信息系統(tǒng)審計課件

信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計風(fēng)險、信息系統(tǒng)控制與審計、審計程序，以及信息系統(tǒng)審計的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計的基本概念和基本理論。IT治理審計 通過本章的學(xué)習(xí)，信息系統(tǒng)審計師理解評估信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT方面的要求。信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計概論1信息系統(tǒng)審計概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計風(fēng)險、信息系統(tǒng)控制與審計、審計程序，以及信息系統(tǒng)審計的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計的基本概念和基本理論。IT治理審計 通過本章的學(xué)習(xí)，信息系統(tǒng)審計師理解評估信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT方面的要求。信息系統(tǒng)審計概論IT治理審計 2信息系統(tǒng)架構(gòu)控制與審計 一個組織要建立信息系統(tǒng)，就需要有效地建立、控制和管理好其信息技術(shù)基礎(chǔ)架構(gòu)。本章主要介紹學(xué)習(xí)如何正確評價組織的信息技術(shù)基礎(chǔ)設(shè)施和運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）的效果和效率。信息系統(tǒng)開發(fā)及審計 信息系統(tǒng)開發(fā)過程中的問題和錯誤會產(chǎn)生“積累放大”效應(yīng)，并會使企業(yè)付出高昂的代價。因此，通過對信息系統(tǒng)開發(fā)過程中每個階段的跟蹤審計，及時發(fā)現(xiàn)每個階段的錯誤，并得到及時修正，從而保障整個信息系統(tǒng)的質(zhì)量。信息系統(tǒng)架構(gòu)控制與審計信息系統(tǒng)開發(fā)及審計 3信息系統(tǒng)運營與維護審計 保證一個組織已經(jīng)建立的信息系統(tǒng)能高效的為其服務(wù)，離不開對其良好的操作、運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）和維護，使其保持最佳的運行狀態(tài)。因此，對信息系統(tǒng)運行和維護過程的審計非常重要，是對整個信息系統(tǒng)實現(xiàn)高效服務(wù)的保障。本章即介紹信息系統(tǒng)運營和維護過程的審計。信息系統(tǒng)安全控制與審計 信息技術(shù)環(huán)境下信息系統(tǒng)的脆弱性和威脅，使信息系統(tǒng)及其產(chǎn)生的信息存在信息安全風(fēng)險。本章主要介紹如何對信息系統(tǒng)進行安全審計與控制，從而使信息系統(tǒng)的風(fēng)險降到最低。信息系統(tǒng)運營與維護審計信息系統(tǒng)安全控制與審計 4信息系統(tǒng)審計技術(shù)與方法 面對錯綜復(fù)雜的信息系統(tǒng)和審計環(huán)境，向?qū)徲嬋藛T提出了挑戰(zhàn)，審計人員實施審計的難度很大，需要運用許多技術(shù)、方法和工具來輔助他們進行審計工具。本章即介紹一些有關(guān)信息系統(tǒng)審計的技術(shù)和方法。信息系統(tǒng)審計技術(shù)與方法5第一章信息系統(tǒng)審計概論第一節(jié)信息系統(tǒng)審計及其產(chǎn)生與發(fā)展 一、何謂信息系統(tǒng)審計（ISA）？國際信息系統(tǒng)審計委員會(ISACA)定義：是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實現(xiàn)組織目標(biāo)地過程。

日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會定義為：為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。第一章信息系統(tǒng)審計概論第一節(jié)信息系統(tǒng)審計及其產(chǎn)生與發(fā)展6從以上定義可以看出,信息系統(tǒng)審計的兩個方面職能:從外部審計的角度,ISA實現(xiàn)-------監(jiān)證目標(biāo)（“保證”職能）從內(nèi)部審計的角度,ISA實現(xiàn)-------管理目標(biāo)（“咨詢”職能）第一章信息系統(tǒng)審計概論一般定義:根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)，并提出一系列改進建議的管理活動。RonWeber定義:搜集并評價證據(jù)，以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效的做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟的使用資源。從以上定義可以看出,信息系統(tǒng)審計的兩個方面職能:第一章信7第一章信息系統(tǒng)審計概論注：ISACA（InformationSystemAuditandControlassociation，信息系統(tǒng)審計與控制協(xié)會）：是最有權(quán)威的信息系統(tǒng)審計行業(yè)組織，總部設(shè)在美國。主要從事ISA相關(guān)理論與實務(wù)研究，制定相關(guān)ISA標(biāo)準(zhǔn)、規(guī)范、執(zhí)業(yè)指南等；也是唯一有權(quán)授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機構(gòu)。根據(jù)ISA概念，應(yīng)理解：ISA的主體：有勝任能力的信息系統(tǒng)獨立審計機構(gòu)或人員機構(gòu)：政府審計機構(gòu)、內(nèi)部審計機構(gòu)、會計和審計事務(wù)所、信息化鑒證咨詢機構(gòu)等中介組織人員：注冊會計師、審計人員、信息技術(shù)人員，等。實施ISA的人員稱為：信息系統(tǒng)審計師(或:IT審計師)第一章信息系統(tǒng)審計概論注：根據(jù)ISA概念，應(yīng)理解：8CISA：（CertifiedInformationSystemAuditor，注冊信息系統(tǒng)審計師）：取得CISA資格的審計人員，既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉經(jīng)濟管理的核心要義，能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。第一章信息系統(tǒng)審計概論CISA從事的活動：1、對信息系統(tǒng)的可靠性、安全性、穩(wěn)定性和有效性進行審計、檢查、評價、咨詢，并提出建議；2、對信息系統(tǒng)的內(nèi)部控制和風(fēng)險進行檢查、評價、咨詢以及提出改進建議。CISA：（CertifiedInformationSy9第一章信息系統(tǒng)審計概論信息系統(tǒng)審計師相關(guān)知識和能力要求：知識要求:審計學(xué)相關(guān)知識:審計學(xué)的基本理論、實務(wù)信息系統(tǒng)計劃、開發(fā)和運營等相關(guān)知識：.信息系統(tǒng)構(gòu)成相關(guān)知識；·信息化戰(zhàn)略規(guī)劃、構(gòu)想、提案、立項等相關(guān)知識；·系統(tǒng)設(shè)計、程序設(shè)計、軟件測試等相關(guān)知識；

·系統(tǒng)操作和管理、數(shù)據(jù)管理等相關(guān)知識；信息系統(tǒng)審計實施相關(guān)知識：·經(jīng)營管理方面相關(guān)知識；·信息安全管理相關(guān)知識；

·業(yè)務(wù)對象相關(guān)知識；·相關(guān)法律和法規(guī)；

能力方面要求如下：·系統(tǒng)審計的相關(guān)能力；·審計的立項、分析、評價相關(guān)能力；·信息收集、審核、審計方法掌握、相關(guān)技巧運用方面的能力；

·審計報告制作能力；第一章信息系統(tǒng)審計概論信息系統(tǒng)審計師相關(guān)知識和能力要10第一章信息系統(tǒng)審計概論信息系統(tǒng)審計師應(yīng)該做到:嚴(yán)格遵循相關(guān)實施準(zhǔn)則、程序及控制，遵守相關(guān)法規(guī)；依據(jù)職業(yè)準(zhǔn)則及最佳實踐原則要求自己，做到敬業(yè)、公正及審慎；以合法的誠實的方式為利益相關(guān)者服務(wù)，保持高尚的品行，不從事有損與信息系統(tǒng)審計職業(yè)的活動；除非官方要求揭露，必須維護履行職責(zé)進程中獲得信息的隱私與機密，不用于個人利益或泄露給不適合的組織；維持獨立性及客觀性，獲得充分及客觀的證據(jù)，作出審計結(jié)論；保持在審計信息系統(tǒng)控制相關(guān)領(lǐng)域的技能，完成審計任務(wù)；審計結(jié)果向相關(guān)組織、部門和個人報告。

第一章信息系統(tǒng)審計概論信息系統(tǒng)審計師應(yīng)該做到:11二、ISA特點：ISA是一個過程，貫穿于整個信息系統(tǒng)生命周期；ISA的對象具有綜合性和復(fù)雜性；ISA拓展了傳統(tǒng)審計的目標(biāo)；ISA是事前、事中、事后審計的綜合體；ISA的內(nèi)容更加廣泛；ISA是一種基于風(fēng)險基礎(chǔ)審計的理論和方法。第一章信息系統(tǒng)審計概論信息系統(tǒng)審計的對象：被審計的信息系統(tǒng)

信息系統(tǒng)審計工作的核心：客觀地收集和評估證據(jù)

信息系統(tǒng)審計的目的：對信息系統(tǒng)的可用性、保密性、完整性進行評估并提供反饋、保證及建議

二、ISA特點：第一章信息系統(tǒng)審計概論信息系統(tǒng)審計的對象12三、ISA發(fā)展簡介ISA的發(fā)展經(jīng)歷了幾個階段：早期階段：手工審計階段（繞過計算機階段）萌芽階段：EDP（電子數(shù)據(jù)處理）審計階段發(fā)展階段：信息系統(tǒng)審計階段

第一章信息系統(tǒng)審計概論ISA發(fā)展處于領(lǐng)先的國家：美國、日本、加拿大，等我國ISA的發(fā)展：起步于：20世紀(jì)80年代目前狀況：處于EDP審計階段“金審工程”簡介：（參見教材）三、ISA發(fā)展簡介第一章信息系統(tǒng)審計概論ISA發(fā)13第一章信息系統(tǒng)審計概論第二節(jié)信息系統(tǒng)審計的目標(biāo)、依據(jù)和內(nèi)容 一、信息系統(tǒng)審計的目標(biāo)ISA目標(biāo)一般分為：一般審計目標(biāo)、特定審計目標(biāo)一般目標(biāo)：是進行所有信息系統(tǒng)審計都必須達到的目標(biāo)。特定目標(biāo)：指針對特定信息系統(tǒng)的審計目標(biāo)。

一般來說，ISA的審計目標(biāo)主要包括：提高信息系統(tǒng)資產(chǎn)的安全性目標(biāo)：IS資產(chǎn)包括硬件、軟件、人力資源、數(shù)據(jù)文件及系統(tǒng)文件等保護信息系統(tǒng)數(shù)據(jù)的完整性目標(biāo)提高信息系統(tǒng)有效性（效率和效益性）目標(biāo)提高信息系統(tǒng)的合法性、合規(guī)性目標(biāo)第一章信息系統(tǒng)審計概論第二節(jié)信息系統(tǒng)審計的目標(biāo)、依據(jù)和14第一章信息系統(tǒng)審計概論二、信息系統(tǒng)審計依據(jù)審計依據(jù)：也稱審計標(biāo)準(zhǔn)，是審計人員實施審計時，判斷被審計經(jīng)濟事項正誤、是非、優(yōu)劣的準(zhǔn)繩，是形成審計結(jié)論、出具審計意見、作出審計決定的依據(jù)。

目前的ISA依據(jù)主要有：ISACA：信息系統(tǒng)審計準(zhǔn)則；IS控制的標(biāo)準(zhǔn)模型COBIT；ASB第94號準(zhǔn)則：SAS70；SAS94；

國際內(nèi)部審計師協(xié)會（IIA）：內(nèi)部審計師準(zhǔn)則說明書（SIAS）；國際會計師聯(lián)合會（IFA）：國際審計準(zhǔn)則系列；最高審計機關(guān)國際組織（INTOSAI）：審計準(zhǔn)則（AS）；歐洲：ISO系列（如：ISO17799）、EDIFACT技術(shù)標(biāo)準(zhǔn)；日本通產(chǎn)省：IT審計標(biāo)準(zhǔn)；

第一章信息系統(tǒng)審計概論二、信息系統(tǒng)審計依據(jù)目前的ISA依15第一章信息系統(tǒng)審計概論我國：《中華人民共和國審計法》第三十二條；國務(wù)院辦公廳的《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》；中國獨立審計準(zhǔn)則20號《計算機信息系統(tǒng)環(huán)境下的審計》；審計署令第9號《審計署關(guān)于計算機審計的暫行規(guī)定》；審計署頒布《審計機關(guān)計算機輔助審計辦法》第一章信息系統(tǒng)審計概論我國：16信息系統(tǒng)審計標(biāo)準(zhǔn)S1-S8：ISACA的信息系統(tǒng)審計準(zhǔn)則由ISA標(biāo)準(zhǔn)、指南和程序(Standards,GuidelinesandProcedures)構(gòu)成

標(biāo)準(zhǔn)為信息系統(tǒng)審計和報告定義了強制性的要求。指南為信息系統(tǒng)審計標(biāo)準(zhǔn)的實施提供了指引。信息系統(tǒng)審計師在標(biāo)準(zhǔn)的實施程序中應(yīng)參考指南，同時作出職業(yè)判斷。程序為信息系統(tǒng)審計師提供審計項目中可以遵循的步驟范例。ISACA'SCOBITFramework:信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）是由美國IT治理協(xié)會提出的一個IT治理的開放性框架或標(biāo)準(zhǔn)，是基于組織的信息技術(shù)平臺而設(shè)計的，并在IT治理實踐中廣泛使用。第一章信息系統(tǒng)審計概論信息系統(tǒng)審計標(biāo)準(zhǔn)S1-S8：ISACA'SCOBITF17SAS70SAS70是經(jīng)國際確認(rèn)，由美國注冊會計師協(xié)會(AmericanInstituteofCertifiedPublicAccountants，AICPA)所制定的標(biāo)準(zhǔn)。SAS70審計被公認(rèn)為是針對服務(wù)提供商環(huán)境（包括網(wǎng)絡(luò)和相關(guān)程序的控制措施）最權(quán)威的安全性審計。

IT基礎(chǔ)架構(gòu)庫(ITIL)：是IT服務(wù)管理最佳做法的一套全面、一致和相關(guān)的代碼，己在全世界被廣泛采納為IT服務(wù)標(biāo)準(zhǔn)。ITIL包含下面五個部分：thebusinessperspective（商業(yè)遠景）、managingapplications（應(yīng)用管理）、deliveryofITservices（IT服務(wù)的交付）、supportofITservices（IT服務(wù)支撐）、managetheinfrastructure.（基礎(chǔ)設(shè)施管理）。第一章信息系統(tǒng)審計概論SAS70IT基礎(chǔ)架構(gòu)庫(ITIL)：第一章信息系統(tǒng)審計18SAS94美國注冊會計師協(xié)會(AICPA)下屬的審計準(zhǔn)則委員會(ASB)一直關(guān)注IT對獨立審計的影響。2001年4月，ASB發(fā)布了第94號準(zhǔn)則：《IT對CPA評價內(nèi)部控制的影響》，該準(zhǔn)則是作為SAS(審計準(zhǔn)則公告)no.55的“補丁公告”推出的，它對下列三方面問題做出了規(guī)范：IT對企業(yè)內(nèi)部控制的影響；IT對CPA了解內(nèi)部控制的影響；IT對CPA評價審計風(fēng)險的影響。SASno.94于2001年6月1日開始執(zhí)行。第一章信息系統(tǒng)審計概論SAS94第一章信息系統(tǒng)審計概論19ISO17799：ISO17799包含以下部分：SecurityPolicy（安全策略）、Assetclassificationandcontrol（資產(chǎn)分類和控制）、SecurityOrganisation（組織安全）、PersonnelSecurity（人員安全）、PhysicalandEnvironmentalSecurity（物理安全和環(huán)境安全）、Communication/OperationManagement（通信和操作管理）、AccessControl（存取控制）、SystemDevelopmentandMaitenance（系統(tǒng)研發(fā)和維護）、BusinessContinuity（業(yè)務(wù)連貫性）、Compliance（一致性）。第一章信息系統(tǒng)審計概論ISO17799：第一章信息系統(tǒng)審計概論20第一章信息系統(tǒng)審計概論三、信息系統(tǒng)審計的內(nèi)容 ISA包含的兩個層面的內(nèi)容：其一：是對信息系統(tǒng)本身的審計，它貫穿于信息系統(tǒng)的整個生命周期。以及對信息系統(tǒng)的數(shù)據(jù)處理過程及處理結(jié)果的審計。目的在于確保信息系統(tǒng)的完整性、可靠性、安全性以及效率性和效益性。其二：是將計算機、網(wǎng)絡(luò)技術(shù)等引入審計工作中，作為審計工作的輔助手段，以建立各種審計信息系統(tǒng)，以及實現(xiàn)審計工作的辦公自動化。本課程課堂教學(xué)主要講授前者；實驗課程主要是后者第一章信息系統(tǒng)審計概論三、信息系統(tǒng)審計的內(nèi)容21第一章信息系統(tǒng)審計概論ISACA規(guī)定了信息系統(tǒng)審計主要內(nèi)容：信息系統(tǒng)審計程序；IT治理(信息技術(shù)治理)；系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理；IT服務(wù)的交付與支持；信息資產(chǎn)的保護；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃。ISA：1、從縱向看，覆蓋了以電子計算機為核心的信息系統(tǒng)從計劃、分析、設(shè)計、編程、測試、運行、維護到報廢的全過程的各種業(yè)務(wù)；2、從橫向看，它包含對硬軟件的獲取審計、軟件審計、應(yīng)用程序?qū)徲嫛?shù)據(jù)完整性審計、安全審計和生命周期共同業(yè)務(wù)（如文檔管理、人員管理、災(zāi)難恢復(fù)等）審計等內(nèi)容。第一章信息系統(tǒng)審計概論ISACA規(guī)定了信息系統(tǒng)審計主要內(nèi)22第一章信息系統(tǒng)審計概論從以上介紹，可以看出：ISA的特征：一是獨立性；二是綜合性；三是管理特征。ISA的效果：一是提高信息系統(tǒng)可靠性；二是提高信息系統(tǒng)安全性；三是提高信息系統(tǒng)效率。第一章信息系統(tǒng)審計概論從以上介紹，可以看出：ISA的23第一章信息系統(tǒng)審計概論風(fēng)險概念：可從三種角度看審計風(fēng)險定義：（見教材）信息系統(tǒng)審計風(fēng)險定義：信息系統(tǒng)的安全性、可靠性和有效性存在重大隱患，而信息系統(tǒng)審計師發(fā)表不恰當(dāng)審計意見的可能性。信息系統(tǒng)審計風(fēng)險可以分為：固有風(fēng)險、控制風(fēng)險、檢查風(fēng)險且有審計風(fēng)險模型：DAR=IR╳CR╳DR第三節(jié)信息系統(tǒng)審計風(fēng)險一、審計風(fēng)險及信息系統(tǒng)審計風(fēng)險

第一章信息系統(tǒng)審計概論風(fēng)險概念：可從三種角度看第24二、信息系統(tǒng)審計風(fēng)險特征及表現(xiàn)1、固有風(fēng)險（InherentRisk，簡稱IR）：是指假設(shè)不存在相關(guān)的內(nèi)部控制的情況下,發(fā)生重大錯誤的風(fēng)險。主要表現(xiàn)：第一章信息系統(tǒng)審計概論電子數(shù)據(jù)的不可見性；數(shù)據(jù)的大量集中和高速處理；原始數(shù)據(jù)的錄入存在錯漏的可能性；計算機犯罪。

2、控制風(fēng)險（ControlRisk，簡稱CR）：是指有內(nèi)部控制制度,但無法預(yù)防、及時發(fā)現(xiàn)或糾正重要錯誤的風(fēng)險。

二、信息系統(tǒng)審計風(fēng)險特征及表現(xiàn)第一章信息系統(tǒng)審計概論電子25主要表現(xiàn)：信息訪問的技術(shù)性暴露；未經(jīng)授權(quán)的訪問；職責(zé)不分離；網(wǎng)絡(luò)監(jiān)控失效；信息流和業(yè)務(wù)流的不一致；業(yè)務(wù)流程重組

第一章信息系統(tǒng)審計概論3、檢查風(fēng)險（DetectionRisk，簡稱DR）：是指信息系統(tǒng)審計人員由于采用了不恰當(dāng)?shù)臏y試程序,未能發(fā)現(xiàn)已存在的重大錯誤的風(fēng)險。主要表現(xiàn)：主要表現(xiàn)：第一章信息系統(tǒng)審計概論3、檢查風(fēng)險（Det26第一章信息系統(tǒng)審計概論未能識別出系統(tǒng)的關(guān)鍵環(huán)節(jié)和重要的信息資產(chǎn)；利用測試數(shù)據(jù)對系統(tǒng)進行測試時測試不充分；模擬程序的運用,加大了檢查風(fēng)險；系統(tǒng)更新?lián)Q代,使得測試系統(tǒng)失去時效性；參與系統(tǒng)開發(fā)的人員來執(zhí)行信息系統(tǒng)的檢查。

信息系統(tǒng)審計風(fēng)險的特征：1、客觀性；2、復(fù)雜性；3、潛在性；4、時效性；5、可控性。第一章信息系統(tǒng)審計概論未能識別出系統(tǒng)的關(guān)鍵環(huán)節(jié)和重要的信27三、形成信息系統(tǒng)審計風(fēng)險的原因1、信息處理的虛擬化、網(wǎng)絡(luò)化；2、捕捉證據(jù)的動態(tài)化；3、內(nèi)控制度的復(fù)雜化；4、審計人員知識結(jié)構(gòu)的單一化。三、形成信息系統(tǒng)審計風(fēng)險的原因28第一章信息系統(tǒng)審計概論四、信息系統(tǒng)環(huán)境對審計風(fēng)險的影響1、對固有風(fēng)險的影響

資產(chǎn)出現(xiàn)新的特點；會計和業(yè)務(wù)處理自動化對信息技術(shù)的依賴性增強；其他變化。以上這些都使得固有風(fēng)險增加。

2、對控制風(fēng)險的影響

控制環(huán)境；風(fēng)險評估；控制活動；信息與溝通；監(jiān)控。

第一章信息系統(tǒng)審計概論四、信息系統(tǒng)環(huán)境對審計風(fēng)險的影響資29第一章信息系統(tǒng)審計概論3、對檢查風(fēng)險的影響降低檢查風(fēng)險的因素：

提高審計覆蓋面；提高證據(jù)采集的獨立性；提高分析處理的可靠性；增加審計的時效性。增加檢查風(fēng)險的因素：

對信息系統(tǒng)缺乏足夠理解；技術(shù)不成熟；審計證據(jù)的可靠性；對技術(shù)的依賴性。

第一章信息系統(tǒng)審計概論3、對檢查風(fēng)險的影響提高審30第一章信息系統(tǒng)審計概論五、信息系統(tǒng)審計風(fēng)險的防范措施1、降低固有風(fēng)險措施

加強信息資產(chǎn)管理；強化內(nèi)外部安全控制機制；建立安全的運行環(huán)境；加強數(shù)據(jù)輸入控制。2、降低控制風(fēng)險的措施

正確分配訪問和操作權(quán)限,及時管理和維護權(quán)限分配表；建立嚴(yán)格的職責(zé)分離、輪崗和休假制度；建立安全的網(wǎng)絡(luò)監(jiān)控機制,減少來自外部的風(fēng)險；第一章信息系統(tǒng)審計概論五、信息系統(tǒng)審計風(fēng)險的防范措施加強313、降低檢查風(fēng)險的措施

識別出重要信息資產(chǎn)；確定合理的檢查順序；改進審計手段。第一章信息系統(tǒng)審計概論2、調(diào)查階段（風(fēng)險識別）風(fēng)險識別方法：現(xiàn)場檢查、相關(guān)人員交談、召開座談會、流程調(diào)查、技術(shù)資料、有關(guān)文檔、資料分析、理論分析、日志審核、工具分析、模擬攻擊等。風(fēng)險評估過程簡介：1、準(zhǔn)備階段：明確任務(wù)、建立項目組、職責(zé)分工、制定計劃3、降低檢查風(fēng)險的措施識別出重要信息資產(chǎn)；第一章32定性分析評估方法：安全檢查表法；專家評價法；事故樹分析法(FTA)事件樹分析法(ETA)；潛在問題分析法(PPA)因果分析法(CCA)；作業(yè)安全分析(WSA)定量分析評估方法：層次分析法(AHP)；模糊綜合評判法；BP神經(jīng)網(wǎng)絡(luò)法；灰色系統(tǒng)預(yù)測模型第一章信息系統(tǒng)審計概論3、風(fēng)險分析風(fēng)險分析：是識別機構(gòu)中存在的風(fēng)險的過程，是對潛在威脅影響的量化，以及為實現(xiàn)控制所需的成本和產(chǎn)生的利潤提供證明。風(fēng)險分析既可以采取定量分析的方法，用真實的數(shù)字說明威脅可能造成的損失以及損失的數(shù)量；也可以采取定性分析的方法，用排名的方法來分析對資材敏感度的威脅的嚴(yán)重性。定性分析評估方法：第一章信息系統(tǒng)審計概論3、風(fēng)險分析33第一章信息系統(tǒng)審計概論可供參考的標(biāo)準(zhǔn)：BS7799標(biāo)準(zhǔn):將信息作為一種資產(chǎn)并進行管理與控制的手段對信息系統(tǒng)進行控制，確保業(yè)務(wù)的連續(xù)性與關(guān)鍵業(yè)務(wù)不受到損害，是當(dāng)前國際中最重要的管理類標(biāo)準(zhǔn)。ISO13355系列標(biāo)準(zhǔn)：安全管理策略標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)：單一的通用準(zhǔn)則安全技術(shù)方面的重要標(biāo)準(zhǔn)。SSECMM模型：該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。OCTAV方法：可操作的關(guān)鍵威脅、資產(chǎn)、脆弱性評估方法，風(fēng)險評估的重要的方法體系。GB17859-1999：《計算機信息安全保護等級劃分準(zhǔn)則》第一章信息系統(tǒng)審計概論可供參考的標(biāo)準(zhǔn)：34第四節(jié)信息系統(tǒng)內(nèi)部控制與審計內(nèi)部控制（COSO）：由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為運營的效率效果、財務(wù)報告的可靠性、相關(guān)法律規(guī)章的遵循性等目標(biāo)的達成而提供合理保證的過程。內(nèi)部控制：是一個單位為了保護其資產(chǎn)的安全性、會計資料的準(zhǔn)確性和可靠性，提高經(jīng)營效率以及貫徹執(zhí)行其規(guī)定的管理方針而在組織內(nèi)部采取的一系列制度、方針和手續(xù)。第一章信息系統(tǒng)審計概論內(nèi)部控制的本質(zhì)：是一種制度安排，是一種管理控制內(nèi)部控制的表現(xiàn)形式：一些列方法、措施和程序第四節(jié)信息系統(tǒng)內(nèi)部控制與審計第一章信息系統(tǒng)審計概論35內(nèi)部控制的基本原則：1、合法性原則；2、相互牽制原則；3、程式定位原則；4、系統(tǒng)全面原則。內(nèi)部控制的基本方式：1、組織機構(gòu)控制；2、職務(wù)分離控制；3、其他重要的內(nèi)部控制。如：授權(quán)批準(zhǔn)控制，人員素質(zhì)制度，信息質(zhì)量控制，財產(chǎn)安全控制，業(yè)務(wù)程序控制、內(nèi)部審計控制第一章信息系統(tǒng)審計概論內(nèi)部控制的基本原則：內(nèi)部控制的基本方式：第一章信息36內(nèi)部控制的發(fā)展階段：經(jīng)歷了：內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架COSO提出的《內(nèi)部控制——整體框架》報告標(biāo)志著內(nèi)部控制理論與實踐進入了內(nèi)部控制整體框架的新階段。COSO《內(nèi)部控制——整體框架》報告提出了內(nèi)部控制組成要素：控制環(huán)境(Control

Environment)風(fēng)險評價(Risk

Assessment)控制活動(Control

Activities)信息與溝通(1nformationand

Communication)監(jiān)控(Monitoring)第一章信息系統(tǒng)審計概論內(nèi)部控制的發(fā)展階段：第一章信息系統(tǒng)審計概論37一、信息系統(tǒng)內(nèi)部控制的概念和特點概念：狹義；廣義（參見教材）特點：控制的重點轉(zhuǎn)向系統(tǒng)職能部門；控制的范圍擴大；控制方式和操作手段由人工控制轉(zhuǎn)為人工控制與程序化控制相結(jié)合。

第一章信息系統(tǒng)審計概論內(nèi)部控制與審計的關(guān)系：內(nèi)部控制的完善與可靠，直接影響審計風(fēng)險的大小和審計成本的高低內(nèi)部控制完善且可靠，審計風(fēng)險小、審計成本低；內(nèi)部控制不完善可靠，審計風(fēng)險大、審計成本高。

一、信息系統(tǒng)內(nèi)部控制的概念和特點第一章信息系統(tǒng)審計概論38二、信息系統(tǒng)內(nèi)部控制的目標(biāo)和標(biāo)準(zhǔn)（一）信息系統(tǒng)內(nèi)部控制的目標(biāo)與業(yè)務(wù)目標(biāo)一致；有效利用信息資源；風(fēng)險管理。

第一章信息系統(tǒng)審計概論（二）信息系統(tǒng)內(nèi)部控制的標(biāo)準(zhǔn)公認(rèn)標(biāo)準(zhǔn)：COBIT模型COBIT的全名是ControlObjectivesforInformationandrelatedTechnology,是由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）在1996年公布的，目前已經(jīng)更新至第四版，是國際上公認(rèn)的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。

二、信息系統(tǒng)內(nèi)部控制的目標(biāo)和標(biāo)準(zhǔn)第一章信息系統(tǒng)審計概論（39第一章信息系統(tǒng)審計概論三、信息系統(tǒng)內(nèi)部控制的種類依據(jù)要達到的直接目標(biāo)分為：會計控制、管理控制依據(jù)控制的預(yù)定意圖：預(yù)防性控制、檢查性控制、糾正性控制其中：預(yù)防性控制是一種積極的控制（事前控制）檢查性控制是一種中性控制（事中控制）糾正性控制是一種消極的控制（事后控制）依據(jù)信息處理系統(tǒng)的不同可分為：手工系統(tǒng)控制、信息系統(tǒng)控制依據(jù)控制所采取的工具或手段的不同分為：手工控制、程序化控制依據(jù)控制對象范圍和環(huán)境分為：一般控制、應(yīng)用控制第一章信息系統(tǒng)審計概論三、信息系統(tǒng)內(nèi)部控制的種類40第一章信息系統(tǒng)審計概論四、信息系統(tǒng)的控制措施（一）信息系統(tǒng)的一般控制一般控制：指對計算機信息系統(tǒng)的構(gòu)成要素和系統(tǒng)環(huán)境實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。具體說來，包括：1、組織控制?；驹瓌t：信息系統(tǒng)部門與業(yè)務(wù)部門的職責(zé)相分離；信息處理部門內(nèi)部的職責(zé)相分離。權(quán)責(zé)劃分：在分工協(xié)作的基礎(chǔ)上明確各部門的權(quán)限與責(zé)任職能分離：對不相容職務(wù)進行分離第一章信息系統(tǒng)審計概論四、信息系統(tǒng)的控制措施1、組織控制41主要控制措施包括：系統(tǒng)分析設(shè)計、系統(tǒng)維護、系統(tǒng)操作、文檔資料保管以及系統(tǒng)數(shù)據(jù)庫管理等職責(zé)要相互分離；交易的授權(quán)與交易的執(zhí)行相分離；資產(chǎn)的保管與記錄相分離；交易處理職能在多人之間進行分工，明確劃分責(zé)任。例：業(yè)務(wù)要由用戶部門發(fā)起或授權(quán)；記錄變動要由用戶部門授權(quán)；程序員與操作員相分離；等第一章信息系統(tǒng)審計概論2、系統(tǒng)開發(fā)與維護控制主要控制措施包括：主要控制措施包括：第一章信息系統(tǒng)審計概論2、系統(tǒng)開發(fā)與維42主要控制措施包括：系統(tǒng)開發(fā)的可行性控制；包括：目標(biāo)、總體結(jié)構(gòu)、開發(fā)方式、組織結(jié)構(gòu)與管理體制、開發(fā)進度、資金預(yù)算、培訓(xùn)系統(tǒng)的合規(guī)、合法性控制；系統(tǒng)的可審性、系統(tǒng)測試的全面恰當(dāng)性；開發(fā)過程的人員控制；系統(tǒng)設(shè)計控制；文檔控制；系統(tǒng)維護控制。包括：系統(tǒng)的日常維護；系統(tǒng)功能的改進和擴充第一章信息系統(tǒng)審計概論主要控制措施包括：第一章信息系統(tǒng)審計概論43第一章信息系統(tǒng)審計概論3、系統(tǒng)安全控制主要控制措施包括：（1）接觸控制只有經(jīng)過授權(quán)的人才能接觸各項資源硬件接觸控制人員批準(zhǔn)、專用終端，證卡，通知程序資料接觸控制編碼，源程序數(shù)據(jù)文件接觸控制人員限制聯(lián)機系統(tǒng)接觸控制多級口令第一章信息系統(tǒng)審計概論3、系統(tǒng)安全控制44第一章信息系統(tǒng)審計概論（2）環(huán)境安全控制預(yù)防性措施安全環(huán)境設(shè)備保護供電安全（3）安全保密控制

防止拷貝，更改和未經(jīng)授權(quán)使用軟件方法硬件方法結(jié)合第一章信息系統(tǒng)審計概論（2）環(huán)境安全控制（3）安全保密控45第一章信息系統(tǒng)審計概論（4）防病毒控制技術(shù)手段殺毒軟件，檢測程序管理手段：慎用軟件，定期檢查，備份，寫保護（5）保險意外事故第一章信息系統(tǒng)審計概論（4）防病毒控制（5）保險464、硬件及系統(tǒng)軟件控制主要控制措施包括：（1）硬件控制計算機廠商建立在硬件或系統(tǒng)軟件中，為硬件操作提供可靠控制奇偶校驗冗余檢驗重復(fù)處理校驗回聲校驗設(shè)備檢驗有效性檢驗第一章信息系統(tǒng)審計概論4、硬件及系統(tǒng)軟件控制第一章信息系統(tǒng)審計概論47（2）系統(tǒng)軟件控制錯誤處置I/O，記錄長度，存儲裝置程序保護邊界保護，外部調(diào)用，庫程序，控制修改文件保護內(nèi)部文件標(biāo)簽檢查，存儲保護，內(nèi)存清理，地址比較安全保護自動記錄使用情況，系統(tǒng)活動分析公用程序，口令自我保護組裝和改動控制，職能分割，記錄，監(jiān)視，硬化第一章信息系統(tǒng)審計概論（2）系統(tǒng)軟件控制第一章信息系統(tǒng)審計概論485、操作控制主要控制措施包括：第一章信息系統(tǒng)審計概論上機守則與操作規(guī)程日志記錄保密制度非常狀態(tài)下的數(shù)據(jù)恢復(fù)冗余工作計劃系統(tǒng)操作控制主要表現(xiàn)：操作權(quán)限控制、操作規(guī)程控制操作權(quán)限控制：口令操作規(guī)程控制：軟硬件操作規(guī)程,作業(yè)運行規(guī)程,用機時間記錄規(guī)程等5、操作控制第一章信息系統(tǒng)審計概論上機守則與操作規(guī)程49第一章信息系統(tǒng)審計概論（二）信息系統(tǒng)的應(yīng)用控制應(yīng)用控制：是指對計算機信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制。具體說來，包括：1、輸入控制。主要控制措施包括：防止遺漏和重復(fù)檢查錯誤編制書面文件設(shè)計格式建立收發(fā)記錄，計算控制總數(shù)數(shù)據(jù)輸入核對計算機編輯檢查第一章信息系統(tǒng)審計概論（二）信息系統(tǒng)的應(yīng)用控制1、輸入50第一章信息系統(tǒng)審計概論案例：計算機會計信息系統(tǒng)輸入控制記賬憑證完整性、合理性檢驗建立科目名稱和代碼對照文件設(shè)計科目代碼校驗位設(shè)立對應(yīng)關(guān)系參照文件試算平衡控制順序檢查屏幕檢查二次輸入法控制總數(shù)法第一章信息系統(tǒng)審計概論案例：計算機會計信息系統(tǒng)輸入控制51第一章信息系統(tǒng)審計概論2、處理控制：是計算機信息系統(tǒng)按程序指令實行的內(nèi)部控制功能。主要控制措施包括：數(shù)據(jù)驗證。包括：數(shù)據(jù)有效性檢驗：文件標(biāo)簽；記錄標(biāo)示業(yè)務(wù)代碼；業(yè)務(wù)順序處理有效性檢驗：運算正確性檢測雙重存儲數(shù)據(jù)和理性檢測數(shù)據(jù)極限檢驗交叉合計檢查第一章信息系統(tǒng)審計概論2、處理控制：是計算機信息系統(tǒng)按程52第一章信息系統(tǒng)審計概論錯誤糾正控制更正和抵消保留審計線索斷點技術(shù)特殊處理控制技術(shù)處理權(quán)限控制登帳條件檢驗防錯，糾錯控制非正常中斷恢復(fù)修改權(quán)限和修改痕跡控制第一章信息系統(tǒng)審計概論錯誤糾正控制53第一章信息系統(tǒng)審計概論3、輸出結(jié)果控制主要控制措施包括：控制總數(shù)核對勾稽關(guān)系檢驗對輸出資料的審視檢查與合理性檢驗輸出文件的保管與分發(fā)五、信息系統(tǒng)內(nèi)部控制的審計審計目的：確定系統(tǒng)的內(nèi)部控制設(shè)置是否完善適當(dāng)；已有的控制是否恰當(dāng)?shù)匕l(fā)揮了作用，達到了原來的設(shè)計目標(biāo)；針對系統(tǒng)控制的缺陷和薄弱環(huán)節(jié)提出改進的建議，并以此為依據(jù)調(diào)整實質(zhì)性測試階段的范圍、內(nèi)容和深度。第一章信息系統(tǒng)審計概論3、輸出結(jié)果控制控制總數(shù)核對五、信54（一）一般控制的審計目的：對系統(tǒng)一般控制的完善性和有效性進行審計

一般控制的評審包括兩個方面：1、對被審計單位信息系統(tǒng)背景信息評審。內(nèi)容有：（1）被審計單位信息系統(tǒng)的規(guī)模；（2）硬件和網(wǎng)絡(luò)的技術(shù)復(fù)雜性；（3）被審計單位信息系統(tǒng)會計核算和業(yè)務(wù)系統(tǒng)等應(yīng)用軟件取得的方式；（4）系統(tǒng)的管理情況；（5）被審計單位信息系統(tǒng)處理業(yè)務(wù)流程等。目的：通過對以上背景信息評審，基本收集了被審計單位信息系統(tǒng)硬件和軟件的基本情況第一章信息系統(tǒng)審計概論（一）一般控制的審計第一章信息系統(tǒng)審計概論55第一章信息系統(tǒng)審計概論2、對被審計單位信息系統(tǒng)控制環(huán)境評審。內(nèi)容有：（1）系統(tǒng)控制措施；（2）不相容職能分離控制措施；（3）訪問控制措施；（4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施；目的：是確定被審計單位信息系統(tǒng)總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風(fēng)險。第一章信息系統(tǒng)審計概論2、對被審計單位信息系統(tǒng)控制環(huán)境56（二）應(yīng)用控制的審計目的：檢查存在于各具體應(yīng)用程序中的輸入控制、處理控制和輸出控制的情況的完善性和有效性。

應(yīng)用控制的評審包括：1、輸入控制審計目的：審查輸入控制在確保輸入數(shù)據(jù)的精確、完整、有效以及數(shù)據(jù)輸入的合法性的情況。輸入控制的審計的主要內(nèi)容包括：（1）輸入權(quán)限控制；（2）輸入完整性控制；（3）數(shù)據(jù)有效性控制；（4）輸入格式檢查；

第一章信息系統(tǒng)審計概論（二）應(yīng)用控制的審計第一章信息系統(tǒng)審計概論57（5）輸入數(shù)據(jù)范圍檢查；（6）校驗；（7）有效性檢查；（8）相容性檢查；（9）數(shù)據(jù)重復(fù)控制；（10）數(shù)據(jù)相關(guān)性檢查；（11）輸入異常處理。

第一章信息系統(tǒng)審計概論2、處理控制的審計目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復(fù)處理、處理的數(shù)據(jù)是有效的，等。處理控制的審計的主要內(nèi)容包括：

（5）輸入數(shù)據(jù)范圍檢查；第一章信息系統(tǒng)審計概論58第一章信息系統(tǒng)審計概論（1）數(shù)據(jù)被處理前后保持一致；（2）數(shù)據(jù)有效性檢查；（3）處理與數(shù)據(jù)的非相關(guān)檢查；（4）數(shù)據(jù)處理的完整性與一致性；（5）處理的有效性；（6）文件訪問沖突控制；（7）錯誤控制。3、輸出控制的審計目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。處理控制的審計的主要內(nèi)容包括：

第一章信息系統(tǒng)審計概論（1）數(shù)據(jù)被處理前后保持一致59（1）輸出異常的處理；（2）數(shù)據(jù)輸出完整性；（3）輸出數(shù)據(jù)的保護；（4）輸出結(jié)果符合要求；（5）輸出數(shù)據(jù)的及時性；（6）輸出被合適地發(fā)布。第一章信息系統(tǒng)審計概論六、信息系統(tǒng)內(nèi)部控制的審計步驟(一)了解并描述內(nèi)部控制

調(diào)查方法：詢問、觀察、查閱文檔資料、檢測工具描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程圖法

（1）輸出異常的處理；第一章信息系統(tǒng)審計概論六、60第一章信息系統(tǒng)審計概論(二)符合性測試

人工控制審查方法：詢問、觀察、檢查文檔資料、發(fā)放調(diào)查問卷，等程序控制審查方法：人工控制審查方法、計算機輔助審計技術(shù)

(三)評價內(nèi)部控制

評價目標(biāo)：確定被審單位的內(nèi)部控制是否達到了電算化條件下應(yīng)有的控制目標(biāo)，內(nèi)部控制是否有重大缺陷，有無過控或欠控之處，已設(shè)立的控制是否有效執(zhí)行。結(jié)果處理：對被審單位控制的薄弱環(huán)節(jié)提出管理建議，并形成文檔——管理建議書；調(diào)整。第一章信息系統(tǒng)審計概論(二)符合性測試(三61第一章信息系統(tǒng)審計概論內(nèi)部控制評價指標(biāo)簡介：內(nèi)部控制的審計評價指標(biāo)通常分為一般性指標(biāo)和具體指標(biāo)（一）信息系統(tǒng)內(nèi)部控制審計評價的一般性指標(biāo)指為保證信息系統(tǒng)安全運行所制定的內(nèi)部控制制度應(yīng)遵循的原則和達到的目標(biāo)，包括：1、信息系統(tǒng)內(nèi)部控制的完整性；2、信息系統(tǒng)內(nèi)部控制的合理性；3、信息系統(tǒng)內(nèi)部控制的有效性。（二）信息系統(tǒng)內(nèi)部控制審計評價的具體指標(biāo)指對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容方面的審計評價指標(biāo)，是對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容的具體評價。第一章信息系統(tǒng)審計概論內(nèi)部控制評價指標(biāo)簡介：62第五節(jié)風(fēng)險基礎(chǔ)審計

第一章信息系統(tǒng)審計概論審計模式的發(fā)展經(jīng)歷了三個階段：賬項基礎(chǔ)審計制度基礎(chǔ)審計風(fēng)險基礎(chǔ)審計

風(fēng)險基礎(chǔ)的審計模式基本要素構(gòu)成：固有風(fēng)險、控制風(fēng)險、檢查風(fēng)險風(fēng)險基礎(chǔ)審計的三個基本環(huán)節(jié)：風(fēng)險評估、內(nèi)控測試及實質(zhì)性測試第五節(jié)風(fēng)險基礎(chǔ)審計第一章信息系統(tǒng)審計概論審計模式的發(fā)展63風(fēng)險基礎(chǔ)審計的優(yōu)點：通過對被審計單位風(fēng)險的評價，集中審計資源于高風(fēng)險的審計領(lǐng)域，最大限度地降低審計的檢查風(fēng)險；保證審計效果和質(zhì)量；節(jié)約審計成本；提高審計效率。

第一章信息系統(tǒng)審計概論風(fēng)險基礎(chǔ)審計方法的思路：1、編制被審計單位使用的信息系統(tǒng)清單并對其進行分類；2、判斷哪個系統(tǒng)影響關(guān)鍵功能和資產(chǎn)；3、評估哪些風(fēng)險影響這些系統(tǒng)并對商業(yè)運作造成沖擊；4、在上述評估的基礎(chǔ)上對系統(tǒng)進行分級，決定審計的優(yōu)先次序、資源、進度和頻率。

風(fēng)險基礎(chǔ)審計的優(yōu)點：第一章信息系統(tǒng)審計概論風(fēng)險基礎(chǔ)審計方64第一章信息系統(tǒng)審計概論第六節(jié)基于風(fēng)險審計理論的信息系統(tǒng)審計步驟與傳統(tǒng)審計相同，信息系統(tǒng)審計步驟也分為三個階段：審計計劃階段、審計實施階段、審計報告階段

（一）審計計劃階段（審計準(zhǔn)備階段）內(nèi)容：制定科學(xué)、合理的審計計劃

結(jié)果形式：審計文檔——信息系統(tǒng)審計計劃書

（二）審計實施階段內(nèi)容：調(diào)查取證；結(jié)果形式：工作底稿及附件

（三）審計報告階段內(nèi)容：運用專業(yè)判斷，綜合各種證據(jù)，評估測試結(jié)果，根據(jù)審計準(zhǔn)則，形成審計意見。結(jié)果形式：審計意見書、審計報告

第一章信息系統(tǒng)審計概論第六節(jié)基于風(fēng)險審計理論的信息系65第一章信息系統(tǒng)審計概論具體的信息系統(tǒng)審計步驟和內(nèi)容如下所示：（一）審計計劃階段審計計劃了解被審系統(tǒng)情況；與委托單位簽訂業(yè)務(wù)約定書；初步評價被審系統(tǒng)的內(nèi)部控制及外部控制；確定重要性；分析審計風(fēng)險；編制審計計劃

1、了解被審計系統(tǒng)基本情況目的：明確審計的難度，所需時間及大致費用等。決定是否接受委托對該系統(tǒng)進行審計，第一章信息系統(tǒng)審計概論具體的信息系統(tǒng)審計步驟和內(nèi)容如下所66主要包括：（1）系統(tǒng)擁有者概況；（2）系統(tǒng)建成時間，運行時間，生命周期概況、規(guī)模及設(shè)備清單；（3）管理者的管理措施，對IS的內(nèi)部控制；（4）相關(guān)外部控制；（5）技術(shù)操作人員的概況；（6）已做過的審計，時間及審計機構(gòu)等。第一章信息系統(tǒng)審計概論2、與委托單位簽訂業(yè)務(wù)約定書審計業(yè)務(wù)約定書的內(nèi)容一般包括：

主要包括：第一章信息系統(tǒng)審計概論2、與委托單位簽訂業(yè)務(wù)約67第一章信息系統(tǒng)審計概論簽約雙方名稱；委托目的；審計范圍；雙方責(zé)任；簽約各方的義務(wù)；出具審計報告的時間要求；審計報告的使用責(zé)任；審計收費；業(yè)務(wù)約定書的有效期間；違約責(zé)任；簽約時間及其他事項第一章信息系統(tǒng)審計概論簽約雙方名稱；683、初步評價被審系統(tǒng)的內(nèi)部控制及外部控制內(nèi)部控制初評過程：第一章信息系統(tǒng)審計概論了解被審單位內(nèi)部控制情況，做出相應(yīng)記錄，初步測評內(nèi)控的存在性及完整性和有效性內(nèi)部控制有效嗎評價控制風(fēng)險為最高水平確定較低控制風(fēng)險確定重要性，分析審計風(fēng)險，制定審計計劃YN3、初步評價被審系統(tǒng)的內(nèi)部控制及外部控制第一章69外部控制初評：信息系統(tǒng)安全標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程建設(shè)標(biāo)準(zhǔn)、驗收標(biāo)準(zhǔn)等各項規(guī)章制度的執(zhí)行情況。第一章信息系統(tǒng)審計概論5、分析審計風(fēng)險方法：審計風(fēng)險模型（DAR=IR╳CR╳DR）4、確定重要性重要性特征：數(shù)量、質(zhì)量重要性評估的目的：確定所需審計證據(jù)的數(shù)量重要性水平與審計證據(jù)之間關(guān)系：反向關(guān)系

6、編制審計計劃審計計劃包括：總體審計計劃、具體審計計劃外部控制初評：信息系統(tǒng)安全標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程第一70總體審計計劃主要包括：被審單位基本情況；審計目的、審計范圍及策略；重要問題及重要審計領(lǐng)域；工作進度及時間、費用預(yù)算；審計小組成員分工；重要性確定及風(fēng)險評估等。具體審計計劃主要包括：具體審計目標(biāo)；審計程序；執(zhí)行人員及時間限制等。第一章信息系統(tǒng)審計概論總體審計計劃主要包括：具體審計計劃主要包括：第一章信息系71第一章信息系統(tǒng)審計概論（二）審計實施階段審計實施IT治理審計IS硬件與系統(tǒng)軟件審計IS開發(fā)審計IS運營、維護審計IS安全審計根據(jù)重要性、風(fēng)險和計劃獲取有關(guān)資料;符合性測試，驗證固有和控制風(fēng)險，維持或重新確定檢查風(fēng)險;修改方案;實質(zhì)性瀏試;對測試結(jié)果進行分析;找出導(dǎo)致結(jié)果的原因第一章信息系統(tǒng)審計概論（二）審計實施階段審計實施72審計實施步驟：（1）審計通知；（2）預(yù)備調(diào)查；（3）審計實施；（4）審計評審；（5）補充審計；（6）審計評議會。ISA主要任務(wù)：（1）收集資料；（2）確定審計或測試的方式；（3）列出需要訪談的人員名單；（4）查閱有關(guān)部門的政策、標(biāo)準(zhǔn)及準(zhǔn)則，以供審計使用；（5）利用審計方法，對所有控制進行測試和評價；（6）評估測試結(jié)果。第一章信息系統(tǒng)審計概論審計實施步驟：第一章信息系統(tǒng)審計概論73審計實施是審計的中心環(huán)節(jié)，主要由符合性測試階段和實質(zhì)性階段構(gòu)成。1、符合性測試符合性測試的目標(biāo)：審查被審計單位信息系統(tǒng)的內(nèi)部控制制度的建立及遵守情況，根據(jù)測試結(jié)果修訂審計計劃，確定后續(xù)測試――實質(zhì)性測試的程度。具體步驟：（1）目標(biāo)設(shè)定；（2）事項識別；（3）風(fēng)險評估；（4）風(fēng)險應(yīng)對措施。第一章信息系統(tǒng)審計概論審計實施是審計的中心環(huán)節(jié)，主要由符合性測試階74符合性測試的常用方法有：訪問被審計單位的領(lǐng)導(dǎo)與員工、發(fā)放調(diào)查問卷、實地考察、查閱有關(guān)程序文檔資料等。2、實施實質(zhì)性測試實質(zhì)性測試：是對交易和事項的詳細測試或分析性復(fù)核測試，以獲得審計期間這些事項或交易合法、完整、準(zhǔn)確或真實存在的審計證據(jù)。具體步驟：（1）根據(jù)符合性測試的結(jié)果，確定進行實質(zhì)性測試的范圍、數(shù)量以及抽樣方法；（2）判斷是否需要大量測試，確定是進行大量的隨機或統(tǒng)計抽樣，還是執(zhí)行有限的隨機或判斷抽樣；第一章信息系統(tǒng)審計概論符合性測試的常用方法有：訪問被審計單位的領(lǐng)導(dǎo)與員工、第一章75（3）確認(rèn)所有的交易事項均已經(jīng)被準(zhǔn)確記錄的可能性；（4）判斷就樣本而言是否達到控制目標(biāo)？對能否達到組織的控制目標(biāo)向管理層提供最終的保證或不保證。實質(zhì)性測試的常用方法有：檢測數(shù)據(jù)法、授控處理法、平行模擬法、利用輔助審計軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件等方法。第一章信息系統(tǒng)審計概論符合性測試示例：在應(yīng)收賬款業(yè)務(wù)的處理模塊中，當(dāng)銷售業(yè)務(wù)數(shù)據(jù)輸入時，檢測應(yīng)收賬款的各種記錄是否產(chǎn)生相應(yīng)變化，其發(fā)生的增減變化方向是否與業(yè)務(wù)一致，或測試該客戶的應(yīng)收款余額是否超過信用額度，時間是否超過規(guī)定時間。實質(zhì)性測試示例：在對會計報表模塊審計中，檢查計算機會計報表系統(tǒng)產(chǎn)生的報表數(shù)據(jù)和經(jīng)審計人員審計產(chǎn)生的報表數(shù)據(jù)是否一致。（3）確認(rèn)所有的交易事項均已經(jīng)被準(zhǔn)確記錄的可能性；第76第一章信息系統(tǒng)審計概論（三）審計完成階段審計完成整理、評價審計證據(jù);復(fù)核工作底稿，完成二級復(fù)核;匯總審計差異，同被審系統(tǒng)管理層交流;評價審計結(jié)果(對重要性和風(fēng)險進行最終評價)，形成審計意見，編制審計報告，完成三級復(fù)核

1、整理、評價執(zhí)行審計業(yè)務(wù)過程中收集到的證據(jù)證據(jù)：所謂證據(jù)就是審計師按照審計標(biāo)準(zhǔn)及目標(biāo)的要求，在對某一實體或數(shù)據(jù)進行審計時所采用的信息，與審計目標(biāo)有關(guān)的信息即可作為審計證據(jù)。證據(jù)形式：口頭證據(jù)、書面證據(jù)、電子證據(jù)，等證據(jù)來源：原始憑證、電子記錄、錄音、照相、攝像，等第一章信息系統(tǒng)審計概論（三）審計完成階段審1、772、復(fù)核審計底稿，完成二級復(fù)核傳統(tǒng)審計的三級復(fù)核制度：一級復(fù)核：項目經(jīng)理二級復(fù)核：部門經(jīng)理三級復(fù)核：主任審計會計師（審計師）ISA一級復(fù)核內(nèi)容：審計中審計人員所完成的工作；審計形成的審計工作底稿及結(jié)論。ISA二級復(fù)核內(nèi)容：審計階段結(jié)束后審計工作底稿及結(jié)論3、匯總審計差異，與被審計單位溝通

第一章信息系統(tǒng)審計概論2、復(fù)核審計底稿，完成二級復(fù)核3、匯總78第一章信息系統(tǒng)審計概論4、評價審計結(jié)果，形成審計意見，完成三級復(fù)核，編制審計報告。審計意見的類型：無保留意見的審計報告；保留意見的審計報告；否定意見的審計報告；無法表示意見的審計報告。三級復(fù)核主要內(nèi)容：采用審計程序的恰當(dāng)性；審計工作底稿的充分性；審計過程中是否存在重大遺漏；審計工作是否符合事務(wù)所的質(zhì)量要求等。ISA完成表現(xiàn)形式：審計意見書、審計報告

第一章信息系統(tǒng)審計概論4、評價審計結(jié)果，形成審計意見79第一章信息系統(tǒng)審計概論審計報告的基本格式：[題頭]

報告日期；上級主管部門名稱；上級主管姓名；

審計說明（概要）

[正文]

審計對象；重點審計主題；審計目的；

審計范圍和審計實施步驟（概要）；實施期間；

被審計對象部門；被審計人員及其工作職能；

審計結(jié)果（概要）

1可靠性：可靠性概要；可靠性評價

2安全性：安全性概要；安全性評價

3效率：效率概要；效率評價

主要存在的問題

改良建議：1一般改良建議；2緊急改良建議第一章信息系統(tǒng)審計概論審計報告的基本格式：80第一章信息系統(tǒng)審計概論第七節(jié)信息系統(tǒng)審計的意義主要表現(xiàn)在：可以鑒證信息系統(tǒng)的安全和可靠性；可以鑒證電子化數(shù)據(jù)的真實性和完整性；可以促進和提高信息系統(tǒng)的效率和效益；為組織信息化建設(shè)提供咨詢服務(wù)。

第七節(jié)信息系統(tǒng)審計準(zhǔn)則和職業(yè)道德規(guī)范簡介信息系統(tǒng)審計準(zhǔn)則：為信息系統(tǒng)審計和報告定義了強制性的要求；是開展信息系統(tǒng)審計的前提；是實施信息系統(tǒng)審計的總綱；是實施信息系統(tǒng)審計的具體規(guī)范。

第一章信息系統(tǒng)審計概論第七節(jié)信息系統(tǒng)審計的意義第七節(jié)81第一章信息系統(tǒng)審計概論一、國際信息系統(tǒng)審計準(zhǔn)則簡介目前最具代表性和權(quán)威性的審計準(zhǔn)則制定機構(gòu)：ISACAISACA的信息系統(tǒng)審計準(zhǔn)則框架構(gòu)成：ISA標(biāo)準(zhǔn)、指南、程序

第一層次:信息系統(tǒng)審計標(biāo)準(zhǔn)ISA標(biāo)準(zhǔn)是整個ISA準(zhǔn)則體系的總綱,是制定ISA指南和ISA程序的基礎(chǔ)依據(jù)。它規(guī)定了審計章程及審計過程(從計劃、實施、報告到跟蹤)必須達到的基本要求,是CISA的資格條件、執(zhí)業(yè)行為的基本規(guī)范。最新的ISA標(biāo)準(zhǔn)分為11大類,共43條

第一章信息系統(tǒng)審計概論一、國際信息系統(tǒng)審計準(zhǔn)則簡介第一層82第一章信息系統(tǒng)審計概論第二層次:信息系統(tǒng)審計指南ISA指南是依據(jù)ISA標(biāo)準(zhǔn)制定的,是ISA標(biāo)準(zhǔn)的具體化,為ISA準(zhǔn)則體系中11大類標(biāo)準(zhǔn)的實施提供了指引。它詳細規(guī)定了CISA實施審計業(yè)務(wù)、出具審計報告的具體指引,為CISA在執(zhí)行審計業(yè)務(wù)中如何遵守審計準(zhǔn)則提供指導(dǎo)。目前為止有效的ISA指南共有35項第三層次:信息系統(tǒng)審計程序ISA程序是依據(jù)ISA標(biāo)準(zhǔn)和ISA指南制定的。它為CISA提供了一般審計業(yè)務(wù)(尤其是審計計劃和審計實施階段業(yè)務(wù))的程序和步驟,是遵守標(biāo)準(zhǔn)和指南的一些通常審計程序,它為CISA提供了很好的工作范例。ISA程序是CISA的一個參照，不要求強制執(zhí)行。目前為止有效的ISA程序共有9項第一章信息系統(tǒng)審計概論第二層次:信息系統(tǒng)審計指南第三層次83第一章信息系統(tǒng)審計概論其他頒布信息系統(tǒng)審計準(zhǔn)則的有重要影響的組織主要有：美國注冊會計師協(xié)會（AICPA）：最近的第94號準(zhǔn)則《IT對CPA評價內(nèi)部控制的影響》（SASNo.94）。國際內(nèi)部審計師協(xié)會（IIA）：如，內(nèi)部審計師準(zhǔn)則說明書（SIAS）。國際會計師聯(lián)合會（IFA）：如，國際審計準(zhǔn)則——電子數(shù)據(jù)處理環(huán)境下的審計、國際審計準(zhǔn)則16——輔助審計技術(shù)，等。最高審計機關(guān)國際組織（INTOSAI）：如，審計準(zhǔn)則（AS）中的ASNo.系列等。其他：如，加拿大特許會計師協(xié)會（CICA）；、澳大利亞特許會計師協(xié)會（ICAA），等。第一章信息系統(tǒng)審計概論其他頒布信息系統(tǒng)審計準(zhǔn)則的有重要影84二、我國計算機審計規(guī)范的現(xiàn)狀主要制定機構(gòu)：審計署、中國注冊會計師協(xié)會目前主要規(guī)范：審計署令第9號《審計署關(guān)于計算機審計的暫行規(guī)定》；審計署《審計機關(guān)計算機輔助審計辦法》；注冊會計師協(xié)會《獨立審計準(zhǔn)則第20號———計算機信息系統(tǒng)環(huán)境下的審計》；國務(wù)院辦公廳《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》；等第一章信息系統(tǒng)審計概論二、我國計算機審計規(guī)范的現(xiàn)狀第一章信息系統(tǒng)審計概論85三、信息系統(tǒng)審計職業(yè)道德規(guī)范簡介職業(yè)道德規(guī)范主要有：公正、客觀、獨立的審計立場；遵循有關(guān)信息系統(tǒng)審計準(zhǔn)則；遵守職業(yè)道德，以贏得信賴；保持相關(guān)領(lǐng)域的專業(yè)勝任能力；不從事不能勝任的業(yè)務(wù)；遵守保密義務(wù)，不用于私人目的；保持應(yīng)有的職業(yè)謹(jǐn)慎；向適當(dāng)對象提交審計報告，并揭示重要事件；不利用職務(wù)之便，從事違法犯罪活動。第一章信息系統(tǒng)審計概論三、信息系統(tǒng)審計職業(yè)道德規(guī)范簡介第一章信息系統(tǒng)審計概論86第八節(jié)信息系統(tǒng)審計的理論知識框架信息系統(tǒng)審計是一門新興的、綜合性的學(xué)科，其理論基礎(chǔ)建立在審計學(xué)、計算機科學(xué)、信息系統(tǒng)管理理論和行為科學(xué)理論諸學(xué)科之上，這些學(xué)科的綜合構(gòu)成了信息系統(tǒng)審計的理論知識框架，并且隨著這些學(xué)科的發(fā)展，信息系統(tǒng)審計也在不斷發(fā)展和完善之中。

第八節(jié)信息系統(tǒng)審計的理論知識框架87信息系統(tǒng)審計案例：某審計機構(gòu)對對某酒店開展了信息系統(tǒng)審計。審計目的：酒店信息系統(tǒng)的安全性、可靠性審計步驟：1、計劃階段。通過了解情況、評估內(nèi)部控制等環(huán)節(jié)，根據(jù)審計目的，確定了：審計重點：年審日報匯總系統(tǒng)、會議團體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個系統(tǒng)模塊作為對信息系統(tǒng)進行安全性、可靠性測試的重點。涉及方法：繪制組織機構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場走訪等方式。2、審計實施。（1）通過詳細了解信息系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)，對比數(shù)據(jù)庫中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢的數(shù)據(jù)庫表文件，將主表的數(shù)據(jù)完整性作為重點的測試目標(biāo)。

信息系統(tǒng)審計案例：某審計機構(gòu)對對某酒店開展了信息系統(tǒng)審計。88（2）通過測試數(shù)據(jù)的真實完整性來審計信息系統(tǒng)的安全性和可靠性。（3）通過摸清酒店的業(yè)務(wù)流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務(wù)流程中的走向，鎖定數(shù)據(jù)的大量運算點，從而確定審計方向的關(guān)鍵。（4）針對數(shù)據(jù)在運算、自動傳輸和手工傳輸過程中存在發(fā)生錯誤和被調(diào)整修改的可能性，因此利用計算機輔助審計技術(shù)進行了驗證。（5）在驗證過程中，通過分步驟編寫查詢語句和程序，調(diào)出數(shù)據(jù)生成中間表進行比對，發(fā)現(xiàn)疑點，根據(jù)疑點特征繼續(xù)比對，直到發(fā)現(xiàn)錯誤點。在SQL語句不能保證完成大批量查詢和比對任務(wù)的情況下，采用計算能力更強、運算速度更快的JAVA來編寫查詢程序，起到了事半功倍的效果。

（2）通過測試數(shù)據(jù)的真實完整性來審計信息系893、審計完成通過審計測試，發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運算上存在錯誤，通過數(shù)據(jù)驗證，證明錯誤產(chǎn)生的原因是由信息系統(tǒng)本身缺陷造成的。上述審計結(jié)果得到了被審計單位的認(rèn)可，促使被審計單位更換了信息系統(tǒng)，提高了計算機管理水平。

3、審計完成90ThankYou世界觸手可及攜手共進，齊創(chuàng)精品工程ThankYou世界觸手可及攜手共進，齊創(chuàng)精品工程91信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計風(fēng)險、信息系統(tǒng)控制與審計、審計程序，以及信息系統(tǒng)審計的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計的基本概念和基本理論。IT治理審計 通過本章的學(xué)習(xí)，信息系統(tǒng)審計師理解評估信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT方面的要求。信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計信息系統(tǒng)審計概論92信息系統(tǒng)審計概論 ISA的定義、目標(biāo)、內(nèi)容、信息系統(tǒng)審計風(fēng)險、信息系統(tǒng)控制與審計、審計程序，以及信息系統(tǒng)審計的準(zhǔn)則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計的基本概念和基本理論。IT治理審計 通過本章的學(xué)習(xí)，信息系統(tǒng)審計師理解評估信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實務(wù)。確保組織擁有適當(dāng)?shù)慕Y(jié)構(gòu)、政策、工作職責(zé)、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT方面的要求。信息系統(tǒng)審計概論IT治理審計 93信息系統(tǒng)架構(gòu)控制與審計 一個組織要建立信息系統(tǒng)，就需要有效地建立、控制和管理好其信息技術(shù)基礎(chǔ)架構(gòu)。本章主要介紹學(xué)習(xí)如何正確評價組織的信息技術(shù)基礎(chǔ)設(shè)施和運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）的效果和效率。信息系統(tǒng)開發(fā)及審計 信息系統(tǒng)開發(fā)過程中的問題和錯誤會產(chǎn)生“積累放大”效應(yīng)，并會使企業(yè)付出高昂的代價。因此，通過對信息系統(tǒng)開發(fā)過程中每個階段的跟蹤審計，及時發(fā)現(xiàn)每個階段的錯誤，并得到及時修正，從而保障整個信息系統(tǒng)的質(zhì)量。信息系統(tǒng)架構(gòu)控制與審計信息系統(tǒng)開發(fā)及審計 94信息系統(tǒng)運營與維護審計 保證一個組織已經(jīng)建立的信息系統(tǒng)能高效的為其服務(wù)，離不開對其良好的操作、運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）和維護，使其保持最佳的運行狀態(tài)。因此，對信息系統(tǒng)運行和維護過程的審計非常重要，是對整個信息系統(tǒng)實現(xiàn)高效服務(wù)的保障。本章即介紹信息系統(tǒng)運營和維護過程的審計。信息系統(tǒng)安全控制與審計 信息技術(shù)環(huán)境下信息系統(tǒng)的脆弱性和威脅，使信息系統(tǒng)及其產(chǎn)生的信息存在信息安全風(fēng)險。本章主要介紹如何對信息系統(tǒng)進行安全審計與控制，從而使信息系統(tǒng)的風(fēng)險降到最低。信息系統(tǒng)運營與維護審計信息系統(tǒng)安全控制與審計 95信息系統(tǒng)審計技術(shù)與方法 面對錯綜復(fù)雜的信息系統(tǒng)和審計環(huán)境，向?qū)徲嬋藛T提出了挑戰(zhàn)，審計人員實施審計的難度很大，需要運用許多技術(shù)、方法和工具來輔助他們進行審計工具。本章即介紹一些有關(guān)信息系統(tǒng)審計的技術(shù)和方法。信息系統(tǒng)審計技術(shù)與方法96第一章信息系統(tǒng)審計概論第一節(jié)信息系統(tǒng)審計及其產(chǎn)生與發(fā)展 一、何謂信息系統(tǒng)審計（ISA）？國際信息系統(tǒng)審計委員會(ISACA)定義：是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實現(xiàn)組織目標(biāo)地過程。

日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會定義為：為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。第一章信息系統(tǒng)審計概論第一節(jié)信息系統(tǒng)審計及其產(chǎn)生與發(fā)展97從以上定義可以看出,信息系統(tǒng)審計的兩個方面職能:從外部審計的角度,ISA實現(xiàn)-------監(jiān)證目標(biāo)（“保證”職能）從內(nèi)部審計的角度,ISA實現(xiàn)-------管理目標(biāo)（“咨詢”職能）第一章信息系統(tǒng)審計概論一般定義:根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認(rèn)預(yù)定的業(yè)務(wù)目標(biāo)得以實現(xiàn)，并提出一系列改進建議的管理活動。RonWeber定義:搜集并評價證據(jù)，以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效的做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟的使用資源。從以上定義可以看出,信息系統(tǒng)審計的兩個方面職能:第一章信98第一章信息系統(tǒng)審計概論注：ISACA（InformationSystemAuditandControlassociation，信息系統(tǒng)審計與控制協(xié)會）：是最有權(quán)威的信息系統(tǒng)審計行業(yè)組織，總部設(shè)在美國。主要從事ISA相關(guān)理論與實務(wù)研究，制定相關(guān)ISA標(biāo)準(zhǔn)、規(guī)范、執(zhí)業(yè)指南等；也是唯一有權(quán)授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機構(gòu)。根據(jù)ISA概念，應(yīng)理解：