《审计信息管理系统》使用说明
第一章概述
欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日我常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,我如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。
本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。
本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。
第二章主界面
一、启动审计信息管理系统
办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。
图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要
的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。
图2-2
二、主界面的操作
打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。
图2-3
退出办公自动化系统,用户只需单[退出]即可。
第三章人事管理
一、人事管理的界面
人事管理模块提供了管理和查看《审计信息管理系统》中所有人员信息的功能。模块的功能包括一般成员随时可以查阅自己或其他成员的信息,和系统管理员对人员信息
的输入、维护和管理。
1.人事管理包括四种显示方式(如图3-1),可以在左边一栏选择,分别是:所有人
员、按部门、按职务、按角色和人员管理。
图3-1
2.[所有人员]的显示方式按照人员编号的顺序显示所有人员。
需要查看某个人员的详细信息时,可以选定该人员,单击工具栏中的[打开]按纽;或者双击该人员。需要退出某个人员详细信息页面时,请单击工具栏中的[退
出]按纽。
3.[按部门]是按照人员所在部门分类显示所有人员的显示方式。
首先显示了单位中所有的部门名称,包括“局长室”、“财政金融审计科”等等。
需要查看某个部门的所有人员时,请选定该部门,选择工具栏中的[打开]按纽;
或者双击该部门;或者单击该部门名称前面的三角形小箭头(见图3-2)。需要关
闭该分类,请重复上述过程。
图3-2
需要查看某个人员的详细信息时,请参照第2点。
4.[按职务]是按照人员所在职务分类显示所有人员的显示方式。
显示了单位中所有的职务名称,包括“局长”、“科长”、“科员”等等。
5.[按角色]是按照人员所在角色分类显示所有人员的显示方式。
显示了单位中所有的角色名称,包括“拟稿人”、“核稿人”、“签发人”等等。
6.[人员管理]是系统管理员独有的显示方式,与[所有人员]的显示方式一样按照
人员编号的顺序显示所有人员。在这种视图中有添加、修改、删除人员的功能。
二、人事管理的操作
7.对于管理员,需要添加人员时,单击[人员管理]→[新增]打开人员信息输入页
面(如图3-3)。其中姓名的内容可以直接输入,也可以单击旁边的小三角图标进行选择,部门、职务的内容可以单击部门、职务按钮,从弹出的对话框中选择(如图3-4)。填写完毕后单击[保存并返回],回到[人员管理]的视图。如果想取消人员的添加,单击[返回],当系统询问“您希望保存这个新文档吗?”,选择[否]。
图3-3
图3-4
8.不管是管理员或者是一般用户,都可以通过单击工具栏中[打开]打开人员信息页
面。此时的人员信息页面处于显示状态,不能修改。
9.需要修改人员信息内容,可以单击工具栏中[修改],打开人员信息页面并处于修
改状态。或者先打开人员信息页面,在单击页面上的[修改]使页面处于编辑状态。
修改完毕退出请参照添加人员的操作方法。
10.需要删除人员信息,可以单击工具栏中[删除]按纽。
11.要退出人事管理功能时,请单击工具栏中的[退出]按纽。
第四章文件审批
文件审批模块包括了主要的文件审批功能。在这个模块中可以新建项目和其他项目文件,所有项目文件的逐级审批,完成整个审批流程。
一、文件审批的界面
1.文件审批包括六种显示方式(见图4-1),可以在左边一栏选择,分别是:正在审
批文件/按科室分类、正在审批文件/按文件分类、正在审批文件/按项目分类、
已审批文件/按科室分类、已审批文件/按文件分类、已审批文件/按项目分类。
图4-1
2.[正在审批文件/按科室分类]包括还未完成审批的文件,按照负责科室分类的显
示方式。
3.[正在审批文件/按文件分类]包括还未完成审批的文件,按照文件类别分类的显
示方式。
4.[正在审批文件/按项目分类]包括还未完成审批的文件,按照项目分类的显示方
式。
5.[已审批文件/按科室分类]包括已经完成审批的文件,按照负责科室分类的显示
方式。
6.[已审批文件/按文件分类]包括已经完成审批的文件,按照文件类别分类的显示
方式。
7.[已审批文件/按项目分类]包括已经完成审批的文件,按照项目分类的显示方式。
二、文件审批的操作过程
8.工具栏的应用
每一种显示方式都有一定的分类。当需要详细显示某分类中的全部文件时,可以选定该分类,选择工具栏中的[打开]按纽;或者双击该角色;或者单击该角色
名称前面的三角形小箭头。需要关闭该分类,请重复上述过程。需要查看某文件时,
可以选定该文件,单击工具栏中的[打开]按纽;或者双击该文件。需要退出文件
审批模块时,请单击工具栏中的[退出]按纽。
9.创建新项目
首先由拥有创建新项目权限的人员,例如综合科的人员,单击工具栏中的[新建项目]按纽,建立新的立项文档(如图4-2)。填写完毕立项内容和所涉及到的授权成员后,单击[通知科室审计],选择送交某一科室。
图4-2
10.主审人创建需审批的文件
该项目的主审人双击打开该立项文件后,单击[新建]或[新建非常用文书]根据需要创建各种常用和非常用文件,然后根据审计程序单击[送交审批]按纽,于是文件就移送到下一位审计人员手中。
如果所创建的文档已经存在,那么系统会询问“该文件已经存在,是否打开?”
选择“是”,就可以打开原文件查看。
一旦文件送交审批后,自己就不能再对文件进行修改了,除非文件被下一位审计人员退了回来。主审人创建或修改文件后,也可以选择文件工具栏中的[保存并返回]来保存修改,暂时不送交审批。
11.审计人员审批文件
下一位审计人员接到移送过来的文件后,根据审计结果是否合格,签署审计意见,单击[送交审批]送交下一位审计人员或[退回主审人]继续修改。一旦主审人接到被退回的文件,才有权限进行修改,再次送交审计。
12.文件审计结束
一旦文件被最后一位审计人员同意后,可以选择[结束审计]来确定这一文件已经通过了审计。此后,这个文件除了管理员之外将无法再修改。
13.建立审计台账
1)项目完成后可以建立审计台账,以备以后查询统计。新建审计台账时选择[新建/
审计台账](如图4-3)。
图4-3
打开一个包含有附件的文档(如图4-4),其中文档就是审计台账内容。
图4-4
2)双击审计台账附件,系统会自动选择使用MicroSoft Excel来打开。报表头页面是
“编辑”页面,其中有[新增]和[修改]两个按纽。如果是新建审计台账请选择[新增],如果是修改原有的审计台账请选择[修改]。(如图4-5)
图4-5
3)选择[新增]后出现一个新增参数的页面,其中的报表类型决定了采用那种审计台
账类型,所以请一定要填写。其他的参数也请尽量填写。确定以后可以通过选择工作表下面的标签来转到相应的审计台账工作页去。(如图4-6)
图4-6
4)有时一个项目除了要填写本身的审计台账以外,还需要填写“经济责任审计情况”
的审计台账。请在填写新增审计台账参数时,在单选框“经济责任审计情况报表(季报)”前面打勾,以便同时增加两张审计台账的参数。
5)完成填写或修改审计台账后选择MicroSoft Excel菜单中的[文件/保存],然后
在Lotus的环境中选择工具栏上的[保存并返回],把审计台账保存进Lotus文档,以便日后的查看或打印。
6)如果需要输出审计台账到外部,请选择MicroSoft Excel菜单中的[文件/另存为],
选择合适的目标路径。这样就可以由别的应用程序使用这些Excel的文档了。
第五章审批进度
审批进度模块提供了随时查看任何一个审批项目进度的功能。审批进度模块以各种图标表示每个项目中的每一类型文件所处的状态,包括:未创建,新建、审批中、修改中、审批完成。
一、审批进度的界面
1.审批进度包括三种显示方式(如图5-1),可以在左边一栏选择,分别是:按项目
查看、按科室查看、按截止日期。
图5-1
2.[按项目查看]是按照每一个项目进度的显示方式。
3.[按科室查看]是按照负责科室分类,显示项目进度的显示方式。
4.[按截止日期]是按照截止日期分类,显示项目进度的显示方式。
二、审批进度的操作
5.单击[打开]或者双击所选定的项目可以打开该项目的立项文件。
6.需要退出审批进度时,可以单击[返回]。
第六章审计档案
审计档案模块提供了将审计完成的文件进行归档和管理的功能。
一、审计档案的界面
1.审批档案包括四种显示方式,可以在左边一栏选择,分别是:按科室分类、按项目
分类、按年度分类、组合查询
2.[按科室分类]是按照每一个归档项目所属科室的分类显示方式。
3.[按项目分类]是按照每一个归档项目单独列出的显示方式。
4.[按年度分类]是按照每一个归档项目所属年度的显示方式。
5.[组合查询]是按照条件查找方式。
二、审批档案的使用方法
6.单击[打开]或者双击所选定的项目可以打开该项目的立项文件。
7.需要退出审批进度时,可以单击[返回]。
第七章综合查询
综合查询模块提供了对所有文档的几种查询功能。
一、综合查询的界面
1.综合查询模块包括全文查询和组合查询两种查询方式,分别在左边栏内选择(如图
7-1)。
图7-1
二、综合查询的使用方法
2.全文查询是根据查询内容在文档的所有内容内查询。需要使用全文查询方式时,如
果上部没有显示搜索条工具,选择工具栏中的[显示搜索条]。在搜索栏(如图7-2)内输入需要查找的文字,选择[搜索]。
图7-2
3.组合查询是以几个关键的字段,如:项目名称、被审计单位、项目所属年度等,分
别输入查询条件,然后在文档内搜索,当文档的几个字段都匹配时才被查询出来。
需要使用组合查询方式时,选择工具栏中的[组合查询],出现一个组合查询的页
面(如图7-3)。在此页面上输入查询内容,选择[开始查询]。
图7-3
4.选择工具栏中的[返回]可以结束综合查询。
第八章流转定稿
流转定稿提供了查看在审批过程中,审计人员的修改历史的功能。
在这个界面中,审计人员只能查看与自己有关的文件修改历史。也可以在审计过程中查看某文件的修改历史
一、流转定稿的界面
1.流转定稿包括五种显示方式,可以在左边一栏选择,分别是:正在审批文件/
按科室分类、正在审批文件/按文件分类、正在审批文件/按项目分类、已审
批文件/按科室分类、已审批文件/按文件分类、已审批文件/按项目分类。
(如图8-1)
图8-1
2.[正在审批文件/按科室分类]包括还未完成审批的文件的修改历史,按照负
责科室分类的显示方式。
3.[正在审批文件/按文件分类]包括还未完成审批的文件的修改历史,按照文
件类别分类的显示方式。
4.[正在审批文件/按项目分类]包括还未完成审批的文件的修改历史,按照项
目分类的显示方式。
5.[已审批文件/按科室分类]包括已经完成审批的文件的修改历史,按照负责
科室分类的显示方式。
6.[已审批文件/按文件分类]包括已经完成审批的文件的修改历史,按照文件
类别分类的显示方式。
7.[已审批文件/按项目分类]包括已经完成审批的文件的修改历史,按照项目
分类的显示方式。
二、流转定稿的操作过程
8.在这里只能用[打开]或双击来查看某一文档的修改历史,不能进行其它操作。
要把文档恢复为以前修改之前的状态,必须在文件审批过程中进行。
9.选择[返回]退出流转定稿功能。
第九章电子邮件
电子邮件模块提供了人员之间的一种联系方式。
一、电子邮件的界面
1.电子邮件包括十种显示方式(如图9-1),可以在左边一栏选择,分别是:收件箱、
草稿、发件箱、所有文档、日历、会议日程、待办事宜、废纸篓、归档、讨论线索。
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12) 编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
审计部管理信息系统—— 项目概要 The document was prepared on January 2, 2021
项目概要 项目名称:审计管理信息系统 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述 系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构
管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:年月日完成可行性研究报告,进行专家论证,申请立项。 系统开发阶段年月日完成系统开发。 系统测试阶段:年月日完成系统测试。 系统试运行阶段:年月日完成试运行及推广。 系统验收阶段:年月日完成验收。
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
IT审计实务 倒计时:00:31:55 单选题(共2题,每题10分) 1 . 以下属于对信息系统一般控制审计的是()。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT(Control Objectives for Information and Related Technology)是目前国际 上通用的IT管理标准之一,属于()。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题(共4题,每题10分) 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则,即信息安全保障与信息 化建设应保持()。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用,下列说法正确的是()。
? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议,可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计,可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一致性 ? D.通过IT审计,审计师对被审计单位信息系统进行诊断咨询,客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状,下列说法正确的是()。 ? A.近年来,审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计,向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括()等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题(共4题,每题10分) 1 . 随着国内企业对IT审计的重视程度的日益提高,国内已形成了强大的从事IT控制与IT 审计的专业人才队伍,对IT审计理解达到了一定的深度和广度。() 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。() 对错
审计管理系统(OA)常见使用问题解答 (2006-5-18) Ⅰ.审计人员 1)问:点击公文标题后,页面显示“正在打开公文”,然后一会就消失了, 没有反应是什么原因? 答:可能本地电脑上安装了“上网助手”之类的工具,把弹出的公文窗口阻止了,请关闭该工具,重试。 2)问:审计管理系统无法打开公文,总是弹出错误提示窗口 “Error?number?…”请问遇到这类问题怎么解决? 答: 这种情况需要注意下列原因: (1)客户端IE浏览器的设置是否正确; (2)windows操作系统登录的用户不能为中文,否则有可能导致无法正常打开公文; (3)建议使用office 2000版本, 查看本机是否存在一些上网助手。3)问:为什么在公文办理时,点击打开一个Word文件(或接着再打开另 外一个本地Word文件),Word的菜单项或工具栏内容少了很多? 答:是因为审计管理系统在使用Word时,对其进行了二次开发以便各种控制需要,把部分不允许使用的功能禁止了。但不对正常的使用产生影响,如在没有打开OA系统内的公文时打开了Word程序,则菜单和工具栏都恢复了原样。在极个别情况下,如果没有恢复,请咨询热线电话,服务人员会很快协助解决此问题。 4)问:公文处理单上的各个区域与公文有什么关系? 答:公文处理单的区域与公文的各类要素是一一对应的,公文程序通过读取处理单上的各个区域内容,在公文套模版的时候把公文各要素(公文标题、发文字号等)填充到正文的相应位置,所以处理单上正文不应该包括公文各基本要素,而只需要正文内容,否则在套模版的时候就会有重复项。
5)问:当某公文不想阅读时,怎么让其不再在待阅列表中出现? 答:在待阅公文界面中有个控件按钮“免读”,选择某个待阅公文,点击免读即可。 6)问:在出差期间,需要本人办理的公文怎么处理? 答:有两种方法:个人办文权限转移和通过委托部门文书管理员 (1)个人办文权限转移 选择“办文权限转移”,选择被委托人和委托开始时间以及委托结束时间,点击“保存”完成个人授权。点击“高级”会弹出如下页面,可以在整个机关选择被委托人员,选择人员后点击“保存”来完成办文权限转移。 提示:委托办理功能的范围为本人所在的部门。 (2)部门文书管理员 以部门文书管理员的身份登录系统,在审计管理区—〉部门文书管理—〉办文权限转移?,出现本部门所有人员列表:选择委托人和被委托人,填写委托开始时间和委托结束时间,然后点击“保存”来完成部门内人员办文权限的转移。 7)问:待阅公文很多,如何让其分类保存? 答:待阅公文(列表)是已入库公文中,由机关文书分发给你的必需看的文件集合。每个用户在公文管理中都有一个“个人文件夹”,用户根据个人需要在个人文件夹中新建类别组,在已阅公文界面中,选择某个公文点击复制,然后选择要把该公文放在哪个分组里即可,以后可以按照个人分类进行查找已阅过的公文。 8)问:为什么公文列表中点击标题后,不能打开相应公文,同时弹出对话 框错误信息? 答:一般情况下先确认是否满足如下条件:? (1)操作系统登录时,登录名不能是中文字,必须是英文或拼音,且最好有密码。如果是中文名称,需要新建一个英文用户,建议以后就用此新建的用户登录。 (2)在“internet选项”中,确认“受信任站点”和“安全站点”的列表中是否有您的OA系统的域名或IP。
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。
涉密系统设计解决方案——三员管理 一、“三员”职责 系统管理员:主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。 安全保密管理员:主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销;用户操作行为的安全设计;安全保密设备管理;系统安全事件的审计、分析和处理;应急条件下的安全恢复。 安全审计员:主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查,及时发现违规行为,并定期向系统安全保密管理机构汇报情况。 二、“三员”配置要求 1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息;不能增删改日志内容。 2、涉密信息系统三员应由本单位内部人员担任,要求政治上可靠,熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识;并签署保密承诺书。 3、系统管理人员和安全保密管理人员可由信息化部门
专业技术人员担任,对于业务性较强的涉密信息系统可由相关业务部门担任;安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。 4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员员和安全审计员不得由同一人兼任。 三、“三员”权限管理流程 当用户需要使用涉密信息系统时,应该首先在本部门提出书面申请,该部门主管领导批准后,根据实际情况对此用户在系统中的权限进行说明,并将整个情况报本单位的保密工作机构备案。 系统管理员收到用户书面申请后,根据该部门主管领导
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
1.1 1.2审计管理系统功能简介 审计管理系统由审计署机关辅助办公系统升级、改造而成。它是一个为审计机关提供领导决策支持、公文流转办理、审计业务管理、信息资源共享、机关事务处理等五个功能于一体的协同工作平台,用以加强审计业务工作的决策、组织、指导和管理,并构建用于支撑审计业务的基础资源数据库,是金审工程一期应用系统建设的一项重要成果。 审计管理系统采用组件化技术及B/S结构和C/S结构相结合的方式开发,以B/S结构为主,部分功能复杂并且用户面较小的软件采用C/S结构。利用中间件的强大功能,基于金审工程应用平台支持,具有动态可重构、扩展能力强的特点。除特殊岗位外的一般用户只需要通过浏览器使用系统,用户界面统一,操作简单,易于掌握。 在征求地方审计机关意见基础上,供地方审计机关本地化部署的审计管理系统地方版和1拖N版功能分区调整为四个: ●个人办公:提供公文阅办流转、业务信息的管理功能。 ●待办工作:集中提示当前用户当前需要办理的工作。 ●信息资源:共享审计业务信息、学习材料和文献等。 ●应用设置:有关业务管理工作非常用的基础配置工作。 1.3审计管理系统在地方审计机关的本地化部署 为了发挥国家基本建设投资的效益,审计署领导决定,将金审工程建设的应用系统推广到地方审计机关使用。审计署信息办除将现场审计实施软件发放地方审计机关推广使用外,又在审计管理系统的基础上,研制了审计管理系统地方版和1拖N版,以供各级地方审计机关有选择地进行本地化部署。 审计管理系统地方版是审计署为适应地方审计机关,特别是省级审计机关,加强审计管理、提高信息技术应用水平、节省信息化建设资金的需要,在金审工程一期投资所建审计管理系统的基础上建设的应用系统,是金审工程一期应用系统建设的一项重要成果。地方版依托国家电子政务网络平台、公共通信网络平台或局域网网络环境,在单一的硬件平台上部署系统,提供给本审计机关及同城或
信息技术中的一般控制测试 【内容导航】: 1.信息技术一般控制的含义 2.信息技术一般控制的环节 【所属章节】: 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】:信息技术中的一般控制测试 1.信息技术一般控制的含义 信息技术一般控制,是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。 2.信息技术一般控制的环节 (1)程序开发 程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。 (2)程序变更 程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标。 (3)程序和数据访问 程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。 (4)计算机运行 计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。 信息技术中的应用控制测试
【内容导航】: 1.信息技术应用控制的含义 2.信息技术应用控制的环节和要素 【所属章节】: 本知识点属于《审计》科目第五章信息技术对审计的影响第三节信息技术中的一般控制和应用控制测试的内容。 【知识点】:信息技术中的应用控制测试 1.信息技术应用控制的含义 信息技术应用控制,是设计在计算机应用系统中的、有助于达到信息处理目标的控制。 2.信息技术应用控制的环节和要素 信息技术应用控制一般要经过输入、处理及输出等环节。 和人工控制类似,系统自动控制关注的要素包括:完整性、准确性、存在和发生等。 各要素的主要含义如下: (1)完整性 系统处理数据的完整性,例如:各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。 (2)准确性 系统运算逻辑的准确性,例如,金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。 (3)存在和发生 信息系统相关的逻辑校验控制。例如,限制检查、合理性检查、存在检查和格式检查等。 部分业务操作的授权管理,例如,入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。
第1页(共2页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序是否科学合理,是否受到恰当的控制;
第2页(共2页) 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模块结构图中,用带实心圆点的箭头表示控制信息。
信息系统审计 电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。 2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。 3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。 4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试) 6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密 通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。 7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定