信息技术与计算机审计.doc

信息技术与计算机审计 中山大学 管理学院 会 计 学 系 陈婉玲 编 制 1．确定安全的薄弱环节： 一、内审的其他任务和职责——信息或物理安全 （1）系统弱点， （2）安全漏洞， （3）实施缺陷。 内部审计师应识别和评价有关的威胁和薄弱环节，确定风险的大小，以便选择适当和正确的控制措施。内部审计师应使董事会、管理层和其他治理机构认识到信息安全是管理层的责任，对违背信息安全的行为应迅速向内审人员报告。 2．确定违反安全规定行为的处理 内部审计师应定期评价本组织的信息或物理安全，评价针对可能发生的对信息系统安全的威胁所采取预防、发现和减轻的措施的有效性，提出改进意见和实施建议，确保董事会、管理层和其他治理机构已被适当地知道威胁、薄弱环节和控制措施。 另一个与信息安全相关的内部审计是评价系统遵守法律、法规有关隐私的规定。内部审计师应确定与隐私有关的要求，系统应遵循这些要求。 3．报告遵循情况 在评价了系统安全情况后，内部审计人员应有尽有向董事会、审计委员会和其他治理机构提交一份报告。 二、信息技术（IT）审计业务 （一）计算机软件 (1)系统软件——负责控制与分配计算机资源，帮助计算机硬件有效工作，并使应用软件正常运行的计算机程序。 （2）应用程序——用于满足特定用户需要的计算机程序，如工具软件（包括字处理程序和电子表格程序等）和商业应用软件（如会计电算化和仓储控制软件包、特殊商业应用软件等）。 操作系统 操作系统是计算机系统最主要的系统软件，它负责控制与分配计算机资源（包括CPU、输入/输出设备、存贮储器、网络等），使计算机硬件有效工作，并使应用软件正常运行，扮演着计算机硬件与应用软件之间的“接口”角色的计算机程序。 不同的操作系统 不同的计算机系统有不同的操作系统： PC机操作系统：DOS、Windos等， 服务器与工作站操作系统：Windos Sever,Linux等， 大型机操作系统：IBM S/390、IBM MVS等。 操作系统的功能 （1）定义用户接口； （2）允许用户共享硬件； （3）允许用户共享数据； （4）使用输出／输入资源及进行资源调度。 （5）通知用户所有处理器、输入、输出设备或程序存在的相关错误信息； （6）对出现的故障能进行恢复； （7）管理系统文件； （8）管理系统账号； （9）操作系统与程序之间进行通信等 操作系统的审计要点 收集操作系统所安装平台的所有软件系统，包括操作系统、数据库、应用系统概要信息及其主要配置： 输出文件列表。记录特权用户、普通用户账号信息及其权限，缺省用户设置情况； 以管理员身份登录到系统中．收集并记录各种系统信息：如主机配置、J用户环境、网络信息、口令、权限设置等； 检查并测试口令设置规则与强度。口令输入检查控制是否有效； 操作系统的审计要点 检查对操作系统文件的访问控制是否适宜； 检查系统初始化环境参数的设置是否适宜； 检查用户登录环境是否受到适当的限制； 检查系统缺省启动的程序，确定没有不明来历的程序被启动，确定暂时不需要的程序是否被禁止； 检查是否容许用户未经口令验证(或使用缺省的口令)，直接进入系统，如系统某些缺省的用户是否有缺省的口令或空口令； 操作系统的审计要点 检查系统日志是否打开一保证对日志的直接访问受到限制； 检查用户账号的授权或对系统资源授权访问是否适宜； 是否有操作系统备份计划，备份设备是否就绪； 设备能力测试，当前应用环境下操作系统对内存、磁盘、网络的容量要求是否能满足； 操作系统的审计要点 操作系统版本测试，补丁程序是否及时； 检查是否对出现故障的操作系统有完备的维护程序与记录。 （二）系统开发及其审计 1. 常用的系统开发方法 (1)系统生命周期法：系统生命周期法就是按系统生命周期的各个阶段划分任务，按一定的规则和步骤，有效地进行系统开发的方法。 1.常用的开发方法 (2)原型法： 原型法是先根据用户的最主要要求，开发出能实现系统最基本功能的一个原型，再根据用户对原型使用与评价的意见，反复修改完善原型，直至得到用户满意的最终系统为止。 1.常用的开发方法 (3)面向对象法:此法认为世界由各种各样的对象组成,每种对象有自己的内部状态和运动规律,不同的对象及其之间的联系和作用构成不同的系统。面向对象的系统开发方法指通过定义对象及其联系和作用而进行系统开发的方法，它包括面向对象分析、面向对象设计和面向对象程序设计。 面向对象法 所谓对象是一个封装有数据（或称属性，即其内部状态）和操作（或称事件、方法，即其运动）的实体。具有共同特性、共同操作性质的对象的集合叫类，类又可分为子类。在定义了某类的特性后，其下的每个子类均可自动继承其属性和操作。因此，在面向对象的程序设计中，主要的任务是定义与描述对象。它可以提高编程和以后程序维护的效率。另外，由于