怎樣開展信息系統(tǒng)審計(jì)工作課件

1、怎樣開展信息系統(tǒng)審計(jì)工作審計(jì)署計(jì)算中心 輔助審計(jì)處 陳劍課程目的 這部分內(nèi)容是對(duì)信息系統(tǒng)審計(jì)這一新興的審計(jì)領(lǐng)域的介紹性質(zhì)的課程。 通過學(xué)習(xí)，學(xué)員能夠了解國內(nèi)外信息系統(tǒng)審計(jì)開展的狀況，明確國家審計(jì)中信息系統(tǒng)審計(jì)的范圍和目標(biāo)，初步了解開展信息系統(tǒng)審計(jì)的工作流程和技術(shù)方法，達(dá)到開闊眼界，啟發(fā)思路、指導(dǎo)實(shí)踐的作用。小調(diào)查1你的專業(yè)背景是：計(jì)算機(jī)相關(guān)審計(jì)業(yè)務(wù)相關(guān)其他是否參加過本單位開展的信息系統(tǒng)審計(jì)項(xiàng)目是否是否有信息系統(tǒng)審計(jì)相關(guān)學(xué)習(xí)經(jīng)歷CISACISSP其他無小調(diào)查2你認(rèn)為影響本單位開展信息系統(tǒng)審計(jì)工作的主要因素是：（多選） 人才和技術(shù)手段缺乏 信息系統(tǒng)審計(jì)在國家審計(jì)中的定位模糊 法規(guī)不健全 目前單位的

2、考核機(jī)制 不知道該如何開展 認(rèn)為沒有開展的必要 其他（請(qǐng)具體說明）內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)什么是信息系統(tǒng)審計(jì)INTOSAI（最高審計(jì)機(jī)關(guān)國際組織 ）： 信息系統(tǒng)審計(jì)是： 一個(gè)通過獲取并評(píng)估證據(jù)，以判斷IT系統(tǒng)是否保護(hù)了組織的資產(chǎn)，有效率地利用組織的資源，保障數(shù)據(jù)的安全性和一致性，以及有效地達(dá)到組織的業(yè)務(wù)目標(biāo)的過程。 為什么要開展信息系統(tǒng)審計(jì)計(jì)算機(jī)在各級(jí)政府組織中的廣泛使用 交易處理財(cái)務(wù)報(bào)表決策支持功能數(shù)據(jù)挖掘被審計(jì)單位的IT系統(tǒng)對(duì)審計(jì)人員的審計(jì)方法和在審計(jì)測試中采用的技術(shù)

3、產(chǎn)生了影響；內(nèi)部控制環(huán)境的變更；匿名用戶帶來的責(zé)任缺失；未經(jīng)授權(quán)的和未記錄下來的數(shù)據(jù)修改的可能性；看得見的審計(jì)痕跡和/或紙質(zhì)文件的缺失；審計(jì)證據(jù)的變化；數(shù)據(jù)復(fù)制/無內(nèi)容數(shù)據(jù)的可能性；出現(xiàn)欺詐和錯(cuò)誤的新機(jī)會(huì)和機(jī)制；分布式數(shù)據(jù)處理和存儲(chǔ)；關(guān)鍵業(yè)務(wù)信息的機(jī)密性和一致性；由于組織內(nèi)部或組織之間的通訊，特別是因特網(wǎng)增加的風(fēng)險(xiǎn)；系統(tǒng)故障/宕機(jī)的可能性。信息系統(tǒng)審計(jì)的類型對(duì)信息系統(tǒng)控制的檢查 對(duì)財(cái)務(wù)信息系統(tǒng)的審計(jì) 信息系統(tǒng)的績效審計(jì)或VFM審計(jì) 對(duì)正在開發(fā)的信息系統(tǒng)的審計(jì) 信息系統(tǒng)舞弊審計(jì) 信息系統(tǒng)安全審計(jì) 計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）信息系統(tǒng)審計(jì)的起源與發(fā)展社會(huì)審計(jì)：伴隨著財(cái)務(wù)報(bào)告審計(jì)發(fā)展1954年，

4、第一套計(jì)算機(jī)化的會(huì)計(jì)系統(tǒng)在通用電氣公司開始使用。六十年代中期，出現(xiàn)了第一套通用審計(jì)軟件（GAS）。1968年，AICPA（美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)）和當(dāng)時(shí)的八大會(huì)計(jì)師事務(wù)所聯(lián)合開始開展EDP（電子數(shù)據(jù)處理）審計(jì)。1968年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）成立。該協(xié)會(huì)于1977年發(fā)布了控制目標(biāo)第一版（即Cobit的前身）。1977年，IIA發(fā)布了一項(xiàng)研究成果，即系統(tǒng)可審計(jì)性與控制（ the Systems, Auditability, and Control, 簡稱SAC)。 信息系統(tǒng)審計(jì)發(fā)展的歷史（續(xù)）1994年，電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）改名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）。

5、2019年，信息系統(tǒng)審計(jì)與控制基金會(huì)（Control Objectives for Information and Related Technology，簡稱ISACF）發(fā)布了信息技術(shù)控制目標(biāo)COBIT第一版。目前已經(jīng)修訂到第四版。2019年，IT治理學(xué)會(huì)（IT Governance Institute）成立。1978年，出現(xiàn)了CISA職業(yè)化認(rèn)證，并在1981年舉辦了第一次CISA考試。2019年9月，美國國家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）對(duì)ISACA提供的CISA和CISM資格進(jìn)行了鑒定的認(rèn)可，鞏固了這兩個(gè)資格的地位。信息系統(tǒng)審計(jì)發(fā)展的歷史（續(xù)）政府審計(jì)：起源于對(duì)政府信息系統(tǒng)的評(píng)價(jià)1959年，GAO發(fā)

6、布第一份政府的信息系統(tǒng)審計(jì)報(bào)告：評(píng)價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝；2019年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)（第一版）； 2019年， GAO發(fā)布聯(lián)邦信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南；2019年，審計(jì)署組織了第一次信息系統(tǒng)審計(jì)項(xiàng)目；2019年，審計(jì)署組織了第一次獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目；2009年，GAO發(fā)布聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)（第二 版）信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)體系ISACA的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)標(biāo)準(zhǔn)（Standards）指南（Guidelines）流程（Procedures）信息系統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn)信息系統(tǒng)控制方面信息系統(tǒng)運(yùn)營、服務(wù)管理方面信息系統(tǒng)安全方面信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī)ISAC

7、A的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)標(biāo)準(zhǔn)：定義了信息系統(tǒng)審計(jì)和報(bào)告的強(qiáng)制性要求。指南：對(duì)審計(jì)人員執(zhí)行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的指導(dǎo)，信息系統(tǒng)審計(jì)人員在實(shí)施相關(guān)工作時(shí)，應(yīng)當(dāng)考慮這些指南的要求。 流程：為信息系統(tǒng)審計(jì)人員在執(zhí)行具體審計(jì)任務(wù)時(shí)提供詳細(xì)的案例，供審計(jì)人員參考。 標(biāo)準(zhǔn)生效日期指南生效日期流程生效日期信息系統(tǒng)審計(jì)可以參考的其他標(biāo)準(zhǔn)信息系統(tǒng)控制方面COSO COBIT SAC&eSAC 信息系統(tǒng)運(yùn)營、服務(wù)管理方面ITIL信息系統(tǒng)安全方面ISO/ICT17799 COSOCOSO內(nèi)部控制框架實(shí)際上是COSO組織在1992年9月發(fā)布的一份報(bào)告，報(bào)告的正式名稱是“內(nèi)部控制-完整框架”。它是在美國審計(jì)行業(yè)最為廣泛接受并使用

8、的內(nèi)部控制框架。包括政府審計(jì)和會(huì)計(jì)師事務(wù)所的審計(jì)都以COSO作為檢查組織內(nèi)部控制的標(biāo)準(zhǔn)框架。盡管COSO框架并不是信息技術(shù)方面的內(nèi)部控制框架，但是由于它在審計(jì)領(lǐng)域的重要性，幾乎所有的信息系統(tǒng)審計(jì)的框架和指南都會(huì)考慮吸取它的主要思想作為內(nèi)部控制的考慮出發(fā)點(diǎn)。特別是2019年薩班斯奧克斯利法案(SOX)頒布后，美國證券交易管理委員會(huì)（SEC）把COSO框架作為組織加強(qiáng)內(nèi)部控制的唯一參考框架，更進(jìn)一步提升了COSO框架的重要地位。許多組織為了達(dá)到SOX法案對(duì)內(nèi)部控制和信息真實(shí)性的要求，紛紛對(duì)信息系統(tǒng)進(jìn)行控制評(píng)估和風(fēng)險(xiǎn)測試，開發(fā)了各種信息技術(shù)控制框架以符合COSO提出的要求，從而把信息技術(shù)的一般控制和

9、應(yīng)用控制方法與COSO框架結(jié)合起來。 SAC&eSAC SAC是第一個(gè)與信息技術(shù)相關(guān)的內(nèi)部控制框架，它其實(shí)是由內(nèi)部審計(jì)師學(xué)會(huì)（IIA）在1977年發(fā)布一份報(bào)告，報(bào)告的正式名稱是系統(tǒng)審計(jì)與控制報(bào)告，該報(bào)告著重從業(yè)務(wù)視角考察信息技術(shù)，分析了存在于信息系統(tǒng)的計(jì)劃、實(shí)施、自動(dòng)化應(yīng)用中的風(fēng)險(xiǎn)，希望為組織提供“對(duì)信息技術(shù)與系統(tǒng)審計(jì)的控制的指導(dǎo)”。 SAC報(bào)告包含了14個(gè)模塊，分別是：執(zhí)行概要、審計(jì)與控制環(huán)境、審計(jì)中信息技術(shù)的應(yīng)用、計(jì)算機(jī)資源管理、管理信息與開發(fā)系統(tǒng)、業(yè)務(wù)系統(tǒng)、最終用戶與部門級(jí)計(jì)算、通訊、安全、意外計(jì)劃、技術(shù)、索引、先進(jìn)技術(shù)支持、案例研究。2019年，內(nèi)部審計(jì)師學(xué)會(huì)（IIA）發(fā)布了適應(yīng)時(shí)代的

10、信息系統(tǒng)控制模型：電子系統(tǒng)驗(yàn)證與控制（eSAC），主要內(nèi)容包括高級(jí)管理人員、公司治理實(shí)體、審計(jì)人員在理解、評(píng)估、監(jiān)控、化解技術(shù)風(fēng)險(xiǎn)時(shí)需要掌握的新知識(shí)。eSAC的核心通過五個(gè)驗(yàn)證目標(biāo)（可用性、性能、功能、保護(hù)、責(zé)任）與COSO的四個(gè)內(nèi)部控制目標(biāo)（運(yùn)行、報(bào)告、符合、維護(hù)）以及五項(xiàng)基礎(chǔ)設(shè)施模塊（人員、技術(shù)、過程、投資、通訊）結(jié)合起來。 ITIL ITIL是指信息技術(shù)基礎(chǔ)設(shè)施庫（IT Infrastructure Library）。是一個(gè)能促進(jìn)組織接近提供高質(zhì)量的信息技術(shù)服務(wù)的最佳實(shí)踐的框架。ITIL專門關(guān)注怎樣做和誰來做。核心過程包括在兩個(gè)ITIL的文檔中：服務(wù)支持和服務(wù)交付。服務(wù)支持主要包括以下過

11、程：事故管理問題管理配置管理變更管理版本管理服務(wù)交付主要包括以下過程：服務(wù)水平管理信息技術(shù)服務(wù)的財(cái)務(wù)管理能力管理信息技術(shù)服務(wù)持續(xù)度管理可用性管理ITIL還包括了基礎(chǔ)架構(gòu)管理、應(yīng)用程序管理、安全管理、規(guī)劃與實(shí)施服務(wù)管理、軟件資產(chǎn)管理等內(nèi)容。ISO/ICT17799 ISO/ICT17799是信息安全的國際標(biāo)準(zhǔn)，是由國際標(biāo)準(zhǔn)化組織（ISO）和國際電子技術(shù)委員會(huì)（ICT）頒布的。該標(biāo)準(zhǔn)的正式名稱是“信息技術(shù)安全技術(shù)信息安全管理實(shí)務(wù)規(guī)定”。其中ISO/ICT17799：2000版本，是對(duì)英國標(biāo)準(zhǔn)BS7799-1：2019的復(fù)制。2019版的ISO/ICT17799標(biāo)準(zhǔn)包含了以下12個(gè)方面：風(fēng)險(xiǎn)評(píng)估與處

12、理、安全策略、信息安全組織、資產(chǎn)管理、人力資源安全、物理與環(huán)境安全、通訊與運(yùn)營管理、訪問控制、信息系統(tǒng)獲取、開發(fā)與維護(hù)、信息安全事故管理、業(yè)務(wù)持續(xù)管理、符合性。在標(biāo)準(zhǔn)的每一部分中，都清楚地標(biāo)明了信息技術(shù)安全控制的目標(biāo)，信息技術(shù)安全控制被作為達(dá)到這些目標(biāo)的最佳實(shí)踐。 信息系統(tǒng)審計(jì)必須遵循的行業(yè)法規(guī)Gramm-Leach-Bliley 法案(GLBA) 又稱金融現(xiàn)代化法案，2019年11月12日獲得美國國會(huì)的通過， GLBA規(guī)定金融機(jī)構(gòu)必須評(píng)估客戶機(jī)密信息的風(fēng)險(xiǎn)，制定控制措施，盡量降低已知風(fēng)險(xiǎn)，并定期更新風(fēng)險(xiǎn)評(píng)估結(jié)果和控制措施。 健康保險(xiǎn)流通與責(zé)任法案(HIPAA) 2019年8月21日，健康保險(xiǎn)

13、流通與責(zé)任法案(HIPAA) (The Health Insurance Portability and Accountability Act)獲得美國國會(huì)的通過，法案規(guī)定所有處理和/或持有健康醫(yī)療相關(guān)信息的組織都必須遵守保護(hù)病患信息 (PHI) 的安全性規(guī)定。 HIPAA把醫(yī)療記錄和相關(guān)信息定義為需要特別控制的受保護(hù)的健康信息。薩班斯一奧史斯利法案(Sarbanes-Oxley Act) 2019 年通過的薩班斯一奧史斯利法案 (Sarbanes-Oxley (SOX) Act of 2019) 規(guī)定美國證券交易所 (SEC) 的注冊(cè)公司必須針對(duì)運(yùn)營和金融業(yè)務(wù)建立并維持有效的內(nèi)部控制架構(gòu)，為

14、控制措施的有效性提供管理報(bào)告，而且控制措施的有效性必須通過外部審計(jì)人員的審核。 內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)國外IT績效審計(jì)與電子政務(wù)審計(jì)美國聯(lián)邦機(jī)構(gòu)信息系統(tǒng)審計(jì)美國的聯(lián)邦審計(jì)機(jī)構(gòu)（中央級(jí)）由兩部分組成：一部分是美國審計(jì)署（GAO），另一部分是兼有審計(jì)、監(jiān)察兩種職能的行政部門和機(jī)構(gòu)的監(jiān)察長辦公室（OIGs）。美國聯(lián)邦審計(jì)機(jī)構(gòu)美國審計(jì)署作為議會(huì)的調(diào)查機(jī)構(gòu)，是議會(huì)用來監(jiān)督和評(píng)價(jià)聯(lián)邦政府的工具

15、。其主要工作是開展項(xiàng)目效果評(píng)價(jià)和管理評(píng)估、政策評(píng)估以及為國會(huì)提供有關(guān)政府施政方面的復(fù)雜問題的研究報(bào)告。除對(duì)聯(lián)邦合并財(cái)務(wù)報(bào)表和個(gè)別機(jī)構(gòu)、單位的財(cái)務(wù)報(bào)表由美國審計(jì)署進(jìn)行審計(jì)外，部門和機(jī)構(gòu)的財(cái)務(wù)審計(jì)基本上交由監(jiān)察長辦公室進(jìn)行。美國的監(jiān)察長審計(jì)制度是通過1978年監(jiān)察長法建立起來的。根據(jù)1978年的監(jiān)察長法及其后來的修正案，聯(lián)邦政府各部門均設(shè)立監(jiān)察長辦公室，監(jiān)察長負(fù)責(zé)監(jiān)察長辦公室的工作，由總統(tǒng)任命。監(jiān)察長辦公室的預(yù)算是獨(dú)立的，由國會(huì)批準(zhǔn)，部門負(fù)責(zé)人不能用經(jīng)費(fèi)來限制監(jiān)察長辦公室的業(yè)務(wù)活動(dòng)。監(jiān)察長辦公室的工作范圍十分廣泛，涉及到影響部門工作效率和效果的各個(gè)方面。其主要工作包括審計(jì)、對(duì)投訴、舉報(bào)和有關(guān)事項(xiàng)的

16、調(diào)查和監(jiān)察等工作。其中，審計(jì)工作主要包括財(cái)務(wù)審計(jì)和績效審計(jì)兩個(gè)方面。美國審計(jì)署和監(jiān)察長辦公室在分工上各有側(cè)重，二者共同構(gòu)成了美國國家審計(jì)的整體。美國審計(jì)署與監(jiān)察長辦公室的關(guān)系美國審計(jì)署監(jiān)察長辦公室作用范圍整個(gè)政府部門、機(jī)構(gòu)內(nèi)部關(guān)注問題普遍性（橫向）和長期性的問題深入（縱向）和短期性的問題工作類型較多審計(jì)、評(píng)價(jià)和政策分析較多調(diào)查對(duì)財(cái)務(wù)報(bào)表審計(jì)的分工對(duì)聯(lián)邦政府合并報(bào)表發(fā)表意見對(duì)部門、機(jī)構(gòu)財(cái)務(wù)報(bào)表進(jìn)行審計(jì)對(duì)政府績效進(jìn)行監(jiān)督的方式提出聯(lián)邦政府部門績效和責(zé)任高風(fēng)險(xiǎn)名單提出政府部門面臨的管理挑戰(zhàn)清單（根據(jù)2019年3月24日美國審計(jì)長大衛(wèi)沃克所做的美國審計(jì)署和監(jiān)察長辦公室：提高政府績效和責(zé)任演講中的幻燈片

17、的內(nèi)容編譯。）1、美國審計(jì)署美國審計(jì)署與計(jì)算機(jī)相關(guān)的組織機(jī)構(gòu) 在業(yè)務(wù)方面，設(shè)置了專門的信息技術(shù)局開展信息系統(tǒng)審計(jì)； 另外，在應(yīng)用研究與技術(shù)局下設(shè)有專門的技術(shù)工程和信息安全實(shí)驗(yàn)中心，負(fù)責(zé)改善信息技術(shù)和促進(jìn)軟件工程現(xiàn)代化，評(píng)估聯(lián)邦政府計(jì)算機(jī)系統(tǒng)的安全性。 在保障方面，設(shè)置了專門的信息系統(tǒng)與技術(shù)服務(wù)部門保障內(nèi)部信息系統(tǒng)的運(yùn)轉(zhuǎn)。相關(guān)計(jì)算機(jī)機(jī)構(gòu)的任務(wù)信息技術(shù)局（截止至2019年4月）有局領(lǐng)導(dǎo)2人，5個(gè)處，分別是： （1）信息管理； （2）信息技術(shù)架構(gòu)與系統(tǒng)； （3）信息技術(shù)人力資本與管理； （4）信息技術(shù)管理事務(wù)： （5）信息技術(shù)安全事務(wù)。信息系統(tǒng)與技術(shù)服務(wù)部門設(shè)GAO首席信息官（CIO）一名，承擔(dān)9項(xiàng)

18、任務(wù)： （1）業(yè)務(wù)系統(tǒng)；（2）客戶關(guān)系； （3）預(yù)約管理； （4）組織架構(gòu)；（5）信息系統(tǒng)安全；（6）網(wǎng)絡(luò)運(yùn)營； （7）運(yùn)行與計(jì)劃；（8）通訊；（9）網(wǎng)頁服務(wù) 技術(shù)工程和信息安全實(shí)驗(yàn)中心負(fù)責(zé)對(duì)工作成果有關(guān)內(nèi)容的準(zhǔn)確性進(jìn)行技術(shù)檢驗(yàn)，包括具備系統(tǒng)工程、軟件工程、成本概算和計(jì)算機(jī)安全等方面的工程師和科學(xué)家。美國審計(jì)署文件對(duì)信息系統(tǒng)審計(jì)組織機(jī)構(gòu)的要求美國審計(jì)署信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南（2019年12月）中提到： 審計(jì)機(jī)關(guān)所轄信息系統(tǒng)審計(jì)部門的大小決定了信息系統(tǒng)審計(jì)的能力，州和地方審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)部門的大小和職能區(qū)別很大。 一些審計(jì)機(jī)關(guān)沒有設(shè)置信息系統(tǒng)審計(jì)部門，而是通過與社會(huì)審計(jì)有關(guān)方面簽訂合

19、同，完成信息系統(tǒng)審計(jì)工作。還有一些審計(jì)機(jī)關(guān)的信息系統(tǒng)審計(jì)人員直接整合進(jìn)入財(cái)務(wù)審計(jì)和業(yè)務(wù)審計(jì)小組。 此外，審計(jì)機(jī)關(guān)應(yīng)該根據(jù)其大小、結(jié)構(gòu)和任務(wù)建立健全信息系統(tǒng)安全審計(jì)方面的能力。美國審計(jì)署對(duì)信息系統(tǒng)控制審計(jì)的提法1、一般控制（摘自聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)）：實(shí)體安全控制訪問控制應(yīng)用軟件開發(fā)和變更控制系統(tǒng)軟件控制職責(zé)分離控制服務(wù)連續(xù)性控制2、應(yīng)用控制（摘自聯(lián)邦政府內(nèi)部控制標(biāo)準(zhǔn)和控制管理與評(píng)價(jià)工具）：授權(quán)控制完整性控制準(zhǔn)確性控制數(shù)據(jù)文件和處理的完整性控制美國審計(jì)署關(guān)于信息系統(tǒng)安全審計(jì)的提法（摘自信息系統(tǒng)安全審計(jì)管理的計(jì)劃指南） 信息系統(tǒng)安全審計(jì)的目標(biāo)是：支持財(cái)務(wù)審計(jì)、支持效益審計(jì)、支持計(jì)算機(jī)輔助審計(jì)和

20、完成系統(tǒng)開發(fā)的安全檢查等。 滿足信息系統(tǒng)安全審計(jì)目標(biāo)的活動(dòng)有：計(jì)劃支持； 一般控制檢查（組織和管理、應(yīng)用開發(fā)與維護(hù)、系統(tǒng)軟件、計(jì)算機(jī)運(yùn)行、安全管理、邏輯安全、物理安全）、 應(yīng)用控制檢查（輸入控制、輸出控制）；采用專門的安全技術(shù)工具；收集其他安全相關(guān)信息；其他的專業(yè)支持。美國審計(jì)署與信息技術(shù)投資相關(guān)的指南和手冊(cè)信息技術(shù)：評(píng)估采購風(fēng)險(xiǎn)的審計(jì)指南, 1992年12月；執(zhí)行指南：通過信息管理戰(zhàn)略來提高執(zhí)行任務(wù)的效果，1994年5月；信息技術(shù)投資：聯(lián)邦機(jī)構(gòu)能提高效益、降低成本和使風(fēng)險(xiǎn)最小，2019年9月；信息技術(shù)投資評(píng)價(jià)指南，2019年2月；執(zhí)行指南：信息技術(shù)投資的效益計(jì)量和成果演示，2019年3月；執(zhí)

21、行指南：信息安全管理，2019年8月；信息安全風(fēng)險(xiǎn)評(píng)估：領(lǐng)先者的實(shí)踐經(jīng)驗(yàn)，2019年11月；信息技術(shù)投資管理執(zhí)行指南：評(píng)估和改進(jìn)過程成熟度的框架 2019年3月。美國審計(jì)署發(fā)布的信息系統(tǒng)審計(jì)報(bào)告根據(jù)對(duì)美國審計(jì)署官方網(wǎng)站上審計(jì)報(bào)告的統(tǒng)計(jì),自1959年12月15日的評(píng)價(jià)自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝開始至今（2019年5月），美國審計(jì)署共發(fā)布1632份有關(guān)信息管理的審計(jì)報(bào)告。自2000年1月至今，美國審計(jì)署共發(fā)布有有關(guān)信息管理的審計(jì)報(bào)告392篇，占同期全部審計(jì)報(bào)告（ 7087份）約5.5%。以美國審計(jì)署網(wǎng)站公布的第一份信息管理類審計(jì)報(bào)告為例這是一份提交給郵政事務(wù)委員會(huì)（THE COMMITTEE ON

22、POST OFFICE AND CIVIL SERVICE）的報(bào)告。審計(jì)調(diào)查：1959年10月，郵政事務(wù)委員會(huì)請(qǐng)求美國審計(jì)署對(duì)其自動(dòng)化數(shù)據(jù)處理系統(tǒng)的安裝進(jìn)行評(píng)價(jià)。1952年12月，其下屬部門租得一套中型計(jì)算機(jī)系統(tǒng)Datatron 205，年度租金$123,300，增加運(yùn)營成本$156,700，該部門不久 安裝了一套更大處理能力的Datatron 220,將進(jìn)一步增加運(yùn)營成本$127, 500。 審計(jì)署認(rèn)為，該部門決定租用計(jì)算機(jī)系統(tǒng)Datatron 205的理由是充分的，但調(diào)查也發(fā)現(xiàn)使用該套設(shè)備并不能直接節(jié)約費(fèi)用。以美國審計(jì)署發(fā)布的最新一期信息管理類審計(jì)報(bào)告為例信息安全：美國聯(lián)邦存款保險(xiǎn)公司需要

23、繼續(xù)改進(jìn)其處理程序。 GAO-07-351, 2019年5月18日 美國審計(jì)署為什么要完成進(jìn)行這項(xiàng)審計(jì)任務(wù)？ 美國聯(lián)邦存款保險(xiǎn)公司（FDIC）有責(zé)任強(qiáng)制要求金融機(jī)構(gòu)遵守銀行法，保護(hù)存款人的利益。作為2019年度財(cái)務(wù)報(bào)表審計(jì)的一部分，美國審計(jì)署評(píng)估以下內(nèi)容：（1）美國聯(lián)邦存款保險(xiǎn)公司按照先前報(bào)告要求，對(duì)信息安全薄弱環(huán)節(jié)的糾正情況。 （2）信息系統(tǒng)完整性控制的效力，以保證財(cái)務(wù)信息和信息系統(tǒng)的機(jī)密性和有效性。美國審計(jì)署的建議是： 美國聯(lián)邦存款保險(xiǎn)公司應(yīng)采取措施解決控制薄弱點(diǎn)，并將NFE“新財(cái)務(wù)環(huán)境”充分整合，納入統(tǒng)一的信息安全程序。 在起草報(bào)告的過程中，美國聯(lián)邦存款保險(xiǎn)公司反映他們正在落實(shí)整改。以美

24、國審計(jì)署發(fā)布的最新一期信息管理類審計(jì)報(bào)告為例（續(xù)）美國審計(jì)署的審計(jì)發(fā)現(xiàn)： 首先，美國聯(lián)邦存款保險(xiǎn)公司積極按照2019年美國審計(jì)署報(bào)告的建議，對(duì)26項(xiàng)薄弱點(diǎn)進(jìn)行了糾正。其中包括： （1）正在開發(fā)和已經(jīng)完成的計(jì)算機(jī)程序不得在網(wǎng)絡(luò)中以可讀取的方式傳輸主機(jī)用戶和管理員的密碼； （2）使用程序變更供應(yīng)商的用戶名/密碼； （3）改進(jìn)主機(jī)的安全監(jiān)控等。 雖然，美國聯(lián)邦存款保險(xiǎn)公司已經(jīng)采取了有效措施改進(jìn)其信息系統(tǒng)控制，但是原有的和新發(fā)現(xiàn)的薄弱點(diǎn)將阻礙公司保護(hù)其財(cái)務(wù)和敏感信息與系統(tǒng)的完整、機(jī)密和有效。除了還有5項(xiàng)薄弱點(diǎn)還沒有得到糾正以外，本次審計(jì)還發(fā)現(xiàn)以下控制存在薄弱點(diǎn)： （1）e-mail安全；（2）物理安全

25、；（3）配置管理。 雖然這些薄弱點(diǎn)可能不會(huì)給公司的財(cái)務(wù)報(bào)表造成虛假陳述的顯著風(fēng)險(xiǎn)，但是他們的確是可能造成財(cái)務(wù)和信息系統(tǒng)風(fēng)險(xiǎn)的發(fā)生。此外，公司沒有將其“新財(cái)務(wù)環(huán)境”（NFE）納入整體的信息安全程序，沒有對(duì)其實(shí)施關(guān)鍵的控制活動(dòng)。 2、監(jiān)察長辦公室（OIGs）監(jiān)察長辦公室下設(shè)多個(gè)部門，其中包括審計(jì)處。審計(jì)處主要負(fù)責(zé)： 1、實(shí)施和監(jiān)督與部門項(xiàng)目和業(yè)務(wù)活動(dòng)有關(guān)的審計(jì)； 2、提出相關(guān)政策建議以提升部門項(xiàng)目和業(yè)務(wù)活動(dòng)管理的經(jīng)濟(jì)、效率和效果，揭露并杜絕項(xiàng)目和業(yè)務(wù)活動(dòng)管理過程中出現(xiàn)的舞弊、浪費(fèi)、濫用和管理不善問題，協(xié)助監(jiān)察長提請(qǐng)部長和國會(huì)注意有關(guān)部門項(xiàng)目和業(yè)務(wù)管理方面的問題、不足以及改善的必要性和過程。監(jiān)察長下

26、設(shè)的審計(jì)部門在信息系統(tǒng)審計(jì)領(lǐng)域，同樣要遵守美國審計(jì)署頒布的審計(jì)標(biāo)準(zhǔn)、手冊(cè)和指南。美國小企業(yè)管理局監(jiān)察長辦公室，2019財(cái)年信息系統(tǒng)控制審計(jì)報(bào)告，2019年4月審計(jì)人員檢查了小企業(yè)管理局的財(cái)務(wù)管理系統(tǒng)的一般控制和應(yīng)用控制，確認(rèn)其是否控制符合聯(lián)邦的要求。本次審計(jì)，對(duì)聯(lián)邦政府進(jìn)行一般控制和應(yīng)用控制的檢查，主要依據(jù)下列文件： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）聯(lián)邦信息資源和計(jì)算機(jī)安全法案，1987年。審計(jì)結(jié)論認(rèn)為：小企業(yè)管理局在實(shí)施信息系統(tǒng)安全程序方面獲得相當(dāng)大的進(jìn)展，但仍然存在不足，部分控制仍需加強(qiáng)，包括：整體的安全控制、訪問控制、應(yīng)用軟件開發(fā)和變更控制、系統(tǒng)軟件控制、職責(zé)分

27、離控制控制和業(yè)務(wù)持續(xù)性控制。該報(bào)告也提出了相應(yīng)的解決建議。聯(lián)邦通信委員會(huì)監(jiān)察長辦公室， 呼叫中心的計(jì)算機(jī)控制審計(jì)，2000年6月審計(jì)依據(jù)： （1）管理和預(yù)算辦公室（OMB）的A-130通知； （2）美國審計(jì)署聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)； （3）通訊委員會(huì)自定的“計(jì)算機(jī)安全程序”； （4）“計(jì)算機(jī)舞弊和濫用法”。審計(jì)發(fā)現(xiàn)： 審計(jì)最終發(fā)現(xiàn)103處問題，其中高風(fēng)險(xiǎn)（13處），中風(fēng)險(xiǎn)（52處），低風(fēng)險(xiǎn)（38處）。 呼叫中心共有3大系統(tǒng)，分別是：自動(dòng)呼叫管理系統(tǒng)、語音響應(yīng)系統(tǒng)和專家顧問系統(tǒng)。國外的信息系統(tǒng)審計(jì)美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)國外IT績效審計(jì)與電子政務(wù)審計(jì)兩個(gè)協(xié)會(huì)美國

28、州審計(jì)師、主計(jì)師、司庫全國協(xié)會(huì)(NASACT)美國地方政府審計(jì)師協(xié)會(huì)（ALGA）美國州審計(jì)師、主計(jì)師、司庫全國協(xié)會(huì)(NASACT)美國州審計(jì)師、主計(jì)師、司庫協(xié)會(huì)由州政府開展財(cái)務(wù)管理政府官員組成的一個(gè)組織。其會(huì)員包括美國50個(gè)州、哥倫比亞特區(qū)等美國領(lǐng)土的所有審計(jì)師、主計(jì)師和司庫。該協(xié)會(huì)成立了專門的政府間信息安全審計(jì)論壇，以促進(jìn)加強(qiáng)政府信息安全審計(jì)能力。包括5個(gè)組，任務(wù)目標(biāo)組、法律文件和報(bào)告組、技術(shù)組、培訓(xùn)和課件開發(fā)組和信息共享組。其目標(biāo)是：技術(shù)技巧和人力資源；采用的審計(jì)方法和工具；建立完成信息安全審計(jì)的技術(shù)、法律和程序基礎(chǔ)；開發(fā)材料，教育信息安全風(fēng)險(xiǎn)與審計(jì)；討論改善信息安全的統(tǒng)一標(biāo)準(zhǔn)。其開發(fā)的操

29、作手冊(cè)包括：一般控制、應(yīng)用控制、計(jì)算機(jī)輔助審計(jì)技術(shù)、計(jì)算機(jī)取證審計(jì)美國地方政府審計(jì)師協(xié)會(huì)（ALGA）美國地方政府審計(jì)師協(xié)會(huì)是由有關(guān)審計(jì)機(jī)構(gòu)組成，自由入會(huì)，共享資源。該協(xié)會(huì)對(duì)信息系統(tǒng)審計(jì)沒有特別定義，它收集了很多與信息系統(tǒng)審計(jì)相關(guān)的資源，包括： （1）AICPA，SASNo.94“信息技術(shù)對(duì)審計(jì)師在財(cái)務(wù)報(bào)表審計(jì)中考慮內(nèi)部控制的影響”； （2）信息系統(tǒng)控制與審計(jì)學(xué)會(huì)的信息系統(tǒng)審計(jì)； （3）內(nèi)部審計(jì)學(xué)會(huì)信息技術(shù)審計(jì)； （4）NIST關(guān)于聯(lián)邦信息處理標(biāo)準(zhǔn)中計(jì)算機(jī)安全的描述 ；德克薩斯州審計(jì)局犯罪司法信息系統(tǒng)數(shù)據(jù)的準(zhǔn)確性，2019年12月經(jīng)過審計(jì)，審計(jì)局認(rèn)為德州CJIS（犯罪司法信息系統(tǒng)）比5年完善和準(zhǔn)

30、確。但是，還有部分有待改善。審計(jì)局曾經(jīng)作出評(píng)估德州犯罪司法信息系統(tǒng)的審計(jì)報(bào)告，指出該系統(tǒng)存在多個(gè)薄弱點(diǎn)可能影響數(shù)據(jù)的可靠性。審計(jì)報(bào)告指出需要采取若干基本控制以確保數(shù)據(jù)的可靠性。審計(jì)報(bào)告的內(nèi)容主要分兩個(gè)部分： （1）州公共安全廳應(yīng)加強(qiáng)控制確保犯罪數(shù)據(jù)庫系統(tǒng)（CCH）數(shù)據(jù)的完整和準(zhǔn)確； 犯罪數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)是不完整的，審計(jì)發(fā)現(xiàn)法院部署實(shí)施逮捕的數(shù)據(jù)與在冊(cè)的罪犯數(shù)據(jù)不匹配。其原因有：有關(guān)方面還沒有提交逮捕信息，公共安全廳的“自動(dòng)指紋識(shí)別系統(tǒng)”和現(xiàn)場掃描系統(tǒng)存在數(shù)據(jù)重復(fù)等。 （2）州犯罪司法廳應(yīng)改進(jìn)罪犯改正跟蹤系統(tǒng)，并加強(qiáng)該系統(tǒng)的IT控制。國外的信息系統(tǒng)審計(jì)美國聯(lián)邦審計(jì)機(jī)構(gòu)信息系統(tǒng)審計(jì)美國地方審計(jì)機(jī)構(gòu)

31、信息系統(tǒng)審計(jì)國外IT績效審計(jì)與電子政務(wù)審計(jì)美國的做法電子政務(wù)法案，2019 在頒布電子政務(wù)法案前的20年，美國陸續(xù)頒布過很多與聯(lián)邦信息技術(shù)管理相關(guān)的法律文件，如隱私法、信息自由法 、Clinger-Cohen 法（信息技術(shù)管理改革法）、文書削減法等。 2019年,由預(yù)算與管理辦公室(OMB)主導(dǎo),促成了電子政務(wù)法的頒布。該法案在第2章“聯(lián)邦管理與電子政務(wù)促進(jìn)”中3707條款提到：美國審計(jì)署應(yīng)在4年內(nèi)向眾議院政府改革委員會(huì)和參議院政務(wù)事務(wù)委員會(huì)提交一份報(bào)告，包括評(píng)價(jià)信息技術(shù)交換技術(shù)的效力；以及該程序是否應(yīng)該繼續(xù)或終止的建議。該法案第2章“聯(lián)邦信息系統(tǒng)標(biāo)準(zhǔn)的責(zé)任”11331條款中提到：國家技術(shù)標(biāo)準(zhǔn)

32、委在制定相關(guān)標(biāo)準(zhǔn)時(shí)應(yīng)與預(yù)算與管理辦公室、國防部、能源部、國家安全局、審計(jì)署和國土安全部協(xié)商。該法案第3章2332條款提到：美國審計(jì)署在六個(gè)月內(nèi)向國會(huì)提交一份有關(guān)“結(jié)余分享”（share-in-savings contracts）的報(bào)告。美國地方審計(jì)機(jī)關(guān)對(duì)電子政務(wù)的審計(jì)報(bào)告美國新澤西州審計(jì)局在2019年對(duì)信息技術(shù)局的電子政務(wù)服務(wù)進(jìn)行了審計(jì)；美國明尼蘇達(dá)州審計(jì)機(jī)關(guān)在2019年4月對(duì)當(dāng)?shù)氐碾娮诱?wù)進(jìn)行了審計(jì)；美國亞利桑那州審計(jì)局在2019年9月對(duì)州運(yùn)輸局的車輛處進(jìn)行了對(duì)信息安全和電子政務(wù)的審計(jì)英國的做法英國審計(jì)署十分注重VFM（Value for Money）審計(jì)，即價(jià)值衡量審計(jì)（績效審計(jì)），IT項(xiàng)

33、目績效也在其重點(diǎn)考慮和評(píng)價(jià)之列。有資料表明，英國審計(jì)署對(duì)IT項(xiàng)目的最初審計(jì)實(shí)踐始于1984年，經(jīng)過多年發(fā)展，英國審計(jì)署已經(jīng)將有關(guān)信息技術(shù)服務(wù)管理作為進(jìn)一步利用計(jì)算機(jī)開展績效審計(jì)工作的主要方向。2019年12月和2019年4月，英國審計(jì)署分兩次提交網(wǎng)上政府報(bào)告；2019年4月，提交通過電子政務(wù)提供更好的公眾服務(wù)報(bào)告；2019年5月，提交采購和管理軟件許可證報(bào)告；2019年，提交改進(jìn)IT采購：商務(wù)部改進(jìn)IT程序和項(xiàng)目效益的動(dòng)機(jī)及影響報(bào)告；2019年，提交健康部：健康部的國家IT項(xiàng)目報(bào)告?！靶畔⑼ㄐ偶夹g(shù)在電子政務(wù)審計(jì)中的應(yīng)用：關(guān)于效率、透明和責(zé)任的戰(zhàn)略”的國際專題討論會(huì)。2019年4月，聯(lián)合國（UN

34、）和最高審計(jì)機(jī)關(guān)國際組織（INTOSAI）在奧地利維也納召開。電子政務(wù)審計(jì)作為加強(qiáng)政府透明和責(zé)任不可缺失的手段正在受到各國審計(jì)機(jī)關(guān)的高度重視。審計(jì)機(jī)關(guān)電子政務(wù)審計(jì)的成熟度，取決于國家電子政務(wù)達(dá)到的水平，以及審計(jì)機(jī)關(guān)自身的技術(shù)。2019年4月，最高審計(jì)機(jī)關(guān)國際組織IT審計(jì)委員會(huì)在莫斯科召開了第4次效益審計(jì)工作會(huì)議議題：“如何對(duì)電子政務(wù)開展效益審計(jì)”包含3個(gè)子議題，分別是: “電子政務(wù)項(xiàng)目的風(fēng)險(xiǎn)評(píng)估”， “以用戶為導(dǎo)向的效率問題”， “審計(jì)電子政務(wù)時(shí)面臨的挑戰(zhàn)”。內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎

35、么審交流互動(dòng)信息系統(tǒng)審計(jì)模型COBITCOBIT：全稱是信息技術(shù)控制目標(biāo)框架，由ISACF在2019年發(fā)布，分別在2019、2000、2019年進(jìn)行了修訂，目前的版本是COBIT4.1。信息系統(tǒng)審計(jì)模型COBITCOBIT是一個(gè)全面的內(nèi)部控制框架，是一個(gè)在國際上公認(rèn)為最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn) 。 COBIT的內(nèi)容主要參考了不同的國際組織的標(biāo)準(zhǔn)或最佳實(shí)踐，覆蓋了當(dāng)今世界上關(guān)于控制和IT的主要標(biāo)準(zhǔn) 。 如：國際標(biāo)準(zhǔn)化組織（ISO）ISACA信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC）COSOGAOIFACIIAAICPACICA歐洲安全論壇（ESF）國家標(biāo)準(zhǔn)與技術(shù)學(xué)會(huì)（NIST） CO

36、BIT的基本原理COBIT是基于控制的模型 COBIT對(duì)控制的定義是：“組織為了能夠預(yù)防、檢測、糾正非預(yù)想情況的發(fā)生，而設(shè)計(jì)實(shí)施的一整套策略、程序、實(shí)務(wù)以及組織結(jié)構(gòu)等的集合，以達(dá)到組織的各項(xiàng)業(yè)務(wù)目標(biāo)。”這個(gè)定義與其他內(nèi)部控制框架對(duì)控制的定義差不多。COBIT架起了強(qiáng)調(diào)業(yè)務(wù)的控制模型（如COSO）和強(qiáng)調(diào)IT的控制模型（如BS7799）之間的橋梁。 COBIT是面向過程的模型COBIT把IT環(huán)境下的各項(xiàng)活動(dòng)組合成為過程，對(duì)每個(gè)過程設(shè)定了一批詳細(xì)的控制目標(biāo)，又把這些過程按照邏輯相關(guān)性組合成為域。COBIT有四個(gè)最高層的域，在這四個(gè)域中共包含了34個(gè)高層控制目標(biāo)和318個(gè)具體控制目標(biāo)。這四個(gè)域是：PO

37、域：計(jì)劃與組織（11個(gè)過程）AI域：獲取與實(shí)施（6個(gè)過程）DS域：交付與支持（13個(gè)過程）ME域：監(jiān)測與評(píng)估（4個(gè)過程） 信息系統(tǒng)審計(jì)模型COBITCOBIT定義了組織中的4種關(guān)鍵信息技術(shù)資源：人員信息應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness） ：信息系統(tǒng)提供對(duì)業(yè)務(wù)處理來說“有效” 的信息效率性（Efficiency） ：“有效率” 地使用資源，提供信息保密性（Confidentiality） ： 保護(hù)敏感信息，避免泄漏信息一致性（Integrity） ：保證信息的“真實(shí)可信” ，即信息準(zhǔn)確、完整，并且 從業(yè)務(wù)價(jià)值和業(yè)務(wù)需要的角度來說是正確有效的

38、可用性（Availablity）：當(dāng)業(yè)務(wù)需要時(shí)，信息可隨時(shí)獲得可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng) 的信息合規(guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對(duì)業(yè)務(wù)過程的規(guī)定內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)信息系統(tǒng)審計(jì)的提出與探索從審計(jì)署計(jì)算中心成立之初，就開始提出開展信息系統(tǒng)審計(jì)，建立中國自己的信息系統(tǒng)審計(jì)人才認(rèn)證；十幾年來，全國各級(jí)審計(jì)機(jī)關(guān)逐步嘗試開展信息系統(tǒng)審計(jì)實(shí)踐，為其發(fā)展積累了經(jīng)驗(yàn)；學(xué)術(shù)界也為信息系統(tǒng)審計(jì)工作進(jìn)行了多年的理論

39、準(zhǔn)備。有了這些積累，以下的事情也就成為水到渠成了：開展的信息系統(tǒng)審計(jì)項(xiàng)目2019年以前，部分特派辦和省廳已經(jīng)開始在審計(jì)項(xiàng)目中嘗試開展信息系統(tǒng)審計(jì)工作。2019年6月到11月，審計(jì)署組織在國家開發(fā)銀行的資產(chǎn)、負(fù)債及損益審計(jì)項(xiàng)目中開展了對(duì)信息系統(tǒng)控制的審計(jì)，這是審計(jì)署第一次正式組織信息系統(tǒng)審計(jì)項(xiàng)目。2019年上半年，審計(jì)署組織對(duì)中國煙草總公司、中國石油化工集團(tuán)、中化集團(tuán)開展了信息系統(tǒng)審計(jì)調(diào)查。2019年下半年，審計(jì)署組織對(duì)中化集團(tuán)及天津公司開展了信息系統(tǒng)審計(jì)項(xiàng)目，這是審計(jì)署第一次獨(dú)立組織的信息系統(tǒng)審計(jì)項(xiàng)目。培訓(xùn)和交流2019年底，審計(jì)署派團(tuán)前往美國學(xué)習(xí)信息系統(tǒng)審計(jì)，歸國后學(xué)員的學(xué)習(xí)報(bào)告和建議得到署

40、領(lǐng)導(dǎo)重視。2019年5月到6月，審計(jì)署在南京審計(jì)學(xué)院舉辦第一期信息系統(tǒng)審計(jì)培訓(xùn)班，來自審計(jì)署機(jī)關(guān)、派出局、特派辦、地方審計(jì)機(jī)關(guān)的49名學(xué)員參加了培訓(xùn)。12月又舉辦了第二期培訓(xùn)班。2019年，面向全國審計(jì)機(jī)關(guān)征集了第一批信息系統(tǒng)審計(jì)案例，并召開了研討會(huì)。2009年，再次面向全國審計(jì)機(jī)關(guān)征集信息系統(tǒng)審計(jì)案例，計(jì)劃在11月份再次評(píng)審并召開了研討會(huì)。資料編寫和翻譯2019年，審計(jì)署培訓(xùn)中心組織把最高審計(jì)機(jī)關(guān)國際組織的IT審計(jì)課件翻譯成為中文，計(jì)算中心與相關(guān)機(jī)構(gòu)聯(lián)系，把該資料掛在委員會(huì)網(wǎng)站上。2019年，審計(jì)署科研所組織編寫了信息系統(tǒng)審計(jì)技術(shù)方法。2009年，審計(jì)署計(jì)算中心開始翻譯GAO的聯(lián)邦信息系統(tǒng)控

41、制審計(jì)手冊(cè)。規(guī)范準(zhǔn)備2019年，審計(jì)署計(jì)算中心組織編制了信息系統(tǒng)審計(jì)準(zhǔn)則，后此項(xiàng)工作交由法規(guī)司負(fù)責(zé)。2019年，審計(jì)署計(jì)算中心組織開始編制信息系統(tǒng)審計(jì)指南，此項(xiàng)工作計(jì)劃在2009年3月底完成。內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)案例1：國家開發(fā)銀行信息系統(tǒng)審計(jì)案例2：中化集團(tuán)信息系統(tǒng)審計(jì)內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)政府信息系統(tǒng)審計(jì)的總體目的對(duì)被審計(jì)單位的信息系統(tǒng)運(yùn)行

42、、管理中的控制的有效性進(jìn)行評(píng)價(jià)，包括對(duì)相關(guān)控制的設(shè)計(jì)是否合理、執(zhí)行是否有效，有無重大的控制缺失等。審計(jì)機(jī)關(guān)和審計(jì)人員應(yīng)當(dāng)根據(jù)本單位擬開展的信息系統(tǒng)審計(jì)項(xiàng)目的實(shí)際情況，確定信息系統(tǒng)審計(jì)的目的，包括以下不同情況：在財(cái)務(wù)收支審計(jì)中，通過對(duì)與財(cái)務(wù)收支審計(jì)目標(biāo)相關(guān)的信息系統(tǒng)一般控制和應(yīng)用控制的有效性進(jìn)行評(píng)價(jià)，從而為財(cái)務(wù)收支審計(jì)提供支持；在獨(dú)立的信息系統(tǒng)審計(jì)項(xiàng)目中，通過對(duì)系統(tǒng)控制的有效性進(jìn)行測試，指出系統(tǒng)的關(guān)鍵控制缺陷，在此基礎(chǔ)上進(jìn)一步對(duì)信息系統(tǒng)控制的有效性給予評(píng)價(jià)；或者僅指出系統(tǒng)的關(guān)鍵控制缺陷，而不進(jìn)行整體評(píng)價(jià)。政府信息系統(tǒng)審計(jì)的范圍針對(duì)以上目的，信息系統(tǒng)審計(jì)可以在以下不同的層次開展：可以針對(duì)被審計(jì)單位

43、的整體信息系統(tǒng)運(yùn)行和管理進(jìn)行審計(jì)；可以針對(duì)被審計(jì)單位的特定的信息系統(tǒng)（如ERP系統(tǒng)）或者使用的特定技術(shù)（如網(wǎng)絡(luò)安全）進(jìn)行審計(jì)；可以只對(duì)一般控制或應(yīng)用控制情況開展審計(jì)。審計(jì)計(jì)劃階段計(jì)劃階段的目的是：了解被審計(jì)單位以及其業(yè)務(wù)運(yùn)作情況；識(shí)別風(fēng)險(xiǎn)和內(nèi)部控制；確定審計(jì)的性質(zhì)、范圍和重點(diǎn)。計(jì)劃階段主要的任務(wù)有：確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng)。確定審計(jì)所關(guān)注的重要領(lǐng)域。初步評(píng)估系統(tǒng)的風(fēng)險(xiǎn)。了解并初步評(píng)估信息系統(tǒng)控制。形成審計(jì)方案和審計(jì)實(shí)施方案。確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng)1、選擇合適的被審計(jì)單位是國家審計(jì)特有的任務(wù)，這主要取決于：（1）根據(jù)國家政策監(jiān)管的要求，國家審計(jì)的關(guān)注

44、點(diǎn)、行業(yè)的重要程度、以及被審計(jì)單位的信息化程度等多方面因素確定。例如金融行業(yè)、電信行業(yè)等重點(diǎn)行業(yè)對(duì)于保障國計(jì)民生以及維護(hù)國家經(jīng)濟(jì)安全至關(guān)重要，國家有很多監(jiān)管要求，本行業(yè)信息化程度也很高，審計(jì)機(jī)關(guān)應(yīng)當(dāng)充分考慮對(duì)其開展信息系統(tǒng)審計(jì)。（2）在日常審計(jì)工作中，感覺有必要開展信息系統(tǒng)審計(jì)的單位，可在對(duì)其充分調(diào)查的基礎(chǔ)上，開展各種形式的信息系統(tǒng)審計(jì)。確定合適的被審計(jì)單位以及適合開展審計(jì)的信息系統(tǒng)2、選擇適合開展審計(jì)的信息系統(tǒng)時(shí)，要考慮：（1）該系統(tǒng)對(duì)于被審計(jì)單位的重要程度。被審計(jì)單位對(duì)系統(tǒng)的依賴程度越高，開展信息系統(tǒng)審計(jì)的意義越大。（2）該系統(tǒng)的復(fù)雜程度。太復(fù)雜的系統(tǒng)應(yīng)當(dāng)考慮進(jìn)行非全面的，特定范圍的信息系

45、統(tǒng)審計(jì)，如僅對(duì)其業(yè)務(wù)環(huán)節(jié)的應(yīng)用控制進(jìn)行審計(jì)。了解被審計(jì)單位的相關(guān)情況在審計(jì)計(jì)劃階段，審計(jì)人員應(yīng)當(dāng)系統(tǒng)地搜集掌握被審計(jì)單位的相關(guān)信息，進(jìn)行專業(yè)的分析和評(píng)估，為后續(xù)的工作做好準(zhǔn)備。為開展信息系統(tǒng)審計(jì)，審計(jì)人員需要了解的被審計(jì)單位的相關(guān)情況主要包括以下幾類：1、被審計(jì)單位的基本情況。2、被審計(jì)單位信息系統(tǒng)的情況。3、被審計(jì)單位的網(wǎng)絡(luò)和安全管理情況。4、影響被審計(jì)單位信息系統(tǒng)的內(nèi)、外部因素。（1）國家、行業(yè)的監(jiān)管信息，如IT相關(guān)法律法規(guī)、監(jiān)管要求、技術(shù)發(fā)展趨勢；（2）組織內(nèi)部的制度要求。5、組織的戰(zhàn)略目標(biāo)對(duì)信息技術(shù)和信息系統(tǒng)的依賴程度。6、信息技術(shù)的戰(zhàn)略目標(biāo)、發(fā)展規(guī)劃及近期發(fā)展計(jì)劃。7、信息技術(shù)組織架

46、構(gòu)和關(guān)鍵人員，以及最近一年的人員變更情況。8、信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)流程及最近一年的變更情況。9、被審計(jì)單位對(duì)外部信息技術(shù)服務(wù)的依賴程度。10、最近一年主要信息系統(tǒng)的上線、升級(jí)、變更情況。11、被審計(jì)單位的信息資產(chǎn)的敏感程度。12、以前年度IT審計(jì)、外部審計(jì)等相關(guān)的審計(jì)發(fā)現(xiàn)及追蹤情況。了解被審計(jì)單位的相關(guān)情況（續(xù)）識(shí)別出審計(jì)所關(guān)注的關(guān)鍵領(lǐng)域通過以上步驟，審計(jì)人員能夠?qū)Ρ粚徲?jì)單位的系統(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求都有了初步的了解，也就可以初步分析出組織所面臨的風(fēng)險(xiǎn)。結(jié)合審計(jì)整體目的和以上情況，審計(jì)人員能夠識(shí)別出所關(guān)注的潛在的審計(jì)事項(xiàng)，在將這些潛在的審計(jì)事項(xiàng)按照風(fēng)險(xiǎn)進(jìn)行比較，審計(jì)人員就確

47、定了本次審計(jì)所關(guān)注的關(guān)鍵領(lǐng)域，也就是那些對(duì)于達(dá)到審計(jì)目標(biāo)而言關(guān)鍵的領(lǐng)域。審計(jì)計(jì)劃階段制定總體審計(jì)工作方案初步評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的控制給出初步的評(píng)價(jià)制定審計(jì)實(shí)施方案審計(jì)實(shí)施階段信息系統(tǒng)的一般控制信息系統(tǒng)的應(yīng)用控制確定審計(jì)所關(guān)注的控制領(lǐng)域和控制目標(biāo)。根據(jù)已識(shí)別并評(píng)估的IT風(fēng)險(xiǎn)，對(duì)潛在審計(jì)對(duì)象的了解程度、機(jī)構(gòu)重要性程度、審計(jì)資源配置，對(duì)控制的有效程度的初步評(píng)估結(jié)果，以及一般控制的審計(jì)目標(biāo)，審計(jì)機(jī)關(guān)和審計(jì)人員可以確定審計(jì)所關(guān)注的控制領(lǐng)域。識(shí)別被審計(jì)單位的控制活動(dòng)。確定審計(jì)程序和測試方案。開展審計(jì)測試。審計(jì)人員根據(jù)既定的具體審計(jì)方案進(jìn)行審計(jì)測試，編制審計(jì)工作底稿。評(píng)價(jià)一般控制和應(yīng)用控制的有效性

48、。審計(jì)報(bào)告階段內(nèi)容提要信息系統(tǒng)審計(jì)概述國際上開展的政府的信息系統(tǒng)審計(jì)現(xiàn)狀信息系統(tǒng)審計(jì)模型COBIT審計(jì)署所做的信息系統(tǒng)審計(jì)工作案例介紹與分析審什么和怎么審交流互動(dòng)聯(lián)系方式審計(jì)署計(jì)算機(jī)技術(shù)中心輔助審計(jì)處 陳劍TEL13901167943E-MAIL:geermuusina謝謝大家！-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQ

49、iTlXo#r%v(y0B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x

50、-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLd

51、PgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)

52、z1C4F7JaMdPhSkWnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcO

53、fRjUmXp!s&v)z0C4F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u

54、(x+B2E5H9KcNfRiUmXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+7IaMdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQ

55、iTlXo#r%v(y+B3E6I9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w

56、-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7NeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePh

57、SkWnZr$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+A2E5H