1、会计信息系统控制审计会计信息系统控制审计 会计信息系统工作原理 信息系统审计基本理论 会计信息系统审计 财务审计与IT审计的衔接 会计信息系统工作原理会计信息系统工作原理从关注点出发从关注点出发 IT审计关注 财务审计关注 会计信息系统工作原理会计信息系统工作原理外部结构外部结构 服务器、工作站、打印机 网线 交换机 Windows、UNIX、IOS、Android DB2 数据库数据库 财务报告 销售收入 2000万 利润 100万 销售业务系统销售业务系统 财务核算系统财务核算系统 信息系统安全信息系统安全 与应急计划与应急计划 系统的开发系统的开发 获得、维护获得、维护 及数据处理及数据
2、处理 会计信息系统工作原理会计信息系统工作原理内部结构内部结构 一般控制 管理控制 系统实施控制 运行控制 软件控制 硬件控制 物理访问控制 逻辑访问控制 应用控制 输入控制 处理控制 输出控制 保障*控制 灾难恢复与应急计划 环境控制 设备来源控制*会计信息系统工作原理会计信息系统工作原理管理控制管理控制 会计信息系统工作原理 信息系统审计基本理论 会计信息系统审计 财务审计与IT审计的衔接 INTOSAI(最高审计机关国际组织):信息系统审计是:一个通过获取并评估证据,以判断IT系统是否保护了组织的资产,有效率地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。
3、基本理论基本理论概念概念 4 基本理论基本理论类型类型 内控 信息系统审计 审计准则 C-SOX,SOX,COSO 审计操作指南 基本理论基本理论审计依据分类审计依据分类 基本理论基本理论审计依据分类审计依据分类 序序号号 审计内容审计内容 审计依据审计依据 1 物理环境 ANSI/TIA-942:2005 2 安全管理 ISO/IEC27001:2013 3 运维管理 ISO/IEC 20000-1:2011 4 业务连续性 BS 25777:2008 5 系统漏洞 CVE及相关厂家提供的工具 6 报告出具 ISACA 7 其他 参考ISACA相关标准;Cobit 5.0 子需求子需求 主要
4、依据主要依据 其他参考其他参考 审计框架 COSO 审计控制目标 Cobit5.0 企业内部控制审计指引 风险管理全面性 ISO31000 Risk management Principles and guidelines on implementation IT风险评估方法 ISO13335 Information technology Guidelines for the management of IT Security 应对措施有效性 ISO27004 Information technology-Security techniques-Information security man
5、agement-Measurements ISO13335-4 Information technology-Security techniques Guidelines for the management of IT security-Selection of safeguards 信息安全管理 ISO27002-Information technology Security techniques Code of practice for information security management ISO20000 Information technology Service mana
6、gement 信息安全策略和安全组织结构 ISO27001 Information technology Security techniques Information security management systems ISO20000 Information technology Service management 开发控制 CMMI Cobit4.1-A12 维护控制 ISO/IEC 14764 Software Engineering Software Life Cycle Processes Maintenance 系统安全 GBT+22239信息安全技术+信息系统安全等级保护
7、基本要求 网络安全 GAT 387计算机信息系统安全等级保护网络技术要求 结构安全 信息系统等级保护安全设计技术技术要求 物理及环境安全 GB/T 21052信息安全技术 信息系统物理安全技术要求 灾难恢复 ISO24762 信息与通讯技术灾难恢复服务指南 重要信息系统灾难恢复指南 业务连续性计划 BS25777-Information and communications technology continuity management 25999-1 Code of practice for business continuity management 外包服务管理 ISACA-G4 OU
8、TSOURCING OF IS ACTIVITIES TO OTHER ORGANISATIONS ISO27001-A.11-访问控制 IT对关键业务的支持 Cobit5.0 SAP评估 Cobi5.0 General Control/Process Control/Application Control ISO15408 通用安全评估标准 IT审计规划 Cobit5.0 物理防护物理防护 通用防护 信息安全技术 信息系统物理安全技术要求(报批稿)布线 GB/T-50311-2007(2)防电磁泄露 GB/T-8702-1988(3)防雷 GB/T-7450(4),GB/T-50057(5)
9、,GB/T-50343-2004(6),防雷装置安全检测技术规范 防火 GBJ16-2001(7)防静电 YD-T 754(8)接地 GB/T-50169(9)火灾报警 GB/T-50166(10)活动地板 GB/T-6650(11),SJ-T 10796-2001(12)场地 GB/T-2887(13),GB/T-50174(14),GB/T-9361(15),网络防护网络防护 GAT-387-2002(16),GB/T-20271-2006(17),GB/T-10818(18),GB/T-21050-2007(19)系统防护系统防护 GB/T-21028-2007(20),GB/T-202
10、71-2006(17),信息系统安全等级保护基本要求)基本理论基本理论其他依据其他依据 基本理论基本理论信息安全信息安全 基本理论基本理论IT运维运维 基本理论基本理论CObit 能力等级能力等级 特点特点 关键过程关键过程 第一级第一级 初始初始级(最低级)级(最低级)软件工程管理制度缺乏,过程缺乏定义、混乱无序。成功依靠的是个人的才能和经验,经常由于缺乏管理和计划导致时间、费用超支。管理方式属于反应式,主要用来应付危机。过程不可预测,难以重复。第二级第二级 可重可重复级复级 基于类似项目中的经验,建立了基本的项目管理制度,采取了一定的措施控制费用和时间。管理人员可及时发现问题,采取措施。一
11、定程度上可重复类似项目的软件开发。需求管理,项目计划,项目跟踪和监控,软件子合同管理,软件配置管理,软件质量保障 第三级第三级 已定已定义级义级 已将软件过程文档化、标准化,可按需要改进开发过程,采用评审方法保证软件质量。可借助CASE工具提高质量和效率。组织过程定义,组织过程焦点,培训大纲,软件集成管理,软件产品工程,组织协调,专家审评 第四级第四级 已管已管理级理级 针对制定质量、效率目标,并收集、测量相应指标。利用统计工具分析并采取改进措施。对软件过程和产品质量有定量的理解和控制。定量的软件过程管理和产品质量管理 第五级第五级 优化优化级(最高级)级(最高级)基于统计质量和过程控制工具,
12、持续改进软件过程。质量和效率稳步改进。缺陷预防,过程变更管理和技术变更管理 基本理论基本理论CMM 基本理论基本理论标准框架标准框架 扫描工具:ISS、Dbscanner、web scanner、日志分析:网站日志、系统日志、数据库日志 行为分析:攻击类工具 工具工具 信息技术类 业务分析类 ACL SPSS SAS 基本理论基本理论审计工具审计工具 审计程序 网络拓扑;防病毒;物理环境;系统补丁;负载均衡 常规控制 流程控制 帐号设置;权限设置;日志分析;控制规则 应用控制 应急管理;变更管理;可用性管理;故障管理;业务连续性等。审计目的审计目的 审计章程审计章程 审计方案审计方案 审计风险
13、审计风险 基本理论基本理论审计程序审计程序 基本理论基本理论审计工具审计工具 基本理论基本理论审计工具(续)审计工具(续)基本理论基本理论审计工具(续)审计工具(续)会计信息系统工作原理 信息系统审计基本理论 会计信息系统审计 财务审计与IT审计的衔接 会计信息系统审计会计信息系统审计与财务报表之间的关系与财务报表之间的关系 会计信息系统审计会计信息系统审计会计信息系统会计信息系统 信息技术已成为支持公司业务、财务、管理的重要基础构架,提供内部、外部、第三方等用户对公司信息的访问。会计信息系统审计会计信息系统审计会计信息系统结构会计信息系统结构 会计信息系统审计会计信息系统审计可能产生的危害可
14、能产生的危害 根据一家国际机构的数据统计,自2004年至2008年6月30日,在内控无效的美国上市公司中,大约17%25%的公司在IT内部控制方面存在重大缺陷:根据统计和分析,导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型:程序控制上的缺陷 软件开发/实施 职责分离 用户对系统的访问授权 对数据访问的监管和控制 会计信息系统审计会计信息系统审计利用会计系统犯罪的趋势利用会计系统犯罪的趋势 会计信息系统审计会计信息系统审计会计系统控制内容会计系统控制内容 会计信息系统审计会计信息系统审计公司层面控制公司层面控制 应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例如:许多
15、应用系统中根据业务的需求(“业务规则”)设置了很多编辑检查来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或合理性检查(如:最大支付金额)如果在录入数据时某一项“业务规则”未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟进和处理 如果企业依赖带有关键编辑检查功能的应用系统支持业务,那这些应用控制的有效性必须建立在信息系统一般控制的基础之上 会计信息系统审计会计信息系统审计公司层面控制(续)公司层面控制(续)会计信息系统审计会计信息系统审计一般控制一般控制
16、会计信息系统审计会计信息系统审计一般控制(续)一般控制(续)会计信息系统审计会计信息系统审计一般控制范围及缺失产生影响一般控制范围及缺失产生影响 如果计算机环境发现了信息技术如果计算机环境发现了信息技术一般控制的缺陷,则会影响系统整一般控制的缺陷,则会影响系统整体的可信程度,例如:体的可信程度,例如:程序变更控制缺陷可能导致未程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式授权人员对检查录入数据字段格式的编程逻辑进行修改,导致系统接的编程逻辑进行修改,导致系统接受不准确的录入数受不准确的录入数 与安全和访问权限相关的控制与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查在过合理性检查,而该合理性检查在其他方面将使系统无法处理金额超其他方面将使系统无法处理金额超过最大容差范围的支付操作过最大容差范围的支付操作 信息系统的开发和实施:信息系统的开发和实施:开发与实施活动的管理、项目发起、分析开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、与设计、自开发系统的建设与软件包的选择、测试和质量保证