《信息系统审计.docx》由会员分享,可在线阅读,更多相关《信息系统审计.docx(13页珍藏版)》请在三一办公上搜索。
1、信息系统审计【字体:大中小】【打印】刖言:如果不掌握计算机技术,将失去审计资格李金华1998计算机审计骨干的要求:1. 能打开审计单位数据库2. 能转换被审计单位数据3. 能使用审计软件进行查询和分析4. 能在审计现场搭建临时网络5. 能排除常见的软硬件故障审计署计算机审计中级培训信息系统审计在进行数据式审计时,关注信息系统审计,以保证数据的可靠性和可用性.内部审计中计算机技术的地位1. 内部审计在治理、风险、控制中的作用2. 实施内部审计业务3. 经营分析与信息技术(1)计算机审计技术:计算机辅助审计(2)信息系统审计信息化的影响1. 信息化的发展给审计对象带来的影响被审计单位的信息系统很多
2、2. 最早开展信息技术审计的人民银行目前使用的业务信息系统有26种被审计单位的财务软件很多3. 怎么审?审什么?目标,方法,程序,证据,模式。信息化环境下的审计对执业人员的知识技能要求1. 审计专业技能2. 信息系统知识与应用技能(1)信息化对审计的影响 会计信息化对审计的直接影响 信息化环境下审计的特点 案例(2)信息系统的构成(3)信息系统审计标准和程序(4)信息系统审计的内容IT治理(5)CISA在我国的发展信息化发展的影响一、历史上四次影响到审计的IT事件(1)美国产权基金公司(2)美国电话电报公司(3)安然和安达信公司(4)911恐怖事件美国产权基金公司1964-1973 通过运用虚
3、假保险政策来虚增利润,使公司股票大幅上涨。Touche Ross事务所花了两年的事件进行审计,证实了保险政策的 虚假。首次采用“通过计算机审计”方式进行审计 绕过计算机审计,通过计算机审计,利用计算机审计 1998年,AT&T公司的IT故障导致全世界的通讯受到严重影响,由于软件和程序的错误,一台主要的交换机发生故障,信用卡 持卡用户18个小时内无法正常交易。 人们开始关注IT服务的可靠性。风险的认定?银联420事件。安然和安达信导致2002年萨班斯法案诞生。对财务审计提出了新的要求。在上市公司的年度审计中加入了内部控制的内容。为信息系统审计提供了法律依据。成立了 PCAOB (上市公司会计监督
4、委员会)对信息系统审计的影响: 大多数公司的财务报告由IT系统产生,公司对电子数据、文件和处理过程有很多依赖。IT对于财务报告方面的内部控制会产 生影响。 CIO对管理和报告财务数据的系统的安全性、准确性、可靠性负责,而ERP系统将业务和财务紧密结合在一起。萨班斯法案要 求:系统必须经过评估。 COSO内部控制框架,内部控制的五个要素都受到IT的影响,对内部控制的评估要包括信息系统。 安全性的要求911事件进行了充分灾难恢复计划的公司在24小时内恢复了业务运行,而没有此项计划的公司破产。对灾难恢复和业务持续计划的影响 上海地铁四号线建设的塌方事件。 数据设备冗余?意外 灾备中心?灾难2. 我国
5、计算机审计产生背景(1)我国的计算机审计起步较早,在80年代末90年代初随同财务软件的起步就已经开始,其主要集中在政府审计领域。(2)早期的“计算机中心”:硬件,软件(3)从审计工作自身的角度来说,有两个方面的原因促使计算机审计的产生。 审计业务范围的不断扩大。财政财务收支经营管理,经济效益,绩效事后、事中、事前 人们对电子数据处理过程及其影响的认识不断深入。数据、数据处理过程计算机犯罪江苏某市银行计算机辅助审计背景:会计和审计(1)审计和会计的关系 审计和会计不存在必然联系 任何可量化的信息都可以成为审计的对象 只要审计人员与被审计整体能够就审计过程中用以确定符合程度的标准达成一致。 审计人
6、员关注的有关经济活动和经济事项的认定,通常与会计交易及其产生的帐簿余额有关。蒙哥马利审计学(2)审计的定义审计是一个系统化的过程,即通过客观地获取和评价有关经济活动与经济事项认定的证据,以证实这些认定与既定标准的符合 程度,并将结果传达给有关使用者。审计基本概念说明,美国会计学会,1973会计信息化的发展对审计的影响(1)手工:证,帐,表部分使用计算机(2)计算机辅助,(会计电算化)单机辅助审计(3)集成:(会计信息系统)单机,网络财务部门审计软件,采集数据(4)ERP软件的使用ERP的发展MRP,MRP2,ERP,CRM,SCM信息系统审计1. 对审计线索的影响(1)传统的手工会计系统,审计
7、线索包括凭证、日记账、分类账和报表。(2)审计人员通过顺查或逆查的方法来审查每一笔记录,检查和确定其是否正确地反映了被审计单位的经济业务,检查企业的财 务活动是否合法。(3)电算化信息系统对审计线索产生以下影响:(4)从经济业务数据进入计算机到会计报表的输出都由计算机按程序指令自动完成,各项处理没有直接的责任人。纸性的凭证,账簿和报表由磁性数据文件代替。保存在磁性介质上的数据可能被篡改而不留痕迹,除非依靠计算机和应用程序,否则无法阅读。数据的保管为了继续跟踪审计线索,顺利完成审计任务,在电算化会计系统的开发和设计阶段,开发者已注意使系统在处理问题时留下可跟 踪的审计线索,另外,审计人员还要学会
8、从磁性文件中查找审计线索。例如日志,数据恢复。2. 对审计技术手段的影响审计的技术手段也应由手工操作向电子计算机操作转变.不是说在审计中能用电子计算机完全替代手工操作,而是审计人员应该掌握电子计算机科学及其应用技术,把电子计算机当作一 种有力的审计工具来使用。3. 对会计系统内部控制的影响(1)现代系统基础审计,也就是审计人员要对会计系统的内部控制进行审查和评价(2)会计系统实现了电算化,出现了新的特点,风险。(3)审计人员必须研究电算系统的内部控制,掌握其审计方法.。如:账户密码。(4)对于程序控制,审计人员要利用计算机辅助审计技术进行审计。如:分析代码,数据测试。4. 对审计人员的影响(1
9、)审计人员面临着更新知识的需要:(2)不仅要有传统的审计知识和技能,而且还要掌握计算机和会计电算化方面的知识和技能;(3)了解如何审计计算机系统,如何利用计算机进行审计;(4)有时候还需要审计人员自行开发或协助开发计算机审计软件或辅助审计软件。信息化环境下审计的特点1. 审计范围的广泛性。在电算化信息系统中,要确定系统的合法性,效益性,系统输出结果的真实性,不仅要对输入数据,操作系统的工作人员及其打 印输出的资料进行审查,而且还要对计算机的硬件、系统软件、应用程序和机内的数据文件进行审查,而这些内容在传统的手工审计 中是没有的。2. 审计线索的隐蔽性、易逝性。在电算化信息系统中,审计需要跟踪的
10、审计线索大部分存储在磁性介质上,这些线索是肉眼不可见的,容易被篡改、隐匿,也容 易被转移、销毁或伪造。在实时系统中,有些数据只存在很短的时间就被新的数据所覆盖。在审计中,如果操作不当,很可能破坏系 统的数据文件和程序,从而毁坏了重要的审计线索,甚至干扰被审系统的正常工作。3. 审计取证的实时性和动态性。在大中型企事业单位中,电算化信息系统是一个企业不可缺少的神经系统,该系统如果停止工作,有时会直接影响单位的生产经 营活动。例如:有些企业的电算化会计信息系统每天都要结算成本和利润,审计人员一方面要及时完成审计任务,另一方面又要不干扰被 审系统的正常工作。连续性审计:联网审计,实时审计,在线审计,
11、网络审计4. 审计技术的复杂性。由于不同被审单位的计算机设备各式各样,各种计算机的功能各异,所配备的系统软件也各不相同。由于不同单位的业务规模和性质不同,所采用的数据处理和存储方式也不同。对于审计的思考(审计和会计及其定位)I审计的学科属性II管理学III管理科学与工程III工商管理IV会计V审计III公共管理II大审计概念的提出III安全审计III环境审计III绩效审计III信息系统审计案例(1) 北京移动:技术安全不是安全的全部。(2) 某商业银行:内部控制。(3) 中国银联:信息系统的可用性。(4) 上海某超市:串谋。网络技术安全不是信息安全的全部(1)工程师侵入北京移动数据库2005年
12、3月至7月,软件研发工程师程稚瀚利用互联网4次侵入北京移动充值中心数据库,盗取充值卡密码并通过淘宝网出售, 共获利370余万元。程稚瀚利用他为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西 藏移动的服务器,程稚瀚又跳转到了北京移动数据库,并取得了数据库的最高权限,通过读取数据库日志文件,反推破译出密码,取 得了数据。从2005年3月至7月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充 值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利370余万元。直到2005年7月,由于一
13、次“疏忽”,程稚瀚将一批充值卡售出时,忘了修改使用期限,使用期限仍为90天。购买到这批充值 卡的用户因无法使用便投诉到北京移动,北京移动才发现有6600张充值卡被非法复制,立即报警。2005年8月24日,程稚瀚在深圳被抓获,所获赃款全部起获。(2)农行小职员何以挪用公款800万2003年3月16日,某银行分理处坐班主任冯侃从该分理处“无名户”账号取款2万元,借给同学夏某做生意周转。2004年3月, 冯侃将夏某归还的2万元钱直接存到自己个人账号,先后3次转入17 750元到亚洲证券冯侃证券账户,全部用于购买股票,进行股票 交易。这次偶然的机会,让急于用钱的冯侃发现了 “取钱”的方式。2003年年
14、底,该分理处在给一储户结算存款利息时发现,以前储户 存款时,操作人员误将存款利率代码操作成贷款利率代码,结果多付了利息,最后冯侃与主管会计羿凯一起修改存款利率代码,并进 行账务处理。几次将手伸向公款,都没有被发现,冯侃的胆子也越来越大。2004年6月1日下午下班前,冯侃在该分理处营业室主机上用骗取 的柜员号进入农行存放系统,将715科目某账号800万元转入冯侃个人账户。2004年6月2日,冯侃在家中用私人电脑通过亚洲证券 网上股票交易系统将800万元转入个人证券资金户,用于购买股票,进行股票交易。2004年6月30日,冯侃将卖出股票收回的385 万元转入某账号,归还385万元。(3)银联瘫痪8
15、小时广深京沪叫苦2006年4月20日上午10时56分,中国银联系统通信网络和主机出现故障,造成辖内跨行交易全部中断。这是2002年中国银联 成立以来,首次全国性因系统故障造成的跨行交易全面瘫痪。此次故障波及中国银联所属的18个分公司,包括广州、深圳、北京、上海等全国大部分地区,具体表现在ATM机不能跨行取款, POS机不能刷卡消费,网上跨行交易不成功。(4)“黑客”入侵收银系统偷偷侵入超市收银系统,装入一个“攻击程序”,每天将超市销售记录的20%自动删除,并将其装入自己的腰包。一伙成员达43 人的超市内部高智商犯罪团伙,通过分工合作,在短短10个月内侵占了超市营业款397余万元。主要犯罪分子方
16、元是某市某大型超市资讯员,维护超市收银机程序的正常运转。电脑程序员对于电脑程序缺陷尤其敏锐,为了贪 些小便宜,他先让面包和饮料经过正常收银过程,再利用程序将面包和饮料的收银记录删除。这样一来,他“合法”占有了面包和饮 料,而超市实际上并没有收到货款。如此试验了几次之后,方元发现自己的偷窃行为并未被超市发现。这让他确信,超市计算机系统 存在漏洞。为此,方元设计了一个攻击性补丁程序,偷偷放在收银系统内,只要当班的收银员输入口令,这个程序会自动运行,删除该营业 员当日20%的销售记录后,再将营业数据传送至会计部门,造成会计部门只按实际营业额的80%向收银员收取营业额,另外20%营业额 即可被侵吞。但
17、是,这一庞大的犯罪计划还有赖于收银员的密切配合才能实现。于是,方元又将自己的“发明”告诉了于某、陈某等人,迅速 召集了一群同伙。方元负责设计非法程序,并根据超市收银系统版本的升级,随时更新非法程序,超市员工王某、向某等人负责将该 非法程序植入该超市的各家门店。陈某、赵某等人则开始物色不法人员,通过应聘等方式安插到各家门店的收银员岗位,再进行截留 营业款的技能“培训”。自此,一个43人的犯罪团伙已经成型。从2004年6月至2005年8月期间,他们利用这一方法,先后侵吞营业款397万元,每个 人按比例分得赃款数千元至50万元不等。新问题:信息成为重要的资产。信息系统成为重要的资产。对于信息系统的安
18、全性,可靠性,可用性要提供保证。对于信息系统的设计、开发、运行、维护要进行审计。对于信息系统涉及到的人员要进行审计。对于信息系统运行的效率要进行审计。二、信息系统构成信息系统构成:硬件:计算机、打印机软件:系统软件,应用软件数据库:oracle,DB2网络和通讯:路由器,网卡场所:集中、分布、人员:业务人员,管理人员管理:政策、制度、法律从业务角度来看信息系统构成(信息系统审计的内容)wi ndowsNTZNUIX打站略战程Is政过财务报告1000三、信息系统审计的定义、标准、程序ISACA“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织
19、的资源并 有效果地实现组织目标的过程”。CIA 与 CISAIIA协会EDP协会ISACA协会CISAISACA 与 CISAISACAInformation System Audit and Control Association(信息系统审计与控制协会),唯一有权授予信息系统审计师资格的跨国界、跨行业的专业机构。成立于1969年,最初称为EDP审计师联合会,总部在芝加哥。CISA ertified Information System Auditor (注册信息系统审计师),通过ISACA注册资格考试的专业人员。COBIT进行信息系统审计实际上的标准信息系统审计准则、指南和程序ISACA的
20、准则、指南和程序准则一一总纲,描述IS审计师资格条件、基本规范,是制定指南和程序的依据。指南一依据准则制定,准则的具体化,规定审计师执行审计业务、出具审计报告的具体指南。程序一依据准则与指南制定,为审计师提供一般审计业务的程序和步骤,提供工作范例。ISACA审计准则内容:S1审计章程S2独立性S3职业道德及准则S4专业胜任能力S5计划S6审计工作实施S7报告S8后续审计S9违规和非法行为S10 IT治理S11在审计计划中运用风险评估信息系统审计指南目录:使用其他审计人员的工作成果对审计证据的要求使用计算机辅助审计技术信息系统审计中的重要性概念审计抽样O OOO OO对ERP系统的审查对电子商务
21、的审查信息系统审计程序目录:对信息系统风险评价的审计程序对数字签名的审计程序对非法入侵预警的审计程序对病毒和其他恶意程序的审计程序对控制风险自评的审计程序对防火墙的审计程序对违规违法行为的审计程序四信息系统审计的内容IS审计流程(约占10%);IT治理(约占15%);系统和基础设施生命周期管理(大约16% );IT服务管理与支持(大约14%);信息资产的保护(大约31%);业务持续计划和灾难恢复(大约14% )o=实施阶段对信息系统审计的认识定位:在进行数据式审计时,关注一下信息系统审计,以保证数据的可靠性和可用性。审计从事后向事中、事前转移。效益审计定位和目标:方法?内容?国家审计机关信息系
22、统审计培训的主要内容:信息系统审计基础、IT治理;信息系统生命周期审计;信息系统安全性审计;信息系统应用控制审计;信息系统审计案例。国家审计机关的措施:鼓励个人获取专业资格认证:CISA,CISSP,ITIL,COBIT,ORACLE。培养和储备专业人才IT治理的标准:ITGI: COBITGovernanceManagementControlAuditCOBR1 COBH 2 COBR 3 COBH 419961998 2QQ0 2Q05IT治理什么是治理?治理和管理IT治理和IT管理IT审计,手写板图示0103-01组织发展的历程巨大杂货OOO计会 T-员O正O经理。员工 CEO I IT
23、CIO X CIO治理COBIT其他IT管理框架组织可以考虑使用不同的IT模型、标准和最佳实务,前提是必须要理解它们之间的相互关系。COSO9000SCOPE OF COVERAGEHOWISO 177WHATCOBITITILWhere Does COBIT Fit?DiiveisFnteipiiseGovenuiiiceIT GowimnceBest Pi retirePiocesws mid Piocedme;PERFORMANCECONFORMANCEBusiness Go*II. Sibnes-Oxley Act. etcScoiecidCOSOISOISOISO9001 20002
24、0000QAPiocediuesSecmity Pimcqjies五、CISA信息系统审计师信息系统审计师(CISA)认证是国际信息系统审计与控制协会(ISACA )于1978年发起的针对IT审计人员的执业资格认证,目 前已成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。在国内,此认证于2001年引入中国,并成立了第一个CISA考点。自此,考试人数和通过人数逐年增多,到目前为止,国内通过CISA考试的人员约有1000人左右,获得CISA证书的约有400人。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他 对信息系
25、统审计感兴趣的人员。获得CISA认证资格,通过考试仅是必要条件,另外还需要从事信息系统审计、控制与安全相关工作(如参加信息系统审计项目或 者研讨会)5年以上经验。只有具有这些经验证明后才可以获得CISA资格认证。到2005年为止,全球参加考试和通过考试的统计情况如下所示:参加者通过者通过率香港 539 260 48.2%中国大陆313 47 15.0%国际 16375 8506 51.9%其他有关情况:(1)目前:5个考点、时间(2)内容:与CIA区别和联系(3)费用和语言问题(4)学习资料问题(5)前景问题内部审计具体准则讨论稿(1)信息技术审计准则讨论历程(2)2006年2月,国家开发银行
26、稽核评价局受中国内部审计协会委托,进行内部审计准则一一信息技术审计的起草工作。(3)2006年6月提交初稿(4)2006年9月,毕马威华振会计师事务所加入。起草。(5)2007年5月提交中内审协会准则委员会。2007年7月,提出修改意见。(6)2007年12月,最后一次研讨、定稿。信息技术审计(1)定义:组织内部审计人员对信息技术内部控制和流程以及信息系统进行的一系列综合检查,评价和报告活动。(2)目的:合理保证组织的信息技术战略充分反映组织的业务战略目标,提高组织所依赖的信息系统的可靠性,稳定性,安全性, 数据处理的完整性和正确性,提高信息系统运行的效率和效果,确保信息系统的运行符合法律法规和监管要求。
