审计信息化原理与方法CH03-信息化环境下的内部控制风险评估.pptx

第3章 信息化环境下的内部控制风险评估 Contents 3.1信息化环境下的审计风险 3.2风险评估指标体系 3.3 风险评估方法 3.1信息化环境下的审计风险 3.1.1信息化环境概念 3.1.2 信息化环境对独立审计风险的影响 3.1.3信息化环境下独立审计及风险内涵 1.信息化环境下独立审计的概念 2.信息化环境下独立审计风险的概念与特征 3.2风险评估指标体系 3.2.1内部环境 3.2.2信息系统控制 1.系统开发与维护控制 (1)开发计划控制 (2)开发过程的人员控制 (3)系统设计控制 ①正确性控制 ②合规合法性控制 ③效率性控制 ④安全可靠性控制 ⑤可维护性控制 (4)编程控制 (5)系统维护控制 (6)文档控制 2.安全控制 (1)硬件的安全控制 ①防止未经授权的接触 ②防范自然灾害 （2）软件安全控制 ①程序资料接触控制 ②数据文件及应用程序接触控制 （3）数据库的安全控制 ①存取管理技术 ②安全管理技术 ③数据库加密 （4）环境安全控制 ①机房的安全环境 ②机房的设备保护 ③安全供电系统的安装 （5）防病毒控制 （6）保险 3.硬件及系统软件控制 （1）硬件控制 （2）软件控制 3.2.3控制活动 控制点 控制目标 潜在风险 控制活动 控制点 控制目标 影响控制目标实现的风险 控制活动 执行频率 控制类型 采购预算项目的数量和配置需求控制 确保采购预算项目合理，包括数量和配置需求 为了争取采购资金，编报了不需要的采购项目；采购配置需求不合理，随意设置采购需求条件 根据实际情况设置资产配置标准,同时与资产管理系统相连接 每年或业务发生时 预防性控制 预算金额控制 预算价格与市场价格相符 随意填报采购预算金额,影响后续采购的执行 从商品信息库中获得预算项目的价格信息 每年或业务发生时 预防性控制 预算审批 明确职责，对采购预算进行全面的审核 预算审批人员职责不明确,预算项目审核不全面，出现问题时相互推卸责任 明确审批人员职责，相互牵制，相互补充，对采购预算进行全面的审核 每年或业务发生时 检查性控制 采购业务控制活动表 3.2.4信息与沟通 3.2.5监督 3.3 风险评估方法 3.3.1定性评估法 3.3.2定量评估法 3.3.3综合评估法 1.单因素模糊综合评价法 (1)构建指标评价体系 (2) 确定指标评定等级及标度分值 (3) 确定评价的评估等级 (4)确定各指标的权重 (5)确定隶属度向量和评判矩阵 (6)综合评价 2.多因素模糊综合评价法 (1)构建指标体系 (2) 确定因素评定等级及标度分值 (3)确定内部控制风险评估等级 (4)确定各指标的权重 ①建立层次结构模型 ②构造判断矩阵 重要性标度 ③计算各指标的一致性比率 ④一致性检验 ⑤依次类推 (5)确定隶属度向量和评判矩阵 (6)综合评价