信息系統真實性審計

信息系統真實性審計的涵義

信息系統真實性審計是指被審計單位的管理信息系統,特別是財務信息系統中的數據和流程是否有錯誤,使用過程中是否存在錯弊,應當通過一定的審計程式,由信息系統審計人員對信息系統中數據的真實可信程度發表意見,信息系統真實性審計的作用就是審核組織的信息系統所提供的數據是真實、完整、合法的,為財務審計保駕護航。 財務真實性審計是指被審計單位的會計資料能夠真實、公允地反映其財政、財務收支情況,會計處理符合會計準則和有關會計制度的規定的檢查。由於財務數據全部出自信息系統,因此,審計師將不得不對實際上通過計算機報告的財務信息承擔責任。可是經由信息系統產生的數據並不當然是真實可信的,因此開展信息系統真實性審計是審計本質的客觀需要
真實性審計的目標是信息系統和電子數據的真實性、完整性、合法性。

信息系統真實性審計的內容

隨著企業信息化建設不斷深入,不僅是企業的大量信息存儲在計算機系統中,而且信息處理的流程也已經電子化、程式化、虛擬化。因此,國際上知名的會計師事務所都已經意識到會計信息系統所帶來的審計風險,並且讓信息系統審計師協助審計小組工作。 信息系統審計人員主要關注財務數據的真實性,而財務數據的真實性不僅與財務軟體的處理流程有關,也與其它數據的真實性密切相關,例如航空企業中,生產統計子系統中包含了飛機航油的情況,所以對審計成本數據的真實性有重要參考價值;票務子系統中包含了機票銷售情況,所以對收入數據的真實性有重要影響,航班查詢子系統可以進一步核實生產統計子系統、票務子系統數據的真實性。 註冊會計師和信息系統審計師必須相互配合才能完成審計工作,但是,註冊會計師和信息系統審計師從管理信息系統中獲取的信息是不一樣的(如圖5.1所示)。 對於信息系統審計師而言,他們最關注的有三個模組,即財務系統,業務系統,電子商務系統。因為財務數據的處理流程是由財務管理信息系統(軟體)實現的,業務數據的處理流程是由業務管理信息系統(軟體)實現的,交易數據的處理流程是由電子商務系統(軟體)實現的。因此,審計業務系統的目標就是審查業務數據處理流程的真實性和合法性,以及業務數據輸入環節的真實性和合法性;審計財務系統的目標就是審查財務數據處理流程的真實性和合法性,以及財務數據輸入環節的真實性和合法性;審計電子商務系統的目標就是審查電子交易的真實性,以及電子交易處理流程的合法性。另外,還要審查業務系統、財務系統、電子商務系統之間,以及與其他信息系統之間的邏輯一致性。只有通過這樣的的審計程式,審計人員才能對信息系統中的數據真實可靠的程度發表意見,降低財務審計的風險。

信息系統真實性審計的分類

管理信息系統是企業最重要的信息資產,是真實性審計的主要對象。任何管理信息系統都是一個IPO系統,即由輸入數據、數據加工處理和輸出數據三個部分組成。其中加工處理是業務處理規則和處理邏輯的體現,是具體的、確定的。輸出數據完全依賴於輸入數據,這種邏輯依賴關係是加工處理的結果。因此,真實性審計可分為輸入審計、處理審計、輸出審計。

信息系統真實性審計的方法

對於審計人員而言,企業的財務數據、業務數據、交易數據的真實性、合法性是最重要的,審計小組應該首先了解信息系統的運行情況,管理措施實施情況等,根據審計對會計信息數據的需求,實施一定的信息系統審計方法來測試會計信息系統產生數據的有效性,以達到降低審計風險的目的。 審計人員應當根據實際需要,設計一些調查問卷和檢查表等,調查表格應保證結構清晰、系統、詳細,確保問題的答案是明確,不能產生二義性。對審計內容應建立檢查表,檢查表結構清晰、涵蓋所有審計事項。

圖書介紹


教材級別:普通高等教育“十一五”國家級規劃教材、中國高等學校信息管理與信息系統專業規劃教材
體系類別:根據教育部管理科學與工程類學科專業教學指導委員會主持鑑定的《中國高等院校信息系統學科課程體系》組織編寫;與美國ACM和IEEE/CS Computing Curricula 2005同步書名:信息系統審計、控制與管理
編著人:陳耿、韓志耕、盧孫中
出版社:清華大學出版社
出版時間:2014
開本:16 定價:44.50元
信息系統審計、控制與管理

內容簡介

本書圍繞現代信息系統審計的鄂三大基本職能(審計、控制、管理)進行編寫,在審計職能方面,突出審計的目的與本質,按照真實性審計、安全性審計和績效審計等三個基本審計類型展開;在控制職能中,以IT安全為核心介紹了IT內部控制的方方面面;在管理職能中,以IT風險為導向,圍繞IT風險管理展開。本書結構新穎獨特,既具有教好的系統性和理論性,又具有很強的實戰性和可操作性。
全書每一篇均包含一個案例,可以圍繞案例組織教學,適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機套用等專業本科生和研究生作為教材或參考書;書中還提供了大量實用表格等,為信息系統審計師、內部審計師、註冊會計師、管理諮詢師、企業管理人員等專業人士提供工作指導,是一本實用的工具書。

圖書目錄

第一篇 總論
第1章 信息系統審計概述
1.1 信息系統審計的歷史
1.1.1 早期的信息系統審計
1.1.2 現代信息系統審計的形成
1.2 信息系統審計的概念
1.2.1 信息系統審計定義
1.2.2 信息系統審計辨析
1.2.3 信息系統審計分類
1.2.4 信息系統審計目標
1.2.5 信息系統審計職能
1.2.6 信息系統審計過程
1.2.7 信息系統審計方法
1.2.8 信息系統審計依據
1.3 信息系統審計的規範
1.3.1 與信息系統審計相關的組織
1.3.2 ISACA的準則體系
1.3.3 審計師的職業準則
1.3.4 與IT服務管理相關的規範
1.3.5 與信息安全技術相關的標準
1.3.6 與計算機犯罪相關的法律
第2章 信息系統審計實施
2.1 管控審計風險
2.1.1 什麼是審計風險
2.1.2 審計風險的特徵
2.1.3 審計風險的模型
2.1.4 評估固有風險和控制風險
2.1.5 確定重要性水平
2.1.6 控制檢查風險
2.2 制定審計計畫
2.2.1 審計計畫的作用
2.2.2 審計計畫的規範
2.2.3 審計計畫的內容
2.2.4 審計計畫中風險評估的運用
2.3 收集審計證據
2.3.1 審計證據的屬性
2.3.2 審計證據的種類
2.3.3 數字證據的特點
2.3.4 數字證據的形式
2.3.5 收集證據的充分性
2.3.6 收集證據的適當性
2.3.7 收集證據的可信性
2.4 編制工作底稿
2.4.1 工作底稿的作用
2.4.2 工作底稿的分類
2.4.3 編制工作底稿的注意事項
2.4.4 工作底稿的覆核
2.4.5 工作底稿的管理
2.5 編寫審計報告
2.5.1 審計報告的作用
2.5.2 審計報告的規範
2.5.3 審計報告的格式
2.5.4 編寫審計報告的注意事項
第3章 信息系統審計方法
3.1 證據收集方法
3.1.1 證據收集方法概述
3.1.2 收集證據的方法
3.2 數字取證方法
3.2.1 數字取證的概念
3.2.2 數字取證的作用
3.2.3 數字取證的方法
3.2.4 數字取證的工具
3.2.5 數字取證的規範
3.3 資料庫查詢方法
3.3.1 資料庫查詢工具
3.3.2 對單個表的查詢
3.3.3 對單個表的統計
3.3.4 生成審計中間表
3.3.5 對多個表的查詢
3.3.6 套用實例
3.4 軟體測試方法
3.4.1 概述
3.4.2 黑盒測試
3.4.3 白盒測試
3.4.4 基於故障的測試
3.4.5 基於模型的測試
案例1 安然公司破產——信息系統審計的轉折點
第二篇 真實性審計
第4章 真實性審計概述
4.1 真實性審計概念
4.1.1 真實性審計的含義
4.1.2 真實性審計的內容
4.1.3 真實性審計的分類
4.1.4 業務流程審核
4.1.5 財務處理審核
4.1.6 交易活動審核
4.1.7 真實性審計的方法
4.2 管理信息系統
4.2.1 管理信息系統的定義
4.2.2 管理信息系統的特徵
4.2.3 管理信息系統的發展
4.2.4 管理信息系統的概念結構
4.2.5 管理信息系統的層次結構
4.2.6 管理信息系統的系統結構
4.2.7 管理信息系統的硬體結構
4.3 系統流程審核
4.3.1 系統流程的審計目標
4.3.2 數據流圖的概念
4.3.3 分析業務流程
4.3.4 畫出數據流圖
4.3.5 分析數據的邏輯關係
4.3.6 發現審計線索
第5章 財務數據的真實性
5.1 財務信息系統
5.1.1 財務信息系統的發展過程
5.1.2 財務信息系統的功能
5.1.3 銷售與應收子系統
5.1.4 採購與應付子系統
5.1.5 工資管理子系統
5.1.6 固定資產子系統
5.1.7 財務信息系統對審計的影響
5.1.8 財務信息系統審計內容
5.2 財務處理的真實性
5.2.1 總賬子系統的真實性問題
5.2.2 總賬子系統的主要功能
5.2.3 總賬子系統的處理流程
5.2.4 總賬子系統的數據來源
5.2.5 系統的初始化
5.2.6 科目與賬簿設定
5.2.7 自動轉賬憑證的設定
5.2.8 總賬子系統的審計
5.3 財務報表的真實性
5.3.1 報表子系統的真實性問題
5.3.2 報表子系統的主要功能
5.3.3 報表子系統的處理流程
5.3.4 財務報表自動生成原理
5.3.5 報表子系統的審計
第6章 交易活動的真實性
6.1 電子商務
6.1.1 電子商務的概念
6.1.2 電子商務的功能
6.1.3 電子商務體系結構
6.1.4 電子商務工作流程
6.1.5 電子商務對審計的影響
6.1.6 電子商務審計
6.2 電子交易方的真實性
6.2.1 身份冒充問題
6.2.2 身份認證概述
6.2.3 單向認證
6.2.4 雙向認證
6.2.5 可信中繼認證
6.2.6 Kerberos系統
6.3 電子交易行為的真實性
6.3.1 交易欺詐問題
6.3.2 不可抵賴證據的構造
6.3.3 不可否認協定概述
6.3.4 不可否認協定安全性質
6.3.5 Zhou-Gollmann協定
6.3.6 安全電子支付協定
案例2 超市上演“無間道”——舞弊導致電子數據不真實
第三篇 安全性審計
第7章 安全性審計概述
7.1 安全性審計概念
7.1.1 安全性審計的含義
7.1.2 安全性審計的內容
7.1.3 調查了解系統情況
7.1.4 檢查驗證安全狀況
7.1.5 安全性審計的方法
7.2 系統安全標準
7.2.1 可信計算機系統評價準則
7.2.2 信息技術安全評價通用準則
7.2.3 信息系統安全等級劃分標準
7.3 物理安全標準
7.3.1 數據中心安全標準
7.3.2 存儲設備安全標準
第8章 數據安全
8.1 數據的安全問題
8.1.1 數據的安全性
8.1.2 數據的保密性
8.1.3 數據的完整性
8.1.4 數據的可用性
8.1.5 數據安全審計
8.2 數據的加密技術
8.2.1 數據加密與安全的關係
8.2.2 對稱加密算法
8.2.3 非對稱加密算法
8.2.4 散列加密算法
8.3 數據的訪問控制
8.3.1 訪問控制與安全的關係
8.3.2 自主訪問控制
8.3.3 強制訪問控制
8.3.4 基於角色的訪問控制
8.4 數據的完整性約束
8.4.1 完整性與安全的關係
8.4.2 數據完整性
8.4.3 完整性約束條件
8.4.4 完整性約束機制
8.4.5 完整性約束的語句
8.4.6 完整性約束的實現
第9章 作業系統安全
9.1 作業系統的安全問題
9.1.1 作業系統的概念
9.1.2 作業系統的種類
9.1.3 作業系統的結構
9.1.4 作業系統面臨的威脅
9.1.5 作業系統的安全策略
9.1.6 作業系統安全等級的劃分
9.1.7 作業系統的安全機制
9.1.8 作業系統安全性的測評
9.2 windows安全機制
9.2.1 windows安全機制概述
9.2.2 身份認證
9.2.3 訪問控制
9.2.4 加密檔案系統
9.2.5 入侵檢測
9.2.6 事件審核
9.2.7 Windows日誌管理
9.3 UNIX安全機制
9.3.1 UNIX安全機制概述
9.3.2 賬戶的安全控制
9.3.3 檔案系統的安全控制
9.3.4 日誌檔案管理
9.3.5 密碼強度審查
9.3.6 入侵檢測
9.3.7 系統日誌分析
第10章 資料庫系統安全
10.1 資料庫系統的安全問題
10.1.1 資料庫系統的概念
10.1.2 資料庫系統的組成
10.1.3 資料庫系統的結構
10.1.4 資料庫管理系統
10.1.5 資料庫系統面臨的威脅
10.1.6 資料庫系統的安全需求
10.1.7 資料庫系統安全等級劃分
10.2 資料庫系統安全機制
10.2.1 數據備份策略
10.2.2 資料庫備份技術
10.2.3 資料庫恢復技術
10.2.4 資料庫審計功能
10.2.5 資料庫訪問安全
10.3 Oracle審計機制
10.3.1 Oracle審計功能
10.3.2 標準審計
10.3.3 細粒度的審計
10.3.4 審計相關的數據字典視圖
10.4 SQL Server審計機制
10.4.1 SQL Server審計功能
10.4.2 伺服器審計
10.4.3 資料庫級的審計
10.4.4 審計級的審計
10.4.5 審計相關的數據字典視圖
第11章 網路安全
11.1 網路的安全問題
11.1.1 計算機網路
11.1.2 網路的體系結構
11.1.3 網路協定的組成
11.1.4 網路面臨的威脅
11.1.5 網路的安全問題
11.2 網路入侵的防範
11.2.1 網路入侵問題
11.2.2 網路入侵技術
11.2.3 網路入侵防範
11.3 網路攻擊的防禦
11.3.1 服務失效攻擊與防禦
11.3.2 欺騙攻擊與防禦
11.3.3 緩衝區溢出攻擊與防禦
11.3.4 SQL注入攻擊與防禦
11.3.5 組合型攻擊與防禦
案例3 聯通盜竊案——信息資產安全的重要性
第四篇 績效審計
第12章 IT績效審計概述
12.1 績效審計概念
12.1.1 績效審計的出現
12.1.2 績效審計的定義
12.1.3 績效審計的目標
12.1.4 績效審計的對象
12.1.5 績效審計的分類
12.1.6 績效審計的方法
12.1.7 績效審計的評價標準
12.1.8 績效審計的特點
12.2 IT績效審計概念
12.2.1 IT績效審計的必要性
12.2.2 IT績效審計的含義
12.2.3 IT績效審計的特點
12.2.4 IT績效審計的評價標準
12.2.5 IT績效審計的視角
12.2.6 IT績效審計的階段
12.2.7 IT績效審計的方法
12.3 信息化評價指標
12.3.1 評價指標的提出
12.3.2 評價指標的內容
12.3.3 評價指標適用性
12.3.4 評價指標的層次
第13章 IT項目經濟評價
13.1 資產等值計算
13.1.1 資金的時間價值
13.1.2 若干基本概念
13.1.3 資金等值計算
13.2 軟體成本估算
13.2.1 軟體估算方法
13.2.2 軟體規模估算
13.2.3 軟體工作量估算
13.2.4 軟體成本估算
13.3 項目績效評價
13.3.1 效益評價方法
13.3.2 項目現金流分析
13.3.3 財務靜態分析法
13.3.4 財務動態分析法
第14章 IT項目套用評價
14.1 IT套用評價的複雜性
14.1.1 企業信息化的作用
14.1.2 ERP投資陷阱
14.1.3 IT生產率悖論
14.1.4 IT套用評價的作用
14.2 IT評價理論的形成
14.2.1 IT評價的內涵
14.2.2 IT評價的發展歷程
14.2.3 IT評價的種類
14.3 平衡計分卡技術
14.3.1 平衡計分卡的提出
14.3.2 平衡計分卡的作用
14.3.3 平衡計分卡的內容
14.3.4 平衡計分卡的使用
14.4 IT平衡計分卡構建
14.4.1 IT平衡計分卡
14.4.2 財務評價
14.4.3 用戶體驗評價
14.4.4 內部流程評價
14.4.5 創新能力評價
14.4.6 指標權重評價
案例4 許繼公司ERP實施失敗——績效審計的作用
第五篇 內部控制
第15章 IT內部控制概述
15.1 IT內部控制的概念
15.1.1 內部控制觀念
15.1.2 財務醜聞
15.1.3 IT內控重要性
15.1.4 IT內控的定義
15.1.5 IT內控的準則
15.2 IT內部控制的構成
15.2.1 IT內控的目標
15.2.2 IT內控的要素
15.2.3 IT內控的特徵
15.2.4 IT內控的分類
15.3 IT內部控制的設計
15.3.1 控制設計原則
15.3.2 IT內控的作用
15.3.3 控制措施設計
15.3.4 控制涉及對象
15.3.5 控制的實施
第16章 IT內部控制套用
16.1 一般控制
16.1.1 概述
16.1.2 組織控制
16.1.3 人員控制
16.1.4 日常控制
16.2 套用控制
16.2.1 概述
16.2.2 輸入控制
16.2.3 處理控制
16.2.4 輸出控制
第17章 軟體資產管理
17.1 概述
17.1.1 信息資產的含義
17.1.2 軟體生命周期與過程控制
17.1.3 軟體開發方法
17.1.4 軟體開發方式與控制評價
17.2 軟體全過程控制
17.2.1 總體規劃階段
17.2.2 需求分析階段
17.2.3 系統設計階段
17.2.4 系統實施階段
17.2.5 系統運行與維護階段
17.2.6 軟體資產控制措施
17.2.7 軟體資產變更控制措施
17.3 軟體質量標準
17.3.1 軟體質量標準
17.3.2 軟體質量控制方法
17.3.3 軟體質量控制措施
案例5 法國興業銀行事件——傳統內控的終結
第六篇 風險管理
第18章 IT風險管理概述
18.1 IT風險
18.1.1 IT風險管理
18.1.2 IT風險評估
18.1.3 IT風險識別
18.1.4 IT風險計算
18.1.5 IT風險處理
18.1.6 IT風險控制
18.2 IT治理
18.2.1 IT治理的定義
18.2.2 IT治理的內容
18.2.3 IT戰略制定
18.2.4 IT治理的目標
18.2.5 IT治理委員會
18.2.6 首席信息官
18.2.7 內部IT審計
18.3 IT管理
18.3.1 IT管理的定義
18.3.2 IT管理的目標
18.3.3 IT管理的資源
18.3.4 IT管理的內容
第19章 安全應急管理
19.1 概述
19.1.1 應急回響目標
19.1.2 組織及其標準
19.1.3 應急回響體系
19.2 應急準備
19.2.1 任務概述
19.2.2 應急回響計畫準備
19.2.3 應急回響計畫編制
19.2.4 應急回響計畫測試
19.2.5 其他準備事項
19.3 啟動回響
19.3.1 任務概述
19.3.2 信息安全事件分類
19.3.3 信息安全事件確定
19.3.4 信息安全事件分級
19.4 應急處理
19.4.1 任務概述
19.4.2 遏制、根除與恢複流程
19.4.3 處理示例
19.5 跟蹤改進
19.5.1 任務概述
19.5.2 證據獲取
19.5.3 證據分析
19.5.4 行為追蹤
第20章 業務連續性管理
20.1 業務連續性計畫
20.1.1 業務連續性的重要性
20.1.2 影響業務連續性的因素
20.1.3 業務連續性計畫的制定
20.1.4 業務影響分析
20.1.5 業務連續性計畫的更新
20.2 安全防範體系建設
20.2.1 網路安全防範原則
20.2.2 網路安全體系結構
20.2.3 IPSec安全體系建設
20.2.4 防火牆系統建設
20.3 災難恢復體系建設
20.3.1 災難恢復計畫
20.3.2 災難恢復能力分析
20.3.3 容災能力評價
20.3.4 災備中心的模型
20.3.5 災備中心的解決方案
20.3.6 災備中心的選址原則
20.3.7 制定災備方案的要素
20.3.8 建立有效的災備體系
案例6 911事件——IT風險對企業的影響
參考文獻

相關詞條

相關搜尋

熱門詞條

聯絡我們