【文章內(nèi)容簡(jiǎn)介】 力，提高鉆井成功率，提高油氣田采收率 ? 統(tǒng)一管理地球科學(xué)和工程數(shù)據(jù)，實(shí)現(xiàn)遠(yuǎn)程決策，提高遠(yuǎn)程控制能力 工程技術(shù)服務(wù) ? 提高勘探、鉆井成功率，有效控制工程技術(shù)服務(wù)成本 ? 與股份公司上游企業(yè)形成勘探開發(fā)一體化作業(yè)能力 ? 實(shí)現(xiàn)工程設(shè)計(jì) /建設(shè) /監(jiān)理信息化 生產(chǎn)服務(wù) ? 改善設(shè)備運(yùn)行，優(yōu)化電力輸配網(wǎng)絡(luò)，降低電力生產(chǎn) /輸配成本 ? 保證電力供應(yīng)安全 ? 優(yōu)化運(yùn)輸網(wǎng)絡(luò)，實(shí)現(xiàn)運(yùn)輸途中監(jiān)控 機(jī)械制造 ? 提高設(shè)計(jì)工作的信息化水平，并與生產(chǎn)控制緊密銜接 ? 快速響應(yīng)市場(chǎng)需求，合理安排 生產(chǎn)計(jì)劃，縮短交貨周期 ? 加強(qiáng)生產(chǎn)過程管理，控制損耗，細(xì)化成本結(jié)構(gòu)，降低生產(chǎn)成本 基地業(yè)務(wù) ? 提高礦區(qū)、社區(qū)生產(chǎn)生活服務(wù)質(zhì)量和保障能力 ? 提高基地業(yè)務(wù)管理效率，實(shí)現(xiàn)管理透明化 “十一五 ” 信息技術(shù)總體規(guī)劃預(yù)期效果 提綱 ? 背景介紹 ? 信息系統(tǒng)審計(jì)相關(guān)概念 ? 信息系統(tǒng)審計(jì)的發(fā)展情況 ? 開展信息系統(tǒng)審計(jì)的必然性 ? 開展信息系統(tǒng)審計(jì)的條件 ? 開展信息系統(tǒng)審計(jì)的方法 ? ERP審計(jì)介紹 ? 信息系統(tǒng)審計(jì)的工作思路 信息系統(tǒng)審計(jì)的概念 ?審計(jì) ? 1972年美國會(huì)計(jì)學(xué)會(huì)的 《 基礎(chǔ)審計(jì)概念的說明 》 中對(duì)審計(jì)的定義是： 審計(jì)是為了查明經(jīng)濟(jì)活動(dòng)和經(jīng)濟(jì)現(xiàn)象的表現(xiàn)與所定標(biāo)準(zhǔn)之間的一致程序而客觀地收集和評(píng)價(jià)有關(guān)證據(jù)，并將其結(jié)果傳達(dá)給有利害關(guān)系使用者的有組織的過程 ? 《 中華人民共和國審計(jì)法實(shí)施條例 》 第 2條對(duì)審計(jì)所下的定義是 : 審計(jì)是審計(jì)機(jī)關(guān)依法獨(dú)立檢查被審計(jì)單位的會(huì)計(jì)憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表以及其他與財(cái)政收支、財(cái)務(wù)收支有關(guān)的資料和資產(chǎn)，監(jiān)督財(cái)政收支、財(cái)務(wù)收支真實(shí)、合法和效益的行為 信息系統(tǒng)審計(jì)的概念 ?內(nèi)部審計(jì) ? 1999年 6月，內(nèi)部審計(jì)師學(xué)會(huì)對(duì)內(nèi)部審計(jì)的如下定義： “ 內(nèi)部審計(jì)是一項(xiàng)獨(dú)立、客觀的咨詢活動(dòng)，用于改善機(jī)構(gòu)的運(yùn)作并增加其價(jià)值。通過引入一種系統(tǒng)的、有條理的方法去評(píng)價(jià)和改善風(fēng)險(xiǎn)管理、控制和公司治理流程的有效性，內(nèi)部審計(jì)可以幫助一個(gè)機(jī)構(gòu)實(shí)現(xiàn)其目標(biāo)。 ” ? 國際內(nèi)部審計(jì)師協(xié)會(huì)在 《 內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn) 》 對(duì)內(nèi)部審計(jì)作了新的定義 : “內(nèi)部審計(jì)是一種獨(dú)立、客觀的保證工作與咨詢活動(dòng) ,它的目的是為機(jī)構(gòu)增加價(jià)值并提高機(jī)構(gòu)的運(yùn)作效率。它采取系統(tǒng)化、規(guī)范化的方法來對(duì)風(fēng)險(xiǎn)管理、控制及治理程序進(jìn)行評(píng)價(jià) ,提高它們的效率 ,從而幫助實(shí)現(xiàn)機(jī)構(gòu)目標(biāo)。 ” 與計(jì)算機(jī)有關(guān)的幾個(gè)審計(jì)概念 ? IT審計(jì) ? 計(jì)算機(jī)審計(jì) ? 電子數(shù)據(jù)審計(jì) ? 計(jì)算機(jī)輔助審計(jì) ? 信息系統(tǒng)測(cè)試 ? 信息系統(tǒng)審計(jì) ? IS審計(jì) 信息系統(tǒng)審計(jì)的概念 信息系統(tǒng)審計(jì)的概念 ?信息系統(tǒng) 信息系統(tǒng)是與信息加工，信息傳遞，信息存貯以及信息利用等有關(guān)的系統(tǒng)現(xiàn)代信息系統(tǒng)一般均指人、機(jī)共存的系統(tǒng)。 信息系統(tǒng)一般包括： ?數(shù)據(jù)處理系統(tǒng) ?管理信息系統(tǒng) ?決策支持系統(tǒng) ?辦公自動(dòng)化系統(tǒng) 信息系統(tǒng)審計(jì)的概念 國外： ? 日本通產(chǎn)省情報(bào)協(xié)會(huì)在 1996 年對(duì)信息系統(tǒng)審計(jì)定義 : 為了信息系統(tǒng)的安全、可靠與有效 ,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師 ,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià) ,向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)提出問題與建議的一連串的活動(dòng)。 ? 1999 年 ,國際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專家 Ron Weber 將它定義為 收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng) (信息系統(tǒng) ) 是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo) ,同時(shí)最經(jīng)濟(jì)的使用資源。 信息系統(tǒng)審計(jì)的概念 國內(nèi)： ? 國內(nèi)專家孫強(qiáng)在 《 信息系統(tǒng)審計(jì) 安全、風(fēng)險(xiǎn)管理與控制 》 定義 : 審計(jì)人員接受委托或授權(quán) ,收集并評(píng)估證據(jù)以判斷一個(gè)計(jì)算機(jī)系統(tǒng) (信息系統(tǒng) ) 是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整并最有效率地完成組織活動(dòng)。 ? 中國內(nèi)部審計(jì)協(xié)會(huì)在 《 信息系統(tǒng)審計(jì)準(zhǔn)則（征求意見稿） 》 里定義： 是指由組織內(nèi)部審計(jì)機(jī)構(gòu)及人員對(duì)信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評(píng)價(jià)與報(bào)告活動(dòng)。 信息系統(tǒng)審計(jì)的概念 信息系統(tǒng)內(nèi)部審計(jì)： ? 是企業(yè)內(nèi)部審計(jì)職能下的一個(gè)專業(yè)團(tuán)隊(duì) ? 是企業(yè)內(nèi)部審計(jì)工作不可或缺的一部分 ? 不是一個(gè)獨(dú)立的團(tuán)隊(duì)： ? 沒有單獨(dú)的章程或手冊(cè) ? 必須符合內(nèi)審的工作需求和各項(xiàng)程序 ? 同樣的匯報(bào)機(jī)制，包括向內(nèi)審職能負(fù)責(zé)人和審計(jì)委員會(huì)的匯報(bào) ? 工作應(yīng)包括在審計(jì)年度計(jì)劃內(nèi) ? 由于是專業(yè)領(lǐng)域，因此可能需要一些專題指引和方法 提綱 ? 背景介紹 ? 信息系統(tǒng)審計(jì)相關(guān)概念 ? 信息系統(tǒng)審計(jì)的發(fā)展情況 ? 開展信息系統(tǒng)審計(jì)的必然性 ? 開展信息系統(tǒng)審計(jì)的條件 ? 開展信息系統(tǒng)審計(jì)的方法 ? ERP審計(jì)介紹 ? 信息系統(tǒng)審計(jì)的工作思路 信息系統(tǒng)審計(jì)的發(fā)展 信息系統(tǒng)審計(jì)的起源 在信息社會(huì)中，人們的工作生活，企業(yè)的經(jīng)營運(yùn)作，政府的施政，都離不開各種的信息系統(tǒng)。人類社會(huì)已對(duì)信息系統(tǒng)產(chǎn)生極大的依賴性，對(duì)信息系統(tǒng)的可靠性、安全性、有效性進(jìn)行了解和評(píng)價(jià)顯得異常重要。 信息化的發(fā)展， 推動(dòng)了新的審計(jì)業(yè)務(wù) ——— 信息系統(tǒng)審計(jì)的產(chǎn)生。 手工處理 部分計(jì)算機(jī)處理 應(yīng)用系統(tǒng)管理 高度集成的信息系統(tǒng) 手工方式 紙質(zhì)介質(zhì) 無 手工方式 紙質(zhì)介質(zhì) 很小 計(jì)算機(jī)輔助審計(jì) 電子數(shù)據(jù) 很大 系統(tǒng)審計(jì) +數(shù)據(jù)審計(jì) 系統(tǒng)控制 +數(shù)據(jù) 重大 ? 審計(jì)方式 ? 審計(jì)對(duì)象 ? 影響程度 信息系統(tǒng)審計(jì)的發(fā)展 信息系統(tǒng)審在美國起源 信息系統(tǒng)審計(jì)源于 EDP（ Electronic Data Processing) 審計(jì)。當(dāng)計(jì)算機(jī)技術(shù)應(yīng)用于電子數(shù)據(jù)處理，特別是應(yīng)用于財(cái)務(wù)數(shù)據(jù)的電子數(shù)據(jù)處理，針對(duì)電子數(shù)據(jù)處理系統(tǒng)信的審計(jì)便出現(xiàn)，稱為 EDP 審計(jì)。 ? 世界上最早出現(xiàn)的 EDP 審計(jì)專業(yè)組織是在 1969年 在美國成立的 EDP審計(jì)師協(xié)會(huì)EDPAA（ EDP auditors association)。 ? 1994后來也發(fā)展為 信息系統(tǒng)審計(jì)與控制協(xié)會(huì) ISACA (international system audit and control association) 是目前世界上唯一的信息系統(tǒng)審計(jì)領(lǐng)域國際性專業(yè)組織。 信息系統(tǒng)審計(jì)的發(fā)展 信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ ISACA） 介紹 ? 創(chuàng)始于 1967年，當(dāng)時(shí)它是由從事同類職業(yè)的人所組成的小團(tuán)體。計(jì)算機(jī)系統(tǒng)的審計(jì)和控制對(duì)他們各自機(jī)構(gòu)的運(yùn)作都變得愈發(fā)關(guān)鍵，因此他們聚集起來討論制定信息集中化資源和本領(lǐng)域指導(dǎo)準(zhǔn)則的必要性。 ? 1969年，這個(gè)團(tuán)體正式組建為 EDP 審計(jì)師協(xié)會(huì)。 ? 1976年，這個(gè)協(xié)會(huì)成立一項(xiàng)教育基金來開展大規(guī)模的研究工作，以拓展信息產(chǎn)業(yè)管理與控制領(lǐng)域的知識(shí)與價(jià)值。 ? 今天， ISACA在全球有 65000多名成員分布在 140多個(gè)國家 ? ISACA的另一個(gè)強(qiáng)勢(shì)就是它的分會(huì)網(wǎng)絡(luò)。 ISACA的分會(huì)遍布世界 60 多個(gè)國家，可提供成員教育、資源共享、支持、專業(yè)網(wǎng)絡(luò)，以及其他由當(dāng)?shù)胤謺?huì)提供的諸多利益。 ? 它的國際信息系統(tǒng)審計(jì)師（ CISA）認(rèn)證得到全球的公認(rèn)，并有三萬多名專業(yè)人員得到認(rèn)證。 ? 它最新推出的國際信息安全經(jīng)理（ CISM）認(rèn)證特別針對(duì)信息安全管理的審計(jì)事務(wù)。 美國： 美國在計(jì)算機(jī)進(jìn)入實(shí)用階段時(shí)就開始提出系統(tǒng)審計(jì)（ SYSTEM AUDIT） 從事系統(tǒng)審計(jì)活動(dòng)已有 30多年歷史。 ? 美國 IT產(chǎn)業(yè)的興起 , 促進(jìn)了 IT審計(jì)的發(fā)展。 ? IT審計(jì)規(guī)范的建設(shè) , 促進(jìn)了全球 IT審計(jì)事業(yè)的進(jìn)步。 ? IT審計(jì)行業(yè)建立了較 完善的自我管理機(jī)制 ,行業(yè)發(fā)展進(jìn)入了良性循環(huán)。 ? IT審計(jì)建立了較完善的培訓(xùn)和職業(yè)認(rèn)證體系 ,擁有堅(jiān)實(shí)的人才基礎(chǔ)。 信息系統(tǒng)審計(jì)的發(fā)展 其他國家： ? 日本的系統(tǒng)審計(jì)是從 80年代開始， 1983年通產(chǎn)省公開發(fā)表了 《 系統(tǒng)審計(jì)標(biāo)準(zhǔn) 》 ，并在全國軟件水平考試中增加了 系統(tǒng)審計(jì)師 一級(jí)的考試，著手培養(yǎng)從事系統(tǒng)審計(jì)的骨干隊(duì)伍。 ? 東南亞各國也開始制定 EDI法規(guī)，成立專門機(jī)構(gòu)開展系統(tǒng)審計(jì)業(yè)務(wù)，并制定技術(shù)標(biāo)準(zhǔn)。 信息系統(tǒng)審計(jì)的發(fā)展 中國： 1988年我國開始探索在審計(jì)中應(yīng)用計(jì)算機(jī)技術(shù) 1998年審技術(shù)提出了審計(jì)信息化建設(shè)意 近年來我國先后出臺(tái)了部分與 IT審計(jì)相關(guān)的法律法規(guī) 《 過五關(guān)辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知 》 《 審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)辦法 》 《 信息技術(shù)、會(huì)計(jì)核算軟件數(shù)據(jù)接口 》 1999年頒布了 《 獨(dú)立審計(jì)準(zhǔn)則第 20號(hào) ——— 計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì) 》 準(zhǔn)則規(guī)范了電子數(shù)據(jù)處理審計(jì)的內(nèi)容，但對(duì)有關(guān)網(wǎng)絡(luò)信息系統(tǒng)的審計(jì)則沒有涉及 2022年頒布了 《 信息系統(tǒng)審計(jì)準(zhǔn)則（征求意見稿） 》 信息系統(tǒng)審計(jì)的發(fā)展 我國信息系統(tǒng)審計(jì)的發(fā)展面臨的問題： ? 缺少通用的行業(yè)標(biāo)準(zhǔn)。 ? 缺乏技術(shù)層面的規(guī)范。 ? 組織中還沒有形成制度 ? 重要性沒有得到廣泛的認(rèn)同 ? 沒有成熟的經(jīng)驗(yàn)可以借鑒 ? 缺少勝任的專業(yè)人才 信息系統(tǒng)審計(jì)的發(fā)展 發(fā)展前景 ? 企業(yè)管理層對(duì)信息系統(tǒng)審計(jì)愈加重視 。 ? 信息系統(tǒng)審計(jì)在審計(jì)共作中的比重逐漸加大 ? 不斷推出的相關(guān)法規(guī)和標(biāo)準(zhǔn)將陸續(xù)推出 。 ? 信息系統(tǒng)審計(jì)理論和實(shí)務(wù)更加成熟 。 ? 信息系統(tǒng)審計(jì)擁更廣闊市場(chǎng) 。 ? 信息系統(tǒng)審計(jì)師成為稀缺人才 信息系統(tǒng)審計(jì)的發(fā)展 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 信息安全國際國內(nèi)標(biāo)準(zhǔn)重要里程碑 信息系統(tǒng)審計(jì)準(zhǔn)則 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn) 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn) ? 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn)（續(xù)） 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 主要的信息安全標(biāo)準(zhǔn)－國內(nèi)標(biāo)準(zhǔn) 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? 國際標(biāo)準(zhǔn)化組織簡(jiǎn)介 國際標(biāo)準(zhǔn)化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標(biāo)準(zhǔn)化機(jī)構(gòu)。到目前為止， ISO有正式成員國 120多個(gè)，中國是其中之一。國際標(biāo)準(zhǔn)化組織 1946年成立于瑞士日內(nèi)瓦，負(fù)責(zé)制定在世界范圍內(nèi)通用的國際標(biāo)準(zhǔn) ISO技術(shù)工作是高度分散的，分別由 2700多個(gè)技術(shù)委員會(huì) (TC)、分技術(shù)委員會(huì) (SC)和工作組 (WG)承擔(dān) ISO技術(shù)工作的成果是正式出版的國際標(biāo)準(zhǔn)，即 ISO標(biāo)準(zhǔn) ISO在信息安全方面的標(biāo)準(zhǔn)主要包括： ? ISO17799/ISO27001/ISO27002 ? ISO/IEC 15408 ? ISO/IEC 13335 ? ISO/TR 13569 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? ISO/IEC 17799/27001/27002 ISO/IEC17799是由國際標(biāo)準(zhǔn)化組織（ ISO）與 IEC（國際電工委員會(huì)）共同成立的聯(lián)合技術(shù)委員會(huì) ISO/IEC JTC 1，以英國標(biāo)準(zhǔn) BS7799為藍(lán)本而制定的一套全面和復(fù)雜的信息安全管理標(biāo)準(zhǔn)前 BS7799在 2022年成為 ISO/IEC17799:2022（第一版），后在 2022年 10月更新 ? 2022年 7月 ISO17799:2022改名為 ISO27002:2022 ? ISO/IEC 27001:2022 信息安全管理體系規(guī)范，相當(dāng)于 BS77992的改進(jìn)版；內(nèi)容涉及 12個(gè)領(lǐng)域，有多個(gè)控制措施供企業(yè)選擇 ? ISO/IEC 27002:2022 信息安全管理體系的實(shí)施指南，相當(dāng)于 BS77991的改進(jìn)版；內(nèi)容涉及 10個(gè)領(lǐng)域， 36個(gè)管理目標(biāo)和 127個(gè)控制措施 ? 2022年 ISO又頒布了 ISO/IEC 27006 ? 截至于 2022年 4月，全球的各個(gè)認(rèn)證機(jī)構(gòu)大約頒發(fā)了 4千多 ISO27001 或BS7799 的認(rèn)證書 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? ISO/IEC15408 ? 90年代開始，由于 Inter的日益普及，信息安全領(lǐng)域呼吁修改桔皮書，以解決商用信息系統(tǒng)安全問題 ? 1991年歐盟 (European Commission) 頒布了 ITSEC（信息技術(shù)安全評(píng)估準(zhǔn)則） ? 在此基礎(chǔ)上，美國、加拿大、英國、法國等 7國組織聯(lián)合研制了 “ 信息技術(shù)評(píng)估安全公共準(zhǔn)則 ” （ CC： Common Criteria） ? 1999年 6月 ISO通過了 ISO/IEC 15408 安全評(píng)估準(zhǔn)則 ? 目前的最新版本于 2022年發(fā)布 國內(nèi)外信息系統(tǒng)認(rèn)證介紹 ? ISO/