【精品】信息技术与计算机审计PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.系统实施阶段:
其主要任务是根据系统详细设计说明书 用选定的程序语言或编程工具编写源程 序,进行程序的测试、模块的联调和系 统的总调,编写出系统操作手册或用户 手册,组织系统的试运行与评审。此阶 段的主要文档资料包括源程序表,系统 测试报告、操作手册和评审报告等。
5.运行维护阶段:
其主要任务是正式使用系统,并且在需 要时进行系统维护。此阶段的主要文档 资料有系统运行日志和系统维护报告。
(2)后备控制
①硬件备份 ②磁性文件备份 ③应急计划(又叫灾难补救计划)—— 指预先制定的,万一系统出现灾难性损 毁时的应急措施和利用后备的硬件、软 件、数据文件恢复系统的计划。
(3)环境安全控制
①电源的控制 ②其他环境控制 (4)计算机病毒与黑客的防范控制
2.系统的开发与维护控制
(1)系统开发前应进行可行性研究。 (2)系统的设计应有用户的代表和内审人 员的参加。 (3)系统的检测应有用户代表和内审人员 的参加,经验测满意的新系统,要经过 与原系统并行试运行一定时期,并经过 审批才能正式投入使用。 (4)系统正式投入运行以前,应按规范要 求编制好系统的文档资料。
六、对计算机信息系统的功能 或应用程序审计的技术
1.测试数据法:它是设计测试性数据以 检查计算机系统是否能按预期要求运作 的方法。
采用检测数据法对计算机系统的功能进 行审查的方法是:把预先准备好的检测 业务输入被审的系统进行处理,得到处 理的结果与审计人员根据正确的处理原 则准备的应有结果比较,进而导出审计 结论。
2.系统分析阶段:
其主要任务是在可行性分析的基础上, 对原有系统进行详细调查分析,收集原 系统所有的文件(凭证、帐薄、报表等) 样本,明确用户对系统的全部需求(包括 功能、性能、安全等),根据用户需求 提出新系统的逻辑模型。此阶段的主要 文档资料是系统分析报告。
3.系统设计阶段:
其主要任务是根据系统的逻辑模型进行 系统的总体设计和详细设计,包括模块 设计、代码设计、输入输出设计、数据 文件设计、安全保密设计和处理流程设 计。此阶段的主要文档资料是系统设计 报告,包括系统概要设计说明书和详细 设计说明书。
系统生命周期法适用于开发较大型、综 合、功能明确且复杂的信息系统
(三)计算机信息系统开发的 审计
(1)审查系统开发的可行性。 (2)审查系统功能的合规、合法性。 (3)审查系统程序控制的恰当性。 (4)审查系统的可审性(注意留下充分 的审计线索)。
(三)计算机信息系统开发的 审计
(5)审查系统测试的全面恰当性(参与 系统测试,审查测试数据、过程和结 果)。 (6)审查系统文档资料的完整性。 (7)审查系统的可维护性。
常见的计算机检验技术
(1)业务数点计与控制总数核对。 (2)代码的有效性检验。 (3)顺序检验。 (4)平衡检验。 (5)合理性检验(又称极限检验)。 (6)完整性检验。 (7)数据类型、长度、符号等检验。
2.处理控制
(1)控制只有经批准的人才能执行数据处 理操作,并要作好操作记录。 (2)由计算机对处理条件进行检验,保证 满足条件才能处理。 (3)由计算机对处理结果进行检验,加强 处理结果的正确性。
(一)常用的开发方法
2.原型法: 原型法是先根据用户的最主 要要求,开发出能实现系统最基本功能 的一个原型,再根据用户对原型使用与 评价的意见,反复修改完善原型,直至 得到用户满意的最终系统为止。
(二)系统生命周期法
1.系统准备阶段: 其主要任务是了解用户的要求,确 定新系统的目标,对要求开发的新 系统从技术上、经济上与实施上是 否可行进行可行性分析。这一阶段 的主要文档资料是可行性研究报告。
2.硬件与系统软件控制
(1)硬件控制——指确保硬件运行正确 的控制,包括:奇偶校验、重复处理、 回波检验等。 (2)系统软件控制——指编写在系统软 件中,为提高系统安全而设立的控制, 包括:错误的处理、程序保护、数据文 件保护、系统接触控制等。
3. 系统的安全控制
(1)接触控制 ①硬件的接触控制 ②软件和数据文件的接触控制 ③系统文档资料的接触控制
检测数据应包括下列两类:
①正常的、有效的业务数据。它们可以 审查系统的处理功能是否恰当。 ②有错漏、不完整、不合理、不正常的 业务数据。它们用于审查系统的控制功 能是否有效。
3.输出控制
(1)控制只有经批准的人才能执行输出 操作,并要作好操作记录。 (2)打印输出的资料要进行登记,并经 有关人员检查后签章才送出使用或按要 求归档保管。 (3 ) 应建立输出资料的传递、签收与 保管制度,未经批准的人不得接触系统 的输出资料。
五、计算机服务中心
审计人员应复查本单位与这些服务中心 签定的合同,以确定已提出的数据所有 权和保密要求。错误或处理延迟、记录 丢失或者服务终止的责任等应清楚地加 以介定。应建立当发生影响服务中心操 作的紧急情况时的应急计划,也应有该 中心结业或迁移时对计算机服务的明确 安排。
四、计算机信息系统的内部控 制
(一)一般控制(general control) 指对信息系统的构成要素和环境实施的
控制,包括组织控制、硬件与系统软件 控制、系统安全控制、系统开发与维护 控制。 1. 组织控制 最基本的要求是程序员与系统维护人员 不能负责业务的处理,不能操作已正式 投入使用的系统。
(二)应用控制(Application control)
1.输入控制 (1)只有经授权的人才能进行输入操作, 要按规定输入真实的数据,输入操作要 作记录,输入数据要经核对才能处理。 (2)由计算机对输入的数据进行检查,以 防止和发现数据输入的错误。 (3)凡被计算机发现的错误,应由操作员 检查,由出错的人改正后重新向系统提 交。
信息技术与计算机审计
一、计算机系统基础知识
1.计算机的基本组成:主机(包括CPU 和内部存储器)和外围设备(如键盘、 显示器、磁盘驱动器、打印机等)。 2.计算机的类型:大型机、中型机、小 型机、微机(台式电脑、手提电脑、掌 上电脑)。
三、系统开发及其审计
(一)常用的系统开发方法
1.系统生命周期法:系统生命周期法就是 按地进行系统 开发的方法。