信息系统审计---理论与实务(62页PPT).pptx

《信息系统审计---理论与实务(62页PPT).pptx》由会员分享，可在线阅读，更多相关《信息系统审计---理论与实务(62页PPT).pptx（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统审计-理论与实务关键问题：信息系统审计 审什么？怎么审？目录1.定义-信息系统审计是什么2.对象-信息系统审计的范围3.事项-信息系统审计的具体内容3.1 一般控制审计内容与程序3.2 应用控制审计内容3.3 应用控制审计流程4.电子政务系统绩效审计5.如何提高信息系统审计质量？1 信息系统审计的诞生1 信息系统的定义o管理信息系统一词，最早出现于1970年，瓦尔特（Walter T.Kennevan）给它下了一个定义：以书面或口头的形式，在合适的时间向经理、职员以及外界人员提供过去的、现在的、未来的有关企业内部及其环境的信息，以帮助他们进行决策。o高登戴维斯，是管理信息系统的创始人，

2、于1985年给管理信息系统下了一个较完整的定义：它是一个利用计算机硬件、软件，手工作业，分析、计划、控制和决策模型，以及数据库的用户-机器系统。它能提供信息，支持企业或组织的运行、管理和决策功能。1 信息系统的标准定义o是一个以人人为主导，利用计算机硬件、软件、计算机硬件、软件、网络通信设备网络通信设备以及其他办公设备其他办公设备，进行信息收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支持企业高层决策、中层控制、基层运作的集成化的人机系统人机系统。1.信息系统审计的定义 This process collects and evaluates evidence to

3、determine whether information system and related resources,adequately safeguard assets,maintain data and system integrity,provide relevant and reliable information,achieve organizational goals effectively,consume resources efficiently,and have in effect internal controls that provide reasonable assu

4、rance that operational and control objectives will be met.o信息系统审计是一个过程，在此过程中搜集和评估证据搜集和评估证据以确定信息系统和相关资源是否充分保护保护资产、维持数据和系统完完整性整性、提供相关和可靠可靠信息、有效有效实现组织机构目标、有效地使用使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。Source:CISA Manual（国际ISACA协会）1 信息系统审计的类别：从以上信息系统审计的定义，可知信息系统审计项目依目标目标不同，有三大类：1.信息系统安全审计2.信息系统可靠性审计3.信息系统绩效审计项目

5、的几种组织形式：1.独立型2.与财务审计相结合3.与经责审计相结合4.与绩效审计相结合1.信息系统审计的内涵oIT审计是独立的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。1.主体：第三方审计师2.遵循相关标准3.对信息系统的规划、开发、使用维护等一系列活动及产物产物进行检查和评估。o信息系统审计的要点：信息系统审计的要点：o信息系统审计的对象是计算机为核心的信息系统o信息系统审计的目的是促使信息系统安全、可靠和有效。o信息系统审计是一个过程，需要审计师的专业评价与判断。管理政策组织结构服务器、工作站、打印机网线交换机/HUBWin

6、dows/UNIXOracle 数据库2.实体观-信息系统审计对象财务报表销售收入 1000万会计核算系统销售业务系统灾难恢复与业务持续计划信息资产保护人2 信息系统审计的对象-实体观o从构成要素上来看，信息系统有以下组成部分：n应用系统软件n硬件n网络n数据n人n管理制度2.过程观-信息系统审计对象2.信息系统审计对象o信息系统审计对象是信息系统，从信息系统的构成要素和生命周期可以综合分析其审计范围。o信息系统审计范围应包含所有信息系统构成要素（6个），涉及生命周期的各个阶段（5个）。信息系统审计的涵盖范围o一是对信息系统本身的审计，二是对信息系统所涉及的内部控制及流程的审计。o不仅要对信息

7、系统的功能进行审计o还要对信息系统的安全性、可靠性、数据准确性和完整性进行审计：n信息系统的立项与采购、设计与开发、测试与验收、运行与维护等（一般控制GC）n具体业务流程中所涉及的信息系统内部控制设计与执行、效果与效率（应用控制AC）3.信息系统审计的两大内容域审计本质是一种控制，从控制的角度来看信息系统，通常区分为信息系统一般控制与应用控制。两者的作用与范围作用与范围不同。3.1 信息系统一般控制审计（GC）3.2 信息系统应用控制审计（AC）一般控制o一般控制（GC）：作用于被审信息系统全部或较大范围的控制，其基本目标为确认应用系统恰当开发或实施，确保程序与数据文件的完整性，确保信息系统良

8、好运作。比如，保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。o一般控制提供应用系统运行和应用控制实施的环境。一般控制的控制措施适用于所有应用系统，是一种环境上的保证。应用控制o应用控制（AC）：作用于具体应用系统的控制，一般结合具体业务进行设计，可以确保数据处理完整和正确。o一个应用系统一般由多个相关计算机程序组成，有些应用系统还可能是复杂的集成系统，牵涉到多个计算机程序和组织部门，与此相应，它的应用控制应包括内嵌在计算机程序中的自动化控制，以及与整体业务流程相关的非自动化控制。一般控制与应用控制的关系o应用控制的有效性取决于一般控制的有效性o一般控制

9、是应用控制的基础，当一般控制薄弱时，应用控制无法提供合理保障信息系统审计内容体系内容域关键环节关键控制点应用控制输入控制数据输入设计的正确性数据输入准备政策数据输入校验的有效性处理控制规范的数据处理流程数据处理错误的识别、记录与解决输出控制数据输出政策数据输出报告的生成与分发控制接口控制自动接口控制人工接口控制访问控制与职责分离应用系统访问权限业务流程上的不兼容职责参数控制参数设置的正确性（合法性）参数调整的审批流程与权限参数调整日志一般控制IT管理/治理IT治理结构IT组织结构和人力资源管理IT战略及其起草、批准、实施和维护程序IT政策、标准和程序的制定、批准、实施和维护流程IT外包战略和政

10、策，以及合同管理实务信息系统开发与实施项目管理框架和项目治理实务项目按项目计划进行，并有相应文档充分支持系统的开发、采购和测试流程，确保其交付符合目标；信息系统运行与服务运营管理，保证IT支持职能有效满足了业务要求数据管理实务，确保数据库的完整性和最优化能力的使用和性能监控工具与技术变更、配置和发布管理实务问题和事件管理实务IT基础设施（网络，软硬件）的功能信息安全逻辑访问控制（操作系统、数据库、主机和网络设备）的设计、实施和监控网络框架和信息传输的安全环境控制的设计、实施和监控保密信息资产的采集、存储、使用、传输和处置程序的流程灾难恢复与业务持续性灾难恢复计划业务连续性计划3.1 一般控制的

11、审计事项-1源自：CISA Manual（国际信息系统审计协会ISACA）一般控制审计的五大内容1.评估IT治理结构的效果，确保董事会对IT决策、IT方向和IT性能的充分控制；2.评估评估IT组织结构和人力资源管理；组织结构和人力资源管理；3.评估评估IT战略及其起草、批准、实施和维护程序；战略及其起草、批准、实施和维护程序；4.评估IT政策、标准和程序的制定、批准、实施和维护流程；5.评估IT资源的投资、使用和配置实务；6.评估IT外包战略和政策，以及合同管理实务；7.评估监督和审计实务；8.保证董事和执行层能及时、充分地获得有关的IT绩效信息IT治理开发或采购审计开发或采购审计运行与维护审

12、计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制的审计事项-2源自：CISA Manual（国际信息系统审计协会ISACA）IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计的五大内容1.评估拟定的系统开发或采购，确保其符合组织发展目标；2.评估项目管理框架和项目治理实务，确保组织在风险管理基础上，以成本效益原则达成组织的业务目标；3.确保项目按项目计划进行，并有相应文档充分支持确保项目按项目计划进行，并有相应文档充分支持；4.评估组织相关系统的控制机制，确

13、保其符合组织的政策；5.评估系统的开发、采购和测试流程，确保其交付符合目标；评估系统的开发、采购和测试流程，确保其交付符合目标；6.对系统实施定期检查，确保其持续满足组织目标，并受到有效的内部控制；3.1 一般控制的审计事项-3源自：CISA Manual（国际信息系统审计协会ISACA）信息系统审计的五大内容1.评估服务管理实务，确保内部和外部服务提供商的服务等级是明确定义并受管理的；2.评估运营管理，保证评估运营管理，保证IT支持职能有效满足了业务要求；支持职能有效满足了业务要求；3.评估数据管理实务，确保数据库的完整性和最优化；评估数据管理实务，确保数据库的完整性和最优化；4.评估能力的

14、使用和性能监控工具与技术；评估能力的使用和性能监控工具与技术；5.评估变更、配置和发布管理实务，确保被详细记录；评估变更、配置和发布管理实务，确保被详细记录；6.评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录，评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录，分析和解决分析和解决 7.评估IT基础构架（网络，软硬件）功能，确保其对组织目标的支持IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制的审计事项-4源自：CISA Manual（国际信息系统审计协会ISACA）信息系统

15、审计的五大内容1.评估逻辑访问控制的设计、实施和监控，确保信息资产的评估逻辑访问控制的设计、实施和监控，确保信息资产的 机密性、完整性、有效性和经授权使用；机密性、完整性、有效性和经授权使用；2.评估网络框架和信息传输的安全；评估网络框架和信息传输的安全；3.评估环境控制的设计、实施和监控，确保信息资产充分安评估环境控制的设计、实施和监控，确保信息资产充分安 全；全；4.评估保密信息资产的采集、存储、使用、传输和处置程序 的流程。IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划3.1 一般控制的审计事项-5源自：C

16、ISA Manual（国际信息系统审计协会ISACA）信息系统审计的五大内容1.评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性和可用性；评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性和可用性；2.评估组织的灾难恢复计划，确保一旦发生灾难，评估组织的灾难恢复计划，确保一旦发生灾难，IT处理能力可以及时恢复；处理能力可以及时恢复；3.评估组织的业务连续性计划，确保评估组织的业务连续性计划，确保IT服务中断期间，基本业务运营不间断的能服务中断期间，基本业务运营不间断的能力力 IT治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾

17、难恢复和业务连续性计划oISO20000 将IT服务管理分为两大类流程：服务支持流程和服务提供流程。o服务支持管理（事故管理、问题管理、变更管理、版本管理、配置管理）的目标是能够及时解决故障。o服务提供管理的目标是确保IT服务的质量、稳定、适应性。ISO20000关注IT系统的运维，追求的是IT服务质量。正确应用ITIL能够增加信息系统正常运行的时间、迅速解决运维问题、加强系统的安全性，从而提高IT部门的服务质量。oISO27001标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。o它提出 了11个安全要素，39个控制目标和133种控制措施。oISO17799中的11个要素分

18、别是：安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。o等级保护有10个方面的要求，o技术方面有：物理安全、网络安全、主机系统安全、应用安全、数据安全；o管理方面有：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理；3.1 常见的一般控制审计需求1.组织管理审计2.信息中心职责分离审计信息中心职责分离审计3.机房物理环境审计机房物理环境审计4.操作系统审计5.数据库审计数据库审计6.网络安全审计7.开发审计开发审计8.运行审计运行审计9.灾备审计一般控制审计的流程o一

19、般控制审计通常采用如下步骤：n全面了解被审信息系统的整体架构，确定重要组件；n识别可能的关键风险点，确定关键审计域n实施相应的审计程序，记录测试结果n测试结果分析与评价，形成审计结论。o一般控制审计不涉及系统中流转的业务数据，常采用访谈法、观察法、调查表法、文档查阅法、测试数据法等。一般情况下，审计发现与被审系统的管理缺陷有关，有时也预示出应用系统数据处理可能的不正确与不完整。组织管理审计目标与程序o审计目标：（1）确认企业是否制订了信息系统规划，规划是否得当（2）确定职责划分是否合理，不相容职责是否相分离，确定职责划分是否认真执行。o审计程序（1）获取被审计单位的信息系统规划文档，分析其规划

20、是否得当，能否支持企业目标，满足业务活动需求和信息需求（2）审阅组织结构文件，如组织结构图、重要岗位的工作描述和作业流程，确认各项职责划分是否合理，不相容职责是否进行了严格的分离（3）实地观察与组织控制相关的作业活动，确认各项关键职能工作是否有由不同员工担任，以及职责分离政策是否在实际作业活动中得以贯彻落实（4）观察员工的操作是否符合流程描述（5）检查用户权限，确认有关人员的权限是否与其工作描述一致。信息中心的职责分离矩阵操作系统的审计目标与程序o操作系统的审计目标：（1）验证访问权限的分配是滞与不相容职责分离的要求相一致，并符合企业的政策（2）确认企业是滞有恰当和有效的口令控制对操作系统的访

21、问（3）确定管理政策、程序和控制步骤是否严密有效，是否能防护操作系统不受硬件失灵，软件差错、人为故障和病毒侵蚀等因素干扰o审计程序：（1）查阅企业有关不相容职责的分离政策，确定其能否实现合理的安全水平（2）检查是否建立操作系统口令制度，对口令的授予和更改程序是否合理得当（3）查阅员工招聘记录，检查选定权限的用户组和用户的权限，确定其访问权限是否与工作范围及职责一致。（4）检查员工记录，确定员工是否均有书面承诺对企业数据的责任（5）检查操作记录，确定具有权限的人员是否根据有关规定，授受了充分的安全责任（6）检查所有用户都必须拥有口令（7）审查口令标准的适当性，如长度和有效期等（8）审查锁定账户的

22、规定和程序，在锁定账户之前，允许有多少次失败登录（9）询问操作人员，确认其是否授受过有关计算病毒的培训，是否清楚病毒侵入和传播的风险（10）询问企业是否规定必须向声誉良好的软件供应商购买防病毒软件（11）审查企业的防病毒软件使用政策（12）检查系统管理员是否实施例行扫描工作站和服务器中的病毒数据库的审计目标与程序o审计目标：（1）确定数据库访问权限和优先权限是否根据用户的合法需要给预分配（2）确认数据资源控制措施是否能够保证数据资源的完整和安全（3）确定各项数据资源控制是否有效执行o审计程序：（1）检查企业政策和职责描述，确定是否是数据库管理员对创建权限表和设计用户模式负有唯一责任（2）检查程

23、序员权限表，查证其访问数据定义语言命令的特权（3）与数据库管理员和程序员进行访谈（4）检查对数据资源的接触和访问是否有严格的授权控制，授权是否恰当（5）检查系统的授权表，审计数据存取控制的有效性（6）抽查数据库访问日志，确认对数据库的访问是经过授权的（7）查阅数据资源的访问权限文件样本，判断是否规定适当的权限，权限的取得要求是滞合理（9）观察数据库管理员对数据库资源的管理活动（10）尝试访问数据资源，确认访问控制是否起作用网络安全审计目标与程序o审计目标（1）确认被审计单位信息系统的网络安全控制措施是否健全、能否使信息系统的硬件、软件和数据资源得到妥善保护；（2）确认各项网络安全措施是否有效的

24、执行o审计程序：（1）与安全管理人员、网管人员面谈，了解其工作职责及相应的安全管理过程（2）检查被审计单位的系统入侵防范控制，通信网络安全控制和病毒防范控制等安全控制制度，确认其是否健全（3）审查网络连接图，查看各计算机、终端设备及网络交换机和调制解调器等辅助系统间的通信传输连接点，盘点其数量以确保网络架构图的正确性（4）检查系统是否安装实施防火墙，评估网络架构和防火墙的配置是否正确设计（5）审查所使用的加密机制和网络安全认证机制（6）模仿入侵者访问系统，检查系统入侵防范控制有否有效（7）检查入侵访问报告，查看对入侵访问的追踪和审查记录（8）检查是否安装有防病毒软件，查看计算机病毒检测和清除的

25、记录开发审计目标与程序o审计目标：（1）确定系统开发各阶段是否严格执行了有关政策和规则；（2）确定系统实施之前是否经过全面测试，不存在重大错误和舞弊行为（3）确认系统开发各阶段的报告是否获得使用者和高层主管的认可审批（4）确定系统开发的文档记录准确完整o审计程序：（1）检查系统开发过程是否有内审人员参与，每个开发阶段结束时内审人员是否进行了审计评价（2）检查系统开发周期的文档记录是否准确完整，确认系统开发活动是否符合既定的政策与规划（3）检查系统开发各阶段的报告是否获得使用者和高层主管的认可与签署审批（4）向质量管理员询问质量管理工作，获取质量管理控制的有关文档，确认质量控制是否有效进行（5）

26、检查系统测试文档，确认是否对系统进行了全面测试运行审计目标与程序o审计目标：（1）确定是否有维护计划，维护工作是否得到负责人批准，系统是否按照维护计划进行了维护（2）确认是否存在未经授权擅自修改或更改系统的问题（3）确定维护工作是否保护了应用程序，并使程序库不受非法访问（4）确定系统维护后是否经过了充分测试，用户是否参与了系统维护后的测试工作（5）确定是否对每一次维护工作都有详细记录（6）确定系统维护后文档资料是否及时更新o审计程序：（1）检查维护计划，确认维护工作是否有详细的计划，包括维护请求、维护的性质和范围、所需要的资源，维护进度安排等（2）检查系统维护的审计手续，查看维护作业申请资料和

27、高层主管的授权签名，确认维护工作是否得到负责人的批准（3）核对应用程序的版本。如果所使用的版本与授权的版本不符，表明存在未经授权的更改应用程序的问题（4）检查系统的维护日志，确认是否对每一次维护都有详细记录，包括程序的标识、维护的类型、维护的目的、增加和修改及删除代码的地方，维护人的签名和维护日期（5）系统维护测试记录与报告，确定系统维护后在投入使用前是否进行了充分测试，用户是否参与的测试过程。（6）检查运行计划，确认维护后的系统在投入使用前得到了开发、运行、维护和用户负责人的认可与批准（7）检查系统设计报告和软件设计说明书是否按照维护计划进行了修改，是否按修改后的软件设计说明书对系统进行了维

28、护修改（8）抽查重要应用程序重新进行测试，分析评价测试结果是否正确有效（9）检查文档资料，确认系统维护后相关文档资料是否及时更新，并妥善保存。灾备审计目标与程序o审计目标：（1）确认灾难恢复计划是否适应企业的要求，实施方案是否可行和有效（2）确认灾难恢复的相应资源包括数据和设备是否做好了备份（3）评估异地存储及其安全性（4）确认灾难恢复计划测试结果是滞达到了预定目标o审计程序:（1）获取灾难恢复计划和操作手册，确认其是否为最新的计划和操作手册（2）检查所制订的灾难恢复计划是否为处理受灾企业空难的现实解决方案（3）查看备份现场，评估备份现场的安排是否恰当（4）检查关键应用程序清单是否完整，以确保

29、可以恢复系统（5）检查关键应用程序副本是滞在非现场存储，一旦发生灾难或事故可以使用备用副本（6）检查关键数据文件是否依据灾难恢复计划进行备份（7）检查恢复与运行关键应用程序所需要的文档，支持材料和源文件是否完整并在非现场存储（8）查阅灾难恢复小组成员名单、联系方式、分担的职责及是否为在册职员（9）询问灾难恢复人员是否熟悉灾难发生时的恢复步骤（10）检查灾难恢复计划的测试文档，确认测试结果是否达到目标。3.2 应用控制审计的内容接口审计接口审计参数控制参数控制3.2 应用控制审计的内容-13.2 应用控制审计的内容-2o输入控制3.2 应用控制审计的内容-3o处理控制3.2 应用控制审计的内容-

30、4o输出控制3.2 应用控制审计的内容-43.2 应用控制审计的内容-5o参数控制审计n参数设置的正确性（合法性）n参数调整的审批流程与权限n参数调整的轨迹3.2 应用控制审计的内容-6o接口审计n自动接口n手动接口环节应用控制审计流程o应用控制审计一般采用如下步骤：n确定重要的应用系统，获取相关资料或访谈相关操作人员充分理解系统中业务流程。n识别业务流程中关键风险点，开发合适的测试方案与数据n实施相应的审计程序，测试控制的有效性n控制缺陷分析，评价相关控制目标是否达到，形成相关审计结论。o应用控制审计常用的方法有：测试数据法、平衡模拟法、访谈法、观察法、流程图检查法、程序编码比较法、程序追踪

31、法、快照和嵌入审计模块等。3.3.应用控制审计的流程-13.3.应用控制审计的流程-2-分析业务流程业务流程图的示例1业务流程图的示例24 绩效审计o2010年4月，“世界审计组织第六届效益审计研讨会”由世界审计组织审计工作组主办、中国审计署承办。在为期天的会议期间，来自世界多个国家的近百名代表，将围绕“衡量项目有效性和投资成功的效益指标”这一主题展开研讨。o“到年，我国所有的审计项目都将开展绩效审计。绩效评价指标体系必不可少。”刘家义说，为实现这一目标，需要建立一个适用的、能得到业界广泛认同的衡量指标体系，促进项目绩效审计的规范化。绩效审计o4月15日，审计署副审计长石爱中出席世界审计组织I

32、T审计工作组第19届年会。o中国审计代表团将宣读题为中国IT项目绩效审计的评价指标的国家论文o上海市审计局“信息系统审计绩效审计”的模式，解读出上海市教育资源库建设项目绩效，审计署表彰为有代表性的优秀信息系统审计典型案例4 电子政务系统绩效审计来源：同济大学经济管理学院电子政务后评估项目5.信息系统审计项目的质量控制项目团队的组织审计项目的选择审计项目的选择实施方案的制订审计过程控制审计过程控制5.信息系统审计项目的质量控制过程域关键活动审前调查确定审计关系与责任了解被审计企业与信息系统基本情况明确被审系统涉及的关键业务流程初步评价被审系统的风险状况编制审前调查报告审计计划评估审计风险确定具体

33、审计目标与重要性水平制订审计计划审计实施编制审计实施方案针对审计事项编制具体测试方案实施符合性与实质性测试，完成测试记录分析与核查测试结果审计报告整理评价审计证据复核审计底稿汇总审计差异，与对方管理层交流评价审计结果，编制审计报告后续审计获取与评价相关信息，对管理层是否采取恰当措施形成结论审前调查应当包括如下内容：o拟定审前调查表和信息系统调查方案，明确审前调查的内容和方法，收集相关资料；o对被审计单位与信息系统有关的管理机构及管理方式进行调查，了解相关情况：相关法规、规章对在用信息系统的规范要求；信息技术部门在被审计单位组织架构中的位置；信息技术部门及其工信息技术部门及其工作人员管理维护职责

34、分工；财务、业务人员使用信息系统的职责分工；信息系统主要作人员管理维护职责分工；财务、业务人员使用信息系统的职责分工；信息系统主要控制环节及岗位设置；控制环节及岗位设置；o应对被审单位人员流、业务流和信息流等基本情况进行重点了解，并分别绘制流程图；应对被审单位人员流、业务流和信息流等基本情况进行重点了解，并分别绘制流程图；o应对被审计单位信息系统的组成及功能进行重点了解，确定信息系统审计重点关注的子应对被审计单位信息系统的组成及功能进行重点了解，确定信息系统审计重点关注的子系统；系统；o应对被审计单位内部控制的相关制度和信息系统运行环境进行重点了解，并进行应对被审计单位内部控制的相关制度和信息

35、系统运行环境进行重点了解，并进行初步评价；初步评价；o通过现场观察，了解被审计单位业务流程对信息化的依赖程度，应重点关注被审单位业务连续性能力、信息处理能力、以及使用信息系统员工的构成比例；o通过对被审单位后台数据库、数据接口标准以及用户使用手册进行初步调查和分析，确定重点关注事项；o其它事项调查。5.信息系统审计项目的质量控制 谢谢大家共同交流，分享价值浙江财经学院：唐志豪（博士，CISA）联系方式：137571167641、每一个成功者都有一个开始。勇于开始，才能找到成功的路。11月-2211月-22Tuesday,November 8,20222、成功源于不懈的努力，人生最大的敌人是自己

36、怯懦。17:37:2317:37:2317:3711/8/2022 5:37:23 PM3、每天只看目标，别老想障碍。11月-2217:37:2317:37Nov-2208-Nov-224、宁愿辛苦一阵子，不要辛苦一辈子。17:37:2317:37:2317:37Tuesday,November 8,20225、积极向上的心态，是成功者的最基本要素。11月-2211月-2217:37:2317:37:23November 8,20226、生活总会给你另一个机会，这个机会叫明天。08十一月20225:37:23下午17:37:2311月-227、人生就像骑单车，想保持平衡就得往前走。十一月225:37下午11月-2217:37November 8,20228、业余生活要有意义，不要越轨。2022/11/817:37:2317:37:2308 November 20229、我们必须在失败中寻找胜利，在绝望中寻求希望。5:37:23下午5:37下午17:37:2311月-2210、一个人的梦想也许不值钱，但一个人的努力很值钱。11/8/2022 5:37:23 PM17:37:2308-11月-2211、在真实的生命里，每桩伟业都由信心开始，并由信心跨出第一步。11/8/2022 5:37 PM11/8/2022 5:37 PM11月-2211月-22谢谢大家谢谢大家