《信息系统审计第6章[企业审计管理推荐].ppt》由会员分享,可在线阅读,更多相关《信息系统审计第6章[企业审计管理推荐].ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2023/2/2信息系统审计1信息系统审计2023/2/2信息系统审计26 管理软件系统审计管理软件系统审计属于信息系统真实性审计。它与传统审计相辅相成,从不同的角度鉴证企业数据的合法性与真实性。讨论:1、结合超市案例,讨论为什么传统审计会出现“假帐真审”现象?2、信息系统审计,特别是管理软件审计为什么可以弥补传统审计的不足?3、结合P103,109案例,说明访问安全与企业风险的关系?2023/2/2信息系统审计36 管理软件系统审计一、管理软件系统概述 二、访问控制审计 三、账务信息系统审计 四、财务报表信息系统审计 2023/2/2信息系统审计46.1 管理软件系统概述 信息与数据:计算机
2、擅长处理高量度的信息(结构化数据)。在企业管理软件系统中的信息主要是结构化数据(如数据库中的数据)和半结构化数据(如网页中的数据)。因此,我们对管理软件系统审计的目的是鉴证其中的数据的真实性。2023/2/2信息系统审计56.1 管理软件系统概述 管理软件系统:数据处理系统 管理软件系统 决策支持系统 企业资源计划等2023/2/2信息系统审计66.1 管理软件系统概述 数据处理系统:面向企业业务的信息系统,侧重数据处理,不考虑信息的综合管理和共享。2023/2/2信息系统审计76.1 管理软件系统概述 管理信息系统 :面向企业管理的信息系统,追求整个组织的、周期性的报表信息流通体系,解决例行
3、的、程序化的决策问题。2023/2/2信息系统审计86.1 管理软件系统概述 决策支持系统:是面向企业决策的信息系统,辅助决策者进行非程序化决策,即帮助解决半结构化和非结构化决策问题,但不着眼于结构化数据处理或信息管理问题。2023/2/2信息系统审计96.1 管理软件系统概述 企业资源规划:从本质上看,ERP仍然是以MRP为核心,但在功能和技术上却超越了传统的MRP。它是以顾客驱动的、基于时间的、面向整个供应链管理的企业资源计划。它在企业资源最优化配置的前提下,整合企业内部主要或所有的经营活动,包括财务会计、管理会计、生产计划及管理、物料管理、销售与分销等主要功能模块,以达到效率化经营的目标
4、。2023/2/2信息系统审计106.1 管理软件系统概述 讨论:1、企业不同功能的软件,其使用人员不同,相应的安全管理措施一样吗?为什么?2、同理,企业的信息系统审计策略和内容一样吗?为什么?2023/2/2信息系统审计116.1 管理软件系统概述 管理软件系统的体系架构:1、单机模式 2、中央集中模式 3、C/S模式 4、B/S模式2023/2/2信息系统审计126.1 管理软件系统概述 讨论:管理软件的体系架构不同,安全管理措施和审计策略一样吗?为什么?2023/2/2信息系统审计136.1 管理软件系统概述 审计内容:1、了解管理软件系统 2、管理软件系统安全性审计 3、密码控制 4、
5、访问控制审计 5、财务数据真实性审计2023/2/2信息系统审计146.2 访问控制审计 二、访问控制策略:DAC,自主型访问控制策略(discretionary access control)MAC,强制型访问控制方策略(mandatory access control)RBAC,基于角色的访问控制策略(role-based access control)2023/2/2信息系统审计156.2 访问控制审计 1、自主访问控制:目录表访问控制 访问控制列表 访问控制矩阵 2023/2/2信息系统审计166.2 访问控制审计 2、强制访问控制:下读/上写 上读/下写 2023/2/2信息系统审计
6、176.2 访问控制审计 3、基于角色的访问控制:(1)用户集:包括系统中可以执行操作用户,是主动的实体。(2)对象集:包含系统需要保护的信息,是系统中被动的实体。(3)操作集:是定义在对象上的一组操作。(4)特权集:对象上的一组操作构成了一个特权,特权是不可分割的最小单元,一旦将某个特权分配给用户,该用户可以执行特权中包括的所有操作。(5)会话集:会话表示的是用户和角色之间的关系。用户每次必须通过建立会话来激活角色,得到相应的访问权限。2023/2/2信息系统审计186.2 访问控制审计 基于角色的访问控制 用户分配(UA)操作集对象集用户集角色集会话集特权分配(PA)特权集用户登录角色激活
7、2023/2/2信息系统审计196.2 访问控制审计 结合案例讨论:1、访问安全技术与管理措施(包括审计措施)之间是什么关系?为什么?2、不同的访问策略可能给企业造成的风险是什么?2023/2/2信息系统审计206.2 访问控制审计 审计内容:1、访问控制的业务要求:控制对信息的访问。2、用户职责:防止未授权的用户访问、危害或窃取信息和信息处理设施。3、应用和信息访问控制:防止对信息系统持有信息的未授权访问。4、安全策略、标准以及技术符合性:确保系统符合组织的安全策略及标准。2023/2/2信息系统审计216.3 账务信息系统审计 三、账务系统的功能与结构:了解账务系统的功能与结构是进行信息系
8、统审计的前提 2023/2/2信息系统审计226.3 账务信息系统审计 结合案例讨论:医院的两套财务帐案例 如何对财务软件进行审计呢?2023/2/2信息系统审计23订单处理开单处理销售分析销 售系统资金接收会计应收资金支付会计应付库存管理采购管理工资管理员工管理考勤考核人力资源系统采 购系统结转处理结账科目设置账簿设置初始化功能记 账功能期末处理功能 总账明细帐日记帐2023/2/2信息系统审计246.3 账务信息系统审计 三、账务系统的功能与结构:1、系统初始化 2、记账处理 3、期末业务处理 4、系统管理与维护 2023/2/2信息系统审计256.3 账务信息系统审计 1、系统初始化:初
9、始化的概念 会计前期数据收集与输入 科目与账簿体系的设置 控制信息的设置 2023/2/2信息系统审计266.3 账务信息系统审计 2、科目与账簿设置:科目的概念 科目的分类 科目编码的原则 科目编码、属性设置与账簿设置 2023/2/2信息系统审计276.3 账务信息系统审计 3、期末业务处理:期末的摊、提、结转业务处理 自动转账凭证的设置 试算平衡和对账 结账2023/2/2信息系统审计286.3 账务信息系统审计 审计内容:了解账务信息系统中的用户管理,口令管理,权限设置等情况,以便掌握企业信息系统的内部控制水平。2023/2/2信息系统审计296.4 财务报表信息系统审计 四、财务报表
10、简述:财务报表的定义 财务报表的作用 会计报表的分类 2023/2/2信息系统审计306.4 财务报表信息系统审计 报表生成原理:账务数据类型表 生成公式 利润表的生成2023/2/2信息系统审计316.4 财务报表信息系统审计 审计内容:信息系统审计师只要抓住了“财务数据类型表”和“生成公式”这两个核心概念,财务报表子系统真实性、合法性审计问题便迎刃而解。2023/2/2信息系统审计326.4 财务报表信息系统审计 核心问题讨论:1、电子财务报表合法性与传统财务报表合法性的关系?2、电子财务报表的真实性与传统财务报表真实性的关系?3、电子财务报表的有效性与传统财务报表有效性的关系?2023/2/2信息系统审计336.4 财务报表信息系统审计 作业:1、用财务软件生成一张财务报表。2、电子财务报表的合法性体现在哪里?信息系统审计师应该如何去审计。3、电子财务报表的真实性体现在哪里?信息系统审计师应该如何去审计。4、电子财务报表的有效性体现在哪里?信息系统审计师应该如何去审计。