1、第四章 信息系統(tǒng)審計(jì),第一節(jié) 信息系統(tǒng)審計(jì)概述,一、信息系統(tǒng)審計(jì)的內(nèi)涵 信息系統(tǒng)審計(jì)是對(duì)被審計(jì)單位用于經(jīng)營(yíng)決策、業(yè)務(wù)處理、財(cái)務(wù)核算的計(jì)算機(jī)信息系統(tǒng)及與之相關(guān)的規(guī)劃、建設(shè)、管理、使用制度的審計(jì)。 二、信息系統(tǒng)審計(jì)的目標(biāo) （一）總目標(biāo)：通過(guò)對(duì)信息系統(tǒng)合法性、可靠性、安全性和有效性的審計(jì)，對(duì)被審計(jì)單位信息系統(tǒng)做出評(píng)價(jià)。,（二）具體目標(biāo) 評(píng)價(jià)電子數(shù)據(jù)的真實(shí)性、完整性 分析信息系統(tǒng)的薄弱環(huán)節(jié) 發(fā)現(xiàn)信息系統(tǒng)的非法功能和漏洞 三、信息系統(tǒng)審計(jì)的基本流程 信息系統(tǒng)調(diào)查 信息系統(tǒng)控制測(cè)試 信息系統(tǒng)初步評(píng)價(jià) 信息系統(tǒng)分析測(cè)試 信息系統(tǒng)綜合評(píng)價(jià),計(jì)算機(jī)信息系統(tǒng)審計(jì)流程,第二節(jié) 信息系統(tǒng)調(diào)查,信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單

2、位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。 一、了解管理體制 從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。調(diào)查內(nèi)容包括： 信息系統(tǒng)的工作程序 信息系統(tǒng)等相關(guān)部門(mén) 信息系統(tǒng)的管理情況,二、了解總體架構(gòu) 完成對(duì)被審計(jì)單位有什么類(lèi)型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門(mén)，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。 調(diào)查內(nèi)容包括： 信息系統(tǒng)的分布情況 信息系統(tǒng)的主要類(lèi)型和數(shù)量 各信息系統(tǒng)之間的關(guān)系 信息系統(tǒng)的總體水平,實(shí)質(zhì)是數(shù)據(jù)之間的關(guān)系。包括： （1）關(guān)聯(lián)關(guān)系：不同環(huán)節(jié)的系統(tǒng)包含的數(shù)據(jù)反映生產(chǎn)的不同方面，相互補(bǔ)充。 （2）核對(duì)關(guān)系：同

3、處關(guān)鍵環(huán)節(jié)都不同系統(tǒng)，其包含的數(shù)據(jù)存在鉤稽關(guān)系，相互印證。,繪制完整、詳細(xì)的信息系統(tǒng)分布圖是了解總體架構(gòu)時(shí)常用的方法。,三、了解規(guī)劃管理 對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。 調(diào)查內(nèi)容包括： 信息系統(tǒng)的規(guī)劃 信息系統(tǒng)的建設(shè) 信息系統(tǒng)的使用 信息系統(tǒng)的維護(hù),第三節(jié) 信息系統(tǒng)控制測(cè)試,信息系統(tǒng)控制測(cè)試是為確定信息系統(tǒng)的內(nèi)部控制可靠性而進(jìn)行的審計(jì)工作。 一、信息系統(tǒng)的內(nèi)部控制 根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為： 一般控制； 應(yīng)用控制。,（一）一般控制 是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的 應(yīng)用或功能模塊具有普遍影響的控制措施。 可具體劃分為： 1、組織控制：為實(shí)現(xiàn)組織的目標(biāo)而

4、進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé) 安排和制度設(shè)計(jì)。 它包括如下具體控制措施： （1）電算部門(mén)與用戶(hù)部門(mén)的職責(zé)分離 一般來(lái)說(shuō)，應(yīng)注意： 所有業(yè)務(wù)均應(yīng)由用戶(hù)部門(mén)發(fā)起或授權(quán) 電算部門(mén)不應(yīng)負(fù)責(zé)資產(chǎn)的保管 所有業(yè)務(wù)記錄與主文件記錄的改變均需用戶(hù)部門(mén)授權(quán) 所有系統(tǒng)的改進(jìn)、新系統(tǒng)的應(yīng)用及控制均應(yīng)由受益部門(mén)發(fā)起并經(jīng)高管授權(quán)，電算部門(mén)無(wú)權(quán)擅自修改程序。,（2）電算部門(mén)內(nèi)部的職責(zé)分離 對(duì)系統(tǒng)開(kāi)發(fā)與數(shù)據(jù)處理職責(zé)應(yīng)該分離 對(duì)數(shù)據(jù)處理的職責(zé)進(jìn)行適當(dāng)分離（如憑證輸入與審核） 資料保管員與程序員、系統(tǒng)操作員等職責(zé)分離 （3）業(yè)務(wù)授權(quán) 所有由電算化系統(tǒng)處理的業(yè)務(wù)都應(yīng)經(jīng)過(guò)授權(quán) （4）人事控制 包括：各人工作性質(zhì)的說(shuō)明；人員的選擇和培訓(xùn)

5、；對(duì)人的 行為的監(jiān)督和評(píng)價(jià)；崗位輪換；休假和合同簽訂。 （5）領(lǐng)導(dǎo)與監(jiān)督 建立內(nèi)部審計(jì)機(jī)構(gòu),2、系統(tǒng)開(kāi)發(fā)與維護(hù)控制 主要適用于那些自行設(shè)計(jì)軟件的單位。 （1）開(kāi)發(fā)計(jì)劃控制 系統(tǒng)開(kāi)發(fā)計(jì)劃應(yīng)經(jīng)過(guò)嚴(yán)格審查、仔細(xì)研究和反復(fù)調(diào)查后方可 實(shí)施;軟件需求分析 （2）開(kāi)發(fā)過(guò)程的人員控制 應(yīng)成立信息系統(tǒng)開(kāi)發(fā)工作領(lǐng)導(dǎo)小組，負(fù)責(zé)總體規(guī)劃 由系統(tǒng)分析員負(fù)責(zé)對(duì)原有系統(tǒng)進(jìn)行調(diào)查分析 系統(tǒng)的測(cè)試和試行應(yīng)交由專(zhuān)門(mén)的測(cè)試人員或操作人員完成 內(nèi)部審計(jì)人員應(yīng)參與信息系統(tǒng)的開(kāi)發(fā),（3）系統(tǒng)設(shè)計(jì)控制 合規(guī)合法性控制 正確性控制 安全可靠性控制 效率性控制 可維護(hù)性控制 （4）編程控制 即控制編程風(fēng)險(xiǎn)，主要方法是測(cè)試。測(cè)試技術(shù)包括： 靜

6、態(tài)測(cè)試：一種 人工方法，通過(guò)對(duì)程序的反復(fù)閱讀或?qū)α?程圖的檢查來(lái)發(fā)現(xiàn)錯(cuò)誤。 動(dòng)態(tài)測(cè)試：“白盒”測(cè)試和“黑盒”測(cè)試 試運(yùn)行:試運(yùn)行3-6個(gè)月，驗(yàn)收后才能正式投入使用。,（5）系統(tǒng)維護(hù)控制 系統(tǒng)的日常維護(hù) 系統(tǒng)功能的改進(jìn)和擴(kuò)充（批準(zhǔn)和授權(quán)） 注意：（1）維護(hù)人員應(yīng)獨(dú)立于系統(tǒng)操作人員，最好也能獨(dú) 立于系統(tǒng)開(kāi)發(fā)員。 （2）實(shí)用的系統(tǒng)中只保留經(jīng)編譯的程序。 （6）文檔控制 文檔編寫(xiě)的規(guī)范化 文檔管理的系統(tǒng)化 文檔管理的制度化 注意：文檔資料不全，系統(tǒng)不能通過(guò)驗(yàn)收。,3、安全控制 這些控制措施可以保證系統(tǒng)有一個(gè)良好的運(yùn)行環(huán)境。 （1）接觸控制 硬件接觸控制 程序資料接觸控制 數(shù)據(jù)文件及應(yīng)用程序接觸控制 聯(lián)

7、機(jī)系統(tǒng)接觸控制 （2）環(huán)境安全控制 這是一種預(yù)防性控制。 （3）安全保密控制 常見(jiàn)方法：對(duì)軟件進(jìn)行加密 （4）防病毒控制,4、硬件及系統(tǒng)軟件控制 （1）硬件控制 （2）軟件控制 5、操作控制 信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī) 守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì) 劃等。,（二）應(yīng)用控制 應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù) 處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。包括： 1、輸入控制 保證只有經(jīng)過(guò)授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)； 保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒(méi)有丟失、遺漏和篡改； 保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。 （1）數(shù)據(jù)采集控制 例如：建

8、立明確的憑證編制程序；制定工作手冊(cè)；合理設(shè)置使 用控制總數(shù)等 （2）數(shù)據(jù)輸入控制 例如：編制數(shù)據(jù)輸入工作內(nèi)容、方法及程序要求的書(shū)面文件、 事先設(shè)計(jì)規(guī)定數(shù)據(jù)格式、數(shù)據(jù)輸入核對(duì)等。,2、處理控制 對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控制 措施往往被寫(xiě)入計(jì)算機(jī)程序，因此，處理控制往往又是自動(dòng)控 制。 （1）審核處理輸出 （2）進(jìn)行數(shù)據(jù)有效性檢驗(yàn) （3）進(jìn)行處理有效性檢測(cè) （4）錯(cuò)誤糾正控制 （5）保留審計(jì)線索 （6）斷點(diǎn)技術(shù),3、輸出控制 （1） 控制只有經(jīng)批準(zhǔn)的人才能執(zhí)行輸出操作，并要登記操作記錄。 （2） 報(bào)表打印輸出前檢查應(yīng)有的勾稽關(guān)系。 （3） 經(jīng)有關(guān)人員檢查后簽章才送出使用或按

9、會(huì)計(jì)檔案的要求保管，未經(jīng)批準(zhǔn)的人不得接觸系統(tǒng)的輸出資料。 （4）對(duì)敏感的重要輸出資料應(yīng)有人監(jiān)督整個(gè)操作過(guò)程，輸出后立即送到使用者手中。 （5）打錯(cuò)作廢的機(jī)密資料應(yīng)即時(shí)銷(xiāo)毀或用碎紙機(jī)切成碎片后才放進(jìn)廢紙箱。 （6）要防止有人竄改打印隊(duì)列文件內(nèi)的數(shù)據(jù)。 （7）輸出資料的使用者發(fā)現(xiàn)資料上有錯(cuò)誤、可疑之處應(yīng)報(bào)告系統(tǒng)管理員。,二、 關(guān)于COBIT COBIT：Control Objectives for Information and related Technology ，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國(guó)信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA（Information Systems Audit and

10、Control Association）提出的IT治理控制框架，它是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。,（一）COBIT的發(fā)展歷程 1、1996年，COBIT1.0 2、1998年， COBIT2.0 3、2000年， COBIT3.0 4、2005年， COBIT4.0 5、2007年5月， COBIT4.1 逐步由最初單一的審計(jì)師的內(nèi)控評(píng)價(jià)工具發(fā)展到目前系統(tǒng)的 IT治理框架。,（二） COBIT信息技術(shù)的控制目標(biāo) C

11、OBIT將信息技術(shù)的控制目標(biāo)設(shè)定為七個(gè)： （1）有效性（Effectiveness）：是指信息與商業(yè)過(guò)程相關(guān)，并以及時(shí)、準(zhǔn)確、一致和可行的方式傳送。 （2）高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟(jì)）利用 資源來(lái)提供信息。 （3）機(jī)密性（Confidentiality）：涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授權(quán)的披露 （4）完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致,（5）可用性（Availability）：指在現(xiàn)在和將來(lái)的商業(yè)處理需求中，信息是可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。 （6）符合性（Compliance）：遵守商業(yè)運(yùn)作過(guò)

12、程中必須遵守的法律、法規(guī)和契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。 （7）信息可靠性（Reliability of Information）：為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔ⅰ?（三） COBIT的體系結(jié)構(gòu) COBIT將IT過(guò)程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。,企業(yè)策略維,IT資源維,IT過(guò)程維,策略維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性；,企業(yè)策略維,IT資源維,IT過(guò)程維,IT資源維主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源

13、,這是IT治理過(guò)程的主要對(duì)象；,企業(yè)策略維,IT資源維,IT過(guò)程維,IT過(guò)程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過(guò)程進(jìn)行評(píng)估。,三、 控制測(cè)試 一般控制的測(cè)試 審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí) 被審計(jì)單位在被審計(jì)期間有關(guān)的制度和規(guī)程是否健全； 計(jì)算機(jī)信息系統(tǒng)是否按規(guī)定的制度和規(guī)程工作的； 控制的作用是否達(dá)到預(yù)期的結(jié)果。,（一）對(duì)組織控制的測(cè)試 1、測(cè)試關(guān)鍵點(diǎn)：完整獲取被審單位工作規(guī)章制度和員工管理制度。 2、測(cè)試方法： （1）閱讀工

14、作規(guī)章制度和員工管理制度，檢查有關(guān)政策程序是否存在； （2）與被審計(jì)單位管理層交談，了解組織結(jié)構(gòu)及部門(mén)設(shè)置等情況； （3）向相關(guān)部門(mén)人員詢(xún)問(wèn)，確定信息系統(tǒng)的使用狀況； （4）實(shí)地觀察業(yè)務(wù)的處理和系統(tǒng)的操作，關(guān)注職責(zé)分離情況。,（二）對(duì)系統(tǒng)開(kāi)發(fā)與維護(hù)控制的測(cè)試 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)開(kāi)發(fā)和維護(hù)管理制度完善性的檢查。 2、測(cè)試方法： （1）查閱內(nèi)審人員審查系統(tǒng)開(kāi)發(fā)和維護(hù)工作的工作底稿； （2）了解系統(tǒng)的測(cè)試方法，查閱測(cè)試的數(shù)據(jù)和結(jié)果； （3）關(guān)注系統(tǒng)試運(yùn)行階段的運(yùn)行情況，查實(shí)系統(tǒng)在正式投入使用時(shí) 是否經(jīng)過(guò)最后的授權(quán)批準(zhǔn)； （4）檢查信息系統(tǒng)是否編有完整的文檔資料，并查閱這些資料，將 其復(fù)印下來(lái)

15、作為審計(jì)工作底稿以備用。 （5）若是再次審計(jì)，則不必審查系統(tǒng)的開(kāi)發(fā)和測(cè)試，只需審查自上 次審計(jì)以來(lái)系統(tǒng)所作的維護(hù)改進(jìn)。 查實(shí)修改是否經(jīng)過(guò)批準(zhǔn)； 修改后是否經(jīng)過(guò)測(cè)試； 有無(wú)對(duì)修改作詳細(xì)的文檔記錄。,（三）對(duì)系統(tǒng)安全控制的測(cè)試 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)運(yùn)行環(huán)境、管理制度安全性的檢查。 2、測(cè)試方法： （1）實(shí)地觀察信息系統(tǒng)的運(yùn)行環(huán)境； （2）檢查預(yù)防災(zāi)害（防火、防水、防塵、防潮）的控制措施； （3）檢查預(yù)防電源變化的控制措施； （4）檢查預(yù)防計(jì)算機(jī)病毒侵害的措施； （5）實(shí)地觀察以證實(shí)只有經(jīng)過(guò)授權(quán)的人才能接觸系統(tǒng)的設(shè)備和資料。 （6）確定只有經(jīng)過(guò)授權(quán)的人員才可能獲得密碼的使用權(quán)。,（四）對(duì)系統(tǒng)硬

16、件和軟件控制的測(cè)試 硬件和系統(tǒng)軟件是由計(jì)算機(jī)廠商提供的，一般來(lái)說(shuō)，其功能和控制時(shí)較可靠的。它們的審查一般與整個(gè)計(jì)算機(jī)信息系統(tǒng)的處理和控制功能審查一起執(zhí)行，較少單獨(dú)審查。 當(dāng)系統(tǒng)軟件有多種可選擇的功能和控制時(shí)，審計(jì)人員應(yīng)注意被審計(jì)單位選擇了哪些功能，是否充分利用了其控制。 硬件、系統(tǒng)軟件功能和控制的審查要利用計(jì)算機(jī)輔助審計(jì)。,（五）對(duì)操作控制的測(cè)試 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)數(shù)據(jù)資源的使用環(huán)境和數(shù)據(jù)資源的操作管理制度完善性的檢查。 2、測(cè)試方法： （1）檢查有無(wú)操作管理制度并閱讀有關(guān)制度確定是否規(guī)范； （2）實(shí)地察看操作人員的操作情況，是否按照操作手冊(cè)中規(guī)定的操作步驟進(jìn)行操作； （3）檢查操作人員的分工

17、以及錯(cuò)誤的處理和更正程序是否符合內(nèi)部控制的原則； （4）檢查是否存在詳細(xì)的操作日志記錄，確定記錄的完整性和恰當(dāng)性； （5）檢查當(dāng)系統(tǒng)出現(xiàn)異常情況時(shí)，有無(wú)及時(shí)恢復(fù)系統(tǒng)操作的方法。, 應(yīng)用控制的審計(jì) 審計(jì)目標(biāo)：獲取證據(jù)，以證實(shí) 被審計(jì)單位是否存在相應(yīng)的技術(shù)措施來(lái)保證數(shù)據(jù)的正確 性、合理性、安全性和完整性； 應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷； 評(píng)價(jià)信息系統(tǒng)的可靠性、效果和效率。,（一）對(duì)輸入控制的審計(jì) 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)輸入程序技術(shù)性控制措施的檢查。 2、測(cè)試方法： （1）了解信息系統(tǒng)的輸入程序，對(duì)輸入操作的控制進(jìn)行檢查，確定操作人員已獲取授權(quán)； （2）實(shí)施分析程序，確定輸入數(shù)據(jù)的正確性、合理性、

18、完整性； 審計(jì)人員輸入不正確的數(shù)據(jù)，系統(tǒng)是否提示輸入出錯(cuò)并拒絕接收； 信息系統(tǒng)是否提供復(fù)核功能，系統(tǒng)僅接收輸入與復(fù)核完全一致的數(shù)據(jù)； 對(duì)比分析輸入的數(shù)據(jù)與系統(tǒng)其他數(shù)據(jù)是否滿(mǎn)足一定的勾稽關(guān)系； （3）檢查輸入界面，是否簡(jiǎn)單、清晰、具有可操作性； （4）詢(xún)問(wèn)系統(tǒng)操作員對(duì)錯(cuò)誤業(yè)務(wù)的處理方法； （5）抽查被審期間的出錯(cuò)業(yè)務(wù)，跟蹤檢查其改正和重新提交過(guò)程，以證實(shí)有關(guān)控制措施的有效性。,（二）對(duì)處理控制的審計(jì) 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)處理程序的控制措施的檢查。 2、測(cè)試方法： （1）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果正確性、完整性和合理性的控制進(jìn)行檢查； 閱讀信息系統(tǒng)設(shè)計(jì)說(shuō)明書(shū)，確定系統(tǒng)存在有關(guān)的自動(dòng)

19、檢查功能； 詢(xún)問(wèn)系統(tǒng)設(shè)計(jì)或操作人員，系統(tǒng)的處理過(guò)程是否正常且一貫； 獲取系統(tǒng)數(shù)據(jù)處理的流程圖，檢查其合理性、完整性； 審計(jì)人員模擬一個(gè)不滿(mǎn)足處理?xiàng)l件的數(shù)據(jù)，系統(tǒng)是否能提示出錯(cuò)并拒絕處理； 測(cè)試數(shù)據(jù)法和數(shù)據(jù)驗(yàn)證法的使用。 （2）對(duì)信息系統(tǒng)處理程序中確保系統(tǒng)處理結(jié)果安全性的控制進(jìn)行檢查。,（三）對(duì)輸出控制的審計(jì) 1、測(cè)試關(guān)鍵點(diǎn)：對(duì)信息系統(tǒng)輸出程序的正確性、完整性和及時(shí)性及安全性進(jìn)行檢查。 2、測(cè)試方法： （1）了解系統(tǒng)的輸出資料是如何處置的，有無(wú)健全的檢查、保管和分發(fā)制度； （2）實(shí)地觀察系統(tǒng)的輸出情況，跟蹤輸出的資料的分發(fā)和保管； （3）檢查輸出信息的安全性控制，包括是否有人負(fù)責(zé)審視輸出資料，是

20、否有人核對(duì)輸入輸出控制總數(shù)等； （4）通過(guò)咨詢(xún)和察看對(duì)輸出信息的格式進(jìn)行檢查； （5）詢(xún)問(wèn)并檢查輸出的信息是否能夠滿(mǎn)足使用部門(mén)的需要。, 控制矩陣在信息系統(tǒng)內(nèi)控測(cè)試中的應(yīng)用 （一）控制矩陣概述（control matrix） 控制矩陣是一個(gè)控制目標(biāo)及其相關(guān)控制措施的列表。 包括三個(gè)基本的元素： （1）控制目標(biāo)。分為經(jīng)營(yíng)系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo)兩類(lèi)。 （2）控制措施。指為了確保系統(tǒng)目標(biāo)的實(shí)現(xiàn)所應(yīng)采取的各種合理、有效的控制措施。 （3）單元內(nèi)容。在控制矩陣中，位于某項(xiàng)控制措施和控制目標(biāo)的行和列的交匯處的矩形方框，稱(chēng)為單元。其內(nèi)容為是否打勾。,（二）控制矩陣的編制方法 基本表的編制 1對(duì)系

21、統(tǒng)進(jìn)行全面、透徹的分析和深入的了解。 了解和分析的內(nèi)容包括系統(tǒng)的功能、任務(wù)、目標(biāo)、業(yè)務(wù)處理的程序、步驟以及易發(fā)生錯(cuò)誤和舞弊的環(huán)節(jié)。 可通過(guò)分析系統(tǒng)流程圖、數(shù)據(jù)流程圖、功能結(jié)構(gòu)圖及對(duì)系統(tǒng)的有關(guān)文字描述等方面而得出。 2 定出系統(tǒng)控制目標(biāo)。 包括經(jīng)營(yíng)系統(tǒng)的控制目標(biāo)和信息系統(tǒng)的控制目標(biāo) 3在對(duì)現(xiàn)有的信息系統(tǒng)進(jìn)行調(diào)查分析的基礎(chǔ)上，列出系統(tǒng)現(xiàn)有的控制措施。 4根據(jù)每一項(xiàng)措施對(duì)那些控制目標(biāo)所起作用，在相應(yīng)的單元中打上。, 表的完善 5分析這些單元內(nèi)容所反映的狀況 判斷控制系統(tǒng)是否恰當(dāng)?shù)貙?duì)所有的控制目標(biāo)進(jìn)行了必要的 控制，把分析結(jié)果填入“原有控制措施分析底稿”上，最后反 復(fù)推敲，提出處置建議，填入分析底稿的

22、處置建議欄。 6擴(kuò)充控制矩陣的行數(shù)，增加修改后的控制措施欄，填入修改后的控制措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打。 7針對(duì)系統(tǒng)控制的不足，提出需增加的控制措施，擴(kuò)充控制矩陣填入新增加的措施，并根據(jù)每一項(xiàng)措施針對(duì)的控制目標(biāo)，在相應(yīng)的單元中打。 8最后，在控制矩陣的底部，對(duì)需要說(shuō)明的事項(xiàng)（如控制目標(biāo)的詳細(xì)內(nèi)容等）以注釋的形式進(jìn)行詳細(xì)的說(shuō)明。,（三）控制矩陣的作用和使用方法 1通過(guò)控制矩陣，可以了解現(xiàn)有控制系統(tǒng)的有效性、完整性。 通過(guò)控制矩陣，可以很明了地看出現(xiàn)有控制系統(tǒng)的每一項(xiàng)目標(biāo)是否都有控制措施來(lái)加以保證，從而便于我們對(duì)現(xiàn)有控制系統(tǒng)的有效性、完整性做出評(píng)價(jià)。 2通過(guò)控制矩陣，可

23、以了解現(xiàn)有控制系統(tǒng)的控制效率。 當(dāng)系統(tǒng)中的某項(xiàng)控制措施對(duì)多項(xiàng)控制目標(biāo)有效時(shí)，則可定性地認(rèn)為該控制措施是經(jīng)濟(jì)、高效、符合成本效益原則的。 3通過(guò)控制矩陣，可以了解現(xiàn)有控制系統(tǒng)所存在的優(yōu)缺點(diǎn)，以利于我們對(duì)控制系統(tǒng)進(jìn)一步加以改進(jìn)、完善。 那些系統(tǒng)不可或缺的控制措施和能同時(shí)對(duì)多個(gè)目標(biāo)起作用的控制措施，構(gòu)成原有控制系統(tǒng)的主要優(yōu)點(diǎn)。 那些過(guò)分控制、控制不足或不符合成本效益原則的控制措施構(gòu)成原有控制系統(tǒng)的基本缺點(diǎn)；,（四）利用控制矩陣模型輔助信息系統(tǒng)控制審計(jì)步驟 1通過(guò)調(diào)查詢(xún)問(wèn)、查閱系統(tǒng)的文檔資料、跟蹤系統(tǒng)的一些業(yè)務(wù)處理等了解計(jì)算機(jī)信息系統(tǒng)現(xiàn)有的內(nèi)部控制，包括一般控制、應(yīng)用控制，并用文字描述法、內(nèi)部控制問(wèn)卷

24、法或流程圖法記錄與描述系統(tǒng)的內(nèi)部控制。 2根據(jù)對(duì)系統(tǒng)控制的了解畫(huà)出系統(tǒng)的控制矩陣。 3分析控制矩陣，對(duì)各控制目標(biāo)是否有完善的控制措施、已有的控制措施是否恰當(dāng)進(jìn)行中肯的評(píng)價(jià)和提出恰當(dāng)?shù)慕ㄗh。,4根據(jù)上述建議修改、完善原控制矩陣。 5對(duì)系統(tǒng)原有的必要控制措施進(jìn)行符合性審計(jì)，確定這些控制的有效性。 6對(duì)系統(tǒng)的內(nèi)部控制提出審計(jì)意見(jiàn)，包括對(duì)系統(tǒng)內(nèi)部控制（包括控制的強(qiáng)點(diǎn)與薄弱環(huán)節(jié)）的評(píng)價(jià)和改進(jìn)的建議（包括應(yīng)增加與強(qiáng)化的控制和可減少的重復(fù)控制）。,第四節(jié) 信息系統(tǒng)初步評(píng)價(jià),信息系統(tǒng)初步評(píng)價(jià)是對(duì)系統(tǒng)調(diào)查和控制測(cè)試的系統(tǒng)分析,評(píng)價(jià)的主要內(nèi)容包括三個(gè)方面: 信息系統(tǒng)安全性 信息系統(tǒng)包含數(shù)據(jù)的真實(shí)、完整性 信息系統(tǒng)

25、中的薄弱點(diǎn),一、信息系統(tǒng)的安全性 1、審計(jì)人員應(yīng)評(píng)價(jià)系統(tǒng)運(yùn)行環(huán)境和系統(tǒng)數(shù)據(jù)的安全性，包括數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)的安全性。 2、對(duì)系統(tǒng)安全性的評(píng)價(jià)主要依據(jù)系統(tǒng)調(diào)查和控制測(cè)試掌握的情況來(lái)完成，信息系統(tǒng)分析測(cè)試中將不再涉及此項(xiàng)工作內(nèi)容，因此，信息系統(tǒng)初步評(píng)價(jià)中對(duì)信息系統(tǒng)安全性的評(píng)價(jià)將直接在信息系統(tǒng)綜合評(píng)價(jià)中反映。,二、信息系統(tǒng)包含數(shù)據(jù)的真實(shí)性、完整性 1、審計(jì)人員應(yīng)通過(guò)對(duì)信息系統(tǒng)功能及相關(guān)制度的關(guān)注，評(píng)價(jià)信息系統(tǒng)中包含電子數(shù)據(jù)的真實(shí)性、完整性。 2、電子數(shù)據(jù)真實(shí)性、完整性評(píng)價(jià)是計(jì)算機(jī)數(shù)據(jù)審計(jì)中數(shù)據(jù)采集方案制定、數(shù)據(jù)驗(yàn)證方法選擇、數(shù)據(jù)分析重點(diǎn)確定的重要依據(jù)。,三、信息系統(tǒng)中的薄弱點(diǎn) 1、審計(jì)人員應(yīng)指出

26、系統(tǒng)之間關(guān)聯(lián)關(guān)系的建立、系統(tǒng)運(yùn)行管理控制等方面存在的薄弱環(huán)節(jié)。 2、發(fā)現(xiàn)信息系統(tǒng)的薄弱點(diǎn)是為被審計(jì)單位改進(jìn)管理，防范風(fēng)險(xiǎn)提出合理化建議的需要，也是為計(jì)算機(jī)數(shù)據(jù)審計(jì)確定重點(diǎn)的需要。,第五節(jié) 信息系統(tǒng)分析測(cè)試,信息系統(tǒng)分析測(cè)試的主要目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞、功能的不足以及可能存在的非法模塊。 功能分析 處理邏輯分析 數(shù)據(jù)對(duì)比分析 數(shù)據(jù)追蹤分析,一、功能分析 目的：分析系統(tǒng)功能上存在的不足。有時(shí)也稱(chēng)之為功能審計(jì)。 重點(diǎn)：對(duì)業(yè)務(wù)的特點(diǎn)和需求有清晰的認(rèn)識(shí)，也可通過(guò)信息系統(tǒng)的使用情況來(lái)分析信息系統(tǒng)功能能否滿(mǎn)足業(yè)務(wù)需求。,二、處理邏輯分析 目的：對(duì)信息系統(tǒng)處理數(shù)據(jù)來(lái)源是否正當(dāng)、數(shù)據(jù)處理方法是否科學(xué)合法

27、的分析。 包含的內(nèi)容：（1）信息系統(tǒng)的數(shù)據(jù)來(lái)源；（2）信息系統(tǒng)的數(shù)據(jù)處理過(guò)程，包括數(shù)據(jù)處理邏輯、方法和數(shù)據(jù)處理流程；（3）信息系統(tǒng)的數(shù)據(jù)流向。 核心：對(duì)信息系統(tǒng)數(shù)據(jù)處理方法是否科學(xué)合法的分析。,三、數(shù)據(jù)對(duì)比分析 包含的內(nèi)容：（1）掌握信息系統(tǒng)的數(shù)據(jù)輸入和輸出情況；（2）結(jié)合數(shù)據(jù)審計(jì)，篩選問(wèn)題線索；（3）對(duì)比分析信息系統(tǒng)的輸入、輸出數(shù)據(jù)以及問(wèn)題線索，查找信息系統(tǒng)自身存在的問(wèn)題。 重點(diǎn)：依據(jù)計(jì)算機(jī)數(shù)據(jù)審計(jì)中發(fā)現(xiàn)的問(wèn)題線索，反推信息系統(tǒng)存在的問(wèn)題，這是信息系統(tǒng)審計(jì)和計(jì)算機(jī)數(shù)據(jù)審計(jì)的重要結(jié)合點(diǎn)。,四、數(shù)據(jù)追蹤分析 目的：通過(guò)選取典型數(shù)據(jù)，追蹤處理結(jié)果，進(jìn)而判斷系統(tǒng)處理的功能是否正確有效。 包含的步驟：

28、（1）了解信息系統(tǒng)應(yīng)有的處理和控制功能；（2）針對(duì)系統(tǒng)應(yīng)用的特點(diǎn)，選取部分典型數(shù)據(jù)；（3）跟蹤數(shù)據(jù)處理過(guò)程和處理結(jié)果；（4）分析數(shù)據(jù)處理結(jié)果的差異原因。 重點(diǎn)：選取典型數(shù)據(jù)，選擇的數(shù)據(jù)既要符合該系統(tǒng)處理的數(shù)據(jù)的特點(diǎn)，又要具有突出的特征能夠發(fā)現(xiàn)問(wèn)題。,五、常用的方法 測(cè)試數(shù)據(jù)法 受控處理法 整體測(cè)試法 平行模擬法 程序比較法,(一)測(cè)試數(shù)據(jù)法 測(cè)試數(shù)據(jù)法將一組針對(duì)系統(tǒng)應(yīng)有功能而設(shè)計(jì)的測(cè)試數(shù)據(jù)輸入被審的系統(tǒng)進(jìn)行處理，將處理的結(jié)果與應(yīng)有的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)處理的處理與控制功能是否正確有效的一種系統(tǒng)功能審查方法。,采用測(cè)試數(shù)據(jù)法進(jìn)行審查的步驟: 1通過(guò)向有關(guān)人員詢(xún)問(wèn)及查閱系統(tǒng)的文檔資料了解

29、被審系統(tǒng)應(yīng)有的處理和控制功能。 2針對(duì)系統(tǒng)應(yīng)有的功能設(shè)計(jì)測(cè)試業(yè)務(wù)數(shù)據(jù)，并根據(jù)系統(tǒng)應(yīng)有的功能準(zhǔn)備這些業(yè)務(wù)處理應(yīng)有的正確結(jié)果（又稱(chēng)預(yù)期結(jié)果）。 3在專(zhuān)門(mén)的測(cè)試時(shí)間里，把測(cè)試數(shù)據(jù)輸入被審系統(tǒng)處理，得到處理結(jié)果。 4把實(shí)際的處理結(jié)果和預(yù)期的正確結(jié)果進(jìn)行比較，進(jìn)而判斷系統(tǒng)的功能是否正確有效。,測(cè)試數(shù)據(jù)的準(zhǔn)備: 1.測(cè)試數(shù)據(jù)應(yīng)包括下列兩大類(lèi)： （）正常的、無(wú)誤的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的業(yè)務(wù)與信息處理功能是否恰當(dāng)。 （）有錯(cuò)漏、不完整、不合理、不正常的業(yè)務(wù)數(shù)據(jù)。它們用于審查系統(tǒng)的控制功能是否存在和有效。 2.在準(zhǔn)備測(cè)試業(yè)務(wù)數(shù)據(jù)時(shí)，審計(jì)人員要注意系統(tǒng)功能的覆蓋。,應(yīng)用測(cè)試數(shù)據(jù)法要注意的問(wèn)題： 1.要注意證

30、實(shí)被審查的應(yīng)用程序是被審單位現(xiàn)時(shí)真正使用的程序版本。 2.此方法只能證明在處理測(cè)試數(shù)據(jù)時(shí)系統(tǒng)的功能是否正確，但它不能保證其他期間系統(tǒng)的功能是否正確、可靠。,測(cè)試數(shù)據(jù)法的優(yōu)缺點(diǎn) 1.優(yōu)點(diǎn)：適用范圍廣，應(yīng)用簡(jiǎn)單易行，對(duì)審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。 2缺點(diǎn)：可能不能發(fā)現(xiàn)程序中所有的錯(cuò)弊。,（二）受控處理法,受控處理法審計(jì)人員通過(guò)監(jiān)控系統(tǒng)對(duì)各類(lèi)真實(shí)業(yè)務(wù)的處理并檢查其處理結(jié)果，進(jìn)而判斷系統(tǒng)功能是否正確。,采用受控處理法進(jìn)行審查的步驟 1通過(guò)向有關(guān)人員詢(xún)問(wèn)及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。 2在系統(tǒng)正常的運(yùn)行中，審計(jì)人員監(jiān)控系統(tǒng)對(duì)各類(lèi)真實(shí)業(yè)務(wù)的處理，取得相應(yīng)的處理結(jié)果；同時(shí)，審計(jì)

31、人員根據(jù)正確的處理原則對(duì)相應(yīng)的業(yè)務(wù)處理，得到正確的處理結(jié)果。 3把系統(tǒng)處理結(jié)果與正確結(jié)果比較，從而判斷被審系統(tǒng)功能是否正確有效。,受控處理法的優(yōu)缺點(diǎn): 1.優(yōu)點(diǎn)：簡(jiǎn)單、易行，不用準(zhǔn)備測(cè)試數(shù)據(jù)，對(duì)審計(jì)人員的計(jì)算機(jī)技術(shù)水平要求不高。 2.缺點(diǎn)：在某一時(shí)間里，真實(shí)業(yè)務(wù)可能不能覆蓋系統(tǒng)的所有功能，此方法可能不能發(fā)現(xiàn)系統(tǒng)存在的所有問(wèn)題。,解決真實(shí)業(yè)務(wù)不能覆蓋系統(tǒng)功能的方法 1.審計(jì)人員應(yīng)詳細(xì)了解被審單位的各類(lèi)真實(shí)業(yè)務(wù)發(fā)生和處理的時(shí)間，根據(jù)實(shí)際情況確定測(cè)試日期。測(cè)試可以安排在多個(gè)不同的工作日，甚至持續(xù)一段時(shí)間。 2.對(duì)于系統(tǒng)的控制功能，常要通過(guò)一些不完整、不正常、不合理的業(yè)務(wù)輸入系統(tǒng)進(jìn)行檢查。,(三) 整

32、體測(cè)試法(ITF),整體測(cè)試法根據(jù)系統(tǒng)是用同一應(yīng)用程序處理各分公司（或部門(mén)、或其他個(gè)體）業(yè)務(wù)的原理，通過(guò)審查系統(tǒng)對(duì)虛構(gòu)公司測(cè)試業(yè)務(wù)的處理結(jié)果來(lái)判斷系統(tǒng)的功能是否正確。,采用整體檢測(cè)法進(jìn)行審查的步驟: 1通過(guò)向有關(guān)人員詢(xún)問(wèn)及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。2在被審系統(tǒng)中建立一個(gè)虛擬的公司（根據(jù)所審查的程序功能，還可以是虛擬部門(mén)、虛擬供應(yīng)商、虛擬顧客等），針對(duì)系統(tǒng)應(yīng)有的功能，設(shè)計(jì)與虛擬公司有關(guān)的測(cè)試業(yè)務(wù)，并準(zhǔn)備這些測(cè)試業(yè)務(wù)處理應(yīng)有的正確結(jié)果。 3在被審系統(tǒng)正常運(yùn)行時(shí)，把虛構(gòu)公司的測(cè)試數(shù)據(jù)和被審單位的真實(shí)數(shù)據(jù)一起輸入系統(tǒng)處理。4把系統(tǒng)對(duì)虛擬公司測(cè)試業(yè)務(wù)的處理結(jié)果與應(yīng)有的正確結(jié)果比

33、較，從而判斷被審系統(tǒng)的處理和控制功能是否正確。,整體檢測(cè)法的優(yōu)缺點(diǎn): 1.優(yōu)點(diǎn)：具有測(cè)試數(shù)據(jù)法同樣的優(yōu)點(diǎn)。與測(cè)試數(shù)據(jù)法相比，它是動(dòng)態(tài)的審查方法，可確定系統(tǒng)在真實(shí)業(yè)務(wù)處理時(shí)的功能是否正確。 2.具有測(cè)試數(shù)據(jù)法同樣的缺點(diǎn)。與測(cè)試數(shù)據(jù)法相比，因?yàn)樗窃谙到y(tǒng)真實(shí)業(yè)務(wù)處理中對(duì)系統(tǒng)進(jìn)行測(cè)試的，若對(duì)測(cè)試數(shù)據(jù)沒(méi)有良好控制，可能會(huì)影響被審單位的真實(shí)數(shù)據(jù)。,消除測(cè)試數(shù)據(jù)對(duì)被審單位真實(shí)數(shù)據(jù)影響的方法： 1處理虛擬公司的測(cè)試業(yè)務(wù)后，盡快向系統(tǒng)輸入沖消業(yè)務(wù)，以沖回測(cè)試業(yè)務(wù)對(duì)系統(tǒng)業(yè)務(wù)和匯總信息的影響。 2在被審系統(tǒng)中嵌入審計(jì)程序，對(duì)審查用的測(cè)試業(yè)務(wù)進(jìn)行標(biāo)記，嵌入的審計(jì)程序可對(duì)標(biāo)記的業(yè)務(wù)進(jìn)行過(guò)濾，防止這些業(yè)務(wù)進(jìn)入?yún)R總信息或

34、輸出與其相聯(lián)系的重要單據(jù)（如發(fā)貨單、支票、發(fā)票等）的輸出。,（四）平行模擬法,平行模擬法又叫并行模擬法，它是通過(guò)比較被審系統(tǒng)和模擬系統(tǒng)對(duì)被審單位真實(shí)業(yè)務(wù)處理的結(jié)果來(lái)判斷被審系統(tǒng)功能是否正確的一種系統(tǒng)功能的審查方法。,采用平行模擬法進(jìn)行審計(jì)的步驟： 1通過(guò)向有關(guān)人員詢(xún)問(wèn)及查閱系統(tǒng)的文檔資料了解被審系統(tǒng)應(yīng)有的處理和控制功能。 2審計(jì)人員取得一套具有被審系統(tǒng)應(yīng)有的處理和控制功能、且功能正確的模擬系統(tǒng)。模擬系統(tǒng)可以專(zhuān)門(mén)開(kāi)發(fā)，也可以通過(guò)別的途徑取得，例如購(gòu)買(mǎi)商品化通用軟件。 3把被審單位真實(shí)的業(yè)務(wù)數(shù)據(jù) 分別輸入模擬系統(tǒng)與被審系統(tǒng)進(jìn)行處理，并分別得出處理結(jié)果。 4把兩者的處理結(jié)果進(jìn)行比較，從而確定被審系統(tǒng)

35、功能是否正確。,平行模擬法的優(yōu)缺點(diǎn) 1.優(yōu)點(diǎn)：一旦取得了模擬程序，可以隨時(shí)對(duì)被審系統(tǒng)進(jìn)行抽查，也可以用模擬系統(tǒng)重新處理全部的真實(shí)業(yè)務(wù)數(shù)據(jù)，進(jìn)行比較全面的審查。 2.缺點(diǎn)：模擬系統(tǒng)的開(kāi)發(fā)通常需要花費(fèi)較長(zhǎng)的時(shí)間，開(kāi)發(fā)或購(gòu)買(mǎi)費(fèi)用都較高；而且，如果實(shí)際使用的系統(tǒng)更新，則模擬系統(tǒng)亦要隨之更新，相應(yīng)要增加費(fèi)用。,（五）程序比較法,程序比較法是一種通過(guò)把被審程序與標(biāo)準(zhǔn)程序進(jìn)行比較，進(jìn)而確定二者是否一致，被審程序功能是否正確的一種審查方法。,采用程序比較法進(jìn)行審計(jì)的步驟 1被審的應(yīng)用程序曾被審查過(guò)且證實(shí)其處理與控制功能正確有效。審計(jì)人員保存了一份該程序的備份，且確保沒(méi)人可改動(dòng)它。 2審計(jì)時(shí)，審計(jì)人員使用專(zhuān)門(mén)的

36、程序比較軟件來(lái)比較在用的被審程序和此備份程序，確定兩者是否有差異，進(jìn)而確定在用的被審程序是否被改動(dòng)過(guò)，功能是否正確。,程序比較法的具體采用 1.比較源程序：要注意確保真實(shí)運(yùn)行的程序由被審源程序編譯而成。 2. 比較目標(biāo)程序：發(fā)現(xiàn)差異時(shí)很難判斷差異帶來(lái)的后果。,程序比較法的優(yōu)缺點(diǎn)： 1.優(yōu)點(diǎn)：這種方法因?yàn)楸容^的是程序的本身，因此能發(fā)現(xiàn)被審程序的任何改動(dòng)。 2.缺點(diǎn)：要使用程序比較軟件，而且當(dāng)發(fā)現(xiàn)兩者有差異時(shí)，要進(jìn)一步判斷修改后的程序功能是否恰當(dāng)比較困難。,第六節(jié) 信息系統(tǒng)綜合評(píng)價(jià),一、綜合評(píng)價(jià)的目的 信息系統(tǒng)綜合評(píng)價(jià)的主要目標(biāo)是將審計(jì)中發(fā)現(xiàn)的信息系統(tǒng)存在的問(wèn)題按照審計(jì)需要進(jìn)行總結(jié)、歸納，以報(bào)告的

37、形式進(jìn)行反映。 二、評(píng)價(jià)技術(shù) 對(duì)信息系統(tǒng)安全性的評(píng)價(jià)技術(shù) 對(duì)信息系統(tǒng)可靠性的評(píng)價(jià)技術(shù) 對(duì)信息系統(tǒng)有效性的評(píng)價(jià)技術(shù) 綜合評(píng)價(jià)模型,信息系統(tǒng)安全性及其評(píng)價(jià),數(shù)據(jù)安全性,資產(chǎn)安全性,總體 安全性,控制矩陣 確定性模型 貝葉斯模型,假設(shè)因資產(chǎn)保護(hù)不當(dāng)造成損失，其中預(yù)期損失額為700 000元的概率為0.4，損失額為900000元的概率為0.5，損失額為1100 000元的概率為0.1。 預(yù)期的總損失額為 700000*0.4+900 000*0.5+100000*0.1 =840000,貝葉斯模型,貝葉斯模型的運(yùn)用可以看作一個(gè)循環(huán)的過(guò)程：開(kāi)始于對(duì)系統(tǒng)是否安全 的先前估計(jì)，隨著新證據(jù)的不斷獲得，逐步對(duì)先

38、前的評(píng)估值進(jìn)行校驗(yàn)更 新，直到某一個(gè)階段，審計(jì)師可以適時(shí)地停止新證據(jù)的收集而站在一個(gè) 宏觀的角度上對(duì)整個(gè)系統(tǒng)的安全性做一個(gè)全局性判斷。,信息系統(tǒng)可靠性及其評(píng)價(jià),軟件 可靠性,可靠度,故障強(qiáng)度,平均故障 間隔時(shí)間,平均故障 修復(fù)時(shí)間,可靠性模型 Rp(1p)P(e)P(c),系統(tǒng)的可靠性是指系統(tǒng)在規(guī)定的時(shí)間內(nèi)無(wú)故障運(yùn)行的概率，通常被分為硬件的可靠性和軟件的可靠性。,信息系統(tǒng)有效性及其評(píng)價(jià),明確評(píng)價(jià)目標(biāo),評(píng)價(jià)費(fèi)用的預(yù)算,明確性能指標(biāo),構(gòu)建負(fù)荷模型,構(gòu)建系統(tǒng)模型,進(jìn)行實(shí)驗(yàn),結(jié)果分析,給出建議,圖 信息系統(tǒng)有效性評(píng)價(jià)過(guò)程,評(píng)價(jià)技術(shù),綜合評(píng)價(jià)模型,系統(tǒng)特性,使用者,兩者結(jié)合,綜合評(píng)價(jià)模型,信息系統(tǒng)對(duì)組織

39、的影響 主要從兩個(gè)方面關(guān)注信息系統(tǒng)對(duì)組織的影響：一是組織有效性；二是經(jīng)濟(jì)有效性。 1、組織有效性 評(píng)價(jià)方法：競(jìng)爭(zhēng)價(jià)值模型 組織有效性分解成兩維： 焦點(diǎn)維和結(jié)構(gòu)維 不同的維度詮釋了組織不同的目標(biāo)， 一個(gè)有效的組織必須能有效地平衡這些目標(biāo)， 以避免企業(yè)陷入困境。 審計(jì)師必須全面領(lǐng)會(huì)組織的各個(gè)目標(biāo)追求， 對(duì)這些目標(biāo)進(jìn)行綜合分析，以此對(duì)信息系統(tǒng)進(jìn)行 評(píng)價(jià)。,綜合評(píng)價(jià)模型,信息系統(tǒng)對(duì)組織的影響 2、經(jīng)濟(jì)有效性 評(píng)價(jià)信息系統(tǒng)對(duì)組織的利潤(rùn)率產(chǎn)生多大貢獻(xiàn)。 生產(chǎn)力悖論：我們總是可以觀察到組織在繼續(xù)向信息技術(shù)投入，但我們很難確定 哪些投入得到了物化？或者：為什么信息技術(shù)投入的回報(bào)甚少甚至沒(méi)有，但組織仍 然繼續(xù)投

40、入資金？ 審計(jì)時(shí)，關(guān)注三個(gè)問(wèn)題： 投入是否提高了企業(yè)生產(chǎn)力？ 投入是否提高了利潤(rùn)率？ 投入是否創(chuàng)造了客戶(hù)價(jià)值？,綜合評(píng)價(jià)模型, 評(píng)價(jià)信息系統(tǒng)經(jīng)濟(jì)有效性的四個(gè)步驟： 第一步： 確定信息系統(tǒng)的收益； 區(qū)分信息系統(tǒng)的收益是否體現(xiàn)在生產(chǎn)力的增長(zhǎng)、利潤(rùn)率的增長(zhǎng)？ 區(qū)分信息系統(tǒng)的收益是有形的，還是是無(wú)形的？ 第二步：確定信息系統(tǒng)的成本； 兩類(lèi)成本：信息系統(tǒng)實(shí)施成本；系統(tǒng)運(yùn)行成本。 第三步：對(duì)信息系統(tǒng)的收益與成本進(jìn)行估價(jià)； 估價(jià)方法：分類(lèi)估價(jià)法；排序估計(jì)法；細(xì)分估價(jià)法等。 第四步：求出信息系統(tǒng)的凈現(xiàn)值。,COBIT認(rèn)證 CobiT Foundation認(rèn)證是由國(guó)際信息系統(tǒng)控制協(xié)會(huì)(ISACA) 聯(lián)合全球著名的IT治理與IT管理培訓(xùn)的領(lǐng)導(dǎo)廠商itpreneurs共同 開(kāi)發(fā),在全世界都能舉辦的考試,符合考試資格的人員通過(guò)考試后 授予COBIT Foundation認(rèn)證。 一、考試詳情 這項(xiàng)考試包含40道單選題，要求1個(gè)小時(shí)內(nèi)完成。要通過(guò) 這項(xiàng)考試，必須答對(duì)至少28道題，也就是正確率至少在70%以 上。 考試在網(wǎng)上進(jìn)行。,二、考試范圍 考試涉及CobiT Foundation課程所包括的對(duì)以下方面的理解： IT管理問(wèn)題如何影響整個(gè)組織 IT治理的原則，IT治理如何幫助解決IT管理問(wèn)題，以及誰(shuí)應(yīng) 對(duì)IT治理負(fù)責(zé)？ 由IT治理需求推動(dòng)的對(duì)控制框架的需求 CobiT如何滿(mǎn)足IT治理