信息技术与计算机审计.pptx
《信息技术与计算机审计.pptx》由会员分享,可在线阅读,更多相关《信息技术与计算机审计.pptx(124页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 信息技术与计算机审计信息技术与计算机审计中山大学管理学院中山大学管理学院陈婉玲编陈婉玲编 制制一、一、计算机系统基础知识计算机系统基础知识 1 1计计算算机机的的基基本本组组成成:主主机机(包包括括CPUCPU和和内内部部存存储储器器)和和外外围围设设备备(如如键键盘盘、显示器、磁盘驱动器、打印机等)。显示器、磁盘驱动器、打印机等)。2 2计计算算机机的的类类型型:大大型型机机、中中型型机机、小小型型机机、微微机机(台台式式电电脑脑、手手提提电电脑脑、掌掌上电脑)。上电脑)。3 3计计算算机机与与网网络络系系统统的的有有关关人人员员 (1)(1)计算机程序员。计算机程序员。(2)(2)系统分
2、析员。系统分析员。(3)(3)网络管理人员。网络管理人员。(4)(4)计算机操作员。计算机操作员。4.4.电电子子数数据据处处理理(EDPEDP)的的组组织织形式形式 (1)(1)集中式集中式集中由一个计算机处理。集中由一个计算机处理。(2)分分散散式式多多个个独独立立的的没没有有直直接接通通讯讯与联系的计算机处理。与联系的计算机处理。(3)分分布布式式数数据据分分散散式式处处理理,各各计计算算机互相联系,允许数据进行交换。机互相联系,允许数据进行交换。5 5计算机软件计算机软件 (1)(1)系系统统软软件件负负责责控控制制与与分分配配计计算算机机资资源源,帮帮助助计计算算机机硬硬件件有有效效
3、工工作作,并并使使应用软件正常运行的计算机程序。应用软件正常运行的计算机程序。(2 2)应应用用程程序序用用于于满满足足特特定定用用户户需需要要的的计计算算机机程程序序,如如工工具具软软件件(包包括括字字处处理理程程序序和和电电子子表表格格程程序序等等)和和商商业业应应用用软软件件(如如会会计计电电算算化化和和仓仓储储控控制制软软件件包、特殊商业应用软件等)。包、特殊商业应用软件等)。二、二、计算机网络基础计算机网络基础 1.1.计算机网络计算机网络 计计算算机机网网络络指指为为实实现现相相互互通通讯讯和和共共享享软软、硬硬件件等等目目的的,通通过过通通讯讯线线路路、网网络络接接口口部件连接起
4、来计算机群。部件连接起来计算机群。根根据据数数据据信信息息传传输输距距离离,计计算算机机网网络络通通常常 可可 分分 为为 局局 域域 网网(LANLAN)、城城 域域 网网(MANMAN)和广域网()和广域网(WANWAN)。)。2.2.网络设备网络设备 主主要要的的网网络络设设备备有有:网网卡卡、集集线线器器、中中继继器器、网网桥桥、路路由由器器、网网关关和和调调制制调调解解器等。器等。3.3.网络的拓朴结构网络的拓朴结构 指指网网络络中中计计算算机机连连接接形形式式。常常见见的的拓拓朴朴结结构构有有星星型型、总总线线型型、环环型型和和网网型型及及其其组合。组合。4.4.网络协议网络协议
5、指网络中计算机间互相通讯的预定规则指网络中计算机间互相通讯的预定规则 InternetInternet所所用用的的网网络络协协议议是是TCP/IPTCP/IP(传传输控制协议输控制协议/互联网协议)。互联网协议)。5.5.数据通信数据通信 是是指指通通过过通通信信线线路路传传输输数数据据、声声音音及及影影象象。它它要要求求四四个个不不同同的的组组件件:发发送送方方、接受方、媒介及消息。接受方、媒介及消息。三、系统开发及其审计三、系统开发及其审计 (一)常用的系统开发方法(一)常用的系统开发方法 1.1.系统生命周期法:系统生命周期法就是系统生命周期法:系统生命周期法就是按系统生命周期的各个阶段
6、划分任务,按系统生命周期的各个阶段划分任务,按一定的规则和步骤,有效地进行系统按一定的规则和步骤,有效地进行系统开发的方法。开发的方法。(一)常用的开发方法(一)常用的开发方法 2.2.原型法:原型法:原型法是先根据用户的最主原型法是先根据用户的最主要要求,开发出能实现系统最基本功能要要求,开发出能实现系统最基本功能的一个原型,再根据用户对原型使用与的一个原型,再根据用户对原型使用与评价的意见,反复修改完善原型,直至评价的意见,反复修改完善原型,直至得到用户满意的最终系统为止。得到用户满意的最终系统为止。(二)系统生命周期法(二)系统生命周期法 系统准备阶段:系统准备阶段:其其主主要要任任务务
7、是是了了解解用用户户的的要要求求,确确定定新新系系统统的的目目标标,对对要要求求开开发发的的新新系系统统从从技技术术上上、经经济济上上与与实实施施上上是是否否可可行行进进行行可可行行性性分分析析。这这一一阶阶段段的主要文档资料是可行性研究报告。的主要文档资料是可行性研究报告。系统分析阶段:系统分析阶段:其其主主要要任任务务是是在在可可行行性性分分析析的的基基础础上上,对对原原有有系系统统进进行行详详细细调调查查分分析析,收收集集原原系系统统所所有有的的文文件件(凭凭证证、帐帐薄薄、报报表表等等)样样本本,明明确确用用户户对对系系统统的的全全部部需需求求(包包括括功功能能、性性能能、安安全全等等
8、),根根据据用用户户需需求求提提出出新新系系统统的的逻逻辑辑模模型型。此此阶阶段段的的主主要要文档资料是系统分析报告。文档资料是系统分析报告。系统设计阶段:系统设计阶段:其其主主要要任任务务是是根根据据系系统统的的逻逻辑辑模模型型进进行行系系统统的的总总体体设设计计和和详详细细设设计计,包包括括模模块块设设计计、代代码码设设计计、输输入入输输出出设设计计、数数据据文文件件设设计计、安安全全保保密密设设计计和和处处理理流流程程设设计计。此此阶阶段段的的主主要要文文档档资资料料是是系系统统设设计计报报告告,包包括括系系统统概概要要设设计计说说明明书书和和详详细细设计说明书。设计说明书。系统实施阶段
9、:系统实施阶段:其主要任务是根据系统详细设计说明书其主要任务是根据系统详细设计说明书用选定的程序语言或编程工具编写源程用选定的程序语言或编程工具编写源程序,进行程序的测试、模块的联调和系序,进行程序的测试、模块的联调和系统的总调,编写出系统操作手册或用户统的总调,编写出系统操作手册或用户手册,组织系统的试运行与评审。此阶手册,组织系统的试运行与评审。此阶段的主要文档资料包括源程序表,系统段的主要文档资料包括源程序表,系统测试报告、操作手册和评审报告等。测试报告、操作手册和评审报告等。运行维护阶段:运行维护阶段:其主要任务是正式使用系统,并且在需其主要任务是正式使用系统,并且在需要时进行系统维护
10、。此阶段的主要文档要时进行系统维护。此阶段的主要文档资料有系统运行日志和系统维护报告。资料有系统运行日志和系统维护报告。系统生命周期法适用于开发较大型、综系统生命周期法适用于开发较大型、综合、功能明确且复杂的信息系统合、功能明确且复杂的信息系统(三)(三)计算机信息系统开发的计算机信息系统开发的审计审计 (1)审查系统开发的可行性。)审查系统开发的可行性。(2)审查系统功能的合规、合法性。)审查系统功能的合规、合法性。(3)审查系统程序控制的恰当性。)审查系统程序控制的恰当性。(4)审审查查系系统统的的可可审审性性(注注意意留留下下充充分分的审计线索)。的审计线索)。(三)(三)计算机信息系统
11、开发的计算机信息系统开发的审计审计 (5)审审查查系系统统测测试试的的全全面面恰恰当当性性(参参与与系统测试,审查测试数据、过程和结果)。系统测试,审查测试数据、过程和结果)。(6)审查系统文档资料的完整性。)审查系统文档资料的完整性。(7)审查系统的可维护性。)审查系统的可维护性。四四、计计算算机机信信息息系系统统的的内内部部控控制制 (一)(一)一般控制一般控制(general controlgeneral control)指指对对信信息息系系统统的的构构成成要要素素和和环环境境实实施施的的控控制制,包包括括组组织织控控制制、硬硬件件与与系系统统软软件件控控制制、系系统统安安全全控控制制、
12、系系统统开开发发与与维维护护控制。控制。1.1.组织控制组织控制 最最基基本本的的要要求求是是程程序序员员与与系系统统维维护护人人员员不不能能负负责责业业务务的的处处理理,不不能能操操作作已已正正式式投入使用的系统。投入使用的系统。2 2硬件与系统软件控制硬件与系统软件控制 (1 1)硬硬件件控控制制指指确确保保硬硬件件运运行行正正确确的的控控制制,包包括括:奇奇偶偶校校验验、重重复复处处理理、回波检验等。回波检验等。(2)系系统统软软件件控控制制指指编编写写在在系系统统软软件件中中,为为提提高高系系统统安安全全而而设设立立的的控控制制,包包括括:错错误误的的处处理理、程程序序保保护护、数数据
13、据文文件保护、系统接触控制等。件保护、系统接触控制等。3.3.系统的安全控制系统的安全控制 ()接触控制接触控制 硬件的接触控制硬件的接触控制 软件和数据文件的接触控制软件和数据文件的接触控制 系统文档资料的接触控制系统文档资料的接触控制()后备控制后备控制 硬件备份硬件备份 磁性文件备份磁性文件备份 应应急急计计划划(又又叫叫灾灾难难补补救救计计划划)指指预预先先制制定定的的,万万一一系系统统出出现现灾灾难难性性损损毁毁时时的的应应急急措措施施和和利利用用后后备备的的硬硬件件、软软件、数据文件恢复系统的计划。件、数据文件恢复系统的计划。()环境安全控制环境安全控制 电源的控制电源的控制 其他
14、环境控制其他环境控制 ()计算机病毒与黑客的防范控制计算机病毒与黑客的防范控制2.2.系统的开发与维护控制系统的开发与维护控制 ()系统开发前应进行可行性研究。系统开发前应进行可行性研究。()系系统统的的设设计计应应有有用用户户的的代代表表和和内内审审人员的参加。人员的参加。()系系统统的的检检测测应应有有用用户户代代表表和和内内审审人人员员的的参参加加,经经验验测测满满意意的的新新系系统统,要要经经过过与与原原系系统统并并行行试试运运行行一一定定时时期期,并并经经过审批才能正式投入使用。过审批才能正式投入使用。()系系统统正正式式投投入入运运行行以以前前,应应按按规规范范要求编制好系统的文档
15、资料。要求编制好系统的文档资料。(二二)应用控制应用控制(Application Application controlcontrol)1.1.输入控制输入控制 (1)(1)只有经授权的人才能进行输入操作,只有经授权的人才能进行输入操作,要按规定输入真实的数据,输入操作要要按规定输入真实的数据,输入操作要作记录,输入数据要经核对才能处理。作记录,输入数据要经核对才能处理。(2)(2)由计算机对输入的数据进行检查,以由计算机对输入的数据进行检查,以防止和发现数据输入的错误。防止和发现数据输入的错误。(3)(3)凡被计算机发现的错误,应由操作员凡被计算机发现的错误,应由操作员检查,由出错的人改正后
16、重新向系统提检查,由出错的人改正后重新向系统提交。交。常见的计算机检验技术常见的计算机检验技术 (1 1)业务数点计与控制总数核对。)业务数点计与控制总数核对。(2 2)代码的有效性检验。)代码的有效性检验。(3 3)顺序检验。)顺序检验。(4 4)平衡检验。)平衡检验。(5 5)合理性检验(又称极限检验)。)合理性检验(又称极限检验)。(6 6)完整性检验。)完整性检验。(7 7)数据类型、长度、符号等检验。)数据类型、长度、符号等检验。2.2.处理控制处理控制 ()控制只有经批准的人才能执行数据控制只有经批准的人才能执行数据处理操作,并要作好操作记录。处理操作,并要作好操作记录。()由计算
17、机对处理条件进行检验,保由计算机对处理条件进行检验,保证满足条件才能处理。证满足条件才能处理。()由计算机对处理结果进行检验,加由计算机对处理结果进行检验,加强处理结果的正确性。强处理结果的正确性。3.3.输出控制输出控制 (1 1)控制只有经批准的人才能执行输出)控制只有经批准的人才能执行输出操作,并要作好操作记录。操作,并要作好操作记录。(2 2)打印输出的资料要进行登记,并经)打印输出的资料要进行登记,并经有关人员检查后签章才送出使用或按要有关人员检查后签章才送出使用或按要求归档保管。求归档保管。(3 3)应建立输出资料的传递、签收与应建立输出资料的传递、签收与保管制度,未经批准的人不得
18、接触系统保管制度,未经批准的人不得接触系统的输出资料。的输出资料。五、计算机服务中心五、计算机服务中心 审计人员应复查本单位与这些服务中心审计人员应复查本单位与这些服务中心签定的合同,以确定已提出的数据所有签定的合同,以确定已提出的数据所有权和保密要求。错误或处理延迟、记录权和保密要求。错误或处理延迟、记录丢失或者服务终止的责任等应清楚地加丢失或者服务终止的责任等应清楚地加以介定。应建立当发生影响服务中心操以介定。应建立当发生影响服务中心操作的紧急情况时的应急计划,也应有该作的紧急情况时的应急计划,也应有该中心结业或迁移时对计算机服务的明确中心结业或迁移时对计算机服务的明确安排。安排。六、对计
19、算机信息系统的功能六、对计算机信息系统的功能或应用程序审计的技术或应用程序审计的技术 1测试数据法:测试数据法:它是设计测试性数据以它是设计测试性数据以检查计算机系统是否能按预期要求运作检查计算机系统是否能按预期要求运作的方法。的方法。采用检测数据法对计算机系统的功能进采用检测数据法对计算机系统的功能进行审查的方法是:把预先准备好的检测行审查的方法是:把预先准备好的检测业务输入被审的系统进行处理,得到处业务输入被审的系统进行处理,得到处理的结果与审计人员根据正确的处理原理的结果与审计人员根据正确的处理原则准备的应有结果比较,进而导出审计则准备的应有结果比较,进而导出审计结论。结论。检测数据应包
20、括下列两类:检测数据应包括下列两类:正常的、有效的业务数据。它们可以正常的、有效的业务数据。它们可以审查系统的处理功能是否恰当。审查系统的处理功能是否恰当。有错漏、不完整、不合理、不正常的有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功业务数据。它们用于审查系统的控制功能是否有效。能是否有效。2.2.平行模拟(并行模拟)法平行模拟(并行模拟)法 用这种方法,审计人员要建立一套模拟用这种方法,审计人员要建立一套模拟被审系统处理和控制功能的应用程序。被审系统处理和控制功能的应用程序。所处理的数据可以是测试数据,也可以所处理的数据可以是测试数据,也可以是实际数据。数据在被审单位系统
21、中运是实际数据。数据在被审单位系统中运行,也在模拟系统中运行,比较两者运行,也在模拟系统中运行,比较两者运行的结果,进而导出审计结论。行的结果,进而导出审计结论。3.3.受控处理受控处理 受控处理法是在系统正常的运行中,审受控处理法是在系统正常的运行中,审计人员监控系统对各类真实业务的处理计人员监控系统对各类真实业务的处理并取得相应的处理结果;同时,审计人并取得相应的处理结果;同时,审计人员根据正确的处理原则得到相应的业务员根据正确的处理原则得到相应的业务正确的处理结果;把系统处理结果与正正确的处理结果;把系统处理结果与正确结果比较,从而导出审计结论。确结果比较,从而导出审计结论。4.4.受控
22、再处理法受控再处理法 保留以前测试此系统所用的测试数据和保留以前测试此系统所用的测试数据和测试结果,在需要对系统再次测试时,测试结果,在需要对系统再次测试时,把以前处理测试数据输入把以前处理测试数据输入系统进行再处系统进行再处理,把再处理结果与以前的处理结果比理,把再处理结果与以前的处理结果比较,从而确定被审系统或程序是否被改较,从而确定被审系统或程序是否被改动过,功能是否正确。动过,功能是否正确。5.5.整体测试法整体测试法(ITF)(ITF)采用此方法,先在系统中建立一个虚拟采用此方法,先在系统中建立一个虚拟个体,就虚拟个体设计有关的测试业务,个体,就虚拟个体设计有关的测试业务,在被审系统
23、处理真实业务的同时处理虚在被审系统处理真实业务的同时处理虚构个体的测试数据,将系统对测试业务构个体的测试数据,将系统对测试业务的处理结果与应有的预期结果比较,从的处理结果与应有的预期结果比较,从而判断被审系统的处理和控制功能。该而判断被审系统的处理和控制功能。该方法较可靠,但如果未能恰当处理虚拟方法较可靠,但如果未能恰当处理虚拟的测试数据,可能对被审单位真实的业的测试数据,可能对被审单位真实的业务数据造成破坏或影响。务数据造成破坏或影响。6标记和跟踪标记和跟踪 为避免对真实数据影响,标记某些数据为避免对真实数据影响,标记某些数据或业务类型,跟踪标记业务通过系统的或业务类型,跟踪标记业务通过系统
24、的过程,并用这些标记的数据建立一个审过程,并用这些标记的数据建立一个审计数据文件。该文件将证明系统对标记计数据文件。该文件将证明系统对标记业务的处理和控制情况,可用于对计算业务的处理和控制情况,可用于对计算机系统的审计。机系统的审计。7程序分析(程序编码审查法)程序分析(程序编码审查法)此方法指对程序编码的详细分析,从而此方法指对程序编码的详细分析,从而确定系统是怎样处理的,有什么控制,确定系统是怎样处理的,有什么控制,是否能实现预定的功能。是否能实现预定的功能。8其其它它技技术术。除除上上述述各各方方法法外外,还还有有流流程程图图验验证证法法、程程序序比比较较法法、程程序序跟跟踪踪法法等方法
25、。等方法。七、计算机辅助审计七、计算机辅助审计 1 1计算机辅助审计管理与审计办公自动计算机辅助审计管理与审计办公自动化:字处理软件、电子表格软件及其他化:字处理软件、电子表格软件及其他办公自动化软件。办公自动化软件。2 2对计算机信息系统的数据文对计算机信息系统的数据文件审计的技术件审计的技术 (1 1)利用审计软件辅助审计(通用审计)利用审计软件辅助审计(通用审计软件、专用审计软件)软件、专用审计软件)(2 2)利用数据库管理系统辅助审计(如)利用数据库管理系统辅助审计(如SQLSQL、INFORMIXINFORMIX等)等)(3 3)利用被审电算系统的功能辅助审计)利用被审电算系统的功能
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息技术 计算机 审计
限制150内