会计信息系统审计.pptxVIP

会计信息系统控制审计

会计信息系统工作原理—从关注点出发IT审计关注财务审计关注

会计信息系统工作原理—外部结构

服务器、工作站、打印机会计信息系统工作原理—内部结构网线交换机……Windows、UNIX、IOS、AndroidDB2数据库财务报告销售收入2000万利润100万……销售业务系统财务核算系统信息系统安全与应急计划系统的开发获得、维护及数据处理

会计信息系统工作原理—管理控制一般控制管理控制系统实施控制运行控制软件控制硬件控制物理访问控制逻辑访问控制应用控制输入控制处理控制输出控制保障*控制灾难恢复与应急计划环境控制设备来源控制*

基本理论—概念INTOSAI（最高审计机关国际组织）：信息系统审计是：一个通过获取并评估证据，以判断IT系统是否保护了组织的资产，有效率地利用组织的资源，保障数据的安全性和一致性，以及有效地达到组织的业务目标的过程。

基本理论—类型4

基本理论—审计依据分类信息系统审计审计准则C-SOX，SOX，COSO审计操作指南

基本理论—审计依据分类

基本理论—其他依据

基本理论—信息安全

基本理论—IT运维

基本理论—CObit

基本理论—CMM能力等级特点关键过程第一级初始级（最低级）软件工程管理制度缺乏，过程缺乏定义、混乱无序。成功依靠的是个人的才能和经验，经常由于缺乏管理和计划导致时间、费用超支。管理方式属于反应式，主要用来应付危机。过程不可预测，难以重复。第二级可重复级基于类似项目中的经验，建立了基本的项目管理制度，采取了一定的措施控制费用和时间。管理人员可及时发现问题，采取措施。一定程度上可重复类似项目的软件开发。需求管理,项目计划,项目跟踪和监控,软件子合同管理,软件配置管理,软件质量保障第三级已定义级已将软件过程文档化、标准化，可按需要改进开发过程，采用评审方法保证软件质量。可借助CASE工具提高质量和效率。组织过程定义,组织过程焦点,培训大纲,软件集成管理,软件产品工程,组织协调,专家审评第四级已管理级针对制定质量、效率目标，并收集、测量相应指标。利用统计工具分析并采取改进措施。对软件过程和产品质量有定量的理解和控制。定量的软件过程管理和产品质量管理第五级优化级（最高级）基于统计质量和过程控制工具，持续改进软件过程。质量和效率稳步改进。缺陷预防,过程变更管理和技术变更管理

标准确定信息系统审计和报告的法定要求01指引为信息系统审计准则的运用提供指引02程序举例说明信息系统审计师在审计项目中可遵循的程序03可在以下网址查阅信息系统审计和控制协会(“ISACA”)准则和指引（/stand1.htm）04基本理论—标准框架

基本理论—审计工具扫描工具：ISS、Dbscanner、webscanner、日志分析：网站日志、系统日志、数据库日志行为分析：攻击类工具工具信息技术类业务分析类ACLSPSSSAS

基本理论—审计程序流程控制应用控制应急管理；变更管理；可用性管理；故障管理；业务连续性等。审计风险04帐号设置；权限设置；日志分析；控制规则审计方案03审计程序审计目的02常规控制审计章程01网络拓扑；防病毒；物理环境；系统补丁；负载均衡

基本理论—审计工具

基本理论—审计工具（续）

基本理论—审计工具（续）

会计信息系统审计—与财务报表之间的关系

会计信息系统审计—会计信息系统

会计信息系统审计—会计信息系统结构logo信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。

会计信息系统审计—可能产生的危害

会计信息系统审计—利用会计系统犯罪的趋势根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%～25%的公司在IT内部控制方面存在重大缺陷：根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：?程序控制上的缺陷?软件开发/实施?职责分离?用户对系统的访问授权?对数据访问的监管和控制12

会计信息系统审计—会计系统控制内容

会计信息系统审计—公司层面控制

应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基