《怎样开展信息系统审计工作》由会员分享,可在线阅读,更多相关《怎样开展信息系统审计工作(87页珍藏版)》请在金锄头文库上搜索。
1、怎样开展信息系统审计工作怎样开展信息系统审计工作审计署计算中心审计署计算中心 辅助审计处辅助审计处 陈剑陈剑课程目的l这部分内容是对信息系统审计这一新兴的审计领域的介绍性这部分内容是对信息系统审计这一新兴的审计领域的介绍性质的课程。质的课程。l通过学习,学员能够了解国内外信息系统审计开展的状况,通过学习,学员能够了解国内外信息系统审计开展的状况,明确国家审计中信息系统审计的范围和目标,初步了解开展信息明确国家审计中信息系统审计的范围和目标,初步了解开展信息系统审计的工作流程和技术方法,达到开阔眼界,启发思路、指系统审计的工作流程和技术方法,达到开阔眼界,启发思路、指导实践的作用。导实践的作用。
2、小调查1l你的专业背景是:你的专业背景是:计算机相关计算机相关审计业务相关审计业务相关其他其他l是否参加过本单位开展的信息系统审计项目是否参加过本单位开展的信息系统审计项目是是否否l是否有信息系统审计相关学习经历是否有信息系统审计相关学习经历CISACISSP其他其他无无小调查2l你认为影响本单位开展信息系统审计工作的主要因素是:(多选)你认为影响本单位开展信息系统审计工作的主要因素是:(多选)人才和技术手段缺乏人才和技术手段缺乏信息系统审计在国家审计中的定位模糊信息系统审计在国家审计中的定位模糊法规不健全法规不健全目前单位的考核机制目前单位的考核机制不知道该如何开展不知道该如何开展认为没有开
3、展的必要认为没有开展的必要其他(请具体说明)其他(请具体说明)内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动什么是信息系统审计lINTOSAI(最高审计机关国际组织最高审计机关国际组织):):信息系统审计是:信息系统审计是:一个一个通过通过获取获取并并评估证据评估证据,以判断以判断IT系统是否保护了系统是否保护了组织的资产,有效率地组织的资产
4、,有效率地利用组织的利用组织的资源,资源,保障保障数据的安全性和一致性,以及有效数据的安全性和一致性,以及有效地达到组织的业务目标地达到组织的业务目标的过程的过程。为什么要开展信息系统审计l计算机在各级政府组织中的广泛使用计算机在各级政府组织中的广泛使用交易处理交易处理财务报表财务报表决策支持决策支持功能功能数据挖掘数据挖掘l被审计单位的被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术产生了影响;系统对审计人员的审计方法和在审计测试中采用的技术产生了影响;l内部控制环境的变更;内部控制环境的变更;l匿名用户带来的责任缺失;匿名用户带来的责任缺失;l未经授权的和未记录下来的数据修
5、改的可能性;未经授权的和未记录下来的数据修改的可能性;l看得见的审计痕迹和看得见的审计痕迹和/或纸质文件的缺失;或纸质文件的缺失;l审计证据的变化;审计证据的变化;l数据复制数据复制/无内容数据的可能性;无内容数据的可能性;l出现欺诈和错误的新机会和机制;出现欺诈和错误的新机会和机制;l分布式数据处理和存储;分布式数据处理和存储;l关键业务信息的机密性和一致性;关键业务信息的机密性和一致性;l由于组织内部或组织之间的通讯,特别是因特网增加的风险;由于组织内部或组织之间的通讯,特别是因特网增加的风险;l系统故障系统故障/宕机的可能性。宕机的可能性。信息系统审计的类型l对信息系统控制的检查对信息系
6、统控制的检查l对财务信息系统的审计对财务信息系统的审计l信息系统的绩效审计或信息系统的绩效审计或VFM审计审计l对正在开发的信息系统的审计对正在开发的信息系统的审计l信息系统舞弊审计信息系统舞弊审计l信息系统安全审计信息系统安全审计l计算机辅助审计技术(计算机辅助审计技术(CAATs)信息系统审计的起源与发展l社会审计:伴随着财务报告审计发展社会审计:伴随着财务报告审计发展l19541954年,第一套计算机化的会计系统在通用电气公司开始使用。年,第一套计算机化的会计系统在通用电气公司开始使用。六十年代中期,出现了第一套通用审计软件(六十年代中期,出现了第一套通用审计软件(GASGAS)。)。l
7、19681968年,年,AICPAAICPA(美国注册会计师协会)和当时的八大会计师事务(美国注册会计师协会)和当时的八大会计师事务所联合开始开展所联合开始开展EDPEDP(电子数据处理)审计。(电子数据处理)审计。l19681968年,电子数据处理审计师协会(年,电子数据处理审计师协会(EDPAAEDPAA)成立。该协会于)成立。该协会于19771977年发布了年发布了控制目标控制目标第一版(即第一版(即CobitCobit的前身)。的前身)。l19771977年,年,IIAIIA发布了一项研究成果,即发布了一项研究成果,即系统可审计性与控制系统可审计性与控制( the Systems, A
8、uditability, and Control, the Systems, Auditability, and Control, 简称简称SAC)SAC)。信息系统审计发展的历史(续)l19941994年,电子数据处理审计师协会(年,电子数据处理审计师协会(EDPAAEDPAA)改名为信息系统审计)改名为信息系统审计与控制协会(与控制协会(ISACAISACA)。)。l19961996年,信息系统审计与控制基金会(年,信息系统审计与控制基金会(Control Objectives for Control Objectives for Information and Related Techn
9、ologyInformation and Related Technology,简称,简称ISACFISACF)发布了信息)发布了信息技术控制目标技术控制目标COBITCOBIT第一版。目前已经修订到第四版。第一版。目前已经修订到第四版。l19981998年,年,ITIT治理学会(治理学会(IT Governance InstituteIT Governance Institute)成立。)成立。l19781978年,出现了年,出现了CISACISA职业化认证,并在职业化认证,并在19811981年举办了第一次年举办了第一次CISACISA考试。考试。20052005年年9 9月,美国国家标准
10、协会(月,美国国家标准协会(ANSIANSI)对)对ISACAISACA提供的提供的CISACISA和和CISMCISM资格进行了鉴定的认可,巩固了这两个资格的地位。资格进行了鉴定的认可,巩固了这两个资格的地位。l信息系统审计发展的历史(续)l政府审计:起源于对政府信息系统的评价政府审计:起源于对政府信息系统的评价l1959年,年,GAO发布第一份政府的信息系统审计报告:发布第一份政府的信息系统审计报告:评价自动评价自动化数据处理系统的安装化数据处理系统的安装;l1999年,年,GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册(第一版);(第一版);l2001年,年,GAO发布发
11、布联邦信息系统安全审计联邦信息系统安全审计管理的计划指南管理的计划指南;l2007年,审计署组织了第一次信息系统审计项目;年,审计署组织了第一次信息系统审计项目;l2008年,审计署组织了第一次独立的信息系统审计项目;年,审计署组织了第一次独立的信息系统审计项目;l2009年,年,GAO发布发布联邦信息系统控制审计手册联邦信息系统控制审计手册(第二(第二版)版)信息系统审计的标准体系lISACAISACA的信息系统审计标准的信息系统审计标准标准(标准(StandardsStandards)指南(指南(GuidelinesGuidelines)流程(流程(ProceduresProcedures
12、)l信息系统审计可以参考的其他标准信息系统审计可以参考的其他标准信息系统控制方面信息系统控制方面信息系统运营、服务管理方面信息系统运营、服务管理方面信息系统安全方面信息系统安全方面l信息系统审计必须遵循的行业法规信息系统审计必须遵循的行业法规ISACA的信息系统审计标准l标准:标准:定义了信息系统审计和报告的强制性要求。定义了信息系统审计和报告的强制性要求。l指南:指南:对审计人员执行信息系统审计标准的指导,信息系统审计对审计人员执行信息系统审计标准的指导,信息系统审计人员在实施相关工作时,应当考虑这些指南的要求。人员在实施相关工作时,应当考虑这些指南的要求。l流程:流程:为信息系统审计人员在
13、执行具体审计任务时提供详细的案为信息系统审计人员在执行具体审计任务时提供详细的案例,供审计人员参考。例,供审计人员参考。标准生效日期生效日期指南生效日期生效日期流程生效日期生效日期信息系统审计可以参考的其他标准l信息系统控制方面信息系统控制方面COSOCOBITSAC&eSACl信息系统运营、服务管理方面信息系统运营、服务管理方面ITILITILl信息系统安全方面信息系统安全方面ISO/ICT17799COSOlCOSO内部控制框架实际上是内部控制框架实际上是COSO组织在组织在1992年年9月发布的一份报告,月发布的一份报告,报告的正式名称是报告的正式名称是“内部控制内部控制-完整框架完整框
14、架”。它是在美国审计行业最为。它是在美国审计行业最为广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计都以都以COSO作为检查组织内部控制的标准框架。作为检查组织内部控制的标准框架。l尽管尽管COSO框架并不是信息技术方面的内部控制框架,但是由于它在审框架并不是信息技术方面的内部控制框架,但是由于它在审计领域的重要性,几乎所有的信息系统审计的框架和指南都会考虑吸取计领域的重要性,几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。特别是它的主要思想作为内部控制的考虑出发点。特别是2002年
15、年萨班斯萨班斯奥奥克斯利法案克斯利法案(SOX)颁布后,美国证券交易管理委员会(颁布后,美国证券交易管理委员会(SEC)把)把COSO框架作为组织加强内部控制的唯一参考框架,更进一步提升了框架作为组织加强内部控制的唯一参考框架,更进一步提升了COSO框架的重要地位。许多组织为了达到框架的重要地位。许多组织为了达到SOX法案对内部控制和信息法案对内部控制和信息真实性的要求,纷纷对信息系统进行控制评估和风险测试,开发了各种真实性的要求,纷纷对信息系统进行控制评估和风险测试,开发了各种信息技术控制框架以符合信息技术控制框架以符合COSO提出的要求,从而把信息技术的一般控提出的要求,从而把信息技术的一
16、般控制和应用控制方法与制和应用控制方法与COSO框架结合起来。框架结合起来。SAC&eSAC lSAC是第一个与信息技术相关的内部控制框架,它其实是由内部审计师学会是第一个与信息技术相关的内部控制框架,它其实是由内部审计师学会(IIA)在)在1977年发布一份报告,报告的正式名称是年发布一份报告,报告的正式名称是系统审计与控制报告系统审计与控制报告,该,该报告着重从业务视角考察信息技术,分析了存在于信息系统的计划、实施、自动报告着重从业务视角考察信息技术,分析了存在于信息系统的计划、实施、自动化应用中的风险,希望为组织提供化应用中的风险,希望为组织提供“对信息技术与系统审计的控制的指导对信息技
17、术与系统审计的控制的指导”。lSAC报告包含了报告包含了14个模块,分别是:执行概要、审计与控制环境、审计中信息技个模块,分别是:执行概要、审计与控制环境、审计中信息技术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。l2001年,内部审计师学会(年,内部审计师学会(IIA)发布了适应时代的信息系统控制模型:电子系统)发布了适应时代的信息系统控制模型:电子系统验证与控制(验证
18、与控制(eSAC),主要内容包括高级管理人员、公司治理实体、审计人员在),主要内容包括高级管理人员、公司治理实体、审计人员在理解、评估、监控、化解技术风险时需要掌握的新知识。理解、评估、监控、化解技术风险时需要掌握的新知识。eSAC的核心通过五个验的核心通过五个验证目标(可用性、性能、功能、保护、责任)与证目标(可用性、性能、功能、保护、责任)与COSO的四个内部控制目标(运的四个内部控制目标(运行、报告、符合、维护)以及五项基础设施模块(人员、技术、过程、投资、通行、报告、符合、维护)以及五项基础设施模块(人员、技术、过程、投资、通讯)结合起来。讯)结合起来。ITIL lITIL是指信息技术
19、基础设施库(是指信息技术基础设施库(ITInfrastructureLibrary)。是一个能促进组织)。是一个能促进组织接近提供高质量的信息技术服务的最佳实践的框架。接近提供高质量的信息技术服务的最佳实践的框架。lITIL专门关注怎样做和谁来做。核心过程包括在两个专门关注怎样做和谁来做。核心过程包括在两个ITIL的文档中:服务支持和服的文档中:服务支持和服务交付。务交付。l服务支持主要包括以下过程:服务支持主要包括以下过程:事故管理事故管理问题管理问题管理配置管理配置管理变更管理变更管理版本管理版本管理l服务交付主要包括以下过程:服务交付主要包括以下过程:服务水平管理服务水平管理信息技术服务
20、的财务管理信息技术服务的财务管理能力管理能力管理信息技术服务持续度管理信息技术服务持续度管理可用性管理可用性管理lITIL还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、软件资产管理等内容。软件资产管理等内容。ISO/ICT17799 lISO/ICT17799是信息安全的国际标准,是由国际标准化组织(是信息安全的国际标准,是由国际标准化组织(ISO)和)和国际电子技术委员会(国际电子技术委员会(ICT)颁布的。该标准的正式名称是)颁布的。该标准的正式名称是“信息技术信息技术安全技术安全技术信息安全管理实务规定
21、信息安全管理实务规定”。其中。其中ISO/ICT17799:2000版本,是对英国标准版本,是对英国标准BS7799-1:1999的复制。的复制。l2005版的版的ISO/ICT17799标准包含了以下标准包含了以下12个方面:风险评估与处理、安个方面:风险评估与处理、安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事故管理、业务持续管理、符合性。故管理、业务持续管理、符合性。l在标准的每一部分中
22、,都清楚地标明了信息技术安全控制的目标,信息在标准的每一部分中,都清楚地标明了信息技术安全控制的目标,信息技术安全控制被作为达到这些目标的最佳实践。技术安全控制被作为达到这些目标的最佳实践。信息系统审计必须遵循的行业法规信息系统审计必须遵循的行业法规lGramm-Leach-Bliley法案法案(GLBA)又称金融现代化法案,又称金融现代化法案,1999年年11月月12日获得美国国会的通过,日获得美国国会的通过,GLBA规定金规定金融机构必须评估客户机密信息的风险,制定控制措施,尽量降低已知风险,融机构必须评估客户机密信息的风险,制定控制措施,尽量降低已知风险,并定期更新风险评估结果和控制措施
23、。并定期更新风险评估结果和控制措施。l健康保险流通与责任法案健康保险流通与责任法案(HIPAA)1996年年8月月21日,日,健康保险流通与责任法案(HIPAA)(TheHealthInsurancePortabilityandAccountabilityAct)获得美国国会的通过,法案规定所有处获得美国国会的通过,法案规定所有处理和理和/或持有健康医疗相关信息的组织都必须遵守保护病患信息或持有健康医疗相关信息的组织都必须遵守保护病患信息(PHI)的安全的安全性规定。性规定。HIPAA把医疗记录和相关信息定义为需要特别控制的受保护的健康把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。
24、信息。l萨班斯一奥史斯利法案萨班斯一奥史斯利法案(Sarbanes-OxleyAct)2002年通过的萨班斯一奥史斯利法案年通过的萨班斯一奥史斯利法案(Sarbanes-Oxley(SOX)Actof2002)规定美国证券交易所规定美国证券交易所(SEC)的注册公司必须针对运营和金融业务建立并维持的注册公司必须针对运营和金融业务建立并维持有效的内部控制架构,为控制措施的有效性提供管理报告,而且控制措施的有效的内部控制架构,为控制措施的有效性提供管理报告,而且控制措施的有效性必须通过外部审计人员的审核。有效性必须通过外部审计人员的审核。l内容提要l信息系统审计概述信息系统审计概述l国际上开展的政
25、府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动国际上开展的政府的信息系统审计现状l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计美国联邦机构信息系统审计l美国的联邦审计机构(中央级)由两部分组成:美国的联邦审计机构(中央级)由两部分组成:l一部分是美国审计署(一部分是美国审计
26、署(GAO),),l另一部分是兼有审计、监察两种职能的行政部门和机构的监察长另一部分是兼有审计、监察两种职能的行政部门和机构的监察长办公室(办公室(OIGs)。)。美国联邦审计机构l美国审计署作为议会的调查机构,是议会用来监督和评价联邦政美国审计署作为议会的调查机构,是议会用来监督和评价联邦政府的工具。其主要工作是开展项目效果评价和管理评估、政策评府的工具。其主要工作是开展项目效果评价和管理评估、政策评估以及为国会提供有关政府施政方面的复杂问题的研究报告。除估以及为国会提供有关政府施政方面的复杂问题的研究报告。除对联邦合并财务报表和个别机构、单位的财务报表由美国审计署对联邦合并财务报表和个别机
27、构、单位的财务报表由美国审计署进行审计外,部门和机构的财务审计基本上交由监察长办公室进进行审计外,部门和机构的财务审计基本上交由监察长办公室进行。行。l美国的监察长审计制度是通过美国的监察长审计制度是通过1978年年监察长法监察长法建立起来的。建立起来的。根据根据1978年的年的监察长法监察长法及其后来的修正案,联邦政府各部门及其后来的修正案,联邦政府各部门均设立监察长办公室,监察长负责监察长办公室的工作,由总统均设立监察长办公室,监察长负责监察长办公室的工作,由总统任命。监察长办公室的预算是独立的,由国会批准,部门负责人任命。监察长办公室的预算是独立的,由国会批准,部门负责人不能用经费来限制
28、监察长办公室的业务活动。监察长办公室的工不能用经费来限制监察长办公室的业务活动。监察长办公室的工作范围十分广泛,涉及到影响部门工作效率和效果的各个方面。作范围十分广泛,涉及到影响部门工作效率和效果的各个方面。其主要工作包括审计、对投诉、举报和有关事项的调查和监察等其主要工作包括审计、对投诉、举报和有关事项的调查和监察等工作。其中,审计工作主要包括财务审计和绩效审计两个方面。工作。其中,审计工作主要包括财务审计和绩效审计两个方面。l美国审计署和监察长办公室在分工上各有侧重,二者共同构成了美国审计署和监察长办公室在分工上各有侧重,二者共同构成了美国国家审计的整体。美国国家审计的整体。美国审计署与监
29、察长办公室的关系美国审计署美国审计署监察长办公室监察长办公室作用范围作用范围整个政府整个政府部门、机构内部部门、机构内部关注问题关注问题普遍性(横向)和长期性的问普遍性(横向)和长期性的问题题深入(纵向)和短期性的问题深入(纵向)和短期性的问题工作类型工作类型较多审计、评价和政策分析较多审计、评价和政策分析较多调查较多调查对财务报表审计的对财务报表审计的分工分工对联邦政府合并报表发表意见对联邦政府合并报表发表意见对部门、机构财务报表进行审计对部门、机构财务报表进行审计对政府绩效进行监对政府绩效进行监督的方式督的方式提出联邦政府部门绩效和责任提出联邦政府部门绩效和责任高风险名单高风险名单提出政府
30、部门面临的管理挑战清提出政府部门面临的管理挑战清单单(根据2004年3月24日美国审计长大卫沃克所做的美国审计署和监察长办公室:提高政府绩效和责任演讲中的幻灯片的内容编译。)1、美国审计署美国审计署与计算机相关的组织机构美国审计署与计算机相关的组织机构在业务方面,设置了专门的信息技术局开展信息系统审计;在业务方面,设置了专门的信息技术局开展信息系统审计;另外,在应用研究与技术局下设有专门的技术工程和信息安全另外,在应用研究与技术局下设有专门的技术工程和信息安全实验中心,负责改善信息技术和促进软件工程现代化,评估联邦实验中心,负责改善信息技术和促进软件工程现代化,评估联邦政府计算机系统的安全性。
31、政府计算机系统的安全性。在保障方面,设置了专门的信息系统与技术服务部门保障内部在保障方面,设置了专门的信息系统与技术服务部门保障内部信息系统的运转。信息系统的运转。相关计算机机构的任务l信息技术局(截止至信息技术局(截止至2007年年4月)有局领导月)有局领导2人,人,5个处,分别是:个处,分别是:(1)信息管理;)信息管理;(2)信息技术架构与系统;)信息技术架构与系统;(3)信息技术人力资本与管理;)信息技术人力资本与管理;(4)信息技术管理事务:)信息技术管理事务:(5)信息技术安全事务。)信息技术安全事务。l信息系统与技术服务部门设信息系统与技术服务部门设GAO首席信息官(首席信息官(
32、CIO)一名,承担)一名,承担9项任务:项任务:(1)业务系统;()业务系统;(2)客户关系;)客户关系;(3)预约管理;)预约管理;(4)组织架构;()组织架构;(5)信息系统安全;()信息系统安全;(6)网络运营;)网络运营;(7)运行与计划;()运行与计划;(8)通讯;()通讯;(9)网页服务)网页服务l技术工程和信息安全实验中心负责对工作成果有关内容的准确性进技术工程和信息安全实验中心负责对工作成果有关内容的准确性进行技术检验,包括具备系统工程、软件工程、成本概算和计算机安行技术检验,包括具备系统工程、软件工程、成本概算和计算机安全等方面的工程师和科学家。全等方面的工程师和科学家。美国
33、审计署文件对信息系统审计组织机构的要求l美国审计署美国审计署信息系统安全审计信息系统安全审计管理的计划指南管理的计划指南(2001年年12月)中提月)中提到:到:审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力,审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力,州和地方审计机关信息系统审计部门的大小和职能区别很大。州和地方审计机关信息系统审计部门的大小和职能区别很大。一些审计机关没有设置信息系统审计部门,而是通过与社会审计有关一些审计机关没有设置信息系统审计部门,而是通过与社会审计有关方面签订合同,完成信息系统审计工作。还有一些审计机关的信息系统方面签订合同,完成信息系统审
34、计工作。还有一些审计机关的信息系统审计人员直接整合进入财务审计和业务审计小组。审计人员直接整合进入财务审计和业务审计小组。此外,审计机关应该根据其大小、结构和任务建立健全信息系统安全此外,审计机关应该根据其大小、结构和任务建立健全信息系统安全审计方面的能力。审计方面的能力。美国审计署对信息系统控制审计的提法1、一般控制(摘自、一般控制(摘自联邦信息系统控制审计手册联邦信息系统控制审计手册):):l实体安全控制l访问控制l应用软件开发和变更控制l系统软件控制l职责分离控制l服务连续性控制2、应用控制(摘自、应用控制(摘自联邦政府内部控制标准联邦政府内部控制标准和和控制管控制管理与评价工具理与评价
35、工具):):l授权控制l完整性控制l准确性控制l数据文件和处理的完整性控制美国审计署关于信息系统安全审计的提法l(摘自(摘自信息系统安全审计信息系统安全审计管理的计划指南管理的计划指南)信息系统安全审计的目标是:支持财务审计、信息系统安全审计的目标是:支持财务审计、支持效益审计、支持计算机辅助审计和完成系统支持效益审计、支持计算机辅助审计和完成系统开发的安全检查等。开发的安全检查等。满足信息系统安全审计目标的活动有:满足信息系统安全审计目标的活动有:计划计划支持;支持;一般控制检查(组织和管理、应用开发一般控制检查(组织和管理、应用开发与维护、系统软件、计算机运行、安全管理、逻与维护、系统软件
36、、计算机运行、安全管理、逻辑安全、物理安全)、辑安全、物理安全)、应用控制检查(输入控应用控制检查(输入控制、输出控制);制、输出控制);采用专门的安全技术工具;采用专门的安全技术工具;收集其他安全相关信息;收集其他安全相关信息;其他的专业支持。其他的专业支持。美国审计署与信息技术投资相关的指南和手册l信息技术:评估采购风险的审计指南信息技术:评估采购风险的审计指南,1992年年12月;月;l执行指南:通过信息管理战略来提高执行任务的效果,执行指南:通过信息管理战略来提高执行任务的效果,1994年年5月;月;l信息技术投资:联邦机构能提高效益、降低成本和使风信息技术投资:联邦机构能提高效益、降
37、低成本和使风险最小,险最小,1996年年9月;月;l信息技术投资评价指南,信息技术投资评价指南,1997年年2月;月;l执行指南:信息技术投资的效益计量和成果演示,执行指南:信息技术投资的效益计量和成果演示,1998年年3月;月;l执行指南:信息安全管理,执行指南:信息安全管理,1998年年8月;月;l信息安全风险评估:领先者的实践经验,信息安全风险评估:领先者的实践经验,1999年年11月;月;l信息技术投资管理执行指南:评估和改进过程成熟度的信息技术投资管理执行指南:评估和改进过程成熟度的框架框架2004年年3月。月。美国审计署发布的信息系统审计报告l根据对美国审计署官方网站上审计报告的统
38、计根据对美国审计署官方网站上审计报告的统计,自自1959年年12月月15日的日的评价自动化数据处理系统的安装评价自动化数据处理系统的安装开始至今(开始至今(2007年年5月)月),美国审计署共发布,美国审计署共发布1632份有关信息管理的审计报告。份有关信息管理的审计报告。l自自2000年年1月至今,美国审计署共发布有有关信息管理的审计报月至今,美国审计署共发布有有关信息管理的审计报告告392篇,占同期全部审计报告(篇,占同期全部审计报告(7087份)约份)约5.5%。以美国审计署网站公布的第一份信息管理类审计报告为例l这是一份提交给邮政事务委员会(这是一份提交给邮政事务委员会(THECOMM
39、ITTEEONPOSTOFFICEANDCIVILSERVICE)的报告。)的报告。l审计调查:审计调查:1959年年10月,邮政事务委员会请求美国审计署对其自月,邮政事务委员会请求美国审计署对其自动化数据处理系统的安装进行评价。动化数据处理系统的安装进行评价。1952年年12月,其下属部门租月,其下属部门租得一套中型计算机系统得一套中型计算机系统Datatron205,年度租金,年度租金$123,300,增加,增加运营成本运营成本$156,700,该部门不久,该部门不久安装了一套更大处理能力的安装了一套更大处理能力的Datatron220,将进一步增加运营成本将进一步增加运营成本$127,5
40、00。审计署认为,该部门决定租用计算机系统审计署认为,该部门决定租用计算机系统Datatron205的理由的理由是充分的,但调查也发现使用该套设备并不能直接节约费用。是充分的,但调查也发现使用该套设备并不能直接节约费用。以美国审计署发布的最新一期信息管理类审计报告为例l信息安全:美国联邦存款保险公司需要继续改进其处理程序。信息安全:美国联邦存款保险公司需要继续改进其处理程序。GAO-07-351,2007年年5月月18日日l美国审计署为什么要完成进行这项审计任务?美国审计署为什么要完成进行这项审计任务?美国联邦存款保险公司(美国联邦存款保险公司(FDIC)有责任强制要求金融机构遵守银行法,保护
41、)有责任强制要求金融机构遵守银行法,保护存款人的利益。作为存款人的利益。作为2006年度财务报表审计的一部分,美国审计署评估以下年度财务报表审计的一部分,美国审计署评估以下内容:内容:(1)美国联邦存款保险公司按照先前报告要求,对信息安全薄弱环节的纠正)美国联邦存款保险公司按照先前报告要求,对信息安全薄弱环节的纠正情况。情况。(2)信息系统完整性控制的效力,以保证财务信息和信息系统的机密性和有)信息系统完整性控制的效力,以保证财务信息和信息系统的机密性和有效性。效性。l美国审计署的建议是:美国审计署的建议是:美国联邦存款保险公司应采取措施解决控制薄弱点,并将美国联邦存款保险公司应采取措施解决控
42、制薄弱点,并将NFE“新财务环新财务环境境”充分整合,纳入统一的信息安全程序。充分整合,纳入统一的信息安全程序。在起草报告的过程中,美国联邦存款保险公司反映他们正在落实整改。在起草报告的过程中,美国联邦存款保险公司反映他们正在落实整改。以美国审计署发布的最新一期信息管理类审计报告为例(续)l美国审计署的审计发现:美国审计署的审计发现:首先,美国联邦存款保险公司积极按照首先,美国联邦存款保险公司积极按照2005年美国审计署报告的建议,年美国审计署报告的建议,对对26项薄弱点进行了纠正。其中包括:项薄弱点进行了纠正。其中包括:(1)正在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主)正
43、在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主机用户和管理员的密码;机用户和管理员的密码;(2)使用程序变更供应商的用户名)使用程序变更供应商的用户名/密码;密码;(3)改进主机的安全监控等。)改进主机的安全监控等。虽然,美国联邦存款保险公司已经采取了有效措施改进其信息系统控制,虽然,美国联邦存款保险公司已经采取了有效措施改进其信息系统控制,但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完整、机密和有效。除了还有整、机密和有效。除了还有5项薄弱点还没有得到纠正以外,本次审计还发项薄弱点还没有得到纠
44、正以外,本次审计还发现以下控制存在薄弱点:现以下控制存在薄弱点:(1)e-mail安全;(安全;(2)物理安全;()物理安全;(3)配置管理。)配置管理。虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险,虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险,但是他们的确是可能造成财务和信息系统风险的发生。此外,公司没有将其但是他们的确是可能造成财务和信息系统风险的发生。此外,公司没有将其“新财务环境新财务环境”(NFE)纳入整体的信息安全程序,没有对其实施关键的控)纳入整体的信息安全程序,没有对其实施关键的控制活动。制活动。2、监察长办公室(OIGs)l监察长办公室下设多个
45、部门,其中包括审计处。审计处主要负责:监察长办公室下设多个部门,其中包括审计处。审计处主要负责:1、实施和监督与部门项目和业务活动有关的审计;、实施和监督与部门项目和业务活动有关的审计;2、提出相关政策建议以提升部门项目和业务活动管理的经济、效、提出相关政策建议以提升部门项目和业务活动管理的经济、效率和效果,揭露并杜绝项目和业务活动管理过程中出现的舞弊、率和效果,揭露并杜绝项目和业务活动管理过程中出现的舞弊、浪费、滥用和管理不善问题,协助监察长提请部长和国会注意有浪费、滥用和管理不善问题,协助监察长提请部长和国会注意有关部门项目和业务管理方面的问题、不足以及改善的必要性和过关部门项目和业务管理
46、方面的问题、不足以及改善的必要性和过程。程。l监察长下设的审计部门在信息系统审计领域,同样要遵守美国审监察长下设的审计部门在信息系统审计领域,同样要遵守美国审计署颁布的审计标准、手册和指南。计署颁布的审计标准、手册和指南。美国小企业管理局监察长办公室,2003财年信息系统控制审计报告,2004年4月l审计人员检查了小企业管理局的财务管理系统的一般控制和应用控制,确认其是否控制符合联邦的要求。l本次审计,对联邦政府进行一般控制和应用控制的检查,主要依据下列文件: (1)管理和预算办公室(OMB)的A-130通知; (2)联邦信息资源和计算机安全法案,1987年。l审计结论认为:小企业管理局在实施
47、信息系统安全程序方面获得相当大的进展,但仍然存在不足,部分控制仍需加强,包括:整体的安全控制、访问控制、应用软件开发和变更控制、系统软件控制、职责分离控制控制和业务持续性控制。l该报告也提出了相应的解决建议。联邦通信委员会监察长办公室, 呼叫中心的计算机控制审计,2000年6月l审计依据:审计依据:(1)管理和预算办公室(OMB)的A-130通知; (2)美国审计署联邦信息系统控制审计手册; (3)通讯委员会自定的“计算机安全程序”; (4)“计算机舞弊和滥用法”。l审计发现:审计发现:审计最终发现审计最终发现103处问题,其中高风险(处问题,其中高风险(13处),处),中风险(中风险(52处
48、),低风险(处),低风险(38处)。处)。呼叫中心共有呼叫中心共有3大系统,分别是:自动呼叫管理系统、大系统,分别是:自动呼叫管理系统、语音响应系统和专家顾问系统。语音响应系统和专家顾问系统。国外的信息系统审计l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计两个协会l美国州审计师、主计师、司库全国协会(NASACT)l美国地方政府审计师协会美国地方政府审计师协会(ALGA)美国州审计师、主计师、司库全美国州审计师、主计师、司库全国协会国协会(NASACT)l美国州审计师
49、、主计师、司库协会由州政府开展财务管理美国州审计师、主计师、司库协会由州政府开展财务管理政府官员组成的一个组织。政府官员组成的一个组织。l其会员包括美国其会员包括美国50个州、哥伦比亚特区等美国领土的所有个州、哥伦比亚特区等美国领土的所有审计师、主计师和司库。审计师、主计师和司库。l该协会成立了专门的政府间信息安全审计论坛,以促进加该协会成立了专门的政府间信息安全审计论坛,以促进加强政府信息安全审计能力。包括强政府信息安全审计能力。包括5个组,任务目标组、法个组,任务目标组、法律文件和报告组、技术组、培训和课件开发组和信息共享律文件和报告组、技术组、培训和课件开发组和信息共享组。组。l其目标是
50、:技术技巧和人力资源;采用的审计方法和工具;其目标是:技术技巧和人力资源;采用的审计方法和工具;建立完成信息安全审计的技术、法律和程序基础;开发材建立完成信息安全审计的技术、法律和程序基础;开发材料,教育信息安全风险与审计;讨论改善信息安全的统一料,教育信息安全风险与审计;讨论改善信息安全的统一标准。标准。l其开发的操作手册包括:一般控制、应用控制、计算机辅其开发的操作手册包括:一般控制、应用控制、计算机辅助审计技术、计算机取证审计助审计技术、计算机取证审计美国地方政府审计师协会(ALGA)l美国地方政府审计师协会是由有关审计机构组成,自美国地方政府审计师协会是由有关审计机构组成,自由入会,共
51、享资源。由入会,共享资源。l该协会对信息系统审计没有特别定义,它收集了很多该协会对信息系统审计没有特别定义,它收集了很多与信息系统审计相关的资源,包括:与信息系统审计相关的资源,包括:(1)AICPA,SASNo.94“信息技术对审计师在财务信息技术对审计师在财务报表审计中考虑内部控制的影响报表审计中考虑内部控制的影响”;(2)信息系统控制与审计学会的信息系统审计;)信息系统控制与审计学会的信息系统审计;(3)内部审计学会信息技术审计;)内部审计学会信息技术审计;(4)NIST关于联邦信息处理标准中计算机安全的描述关于联邦信息处理标准中计算机安全的描述;德克萨斯州审计局犯罪司法信息系统数据的准
52、确性,2001年12月l经过审计,审计局认为德州经过审计,审计局认为德州CJIS(犯罪司法信息系统)比(犯罪司法信息系统)比5年完年完善和准确。但是,还有部分有待改善。善和准确。但是,还有部分有待改善。l审计局曾经作出审计局曾经作出评估德州犯罪司法信息系统评估德州犯罪司法信息系统的审计报告,指的审计报告,指出该系统存在多个薄弱点可能影响数据的可靠性。审计报告指出出该系统存在多个薄弱点可能影响数据的可靠性。审计报告指出需要采取若干基本控制以确保数据的可靠性。需要采取若干基本控制以确保数据的可靠性。l审计报告的内容主要分两个部分:审计报告的内容主要分两个部分:(1)州公共安全厅应加强控制确保犯罪数
53、据库系统()州公共安全厅应加强控制确保犯罪数据库系统(CCH)数据)数据的完整和准确;的完整和准确;犯罪数据库系统的数据是不完整的,审计发现法院部署实施逮犯罪数据库系统的数据是不完整的,审计发现法院部署实施逮捕的数据与在册的罪犯数据不匹配。其原因有:有关方面还没有捕的数据与在册的罪犯数据不匹配。其原因有:有关方面还没有提交逮捕信息,公共安全厅的提交逮捕信息,公共安全厅的“自动指纹识别系统自动指纹识别系统”和现场扫描和现场扫描系统存在数据重复等。系统存在数据重复等。(2)州犯罪司法厅应改进罪犯改正跟踪系统,并加强该系统的)州犯罪司法厅应改进罪犯改正跟踪系统,并加强该系统的IT控制。控制。国外的信
54、息系统审计l美国联邦审计机构信息系统审计美国联邦审计机构信息系统审计l美国地方审计机构信息系统审计美国地方审计机构信息系统审计l国外国外IT绩效审计与电子政务审计绩效审计与电子政务审计美国的做法l电子政务法案,2002 在颁布电子政务法案前的20年,美国陆续颁布过很多与联邦信息技术管理相关的法律文件,如隐私法、信息自由法、Clinger-Cohen 法(信息技术管理改革法)、文书削减法等。 2002年,由预算与管理办公室(OMB)主导,促成了电子政务法的颁布。l该法案在第2章“联邦管理与电子政务促进”中3707条款提到:美国审计署应在4年内向众议院政府改革委员会和参议院政务事务委员会提交一份报
55、告,包括评价信息技术交换技术的效力;以及该程序是否应该继续或终止的建议。l该法案第2章“联邦信息系统标准的责任”11331条款中提到:国家技术标准委在制定相关标准时应与预算与管理办公室、国防部、能源部、国家安全局、审计署和国土安全部协商。l该法案第3章2332条款提到:美国审计署在六个月内向国会提交一份有关“结余分享”(share-in-savings contracts)的报告。美国地方审计机关对电子政务的审计报告l美国新泽西州审计局在美国新泽西州审计局在2001年对信息技年对信息技术局的电子政务服务进行了审计;术局的电子政务服务进行了审计;l美国明尼苏达州审计机关在美国明尼苏达州审计机关在
56、2002年年4月对月对当地的电子政务进行了审计;当地的电子政务进行了审计;l美国亚利桑那州审计局在美国亚利桑那州审计局在2004年年9月对州月对州运输局的车辆处进行了对信息安全和电运输局的车辆处进行了对信息安全和电子政务的审计子政务的审计英国的做法l英国审计署十分注重英国审计署十分注重VFM(ValueforMoney)审计,即价值)审计,即价值衡量审计(绩效审计),衡量审计(绩效审计),IT项目绩效也在其重点考虑和评价之项目绩效也在其重点考虑和评价之列。列。l有资料表明,英国审计署对有资料表明,英国审计署对IT项目的最初审计实践始于项目的最初审计实践始于1984年,年,经过多年发展,英国审计
57、署已经将有关信息技术服务管理作为经过多年发展,英国审计署已经将有关信息技术服务管理作为进一步利用计算机开展绩效审计工作的主要方向。进一步利用计算机开展绩效审计工作的主要方向。l1999年年12月和月和2002年年4月,英国审计署分两次提交月,英国审计署分两次提交网上政府网上政府报告;报告;l2002年年4月,提交月,提交通过电子政务提供更好的公众服务通过电子政务提供更好的公众服务报告;报告;l2003年年5月,提交月,提交采购和管理软件许可证采购和管理软件许可证报告;报告;l2004年,提交年,提交改进改进IT采购:商务部改进采购:商务部改进IT程序和项目效益的程序和项目效益的动机及影响动机及
58、影响报告;报告;l2005年,提交年,提交健康部:健康部的国家健康部:健康部的国家IT项目项目报告。报告。“ “信息通信技术在电子政务审计中的应用:关于效信息通信技术在电子政务审计中的应用:关于效率、透明和责任的战略率、透明和责任的战略” ”的国际专题讨论会。的国际专题讨论会。l2005年年4月,联合国(月,联合国(UN)和最高审计机关国际组织)和最高审计机关国际组织(INTOSAI)在奥地利维也纳召开。)在奥地利维也纳召开。l电子政务审计作为加强政府透明和责任不可缺失的手电子政务审计作为加强政府透明和责任不可缺失的手段正在受到各国审计机关的高度重视。审计机关电子段正在受到各国审计机关的高度重
59、视。审计机关电子政务审计的成熟度,取决于国家电子政务达到的水平,政务审计的成熟度,取决于国家电子政务达到的水平,以及审计机关自身的技术。以及审计机关自身的技术。2004年4月,最高审计机关国际组织IT审计委员会在莫斯科召开了第4次效益审计工作会议l议题:议题:“如何对电子政务开展效益审计如何对电子政务开展效益审计”l包含包含3个子议题,分别是个子议题,分别是:“电子政务项目的风险评估电子政务项目的风险评估”,“以用户为导向的效率问题以用户为导向的效率问题”,“审计电子政务时面临的挑战审计电子政务时面临的挑战”。内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上
60、开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动信息系统审计模型COBITlCOBIT:全称是信息技术控制目标框架,由全称是信息技术控制目标框架,由ISACF在在1996年发布,分别在年发布,分别在1998、2000、2005年年进行了修订,目前的版本是进行了修订,目前的版本是COBIT4.1。信息系统审计模型COBITlCOBIT是一个全面的内部控制框架,是一个在国际上公认为最先是一个全面的内部控制框架,是一个在国际上公认为
61、最先进、最权威的安全与信息技术管理和控制的标准进、最权威的安全与信息技术管理和控制的标准。lCOBIT的内容主要参考了不同的国际组织的标准或最佳实践,覆的内容主要参考了不同的国际组织的标准或最佳实践,覆盖了当今世界上关于控制和盖了当今世界上关于控制和IT的主要标准的主要标准。如:如:国际标准化组织(国际标准化组织(ISO)ISACA信息技术安全评估标准(信息技术安全评估标准(ITSEC)COSOGAOIFACIIAAICPACICA欧洲安全论坛(欧洲安全论坛(ESF)国家标准与技术学会(国家标准与技术学会(NIST) COBIT的基本原理COBIT是基于控制的模型lCOBIT对控制的定义是:对
62、控制的定义是:“组织为了能够预防、检测、组织为了能够预防、检测、纠正非预想情况的发生,而设计实施的一整套策略、纠正非预想情况的发生,而设计实施的一整套策略、程序、实务以及组织结构等的集合,以达到组织的各程序、实务以及组织结构等的集合,以达到组织的各项业务目标。项业务目标。”这个定义与其他内部控制框架对控制这个定义与其他内部控制框架对控制的定义差不多。的定义差不多。lCOBIT架起了强调业务的控制模型(如架起了强调业务的控制模型(如COSO)和强)和强调调IT的控制模型(如的控制模型(如BS7799)之间的桥梁。)之间的桥梁。COBIT是面向过程的模型lCOBIT把把IT环境下的各项活动组合成为
63、过程,对每个环境下的各项活动组合成为过程,对每个过程设定了一批详细的控制目标,又把这些过程按照过程设定了一批详细的控制目标,又把这些过程按照逻辑相关性组合成为域。逻辑相关性组合成为域。lCOBIT有四个最高层的域,在这四个域中共包含了有四个最高层的域,在这四个域中共包含了34个高层控制目标和个高层控制目标和318个具体控制目标。这四个域是:个具体控制目标。这四个域是:PO域:计划与组织(域:计划与组织(11个过程)个过程)AI域:获取与实施(域:获取与实施(6个过程)个过程)DS域:交付与支持(域:交付与支持(13个过程)个过程)ME域:监测与评估(域:监测与评估(4个过程)个过程)信息系统审
64、计模型COBITlCOBIT定义了组织中的定义了组织中的4种关键信息技术资源:种关键信息技术资源:人员人员信息信息应用系统应用系统信息基础设施信息基础设施lCOBIT定义了定义了7方面的信息标准:方面的信息标准:效果性(效果性(Effectiveness):信息系统提供对业务处理来说:信息系统提供对业务处理来说“有效有效”的信息的信息效率性(效率性(Efficiency):“有效率有效率”地使用资源,提供信息地使用资源,提供信息保密性(保密性(Confidentiality):保护敏感信息,避免泄漏信息保护敏感信息,避免泄漏信息一致性(一致性(Integrity):保证信息的:保证信息的“真实
65、可信真实可信”,即信息准确、完整,并且,即信息准确、完整,并且从业务价值和业务需要的角度来说是正确有效的从业务价值和业务需要的角度来说是正确有效的可用性(可用性(Availablity):当业务需要时,信息可随时获得):当业务需要时,信息可随时获得可靠性(可靠性(Reliability):为管理层维持组织运转和履行所赋予职责提供适当):为管理层维持组织运转和履行所赋予职责提供适当的信息的信息合规性(合规性(Compliance):符合相关法律、规定、合同对业务过程的规定):符合相关法律、规定、合同对业务过程的规定内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际
66、上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动信息系统审计的提出与探索l从审计署计算中心成立之初,就开始提出开展信息系从审计署计算中心成立之初,就开始提出开展信息系统审计,建立中国自己的信息系统审计人才认证;统审计,建立中国自己的信息系统审计人才认证;l十几年来,全国各级审计机关逐步尝试开展信息系统十几年来,全国各级审计机关逐步尝试开展信息系统审计实践,为其发展积累了经验;审计实践,为其发展积累了经验;l学术界也为信息系统
67、审计工作进行了多年的理论准备。学术界也为信息系统审计工作进行了多年的理论准备。l有了这些积累,以下的事情也就成为水到渠成了:有了这些积累,以下的事情也就成为水到渠成了:开展的信息系统审计项目l2007年以前,部分特派办和省厅已经开始在审计项目中尝试开展年以前,部分特派办和省厅已经开始在审计项目中尝试开展信息系统审计工作。信息系统审计工作。l2007年年6月到月到11月,审计署组织在国家开发银行的资产、负债及月,审计署组织在国家开发银行的资产、负债及损益审计项目中开展了对信息系统控制的审计,这是审计署第一损益审计项目中开展了对信息系统控制的审计,这是审计署第一次正式组织信息系统审计项目。次正式组
68、织信息系统审计项目。l2008年上半年,审计署组织对中国烟草总公司、中国石油化工集年上半年,审计署组织对中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。团、中化集团开展了信息系统审计调查。l2008年下半年,审计署组织对中化集团及天津公司开展了信息系年下半年,审计署组织对中化集团及天津公司开展了信息系统审计项目,这是审计署第一次独立组织的信息系统审计项目。统审计项目,这是审计署第一次独立组织的信息系统审计项目。培训和交流l2006年底,审计署派团前往美国学习信息系统审计,归国后学员年底,审计署派团前往美国学习信息系统审计,归国后学员的学习报告和建议得到署领导重视。的学习报告和
69、建议得到署领导重视。l2008年年5月到月到6月,审计署在南京审计学院举办第一期信息系统审月,审计署在南京审计学院举办第一期信息系统审计培训班,来自审计署机关、派出局、特派办、地方审计机关的计培训班,来自审计署机关、派出局、特派办、地方审计机关的49名学员参加了培训。名学员参加了培训。12月又举办了第二期培训班。月又举办了第二期培训班。l2007年,面向全国审计机关征集了第一批信息系统审计案例,并年,面向全国审计机关征集了第一批信息系统审计案例,并召开了研讨会。召开了研讨会。l2009年,再次面向全国审计机关征集信息系统审计案例,计划在年,再次面向全国审计机关征集信息系统审计案例,计划在11月
70、份再次评审并召开了研讨会。月份再次评审并召开了研讨会。资料编写和翻译l2007年,审计署培训中心组织把最高审计机关国际组织的年,审计署培训中心组织把最高审计机关国际组织的IT审计审计课件翻译成为中文,计算中心与相关机构联系,把该资料挂在委课件翻译成为中文,计算中心与相关机构联系,把该资料挂在委员会网站上。员会网站上。l2008年,审计署科研所组织编写了年,审计署科研所组织编写了信息系统审计技术方法信息系统审计技术方法。l2009年,审计署计算中心开始翻译年,审计署计算中心开始翻译GAO的的联邦信息系统控制审联邦信息系统控制审计手册计手册。规范准备l2007年,审计署计算中心组织编制了信息系统审
71、计准则,后此项年,审计署计算中心组织编制了信息系统审计准则,后此项工作交由法规司负责。工作交由法规司负责。l2008年,审计署计算中心组织开始编制信息系统审计指南,此项年,审计署计算中心组织开始编制信息系统审计指南,此项工作计划在工作计划在2009年年3月底完成。月底完成。内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动案例1:l国家开发银行信
72、息系统审计国家开发银行信息系统审计案例2:l中化集团信息系统审计中化集团信息系统审计内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动政府信息系统审计的总体目的l对被审计单位的信息系统运行、管理中的控制的有效性进行评价,包括对被审计单位的信息系统运行、管理中的控制的有效性进行评价,包括对相关控制的设计是否合理、执行是否有效,有无重大的控制缺失等。
73、对相关控制的设计是否合理、执行是否有效,有无重大的控制缺失等。审计机关和审计人员应当根据本单位拟开展的信息系统审计项目的实际审计机关和审计人员应当根据本单位拟开展的信息系统审计项目的实际情况,确定信息系统审计的目的,包括以下不同情况:情况,确定信息系统审计的目的,包括以下不同情况:在财务收支审计中,通过对与财务收支审计目标相关的信息系统一般控制和应用控制的在财务收支审计中,通过对与财务收支审计目标相关的信息系统一般控制和应用控制的有效性进行评价,从而为财务收支审计提供支持;有效性进行评价,从而为财务收支审计提供支持;在独立的信息系统审计项目中,通过对系统控制的有效性进行测试,指出系统的关键控在
74、独立的信息系统审计项目中,通过对系统控制的有效性进行测试,指出系统的关键控制缺陷,在此基础上进一步对信息系统控制的有效性给予评价;或者仅指出系统的关键制缺陷,在此基础上进一步对信息系统控制的有效性给予评价;或者仅指出系统的关键控制缺陷,而不进行整体评价。控制缺陷,而不进行整体评价。政府信息系统审计的范围l针对以上目的,信息系统审计可以在以下不同的层次开展:针对以上目的,信息系统审计可以在以下不同的层次开展:可以针对被审计单位的整体信息系统运行和管理进行审计;可以针对被审计单位的整体信息系统运行和管理进行审计;可以针对被审计单位的特定的信息系统(如可以针对被审计单位的特定的信息系统(如ERP系统
75、)或者使用的特定技术系统)或者使用的特定技术(如网络安全)进行审计;(如网络安全)进行审计;可以只对一般控制或应用控制情况开展审计。可以只对一般控制或应用控制情况开展审计。审计计划阶段l计划阶段的目的是:计划阶段的目的是:了解被审计单位以及其业务运作情况;了解被审计单位以及其业务运作情况;识别风险和内部控制;识别风险和内部控制;确定审计的性质、范围和重点。确定审计的性质、范围和重点。l计划阶段主要的任务有:计划阶段主要的任务有:确定合适的被审计单位以及适合开展审计的信息系统。确定合适的被审计单位以及适合开展审计的信息系统。确定审计所关注的重要领域。确定审计所关注的重要领域。初步评估系统的风险。
76、初步评估系统的风险。了解并初步评估信息系统控制。了解并初步评估信息系统控制。形成审计方案和审计实施方案。形成审计方案和审计实施方案。确定合适的被审计单位以及适合开展审计的信息系统确定合适的被审计单位以及适合开展审计的信息系统l1、选择合适的被审计单位是国家审计特有的任务,这主要取决于:、选择合适的被审计单位是国家审计特有的任务,这主要取决于:l(1)根据国家政策监管的要求,国家审计的关注点、行业的重要程度、)根据国家政策监管的要求,国家审计的关注点、行业的重要程度、以及被审计单位的信息化程度等多方面因素确定。例如金融行业、电信以及被审计单位的信息化程度等多方面因素确定。例如金融行业、电信行业等
77、重点行业对于保障国计民生以及维护国家经济安全至关重要,国行业等重点行业对于保障国计民生以及维护国家经济安全至关重要,国家有很多监管要求,本行业信息化程度也很高,审计机关应当充分考虑家有很多监管要求,本行业信息化程度也很高,审计机关应当充分考虑对其开展信息系统审计。对其开展信息系统审计。l(2)在日常审计工作中,感觉有必要开展信息系统审计的单位,可在对)在日常审计工作中,感觉有必要开展信息系统审计的单位,可在对其充分调查的基础上,开展各种形式的信息系统审计。其充分调查的基础上,开展各种形式的信息系统审计。确定合适的被审计单位以及适合开展审计的信息系统确定合适的被审计单位以及适合开展审计的信息系统
78、l2、选择适合开展审计的信息系统时,要考虑:、选择适合开展审计的信息系统时,要考虑:l(1)该系统对于被审计单位的重要程度。被审计单位对系统的依)该系统对于被审计单位的重要程度。被审计单位对系统的依赖程度越高,开展信息系统审计的意义越大。赖程度越高,开展信息系统审计的意义越大。l(2)该系统的复杂程度。太复杂的系统应当考虑进行非全面的,)该系统的复杂程度。太复杂的系统应当考虑进行非全面的,特定范围的信息系统审计,如仅对其业务环节的应用控制进行审特定范围的信息系统审计,如仅对其业务环节的应用控制进行审计。计。了解被审计单位的相关情况l在审计计划阶段,审计人员应当系统地搜集掌握被审计单位的相关信息
79、,在审计计划阶段,审计人员应当系统地搜集掌握被审计单位的相关信息,进行专业的分析和评估,为后续的工作做好准备。进行专业的分析和评估,为后续的工作做好准备。l为开展信息系统审计,审计人员需要了解的被审计单位的相关情况主要为开展信息系统审计,审计人员需要了解的被审计单位的相关情况主要包括以下几类:包括以下几类:l1、被审计单位的基本情况。、被审计单位的基本情况。l2、被审计单位信息系统的情况。、被审计单位信息系统的情况。l3、被审计单位的网络和安全管理情况。、被审计单位的网络和安全管理情况。l4、影响被审计单位信息系统的内、外部因素。、影响被审计单位信息系统的内、外部因素。l(1)国家、行业的监管
80、信息,如)国家、行业的监管信息,如IT相关法律法规、监管要求、技术发展相关法律法规、监管要求、技术发展趋势;趋势;l(2)组织内部的制度要求。)组织内部的制度要求。l5、组织的战略目标对信息技术和信息系统的依赖程度。、组织的战略目标对信息技术和信息系统的依赖程度。l6、信息技术的战略目标、发展规划及近期发展计划。、信息技术的战略目标、发展规划及近期发展计划。l7、信息技术组织架构和关键人员,以及最近一年的人员变更情况。、信息技术组织架构和关键人员,以及最近一年的人员变更情况。l8、信息系统支持的关键业务流程及最近一年的变更情况。、信息系统支持的关键业务流程及最近一年的变更情况。l9、被审计单位
81、对外部信息技术服务的依赖程度。、被审计单位对外部信息技术服务的依赖程度。l10、最近一年主要信息系统的上线、升级、变更情况。、最近一年主要信息系统的上线、升级、变更情况。l11、被审计单位的信息资产的敏感程度。、被审计单位的信息资产的敏感程度。l12、以前年度、以前年度IT审计、外部审计等相关的审计发现及追踪情况。审计、外部审计等相关的审计发现及追踪情况。了解被审计单位的相关情况(续)识别出审计所关注的关键领域l通过以上步骤,审计人员能够对被审计单位的系统关键程度、关通过以上步骤,审计人员能够对被审计单位的系统关键程度、关键业务流程、内外的监管要求都有了初步的了解,也就可以初步键业务流程、内外
82、的监管要求都有了初步的了解,也就可以初步分析出组织所面临的风险。结合审计整体目的和以上情况,审计分析出组织所面临的风险。结合审计整体目的和以上情况,审计人员能够识别出所关注的潜在的审计事项,在将这些潜在的审计人员能够识别出所关注的潜在的审计事项,在将这些潜在的审计事项按照风险进行比较,审计人员就确定了本次审计所关注的关事项按照风险进行比较,审计人员就确定了本次审计所关注的关键领域,也就是那些对于达到审计目标而言关键的领域。键领域,也就是那些对于达到审计目标而言关键的领域。审计计划阶段l制定总体审计工作方案制定总体审计工作方案l初步评估信息系统的风险初步评估信息系统的风险l对信息系统的控制给出初
83、步的评价对信息系统的控制给出初步的评价l制定审计实施方案制定审计实施方案审计实施阶段l信息系统的一般控制信息系统的一般控制l信息系统的应用控制信息系统的应用控制l确定审计所关注的控制领域和控制目标。确定审计所关注的控制领域和控制目标。l根据已识别并评估的根据已识别并评估的IT风险,对潜在审计对象的了解程度、机构重要性风险,对潜在审计对象的了解程度、机构重要性程度、审计资源配置,对控制的有效程度的初步评估结果,以及一般控程度、审计资源配置,对控制的有效程度的初步评估结果,以及一般控制的审计目标,审计机关和审计人员可以确定审计所关注的控制领域。制的审计目标,审计机关和审计人员可以确定审计所关注的控
84、制领域。l识别被审计单位的控制活动。识别被审计单位的控制活动。l确定审计程序和测试方案。确定审计程序和测试方案。l开展审计测试。开展审计测试。l审计人员根据既定的具体审计方案进行审计测试,编制审计工作底稿。审计人员根据既定的具体审计方案进行审计测试,编制审计工作底稿。l评价一般控制和应用控制的有效性。评价一般控制和应用控制的有效性。审计报告阶段内容提要l信息系统审计概述信息系统审计概述l国际上开展的政府的信息系统审计现状国际上开展的政府的信息系统审计现状l信息系统审计模型信息系统审计模型COBITCOBITl审计署所做的信息系统审计工作审计署所做的信息系统审计工作l案例介绍与分析案例介绍与分析l审什么和怎么审审什么和怎么审l交流互动交流互动联系方式l审计署计算机技术中心辅助审计处审计署计算机技术中心辅助审计处l陈剑陈剑lTEL:010-68301641l13901167943lE-MAIL:谢谢大家!谢谢大家!
