信息技术与计算机审计.ppt
《信息技术与计算机审计.ppt》由会员分享,可在线阅读,更多相关《信息技术与计算机审计.ppt(103页珍藏版)》请在三一文库上搜索。
1、 信息技术与计算机审计 中山大学管理学院 陈婉玲编 制 一、计算机系统基础知识 1计算机的基本组成:主机(包括CPU 和内部存储器)和外围设备(如键盘、 显示器、磁盘驱动器、打印机等)。 2计算机的类型:大型机、中型机、小 型机、微机(台式电脑、手提电脑、掌 上电脑)。 3计算机与网络系统的有关人 员 (1)计算机程序员。 (2)系统分析员。 (3)网络管理人员。 (4)计算机操作员。 4.电子数据处理(EDP)的组织 形式 (1)集中式集中由一个计算机处理。 (2)分散式多个独立的没有直接通讯 与联系的计算机处理。 (3)分布式数据分散式处理,各计算 机互相联系,允许数据进行交换。 5计算机
2、软件 (1)系统软件负责控制与分配计算机 资源,帮助计算机硬件有效工作,并使 应用软件正常运行的计算机程序。 (2)应用程序用于满足特定用户需 要的计算机程序,如工具软件(包括字 处理程序和电子表格程序等)和商业应 用软件(如会计电算化和仓储控制软件 包、特殊商业应用软件等)。 二、计算机网络基础 1. 计算机网络 计算机网络指为实现相互通讯和共享软 、硬件等目的,通过通讯线路、网络接 口部件连接起来计算机群。 根据数据信息传输距离,计算机网络通 常可分为局域网(LAN)、城域网(MAN )和广域网(WAN)。 2.网络设备 主要的网络设备有:网卡、集线器、中 继器、网桥、路由器、网关和调制调
3、解 器等。 3.网络的拓朴结构 指网络中计算机连接形式。常见的拓朴 结构有星型、总线型、环型和网型及其 组合。 4.网络协议 指网络中计算机间互相通讯的预定规则 Internet所用的网络协议是TCP/IP(传 输控制协议/互联网协议)。 5. 数据通信 是指通过通信线路传输数据、声音及影 象。它要求四个不同的组件:发送方、 接受方、媒介及消息。 三、系统开发及其审计 (一)常用的系统开发方法 1.系统生命周期法:系统生命周期法就是 按系统生命周期的各个阶段划分任务, 按一定的规则和步骤,有效地进行系统 开发的方法。 (一)常用的开发方法 2.原型法: 原型法是先根据用户的最主 要要求,开发出
4、能实现系统最基本功能 的一个原型,再根据用户对原型使用与 评价的意见,反复修改完善原型,直至 得到用户满意的最终系统为止。 (二)系统生命周期法 系统准备阶段: 其主要任务是了解用户的要求,确 定新系统的目标,对要求开发的新 系统从技术上、经济上与实施上是 否可行进行可行性分析。这一阶段 的主要文档资料是可行性研究报告 。 系统分析阶段: 其主要任务是在可行性分析的基础上, 对原有系统进行详细调查分析,收集原 系统所有的文件(凭证、帐薄、报表等 )样本,明确用户对系统的全部需求(包 括功能、性能、安全等),根据用户需 求提出新系统的逻辑模型。此阶段的主 要文档资料是系统分析报告。 系统设计阶段
5、: 其主要任务是根据系统的逻辑模型进行 系统的总体设计和详细设计,包括模块 设计、代码设计、输入输出设计、数据 文件设计、安全保密设计和处理流程设 计。此阶段的主要文档资料是系统设计 报告,包括系统概要设计说明书和详细 设计说明书。 系统实施阶段: 其主要任务是根据系统详细设计说明书 用选定的程序语言或编程工具编写源程 序,进行程序的测试、模块的联调和系 统的总调,编写出系统操作手册或用户 手册,组织系统的试运行与评审。此阶 段的主要文档资料包括源程序表,系统 测试报告、操作手册和评审报告等。 运行维护阶段: 其主要任务是正式使用系统,并且在需 要时进行系统维护。此阶段的主要文档 资料有系统运
6、行日志和系统维护报告。 系统生命周期法适用于开发较大型、综 合、功能明确且复杂的信息系统 (三)计算机信息系统开发的 审计 (1)审查系统开发的可行性。 (2)审查系统功能的合规、合法性。 (3)审查系统程序控制的恰当性。 (4)审查系统的可审性(注意留下充分 的审计线索)。 (三)计算机信息系统开发的 审计 (5)审查系统测试的全面恰当性(参与 系统测试,审查测试数据、过程和结果 )。 (6)审查系统文档资料的完整性。 (7)审查系统的可维护性。 四、计算机信息系统的内部控 制 (一)一般控制(general control) 指对信息系统的构成要素和环境实施的 控制,包括组织控制、硬件与系
7、统软件 控制、系统安全控制、系统开发与维护 控制。 1. 组织控制 最基本的要求是程序员与系统维护人员 不能负责业务的处理,不能操作已正式 投入使用的系统。 2硬件与系统软件控制 (1)硬件控制指确保硬件运行正确 的控制,包括:奇偶校验、重复处理、 回波检验等。 (2)系统软件控制指编写在系统软 件中,为提高系统安全而设立的控制, 包括:错误的处理、程序保护、数据文 件保护、系统接触控制等。 3. 系统的安全控制 ()接触控制 硬件的接触控制 软件和数据文件的接触控制 系统文档资料的接触控制 ()后备控制 硬件备份 磁性文件备份 应急计划(又叫灾难补救计划) 指预先制定的,万一系统出现灾难性损
8、 毁时的应急措施和利用后备的硬件、软 件、数据文件恢复系统的计划。 ()环境安全控制 电源的控制 其他环境控制 ()计算机病毒与黑客的防范控制 2.系统的开发与维护控制 ()系统开发前应进行可行性研究。 ()系统的设计应有用户的代表和内审人 员的参加。 ()系统的检测应有用户代表和内审人员 的参加,经验测满意的新系统,要经过 与原系统并行试运行一定时期,并经过 审批才能正式投入使用。 ()系统正式投入运行以前,应按规范要 求编制好系统的文档资料。 (二)应用控制(Application control) 1.输入控制 (1)只有经授权的人才能进行输入操作, 要按规定输入真实的数据,输入操作要
9、作记录,输入数据要经核对才能处理。 (2)由计算机对输入的数据进行检查,以 防止和发现数据输入的错误。 (3)凡被计算机发现的错误,应由操作员 检查,由出错的人改正后重新向系统提 交。 常见的计算机检验技术 (1)业务数点计与控制总数核对。 (2)代码的有效性检验。 (3)顺序检验。 (4)平衡检验。 (5)合理性检验(又称极限检验)。 (6)完整性检验。 (7)数据类型、长度、符号等检验。 2.处理控制 ()控制只有经批准的人才能执行数据处 理操作,并要作好操作记录。 ()由计算机对处理条件进行检验,保证 满足条件才能处理。 ()由计算机对处理结果进行检验,加强 处理结果的正确性。 3.输出
10、控制 (1)控制只有经批准的人才能执行输出 操作,并要作好操作记录。 (2)打印输出的资料要进行登记,并经 有关人员检查后签章才送出使用或按要 求归档保管。 (3 ) 应建立输出资料的传递、签收与 保管制度,未经批准的人不得接触系统 的输出资料。 五、计算机服务中心 审计人员应复查本单位与这些服务中心 签定的合同,以确定已提出的数据所有 权和保密要求。错误或处理延迟、记录 丢失或者服务终止的责任等应清楚地加 以介定。应建立当发生影响服务中心操 作的紧急情况时的应急计划,也应有该 中心结业或迁移时对计算机服务的明确 安排。 六、对计算机信息系统的功能 或应用程序审计的技术 1测试数据法:它是设计
11、测试性数据以 检查计算机系统是否能按预期要求运作 的方法。 采用检测数据法对计算机系统的功能进 行审查的方法是:把预先准备好的检测 业务输入被审的系统进行处理,得到处 理的结果与审计人员根据正确的处理原 则准备的应有结果比较,进而导出审计 结论。 检测数据应包括下列两类: 正常的、有效的业务数据。它们可以 审查系统的处理功能是否恰当。 有错漏、不完整、不合理、不正常的 业务数据。它们用于审查系统的控制功 能是否有效。 2.平行模拟(并行模拟)法 用这种方法,审计人员要建立一套模拟 被审系统处理和控制功能的应用程序。 所处理的数据可以是测试数据,也可以 是实际数据。数据在被审单位系统中运 行,也
12、在模拟系统中运行,比较两者运 行的结果,进而导出审计结论。 3.受控处理 受控处理法是在系统正常的运行中,审 计人员监控系统对各类真实业务的处理 并取得相应的处理结果;同时,审计人 员根据正确的处理原则得到相应的业务 正确的处理结果;把系统处理结果与正 确结果比较,从而导出审计结论。 4.受控再处理法 保留以前测试此系统所用的测试数据和 测试结果,在需要对系统再次测试时, 把以前处理测试数据输入系统进行再处 理,把再处理结果与以前的处理结果比 较,从而确定被审系统或程序是否被改 动过,功能是否正确。 5.整体测试法(ITF) 采用此方法,先在系统中建立一个虚拟 个体,就虚拟个体设计有关的测试业
13、务 ,在被审系统处理真实业务的同时处理 虚构个体的测试数据,将系统对测试业 务的处理结果与应有的预期结果比较, 从而判断被审系统的处理和控制功能。 该方法较可靠,但如果未能恰当处理虚 拟的测试数据,可能对被审单位真实的 业务数据造成破坏或影响。 6标记和跟踪 为避免对真实数据影响,标记某些数据 或业务类型,跟踪标记业务通过系统的 过程,并用这些标记的数据建立一个审 计数据文件。该文件将证明系统对标记 业务的处理和控制情况,可用于对计算 机系统的审计。 7程序分析(程序编码审查法 ) 此方法指对程序编码的详细分析,从而 确定系统是怎样处理的,有什么控制, 是否能实现预定的功能。 8其它技术。除上
14、述各方法外,还有流 程图验证法、程序比较法、程序跟踪法 等方法。 七、计算机辅助审计 1计算机辅助审计管理与审计办公自动 化:字处理软件、电子表格软件及其他 办公自动化软件。 2对计算机信息系统的数据文 件审计的技术 (1)利用审计软件辅助审计(通用审计 软件、专用审计软件) (2)利用数据库管理系统辅助审计(如 SQL、INFORMIX等) (3)利用被审电算系统的功能辅助审计 (如电算会计系统的查询、统计或财务 分析等) (4)利用电子表格软件辅助审计(如 EXCEL、LOTUS等) 八、电子商务简介 1电子商务及其分类 (1)电子商务狭义是指利用计算机 和网络技术来做生意,或通过电子信息
15、 网络从事商贸活动。 (2)电子商务的分类:按网络技术基 础分:基于EDI(专用网或增值网)与基 于Internet的电子商务。按交易对象分 :B to B, B to C。 2电子商务的应用层次 (1)初级:主要利用网络宣传企业产品 和形象。 (2)中级:除实现初级的功能外,利用 计算机与网络进行贸易商谈、传递商业 文件(订单、合同、发票、发货单等) ,提供售后服务,进行市场预测等。 (3)高级:商务活动的全过程实现电子 化网络化,从外部交易(包括支付)到 内部生产经营最大程度实现电子表化。 3.电子商务系统的功能 1交易前:商品信息发布、促销、寻找 交易机会,查询、比较价格与条件、选 择交
16、易对象。 2交易中: 贸易谈判,签订合同(价格、数量、 交货时间、地点、交易与付款方式、违 约与索赔,订单变更等)。 3.电子商务系统的功能 2交易中: 办理交易中的各种手续(如信用卡公 司、银行、保险、运输公司、海关、商 检、税务等各方手续,发货单、发票、 付款通知,网上商品传递等)。 网上支付:信用卡、电子现金、电子 支票。 3交易后:领带售后服务(咨询、指导 、反馈意见)、备货、若受损索赔。 4.电子商务的安全要求: (1)信息保密性:如信用卡贴、密码、 要保密的商业信息 (2)身份的可确定性:确认交易各方的 身份 (3)交易与信息的不可否认性:已签定 的合同、已签发的文件单据不可否认
17、(4)信息与文件的不可修改性:已签发 或收到的单据不可修改 6.电子商务中常用的安全控制 技术 (1)数字加密: 对称加密技术加密和解密用相同的 密钥 优点:简单快捷,密钥较短,不易破译 缺点: 要求有安全途径把密钥传送给对方 密钥的管理与颁发工作有较大危险。 一个单位会因要保管太多密钥难于管理 此加密不能对信息的完整性进行检查。 非对称加密 加密与解密用不同的密钥。密钥是成 对的,一个可公开(称公钥),另一个 保密(称私钥),用其中一个加密,另 一个才能解密。 优点:可克服上述对称加密存在的问题 缺点:加密与解密时间长、速度慢,不 适用于较长文件的加密。 一旦私钥被人窃取,后果相当严重。 (
18、2)数字摘要 数字摘要:在电子商务中,要求的是对 整个交易文件的内容签字者不可否认, 他人不可修改。由于非对称加密不宜用 于较长文件的加密,固常采用数字摘要 技术。数字摘要又称Hash函数,它根据 原文(包括交易文件内容与签名)按一 定算法摘成一串128位的“摘要”,它有一 定长度,且每一摘要与原文唯一对应, 因而可作为鉴别原文的“指纹”。 (3)数字签字 数字签字:签名者用自己的私钥对自己 的签名(某些字串)进行加密就成数字 签字。接收者用相应的公钥解密后可识 别其签名。因为只有签名者掌握自己的 私钥,所以数字签字同白纸黑字签字一 样可有不可否认性。 (4)数字证书 由认证机构颁发的、用电子
19、手段证实一 个网上用户身份的证书。其内容包括: *证书所有者的姓名 *证书所有者的公钥 *公钥及证书的有效期 *颁发证书的单位名称 *数字证书的序列号 *颁发证书单位的数字签名 (5)数字时间戳 作用:由独立的专门机构加上时间戳, 以证实文件签发的时间。 操作: 用户生成一个需要加时间戳的文件数 据摘要发送至数字时间戳服务机构(DTS ) DTS收到后,在其后加上收到的日期时 间和签名,并用自己的私钥加密后发回 给用户,用户可把加有时间戳的文件发 给交易伙伴,以确认合同时间。 (6)防火墙(fire wall) 防火墙置于企业内部网与外部网之 间,用于防止企业外部访问者入侵的硬 、软件。它通过
20、截获进入本单位网的信 息包,检查其特性,拒绝一切未经授权 的信息与访问的企图。常见类型有:过 滤型把未被允许或被禁止的信息过滤 掉才进入内部网。代理服务器型代理 服务器把内部网与外部网隔开,外部信 息不能直接进内部网。 (7)网上支付的安全控制 (1)SSL(Secure Sockets Layer) 安全 套接层协议。客户把购物信息及委托银 行付款的委托书先发往商家,商家再把 客户的付款委托书发往银行,银行验证 客户身份并划款后通知商家,商家再发 货并通知客户购买成功。此方式对商家 有保障,但商家可掌握客户信息,要求 商家进行安全承诺。 (5) SET( Secrure Electronic
21、 Transactions)安全协议 客户提出电子订货,商家回应客户请求。客户 把自己信用卡号码、密码等用发卡公司的公钥 加密,附在正式订单上,加上自己的数字签字 发给商家。商家接收后向自己的开户银行传送 客户支付授权资料,开户行把资料送发卡行请 求支付确认,发卡行审核后把确认信息返回开 户行再通知商家。 商家确认订单并发货,同时 把发货证明送开户行请求付款。开户行把有关 资料通知发卡行,发卡行根据授权划款。 九、信息技术的有关术语和基 本概念 (1)数据仓库:面向主题的、集成的、 稳定的数据集合。支持经营决策(每个 主题是一个客观分析域)。其本质是从 业务处理得到的数据经过加工处理为决 策服
22、务的信息集合。 九、信息技术的有关术语和基 本概念 (2)客户机/服务器(CS):是目前 流行的一种计算机工作模式。在此模式 中,系统硬件由客户机和服务器组成。 在这种工作模式中,应用程序由服务器 端程序和客户端程序组成,前者负责信 息处理与查询等工作,后者负责与服务 器联接和发送文件或信息传输请求等工 作。 九、信息技术的有关术语和基 本概念 (3)浏览器/服务器(BS):是目前 Internet上查询浏览的主要工作模式。它具 有客户机/服务器的处理特性,软件、数据库 集中管理,分散处理。它有三重结构:浏览 器Web服务器数据库服务器。浏览器允许 用户根据超文本链接进行漫游,不必进行有 目的
23、的查询,鼓励偶然发现。Web服务器负责 接收远程/本地查询请求,到数据库中获取相 关数据,把结果传送回浏览器。 九、信息技术的有关术语和基 本概念 (4)局域网:指范围在几公里以内的网 络。网的拓扑结构有总线型、环型和星 型等。 (5)城域网:指在一个城市范围内操作 的网络,或者是物理上使用城市基础电 信设施的网络。 九、信息技术的有关术语和基 本概念 (6)广域网/远程网:是一种以连接主 机系统为目的,跨越广阔的地理范围, 普遍利用公共电信设施和少数专用线路 进行高速数据交换和信息共享的计算机 网络。其拓扑结构多呈网状。 九、信息技术的有关术语和基 本概念 (7)电子数据交换(EDI):又常
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息技术 计算机 审计
链接地址:https://www.31doc.com/p-3238106.html