信息系统审计第1章.ppt
《信息系统审计第1章.ppt》由会员分享,可在线阅读,更多相关《信息系统审计第1章.ppt(33页珍藏版)》请在冰豆网上搜索。
2022/10/22,现代信息系统审计,1,现代信息系统审计主讲:
陈耿,2022/10/22,现代信息系统审计,2,课程地位:
特色课课程性质:
实践性强上课方式:
案例+分组讨论+讲解成绩:
平时成绩+期末考试,2022/10/22,现代信息系统审计,3,为什么要上这门课?
2010年3月的计费门事件分组讨论:
1、产生的原因?
能避免吗?
2、消费者为什么不相信电信的解释?
3、消费者如何举证?
4、社会应该如何解决这样的问题?
2022/10/22,现代信息系统审计,4,1导论,信息系统审计的发展演化,信息系统审计的内涵,企业信息安全的管理,信息管理的相关规定,2022/10/22,现代信息系统审计,5,1.1信息系统审计的发展演化,早期的信息系统审计最早是针对财务数据的审计EDP对整个信息系统进行审计ISA,2022/10/22,现代信息系统审计,6,1.1信息系统审计的发展演化,导致现代信息系统审计出现的根本原因:
互联网的出现,使得企业的信息系统不再是一个信息孤岛,由互联网与内部的信息系统构成了企业一个完整的信息空间。
2022/10/22,现代信息系统审计,7,1.1信息系统审计的发展演化,现代信息系统审计信息系统审计的外延扩大了信息系统审计的内涵更加丰富了信息系统审计已经成为不可或缺的管理职责,2022/10/22,现代信息系统审计,8,1.1信息系统审计的发展演化,信息系统审计的外延扩大了:
互联网成为企业经营风险的新来源,2022/10/22,现代信息系统审计,9,1.1信息系统审计的发展演化,信息系统审计的内涵更加丰富了:
安然事件讨论:
传统会计审计的盲点如何避免假账真审,2022/10/22,现代信息系统审计,10,1.1信息系统审计的发展演化,信息系统审计已经成为不可或缺的管理职责:
法国兴业银行事件讨论:
内部控制的盲点加强IT内部控制的必要性,2022/10/22,现代信息系统审计,11,1.2信息系统审计的内涵,信息系统审计的定义:
1、日本通产省情报处理开发协会信息系统审计委员会的定义2、信息系统审计领域的著名专家威伯(RonWeber)教授的定义3、国际信息系统审计和控制协会(ISACA)的定义,2022/10/22,现代信息系统审计,12,1.2信息系统审计的内涵,ISACA提出了信息系统审计的主要内容:
1.信息系统审计程序。
2.IT治理(信息技术治理)。
3.系统和基础建设生命周期管理。
4.IT服务的交付与支持。
5.信息资产的保护。
6.灾难恢复和业务连续性计划。
2022/10/22,现代信息系统审计,13,1.2信息系统审计的内涵,搞清楚几个概念非常重要:
2022/10/22,现代信息系统审计,14,1.2信息系统审计的内涵,审计工程(理论角度)AE计算机辅助审计(应用角度)CAA审计信息化(学科角度)数据审计(行业)DA,计算机审计CA,信息系统审计ISA,2022/10/22,现代信息系统审计,15,1.2信息系统审计的内涵,2022/10/22,现代信息系统审计,16,1.2信息系统审计的内涵,掌握信息系统审计的三种基本类型比定义更重要:
(1)信息系统的真实性审计是对传统审计的补充,防止假账真审。
(2)信息系统的安全性审计是对企业的信息资产的安全性的审核,防止来自信息系统造成的经营风险。
(3)信息系统的绩效审计是对信息系统投入产出比的审核。
2022/10/22,现代信息系统审计,17,1.2信息系统审计的内涵,安全型审计真实型审计绩效型审计,真实性(数据)合法性(过程)完整性(系统)可用性,安全性可靠性保密性可用性,效率(工作上)效果(应用上)效益(经济社会),外审、内审,外审,内审,2022/10/22,现代信息系统审计,18,1.2信息系统审计的内涵,信息系统审计的目标真实性完整性合法性安全性可用性可靠性保密性效果效率效益,2022/10/22,现代信息系统审计,19,1.3企业信息安全的管理,信息安全管理体系ISMS目前,加强企业信息安全管理已成趋势。
英国在这方面作得比较早,其国家标准BS7799已经成为世界上应用最广泛与典型的信息安全管理方面的标准。
2022/10/22,现代信息系统审计,20,1.3企业信息安全的管理,该标准提出了一个组织(包括商业企业、政府机构、非赢利组织等)应在其整体业务活动和所面临风险的环境下,建立信息安全管理体系(informationsecuritymanagementsystem,ISMS)。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
2022/10/22,现代信息系统审计,21,1.3企业信息安全的管理,PDCA模型:
规划(建立ISMS)实施(实施和运行ISMS)检查(监视和评审ISMS)处置(保持和改进ISMS),2022/10/22,现代信息系统审计,22,1.3企业信息安全的管理,PDCA模型,2022/10/22,现代信息系统审计,23,1.4企业信息管理的规定,企业保存在信息系统中的大量数据是企业宝贵的资产,同时也是审计线索和证据的重要来源。
自从安然丑闻出现后,为了转变这一信用危机局面,挽回公众对政府的信心,投资者对资本市场的信心。
美国国会和政府加速通过了一系列法律法规,来规定企业的电子数据如何保留和储存的问题,从而准确地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。
2022/10/22,现代信息系统审计,24,1.4企业信息管理的规定,企业:
萨班斯法案对信息保护的能力对信息准确跟踪的能力对信息长期保存的能力对信息破坏的惩罚,2022/10/22,现代信息系统审计,25,1.4企业信息管理的规定,证券:
美国证券交易委员会法案数据必须存储在“不可改写、不可删除”的介质上自动验证存储介质记录过程的质量和准确性将原存储介质及其副本单元(如果合适)以及此电子介质上存储信息的保存期的日期和时间序列化有能力响应交易委员会或自律机构的要求随时将电子存储介质上保存的索引和记录方便地下载到任何可接受的介质上,2022/10/22,现代信息系统审计,26,1.4企业信息管理的规定,医疗:
健康保险便携性和责任法案保密性一致性可用性惩罚,2022/10/22,现代信息系统审计,27,1.4企业信息管理的规定,制药:
美国食品与药物管理局法案确保电子记录的真实性、完整性;验证系统以确保具有准确性、可靠性,一致的、所希望的性能,识别无效或被篡改报告的能力;保护记录以使它们在整个保留期内都准确而且可以随时检索;将系统访问权限制到有权访问的人;使用安全、由计算机生成而且加盖时间戳的审核跟踪,“其保留期至少应与主电子记录保留期一样长”;对开放系统的控制;文档加密。
2022/10/22,现代信息系统审计,28,1.5专业建设,一、信息系统审计师的素质结构二、信息系统审计师的知识体系三、信息系统审计师的教育体系四、信息系统审计师的培训方法,2022/10/22,现代信息系统审计,29,1.5专业建设,一、信息系统审计师的素质结构,2022/10/22,现代信息系统审计,30,1.5专业建设,二、信息系统审计师的知识体系知识领域(knowledgearea):
是描述知识体系的最高的分类单位知识单元(knowledgeunit):
知识领域中的主题模块知识点(topic):
最低层的知识点(了解、掌握、运用)领域1:
ISA技术与基础计算机基础,信息系统建设,信息系统应用(ERP,DSS,OA,电子商务),数据库理论与技术,审计技术,内控理论基础领域2:
ISA方法与理论导论,一般控制,OS审计,系统审计,财务系统审计,电子商务审计,数据库审计,应用系统审计,信息系统绩效审计,基于信息系统的内控领域3:
ISA综合与环境IS运行与管理,IT与组织,软件质量控制。
IT项目管理领域4:
ISA实践与职业教育法规与准则,职业道德教育,2022/10/22,现代信息系统审计,31,1.5专业建设,三、信息系统审计师的课程体系1、基础课程:
计算机概论,网络概论,信息系统概论,数据库概论,审计方法概论,内控理论概论2、核心课程:
信息系统审计导论,OS审计,系统审计,财务系统审计,电子商务审计,数据库审计,应用系统审计,信息系统绩效审计,基于信息系统的内控3、拓展课程:
案例分析,主题讨论,职业道德、法规、准则,ERP实验,ORACLE实验,2022/10/22,现代信息系统审计,32,1.5专业建设,四、信息系统审计师的培训方法1、教学体系不能等价于指南教学,这是一个核心问题2、案例+理论3、分类+分层:
高级班应偏理论,中级班理论+实践,实践更多,低级班应补充基础理论为主主题研讨班4、双师教学法5、案例应该由老师和一线审计人员共同编写,要典型,要真实,要上升到理论高度,而且定期要做更新,,2022/10/22,现代信息系统审计,33,1.5专业建设,五、写作大纲第一章引言第二章ISA的知识体系(ISA的界定,ISA的素质结构,培养目标,知识体系)第三章ISA的课程体系(课程结构,基础课程,核心课程,拓展课程)第四章核心课程教学大纲(介绍每一门课,包括知识点)第五章ISA课程教学方法,
升级会员 