高教社2023李正内部审计教学课件第九章-信息系统审计

《高教社2023李正内部审计教学课件第九章-信息系统审计》由会员分享，可在线阅读，更多相关《高教社2023李正内部审计教学课件第九章-信息系统审计（168页珍藏版）》请在金锄头文库上搜索。

1、第九章 信息系统审计云南财经大学会计学院审计系学习目标1.掌握信息系统审计的概念2.掌握信息系统审计的一般原则3.掌握信息系统审计的目的4.掌握信息系统审计的内容5.掌握信息系统审计的方法2信息系统建设的合法合规性、信息系统内部控制的有效性、信息系统的安全性需要内部审计机构和内部审计人员进行审查和评价。本章内容涉及第2203号内部审计具体准则信息系统审计第3205号内部审计实务指南信息系统审计。本章涉及的准则两项准则3第一节 信息系统审计概述 4第一节 信息系统审计概述一、信息系统审计的概念、原则、责权利（一）概念信息系统是对网络、操作系统、数据库、应用系统、服务器、存储设备、终端等计算机软件

2、、硬件及相关设备和设施的统称。信息系统审计是指内部审计机构和内部审计人员对组织信息系统建设的合法合规性、内部控制的有效性、信息系统的安全性、业务流程的合理有效性、信息系统运行的经济性所进行的检查和评价活动。5（二）信息系统审计的一般原则组织应建立信息系统审计组织管理体系，并根据有关制度、标准和要求开展信息系统审计活动。其一般原则包括：1.信息系统审计需要结合所在组织的战略目标、业务目标、治理要求和管理授权开展审计工作。2.信息系统审计应当合理保证信息系统的运行符合法律法规和监管的要求。3.信息系统审计应当在充分了解组织信息系统治理、管理、应用的基础上做出客观评价。4.信息系统审计应当结合组织的

3、业务流程、信息系统及应用数据开展审计工作。5.信息系统审计应当不断提高内部审计人员技能，严格履行审计程序，提高审计工作质量。第一节 信息系统审计概述6（三）内部审计机构在信息系统审计中的责任内部审计机构在信息系统审计中的职责和义务包括以下几个方面：1.编制组织信息系统审计中长期规划。2.编制组织信息系统审计年度计划、预算及审计资源计划。3.制定组织信息系统审计的相关制度及流程等。4.按照组织信息系统审计的规章制度，有计划地开展相关业务。5.对组织信息系统内部控制设计和执行有效性进行评估。6.做好与组织内部、外部相关人员和机构的沟通工作。第一节 信息系统审计概述7（四）内部审计机构在信息系统审计

4、中的权利内部审计机构在信息系统审计过程中的权利包括以下几个方面：1.有权参加或者列席信息系统治理及管理的重要会议。2.有权进行现场实物勘查，对于与审计事项相关的问题有权对相关机构、个人进行质询、调查和取证。3.如果审计范围受限，有权与被审计单位治理层进行沟通。4.有权向被审计单位决策层提出改进信息系统绩效的意见和建议。5.有权对审计中发现的违反信息系统法律、法规、内部管理制度的行为予以制止，并且对相关机构和人员提出责任追究或者处罚建议。第一节 信息系统审计概述8（五）责任界定组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监控。信息系统审

5、计人员的责任是实施信息系统审计工作并出具审计报告。（六）组织的信息技术管理目标组织的信息技术管理目标主要包括：（1）保证组织的信息技术战略充分反映组织的战略目标。（2）提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性。（3）提高信息系统运行的效果和效率，合理保证信息系统的运行符合法律法规以及相关监管要求。第一节 信息系统审计概述9第一节 信息系统审计概述二、信息系统审计的目标与特点（一）信息系统审计的总体目标通过对信息系统的审计，揭示信息系统面临的风险，评价信息系统技术的适用性、创新性；信息系统投资的经济性；信息系统的安全性、运行的有效性等内容，合理保证信息系统安全、

6、真实、有效、经济。10（二）信息系统审计的具体目标1.保证信息系统建设符合国家法律法规和组织内部制度。2.信息审计应当促进信息系统在购置、开发、使用、维护过程中，以及数据的生产、加工、修改、转移、删除等处理中，都必须符合国家有关法律法规、组织内部规定等，同时应促进信息系统有效实现既定业务目标。3.提高信息系统的安全性、可靠性、稳定性、数据处理的完整性和准确性。第一节 信息系统审计概述11（三）信息系统审计的特点信息系统审计除了具备传统审计的权威性、客观公正性等特点之外，还具备其独有的特点，具体包括：1.信息系统审计可以开展远程非现场审计。2.信息系统审计要求内部审计人员具备较高的信息化知识和技

7、能。3.信息系统审计的内容更加广泛。4.信息系统审计工作难以量化，审计评价时，需要定性指标和定量指标相结合。第一节 信息系统审计概述12第一节 信息系统审计概述三、信息系统审计计划内部审计人员在实施信息系统审计前，需要确定审计目标并初步评估审计风险，估算完成信息系统审计或者专项审计所需的资源，确定重点审计领域及审计活动的优先次序，明确审计组成员的职责，编制信息系统审计方案。当信息系统审计作为综合性内部审计项目的一部分时，内部审计人员在审计计划阶段还应当考虑项目审计目标及要求。13第一节 信息系统审计概述四、信息技术的风险评估内部审计人员进行信息系统审计时，应当识别组织所面临的与信息技术相关的内

8、、外部风险，并采用适当的风险评估技术与方法，分析和评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据。信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险，包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。14（一）评估组织层面、一般性控制层面的信息技术风险第2203号内部审计具体准则信息条统审计第十四条规定:内部审计人员在识别和评估组织层面、一般性控制层面的信息技术风险时，需要关注下列内容:（1）业务关注度。即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件

9、环境)对业务和用户需求的支持度。（2）信息资产的重要性。信息资产是指组织拥有或控制的能够为组织带来经济利益的信息的存在形式或载体，包括计算机硬件、通信设施、数据库、软件、文档资料、信息服务等。（3）对信息技术的依赖程度。如果组织对信息技术的依赖程度过高，但没有相应级别的数据备份、业务持续计划或者灾难恢复计划，当发生意外时，可能导致毁灭性的损失。第一节 信息系统审计概述15（一）评估组织层面、一般性控制层面的信息技术风险（4）对信息技术部门人员的依赖程度。如果组织对信息技术部门人员的依赖程度较高，当相关人员离职或者休假时,可能会影响业务正常运行。（5）对外部信息技术服务的依赖程度。重点关注信息技

10、术服务外包带来的运行维护成本、风险防范的影响等。（6）信息系统及其运行环境的安全性、可靠性。评估来自组织内部、外部的攻击,造成数据失窃或者篡改的风险。（7）信息技术变更。评估因信息技术变更引起的新、旧系统不兼容的风险。（8）法律规范环境。评估因违反信息技术方面的法律规范而被处罚的风险。第一节 信息系统审计概述16案例9-1 数据备份的重要性911事件发生后，金融机构聚集的世贸大厦里的大量数据化为乌有，这是对所有金融机构的重大挑战。德意志银行(Deutache Bank)早在1993年就制订了严谨可行可信的业务连续性计划(BCP)，灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时

11、间内在距离纽约30公里的地方恢复了业务进行，得到了客户和行业的好评。摩根士丹利(Morgan Stanley)在25层办公场所全毁，3000多员工被迫紧急疏散的情况下，半小时内就在灾备中心建立了第二办公室，第二天就恢复全部业务，可谓金融灾备的典范。与之相反，纽约银行(Bank of New York)在数据中心全毁，通信线路中断后，缺乏灾备系统和有力的应急业务恢复计划，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。据统计，金融业在数据系统遭到破坏的2天内所受损失为日营业额的50%，如果两个星期内无法恢复信息系统，75%的公司将业务停顿，43%的公司将再也无法开业，没有实施灾难备份措施

12、的公司60%将在灾难后23年间破产。911事件后，金球金融业都认识到金融灾备的必要性和重要性，这是金融业在灾难发生时合理避险、快速恢复、稳定运行的关键。第一节 信息系统审计概述17（二）评估业务流程层面的信息技术风险业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言，内部审计人员应当了解业务流程，并关注下列信息技术风险:（1）数据输入是否存在错误。（2）数据处理是否存在错误。数据处理是指信息系统在接受输入的数据之后，根据系统指令对数据进行加工处理的过程。（3）数据输出是否存在错误，例如，格式、内容错误。第一节 信息

13、系统审计概述18第一节 信息系统审计概述五、信息系统审计的常用方法内部审计人员在进行信息系统审计时。可以单独或者综合运用下列审计方法获取相关、可靠、和充分的审计证据，以评估信息系统内部控制的设计合理性和运行有效性。（1）询问相关控制人员。即采取口头或者书面的方式从执行信息技术内部控制的相关人员处获取信息，并且根据被询问人的回答，确定控制是否存在以及控制执行人对控制的理解程度。（2）观察特定控制的运用。即对信息技术特有的控制执行情况进行实地察看，并对察看结果进行评价和总结。例如，计算机要求干燥的环境，如果物理环境潮湿，则可能存在风险。（3）审阅文件和报告及计算机文档或者日志。即对内部和外部文档和

14、报告进行审查和评阅，并对控制有效性进行评价。19第一节 信息系统审计概述五、信息系统审计的常用方法（4）根据信息系统的特性进行穿行测试，追踪交易在信息系统中的处理过程。例如。对数据输入、处理、输出的全过程进行追踪。（5）验证系统控制和计算逻辑。例如，检查系统是否按照设计要求执行控制活动。（6）登录信息系统进行系统查询。例如，查看系统内的权限列表，了解未授权人员是否可以登录系统。（7）利用计算机辅助审计工具和技术。例如，通过信息安全工具实施渗透性测试。（8）利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果。20第一节 信息系统审计概述五、信息系统审计的常用方法内部审计人员在对信

15、息系统内部控制进行评估时，应当获得相关、可靠和充分的审计证据以支持审计结论完成审计目标，并应当充分考虑系统自动控制的控制效果的一致性及可靠性的特点，在选取审计样本时可以根据情况适当减少样本量。在系统未发生变更的情况下，可以考虑适当降低审计频率。内部审计人员在审计过程中应当在风险评估的基础上，依据信息系统内部控制评估的结果重新评估审计风险，并根据剩余风险设计进一步的审计程序。信息技术内部控制的各个层面均包括人工控制、自动控制、人工和自动相结合的控制形式，内部审计人员应当根据不同的控制形式采取恰当的审计程序。21第一节 信息系统审计概述六、信息系统审计的内容信息系统常规的审计内容包括：组织层面信息

16、管理控制审计、信息系统一般控制审计、信息系统应用控制审计。信息系统审计除上述常规的审计内容外，内部审计人员还可以根据组织当前面临的特殊风险或者需求，设计专项审计活动，具体包括(但不限于)下列领域：信息系统开发实施项目的专项审计；信息系统安全专项审计；信息技术投资专项审计；业务连续性计划的专项审计；外包条件下的专项审计；法律、法规、行业规范要求的内部控制合规性专项审计。22案例9-2 医院信息系统在内部审计工作中的作用医院信息化是社会发展的必然趋势。随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平台、医院信息系统的整体建设，以提高医院的整体水平与核心竞争力。一、对医院审计进行监督审计一、对医院审计进行监督审计随着云计算、移动互联网等新技术的不断推进，越来越多的收费方式添加到收费系统中。面对大量的财务数据监控要点，该院审计部门通过信息系统对门诊、住院收费进行抽查，将事后手工核查变为动态实时监控或抽查。如发生异常超额收费,系统会自动拦截，以避免错误发生。此外可以对每日的财务数据进行统计分析，特别针对信息系统记录的违规活动和疑点时间，通过分析比较,从而找出医院管理中的潜在风险，