《信息技术与计算机审计课件教学提纲》由会员分享,可在线阅读,更多相关《信息技术与计算机审计课件教学提纲(103页珍藏版)》请在金锄头文库上搜索。
1、信息技术与计算机审计,中山大学管理学院 陈婉玲编 制,一、计算机系统基础知识,1计算机的基本组成:主机(包括CPU和内部存储器)和外围设备(如键盘、显示器、磁盘驱动器、打印机等)。 2计算机的类型:大型机、中型机、小型机、微机(台式电脑、手提电脑、掌上电脑)。,3计算机与网络系统的有关人员,(1)计算机程序员。 (2)系统分析员。 (3)网络管理人员。 (4)计算机操作员。,4.电子数据处理(EDP)的组织形式,(1)集中式集中由一个计算机处理。 (2)分散式多个独立的没有直接通讯与联系的计算机处理。 (3)分布式数据分散式处理,各计算机互相联系,允许数据进行交换。,二、计算机网络基础,1.
2、计算机网络 计算机网络指为实现相互通讯和共享软、硬件等目的,通过通讯线路、网络接口部件连接起来计算机群。 根据数据信息传输距离,计算机网络通常可分为局域网(LAN)、城域网(MAN)和广域网(WAN)。,2.网络设备,主要的网络设备有:网卡、集线器、中继器、网桥、路由器、网关和调制调解器等。 3.网络的拓朴结构 指网络中计算机连接形式。常见的拓朴结构有星型、总线型、环型和网型及其组合。,4.网络协议,指网络中计算机间互相通讯的预定规则 Internet所用的网络协议是TCP/IP(传输控制协议/互联网协议)。 5. 数据通信 是指通过通信线路传输数据、声音及影象。它要求四个不同的组件:发送方、
3、接受方、媒介及消息。,三、系统开发及其审计,(一)常用的系统开发方法 1.系统生命周期法:系统生命周期法就是按系统生命周期的各个阶段划分任务,按一定的规则和步骤,有效地进行系统开发的方法。,(一)常用的开发方法,2.原型法: 原型法是先根据用户的最主要要求,开发出能实现系统最基本功能的一个原型,再根据用户对原型使用与评价的意见,反复修改完善原型,直至得到用户满意的最终系统为止。,(二)系统生命周期法,系统准备阶段: 其主要任务是了解用户的要求,确定新系统的目标,对要求开发的新系统从技术上、经济上与实施上是否可行进行可行性分析。这一阶段的主要文档资料是可行性研究报告。,系统分析阶段:,其主要任务
4、是在可行性分析的基础上,对原有系统进行详细调查分析,收集原系统所有的文件(凭证、帐薄、报表等)样本,明确用户对系统的全部需求(包括功能、性能、安全等),根据用户需求提出新系统的逻辑模型。此阶段的主要文档资料是系统分析报告。,系统设计阶段:,其主要任务是根据系统的逻辑模型进行系统的总体设计和详细设计,包括模块设计、代码设计、输入输出设计、数据文件设计、安全保密设计和处理流程设计。此阶段的主要文档资料是系统设计报告,包括系统概要设计说明书和详细设计说明书。,系统实施阶段:,其主要任务是根据系统详细设计说明书用选定的程序语言或编程工具编写源程序,进行程序的测试、模块的联调和系统的总调,编写出系统操作
5、手册或用户手册,组织系统的试运行与评审。此阶段的主要文档资料包括源程序表,系统测试报告、操作手册和评审报告等。,运行维护阶段:,其主要任务是正式使用系统,并且在需要时进行系统维护。此阶段的主要文档资料有系统运行日志和系统维护报告。 系统生命周期法适用于开发较大型、综合、功能明确且复杂的信息系统,(三)计算机信息系统开发的审计,(1)审查系统开发的可行性。 (2)审查系统功能的合规、合法性。 (3)审查系统程序控制的恰当性。 (4)审查系统的可审性(注意留下充分的审计线索)。,(三)计算机信息系统开发的审计,(5)审查系统测试的全面恰当性(参与系统测试,审查测试数据、过程和结果)。 (6)审查系
6、统文档资料的完整性。 (7)审查系统的可维护性。,四、计算机信息系统的内部控制,(一)一般控制(general control) 指对信息系统的构成要素和环境实施的控制,包括组织控制、硬件与系统软件控制、系统安全控制、系统开发与维护控制。 1. 组织控制 最基本的要求是程序员与系统维护人员不能负责业务的处理,不能操作已正式投入使用的系统。,2硬件与系统软件控制,(1)硬件控制指确保硬件运行正确的控制,包括:奇偶校验、重复处理、回波检验等。 (2)系统软件控制指编写在系统软件中,为提高系统安全而设立的控制,包括:错误的处理、程序保护、数据文件保护、系统接触控制等。,3. 系统的安全控制,()接触
7、控制 硬件的接触控制 软件和数据文件的接触控制 系统文档资料的接触控制,()后备控制,硬件备份 磁性文件备份 应急计划(又叫灾难补救计划)指预先制定的,万一系统出现灾难性损毁时的应急措施和利用后备的硬件、软件、数据文件恢复系统的计划。,()环境安全控制,电源的控制 其他环境控制 ()计算机病毒与黑客的防范控制,2.系统的开发与维护控制,()系统开发前应进行可行性研究。 ()系统的设计应有用户的代表和内审人员的参加。 ()系统的检测应有用户代表和内审人员的参加,经验测满意的新系统,要经过与原系统并行试运行一定时期,并经过审批才能正式投入使用。 ()系统正式投入运行以前,应按规范要求编制好系统的文
8、档资料。,(二)应用控制(Application control),1.输入控制 (1)只有经授权的人才能进行输入操作,要按规定输入真实的数据,输入操作要作记录,输入数据要经核对才能处理。 (2)由计算机对输入的数据进行检查,以防止和发现数据输入的错误。 (3)凡被计算机发现的错误,应由操作员检查,由出错的人改正后重新向系统提交。,常见的计算机检验技术,(1)业务数点计与控制总数核对。 (2)代码的有效性检验。 (3)顺序检验。 (4)平衡检验。 (5)合理性检验(又称极限检验)。 (6)完整性检验。 (7)数据类型、长度、符号等检验。,2.处理控制,()控制只有经批准的人才能执行数据处理操作
9、,并要作好操作记录。 ()由计算机对处理条件进行检验,保证满足条件才能处理。 ()由计算机对处理结果进行检验,加强处理结果的正确性。,3.输出控制,(1)控制只有经批准的人才能执行输出操作,并要作好操作记录。 (2)打印输出的资料要进行登记,并经有关人员检查后签章才送出使用或按要求归档保管。 (3 ) 应建立输出资料的传递、签收与保管制度,未经批准的人不得接触系统的输出资料。,五、计算机服务中心,审计人员应复查本单位与这些服务中心签定的合同,以确定已提出的数据所有权和保密要求。错误或处理延迟、记录丢失或者服务终止的责任等应清楚地加以介定。应建立当发生影响服务中心操作的紧急情况时的应急计划,也应
10、有该中心结业或迁移时对计算机服务的明确安排。,六、对计算机信息系统的功能或应用程序审计的技术,1测试数据法:它是设计测试性数据以检查计算机系统是否能按预期要求运作的方法。 采用检测数据法对计算机系统的功能进行审查的方法是:把预先准备好的检测业务输入被审的系统进行处理,得到处理的结果与审计人员根据正确的处理原则准备的应有结果比较,进而导出审计结论。,检测数据应包括下列两类:,正常的、有效的业务数据。它们可以审查系统的处理功能是否恰当。 有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否有效。,2.平行模拟(并行模拟)法,用这种方法,审计人员要建立一套模拟被审系统处理和控制功
11、能的应用程序。所处理的数据可以是测试数据,也可以是实际数据。数据在被审单位系统中运行,也在模拟系统中运行,比较两者运行的结果,进而导出审计结论。,3.受控处理,受控处理法是在系统正常的运行中,审计人员监控系统对各类真实业务的处理并取得相应的处理结果;同时,审计人员根据正确的处理原则得到相应的业务正确的处理结果;把系统处理结果与正确结果比较,从而导出审计结论。,4.受控再处理法,保留以前测试此系统所用的测试数据和测试结果,在需要对系统再次测试时,把以前处理测试数据输入系统进行再处理,把再处理结果与以前的处理结果比较,从而确定被审系统或程序是否被改动过,功能是否正确。,5.整体测试法(ITF),采
12、用此方法,先在系统中建立一个虚拟个体,就虚拟个体设计有关的测试业务,在被审系统处理真实业务的同时处理虚构个体的测试数据,将系统对测试业务的处理结果与应有的预期结果比较,从而判断被审系统的处理和控制功能。该方法较可靠,但如果未能恰当处理虚拟的测试数据,可能对被审单位真实的业务数据造成破坏或影响。,6标记和跟踪,为避免对真实数据影响,标记某些数据或业务类型,跟踪标记业务通过系统的过程,并用这些标记的数据建立一个审计数据文件。该文件将证明系统对标记业务的处理和控制情况,可用于对计算机系统的审计。,7程序分析(程序编码审查法),此方法指对程序编码的详细分析,从而确定系统是怎样处理的,有什么控制,是否能
13、实现预定的功能。 8其它技术。除上述各方法外,还有流程图验证法、程序比较法、程序跟踪法等方法。,七、计算机辅助审计,1计算机辅助审计管理与审计办公自动化:字处理软件、电子表格软件及其他办公自动化软件。,2对计算机信息系统的数据文件审计的技术,(1)利用审计软件辅助审计(通用审计软件、专用审计软件) (2)利用数据库管理系统辅助审计(如SQL、INFORMIX等) (3)利用被审电算系统的功能辅助审计(如电算会计系统的查询、统计或财务分析等) (4)利用电子表格软件辅助审计(如EXCEL、LOTUS等),八、电子商务简介,1电子商务及其分类 (1)电子商务狭义是指利用计算机和网络技术来做生意,或
14、通过电子信息网络从事商贸活动。 (2)电子商务的分类:按网络技术基础分:基于EDI(专用网或增值网)与基于Internet的电子商务。按交易对象分:B to B, B to C。,2电子商务的应用层次,(1)初级:主要利用网络宣传企业产品和形象。 (2)中级:除实现初级的功能外,利用计算机与网络进行贸易商谈、传递商业文件(订单、合同、发票、发货单等),提供售后服务,进行市场预测等。 (3)高级:商务活动的全过程实现电子化网络化,从外部交易(包括支付)到内部生产经营最大程度实现电子表化。,3.电子商务系统的功能,1交易前:商品信息发布、促销、寻找交易机会,查询、比较价格与条件、选择交易对象。 2
15、交易中: 贸易谈判,签订合同(价格、数量、交货时间、地点、交易与付款方式、违约与索赔,订单变更等)。,3.电子商务系统的功能,2交易中:办理交易中的各种手续(如信用卡公司、银行、保险、运输公司、海关、商检、税务等各方手续,发货单、发票、付款通知,网上商品传递等)。 网上支付:信用卡、电子现金、电子支票。 3交易后:领带售后服务(咨询、指导、反馈意见)、备货、若受损索赔。,4.电子商务的安全要求:,(1)信息保密性:如信用卡贴、密码、要保密的商业信息 (2)身份的可确定性:确认交易各方的身份 (3)交易与信息的不可否认性:已签定的合同、已签发的文件单据不可否认 (4)信息与文件的不可修改性:已签
16、发或收到的单据不可修改,6.电子商务中常用的安全控制技术,(1)数字加密: 对称加密技术加密和解密用相同的密钥 优点:简单快捷,密钥较短,不易破译 缺点: 要求有安全途径把密钥传送给对方 密钥的管理与颁发工作有较大危险。 一个单位会因要保管太多密钥难于管理 此加密不能对信息的完整性进行检查。,非对称加密,加密与解密用不同的密钥。密钥是成对的,一个可公开(称公钥),另一个保密(称私钥),用其中一个加密,另一个才能解密。 优点:可克服上述对称加密存在的问题 缺点:加密与解密时间长、速度慢,不适用于较长文件的加密。 一旦私钥被人窃取,后果相当严重。,(2)数字摘要,数字摘要:在电子商务中,要求的是对整个交易文件的内容签字者不可否认,他人不可修改。由于非对称加密不宜用于较长文件的加密,固常采用数字摘要技术。数字摘要又称Hash函数,它根据原文(包括交易文件内容与签名)按一定算法摘成一串128位的“摘要”,它有一定长度,且每一摘要与原文唯一对应,因而可作为鉴别原文的“指纹”。,(3)数字签字,数字签字:签名者用自己的私钥对自己的签名(某些字串)进行加密就成数字签字。接收者用相应的公钥解密后可识别
