怎樣開展信息系統(tǒng)審計(jì)工作.ppt

怎樣開展信息系統(tǒng)審計(jì)工作,審計(jì)署計(jì)算中心 輔助審計(jì)處 陳劍,課程目的,這部分內(nèi)容是對信息系統(tǒng)審計(jì)這一新興的審計(jì)領(lǐng)域的介紹性質(zhì)的課程。 通過學(xué)習(xí)，學(xué)員能夠了解國內(nèi)外信息系統(tǒng)審計(jì)開展的狀況，明確國家審計(jì)中信息系統(tǒng)審計(jì)的范圍和目標(biāo)，初步了解開展信息系統(tǒng)審計(jì)的工作流程和技術(shù)方法，達(dá)到開闊眼界，啟發(fā)思路、指導(dǎo)實(shí)踐的作用。,小調(diào)查1,你的專業(yè)背景是： 計(jì)算機(jī)相關(guān) 審計(jì)業(yè)務(wù)相關(guān) 其他 是否參加過本單位開展的信息系統(tǒng)審計(jì)項(xiàng)目 是 否 是否有信息系統(tǒng)審計(jì)相關(guān)學(xué)習(xí)經(jīng)歷 CISA CISSP 其他 無,小調(diào)查2,你認(rèn)為影響本單位開展信息系統(tǒng)審計(jì)工作的主要因素是：（多選） 人才和技術(shù)手段缺乏 信息系統(tǒng)審計(jì)在國家審計(jì)中的定位模糊 法規(guī)不健全 目前單位的考核機(jī)制 不知道該如何開展 認(rèn)為沒有開展的必要 其他（請具體說明）,內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),什么是信息系統(tǒng)審計(jì),INTOSAI（最高審計(jì)機(jī)關(guān)國際組織 ）： 信息系統(tǒng)審計(jì)是： 一個(gè)通過獲取并評估證據(jù)，以判斷IT系統(tǒng)是否保護(hù)了組織的資產(chǎn)，有效率地利用組織的資源，保障數(shù)據(jù)的安全性和一致性，以及有效地達(dá)到組織的業(yè)務(wù)目標(biāo)的過程。,為什么要開展信息系統(tǒng)審計(jì),計(jì)算機(jī)在各級政府組織中的廣泛使用 交易處理 財(cái)務(wù)報(bào)表 決策支持功能 數(shù)據(jù)挖掘 被審計(jì)單位的IT系統(tǒng)對審計(jì)人員的審計(jì)方法和在審計(jì)測試中采用的技術(shù)產(chǎn)生了影響； 內(nèi)部控制環(huán)境的變更； 匿名用戶帶來的責(zé)任缺失； 未經(jīng)授權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性； 看得見的審計(jì)痕跡和/或紙質(zhì)文件的缺失； 審計(jì)證據(jù)的變化； 數(shù)據(jù)復(fù)制/無內(nèi)容數(shù)據(jù)的可能性； 出現(xiàn)欺詐和錯(cuò)誤的新機(jī)會(huì)和機(jī)制； 分布式數(shù)據(jù)處理和存儲； 關(guān)鍵業(yè)務(wù)信息的機(jī)密性和一致性； 由于組織內(nèi)部或組織之間的通訊，特別是因特網(wǎng)增加的風(fēng)險(xiǎn)； 系統(tǒng)故障/宕機(jī)的可能性。,信息系統(tǒng)審計(jì)的類型,對信息系統(tǒng)控制的檢查 對財(cái)務(wù)信息系統(tǒng)的審計(jì) 信息系統(tǒng)的績效審計(jì)或VFM審計(jì) 對正在開發(fā)的信息系統(tǒng)的審計(jì) 信息系統(tǒng)舞弊審計(jì) 信息系統(tǒng)安全審計(jì) 計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）,信息系統(tǒng)審計(jì)的起源與發(fā)展,社會(huì)審計(jì)：伴隨著財(cái)務(wù)報(bào)告審計(jì)發(fā)展 1954年，第一套計(jì)算機(jī)化的會(huì)計(jì)系統(tǒng)在通用電氣公司開始使用。六十年代中期，出現(xiàn)了第一套通用審計(jì)軟件（GAS）。 1968年，AICPA（美國注冊會(huì)計(jì)師協(xié)會(huì)）和當(dāng)時(shí)的八大會(huì)計(jì)師事務(wù)所聯(lián)合開始開展EDP（電子數(shù)據(jù)處理）審計(jì)。 1968年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）成立。該協(xié)會(huì)于1977年發(fā)布了控制目標(biāo)第一版（即Cobit的前身）。 1977年，IIA發(fā)布了一項(xiàng)研究成果，即系統(tǒng)可審計(jì)性與控制（ the Systems, Auditability, and Control, 簡稱SAC)。,信息系統(tǒng)審計(jì)發(fā)展的歷史（續(xù)）,1994年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）改名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）。 1996年，信息系統(tǒng)審計(jì)與控制基金會(huì)（Control Objectives for Information and Related Technology，簡稱ISACF）發(fā)布了信息技術(shù)控制目標(biāo)COBIT第一版。目前已經(jīng)修訂到第四版。 1998年，IT治理學(xué)會(huì)（IT Governance Institute）成立。 1978年，出現(xiàn)了CISA職業(yè)化認(rèn)證，并在1981年舉辦了第一次CISA考試。2005年9月，美國國家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）對ISACA提供的CISA和CISM資格進(jìn)行了鑒定的認(rèn)可，鞏固了這兩個(gè)資格的地位。 ,信息系統(tǒng)審計(jì)發(fā)展的歷史（續(xù)）,政府審計(jì)：起源于對政府信息系統(tǒng)的評價(jià) 1959年，GAO發(fā)布第一份政府的信息系統(tǒng)審計(jì)報(bào)告：評價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝； 1999年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊（第一版）； 2001年， GAO發(fā)布聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南； 2007年，審計(jì)署組織了第一次信息系統(tǒng)審計(jì)項(xiàng)目； 2008年，審計(jì)署組織了第一次獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目； 2009年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊（第二 版）,信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)體系,ISACA的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) 標(biāo)準(zhǔn)（Standards） 指南（Guidelines） 流程（Procedures） 信息系統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn) 信息系統(tǒng)控制方面 信息系統(tǒng)運(yùn)營、服務(wù)管理方面 信息系統(tǒng)安全方面 信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī),ISACA的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),標(biāo)準(zhǔn)： 定義了信息系統(tǒng)審計(jì)和報(bào)告的強(qiáng)制性要求。 指南： 對審計(jì)人員執(zhí)行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的指導(dǎo)，信息系統(tǒng)審計(jì)人員在實(shí)施相關(guān)工作時(shí)，應(yīng)當(dāng)考慮這些指南的要求。 流程： 為信息系統(tǒng)審計(jì)人員在執(zhí)行具體審計(jì)任務(wù)時(shí)提供詳細(xì)的案例，供審計(jì)人員參考。,標(biāo)準(zhǔn),生效日期,指南,生效日期,流程,生效日期,信息系統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn),信息系統(tǒng)控制方面 COSO COBIT SAC&eSAC 信息系統(tǒng)運(yùn)營、服務(wù)管理方面 ITIL 信息系統(tǒng)安全方面 ISO/ICT17799,COSO,COSO內(nèi)部控制框架實(shí)際上是COSO組織在1992年9月發(fā)布的一份報(bào)告，報(bào)告的正式名稱是“內(nèi)部控制-完整框架”。它是在美國審計(jì)行業(yè)最為廣泛接受并使用的內(nèi)部控制框架。包括政府審計(jì)和會(huì)計(jì)師事務(wù)所的審計(jì)都以COSO作為檢查組織內(nèi)部控制的標(biāo)準(zhǔn)框架。 盡管COSO框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審計(jì)領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計(jì)的框架和指南都會(huì)考慮吸取它的主要思想作為內(nèi)部控制的考慮出發(fā)點(diǎn)。特別是2002年薩班斯奧克斯利法案(SOX)頒布后，美國證券交易管理委員會(huì)（SEC）把COSO框架作為組織加強(qiáng)內(nèi)部控制的唯一參考框架，更進(jìn)一步提升了COSO框架的重要地位。許多組織為了達(dá)到SOX法案對內(nèi)部控制和信息真實(shí)性的要求，紛紛對信息系統(tǒng)進(jìn)行控制評估和風(fēng)險(xiǎn)測試，開發(fā)了各種信息技術(shù)控制框架以符合COSO提出的要求，從而把信息技術(shù)的一般控制和應(yīng)用控制方法與COSO框架結(jié)合起來。,SAC&eSAC,SAC是第一個(gè)與信息技術(shù)相關(guān)的內(nèi)部控制框架，它其實(shí)是由內(nèi)部審計(jì)師學(xué)會(huì)（IIA）在1977年發(fā)布一份報(bào)告，報(bào)告的正式名稱是系統(tǒng)審計(jì)與控制報(bào)告，該報(bào)告著重從業(yè)務(wù)視角考察信息技術(shù)，分析了存在于信息系統(tǒng)的計(jì)劃、實(shí)施、自動(dòng)化應(yīng)用中的風(fēng)險(xiǎn)，希望為組織提供“對信息技術(shù)與系統(tǒng)審計(jì)的控制的指導(dǎo)”。 SAC報(bào)告包含了14個(gè)模塊，分別是：執(zhí)行概要、審計(jì)與控制環(huán)境、審計(jì)中信息技術(shù)的應(yīng)用、計(jì)算機(jī)資源管理、管理信息與開發(fā)系統(tǒng)、業(yè)務(wù)系統(tǒng)、最終用戶與部門級計(jì)算、通訊、安全、意外計(jì)劃、技術(shù)、索引、先進(jìn)技術(shù)支持、案例研究。 2001年，內(nèi)部審計(jì)師學(xué)會(huì)（IIA）發(fā)布了適應(yīng)時(shí)代的信息系統(tǒng)控制模型：電子系統(tǒng)驗(yàn)證與控制（eSAC），主要內(nèi)容包括高級管理人員、公司治理實(shí)體、審計(jì)人員在理解、評估、監(jiān)控、化解技術(shù)風(fēng)險(xiǎn)時(shí)需要掌握的新知識。eSAC的核心通過五個(gè)驗(yàn)證目標(biāo)（可用性、性能、功能、保護(hù)、責(zé)任）與COSO的四個(gè)內(nèi)部控制目標(biāo)（運(yùn)行、報(bào)告、符合、維護(hù)）以及五項(xiàng)基礎(chǔ)設(shè)施模塊（人員、技術(shù)、過程、投資、通訊）結(jié)合起來。,ITIL,ITIL是指信息技術(shù)基礎(chǔ)設(shè)施庫（IT Infrastructure Library）。是一個(gè)能促進(jìn)組織接近提供高質(zhì)量的信息技術(shù)服務(wù)的最佳實(shí)踐的框架。 ITIL專門關(guān)注怎樣做和誰來做。核心過程包括在兩個(gè)ITIL的文檔中：服務(wù)支持和服務(wù)交付。 服務(wù)支持主要包括以下過程： 事故管理 問題管理 配置管理 變更管理 版本管理 服務(wù)交付主要包括以下過程： 服務(wù)水平管理 信息技術(shù)服務(wù)的財(cái)務(wù)管理 能力管理 信息技術(shù)服務(wù)持續(xù)度管理 可用性管理 ITIL還包括了基礎(chǔ)架構(gòu)管理、應(yīng)用程序管理、安全管理、規(guī)劃與實(shí)施服務(wù)管理、軟件資產(chǎn)管理等內(nèi)容。,ISO/ICT17799,ISO/ICT17799是信息安全的國際標(biāo)準(zhǔn)，是由國際標(biāo)準(zhǔn)化組織（ISO）和國際電子技術(shù)委員會(huì)（ICT）頒布的。該標(biāo)準(zhǔn)的正式名稱是“信息技術(shù)安全技術(shù)信息安全管理實(shí)務(wù)規(guī)定”。其中ISO/ICT17799：2000版本，是對英國標(biāo)準(zhǔn)BS7799-1：1999的復(fù)制。 2005版的ISO/ICT17799標(biāo)準(zhǔn)包含了以下12個(gè)方面：風(fēng)險(xiǎn)評估與處理、安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通訊與運(yùn)營管理、訪問控制、信息系統(tǒng)獲取、開發(fā)與維護(hù)、信息安全事故管理、業(yè)務(wù)持續(xù)管理、符合性。 在標(biāo)準(zhǔn)的每一部分中，都清楚地標(biāo)明了信息技術(shù)安全控制的目標(biāo)，信息技術(shù)安全控制被作為達(dá)到這些目標(biāo)的最佳實(shí)踐。,信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī),Gramm-Leach-Bliley 法案(GLBA) 又稱金融現(xiàn)代化法案，1999年11月12日獲得美國國會(huì)的通過， GLBA規(guī)定金融機(jī)構(gòu)必須評估客戶機(jī)密信息的風(fēng)險(xiǎn)，制定控制措施，盡量降低已知風(fēng)險(xiǎn)，并定期更新風(fēng)險(xiǎn)評估結(jié)果和控制措施。 健康保險(xiǎn)流通與責(zé)任法案(HIPAA) 1996年8月21日，健康保險(xiǎn)流通與責(zé)任法案(HIPAA) (The Health Insurance Portability and Accountability Act)獲得美國國會(huì)的通過，法案規(guī)定所有處理和/或持有健康醫(yī)療相關(guān)信息的組織都必須遵守保護(hù)病患信息 (PHI) 的安全性規(guī)定。 HIPAA把醫(yī)療記錄和相關(guān)信息定義為需要特別控制的受保護(hù)的健康信息。 薩班斯一奧史斯利法案(Sarbanes-Oxley Act) 2002 年通過的薩班斯一奧史斯利法案 (Sarbanes-Oxley (SOX) Act of 2002) 規(guī)定美國證券交易所 (SEC) 的注冊公司必須針對運(yùn)營和金融業(yè)務(wù)建立并維持有效的內(nèi)部控制架構(gòu)，為控制措施的有效性提供管理報(bào)告，而且控制措施的有效性必須通過外部審計(jì)人員的審核。 ,內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀,美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 國外IT績效審計(jì)與電子政務(wù)審計(jì),美國聯(lián)邦機(jī)構(gòu)信息系統(tǒng)審計(jì),美國的聯(lián)邦審計(jì)機(jī)構(gòu)（中央級）由兩部分組成： 一部分是美國審計(jì)署（GAO）， 另一部分是兼有審計(jì)、監(jiān)察兩種職能的行政部門和機(jī)構(gòu)的監(jiān)察長辦公室（OIGs）。,美國聯(lián)邦審計(jì)機(jī)構(gòu),美國審計(jì)署作為議會(huì)的調(diào)查機(jī)構(gòu)，是議會(huì)用來監(jiān)督和評價(jià)聯(lián)邦政府的工具。其主要工作是開展項(xiàng)目效果評價(jià)和管理評估、政策評估以及為國會(huì)提供有關(guān)政府施政方面的復(fù)雜問題的研究報(bào)告。除對聯(lián)邦合并財(cái)務(wù)報(bào)表和個(gè)別機(jī)構(gòu)、單位的財(cái)務(wù)報(bào)表由美國審計(jì)署進(jìn)行審計(jì)外，部門和機(jī)構(gòu)的財(cái)務(wù)審計(jì)基本上交由監(jiān)察長辦公室進(jìn)行。 美國的監(jiān)察長審計(jì)制度是通過1978年監(jiān)察長法建立起來的。根據(jù)1978年的監(jiān)察長法及其后來的修正案，聯(lián)邦政府各部門均設(shè)立監(jiān)察長辦公室，監(jiān)察長負(fù)責(zé)監(jiān)察長辦公室的工作，由總統(tǒng)任命。監(jiān)察長辦公室的預(yù)算是獨(dú)立的，由國會(huì)批準(zhǔn)，部門負(fù)責(zé)人不能用經(jīng)費(fèi)來限制監(jiān)察長辦公室的業(yè)務(wù)活動(dòng)。監(jiān)察長辦公室的工作范圍十分廣泛，涉及到影響部門工作效率和效果的各個(gè)方面。其主要工作包括審計(jì)、對投訴、舉報(bào)和有關(guān)事項(xiàng)的調(diào)查和監(jiān)察等工作。其中，審計(jì)工作主要包括財(cái)務(wù)審計(jì)和績效審計(jì)兩個(gè)方面。 美國審計(jì)署和監(jiān)察長辦公室在分工上各有側(cè)重，二者共同構(gòu)成了美國國家審計(jì)的整體。,美國審計(jì)署與監(jiān)察長辦公室的關(guān)系,（根據(jù)2004年3月24日美國審計(jì)長大衛(wèi)沃克所做的美國審計(jì)署和監(jiān)察長辦公室：提高政府績效和責(zé)任演講中的幻燈片的內(nèi)容編譯。）,1、美國審計(jì)署,美國審計(jì)署與計(jì)算機(jī)相關(guān)的組織機(jī)構(gòu) 在業(yè)務(wù)方面，設(shè)置了專門的信息技術(shù)局開展信息系統(tǒng)審計(jì)； 另外，在應(yīng)用研究與技術(shù)局下設(shè)有專門的技術(shù)工程和信息安全實(shí)驗(yàn)中心，負(fù)責(zé)改善信息技術(shù)和促進(jìn)軟件工程現(xiàn)代化，評估聯(lián)邦政府計(jì)算機(jī)系統(tǒng)的安全性。 在保障方面，設(shè)置了專門的信息系統(tǒng)與技術(shù)服務(wù)部門保障內(nèi)部信息系統(tǒng)的運(yùn)轉(zhuǎn)。,相關(guān)計(jì)算機(jī)機(jī)構(gòu)的任務(wù),信息技術(shù)局（截止至2007年4月）有局領(lǐng)導(dǎo)2人，5個(gè)處，分別是： （1）信息管理； （2）信息技術(shù)架構(gòu)與系統(tǒng)； （3）信息技術(shù)人力資本與管理； （4）信息技術(shù)管理事務(wù)： （5）信息技術(shù)安全事務(wù)。 信息系統(tǒng)與技術(shù)服務(wù)部門設(shè)GAO首席信息官（CIO）一名，承擔(dān)9項(xiàng)任務(wù)： （1）業(yè)務(wù)系統(tǒng)；（2）客戶關(guān)系； （3）預(yù)約管理； （4）組織架構(gòu)；（5）信息系統(tǒng)安全；（6）網(wǎng)絡(luò)運(yùn)營； （7）運(yùn)行與計(jì)劃；（8）通訊；（9）網(wǎng)頁服務(wù) 技術(shù)工程和信息安全實(shí)驗(yàn)中心負(fù)責(zé)對工作成果有關(guān)內(nèi)容的準(zhǔn)確性進(jìn)行技術(shù)檢驗(yàn)，包括具備系統(tǒng)工程、軟件工程、成本概算和計(jì)算機(jī)安全等方面的工程師和科學(xué)家。,美國審計(jì)署文件對信息系統(tǒng)審計(jì)組織機(jī)構(gòu)的要求,美國審計(jì)署信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南（2001年12月）中提到： 審計(jì)機(jī)關(guān)所轄信息系統(tǒng)審計(jì)部門的大小決定了信息系統(tǒng)審計(jì)的能力，州和地方審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)部門的大小和職能區(qū)別很大。 一些審計(jì)機(jī)關(guān)沒有設(shè)置信息系統(tǒng)審計(jì)部門，而是通過與社會(huì)審計(jì)有關(guān)方面簽訂合同，完成信息系統(tǒng)審計(jì)工作。還有一些審計(jì)機(jī)關(guān)的信息系統(tǒng)審計(jì)人員直接整合進(jìn)入財(cái)務(wù)審計(jì)和業(yè)務(wù)審計(jì)小組。 此外，審計(jì)機(jī)關(guān)應(yīng)該根據(jù)其大小、結(jié)構(gòu)和任務(wù)建立健全信息系統(tǒng)安全審計(jì)方面的能力。,美國審計(jì)署對信息系統(tǒng)控制審計(jì)的提法,1、一般控制（摘自聯(lián)邦信息系統(tǒng)控制審計(jì)手冊）： 實(shí)體安全控制 訪問控制 應(yīng)用軟件開發(fā)和變更控制 系統(tǒng)軟件控制 職責(zé)分離控制 服務(wù)連續(xù)性控制 2、應(yīng)用控制（摘自聯(lián)邦政府內(nèi)部控制標(biāo)準(zhǔn)和控制管理與評價(jià)工具）： 授權(quán)控制 完整性控制 準(zhǔn)確性控制 數(shù)據(jù)文件和處理的完整性控制,美國審計(jì)署關(guān)于信息系統(tǒng)安全審計(jì)的提法,（摘自信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南） 信息系統(tǒng)安全審計(jì)的目標(biāo)是：支持財(cái)務(wù)審計(jì)、支持效益審計(jì)、支持計(jì)算機(jī)輔助審計(jì)和完成系統(tǒng)開發(fā)的安全檢查等。 滿足信息系統(tǒng)安全審計(jì)目標(biāo)的活動(dòng)有：計(jì)劃支持； 一般控制檢查（組織和管理、應(yīng)用開發(fā)與維護(hù)、系統(tǒng)軟件、計(jì)算機(jī)運(yùn)行、安全管理、邏輯安全、物理安全）、 應(yīng)用控制檢查（輸入控制、輸出控制）；采用專門的安全技術(shù)工具；收集其他安全相關(guān)信息；其他的專業(yè)支持。,美國審計(jì)署與信息技術(shù)投資相關(guān)的指南和手冊,信息技術(shù)：評估采購風(fēng)險(xiǎn)的審計(jì)指南, 1992年12月； 執(zhí)行指南：通過信息管理戰(zhàn)略來提高執(zhí)行任務(wù)的效果，1994年5月； 信息技術(shù)投資：聯(lián)邦機(jī)構(gòu)能提高效益、降低成本和使風(fēng)險(xiǎn)最小，1996年9月； 信息技術(shù)投資評價(jià)指南，1997年2月； 執(zhí)行指南：信息技術(shù)投資的效益計(jì)量和成果演示，1998年3月； 執(zhí)行指南：信息安全管理，1998年8月； 信息安全風(fēng)險(xiǎn)評估：領(lǐng)先者的實(shí)踐經(jīng)驗(yàn)，1999年11月； 信息技術(shù)投資管理執(zhí)行指南：評估和改進(jìn)過程成熟度的框架 2004年3月。,美國審計(jì)署發(fā)布的信息系統(tǒng)審計(jì)報(bào)告,根據(jù)對美國審計(jì)署官方網(wǎng)站上審計(jì)報(bào)告的統(tǒng)計(jì),自1959年12月15日的評價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝開始至今（2007年5月），美國審計(jì)署共發(fā)布1632份有關(guān)信息管理的審計(jì)報(bào)告。 自2000年1月至今，美國審計(jì)署共發(fā)布有有關(guān)信息管理的審計(jì)報(bào)告392篇，占同期全部審計(jì)報(bào)告（ 7087份）約5.5%。,以美國審計(jì)署網(wǎng)站公布的第一份信息管理類審計(jì)報(bào)告為例,這是一份提交給郵政事務(wù)委員會(huì)（THE COMMITTEE ON POST OFFICE AND CIVIL SERVICE）的報(bào)告。 審計(jì)調(diào)查：1959年10月，郵政事務(wù)委員會(huì)請求美國審計(jì)署對其自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝進(jìn)行評價(jià)。1952年12月，其下屬部門租得一套中型計(jì)算機(jī)系統(tǒng)Datatron 205，年度租金$123,300，增加運(yùn)營成本$156,700，該部門不久 安裝了一套更大處理能力的Datatron 220,將進(jìn)一步增加運(yùn)營成本$127, 500。 審計(jì)署認(rèn)為，該部門決定租用計(jì)算機(jī)系統(tǒng)Datatron 205的理由是充分的，但調(diào)查也發(fā)現(xiàn)使用該套設(shè)備并不能直接節(jié)約費(fèi)用。,以美國審計(jì)署發(fā)布的最新一期信息管理類審計(jì)報(bào)告為例,信息安全：美國聯(lián)邦存款保險(xiǎn)公司需要繼續(xù)改進(jìn)其處理程序。 GAO-07-351, 2007年5月18日 美國審計(jì)署為什么要完成進(jìn)行這項(xiàng)審計(jì)任務(wù)？ 美國聯(lián)邦存款保險(xiǎn)公司（FDIC）有責(zé)任強(qiáng)制要求金融機(jī)構(gòu)遵守銀行法，保護(hù)存款人的利益。作為2006年度財(cái)務(wù)報(bào)表審計(jì)的一部分，美國審計(jì)署評估以下內(nèi)容： （1）美國聯(lián)邦存款保險(xiǎn)公司按照先前報(bào)告要求，對信息安全薄弱環(huán)節(jié)的糾正情況。 （2）信息系統(tǒng)完整性控制的效力，以保證財(cái)務(wù)信息和信息系統(tǒng)的機(jī)密性和有效性。 美國審計(jì)署的建議是： 美國聯(lián)邦存款保險(xiǎn)公司應(yīng)采取措施解決控制薄弱點(diǎn)，并將NFE“新財(cái)務(wù)環(huán)境”充分整合，納入統(tǒng)一的信息安全程序。 在起草報(bào)告的過程中，美國聯(lián)邦存款保險(xiǎn)公司反映他們正在落實(shí)整改。,以美國審計(jì)署發(fā)布的最新一期信息管理類審計(jì)報(bào)告為例（續(xù)）,美國審計(jì)署的審計(jì)發(fā)現(xiàn)： 首先，美國聯(lián)邦存款保險(xiǎn)公司積極按照2005年美國審計(jì)署報(bào)告的建議，對26項(xiàng)薄弱點(diǎn)進(jìn)行了糾正。其中包括： （1）正在開發(fā)和已經(jīng)完成的計(jì)算機(jī)程序不得在網(wǎng)絡(luò)中以可讀取的方式傳輸主機(jī)用戶和管理員的密碼； （2）使用程序變更供應(yīng)商的用戶名/密碼； （3）改進(jìn)主機(jī)的安全監(jiān)控等。 雖然，美國聯(lián)邦存款保險(xiǎn)公司已經(jīng)采取了有效措施改進(jìn)其信息系統(tǒng)控制，但是原有的和新發(fā)現(xiàn)的薄弱點(diǎn)將阻礙公司保護(hù)其財(cái)務(wù)和敏感信息與系統(tǒng)的完整、機(jī)密和有效。除了還有5項(xiàng)薄弱點(diǎn)還沒有得到糾正以外，本次審計(jì)還發(fā)現(xiàn)以下控制存在薄弱點(diǎn)： （1）e-mail安全；（2）物理安全；（3）配置管理。 雖然這些薄弱點(diǎn)可能不會(huì)給公司的財(cái)務(wù)報(bào)表造成虛假陳述的顯著風(fēng)險(xiǎn)，但是他們的確是可能造成財(cái)務(wù)和信息系統(tǒng)風(fēng)險(xiǎn)的發(fā)生。此外，公司沒有將其“新財(cái)務(wù)環(huán)境”（NFE）納入整體的信息安全程序，沒有對其實(shí)施關(guān)鍵的控制活動(dòng)。,2、監(jiān)察長辦公室（OIGs）,監(jiān)察長辦公室下設(shè)多個(gè)部門，其中包括審計(jì)處。審計(jì)處主要負(fù)責(zé)： 1、實(shí)施和監(jiān)督與部門項(xiàng)目和業(yè)務(wù)活動(dòng)有關(guān)的審計(jì)； 2、提出相關(guān)政策建議以提升部門項(xiàng)目和業(yè)務(wù)活動(dòng)管理的經(jīng)濟(jì)、效率和效果，揭露并杜絕項(xiàng)目和業(yè)務(wù)活動(dòng)管理過程中出現(xiàn)的舞弊、浪費(fèi)、濫用和管理不善問題，協(xié)助監(jiān)察長提請部長和國會(huì)注意有關(guān)部門項(xiàng)目和業(yè)務(wù)管理方面的問題、不足以及改善的必要性和過程。 監(jiān)察長下設(shè)的審計(jì)部門在信息系統(tǒng)審計(jì)領(lǐng)域，同樣要遵守美國審計(jì)署頒布的審計(jì)標(biāo)準(zhǔn)、手冊和指南。,美國小企業(yè)管理局監(jiān)察長辦公室，2003財(cái)年信息系統(tǒng)控制審計(jì)報(bào)告，2004年4月,審計(jì)人員檢查了小企業(yè)管理局的財(cái)務(wù)管理系統(tǒng)的一般控制和應(yīng)用控制，確認(rèn)其是否控制符合聯(lián)邦的要求。 本次審計(jì)，對聯(lián)邦政府進(jìn)行一般控制和應(yīng)用控制的檢查，主要依據(jù)下列文件： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）聯(lián)邦信息資源和計(jì)算機(jī)安全法案，1987年。 審計(jì)結(jié)論認(rèn)為：小企業(yè)管理局在實(shí)施信息系統(tǒng)安全程序方面獲得相當(dāng)大的進(jìn)展，但仍然存在不足，部分控制仍需加強(qiáng)，包括：整體的安全控制、訪問控制、應(yīng)用軟件開發(fā)和變更控制、系統(tǒng)軟件控制、職責(zé)分離控制控制和業(yè)務(wù)持續(xù)性控制。 該報(bào)告也提出了相應(yīng)的解決建議。,聯(lián)邦通信委員會(huì)監(jiān)察長辦公室， 呼叫中心的計(jì)算機(jī)控制審計(jì)，2000年6月,審計(jì)依據(jù)： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）美國審計(jì)署聯(lián)邦信息系統(tǒng)控制審計(jì)手冊； （3）通訊委員會(huì)自定的“計(jì)算機(jī)安全程序”； （4）“計(jì)算機(jī)舞弊和濫用法”。 審計(jì)發(fā)現(xiàn)： 審計(jì)最終發(fā)現(xiàn)103處問題，其中高風(fēng)險(xiǎn)（13處），中風(fēng)險(xiǎn)（52處），低風(fēng)險(xiǎn)（38處）。 呼叫中心共有3大系統(tǒng)，分別是：自動(dòng)呼叫管理系統(tǒng)、語音響應(yīng)系統(tǒng)和專家顧問系統(tǒng)。,國外的信息系統(tǒng)審計(jì),美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 國外IT績效審計(jì)與電子政務(wù)審計(jì),兩個(gè)協(xié)會(huì),美國州審計(jì)師、主計(jì)師、司庫全國協(xié)會(huì)(NASACT) 美國地方政府審計(jì)師協(xié)會(huì)（ALGA）,美國州審計(jì)師、主計(jì)師、司庫全國協(xié)會(huì)(NASACT),美國州審計(jì)師、主計(jì)師、司庫協(xié)會(huì)由州政府開展財(cái)務(wù)管理政府官員組成的一個(gè)組織。 其會(huì)員包括美國50個(gè)州、哥倫比亞特區(qū)等美國領(lǐng)土的所有審計(jì)師、主計(jì)師和司庫。 該協(xié)會(huì)成立了專門的政府間信息安全審計(jì)論壇，以促進(jìn)加強(qiáng)政府信息安全審計(jì)能力。包括5個(gè)組，任務(wù)目標(biāo)組、法律文件和報(bào)告組、技術(shù)組、培訓(xùn)和課件開發(fā)組和信息共享組。 其目標(biāo)是：技術(shù)技巧和人力資源；采用的審計(jì)方法和工具；建立完成信息安全審計(jì)的技術(shù)、法律和程序基礎(chǔ)；開發(fā)材料，教育信息安全風(fēng)險(xiǎn)與審計(jì)；討論改善信息安全的統(tǒng)一標(biāo)準(zhǔn)。 其開發(fā)的操作手冊包括：一般控制、應(yīng)用控制、計(jì)算機(jī)輔助審計(jì)技術(shù)、計(jì)算機(jī)取證審計(jì),美國地方政府審計(jì)師協(xié)會(huì)（ALGA）,美國地方政府審計(jì)師協(xié)會(huì)是由有關(guān)審計(jì)機(jī)構(gòu)組成，自由入會(huì)，共享資源。 該協(xié)會(huì)對信息系統(tǒng)審計(jì)沒有特別定義，它收集了很多與信息系統(tǒng)審計(jì)相關(guān)的資源，包括： （1）AICPA，SAS No.94“信息技術(shù)對審計(jì)師在財(cái)務(wù)報(bào)表審計(jì)中考慮內(nèi)部控制的影響”； （2）信息系統(tǒng)控制與審計(jì)學(xué)會(huì)的信息系統(tǒng)審計(jì)； （3）內(nèi)部審計(jì)學(xué)會(huì)信息技術(shù)審計(jì)； （4）NIST關(guān)于聯(lián)邦信息處理標(biāo)準(zhǔn)中計(jì)算機(jī)安全的描述 ；,德克薩斯州審計(jì)局犯罪司法信息系統(tǒng)數(shù)據(jù)的準(zhǔn)確性，2001年12月,經(jīng)過審計(jì)，審計(jì)局認(rèn)為德州CJIS（犯罪司法信息系統(tǒng)）比5年完善和準(zhǔn)確。但是，還有部分有待改善。 審計(jì)局曾經(jīng)作出評估德州犯罪司法信息系統(tǒng)的審計(jì)報(bào)告，指出該系統(tǒng)存在多個(gè)薄弱點(diǎn)可能影響數(shù)據(jù)的可靠性。審計(jì)報(bào)告指出需要采取若干基本控制以確保數(shù)據(jù)的可靠性。 審計(jì)報(bào)告的內(nèi)容主要分兩個(gè)部分： （1）州公共安全廳應(yīng)加強(qiáng)控制確保犯罪數(shù)據(jù)庫系統(tǒng)（CCH）數(shù)據(jù)的完整和準(zhǔn)確； 犯罪數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)是不完整的，審計(jì)發(fā)現(xiàn)法院部署實(shí)施逮捕的數(shù)據(jù)與在冊的罪犯數(shù)據(jù)不匹配。其原因有：有關(guān)方面還沒有提交逮捕信息，公共安全廳的“自動(dòng)指紋識別系統(tǒng)”和現(xiàn)場掃描系統(tǒng)存在數(shù)據(jù)重復(fù)等。 （2）州犯罪司法廳應(yīng)改進(jìn)罪犯改正跟蹤系統(tǒng)，并加強(qiáng)該系統(tǒng)的IT控制。,國外的信息系統(tǒng)審計(jì),美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì) 國外IT績效審計(jì)與電子政務(wù)審計(jì),美國的做法,電子政務(wù)法案，2002 在頒布電子政務(wù)法案前的20年，美國陸續(xù)頒布過很多與聯(lián)邦信息技術(shù)管理相關(guān)的法律文件，如隱私法、信息自由法 、Clinger-Cohen 法（信息技術(shù)管理改革法）、文書削減法等。 2002年,由預(yù)算與管理辦公室(OMB)主導(dǎo),促成了電子政務(wù)法的頒布。 該法案在第2章“聯(lián)邦管理與電子政務(wù)促進(jìn)”中3707條款提到：美國審計(jì)署應(yīng)在4年內(nèi)向眾議院政府改革委員會(huì)和參議院政務(wù)事務(wù)委員會(huì)提交一份報(bào)告，包括評價(jià)信息技術(shù)交換技術(shù)的效力；以及該程序是否應(yīng)該繼續(xù)或終止的建議。 該法案第2章“聯(lián)邦信息系統(tǒng)標(biāo)準(zhǔn)的責(zé)任”11331條款中提到：國家技術(shù)標(biāo)準(zhǔn)委在制定相關(guān)標(biāo)準(zhǔn)時(shí)應(yīng)與預(yù)算與管理辦公室、國防部、能源部、國家安全局、審計(jì)署和國土安全部協(xié)商。 該法案第3章2332條款提到：美國審計(jì)署在六個(gè)月內(nèi)向國會(huì)提交一份有關(guān)“結(jié)余分享”（share-in-savings contracts）的報(bào)告。,美國地方審計(jì)機(jī)關(guān)對電子政務(wù)的審計(jì)報(bào)告,美國新澤西州審計(jì)局在2001年對信息技術(shù)局的電子政務(wù)服務(wù)進(jìn)行了審計(jì)； 美國明尼蘇達(dá)州審計(jì)機(jī)關(guān)在2002年4月對當(dāng)?shù)氐碾娮诱?wù)進(jìn)行了審計(jì)； 美國亞利桑那州審計(jì)局在2004年9月對州運(yùn)輸局的車輛處進(jìn)行了對信息安全和電子政務(wù)的審計(jì),英國的做法,英國審計(jì)署十分注重VFM（Value for Money）審計(jì)，即價(jià)值衡量審計(jì)（績效審計(jì)），IT項(xiàng)目績效也在其重點(diǎn)考慮和評價(jià)之列。 有資料表明，英國審計(jì)署對IT項(xiàng)目的最初審計(jì)實(shí)踐始于1984年，經(jīng)過多年發(fā)展，英國審計(jì)署已經(jīng)將有關(guān)信息技術(shù)服務(wù)管理作為進(jìn)一步利用計(jì)算機(jī)開展績效審計(jì)工作的主要方向。 1999年12月和2002年4月，英國審計(jì)署分兩次提交網(wǎng)上政府報(bào)告； 2002年4月，提交通過電子政務(wù)提供更好的公眾服務(wù)報(bào)告； 2003年5月，提交采購和管理軟件許可證報(bào)告； 2004年，提交改進(jìn)IT采購：商務(wù)部改進(jìn)IT程序和項(xiàng)目效益的動(dòng)機(jī)及影響報(bào)告； 2005年，提交健康部：健康部的國家IT項(xiàng)目報(bào)告。,“信息通信技術(shù)在電子政務(wù)審計(jì)中的應(yīng)用：關(guān)于效率、透明和責(zé)任的戰(zhàn)略”的國際專題討論會(huì)。,2005年4月，聯(lián)合國（UN）和最高審計(jì)機(jī)關(guān)國際組織（INTOSAI）在奧地利維也納召開。 電子政務(wù)審計(jì)作為加強(qiáng)政府透明和責(zé)任不可缺失的手段正在受到各國審計(jì)機(jī)關(guān)的高度重視。審計(jì)機(jī)關(guān)電子政務(wù)審計(jì)的成熟度，取決于國家電子政務(wù)達(dá)到的水平，以及審計(jì)機(jī)關(guān)自身的技術(shù)。,2004年4月，最高審計(jì)機(jī)關(guān)國際組織IT審計(jì)委員會(huì)在莫斯科召開了第4次效益審計(jì)工作會(huì)議,議題：“如何對電子政務(wù)開展效益審計(jì)” 包含3個(gè)子議題，分別是: “電子政務(wù)項(xiàng)目的風(fēng)險(xiǎn)評估”， “以用戶為導(dǎo)向的效率問題”， “審計(jì)電子政務(wù)時(shí)面臨的挑戰(zhàn)”。,內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),信息系統(tǒng)審計(jì)模型COBIT,COBIT： 全稱是信息技術(shù)控制目標(biāo)框架，由ISACF在1996年發(fā)布，分別在1998、2000、2005年進(jìn)行了修訂，目前的版本是COBIT4.1。,信息系統(tǒng)審計(jì)模型COBIT,COBIT是一個(gè)全面的內(nèi)部控制框架，是一個(gè)在國際上公認(rèn)為最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn) 。 COBIT的內(nèi)容主要參考了不同的國際組織的標(biāo)準(zhǔn)或最佳實(shí)踐，覆蓋了當(dāng)今世界上關(guān)于控制和IT的主要標(biāo)準(zhǔn) 。 如： 國際標(biāo)準(zhǔn)化組織（ISO） ISACA 信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC） COSO GAO IFAC IIA AICPA CICA 歐洲安全論壇（ESF） 國家標(biāo)準(zhǔn)與技術(shù)學(xué)會(huì)（NIST） ,COBIT的基本原理,COBIT是基于控制的模型,COBIT對控制的定義是：“組織為了能夠預(yù)防、檢測、糾正非預(yù)想情況的發(fā)生，而設(shè)計(jì)實(shí)施的一整套策略、程序、實(shí)務(wù)以及組織結(jié)構(gòu)等的集合，以達(dá)到組織的各項(xiàng)業(yè)務(wù)目標(biāo)?！边@個(gè)定義與其他內(nèi)部控制框架對控制的定義差不多。 COBIT架起了強(qiáng)調(diào)業(yè)務(wù)的控制模型（如COSO）和強(qiáng)調(diào)IT的控制模型（如BS7799）之間的橋梁。,COBIT是面向過程的模型,COBIT把IT環(huán)境下的各項(xiàng)活動(dòng)組合成為過程，對每個(gè)過程設(shè)定了一批詳細(xì)的控制目標(biāo)，又把這些過程按照邏輯相關(guān)性組合成為域。 COBIT有四個(gè)最高層的域，在這四個(gè)域中共包含了34個(gè)高層控制目標(biāo)和318個(gè)具體控制目標(biāo)。這四個(gè)域是： PO域：計(jì)劃與組織（11個(gè)過程） AI域：獲取與實(shí)施（6個(gè)過程） DS域：交付與支持（13個(gè)過程） ME域：監(jiān)測與評估（4個(gè)過程）,信息系統(tǒng)審計(jì)模型COBIT,COBIT定義了組織中的4種關(guān)鍵信息技術(shù)資源： 人員 信息 應(yīng)用系統(tǒng) 信息基礎(chǔ)設(shè)施 COBIT定義了7方面的信息標(biāo)準(zhǔn)： 效果性（Effectiveness） ：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效” 的信息 效率性（Efficiency） ：“有效率” 地使用資源，提供信息 保密性（Confidentiality） ： 保護(hù)敏感信息，避免泄漏信息 一致性（Integrity） ：保證信息的“真實(shí)可信” ，即信息準(zhǔn)確、完整，并且 從業(yè)務(wù)價(jià)值和業(yè)務(wù)需要的角度來說是正確有效的 可用性（Availablity）：當(dāng)業(yè)務(wù)需要時(shí)，信息可隨時(shí)獲得 可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng) 的信息 合規(guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定,內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),信息系統(tǒng)審計(jì)的提出與探索,從審計(jì)署計(jì)算中心成立之初，就開始提出開展信息系統(tǒng)審計(jì)，建立中國自己的信息系統(tǒng)審計(jì)人才認(rèn)證； 十幾年來，全國各級審計(jì)機(jī)關(guān)逐步嘗試開展信息系統(tǒng)審計(jì)實(shí)踐，為其發(fā)展積累了經(jīng)驗(yàn)； 學(xué)術(shù)界也為信息系統(tǒng)審計(jì)工作進(jìn)行了多年的理論準(zhǔn)備。 有了這些積累，以下的事情也就成為水到渠成了：,開展的信息系統(tǒng)審計(jì)項(xiàng)目,2007年以前，部分特派辦和省廳已經(jīng)開始在審計(jì)項(xiàng)目中嘗試開展信息系統(tǒng)審計(jì)工作。 2007年6月到11月，審計(jì)署組織在國家開發(fā)銀行的資產(chǎn)、負(fù)債及損益審計(jì)項(xiàng)目中開展了對信息系統(tǒng)控制的審計(jì)，這是審計(jì)署第一次正式組織信息系統(tǒng)審計(jì)項(xiàng)目。 2008年上半年，審計(jì)署組織對中國煙草總公司、中國石油化工集團(tuán)、中化集團(tuán)開展了信息系統(tǒng)審計(jì)調(diào)查。 2008年下半年，審計(jì)署組織對中化集團(tuán)及天津公司開展了信息系統(tǒng)審計(jì)項(xiàng)目，這是審計(jì)署第一次獨(dú)立組織的信息系統(tǒng)審計(jì)項(xiàng)目。,培訓(xùn)和交流,2006年底，審計(jì)署派團(tuán)前往美國學(xué)習(xí)信息系統(tǒng)審計(jì)，歸國后學(xué)員的學(xué)習(xí)報(bào)告和建議得到署領(lǐng)導(dǎo)重視。 2008年5月到6月，審計(jì)署在南京審計(jì)學(xué)院舉辦第一期信息系統(tǒng)審計(jì)培訓(xùn)班，來自審計(jì)署機(jī)關(guān)、派出局、特派辦、地方審計(jì)機(jī)關(guān)的49名學(xué)員參加了培訓(xùn)。12月又舉辦了第二期培訓(xùn)班。 2007年，面向全國審計(jì)機(jī)關(guān)征集了第一批信息系統(tǒng)審計(jì)案例，并召開了研討會(huì)。 2009年，再次面向全國審計(jì)機(jī)關(guān)征集信息系統(tǒng)審計(jì)案例，計(jì)劃在11月份再次評審并召開了研討會(huì)。,資料編寫和翻譯,2007年，審計(jì)署培訓(xùn)中心組織把最高審計(jì)機(jī)關(guān)國際組織的IT審計(jì)課件翻譯成為中文，計(jì)算中心與相關(guān)機(jī)構(gòu)聯(lián)系，把該資料掛在委員會(huì)網(wǎng)站上。 2008年，審計(jì)署科研所組織編寫了信息系統(tǒng)審計(jì)技術(shù)方法。 2009年，審計(jì)署計(jì)算中心開始翻譯GAO的聯(lián)邦信息系統(tǒng)控制審計(jì)手冊。,規(guī)范準(zhǔn)備,2007年，審計(jì)署計(jì)算中心組織編制了信息系統(tǒng)審計(jì)準(zhǔn)則，后此項(xiàng)工作交由法規(guī)司負(fù)責(zé)。 2008年，審計(jì)署計(jì)算中心組織開始編制信息系統(tǒng)審計(jì)指南，此項(xiàng)工作計(jì)劃在2009年3月底完成。,內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),案例1：,國家開發(fā)銀行信息系統(tǒng)審計(jì),案例2：,中化集團(tuán)信息系統(tǒng)審計(jì),內(nèi)容提要,信息系統(tǒng)審計(jì)概述 國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀 信息系統(tǒng)審計(jì)模型COBIT 審計(jì)署所做的信息系統(tǒng)審計(jì)工作 案例介紹與分析 審什么和怎么審 交流互動(dòng),政府信息系統(tǒng)審計(jì)的總體目的,對被審計(jì)單位的信息系統(tǒng)運(yùn)行、管理中的控制的有效性進(jìn)行評價(jià)，包括對相關(guān)控制的設(shè)計(jì)是否合理、執(zhí)行是否有效，有無重大的控制缺失等。審計(jì)機(jī)關(guān)和審計(jì)人員應(yīng)當(dāng)根據(jù)本單位擬開展的信息系統(tǒng)審計(jì)項(xiàng)目的實(shí)際情況，確定信息系統(tǒng)審計(jì)的目的，包括以下不同情況： 在財(cái)務(wù)收支審計(jì)中，通過對與財(cái)務(wù)收支審計(jì)目標(biāo)相關(guān)的信息系統(tǒng)一般控制和應(yīng)用控制的有效性進(jìn)行評價(jià)，從而為財(cái)務(wù)收支審計(jì)提供支持； 在獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目中，通過對系統(tǒng)控制的有效性進(jìn)行測試，指出系統(tǒng)的關(guān)鍵控制缺陷，在此基礎(chǔ)上進(jìn)一步對信息系統(tǒng)控制的有效性給予評價(jià)；或者僅指出系統(tǒng)的關(guān)鍵控制缺陷，而不進(jìn)行整體評價(jià)。,政府信息系統(tǒng)審計(jì)的范圍,針對以上目的，信息系統(tǒng)審計(jì)可以在以下不同的層次開展： 可以針對被審計(jì)單位的整體信息系統(tǒng)運(yùn)行和管理進(jìn)行審計(jì)； 可以針對被審計(jì)單位的特定的信息系統(tǒng)（如ERP系統(tǒng)）或者使用的特定技術(shù)（如網(wǎng)絡(luò)安全）進(jìn)行審計(jì)； 可以只對一般控制或應(yīng)用控制情況開展審計(jì)。,審計(jì)計(jì)劃階段,計(jì)劃階段的目的是： 了解被審計(jì)單位以及其業(yè)務(wù)運(yùn)作情況； 識別風(fēng)險(xiǎn)和內(nèi)部控制； 確定審計(jì)的性質(zhì)、范圍和重點(diǎn)。 計(jì)劃階段主要的任務(wù)有： 確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng)。 確定審計(jì)所關(guān)注的重要領(lǐng)域。 初步評估系統(tǒng)的風(fēng)險(xiǎn)。 了解并初步評估信息系統(tǒng)控制。 形成審計(jì)方案和審計(jì)實(shí)施方案。,確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng),1、選擇合適的被審計(jì)單位是國家審