《计算机审计与信息系统审计.ppt》由会员分享,可在线阅读,更多相关《计算机审计与信息系统审计.ppt(80页珍藏版)》请在三一办公上搜索。
1、12-计算机审计与信息系统审计,内容,计算机审计信息系统审计,计算机审计产生的原因,1.审计外部环境信息化是推动计算机审计产生和发展的外部因素审计署前审计长李金华指出:审计人员不掌握计算机技术,将失去审计的资格。信息化对审计产生了巨大影响,主要表现在:数据电子化、审计线索不易识别、数据量急剧增加、数据易被篡改、数据易消失、内部控制易失效、对审计人员的信息技术要求提高。,2.企业经营规模越来越大是推动计算机审计发展的内生动力。审计目标、范围、职能不断扩大,对审计提出了更高的要求。3.计算机技术(特别是软件技术)的发展提高了计算机审计的工作效率和审计质量。利用计算机软件系统自动发现审计问题和线索,
2、利用互联网实现实时审计。,计算机审计,计算机审计是审计人员将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,从而实现对会计信息系统的审计。计算机审计的概念有广义和狭义之分。,目前有三种观点:对计算机管理的数据进行审计对管理数据的计算机进行审计即对计算机也对计算机管理的数据进行审计,经过长期的实践,国际上以及我国审计署将计算机审计主要定位在第一种观点,也称计算机辅助审计,或称审计信息化、数字审计等。第二种观点演变为信息系统审计。,计算机审计与信息系统审计的区别,1.审计对象不同。计算机审计主要对象是信息系统中的电子数据。信息系统审计主要对象是存储电子数据的信息系统。,2.工作侧重点不同
3、。计算机审计是通过对电子数据的采集、转换、清理、验证、分析,发现审计线索,收集审计证据,从而形成审计结论。计算机审计虽然也需要验证信息系统提供的电子数据的真实性、准确性和完整性,但这种验证具有一定的局限性。信息系统审计是通过对信息系统的调查与了解,对系统控制及系统功能的分析与测评,综合评价一个信息系统是否能够满足安全性、有效性、与经济性目标,是否能够提供真实、准确、完整的电子数据。,3.使用的技术方法不同。计算机审计主要使用与数据采集、转换、清理、验证、分析的数据方法,包括审计数据采集转换技术、审计中间表技术、审计模型构建技术、数据分析方法等。信息系统审计主要采用系统调查、系统分析、系统测试和
4、系统评价的技术方法。,计算机审计与信息系统审计的联系,计算机审计和信息系统审计是同一事物的两个方面,两者有密切联系。信息系统中存在的问题必然会反映到电子数据中,计算机审计发现的问题可以作为信息系统审计的参考和线索。电子数据是信息系统功能的重要体现,信息系统审计通过对不同电子数据的分析、处理和测试,以评价信息系统的准确性。,相关资格认证考试,注册内部审计师(CCIA-CHINA CERTIFIED INTERNAL AUDITOR):中国内部审计协会组织的考试。国际注册内部审计师(CIA):国际内部审计师协会(INSTITUTE OF INTERNAL AUDITORS 简称 IIA)组织的考试
5、。国际信息系统审计师(CISA-Certified Information Systems Auditor):信息系统审计与控制协会ISACA(Information Systems Audit and Control Association)组织的考试。,计算机审计的基本方法,计算机审计人基本方法经历了绕过计算机审计、利用计算机审计、穿过计算机审计和联网审计四个阶段。,绕过计算机审计,绕过计算机审计是指审计人员不审查计算机内部程序和数据文件,只审查输入数据和打印输出资料及管理制度的方法,该方法又称“黑盒”审计。主要应用于20世纪50年代中期至60年代中期。会计电算化还处于起步阶段。,绕过计算
6、机审计的优缺点,优点:审计技术简单,审计人员计算机水平要求不高。较少干扰被审系统的正常工作。缺点:审计线索和审计证据不充分。审计风险较高适用范围适用于被审计业务简单,处理过程较单一,输入资料与输出资料比较密切且内部控制制度健全。因此,该方法适用于内部控制比较健全的、业务简单的中小企业的审计。,利用计算机审计,利用计算机审计又称为计算机辅助审计,是指利用计算机技术和审计软件对会计信息系统所进行的审计。主要在1965-1970这一阶段,会计信息系统被广泛应用。利用计算机技术和审计软件,可以帮助审计人员减轻负担、加快审查速度、提高审计效率。,审计软件一般分为两种:一种是通用审计软件,能够获取、计算、
7、分析会计信息系统中的数据,适用于多种审计工作。另一种是专用审计软件,是为了某个特定的系统或审计项目而编写的程序。,利用计算机审计的过程,原始数据,信息系统,输出数据,计算机审计软件,绕过,利用计算机审计的优缺点,优点:审计结果较为可靠,扩大了审计范围,数据收集更为齐全,抽样审计向全面审计扩展,审计结论更加可靠;审计独立性较强;提高了审计效率。缺点:审计技术较复杂,要求审计人员掌握必备的计算机技术知识和审计软件的操作;审计成本较高,审计人员培养成本增加,须购置审计软件。,适用范围:适用于会计信息系统使用较为成熟,且业务处理较为复杂的、内部控制制度较为完善的大中型企业。,穿过计算机审计,1970年
8、以后,随着会计信息系统和其它业务系统一体化集成的发展,大量的数据由其它系统自动产生,业务处理日益复杂,原始数据的录入大幅度减少,被审对象的边界越发模糊。计算机审计进入到“穿过计算机审计”发展阶段。,财务-业务一体化系统:用友ERP-U8,穿过计算机审计又称“白盒”审计或直接审计,这种审计方式不仅要求审查被审计单位的输入与输出数据,还要审查被审计单位会计信息系统的系统程序、应用程序、数据文件以及计算机硬件等系统,在对被审系统的可靠性评价的基础上来确定审计结论。,穿过计算机审计的优缺点,优点:审计风险低,直接对会计信息系统的程序及数据进行审查,对系统内部控制可靠性进行科学评价。增强了审计独立性、可
9、靠性,提高了审计质量。缺点:审计技术复杂,要求对计算机技术、程序设计、数据处理等知识非常熟悉;易干扰被审系统的正常工作,会占用被审系统较多的正常工作时间。,适用范围:由于这一审计模式对审计人员素质提出了更高的要求,而且审计成本很高,因此这一审计模式适用于大中型会计师事务所对业务处理复杂、系统集成度较高的大中型企业的审计工作。,联网审计,所谓联网审计,就是在线实时审计,是指通过审计机关和被审计单位的网络互联,实时审查被审计单位会计信息系统的审计方式。,1990年以来,随着互联网和电子商务的发展,现代信息技术为计算机审计的发展带来前所未有的机遇。审计人员只要把自己的计算机连接到网上,并取得被告审计
10、单位的审查权限,就可以在任何地方、任何时间通过网络完成除实地监盘和观察外的大部分审计工作。审计项目负责人可在网上制订审计计划,给不同地点的审计人员分配审计任务,并对审计人员监督与指导,随时了解审计项目的进展情况,协调审计人员的工作,草拟和签发审计报告。,联网审计的过程,原始数据,信息系统,输出数据,疑点信息和审计数据,预警方案,预警指标,联网审计的优缺点,优点:拓展了审计时空,加强了审计监督职能。可以实时连续地抽取审计数据,进行实时远程审计。变事后审计为事前、事中审计,变静态审计为动态审计,提高了审计效率,加强了审计的监督作用。缺点:网络安全问题是联网审计面临的固有风险以外的信息安全风险。会计
11、信息系统自身设计缺陷、黑客攻击、操作失误、审计采集数据的管理等风险问题在联网审计模式中需要重点关注。,适用范围:在线实时审计模式适用于企事业单位的内部审计和动态审计。是未来审计的发展方向。,讨论,我国现阶段主要的审计方式是哪些?制约我国审计方式发展的主要原因有哪些?,联网审计是金审二期规划中的重点建设项目,根据该规划,审计署将重点建设中央部门预算执行、海关、银行、社保等四类联网审计,并对中央财政组织预算执行、国税和大型企业等进行联网审计试点。目前已成功研制了中央部门预算执行联网审计系统,并从2010年开始在中央各部门推广使用。各地方政府也在逐步推广政府部门预算执行联网审计系统。,计算机审计的步
12、骤,前期准备内部控制的初步审查初步审查结果的评价内部控制测试实质性程序全面评价和编制审计报告,审计软件的分类,(1)审计作业软件 审计作业软件是审计工作的主要工具。(2)审计管理软件 审计管理软件是用来完成审计统计、审计计划等方面功能的审计软件。(3)专用审计软件 如海关审计软件、基建工程预决算审计软件、银行审计软件、外资审计软件等。(4)审计法规软件 法规软件主要是为了帮助审计人员在海量的各种财经法规中快速找出所需要的法规条目及内容。(5)联网审计软件,常见的审计软件,审计之星上海博科资讯有限责任公司在1997年发布。审计数据采集分析系统审计署驻南京办事处开发,是一个用来采集和分析被审计单位
13、电子数据的通用审计软件。用友审易-审计作业系统(V5.8)用友开发的与U8配套的通用审计软件,可以很好地将U8中的数据进行采集。通审2000中审审易中普审计软件,信息系统审计,信息系统审计的定义 信息系统审计是一个过程,在此过程中搜集和评估证据以确定信息系统和相关资源是否充分保护资产、维持数据和系统完整性、提供相关和可靠信息、有效实现组织机构目标、有效地使用资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。(国际ISACA协会)又称IT审计。,信息系统审计的三大目标,从以上信息系统审计的定义,可知信息系统审计项目依目标不同,有三大类:信息系统安全审计(安全性)信息系统可靠性审计(可
14、靠性)信息系统绩效审计(经济性),信息系统审计的内涵,IT审计是独立的第三方IT审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。主体:第三方审计师遵循相关标准(COBIT、信息系统审计指南)对信息系统的规划、开发、使用维护等一系列活动及产物进行检查和评估。,信息系统审计的要点:信息系统审计的对象是计算机为核心的信息系统。信息系统审计的目的是促使信息系统安全、可靠和有效。信息系统审计是一个过程,需要审计师的专业评价与判断。,网线,交换机/HUB,信息系统逻辑结构示意图,财务报表销售收入 1000万,会计核算系统,销售业务系统,信息资产保护,人,从
15、构成要素上来看,信息系统有以下组成部分:硬件软件网络数据人管理制度,信息系统审计的两大主题内容,审计本质是一种控制,从控制的角度来看信息系统,通常区分为信息系统一般控制与应用控制。两者的作用与范围不同。信息系统一般控制审计(GC)信息系统应用控制审计(AC),一般控制(GC)确认应用系统恰当开发或实施,确保程序与数据文件的完整性,确保信息系统良好运作。一般控制的控制措施适用于所有应用系统,是一种环境上的保证。应用控制(AC)与具体的应用系统有关,确保数据处理完整和正确。应用控制的设计结合具体业务进行。,一般控制与应用控制的关系,应用控制的有效性取决于一般控制的有效性一般控制是应用控制的基础,当
16、一般控制薄弱时,应用控制无法提供合理保障,一般控制审计的内容,源自:CISA Manual(国际信息系统审计协会ISACA),一般控制审计的五大内容,评估IT治理结构的效果,确保董事会对IT决策、IT方向和IT性能的充分控制;评估IT组织结构和人力资源管理;评估IT战略及其起草、批准、实施和维护程序;评估IT政策、标准和程序的制定、批准、实施和维护流程;评估IT资源的投资、使用和配置实务;评估IT外包战略和政策,以及合同管理实务;评估监督和审计实务;保证董事和执行层能及时、充分地获得有关的IT绩效信息,一般控制审计的内容,源自:CISA Manual(国际信息系统审计协会ISACA),信息系统
17、审计的五大内容,评估拟定的系统开发或采购,确保其符合组织发展目标;评估项目管理框架和项目治理实务,确保组织在风险管理基础上,以成本效益原则达成组织的业务目标;确保项目按项目计划进行,并有相应文档充分支持;评估组织相关系统的控制机制,确保其符合组织的政策;评估系统的开发、采购和测试流程,确保其交付符合目标;对系统实施定期检查,确保其持续满足组织目标,并受到有效的内部控制;,一般控制审计的内容,源自:CISA Manual(国际信息系统审计协会ISACA),信息系统审计的五大内容,评估服务管理实务,确保内部和外部服务提供商的服务等级是明确定义并受管理的;评估运营管理,保证IT支持职能有效满足了业务
18、要求;评估数据管理实务,确保数据库的完整性和最优化;评估能力的使用和性能监控工具与技术;评估变更、配置和发布管理实务,确保被详细记录;评估问题和事件管理实务,确保所有事件、问题和错误都被及时记录,分析和解决 评估IT基础构架(网络,软硬件)功能,确保其对组织目标的支持,一般控制审计的内容,源自:CISA Manual(国际信息系统审计协会ISACA),信息系统审计的五大内容,评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和经授权使用;评估网络框架和信息传输的安全;评估环境控制的设计、实施和监控,确保信息资产充分安全;评估保密信息资产的采集、存储、使用、传输和处置程序的
19、流程。,一般控制审计的内容,源自:CISA Manual(国际信息系统审计协会ISACA),信息系统审计的五大内容,评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性和可用性;评估组织的灾难恢复计划,确保一旦发生灾难,IT处理能力可以及时恢复;评估组织的业务连续性计划,确保IT服务中断期间,基本业务运营不间断的能力。,应用控制审计的内容,接口审计,参数控制,应用控制审计的内容,用户权限管理的基本原则:职责分离原则。对于同一组不相容权限,任何用户不能同时具有两种(或两种以上)的权限。未明确允许即禁止原则:除非用户有对于权限的需求得到了相关领导的明确批准,否则不应当授予用户任何权限。需求导向
20、及最小授权原则:对于用户的权限,应当以其实际工作需要为依据,且仅应当授予能够完成其工作任务的最小权限。,信息中心的职责分离矩阵,人力资源系统职责分离矩阵,应用控制审计的内容,输入控制,应用控制审计的内容,处理控制,应用控制审计的内容,输出控制,应用控制审计的内容,应用控制审计的内容,参数控制审计参数设置的正确性(合法性)参数调整的审批流程与权限参数调整的轨迹,应用控制审计的内容,接口审计自动接口手动接口环节,应用控制审计的流程,IT治理,IT治理是董事会和最高管理层的职责,是企业治理的重要组成部分。IT治理由领导、组织结构以及相关流程组成,这些流程能保证组织的IT有效支持及促进组织战略目标的实
21、现。,IT治理的使命,保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。,IT治理的目标,IT治理应着眼于以下目标:1、与业务目标一致 原则:服从于企业战略,不能背离2、有效利用信息资源 IT治理的使命:通过及时、有效的IT治理,促进信息的价值转化3、风险管理 通过IT治理:构建风险管理制度及风险应对决策;使风险透明化;有效的风险投资、管理和控制;风险的防范措施。实现:平衡信息技术与过程的风险,确保组织目标的实现。,IT治理的关键问题,IT治理的关键问题表现在:1、IT投资是否与企业经营在战略目标、策略和运营层面相融合,从而构筑必要的核心竞争力;
22、2、IT治理是否有助于合理的制度安排真正发挥其作用;3、在长期的IT应用中,是否持续地创造商业价值;4、是否有有效的风险管理机制。其中最关键的问题是第一点:IT治理应体现以“组织战略目标为中心”思想。,IT治理框架,构建IT治理框架包含三个方面:组织机构流程沟通机制,1、组织结构,(1)IT治理最高管理层(董事会)。IT战略的总体制定与决策者,负责指引信息化的方向与战略制定,平衡支持企业和使企业成长的投资。(2)IT治理委员会。向董事会负责,解决设计标准的问题,负责确立IT战略方向,决定和建立资金杠杆,批准所有主要的发展项目并监督结果。IT治理委员会责任:政策制定;控制(预算通过,项目权限,绩
23、效评价);绩效度量和报告。,(3)CIO(首席信息官)CIO岗位的职责:发起制定、组织完成企业IT战略规划;开发企业应用,协调企业和部门的应用开发;保障IT基础设施和体系架构的运行及投资;决定IT服务和技能服务;建立关键的IT供应商和咨询顾问间的战略伙伴关系;提供技术支持使企业增加收入和盈利能力;维护客户满意度;向用户提供培训。(4)管理者(5)信息技术人员。(6)外部和内部审计人员。,2、流程,IT投资决策是如何作出的?在决策流程中,投资建议、投资评估、批准投资和区分优先级是如何进行的?,3、沟通,这些决策和流程的结果效能如果度量,如何监控风险?又如何得到沟通?在相关利益者之间投资决策采用何
24、种机制加以沟通?,IT治理标准,1、COBIT(信息及相关技术的控制目标),;2、IT基础架构库ITIL(Information Technology Infrastructure Library);3、ISO/IEC17799:2000(信息安全管理实务准则)4、COSO综合性框架;,搞好IT治理必须解决的问题,1、IT关键领域谁做决策和如何决策。5个IT关键领域:A、信息技术原则;B、信息技术结构;C、信息技术基础设施;D、企业应用需要;E、信息技术投资及优先顺序。2、信息化中的责、权、利问题;3、信息化建设中的风险评估和绩效评价问题;4、信息系统控制与信息技术管理体系问题。,COBIT,
25、COBIT:Control Objectives for Information and related Technology,即信息和相关技术的控制目标。是由美国信息系统审计与控制学会ISACA提出的IT治理控制框架,它是目前国际上通用的信息系统审计的标准,是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。,COBIT的发展历程1、1996年,COBIT1.02、1998年,COBIT2.03、2000年,COBIT3.04、2005年,COBIT4.05、2007年,C
26、OBIT4.16、2012年,COBIT5.0 逐步由最初单一的审计师的内控评价工具发展到目前系统的IT治理框架。,COBIT信息技术的控制目标 COBIT将信息技术的控制目标设定为七个:(1)有效性(Effectiveness):是指信息与商业过程相关,并以及时、准确、一致和可行的方式传送。(2)高效性(Efficiency):关于如何最佳(最高产和最经济)利用 资源来提供信息。(3)机密性(Confidentiality):涉及对敏感信息的保护,以防止未经授权的披露(4)完整性(Integrity):涉及信息的精确性和完全性,以及与商业评价和期望相一致,(5)可用性(Availabilit
27、y):指在现在和将来的商业处理需求中,信息是可用的。还指对必要的资源和相关性能的维护。(6)符合性(Compliance):遵守商业运作过程中必须遵守的法律、法规和契约条款,如外部强制商业标准。(7)信息可靠性(Reliability of Information):为管理者的日常经营管理以及履行财务报告责任提供适当的信息。,COBIT的体系结构 COBIT将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。,企业策略维,IT资源维,IT过程维,策略维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全
28、性、可靠性、有效性;,企业策略维,IT资源维,IT过程维,IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;,企业策略维,IT资源维,IT过程维,IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。,信息资产保护业务持续计划业务连续性计划是一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变。两个关键指标:最短恢复时间、最小数据损失量。灾难恢复:备份、冷机、热机,业务连续性计划与其它计划的关系,
