1、NANJING AUDIT UNIVERSITY本课程主要内容本课程主要内容:信息系统审计概论信息系统审计概论IT治理审计治理审计信息系统架构控制与审计信息系统架构控制与审计信息系统开发及审计信息系统开发及审计信息系统运营与维护审计信息系统运营与维护审计信息安全控制与审计信息安全控制与审计信息系统审计技术方法信息系统审计技术方法信息系统审计信息系统审计NANJING AUDIT UNIVERSITY信息系统审计概论信息系统审计概论 ISA的定义、目标、内容、信息系统审计风险、信息的定义、目标、内容、信息系统审计风险、信息 系统控制与审计、审计程序,以及信息系统审计的准则、系统控制与审计、审计程
2、序,以及信息系统审计的准则、控制模型等。控制模型等。本章主要介绍有关信息系统审计的基本概念和基本理本章主要介绍有关信息系统审计的基本概念和基本理论。论。IT治理审计治理审计 通过本章的学习,信息系统审计师理解评估信息系统通过本章的学习,信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。管理、计划和组织的战略、政策、标准、程序和相关实务。确保组织拥有适当的结构、政策、工作职责、运营管理机确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对制和监督实务,以达到公司治理中对IT 方面的要求方面的要求。NANJING AUDIT UNIVE
3、RSITY信息系统架构控制与审计信息系统架构控制与审计 一个组织要建立信息系统,就需要有效地建立、控制一个组织要建立信息系统,就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍和管理好其信息技术基础架构。本章主要介绍学习如何正学习如何正确评价组织的信息技术基础设施和运行管理(日常运行事确评价组织的信息技术基础设施和运行管理(日常运行事务、系统执行与监控)的效果和效率。务、系统执行与监控)的效果和效率。信息系统开发及审计信息系统开发及审计 信息系统开发过程中的问题和错误会产生信息系统开发过程中的问题和错误会产生“积累放大积累放大”效应,并会使企业付出高昂的代价。因此,通过对信息系效应
4、,并会使企业付出高昂的代价。因此,通过对信息系统开发过程中每个阶段的跟踪审计,及时发现每个阶段的统开发过程中每个阶段的跟踪审计,及时发现每个阶段的错误,并得到及时修正,从而保障整个信息系统的质量。错误,并得到及时修正,从而保障整个信息系统的质量。NANJING AUDIT UNIVERSITY信息系统运营与维护审计信息系统运营与维护审计 保证一个组织已经建立的信息系统能高效的为其服务,保证一个组织已经建立的信息系统能高效的为其服务,离不开对其良好的操作、离不开对其良好的操作、运行管理(日常运行事务、系统运行管理(日常运行事务、系统执行与监控)执行与监控)和维护,使其保持最佳的运行状态。因此,和
5、维护,使其保持最佳的运行状态。因此,对信息系统运行和维护过程的审计非常重要,是对整个信对信息系统运行和维护过程的审计非常重要,是对整个信息系统实现高效服务的保障。本章即介绍信息系统运营和息系统实现高效服务的保障。本章即介绍信息系统运营和维护过程的审计维护过程的审计。信息系统安全控制与审计信息系统安全控制与审计 信息技术环境下信息系统的脆弱性和威胁,使信息系信息技术环境下信息系统的脆弱性和威胁,使信息系统及其产生的信息存在信息安全风险。本章主要介绍如何统及其产生的信息存在信息安全风险。本章主要介绍如何对信息系统进行安全审计与控制,从而使信息系统的风险对信息系统进行安全审计与控制,从而使信息系统的
6、风险降到最低。降到最低。NANJING AUDIT UNIVERSITY信息系统审计技术与方法信息系统审计技术与方法 面对错综复杂的信息系统和审计环境,向审计人员提面对错综复杂的信息系统和审计环境,向审计人员提出了挑战,审计人员实施审计的难度很大,需要运用许多出了挑战,审计人员实施审计的难度很大,需要运用许多技术、方法和工具来辅助他们进行审计工具。本章即介绍技术、方法和工具来辅助他们进行审计工具。本章即介绍一些有关信息系统审计的技术和方法。一些有关信息系统审计的技术和方法。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论第一节第一节 信息系统审计及
7、其产生与发展信息系统审计及其产生与发展 一、何谓信息系统审计(一、何谓信息系统审计(ISA)?)?国际信息系统审计委员会国际信息系统审计委员会(ISACA)定义:定义:是一个获取是一个获取 并评价证据,以判断计算机系统是否能够保证资并评价证据,以判断计算机系统是否能够保证资 产的安全、数据的完整以及有效率利用组织的资产的安全、数据的完整以及有效率利用组织的资 源并有效果地实现组织目标地过程。源并有效果地实现组织目标地过程。日本通产省情报处理开发协会信息系统审计委员会定日本通产省情报处理开发协会信息系统审计委员会定 义为:义为:为了信息系统的安全、可靠与有效,由独为了信息系统的安全、可靠与有效,
8、由独 立于审计对象的信息系统审计师,以第三方的客立于审计对象的信息系统审计师,以第三方的客 观立场对以计算机为核心的信息系统进行综合的观立场对以计算机为核心的信息系统进行综合的 检查与评价,向信息系统审计对象的最高领导,检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动。提出问题与建议的一连串的活动。NANJING AUDIT UNIVERSITY从以上定义可以看出从以上定义可以看出,信息系统审计的两个方面职能信息系统审计的两个方面职能:从外部审计的角度从外部审计的角度,ISA实现实现-监证目标(监证目标(“保证保证”职职能)能)从内部审计的角度从内部审计的角度,ISA实现
9、实现-管理目标(管理目标(“咨询咨询”职职能)能)第一章第一章 信息系统审计概论信息系统审计概论 一般定义一般定义:根据公认的标准和指导规范,对信息系统从计根据公认的标准和指导规范,对信息系统从计 划、研发、实施到运行维护各个环节进行审查评价,对划、研发、实施到运行维护各个环节进行审查评价,对 信息系统及其业务应用的完整、效能、效率、安全性进信息系统及其业务应用的完整、效能、效率、安全性进 行监测、评估和控制的过程,以确认预定的业务目标得行监测、评估和控制的过程,以确认预定的业务目标得 以实现,并提出一系列改进建议的管理活动。以实现,并提出一系列改进建议的管理活动。Ron Weber 定义定义
10、:搜集并评价证据,以判断一个计算机系搜集并评价证据,以判断一个计算机系统统(信息系统信息系统)是否有效的做到保护资产、维护数据完整、是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。完成组织目标,同时最经济的使用资源。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论注:注:ISACA(Information System Audit and Control association,信息系统审计与控制协会,信息系统审计与控制协会):):是最有权威的信息系统审计行业组织,总部设在美国。主要从是最有权威的信息系统审计行业组织,总部
11、设在美国。主要从事事ISA相关理论与实务研究,制定相关相关理论与实务研究,制定相关ISA标准、规范、执业标准、规范、执业指南等;也是唯一有权授予国际信息系统审计师资格的跨国界、指南等;也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。跨行业的专业机构。根据根据ISA概念,应理解:概念,应理解:ISAISA的主体:有胜任能力的信息系统独立审计机构或人员的主体:有胜任能力的信息系统独立审计机构或人员 机构:政府审计机构、内部审计机构、会计和审计事机构:政府审计机构、内部审计机构、会计和审计事 务所、信息化鉴证咨询机构等中介组织务所、信息化鉴证咨询机构等中介组织 人员:注册会计师、审
12、计人员、信息技术人员,等。人员:注册会计师、审计人员、信息技术人员,等。实施实施ISAISA的人员称为:信息系统审计师的人员称为:信息系统审计师 (或或:IT:IT审计师审计师)NANJING AUDIT UNIVERSITYCISA:(Certified Information System Auditor,注册信息系统审计师注册信息系统审计师):):取得取得CISA资格的审计人员,既通晓信息系统的软件、硬件、资格的审计人员,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信
13、息系统的安要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。全性、稳定性和有效性进行审计、检查、评价和改造。第一章第一章 信息系统审计概论信息系统审计概论CISA从事的活动:从事的活动:1、对信息系统的可靠性、安全性、稳定性和有效性进行审对信息系统的可靠性、安全性、稳定性和有效性进行审 计、检查、评价、咨询,并提出建议;计、检查、评价、咨询,并提出建议;2、对信息系统的内部控制和风险进行检查、评价、咨询以对信息系统的内部控制和风险进行检查、评价、咨询以 及提出改进建议。及提出改进建议。NANJING AUDIT UNIVERSITY第一章第一章
14、信息系统审计概论信息系统审计概论 信息系统审计师相关信息系统审计师相关知识和能力要求:知识和能力要求:知识要求知识要求:审计学相关知识审计学相关知识:审计学的基本理论、实务审计学的基本理论、实务 信息系统计划、开发和运营等相关知识:信息系统计划、开发和运营等相关知识:.信息系统构成相关知识;信息系统构成相关知识;信息化战略规划、构想、提案、立项等相关知识;信息化战略规划、构想、提案、立项等相关知识;系统设计、程序设计、软件测试等相关知识;系统设计、程序设计、软件测试等相关知识;系统操作和管理、数据管理等相关知识;系统操作和管理、数据管理等相关知识;信息系统审计实施相关知识:信息系统审计实施相关
15、知识:经营管理方面相关知识;经营管理方面相关知识;信息安全管理相关知识;信息安全管理相关知识;业务对象相关知识;业务对象相关知识;相关法律和法规;相关法律和法规;能力方面要求如下:能力方面要求如下:系统审计的相关能力;系统审计的相关能力;审计的立项、分析、评价相关能力;审计的立项、分析、评价相关能力;信息收集、审核、审计方法掌握、相关技巧运用方面的能力;信息收集、审核、审计方法掌握、相关技巧运用方面的能力;审计报告制作能力;审计报告制作能力;NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论信息系统审计师应该做到信息系统审计师应该做到:严格遵循相关实
16、施准则、程序及控制,遵守相关法规;严格遵循相关实施准则、程序及控制,遵守相关法规;依据职业准则及最佳实践原则要求自己,做到敬业、公正依据职业准则及最佳实践原则要求自己,做到敬业、公正 及审慎;及审慎;以合法的诚实的方式为利益相关者服务,保持高尚的品行,以合法的诚实的方式为利益相关者服务,保持高尚的品行,不从事有损与信息系统审计职业的活动;不从事有损与信息系统审计职业的活动;除非官方要求揭露,必须维护履行职责进程中获得信息的除非官方要求揭露,必须维护履行职责进程中获得信息的 隐私与机密,不用于个人利益或泄露给不适合的组织;隐私与机密,不用于个人利益或泄露给不适合的组织;维持独立性及客观性,获得充
17、分及客观的证据,作出审计维持独立性及客观性,获得充分及客观的证据,作出审计 结论;结论;保持在审计信息系统控制相关领域的技能,完成审计任务;保持在审计信息系统控制相关领域的技能,完成审计任务;审计结果向相关组织、部门和个人报告。审计结果向相关组织、部门和个人报告。NANJING AUDIT UNIVERSITY二、二、ISA特点:特点:ISA是一个过程,贯穿于整个信息系统生命周期;是一个过程,贯穿于整个信息系统生命周期;ISA的对象具有综合性和复杂性;的对象具有综合性和复杂性;ISA拓展了传统审计的目标;拓展了传统审计的目标;ISA是事前、事中、事后审计的综合体;是事前、事中、事后审计的综合体
18、;ISA的内容更加广泛;的内容更加广泛;ISA是一种基于风险基础审计的理论和方法。是一种基于风险基础审计的理论和方法。第一章第一章 信息系统审计概论信息系统审计概论信息系统审计的对象:被审计的信息系统信息系统审计的对象:被审计的信息系统 信息系统审计工作的核心:客观地收集和评估证据信息系统审计工作的核心:客观地收集和评估证据 信息系统审计的目的信息系统审计的目的:对信息系统的可用性、保密性、:对信息系统的可用性、保密性、完整性进行评估并提供反馈、保证及建议完整性进行评估并提供反馈、保证及建议 NANJING AUDIT UNIVERSITY三、三、ISA发展简介发展简介 ISA的发展经历了几个
19、阶段:的发展经历了几个阶段:早期阶段:早期阶段:手工审计阶段(绕过计算机阶段)手工审计阶段(绕过计算机阶段)萌芽阶段:萌芽阶段:EDP(电子数据处理)审计阶段电子数据处理)审计阶段 发展阶段:发展阶段:信息系统审计阶段信息系统审计阶段 第一章第一章 信息系统审计概论信息系统审计概论 ISA发展处于领先的国家:发展处于领先的国家:美国、日本、加拿大,等美国、日本、加拿大,等 我国我国ISA的发展:的发展:起步于:起步于:20世纪世纪80年代年代 目前状况:目前状况:处于处于EDP审计阶段审计阶段 “金审工程金审工程”简介:简介:(参见教材)(参见教材)NANJING AUDIT UNIVERSI
20、TY第一章第一章 信息系统审计概论信息系统审计概论第二节第二节 信息系统审计的目标、依据和内容信息系统审计的目标、依据和内容 一、信息系统审计的目标一、信息系统审计的目标 ISA目标一般分为:目标一般分为:一般审计目标、特定审计目标一般审计目标、特定审计目标 一般目标:一般目标:是进行所有信息系统审计都必须达到的是进行所有信息系统审计都必须达到的 目标。目标。特定目标:特定目标:指针对特定信息系统的审计目标。指针对特定信息系统的审计目标。一般来说,一般来说,ISA的审计目标主要包括:的审计目标主要包括:提高信息系统资产的安全性目标:提高信息系统资产的安全性目标:ISIS资产包括硬件、资产包括硬
21、件、软件、人力资源、数据文件及系统文件等软件、人力资源、数据文件及系统文件等保护信息系统数据的完整性目标保护信息系统数据的完整性目标 提高信息系统有效性(效率和效益性)目标提高信息系统有效性(效率和效益性)目标提高信息系统的合法性、合规性目标提高信息系统的合法性、合规性目标 NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论二、信息系统审计依据二、信息系统审计依据审计依据:审计依据:也称审计标准,是审计人员实施审计时,判断被审计经济也称审计标准,是审计人员实施审计时,判断被审计经济事项正误、是非、优劣的准绳,是形成审计结论、出具审计意见、作事项正误、
22、是非、优劣的准绳,是形成审计结论、出具审计意见、作出审计决定的依据。出审计决定的依据。目前的目前的ISA依据主要有:依据主要有:ISACA:信息系统审计准则信息系统审计准则;IS控制的标准模型控制的标准模型COBIT;ASBASB第第9494号准则:号准则:SAS70SAS70;SAS94SAS94;国际内部审计师协会(国际内部审计师协会(IIAIIA):):内部审计师准则说明书内部审计师准则说明书 (SIASSIAS););国际会计师联合会(国际会计师联合会(IFAIFA):):国际审计准则系列;国际审计准则系列;最高审计机关国际组织(最高审计机关国际组织(INTOSAIINTOSAI):)
23、:审计准则(审计准则(ASAS););欧洲:欧洲:ISOISO系列(如:系列(如:ISO17799)、EDIFACTEDIFACT技术标准;技术标准;日本通产省:日本通产省:ITIT审计标准;审计标准;NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论我国:我国:中华人民共和国审计法中华人民共和国审计法第三十二条;第三十二条;国务院办公厅的国务院办公厅的关于利用计算机信息系统开展审计工作有关问题的关于利用计算机信息系统开展审计工作有关问题的通知通知;中国独立审计准则中国独立审计准则20号号计算机信息系统环境下的审计计算机信息系统环境下的审计;审计署令
24、第审计署令第9号号审计署关于计算机审计的暂行规定审计署关于计算机审计的暂行规定;审计署颁布审计署颁布审计机关计算机辅助审计办法审计机关计算机辅助审计办法 NANJING AUDIT UNIVERSITY信息系统审计标准信息系统审计标准 S1-S8:ISACA的信息系统审计准则由的信息系统审计准则由ISA标准、指南和程序标准、指南和程序(Standards,Guidelines and Procedures)构成构成 标准标准为信息系统审计和报告定义了强制性的要求。为信息系统审计和报告定义了强制性的要求。指南指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准为信息系统审计标准的实施提供
25、了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断。的实施程序中应参考指南,同时作出职业判断。程序程序为信息系统审计师提供审计项目中可以遵循的步骤范例。为信息系统审计师提供审计项目中可以遵循的步骤范例。ISACAS COBIT ISACAS COBIT Framework:Framework:信息及相关技术控制目标(信息及相关技术控制目标(COBITCOBIT)是由美国是由美国ITIT治理协会提出的一个治理协会提出的一个ITIT治理的开放性框架或标准,是基于组织的信息技术平台而设计的,并治理的开放性框架或标准,是基于组织的信息技术平台而设计的,并在在ITIT治理实践中广泛使用
26、。治理实践中广泛使用。第一章第一章 信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITYSAS70SAS70SAS 70 SAS 70 是经国际确认,由美国注册会计师协会是经国际确认,由美国注册会计师协会 (American Institute(American Institute of Certified Public Accountantsof Certified Public Accountants,AICPA)AICPA)所制定的标准。所制定的标准。SAS 70 SAS 70 审计被公认为是针对服务提供商环境(包括网络和相关程序的控制措施)审计被公认为是针对
27、服务提供商环境(包括网络和相关程序的控制措施)最权威的安全性审计。最权威的安全性审计。IT基础架构库基础架构库(ITIL):是是IT服务管理最佳做法的一套全面、一致和相关的代码,己在全世界被服务管理最佳做法的一套全面、一致和相关的代码,己在全世界被广泛采纳为广泛采纳为IT服务标准。服务标准。ITIL包含下面五个部分:包含下面五个部分:the business perspective(商业远景)(商业远景)、managing applications(应用管理)(应用管理)、delivery of IT services(IT服服务的交付)务的交付)、support of IT services
28、(IT服务支撑)服务支撑)、manage the infrastructure.(基础设施管理)。(基础设施管理)。第一章第一章 信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITYSAS94SAS94美国注册会计师协会美国注册会计师协会(AICPA)(AICPA)下属的审计准则委员会下属的审计准则委员会(ASB)(ASB)一直关注一直关注ITIT对对独立审计的影响。独立审计的影响。20012001年年4 4月,月,ASBASB发布了第发布了第9494号准则:号准则:ITIT对对CPACPA评价评价内部控制的影响内部控制的影响,该准则是作为,该准则是作为SAS(SA
29、S(审计准则公告审计准则公告)no.55)no.55的的“补丁补丁公告公告”推出的,它对下列三方面问题做出了规范:推出的,它对下列三方面问题做出了规范:ITIT对企业内部控制的对企业内部控制的影响;影响;ITIT对对CPACPA了解内部控制的影响;了解内部控制的影响;ITIT对对CPACPA评价审计风险的影响。评价审计风险的影响。SAS no.94SAS no.94于于20012001年年6 6月月1 1日开始执行。日开始执行。第一章第一章 信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITYISO17799:ISO17799包含以下部分:包含以下部分:Securi
30、ty Policy(安全策略)、(安全策略)、Asset classification and control(资产分类和控制)、(资产分类和控制)、Security Organisation(组织安全)、(组织安全)、Personnel Security(人员安全)、(人员安全)、Physical and E n v i r o n m e n t a l S e c u r i t y(物 理 安 全 和 环 境 安 全)、(物 理 安 全 和 环 境 安 全)、Communication/Operation Management(通信和操作管理)、(通信和操作管理)、Access Con
31、trol(存取控制)、(存取控制)、System Development and Maitenance(系统研发(系统研发和维护)、和维护)、Business Continuity(业务连贯性)、(业务连贯性)、Compliance(一致(一致性)。性)。第一章第一章 信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论三、三、信息系统审计的内容信息系统审计的内容ISA包含的两个层面的内容:包含的两个层面的内容:其一:其一:是对信息系统本身的审计,它贯穿于信息系统是对信息系统本身的审计,它贯穿于信息系统 的整个生命周期。
32、以及对信息系统的数据处理的整个生命周期。以及对信息系统的数据处理 过程及处理结果的审计。目的在于确保信息系过程及处理结果的审计。目的在于确保信息系 统的完整性、可靠性、安全性以及效率性和效统的完整性、可靠性、安全性以及效率性和效 益性。益性。其二:其二:是将计算机、网络技术等引入审计工作中,作是将计算机、网络技术等引入审计工作中,作 为审计工作的辅助手段,以建立各种审计信息为审计工作的辅助手段,以建立各种审计信息 系统,以及实现审计工作的办公自动化。系统,以及实现审计工作的办公自动化。本课程课堂教学主要讲授前者;实验课程主要是后者本课程课堂教学主要讲授前者;实验课程主要是后者NANJING A
33、UDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论ISACA规定了信息系统审计主要内容:规定了信息系统审计主要内容:信息系统审计程序;信息系统审计程序;ITIT治理治理(信息技术治理信息技术治理);系统和基础建设生命周期管理;系统和基础建设生命周期管理;IT IT 服务的交付与支持;服务的交付与支持;信息资产的保护;信息资产的保护;灾难恢复和业务连续性计划。灾难恢复和业务连续性计划。ISA:1 1、从纵向看,覆盖了以电子计算机为核心的信息系统从计划、分析、从纵向看,覆盖了以电子计算机为核心的信息系统从计划、分析、设计、编程、测试、运行、维护到报废的全过程的各种业务;设
34、计、编程、测试、运行、维护到报废的全过程的各种业务;2 2、从横从横向看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据向看,它包含对硬软件的获取审计、软件审计、应用程序审计、数据完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、完整性审计、安全审计和生命周期共同业务(如文档管理、人员管理、灾难恢复等)审计等内容。灾难恢复等)审计等内容。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论 从以上介绍,可以看出:从以上介绍,可以看出:ISA的特征:的特征:一是独立性;一是独立性;二是综合性;二是综合性;三是管理特征。三是管理特征。I
35、SA的效果:的效果:一是提高信息系统可靠性;一是提高信息系统可靠性;二是提高信息系统安全性;二是提高信息系统安全性;三是提高信息系统效率。三是提高信息系统效率。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论 风险概念:风险概念:可从三种角度看可从三种角度看 审计风险定义:审计风险定义:(见教材)(见教材)信息系统审计风险定义信息系统审计风险定义:信息系统的安全性、可靠性信息系统的安全性、可靠性 和有效性存在重大隐患,而信息系统审计师发表和有效性存在重大隐患,而信息系统审计师发表 不恰当审计意见的可能性。不恰当审计意见的可能性。信息系统审计风险可以
36、分为信息系统审计风险可以分为:固有风险、控制风险固有风险、控制风险、检查风险检查风险 且有且有审计风险模型审计风险模型 :DAR=IRDAR=IRCRCRDR DR 第三节第三节 信息系统审计风险信息系统审计风险 一、一、审计风险及信息系统审计风险审计风险及信息系统审计风险 NANJING AUDIT UNIVERSITY二、信息系统审计风险特征及表现二、信息系统审计风险特征及表现 1 1、固有风险(、固有风险(Inherent RiskInherent Risk,简称简称IRIR):):是指假设不是指假设不 存在相关的内部控制的情况下存在相关的内部控制的情况下,发生重大错误的风险。发生重大错
37、误的风险。主要表现主要表现:第一章第一章 信息系统审计概论信息系统审计概论电子数据的不可见性电子数据的不可见性;数据的大量集中和高速处理数据的大量集中和高速处理 ;原始数据的录入存在错漏的可能性原始数据的录入存在错漏的可能性 ;计算机犯罪。计算机犯罪。2 2、控制风险(、控制风险(Control RiskControl Risk,简称简称CRCR):):是指有内部控是指有内部控 制制度制制度,但无法预防、及时发现或纠正重要错误的风但无法预防、及时发现或纠正重要错误的风 险。险。NANJING AUDIT UNIVERSITY主要表现:主要表现:信息访问的技术性暴露信息访问的技术性暴露;未经授权
38、的访问未经授权的访问;职责不分离职责不分离;网络监控失效网络监控失效;信息流和业务流的不一致信息流和业务流的不一致;业务流程重组业务流程重组 第一章第一章 信息系统审计概论信息系统审计概论 3 3、检查风险(、检查风险(Detection RiskDetection Risk,简称简称DRDR):):是指信息系是指信息系 统审计人员由于采用了不恰当的测试程序统审计人员由于采用了不恰当的测试程序,未能发现未能发现 已存在的重大错误的风险已存在的重大错误的风险。主要表现主要表现:NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论未能识别出系统的关键环节和
39、重要的信息资产未能识别出系统的关键环节和重要的信息资产;利用测试数据对系统进行测试时利用测试数据对系统进行测试时测试不充分;测试不充分;模拟程序模拟程序的运用的运用,加大了检查风险加大了检查风险;系统更新换代系统更新换代,使得测试系统失去时效性使得测试系统失去时效性;参与系统开发的人员来执行信息系统的检查参与系统开发的人员来执行信息系统的检查。信息系统审计风险的特征:信息系统审计风险的特征:1 1、客观性;客观性;2 2、复杂性;复杂性;3 3、潜在性;潜在性;4 4、时效性;时效性;5 5、可控性。可控性。NANJING AUDIT UNIVERSITY三、形成信息系统审计风险的原因三、形成
40、信息系统审计风险的原因 1 1、信息处理的虚拟化、网络化信息处理的虚拟化、网络化;2 2、捕捉证据的动态化捕捉证据的动态化;3 3、内控制度的复杂化内控制度的复杂化;4 4、审计人员知识结构的单一化审计人员知识结构的单一化 。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论四、四、信息系统环境对审计风险的影响信息系统环境对审计风险的影响 1 1、对固有风险的影响、对固有风险的影响 资产出现新的特点资产出现新的特点;会计和业务处理自动化对信息技术的依赖性增强会计和业务处理自动化对信息技术的依赖性增强;其他变化其他变化。以上这些都使得固有风险增加以上这
41、些都使得固有风险增加。2 2、对、对控制风险控制风险的影响的影响 控制环境控制环境;风险评估风险评估;控制活动控制活动;信息与沟通信息与沟通;监控监控。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论 3 3、对、对检查检查风险风险的影响的影响 降低检查风险的因素:降低检查风险的因素:提高审计覆盖面提高审计覆盖面;提高证据采集的独立性提高证据采集的独立性;提高分析处理的可靠性提高分析处理的可靠性;增加审计的时效性。增加审计的时效性。增加检查风险的因素:增加检查风险的因素:对信息系统缺乏足够理解对信息系统缺乏足够理解;技术不成熟技术不成熟;审计证据的
42、可靠性审计证据的可靠性;对技术的依赖性。对技术的依赖性。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论五、五、信息系统审计风险的信息系统审计风险的防范措施防范措施 1 1、降低固有风险措施降低固有风险措施 加强信息资产管理加强信息资产管理;强化内外部安全控制机制强化内外部安全控制机制 ;建立安全的运行环境建立安全的运行环境;加强数据输入控制加强数据输入控制 。2 2、降低控制风险的措施降低控制风险的措施 正确分配访问和操作权限正确分配访问和操作权限,及时管理和维护权限分及时管理和维护权限分 配表配表;建立严格的职责分离、轮岗和休假制度建立严格的职
43、责分离、轮岗和休假制度;建立安全的网络监控机制建立安全的网络监控机制,减少来自外部的风险减少来自外部的风险;NANJING AUDIT UNIVERSITY 3 3、降低检查风险的措施降低检查风险的措施 识别出重要信息资产识别出重要信息资产;确定合理的检查顺序确定合理的检查顺序;改进审计手段改进审计手段。第一章第一章 信息系统审计概论信息系统审计概论 2 2、调查阶段(风险识别)、调查阶段(风险识别)风险识别方法:风险识别方法:现场检查、相关人员交谈、召开座谈会、流程调查、现场检查、相关人员交谈、召开座谈会、流程调查、技术资料、有关文档、资料分析、技术资料、有关文档、资料分析、理论分析、日志审
44、核、理论分析、日志审核、工具分析、模拟攻击等工具分析、模拟攻击等。风险评估过程简介:风险评估过程简介:1 1、准备阶段:、准备阶段:明确任务、建立项目组、职责分工、制定计划明确任务、建立项目组、职责分工、制定计划NANJING AUDIT UNIVERSITY定性分析评估方法:定性分析评估方法:安全检查表法安全检查表法;专家评价法专家评价法;事故树分析法事故树分析法(FTA)FTA)事件树分析法事件树分析法(ETA)ETA);潜在问题分析法潜在问题分析法(PPA)PPA)因果分析法因果分析法(CCA)CCA);作业安全分析作业安全分析(WSA)WSA)定量分析评估方法:定量分析评估方法:层次分
45、析法层次分析法(AHP)AHP);模糊综合评判法模糊综合评判法;BPBP神经网络法神经网络法;灰色系统预测模型灰色系统预测模型第一章第一章 信息系统审计概论信息系统审计概论3 3、风险分析、风险分析风险分析:风险分析:是识别机构中存在的风险的过程,是对潜在威胁影是识别机构中存在的风险的过程,是对潜在威胁影响的量化,以及为实现控制所需的成本和产生的利润提供证明。响的量化,以及为实现控制所需的成本和产生的利润提供证明。风险分析既可以采取定量分析的方法,用真实的数字说明威胁可能造成风险分析既可以采取定量分析的方法,用真实的数字说明威胁可能造成的损失以及损失的数量;的损失以及损失的数量;也可以采取定性
46、分析的方法,用排名的方法来分析对资材敏感度的威胁也可以采取定性分析的方法,用排名的方法来分析对资材敏感度的威胁的严重性。的严重性。NANJING AUDIT UNIVERSITY第一章第一章 信息系统审计概论信息系统审计概论可供参考的标准:可供参考的标准:BS 7799标准标准:将信息作为一种资产并进行管理与控制的手将信息作为一种资产并进行管理与控制的手 段对信息系统进行控制,确保业务的连续性与关键业务段对信息系统进行控制,确保业务的连续性与关键业务 不受到损害,是当前国际中最重要的管理类标准。不受到损害,是当前国际中最重要的管理类标准。ISO 13355系列标准:系列标准:安全管理策略标准。
47、安全管理策略标准。CC标准:标准:单一的通用准则安全技术方面的重要标准。单一的通用准则安全技术方面的重要标准。SSE CMM模型:模型:该模型定义了一个安全工程过程应有的特该模型定义了一个安全工程过程应有的特 征,这些特征是完善的安全工程的根本保证。征,这些特征是完善的安全工程的根本保证。OCTAV方法:方法:可操作的关键威胁、资产、脆弱性评估方可操作的关键威胁、资产、脆弱性评估方 法,风险评估的重要的方法体系。法,风险评估的重要的方法体系。GB 17859-1999:计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则NANJING AUDIT UNIVERSITY第四节第四节 信息
48、系统内部控制与审计信息系统内部控制与审计内部控制(内部控制(COSO):):由企业董事会、经理阶层和其他员由企业董事会、经理阶层和其他员 工实施的,为运营的效率效果、财务报告的可靠性、工实施的,为运营的效率效果、财务报告的可靠性、相关法律规章的遵循性等目标的达成而提供合理保证相关法律规章的遵循性等目标的达成而提供合理保证 的过程。的过程。内部控制:内部控制:是一个单位为了保护其资产的安全性、会计资是一个单位为了保护其资产的安全性、会计资 料的准确性和可靠性,提高经营效率以及贯彻执行其料的准确性和可靠性,提高经营效率以及贯彻执行其 规定的管理方针而在组织内部采取的一系列制度、方规定的管理方针而在
49、组织内部采取的一系列制度、方 针和手续。针和手续。第一章第一章 信息系统审计概论信息系统审计概论 内部控制的本质:内部控制的本质:是一种制度安排,是一种管理控制是一种制度安排,是一种管理控制 内部控制的表现形式:内部控制的表现形式:一些列方法、措施和程序一些列方法、措施和程序NANJING AUDIT UNIVERSITY 内部控制的基本原则:内部控制的基本原则:1、合法性原则;合法性原则;2、相互牵制原则;相互牵制原则;3、程式定位原则;程式定位原则;4、系统全面原则。系统全面原则。内部控制的基本方式:内部控制的基本方式:1 1、组织机构控制;组织机构控制;2 2、职务分离控制;职务分离控制
50、;3 3、其他重要的内部控制。如:其他重要的内部控制。如:授权批准控制,人员授权批准控制,人员 素质制度,信息质量控制,财产安全控制,业素质制度,信息质量控制,财产安全控制,业 务程序控制、内部审计控制务程序控制、内部审计控制 第一章第一章 信息系统审计概论信息系统审计概论NANJING AUDIT UNIVERSITY 内部控制的发展阶段:内部控制的发展阶段:经历了:经历了:内部牵制、内部控制制度、内部控制结构、内内部牵制、内部控制制度、内部控制结构、内 部控制整体框架部控制整体框架 COSO提出的提出的内部控制内部控制整体框架整体框架报告标志着内部报告标志着内部 控制理论与实践进入了内部控