信息系统审计第一章.ppt

《信息系统审计第一章.ppt》由会员分享，可在线阅读，更多相关《信息系统审计第一章.ppt（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一章 信息系统审计概论李庭燎信息技术的高速发展与广泛应用改变着商业环境，改变着信息的产生与处理方式，从而改变着信息使用者对信息的要求，而这一切必然影响并改变着审计鉴证业务的范围、内容与方法。传统审计（财务审计）的范围、内容、方法？信息化的影响？会计电算化、管理信息系统、ERP。面对这样的一个信息系统审计环境，传统的审计手段、技术与方法显然已不能适应现代审计要求，信息系统审计产生。一、信息系统审计的定义一、信息系统审计的定义 Ron Weber 定义为“搜集并评价证据，以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。Informati

2、on system audit(ron weber)1.1信息系统审计概念、特点及其产生与发展国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”1996年日本通产省情报处理开发协会信息系统审计委员会定义为“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。“信息系统审计”界定为：信息系统审计是指根据公认的标准和指导规范，

3、对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。1、信息系统审计的主体是“有胜任能力的信息系统独立审计机构或人员”。2、信息系统审计的对象是“被审计的信息系统”3、信息系统审计工作的核心是“客观地收集和评估证据”。4、信息系统审计的目的是评估并提供反馈、保证及建议。1、独立的审计机构是指政府审计机构、内部审计机构、会计和审计事务所以及独立的信息化鉴证咨询机构等中介组织。独立的人员主要指两方面的力量，一方面是指专门从事政府审计、内部审计工作的工作人

4、员以及依法经批准执业的注册会计师和审计师等。另一方面是主要从事信息化咨询的IT技术人员。实施信息系统审计(ISA)的人员称为信息系统审计师(IS Auditor)2、信息系统审计的对象是“被审计的信息系统”。包括：由计算机软硬件组成的信息系统和与信息输入、输出相关的活动。即信息系统以及信息系统生命周期的所有活动。由于计算机技术、网络通信技术等的应用，使得信息系统审计的对象具有多样性、复杂性、特殊性和高技术性等特征，并且随着信息技术的发展而不断扩展。3、信息系统审计工作的核心是“客观地收集和评估证据”。它是进行信息系统审计工作的出发点，在对信息系统审计中，审计人员的主要工作环节就是收集足够的证据

5、和评价证据的符合程度，并为此判断和确定一个计算机化的信息系统是否能有效地保护资产、维护数据的完整，以及是否能以最低的成本费用和最少的时间达到企业目标的过程。在审计过程中，信息系统审计师应获得充分、可靠、相关和有用的证据，以有效地实现审计目标，审计结论应当建立在对证据合理的分析和解释的基础之上。4、信息系统审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：可用性商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？保密性系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？完整性信息系统提供的信息是否始终保持正确、可信、

6、及时？能否防止未授权的对系统数据和软件的修改？二、信息系统审计的特点二、信息系统审计的特点信息系统审计是一个过程信息系统审计是一个过程 是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程，它贯穿于信息系统生命周期的全过程。信息系统审计的对象具有综合性和复杂性信息系统审计的对象是以计算机为核心的信息系统，它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统，其实质是审计对象及内容的拓展。从纵向(生命周期)看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向(各阶段截面)看，它包含对软硬件的获取审

7、计、应用程序审计、安全审计等。信息系统审计拓展了传统审计的目标。传统审计目标仅仅包括了“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”，但信息系统审计目标还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。信息系统审计是事后、事前、事中审计的结合体。注册会计师所执行的财务报表审计往往是年度审计，属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中，由审计人员介入所进行的审计属于事中审计，此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计；信息系统运行后，对其在一定期间的运作情况所进行的审计则为事后审计。信

8、息系统审计的内容更加宽泛。信息系统审计包含了一切与信息系统有关的审计，除了整个生命周期过程及相关业务的审计外，随着信息技术的发展，还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。信息系统审计是一种基于风险基础审计的理论和方法。信息系统审计从基于控制（Control-Based）的方法演变为基于风险（Risk-Based）的方法，其内涵包括企业风险管理的整体框架：内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、控制、信息与沟通以及对风险的监控。信息系统审计是一种基于风险基础审计的理论和方法。很多组织都能意识到技术带来的潜在好处，然而成功的组织还能

9、够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险，这些风险用不同方式冲击着信息系统，审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。三、信息系统审计的产生与发展三、信息系统审计的产生与发展1 1、信息系统审计在国际上的发展、信息系统审计在国际上的发展2 2、信息系统审计在国内的发展、信息系统审计在国内的发展信息系统审计的发展是伴随着信息技术的发展而发展的。最初的信息系统审计就其范围和目的而言，与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段，它是作为传统审计业务的扩展发展起来的。数据处理电算化的初期，由于人们对

10、计算机在数据处理中的应用所产生的影响没有足够的认识，认为计算机处理数据准确可靠，不会出现错弊，因而很少对数据处理系统进行审计，主要是对计算机打印出的一部分资料进行传统的手工审计。信息系统审计在国际上的发展随着计算机在数据处理系统中应用的逐步扩大，利用计算机犯罪的案件不断出现，使审计人员认识到要应用计算机辅助审计技术对电子数据处理系统本身进行审计，即EDP审计 日本仅1982年一年利用磁卡欺诈犯罪的案件数量就相当于该年之前确认的所有计算机犯罪案件之和；在美国，仅1987年因公司之间间谍利用信息技术窃取公司系统中的信息所造成的损失就高达500多亿美元。CIA（国际注册内部审计师）IIA（国际内部审

11、计师协会）内部审计定义：2001年内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计的类型：会计记录审计经营、计划或程序审计组织绩效审计计算机信息系统审计发展起源发展起源CIA考试科目内部审计在治理、风险、控制中的作用实施内部审计业务经营分析与信息技术EDP协会到ISACA信息系统审计与内部审计 1947-2001年内部审计定义的演变1947年定义：“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与

12、会计问题，有时也涉及经营管理中的问题。”1957年：“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。”（管理控制，体现了审计的监督作用）1971年：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。（财务审计向经营审计发展）内部审计定义演变内部审计定义演变1978年：“内部审计是建立在以检查、评价组织为基础的独立评价活动，并为组织提供服务”。（为组织服务，不是某一管理部门）1990年：“内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织

13、的一种服务工作，对其活动进行审查和评价。1993年：本次定义除了确认上次定义之外,明确指出：“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。从而解决了为组织服务是为谁服务的问题。美国在计算机进入实用阶段时就开始提出系统审计（SYSTEM AUDIT），成立电子数据处理审计协会（EDPAA后更名为ISACA）从事系统审计活动已有三十多年历史，成为信息系统审计的主要推动者，在全球建有一百多个分会，推出了一系列信息系统审计准则、职业道德准则等规范性文件，并开展了大量的理论研究。其中信息及相关技术的控制目标COBIT（Control Objectives for Informationa

14、nd Related Technology）就是ISACA在1996年公布的信息系统审计的框架体系标准，今年已更新到第四版，作为国际通用的、具有权威性的信息技术控制和审计标准，COBIT得到了业界的一致认同，并在信息系统审计师、管理层和IT技术人员之间搭建起了桥梁，使IT管理工作简单化。我国计算机审计从20世纪80年代末开始发展，经过近一二十年的探索和发展，从无到有，从单机应用到网络应用，特别是在审计暑的大力推动和促进下，取得了不少阶段性成绩。为了推动我国审计信息化进程，国家为此推出了“金审工程”计划，从而与其它金字号工程相配合。信息系统审计在国内的发展审计暑在1993年签发了第9号令：审计署

15、关于计算机审计的暂行规定。1999年又颁布了独立审计准则第20号：计算机信息系统环境下的审计我国的信息系统审计工作目前还处于探索阶段，还没有形成一套成形的专业规范，也没有形成一支能够全面开展信息系统审计业务的人才队伍。今年的趋势 一、信息系统审计的目标一、信息系统审计的目标信息系统的审计目标是进行信息系统审计工作的出发点。信息系统审计的本质就是收集和评价证据，并为此判断和确定一个计算机化的信息系统是否能有效地保护资产、维护数据的完整，以及是否能以最低的成本费用和最少的时间达到企业目标的过程。1.21.2信息系统审计的目标、依据和内容（一）提高信息系统资产的安全性目标（二）保护信息系统数据的完整

16、性目标（三）提高信息系统有效性（效率和效益性）目标（四）提高信息系统的合法性、合规性目标（一）提高信息系统资产的安全性目标组织的信息系统资产主要包括硬件、软件、人力资源、数据文件及系统文件等，它是组织所有资产的一部分。由于信息系统资产的特点，其硬件可能被人为破坏，软件及数据可能被非法窃取、破坏、篡改或其它未经授权的目的，等等。组织应该向对待其他资产一样有一套内部控制制度保障其安全。通过信息系统审计，可以对信息系统的内部控制体系进行了解和评价，找出其中存在的控制缺陷和弱点，提出改进建议，从而帮助组织完善其信息系统的内部控制，保障其安全。（二）保护信息系统数据的完整性目标信息系统通过对原始数据的处

17、理，为组织的经营管理和决策提供所需的数据信息。所谓数据完整是指信息系统的数据处理过程是正确的，其产生的数据是精确的、真实的和公允的。如果信息系统数据的完整性得不到保证，一个组织将不能获得正确反映其有关各方面的业务活动信息，从而会对其正常的生产经营活动带来影响，甚至使组织陷入混乱状态，丧失竞争力。作为信息系统审计的数据完整性目标，旨在通过各种程序、方法，审查和评价信息系统所产生的信息是否能恰当地、准确地、真实地和公允地反映被审计单位的有关方面的情况。（三）提高信息系统有效性（效率和效益性）目标系统有效性系统的有效性表明系统能否获得预期的目标。有效性审计常在系统运行一段时间之后进行，以决定系统是否

18、获得所声明的目标。一个组织投资于信息系统的代价昂贵，必然要求得到高回报。这可从两方面衡量：其一是高效率。高效率要求能尽可能的充分利用信息系统的各种资源，为信息系统的使用者及时地提供所需的信息服务，为实现组织的目标提供最佳的服务，一个效率高的信息系统能够以尽量少的资源达到需要的目标；其二是高效益，从投资效益的角度出发，组织投资于信息系统的目的就是为了实现信息系统的价值，使系统具有较高的“性能价格比”。通过信息系统审计评价信息系统的效率性和效益性，并为提高其效率和效益提出合理建议。（四）提高信息系统的合法性、合规性目标随着计算机在组织中应用的范围日益扩大和水平的日益提高，利用计算机进行违法犯罪活动

19、的可能性也越来越大，并且手段也越来越隐蔽。在信息化环境下，一个组织依赖于信息系统，通过对信息系统的输入、处理、输出及控制功能是否符合国家的法律、法规和有关部门的规章制度的审查，不仅可以有效地堵塞犯罪，而且可以避免组织和国家遭受由此带来的损失。二、信息系统审计依据二、信息系统审计依据CobitCobitIso17799Iso17799CmmiCmmiITILITIL审计依据也称审计标准，是审计人员实施审计时，判断被审计经济事项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作出审计决定的依据。审计人员对被审计的经济事项经过审查、核对，最终要对其真实性、合法性、效益性的情况作出恰当的结论，这

20、种恰当的结论不能凭空想象来确定，必须有一定的客观依据、一定的衡量标准。在传统审计中，当判断反映经济活动的财务报表及其他经济资料的真实性时，就要以会计准则和财务会计制度作为衡量标准；当判断经济活动和反映经济活动相关资料的合法性时，就要以国家有关的法律、法规和相应的规章制度作为衡量标准；当判断被审查的经济活动的效益性时，通常以行业或企业计划指标、预算、各种技术经济指标作为衡量标准。目前信息系统审计工作还处于探索阶段，没有一套成形的专业规范，信息系统审计的依据主要包含：通用的信息系统审计准则和标准体系；控制目标；委托方的系统需求和业务规定；其他法律及规定。内部安全框架的实施与审计标准起源：bs779

21、9国际标准ISO/IEC 17799由英国标准协会筹备起草（BS 7799），随后被联合技术委员会信息技术ISO/IEC JTC 1按照特殊的“快速程序”所采纳。该标准同时得到了ISO和IEC各个成员体的批准。ISO17799ISO17799：SO(国际标准化组织)和IEC（国际电工委员会）形成了一个专门体系，进行世界性的标准化工作。ISO或IEC成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推广，这些技术委员会要设法应对一些特殊领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域中合作。其他与ISO和IEC有联络的国际性组织、政府和非政府机构也参与了这项工作。在信息技术领域

22、，ISO和IEC已经建立了一个联合技术委员会，叫做ISO/IEC JTC 1.该联合技术委员会采纳的国际标准草案要经由成员体投票。若作为国际标准正式出版，则需要至少百分之七十五的成员体投票赞成。ISO17799COBITCOBIT框架的主要特点就是以业务为中心、流程导向的、以控制为基础，以及以度量为驱动。为了满足业务目标，信息需要符合一定的控制标准，COBIT称为信息的业务需求。在较广泛的质量、安全需求的基础之上，定义了如下七个独特的当然也有所重叠的信息标准：有效性，解决与业务流程相关的信息，并且以及时地、准确地、一致地、可用的方式来递送数据效率，关注于通过最优使用资源（最有生产力和最经济的方

23、式）来提供信息机密性，关注于对敏感信息的保护，以防止这些信息未经授权而被泄漏完整性，和信息的正确性和完全性相关，以及与业务价值和业务预期相一致的有效性相关可用性，现在或将来当业务流程需要时，信息就可以得到，除此之外还关注关键资源和能力的保护一致性，遵循法律法规和合同条款，也就是外部强加的业务标准和内部政策可靠性，向管理层提供适当的信息来满足运营和治理要求ITIL（Information Technology Infrastructure Library）作为IT服务管理过程的标准 能力成熟度集成模型CMMI（Capability Maturity Model Integration）评价信息系

24、统的成熟度 从初始级到优化级CMMI1-CMMI5初始、可定义、可重复、可管理、优化初始级：项目成功主要依赖于个人努力可重复级：建立了严格的管理流程来计划和跟踪成本、进度和功能，对软件项目进行监控。创建了一个学习环境，成功定义和应用的流程可以在类似的项目中成功运用。可定义级：从以前阶段学到的经验推动企业在整个组织创建一个标准的软件流，包括对管理和软件工程活动进行文档化、标准化并集成到组织标准流程，以便应用到所有软件开发项目。可管理级：一旦定义和实施了良好定义的流程，组织就可以对软件开发过程建立和实施定量管理控制，获得更高的精确性，可以对软件项目进行更好的控制，以便提高软件生产率并达到零缺陷目标

25、。优化级：当组织可以定量管理并对软件项目进行成功控制时，组织可以采用持续改进策略，运用创新方法或先进技术。三、信息系统审计的内容（三、信息系统审计的内容（CISACISA）1 1、信息系统审计程序。、信息系统审计程序。2、IT治理(信息技术治理)3、系统和基础建设生命周期管理 4、IT 服务的交付与支持。5、信息资产的保护 6、灾难恢复和业务连续性计划 1、信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务，以帮助组织确保其信息技术和运营系统得到保护并受控。2、IT治理(信息技术治理)。确保帮助管理层建立以组织战略为导向,以外界环境为依据,以业务与IT整合为中心的观念

26、，正确定位IT部门在整个组织中的作用。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT 方面的要求。最终能够针对不同业务发展要求，整合信息资源，制定并执行推动组织发展的IT战略。3、系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用，与基础框架，确保实现组织的目标。4、IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标。5、信息资产的保护。通过适当的安全体系(如，安全政策、标准和控制)，保证信息资产的机密性、完整性和有效性。6、灾难恢复和业务连续性计划。一旦连续的业务被(意外)中

27、断(或破环)，灾难恢复计划确保(灾难)对业务影响最小化的同时，及时恢复(中断的)IT 服务。一、审计风险概述一、审计风险概述审计风险就是财务报表没有公允地揭示而审计人员认为已审计风险就是财务报表没有公允地揭示而审计人员认为已公允地揭示的风险。审计风险的大小与内部控制、审计程公允地揭示的风险。审计风险的大小与内部控制、审计程序、审计证据、样本量、重要性、可信赖度、审计成本等序、审计证据、样本量、重要性、可信赖度、审计成本等因素密切相关。因素密切相关。审计风险审计风险(AR)=(AR)=固有风险固有风险(IR)x(IR)x控制风险控制风险(CR)X(CR)X检查风险检查风险(DR)(DR)1.31

28、.3信息系统审计风险二、信息系统审计风险二、信息系统审计风险（一）信息系统审计风险定义（一）信息系统审计风险定义关于信息系统审计风险，目前还没有统一的明确定义，比关于信息系统审计风险，目前还没有统一的明确定义，比照传统审计风险概念照传统审计风险概念,我们可以将信息系统审计风险定义我们可以将信息系统审计风险定义为：信息系统的安全性、可靠性和有效性存在重大隐患，为：信息系统的安全性、可靠性和有效性存在重大隐患，而信息系统审计师发表不恰当审计意见的可能性。而信息系统审计师发表不恰当审计意见的可能性。（二）信息系统审计风险特征及表现固有风险控制风险检查风险固有风险的存在与审计无关,其发生是由于企业性质

29、和所采用信息系统的特性所决定的。主要表现在信息系统的脆弱性方面:(1)电子数据的不可见性。在磁介质上记录的数据肉眼看不到,很容易被滥用、篡改和丢失,且不留蛛丝马迹。(2)数据的大量集中和高速处理。信息系统实现的功能与系统数据都高度集中在数据中心或信息中心,一旦数据中心或信息中心遭到破坏其后果不堪设想。在高速、大量的信息处理过程中,如果出现错误或疏忽,也会立即造成巨额的损失。(3)原始数据的录入存在错漏的可能性。在信息系统处理环境中,大量的初始信息仍靠人工录入,由于数据量庞大而且分散,输入错误出现的概率比较高。(4)计算机犯罪。信息处理过程中防护措施比较薄弱,使得图谋舞弊者容易获得可乘之机。2、

30、控制风险（Control Risk，简称CR）。是指有内部控制制度,但无法预防、及时发现或纠正重要错误的风险。控制风险与内部控制制度执行的有效性有关,与审计无关。主要表现在:(1)信息访问的技术性暴露。信息系统采用技术不先进、访问技术设置不充分,会引起整个系统的技术性暴露。(2)未经授权的访问。进入信息系统的逻辑访问都有适当的访问安全级别,超范围授权就会出现未授权的访问或超权限的访问,对企业的信息资源造成人为泄露。(3)职责不分离。在企业内部虽然都制定了职责分离的有关制度,但在实践中由于人员数量的限制,往往出现一个人负责多个关键职位的情况,使内部控制实质上处于失效状态。(4)网络监控失效。对网

31、络的广泛使用,使通过网络传输的信息很容易被窃听、追踪和非法使用。(5)信息流和业务流的不一致。信息处理和业务传递缺乏有效的控制手段,往往出现业务处理资料和系统处理数据的不一致性,可能引起企业决策失误。(6)业务流程重组。在追逐利益和效率的过程中,企业纷纷进行业务流程重组,但是很可能失去一些关键的控制环节,加大了系统运行的控制风险。3、检查风险（Detection Risk，简称DR）。是指信息系统审计人员由于采用了不恰当的测试程序,未能发现已存在的重大错误的风险。检查风险与审计师有关,是审计师利用审计模型计算出来的,它能满足可接受的审计风险。当可接受的审计风险一定时,固有风险与控制风险越大,检

32、查风险越高。主要表现在:(1)未能识别出系统的关键环节和重要的信息资产。如企业的销售环节,财务核算信息和数据备份等。(2)利用测试数据对系统进行测试时,很难保证恰当的程序都被检查。(3)开发模拟程序来处理生产数据以测试生产系统时,加大检查成本和时间,反而加大了检查风险。(4)系统更新换代,使得测试系统失去时效性,不仅测试没意义,而且浪费时间,误导对信息系统的审计评价。(5)参与系统开发的人员来执行信息系统的检查。在审计人员缺乏的情况下,往往出现让参与系统开发的人员来执行信息系统的检查和测试,检查风险将会很高。三、形成信息系统审计风险的原因三、形成信息系统审计风险的原因1 1、信息处理的虚拟化、

33、网络化。、信息处理的虚拟化、网络化。肉眼无法看到信息处理的轨迹,也发现不了线索。而存储在磁盘上的数据很容易被修改、删除、隐匿和转移,又无明显的痕迹。2、捕捉证据的动态化。信息系统是一个很大的综合性的系统,每天都要进行大量的业务核算和动态分析,供管理层次决策参考。因此审计人员必须在系统处运行中进行取证,增加取证难度,也存在一定的审计风险。3、内控制度的复杂化。大部分控制措施都是以程序的形式建立在信息系统中,肉眼无法觉察,在很大程度上依赖于计算机处理。在实际操作中,内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘。4、审计人员知识结构的单一化。实施信息系统审计,审计人员除了要有专业的审计、

34、会计知识外,还必须掌握一定的信息系统知识和计算机应用技术。实际上,审计人员的知识结构比较单一,熟练审计和会计知识的多,懂信息技术的少,审计人员作出的审计结论有可能偏离被审计单位信息系统的实际。四、信息系统环境对审计风险的影响四、信息系统环境对审计风险的影响信息系统环境下，对固定风险、控制风险和检查风险都有信息系统环境下，对固定风险、控制风险和检查风险都有影响。影响。1 1、信息系统环境对固有风险的影响、信息系统环境对固有风险的影响2 2、信息系统环境对控制风险的影响、信息系统环境对控制风险的影响3 3、信息系统环境对检查风险的影响、信息系统环境对检查风险的影响1 1、信息系统环境对固有风险的影

35、响、信息系统环境对固有风险的影响（1）资产出现新的特点。资产特点的变化表现在多个方面，例如，资产存在形式无形化，保存位置分散化，脆弱性增加，对外部环境的影响更加敏感，价值难以估计，侵害的形式变化等。（2）会计和业务处理自动化程度提高，对信息技术的依赖性增强。由于信息系统的使用，被审计单位的会计和业务处理自动化程度大大提高，人为干预的可能性降低。这一变化对固有风险有两方面的影响:一方面，会计或业务处理的实时性、正确性、可靠性提高，固有风险降低;另一方面，由于硬件、软件、网络等方面出现错误或人为侵害的可能性增加，固有风险增加。2 2、信息系统环境对控制风险的影响、信息系统环境对控制风险的影响根据美

36、国注册会计师协会发布的审计准则，内部控制可以划分为五种成分（1）控制环境。信息技术的使用，使企业的控制环境发生了很大的变化。例如管理层经营理念的变化，企业内部组织结构的变化，权力、职责的分配改变等。（2）风险评估。信息技术的应用使企业内部风险的来源、构成、性质发生了重要的变化，风险的评估办法也产生了变化。例如，信息系统提供的数据失真成为一个重要的风险来源。（3）控制活动。信息系统环境下，企业的控制活动发生了很大变化，尤其体现在信息处理控制，职责分离等方面。（4）信息与沟通。Internet、办公自动化、电子商务的广泛应用，使企业能够更有效的完成信息识别、捕捉、交流。同时，企业的内部沟通手段更加

37、通畅，员工可以更直接、便利的相互配合，或者向上级报告。（5）监控。信息技术的使用，一方面使得内部信息的沟通、获取更加直接，管理层对内部控制的监控手段更加丰富。另一方面，很多控制程序形式发生了变化，技术复杂性增加，对这些过程的监控更加困难。3、信息系统环境对检查风险的影响信息技术应用既可能增大检查风险，也可能降低检查风险。（1）提高审计覆盖面。对于某些审计事项，由于审计资源的限制，手工操作时很难全部检查，只能通过抽样检查，如银行存款利息的计算。审计师利用辅助审计技术，如审计软件，可以提高审计覆盖面，有效地避免依靠抽样进行部分审计带来的风险。（2）提高证据采集的独立性。在信息系统环境下，被审计单位

38、生产、销售、库存、会计等很多信息都由信息系统产生和存储。审计师可以直接从信息系统中获取审计证据，避免被审计单位人员的干预，客观上提高了审计证据的独立性。（3）提高分析处理的可靠性。手工审计过程中，审计师手工计算、统计、抄写中发生错误的可能性很大。利用计算机进行类似的数据分析处理可以减少错误。另外，很多审计软件中包含处理控制功能，审计师可以及时地发现和改正错误。可能增加检查风险的因素：（1）对信息系统缺乏足够理解。当信息系统成为审计对象的一部分时，为了评估风险，审计师必须对信息系统有足够的理解。（2）技术不成熟。审计师采用信息技术辅助审计以降低审计风险，但其本身就引入了风险，尤其是没有经过严格测

39、试的技术。例如，审计人员自己编写的程序，往往没有经过认真的测试就投入使用。很多流行的审计软件也存在缺陷。例如，在导入数据时丢失记录，数据处理结果错误。（3）审计证据的可靠性。目前，有些被审计单位的信息化程度仍然处在较初级的阶段。有的单位或部门虽然购买或开发了各种信息系统，但是由于各种原因并没有真正投入使用，或者已经投入使用，但运行处在缺乏控制的状态。在这种情况下，如果审计人员过分依靠电子数据，完全依靠从信息系统中进行取证，那么证据的可靠性是很难得到保证的。（4）对技术的依赖性。由于信息技术(如CAATTs)的使用确实能够有效地提高工作效率，审计师很容易对技术产生过分的依赖。例如，期望通过电子数

40、据分析来获得所有审计线索，忽略其他审计方法，如向有关人员调查询问、实物盘点、信函、现场观察等。过分依赖信息技术可能导致检查效率降低，取证范围变得狭窄，以至于审计证据的充分性得不到保证。五、信息系统审计风险的防范措施五、信息系统审计风险的防范措施1、降低固有风险措施。管理层对固有风险的认识是降低固有风险的关键,所以要和被审计单位有关人员通过座谈的方式,充分了解被审计单位的信息化环境。通过了解识别出固有风险,制定出相应的策略和机制。一般采取的措施是:(1)加强信息资产管理。信息资产应采用表单管理,使所有的信息资产都在可控状态中。(2)强化内外部安全控制机制。对信息数据的使用和存储建立有效的控制机制

41、,降低信息数据被滥用、篡改和丢失的可能性。(3)建立安全的运行环境。为了保护企业信息的安全传递,建立一个相对开放且安全级别较高的专用局域网,合理设置多层加密关口和防火墙。(4)加强数据输入控制。在系统设计中设定限制性输入和复核机制,保证有效数据输入准确无误。2、降低控制风险的措施。控制风险是由内部控制制度不健全或执行内控制度不严造成的。可以采用以下措施:(1)正确分配访问和操作权限,及时管理和维护权限分配表。用户要定期修改自己的密码,管理人员要及时删除解雇员工的权限和口令,动态监视是否有超权限访问或操作的行为。(2)建立严格的职责分离、轮岗和休假制度。职责分离,避免一个员工操作多岗位给企业带来

42、的风险;轮岗制度最能发现一个人长期操作积累的错误和风险;休假给企业一个全面检查员工在职时有无工作弊端的机会。(3)建立安全的网络监控机制,减少来自外部的风险。一是建立外部连接的用户的身份认证机制,保证只有授权用户才可以录陆访问。二是建立强制性的路径,对使用者的终端机和网络服务器之间的路径加以控制。三是远程诊断端口的保护。3、降低检查风险的措施。要降低检查风险,要求审计人员在充分了解被审计单位的业务流程和信息流程的基础上有效的识别出各个风险点。主要措施有:(1)识别出重要信息资产。从管理部门索要一份详细的信息资产列表,进行分类。一是按类型归类,如分为数据与文档、书面文件、软件资产、实物资产和人员

43、等,二是根据敏感性及重要性进行定性分级,可以分为高、中、低或其他级别。(2)确定合理的检查顺序。按重要性原则依次进行下列检查:一是对信息系统防范犯罪控制的检查;二是对信息系统实体的检查;三是对信息系统安全管理控制机制的检查;三是对数据网络安全的审查,四是对财务核算数据的核对检查。(3)改进审计手段。选择有效的审计软件和进行科学抽样,尽量减少因审计手段使用不当引起的风险。对系统进行测试时,测试技术很多,应根据审计成本和审计重要性原则选择不同的方式进行。一、内部控制概述一、内部控制概述内部牵制阶段内部牵制阶段内部控制制度阶段内部控制制度阶段内部控制结构阶段内部控制结构阶段内部控制整合阶段内部控制整

44、合阶段1.41.4信息系统内部控制与审计第一个阶段是内部控制的雏形-内部牵制。古罗马帝国宫廷库房采取的双人记帐制度，我国西周时期的内部牵制都是内部控制雏形的表现形式。20世纪初期，西方资本主义经济得到了较大的发展，生产关系和生产力的重大变化，促进了社会化大生产程度的发展，加剧了企业间的竞争，加强企业的内部控制管理成了关系企业生死存亡的关键因素。因而一些企业在非常激烈的竞争中，逐步摸索出一些组织调节、制约和检查企业生产活动的办法，即当时的内部牵制，它基本上是以查错防弊为目的，以职务分离和交互核对为手法，以钱、帐、物等会计事项，这也是现代内部控制理论中有关组织控制、职务分离控制的雏形。第二阶段是内

45、部控制的初步形成-以职务分离、帐户核对为主要内容的内部牵制，逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的控制系统。内部控制的该阶段的发展是随着资本主义经济的发展而形成的。竞争的日趋激烈，使得各级管理人员不得不进行全面企业管理的探索。在泰罗等管理理论的指导下，企业经营管理者从内部牵制原则出发，尝试着组织结构、业务程序、处理手续等方法采取了一系列控制措施，对其所属部门的人员及工作进行组织、制约和调节。至此，控制系统得以形成。第三阶段：成熟期-内部控制结构。该时期的代表是1988年美国AICPA发布的审计准则公告第55号，它以内部控制结构代替内部控制，并提出内部结构的三要素：控制环

46、境、会计系统和控制程序。这也是我国目前CPA沿用的内部控制结构。目前关于内部控制最具权威的概念是美国COSO委员会在1992年发布的内部控制-整体框架的报告中提出的内部控制是由董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。同时指出了内部控制环境是其他因素构建的基础，由此可见内部控制环境在整个内部控制体系中的重要性。1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提

47、供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点：(1)是一个过程；(2)受人为影响；(3)为了达到三个目标；(4)合理保证。内部控制基本方式:组织结构控制职务分离控制其他内控制度内控与审计的关系二、信息系统内部控制概念及特点二、信息系统内部控制概念及特点狭义狭义:广义广义:三、信息系统内部控制的目标和标准三、信息系统内部控制的目标和标准目标目标:与业务一致与业务一致有效利用信息资源有效利用信息资源风险管理风险管理标准标准COBITCOBIT四、信息系统内部控制的种类四、信息系统内部控制的种类五、信息系统的控制措施五、信息系统的

48、控制措施一般控制一般控制应用控制应用控制六、信息系统内部控制的审计六、信息系统内部控制的审计一般控制评审内容一般控制评审内容应用控制审计内容应用控制审计内容七、信息系统内部控制审计的步骤七、信息系统内部控制审计的步骤(重要重要)了解并描述内部控制了解并描述内部控制符合性测试符合性测试一、风险基础审计的由来一、风险基础审计的由来基本要素基本要素:二、风险基础审计在信息系统审计中的应用二、风险基础审计在信息系统审计中的应用(略略)1.51.5风险基础审计计划阶段实施阶段报告阶段(列举传统审计这三个阶段的主要内容,并比较差异)1.71.7信息系统审计的意义一、国际信息系统审计准则简介一、国际信息系统审计准则简介二、我国计算机审计规范的现状二、我国计算机审计规范的现状三、信息系统审计职业道德规范简介三、信息系统审计职业道德规范简介一、信息系统审计的理论知识基础一、信息系统审计的理论知识基础二、信息系统审计与传统审计之间的区别与联系二、信息系统审计与传统审计之间的区别与联系