当前位置:文档之家 › 《信息技术审计概述》课件

《信息技术审计概述》课件

  • 格式:ppt
  • 大小:5.13 MB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

《信息系统审计内容》课件

《信息系统审计内容》课件
《信息系统审计内容》 PPT课件
本课件将介绍信息系统审计的内容,包括定义、意义、分类和流程,以及不 同类型的审计与实践案例。鼓励学习者深入了解和研究信息系统审计。
第一部分:介绍信息系统审计
• 信息系统审计的定义及概念 • 信息系统审计的意义和目的 • 信息系统审计的分类和类型 • 信息系统审计的流程与方法
第二部分:信息系统审计的内容
信息ቤተ መጻሕፍቲ ባይዱ统的组成与管理审计
审计信息系统的架构、组件、与管理流程, 确保其有效运作和风险的管理。
信息系统运行和性能审计
分析和评估信息系统的运行状况、性能及效 率,以确保系统满足用户需求和业务目标。
信息系统安全性审计
评估信息系统的安全策略、控制措施和风险 管理,以保护数据和系统不受恶意活动的影 响。
信息系统使用与合规性审计
审计信息系统的合规性,包括合规性策略和 操作,并确保系统妥善使用和遵守相关法规。
信息系统风险管理审计
评估信息系统的风险管理框架和过程,以减 少潜在风险和应对紧急情况。
其他相关内容的审计
审计其他与信息系统相关的内容,如数据质 量、业务连续性和合同管理等。
第三部分:信息系统审计的实践案例
讨论信息系统审计报告的撰写和提交流程,以 及如何向相关方面传达审计发现。
结束语
• 总结信息系统审计的重要性和必要性 • 展望未来信息系统审计的发展趋势 • 鼓励学习者进一步了解和研究信息系统审计
大型公司信息系统审计实践案例
探索大型公司如何进行信息系统审计,以确保 业务运行的透明度和合规性。
政府机关信息系统审计实践案例
了解政府机关如何审计信息系统,以保护敏感 数据和公共利益的安全。
国内外企业信息系统审计实践案例

《信息技术审计概述》课件

《信息技术审计概述》课件

ቤተ መጻሕፍቲ ባይዱ 实践案例分析
XX公司的信息技术审计
分析XX公司的信息技术系统和 流程,提供改进建议和风险管 理措施。
XX银行的信息技术审计
评估XX银行的网络安全和数据 保护措施,确保客户信息的机 密性和完整性。
XX医院的信息技术审计
审计XX医院的电子健康记录系 统,确保患者数据的隐私和安 全。
总结和展望
1 信息技术审计未来发展趋势
展望信息技术审计的未来发展趋势,包括大数据审计和人工智能的应用。
2 提高信息技术审计质量的建议
分享提高信息技术审计质量的实用建议,如持续学习和与业界专家合作。
3 信息技术审计的重要性再强调
总结课程内容,强调信息技术审计对组织的重要性和长期价值。
《信息技术审计概述》 PPT课件
欢迎来到《信息技术审计概述》课程,本课程将带您深入了解信息技术审计 的重要性和方法,以及如何提高审计质量。
审计概念和原则
信息技术审计的定义
了解信息技术审计的概念 和目标,明确它在企业中 的作用和影响。
审计的目的和重要性
探讨审计的目的,并解释 为什么信息技术审计对企 业的健康发展至关重要。
审计的基本原则
介绍信息技术审计所遵循 的基本原则,如独立性、 完整性和保密性。
信息技术审计方法论
1
审计周期的划分
了解信息技术审计的周期,并学习如何合理划分审计活动的不同阶段。
2
审计流程和步骤
探索信息技术审计的典型流程和步骤,并了解如何有效管理审计项目。
3
信息技术审计的具体方法
介绍常用的信息技术审计方法,如抽样检查、数据分析和系统测试。
信息技术审计内容
数据中心审计
深入研究数据中心 的安全措施和数据 管理流程,确保数 据的可靠性和可用 性。

信息系统审计介绍课件

信息系统审计介绍课件

收集审计资料:收集信息系统相关的文档、数据、流程等信息
确定审计重点:根据审计目标和资料,确定审计的重点领域和关键环节
审计实施阶段
确定审计范围和目标
01
收集和整理审计证据
02
分析和评估审计证据
03
编写审计报告和提出建议
04
跟进审计建议的实施情况
05
总结审计经验和教训
06
审计报告阶段
审计报告的编写:根据审计结果,编写详细的审计报告
01
审计报告的审核:由审计团队负责人对审计报告进行审核,确保报告的准确性和完整性
02
审计报告的提交:将审计报告提交给相关部门或人员,以便采取相应的措施
03
审计报告的跟踪:对审计报告的实施情况进行跟踪,确保审计建议得到有效执行
04
3
信息系统审计方法
审计技术
风险评估:评估信息系统面临的风险,确定审计重点
03
提高信息系统的合规性:通过审计,可以确保信息系统符合相关法规和标准,降低法律风险。
04
信息系统审计的目标
确保信息系统的安全性
评估信息系统的风险
提高信息系统的效率和效果
确保信息系统的合规性
01
03
02
04
2
信息系统审计流程
审计准备阶段
确定审计目标:明确信息系统审计的目的和范围
制定审计计划:确定审计方法、时间表和资源分配
07
监控审计:对信息系统的运行情况进行实时监控,发现异常行为
08
合规性审计:检查信息系统是否符合相关法规和标准
09
业务连续性审计:评估信息系统的业务连续性计划和措施的有效性
10
审计工具
审计软件:用于自动化审计流程的工具

信息系统审计概论

信息系统审计概论

日本通产省情报处理开发协会信息系统审计委员会定 义为:为了信息系统的安全、可靠与有效,由独 立于审计对象的信息系统审计师,以第三方的客 观立场对以计算机为核心的信息系统进行综合的 检查与评价,向信息系统审计对象的最高领导, 提出问题与建议的一连串的活动。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
信息系统审计师应该做到:
严格遵循相关实施准则、程序及控制,遵守相关法规;
依据职业准则及最佳实践原则要求自己,做到敬业、公正 及审慎;
以合法的诚实的方式为利益相关者服务,保持高尚的品行,
不从事有损与信息系统审计职业的活动;
除非官方要求揭露,必须维护履行职责进程中获得信息的
隐私与机密,不用于个人利益或泄露给不适合的组织;
NANJING AUDIT UNIVERSITY
信息系统架构控制与审计 一个组织要建立信息系统,就需要有效地建立、控制
和管理好其信息技术基础架构。本章主要介绍学习如何正 确评价组织的信息技术基础设施和运行管理(日常运行事 务、系统执行与监控)的效果和效率。
信息系统开发及审计 信息系统开发过程中的问题和错误会产生“积累放大”
IT基础架构库(ITIL):
是IT服务管理最佳做法的一套全面、一致和相关的代码,己在全世界被 广泛采纳为IT服务标准。
ITIL包含下面五个部分:the business perspective(商业远景) 、 managing applications(应用管理) 、delivery of IT services (IT服 务的交付) 、support of IT services (IT服务支撑) 、manage the infrastructure. (基础设施管理)。

信息系统审计概述(ppt 86页)

信息系统审计概述(ppt 86页)
建立信息系统审计制度是建立信 息化“游戏规则”的重要组成部分。
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;

信息安全审计课件完整版

信息安全审计课件完整版

信息安全威胁分类:
威胁分类 国家安全威胁 共同威胁 局部威胁
攻击者 信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙 社会型黑客 娱乐型黑客
攻击行为描述 主动攻击重要目标,制造混乱 搜集政治、军事、经济信息 破坏公共秩序,制造混乱 获取商业机密,占据竞争优势 进行报复,以实现经济目的 通过恐吓、挑衅,获取金钱和声望 不以经济利益为目的,喜欢挑战
• 了解密码学与密码学的主要技术 • 了解网络安全技术 • 理解信息系统安全的威胁
2.1 密码学
密码学的发展历史可划分为三个阶段: • 第一阶段——古代到1949年 • 第二阶段——1949年到1975年 • 第三阶段——1976年至今
专业术语:
• 密钥(Key):加密和解密算法通常是在一组密钥 (Key)控制下进行
• 明文:没有进行加密,能够直接代表原文含义的信息 • 密文:经过加密处理之后,隐藏原文含义的信息 • 加密(Encryption):将明文转换成密文的实施过程 • 解密(Decryption):将密文转换成明文的实施过程 • 加/解密算法:密码系统采用的加密方法和解密方法
密码学的传统模型:
网络安全使用密码学来辅助完成在传递敏感信 息的相关问题:
信息系统安全防范十项原则
(5)规范标准原则,信息系统要遵守统一的规范和标 准,确保互连通性和互操作性,实现各分系统的一致性 (6)全体参与原则,是全体相关人员的责任。安全管 理制度和措施得不到相关人员的切实执行,安全问题根 本无法解决 (7)技术与管理结合原则,信息系统安全涉及人员、 技术、操作、设备等因素,仅靠技术或仅靠管理都无法 保证安全,技术与管理必须有机结合
信息系统安全防范十项原则
(1)预防为主,在信息系统的规划、设计、采购、集 成和安装中要同步考虑信息安全问题,不可心存侥幸 (2)木桶原则,防范最常见的攻击,提高最薄弱点的 安全性能 (3)成熟技术原则,优先选用成熟的技术,谨慎使用 前沿技术,以便得到可靠的安全保证 (4)适度安全原则,绝对的安全实际上是没有的,要 正确处理安全需求与实际代价的关系

12计算机审计与信息系统审计课件

12计算机审计与信息系统审计课件

利用计算机审计
利用计算机审计又称为计算机辅助审计,是指 利用计算机技术和审计软件对会计信息系统所 进行的审计。
主要在1965-1970这一阶段,会计信息系统被 广泛应用。利用计算机技术和审计软件,可以 帮助审计人员减轻负担、加快审查速度、提高 审计效率。
审计软件一般分为两种:
一种是通用审计软件,能够获取、计算、分析会计 信息系统中的数据,适用于多种审计工作。
应用控制(AC)
与具体的应用系统有关,确保数据处理完整和正确。 应用控制的设计结合具体业务进行。
一般控制与应用控制的关系
应用控制的有效性取决于一般控制的有效性 一般控制是应用控制的基础,当一般控制薄弱时,应用控制
无法提供合理保障
一般控制审计的内容
一般控制审计的五大内容
IT治理 开发或采购审计 运行与维护审计
安全审计 灾难恢复和业务连续性计划
1. 评估IT治理结构的效果,确保董事会对IT决策、 IT方向和IT性能的充分控制;
2. 评估IT组织结构和人力资源管理; 3. 评估IT战略及其起草、批准、实施和维护程序; 4. 评估IT政策、标准和程序的制定、批准、实施
联网审计的过程
预警指标 原始数据
审计
审计作业系统
疑点信息和审计数据 审计预警监控系统
预警方案
数据实时采集及转换
信息系统
输出数据
联网审计的优缺点
优点:
拓展了审计时空,加强了审计监督职能。可以实时 连续地抽取审计数据,进行实时远程审计。变事后 审计为事前、事中审计,变静态审计为动态审计, 提高了审计效率,加强了审计的监督作用。
信息系统逻辑结构示意图
信息资产保护
组织结构 管理政策
服务器、工作站、打印机 人

审计学基础最新版精品课件第11章 现代信息审计技术

审计学基础最新版精品课件第11章 现代信息审计技术

“我们在保护机密信息和不断审查和加强网络安全方面投入大量资金,仍然致力 于确保我们的网络安全防御在领域内上是最好的。我们将继续评估这个问题,并 根据需要采取更多措施。我们的审查使我们能够确定黑客做了什么,以及什么信 息有风险。数量只是被提及数额中的很小一部分。” 尽管所有主要公司都是黑客攻击的目标,但这一漏洞对德勤来说是一件非常尴尬 的事情,它引发大家进一步正视并思考网络环境下的信息安全风险,以及如何采 取有效现代信息技术来加强审计。
(三)测试数据 (四)快照 (五)跟踪 (六)嵌入式审计模块 (七)程序编码审查 (八)程序代码比较
三、面向数据的计算机辅助审计技术
主要是指利用计算机技术对信息系统中所存储和处理的电子数据进行 的审计,具体来讲主要包括对被审计单位内外部相关的电子数据进行采集、 转换、清理、验证和综合分析,以帮助审计人员快速掌握总体情况,发现 审计线索,收集审计证据,形成审计结论,最终实现审计目标。面向数据 的计算机辅助审计技术的应用,主要包括三个重要的步骤:审计数据采集、 审计数据预处理和审计数据分析。
(二)现代信息审计的特点
将现代信息审计与传统审计相比较,它具有如下一些明显的特点。 1、扩大审计覆盖面,提高审计效率。 2、丰富审计手段,保证审计项目质量。 3、整合审计资源,确保审计时效。
四、现代信息审计的准则
(( 二一 )) 现现 代代 信信 息息 审审 计计 的的 国国 外内 准准 则则
表1 国外相关规范的概况
问题思考:
在信息化环境下,为了应对信息技术对审计的要求和挑战,审计人员应 该应用哪些审计技术?
第一节 现代信息审计技术概述
一、现代信息审计的产生与发展
(一)电子数据处理审计的产生与发展 电子数据处理(Electronic Data Processing)简称EDP审计,它不仅是

信息科技风险审计方法及过程概述PPT(共 50张)

信息科技风险审计方法及过程概述PPT(共 50张)
信息科技风险审计 方法及过程
——摘自北京时代新威信息技术有限公司 《信息科技风险审计战略部署》
为帮助银行客户满足银监会《商业银行 信息科技风险审计管理指引》等相关监管要 求,同时进一步加强信息技术建设,全面强 化风险管理,越来越多的企业已经开始为多 家银行提供信息科技风险审计服务了,本文 就是北京时代新威信息技术有限公司(以下 简称时代新威)内部人员总结出的对于信息 科技风险审计的方法及过程。
信息科技运行战略必须要解决下述主要问题:
(1)保证构造合理的信息系统结构并将其实现。 (2)保证新系统开发方式可以满足企业长期维
护的目标。 (3)保证内部和外部采购的决策能得到认真的
考虑。 (4)决定信息技术运行是由一个部门管理还是
分成一系列小单元管理,按照小单元进行管 理虽然成本高,但是能为用户提供更好的服 务。
信息科技风险审计范围:
一)信息科技治理 二)信息科技风险管理 三)信息安全 四)信息系统开发测试和维护
五)信息科技运行 六)业务连续性管理 七)外包 八)内部审计 九)外部审计
信息科技风险审计之 ——信息科技治理
信息科技治理是指对现代信息技术如 通讯技术,信息处理技术、控制技术等的 科学管理活动和过程。时代新威的审计专 家指出,“它是以信息服务业务的开展与 社会的实际需要作为依据,组织好各种信 息技术的开发和应用,并对信息技术进行 标准化、规范化管理。”
信息科技治理战略必须要解决下述主要 问题:
(1)保证构造合理的信息系统结构并将其实现。
(2)保证新系统开发方式可以满足企业长期维护的目标。
(3)保证内部和外部采购的决策能得到认真的考虑。
(4)决定信息技术运行是由一个部门管理还是分成一系列 小单元管理,按照小单元进行管理虽然成本高,但是能为用 户提供更好的服务。

《计算机审计》课件

《计算机审计》课件

谢谢您的聆听
THANKS
解决方案
加强审计人员的技能培训,提高其计 算机技能和知识水平。同时,鼓励审 计人员参加专业认证考试,以提高其 专业素养和竞争力。
06
计算机审计未来发展趋势
大数据技术在计算机审计中的应用
数据采集
大数据技术能够从海量数据中快 速、准确地提取审计所需的信息 ,提高数据采集的效率和准确性

数据分析
大数据技术可以对海量数据进行多 维度、多层次的分析,发现数据之 间的潜在联系,为审计提供更深入 的洞察。
计算机审计
CONTENTS
• 计算机审计概述 • 计算机审计技术 • 计算机审计流程 • 计算机审计应用领域 • 计算机审计面临的挑战与解决
方案 • 计算机审计未来发展趋势
01
计算机审计概述
定义与特点
定义
计算机审计是指利用计算机技术对被 审计单位进行审计的方法,包括对被 审计单位的电子数据、信息系统、业 务流程等进行审查和评估。
密规定。
数据存储技术
数据存储
数据存储的注意事项
是指将采集到的数据存储在审计软件 或其他工具中,以便后续分析和处理 。
确保数据存储的安全性和可靠性,遵 守相关法律法规和保密规定。
数据存储的分类
按照存储方式可以分为在线存储和离 线存储,按照存储介质可以分为磁盘 存储和磁带存储等。
数据处理技术
数据处理
特点
计算机审计具有高效性、全面性、准 确性和客观性等特点,能够快速准确 地获取审计证据,提高审计效率和准 确性。
计算机审计的重要性
提高审计效率
增强审计准确性
计算机审计能够快速处理和分析大量数据 ,缩短审计时间,提高审计效率。

【精品】信息技术与计算机审计PPT课件

【精品】信息技术与计算机审计PPT课件

4.系统实施阶段:
其主要任务是根据系统详细设计说明书 用选定的程序语言或编程工具编写源程 序,进行程序的测试、模块的联调和系 统的总调,编写出系统操作手册或用户 手册,组织系统的试运行与评审。此阶 段的主要文档资料包括源程序表,系统 测试报告、操作手册和评审报告等。
5.运行维护阶段:
其主要任务是正式使用系统,并且在需 要时进行系统维护。此阶段的主要文档 资料有系统运行日志和系统维护报告。
(2)后备控制
①硬件备份 ②磁性文件备份 ③应急计划(又叫灾难补救计划)—— 指预先制定的,万一系统出现灾难性损 毁时的应急措施和利用后备的硬件、软 件、数据文件恢复系统的计划。
(3)环境安全控制
①电源的控制 ②其他环境控制 (4)计算机病毒与黑客的防范控制
2.系统的开发与维护控制
(1)系统开发前应进行可行性研究。 (2)系统的设计应有用户的代表和内审人 员的参加。 (3)系统的检测应有用户代表和内审人员 的参加,经验测满意的新系统,要经过 与原系统并行试运行一定时期,并经过 审批才能正式投入使用。 (4)系统正式投入运行以前,应按规范要 求编制好系统的文档资料。
六、对计算机信息系统的功能 或应用程序审计的技术
1.测试数据法:它是设计测试性数据以 检查计算机系统是否能按预期要求运作 的方法。
采用检测数据法对计算机系统的功能进 行审查的方法是:把预先准备好的检测 业务输入被审的系统进行处理,得到处 理的结果与审计人员根据正确的处理原 则准备的应有结果比较,进而导出审计 结论。
2.系统分析阶段:
其主要任务是在可行性分析的基础上, 对原有系统进行详细调查分析,收集原 系统所有的文件(凭证、帐薄、报表等) 样本,明确用户对系统的全部需求(包括 功能、性能、安全等),根据用户需求 提出新系统的逻辑模型。此阶段的主要 文档资料是系统分析报告。

信息技术审计概述

信息技术审计概述
-4-
(二)信息技术审计发展
1.国外信息技术审计的发展 20世纪60年代——信息技术审计萌芽期 IBM公司出版的有关文献,首先给出了电子数据处理环境下的内部 审计规则和组织方法,介绍了许多新的概念、术语及审计技术等。 美国注册会计师协会出版了《电子数据处理系统与审计》一书,探 讨了审计与电子数据处理系统的关系,提出了若干计算机辅助审计的方 法。 20世纪70-80年代——信息技术审计发展期 国际内部审计师协会出版《系统控制与审计》,进一步总结了电 子数据处理系统(Electronic Data Processing System,EDP)的控制 与审计,提出了不少行之有效的计算机辅助审计的方法和技术。 美国注册会计师协会出版了《计算机辅助审计技术》,详细介绍了 利用计算机辅助审计。
信息技术审计是适应审计环境、审计对象发展变化的必然结 果,是内部审计工作转型的内在要求。学习和应用信息技术, 就是要以其为手段,构建审计信息化平台,拓展审计空间,提 升审计效果,为内部审计工作注入现代的气息和活力,促进审 计思维、审计方式、审计内容的转变。
-3-
(一)信息技术审计产生的必然性
1.直观可见的审计线索减少 2.部分人工业务处理由计算机自动处理代替 3.内部控制更依赖于信息技术 4.差错因素发生重大变化 5.企业信息系统的集成化
信息技术审计概述
大庆油田公司 张杰 二OO九年十一月九日
目录
一、信息技术审计的产生及发展 二、信息技术审计的主要形态 三、国内审计信息化的动向 四、中油计算机辅助审计系统概况
-2-
一、信息技术审计的产生及发展
知识经济和信息技术(IT)的高速发展,推动全球进入信息 时代。 这个时代的显著特征之一就是:IT技术被广泛应用于社 会的各个领域,成为社会发展的重要支柱。

审计05信息技术审计

审计05信息技术审计

第一模块审计基本原理——第五部分信息技术审计第14讲信息技术审计本讲涉及的知识点分为:知识点一信息技术对内部控制的影响知识点二信息技术中的一般控制、应用控制以及公司层面信息技术审计知识点三信息技术对审计过程的影响知识点四计算机辅助审计技术和电子表格的运用知识点五不同信息技术环境下的问题知识点六数据分析考情分析本讲属于不重要的内容。

近几年只在2016年考查过一道单选题。

数据分析为2017年新增内容,大家稍作关注,其余内容可在听课理解基础上战略性放弃。

知识点一信息技术对内部控制的影响1.信息技术和财务报告的关系●信息技术对财务核算的影响(1)计算机输入和输出设备代替了手工记录;(2)计算机显示屏和电子影像代替了纸质凭证;(3)计算机文档代替了纸质日记账和分类账;(4)网络通信和电子邮件代替了公司间的邮寄;(5)管理需求固化到应用程序之中;(6)灵活多样的报告代替了固定的定期报告;(7)数据更加充分,信息实现共享;(8)系统问题的存在比偶然性误差更为普遍。

●对注册会计师的要求注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。

2.信息技术对内部控制的影响●积极影响概括地讲,自动控制能为企业带来以下好处:(1)自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;(2)自动控制比较不容易被绕过;(3)自动信息系统、数据库及操作系统的安全控制可以实现有效的职责分离;(4)自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;(5)自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

3.信息技术产生的风险特定的风险:(1)信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;(2)自动信息系统、数据库及操作系统的安全控制如果无效,会增加对数据信息非授权访问的风险;(3)数据丢失风险或无法访问的风险,如系统瘫痪;(4)不适当的人工干预,或人为绕过自动控制。

信息系统审计概论(ppt 90张)

信息系统审计概论(ppt 90张)

第一章 信息系统审计概论
第二节 信息系统审计的目标、依据和内容 一、信息系统审计的目标
ISA目标一般分为:一般审计目标、特定审计目标
NANJING AUDIT UNIVERSITY
一般目标:是进行所有信息系统审计都必须达到的 目标。 特定目标:指针对特定信息系统的审计目标。 一般来说,ISA的审计目标主要包括: 提高信息系统资产的安全性目标:IS资产包括硬件、 软件、人力资源、数据文件及系统文件等 保护信息系统数据的完整性目标 提高信息系统有效性(效率和效益性)目标 提高信息系统的合法性、合规性目标
SAS70 SAS 70 是经国际确认,由美国注册会计师协会 (American Institute of Certified Public Accountants , AICPA) 所制定的标准。 SAS 70 审计被公认为是针对服务提供商环境(包括网络和相关程序的控制措施) 最权威的安全性审计。
第一章 信息系统审计概论
NANJING AUDIT UNIVERSITY
Ron Weber 定义: 搜集并评价证据,以判断一个计算机系 统(信息系统)是否有效的做到保护资产、维护数据完 整、完成组织目标,同时最经济的使用资源。 从以上定义可以看出,信息系统审计的两个方面职能: 从外部审计的角度, ISA实现-------监证目标(“保证”职 能) 从内部审计的角度, ISA实现-------管理目标(“咨询”职 一般定义 能) : 根据公认的标准和指导规范,对信息系统从计 划、研发、实施到运行维护各个环节进行审查评价,对 信息系统及其业务应用的完整、效能、效率、安全性进 行监测、评估和控制的过程,以确认预定的业务目标得 以实现,并提出一系列改进建议的管理活动。
NANJING AUDIT UNIVERSITY
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《信息技术审计概述》
7
(二)信息技术审计发展
内部审计的信息化研究和建设起步于本世纪初,在国家审计 署的大力倡导和影响下,内部审计信息化取得了一定的进展。当 前,大多数内部审计机构主要以计算机技术辅助审计的方式开展 IT审计,审计人员利用审计软件、数据库和电子表格进行数据的 采集转化和分析核查,在审查舞弊中取得了一定效果。中国石化 自2004年以来,启动了在ERP环境下的辅助审计信息系统(英 文缩写AIS)开发、推广应用工作,尝试开展在线和远程审计。 宝钢集团开发了具有针对性的审计软件,基本实现审计自动化。 四川航天技术研究院从2006年开始启动并实施了计算机辅助审计 工程,推行网络审计方法。信息系统审计,包括风险、控制在信 息系统审计中的运用,目前尚处在探索和研究阶段。
信息系统审计是通过对信息系统的安全性、可靠性、完整性、 效率性和效果性等进行检查、评价和报告活动,协助企业建立完善、 可行的信息技术管理机制,平衡企业信息化过程中的风险,促进信 息技术目标与企业业务目标的协调发展。
《信息技术审计概述》
10
二、信息技术审计的主要形态
(一)区别 审计范围及重点不同。信息系统审计的范围涵盖了信息系统的
1.直观可见的审计线索减少 2.部分人工业务处理由计算机自动处理代替 3.内部控制更依赖于信息技术 4.差错因素发生重大变化 5.企业信息系统的集成化
《信息技术审计概述》
4
(二)信息技术审计发展
1.国外信息技术审计的发展 20世纪60年代——信息技术审计萌芽期 IBM公司出版的有关文献,首先给出了电子数据处理环境下的内部 审计规则和组织方法,介绍了许多新的概念、术语及审计技术等。 美国注册会计师协会出版了《电子数据处理系统与审计》一书,探 讨了审计与电子数据处理系统的关系,提出了若干计算机辅助审计的方 法。 20世纪70-80年代——信息技术审计发展期 国际内部审计师协会出版《系统控制与审计》,进一步总结了电 子数据处理系统(Electronic Data Processing System,EDP)的控制 与审计,提出了不少行之有效的计算机辅助审计的方法和技术。 美国注册会计师协会出版了《计算机辅助审计技术》,详细介绍了 利用计算机辅助审计。
《信息技术审计概述》
5
(二)信息技术审计发展
20世纪90年代至今——信息技术审计普及期 基于信息技术的连续审计(continuous auditing)及其内涵下的 “技术驱动型审计方法”(technology-enabled auditing)得到应 用。连续审计实现审计人员和被审计单位电子数据的及时连接和交 互,克服当前审计的滞后性,有效缩短审计周期,能为相关方提供更 及时的风险和控制鉴证服务。连续审计不但是审计技术的变化,还 涉及到审计方法的更新和审计流程的变革,审计对象更加宽泛,审 计期限、审计实施时间及审计报告更为及时迅速,审计报告更具决 策相关性。根据普华永道《2006年内部审计行业调查报告》的调查 结果,被调查的美国公司中有半数的公司目前正在开展连续审计。
信息技术审计概述
二OO九年十一月九日
《信息技术审计概述》
1
目录
一、信息技术审计的产生及发展 二、信息技术审计的主要形态 三、国内审计信息化的动向 四、中油计算机辅助审计系统概况
《信息技术审计概述》
2
一、信息技术审计的产生及发展
知识经济和信息技术(IT)的高速发展,推动全球进入信息 时代。 这个时代的显著特征之一就是:IT技术被广泛应用于社 会的各个领域,成为社会发展的重要支柱。
途 径
开发计算机审计系统
途 径
利用通用计算机技术
途 径
运用IT治理相关标准
审计思维转变
审计手段转变

进 审计方式转变
审计内容转变
《信息技术审计概述》
9
二、信息技术审计的主要形态
计算机数据审计是以被审计单位信息系统和底层数据库原始数 据为切入点,在对信息系统进行检查测评的基础上,通过对底层数 据的采集、转换、整理、验证,形成审计中间表,并运用查询分析、 多维分析、数据挖掘等技术方法进行数据分析,发现趋势、异常和 错误,把握总体、突出重点,从而收集审计证据,实现审计目标。
国际信息系统审计与控制协会ISACA在世界100多个国家与地区 设立了160多个分会,制定和颁布了信息及其相关技术控制目标 (Control Objectives for Information and related Technology, COBIT)、信息系统审计准则,信息系统审计作为一种制度保证和IT 治理的重要方式受到了广泛关注。
《信息技术审计概述》
8
二、信息技术审计的主要形态
目前,信息技术审计主要表现为两种形态:一是计算机数据审计; 二是信息系统审计。信息系统审计是对计算机数据审计的继承与发展, 信息系统审计和计算机数据审计构成了现阶段IT审计的两大主题,二 者交汇融合、互为支撑,既有一定区别,又存在着紧密的联系。
计算机数据审计 信息系统审计
《信息技术审计概述》

(二)信息技术审计发展
2.国内信息技术审计的发展 在信息技术审计方面,政府审计成为主导者和先行者。国家 审计署从上世纪80年代末开始,就把信息技术审计列入发展规划 中。2001年审计署制定了《信息化建设总体目标和构想》,2002 年开始实施了“金审工程”,其目标是建成国家审计信息系统, 包括审计管理系统、审计作业系统、审计信息资源、网络互联系 统、安全保障系统、运行服务系统。 ——2002年,金审工程一期建设全面启动。 ——2003年,金审工程一期开发的审计管理系统(OA)上 线运行。 ——2004年,金审工程一期开发的现场审计系统(AO)部 署运行。 ——2007年,金审工程二期建设全面启动。
信息技术审计是适应审计环境、审计对象发展变化的必然结 果,是内部审计工作转型的内在要求。学习和应用信息技术, 就是要以其为手段,构建审计信息化平台,拓展审计空间,提 升审计效果,为内部审计工作注入现代的气息和活力,促进审 计思维、审计方式、审计内容的转变。
《信息技术审计概述》
3
(一)信息技术审计产生的必然性