注册内部审计师资格考试信息技术.docx
《注册内部审计师资格考试信息技术.docx》由会员分享,可在线阅读,更多相关《注册内部审计师资格考试信息技术.docx(23页珍藏版)》请在冰豆网上搜索。
注册内部审计师资格考试信息技术
注册内部审计师资格考试(信息技术)
第一章信息系统战略、政策和过程
一、信息系统的战略性应用
1、信息系统战略应用(远景规划)目的
通过应用,改进组织的目标、经营、服务或组织与环境的关系,
从而帮助组织改善与客户的关系,取得竞争优势。
2、信息系统应用与组织结构变革
信息系统应用推动组织结构变革。
组织结构变革包括自动化、流程合理化、业务流程再造、异化。
3、信息系统应用模式及其技术特征
主机/终端模式:
程序和数据均放在主机、数据集中处理、串连线路、哑终端、批处理、价格昂贵。
客户机/服务器模式:
集成电路+PC机+局域网、软硬件兼容、开放系统、应用程序同步性差。
浏览器/服务器模式:
互联网使产业供应链成为可能,安全性越发重要。
遗产系统应与新技术进行整合。
异化:
组织业务重新定义,组织本身重新规划。
降型化技术:
将系统的部分处理分散到微机上,降低对主机处理性能的要求,目的是开放和廉价。
二、信息系统的功能分类
1、按服务的组织层次分:
作业层系统:
也称事务处理系统、核算系统,实质是电子数据处理系统EDP。
知识层系统:
也称处理系统,即为组织管理文件档案。
包括知识工作系统KWS和办公自动化系统OA。
管理层系统:
包括管理信息系统MIS和决策支持系统DSS,帮助中层经理从事监督、管理和决策,处理行政事务。
战略层系统:
也称高级经理支持系统ESS。
帮助高层经理解决战略问题,研究组织内部和外部环境。
2、按职能部门分:
销售和市场系统、采购和供应系统、制造系统、财务系统、会计系统、人力资源系统等。
三、与信息系统有关的部门和职责
1、信息系统指导委员会
协调信息系统计划与组织计划的关系;建立信息系统获得、开发、维护的规则;审批信息系统投资、监督信息系统计划的执行;全方位管理监督信息系统实施。
人员由高级管理层、信息系统部门和用户部门的管理代表组成。
2、信息系统部门
负责信息系统开发、实施和维护。
(1)系统开发小组
开展系统分析、设计、编程和测试工作。
包括系统分析员、系统设计员、程序员和项目经理。
系统分析员是企业信息系统部门和其他部门联络的桥梁,他主要进行用户需求分析和方案的可行性分析。
(2)系统运行小组
建立用户咨询帮助平台,解决用户提出的各种技术和操作问题。
应配置足够人员,否则用户问题不能及时解决,操作不断出现错误。
3、系统使用部门
四、系统安全
1、信息系统安全控制目标
包括:
建立安全政策与程序、明确信息系统有关各部门的职责、保证安全政策和程序的有效执行。
安全控制目标确定程序:
商业用途——安全风险评估——控制目标。
2、信息系统安全人员职责
信息系统高层管理人员:
评估系统应用风险,寻找安全控制成本效益平衡点,制定风险控制目标和措施。
信息系统安全主管:
制定信息安全政策;评价应用程序安全控制;检测并调查不成功的访问企图;监督经授权的用户访问。
安全控制措施:
接触控制、环境控制、后备(备份)控制和灾难恢复计划。
嵌入审计模块能够对交易处理进行持续的监控。
五、新兴技术——人工智能
人工智能指让计算机模拟人类思维和行为的学科,“如果…那么…”式推理。
专家系统:
一种内含知识库的、依靠理想实物模型和当前信息做出职能决策的电脑程序。
其推理结果供决策者参考。
神经网络:
一种具有学习能力的人工智能系统,当在被告知其决策发生错误及正确答案时,能够修改其知识库。
模糊逻辑:
一种处理模糊数据的人工智能系统。
遗传算法:
一种模仿生物进化过程、不断完善对特定问题的解决方案的人工智能系统。
智能代理:
一种使用内设知识库来解决特定的、重复的、可预见的问题的人工智能系统。
它能适应人的习惯和偏好,如电子邮件中过滤进来的信息以避免收到大量不想接受的邮件。
六、第三方服务
1、定义:
企业从成本效益考虑,通过签订协议将其信息部门的部分或全部职能交给第三方服务机构来承担,即服务外包。
2、类型及特点:
设备管理机构:
按照用户的要求来管理运行用户拥有的数据处理设备。
计算机租赁公司:
只提供设备,不负责设备管理运行。
服务局(服务中心):
管理运行自己拥有的数据处理设备,为不同客户提供处理服务。
共享服务商:
管理运行自己拥有的数据处理设备和系统,使各类组织能使用它们的系统。
3、风险:
合同纠纷、系统失败、运行不良、放弃日常操作控制等。
第二章硬件、平台、网络与远程通信
一、各种计算机媒体
辅助存储器及特点
磁带:
存储容量最大(达几百G),单位存储价格最低。
按顺序存取数据,不能随机存取,读盘时间长。
软盘:
采用接触式磁头读取,直接存取,携带方便。
速度较慢,容量较小。
硬盘:
采用悬浮式磁头读取,直接存取,速度快,容量较大。
廉价冗余磁盘阵列(RAID):
将很多小型磁盘驱动器、一个控制芯片和一个专用软件进行整合。
当一个驱动器发生故障,可从其他驱动器中重构故障驱动器的数据,具有很强的容错能力。
紧凑式只读光盘(CD-ROM):
容量大(一般为660MB),价格便宜且使用方便。
但不能写入数据,用于保存不需要经常更新且有一定发行规模的信息。
一次写多次读光盘(WORM):
只可写入一次,但可读取多次,适用不需要频繁更新且发行量较少的信息,如替换缩微照片、联网储存技术参考手册等。
也可用来记录电子数据交换的交易内容,从而提供事后审计线索。
数字化视频光盘(DVD):
容量大(5GB)。
二、个人计算机的使用
1、不同类型计算机特点
巨型机:
大型机(主机):
小型机(服务器):
工作站:
较PC机运行和图形处理能力更强,适用同时处理多项复杂任务,常用来完成计算机辅助设计等要求大量计算的工作。
个人计算机(PC):
网络计算机:
不储存程序和数据的个人计算机,它从网上下载程序和数据。
2、各种外设设备
不间断电源(UPS):
光学字符识别(OCR):
通过光学扫描器从纸质文件读取并自动识别出字符,以字符编码形式输入计算机。
打印机:
扫描仪:
将文档和图形转换成数字形式的输入设备。
绘图仪:
条码阅读器:
自动识别各类条码并将其转换成数字编码。
3、计算机外部接口
串口:
低速串行通讯接口,最高速度不超过115.2KB。
并口:
并行通讯接口,速度比串口高,但允许的电缆长度有限,通常用于连接打印机。
USB口:
一种新兴的通用串行通讯接口,其最高速度达12MB,且可同时串行多个设备,目前已成为微机的标准配置。
三、操作系统软件
操作系统:
作用是对系统资源的分配、调度和监视;保证雇员只对被授权的数据进行读写访问。
监视器:
辨别计算机硬件的瓶颈和软件设计的问题;调整计算机运行负荷;发现网络反映的恶化情况。
图形化用户接口(GUI):
操作系统的组成部分,用户可以用鼠标点击图形来输入命令。
四、大型计算机的使用
影响大型机反映时间的因素:
应用软件的设计效果、数据库管理软件的效率、数据的结构、网络容量及传输速度、系统负荷、存储器的容量、安全检查和备份的频率、软件初始化选择的正确性等。
个人计算机与大型计算机的接口:
个人计算机一般通过局域网与大型计算机连接,并通过终端仿真协议或专用网络协议访问大型计算机。
个人计算机通过口令来登录局域网或大型计算机。
终端仿真的风险:
运行在PC机上的终端仿真软件虽有足够的屏幕显示与计算能力,但也带来哑终端所没有的风险。
如雇员通过各自的微机谋取私利、部门用户对终端应用程序备份不充分、雇员擅自将办公用软件拷贝供个人使用等。
很多应用软件提供将用户口令保存在PC机内的选项,这样,任何能访问PC机人员都能通过应用软件访问主机。
五、计算机网络
1、计算机网络分类
按网络覆盖地域分:
广域网、局域网和城域网。
按使用的通讯线路分:
专用网络:
应用单位直接铺设或租用专用通信线路。
特点系统安全性好,运行稳定,但投资巨大。
公用交换网络:
利用共享的公共通信信道而构建的网络。
特点系统投资少,但安全性较差。
虚拟专用网:
利用数据包封裝和加密等技术,使数据包在公网传输时不会被他人所截获和篡改。
局域网拓扑结构(物理布局):
总线网(共享网):
所有计算机都连接在一条公共的电缆上,并按一定规则竞争使用信道。
特点:
电缆故障能导致整个网络瘫痪,而当网络流量接近带宽时,传输频率大幅下降。
星形网:
有一个中央节点,其他节点都与中央节点相连。
特点:
非中央节点的故障不会影响网络运行,容易扩充,但中央节点停止工作则整个网络系统瘫痪。
环形网(令牌环网):
计算机相互串联成一个闭环,并通过一个循环令牌来分配信道。
特点:
数据在通信线上传输不会发生碰撞,性能平稳。
但任一节点故障会导致整个系统失败。
局域网组成(物理结构):
服务器/客户机:
所有客户机共享服务器提供的各种服务(如文件服务、打印服务、目录服务等)。
对等网络(点到点网络):
一个网络中没有指定专用服务器,任何节点都可与其他节点共享资源。
2、各种网络连接设备
网卡:
计算机与网络相连的接口设备,用户局域网。
调制解调器:
将数据信号和模拟信号相互转换,从而使数据信号能通过模拟的语言信道传输。
中继器:
能放大物理信号强度,从而延长通信电缆的有效长度。
集线器:
构成共享型星型网络的中心连接设备,其所有端口共享信道。
交换机:
构成交换型星型网络的中心连接设备,其每个端口均独占各自信道。
网桥:
连接两个相同类型的网络,并通过设备的链路地址隔离网络。
路由器:
可以连接多个相同类型网络并根据网络地址实行路由选择。
网关:
连接两个不同类型网络并完成网络协议转换。
3、因特网:
使用网络浏览器来浏览互联网上的超文本文件等各种信息。
因特网为人们提供无穷的信息资源,但如何找到最好的信息源成为因特网最大的困难。
因特网还提供远程交流的手段和场所,包括电子邮件、远程登录、文件传输、万维网、专题论坛、电子公告牌等。
六、通信介质与通信技术
1、基础通讯设施
专用分组交换机:
使用电话线在办公场所传输电话、传真的技术,没有其他网络功能,不能处理大量数据。
传输质量差、安全性最低,但使用成本较低。
同轴电缆:
由一根中轴铜缆及屏蔽层构成,速度较快(10~100M/S),传输距离通常不超过500M,用于共享总线型局域网。
双绞线电缆:
由多对互相绞合的细电缆构成,铺设方便,速度较快(10~100M/S),传输距离不超过100M,通常用于星型局域网。
光导电缆:
用玻璃纤维制作的高速传输介质,因没有电磁泄露,很难搭线窃听。
无线信道:
如微波、卫星传播等。
无线网络容易被非法接收。
2、数据传输模式
异步传输:
利用额外的启动位和停止位实现传输数据的自同步,速度慢,有时间间隔。
同步传输:
利用同步时钟实现传输数据的同步,速度快,可连续传输。
3、基础通信网络
PSTN公用电话交换网络:
一种模拟音频信道,应用Modem实现数字信号转换。
速度低(33.6KB),可靠性差。
DDN数字数据网络:
一种点到点的传输网络。
速度较快(2M),可靠性高,但租金较贵。
帧中继:
在DDN基础上发展出来的一种新的网络传输共享技术。
在网络空闲时,可以以较低的基本租用速率而享受较高的实际使用速率,具有租金低,速度较快的特点。
但在网络传输高峰时,只能达到基本租用速率。
适用传输数据文件,但不适用视频、语言等实时数字信号。
ISDN综合服务数字网:
一种通过电话线传输声音、图像和其他数据的国际标准网络。
ADSL非对称用户数字环线:
一种新的传输技术,可在普通电话线上实现高达512K的传输速率。
第三章数据处理
一、个人计算机软件
1、软件类型
软件由程序和文档构成。
系统软件:
用于管理计算机资源并为应用软件提供各种运算支持。
包括:
操作系统、数据库管理系统、语言转换程序、实用程序、中间件等。
磁盘工具:
一种实用程序。
大多数删除程序只删除文件指针,并没有删除文件的数据块。
磁盘工具则可以将数据中的数据一并抹去。
应用软件:
为解决特定的问题而编写的程序。
包括:
字处理软件、电子表格软件、图像处理软件、财务软件、管理软件、光学符号识别软件等。
2、程序类型
直接执行程序(二进制机器语言)
编译器:
将高级过程化语言程序转换程目标代码。
汇编器:
将汇编语言程序转换成目标代码程序。
链接器:
将多个目标代码程序链接成可执行程序。
特点:
目标程序都是二进制代码;形成的目标文件占用机器容量。
动态链接库:
一种特殊的执行程序文件,它在需要时由主执行文件调入内存并执行。
解释执行程序:
包含一种中间代码,不能由CPU直接运行,需要由解释程序将其转换成二进制语言后再执行。
特点:
没有目标程序,边解释边执行,不占计算机容量。
宏程序:
解释运行程序的一种,通常用于执行重复记录的命令。
相当于批处理程序。
目的是减少击键的次数。
3、语言类型
源程序由各种计算机语言编制而成。
计算机语言分为:
机器语言、汇编语言、过程化语言(面向过程的语言)和非过程化语言(面向对象的语言)。
二、文件类型
按组织结构方式分:
平面文件、直接存取文件、顺序存取文件和索引顺序文件。
索引顺序访问:
记录按顺序存储在直接访问文件中,又按存储在索引记录中的关键字进行组织,不使用指针。
特点即可以按顺序处理大量记录又可以随机直接访问。
把记录中相对固定的数据保存在主文件中,把易于变化的部分保存在事务文件中,主文件与事务文件通过索引联系。
三、数据流与数据处理
1、数据处理方式
(按处理时间分):
批处理和在线处理
(按处理地点分):
集中处理、分散处理和分布处理
集中处理:
所有数据在处理中心进行,远程终端没有处理能力,便于加强管理。
分散处理:
数据处理在各个远程节点独立进行,用户与系统数据最接近。
分布处理:
部分数据集中处理、部分数据分配到远程节点共同处理。
优点具有弱化保护功能,即某一点发生故障,其他节点仍照常工作;缺点数据更新同步性差。
四、常用计算机审计技术
测试数据:
审计人员设计测试数据来检查被审计单位计算机信息系统是否按预期要求运行。
平行模拟:
审计人员设计一种与被审计单位计算机信息系统功能相同的模拟系统,将数据在被审计单位的信息系统和模拟系统上平行运行,比较二者运行的结果是否一致。
整体测试:
审计人员虚构一些公司的数据并与被审计单位的真实数据一起处理,分析处理结果。
这种方法可对被审单位的信息系统计进行持续测试,其缺点测试数据可能进入被审计单位的真实数据环境。
嵌入审计模块:
在应用系统的各个环节嵌入审计专用模块,能对被审计事项进行连续监督。
五、数据库程序
1、数据库结构模型
层次型:
按树状组织,通过指针连接。
但每个数据元素只能与其子元素进行连接。
网状型:
按网络组织,通过指针进行连接。
每个数据元素可以与任何元素进行连接。
关系型:
数据按二维表的形式表示,不同表之间通过关键字段实现关联,从而保证数据的完整性。
2、关系型数据库基本知识
结构规范化:
目的是解决数据库的冗余以及非正常删除、插入、更新数据的问题。
规范:
(1)表中不能出现相同的行;
(2)每列有唯一的字段名;(3)行和列的顺序可任意交换。
操作:
选择、连接(合并列)、映射(筛选列)和修改。
3、数据库管理系统组成
数据定义语言:
用来描述数据库结构的语言。
数据操纵语言:
为用户提供从数据库中提取数据的命令,以满足信息访问和程序开发的需要。
数据字典:
保存数据库中所有数据的结构定义,包括数据元素名称、类型、存储位置和访问权限等信息。
4、分布式数据库节点分布方法
快照:
制作数据库的拷贝以便分发。
复制:
复制多份相同的数据在各节点存储。
分割:
将常用的记录存储在合适的地方。
六、数据组织与查询工具
结构化查询语言(SQL):
能把来自多元数据库表格的数据加入逻辑文件中,以便对数据进行查找更新;还允许审计人员直接对生产系统的往来账进行处理,而不会对生产数据库带来任何风险。
管理查询设施:
用于趋势分析、制作图表,并可提供在线信息。
设施包括图表打印功能、数据字典访问能力、范例查询的界面和人机对话等。
逻辑视图:
从一个或多个数据库表中生成新的数据结构(视图),以便直观表述数据。
视图不包含实际的数据,与数据的物理存储方式无关。
数据挖掘:
对大量数据进行分析,从中发现隐藏在数据背后的一般规律,用来指导决策。
七、电子资金转账系统(EFT)/电子数据交换系统(EDI)
EFT风险包括未经许可的进入及操作、对交易的重复处理、缺乏备份和恢复能力。
优点处理交易的成本较手工处理成本低。
EDI指两个组织的信息系统之间为了实现业务目的而进行的预定义和结构化的数据自动交换。
目标:
改善与贸易伙伴的业务关系,提高竞争力。
优点:
提高工作效率;降低成本;节省库存费用;减少数据错误等。
特点:
具有传送往来账的能力,但不能处理非结构化和半结构化数据。
一般通过增值网或专用网来传输数据,并采用共同的标准和固定的格式。
工作方式:
用户将信息进行编辑处理,然后通过EDI转换软件将原始单据转换为中间文件,再通过翻译软件变成EDI标准格式文件,最后在文件外层加上通信交换信封,通过增值网或专用网传给对方用户。
风险及防范:
较Internet电子商务更加安全,且用户确定可信。
但数据完整性和随意存取数据仍然是其固有风险。
(1)数据传输可能在起点、中途或终点被拦截和修改——采用数字签名技术予以防范。
(2)数据交换过程中可能发生遗漏、错序或重复等现象——通过文件顺序编号来避免。
(3)传输交易信息有时会不成功——通过对方的反馈确认。
第四章系统开发、获得与维护
一、系统开发方法
1、生命周期法
一种自上而下的结构化开发方法。
周期分为六个阶段:
项目定义、系统分析、系统设计、编程、实施和后续维护。
优点:
具有系统性、规范性、严密性等;缺点:
开发周期长,难以适应系统需求的快速变化。
一旦系统分析出现偏差,整个开发过程就可能推倒重来。
适用于大型软件、商品化软件。
2、原型法
根据用户最基本要求迅速开发一个试验模型交给用户使用,启发用户提出进一步要求,然后对原型进行修改,再使用、修改,如此反复直至满足用户需求。
优点:
用户参与需求分析和设计,满意度高,开发速度较快;缺点:
对系统开发技术和工具要求极高,分模块创建直至整个系统完成,系统的整体性和文档的严密性不如生命周期法。
适用于快速产生用户接口、用户与系统的交互作用以及处理逻辑模块的系统。
二、系统开发控制
1、系统分析
由系统分析员对需要信息系统解决的问题的分析。
包括用户需求分析和系统可行性研究。
系统分析员是信息系统部门和其他业务部门联系的主要桥梁。
能力计划是“系统需求分析规格书”的重要组成部分,包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测。
2、系统设计
按照系统分析要求来具体设计系统的过程。
包括逻辑设计和物理设计。
3、编程
4、测试
(1)模块测试(程序测试):
由编程员对编程错误和代码错误进行测试。
(2)系统测试:
验证分散的模块能否按规划的那样共同完成预定的功能,测试模块接口的正确性。
检查内容包括:
执行时间、文件存储能力、处理满负荷的能力、恢复和重新启动能力以及人工介入的程序。
(3)验收测试:
由用户评估系统是否令人满意。
5、转换
用新系统替代老系统的过程。
(1)平行转换:
新旧系统并行。
开销大,安全可靠。
(2)直接转换:
某一时刻完成新替旧。
开销省,风险大。
(3)试点转换:
一个部门先试,成功后再推广。
(4)分阶段转换:
分期分批,逐个功能转换。
6、内部审计师连续参与系统开发,可以最大限度降低系统重新设计的成本。
内审人员主要提出控制的建议。
三、编程处理
四、系统维护与变动控制目标
良好的变动控制程序可以将擅自编辑生产程序、工作控制语言和操作系统软件的可能性降低到最低限度,减少修改程序给系统带来的风险。
程序变动控制内容:
(1)程序变动必须经过管理层批准;
(2)必须经过全面测试并保存文档;(3)必须留下变动线索。
修改软件,未经审查测试就安装使用,最大风险是被处理信息的可靠性将可能减弱。
五、最终用户开发的风险
最终用户指网络环境下的终端用户。
1、获得系统的途径
购买商业软件包
优点:
缩短系统开发时间,可以得到充分的技术支持与维护,减少组织对系统开发的阻力。
缺点:
缺乏灵活性,功能简单,难以满足特殊要求。
外包:
将组织的信息系统的运营、远程通讯网的管理和应用软件的开发全部交给外部专门机构负责的做法。
优点:
经济、服务性好、灵活、成本可以控制、不必有自己的开发与维护队伍,适用快速变化的企业。
缺点:
可能失去控制、战略性信息的脆弱性、对外包方的依赖性。
最终用户开发:
自行完成系统开发的方法。
2、最终用户开发(EUC)风险
风险包括:
(1)系统整体分析功能常被忽略,难以和其他系统集成和共享数据;
(2)系统内会产生一些专用的信息系统;(3)缺乏标准和文档,使用及维护都严重地依赖开发者;(4)由于缺乏监督,致使相同地信息可能被不同地方式处理,失去信息地一致性。
3、降低风险的方法
成立以咨询服务为职能的信息中心,进行组织指导;制定政策和规章制度来管理用户开发。
对终端用户开发进行审计:
(1)确定终端用户计算的应用程序、
(2)对应用程序风险进行排列、(3)对控制情况进行文件处理和测试等。
六、系统开发的技术与工具
1、传统的结构化方法与工具
也称面向过程的开发技术。
包括结构化分析、结构化设计、结构化编程、系统流程图等。
结构化分析主要工具是数据流程图。
2、面向对象的开发方法
将数据和过程封装成对象,程序应用时进行组装的技术。
优点是程序代码只需写一次,代码可以重复使用。
3、计算机辅助系统工具(CASE)
系统开发利用自动化的工具,目的是减少重复工作量。
优点:
(1)使数据的完整性得到一致遵循,并自动消除分析与设计中的冗余和错误;
(2)许多常规化的开发工作自动化、强化设计规则,使开发人员从烦琐的常规开发中解脱出来;(3)能够方便地产生清晰的技术文档,并使团体工作协调一致;(4)系统更加可靠,所需的维护更少。
4、软件再造工程
从现有的系统中提取的信息去更新原系统,而不必从零开始重新创造新系统。
七、软件许可问题
使用盗版软件危害:
(1)违反版权法;
(2)容易感染病毒。
防止使用非法软件方法:
(1)建立组织软件使用许可规章制度和政策,通过教育增强员工版权意识;
(2)保存组织购买软件原始记录,定期对使用的软件进行审查鉴别;(3)正版软件的安装盘由专人保管,为了备份可制作拷贝,但不得用于其他计算机安装。
第五章信息系统的安全与应急计划
一、信息系统的风险
黑客:
通过寻找系统的弱点来非法访问信息或使系统陷于瘫痪。
如特洛伊木马,是黑客用来窃取合法用户的口令的一种手段。
阻塞:
用一种软件来阻塞网络主机的入口,使合法用户无法进入网站。
窃听:
使用一种软件在客户信息传播过程中截取信用卡账号等信息。
重演:
截获整个交易过程的数据包,并据此重复进行该交易。
否认:
一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。
诈骗:
诈骗者将自己伪装成其他组织并设立虚假网站,以获取访问者的机密信息。
拒绝服务:
指合法接入信息、业务或其他资源受阻。
中断:
对系统可用性进行攻击,破坏系统的硬件、线路或文件系统,使其不能正常工作。
病毒:
附着在其他程序的有害编码,并能够迅速蔓延,破坏计算机系统。
逻辑炸弹:
有意设计并插入到程序中
升级会员 