計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)詳解課件

12-計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)12-計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)1內(nèi)容計(jì)算機(jī)審計(jì)信息系統(tǒng)審計(jì)內(nèi)容計(jì)算機(jī)審計(jì)2計(jì)算機(jī)審計(jì)產(chǎn)生的原因1.審計(jì)外部環(huán)境信息化是推動(dòng)計(jì)算機(jī)審計(jì)產(chǎn)生和發(fā)展的外部因素審計(jì)署前審計(jì)長(zhǎng)李金華指出：審計(jì)人員不掌握計(jì)算機(jī)技術(shù)，將失去審計(jì)的資格。信息化對(duì)審計(jì)產(chǎn)生了巨大影響，主要表現(xiàn)在：數(shù)據(jù)電子化、審計(jì)線(xiàn)索不易識(shí)別、數(shù)據(jù)量急劇增加、數(shù)據(jù)易被篡改、數(shù)據(jù)易消失、內(nèi)部控制易失效、對(duì)審計(jì)人員的信息技術(shù)要求提高。計(jì)算機(jī)審計(jì)產(chǎn)生的原因1.審計(jì)外部環(huán)境信息化是推動(dòng)計(jì)算機(jī)審計(jì)產(chǎn)32.企業(yè)經(jīng)營(yíng)規(guī)模越來(lái)越大是推動(dòng)計(jì)算機(jī)審計(jì)發(fā)展的內(nèi)生動(dòng)力。審計(jì)目標(biāo)、范圍、職能不斷擴(kuò)大，對(duì)審計(jì)提出了更高的要求。3.計(jì)算機(jī)技術(shù)（特別是軟件技術(shù)）的發(fā)展提高了計(jì)算機(jī)審計(jì)的工作效率和審計(jì)質(zhì)量。利用計(jì)算機(jī)軟件系統(tǒng)自動(dòng)發(fā)現(xiàn)審計(jì)問(wèn)題和線(xiàn)索，利用互聯(lián)網(wǎng)實(shí)現(xiàn)實(shí)時(shí)審計(jì)。2.企業(yè)經(jīng)營(yíng)規(guī)模越來(lái)越大是推動(dòng)計(jì)算機(jī)審計(jì)發(fā)展的內(nèi)生動(dòng)力。4計(jì)算機(jī)審計(jì)計(jì)算機(jī)審計(jì)是審計(jì)人員將計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)等各種手段引入審計(jì)工作，建立審計(jì)信息系統(tǒng)，從而實(shí)現(xiàn)對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)。計(jì)算機(jī)審計(jì)的概念有廣義和狹義之分。計(jì)算機(jī)審計(jì)計(jì)算機(jī)審計(jì)是審計(jì)人員將計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)等各種手段引5目前有三種觀點(diǎn)：對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì)對(duì)管理數(shù)據(jù)的計(jì)算機(jī)進(jìn)行審計(jì)即對(duì)計(jì)算機(jī)也對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì)目前有三種觀點(diǎn)：6經(jīng)過(guò)長(zhǎng)期的實(shí)踐，國(guó)際上以及我國(guó)審計(jì)署將計(jì)算機(jī)審計(jì)主要定位在第一種觀點(diǎn)，也稱(chēng)計(jì)算機(jī)輔助審計(jì)，或稱(chēng)審計(jì)信息化、數(shù)字審計(jì)等。第二種觀點(diǎn)演變?yōu)樾畔⑾到y(tǒng)審計(jì)。經(jīng)過(guò)長(zhǎng)期的實(shí)踐，國(guó)際上以及我國(guó)審計(jì)署將計(jì)算機(jī)審計(jì)主要定位在第7計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別1.審計(jì)對(duì)象不同。計(jì)算機(jī)審計(jì)主要對(duì)象是信息系統(tǒng)中的電子數(shù)據(jù)。信息系統(tǒng)審計(jì)主要對(duì)象是存儲(chǔ)電子數(shù)據(jù)的信息系統(tǒng)。計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別1.審計(jì)對(duì)象不同。82.工作側(cè)重點(diǎn)不同。計(jì)算機(jī)審計(jì)是通過(guò)對(duì)電子數(shù)據(jù)的采集、轉(zhuǎn)換、清理、驗(yàn)證、分析，發(fā)現(xiàn)審計(jì)線(xiàn)索，收集審計(jì)證據(jù)，從而形成審計(jì)結(jié)論。計(jì)算機(jī)審計(jì)雖然也需要驗(yàn)證信息系統(tǒng)提供的電子數(shù)據(jù)的真實(shí)性、準(zhǔn)確性和完整性，但這種驗(yàn)證具有一定的局限性。信息系統(tǒng)審計(jì)是通過(guò)對(duì)信息系統(tǒng)的調(diào)查與了解，對(duì)系統(tǒng)控制及系統(tǒng)功能的分析與測(cè)評(píng)，綜合評(píng)價(jià)一個(gè)信息系統(tǒng)是否能夠滿(mǎn)足安全性、有效性、與經(jīng)濟(jì)性目標(biāo)，是否能夠提供真實(shí)、準(zhǔn)確、完整的電子數(shù)據(jù)。2.工作側(cè)重點(diǎn)不同。93.使用的技術(shù)方法不同。計(jì)算機(jī)審計(jì)主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、清理、驗(yàn)證、分析的數(shù)據(jù)方法，包括審計(jì)數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計(jì)中間表技術(shù)、審計(jì)模型構(gòu)建技術(shù)、數(shù)據(jù)分析方法等。信息系統(tǒng)審計(jì)主要采用系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)測(cè)試和系統(tǒng)評(píng)價(jià)的技術(shù)方法。3.使用的技術(shù)方法不同。10計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的聯(lián)系計(jì)算機(jī)審計(jì)和信息系統(tǒng)審計(jì)是同一事物的兩個(gè)方面，兩者有密切聯(lián)系。信息系統(tǒng)中存在的問(wèn)題必然會(huì)反映到電子數(shù)據(jù)中，計(jì)算機(jī)審計(jì)發(fā)現(xiàn)的問(wèn)題可以作為信息系統(tǒng)審計(jì)的參考和線(xiàn)索。電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)，信息系統(tǒng)審計(jì)通過(guò)對(duì)不同電子數(shù)據(jù)的分析、處理和測(cè)試，以評(píng)價(jià)信息系統(tǒng)的準(zhǔn)確性。計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的聯(lián)系計(jì)算機(jī)審計(jì)和信息系統(tǒng)審計(jì)是同一11相關(guān)資格認(rèn)證考試注冊(cè)內(nèi)部審計(jì)師（CCIA-CHINACERTIFIEDINTERNALAUDITOR）：中國(guó)內(nèi)部審計(jì)協(xié)會(huì)組織的考試。國(guó)際注冊(cè)內(nèi)部審計(jì)師（CIA）：國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（INSTITUTEOFINTERNALAUDITORS簡(jiǎn)稱(chēng)IIA）組織的考試。國(guó)際信息系統(tǒng)審計(jì)師（CISA-CertifiedInformationSystemsAuditor）：信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（InformationSystemsAuditandControlAssociation）組織的考試。相關(guān)資格認(rèn)證考試注冊(cè)內(nèi)部審計(jì)師（CCIA-CHINACE12計(jì)算機(jī)審計(jì)的基本方法計(jì)算機(jī)審計(jì)人基本方法經(jīng)歷了繞過(guò)計(jì)算機(jī)審計(jì)、利用計(jì)算機(jī)審計(jì)、穿過(guò)計(jì)算機(jī)審計(jì)和聯(lián)網(wǎng)審計(jì)四個(gè)階段。計(jì)算機(jī)審計(jì)的基本方法計(jì)算機(jī)審計(jì)人基本方法經(jīng)歷了繞過(guò)計(jì)算機(jī)審計(jì)13繞過(guò)計(jì)算機(jī)審計(jì)繞過(guò)計(jì)算機(jī)審計(jì)是指審計(jì)人員不審查計(jì)算機(jī)內(nèi)部程序和數(shù)據(jù)文件，只審查輸入數(shù)據(jù)和打印輸出資料及管理制度的方法，該方法又稱(chēng)“黑盒”審計(jì)。主要應(yīng)用于20世紀(jì)50年代中期至60年代中期。會(huì)計(jì)電算化還處于起步階段。輸入數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)審計(jì)繞過(guò)繞過(guò)計(jì)算機(jī)審計(jì)繞過(guò)計(jì)算機(jī)審計(jì)是指審計(jì)人員不審查計(jì)算機(jī)內(nèi)部程序14繞過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)技術(shù)簡(jiǎn)單，審計(jì)人員計(jì)算機(jī)水平要求不高。較少干擾被審系統(tǒng)的正常工作。缺點(diǎn)：審計(jì)線(xiàn)索和審計(jì)證據(jù)不充分。審計(jì)風(fēng)險(xiǎn)較高適用范圍適用于被審計(jì)業(yè)務(wù)簡(jiǎn)單，處理過(guò)程較單一，輸入資料與輸出資料比較密切且內(nèi)部控制制度健全。因此，該方法適用于內(nèi)部控制比較健全的、業(yè)務(wù)簡(jiǎn)單的中小企業(yè)的審計(jì)。繞過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：15利用計(jì)算機(jī)審計(jì)利用計(jì)算機(jī)審計(jì)又稱(chēng)為計(jì)算機(jī)輔助審計(jì)，是指利用計(jì)算機(jī)技術(shù)和審計(jì)軟件對(duì)會(huì)計(jì)信息系統(tǒng)所進(jìn)行的審計(jì)。主要在1965-1970這一階段，會(huì)計(jì)信息系統(tǒng)被廣泛應(yīng)用。利用計(jì)算機(jī)技術(shù)和審計(jì)軟件，可以幫助審計(jì)人員減輕負(fù)擔(dān)、加快審查速度、提高審計(jì)效率。利用計(jì)算機(jī)審計(jì)利用計(jì)算機(jī)審計(jì)又稱(chēng)為計(jì)算機(jī)輔助審計(jì)，是指利用計(jì)16審計(jì)軟件一般分為兩種：一種是通用審計(jì)軟件，能夠獲取、計(jì)算、分析會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)，適用于多種審計(jì)工作。另一種是專(zhuān)用審計(jì)軟件，是為了某個(gè)特定的系統(tǒng)或?qū)徲?jì)項(xiàng)目而編寫(xiě)的程序。審計(jì)軟件一般分為兩種：17利用計(jì)算機(jī)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)計(jì)算機(jī)審計(jì)軟件繞過(guò)審計(jì)利用計(jì)算機(jī)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)計(jì)算機(jī)審計(jì)軟件繞18利用計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)結(jié)果較為可靠，擴(kuò)大了審計(jì)范圍，數(shù)據(jù)收集更為齊全，抽樣審計(jì)向全面審計(jì)擴(kuò)展，審計(jì)結(jié)論更加可靠；審計(jì)獨(dú)立性較強(qiáng)；提高了審計(jì)效率。缺點(diǎn)：審計(jì)技術(shù)較復(fù)雜，要求審計(jì)人員掌握必備的計(jì)算機(jī)技術(shù)知識(shí)和審計(jì)軟件的操作；審計(jì)成本較高，審計(jì)人員培養(yǎng)成本增加，須購(gòu)置審計(jì)軟件。利用計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：19適用范圍：適用于會(huì)計(jì)信息系統(tǒng)使用較為成熟，且業(yè)務(wù)處理較為復(fù)雜的、內(nèi)部控制制度較為完善的大中型企業(yè)。適用范圍：20穿過(guò)計(jì)算機(jī)審計(jì)1970年以后，隨著會(huì)計(jì)信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)一體化集成的發(fā)展，大量的數(shù)據(jù)由其它系統(tǒng)自動(dòng)產(chǎn)生，業(yè)務(wù)處理日益復(fù)雜，原始數(shù)據(jù)的錄入大幅度減少，被審對(duì)象的邊界越發(fā)模糊。計(jì)算機(jī)審計(jì)進(jìn)入到“穿過(guò)計(jì)算機(jī)審計(jì)”發(fā)展階段。穿過(guò)計(jì)算機(jī)審計(jì)1970年以后，隨著會(huì)計(jì)信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)21財(cái)務(wù)-業(yè)務(wù)一體化系統(tǒng)：用友ERP-U8財(cái)務(wù)-業(yè)務(wù)一體化系統(tǒng)：用友ERP-U822穿過(guò)計(jì)算機(jī)審計(jì)又稱(chēng)“白盒”審計(jì)或直接審計(jì)，這種審計(jì)方式不僅要求審查被審計(jì)單位的輸入與輸出數(shù)據(jù)，還要審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的系統(tǒng)程序、應(yīng)用程序、數(shù)據(jù)文件以及計(jì)算機(jī)硬件等系統(tǒng)，在對(duì)被審系統(tǒng)的可靠性評(píng)價(jià)的基礎(chǔ)上來(lái)確定審計(jì)結(jié)論。輸入數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)審計(jì)穿過(guò)穿過(guò)計(jì)算機(jī)審計(jì)又稱(chēng)“白盒”審計(jì)或直接審計(jì)，這種審計(jì)方式不僅要23穿過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)風(fēng)險(xiǎn)低，直接對(duì)會(huì)計(jì)信息系統(tǒng)的程序及數(shù)據(jù)進(jìn)行審查，對(duì)系統(tǒng)內(nèi)部控制可靠性進(jìn)行科學(xué)評(píng)價(jià)。增強(qiáng)了審計(jì)獨(dú)立性、可靠性，提高了審計(jì)質(zhì)量。缺點(diǎn)：審計(jì)技術(shù)復(fù)雜，要求對(duì)計(jì)算機(jī)技術(shù)、程序設(shè)計(jì)、數(shù)據(jù)處理等知識(shí)非常熟悉；易干擾被審系統(tǒng)的正常工作，會(huì)占用被審系統(tǒng)較多的正常工作時(shí)間。穿過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：24適用范圍：由于這一審計(jì)模式對(duì)審計(jì)人員素質(zhì)提出了更高的要求，而且審計(jì)成本很高，因此這一審計(jì)模式適用于大中型會(huì)計(jì)師事務(wù)所對(duì)業(yè)務(wù)處理復(fù)雜、系統(tǒng)集成度較高的大中型企業(yè)的審計(jì)工作。適用范圍：25聯(lián)網(wǎng)審計(jì)所謂聯(lián)網(wǎng)審計(jì)，就是在線(xiàn)實(shí)時(shí)審計(jì)，是指通過(guò)審計(jì)機(jī)關(guān)和被審計(jì)單位的網(wǎng)絡(luò)互聯(lián)，實(shí)時(shí)審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的審計(jì)方式。聯(lián)網(wǎng)審計(jì)所謂聯(lián)網(wǎng)審計(jì)，就是在線(xiàn)實(shí)時(shí)審計(jì)，是指通過(guò)審計(jì)機(jī)關(guān)和被261990年以來(lái)，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代信息技術(shù)為計(jì)算機(jī)審計(jì)的發(fā)展帶來(lái)前所未有的機(jī)遇。審計(jì)人員只要把自己的計(jì)算機(jī)連接到網(wǎng)上，并取得被告審計(jì)單位的審查權(quán)限，就可以在任何地方、任何時(shí)間通過(guò)網(wǎng)絡(luò)完成除實(shí)地監(jiān)盤(pán)和觀察外的大部分審計(jì)工作。審計(jì)項(xiàng)目負(fù)責(zé)人可在網(wǎng)上制訂審計(jì)計(jì)劃，給不同地點(diǎn)的審計(jì)人員分配審計(jì)任務(wù)，并對(duì)審計(jì)人員監(jiān)督與指導(dǎo)，隨時(shí)了解審計(jì)項(xiàng)目的進(jìn)展情況，協(xié)調(diào)審計(jì)人員的工作，草擬和簽發(fā)審計(jì)報(bào)告。1990年以來(lái)，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代信息技術(shù)為計(jì)27聯(lián)網(wǎng)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)數(shù)據(jù)實(shí)時(shí)采集及轉(zhuǎn)換審計(jì)疑點(diǎn)信息和審計(jì)數(shù)據(jù)審計(jì)作業(yè)系統(tǒng)審計(jì)預(yù)警監(jiān)控系統(tǒng)預(yù)警方案預(yù)警指標(biāo)聯(lián)網(wǎng)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)數(shù)據(jù)實(shí)時(shí)采集及轉(zhuǎn)換審計(jì)28聯(lián)網(wǎng)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：拓展了審計(jì)時(shí)空，加強(qiáng)了審計(jì)監(jiān)督職能?？梢詫?shí)時(shí)連續(xù)地抽取審計(jì)數(shù)據(jù)，進(jìn)行實(shí)時(shí)遠(yuǎn)程審計(jì)。變事后審計(jì)為事前、事中審計(jì)，變靜態(tài)審計(jì)為動(dòng)態(tài)審計(jì)，提高了審計(jì)效率，加強(qiáng)了審計(jì)的監(jiān)督作用。缺點(diǎn)：網(wǎng)絡(luò)安全問(wèn)題是聯(lián)網(wǎng)審計(jì)面臨的固有風(fēng)險(xiǎn)以外的信息安全風(fēng)險(xiǎn)。會(huì)計(jì)信息系統(tǒng)自身設(shè)計(jì)缺陷、黑客攻擊、操作失誤、審計(jì)采集數(shù)據(jù)的管理等風(fēng)險(xiǎn)問(wèn)題在聯(lián)網(wǎng)審計(jì)模式中需要重點(diǎn)關(guān)注。聯(lián)網(wǎng)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：29適用范圍：在線(xiàn)實(shí)時(shí)審計(jì)模式適用于企事業(yè)單位的內(nèi)部審計(jì)和動(dòng)態(tài)審計(jì)。是未來(lái)審計(jì)的發(fā)展方向。適用范圍：30討論我國(guó)現(xiàn)階段主要的審計(jì)方式是哪些？制約我國(guó)審計(jì)方式發(fā)展的主要原因有哪些？討論我國(guó)現(xiàn)階段主要的審計(jì)方式是哪些？31聯(lián)網(wǎng)審計(jì)是《金審二期規(guī)劃》中的重點(diǎn)建設(shè)項(xiàng)目，根據(jù)該規(guī)劃，審計(jì)署將重點(diǎn)建設(shè)中央部門(mén)預(yù)算執(zhí)行、海關(guān)、銀行、社保等四類(lèi)聯(lián)網(wǎng)審計(jì)，并對(duì)中央財(cái)政組織預(yù)算執(zhí)行、國(guó)稅和大型企業(yè)等進(jìn)行聯(lián)網(wǎng)審計(jì)試點(diǎn)。目前已成功研制了《中央部門(mén)預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)》，并從2010年開(kāi)始在中央各部門(mén)推廣使用。各地方政府也在逐步推廣《政府部門(mén)預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)》。聯(lián)網(wǎng)審計(jì)是《金審二期規(guī)劃》中的重點(diǎn)建設(shè)項(xiàng)目，根據(jù)該規(guī)劃，審計(jì)32計(jì)算機(jī)審計(jì)的步驟前期準(zhǔn)備內(nèi)部控制的初步審查初步審查結(jié)果的評(píng)價(jià)內(nèi)部控制測(cè)試實(shí)質(zhì)性程序全面評(píng)價(jià)和編制審計(jì)報(bào)告計(jì)算機(jī)審計(jì)的步驟前期準(zhǔn)備33審計(jì)軟件的分類(lèi)

(1)審計(jì)作業(yè)軟件審計(jì)作業(yè)軟件是審計(jì)工作的主要工具。(2)審計(jì)管理軟件審計(jì)管理軟件是用來(lái)完成審計(jì)統(tǒng)計(jì)、審計(jì)計(jì)劃等方面功能的審計(jì)軟件。(3)專(zhuān)用審計(jì)軟件如海關(guān)審計(jì)軟件、基建工程預(yù)決算審計(jì)軟件、銀行審計(jì)軟件、外資審計(jì)軟件等。(4)審計(jì)法規(guī)軟件法規(guī)軟件主要是為了幫助審計(jì)人員在海量的各種財(cái)經(jīng)法規(guī)中快速找出所需要的法規(guī)條目及內(nèi)容。(5)聯(lián)網(wǎng)審計(jì)軟件審計(jì)軟件的分類(lèi)(1)審計(jì)作業(yè)軟件34常見(jiàn)的審計(jì)軟件審計(jì)之星上海博科資訊有限責(zé)任公司在1997年發(fā)布。審計(jì)數(shù)據(jù)采集分析系統(tǒng)審計(jì)署駐南京辦事處開(kāi)發(fā),是一個(gè)用來(lái)采集和分析被審計(jì)單位電子數(shù)據(jù)的通用審計(jì)軟件。用友審易-審計(jì)作業(yè)系統(tǒng)（V5.8）用友開(kāi)發(fā)的與U8配套的通用審計(jì)軟件，可以很好地將U8中的數(shù)據(jù)進(jìn)行采集。通審2000中審審易中普審計(jì)軟件常見(jiàn)的審計(jì)軟件審計(jì)之星35信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)的定義信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，在此過(guò)程中搜集和評(píng)估證據(jù)以確定信息系統(tǒng)和相關(guān)資源是否充分保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完整性、提供相關(guān)和可靠信息、有效實(shí)現(xiàn)組織機(jī)構(gòu)目標(biāo)、有效地使用資源、包含有效內(nèi)部控制以提供運(yùn)營(yíng)和控制目標(biāo)得到滿(mǎn)足的合理保障。（國(guó)際ISACA協(xié)會(huì)）又稱(chēng)IT審計(jì)。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)的定義36信息系統(tǒng)審計(jì)的三大目標(biāo)從以上信息系統(tǒng)審計(jì)的定義，可知信息系統(tǒng)審計(jì)項(xiàng)目依目標(biāo)不同，有三大類(lèi)：信息系統(tǒng)安全審計(jì)（安全性）信息系統(tǒng)可靠性審計(jì)（可靠性）信息系統(tǒng)績(jī)效審計(jì)（經(jīng)濟(jì)性）信息系統(tǒng)審計(jì)的三大目標(biāo)從以上信息系統(tǒng)審計(jì)的定義，可知信息系統(tǒng)37信息系統(tǒng)審計(jì)的內(nèi)涵IT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。主體：第三方審計(jì)師遵循相關(guān)標(biāo)準(zhǔn)（COBIT、信息系統(tǒng)審計(jì)指南）對(duì)信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、使用維護(hù)等一系列活動(dòng)及產(chǎn)物進(jìn)行檢查和評(píng)估。信息系統(tǒng)審計(jì)的內(nèi)涵IT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀38信息系統(tǒng)審計(jì)的要點(diǎn)：信息系統(tǒng)審計(jì)的對(duì)象是計(jì)算機(jī)為核心的信息系統(tǒng)。信息系統(tǒng)審計(jì)的目的是促使信息系統(tǒng)安全、可靠和有效。信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，需要審計(jì)師的專(zhuān)業(yè)評(píng)價(jià)與判斷。信息系統(tǒng)審計(jì)的要點(diǎn)：39管理政策組織結(jié)構(gòu)服務(wù)器、工作站、打印機(jī)網(wǎng)線(xiàn)交換機(jī)/HUB……Windows/UNIXOracle數(shù)據(jù)庫(kù)信息系統(tǒng)邏輯結(jié)構(gòu)示意圖財(cái)務(wù)報(bào)表銷(xiāo)售收入1000萬(wàn)……會(huì)計(jì)核算系統(tǒng)銷(xiāo)售業(yè)務(wù)系統(tǒng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃信息資產(chǎn)保護(hù)人管理政策組織結(jié)構(gòu)服務(wù)器、工作站、打印機(jī)網(wǎng)線(xiàn)交換機(jī)/HUB……40從構(gòu)成要素上來(lái)看，信息系統(tǒng)有以下組成部分：硬件軟件網(wǎng)絡(luò)數(shù)據(jù)人管理制度從構(gòu)成要素上來(lái)看，信息系統(tǒng)有以下組成部分：41信息系統(tǒng)審計(jì)的兩大主題內(nèi)容審計(jì)本質(zhì)是一種控制，從控制的角度來(lái)看信息系統(tǒng)，通常區(qū)分為信息系統(tǒng)一般控制與應(yīng)用控制。兩者的作用與范圍不同。信息系統(tǒng)一般控制審計(jì)（GC）信息系統(tǒng)應(yīng)用控制審計(jì)（AC）信息系統(tǒng)審計(jì)的兩大主題內(nèi)容審計(jì)本質(zhì)是一種控制42一般控制（GC）確認(rèn)應(yīng)用系統(tǒng)恰當(dāng)開(kāi)發(fā)或?qū)嵤?，確保程序與數(shù)據(jù)文件的完整性，確保信息系統(tǒng)良好運(yùn)作。一般控制的控制措施適用于所有應(yīng)用系統(tǒng)，是一種環(huán)境上的保證。應(yīng)用控制（AC）與具體的應(yīng)用系統(tǒng)有關(guān)，確保數(shù)據(jù)處理完整和正確。應(yīng)用控制的設(shè)計(jì)結(jié)合具體業(yè)務(wù)進(jìn)行。一般控制（GC）43一般控制與應(yīng)用控制的關(guān)系應(yīng)用控制的有效性取決于一般控制的有效性一般控制是應(yīng)用控制的基礎(chǔ)，當(dāng)一般控制薄弱時(shí)，應(yīng)用控制無(wú)法提供合理保障一般控制與應(yīng)用控制的關(guān)系應(yīng)用控制的有效性取決于一般控制的有效44一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）一般控制審計(jì)的五大內(nèi)容評(píng)估IT治理結(jié)構(gòu)的效果，確保董事會(huì)對(duì)IT決策、IT方向和IT性能的充分控制；評(píng)估IT組織結(jié)構(gòu)和人力資源管理；評(píng)估IT戰(zhàn)略及其起草、批準(zhǔn)、實(shí)施和維護(hù)程序；評(píng)估IT政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實(shí)施和維護(hù)流程；評(píng)估IT資源的投資、使用和配置實(shí)務(wù)；評(píng)估IT外包戰(zhàn)略和政策，以及合同管理實(shí)務(wù)；評(píng)估監(jiān)督和審計(jì)實(shí)務(wù)；保證董事和執(zhí)行層能及時(shí)、充分地獲得有關(guān)的IT績(jī)效信息IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)45一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估擬定的系統(tǒng)開(kāi)發(fā)或采購(gòu)，確保其符合組織發(fā)展目標(biāo)；評(píng)估項(xiàng)目管理框架和項(xiàng)目治理實(shí)務(wù)，確保組織在風(fēng)險(xiǎn)管理基礎(chǔ)上，以成本—效益原則達(dá)成組織的業(yè)務(wù)目標(biāo)；確保項(xiàng)目按項(xiàng)目計(jì)劃進(jìn)行，并有相應(yīng)文檔充分支持；評(píng)估組織相關(guān)系統(tǒng)的控制機(jī)制，確保其符合組織的政策；評(píng)估系統(tǒng)的開(kāi)發(fā)、采購(gòu)和測(cè)試流程，確保其交付符合目標(biāo)；對(duì)系統(tǒng)實(shí)施定期檢查，確保其持續(xù)滿(mǎn)足組織目標(biāo)，并受到有效的內(nèi)部控制；一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)46一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估服務(wù)管理實(shí)務(wù)，確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級(jí)是明確定義并受管理的；評(píng)估運(yùn)營(yíng)管理，保證IT支持職能有效滿(mǎn)足了業(yè)務(wù)要求；評(píng)估數(shù)據(jù)管理實(shí)務(wù)，確保數(shù)據(jù)庫(kù)的完整性和最優(yōu)化；評(píng)估能力的使用和性能監(jiān)控工具與技術(shù)；評(píng)估變更、配置和發(fā)布管理實(shí)務(wù)，確保被詳細(xì)記錄；評(píng)估問(wèn)題和事件管理實(shí)務(wù)，確保所有事件、問(wèn)題和錯(cuò)誤都被及時(shí)記錄，分析和解決評(píng)估IT基礎(chǔ)構(gòu)架（網(wǎng)絡(luò)，軟硬件）功能，確保其對(duì)組織目標(biāo)的支持IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)47一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估邏輯訪問(wèn)控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)的機(jī)密性、完整性、有效性和經(jīng)授權(quán)使用；評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?；評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)充分安全；評(píng)估保密信息資產(chǎn)的采集、存儲(chǔ)、使用、傳輸和處置程序的流程。IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)48一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估備份和恢復(fù)準(zhǔn)備的充分性，確?；謴?fù)運(yùn)營(yíng)所需信息的有效性和可用性；評(píng)估組織的災(zāi)難恢復(fù)計(jì)劃，確保一旦發(fā)生災(zāi)難，IT處理能力可以及時(shí)恢復(fù)；評(píng)估組織的業(yè)務(wù)連續(xù)性計(jì)劃，確保IT服務(wù)中斷期間，基本業(yè)務(wù)運(yùn)營(yíng)不間斷的能力。IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)49應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)參數(shù)控制應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)參數(shù)控制50應(yīng)用控制審計(jì)的內(nèi)容用戶(hù)權(quán)限管理的基本原則：職責(zé)分離原則。對(duì)于同一組不相容權(quán)限，任何用戶(hù)不能同時(shí)具有兩種（或兩種以上）的權(quán)限。未明確允許即禁止原則：除非用戶(hù)有對(duì)于權(quán)限的需求得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn)，否則不應(yīng)當(dāng)授予用戶(hù)任何權(quán)限。需求導(dǎo)向及最小授權(quán)原則：對(duì)于用戶(hù)的權(quán)限，應(yīng)當(dāng)以其實(shí)際工作需要為依據(jù)，且僅應(yīng)當(dāng)授予能夠完成其工作任務(wù)的最小權(quán)限。應(yīng)用控制審計(jì)的內(nèi)容用戶(hù)權(quán)限管理的基本原則：51信息中心的職責(zé)分離矩陣信息中心的職責(zé)分離矩陣52人力資源系統(tǒng)職責(zé)分離矩陣

人力資源系統(tǒng)職責(zé)分離矩陣123456序號(hào)業(yè)務(wù)活動(dòng)配置工資基本設(shè)置人事工資主數(shù)據(jù)維護(hù)考勤記錄考勤審核工資計(jì)算及發(fā)放計(jì)算工資獎(jiǎng)金發(fā)放審批1配置工資基本設(shè)置

XXXXX2人事工資主數(shù)據(jù)維護(hù)X

X

X3考勤記錄X

X

X4考勤審核XXX

X

5工資計(jì)算及發(fā)放計(jì)算X

X

X6工資獎(jiǎng)金發(fā)放審批XXX

X

人力資源系統(tǒng)職責(zé)分離矩陣人力資源系統(tǒng)職責(zé)分離矩陣153應(yīng)用控制審計(jì)的內(nèi)容輸入控制應(yīng)用控制審計(jì)的內(nèi)容輸入控制54應(yīng)用控制審計(jì)的內(nèi)容處理控制應(yīng)用控制審計(jì)的內(nèi)容處理控制55應(yīng)用控制審計(jì)的內(nèi)容輸出控制應(yīng)用控制審計(jì)的內(nèi)容輸出控制56應(yīng)用控制審計(jì)的內(nèi)容應(yīng)用控制審計(jì)的內(nèi)容57應(yīng)用控制審計(jì)的內(nèi)容參數(shù)控制審計(jì)參數(shù)設(shè)置的正確性（合法性）參數(shù)調(diào)整的審批流程與權(quán)限參數(shù)調(diào)整的軌跡應(yīng)用控制審計(jì)的內(nèi)容參數(shù)控制審計(jì)58應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)自動(dòng)接口手動(dòng)接口環(huán)節(jié)應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)59應(yīng)用控制審計(jì)的流程應(yīng)用控制審計(jì)的流程60IT治理IT治理是董事會(huì)和最高管理層的職責(zé)，是企業(yè)治理的重要組成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。IT治理IT治理是董事會(huì)和最高管理層的職責(zé)，是企業(yè)治理的重要61IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益62IT治理的目標(biāo)IT治理應(yīng)著眼于以下目標(biāo)：1、與業(yè)務(wù)目標(biāo)一致原則：服從于企業(yè)戰(zhàn)略，不能背離2、有效利用信息資源IT治理的使命：通過(guò)及時(shí)、有效的IT治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化3、風(fēng)險(xiǎn)管理通過(guò)IT治理：構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策；使風(fēng)險(xiǎn)透明化；有效的風(fēng)險(xiǎn)投資、管理和控制；風(fēng)險(xiǎn)的防范措施。實(shí)現(xiàn)：平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)，確保組織目標(biāo)的實(shí)現(xiàn)。IT治理的目標(biāo)IT治理應(yīng)著眼于以下目標(biāo)：63IT治理的關(guān)鍵問(wèn)題IT治理的關(guān)鍵問(wèn)題表現(xiàn)在：1、IT投資是否與企業(yè)經(jīng)營(yíng)在戰(zhàn)略目標(biāo)、策略和運(yùn)營(yíng)層面相融合，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力；2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用；3、在長(zhǎng)期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價(jià)值；4、是否有有效的風(fēng)險(xiǎn)管理機(jī)制。

其中最關(guān)鍵的問(wèn)題是第一點(diǎn)：IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。IT治理的關(guān)鍵問(wèn)題IT治理的關(guān)鍵問(wèn)題表現(xiàn)在：64IT治理框架構(gòu)建IT治理框架包含三個(gè)方面:組織機(jī)構(gòu)流程溝通機(jī)制IT治理框架構(gòu)建IT治理框架包含三個(gè)方面:651、組織結(jié)構(gòu)（1）IT治理最高管理層（董事會(huì)）。IT戰(zhàn)略的總體制定與決策者，負(fù)責(zé)指引信息化的方向與戰(zhàn)略制定，平衡支持企業(yè)和使企業(yè)成長(zhǎng)的投資。（2）IT治理委員會(huì)。向董事會(huì)負(fù)責(zé)，解決設(shè)計(jì)標(biāo)準(zhǔn)的問(wèn)題，負(fù)責(zé)確立IT戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項(xiàng)目并監(jiān)督結(jié)果。IT治理委員會(huì)責(zé)任：政策制定；控制(預(yù)算通過(guò)，項(xiàng)目權(quán)限，績(jī)效評(píng)價(jià))；績(jī)效度量和報(bào)告。

1、組織結(jié)構(gòu)（1）IT治理最高管理層（董事會(huì)）。66（3）CIO（首席信息官）CIO崗位的職責(zé):發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃;開(kāi)發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門(mén)的應(yīng)用開(kāi)發(fā);保障IT基礎(chǔ)設(shè)施和體系架構(gòu)的運(yùn)行及投資;決定IT服務(wù)和技能服務(wù)；建立關(guān)鍵的IT供應(yīng)商和咨詢(xún)顧問(wèn)間的戰(zhàn)略伙伴關(guān)系；提供技術(shù)支持使企業(yè)增加收入和盈利能力;維護(hù)客戶(hù)滿(mǎn)意度；向用戶(hù)提供培訓(xùn)。（4）管理者（5）信息技術(shù)人員。（6）外部和內(nèi)部審計(jì)人員。（3）CIO（首席信息官）672、流程IT投資決策是如何作出的？在決策流程中，投資建議、投資評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的？2、流程IT投資決策是如何作出的？在決策流程中，投資建議、投683、溝通這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險(xiǎn)？又如何得到溝通？在相關(guān)利益者之間投資決策采用何種機(jī)制加以溝通？3、溝通這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險(xiǎn)？又如69IT治理標(biāo)準(zhǔn)1、COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），；2、IT基礎(chǔ)架構(gòu)庫(kù)ITIL（InformationTechnologyInfrastructureLibrary）；3、ISO/IEC17799:2000（信息安全管理實(shí)務(wù)準(zhǔn)則）4、COSO綜合性框架；IT治理標(biāo)準(zhǔn)1、COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），；70搞好IT治理必須解決的問(wèn)題1、IT關(guān)鍵領(lǐng)域誰(shuí)做決策和如何決策。5個(gè)IT關(guān)鍵領(lǐng)域：A、信息技術(shù)原則；B、信息技術(shù)結(jié)構(gòu)；C、信息技術(shù)基礎(chǔ)設(shè)施；D、企業(yè)應(yīng)用需要；E、信息技術(shù)投資及優(yōu)先順序。2、信息化中的責(zé)、權(quán)、利問(wèn)題；3、信息化建設(shè)中的風(fēng)險(xiǎn)評(píng)估和績(jī)效評(píng)價(jià)問(wèn)題；4、信息系統(tǒng)控制與信息技術(shù)管理體系問(wèn)題。搞好IT治理必須解決的問(wèn)題1、IT關(guān)鍵領(lǐng)域誰(shuí)做決策和如何決策71COBITCOBIT：ControlObjectivesforInformationandrelatedTechnology，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國(guó)信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA提出的IT治理控制框架，它是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。COBITCOBIT：ControlObje72COBIT的發(fā)展歷程1、1996年，COBIT1.02、1998年，COBIT2.03、2000年，COBIT3.04、2005年，COBIT4.05、2007年，COBIT4.16、2012年，COBIT5.0

逐步由最初單一的審計(jì)師的內(nèi)控評(píng)價(jià)工具發(fā)展到目前系統(tǒng)的IT治理框架。COBIT的發(fā)展歷程73COBIT信息技術(shù)的控制目標(biāo)COBIT將信息技術(shù)的控制目標(biāo)設(shè)定為七個(gè)：（1）有效性（Effectiveness）：是指信息與商業(yè)過(guò)程相關(guān)，并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。（2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟(jì)）利用資源來(lái)提供信息。（3）機(jī)密性（Confidentiality）：涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授權(quán)的披露（4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致COBIT信息技術(shù)的控制目標(biāo)74（5）可用性（Availability）：指在現(xiàn)在和將來(lái)的商業(yè)處理需求中，信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。（6）符合性（Compliance）：遵守商業(yè)運(yùn)作過(guò)程中必須遵守的法律、法規(guī)和契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。（7）信息可靠性（ReliabilityofInformation）：為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。?）可用性（Availability）：指在現(xiàn)在和將來(lái)的商75COBIT的體系結(jié)構(gòu)COBIT將IT過(guò)程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。企業(yè)策略維IT資源維IT過(guò)程維

策略維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性；COBIT的體系結(jié)構(gòu)企業(yè)策略維IT資源維IT過(guò)程維76企業(yè)策略維IT資源維IT過(guò)程維

IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源,這是IT治理過(guò)程的主要對(duì)象；企業(yè)策略維IT資源維IT過(guò)程維IT資源維主要77企業(yè)策略維IT資源維IT過(guò)程維

IT過(guò)程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過(guò)程進(jìn)行評(píng)估。企業(yè)策略維IT資源維IT過(guò)程維IT過(guò)程維則是78信息資產(chǎn)保護(hù)業(yè)務(wù)持續(xù)計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃是一套基于業(yè)務(wù)運(yùn)行規(guī)律的管理要求和規(guī)章流程，使一個(gè)組織在突發(fā)事件面前能夠迅速作出反應(yīng)，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，而不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變。

兩個(gè)關(guān)鍵指標(biāo)：最短恢復(fù)時(shí)間、最小數(shù)據(jù)損失量。災(zāi)難恢復(fù)：備份、冷機(jī)、熱機(jī)信息資產(chǎn)保護(hù)79業(yè)務(wù)連續(xù)性計(jì)劃與其它計(jì)劃的關(guān)系業(yè)務(wù)連續(xù)性計(jì)劃與其它計(jì)劃的關(guān)系8012-計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)12-計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)81內(nèi)容計(jì)算機(jī)審計(jì)信息系統(tǒng)審計(jì)內(nèi)容計(jì)算機(jī)審計(jì)82計(jì)算機(jī)審計(jì)產(chǎn)生的原因1.審計(jì)外部環(huán)境信息化是推動(dòng)計(jì)算機(jī)審計(jì)產(chǎn)生和發(fā)展的外部因素審計(jì)署前審計(jì)長(zhǎng)李金華指出：審計(jì)人員不掌握計(jì)算機(jī)技術(shù)，將失去審計(jì)的資格。信息化對(duì)審計(jì)產(chǎn)生了巨大影響，主要表現(xiàn)在：數(shù)據(jù)電子化、審計(jì)線(xiàn)索不易識(shí)別、數(shù)據(jù)量急劇增加、數(shù)據(jù)易被篡改、數(shù)據(jù)易消失、內(nèi)部控制易失效、對(duì)審計(jì)人員的信息技術(shù)要求提高。計(jì)算機(jī)審計(jì)產(chǎn)生的原因1.審計(jì)外部環(huán)境信息化是推動(dòng)計(jì)算機(jī)審計(jì)產(chǎn)832.企業(yè)經(jīng)營(yíng)規(guī)模越來(lái)越大是推動(dòng)計(jì)算機(jī)審計(jì)發(fā)展的內(nèi)生動(dòng)力。審計(jì)目標(biāo)、范圍、職能不斷擴(kuò)大，對(duì)審計(jì)提出了更高的要求。3.計(jì)算機(jī)技術(shù)（特別是軟件技術(shù)）的發(fā)展提高了計(jì)算機(jī)審計(jì)的工作效率和審計(jì)質(zhì)量。利用計(jì)算機(jī)軟件系統(tǒng)自動(dòng)發(fā)現(xiàn)審計(jì)問(wèn)題和線(xiàn)索，利用互聯(lián)網(wǎng)實(shí)現(xiàn)實(shí)時(shí)審計(jì)。2.企業(yè)經(jīng)營(yíng)規(guī)模越來(lái)越大是推動(dòng)計(jì)算機(jī)審計(jì)發(fā)展的內(nèi)生動(dòng)力。84計(jì)算機(jī)審計(jì)計(jì)算機(jī)審計(jì)是審計(jì)人員將計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)等各種手段引入審計(jì)工作，建立審計(jì)信息系統(tǒng)，從而實(shí)現(xiàn)對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)。計(jì)算機(jī)審計(jì)的概念有廣義和狹義之分。計(jì)算機(jī)審計(jì)計(jì)算機(jī)審計(jì)是審計(jì)人員將計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)等各種手段引85目前有三種觀點(diǎn)：對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì)對(duì)管理數(shù)據(jù)的計(jì)算機(jī)進(jìn)行審計(jì)即對(duì)計(jì)算機(jī)也對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì)目前有三種觀點(diǎn)：86經(jīng)過(guò)長(zhǎng)期的實(shí)踐，國(guó)際上以及我國(guó)審計(jì)署將計(jì)算機(jī)審計(jì)主要定位在第一種觀點(diǎn)，也稱(chēng)計(jì)算機(jī)輔助審計(jì)，或稱(chēng)審計(jì)信息化、數(shù)字審計(jì)等。第二種觀點(diǎn)演變?yōu)樾畔⑾到y(tǒng)審計(jì)。經(jīng)過(guò)長(zhǎng)期的實(shí)踐，國(guó)際上以及我國(guó)審計(jì)署將計(jì)算機(jī)審計(jì)主要定位在第87計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別1.審計(jì)對(duì)象不同。計(jì)算機(jī)審計(jì)主要對(duì)象是信息系統(tǒng)中的電子數(shù)據(jù)。信息系統(tǒng)審計(jì)主要對(duì)象是存儲(chǔ)電子數(shù)據(jù)的信息系統(tǒng)。計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別1.審計(jì)對(duì)象不同。882.工作側(cè)重點(diǎn)不同。計(jì)算機(jī)審計(jì)是通過(guò)對(duì)電子數(shù)據(jù)的采集、轉(zhuǎn)換、清理、驗(yàn)證、分析，發(fā)現(xiàn)審計(jì)線(xiàn)索，收集審計(jì)證據(jù)，從而形成審計(jì)結(jié)論。計(jì)算機(jī)審計(jì)雖然也需要驗(yàn)證信息系統(tǒng)提供的電子數(shù)據(jù)的真實(shí)性、準(zhǔn)確性和完整性，但這種驗(yàn)證具有一定的局限性。信息系統(tǒng)審計(jì)是通過(guò)對(duì)信息系統(tǒng)的調(diào)查與了解，對(duì)系統(tǒng)控制及系統(tǒng)功能的分析與測(cè)評(píng)，綜合評(píng)價(jià)一個(gè)信息系統(tǒng)是否能夠滿(mǎn)足安全性、有效性、與經(jīng)濟(jì)性目標(biāo)，是否能夠提供真實(shí)、準(zhǔn)確、完整的電子數(shù)據(jù)。2.工作側(cè)重點(diǎn)不同。893.使用的技術(shù)方法不同。計(jì)算機(jī)審計(jì)主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、清理、驗(yàn)證、分析的數(shù)據(jù)方法，包括審計(jì)數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計(jì)中間表技術(shù)、審計(jì)模型構(gòu)建技術(shù)、數(shù)據(jù)分析方法等。信息系統(tǒng)審計(jì)主要采用系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)測(cè)試和系統(tǒng)評(píng)價(jià)的技術(shù)方法。3.使用的技術(shù)方法不同。90計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的聯(lián)系計(jì)算機(jī)審計(jì)和信息系統(tǒng)審計(jì)是同一事物的兩個(gè)方面，兩者有密切聯(lián)系。信息系統(tǒng)中存在的問(wèn)題必然會(huì)反映到電子數(shù)據(jù)中，計(jì)算機(jī)審計(jì)發(fā)現(xiàn)的問(wèn)題可以作為信息系統(tǒng)審計(jì)的參考和線(xiàn)索。電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)，信息系統(tǒng)審計(jì)通過(guò)對(duì)不同電子數(shù)據(jù)的分析、處理和測(cè)試，以評(píng)價(jià)信息系統(tǒng)的準(zhǔn)確性。計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的聯(lián)系計(jì)算機(jī)審計(jì)和信息系統(tǒng)審計(jì)是同一91相關(guān)資格認(rèn)證考試注冊(cè)內(nèi)部審計(jì)師（CCIA-CHINACERTIFIEDINTERNALAUDITOR）：中國(guó)內(nèi)部審計(jì)協(xié)會(huì)組織的考試。國(guó)際注冊(cè)內(nèi)部審計(jì)師（CIA）：國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（INSTITUTEOFINTERNALAUDITORS簡(jiǎn)稱(chēng)IIA）組織的考試。國(guó)際信息系統(tǒng)審計(jì)師（CISA-CertifiedInformationSystemsAuditor）：信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA（InformationSystemsAuditandControlAssociation）組織的考試。相關(guān)資格認(rèn)證考試注冊(cè)內(nèi)部審計(jì)師（CCIA-CHINACE92計(jì)算機(jī)審計(jì)的基本方法計(jì)算機(jī)審計(jì)人基本方法經(jīng)歷了繞過(guò)計(jì)算機(jī)審計(jì)、利用計(jì)算機(jī)審計(jì)、穿過(guò)計(jì)算機(jī)審計(jì)和聯(lián)網(wǎng)審計(jì)四個(gè)階段。計(jì)算機(jī)審計(jì)的基本方法計(jì)算機(jī)審計(jì)人基本方法經(jīng)歷了繞過(guò)計(jì)算機(jī)審計(jì)93繞過(guò)計(jì)算機(jī)審計(jì)繞過(guò)計(jì)算機(jī)審計(jì)是指審計(jì)人員不審查計(jì)算機(jī)內(nèi)部程序和數(shù)據(jù)文件，只審查輸入數(shù)據(jù)和打印輸出資料及管理制度的方法，該方法又稱(chēng)“黑盒”審計(jì)。主要應(yīng)用于20世紀(jì)50年代中期至60年代中期。會(huì)計(jì)電算化還處于起步階段。輸入數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)審計(jì)繞過(guò)繞過(guò)計(jì)算機(jī)審計(jì)繞過(guò)計(jì)算機(jī)審計(jì)是指審計(jì)人員不審查計(jì)算機(jī)內(nèi)部程序94繞過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)技術(shù)簡(jiǎn)單，審計(jì)人員計(jì)算機(jī)水平要求不高。較少干擾被審系統(tǒng)的正常工作。缺點(diǎn)：審計(jì)線(xiàn)索和審計(jì)證據(jù)不充分。審計(jì)風(fēng)險(xiǎn)較高適用范圍適用于被審計(jì)業(yè)務(wù)簡(jiǎn)單，處理過(guò)程較單一，輸入資料與輸出資料比較密切且內(nèi)部控制制度健全。因此，該方法適用于內(nèi)部控制比較健全的、業(yè)務(wù)簡(jiǎn)單的中小企業(yè)的審計(jì)。繞過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：95利用計(jì)算機(jī)審計(jì)利用計(jì)算機(jī)審計(jì)又稱(chēng)為計(jì)算機(jī)輔助審計(jì)，是指利用計(jì)算機(jī)技術(shù)和審計(jì)軟件對(duì)會(huì)計(jì)信息系統(tǒng)所進(jìn)行的審計(jì)。主要在1965-1970這一階段，會(huì)計(jì)信息系統(tǒng)被廣泛應(yīng)用。利用計(jì)算機(jī)技術(shù)和審計(jì)軟件，可以幫助審計(jì)人員減輕負(fù)擔(dān)、加快審查速度、提高審計(jì)效率。利用計(jì)算機(jī)審計(jì)利用計(jì)算機(jī)審計(jì)又稱(chēng)為計(jì)算機(jī)輔助審計(jì)，是指利用計(jì)96審計(jì)軟件一般分為兩種：一種是通用審計(jì)軟件，能夠獲取、計(jì)算、分析會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)，適用于多種審計(jì)工作。另一種是專(zhuān)用審計(jì)軟件，是為了某個(gè)特定的系統(tǒng)或?qū)徲?jì)項(xiàng)目而編寫(xiě)的程序。審計(jì)軟件一般分為兩種：97利用計(jì)算機(jī)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)計(jì)算機(jī)審計(jì)軟件繞過(guò)審計(jì)利用計(jì)算機(jī)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)計(jì)算機(jī)審計(jì)軟件繞98利用計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)結(jié)果較為可靠，擴(kuò)大了審計(jì)范圍，數(shù)據(jù)收集更為齊全，抽樣審計(jì)向全面審計(jì)擴(kuò)展，審計(jì)結(jié)論更加可靠；審計(jì)獨(dú)立性較強(qiáng)；提高了審計(jì)效率。缺點(diǎn)：審計(jì)技術(shù)較復(fù)雜，要求審計(jì)人員掌握必備的計(jì)算機(jī)技術(shù)知識(shí)和審計(jì)軟件的操作；審計(jì)成本較高，審計(jì)人員培養(yǎng)成本增加，須購(gòu)置審計(jì)軟件。利用計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：99適用范圍：適用于會(huì)計(jì)信息系統(tǒng)使用較為成熟，且業(yè)務(wù)處理較為復(fù)雜的、內(nèi)部控制制度較為完善的大中型企業(yè)。適用范圍：100穿過(guò)計(jì)算機(jī)審計(jì)1970年以后，隨著會(huì)計(jì)信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)一體化集成的發(fā)展，大量的數(shù)據(jù)由其它系統(tǒng)自動(dòng)產(chǎn)生，業(yè)務(wù)處理日益復(fù)雜，原始數(shù)據(jù)的錄入大幅度減少，被審對(duì)象的邊界越發(fā)模糊。計(jì)算機(jī)審計(jì)進(jìn)入到“穿過(guò)計(jì)算機(jī)審計(jì)”發(fā)展階段。穿過(guò)計(jì)算機(jī)審計(jì)1970年以后，隨著會(huì)計(jì)信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)101財(cái)務(wù)-業(yè)務(wù)一體化系統(tǒng)：用友ERP-U8財(cái)務(wù)-業(yè)務(wù)一體化系統(tǒng)：用友ERP-U8102穿過(guò)計(jì)算機(jī)審計(jì)又稱(chēng)“白盒”審計(jì)或直接審計(jì)，這種審計(jì)方式不僅要求審查被審計(jì)單位的輸入與輸出數(shù)據(jù)，還要審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的系統(tǒng)程序、應(yīng)用程序、數(shù)據(jù)文件以及計(jì)算機(jī)硬件等系統(tǒng)，在對(duì)被審系統(tǒng)的可靠性評(píng)價(jià)的基礎(chǔ)上來(lái)確定審計(jì)結(jié)論。輸入數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)審計(jì)穿過(guò)穿過(guò)計(jì)算機(jī)審計(jì)又稱(chēng)“白盒”審計(jì)或直接審計(jì)，這種審計(jì)方式不僅要103穿過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：審計(jì)風(fēng)險(xiǎn)低，直接對(duì)會(huì)計(jì)信息系統(tǒng)的程序及數(shù)據(jù)進(jìn)行審查，對(duì)系統(tǒng)內(nèi)部控制可靠性進(jìn)行科學(xué)評(píng)價(jià)。增強(qiáng)了審計(jì)獨(dú)立性、可靠性，提高了審計(jì)質(zhì)量。缺點(diǎn)：審計(jì)技術(shù)復(fù)雜，要求對(duì)計(jì)算機(jī)技術(shù)、程序設(shè)計(jì)、數(shù)據(jù)處理等知識(shí)非常熟悉；易干擾被審系統(tǒng)的正常工作，會(huì)占用被審系統(tǒng)較多的正常工作時(shí)間。穿過(guò)計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：104適用范圍：由于這一審計(jì)模式對(duì)審計(jì)人員素質(zhì)提出了更高的要求，而且審計(jì)成本很高，因此這一審計(jì)模式適用于大中型會(huì)計(jì)師事務(wù)所對(duì)業(yè)務(wù)處理復(fù)雜、系統(tǒng)集成度較高的大中型企業(yè)的審計(jì)工作。適用范圍：105聯(lián)網(wǎng)審計(jì)所謂聯(lián)網(wǎng)審計(jì)，就是在線(xiàn)實(shí)時(shí)審計(jì)，是指通過(guò)審計(jì)機(jī)關(guān)和被審計(jì)單位的網(wǎng)絡(luò)互聯(lián)，實(shí)時(shí)審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的審計(jì)方式。聯(lián)網(wǎng)審計(jì)所謂聯(lián)網(wǎng)審計(jì)，就是在線(xiàn)實(shí)時(shí)審計(jì)，是指通過(guò)審計(jì)機(jī)關(guān)和被1061990年以來(lái)，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代信息技術(shù)為計(jì)算機(jī)審計(jì)的發(fā)展帶來(lái)前所未有的機(jī)遇。審計(jì)人員只要把自己的計(jì)算機(jī)連接到網(wǎng)上，并取得被告審計(jì)單位的審查權(quán)限，就可以在任何地方、任何時(shí)間通過(guò)網(wǎng)絡(luò)完成除實(shí)地監(jiān)盤(pán)和觀察外的大部分審計(jì)工作。審計(jì)項(xiàng)目負(fù)責(zé)人可在網(wǎng)上制訂審計(jì)計(jì)劃，給不同地點(diǎn)的審計(jì)人員分配審計(jì)任務(wù)，并對(duì)審計(jì)人員監(jiān)督與指導(dǎo)，隨時(shí)了解審計(jì)項(xiàng)目的進(jìn)展情況，協(xié)調(diào)審計(jì)人員的工作，草擬和簽發(fā)審計(jì)報(bào)告。1990年以來(lái)，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代信息技術(shù)為計(jì)107聯(lián)網(wǎng)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)數(shù)據(jù)實(shí)時(shí)采集及轉(zhuǎn)換審計(jì)疑點(diǎn)信息和審計(jì)數(shù)據(jù)審計(jì)作業(yè)系統(tǒng)審計(jì)預(yù)警監(jiān)控系統(tǒng)預(yù)警方案預(yù)警指標(biāo)聯(lián)網(wǎng)審計(jì)的過(guò)程原始數(shù)據(jù)信息系統(tǒng)輸出數(shù)據(jù)數(shù)據(jù)實(shí)時(shí)采集及轉(zhuǎn)換審計(jì)108聯(lián)網(wǎng)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：拓展了審計(jì)時(shí)空，加強(qiáng)了審計(jì)監(jiān)督職能。可以實(shí)時(shí)連續(xù)地抽取審計(jì)數(shù)據(jù)，進(jìn)行實(shí)時(shí)遠(yuǎn)程審計(jì)。變事后審計(jì)為事前、事中審計(jì)，變靜態(tài)審計(jì)為動(dòng)態(tài)審計(jì)，提高了審計(jì)效率，加強(qiáng)了審計(jì)的監(jiān)督作用。缺點(diǎn)：網(wǎng)絡(luò)安全問(wèn)題是聯(lián)網(wǎng)審計(jì)面臨的固有風(fēng)險(xiǎn)以外的信息安全風(fēng)險(xiǎn)。會(huì)計(jì)信息系統(tǒng)自身設(shè)計(jì)缺陷、黑客攻擊、操作失誤、審計(jì)采集數(shù)據(jù)的管理等風(fēng)險(xiǎn)問(wèn)題在聯(lián)網(wǎng)審計(jì)模式中需要重點(diǎn)關(guān)注。聯(lián)網(wǎng)審計(jì)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：109適用范圍：在線(xiàn)實(shí)時(shí)審計(jì)模式適用于企事業(yè)單位的內(nèi)部審計(jì)和動(dòng)態(tài)審計(jì)。是未來(lái)審計(jì)的發(fā)展方向。適用范圍：110討論我國(guó)現(xiàn)階段主要的審計(jì)方式是哪些？制約我國(guó)審計(jì)方式發(fā)展的主要原因有哪些？討論我國(guó)現(xiàn)階段主要的審計(jì)方式是哪些？111聯(lián)網(wǎng)審計(jì)是《金審二期規(guī)劃》中的重點(diǎn)建設(shè)項(xiàng)目，根據(jù)該規(guī)劃，審計(jì)署將重點(diǎn)建設(shè)中央部門(mén)預(yù)算執(zhí)行、海關(guān)、銀行、社保等四類(lèi)聯(lián)網(wǎng)審計(jì)，并對(duì)中央財(cái)政組織預(yù)算執(zhí)行、國(guó)稅和大型企業(yè)等進(jìn)行聯(lián)網(wǎng)審計(jì)試點(diǎn)。目前已成功研制了《中央部門(mén)預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)》，并從2010年開(kāi)始在中央各部門(mén)推廣使用。各地方政府也在逐步推廣《政府部門(mén)預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)》。聯(lián)網(wǎng)審計(jì)是《金審二期規(guī)劃》中的重點(diǎn)建設(shè)項(xiàng)目，根據(jù)該規(guī)劃，審計(jì)112計(jì)算機(jī)審計(jì)的步驟前期準(zhǔn)備內(nèi)部控制的初步審查初步審查結(jié)果的評(píng)價(jià)內(nèi)部控制測(cè)試實(shí)質(zhì)性程序全面評(píng)價(jià)和編制審計(jì)報(bào)告計(jì)算機(jī)審計(jì)的步驟前期準(zhǔn)備113審計(jì)軟件的分類(lèi)

(1)審計(jì)作業(yè)軟件審計(jì)作業(yè)軟件是審計(jì)工作的主要工具。(2)審計(jì)管理軟件審計(jì)管理軟件是用來(lái)完成審計(jì)統(tǒng)計(jì)、審計(jì)計(jì)劃等方面功能的審計(jì)軟件。(3)專(zhuān)用審計(jì)軟件如海關(guān)審計(jì)軟件、基建工程預(yù)決算審計(jì)軟件、銀行審計(jì)軟件、外資審計(jì)軟件等。(4)審計(jì)法規(guī)軟件法規(guī)軟件主要是為了幫助審計(jì)人員在海量的各種財(cái)經(jīng)法規(guī)中快速找出所需要的法規(guī)條目及內(nèi)容。(5)聯(lián)網(wǎng)審計(jì)軟件審計(jì)軟件的分類(lèi)(1)審計(jì)作業(yè)軟件114常見(jiàn)的審計(jì)軟件審計(jì)之星上海博科資訊有限責(zé)任公司在1997年發(fā)布。審計(jì)數(shù)據(jù)采集分析系統(tǒng)審計(jì)署駐南京辦事處開(kāi)發(fā),是一個(gè)用來(lái)采集和分析被審計(jì)單位電子數(shù)據(jù)的通用審計(jì)軟件。用友審易-審計(jì)作業(yè)系統(tǒng)（V5.8）用友開(kāi)發(fā)的與U8配套的通用審計(jì)軟件，可以很好地將U8中的數(shù)據(jù)進(jìn)行采集。通審2000中審審易中普審計(jì)軟件常見(jiàn)的審計(jì)軟件審計(jì)之星115信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)的定義信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，在此過(guò)程中搜集和評(píng)估證據(jù)以確定信息系統(tǒng)和相關(guān)資源是否充分保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完整性、提供相關(guān)和可靠信息、有效實(shí)現(xiàn)組織機(jī)構(gòu)目標(biāo)、有效地使用資源、包含有效內(nèi)部控制以提供運(yùn)營(yíng)和控制目標(biāo)得到滿(mǎn)足的合理保障。（國(guó)際ISACA協(xié)會(huì)）又稱(chēng)IT審計(jì)。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)的定義116信息系統(tǒng)審計(jì)的三大目標(biāo)從以上信息系統(tǒng)審計(jì)的定義，可知信息系統(tǒng)審計(jì)項(xiàng)目依目標(biāo)不同，有三大類(lèi)：信息系統(tǒng)安全審計(jì)（安全性）信息系統(tǒng)可靠性審計(jì)（可靠性）信息系統(tǒng)績(jī)效審計(jì)（經(jīng)濟(jì)性）信息系統(tǒng)審計(jì)的三大目標(biāo)從以上信息系統(tǒng)審計(jì)的定義，可知信息系統(tǒng)117信息系統(tǒng)審計(jì)的內(nèi)涵IT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。主體：第三方審計(jì)師遵循相關(guān)標(biāo)準(zhǔn)（COBIT、信息系統(tǒng)審計(jì)指南）對(duì)信息系統(tǒng)的規(guī)劃、開(kāi)發(fā)、使用維護(hù)等一系列活動(dòng)及產(chǎn)物進(jìn)行檢查和評(píng)估。信息系統(tǒng)審計(jì)的內(nèi)涵IT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀118信息系統(tǒng)審計(jì)的要點(diǎn)：信息系統(tǒng)審計(jì)的對(duì)象是計(jì)算機(jī)為核心的信息系統(tǒng)。信息系統(tǒng)審計(jì)的目的是促使信息系統(tǒng)安全、可靠和有效。信息系統(tǒng)審計(jì)是一個(gè)過(guò)程，需要審計(jì)師的專(zhuān)業(yè)評(píng)價(jià)與判斷。信息系統(tǒng)審計(jì)的要點(diǎn)：119管理政策組織結(jié)構(gòu)服務(wù)器、工作站、打印機(jī)網(wǎng)線(xiàn)交換機(jī)/HUB……Windows/UNIXOracle數(shù)據(jù)庫(kù)信息系統(tǒng)邏輯結(jié)構(gòu)示意圖財(cái)務(wù)報(bào)表銷(xiāo)售收入1000萬(wàn)……會(huì)計(jì)核算系統(tǒng)銷(xiāo)售業(yè)務(wù)系統(tǒng)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃信息資產(chǎn)保護(hù)人管理政策組織結(jié)構(gòu)服務(wù)器、工作站、打印機(jī)網(wǎng)線(xiàn)交換機(jī)/HUB……120從構(gòu)成要素上來(lái)看，信息系統(tǒng)有以下組成部分：硬件軟件網(wǎng)絡(luò)數(shù)據(jù)人管理制度從構(gòu)成要素上來(lái)看，信息系統(tǒng)有以下組成部分：121信息系統(tǒng)審計(jì)的兩大主題內(nèi)容審計(jì)本質(zhì)是一種控制，從控制的角度來(lái)看信息系統(tǒng)，通常區(qū)分為信息系統(tǒng)一般控制與應(yīng)用控制。兩者的作用與范圍不同。信息系統(tǒng)一般控制審計(jì)（GC）信息系統(tǒng)應(yīng)用控制審計(jì)（AC）信息系統(tǒng)審計(jì)的兩大主題內(nèi)容審計(jì)本質(zhì)是一種控制122一般控制（GC）確認(rèn)應(yīng)用系統(tǒng)恰當(dāng)開(kāi)發(fā)或?qū)嵤?，確保程序與數(shù)據(jù)文件的完整性，確保信息系統(tǒng)良好運(yùn)作。一般控制的控制措施適用于所有應(yīng)用系統(tǒng)，是一種環(huán)境上的保證。應(yīng)用控制（AC）與具體的應(yīng)用系統(tǒng)有關(guān)，確保數(shù)據(jù)處理完整和正確。應(yīng)用控制的設(shè)計(jì)結(jié)合具體業(yè)務(wù)進(jìn)行。一般控制（GC）123一般控制與應(yīng)用控制的關(guān)系應(yīng)用控制的有效性取決于一般控制的有效性一般控制是應(yīng)用控制的基礎(chǔ)，當(dāng)一般控制薄弱時(shí)，應(yīng)用控制無(wú)法提供合理保障一般控制與應(yīng)用控制的關(guān)系應(yīng)用控制的有效性取決于一般控制的有效124一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）一般控制審計(jì)的五大內(nèi)容評(píng)估IT治理結(jié)構(gòu)的效果，確保董事會(huì)對(duì)IT決策、IT方向和IT性能的充分控制；評(píng)估IT組織結(jié)構(gòu)和人力資源管理；評(píng)估IT戰(zhàn)略及其起草、批準(zhǔn)、實(shí)施和維護(hù)程序；評(píng)估IT政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實(shí)施和維護(hù)流程；評(píng)估IT資源的投資、使用和配置實(shí)務(wù)；評(píng)估IT外包戰(zhàn)略和政策，以及合同管理實(shí)務(wù)；評(píng)估監(jiān)督和審計(jì)實(shí)務(wù)；保證董事和執(zhí)行層能及時(shí)、充分地獲得有關(guān)的IT績(jī)效信息IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)125一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估擬定的系統(tǒng)開(kāi)發(fā)或采購(gòu)，確保其符合組織發(fā)展目標(biāo)；評(píng)估項(xiàng)目管理框架和項(xiàng)目治理實(shí)務(wù)，確保組織在風(fēng)險(xiǎn)管理基礎(chǔ)上，以成本—效益原則達(dá)成組織的業(yè)務(wù)目標(biāo)；確保項(xiàng)目按項(xiàng)目計(jì)劃進(jìn)行，并有相應(yīng)文檔充分支持；評(píng)估組織相關(guān)系統(tǒng)的控制機(jī)制，確保其符合組織的政策；評(píng)估系統(tǒng)的開(kāi)發(fā)、采購(gòu)和測(cè)試流程，確保其交付符合目標(biāo)；對(duì)系統(tǒng)實(shí)施定期檢查，確保其持續(xù)滿(mǎn)足組織目標(biāo)，并受到有效的內(nèi)部控制；一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)126一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估服務(wù)管理實(shí)務(wù)，確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級(jí)是明確定義并受管理的；評(píng)估運(yùn)營(yíng)管理，保證IT支持職能有效滿(mǎn)足了業(yè)務(wù)要求；評(píng)估數(shù)據(jù)管理實(shí)務(wù)，確保數(shù)據(jù)庫(kù)的完整性和最優(yōu)化；評(píng)估能力的使用和性能監(jiān)控工具與技術(shù)；評(píng)估變更、配置和發(fā)布管理實(shí)務(wù)，確保被詳細(xì)記錄；評(píng)估問(wèn)題和事件管理實(shí)務(wù)，確保所有事件、問(wèn)題和錯(cuò)誤都被及時(shí)記錄，分析和解決評(píng)估IT基礎(chǔ)構(gòu)架（網(wǎng)絡(luò)，軟硬件）功能，確保其對(duì)組織目標(biāo)的支持IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)127一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估邏輯訪問(wèn)控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)的機(jī)密性、完整性、有效性和經(jīng)授權(quán)使用；評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?；評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控，確保信息資產(chǎn)充分安全；評(píng)估保密信息資產(chǎn)的采集、存儲(chǔ)、使用、傳輸和處置程序的流程。IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)128一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA）信息系統(tǒng)審計(jì)的五大內(nèi)容評(píng)估備份和恢復(fù)準(zhǔn)備的充分性，確?；謴?fù)運(yùn)營(yíng)所需信息的有效性和可用性；評(píng)估組織的災(zāi)難恢復(fù)計(jì)劃，確保一旦發(fā)生災(zāi)難，IT處理能力可以及時(shí)恢復(fù)；評(píng)估組織的業(yè)務(wù)連續(xù)性計(jì)劃，確保IT服務(wù)中斷期間，基本業(yè)務(wù)運(yùn)營(yíng)不間斷的能力。IT治理開(kāi)發(fā)或采購(gòu)審計(jì)運(yùn)行與維護(hù)審計(jì)安全審計(jì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃一般控制審計(jì)的內(nèi)容源自：CISAManual（國(guó)際信息系統(tǒng)129應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)參數(shù)控制應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)參數(shù)控制130應(yīng)用控制審計(jì)的內(nèi)容用戶(hù)權(quán)限管理的基本原則：職責(zé)分離原則。對(duì)于同一組不相容權(quán)限，任何用戶(hù)不能同時(shí)具有兩種（或兩種以上）的權(quán)限。未明確允許即禁止原則：除非用戶(hù)有對(duì)于權(quán)限的需求得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn)，否則不應(yīng)當(dāng)授予用戶(hù)任何權(quán)限。需求導(dǎo)向及最小授權(quán)原則：對(duì)于用戶(hù)的權(quán)限，應(yīng)當(dāng)以其實(shí)際工作需要為依據(jù)，且僅應(yīng)當(dāng)授予能夠完成其工作任務(wù)的最小權(quán)限。應(yīng)用控制審計(jì)的內(nèi)容用戶(hù)權(quán)限管理的基本原則：131信息中心的職責(zé)分離矩陣信息中心的職責(zé)分離矩陣132人力資源系統(tǒng)職責(zé)分離矩陣

人力資源系統(tǒng)職責(zé)分離矩陣123456序號(hào)業(yè)務(wù)活動(dòng)配置工資基本設(shè)置人事工資主數(shù)據(jù)維護(hù)考勤記錄考勤審核工資計(jì)算及發(fā)放計(jì)算工資獎(jiǎng)金發(fā)放審批1配置工資基本設(shè)置

XXXXX2人事工資主數(shù)據(jù)維護(hù)X

X

X3考勤記錄X

X

X4考勤審核XXX

X

5工資計(jì)算及發(fā)放計(jì)算X

X

X6工資獎(jiǎng)金發(fā)放審批XXX

X

人力資源系統(tǒng)職責(zé)分離矩陣人力資源系統(tǒng)職責(zé)分離矩陣1133應(yīng)用控制審計(jì)的內(nèi)容輸入控制應(yīng)用控制審計(jì)的內(nèi)容輸入控制134應(yīng)用控制審計(jì)的內(nèi)容處理控制應(yīng)用控制審計(jì)的內(nèi)容處理控制135應(yīng)用控制審計(jì)的內(nèi)容輸出控制應(yīng)用控制審計(jì)的內(nèi)容輸出控制136應(yīng)用控制審計(jì)的內(nèi)容應(yīng)用控制審計(jì)的內(nèi)容137應(yīng)用控制審計(jì)的內(nèi)容參數(shù)控制審計(jì)參數(shù)設(shè)置的正確性（合法性）參數(shù)調(diào)整的審批流程與權(quán)限參數(shù)調(diào)整的軌跡應(yīng)用控制審計(jì)的內(nèi)容參數(shù)控制審計(jì)138應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)自動(dòng)接口手動(dòng)接口環(huán)節(jié)應(yīng)用控制審計(jì)的內(nèi)容接口審計(jì)139應(yīng)用控制審計(jì)的流程應(yīng)用控制審計(jì)的流程140IT治理IT治理是董事會(huì)和最高管理層的職責(zé)，是企業(yè)治理的重要組成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。IT治理IT治理是董事會(huì)和最高管理層的職責(zé)，是企業(yè)治理的重要141IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。IT治理的使命保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益142IT治理的目標(biāo)IT治理應(yīng)著眼于以下目標(biāo)：1、與業(yè)務(wù)目標(biāo)一致原則：服從于企業(yè)戰(zhàn)略，不能背離2、有效利用信息資源IT治理的使命：通過(guò)及時(shí)、有效的IT治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化3、風(fēng)險(xiǎn)管理通過(guò)IT治理：構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策；使風(fēng)險(xiǎn)透明化；有效的風(fēng)險(xiǎn)投資、管理和控制；風(fēng)險(xiǎn)的防范措施。實(shí)現(xiàn)：平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)，確保組織目標(biāo)的實(shí)現(xiàn)。IT治理的目標(biāo)IT治理應(yīng)著眼于以下目標(biāo)：143IT治理的關(guān)鍵問(wèn)題IT治理的關(guān)鍵問(wèn)題表現(xiàn)在：1、IT投資是否與企業(yè)經(jīng)營(yíng)在戰(zhàn)略目標(biāo)、策略和運(yùn)營(yíng)層面相融合，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力；2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用；3、在長(zhǎng)期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價(jià)值；4、是否有有效的風(fēng)險(xiǎn)管理機(jī)制。

其中最關(guān)鍵的問(wèn)題是第一點(diǎn)：IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。IT治理的關(guān)鍵問(wèn)題IT治理的關(guān)鍵問(wèn)題表現(xiàn)在：144IT治理框架構(gòu)建IT治理框架包含三個(gè)方面:組織機(jī)構(gòu)流程溝通機(jī)制IT治理框架構(gòu)建IT治理框架包含三個(gè)方面:1451、組織結(jié)構(gòu)（1）IT治理最高管理層（董事會(huì)）。IT戰(zhàn)略的總體制定與決策者，負(fù)責(zé)指引信息化的方向與戰(zhàn)略制定，平衡支持企業(yè)和使企業(yè)成長(zhǎng)的投資。（2）IT治理委員會(huì)。向董事會(huì)負(fù)責(zé)，解決設(shè)計(jì)標(biāo)準(zhǔn)的問(wèn)題，負(fù)責(zé)確立IT戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項(xiàng)目并監(jiān)督結(jié)果。IT治理委員會(huì)責(zé)任：政策制定；控制(預(yù)算通過(guò)，項(xiàng)目權(quán)限，績(jī)效評(píng)價(jià))；績(jī)效度量和報(bào)告。

1、組織結(jié)構(gòu)（1）IT治理最高管理層（董事會(huì)）。146（3）CIO（首席信息官）CIO崗位的職責(zé):發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃;開(kāi)發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門(mén)的應(yīng)用開(kāi)發(fā);保障IT基礎(chǔ)設(shè)施和體系架構(gòu)的運(yùn)行及投資;決定IT服務(wù)和技能服務(wù)；建立關(guān)鍵的IT供應(yīng)