基于IT治理的我国信息系统控制与审计体系构建思考
2008年第9期
科技管理研究Science and Technol ogyM anage ment Research
2008No 19
收稿日期:2007-12-10,修回日期:2008-04-09基金项目:国家教育部社科规划基金项目(05JA630026)
文章编号:1000-7695(2008)09-0253-03
基于I T 治理的我国信息系统控制与审计体系构建思考
胡晓明
(南京财经大学,江苏南京 210046)
摘要:将I T 治理与信息系统控制、审计结合起来,深层研究I T 标准的有效性,致力于建立善治的、动态的I T 治理机制,对传统控制与审计理论进行创新研究,构建结构化、程式化的信息系统控制与审计指南,拓展了传统控制与审计理论的研究范式。
关键词:I T 治理;信息系统控制与审计;I T 标准
中图分类号:F22411 文献标识码:A
目前我国信息化建设的特征是:(1)组织对信息系统的
依赖性日益增强;(2)投资规模和成本不断提高;(3)信息系统日趋大型化、复杂化、多样化和网络化;(4)系统脆弱性和威胁范围加大;(5)I T 相关风险管理已被认为是公司治理的一个主要部分。然而,我国还处于I T 治理的混沌时期,如何健全地进入信息社会,以最经济的方式把握科学技术进步带来的机遇;如何充分利用I T 资源管理好所依赖的信息与信息平台,将风险控制在可容忍范围内;如何在信息系统的建设、应用与持续发展过程中开展控制与审计活动等等,已成为当下一个重要的研究课题。
1 I T 治理:公司治理的途径
国际信息系统审计与控制协会(I S AC A,I nf or mati on Sys 2te m Audit and Contr ol A ss ociati on )指出,I T 治理(I T Govern 2ance )是一个内涵丰富的术语,包括信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者(公司董事、高级管理人员、业务流程的执行者、I T 供应商、I T 的使用者以及审计人员等)。为推动I T 治理的理论与实践,I S ACA 于1998年成立了I T 治理协会(I T Governance I nstitu 2te ),强调I T 治理是董事会和高级管理层的责任,是公司治理的一部分。该协会深化了I T 治理的内涵,认为I T 治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标,包括领导、组织结构及业务流程以确保信息技术能支持、扩展组织的战略和目标(彼得?维尔、珍妮?W ?罗斯,2005)。由此可见,公司治理和I T 治理具有较强的相关性,I T 治理是公司治理有效实施的途径,公司治理离不开I T 体系的驱动,公司目标如果没有I T 的持续有效支持就很难实现(郝晓玲、胡克瑾,2003)。公司治理通过I T 治理活动获取有效信息,体现公司与信息技术的战略集成。公司治理和I T 治理都是建立在“如何管好管理层”基础上的市场他律机制,两者目标是一致的,即达到业务永续运营并增加公司的长期获利机会。图1体现了公司治理与I T 治理之间相互依赖、相互交叉、相互融合以及相互促进的互动关系。
从管理学的角度看,公司治理侧重于公司整体规划,主要关注利益相关者权益及保护,包括一系列由治理层和管理层实施的责任和条例,其目标在于公司运营,即商业模式构建,主要包括为公司运营提供战略方向、进行适当风险管理、合理使用公司资源以及保证公司目标合理实现;I T 治理侧重于公司中信息资源的有效利用和管理,其目标在于I T 运营,
即商业模式的实施,主要包括保持I T 战略与业务目标一致、推动业务发展、促使收益最大化、合理利用I T 资源、适当管理与I T 相关的风险
。
图1 公司治理与I T 治理的目标融合
从经济学的角度看,公司治理是为体现公平而进行制度
安排,公司治理促进科学决策实施,为I T 治理的科学化、合理化奠定制度基础,促进科学地利用企业信息技术、有效地规避公司风险以及合理地实现公司战略目标。公司治理中,制度与人的行为博弈在加入信息技术因素后其博弈的均衡点受到I T 治理模式及治理机制的影响而发生变化(李维安、王德禄,2005);I T 治理是为提高效率而从事的信息技术活动,其内容涵盖了信息系统审计、I T 服务与管理等领域,着重解决I T 发展在组织战略、治理结构与机制、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的新问题、新知识和新方法。
实践证明,善治的、标准的I T 治理架构是确保I T 资源与组织目标一致的基础,其有效运行不仅能推动公司治理的不断完善,而且能给组织带来巨大收益。如美国堪萨斯州把C OB I T 标准作为虚拟政府策略的一部分,为客户和委托人提供了可靠、安全的信息,且大大降低了运营成本;Pr oct or &Ga mble 在采用I TI L 标准的四年里,节省了超过5亿美元的预算。麻省理工学院信息研究中心主任皮特?威尔博士对来自23个国家的250家企业进行了系统研究后指出,面对同样的战略目标,I T 治理水平较高的企业,其获利能力比治理水平较低的企业高出20%。
2 国外最佳实践
信息系统控制与审计是建立在传统控制与审计理论、信息技术理论、信息系统管理理论、行为科学理论、经济学理论、会计与统计理论、司法诉讼学等基础之上的多学科的交叉与综合。早在计算机刚进入实用阶段,美国就提出了系统审计的概念,1969年成立了电子数据处理审计师协会,1994年更名为信息系统审计与控制协会(I S AC A )。该组织从事信
胡晓明:基于I T治理的我国信息系统控制与审计体系构建思考
息系统控制与审计活动已有30多年历史,现已成为全球信息系统控制与审计的主要推动者。长期以来,I S ACA开展了大量的理论研究,通过制定和颁布信息系统审计准则、实务指南、职业道德准则等专业标准来规范和指导信息系统审计师的工作,截至2007年2月已制定并发布执行的有14项基本准则、36项审计指南和11个工作程序,另有若干个征求意见稿。另外,日本通产省情报协会、英国I T审计师协会、匈牙利国家审计署以及美国信息系统审计专家Ron A1W eber教授等在信息系统控制、审计理论和应用方面均有不同程度的研究。同时,美国国家审计总署(Govern ment Accountability Office,G AO)和注册会计师协会(A I CP A)也颁布了《美国政府审计准则———电算化系统审计》、《I T对CP A评价内部控制的影响》等一系列规范,对信息系统控制与审计作出了多方面规定。
从20世纪80年代中期到现在,欧美发达国家经历了技术管理、多样化管理和专业管理等三个时期。所谓“专业管理”就是除技术管理外,信息系统的功能管理和应用管理要以按照符合要求的I T标准或规范运行,这些标准与规范包括COB I T、I TI L、I S O17799和PR I N CE2等。企业及审计师应用这些标准与规范能极大地提高信息系统建设效率以及信息系统本身的质量、运行效用、安全与可靠性,同时,这些标准与规范也为信息系统控制与审计提供理论研究的基础。
(1)I TI L标准。I TI L(I T I nfrastructure L ibrary,信息技术基础设施库)是由英国商务部(OGC)负责管理的英国政府部门CCT A(Central Computing and Telecommunicati on)提出的,目的是保证更好地使用信息技术服务和资源。在它的最新版3.0(2007年5月推出)中,将核心层概括为五个方面,即服务策略、服务设计、服务转换、服务运维和持续的服务改进,其中服务策略是整个I TI L3.0的核心。
(2)COB I T标准。COB I T(Contr ol Objectives for I nfor ma2 ti on and Related Technol ogy,信息及相关技术控制目标)是由美国I T治理协会(I T Governance I nstitute,I TGI)提出的一个I T治理的开放性框架或标准,是基于组织的信息技术平台而设计的,并在I T治理实践中广泛使用。C OB I T建立起组织的业务目标与具体的信息技术、信息技术管理及对组织控制目标的陈述之间的联系。C OB I T的设计是为了帮助管理者在不可预见的信息技术环境下对风险和投资控制加以平衡,可以使其使用者获得安全和可控的信息技术服务,并在此基础上向内外部客户提供产品和服务;审计人员可以使用该标准支持他们的观点并向组织的内部控制管理提出建议。C OB I T 是一三维立体框架结构,2005年12月推出了更新版本C O2 B I T410,2007年4月推出了C OB I T4.1,它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
(3)I S O标准。I S O177999标准是一项国际公认的基本信息安全标准。国际标准组织(The I nternati onal O rganizati on for Standardizati on,I S O)发布,命名为“信息技术———信息安全管理实践准则”。它是建立在“一套全面的包括信息安全良好行为规范的控制系统”基础上,涵盖了业务连续性规划、系统访问控制、系统开发与维护、物理与环境安全、遵从性、个人安全、安全组织、计算机与操作管理、资产分类与控制以及安全策略等领域。该标准所建立的最佳实践标准可以用来确保在系统故障或其他中断时业务能够持续运行;控制对数据、系统和网络的访问;保护信息的机密性和完整性;防止对业务设施的非授权访问;符合相关的管理规定。
(4)PR I N CE标准。PR I N CE2由英国政府商务部(OGC)拥有并开发,它是Pr ojects I n Contr olled Envir on ments(受控环境中的项目)的首字母缩写,是组织、管理和控制项目的方法。PR I N CE2是基于过程(p r ocess-based)的结构化的项目管理方法,适合于所有类型项目(不管项目的大小和领域,不再局限于I T项目)的易于剪裁和灵活使用的管理方法,其中管理要素包括组织(O rganizati on)、计划(Plans)、控制(Contr ols)、项目阶段(Stages)、风险管理(Management of R isk)、在项目环境中的质量(Quality in a p r oject envir on2 ment)、配置管理(Configurati on M anage ment)以及变化控制(Change Contr ol)等八类,是PR I N CE2标准的主要内容,它们的管理贯穿于组织管理过程中。
3 国内研究与应用现状及分析
20世纪九十年代后期,信息系统控制与审计思想传播到我国,2002年6月,I S AC A在我国举办了首次注册信息系统审计师(C I S A)资格考试,与信息系统控制与审计相关的概念、技术、实践才慢慢引入我国(胡晓明,2006)。从近年情况看,我国的信息系统审计制度建设工作才刚起步,主要包括,1993年审计署发布的“审计署关于计算机审计的暂行规定”,1994年国务院出台的“中华人民共和国计算机信息系统安全保护条例”,1996年审计署制定的“审计机关计算机辅助审计办法”,1999年中国注册会计师协会颁布的“中国独立审计准则第20号———计算机信息系统环境下的审计”,2007年1月1日起施行的“中国注册会计师审计准则第1633号———电子商务对财务报表审计的影响”等。由于信息系统控制与审计在国际上尚属新兴领域,很多研究还不够成熟,很难照搬国外现成的研究成果。尽管国内对I T治理的研究、交流和应用相对还很薄弱,但是一些行业和政府部门对此已经给予了高度的重视,比如金融行业、电信领域的信息安全问题,航空航天领域、国家安全领域的信息安全与控制问题,电子商务和电子政务领域信息化服务的规范标准问题等;国内展开的有关I T的讨论主要集中在信息系统绩效评估、风险控制、信息系统监理、ERP/CR M/SC M/OA等先进信息系统的规划、企业信息中心的变迁等方面,其中很多讨论没有答案;有意识地应用I T标准的企业不多,应用不够深入、系统和全面,产生的效益不明显;服务台、服务连续性管理等应用稍多的模块往往只是解决了“有没有”的问题,尚未达到“好”的水平,信息系统控制与审计等其它模块应用更少。从研究状况来看,很多人已经把寻求答案的目标归结到信息系统控制与审计上,并已将其与I T治理及I T标准结合,不过还只是停留在概念形成的阶段,距离应用和实施还有很长的路要走。我们认为,目前我国I T治理以及信息系统控制与审计理论与实践方面面临的主要问题有:
(1)信息化建设的组织与实践问题。在公司治理不完善的情况上,中国企业能否以及如何做好I T治理?怎样的决策能有效促进信息技术管理和应用?这些决策应由谁做、如何做、如何被监督?I T治理的过程由谁负责、又由谁执行?
(2)信息化建设的标准问题。中国怎样借鉴全球著名的最佳实践或智力成果(I T标准)?相应的规制如何制定?如何实现COB I T、I TI L、I S O17799和PR I N CE2等I T标准的整合与对接?中国应如何促进I T标准的国际趋同?如何将I T标准应用于信息系统控制与审计过程中?
(3)信息系统控制与审计的理论问题。信息化建设与发展对审计学科归属的影响?如何合理鉴定内、外部审计在信息系统审计市场的地位和作用及其市场份额?如何研判信息系统内部控制的有效性以及信息系统审计程序设计和执行的恰当性?
在“工业化带动信息化,信息化促进工业化”的背景下,要实施标准化战略及信息强国战略,提高我国企业整体技术创新能力和市场竞争能力,有必要开展基于I T治理的信
452
胡晓明:基于I T治理的我国信息系统控制与审计体系构建思考
息系统控制与审计体系构建的研究。该研究对于保证信息披露的合规、持续和实时,保持信息系统的安全、稳定和有效,促进信息化建设向有序化方向发展,提升企业核心竞争力,强化标准意识,提高信息技术投资效益,维护信息时代的市场经济秩序具有重大的理论意义和广阔的应用前景。
4 基于I T治理的我国信息系统控制与审计体系构建的思考
基于I T治理的信息系统控制与审计体系就是在充分考虑我国信息化建设的实际情况,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的I T治理标准模式,制定相关管理指南,提供集成的I T管理,指导我们建立起相应的机制,通过控制与审计指南对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。
(1)确定信息系统控制目标
信息系统控制目标集中反映了企业的战略目标,采用WBS(工作结构分解)工具按照域、过程、任务活动三层体系对信息系统控制目标进行分解。借助C OB I T410,按照系统生命周期划分为四个域:计划和组织(Plan and O rganize)、取得和实施(Acquire and I m p le ment)、交付和支持(Deliver and Support)以及监督和评价(Monit or and Evaluate);通过开发针对性的威胁,探求信息系统风险识别、评估与控制体系(信息系统风险管理流程);应用信息技术平衡记分卡方法(I T Balanced Scorecard,BSC)对过程域进行逐层分解,形成更详细的信息技术处理过程的控制目标,强化信息技术的内部服务功能,评价管理过程的控制有效性。使用平衡计分卡就可以看出I T治理的四个核心领域都是由利益相关者价值驱动的,两个收益方面的内容即价值贡献和风险规避,另两个方面来源于其驱动力即战略一致性和绩效评估(Grem2 bergen,2003)。
(2)建立适用的、协同的I T标准模式
适用的、协同的I T标准能为企业信息技术变革的运作实践提供一个全新的视角,为I T过程提供管理的要素、标准和控制目标,并为信息系统控制与审计提供指导和基础,有助于企业从关键环节入手掌握I T治理能力,同时有助于确保降低因信息化和透明化带来的利益冲突所形成的制度面成本。全美亚洲研究所专门研究中国科技政策的俄勒冈大学政治系教授苏迈德(R ichard P.Sutt m eier)说,“制定自己的标准就是摆脱对国外技术依赖的重要方法之一。”①我们了解到, I S O17799主要关注信息安全,I TI L重点在于信息流程的控制,PR I N CE2强调项目管理,COB I T T410则较全面且突出了信息系统控制与审计。因此,我国应立足于COB I T410,着眼于商业目标与I T目标、I T流程的衔接,增加与其他标准的接口,整合多种新思想和国际最佳实践,构建适用的、协同的中国I T标准,实现我国公司治理与I T治理及其相关领域的有机结合,同时避免各标准体系局部覆盖和冲突,使各体系之间能够合理有效地兼容和互补,从而支撑业务的运营。
(3)制定相关管理指南
管理指南给出了度量信息系统生命周期各过程安全、可靠与有效的指标体系,并定义了为管理者提供评估的度量模型,是控制目标在企业中的具体应用准则,是为了确保企业成功及有效地整合企业业务流程与信息系统。该指南以项目管理知识体系(P MBOK)为指导,构建信息技术过程集;根据具体的信息技术过程设定目标参数(分为主要的和次要的)和控制参数;在信息技术过程的管理中,将信息化战略与成熟度模型(C MM)相比较,确定管理水平基准,通过识别关键成功因素(CSF)明确控制过程的主要对象,通过关键目标指标(KGI)监控信息技术过程的目标是否达到,通过关键绩效指标(KP I)监控信息技术过程的性能。因此,该体系主要体现了信息及相关技术处理过程,也是信息处理在企业应用中的实现活动,但它在企业的实施与具体应用还需要其它部分的配合。
(4)完善控制与审计指南
控制与审计指南是信息系统控制与审计时所需要遵循的标准和准则,评价控制目标在信息技术处理过程中实施是否得当,并能为信息系统安全、可靠与有效提供合理保证,包括基本标准、具体准则和执行指南。虽然COB I T4.0中现已不包括审计指南,审计指南改由I S ACA提供,但并不表明信息系统控制与审计被弱化了,而是得到了加强。随着信息化的发展,我国急需制定与完善有关信息系统控制与审计指南。在研究和制定信息系统控制与审计指南过程中,应尽可能借鉴国际的经验和相关的标准与规范,通过审核相关技术、管理和评价文档,制定具体的审计计划,实施切合实际和技术可行的信息系统审计测试程序,获得可信的信息系统审计、鉴证报告(金文、张金城,2005)。为了保证具有可操作性,审计师应制定审计计划,利用审计技术按照审计指南的要求实施审计,并向相应的管理人员提交审计报告,从而保证控制目标实现的质量。
总之,基于I T治理的信息系统控制与审计体系是连接理论与实践、制度与技术的桥梁,能使复杂的管理控制结构化、模式化,便于运用技术与工具进行管理,可以协调组织与相关人员对问题的理解,指导具体方案的产生,检查决策可行与有效,确保I T资源与公司战略目标保持一致的基础,减少对人的依赖,使信息系统控制与审计工作切实可行,审计结论更具说服力和影响力。
注:①苏迈德教授曾在2004年5月发表了《中国入世后的技术政策:标准、软件及技术民族主义实质之变化》报告,在中国引起了强烈的反响。
参考文献:
[1]彼得?维尔,珍妮?W?罗斯.I T治理:一流绩效企业的I T治
理之道[M].北京:商务印书馆,2005.
[2]郝晓玲,胡克瑾.信息系统审计的体系框架初探[J].同济大
学学报(社会科学版),2003(10):71-75.
[3]李维安,王德禄.融合互动殊途同归———谈I T治理与公司治理
[J].中国计算机用户,2005-02-36.
[4]胡晓明.基于信息时代的I S审计若干理论与应用问题探讨[J].
当代财经,2006(2):125-128.
[5]郝晓玲,李明.I T治理对企业的影响分析[J].科研管理,
2005(3):17-22.
[6]金文,张金城.基于COB I T的信息系统管理、控制与审计的模
型构建研究[J].审计研究,2005(4):75-79.
[7]OGC.Managing successful p r ojects with p rince2[J].Reference
Manual,1998.
[8]GRE MBERGE W V,S AULL R,HAES S D.L inking the I T bal2
anced scorecard t o the business objectives at a maj or canadian financial gr oup[J].Journal Of I nfor mati on Technol ogy Cases And App lica2 ti ons,2003.
作者简介:胡晓明(1963-),男,江苏金坛人,教授,主要从事审计与估值研究。
(本文责编:陈 夏)
552
信息系统一般控制审计上
信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12) 编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
审计管理信息系统解决方案
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
信息系统审计重点及应对措施
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则
审计部管理信息系统——项目概要
审计部管理信息系统—— 项目概要 The document was prepared on January 2, 2021
项目概要 项目名称:审计管理信息系统 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述 系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构
管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:年月日完成可行性研究报告,进行专家论证,申请立项。 系统开发阶段年月日完成系统开发。 系统测试阶段:年月日完成系统测试。 系统试运行阶段:年月日完成试运行及推广。 系统验收阶段:年月日完成验收。
网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计....................... 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计........................... 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
《审计信息管理系统》使用介绍
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
C15002S IT审计实务100分
IT审计实务 倒计时:00:31:55 单选题(共2题,每题10分) 1 . 以下属于对信息系统一般控制审计的是()。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT(Control Objectives for Information and Related Technology)是目前国际 上通用的IT管理标准之一,属于()。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题(共4题,每题10分) 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则,即信息安全保障与信息 化建设应保持()。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用,下列说法正确的是()。
? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议,可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计,可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一致性 ? D.通过IT审计,审计师对被审计单位信息系统进行诊断咨询,客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状,下列说法正确的是()。 ? A.近年来,审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计,向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括()等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题(共4题,每题10分) 1 . 随着国内企业对IT审计的重视程度的日益提高,国内已形成了强大的从事IT控制与IT 审计的专业人才队伍,对IT审计理解达到了一定的深度和广度。() 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。() 对错
涉密计算机信息系统的安全审计
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计的指南(COBIT中文版)
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
信息系统审计工作制度
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
简述信息系统审计的主要内容--(出自第七单元)
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
信息系统审计(IT审计)操作流程(精)资料
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
审计管理系统文字说明
1.1 1.2审计管理系统功能简介 审计管理系统由审计署机关辅助办公系统升级、改造而成。它是一个为审计机关提供领导决策支持、公文流转办理、审计业务管理、信息资源共享、机关事务处理等五个功能于一体的协同工作平台,用以加强审计业务工作的决策、组织、指导和管理,并构建用于支撑审计业务的基础资源数据库,是金审工程一期应用系统建设的一项重要成果。 审计管理系统采用组件化技术及B/S结构和C/S结构相结合的方式开发,以B/S结构为主,部分功能复杂并且用户面较小的软件采用C/S结构。利用中间件的强大功能,基于金审工程应用平台支持,具有动态可重构、扩展能力强的特点。除特殊岗位外的一般用户只需要通过浏览器使用系统,用户界面统一,操作简单,易于掌握。 在征求地方审计机关意见基础上,供地方审计机关本地化部署的审计管理系统地方版和1拖N版功能分区调整为四个: ●个人办公:提供公文阅办流转、业务信息的管理功能。 ●待办工作:集中提示当前用户当前需要办理的工作。 ●信息资源:共享审计业务信息、学习材料和文献等。 ●应用设置:有关业务管理工作非常用的基础配置工作。 1.3审计管理系统在地方审计机关的本地化部署 为了发挥国家基本建设投资的效益,审计署领导决定,将金审工程建设的应用系统推广到地方审计机关使用。审计署信息办除将现场审计实施软件发放地方审计机关推广使用外,又在审计管理系统的基础上,研制了审计管理系统地方版和1拖N版,以供各级地方审计机关有选择地进行本地化部署。 审计管理系统地方版是审计署为适应地方审计机关,特别是省级审计机关,加强审计管理、提高信息技术应用水平、节省信息化建设资金的需要,在金审工程一期投资所建审计管理系统的基础上建设的应用系统,是金审工程一期应用系统建设的一项重要成果。地方版依托国家电子政务网络平台、公共通信网络平台或局域网网络环境,在单一的硬件平台上部署系统,提供给本审计机关及同城或
信息技术中的一般控制测试
信息技术中的一般控制测试 【内容导航】: 1.信息技术一般控制的含义 2.信息技术一般控制的环节 【所属章节】: 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】:信息技术中的一般控制测试 1.信息技术一般控制的含义 信息技术一般控制,是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。 2.信息技术一般控制的环节 (1)程序开发 程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。 (2)程序变更 程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标。 (3)程序和数据访问 程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。 (4)计算机运行 计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。 信息技术中的应用控制测试
【内容导航】: 1.信息技术应用控制的含义 2.信息技术应用控制的环节和要素 【所属章节】: 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】:信息技术中的应用控制测试 1.信息技术应用控制的含义 信息技术应用控制,是设计在计算机应用系统中的、有助于达到信息处理目标的控制。 2.信息技术应用控制的环节和要素 信息技术应用控制一般要经过输入、处理及输出等环节。 和人工控制类似,系统自动控制关注的要素包括:完整性、准确性、存在和发生等。 各要素的主要含义如下: (1)完整性 系统处理数据的完整性,例如:各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。 (2)准确性 系统运算逻辑的准确性,例如,金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。 (3)存在和发生 信息系统相关的逻辑校验控制。例如,限制检查、合理性检查、存在检查和格式检查等。 部分业务操作的授权管理,例如,入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。
简述信息系统审计的主要内容 (出自第七单元)
第1页(共2页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序是否科学合理,是否受到恰当的控制;
第2页(共2页) 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模块结构图中,用带实心圆点的箭头表示控制信息。
信息系统审计
信息系统审计 电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。 2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。 3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。 4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试) 6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密 通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。 7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定