信息系统审计

NANJINGAUDITUNIVERSITY本课程主要内容:信息系统审计概论IT治理审计信息系统架构控制与审计信息系统开发及审计信息系统运营与维护审计信息安全控制与审计信息系统审计技术方法《信息系统审计》NANJINGAUDITUNIVERSITY信息系统审计概论ISA的定义、目标、内容、信息系统审计风险、信息系统控制与审计、审计程序，以及信息系统审计的准则、控制模型等。本章主要介绍有关信息系统审计的基本概念和基本理论。IT治理审计通过本章的学习，信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务，以达到公司治理中对IT方面的要求。NANJINGAUDITUNIVERSITY信息系统架构控制与审计一个组织要建立信息系统，就需要有效地建立、控制和管理好其信息技术基础架构。本章主要介绍学习如何正确评价组织的信息技术基础设施和运行管理（日常运行事务、系统执行与监控）的效果和效率。信息系统开发及审计信息系统开发过程中的问题和错误会产生“积累放大”效应，并会使企业付出高昂的代价。因此，通过对信息系统开发过程中每个阶段的跟踪审计，及时发现每个阶段的错误，并得到及时修正，从而保障整个信息系统的质量。NANJINGAUDITUNIVERSITY信息系统运营与维护审计保证一个组织已经建立的信息系统能高效的为其服务，离不开对其良好的操作、运行管理（日常运行事务、系统执行与监控）和维护，使其保持最佳的运行状态。因此，对信息系统运行和维护过程的审计非常重要，是对整个信息系统实现高效服务的保障。本章即介绍信息系统运营和维护过程的审计。信息系统安全控制与审计信息技术环境下信息系统的脆弱性和威胁，使信息系统及其产生的信息存在信息安全风险。本章主要介绍如何对信息系统进行安全审计与控制，从而使信息系统的风险降到最低。NANJINGAUDITUNIVERSITY信息系统审计技术与方法面对错综复杂的信息系统和审计环境，向审计人员提出了挑战，审计人员实施审计的难度很大，需要运用许多技术、方法和工具来辅助他们进行审计工具。本章即介绍一些有关信息系统审计的技术和方法。NANJINGAUDITUNIVERSITY第一章信息系统审计概论第一节信息系统审计及其产生与发展一、何谓信息系统审计（ISA）？国际信息系统审计委员会(ISACA)定义：是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程。日本通产省情报处理开发协会信息系统审计委员会定义为：为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导，提出问题与建议的一连串的活动。NANJINGAUDITUNIVERSITY从以上定义可以看出,信息系统审计的两个方面职能:从外部审计的角度,ISA实现-------监证目标（“保证”职能）从内部审计的角度,ISA实现-------管理目标（“咨询”职能）第一章信息系统审计概论一般定义:根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。RonWeber定义:搜集并评价证据，以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源。NANJINGAUDITUNIVERSITY第一章信息系统审计概论注：ISACA（InformationSystemAuditandControlassociation，信息系统审计与控制协会）：是最有权威的信息系统审计行业组织，总部设在美国。主要从事ISA相关理论与实务研究，制定相关ISA标准、规范、执业指南等；也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。根据ISA概念，应理解：ISA的主体：有胜任能力的信息系统独立审计机构或人员机构：政府审计机构、内部审计机构、会计和审计事务所、信息化鉴证咨询机构等中介组织人员：注册会计师、审计人员、信息技术人员，等。实施ISA的人员称为：信息系统审计师(或:IT审计师)NANJINGAUDITUNIVERSITYCISA：（CertifiedInformationSystemAuditor，注册信息系统审计师）：取得CISA资格的审计人员，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。第一章信息系统审计概论CISA从事的活动：1、对信息系统的可靠性、安全性、稳定性和有效性进行审计、检查、评价、咨询，并提出建议；2、对信息系统的内部控制和风险进行检查、评价、咨询以及提出改进建议。NANJINGAUDITUNIVERSITY第一章信息系统审计概论信息系统审计师相关知识和能力要求：知识要求:审计学相关知识:审计学的基本理论、实务信息系统计划、开发和运营等相关知识：.信息系统构成相关知识；·信息化战略规划、构想、提案、立项等相关知识；·系统设计、程序设计、软件测试等相关知识；·系统操作和管理、数据管理等相关知识；信息系统审计实施相关知识：·经营管理方面相关知识；·信息安全管理相关知识；·业务对象相关知识；·相关法律和法规；能力方面要求如下：·系统审计的相关能力；·审计的立项、分析、评价相关能力；·信息收集、审核、审计方法掌握、相关技巧运用方面的能力；·审计报告制作能力；NANJINGAUDITUNIVERSITY第一章信息系统审计概论信息系统审计师应该做到:严格遵循相关实施准则、程序及控制，遵守相关法规；依据职业准则及最佳实践原则要求自己，做到敬业、公正及审慎；以合法的诚实的方式为利益相关者服务，保持高尚的品行，不从事有损与信息系统审计职业的活动；除非官方要求揭露，必须维护履行职责进程中获得信息的隐私与机密，不用于个人利益或泄露给不适合的组织；维持独立性及客观性，获得充分及客观的证据，作出审计结论；保持在审计信息系统控制相关领域的技能，完成审计任务；审计结果向相关组织、部门和个人报告。NANJINGAUDITUNIVERSITY二、ISA特点：•ISA是一个过程，贯穿于整个信息系统生命周期；•ISA的对象具有综合性和复杂性；•ISA拓展了传统审计的目标；•ISA是事前、事中、事后审计的综合体；•ISA的内容更加广泛；•ISA是一种基于风险基础审计的理论和方法。第一章信息系统审计概论信息系统审计的对象：被审计的信息系统信息系统审计工作的核心：客观地收集和评估证据信息系统审计的目的：对信息系统的可用性、保密性、完整性进行评估并提供反馈、保证及建议NANJINGAUDITUNIVERSITY三、ISA发展简介ISA的发展经历了几个阶段：早期阶段：手工审计阶段（绕过计算机阶段）萌芽阶段：EDP（电子数据处理）审计阶段发展阶段：信息系统审计阶段第一章信息系统审计概论ISA发展处于领先的国家：美国、日本、加拿大，等我国ISA的发展：起步于：20世纪80年代目前状况：处于EDP审计阶段“金审工程”简介：（参见教材）NANJINGAUDITUNIVERSITY第一章信息系统审计概论第二节信息系统审计的目标、依据和内容一、信息系统审计的目标ISA目标一般分为：一般审计目标、特定审计目标一般目标：是进行所有信息系统审计都必须达到的目标。特定目标：指针对特定信息系统的审计目标。一般来说，ISA的审计目标主要包括：提高信息系统资产的安全性目标：IS资产包括硬件、软件、人力资源、数据文件及系统文件等保护信息系统数据的完整性目标提高信息系统有效性（效率和效益性）目标提高信息系统的合法性、合规性目标NANJINGAUDITUNIVERSITY第一章信息系统审计概论二、信息系统审计依据审计依据：也称审计标准，是审计人员实施审计时，判断被审计经济事项正误、是非、优劣的准绳，是形成审计结论、出具审计意见、作出审计决定的依据。目前的ISA依据主要有：ISACA：信息系统审计准则；IS控制的标准模型COBIT；ASB第94号准则：SAS70；SAS94；国际内部审计师协会（IIA）：内部审计师准则说明书（SIAS）；国际会计师联合会（IFA）：国际审计准则系列；最高审计机关国际组织（INTOSAI）：审计准则（AS）；欧洲：ISO系列（如：ISO17799）、EDIFACT技术标准；日本通产省：IT审计标准；NANJINGAUDITUNIVERSITY第一章信息系统审计概论我国：–《中华人民共和国审计法》第三十二条；–国务院办公厅的《关于利用计算机信息系统开展审计工作有关问题的通知》；–中国独立审计准则20号《计算机信息系统环境下的审计》；–审计署令第9号《审计署关于计算机审计的暂行规定》；–审计署颁布《审计机关计算机辅助审计办法》NANJINGAUDITUNIVERSITY信息系统审计标准S1-S8：ISACA的信息系统审计准则由ISA标准、指南和程序(Standards,GuidelinesandProcedures)构成标准为信息系统审计和报告定义了强制性的要求。指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南，同时作出职业判断。程序为信息系统审计师提供审计项目中可以遵循的步骤范例。ISACA'SCOBITFramework:信息及相关技术控制目标（COBIT）是由美国IT治理协会提出的一个IT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在IT治理实践中广泛使用。第一章信息系统审计概论NANJINGAUDITUNIVERSITYSAS70SAS70是经国际确认，由美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants，AICPA)所制定的标准。SAS70审计被公认为是针对服务提供商环境（包括网络和相关程序的控制措施）最权威的安全性审计。IT基础架构库(ITIL)：是IT服务管理最佳做法的一套全面、一致和相关的代码，己在全世界被广泛采纳为IT服务标准。ITIL包含下面五个部分：thebusinessperspective（商业远景）、managingapplications（应用管理）、deliveryofITservices（IT服务的交付）、supportofITservices（IT服务支撑）、managetheinfrastructure.（基础设施管理）。第一章信息系统审计概论NANJINGAUDITUNIVERSITYSAS94美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月，ASB发布了第94号准则：《IT对CPA评价内部控制的影响》，该准则是作为SAS(审计准则公告)no.55的“补丁公告”推出的，它对下列三方面问题做出了规范：IT对企业内部控制的影响；IT对CPA了解内部控制的影响；IT对CPA评价审计风险的影响。SASno.94于2001年6月1日开始执行。第一章信息系统审计概论NANJINGAUDITUNIVERSITYISO17799：ISO17799包含以下部分：SecurityPolicy（安全策略）、Assetclassificationandcontrol（资产分类和控制）、SecurityOrganisation（组织安全）、PersonnelSecurity（人员安全）、PhysicalandEnvironmentalSecurity（物理安全和环境安全）、Communication/OperationManagement（通信和操作管理）、AccessC