信息系统审计---理论与实务

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息系统审计,-,理论与实务,浙江财经学院 唐志豪,关键问题：,信息系统审计,审什么？怎么审？,目录,定义,-,信息系统审计是什么,对象,-,信息系统审计的范围,事项,-,信息系统审计的具体内容,3.1,一般控制审计内容与程序,3.2,应用控制审计内容,3.3,应用控制审计流程,电子政务系统,绩效,审计,如何提高信息系统审计质量？,1 信息系统审计的诞生,1,信息系统的定义,管理信息系统一词，最早出现于,1970,年，瓦尔特（,Walter T.Kennevan,）给它下了一个定义： 以书面或口头的形式，在合适的时间向经理、职员以及外界人员提供过去的、现在的、未来的有关企业内部及其环境的信息，以帮助他们进行决策。,高登,戴维斯，是管理信息系统的创始人，于,1985,年给管理信息系统下了一个较完整的定义：它是一个利用计算机硬件、软件，手工作业，分析、计划、控制和决策模型，以及数据库的用户,-,机器系统。它能提供信息，支持企业或组织的运行、管理和决策功能。,1,信息系统的标准定义,是一个以,人,为主导，利用,计算机硬件、软件、网络通信设备,以及,其他办公设备,，进行信息收集、传输、加工、储存、更新和维护，以企业战略竞优、提高效益和效率为目的，支持企业高层决策、中层控制、基层运作的集成化的,人机系统,。,1.,信息系统审计的定义,This process,collects and evaluates,evidence,to,determine,whether,information system and related,resources, adequately,safeguard assets,maintain,data and system,integrity,provide relevant and,reliable,information,achieve organizational,goals,effectively,consume resources,efficiently,and have in effect,internal controls that,provide reasonable,assurance that,operational and control,objectives will be met.,信息系统审计是一个过程，在此过程中,搜集和评估证据,以确定,信息系统和相关资源,是否充分,保护,资产、维持数据和系统,完整性,、提供相关和,可靠,信息、,有效,实现组织机构目标、有效地,使用,资源、包含有效内部控制以提供运营和控制目标得到满足的合理保障。,Source: CISA Manual,（国际,ISACA,协会）,1,信息系统审计的类别：,从以上信息系统审计的定义，可知信息系统,审,计项目依,目标,不同，有三大类：,信息系统安全审计,信息系统可靠性审计,信息系统绩效审计,项目的几种组织形式：,独立型,与财务审计相结合,与经责审计相结合,与绩效审计相结合,信息系统审计的内涵,IT,审计是独立的第三方,IT,审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。,主体：第三方审计师,遵循相关标准,对信息系统的规划、开发、使用维护等一系列活动及,产物,进行检查和评估。,信息系统审计的要点：,信息系统审计的对象是计算机为核心的信息系统,信息系统审计的目的是促使信息系统安全、可靠和有效。,信息系统审计是一个过程，需要审计师的专业评价与判断。,管理政策,组织结构,服务器、工作站、打印机,网线,交换机,/HUB,Windows /UNIX,Oracle,数据库,2.,实体观,-,信息系统审计对象,财务报表,销售收入 1000万,会计核算系统,销售业务系统,灾难恢复与,业务持续计划,信息资产保护,人,2,信息系统审计的对象,-,实体观,从构成要素上来看，信息系统有以下组成部分：,应用系统,软件,硬件,网络,数据,人,管理制度,2.,过程观,-,信息系统审计对象,2.,信息系统审计对象,信息系统审计对象是信息系统，从信息系统的构成要素和生命周期可以综合分析其审计范围。,信息系统审计范围应包含所有信息系统构成要素（,6,个），涉及生命周期的各个阶段（,5,个）。,信息系统审计的涵盖范围,一是对信息系统本身的审计，二是对信息系统所涉及的内部控制及流程的审计。,不仅要对信息系统的功能进行审计,还要对信息系统的安全性、可靠性、数据准确性和完整性进行审计：,信息系统的立项与采购、设计与开发、测试与验收、运行与维护等（一般控制,GC,）,具体业务流程中所涉及的信息系统内部控制设计与执行、效果与效率（应用控制,AC,）,3.,信息系统审计的两大内容域,审计本质是一种控制，从控制的角度来看信息,系统，通常区分为信息系统一般控制与应用控,制。两者的,作用与范围,不同。,3.1,信息系统一般控制审计（,GC,）,3.2,信息系统应用控制审计（,AC,）,一般控制,一般控制（GC）：作用于被审信息系统全部或较大范围的控制，其基本目标为确认应用系统恰当开发或实施，确保程序与数据文件的完整性，确保信息系统良好运作。比如，保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。,一般控制提供应用系统运行和应用控制实施的环境。一般控制的控制措施适用于所有应用系统，是一种环境上的保证。,应用控制,应用控制（AC）：作用于具体应用系统的控制，一般结合具体业务进行设计，可以确保数据处理完整和正确。,一个应用系统一般由多个相关计算机程序组成，有些应用系统还可能是复杂的集成系统，牵涉到多个计算机程序和组织部门，与此相应，它的应用控制应包括内嵌在计算机程序中的自动化控制，以及与整体业务流程相关的非自动化控制。,一般控制与应用控制的关系,应用控制的有效性取决于一般控制的有效性,一般控制是应用控制的基础，当一般控制薄弱时，应用控制无法提供合理保障,信息系统审计内容体系,内容域,关键环节,关键控制点,应用控制,输入控制,数据输入设计的正确性,数据输入准备政策,数据输入校验的有效性,处理控制,规范的数据处理流程,数据处理错误的识别、记录与解决,输出控制,数据输出政策,数据输出报告的生成与分发控制,接口控制,自动接口控制,人工接口控制,访问控制与职责分离,应用系统访问权限,业务流程上的不兼容职责,参数控制,参数设置的正确性（合法性）,参数调整的审批流程与权限,参数调整日志,一般控制,IT,管理,/,治理,IT,治理结构,IT,组织结构和人力资源管理,IT,战略及其起草、批准、实施和维护程序,IT,政策、标准和程序的制定、批准、实施和维护流程,IT,外包战略和政策，以及合同管理实务,信息系统开发与实施,项目管理框架和项目治理实务,项目按项目计划进行，并有相应文档充分支持,系统的开发、采购和测试流程，确保其交付符合目标；,信息系统运行与服务,运营管理，保证,IT,支持职能有效满足了业务要求,数据管理实务，确保数据库的完整性和最优化,能力的使用和性能监控工具与技术,变更、配置和发布管理实务,问题和事件管理实务,IT,基础设施（网络，软硬件）的功能,信息安全,逻辑访问控制（操作系统、数据库、主机和网络设备）的设计、实施和监控,网络框架和信息传输的安全,环境控制的设计、实施和监控,保密信息资产的采集、存储、使用、传输和处置程序的流程,灾难恢复与业务持续性,灾难恢复计划,业务连续性计划,3.1,一般控制的审计事项,-1,源自：,CISA Manual,（国际信息系统审计协会,ISACA,）,一般控制审计的五大内容,评估,IT,治理结构的效果，确保董事会对,IT,决策、,IT,方向和,IT,性能的充分控制；,评估,IT,组织结构和人力资源管理；,评估,IT,战略及其起草、批准、实施和维护程序；,评估,IT,政策、标准和程序的制定、批准、实施和维护流程；,评估,IT,资源的投资、使用和配置实务；,评估,IT,外包战略和政策，以及合同管理实务；,评估监督和审计实务；,保证董事和执行层能及时、充分地获得有关的,IT,绩效信息,IT,治理,开发或采购审计,运行与维护审计,安全审计,灾难恢复和业务连续性计划,3.1,一般控制的审计事项,-2,源自：,CISA Manual,（国际信息系统审计协会,ISACA,）,IT,治理,开发或采购审计,运行与维护审计,安全审计,灾难恢复和业务连续性计划,信息系统审计的五大内容,评估拟定的系统开发或采购，确保其符合组织发展目标；,评估项目管理框架和项目治理实务，确保组织在风险管理基础上，以成本,效益原则达成组织的业务目标；,确保项目按项目计划进行，并有相应文档充分支持,；,评估组织相关系统的控制机制，确保其符合组织的政策；,评估系统的开发、采购和测试流程，确保其交付符合目标；,对系统实施定期检查，确保其持续满足组织目标，并受到有效的内部控制；,3.1,一般控制的审计事项,-3,源自：,CISA Manual,（国际信息系统审计协会,ISACA,）,信息系统审计的五大内容,评估服务管理实务，确保内部和外部服务提供商的服务等级是明确定义并受管理的；,评估运营管理，保证,IT,支持职能有效满足了业务要求；,评估数据管理实务，确保数据库的完整性和最优化；,评估能力的使用和性能监控工具与技术；,评估变更、配置和发布管理实务，确保被详细记录；,评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录，分析和解决,评估,IT,基础构架（网络，软硬件）功能，确保其对组织目标的支持,IT,治理,开发或采购审计,运行与维护审计,安全审计,灾难恢复和业务连续性计划,3.1,一般控制的审计事项,-4,源自：,CISA Manual,（国际信息系统审计协会,ISACA,）,信息系统审计的五大内容,评估逻辑访问控制的设计、实施和监控，确保信息资产的,机密性、完整性、有效性和经授权使用；,评估网络框架和信息传输的安全；,评估环境控制的设计、实施和监控，确保信息资产充分安,全；,评估保密信息资产的采集、存储、使用、传输和处置程序,的流程。,IT,治理,开发或采购审计,运行与维护审计,安全审计,灾难恢复和业务连续性计划,3.1,一般控制的审计事项,-5,源自：,CISA Manual,（国际信息系统审计协会,ISACA,）,信息系统审计的五大内容,评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性和可用性；,评估组织的灾难恢复计划，确保一旦发生灾难，,IT,处理能力可以及时恢复；,评估组织的业务连续性计划，确保,IT,服务中断期间，基本业务运营不间断的能力,IT,治理,开发或采购审计,运行与维护审计,安全审计,灾难恢复和业务连续性计划,ISO20000,将,IT,服务管理分为两大类流程：服务支持流程和服务提供流程。,服务支持管理（事故管理、问题管理、变更管理、版本管理、配置管理）的目标是能够及时解决故障。,服务提供管理的目标是确保,IT,服务的质量、稳定、适应性。,ISO20000,关注,IT,系统的运维，追求的是,IT,服务质量。正确应用,ITIL,能够增加信息系统正常运行的时间、迅速解决运维问题、加强系统的安全性，从而提高,IT,部门的服务质量。,ISO27001,标准不是一个技术性的信息安全操作手册，而一个通用的信息安全管理指南。,它提出 了,11,个安全要素，,39,个控制目标和,133,种控制措施。,ISO17799,中的,11,个要素分别是：,安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。,等级保护有10个方面的要求，,技术方面有：物理安全、网络安全、主机系统安全、应用安全、数据安全；,管理方面有：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理；,3.1,常见的一般控制审计需求,组织管理审计,信息中心职责分离审计,机房物理环境审计,操作系统审计,数据库审计,网络安全审计,开发审计,运行审计,灾备审计,一般控制审计的流程,一般控制审计通常采用如下步骤：,全面了解被审信息系统的整体架构，确定重要组件；,识别可能的关键风险点，确定关键审计域,实施相应的审计程序，记录测试结果,测试结果分析与评价，形成审计结论。,一般控制审计不涉及系统中流转的业务数据，常采用访谈法、观察法、调查表法、文档查阅法、测试数据法等。一般情况下，审计发现与被审系统的管理缺陷有关，有时也预示出应用系统数据处理可能的不正确与不完整。,组织管理审计目标与程序,审计目标：,（,1,）确认企业是否制订了信息系统规划，规划是否得当,（,2,）确定职责划分是否合理，不相容职责是否相分离，确定职责划分是否认真执行。,审计程序,（,1,）获取被审计单位的信息系统规划文档，分析其规划是否得当，能否支持企业目标，满足业务活动需求和信息需求,（,2,）审阅组织结构文件，如组织结构图、重要岗位的工作描述和作业流程，确认各项职责划分是否合理，不相容职责是否进行了严格的分离,（,3,）实地观察与组织控制相关的作业活动，确认各项关键职能工作是否有由不同员工担任，以及职责分离政策是否在实际作业活动中得以贯彻落实,（,4,）观察员工的操作是否符合流程描述,（,5,）检查用户权限，确认有关人员的权限是否与其工作描述一致。,信息中心的职责分离矩阵,操作系统的审计目标与程序,操作系统的审计目标：,（,1,）验证访问权限的分配是滞与不相容职责分离的要求相一致，并符合企业的政策,（,2,）确认企业是滞有恰当和有效的口令控制对操作系统的访问,（,3,）确定管理政策、程序和控制步骤是否严密有效，是否能防护操作系统不受硬件失灵，软件差错、人为故障和病毒侵蚀等因素干扰,审计程序：,（,1,）查阅企业有关不相容职责的分离政策，确定其能否实现合理的安全水平,（,2,）检查是否建立操作系统口令制度，对口令的授予和更改程序是否合理得当,（,3,）查阅员工招聘记录，检查选定权限的用户组和用户的权限，确定其访问权限是否与工作范围及职责一致。,（,4,）检查员工记录，确定员工是否均有书面承诺对企业数据的责任,（,5,）检查操作记录，确定具有权限的人员是否根据有关规定，授受了充分的安全责任,（,6,）检查所有用户都必须拥有口令,（,7,）审查口令标准的适当性，如长度和有效期等,（,8,）审查锁定账户的规定和程序，在锁定账户之前，允许有多少次失败登录,（,9,）询问操作人员，确认其是否授受过有关计算病毒的培训，是否清楚病毒侵入和传播的风险,（,10,）询问企业是否规定必须向声誉良好的软件供应商购买防病毒软件,（,11,）审查企业的防病毒软件使用政策,（,12,）检查系统管理员是否实施例行扫描工作站和服务器中的病毒,数据库的审计目标与程序,审计目标：,（,1,）确定数据库访问权限和优先权限是否根据用户的合法需要给预分配,（,2,）确认数据资源控制措施是否能够保证数据资源的完整和安全,（,3,）确定各项数据资源控制是否有效执行,审计程序：,（,1,）检查企业政策和职责描述，确定是否是数据库管理员对创建权限表和设计用户模式负有唯一责任,（,2,）检查程序员权限表，查证其访问数据定义语言命令的特权,（,3,）与数据库管理员和程序员进行访谈,（,4,）检查对数据资源的接触和访问是否有严格的授权控制，授权是否恰当,（,5,）检查系统的授权表，审计数据存取控制的有效性,（,6,）抽查数据库访问日志，确认对数据库的访问是经过授权的,（,7,）查阅数据资源的访问权限文件样本，判断是否规定适当的权限，权限的取得要求是滞合理,（,9,）观察数据库管理员对数据库资源的管理活动,（,10,）尝试访问数据资源，确认访问控制是否起作用,网络安全审计目标与程序,审计目标,（,1,）确认被审计单位信息系统的网络安全控制措施是否健全、能否使信息系统的硬件、软件和数据资源得到妥善保护；,（,2,）确认各项网络安全措施是否有效的执行,审计程序：,（,1,）与安全管理人员、网管人员面谈，了解其工作职责及相应的安全管理过程,（,2,）检查被审计单位的系统入侵防范控制，通信网络安全控制和病毒防范控制等安全控制制度，确认其是否健全,（,3,）审查网络连接图，查看各计算机、终端设备及网络交换机和调制解调器等辅助系统间的通信传输连接点，盘点其数量以确保网络架构图的正确性,（,4,）检查系统是否安装实施防火墙，评估网络架构和防火墙的配置是否正确设计,（,5,）审查所使用的加密机制和网络安全认证机制,（,6,）模仿入侵者访问系统，检查系统入侵防范控制有否有效,（,7,）检查入侵访问报告，查看对入侵访问的追踪和审查记录,（,8,）检查是否安装有防病毒软件，查看计算机病毒检测和清除的记录,开发审计目标与程序,审计目标：,（,1,）确定系统开发各阶段是否严格执行了有关政策和规则；,（,2,）确定系统实施之前是否经过全面测试，不存在重大错误和舞弊行为,（,3,）确认系统开发各阶段的报告是否获得使用者和高层主管的认可审批,（,4,）确定系统开发的文档记录准确完整,审计程序,：,（,1,）检查系统开发过程是否有内审人员参与，每个开发阶段结束时内审人员是否进行了审计评价,（,2,）检查系统开发周期的文档记录是否准确完整，确认系统开发活动是否符合既定的政策与规划,（,3,）检查系统开发各阶段的报告是否获得使用者和高层主管的认可与签署审批,（,4,）向质量管理员询问质量管理工作，获取质量管理控制的有关文档，确认质量控制是否有效进行,（,5,）检查系统测试文档，确认是否对系统进行了全面测试,运行审计目标与程序,审计目标：,（,1,）确定是否有维护计划，维护工作是否得到负责人批准，系统是否按照维护计划进行了维护,（,2,）确认是否存在未经授权擅自修改或更改系统的问题,（,3,）确定维护工作是否保护了应用程序，并使程序库不受非法访问,（,4,）确定系统维护后是否经过了充分测试，用户是否参与了系统维护后的测试工作,（,5,）确定是否对每一次维护工作都有详细记录,（,6,）确定系统维护后文档资料是否及时更新,审计程序：,（,1,）,检查维护计划，确认维护工作是否有详细的计划，包括维护请求、维护的性质和范围、所需要的资源，维护进度安排等,（,2,）检查系统维护的审计手续，查看维护作业申请资料和高层主管的授权签名，确认维护工作是否得到负责人的批准,（,3,）核对应用程序的版本。如果所使用的版本与授权的版本不符，表明存在未经授权的更改应用程序的问题,（,4,）检查系统的维护日志，确认是否对每一次维护都有详细记录，包括程序的标识、维护的类型、维护的目的、增加和修改及删除代码的地方，维护人的签名和维护日期,（,5,）系统维护测试记录与报告，确定系统维护后在投入使用前是否进行了充分测试，用户是否参与的测试过程。,（,6,）检查运行计划，确认维护后的系统在投入使用前得到了开发、运行、维护和用户负责人的认可与批准,（,7,）检查系统设计报告和软件设计说明书是否按照维护计划进行了修改，是否按修改后的软件设计说明书对系统进行了维护修改,（,8,）抽查重要应用程序重新进行测试，分析评价测试结果是否正确有效,（,9,）检查文档资料，确认系统维护后相关文档资料是否及时更新，并妥善保存,。,灾备审计目标与程序,审计目标：,（,1,）确认灾难恢复计划是否适应企业的要求，实施方案是否可行和有效,（,2,）确认灾难恢复的相应资源包括数据和设备是否做好了备份,（,3,）评估异地存储及其安全性,（,4,）确认灾难恢复计划测试结果是滞达到了预定目标,审计程序,:,（,1,）获取灾难恢复计划和操作手册，确认其是否为最新的计划和操作手册,（,2,）检查所制订的灾难恢复计划是否为处理受灾企业空难的现实解决方案,（,3,）查看备份现场，评估备份现场的安排是否恰当,（,4,）检查关键应用程序清单是否完整，以确保可以恢复系统,（,5,）检查关键应用程序副本是滞在非现场存储，一旦发生灾难或事故可以使用备用副本,（,6,）检查关键数据文件是否依据灾难恢复计划进行备份,（,7,）检查恢复与运行关键应用程序所需要的文档，支持材料和源文件是否完整并在非现场存储,（,8,）查阅灾难恢复小组成员名单、联系方式、分担的职责及是否为在册职员,（,9,）询问灾难恢复人员是否熟悉灾难发生时的恢复步骤,（,10,）检查灾难恢复计划的测试文档，确认测试结果是否达到目标。,3.2,应用控制审计的内容,接口审计,参数控制,3.2,应用控制审计的内容,-1,3.2,应用控制审计的内容,-2,输入控制,3.2,应用控制审计的内容,-3,处理控制,3.2,应用控制审计的内容,-4,输出控制,3.2,应用控制审计的内容,-4,3.2,应用控制审计的内容,-5,参数控制审计,参数设置的正确性（合法性）,参数调整的审批流程与权限,参数调整的轨迹,3.2,应用控制审计的内容,-6,接口审计,自动接口,手动接口环节,应用控制审计流程,应用控制审计一般采用如下步骤：,确定重要的应用系统，获取相关资料或访谈相关操作人员充分理解系统中业务流程。,识别业务流程中关键风险点，开发合适的测试方案与数据,实施相应的审计程序，测试控制的有效性,控制缺陷分析，评价相关控制目标是否达到，形成相关审计结论。,应用控制审计常用的方法有：测试数据法、平衡模拟法、访谈法、观察法、流程图检查法、程序编码比较法、程序追踪法、快照和嵌入审计模块等。,3.3.,应用控制审计的流程,-1,3.3.,应用控制审计的流程,-2-,分析业务流程,业务流程图的示例,1,业务流程图的示例,2,4,绩效审计,2010,年,4,月，“世界审计组织第六届效益审计研讨会”由世界审计组织审计工作组主办、中国审计署承办。在为期天的会议期间，来自世界多个国家的近百名代表，将围绕“衡量项目有效性和投资成功的效益指标”这一主题展开研讨。,“到年，我国所有的审计项目都将开展绩效审计。绩效评价指标体系必不可少。”刘家义说，为实现这一目标，需要建立一个适用的、能得到业界广泛认同的衡量指标体系，促进项目绩效审计的规范化。,绩效审计,4月15日，审计署副审计长石爱中出席世界审计组织IT审计工作组第19届年会。,中国审计代表团将宣读题为中国IT项目绩效审计的评价指标的国家论文,上海市审计局“,信息,系统审计绩效审计”的模式，解读出上海市教育,资源,库,建设,项目绩效，审计署表彰为有代表性的优秀信息系统审计典型案例,4,电子政务系统绩效审计,来源：同济大学经济管理学院电子政务后评估项目,5.信息系统审计项目的质量控制,项目团队的组织,审计项目的选择,实施方案的制订,审计过程控制,5.信息系统审计项目的质量控制,过程域,关键活动,审前调查,确定审计关系与责任,了解被审计企业与信息系统基本情况,明确被审系统涉及的关键业务流程,初步评价被审系统的风险状况,编制审前调查报告,审计计划,评估审计风险,确定具体审计目标与重要性水平,制订审计计划,审计实施,编制审计实施方案,针对审计事项编制具体测试方案,实施符合性与实质性测试，完成测试记录,分析与核查测试结果,审计报告,整理评价审计证据,复核审计底稿,汇总审计差异，与对方管理层交流,评价审计结果，编制审计报告,后续审计,获取与评价相关信息，对管理层是否采取恰当措施形成结论,审前调查应当包括如下内容：,拟定审前调查表和信息系统调查方案，明确审前调查的内容和方法，收集相关资料；,对被审计单位与信息系统有关的管理机构及管理方式进行调查，了解相关情况：相关法规、规章对在用信息系统的规范要求；信息技术部门在被审计单位组织架构中的位置；,信息技术部门及其工作人员管理维护职责分工；财务、业务人员使用信息系统的职责分工；信息系统主要控制环节及岗位设置；,应对被审单位人员流、业务流和信息流等基本情况进行重点了解，并分别绘制流程图；,应对被审计单位信息系统的组成及功能进行重点了解，确定信息系统审计重点关注的子系统；,应对被审计单位内部控制的相关制度和信息系统运行环境进行重点了解，并进行初步评价；,通过现场观察，了解被审计单位业务流程对信息化的依赖程度，应重点关注被审单位业务连续性能力、信息处理能力、以及使用信息系统员工的构成比例；,通过对被审单位后台数据库、数据接口标准以及用户使用手册进行初步调查和分析，确定重点关注事项；,其它事项调查。,5.,信息系统审计项目的质量控制,谢谢大家,共同交流，分享价值,浙江财经学院：,唐志豪（博士，,CISA,）,联系方式：,13757116764,