信息系统审计第1章.pptx

现代现代信息系统审计信息系统审计 主讲：陈耿主讲：陈耿 8/30/20221课程地位：特色课课程地位：特色课课程性质：实践性强课程性质：实践性强上课方式：案例上课方式：案例+分组讨论分组讨论+讲解讲解成绩：平时成绩成绩：平时成绩+期末考试期末考试8/30/20222为什么要上这门课？为什么要上这门课？ 2010年年3月的计费门事件月的计费门事件 分组讨论：分组讨论： 1、产生的原因？能避免吗？、产生的原因？能避免吗？ 2、消费者为什么不相信电信的解释？、消费者为什么不相信电信的解释？ 3、消费者如何举证？、消费者如何举证？ 4、社会应该如何解决这样的问题？、社会应该如何解决这样的问题？8/30/202231 导论导论 信息系统审计的发展演化信息系统审计的发展演化 信息系统审计的内涵信息系统审计的内涵 企业信息安全的管理企业信息安全的管理 信息管理的相关规定信息管理的相关规定 8/30/202241.1 信息系统审计的发展演化信息系统审计的发展演化 早期的信息系统审计早期的信息系统审计 最早是针对财务数据的审计最早是针对财务数据的审计 EDP 对整个信息系统进行审计对整个信息系统进行审计 ISA8/30/202251.1 信息系统审计的发展演化信息系统审计的发展演化 导致现代信息系统审计导致现代信息系统审计 出现的根本原因：出现的根本原因： 互联网的出现，使得企业的信息系统不再是一个信息孤互联网的出现，使得企业的信息系统不再是一个信息孤岛，由互联网与内部的信息系统构成了企业一个完整的信息岛，由互联网与内部的信息系统构成了企业一个完整的信息空间。空间。8/30/202261.1 信息系统审计的发展演化信息系统审计的发展演化 现代信息系统审计现代信息系统审计 信息系统审计的外延扩大了信息系统审计的外延扩大了 信息系统审计的内涵更加丰富了信息系统审计的内涵更加丰富了 信息系统审计已经成为不可或缺的管理职责信息系统审计已经成为不可或缺的管理职责8/30/202271.1 信息系统审计的发展演化信息系统审计的发展演化 信息系统审计的外延扩大了：信息系统审计的外延扩大了： 互联网成为企业经营风险的新来源互联网成为企业经营风险的新来源 8/30/202281.1 信息系统审计的发展演化信息系统审计的发展演化 信息系统审计的内涵更加丰富了：信息系统审计的内涵更加丰富了： 安然事件讨论：传统会计审计的盲点安然事件讨论：传统会计审计的盲点 如何避免假账真审如何避免假账真审 8/30/202291.1 信息系统审计的发展演化信息系统审计的发展演化 信息系统审计已经成为不可或缺的管理职责：信息系统审计已经成为不可或缺的管理职责： 法国兴业银行事件讨论：内部控制的盲点法国兴业银行事件讨论：内部控制的盲点 加强加强IT内部控制的必要性内部控制的必要性8/30/2022101.2 信息系统审计的内涵信息系统审计的内涵 信息系统审计的定义：信息系统审计的定义： 1、日本通产省情报处理开发协会信息系统审计委员会的定义、日本通产省情报处理开发协会信息系统审计委员会的定义2、信息系统审计领域的著名专家威伯（、信息系统审计领域的著名专家威伯（Ron Weber）教授的定义）教授的定义3、国际信息系统审计和控制协会、国际信息系统审计和控制协会(ISACA)的定义的定义 8/30/2022111.2 信息系统审计的内涵信息系统审计的内涵ISACA提出了信息系统审计的主要内容：提出了信息系统审计的主要内容： 1. 信息系统审计程序。信息系统审计程序。 2. IT治理治理(信息技术治理信息技术治理)。 3. 系统和基础建设生命周期管理。系统和基础建设生命周期管理。 4. IT 服务的交付与支持。服务的交付与支持。 5. 信息资产的保护。信息资产的保护。 6. 灾难恢复和业务连续性计划。灾难恢复和业务连续性计划。 8/30/2022121.2 信息系统审计的内涵信息系统审计的内涵搞清楚几个概念非常重要：搞清楚几个概念非常重要： 研究对象 研究方法 IT审计（计算机审计）信息系统审计 （IS审计）信息系统，信息资产审计理论与方法，计算机技术 审计工程（审计知识工程）财务数据，经营数据计算机技术，系统工程方法，数学理论8/30/2022131.2 信息系统审计的内涵信息系统审计的内涵审计工程（理论角度）AE计算机辅助审计（应用角度） CAA审计信息化（学科角度）数据审计（行业）DA计算机审计CA信息系统审计ISA8/30/2022141.2 信息系统审计的内涵信息系统审计的内涵 研究对象 研究方法实践者知识结构研究者知识结构 ISA组织的信息系统 以管理理论为基础的定性方法 A组织的经营管理 以管理理论为基础的定性方法 AE组织的经营管理 以计算机理论为基础的定量技术 8/30/2022151.2 信息系统审计的内涵信息系统审计的内涵掌握信息系统审计的三种基本类型比定义更重要：掌握信息系统审计的三种基本类型比定义更重要： （1）信息系统的真实性审计）信息系统的真实性审计 是对传统审计的补充，防止假账真审。是对传统审计的补充，防止假账真审。 （2）信息系统的安全性审计）信息系统的安全性审计 是对企业的信息资产的安全性的审核，是对企业的信息资产的安全性的审核， 防止来自信息系统造成的经营风险。防止来自信息系统造成的经营风险。 （3）信息系统的绩效审计）信息系统的绩效审计 是对信息系统投入产出比的审核。是对信息系统投入产出比的审核。 8/30/2022161.2 信息系统审计的内涵信息系统审计的内涵安全型审计 真实型审计 绩效型审计真实性（数据）合法性（过程）完整性（系统）可用性安全性可靠性保密性可用性效率（工作上）效果（应用上）效益（经济社会） 外审、内审外审、内审外审外审 内审内审8/30/2022171.2 信息系统审计的内涵信息系统审计的内涵信息系统审计的目标信息系统审计的目标 真实性真实性 完整性完整性 合法性合法性 安全性安全性 可用性可用性 可靠性可靠性 保密性保密性 效效 果果 效效 率率 效效 益益 8/30/2022181.3 企业信息安全的管理企业信息安全的管理 信息安全管理体系信息安全管理体系ISMS目前，加强企业信息安全管理已成趋势。英国在这方面目前，加强企业信息安全管理已成趋势。英国在这方面作得比较早，其国家标准作得比较早，其国家标准BS7799已经成为世界上应用最已经成为世界上应用最广泛与典型的信息安全管理方面的标准。广泛与典型的信息安全管理方面的标准。 8/30/2022191.3 企业信息安全的管理企业信息安全的管理 该标准提出了一个组织（包括商业企业、政府机构、非该标准提出了一个组织（包括商业企业、政府机构、非赢利组织等）应在其整体业务活动和所面临风险的环境下，赢利组织等）应在其整体业务活动和所面临风险的环境下，建立信息安全管理体系（建立信息安全管理体系（information security information security management systemmanagement system，ISMSISMS）。采用）。采用ISMSISMS应当是一个组织的应当是一个组织的一项战略性决策。一个组织的一项战略性决策。一个组织的ISMSISMS的设计和实施受其需要和的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。响，上述因素及其支持系统会不断发生变化。8/30/2022201.3 企业信息安全的管理企业信息安全的管理 PDCA模型模型 ： 规划（建立规划（建立ISMS） 实施（实施和运行实施（实施和运行ISMS） 检查（监视和评审检查（监视和评审ISMS） 处置（保持和改进处置（保持和改进ISMS） 8/30/2022211.3 企业信息安全的管理企业信息安全的管理 PDCA模型模型 8/30/2022221.4 企业信息管理的规定企业信息管理的规定 企业保存在信息系统中的大量数据是企业宝贵的资产，企业保存在信息系统中的大量数据是企业宝贵的资产，同时也是审计线索和证据的重要来源。自从安然丑闻出现后，同时也是审计线索和证据的重要来源。自从安然丑闻出现后，为了转变这一信用危机局面，挽回公众对政府的信心，投资为了转变这一信用危机局面，挽回公众对政府的信心，投资者对资本市场的信心。美国国会和政府加速通过了一系列法者对资本市场的信心。美国国会和政府加速通过了一系列法律法规，来规定企业的电子数据如何保留和储存的问题，从律法规，来规定企业的电子数据如何保留和储存的问题，从而准确地从上市公司的电子文档记录中掌握有关上市公司内而准确地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。部运营的信息。8/30/2022231.4 企业信息管理的规定企业信息管理的规定 企业：萨班斯法案企业：萨班斯法案 对信息保护的能力对信息保护的能力 对信息准确跟踪的能力对信息准确跟踪的能力 对信息长期保存的能力对信息长期保存的能力 对信息破坏的惩罚对信息破坏的惩罚 8/30/2022241.4 企业信息管理的规定企业信息管理的规定 证券：美国证券交易委员会法案证券：美国证券交易委员会法案 数据必须存储在数据必须存储在“不可改写、不可删除不可改写、不可删除”的介质上的介质上 自动验证存储介质记录过程的质量和准确性自动验证存储介质记录过程的质量和准确性 将原存储介质及其副本单元（如果合适）以及此电子介质上存储信息将原存储介质及其副本单元（如果合适）以及此电子介质上存储信息的保存期的日期和时间序列化的保存期的日期和时间序列化 有能力响应交易委员会或自律机构的要求随时将电子存储介质上保存有能力响应交易委员会或自律机构的要求随时将电子存储介质上保存的索引和记录方便地下载到任何可接受的介质上的索引和记录方便地下载到任何可接受的介质上 8/30/2022251.4 企业信息管理的规定企业信息管理的规定 医疗：健康保险便携性和责任法案医疗：健康保险便携性和责任法案 保密性保密性 一致性一致性 可用性可用性 惩罚惩罚8/30/2022261.4 企业信息管理的规定企业信息管理的规定 制药：美国食品与药物管理局法案制药：美国食品与药物管理局法案 确保电子记录的真实性、完整性；确保电子记录的真实性、完整性； 验证系统以确保具有准确性、可靠性，一致的、所希望的性能，识别无效验证系统以确保具有准确性、可靠性，一致的、所希望的性能，识别无效 或被篡改报告的能力；或被篡改报告的能力； 保护记录以使它们在整个保留期内都准确而且可以随时检索；保护记录以使它们在整个保留期内都准确而且可以随时检索； 将系统访问权限制到有权访问的人；将系统访问权限制到有权访问的人； 使用安全、由计算机生成而且加盖时间戳的审核跟踪，使用安全、由计算机生成而且加盖时间戳的审核跟踪，“其保留期至少应其保留期至少应 与主电子记录保留期一样长与主电子记录保留期一样长”； 对开放系统的控制；对开放系统的控制； 文档加密。文档加密。8/30/2022271.5 专业建设专业建设 一、 信息系统审计师的素质结构信息系统审计师的素质结构 二、二、 信息系统审计师的知识体系信息系统审计师的知识体系 三、三、 信息系统审计师的教育体系信息系统审计师的教育体系 四、 信息系统审计师的培训方法信息系统审计师的培训方法8/30/2022281.5 专业建设专业建设 审计基础分析思维 沟通 能力 信息系统审计 信息技术一、信息系统审计师的素质结构一、信息系统审计师的素质结构8/30/2022291.5 专业建设专业建设 二、信息系统审计师的知识体系二、信息系统审计师的知识体系知识领域（knowledge area）：是描述知识体系的最高的分类单位知识单元(knowledge unit)： 知识领域中的主题模块知识点（topic）：最低层的知识点（了解、掌握、运用）领域领域1：ISA技术与基础技术与基础计算机基础，信息系统建设，信息系统应用（ERP，DSS，OA，电子商务），数据库理论与技术，审计技术，内控理论基础领域领域2：ISA方法与理论方法与理论导论，一般控制，OS审计，系统审计，财务系统审计，电子商务审计，数据库审计，应用系统审计，信息系统绩效审计，基于信息系统的内控领域领域3：ISA综合与环境综合与环境IS运行与管理，IT与组织，软件质量控制。IT项目管理领域领域4：ISA实践与职业教育实践与职业教育法规与准则，职业道德教育8/30/2022301.5 专业建设专业建设 三、信息系统审计师的课程体系三、信息系统审计师的课程体系1、基础课程：、基础课程：计算机概论，网络概论，信息系统概论，数据库概论，审计方法概论，内控理论概论2、核心课程：、核心课程：信息系统审计导论，OS审计，系统审计，财务系统审计，电子商务审计，数据库审计，应用系统审计，信息系统绩效审计，基于信息系统的内控3、拓展课程：、拓展课程：案例分析，主题讨论，职业道德、法规、准则，ERP实验，ORACLE实验8/30/2022311.5 专业建设专业建设 四、信息系统审计师的培训方法四、信息系统审计师的培训方法1、教学体系不能等价于指南教学，这是一个核心问题、教学体系不能等价于指南教学，这是一个核心问题2、案例、案例+理论理论3、分类、分类+分层：高级班应偏理论，中级班理论分层：高级班应偏理论，中级班理论+实践，实践更多，低级班应实践，实践更多，低级班应补充基础理论为主补充基础理论为主 主题研讨班主题研讨班4、双师教学法、双师教学法5、案例应该由老师和一线审计人员共同编写，要典型，要真实，要上升到、案例应该由老师和一线审计人员共同编写，要典型，要真实，要上升到理论高度，理论高度， 而且定期要做更新，而且定期要做更新，8/30/2022321.5 专业建设专业建设 五、写作大纲五、写作大纲第一章第一章 引言引言 第二章第二章 ISA的知识体系（的知识体系（ISA的界定，的界定，ISA的素质结构，培养的素质结构，培养目标，知识体系）目标，知识体系）第三章第三章 ISA的课程体系（课程结构，基础课程，核心课程，的课程体系（课程结构，基础课程，核心课程， 拓展课程）拓展课程）第四章第四章 核心课程教学大纲（介绍每一门课，包括知识点）核心课程教学大纲（介绍每一门课，包括知识点）第五章第五章 ISA课程教学方法课程教学方法8/30/202233