第6章 信息系統(tǒng)審計

第6章

信息系統(tǒng)審計6-2本章學(xué)習(xí)目標(biāo)理解為什么需要開展信息系統(tǒng)審計？掌握信息系統(tǒng)審計的內(nèi)涵、內(nèi)容及步驟掌握一般控制審計的原理、內(nèi)容及應(yīng)用掌握應(yīng)用控制審計的原理、內(nèi)容及應(yīng)用6-3概述：信息系統(tǒng)審計的重要性信息系統(tǒng)審計簡介信息系統(tǒng)一般控制及審計信息系統(tǒng)應(yīng)用控制及審計IT治理審計信息系統(tǒng)審計準(zhǔn)則與規(guī)范本章主要內(nèi)容6-4信息系統(tǒng)審計的重要性6-5信息系統(tǒng)內(nèi)部控制是指一個單位在信息系統(tǒng)環(huán)境下，為了確保業(yè)務(wù)活動的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，確保信息系統(tǒng)提供真實(shí)、合法、完整的信息，而制定和實(shí)施的一系列政策、程序和措施。信息系統(tǒng)內(nèi)部控制6-6信息系統(tǒng)內(nèi)部控制分類方法6-7信息系統(tǒng)內(nèi)部控制分類方法（依據(jù)控制層次）6-8信息系統(tǒng)內(nèi)部控制分類方法（依據(jù)技術(shù)和管理的視角）6-9一般控制審計應(yīng)用控制審計IT治理審計信息系統(tǒng)審計主要內(nèi)容分類6-10信息系統(tǒng)審計的基本步驟審計準(zhǔn)備階段審計實(shí)施階段審計報告形成階段審計結(jié)果執(zhí)行階段6-11簡單地講，信息系統(tǒng)一般控制是除了信息系統(tǒng)應(yīng)用程序控制以外的其他控制，它應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。其基本目標(biāo)為：防止系統(tǒng)被非法侵入、保護(hù)信息系統(tǒng)、確保數(shù)據(jù)安全、保證在意外情況下的持續(xù)運(yùn)行等。信息系統(tǒng)一般控制簡介6-12根據(jù)以上信息系統(tǒng)一般控制的主要內(nèi)容及目標(biāo)，信息系統(tǒng)一般控制審計的主要內(nèi)容一般包括等。信息系統(tǒng)一般控制審計的主要內(nèi)容信息系統(tǒng)開發(fā)、測試和維護(hù)審計信息系統(tǒng)運(yùn)行管理審計信息系統(tǒng)安全審計業(yè)務(wù)連續(xù)性管理審計IT外包審計6-13信息系統(tǒng)開發(fā)、測試和維護(hù)審計信息系統(tǒng)開發(fā)、測試和維護(hù)審計的主要目的是：檢查信息系統(tǒng)開發(fā)、測試和維護(hù)的方法和程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂啤z查信息系統(tǒng)開發(fā)、測試和維護(hù)過程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。確保信息系統(tǒng)開發(fā)、測試和維護(hù)目標(biāo)的實(shí)現(xiàn)。6-14信息系統(tǒng)開發(fā)、測試和維護(hù)審計6-15信息系統(tǒng)開發(fā)、測試和維護(hù)審計6-16信息系統(tǒng)開發(fā)、測試和維護(hù)審計6-17信息系統(tǒng)運(yùn)行管理審計信息系統(tǒng)運(yùn)行管理主是對上線系統(tǒng)的日常運(yùn)行進(jìn)行管理。系統(tǒng)的日常運(yùn)行要與系統(tǒng)開發(fā)和維護(hù)分離，確保一個單位信息科技部門內(nèi)部的崗位制約。6-18信息系統(tǒng)運(yùn)行管理審計6-19信息系統(tǒng)運(yùn)行管理審計6-20信息系統(tǒng)安全審計信息系統(tǒng)安全是通過維護(hù)信息系統(tǒng)中信息的機(jī)密性、完整性和可用性，來管理和保護(hù)一個單位所有的信息資產(chǎn)。信息系統(tǒng)安全涉及到管理、人員、技術(shù)等各個方面，因此，信息系統(tǒng)安全主要包含：管理安全（如安全管理制度與管理組織）人員安全技術(shù)安全（如計算機(jī)機(jī)房、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)通訊、軟件、硬件等）6-21信息系統(tǒng)安全審計6-22信息系統(tǒng)安全審計6-23業(yè)務(wù)連續(xù)性管理審計業(yè)務(wù)連續(xù)性管理是為了防止業(yè)務(wù)活動中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)失效或自然災(zāi)害的影響，將意外事件或?yàn)?zāi)難對業(yè)務(wù)的影響降低到最低水平。業(yè)務(wù)連續(xù)性管理包括識別和降低風(fēng)險，制訂連續(xù)性計劃，建立應(yīng)對意外事件或?yàn)?zāi)難的響應(yīng)與恢復(fù)機(jī)制，測試和檢查業(yè)務(wù)連續(xù)性計劃的有效性與合規(guī)性，維護(hù)業(yè)務(wù)連續(xù)性計劃。6-24業(yè)務(wù)連續(xù)性管理審計6-25業(yè)務(wù)連續(xù)性管理審計6-26IT外包審計為了滿足需要，一些單位除了依靠內(nèi)部力量開發(fā)一些信息系統(tǒng)，還常常會依靠外部力量開發(fā)一些信息系統(tǒng)，這些依靠外部力量開發(fā)信息系統(tǒng)被稱為IT外包。IT外包審計主要審計被審計單位在進(jìn)行信息系統(tǒng)外包時是否按照風(fēng)險控制的原則，合理確定外包的范圍和內(nèi)容，分析和評估外包風(fēng)險，建立健全相關(guān)規(guī)章制度，制定風(fēng)險防范措施。

6-27IT外包審計6-28IT外包審計6-29信息系統(tǒng)應(yīng)用控制及審計信息系統(tǒng)應(yīng)用控制是為了適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制，它針對的是與信息系統(tǒng)應(yīng)用相關(guān)的事務(wù)和數(shù)據(jù)，目的是確保數(shù)據(jù)的準(zhǔn)確性、完整性、有效性、可驗(yàn)證性、可靠性和一致性。6-30信息系統(tǒng)應(yīng)用控制及審計——應(yīng)用控制的主要內(nèi)容輸入控制處理控制輸出控制6-31應(yīng)用控制審計基本步驟6-32應(yīng)用控制審計案例步驟6-33應(yīng)用控制審計案例步驟——業(yè)務(wù)流程分析6-34應(yīng)用控制審計案例步驟——應(yīng)用控制識別6-35應(yīng)用控制審計案例步驟——應(yīng)用控制測試6-36應(yīng)用控制審計案例步驟——應(yīng)用控制測試6-37應(yīng)用控制審計案例步驟——應(yīng)用控制測試6-38應(yīng)用控制審計案例步驟——控制缺陷確認(rèn)和審計報告撰寫6-39IT治理審計高級管理層情況信息科技（或信息管理）部門情況知識產(chǎn)權(quán)保護(hù)工作情況IT（信息技術(shù)）治理用于描述一個單位是否采取有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風(fēng)險，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理是高級管理層的責(zé)任，考慮領(lǐng)導(dǎo)層，組織結(jié)構(gòu)以確保業(yè)務(wù)目標(biāo)和IT目標(biāo)一致。6-40IT治理審計案例6-41IT治理審計案例6-42IT治理審計案例6-43信息系統(tǒng)審計準(zhǔn)則與規(guī)范SOX法案COSO內(nèi)部控制框架COBITGTAG6-44信息系統(tǒng)審計準(zhǔn)則與規(guī)范6-45課程思政教學(xué)案例隨著大數(shù)據(jù)、云計算、移動互聯(lián)等技術(shù)的發(fā)展與應(yīng)用，為了適用于新型網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)要求，2019年5月10日，國家標(biāo)準(zhǔn)化管理委員會發(fā)布了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》。2022年1月，中國人民銀行印發(fā)的《金融科技發(fā)展規(guī)劃(2022—2025年)》明確提出“加快監(jiān)管科技的全方位應(yīng)用，強(qiáng)化數(shù)字化監(jiān)管能力建設(shè)”，“筑牢金融與科技的風(fēng)險防火墻”。信息系統(tǒng)審計對我國防范化解風(fēng)險具有重要意義6-46什么是信息系統(tǒng)審計?什么是一般控制審計和應(yīng)用控制審計?一般控制和應(yīng)用控制有什么關(guān)系?為什么需要了解信息系統(tǒng)審計準(zhǔn)則與規(guī)范?如何開展信息系統(tǒng)審計?在實(shí)際的審計工作中,如何把信息系統(tǒng)審計和電子數(shù)據(jù)審計結(jié)合起來?思考題相關(guān)參考書6-47陳偉．《審計信息化（第二版）》，高等教育出版社，2022年陳偉．《大數(shù)據(jù)審計》，中國人民大學(xué)出版社，2021年陳偉．《智能審計》，機(jī)械工業(yè)出版社，2021年陳偉．《信息系統(tǒng)審計》，高等教育出版社，2020年陳偉．《計算機(jī)輔助審計原理及應(yīng)用（第四版）——大數(shù)據(jù)審計基礎(chǔ)》，清華大學(xué)出版社，2020年陳偉．《大數(shù)據(jù)審計理論、方法與應(yīng)用》，科學(xué)出版社，2019