信息系统审计内容.ppt
《信息系统审计内容.ppt》由会员分享,可在线阅读,更多相关《信息系统审计内容.ppt(47页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息系统审计-内容概述唐志豪目录1.信息系统审计定义与内涵-回顾2.信息系统的逻辑结构分析3.信息系统审计的内容与程序1.3.1 一般控制审计内容与程序2.3.2 应用控制审计内容3.3.3 应用控制审计流程4.政府投资信息化建设项目绩效指标5.信息系统审计项目的质量控制1管理信息系统的定义o管理信息系统一词,最早出现于1970年,瓦尔特(Walter T.Kennevan)给它下了一个定义:以书面或口头的形式,在合适的时间向经理、职员以及外界人员提供过去的、现在的、未来的有关企业内部及其环境的信息,以帮助他们进行决策。o高登戴维斯,是管理信息系统的创始人,于1985年给管理信息系统下了一个较
2、完整的定义:它是一个利用计算机硬件、软件,手工作业,分析、计划、控制和决策模型,以及数据库的用户-机器系统。它能提供信息,支持企业或组织的运行、管理和决策功能。1管理信息系统的标准定义o是一个以人人为主导,利用计算机硬件、软件、计算机硬件、软件、网络通信设备网络通信设备以及其他办公设备其他办公设备,进行信息收集、传输、加工、储存、更新和维护,以企业战略竞优、提高效益和效率为目的,支持企业高层决策、中层控制、基层运作的集成化的人机系统人机系统。1.信息系统审计的定义 This process collects and evaluates evidence to determine whether
3、 information system and related resources,adequately safeguard assets,maintain data and system integrity,provide relevant and reliable information,achieve organizational goals effectively,consume resources efficiently,and have in effect internal controls that provide reasonable assurance that operat
4、ional and control objectives will be met.o信息系统审计是一个过程,在此过程中搜集和评估证搜集和评估证据据以确定信息系统和相关资源是否充分保护保护资产、维持数据和系统完整性完整性、提供相关和可靠可靠信息、有有效效实现组织机构目标、有效地使用使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。Source:CISA Manual(国际ISACA协会)信息系统审计的三大类别:从以上信息系统审计的定义,可知信息系统审计项目依目标目标不同,有三大类:1.信息系统安全审计2.信息系统可靠性审计3.信息系统绩效审计1.信息系统审计的内涵oIT审计是独立
5、的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。1.主体:第三方审计师2.遵循相关标准3.对信息系统的规划、开发、使用维护等一系列活动及产物进行检查和评估。o信息系统审计的要点:信息系统审计的要点:u信息系统审计的对象是计算机为核心的信息系统u信息系统审计的目的是促使信息系统安全、可靠和有效。u信息系统审计是一个过程,需要审计师的专业评价与判断。管理政策组织结构服务器、工作站、打印机网线交换机/HUBWindows/UNIXOracle 数据库2.信息系统逻辑结构示意图-1财务报表销售收入 1000万会计核算系统销售业务系统灾难恢复
6、与业务持续计划信息资产保护人o从构成要素上来看,信息系统有以下组成部分:n硬件n软件n网络n数据n人n管理制度2.信息系统逻辑结构示意图-22.信息系统逻辑结构分析o信息系统审计的对象是信息系统,因此从上述信息系统的逻辑结构(构成要素和生命周期)可以综合分析其内容。o信息系统审计的内容应包含所有构成要素,涉及生命周期的各个阶段。3.信息系统审计的两大主题内容 审计本质是一种控制,从控制的角度来看信息系统,通常区分为信息系统一般控制与应用控制。两者的作用与范围作用与范围不同。3.1 信息系统一般控制审计(GC)3.2 信息系统应用控制审计(AC)o一般控制(GC):确认应用系统恰当开发或实施,确
7、保程序与数据文件的完整性,确保信息系统良好运作。一般控制的控制措施适用于所有应用系统,是一种环境上的保证。o应用控制(AC):与具体的应用系统有关,确保数据处理完整和正确。应用控制的设计结合具体业务进行。一般控制与应用控制的关系o应用控制的有效性取决于一般控制的有效性o一般控制是应用控制的基础,当一般控制薄弱时,应用控制无法提供合理保障3.1 一般控制审计的内容-1源自:CISA Manual(国际信息系统审计协会ISACA)一般控制审计的五大内容1.评估IT治理结构的效果,确保董事会对IT决策、IT方向和IT性能的充分控制;2.评估评估IT组织结构和人力资源管理;组织结构和人力资源管理;3.
8、评估评估IT战略及其起草、批准、实施和维护程序;战略及其起草、批准、实施和维护程序;4.评估IT政策、标准和程序的制定、批准、实施和维护流程;5.评估IT资源的投资、使用和配置实务;6.评估IT外包战略和政策,以及合同管理实务;7.评估监督和审计实务;8.保证董事和执行层能及时、充分地获得有关的IT绩效信息IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制审计的内容-2源自:CISA Manual(国际信息系统审计协会ISACA)IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计
9、安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计的五大内容1.评估拟定的系统开发或采购,确保其符合组织发展目标;2.评估项目管理框架和项目治理实务,确保组织在风险管理基础上,以成本效益原则达成组织的业务目标;3.确保项目按项目计划进行,并有相应文档充分支持确保项目按项目计划进行,并有相应文档充分支持;4.评估组织相关系统的控制机制,确保其符合组织的政策;5.评估系统的开发、采购和测试流程,确保其交付符合目评估系统的开发、采购和测试流程,确保其交付符合目标;标;6.对系统实施定期检查,确保其持续满足组织目标,并受到有效的内部控制;3.1 一般控制审计的内容-3源自:CISA
10、Manual(国际信息系统审计协会ISACA)信息系统审计的五大内容1.评估服务管理实务,确保内部和外部服务提供商的服务等级是明确定义并受管理的;2.评估运营管理,保证评估运营管理,保证IT支持职能有效满足了业支持职能有效满足了业务要求;务要求;3.评估数据管理实务,确保数据库的完整性和最评估数据管理实务,确保数据库的完整性和最优化;优化;4.评估能力的使用和性能监控工具与技术;评估能力的使用和性能监控工具与技术;5.评估变更、配置和发布管理实务,确保被详细评估变更、配置和发布管理实务,确保被详细记录;记录;6.评估问题和事件管理实务,确保所有事件、问评估问题和事件管理实务,确保所有事件、问题
11、和错误都被及时记录,分析和解决题和错误都被及时记录,分析和解决 7.评估IT基础构架(网络,软硬件)功能,确保其对组织目标的支持IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制审计的内容-4源自:CISA Manual(国际信息系统审计协会ISACA)信息系统审计的五大内容1.评估逻辑访问控制的设计、实施和监控,确保信息资产的评估逻辑访问控制的设计、实施和监控,确保信息资产的 机密性、完整性、有效性和经授权使用;机密性、完整性、有效性和经授权使用;2.评估网络框架和信息传输的安全;评估网络框架和信息
12、传输的安全;3.评估环境控制的设计、实施和监控,确保信息资产充分安评估环境控制的设计、实施和监控,确保信息资产充分安 4.全;全;4.评估保密信息资产的采集、存储、使用、传输和处置程序 5.的流程。IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制审计的内容-5源自:CISA Manual(国际信息系统审计协会ISACA)信息系统审计的五大内容1.评估备份和恢复准备的充分性,确保恢复运营所需信息的有效评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性和可用性;性和可用性;2.评估组织的灾难恢复计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 审计 内容
限制150内