信息系统审计复习大纲

《信息系统审计》复习大纲

一、概念

管理信息系统的概念：（定义）一个由人计算机等组成的能进行信息的收集、传递、储存、加工、维护和使用的系统.管理信息系统能实测企业的各种运行情况；利用过去的数据预测未来；从企业全局出发辅助企业进行决策；利用信息控制企业的行为；帮助企业实现其规划目标。

管理信息系统是一个人机系统。管理信息系统是一个一体化系统或集成系统。管理信息系统需用数学模型分析数据，辅助决策。

ERP ----- E nterprise Resource Planning企业资源il划系统，是拒建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台.ERP系统集中信息技术与先进的管理思想於一身，成为现代企业的运行模式，反映时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。由MRPH （制造资源计划）发展来的.

信息系统一般控制/应用控制书

计算机网络

信息系统审计

宿息系统审计是指根据公认的标准和指导规范，对信息系统从规划，实施到运行维护各个环节进行审査评价，对信息系统及其业务应用的安全性，有效性，可靠性等进行检测，评估和控制的过程，以确定预定的业务目标得以实现，并提出一系列改进建议的管理活动.

（1）信息系统审计的主体是“有胜任能力的佰息系统独立审计机构或人员”.

（2）信息系统审计的对象是“被审计的信息系统”.

（3）信息系统审计工作的核心是“客观地收集和评估证据”。

（4）信息系统审计的目的是评估并提供反馈、保证及建议。

（5）信息系统审计目标是安全性，可靠性，有效性.

IT治理

IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡伯息技术与工程的风险、增加价值来确保实现企业的目标.

（1）IT治理必须与企业战略目标一致.

（2）IT治理的主体是管理执行人员和利益相关者的责任（以董事会为代麦）。

（3）IT治理包括管理层、组织结构、过程，以确保IT维持和拓展组织战路目标.

IT服务管理

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织

IT服务提供和服务支持的能力及其水平.

1）IT组织，无论是企业内部的还是外部的，都是IT服务提供者，其主要工作是提供低成本、高质量的IT服务。

2）IT服务的质量和成本则需从IT服务的客户和用户方加以判断。

灾难恢复与持续性讣划书

为了防止正常业务行为的中断

灾难对信息系统资源造成重大损失后的行为

二、理解辨识

IT治理与公司治理书

信息系统审计与传统财务审计

信息系统审计是传统审计的一部分，是以传统审计理论为理论基础的，两者之何有紧密的联系，也存在一定的区别。两者的联系：信息系统审计继承了传统审计的基本理论与方法，与传统的审计一样.

区别主要表现在：首先，信息系统的审计对象不同于传统审计的财务领域，而是信息系统，包括基础设施, 软硬件管理，信息安全，网络管理合通信等；其次，信息系统审计提出了更多的审计法与审计程序，这都是传统审计所不具备的

一般控制与应用控制

ERP 与MRPII

MRPII是将经营.财务，生产系统相结合，不仅对生产过程惊取有效的管理和控制.还能对整个企业汁划的经济效果进行模拟，对企业高级管理人员进行决策具有重耍•意义。

ERP是在MRPII的基础上通过反馈的物流和反馈的信息流，资金流，把客户需求和企业内部生产活动，以及供应商的制造资源结合在一起，体现了完全按客户需求制造的一种供应链管理思想的功能网链结构模式。ERP打破r MRPII H局限在传统制造业的格局,并把它的傩角伸向各行各业,如：金融业.高科技产业, 通讯行业，零售业。

COBIT模型（包括儿个域，分别有哪些子流程）

IS027001 （包括哪些主要的安全要素）

ITIL （包括哪些主要流程）

ITIL的两个流程一IT服务支持流程和IT服务提供流程

1）服务提供流程：（1）服务级别管理；（2）IT服务财务管理；（S）IT服务持续性管理；（4）可用性管理；（5）能力管理；

2）服务支持流程：（1）服务台；（2）问题管理；（3）突发事件管理；（4）变更管理：（5）配置管理:

（6）发布管理；

三、分析应用

信息系统审讣的发展史

信息系统审计的主要内容

信息系统审计的主要内容包括一般控制审计的内容和应用控制审计的内容.

一般控制中计的内容包括IT治理，开发或采购巾计，运行与维护中计，安全永计，灾难恢复和业务连续性控制五大内容。

应用控制审计对的内容包括输入控制，处理控制，输出控制，参数控制，接口审计，访问控制与职责分离六大块内容。

开展信息系统审计的主要技术方法

信息系统审计的流程

（1）准备阶段^ 1）明确审计任务：2）组成信息系统审计小组：3）了解被审系统的基本悄况；4）制定怡息系统审计方案；5）发出审计通知书；

（2）实施阶段：1）对被审计系统的内部控制制度进行健全性调査和符合性测试：2）对账表单证或数据文件的实质性审査；

（3）终结阶段，1）整理归纳审计资料：2）撰写审计报告：3）发出审计结论和决定：4）审计资料的归档和管理；

管理信息系统的主流开发方法，请列举三种，并说明各自特点

面向对象的方法它是一个逐步细化的过程，可以把一个系统的开发分成若干个小范围进行。

原型法它通过对原型的不断修改完善而逐渐控制借误，减少风险；采用快速开发工具，提高开发效率和时间

生命周期法每个阶段有明确的目标和活动：淸晰的责任；预期的结果和完成时间。国际IT治理主要参考模型，请列举4种，并说明各自主要内容

（1）ITIL:即信息技术基础构架库。一套被广泛承认的用于有效IT服务管理的实践准则。

（2）C0BIT：即信息和相关技术的控制目标，是有关IT治理的一个开放标准。该标准是国际公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认的标准。该标准为组织有效的利用信息资源，有效管理、控制与信息相关的风險提供指导。

（3）BS 7799:即国际倍息安全管理标准体系，是一个详细的安全标准.包括安全内容的所有准则。

（4）PRINCE2：有关项目管理支持服务标准，是一种对项目管理的某些待定方面提供支持的方法。

ERP系统主要包括哪些功能模块，以某一关键流程为例（如销售收款流程，或采购付款流程），描述ERP系统审计的要点

ERP销售系统实例

（1＞主要流程：订单作业——发货运送一一开立发票一一销售退回折让一收款作业一过账

（2）涉及的子模块：配销系统，订单管理系统，销售分析管理系统，库存管理系.应收管理系统。

（3）审计更点：D订单作业：销售价格低于销货成本；超出交货日期仍未出货：出货日期早于订购日期，2）发货运送，出货数量.单价及品名是否与订单相符；无订购单却有出货纪录；3）开立发票：销货发栗与订单中的品名、数量不同；出货未开立发票：4）销货退回折让：己退回之货物仍未收回：未经授权之折扣；5）收款作业：出货日期晚于应收帐款日期；应收帐款未入账；6）过账（总账）作业：比较应收模块之