信息系統績效審計的涵義
信息系統績效審計是績效審計與信息系統審計的交叉,是對信息系統的經濟性、效率性和效果性所作的評價與監督。(1)經濟性(Economy)
是指以最低的資源耗費獲得一定數量和質量的產出,也就是節省的程度。節約可以體現在許多方面,如ERP的建立增加自動化程度,提高了人員的工作效率,減少了相應部分的人工費用。各類業務ERP也帶來各種不同的費用的減少,如供應ERP的建立,有助於選擇價格和供應商,做到及時訂貨,從而節省的採購費用。庫存管理ERP將使原材料和在制品的的庫存量得到壓縮,減少流動資金的占用。生產ERP將實現均衡生產,提高生產勞動生產率,減少產品工時成本,按期交貨,非正常支出減少(如延期罰金等)。財務ERP將加速資金周轉,提高準確率,避免不必要的經濟損失。ERP能及時、準確地提供對決策有重要影響的信息,從而提高決策的科學性和可行性,節省投資,避免不必要的開支。
(2)效率性(Efficiency)
是指產出(如產品、服務)與投入的關係,即以最小的投入取得一定的產出或以一定的投入取得最大的產出。也就說,對企業的ERP項目的資源投入,力爭取得最大的產出,或確保以最小的資源投入取得一定數量的產出。企業通過ERP系統提高了企業物流、資金流、信息流一體化管理的效率,從而降低了庫存,提高了資金利用率和減少了經營風險;控制了產品生產成本,縮短了產品生產周期;提高了產品質量和合格率;減少了壞帳、呆帳金額等;改善了與顧客和供應商的關係,提高了企業的信譽。
(3)效果性(Effectiveness)
是指既定的目標實現的程度,即預期結果與實際結果之間的關係。如完成預算目標、套用目標、進度目標等情況(實際產出與目標的關係)。審計的任務是檢查預期目標是否達到。它不考慮為達到預期目標所投入的資源情況。當然,既經濟而又有效率地取得預期效果是可能的。特別是套用目標的實現是效果性審計的重要內容。首先,ERP套用實現了業務流程再造,業務流程的最佳化提升了企業競爭力,加快市場回響速度,顯著改善客戶滿意度。其次,ERP套用實現了績效監控動態化,為企業提供豐富的管理信息,用好這些信息並在企業管理和決策過程中發揮作用,動態監控管理績效變化,即時反饋和糾正管理中存在的問題。第三,ERP套用可以使得管理改善持續化。
信息系統績效審計的評價標準
績效評價指標通常可劃分為以下幾類:量化與非量化指標、財務與非財務指標、衡量過程與衡量結果。進行績效審計時需要在評價指標體系中的各類指標之間取得一個平衡。(1)量化與非量化指標
量化指標就是將所要評價的目標予以數量化,通常以貨幣、產銷量、百分比、完成階段、處理件數等來表示。但並非所有評價對象均能很容易地予以數量化。例如:信息系統增進部門間的溝通、促進組織結構重組等方面的評價就很難以數字來表達,因此通常將難以量化的因素稱為非量化指標。
(2)財務與非財務指標
對於量化指標而言,如果能以金額表示的即為財務性指標,反之為非財務性指標。過去對IT項目的評價側重財務性指標的衡量,但隨著經濟、技術的不斷發展和外部環境的不斷變化,非財務指標逐漸受到重視。促使企業越來越重視非財務指標的緣由是:①企業愈來愈重視產品的質量和服務; ②信息技術在企業活動中融合越來越深,信息技術的作用與影響常常通過間接方式顯現出來; ③信息技術在企業中高層的作用是長期性的,短時間難以用財務指標衡量。
用非財務性績效評價指標並不代表財務指標不重要,而是用非財務性的控制方法來追蹤關鍵成功因素,從而有利於財務目標的實現。在信息系統績效審計過程中應該平衡考慮財務性與非財務性指標。
(3)衡量過程與衡量結果的指標
衡量結果的指標體現戰略執行的結果(如營業收入的增長、質量改善等),這些指標是典型的事後指標,它告訴管理者過去行動的結果。相對的,衡量過程的指標是事中指標,顯示在執行某一策略時的關鍵因素。衡量結果的指標僅能指出最終結果,而衡量過程的指標能夠指出實現最終結果的變化過程。
總之,對於信息系統績效審計而言,信息系統給企業帶來的效益是多方面的,會涉及到企業中的各個層次,而且每一層次都有不同的系統使用水平和要求。因此,在進行信息系統評價時,必須結合每一個層次的系統使用特點,選取適合的評價指標。
信息系統績效審計的階段
一般而言,對於信息系統績效評價可以分為三個階段:(1) 主觀評價階段
對於信息系統的績效評價研究是從對企業MRP項目績效評價體系研究開始的。1976年,MRPⅡ的創始人懷特(OliveWight)提出,把實施MRP系統的企業分別評為A、B、C、D四個等級。1992年,Delone和Mdean提出了關於信息系統成功的六種主要的因變數:系統質量(SystemQuallty)、信息質量(Information Quality)、系統使用(Infonnation System Use)、用戶滿意度(User Satisfaction)、個人影響(IndividualImpact)和組織影響(Oganizational Impact)。
(2)財務評價階段
基於財務的評價主要由會計和財務衍生而來。該方法體系將信息系統項目看作是一種典型的資金投資。此評價方法主要從成本的量化、貨幣形式的收益等角度進行評價,並力圖預測貨幣的時間價值,以支持決策。因此, 把信息系統帶來的利益分成了運作利益、管理利益、戰略利益、組織利益和IT基礎利益等五大類。評價信息系統成功的最重要指標是信息系統給企業帶來的利益,採用成本—收益分析法 (Cost Benefit Analysis,CBA),從財務角度進行評價,集中於成本和效益的在量化和度量。
(3)綜合評價階段
20世紀90年代以來,對信息系統績效的評價更加注重平衡,將財務指標、技術指標、業務指標相結合,主要方法是平衡計分卡,該方法克服了原有的單純採用財務手段來進行績效評價的片面性,從財務、客戶滿意度、內部流程以及成長與學習這四個不同的視角來考察系統的價值。
信息系統績效審計的方法
傳統的評價側重於財務方面的評價,通常採用投資回收期、投資收益率、淨現值等方法衡量IT系統套用的效果。這種評價最大弊端在於忽視了信息系統的無形收益,而無形收益占據IT系統收益的相當大比例,另外財務指標是結果型指標,只能反映出最終結果,而無法反映出過程。由於單純評價財務無法反映其真實性,需要考慮到財務與非財務之間的平衡。與其它績效審計的方法一樣,信息系統績效審計的方法不是封閉的、一成不變的,而是動態的,綜合的,需要信息系統審計人員具有創新精神。總之,審計人員應根據3E審計目標,按照綜合平衡的思想,採用平衡計分卡的框架,參考企業信息化指標體系,對信息系統的績效進行審計和評價。
圖書介紹
教材級別:普通高等教育“十一五”國家級規劃教材、中國高等學校信息管理與信息系統專業規劃教材 體系類別:根據教育部管理科學與工程類學科專業教學指導委員會主持鑑定的《中國高等院校信息系統學科課程體系》組織編寫;與美國ACM和IEEE/CS Computing Curricula 2005同步書名:信息系統審計、控制與管理 編著人:陳耿、韓志耕、盧孫中 出版社:清華大學出版社 出版時間:2014 開本:16 定價:44.50元 |  |
內容簡介
本書圍繞現代信息系統審計的鄂三大基本職能(審計、控制、管理)進行編寫,在審計職能方面,突出審計的目的與本質,按照真實性審計、安全性審計和績效審計等三個基本審計類型展開;在控制職能中,以IT安全為核心介紹了IT內部控制的方方面面;在管理職能中,以IT風險為導向,圍繞IT風險管理展開。本書結構新穎獨特,既具有教好的系統性和理論性,又具有很強的實戰性和可操作性。全書每一篇均包含一個案例,可以圍繞案例組織教學,適用於高校信息管理類、會計、審計、財務管理、企業管理、計算機套用等專業本科生和研究生作為教材或參考書;書中還提供了大量實用表格等,為信息系統審計師、內部審計師、註冊會計師、管理諮詢師、企業管理人員等專業人士提供工作指導,是一本實用的工具書。
圖書目錄
第一篇 總論第1章 信息系統審計概述
1.1 信息系統審計的歷史
1.1.1 早期的信息系統審計
1.1.2 現代信息系統審計的形成
1.2 信息系統審計的概念
1.2.1 信息系統審計定義
1.2.2 信息系統審計辨析
1.2.3 信息系統審計分類
1.2.4 信息系統審計目標
1.2.5 信息系統審計職能
1.2.6 信息系統審計過程
1.2.7 信息系統審計方法
1.2.8 信息系統審計依據
1.3 信息系統審計的規範
1.3.1 與信息系統審計相關的組織
1.3.2 ISACA的準則體系
1.3.3 審計師的職業準則
1.3.4 與IT服務管理相關的規範
1.3.5 與信息安全技術相關的標準
1.3.6 與計算機犯罪相關的法律
第2章 信息系統審計實施
2.1 管控審計風險
2.1.1 什麼是審計風險
2.1.2 審計風險的特徵
2.1.3 審計風險的模型
2.1.4 評估固有風險和控制風險
2.1.5 確定重要性水平
2.1.6 控制檢查風險
2.2 制定審計計畫
2.2.1 審計計畫的作用
2.2.2 審計計畫的規範
2.2.3 審計計畫的內容
2.2.4 審計計畫中風險評估的運用
2.3 收集審計證據
2.3.1 審計證據的屬性
2.3.2 審計證據的種類
2.3.3 數字證據的特點
2.3.4 數字證據的形式
2.3.5 收集證據的充分性
2.3.6 收集證據的適當性
2.3.7 收集證據的可信性
2.4 編制工作底稿
2.4.1 工作底稿的作用
2.4.2 工作底稿的分類
2.4.3 編制工作底稿的注意事項
2.4.4 工作底稿的覆核
2.4.5 工作底稿的管理
2.5 編寫審計報告
2.5.1 審計報告的作用
2.5.2 審計報告的規範
2.5.3 審計報告的格式
2.5.4 編寫審計報告的注意事項
第3章 信息系統審計方法
3.1 證據收集方法
3.1.1 證據收集方法概述
3.1.2 收集證據的方法
3.2 數字取證方法
3.2.1 數字取證的概念
3.2.2 數字取證的作用
3.2.3 數字取證的方法
3.2.4 數字取證的工具
3.2.5 數字取證的規範
3.3 資料庫查詢方法
3.3.1 資料庫查詢工具
3.3.2 對單個表的查詢
3.3.3 對單個表的統計
3.3.4 生成審計中間表
3.3.5 對多個表的查詢
3.3.6 套用實例
3.4 軟體測試方法
3.4.1 概述
3.4.2 黑盒測試
3.4.3 白盒測試
3.4.4 基於故障的測試
3.4.5 基於模型的測試
案例1 安然公司破產——信息系統審計的轉折點
第二篇 真實性審計
第4章 真實性審計概述
4.1 真實性審計概念
4.1.1 真實性審計的含義
4.1.2 真實性審計的內容
4.1.3 真實性審計的分類
4.1.4 業務流程審核
4.1.5 財務處理審核
4.1.6 交易活動審核
4.1.7 真實性審計的方法
4.2 管理信息系統
4.2.1 管理信息系統的定義
4.2.2 管理信息系統的特徵
4.2.3 管理信息系統的發展
4.2.4 管理信息系統的概念結構
4.2.5 管理信息系統的層次結構
4.2.6 管理信息系統的系統結構
4.2.7 管理信息系統的硬體結構
4.3 系統流程審核
4.3.1 系統流程的審計目標
4.3.2 數據流圖的概念
4.3.3 分析業務流程
4.3.4 畫出數據流圖
4.3.5 分析數據的邏輯關係
4.3.6 發現審計線索
第5章 財務數據的真實性
5.1 財務信息系統
5.1.1 財務信息系統的發展過程
5.1.2 財務信息系統的功能
5.1.3 銷售與應收子系統
5.1.4 採購與應付子系統
5.1.5 工資管理子系統
5.1.6 固定資產子系統
5.1.7 財務信息系統對審計的影響
5.1.8 財務信息系統審計內容
5.2 財務處理的真實性
5.2.1 總賬子系統的真實性問題
5.2.2 總賬子系統的主要功能
5.2.3 總賬子系統的處理流程
5.2.4 總賬子系統的數據來源
5.2.5 系統的初始化
5.2.6 科目與賬簿設定
5.2.7 自動轉賬憑證的設定
5.2.8 總賬子系統的審計
5.3 財務報表的真實性
5.3.1 報表子系統的真實性問題
5.3.2 報表子系統的主要功能
5.3.3 報表子系統的處理流程
5.3.4 財務報表自動生成原理
5.3.5 報表子系統的審計
第6章 交易活動的真實性
6.1 電子商務
6.1.1 電子商務的概念
6.1.2 電子商務的功能
6.1.3 電子商務體系結構
6.1.4 電子商務工作流程
6.1.5 電子商務對審計的影響
6.1.6 電子商務審計
6.2 電子交易方的真實性
6.2.1 身份冒充問題
6.2.2 身份認證概述
6.2.3 單向認證
6.2.4 雙向認證
6.2.5 可信中繼認證
6.2.6 Kerberos系統
6.3 電子交易行為的真實性
6.3.1 交易欺詐問題
6.3.2 不可抵賴證據的構造
6.3.3 不可否認協定概述
6.3.4 不可否認協定安全性質
6.3.5 Zhou-Gollmann協定
6.3.6 安全電子支付協定
案例2 超市上演“無間道”——舞弊導致電子數據不真實
第三篇 安全性審計
第7章 安全性審計概述
7.1 安全性審計概念
7.1.1 安全性審計的含義
7.1.2 安全性審計的內容
7.1.3 調查了解系統情況
7.1.4 檢查驗證安全狀況
7.1.5 安全性審計的方法
7.2 系統安全標準
7.2.1 可信計算機系統評價準則
7.2.2 信息技術安全評價通用準則
7.2.3 信息系統安全等級劃分標準
7.3 物理安全標準
7.3.1 數據中心安全標準
7.3.2 存儲設備安全標準
第8章 數據安全
8.1 數據的安全問題
8.1.1 數據的安全性
8.1.2 數據的保密性
8.1.3 數據的完整性
8.1.4 數據的可用性
8.1.5 數據安全審計
8.2 數據的加密技術
8.2.1 數據加密與安全的關係
8.2.2 對稱加密算法
8.2.3 非對稱加密算法
8.2.4 散列加密算法
8.3 數據的訪問控制
8.3.1 訪問控制與安全的關係
8.3.2 自主訪問控制
8.3.3 強制訪問控制
8.3.4 基於角色的訪問控制
8.4 數據的完整性約束
8.4.1 完整性與安全的關係
8.4.2 數據完整性
8.4.3 完整性約束條件
8.4.4 完整性約束機制
8.4.5 完整性約束的語句
8.4.6 完整性約束的實現
第9章 作業系統安全
9.1 作業系統的安全問題
9.1.1 作業系統的概念
9.1.2 作業系統的種類
9.1.3 作業系統的結構
9.1.4 作業系統面臨的威脅
9.1.5 作業系統的安全策略
9.1.6 作業系統安全等級的劃分
9.1.7 作業系統的安全機制
9.1.8 作業系統安全性的測評
9.2 windows安全機制
9.2.1 windows安全機制概述
9.2.2 身份認證
9.2.3 訪問控制
9.2.4 加密檔案系統
9.2.5 入侵檢測
9.2.6 事件審核
9.2.7 Windows日誌管理
9.3 UNIX安全機制
9.3.1 UNIX安全機制概述
9.3.2 賬戶的安全控制
9.3.3 檔案系統的安全控制
9.3.4 日誌檔案管理
9.3.5 密碼強度審查
9.3.6 入侵檢測
9.3.7 系統日誌分析
第10章 資料庫系統安全
10.1 資料庫系統的安全問題
10.1.1 資料庫系統的概念
10.1.2 資料庫系統的組成
10.1.3 資料庫系統的結構
10.1.4 資料庫管理系統
10.1.5 資料庫系統面臨的威脅
10.1.6 資料庫系統的安全需求
10.1.7 資料庫系統安全等級劃分
10.2 資料庫系統安全機制
10.2.1 數據備份策略
10.2.2 資料庫備份技術
10.2.3 資料庫恢復技術
10.2.4 資料庫審計功能
10.2.5 資料庫訪問安全
10.3 Oracle審計機制
10.3.1 Oracle審計功能
10.3.2 標準審計
10.3.3 細粒度的審計
10.3.4 審計相關的數據字典視圖
10.4 SQL Server審計機制
10.4.1 SQL Server審計功能
10.4.2 伺服器審計
10.4.3 資料庫級的審計
10.4.4 審計級的審計
10.4.5 審計相關的數據字典視圖
第11章 網路安全
11.1 網路的安全問題
11.1.1 計算機網路
11.1.2 網路的體系結構
11.1.3 網路協定的組成
11.1.4 網路面臨的威脅
11.1.5 網路的安全問題
11.2 網路入侵的防範
11.2.1 網路入侵問題
11.2.2 網路入侵技術
11.2.3 網路入侵防範
11.3 網路攻擊的防禦
11.3.1 服務失效攻擊與防禦
11.3.2 欺騙攻擊與防禦
11.3.3 緩衝區溢出攻擊與防禦
11.3.4 SQL注入攻擊與防禦
11.3.5 組合型攻擊與防禦
案例3 聯通盜竊案——信息資產安全的重要性
第四篇 績效審計
第12章 IT績效審計概述
12.1 績效審計概念
12.1.1 績效審計的出現
12.1.2 績效審計的定義
12.1.3 績效審計的目標
12.1.4 績效審計的對象
12.1.5 績效審計的分類
12.1.6 績效審計的方法
12.1.7 績效審計的評價標準
12.1.8 績效審計的特點
12.2 IT績效審計概念
12.2.1 IT績效審計的必要性
12.2.2 IT績效審計的含義
12.2.3 IT績效審計的特點
12.2.4 IT績效審計的評價標準
12.2.5 IT績效審計的視角
12.2.6 IT績效審計的階段
12.2.7 IT績效審計的方法
12.3 信息化評價指標
12.3.1 評價指標的提出
12.3.2 評價指標的內容
12.3.3 評價指標適用性
12.3.4 評價指標的層次
第13章 IT項目經濟評價
13.1 資產等值計算
13.1.1 資金的時間價值
13.1.2 若干基本概念
13.1.3 資金等值計算
13.2 軟體成本估算
13.2.1 軟體估算方法
13.2.2 軟體規模估算
13.2.3 軟體工作量估算
13.2.4 軟體成本估算
13.3 項目績效評價
13.3.1 效益評價方法
13.3.2 項目現金流分析
13.3.3 財務靜態分析法
13.3.4 財務動態分析法
第14章 IT項目套用評價
14.1 IT套用評價的複雜性
14.1.1 企業信息化的作用
14.1.2 ERP投資陷阱
14.1.3 IT生產率悖論
14.1.4 IT套用評價的作用
14.2 IT評價理論的形成
14.2.1 IT評價的內涵
14.2.2 IT評價的發展歷程
14.2.3 IT評價的種類
14.3 平衡計分卡技術
14.3.1 平衡計分卡的提出
14.3.2 平衡計分卡的作用
14.3.3 平衡計分卡的內容
14.3.4 平衡計分卡的使用
14.4 IT平衡計分卡構建
14.4.1 IT平衡計分卡
14.4.2 財務評價
14.4.3 用戶體驗評價
14.4.4 內部流程評價
14.4.5 創新能力評價
14.4.6 指標權重評價
案例4 許繼公司ERP實施失敗——績效審計的作用
第五篇 內部控制
第15章 IT內部控制概述
15.1 IT內部控制的概念
15.1.1 內部控制觀念
15.1.2 財務醜聞
15.1.3 IT內控重要性
15.1.4 IT內控的定義
15.1.5 IT內控的準則
15.2 IT內部控制的構成
15.2.1 IT內控的目標
15.2.2 IT內控的要素
15.2.3 IT內控的特徵
15.2.4 IT內控的分類
15.3 IT內部控制的設計
15.3.1 控制設計原則
15.3.2 IT內控的作用
15.3.3 控制措施設計
15.3.4 控制涉及對象
15.3.5 控制的實施
第16章 IT內部控制套用
16.1 一般控制
16.1.1 概述
16.1.2 組織控制
16.1.3 人員控制
16.1.4 日常控制
16.2 套用控制
16.2.1 概述
16.2.2 輸入控制
16.2.3 處理控制
16.2.4 輸出控制
第17章 軟體資產管理
17.1 概述
17.1.1 信息資產的含義
17.1.2 軟體生命周期與過程控制
17.1.3 軟體開發方法
17.1.4 軟體開發方式與控制評價
17.2 軟體全過程控制
17.2.1 總體規劃階段
17.2.2 需求分析階段
17.2.3 系統設計階段
17.2.4 系統實施階段
17.2.5 系統運行與維護階段
17.2.6 軟體資產控制措施
17.2.7 軟體資產變更控制措施
17.3 軟體質量標準
17.3.1 軟體質量標準
17.3.2 軟體質量控制方法
17.3.3 軟體質量控制措施
案例5 法國興業銀行事件——傳統內控的終結
第六篇 風險管理
第18章 IT風險管理概述
18.1 IT風險
18.1.1 IT風險管理
18.1.2 IT風險評估
18.1.3 IT風險識別
18.1.4 IT風險計算
18.1.5 IT風險處理
18.1.6 IT風險控制
18.2 IT治理
18.2.1 IT治理的定義
18.2.2 IT治理的內容
18.2.3 IT戰略制定
18.2.4 IT治理的目標
18.2.5 IT治理委員會
18.2.6 首席信息官
18.2.7 內部IT審計
18.3 IT管理
18.3.1 IT管理的定義
18.3.2 IT管理的目標
18.3.3 IT管理的資源
18.3.4 IT管理的內容
第19章 安全應急管理
19.1 概述
19.1.1 應急回響目標
19.1.2 組織及其標準
19.1.3 應急回響體系
19.2 應急準備
19.2.1 任務概述
19.2.2 應急回響計畫準備
19.2.3 應急回響計畫編制
19.2.4 應急回響計畫測試
19.2.5 其他準備事項
19.3 啟動回響
19.3.1 任務概述
19.3.2 信息安全事件分類
19.3.3 信息安全事件確定
19.3.4 信息安全事件分級
19.4 應急處理
19.4.1 任務概述
19.4.2 遏制、根除與恢複流程
19.4.3 處理示例
19.5 跟蹤改進
19.5.1 任務概述
19.5.2 證據獲取
19.5.3 證據分析
19.5.4 行為追蹤
第20章 業務連續性管理
20.1 業務連續性計畫
20.1.1 業務連續性的重要性
20.1.2 影響業務連續性的因素
20.1.3 業務連續性計畫的制定
20.1.4 業務影響分析
20.1.5 業務連續性計畫的更新
20.2 安全防範體系建設
20.2.1 網路安全防範原則
20.2.2 網路安全體系結構
20.2.3 IPSec安全體系建設
20.2.4 防火牆系統建設
20.3 災難恢復體系建設
20.3.1 災難恢復計畫
20.3.2 災難恢復能力分析
20.3.3 容災能力評價
20.3.4 災備中心的模型
20.3.5 災備中心的解決方案
20.3.6 災備中心的選址原則
20.3.7 制定災備方案的要素
20.3.8 建立有效的災備體系
案例6 911事件——IT風險對企業的影響
參考文獻
