1、2022-10-27信息系统审计1信息系统审计信息系统审计 主讲:主讲:陈耿陈耿 2022-10-27信息系统审计26 管理软件系统审计管理软件系统审计管理软件系统审计属于信息系统真实性审计。管理软件系统审计属于信息系统真实性审计。它与传统审计相辅相成,从不同的角度鉴证企业数据的合法它与传统审计相辅相成,从不同的角度鉴证企业数据的合法性与真实性。性与真实性。讨论:讨论:1 1、结合超市案例,讨论为什么传统审计会出现、结合超市案例,讨论为什么传统审计会出现“假帐真假帐真审审”现象?现象?2 2、信息系统审计,特别是管理软件审计为什么可以弥补、信息系统审计,特别是管理软件审计为什么可以弥补传统审计
2、的不足?传统审计的不足?3 3、结合、结合P103P103,109109案例,说明访问安全与企业风险的关案例,说明访问安全与企业风险的关系?系?2022-10-27信息系统审计36 管理软件系统审计管理软件系统审计一、管理软件系统概述一、管理软件系统概述 二、访问控制审计二、访问控制审计 三、账务信息系统审计三、账务信息系统审计 四、财务报表信息系统审计四、财务报表信息系统审计 2022-10-27信息系统审计46.1 管理软件系统概述管理软件系统概述 信息与数据信息与数据:计算机擅长处理高量度的信息(结构化数据)。在企计算机擅长处理高量度的信息(结构化数据)。在企业管理软件系统中的信息主要是
3、结构化数据(如数据库中业管理软件系统中的信息主要是结构化数据(如数据库中的数据)和半结构化数据的数据)和半结构化数据(如网页中的数据如网页中的数据)。因此,我们对。因此,我们对管理软件系统审计的目的是鉴证其中的数据的真实性。管理软件系统审计的目的是鉴证其中的数据的真实性。2022-10-27信息系统审计56.1 管理软件系统概述管理软件系统概述 管理软件系统管理软件系统:数据处理系统数据处理系统 管理软件系统管理软件系统 决策支持系统决策支持系统 企业资源计划等企业资源计划等2022-10-27信息系统审计66.1 管理软件系统概述管理软件系统概述 数据处理系统数据处理系统:面向企业业务的信息
4、系统,侧重数据处理,不考面向企业业务的信息系统,侧重数据处理,不考虑信息的综合管理和共享。虑信息的综合管理和共享。2022-10-27信息系统审计76.1 管理软件系统概述管理软件系统概述 管理信息系统管理信息系统 :面向企业管理的信息系统,追求整个组织的、周期性面向企业管理的信息系统,追求整个组织的、周期性的报表信息流通体系,解决例行的、程序化的决策问题。的报表信息流通体系,解决例行的、程序化的决策问题。2022-10-27信息系统审计86.1 管理软件系统概述管理软件系统概述 决策支持系统决策支持系统:是面向企业决策的信息系统,辅助决策者进行非程序是面向企业决策的信息系统,辅助决策者进行非
5、程序化决策,即帮助解决半结构化和非结构化决策问题,但不化决策,即帮助解决半结构化和非结构化决策问题,但不着眼于结构化数据处理或信息管理问题。着眼于结构化数据处理或信息管理问题。2022-10-27信息系统审计96.1 管理软件系统概述管理软件系统概述 企业资源规划企业资源规划:从本质上看从本质上看,ERP仍然是以仍然是以MRP为核心为核心,但在功能和技术上却超但在功能和技术上却超越了传统的越了传统的MRP。它是以顾客驱动的、基于时间的、面向整个供应。它是以顾客驱动的、基于时间的、面向整个供应链管理的企业资源计划。它在企业资源最优化配置的前提下,整合企链管理的企业资源计划。它在企业资源最优化配置
6、的前提下,整合企业内部主要或所有的经营活动,包括财务会计、管理会计、生产计划业内部主要或所有的经营活动,包括财务会计、管理会计、生产计划及管理、物料管理、销售与分销等主要功能模块,以达到效率化经营及管理、物料管理、销售与分销等主要功能模块,以达到效率化经营的目标。的目标。2022-10-27信息系统审计106.1 管理软件系统概述管理软件系统概述 讨论讨论:1、企业不同功能的软件,其使用人员不同,相应的安全管理措施、企业不同功能的软件,其使用人员不同,相应的安全管理措施一样吗?为什么?一样吗?为什么?2、同理,企业的信息系统审计策略和内容一样吗?为什么?、同理,企业的信息系统审计策略和内容一样
7、吗?为什么?2022-10-27信息系统审计116.1 管理软件系统概述管理软件系统概述 管理软件系统的体系架构管理软件系统的体系架构:1、单机模式、单机模式 2、中央集中模式、中央集中模式 3、C/S模式模式 4、B/S模式模式2022-10-27信息系统审计126.1 管理软件系统概述管理软件系统概述 讨论:讨论:管理软件的体系架构不同,安全管理措施和审计管理软件的体系架构不同,安全管理措施和审计策略一样吗?为什么?策略一样吗?为什么?2022-10-27信息系统审计136.1 管理软件系统概述管理软件系统概述 审计内容审计内容:1、了解管理软件系统、了解管理软件系统 2、管理软件系统安全
8、性审计、管理软件系统安全性审计 3、密码控制、密码控制 4、访问控制审计、访问控制审计 5、财务数据真实性审计、财务数据真实性审计2022-10-27信息系统审计146.2 访问控制审计访问控制审计 二、访问控制策略二、访问控制策略:DAC,自主型访问控制策略(,自主型访问控制策略(discretionary access control)MAC,强制型访问控制方策略(,强制型访问控制方策略(mandatory access control)RBAC,基于角色的访问控制策略(,基于角色的访问控制策略(role-based access control)2022-10-27信息系统审计156.2
9、 访问控制审计访问控制审计 1、自主访问控制、自主访问控制:目录表访问控制目录表访问控制 访问控制列表访问控制列表 访问控制矩阵访问控制矩阵 2022-10-27信息系统审计166.2 访问控制审计访问控制审计 2、强制访问控制:、强制访问控制:下读下读/上写上写 上读上读/下写下写 2022-10-27信息系统审计176.2 访问控制审计访问控制审计 3、基于角色的访问控制、基于角色的访问控制:(1)用户集:包括系统中可以执行操作用户,是主动的实体。)用户集:包括系统中可以执行操作用户,是主动的实体。(2)对象集:)对象集:包含系统需要保护的信息,是系统中被动的实体。包含系统需要保护的信息,
10、是系统中被动的实体。(3)操作集:是定义在对象上的一组操作。)操作集:是定义在对象上的一组操作。(4)特权集:对象上的一组操作构成了一个特权,特权是不可分)特权集:对象上的一组操作构成了一个特权,特权是不可分割的最小单元,一旦将某个特权分配给用户,该用户可以执行特权中割的最小单元,一旦将某个特权分配给用户,该用户可以执行特权中包括的所有操作。包括的所有操作。(5)会话集:会话表示的是用户和角色之间的关系。用户每次必)会话集:会话表示的是用户和角色之间的关系。用户每次必须通过建立会话来激活角色,得到相应的访问权限。须通过建立会话来激活角色,得到相应的访问权限。2022-10-27信息系统审计18
11、6.2 访问控制审计访问控制审计 基于角色的访问控制基于角色的访问控制 用户分配(UA)操作集对象集用户集角色集会话集特权分配(PA)特权集用户登录角色激活2022-10-27信息系统审计196.2 访问控制审计访问控制审计 结合案例讨论结合案例讨论:1、访问安全技术与管理措施(包括审计措施)之间是什么关系?、访问安全技术与管理措施(包括审计措施)之间是什么关系?为什么?为什么?2、不同的访问策略可能给企业造成的风险是什么?、不同的访问策略可能给企业造成的风险是什么?2022-10-27信息系统审计206.2 访问控制审计访问控制审计 审计内容审计内容:1、访问控制的业务要求:控制对信息的访问
12、。、访问控制的业务要求:控制对信息的访问。2、用户职责:、用户职责:防止未授权的用户访问、危害或窃取信息和信息处理防止未授权的用户访问、危害或窃取信息和信息处理设施。设施。3、应用和信息访问控制:防止对信息系统持有信息的未授权访问。应用和信息访问控制:防止对信息系统持有信息的未授权访问。4、安全策略、标准以及技术符合性:确保系统符合组织的安全策略及、安全策略、标准以及技术符合性:确保系统符合组织的安全策略及标准。标准。2022-10-27信息系统审计216.3 账务信息系统审计账务信息系统审计 三、账务系统的功能与结构三、账务系统的功能与结构:了解账务系统的功能与结构是进行信息系统审计的前提了
13、解账务系统的功能与结构是进行信息系统审计的前提 2022-10-27信息系统审计226.3 账务信息系统审计账务信息系统审计 结合案例讨论:医院的两套财务帐案例结合案例讨论:医院的两套财务帐案例 如何对财务软件进行审计呢?如何对财务软件进行审计呢?2022-10-27信息系统审计23订单处理开单处理销售分析销售系统资金接收会计应收资金支付会计应付库存管理采购管理工资管理员工管理考勤考核人力资源系统采购系统结转处理结账科目设置账簿设置初 始 化 功能记账功能期末处理功能 总账明细帐日记帐2022-10-27信息系统审计246.3 账务信息系统审计账务信息系统审计 三、账务系统的功能与结构三、账务
14、系统的功能与结构:1、系统初始化、系统初始化 2、记账处理、记账处理 3、期末业务处理、期末业务处理 4、系统管理与维护、系统管理与维护 2022-10-27信息系统审计256.3 账务信息系统审计账务信息系统审计 1、系统初始化、系统初始化:初始化的概念初始化的概念 会计前期数据收集与输入会计前期数据收集与输入 科目与账簿体系的设置科目与账簿体系的设置 控制信息的设置控制信息的设置 2022-10-27信息系统审计266.3 账务信息系统审计账务信息系统审计 2、科目与账簿设置:、科目与账簿设置:科目的概念科目的概念 科目的分类科目的分类 科目编码的原则科目编码的原则 科目编码、属性设置与账
15、簿设置科目编码、属性设置与账簿设置 2022-10-27信息系统审计276.3 账务信息系统审计账务信息系统审计 3、期末业务处理、期末业务处理:期末的摊、提、结转业务处理期末的摊、提、结转业务处理 自动转账凭证的设置自动转账凭证的设置 试算平衡和对账试算平衡和对账 结账结账2022-10-27信息系统审计286.3 账务信息系统审计账务信息系统审计 审计内容审计内容:了解账务信息系统中的用户管理,口令管理,权限设置了解账务信息系统中的用户管理,口令管理,权限设置等情况,以便掌握企业信息系统的内部控制水平等情况,以便掌握企业信息系统的内部控制水平。2022-10-27信息系统审计296.4 财
16、务报表信息系统审计财务报表信息系统审计 四、财务报表简述:四、财务报表简述:财务报表的定义财务报表的定义 财务报表的作用财务报表的作用 会计报表的分类会计报表的分类 2022-10-27信息系统审计306.4 财务报表信息系统审计财务报表信息系统审计 报表生成原理报表生成原理:账务数据类型表账务数据类型表 生成公式生成公式 利润表的生成利润表的生成2022-10-27信息系统审计316.4 财务报表信息系统审计财务报表信息系统审计 审计内容:审计内容:信息系统审计师只要抓住了信息系统审计师只要抓住了“财务数据类型表财务数据类型表”和和“生成公生成公式式”这两个核心概念,财务报表子系统真实性、合
17、法性审计这两个核心概念,财务报表子系统真实性、合法性审计问题便迎刃而解。问题便迎刃而解。2022-10-27信息系统审计326.4 财务报表信息系统审计财务报表信息系统审计 核心问题讨论:核心问题讨论:1、电子财务报表合法性与传统财务报表合法性的关系?、电子财务报表合法性与传统财务报表合法性的关系?2、电子财务报表的真实性与传统财务报表真实性的关系?、电子财务报表的真实性与传统财务报表真实性的关系?3、电子财务报表的有效性与传统财务报表有效性的关系?、电子财务报表的有效性与传统财务报表有效性的关系?2022-10-27信息系统审计336.4 财务报表信息系统审计财务报表信息系统审计 作业:作业:1、用财务软件生成一张财务报表。、用财务软件生成一张财务报表。2、电子财务报表的合法性体现在哪里?信息系统审计师应该如何去审计。、电子财务报表的合法性体现在哪里?信息系统审计师应该如何去审计。3、电子财务报表的真实性体现在哪里?信息系统审计师应该如何去审计。、电子财务报表的真实性体现在哪里?信息系统审计师应该如何去审计。4、电子财务报表的有效性体现在哪里?信息系统审计师应该如何去审计。、电子财务报表的有效性体现在哪里?信息系统审计师应该如何去审计。
