信息系统审计ppt课件.ppt

《信息系统审计ppt课件.ppt》由会员分享，可在线阅读，更多相关《信息系统审计ppt课件.ppt（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能本课程主要内容本课程主要内容:信息系统审计概论信息系统审计概论IT治理审计治理审计信息系统架构控制与审计信息系统架构控制与审计信息系统开发及审计信息系统开发及审计信息系统运营与维护审计信息系统运营与维护审计信息安全控制与审计信息安全控制与审计信息系统审计技术方法信息系统审计技术方法信息系统审计信息系统审计NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发

2、挥中小学图书室育人功能信息系统审计概论信息系统审计概论ISA的定义、目标、内容、信息系统审计风险、信息的定义、目标、内容、信息系统审计风险、信息系统控制与审计、审计程序，以及信息系统审计的准则、系统控制与审计、审计程序，以及信息系统审计的准则、控制模型等。控制模型等。本章主要介绍有关信息系统审计的基本概念和基本理本章主要介绍有关信息系统审计的基本概念和基本理论。论。IT治理审计治理审计通过本章的学习，信息系统审计师理解评估信息系统通过本章的学习，信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。管理、计划和组织的战略、政策、标准、程序和相关实务。确保组织拥有适当

3、的结构、政策、工作职责、运营管理机确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对制和监督实务，以达到公司治理中对IT方面的要求方面的要求。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能信息系统架构控制与审计信息系统架构控制与审计一个组织要建立信息系统，就需要有效地建立、控制一个组织要建立信息系统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍和管理好其信息技术基础架构。本章主要介绍学习如何正学习如何正确评价组织的信息技术基础设施和运

4、行管理（日常运行事确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。务、系统执行与监控）的效果和效率。信息系统开发及审计信息系统开发及审计信息系统开发过程中的问题和错误会产生信息系统开发过程中的问题和错误会产生“积累放大积累放大”效应，并会使企业付出高昂的代价。因此，通过对信息效应，并会使企业付出高昂的代价。因此，通过对信息系统开发过程中每个阶段的跟踪审计，及时发现每个阶段系统开发过程中每个阶段的跟踪审计，及时发现每个阶段的错误，并得到及时修正，从而保障整个信息系统的质量。的错误，并得到及时修正，从而保障整个信息系统的质量。NANJING AUDIT UNIV

5、ERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能信息系统运营与维护审计信息系统运营与维护审计保证一个组织已经建立的信息系统能高效的为其服务，保证一个组织已经建立的信息系统能高效的为其服务，离不开对其良好的操作、离不开对其良好的操作、运行管理（日常运行事务、系统运行管理（日常运行事务、系统执行与监控）执行与监控）和维护，使其保持最佳的运行状态。因此，和维护，使其保持最佳的运行状态。因此，对信息系统运行和维护过程的审计非常重要，是对整个信对信息系统运行和维护过程的审计非常重要，是对整个信息系统实现高效服务的保障。本章即介绍信

6、息系统运营和息系统实现高效服务的保障。本章即介绍信息系统运营和维护过程的审计维护过程的审计。信息系统安全控制与审计信息系统安全控制与审计信息技术环境下信息系统的脆弱性和威胁，使信息系信息技术环境下信息系统的脆弱性和威胁，使信息系统及其产生的信息存在信息安全风险。本章主要介绍如何统及其产生的信息存在信息安全风险。本章主要介绍如何对信息系统进行安全审计与控制，从而使信息系统的风险对信息系统进行安全审计与控制，从而使信息系统的风险降到最低。降到最低。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育

7、人功能信息系统审计技术与方法信息系统审计技术与方法面对错综复杂的信息系统和审计环境，向审计人员提面对错综复杂的信息系统和审计环境，向审计人员提出了挑战，审计人员实施审计的难度很大，需要运用许多出了挑战，审计人员实施审计的难度很大，需要运用许多技术、方法和工具来辅助他们进行审计工具。本章即介绍技术、方法和工具来辅助他们进行审计工具。本章即介绍一些有关信息系统审计的技术和方法。一些有关信息系统审计的技术和方法。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息

8、系统审计概论第一节第一节信息系统审计及其产生与发展信息系统审计及其产生与发展一、何谓信息系统审计（一、何谓信息系统审计（ISA）？）？国际信息系统审计委员会国际信息系统审计委员会(ISACA)定义：定义：是一个获取是一个获取 并评价证据，以判断计算机系统是否能够保证资并评价证据，以判断计算机系统是否能够保证资 产的安全、数据的完整以及有效率利用组织的资产的安全、数据的完整以及有效率利用组织的资 源并有效果地实现组织目标地过程。源并有效果地实现组织目标地过程。日本通产省情报处理开发协会信息系统审计委员会定日本通产省情报处理开发协会信息系统审计委员会定 义为：义为：为了信息系统的安全、可靠与有效，

9、由独为了信息系统的安全、可靠与有效，由独 立于审计对象的信息系统审计师，以第三方的客立于审计对象的信息系统审计师，以第三方的客 观立场对以计算机为核心的信息系统进行综合的观立场对以计算机为核心的信息系统进行综合的 检查与评价，向信息系统审计对象的最高领导，检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动。提出问题与建议的一连串的活动。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能从以上定义可以看出从以上定义可以看出,信息系统审计的两个方面职能信息系统审计的两个方

10、面职能:从外部审计的角度从外部审计的角度,ISA实现实现-监证目标（监证目标（“保证保证”职能）职能）从内部审计的角度从内部审计的角度,ISA实现实现-管理目标（管理目标（“咨询咨询”职能）职能）第一章第一章信息系统审计概论信息系统审计概论一般定义一般定义:根据公认的标准和指导规范，对信息系统从计根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得行监测、评估和控制的过

11、程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。以实现，并提出一系列改进建议的管理活动。RonWeber定义定义:搜集并评价证据，以判断一个计算机系搜集并评价证据，以判断一个计算机系统统(信息系统信息系统)是否有效的做到保护资产、维护数据完是否有效的做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源。整、完成组织目标，同时最经济的使用资源。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论注：注：ISACA（Inf

12、ormationSystemAuditandControlassociation，信息系，信息系统审计与控制与控制协会会）：）：是最有权威的信息系统审计行业组织，总部设在美国。主要从是最有权威的信息系统审计行业组织，总部设在美国。主要从事事ISA相关理论与实务研究，制定相关相关理论与实务研究，制定相关ISA标准、规范、执业标准、规范、执业指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。跨行业的专业机构。根据根据ISA概念，应理解：概念，应理解：ISAISA的主体：有胜任能力的信息系统独立审计机构或人员的主体：有胜

13、任能力的信息系统独立审计机构或人员 机构：政府审计机构、内部审计机构、会计和审计事机构：政府审计机构、内部审计机构、会计和审计事 务所、信息化鉴证咨询机构等中介组织务所、信息化鉴证咨询机构等中介组织 人员：注册会计师、审计人员、信息技术人员，等。人员：注册会计师、审计人员、信息技术人员，等。实施实施ISAISA的人员称为：信息系统审计师的人员称为：信息系统审计师 (或或:IT:IT审计师审计师)NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能CISA：（CertifiedInforma

14、tionSystemAuditor，注册信息系统审计师注册信息系统审计师）：）：取得取得CISA资格的审计人员，既通晓信息系统的软件、硬件、资格的审计人员，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。全性、稳定性和有效性进行审计、检查、评价和改造。第一章第一章信息系统审计概论信息系统审计概论CISA从事的活动：从事的活动：1、对信息系统的可靠性、安全性、稳定性和有效

15、性进行审对信息系统的可靠性、安全性、稳定性和有效性进行审计、检查、评价、咨询，并提出建议；计、检查、评价、咨询，并提出建议；2、对信息系统的内部控制和风险进行检查、评价、咨询以对信息系统的内部控制和风险进行检查、评价、咨询以及提出改进建议。及提出改进建议。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论信息系统审计师相关信息系统审计师相关知识和能力要求：知识和能力要求：知识要求知识要求:审计学相关知识审计学相关知识:审计学的基本理论、实务审计

16、学的基本理论、实务信息系统计划、开发和运营等相关知识：信息系统计划、开发和运营等相关知识：.信息系统构成相关知识；信息系统构成相关知识；信息化战略规划、构想、提案、立项等相关知识；信息化战略规划、构想、提案、立项等相关知识；系统设计、程序设计、软件测试等相关知识；系统设计、程序设计、软件测试等相关知识；系统操作和管理、数据管理等相关知识；系统操作和管理、数据管理等相关知识；信息系统审计实施相关知识：信息系统审计实施相关知识：经营管理方面相关知识；经营管理方面相关知识；信息安全管理相关知识；信息安全管理相关知识；业务对象相关知识；业务对象相关知识；相关法律和法规；相关法律和法规；能力方面要求如下

17、：能力方面要求如下：系统审计的相关能力；系统审计的相关能力；审计的立项、分析、评价相关能力；审计的立项、分析、评价相关能力；信息收集、审核、审计方法掌握、相关技巧运用方面的能力；信息收集、审核、审计方法掌握、相关技巧运用方面的能力；审计报告制作能力；审计报告制作能力；NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论信息系统审计师应该做到信息系统审计师应该做到:严格遵循相关实施准则、程序及控制，遵守相关法规；严格遵循相关实施准则、程序及控制，遵

18、守相关法规；依据职业准则及最佳实践原则要求自己，做到敬业、公正依据职业准则及最佳实践原则要求自己，做到敬业、公正 及审慎；及审慎；以合法的诚实的方式为利益相关者服务，保持高尚的品行，以合法的诚实的方式为利益相关者服务，保持高尚的品行，不从事有损与信息系统审计职业的活动；不从事有损与信息系统审计职业的活动；除非官方要求揭露，必须维护履行职责进程中获得信息的除非官方要求揭露，必须维护履行职责进程中获得信息的 隐私与机密，不用于个人利益或泄露给不适合的组织；隐私与机密，不用于个人利益或泄露给不适合的组织；维持独立性及客观性，获得充分及客观的证据，作出审计维持独立性及客观性，获得充分及客观的证据，作出

19、审计结论；结论；保持在审计信息系统控制相关领域的技能，完成审计任务；保持在审计信息系统控制相关领域的技能，完成审计任务；审计结果向相关组织、部门和个人报告。审计结果向相关组织、部门和个人报告。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能二、二、ISA特点：特点：ISA是一个过程，贯穿于整个信息系统生命周期；是一个过程，贯穿于整个信息系统生命周期；ISA的对象具有综合性和复杂性；的对象具有综合性和复杂性；ISA拓展了传统审计的目标；拓展了传统审计的目标；ISA是事前、事中、事后审计的

20、综合体；是事前、事中、事后审计的综合体；ISA的内容更加广泛；的内容更加广泛；ISA是一种基于风险基础审计的理论和方法。是一种基于风险基础审计的理论和方法。第一章第一章信息系统审计概论信息系统审计概论信息系统审计的对象：被审计的信息系统信息系统审计的对象：被审计的信息系统 信息系统审计工作的核心：客观地收集和评估证据信息系统审计工作的核心：客观地收集和评估证据 信息系统审计的目的信息系统审计的目的：对信息系统的可用性、保密性、：对信息系统的可用性、保密性、完整性进行评估并提供反馈、保证及建议完整性进行评估并提供反馈、保证及建议NANJING AUDIT UNIVERSITY为深入学习习近平新时

21、代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能三、三、ISA发展简介发展简介ISA的发展经历了几个阶段：的发展经历了几个阶段：早期阶段：早期阶段：手工审计阶段（绕过计算机阶段）手工审计阶段（绕过计算机阶段）萌芽阶段：萌芽阶段：EDP（电子数据处理）审计阶段（电子数据处理）审计阶段发展阶段：发展阶段：信息系统审计阶段信息系统审计阶段第一章第一章信息系统审计概论信息系统审计概论ISA发展处于领先的国家：发展处于领先的国家：美国、日本、加拿大，等美国、日本、加拿大，等我国我国ISA的发展：的发展：起步于：起步于：20世纪世纪80年代年代目前状况：目前状况：

22、处于处于EDP审计阶段审计阶段“金审工程金审工程”简介：简介：（参见教材）（参见教材）NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论第二节第二节信息系统审计的目标、依据和内容信息系统审计的目标、依据和内容一、信息系统审计的目标一、信息系统审计的目标ISA目标一般分为：目标一般分为：一般审计目标、特定审计目标一般审计目标、特定审计目标 一般目标：一般目标：是进行所有信息系统审计都必须达到的是进行所有信息系统审计都必须达到的 目标。目标。特定目

23、标：特定目标：指针对特定信息系统的审计目标。指针对特定信息系统的审计目标。一般来说，一般来说，ISA的审计目标主要包括：的审计目标主要包括：提高信息系统资产的安全性目标：提高信息系统资产的安全性目标：ISIS资产包括硬件、资产包括硬件、软件、人力资源、数据文件及系统文件等软件、人力资源、数据文件及系统文件等保护信息系统数据的完整性目标保护信息系统数据的完整性目标 提高信息系统有效性（效率和效益性）目标提高信息系统有效性（效率和效益性）目标提高信息系统的合法性、合规性目标提高信息系统的合法性、合规性目标 NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和

24、党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论二、信息系统审计依据二、信息系统审计依据审计依据：审计依据：也称审计标准，是审计人员实施审计时，判断被审计经济事也称审计标准，是审计人员实施审计时，判断被审计经济事项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作出审项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作出审计决定的依据。计决定的依据。目前的目前的ISA依据主要有：依据主要有：ISACA：信息系统审计准则信息系统审计准则；IS控制的标准模型控制的标准模型COBIT；ASBASB第第9494号准则：号准则：S

25、AS70SAS70；SAS94SAS94；国际内部审计师协会（国际内部审计师协会（IIAIIA）：）：内部审计师准则说明书内部审计师准则说明书 （SIASSIAS）；）；国际会计师联合会（国际会计师联合会（IFAIFA）：）：国际审计准则系列；国际审计准则系列；最高审计机关国际组织（最高审计机关国际组织（INTOSAIINTOSAI）：）：审计准则（审计准则（ASAS）；）；欧洲：欧洲：ISOISO系列（如：系列（如：ISO17799）、EDIFACTEDIFACT技术标准；技术标准；日本通产省：日本通产省：ITIT审计标准；审计标准；NANJING AUDIT UNIVERSITY为深入学习

26、习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论我国：我国：中华人民共和国审计法中华人民共和国审计法第三十二条；第三十二条；国务院办公厅的国务院办公厅的关于利用计算机信息系统开展审计工作有关问题的关于利用计算机信息系统开展审计工作有关问题的通知通知；中国独立审计准则中国独立审计准则20号号计算机信息系统环境下的审计计算机信息系统环境下的审计；审计署令第审计署令第9号号审计署关于计算机审计的暂行规定审计署关于计算机审计的暂行规定；审计署颁布审计署颁布审计机关计算机辅助审计办法审计机关计算机辅助审计办法

27、NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能信息系统审计标准信息系统审计标准S1-S8：ISACA的信息系统审计准则由的信息系统审计准则由ISA标准、指南和程序标准、指南和程序(Standards,GuidelinesandProcedures)构成构成 标准标准为信息系统审计和报告定义了强制性的要求。为信息系统审计和报告定义了强制性的要求。指南指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南

28、，同时作出职业判断。的实施程序中应参考指南，同时作出职业判断。程序程序为信息系统审计师提供审计项目中可以遵循的步骤范例。为信息系统审计师提供审计项目中可以遵循的步骤范例。ISACAS COBIT Framework:ISACAS COBIT Framework:信息及相关技术控制目标（信息及相关技术控制目标（COBITCOBIT）是由美国是由美国ITIT治理协会提出的一个治理协会提出的一个ITIT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在在ITIT治理实践中广泛使用。治理实践中广泛使用。第一章第一章信息系统审计概论

29、信息系统审计概论NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能SAS70SAS70SAS SAS 70 70 是是经经国国际际确确认认，由由美美国国注注册册会会计计师师协协会会 (American(American Institute Institute of of Certified Certified Public Public AccountantsAccountants，AICPA)AICPA)所所制制定定的的标标准准。SAS SAS 70 70 审审计计被被公公认认为为是是

30、针针对对服服务务提提供供商商环环境境（包包括括网网络络和和相相关关程程序序的的控控制制措措施施）最权威的安全性审计。最权威的安全性审计。IT基础架构库基础架构库(ITIL)：是是IT服务管理最佳做法的一套全面、一致和相关的代码，己在全世界被服务管理最佳做法的一套全面、一致和相关的代码，己在全世界被广泛采纳为广泛采纳为IT服务标准。服务标准。ITIL包含下面五个部分：包含下面五个部分：thebusinessperspective（商业远景）（商业远景）、managing applications（应用管理）（应用管理）、deliveryofITservices（IT服务服务的交付）的交付）、su

31、pport ofITservices（IT服务支撑）服务支撑）、managetheinfrastructure.（基础设施管理）。（基础设施管理）。第一章第一章信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能SAS94SAS94美美国国注注册册会会计计师师协协会会(AICPA)(AICPA)下下属属的的审审计计准准则则委委员员会会(ASB)(ASB)一一直直关关注注ITIT对对独独立立审审计计的的影影响响。20012001年年4 4月月，ASBASB发发

32、布布了了第第9494号号准准则则：ITIT对对CPACPA评评价价内内部部控控制制的的影影响响，该该准准则则是是作作为为SAS(SAS(审审计计准准则则公公告告)no.55no.55的的“补补丁丁公公告告”推推出出的的，它它对对下下列列三三方方面面问问题题做做出出了了规规范范：ITIT对对企企业业内内部部控控制制的的影影响响；ITIT对对CPACPA了了解解内内部部控控制制的的影影响响；ITIT对对CPACPA评评价价审审计计风风险险的的影影响响。SAS no.94SAS no.94于于20012001年年6 6月月1 1日开始执行。日开始执行。第一章第一章信息系统审计概论信息系统审计概论NA

33、NJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能ISO17799：ISO17799包包 含含 以以 下下 部部 分分：Security Policy（安安 全全 策策 略略）、Assetclassificationandcontrol（资资产产分分类类和和控控制制）、SecurityOrganisation（组组 织织 安安 全全）、Personnel Security（人人 员员 安安 全全）、Physical andEnvironmentalSecurity（物物 理理 安安 全全 和

34、和 环环 境境 安安 全全）、Communication/OperationManagement（通通信信和和操操作作管管理理）、AccessControl（存存取取控控制制）、SystemDevelopmentandMaitenance（系系统统研研发发和维护）、和维护）、BusinessContinuity（业务连贯性）、（业务连贯性）、Compliance（一致性）。（一致性）。第一章第一章信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一

35、章信息系统审计概论信息系统审计概论三、三、信息系统审计的内容信息系统审计的内容ISA包含的两个层面的内容：包含的两个层面的内容：其一：其一：是对信息系统本身的审计，它贯穿于信息系统是对信息系统本身的审计，它贯穿于信息系统 的整个生命周期。以及对信息系统的数据处理的整个生命周期。以及对信息系统的数据处理 过程及处理结果的审计。目的在于确保信息系过程及处理结果的审计。目的在于确保信息系 统的完整性、可靠性、安全性以及效率性和效统的完整性、可靠性、安全性以及效率性和效 益性。益性。其二：其二：是将计算机、网络技术等引入审计工作中，作是将计算机、网络技术等引入审计工作中，作 为审计工作的辅助手段，以建

36、立各种审计信息为审计工作的辅助手段，以建立各种审计信息 系统，以及实现审计工作的办公自动化。系统，以及实现审计工作的办公自动化。本课程课堂教学主要讲授前者；实验课程主要是后者本课程课堂教学主要讲授前者；实验课程主要是后者NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论ISACA规定了信息系统审计主要内容：规定了信息系统审计主要内容：信息系统审计程序；信息系统审计程序；ITIT治理治理(信息技术治理信息技术治理)；系统和基础建设生命周期管理；系

37、统和基础建设生命周期管理；IT IT 服务的交付与支持；服务的交付与支持；信息资产的保护；信息资产的保护；灾难恢复和业务连续性计划。灾难恢复和业务连续性计划。ISA：1 1、从纵向看，覆盖了以电子计算机为核心的信息系统从计划、分析、从纵向看，覆盖了以电子计算机为核心的信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全过程的各种业务；设计、编程、测试、运行、维护到报废的全过程的各种业务；2 2、从横从横向看，它包含对硬软件的获取审计、软件审计、应用程序审计、数据完向看，它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务（如文档管理、人员管理、灾

38、整性审计、安全审计和生命周期共同业务（如文档管理、人员管理、灾难恢复等）审计等内容。难恢复等）审计等内容。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论从以上介绍，可以看出：从以上介绍，可以看出：ISA的特征：的特征：一是独立性；一是独立性；二是综合性；二是综合性；三是管理特征。三是管理特征。ISA的效果：的效果：一是提高信息系统可靠性；一是提高信息系统可靠性；二是提高信息系统安全性；二是提高信息系统安全性；三是提高信息系统效率。三是提高信

39、息系统效率。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论 风险概念：风险概念：可从三种角度看可从三种角度看 审计风险定义：审计风险定义：（见教材）（见教材）信息系信息系统审计风险统审计风险定定义义：信息系信息系统统的安全性、可靠性的安全性、可靠性 和有效性存在重大和有效性存在重大隐隐患，而信息系患，而信息系统审计师发统审计师发表表 不恰当不恰当审计审计意意见见的可能性。的可能性。信息系信息系统审计风险统审计风险可以分可以分为为：固有固有风

40、险风险、控制、控制风险风险、检查风险检查风险 且有且有审计风险审计风险模型模型 ：DAR=IR DAR=IRCRCRDR DR 第三节第三节信息系统审计风险信息系统审计风险一、一、审计风险及信息系统审计风险审计风险及信息系统审计风险NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能二、信息系统审计风险特征及表现二、信息系统审计风险特征及表现 1 1、固有风险（、固有风险（Inherent RiskInherent Risk，简称，简称IRIR）：）：是指假是指假设设不不 存在相关的内部控

41、制的情况下存在相关的内部控制的情况下,发发生重大生重大错误错误的的风险风险。主要表主要表现现：第一章第一章信息系统审计概论信息系统审计概论电电子数据的不可子数据的不可见见性性；数据的大量集中和高速数据的大量集中和高速处处理理 ；原始数据的原始数据的录录入存在入存在错错漏的可能性漏的可能性 ；计计算机犯罪。算机犯罪。2 2、控制风险（、控制风险（Control RiskControl Risk，简称，简称CRCR）：）：是指有内部控是指有内部控 制制度制制度,但无法但无法预预防、及防、及时发现时发现或或纠纠正重要正重要错误错误的的风风 险险。NANJING AUDIT UNIVERSITY为深入

42、学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能主要表现：主要表现：信息信息访问访问的技的技术术性暴露性暴露；未未经经授授权权的的访问访问；职责职责不分离不分离；网网络监络监控失效控失效；信息流和信息流和业务业务流的不一致流的不一致；业务业务流程重流程重组组 第一章第一章信息系统审计概论信息系统审计概论 3 3、检查风险（、检查风险（Detection RiskDetection Risk，简称，简称DRDR）：）：是指信息系是指信息系 统审计统审计人人员员由于采用了不恰当的由于采用了不恰当的测试测试程序程序,未能未能发现发现 已存在的重

43、大已存在的重大错误错误的的风险风险。主要表主要表现现：NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论未能未能识别识别出系出系统统的关的关键环节键环节和重要的信息和重要的信息资产资产；利用利用测试测试数据数据对对系系统进统进行行测试时测试时测试不充分；测试不充分；模模拟拟程序程序的运用的运用,加大了加大了检查风险检查风险；系系统统更新更新换换代代,使得使得测试测试系系统统失去失去时时效性效性；参与系参与系统统开开发发的人的人员员来来执执行信息

44、系行信息系统统的的检查检查。信息系统审计风险的特征：信息系统审计风险的特征：1 1、客观性；客观性；2 2、复杂性；复杂性；3 3、潜在性；潜在性；4 4、时效性；时效性；5 5、可控性。可控性。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能三、形成信息系统审计风险的原因三、形成信息系统审计风险的原因 1 1、信息信息处处理的虚理的虚拟拟化、网化、网络络化化；2 2、捕捉捕捉证证据的据的动态动态化化；3 3、内控制度的复内控制度的复杂杂化化；4 4、审计审计人人员员知知识结识结构的构

45、的单单一化一化 。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论四、四、信息系信息系统环统环境境对审计风险对审计风险的影响的影响 1 1、对固有风险的影响、对固有风险的影响 资产资产出出现现新的特点新的特点；会会计计和和业务处业务处理自理自动动化化对对信息技信息技术术的依的依赖赖性增性增强强；其他其他变变化化。以上这些都使得固有风险增加以上这些都使得固有风险增加。2 2、对、对控制控制风险风险的影响的影响 控制控制环环境境；风险评风险评估估

46、；控制活控制活动动；信息与沟通信息与沟通；监监控控。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论 3 3、对、对检查检查风险风险的影响的影响 降低降低检查风险检查风险的因素：的因素：提高提高审计审计覆盖面覆盖面；提高提高证证据采集的独立性据采集的独立性；提高分析提高分析处处理的可靠性理的可靠性；增加增加审计审计的的时时效性。效性。增加增加检查风险检查风险的因素：的因素：对对信息系信息系统统缺乏足缺乏足够够理解理解；技技术术不成熟不成熟；审

47、计证审计证据的可靠性据的可靠性；对对技技术术的依的依赖赖性。性。NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能第一章第一章信息系统审计概论信息系统审计概论五、五、信息系信息系统审计风险统审计风险的的防范措施防范措施 1 1、降低固有降低固有风险风险措施措施 加加强强信息信息资产资产管理管理；强强化内外部安全控制机制化内外部安全控制机制 ；建立安全的运行建立安全的运行环环境境；加加强强数据数据输输入控制入控制 。2 2、降低控制降低控制风险风险的措施的措施 正确分配正确分配访问访问和操

48、作和操作权权限限,及及时时管理和管理和维护权维护权限分限分 配表配表；建立建立严严格的格的职责职责分离、分离、轮岗轮岗和休假制度和休假制度；建立安全的网建立安全的网络监络监控机制控机制,减少来自外部的减少来自外部的风险风险；NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能 3 3、降低降低检查风险检查风险的措施的措施 识别识别出重要信息出重要信息资产资产；确定合理的确定合理的检查顺检查顺序序；改改进审计进审计手段手段。第一章第一章信息系统审计概论信息系统审计概论 2 2、调查阶段（风险

49、识别）、调查阶段（风险识别）风险识别方法：风险识别方法：现场检查、相关人员交谈、召开座谈会、流程调查、现场检查、相关人员交谈、召开座谈会、流程调查、技术资料、有关文档、资料分析、技术资料、有关文档、资料分析、理论分析、日志审核、理论分析、日志审核、工具分析、模拟攻击等工具分析、模拟攻击等。风险评估过程简介：风险评估过程简介：1 1、准备阶段：、准备阶段：明确任务、建立项目组、职责分工、制定计划明确任务、建立项目组、职责分工、制定计划NANJING AUDIT UNIVERSITY为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能定性分

50、析评估方法：定性分析评估方法：安全安全检查检查表法表法；专专家家评评价法价法；事故事故树树分析法分析法(FTA)(FTA)事件事件树树分析法分析法(ETA)(ETA)；潜在潜在问题问题分析法分析法(PPA)(PPA)因果分析法因果分析法(CCA)(CCA)；作作业业安全分析安全分析(WSA)(WSA)定量分析评估方法：定量分析评估方法：层层次分析法次分析法(AHP)(AHP)；模糊模糊综综合合评评判法判法；BP BP神神经经网网络络法法；灰色系灰色系统预测统预测模型模型第一章第一章信息系统审计概论信息系统审计概论3 3、风险分析、风险分析风险分析：风险分析：是识别机构中存在的风险的过程，是对潜