第6章

信息系統(tǒng)審計(jì)6-2本章學(xué)習(xí)目標(biāo)理解為什么需要開(kāi)展信息系統(tǒng)審計(jì)？掌握信息系統(tǒng)審計(jì)的內(nèi)涵、內(nèi)容及步驟掌握一般控制審計(jì)的原理、內(nèi)容及應(yīng)用掌握應(yīng)用控制審計(jì)的原理、內(nèi)容及應(yīng)用6-3概述：信息系統(tǒng)審計(jì)的重要性信息系統(tǒng)審計(jì)簡(jiǎn)介信息系統(tǒng)一般控制及審計(jì)信息系統(tǒng)應(yīng)用控制及審計(jì)IT治理審計(jì)信息系統(tǒng)審計(jì)準(zhǔn)則與規(guī)范本章主要內(nèi)容6-4信息系統(tǒng)審計(jì)的重要性6-5信息系統(tǒng)內(nèi)部控制是指一個(gè)單位在信息系統(tǒng)環(huán)境下，為了確保業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，確保信息系統(tǒng)提供真實(shí)、合法、完整的信息，而制定和實(shí)施的一系列政策、程序和措施。信息系統(tǒng)內(nèi)部控制6-6信息系統(tǒng)內(nèi)部控制分類(lèi)方法6-7信息系統(tǒng)內(nèi)部控制分類(lèi)方法（依據(jù)控制層次）6-8信息系統(tǒng)內(nèi)部控制分類(lèi)方法（依據(jù)技術(shù)和管理的視角）6-9一般控制審計(jì)應(yīng)用控制審計(jì)IT治理審計(jì)信息系統(tǒng)審計(jì)主要內(nèi)容分類(lèi)6-10信息系統(tǒng)審計(jì)的基本步驟審計(jì)準(zhǔn)備階段審計(jì)實(shí)施階段審計(jì)報(bào)告形成階段審計(jì)結(jié)果執(zhí)行階段6-11簡(jiǎn)單地講，信息系統(tǒng)一般控制是除了信息系統(tǒng)應(yīng)用程序控制以外的其他控制，它應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。其基本目標(biāo)為：防止系統(tǒng)被非法侵入、保護(hù)信息系統(tǒng)、確保數(shù)據(jù)安全、保證在意外情況下的持續(xù)運(yùn)行等。信息系統(tǒng)一般控制簡(jiǎn)介6-12根據(jù)以上信息系統(tǒng)一般控制的主要內(nèi)容及目標(biāo)，信息系統(tǒng)一般控制審計(jì)的主要內(nèi)容一般包括等。信息系統(tǒng)一般控制審計(jì)的主要內(nèi)容信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)信息系統(tǒng)運(yùn)行管理審計(jì)信息系統(tǒng)安全審計(jì)業(yè)務(wù)連續(xù)性管理審計(jì)IT外包審計(jì)6-13信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)的主要目的是：檢查信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)的方法和程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂?。檢查信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)過(guò)程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。確保信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)目標(biāo)的實(shí)現(xiàn)。6-14信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)6-15信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)6-16信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)6-17信息系統(tǒng)運(yùn)行管理審計(jì)信息系統(tǒng)運(yùn)行管理主是對(duì)上線系統(tǒng)的日常運(yùn)行進(jìn)行管理。系統(tǒng)的日常運(yùn)行要與系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保一個(gè)單位信息科技部門(mén)內(nèi)部的崗位制約。6-18信息系統(tǒng)運(yùn)行管理審計(jì)6-19信息系統(tǒng)運(yùn)行管理審計(jì)6-20信息系統(tǒng)安全審計(jì)信息系統(tǒng)安全是通過(guò)維護(hù)信息系統(tǒng)中信息的機(jī)密性、完整性和可用性，來(lái)管理和保護(hù)一個(gè)單位所有的信息資產(chǎn)。信息系統(tǒng)安全涉及到管理、人員、技術(shù)等各個(gè)方面，因此，信息系統(tǒng)安全主要包含：管理安全（如安全管理制度與管理組織）人員安全技術(shù)安全（如計(jì)算機(jī)機(jī)房、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)通訊、軟件、硬件等）6-21信息系統(tǒng)安全審計(jì)6-22信息系統(tǒng)安全審計(jì)6-23業(yè)務(wù)連續(xù)性管理審計(jì)業(yè)務(wù)連續(xù)性管理是為了防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)失效或自然災(zāi)害的影響，將意外事件或?yàn)?zāi)難對(duì)業(yè)務(wù)的影響降低到最低水平。業(yè)務(wù)連續(xù)性管理包括識(shí)別和降低風(fēng)險(xiǎn)，制訂連續(xù)性計(jì)劃，建立應(yīng)對(duì)意外事件或?yàn)?zāi)難的響應(yīng)與恢復(fù)機(jī)制，測(cè)試和檢查業(yè)務(wù)連續(xù)性計(jì)劃的有效性與合規(guī)性，維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃。6-24業(yè)務(wù)連續(xù)性管理審計(jì)6-25業(yè)務(wù)連續(xù)性管理審計(jì)6-26IT外包審計(jì)為了滿足需要，一些單位除了依靠?jī)?nèi)部力量開(kāi)發(fā)一些信息系統(tǒng)，還常常會(huì)依靠外部力量開(kāi)發(fā)一些信息系統(tǒng)，這些依靠外部力量開(kāi)發(fā)信息系統(tǒng)被稱為IT外包。IT外包審計(jì)主要審計(jì)被審計(jì)單位在進(jìn)行信息系統(tǒng)外包時(shí)是否按照風(fēng)險(xiǎn)控制的原則，合理確定外包的范圍和內(nèi)容，分析和評(píng)估外包風(fēng)險(xiǎn)，建立健全相關(guān)規(guī)章制度，制定風(fēng)險(xiǎn)防范措施。

6-27IT外包審計(jì)6-28IT外包審計(jì)6-29信息系統(tǒng)應(yīng)用控制及審計(jì)信息系統(tǒng)應(yīng)用控制是為了適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制，它針對(duì)的是與信息系統(tǒng)應(yīng)用相關(guān)的事務(wù)和數(shù)據(jù)，目的是確保數(shù)據(jù)的準(zhǔn)確性、完整性、有效性、可驗(yàn)證性、可靠性和一致性。6-30信息系統(tǒng)應(yīng)用控制及審計(jì)——應(yīng)用控制的主要內(nèi)容輸入控制處理控制輸出控制6-31應(yīng)用控制審計(jì)基本步驟6-32應(yīng)用控制審計(jì)案例步驟6-33應(yīng)用控制審計(jì)案例步驟——業(yè)務(wù)流程分析6-34應(yīng)用控制審計(jì)案例步驟——應(yīng)用控制識(shí)別6-35應(yīng)用控制審計(jì)案例步驟——應(yīng)用控制測(cè)試6-36應(yīng)用控制審計(jì)案例步驟——應(yīng)用控制測(cè)試6-37應(yīng)用控制審計(jì)案例步驟——應(yīng)用控制測(cè)試6-38應(yīng)用控制審計(jì)案例步驟——控制缺陷確認(rèn)和審計(jì)報(bào)告撰寫(xiě)6-39IT治理審計(jì)高級(jí)管理層情況信息科技（或信息管理）部門(mén)情況知識(shí)產(chǎn)權(quán)保護(hù)工作情況IT（信息技術(shù)）治理用于描述一個(gè)單位是否采取有效的機(jī)制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)，確保實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。IT治理是高級(jí)管理層的責(zé)任，考慮領(lǐng)導(dǎo)層，組織結(jié)構(gòu)以確保業(yè)務(wù)目標(biāo)和IT目標(biāo)一致。6-40IT治理審計(jì)案例6-41IT治理審計(jì)案例6-42IT治理審計(jì)案例6-43信息系統(tǒng)審計(jì)準(zhǔn)則與規(guī)范SOX法案COSO內(nèi)部控制框架COBITGTAG6-44信息系統(tǒng)審計(jì)準(zhǔn)則與規(guī)范6-45課程思政教學(xué)案例隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)等技術(shù)的發(fā)展與應(yīng)用，為了適用于新型網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)要求，2019年5月10日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了新修訂的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。2022年1月，中國(guó)人民銀行印發(fā)的《金融科技發(fā)展規(guī)劃(2022—2025年)》明確提出“加快監(jiān)管科技的全方位應(yīng)用，強(qiáng)化數(shù)字化監(jiān)管能力建設(shè)”，“筑牢金融與科技的風(fēng)險(xiǎn)防火墻”。信息系統(tǒng)審計(jì)對(duì)我國(guó)防范化解風(fēng)險(xiǎn)具有重要意義6-46什么是信息系統(tǒng)審計(jì)?什么是一般控制審計(jì)和應(yīng)用控制審計(jì)?一般控制和應(yīng)用控制有什么關(guān)系?為什么需要了解信息系統(tǒng)審計(jì)準(zhǔn)則與規(guī)范?如何開(kāi)展信息系統(tǒng)審計(jì)?在實(shí)際的審計(jì)工作中,如何把信息系統(tǒng)審計(jì)和電子數(shù)據(jù)審計(jì)結(jié)合起來(lái)?思考題相關(guān)參考書(shū)6-47陳偉．《審計(jì)信息化（第二版）》，高等教育出版社，2022年陳偉．《大數(shù)據(jù)審計(jì)》，中國(guó)人民大學(xué)出版社，2021年陳偉．《智能審計(jì)》，機(jī)械工業(yè)出版社，2021年陳偉．《信息系統(tǒng)審計(jì)》，高等教育出版社，2020年陳偉．《計(jì)算機(jī)輔助審計(jì)原理及應(yīng)用（第四版）——大數(shù)據(jù)審計(jì)基礎(chǔ)》，清華大學(xué)出版社，2020年陳偉．《大數(shù)據(jù)審計(jì)理論、方法與應(yīng)用》，科學(xué)出版社，2019