表
对信息系统的依赖程度对系统环境的了
解与评估（是/
否）
验证手工控
制（是/否）
验证系统应用
控制（是/否）
了解、验证系统一
般性控制（是/否）
（1）不依赖信息系统是否否否
（2）仅依赖手工控制，此类
手工控制不依赖系统所生成
的信息或报告
是是否否
（3）仅依赖手工控制，此类
手工控制依赖系统所生成的
信息或报告，审计需要通过
实质性程序来验证控制有效
性
是是否否(4) 同时依赖手工及自动控制是是是是
信息技术审计范围影响因素
•注册会计师应当按信息系统各自特点制定审计计划中包含的信息技术审计内容•如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的内容。

•影响信息技术审计范围影响因素：
•企业业务流程复杂度
•信息系统复杂度
•系统生成的交易数量
•信息和复杂计算的数量
•信息技术环境规模和复杂度
•如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的范围。

信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比。

IT控制如何影响控制风险和实质性程序？
•首先针对每个具体的审计目标，了解和识别相关的控制与缺陷。

在此基础上，对每个相关审计目标评估初步控制风险。

•但对于一般控制而言，由于其影响广泛，注册会计师通常不将控制与具体的审计目标相联系。

•如果一般控制有效，注册会计师可以更多地信赖应用控制，测试这些控制的运行有效性，并将控制风险评估为低于“最高”水平。

•如果一般控制无效，增加了应用控制，也不能防止或发现并纠正认定层次重大错报的可能性，即使这些应用控制本身得到了有效设计，注册会计师也不应当信赖应用控制。

•如果针对某一具体审计目标，注册会计师能够识别出有效的应用控制，在通过测试确定其运行有效后，注册会计师能够减少实质性程序。

一般控制评价结果的影响无效
有效一般
控
制
增加应用控制，也不能防止或发现并纠正认定层次
重大错报风险，不应信赖应用控制更多地信赖应用控制，测试这些控制的运行有效性，
并将控制风险评估为低于“最高”水平
谢谢大家！。