第一篇：信息系統(tǒng)審計(jì)期末考試重點(diǎn)

1、IT治理、IT管理、公司治理之間關(guān)系？

公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動(dòng)和調(diào)整IT治理。IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，是公司治理的重要功能。

IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)。是在戰(zhàn)術(shù)層面上

?IT治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。是在戰(zhàn)略層面上

?IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定框架下駕馭企業(yè)奔向目標(biāo)。

（公司治理關(guān)注利益相關(guān)者權(quán)益和管理，驅(qū)動(dòng)和調(diào)整IT治理

IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，是公司治理的重要功能。IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定框架下駕馭企業(yè)奔向目標(biāo)。）

2、信息系統(tǒng)審計(jì)階段，準(zhǔn)備階段應(yīng)該了解被審計(jì)單位哪些方面內(nèi)容 P11 了解被審計(jì)系統(tǒng)的基本情況

（1）、調(diào)查了解被審計(jì)單位信息系統(tǒng)的基本情況，如信息系統(tǒng)的硬件配置，系統(tǒng)軟件的選用，應(yīng)用軟件的范圍，網(wǎng)絡(luò)結(jié)構(gòu)，系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等，調(diào)查完成后將審前調(diào)查情況記錄下來(lái)。

（2）．提前三天送達(dá)審計(jì)通知書，要求被審計(jì)單位對(duì)所提供資料的真實(shí)性、完整性作出書面承諾，明確彼此的責(zé)任、權(quán)利和義務(wù)。

（3）．初步評(píng)價(jià)被審計(jì)單位的內(nèi)部控制制度，以便確定符合性測(cè)試的范圍和重點(diǎn)。

（4）．確定審計(jì)重要性、確定審計(jì)范圍。

（5）．分析審計(jì)風(fēng)險(xiǎn)。

（6）．制定審計(jì)實(shí)施方案。在審計(jì)實(shí)施方案中除了對(duì)時(shí)間、人員、工作步驟及任務(wù)分配等方面作出安排以外，還要合理確定符合性測(cè)試、實(shí)質(zhì)性測(cè)試的時(shí)間和范圍，以及測(cè)試時(shí)的審計(jì)方法和測(cè)試數(shù)據(jù)。

在安排利用計(jì)算機(jī)輔助審計(jì)時(shí)，還需列出所選用的通用軟件或?qū)Ｓ密浖?duì)于復(fù)雜的信息系統(tǒng)，也可聘請(qǐng)專家，但必須明確審計(jì)人員的責(zé)任。

3、信息系統(tǒng)一般控制、應(yīng)用控制的區(qū)別和聯(lián)系

區(qū)別：

范圍：應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。

? 對(duì)象：應(yīng)為除信息系統(tǒng)應(yīng)用程序以外的其他部分。

?基本目標(biāo)：保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外情況下的持續(xù)運(yùn)行等。

一般控制主要涉及：

–管理控制（包括部門管理、人員管理等）

–系統(tǒng)基礎(chǔ)設(shè)施控制（包括物理環(huán)境、系統(tǒng)硬件、系統(tǒng)軟件等）

–系統(tǒng)訪問(wèn)控制（包括系統(tǒng)通信控制等）

–系統(tǒng)網(wǎng)絡(luò)架構(gòu)控制；

–災(zāi)難恢復(fù)控制（即服務(wù)持續(xù)性控制）

應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。有輸入控制、處理控制、輸出控制審查方法。

聯(lián)系：

良好的一般控制是應(yīng)用控制的基礎(chǔ)。

如果一般控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)就沒(méi)有進(jìn)行的必要。

4、變更管理實(shí)施的過(guò)程

P159-1605、如何進(jìn)行系統(tǒng)運(yùn)營(yíng)/維護(hù)階段的審計(jì)？

從ISA角度，IS審計(jì)師通過(guò)審查系統(tǒng)運(yùn)營(yíng)與維護(hù)的安全性、有效性、效益性等，并對(duì)

此進(jìn)行評(píng)估，提出改進(jìn)意見(jiàn)，從而確保系統(tǒng)能滿足企業(yè)的業(yè)務(wù)目標(biāo)需求并實(shí)現(xiàn)其效益。

信息系統(tǒng)在日常運(yùn)行過(guò)程中管理與維護(hù)內(nèi)容主要涉及：

1、信息系統(tǒng)運(yùn)營(yíng)的管理；

2、信息系統(tǒng)變更管理；

3、軟件配置管理；

4、項(xiàng)目管理；等。

6、電子數(shù)據(jù)處理系統(tǒng)對(duì)審計(jì)的影響？

電子數(shù)據(jù)處理系統(tǒng)對(duì)傳統(tǒng)審計(jì)的影響:

(1)、對(duì)審計(jì)線索的影響：傳統(tǒng)的審計(jì)線索缺失

EDP下：數(shù)據(jù)處理、存儲(chǔ)電子化，不可見(jiàn)，難辨真?zhèn)巍?/p>

(2)、對(duì)審計(jì)方法和技術(shù)的影響：技術(shù)方法復(fù)雜化

EDP下：利用計(jì)算機(jī)——審計(jì)技術(shù)變得復(fù)雜化

(3)、對(duì)審計(jì)人員的影響：知識(shí)構(gòu)成要求發(fā)生變化

EDP下：會(huì)計(jì)、審計(jì)、計(jì)算機(jī)等知識(shí)和技能

(4)、對(duì)審計(jì)準(zhǔn)則的影響：信息化下審計(jì)準(zhǔn)則與標(biāo)準(zhǔn)的缺失

EDP下：在原有審計(jì)準(zhǔn)則的基礎(chǔ)上，建立一系列新的準(zhǔn)則

(5)、對(duì)內(nèi)部控制的影響：內(nèi)部控制方式發(fā)生改變

傳統(tǒng)方式下：強(qiáng)調(diào)對(duì)業(yè)務(wù)活動(dòng)及會(huì)計(jì)活動(dòng)使用授權(quán)批準(zhǔn)和職責(zé)分工等控制程序來(lái)保證。

EDP下：數(shù)據(jù)處理根據(jù)既定的指令程序自動(dòng)進(jìn)行，信息的處理和存儲(chǔ)高度集中于計(jì)算機(jī)，控制依賴于計(jì)算機(jī)信息系統(tǒng)，控制方式發(fā)生改變。

7、簡(jiǎn)要回答IT治理范圍

P46

好的IT治理實(shí)踐需要在企業(yè)全部范圍內(nèi)推行：

–最高管理層（董事會(huì)）

–管理者

–下層

8、信息系統(tǒng)訪問(wèn)方式及其審計(jì)方法有哪些？

系統(tǒng)訪問(wèn)方式：

–邏輯訪問(wèn)：用戶通過(guò)軟件方式對(duì)系統(tǒng)訪問(wèn)。

–物理訪問(wèn)：用戶通過(guò)物理接觸等方式對(duì)系統(tǒng)訪問(wèn)。

邏輯訪問(wèn)控制審計(jì)：

1.了解IS處理設(shè)施的技術(shù)、管理、安全環(huán)境；

2.記錄邏輯訪問(wèn)路徑，評(píng)估相關(guān)軟硬件設(shè)施；

3、檢查已實(shí)施的邏輯訪問(wèn)控制軟件，查看軟件的記錄與報(bào)告；

4、查看組織的安全政策。

物理訪問(wèn)控制審計(jì)：

1、現(xiàn)場(chǎng)查看信息處理設(shè)施和異地存儲(chǔ)設(shè)施；

2、評(píng)估物理進(jìn)入的路徑；

3、審核文件和記錄。

9、回答恢復(fù)點(diǎn)目標(biāo)和恢復(fù)時(shí)間目標(biāo)的概念？

恢復(fù)點(diǎn)目標(biāo)(RPO)：由業(yè)務(wù)中斷情況下可接受的數(shù)據(jù)損失來(lái)決定，有效量化了業(yè)務(wù)中斷時(shí)可以允許丟失的數(shù)據(jù)量。

恢復(fù)時(shí)間目標(biāo)(RTO): 由業(yè)務(wù)中斷情況下可接受的停機(jī)時(shí)間決定，指明了災(zāi)難發(fā)生后必須對(duì)業(yè)務(wù)進(jìn)行恢復(fù)的最早時(shí)間點(diǎn)。

10、如何進(jìn)行系統(tǒng)安裝后的審計(jì)？

新系統(tǒng)是在日常作業(yè)環(huán)境中穩(wěn)定下來(lái)之后，需要進(jìn)行安裝后審計(jì)。安裝后審計(jì)是對(duì)系統(tǒng)實(shí)際運(yùn)行狀況進(jìn)行集中分析和評(píng)價(jià)，審計(jì)師在平時(shí)管理工作基礎(chǔ)上進(jìn)行的。安裝后審計(jì)和系統(tǒng)評(píng)價(jià)的內(nèi)容相似，但目的不同，進(jìn)行的時(shí)間不同。安裝后審計(jì)師在系統(tǒng)投入運(yùn)行后定期或不定期進(jìn)行的審計(jì)，其目的是確認(rèn)系統(tǒng)目標(biāo)和需求、成本效益、變更、資源利用率、內(nèi)部控制、運(yùn)行日志、系統(tǒng)改進(jìn)。

11、簡(jiǎn)要回答IT治理成熟度模型

IT治理成熟度級(jí)別：0沒(méi)有級(jí)別—根本沒(méi)有管理程序1初始級(jí)—程序混亂，沒(méi)有組織2可重復(fù)級(jí)—程序遵循某種模式3已定義級(jí)—程序已形成正式文檔，已發(fā)布4已管理級(jí)—程序得到控制和評(píng)測(cè)5優(yōu)化級(jí)—遵循并自動(dòng)實(shí)行最佳實(shí)踐

優(yōu)點(diǎn)與作用：

? 涉及經(jīng)營(yíng)需求的各個(gè)方面，簡(jiǎn)單實(shí)用的方式測(cè)定差異；

? 測(cè)量治理發(fā)展程度的方法，各個(gè)成熟度的典型模式，有助于組織,對(duì)照慣例和最佳實(shí)踐，發(fā)現(xiàn)和解釋缺陷與不足,關(guān)注關(guān)鍵的管理方面,確定組織發(fā)展目標(biāo)。

12、邏輯訪問(wèn)控制中的識(shí)別技術(shù)有哪些？

身份識(shí)別與驗(yàn)證

–“只有你知道的事情”——賬號(hào)與口令

?賬號(hào)的控制

?口令的控制

–“只有你擁有的東西”——令牌設(shè)備

?發(fā)送許可權(quán)的特殊消息或一次性口令的設(shè)備

–“只有你具有的特征”——生物測(cè)定技術(shù)與行為測(cè)定技術(shù)

?指紋、虹膜等

?簽名等

論述題

1、信息系統(tǒng)審計(jì)審計(jì)目標(biāo)

一般審計(jì)目標(biāo)

（1）保護(hù)資產(chǎn)的完整性/安全性。信息系統(tǒng)資產(chǎn)包括硬件、軟件、人力資源、數(shù)據(jù)文件及系統(tǒng)文檔（文件）等。所以，保護(hù)信息系統(tǒng)資產(chǎn)的完整性成為許多組織要達(dá)到的一個(gè)重要目標(biāo)，也是信息系統(tǒng)審計(jì)所追求的目標(biāo)之一。

（2）保證數(shù)據(jù)的準(zhǔn)確性。有效防止數(shù)據(jù)的輸入、輸出錯(cuò)誤，以及非授權(quán)狀態(tài)下修改信息所造成的無(wú)效操作和錯(cuò)誤后果。

（3）提高系統(tǒng)的有效性。信息系統(tǒng)獲得預(yù)期的目標(biāo)

（4）提高系統(tǒng)的效率性。信息系統(tǒng)以盡可能少的資源消耗達(dá)到預(yù)期目標(biāo)。系統(tǒng)資源主要包括機(jī)器時(shí)間、設(shè)備、系統(tǒng)軟件、勞動(dòng)力等。

（5）保證系統(tǒng)的合法性、合規(guī)性。信息系統(tǒng)及其運(yùn)用必須遵守有關(guān)法律、法規(guī)和規(guī)章制度。

2、IT治理的方法？(P41)

1.積極進(jìn)行治理設(shè)計(jì)

2.選擇正確的時(shí)間進(jìn)行IT治理設(shè)計(jì)

3.高層經(jīng)理人員的參與

4.對(duì)目標(biāo)有所取舍

5.制定例外處理流程

6.提供相應(yīng)的激勵(lì)

7.在組織的多個(gè)層面設(shè)計(jì)治理

8.加強(qiáng)透明度和教育

9.運(yùn)用相同的機(jī)制治理多個(gè)關(guān)鍵資產(chǎn)

3、信息系統(tǒng)面臨互聯(lián)網(wǎng)的風(fēng)險(xiǎn)及其控制技術(shù)？(P73)

來(lái)自互聯(lián)網(wǎng)上的安全威脅主要分為主動(dòng)攻擊和被動(dòng)攻擊

–被動(dòng)攻擊：監(jiān)聽

–主動(dòng)攻擊：

? 中斷

? 篡改

? 偽造

互聯(lián)網(wǎng)攻擊的主要表現(xiàn)形式：非授權(quán)訪問(wèn)。

惡意攻擊者一般同時(shí)采取兩種方式。

4、結(jié)合信息系統(tǒng)分析與設(shè)計(jì)如何考慮應(yīng)用控制

輸入控制、處理控制、輸出控制

5、論述信息系統(tǒng)開發(fā)過(guò)程中的風(fēng)險(xiǎn)及其控制技術(shù)？

相關(guān)風(fēng)險(xiǎn)

系統(tǒng)不符合用戶的業(yè)務(wù)需求

項(xiàng)目風(fēng)險(xiǎn)

（1）項(xiàng)目?jī)?nèi)部

（2）和供應(yīng)商之間

（3）在組織內(nèi)部

（4）和外部環(huán)境之間

重要原因：缺乏必要的規(guī)則，組織沒(méi)有提供必要技術(shù)基礎(chǔ)設(shè)施和支持，即缺乏有效的軟件過(guò)程管理與項(xiàng)目管理。

風(fēng)險(xiǎn)降低：實(shí)現(xiàn)安全措施，以把風(fēng)險(xiǎn)降低到一個(gè)可以接受的的級(jí)別。實(shí)際上就是力圖減小威

脅發(fā)生的可能性和帶來(lái)的影響。

風(fēng)險(xiǎn)承受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)。即在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)組織可以選擇接受。

風(fēng)險(xiǎn)規(guī)避：通過(guò)消除風(fēng)險(xiǎn)的原因和后果來(lái)規(guī)避風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)使用其他措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)。

6、結(jié)合實(shí)例，IT服務(wù)管理的內(nèi)容與框架？（P149）

IT服務(wù)管理實(shí)施規(guī)劃用以建立IT服務(wù)管理流程，討論規(guī)劃和實(shí)施IT服務(wù)管理的關(guān)鍵性問(wèn)題，并對(duì)實(shí)施和提升IT服務(wù)提供全面的指導(dǎo)。內(nèi)容包括：(1)創(chuàng)建清晰的戰(zhàn)略遠(yuǎn)景和使命；(2)分析企業(yè)當(dāng)前IT狀況與服務(wù)狀況；(3)定義期望狀態(tài)并進(jìn)行差距分析；(4)設(shè)定優(yōu)先級(jí)并啟動(dòng)過(guò)程改進(jìn)；(5)定義關(guān)鍵成功因素和關(guān)鍵績(jī)效指標(biāo)。

主體框架包括6個(gè)主要模塊，即服務(wù)管理、業(yè)務(wù)管理、ICT基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃和集中的安全

第二篇：信息系統(tǒng)審計(jì)重點(diǎn)

信息系統(tǒng)審計(jì)

電子計(jì)算機(jī)在數(shù)據(jù)處理的發(fā)展過(guò)程可分為三個(gè)階段：數(shù)據(jù)的單項(xiàng)處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。

數(shù)據(jù)處理電算化以后，對(duì)傳統(tǒng)的審計(jì)產(chǎn)生了巨大的影響，主要表現(xiàn)在：

1、對(duì)審計(jì)線索的影響~~~~

2、對(duì)審計(jì)方法和技術(shù)的影響~~~~~~

3、對(duì)審計(jì)人員的影響~~~~~

4、對(duì)審計(jì)準(zhǔn)則的影響~~~~~~ 信息系統(tǒng)審計(jì)的定義：信息系統(tǒng)審計(jì)是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行檢測(cè)、評(píng)估和控制的過(guò)程，以確認(rèn)預(yù)訂的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，并提出一系列改進(jìn)建議的管理活動(dòng)。

信息系統(tǒng)的主體：有勝任能力的信息系統(tǒng)獨(dú)立審計(jì)機(jī)構(gòu)或人員 信息系統(tǒng)審計(jì)的對(duì)象：被審計(jì)的信息系統(tǒng)

信息系統(tǒng)審計(jì)工作的核心：客觀地收集和評(píng)估證據(jù)

信息系統(tǒng)審計(jì)的目的是評(píng)估并提供反饋、保證及建議。關(guān)注之處被分為三類：可用性、保密性、完整性。

信息系統(tǒng)審計(jì)的特點(diǎn)：審計(jì)范圍的廣泛性、審計(jì)線索的隱蔽性、易逝性、審計(jì)取證的動(dòng)態(tài)性、審計(jì)技術(shù)的復(fù)雜性。（真是為一道簡(jiǎn)答題。在P6，詳細(xì)看一下各段內(nèi)容，概括下再答題）信息系統(tǒng)審計(jì)目標(biāo)：

1、保護(hù)資產(chǎn)的完整性

2、保證數(shù)據(jù)的準(zhǔn)確性

3、提高系統(tǒng)的有效性

4、提高系統(tǒng)的效率性

5、保證信息系統(tǒng)的合規(guī)性與合法性

信息系統(tǒng)的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計(jì)（分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng)，對(duì)信息系統(tǒng)的內(nèi)部控制系統(tǒng)進(jìn)行審計(jì)的目的是在內(nèi)部控制審計(jì)的基礎(chǔ)上對(duì)信息系統(tǒng)的處理結(jié)果進(jìn)行審計(jì)、加強(qiáng)內(nèi)部控制，完善內(nèi)部控制系統(tǒng)）系統(tǒng)開發(fā)審計(jì)(信息系統(tǒng)開發(fā)審計(jì)是對(duì)信息系統(tǒng)開發(fā)過(guò)程進(jìn)行的審計(jì)，審計(jì)目的一是要檢查開發(fā)的方法、程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂疲欢且獧z查開發(fā)過(guò)程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲?jì)（審查應(yīng)用程序有兩個(gè)目的，意識(shí)測(cè)試應(yīng)用控制系統(tǒng)的符合性，二是通過(guò)檢查程序運(yùn)算和邏輯的正確性達(dá)到實(shí)質(zhì)性測(cè)試目的）數(shù)據(jù)文件審計(jì)（審計(jì)目的一是對(duì)數(shù)據(jù)文件進(jìn)行實(shí)質(zhì)性測(cè)試，二是通過(guò)數(shù)據(jù)文件的審計(jì)，測(cè)試一般控制或應(yīng)用控制的符合性，但主要是為了實(shí)質(zhì)性測(cè)試）（這是道簡(jiǎn)答題，在P8各個(gè)小概括下）

信息系統(tǒng)審計(jì)的基本方法：繞過(guò)信息系統(tǒng)審計(jì)、通過(guò)信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì)的步驟（大題P11）：

準(zhǔn)備階段：明確審計(jì)任務(wù)，組成信息系統(tǒng)審計(jì)小組，了解被審計(jì)系統(tǒng)的基本情況，指定信息系統(tǒng)審計(jì)方案，發(fā)出審計(jì)通知書 實(shí)施階段：對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試，對(duì)賬表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查

終結(jié)階段：整理歸納審計(jì)資料，撰寫審計(jì)報(bào)告，發(fā)出審計(jì)結(jié)論和決定，審計(jì)資料的歸檔和管理

國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則：由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）頒布和實(shí)施的。ISACA是國(guó)際上唯一的信息系統(tǒng)審計(jì)專業(yè)組織，通過(guò)制定和頒布信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、指南和程序來(lái)規(guī)范審計(jì)師的工作，它由三個(gè)層次構(gòu)成： 審計(jì)標(biāo)準(zhǔn)（審計(jì)標(biāo)準(zhǔn)是整個(gè)信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計(jì)指南和作業(yè)程序的基礎(chǔ)和依據(jù)）審計(jì)指南（審計(jì)指南為審計(jì)標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中應(yīng)考慮如何應(yīng)用指南以實(shí)現(xiàn)審計(jì)標(biāo)準(zhǔn)的要求，在應(yīng)用過(guò)程中靈活運(yùn)用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為）

作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計(jì)師在審計(jì)過(guò)程中可能遇到的審計(jì)程序的示例）信息系統(tǒng)審計(jì)師應(yīng)具備的素質(zhì)（大題P18-19）

應(yīng)具備的理論知識(shí):傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、計(jì)算機(jī)科學(xué)、行為科學(xué)理論

應(yīng)具有的實(shí)踐技能：參加過(guò)不同類別的工作培訓(xùn)、參與專業(yè)的機(jī)構(gòu)或廠商組織的研討會(huì)，動(dòng)態(tài)掌握信息技術(shù)的新發(fā)展對(duì)審計(jì)實(shí)踐的影響、具有理解信息處理活動(dòng)的各種技術(shù)、理解并熟悉操作環(huán)境，評(píng)估內(nèi)部控制的有效性、理解現(xiàn)有與未來(lái)系統(tǒng)的技術(shù)復(fù)雜性，以及它們對(duì)各級(jí)操作與決策的影響、能使用技術(shù)的方法去識(shí)別系統(tǒng)的完整性、要參與評(píng)估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險(xiǎn)等、能夠提供審計(jì)集成服務(wù)并為審計(jì)員工提供指導(dǎo)，與財(cái)務(wù)審計(jì)師一起對(duì)公司財(cái)務(wù)狀況做出說(shuō)明、具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計(jì)、實(shí)施后評(píng)估等、掌握網(wǎng)絡(luò)相關(guān)的安全實(shí)踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、異步傳輸模式等通信技術(shù)。IT治理定義：德勒定義：IT治理是一個(gè)含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險(xiǎn)的適當(dāng)管理。

IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對(duì)于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競(jìng)爭(zhēng)；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）；IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)；IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程，以確保IT維護(hù)和拓展組織戰(zhàn)略目標(biāo)；應(yīng)該合理利用企業(yè)的信息資源，有效的集成與協(xié)調(diào)；確保IT及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)。

IT治理和IT管理的關(guān)系：IT管理是在既定的IT治理模式下，管理層為實(shí)現(xiàn)公司的目標(biāo)二采取的行動(dòng)，IT治理規(guī)定了整個(gè)企業(yè)IT運(yùn)作的基本框架，IT管理則是在這個(gè)既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時(shí)，沒(méi)有公司IT管理體系的流暢，單純的治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

公司治理和IT治理：公司治理，驅(qū)動(dòng)和調(diào)整IT治理。同時(shí)，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計(jì)劃的一個(gè)重要組成部分，即IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。IT治理標(biāo)準(zhǔn)：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級(jí)、可重復(fù)級(jí)、已定義級(jí)、已管理級(jí)、已優(yōu)化級(jí)（主要內(nèi)容及其作用在P47-48）

信息系統(tǒng)內(nèi)部控制：是一個(gè)單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊、確保信息系統(tǒng)提供信息的真實(shí)、合法、完整，而制定和實(shí)施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運(yùn)作維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動(dòng)，都屬于信息系統(tǒng)內(nèi)部控制的對(duì)象，可分為一般控制和應(yīng)用控制。

信息系統(tǒng)一般控制是應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計(jì)算機(jī)應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運(yùn)行等。

信息系統(tǒng)應(yīng)用控制是用于對(duì)具體應(yīng)用系統(tǒng)的控制，一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個(gè)計(jì)算機(jī)程序和組織單元，與此相對(duì)應(yīng)，應(yīng)用控制包括包含在計(jì)算機(jī)編碼中的日常控制及與用戶活動(dòng)相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ)，可以為應(yīng)用控制的有效性提供有力的保障，某些應(yīng)用控制的有效性取決于計(jì)算機(jī)整體環(huán)境控制的有效性。當(dāng)計(jì)算機(jī)整體環(huán)境控制薄弱時(shí)，應(yīng)用控制就無(wú)法真正提供合理保障。如果一般控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)結(jié)果很差，應(yīng)用控制審計(jì)就沒(méi)有進(jìn)行的必要。

審計(jì)邏輯訪問(wèn)安全策略：知所必需原則

審查離職員工的訪問(wèn)控制：請(qǐng)辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫(kù)加密：一般采用公開密鑰加密方法 系統(tǒng)訪問(wèn)控制及其審計(jì)：系統(tǒng)訪問(wèn)就是利用計(jì)算機(jī)資源達(dá)到一定目的的能力，對(duì)計(jì)算機(jī)化的信息資源的訪問(wèn)可以基于邏輯方式，也可以基于物理方式。物理訪問(wèn)控制可以限制人員進(jìn)出敏感區(qū)域。對(duì)計(jì)算機(jī)信息的物理訪問(wèn)與邏輯訪問(wèn)應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來(lái)分配系統(tǒng)訪問(wèn)權(quán)限，并把這些訪問(wèn)規(guī)則與訪問(wèn)授權(quán)通過(guò)正式書面文件記錄下來(lái)，作為信息安全的重要文件加以妥善管理。身份識(shí)別與驗(yàn)證（簡(jiǎn)答題P65-66）：邏輯訪問(wèn)控制中的身份識(shí)別與驗(yàn)證是一種提供用戶身份證明的過(guò)程，在這個(gè)過(guò)程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗(yàn)證這個(gè)身份證明后向用戶授予訪問(wèn)系統(tǒng)的能力。可分為三類：“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子：賬號(hào)與口令、令牌設(shè)備、生物測(cè)定技術(shù)與行為測(cè)定技術(shù)。邏輯訪問(wèn)授權(quán)：一般情況下邏輯訪問(wèn)控制基于最小授權(quán)原則，支隊(duì)因工作需要訪問(wèn)信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時(shí)，在賦予他們新訪問(wèn)權(quán)限時(shí)，一般沒(méi)有及時(shí)取消舊的訪問(wèn)權(quán)限，這就會(huì)產(chǎn)生訪問(wèn)控制上的風(fēng)險(xiǎn)。所以當(dāng)員工職位有變動(dòng)時(shí)，信息系統(tǒng)審計(jì)師就要及時(shí)審核訪問(wèn)控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計(jì)：信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃是組織中總的業(yè)務(wù)持續(xù)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的重要組成部分。恢復(fù)策略與恢復(fù)類型：熱站、溫站、冷站、冗余信息處理設(shè)施、移動(dòng)站點(diǎn)、組織間互惠協(xié)議。BCP中多個(gè)計(jì)劃文件：業(yè)務(wù)持續(xù)性計(jì)劃（BCP）、業(yè)務(wù)恢復(fù)計(jì)劃（BRP）、連續(xù)作業(yè)計(jì)劃（COOP）連續(xù)支持計(jì)劃、IT應(yīng)急計(jì)劃、危機(jī)通信計(jì)劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計(jì)劃（DRP）、場(chǎng)所緊急計(jì)劃（OEP）

異地備份：完全備份、增量備份、差分備份

災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)：主要任務(wù)是理解與評(píng)價(jià)組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評(píng)估該計(jì)劃的充分性和時(shí)效性；審核信息系統(tǒng)及終端用戶對(duì)計(jì)劃所做的測(cè)試的結(jié)果，驗(yàn)證計(jì)劃的有效性；審核異地存儲(chǔ)設(shè)施機(jī)器內(nèi)容、安全和環(huán)境控制，以評(píng)估異地存儲(chǔ)站點(diǎn)的適當(dāng)性；通過(guò)審核應(yīng)急措施、員工培訓(xùn)、測(cè)試結(jié)果，評(píng)估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認(rèn)組織對(duì)業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)措施存在并有效。

應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計(jì)需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過(guò)程一般都是由輸入、處理和輸出三個(gè)階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。

軟件維護(hù)的種類：糾錯(cuò)行為化、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù) 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供

IT服務(wù)提供流程主要面對(duì)付費(fèi)的機(jī)構(gòu)和個(gè)人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對(duì)服務(wù)能力、持續(xù)性、可用性等服務(wù)級(jí)別目標(biāo)進(jìn)行規(guī)劃和設(shè)計(jì)，同時(shí)還必須考慮到這些服務(wù)目標(biāo)所需要耗費(fèi)的成本。主要包括服務(wù)水平管理、IT服務(wù)財(cái)務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個(gè)服務(wù)管理流程。

IT服務(wù)的服務(wù)支持主要面向終端用戶，負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺(tái)職能和5個(gè)運(yùn)作層次的流程，即配置管理、事務(wù)管理、問(wèn)題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲?jì)的內(nèi)容：

審查程序控制是否健全有效：程序中輸入控制的審計(jì)、程序中處理控制的審計(jì)、程序中輸出控制的審計(jì)。

審查程序的合法性P168 簡(jiǎn)單論述

審查程序編碼的正確性：目標(biāo)和任務(wù)不明確、系統(tǒng)設(shè)計(jì)差錯(cuò)、程序設(shè)計(jì)說(shuō)明書錯(cuò)誤、程序語(yǔ)法或邏輯錯(cuò)誤

審查程序的有效性：在具體編寫程序前應(yīng)簡(jiǎn)化算術(shù)表達(dá)式及邏輯表達(dá)式、細(xì)心的分析多層嵌套循環(huán)，以確定能否把一些語(yǔ)句或表達(dá)式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法；不要把不同的數(shù)據(jù)類型混在一起；只要可能就采用整形數(shù)的算法運(yùn)算和布爾表達(dá)式。應(yīng)用程序?qū)徲?jì)方法：對(duì)應(yīng)用程序進(jìn)行審計(jì)，往往是計(jì)算機(jī)輔助審計(jì)方法與手工審計(jì)方法的結(jié)合。

檢測(cè)數(shù)據(jù)法：是指審計(jì)人員把一批預(yù)先設(shè)計(jì)好的監(jiān)測(cè)數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。

平行模擬法：是指審計(jì)人員自己或請(qǐng)計(jì)算機(jī)專業(yè)人員編寫的具有和被審計(jì)程序相同處理和控制的模擬程序，用這種程序處理當(dāng)期的實(shí)際數(shù)據(jù)，并以處理的結(jié)果與被審計(jì)程序的處理結(jié)果進(jìn)行比較，以評(píng)價(jià)被審程序的處理和控制功能是否可靠的一種方法 嵌入審計(jì)程序法：是指被審計(jì)信息系統(tǒng)的設(shè)計(jì)和開發(fā)階段，在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計(jì)功能而設(shè)計(jì)的程序段，這些程序段可以用來(lái)收集審計(jì)人員感興趣的資料，并且建立一個(gè)審計(jì)控制文件，用來(lái)存儲(chǔ)這些資料，審計(jì)人員通過(guò)這些資料的審核來(lái)確定被審程序的處理和控制功能的可靠性。

程序追蹤法：是一種對(duì)給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來(lái)完成，也可利用某些高級(jí)語(yǔ)言或數(shù)據(jù)庫(kù)管理系統(tǒng)中的跟蹤指令被審查程序的處理。

第三篇：信息系統(tǒng)審計(jì)

1、信息系統(tǒng)審計(jì)的概念，內(nèi)容，流程？

答：（1）概念信息系統(tǒng)審計(jì)是指根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對(duì)信息系統(tǒng)從規(guī)劃、實(shí)施到運(yùn)行維護(hù)各個(gè)環(huán)節(jié)進(jìn)行審查評(píng)價(jià)，對(duì)信息系統(tǒng)及其業(yè)務(wù)的完整性、有效性、效率性、安全性等進(jìn)行監(jiān)測(cè)、評(píng)估和控制的過(guò)程，以確定預(yù)定的業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，斌提出一系列改進(jìn)建議的管理活動(dòng)。

（2）內(nèi)容：主要包括內(nèi)部控制系統(tǒng)審計(jì)、系統(tǒng)開發(fā)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等。a.內(nèi)部控制系統(tǒng)審計(jì)。信息系統(tǒng)的內(nèi)部控制系統(tǒng)由兩個(gè)子系統(tǒng)構(gòu)成：一是一般控制系統(tǒng)，它是系統(tǒng)運(yùn)行環(huán)境方面的控制，為應(yīng)用程序的正常運(yùn)行提供外圍保障。另一子系統(tǒng)是應(yīng)用控制系統(tǒng)，它是針對(duì)具體的應(yīng)用系統(tǒng)和程序而設(shè)置的各種控制措施。

b.系統(tǒng)開發(fā)審計(jì)。是指對(duì)信息系統(tǒng)開發(fā)過(guò)程所進(jìn)行的審計(jì)，這是一種事前審計(jì)。

c.應(yīng)用程序?qū)徲?jì)。其決定了數(shù)據(jù)處理的合規(guī)性、正確性。對(duì)應(yīng)用程序的審計(jì)，可以對(duì)程序直接進(jìn)行審查，也可以通過(guò)數(shù)據(jù)在程序上的運(yùn)行進(jìn)行間接測(cè)試。

d.數(shù)據(jù)文件審計(jì)。在信息系統(tǒng)中，各種憑證、賬簿及報(bào)表中的數(shù)據(jù)均以數(shù)據(jù)文件的形式存儲(chǔ)在硬盤或軟盤等存儲(chǔ)介質(zhì)中，對(duì)數(shù)據(jù)文件進(jìn)行審計(jì)，可以將該文件打印出來(lái)進(jìn)行檢查，也可以在計(jì)算機(jī)內(nèi)直接進(jìn)行審查。

（3）流程：主要的分為準(zhǔn)備階段、實(shí)施階段、終結(jié)階段。

a.準(zhǔn)備階段：

1、明確審計(jì)任務(wù)。

2、組成信息系統(tǒng)審計(jì)小組。

3、了解被審計(jì)系統(tǒng)的基本情況。

4、制定信息系統(tǒng)審計(jì)方案；

b.實(shí)施方案：

1、對(duì)被審計(jì)系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測(cè)試。

2、對(duì)帳表單證或數(shù)據(jù)文件的實(shí)質(zhì)性審查；

c.終結(jié)階段：

1、整理歸納審計(jì)資料。

2、撰寫審計(jì)報(bào)告。

3、發(fā)出審計(jì)結(jié)論和決定。

4、審計(jì)資料的歸檔和管理。

2、常見(jiàn)的IT治理標(biāo)準(zhǔn)有哪些，各自的作用是什么？

答：常見(jiàn)的IT治理標(biāo)準(zhǔn)有ITIL，COBIT，BS 7799，PRINCE2。

（1）ITIL（Information Technology Infrastructure Library），即信息技術(shù)基礎(chǔ)構(gòu)架庫(kù)，一套被廣泛承認(rèn)的用于有效IT服務(wù)管理的時(shí)間準(zhǔn)則。1980年以來(lái)，英國(guó)政府商務(wù)辦公室為解決“IT服務(wù)質(zhì)量不佳”的問(wèn)題，逐步提出和完善了一整套對(duì)IT服務(wù)的質(zhì)量進(jìn)行評(píng)估的方法體系。

（2）COBIT，（Control Objectives for Information and related Technology）：信息和相關(guān)技術(shù)的控制目標(biāo)。它是由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)，于1996年推出的用于IT審計(jì)的知識(shí)體系。作為IT治理的核心模型，其包括34個(gè)信息技術(shù)過(guò)程控制，并歸集為IT規(guī)劃和組織、系統(tǒng)獲得和實(shí)施、交付與支持以及信息系統(tǒng)運(yùn)行性能監(jiān)控4個(gè)領(lǐng)域。目前COBIT是國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)。

（3）BS 7799（ISO/IEC17799）：國(guó)際信息安全管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國(guó)國(guó)家標(biāo)準(zhǔn)BS 7799而來(lái)的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由10個(gè)獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。該體系主要解決企業(yè)的信息安全管理上的問(wèn)題，為企業(yè)提供了一個(gè)完整的管理框架，不斷改進(jìn)信息安全管理水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。

（4）PRINCE2（Projects In Controlled Environments）是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對(duì)具體項(xiàng)目的管理，還覆蓋了在組織范圍對(duì)項(xiàng)目的管理。

3、常見(jiàn)的信息系統(tǒng)開發(fā)方法，對(duì)其中的一到兩種展開說(shuō)明？

答：常見(jiàn)的信息系統(tǒng)開發(fā)方法有軟件開發(fā)生命周期法、原型法、面向?qū)ο蠓ā⒂?jì)算機(jī)輔助開發(fā)方法、基于組件的開發(fā)方法、基于Web應(yīng)用開發(fā)方法。以下對(duì)軟件開發(fā)生命周期法進(jìn)行

說(shuō)明。

軟件開發(fā)生命周期法（Software Development Life Cycle，SDLC）是系統(tǒng)分析員和系統(tǒng)開發(fā)者常用的軟件開發(fā)方法。軟件開發(fā)生命周期法能夠生產(chǎn)高質(zhì)量的軟件，滿足業(yè)務(wù)和用戶的需求，在開發(fā)進(jìn)度和成本控制下進(jìn)行軟件開發(fā)生產(chǎn)，是一種有效保證成本，提高效益的軟件開發(fā)方法。通過(guò)應(yīng)用傳統(tǒng)的SDLC方法，已經(jīng)成功開發(fā)出了大量的業(yè)務(wù)應(yīng)用系統(tǒng)。其各個(gè)階段及其基本內(nèi)容如下：

1、第一階段——可行性研究。確定實(shí)施系統(tǒng)在提高生產(chǎn)效率或未來(lái)降低成本方面的戰(zhàn)略利

益，確定和量化新系統(tǒng)可以節(jié)約的成本，評(píng)價(jià)新系統(tǒng)的成本回收期。

2、第二階段——需求定義。一是定義需要解決的問(wèn)題，二是定義所需的解決方案及方案應(yīng)

當(dāng)具有的功能和質(zhì)量要求。該階段還要確定是采用定制開發(fā)的方法還是供應(yīng)商提供的軟件包。

3、第三階段A——系統(tǒng)設(shè)計(jì)（當(dāng)決定自行開發(fā)軟件時(shí)）。以需求定義為基礎(chǔ)，建立一個(gè)系

統(tǒng)基線和子系統(tǒng)的規(guī)格說(shuō)明，以描述系統(tǒng)功能如何實(shí)現(xiàn)，各個(gè)部分之間接口如何定義，系統(tǒng)如何使用已選擇的硬件、軟件和網(wǎng)絡(luò)設(shè)施等。

4、第三階段B——系統(tǒng)獲取（當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。以需求定義為基礎(chǔ)，向軟件供

應(yīng)商發(fā)出請(qǐng)求建議書（RFP）。商品軟件的選擇要從多方面進(jìn)行考慮。

5、第四階段A——系統(tǒng)開發(fā)（當(dāng)決定自行開發(fā)軟件時(shí)）。使用系統(tǒng)設(shè)計(jì)說(shuō)明書來(lái)設(shè)計(jì)編程

和實(shí)現(xiàn)系統(tǒng)過(guò)程。在這個(gè)階段，要進(jìn)行各個(gè)層次的測(cè)試，以驗(yàn)證和確認(rèn)開發(fā)的系統(tǒng)。

6、第四階段B——系統(tǒng)配置（當(dāng)決定購(gòu)買現(xiàn)成軟件包時(shí)）。如果決定選用商品化的軟件包

時(shí)，需要按照企業(yè)的需求進(jìn)行系統(tǒng)客戶化工作，對(duì)系統(tǒng)進(jìn)行剪裁。這種剪裁最好是通過(guò)配置系統(tǒng)參數(shù)來(lái)實(shí)現(xiàn)，而不是通過(guò)修改程序源代碼。

7、第五階段——系統(tǒng)實(shí)施。這個(gè)階段是在最終用戶驗(yàn)收測(cè)試完成、用戶簽署正式文件后進(jìn)

行。系統(tǒng)還需要通過(guò)一些認(rèn)證和鑒定過(guò)程，來(lái)評(píng)價(jià)應(yīng)用系統(tǒng)的有效性。

8、第六階段——實(shí)施后維護(hù)。隨著一個(gè)新系統(tǒng)或徹底修改的系統(tǒng)的成功實(shí)施，應(yīng)當(dāng)建立正

式的程序來(lái)評(píng)估系統(tǒng)的充分性和評(píng)價(jià)成本效益或投資回報(bào)。這樣可為后續(xù)的系統(tǒng)開發(fā)項(xiàng)目管理提供改進(jìn)意見(jiàn)。

當(dāng)一個(gè)項(xiàng)目的需求穩(wěn)定、定義準(zhǔn)確時(shí)，生命周期法使用起來(lái)最有效，改方法適用于在開發(fā)工作的早期建立總體的系統(tǒng)構(gòu)架。

4、IT服務(wù)管理的定義，包括哪些內(nèi)容？

答：（1）IT服務(wù)管理（IT Service Management，ITSM）有以下兩種使用比較廣泛的定義：

1、IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法。它通過(guò)整合IT服務(wù)于企業(yè)業(yè)

務(wù)，提高了企業(yè)的IT服務(wù)提供和服務(wù)支持的能力和水平。

2、IT服務(wù)管理是一套通過(guò)SLA（服務(wù)級(jí)別協(xié)議）來(lái)保證IT服務(wù)質(zhì)量的協(xié)同流程。它融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開發(fā)管理等管理活動(dòng)以及變更管理、資產(chǎn)管理、問(wèn)題管理等許多流程理論和實(shí)踐。

（2）ITIL主題框架包括6個(gè)主要模塊，即服務(wù)管理、業(yè)務(wù)管理、ICT（信息與通信技術(shù)）基礎(chǔ)設(shè)施管理、貫穿業(yè)務(wù)和IT基礎(chǔ)設(shè)施的應(yīng)用管理、IT服務(wù)管理實(shí)施規(guī)劃和集中的安全管理。

08信息2班0804100229徐怡

第四篇：信息系統(tǒng)審計(jì)工作制度

信息系統(tǒng)審計(jì)工作

今天，信息系統(tǒng)已成為企業(yè)業(yè)務(wù)處理的中樞，信息系統(tǒng)的可靠、安全、效率左右著企業(yè)的命運(yùn)。企業(yè)不僅要在內(nèi)部設(shè)立信息系統(tǒng)審計(jì)部門，實(shí)施內(nèi)部審計(jì)，還必須委托外部信息系統(tǒng)審計(jì)師站在第三方的客觀立場(chǎng)對(duì)信息系統(tǒng)進(jìn)行全面的檢查與評(píng)價(jià)。要實(shí)施獨(dú)立的信息系統(tǒng)審計(jì)，確立信息系統(tǒng)審計(jì)制度是十分重要的。

因此，為了規(guī)范部門內(nèi)部工作流程和質(zhì)量控制，協(xié)助其他部門了解信息系統(tǒng)審計(jì)部門的業(yè)務(wù)支持范圍、工作內(nèi)容及工作流程，促進(jìn)部門間就項(xiàng)目中設(shè)計(jì)的信息系統(tǒng)審計(jì)業(yè)務(wù)范圍進(jìn)行有效溝通，協(xié)調(diào)項(xiàng)目工作計(jì)劃的界定和質(zhì)量管理，避免因項(xiàng)目中工作職責(zé)和工作范圍界定不明確而降低審計(jì)工作的效率和效果，特制訂此信息系統(tǒng)審計(jì)制度。

本制度主要內(nèi)容包括信息系統(tǒng)審計(jì)部門應(yīng)何時(shí)介入企業(yè)進(jìn)行信息系統(tǒng)審計(jì)工作，為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持的工作范圍及本部門其他的工作職責(zé)范圍，信息系統(tǒng)審計(jì)的工作程序及方法，以及信息系統(tǒng)審計(jì)對(duì)客戶能夠達(dá)成的效果等，特作以下介紹說(shuō)明。

一、信息系統(tǒng)審計(jì)何時(shí)介入

信息系統(tǒng)審計(jì)（IT Audit）是信息系統(tǒng)鑒證業(yè)務(wù)中的一種。信息系統(tǒng)審計(jì)是根據(jù)業(yè)務(wù)和信息控制目標(biāo)，針對(duì)信息系統(tǒng)環(huán)境內(nèi)設(shè)定的控制，通過(guò)搜集和評(píng)估審計(jì)證據(jù)，對(duì)信息系統(tǒng)控制的有效性發(fā)表結(jié)論或意見(jiàn)的過(guò)程。

信息系統(tǒng)審計(jì)有四個(gè)層面：

1.它的目的是對(duì)信息系統(tǒng)控制的有效性發(fā)表評(píng)估結(jié)論或?qū)徲?jì)意見(jiàn)。有效性包括控制設(shè)計(jì)的有效性和執(zhí)行有效性；

2.它的對(duì)象是信息系統(tǒng)環(huán)境中的各種控制流程或機(jī)制，包括IT 一般控制和應(yīng)用控制；3）

3.它的內(nèi)容是搜集和評(píng)估審計(jì)證據(jù)；

4.它的依據(jù)是業(yè)務(wù)控制目標(biāo)，比如系統(tǒng)是否有效實(shí)施控制保證財(cái)務(wù)軟件計(jì)算的固定資產(chǎn)折舊程序是否準(zhǔn)確。通過(guò)執(zhí)行信息系統(tǒng)審計(jì)，可以協(xié)助財(cái)務(wù)審計(jì)團(tuán)隊(duì)了解和評(píng)價(jià)信息系統(tǒng)的可靠性和安全性及財(cái)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。

財(cái)務(wù)審計(jì)團(tuán)隊(duì)在財(cái)務(wù)審計(jì)業(yè)務(wù)計(jì)劃階段，需對(duì)客戶的信息系統(tǒng)環(huán)境進(jìn)行調(diào)查，若客戶的信息系統(tǒng)環(huán)境評(píng)估結(jié)果為復(fù)雜時(shí)，需邀請(qǐng)信息系統(tǒng)審計(jì)人員介入共同探討審計(jì)計(jì)劃，根據(jù)業(yè)務(wù)系統(tǒng)的復(fù)雜度、實(shí)體業(yè)務(wù)性質(zhì)、財(cái)務(wù)審計(jì)團(tuán)隊(duì)人員的技能和知識(shí)、業(yè)務(wù)處理本質(zhì)（如：是否為高度自動(dòng)化）、交易數(shù)量及信息系統(tǒng)的管理方式（如：若信息系統(tǒng)由第三方管理，則需考慮是否需要SAS70或者相關(guān)的報(bào)告）確定信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù)范圍，并在信息系統(tǒng)審計(jì)計(jì)劃中以書面的形式記錄業(yè)務(wù)約定。若客戶的信息系統(tǒng)環(huán)境評(píng)估結(jié)果為不復(fù)雜時(shí)，信息系統(tǒng)審計(jì)工作可由審計(jì)團(tuán)隊(duì)完成，必要時(shí)信息系統(tǒng)審計(jì)團(tuán)隊(duì)可以提供知識(shí)和技術(shù)的支持和咨詢服務(wù)。

其中，若在計(jì)劃審計(jì)程序階段或者審計(jì)過(guò)程中了解到客戶業(yè)務(wù)處理過(guò)程高度自動(dòng)化（如：銀行，保險(xiǎn)，電信，和零售業(yè)等高度依賴電算化的企業(yè)環(huán)境和特定行業(yè)高度依賴信息系統(tǒng)處理業(yè)務(wù)），僅僅執(zhí)行實(shí)質(zhì)性程序無(wú)法提供足夠的審計(jì)證據(jù)時(shí)，在約定信息系統(tǒng)審計(jì)業(yè)務(wù)服務(wù)范圍時(shí)，需考慮同時(shí)包括應(yīng)用控制審計(jì)及其他可以輔助財(cái)務(wù)審計(jì)團(tuán)隊(duì)確認(rèn)交易的真實(shí)性、完整性、準(zhǔn)確性、截止性的審計(jì)程序。

在約定信息系統(tǒng)審計(jì)是否介入時(shí)，需要考慮如下因素：

?系統(tǒng)的復(fù)雜性；

? ?業(yè)務(wù)的本質(zhì)；

? ?財(cái)務(wù)審計(jì)團(tuán)隊(duì)的技能和知識(shí)；

? ?系統(tǒng)的位置（例如，如果包含一個(gè)服務(wù)組織，SAS70或相關(guān)的報(bào)告能否被使用）；

? ?處理的本質(zhì)（例如高度自動(dòng)化）和交易的數(shù)量。

在評(píng)估信息系統(tǒng)是否復(fù)雜時(shí)，我們認(rèn)為以下特征是復(fù)雜信息系統(tǒng)的指標(biāo)：

?客戶實(shí)施編程和/或開發(fā)；

?信息系統(tǒng)處理過(guò)程高度自動(dòng)化，很少或者沒(méi)有人工干預(yù)；

?不同的系統(tǒng)接口；

?信息系統(tǒng)使用批處理（計(jì)劃任務(wù)）；

?實(shí)施了新系統(tǒng)或者系統(tǒng)間進(jìn)行了轉(zhuǎn)換；

?使用了單點(diǎn)登錄（SSO）或者集中權(quán)限管理（CRM）系統(tǒng)。

二、信息系統(tǒng)審計(jì)業(yè)務(wù)范圍

信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。信息系統(tǒng)審計(jì)業(yè)務(wù)范圍包括：

（一）為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持；

（二）支持企業(yè)內(nèi)部控制審計(jì)；

（三）開展獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)；

（四）對(duì)信息系統(tǒng)控制及安全方面提供獨(dú)立建議的咨詢服務(wù)。

（一）為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持

信息系統(tǒng)審計(jì)業(yè)務(wù)為財(cái)務(wù)審計(jì)提供合理保證，其提供的支持服務(wù)內(nèi)容包括：

1.信息系統(tǒng)一般控制：

?IT控制環(huán)境/關(guān)鍵職責(zé)分離；

?主要業(yè)務(wù)和財(cái)務(wù)系統(tǒng)的開發(fā)以及程序變更管理；

?IT系統(tǒng)運(yùn)維管理，如數(shù)據(jù)批處理、數(shù)據(jù)備份、數(shù)據(jù)中心維護(hù)；

?業(yè)務(wù)和財(cái)務(wù)系統(tǒng)環(huán)境中關(guān)鍵的信息安全和權(quán)限控制管理，包括用戶賬戶和授權(quán)管理、應(yīng)用系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全、操作系統(tǒng)安全、和網(wǎng)絡(luò)安全。

2.應(yīng)用控制：

支持重要業(yè)務(wù)流程的各應(yīng)用和接口系統(tǒng)中固化在程序中的關(guān)鍵控制點(diǎn)。這要根據(jù)財(cái)務(wù)審計(jì)團(tuán)隊(duì)確定的業(yè)務(wù)流程而定。比如銷售、采購(gòu)、庫(kù)存、應(yīng)收、應(yīng)付、總賬、資金、電子商務(wù)、銀行存貸等。

3.根據(jù)業(yè)務(wù)復(fù)雜性確定的其他控制：

如根據(jù)重大賬戶余額，交易類型或披露事項(xiàng)的重大錯(cuò)報(bào)風(fēng)險(xiǎn)的評(píng)估結(jié)果，對(duì)依賴于計(jì)算機(jī)生成的信息執(zhí)行信息（CGI）控制測(cè)試，計(jì)算機(jī)輔助審計(jì)（CAATs）測(cè)試，會(huì)計(jì)分錄測(cè)試（JET）等。

（二）支持企業(yè)內(nèi)部控制審計(jì)

信息系統(tǒng)審計(jì)對(duì)企業(yè)的內(nèi)部控制審計(jì)提供支持，對(duì)特定基準(zhǔn)日內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行審計(jì)，其主要內(nèi)容包括：

1.恰當(dāng)?shù)赜?jì)劃內(nèi)部控制審計(jì)工作；

2.實(shí)施審計(jì)工作，評(píng)價(jià)內(nèi)部控制是否可以應(yīng)對(duì)舞弊風(fēng)險(xiǎn)，測(cè)試內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性；

3.評(píng)價(jià)企業(yè)內(nèi)部控制缺陷，按其影響程度分為重大缺陷、重要缺陷和一般缺陷；

4.獲取充分、適當(dāng)?shù)淖C據(jù)，為在內(nèi)部控制審計(jì)中對(duì)內(nèi)部控制有效性發(fā)表意見(jiàn)和對(duì)控制風(fēng)險(xiǎn)結(jié)果評(píng)估提供支持。

（三）開展獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)

獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)是通過(guò)實(shí)施信息系統(tǒng)審計(jì)工作，對(duì)公司、機(jī)構(gòu)或組織是否達(dá)成信息技術(shù)管理目標(biāo)進(jìn)行綜合評(píng)價(jià)，并基于評(píng)價(jià)意見(jiàn)提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達(dá)成公司、機(jī)構(gòu)或組織的信息技術(shù)管理目標(biāo)。

獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)也可通過(guò)實(shí)施信息系統(tǒng)審計(jì)工作來(lái)對(duì)公司、機(jī)構(gòu)或組織所提供的專業(yè)化服務(wù)（如電子商務(wù)、人力資源與薪酬管理外包、在線數(shù)據(jù)備份等）進(jìn)行綜合評(píng)價(jià)從而達(dá)到以下目標(biāo)：

1.判斷一切與該公司、機(jī)構(gòu)或組織所提供的專業(yè)化服務(wù)相關(guān)的流程、操作及管理是否合乎行業(yè)標(biāo)準(zhǔn)；

2.保障使用此類專業(yè)服務(wù)的公司或個(gè)人的信息安全性；

3.基于評(píng)價(jià)意見(jiàn)提出整改建議，從而幫助此類專業(yè)服務(wù)提供商更好地拓展市場(chǎng)與開放客戶群體。

信息系統(tǒng)審計(jì)部門能夠?yàn)榭蛻籼峁┑莫?dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)內(nèi)容包括：

?企業(yè)信息系統(tǒng)控制合規(guī)審計(jì)報(bào)告；

?企業(yè)信息系統(tǒng)運(yùn)行和控制系統(tǒng)設(shè)計(jì)及評(píng)估；

?企業(yè)薩班斯法案審計(jì)服務(wù)；

?其他。

其目的是保證其信息技術(shù)戰(zhàn)略充分反映該組織的業(yè)務(wù)戰(zhàn)略目標(biāo)，提高公司、機(jī)構(gòu)或組織所依賴的信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)處理的完整性和準(zhǔn)確性，提高信息系統(tǒng)運(yùn)行的效果與效率，合理保證信息系統(tǒng)的運(yùn)行符合法律法規(guī)及監(jiān)管的相關(guān)要求。

（四）對(duì)信息系統(tǒng)控制及安全方面提供獨(dú)立建議的咨詢服務(wù)

信息系統(tǒng)咨詢業(yè)務(wù)是指結(jié)合信息系統(tǒng)安全、企業(yè)內(nèi)部控制管理與外部審計(jì)等多方面的專業(yè)知識(shí)，提供與信息安全相關(guān)的信息化建設(shè)、信息安全診斷、信息技術(shù)認(rèn)證及ERP系統(tǒng)相關(guān)的咨詢業(yè)務(wù)。

信息系統(tǒng)審計(jì)部門能夠?yàn)榭蛻籼峁┑莫?dú)立的信息系統(tǒng)咨詢業(yè)務(wù)內(nèi)容包括：

?企業(yè)信息系統(tǒng)戰(zhàn)略策劃和評(píng)估；

?企業(yè)信息系統(tǒng)執(zhí)行及項(xiàng)目管理監(jiān)理咨詢；

?企業(yè)信息系統(tǒng)安全評(píng)估；

?企業(yè)薩班斯法案咨詢服務(wù)；

?企業(yè)專業(yè)服務(wù)系統(tǒng)的行業(yè)評(píng)估；

?其他。

三、信息系統(tǒng)審計(jì)程序

（一）信息系統(tǒng)審計(jì)一般程序

審計(jì)程序一般可分為四個(gè)階段，即準(zhǔn)備階段、實(shí)施階段、審計(jì)結(jié)論和執(zhí)行階段、異議和復(fù)審階段。信息系統(tǒng)審計(jì)也可分為這四個(gè)階段，同時(shí)結(jié)合自身的特殊要求，運(yùn)用本身特有的方法，對(duì)信息系統(tǒng)進(jìn)行評(píng)價(jià)。

1.準(zhǔn)備階段

初步調(diào)查被審計(jì)單位信息系統(tǒng)基本狀況，擬定科學(xué)合理的計(jì)劃，一般應(yīng)包括以下主要工作：

（1）調(diào)查了解被審計(jì)單位信息系統(tǒng)的基本情況，如信息系統(tǒng)的硬件配置、系統(tǒng)軟件的選用、應(yīng)用軟件的范圍、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的管理結(jié)構(gòu)和職能分工、文檔資料等，調(diào)查完成后將審前調(diào)查情況記錄下來(lái)。

（2）提前三天送達(dá)審計(jì)通知書，要求被審計(jì)單位對(duì)所提供資料的真實(shí)性、完整性作出書面承諾，明確彼此的責(zé)任、權(quán)利和義務(wù)。

（3）初步評(píng)價(jià)被審計(jì)單位的內(nèi)部控制制度，以便確定符合性測(cè)試的范圍和重點(diǎn)。

（4）確定審計(jì)重要性、確定審計(jì)范圍。

（5）分析審計(jì)風(fēng)險(xiǎn)。

（6）制定審計(jì)實(shí)施方案。在審計(jì)實(shí)施方案中除了對(duì)時(shí)間、人員、工作步驟及任務(wù)分配等方面作出安排以外，還要合理確定符合性測(cè)試、實(shí)質(zhì)性測(cè)試的時(shí)間和范圍，以及測(cè)試時(shí)的審計(jì)方法和測(cè)試數(shù)據(jù)。

在安排利用計(jì)算機(jī)輔助審計(jì)時(shí)，還需列出所選用的通用軟件或?qū)Ｓ密浖?duì)于復(fù)雜的信息系統(tǒng)，也可聘請(qǐng)專家，但必須明確審計(jì)人員的責(zé)任。

2.實(shí)施階段

實(shí)施階段是審計(jì)工作的核心，也是信息系統(tǒng)審計(jì)的核心。主要工作是根據(jù)準(zhǔn)備階段確定的范圍、要點(diǎn)、步驟、方法，進(jìn)行取證、評(píng)價(jià)，綜合審計(jì)證據(jù)，借以形成審計(jì)結(jié)論，發(fā)表審計(jì)意見(jiàn)。實(shí)施階段的主要工作應(yīng)包括以下兩個(gè)方面的內(nèi)容：

（1）符合性測(cè)試。進(jìn)行符合性測(cè)試應(yīng)以系統(tǒng)安全可靠性的檢查結(jié)果為前提。如果系統(tǒng)安全可靠性非常差，不值得審計(jì)人員信賴，則應(yīng)當(dāng)根據(jù)實(shí)際情況決定是否取消內(nèi)控制度的符合性測(cè)試，而直接進(jìn)行實(shí)質(zhì)性測(cè)試并加大實(shí)質(zhì)性測(cè)試的樣本量。在信息系統(tǒng)的符合性測(cè)試項(xiàng)目中，主要內(nèi)容應(yīng)該是確認(rèn)輸入資料是否正確完整，計(jì)算機(jī)處理過(guò)程是否符合要求。如果系統(tǒng)安全可靠性比較高，則應(yīng)對(duì)該系統(tǒng)給予較高的信賴，在實(shí)質(zhì)性測(cè)試時(shí)，就可以相應(yīng)地減少實(shí)質(zhì)性測(cè)試的樣本量。

（2）實(shí)質(zhì)性測(cè)試。實(shí)質(zhì)性測(cè)試應(yīng)該是對(duì)被審計(jì)單位信息系統(tǒng)的程序、數(shù)據(jù)、文件進(jìn)行測(cè)試，并根據(jù)測(cè)試結(jié)果進(jìn)行評(píng)價(jià)和鑒定。進(jìn)行實(shí)質(zhì)性測(cè)試須依賴于符合性測(cè)試的結(jié)果，如果符合性測(cè)試結(jié)果得出的審計(jì)風(fēng)險(xiǎn)偏高，而且被審計(jì)單位有利用信息系統(tǒng)進(jìn)行舞弊的動(dòng)機(jī)與可能，并且被審計(jì)單位又不能提供完整的會(huì)計(jì)文字資料，此時(shí)審計(jì)人員應(yīng)考慮對(duì)會(huì)計(jì)報(bào)表發(fā)表保留意見(jiàn)或拒絕表示意見(jiàn)的審計(jì)報(bào)告。進(jìn)行實(shí)質(zhì)性測(cè)試時(shí)，可考慮采用通過(guò)計(jì)算機(jī)和利用計(jì)算機(jī)進(jìn)行審計(jì)的方法，具體包括：

①測(cè)試數(shù)據(jù)法：就是將測(cè)試數(shù)據(jù)或模擬數(shù)據(jù)分別由審計(jì)人員進(jìn)行手工核算和被審計(jì)單位信息系統(tǒng)進(jìn)行處理，比較處理結(jié)果，作出評(píng)價(jià)；

②受控處理法：就是選擇被審計(jì)單位一定時(shí)期（最好是12月份）實(shí)際業(yè)務(wù)的數(shù)據(jù)分別由審計(jì)人員和會(huì)計(jì)電算化系統(tǒng)同時(shí)處理，比較結(jié)果，作出評(píng)價(jià)。

（3）利用輔助審計(jì)軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件。審計(jì)人員可利用現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)軟件（AO）直接對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)轉(zhuǎn)換，數(shù)據(jù)查詢，抽樣審計(jì)，查賬，賬務(wù)分析等測(cè)試，得出結(jié)論，作出評(píng)價(jià)。

3.審計(jì)結(jié)論和執(zhí)行階段

審計(jì)人員對(duì)信息系統(tǒng)進(jìn)行符合性測(cè)試和實(shí)質(zhì)性測(cè)試后，整理審計(jì)工作底稿，編制審計(jì)報(bào)告時(shí)，除對(duì)被審單位會(huì)計(jì)報(bào)表的合理性、公允性發(fā)表意見(jiàn)，作出審計(jì)結(jié)論外，還要對(duì)被審單位信息系統(tǒng)的處理功能和內(nèi)部控制進(jìn)行評(píng)價(jià)，并提出改進(jìn)意見(jiàn)。

審計(jì)報(bào)告完成后，先要征求被審單位的意見(jiàn)，并報(bào)送審計(jì)機(jī)關(guān)和有關(guān)部門。審計(jì)報(bào)告一經(jīng)審定，所作的審計(jì)結(jié)論和決定需通知并監(jiān)督被審單位執(zhí)行。

4.異議和復(fù)審階段

被審單位對(duì)審計(jì)結(jié)論和決定若有異議，可提出復(fù)審要求，審計(jì)部門可組織復(fù)審并作出復(fù)審結(jié)論和決定。特別是被審單位信息系統(tǒng)有了新的改進(jìn)時(shí)，還需組織后續(xù)審計(jì)。

（二）信息系統(tǒng)審計(jì)協(xié)調(diào)程序

為財(cái)務(wù)審計(jì)團(tuán)隊(duì)提供信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù)前，為了合理安排信息系統(tǒng)審計(jì)工作計(jì)劃，財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人與信息系統(tǒng)審計(jì)部門應(yīng)執(zhí)行下列協(xié)調(diào)程序：

1.財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人在制定當(dāng)年審計(jì)計(jì)劃時(shí)應(yīng)考慮所需信息系統(tǒng)審計(jì)部門進(jìn)行審計(jì)支持的內(nèi)容與實(shí)行時(shí)間；

2.財(cái)務(wù)審計(jì)項(xiàng)目負(fù)責(zé)人提前在9月底將所需信息系統(tǒng)審計(jì)時(shí)間告知信息系統(tǒng)審計(jì)部門，與信息系統(tǒng)審計(jì)部門討論確定服務(wù)內(nèi)容，預(yù)約部門成員；

3.信息系統(tǒng)審計(jì)部門搜集所有信息系統(tǒng)審計(jì)需求，按照項(xiàng)目時(shí)間安排信息系統(tǒng)審計(jì)人員工作計(jì)劃，并與財(cái)務(wù)審計(jì)項(xiàng)目團(tuán)隊(duì)、客戶協(xié)調(diào)；

4.信息系統(tǒng)審計(jì)部門及時(shí)完成外勤工作、底稿編制和底稿審核，并把結(jié)論書面告知財(cái)務(wù)審計(jì)項(xiàng)目團(tuán)隊(duì)，并與財(cái)務(wù)審計(jì)團(tuán)隊(duì)對(duì)信息系統(tǒng)審計(jì)部門的最后結(jié)論達(dá)成口頭或書面共識(shí)；

5.信息系統(tǒng)審計(jì)部門將按照事務(wù)所要求歸檔、保管底稿。

其他信息系統(tǒng)項(xiàng)目的工作計(jì)劃參照上述信息系統(tǒng)審計(jì)業(yè)務(wù)支持服務(wù)，與相關(guān)方及時(shí)溝通制定審計(jì)計(jì)劃，在制定的項(xiàng)目時(shí)間內(nèi)完成工作。

（三）信息系統(tǒng)審計(jì)結(jié)果報(bào)告程序

信息系統(tǒng)審計(jì)部門實(shí)施信息系統(tǒng)審計(jì)的計(jì)劃、程序、證據(jù)、結(jié)論等底稿都會(huì)按照相應(yīng)的審計(jì)準(zhǔn)則進(jìn)行記錄和保存。

1.在財(cái)務(wù)審計(jì)系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估當(dāng)中，信息系統(tǒng)審計(jì)部門不會(huì)出具某種審計(jì)報(bào)告，而是出具評(píng)估結(jié)論，一般以底稿備忘錄的形式提交給財(cái)務(wù)審計(jì)團(tuán)隊(duì)。該備忘錄總結(jié)信息系統(tǒng)審計(jì)中評(píng)估的范圍、方法、時(shí)間/區(qū)間、結(jié)論、重大控制缺陷或風(fēng)險(xiǎn)點(diǎn)等內(nèi)容。

2.在獨(dú)立的信息系統(tǒng)審計(jì)業(yè)務(wù)和咨詢業(yè)務(wù)中，會(huì)出具獨(dú)立的審計(jì)報(bào)告。報(bào)告將以事務(wù)所名義簽發(fā)。

第五篇：信息系統(tǒng)審計(jì)方法淺談

信息系統(tǒng)審計(jì)方法淺談

隨著當(dāng)前信息技術(shù)的發(fā)展，地方各級(jí)資金管理部門投入大量資金，開發(fā)了各種各樣的信息系統(tǒng)軟件，用于管理資金或?qū)嵭袝?huì)計(jì)電算化，信息系統(tǒng)的建設(shè)的合法性、軟件開發(fā)的規(guī)范性、系統(tǒng)運(yùn)行的安全性以及程序設(shè)置合規(guī)性等問(wèn)題，成為審計(jì)關(guān)注的重點(diǎn)，開展信息系統(tǒng)審計(jì)成為審計(jì)機(jī)關(guān)避免“假賬真審”、降低審計(jì)風(fēng)險(xiǎn)題中應(yīng)有之義。

信息系統(tǒng)審計(jì)主要目標(biāo)是確認(rèn)信息系統(tǒng)的合法性、可靠性、機(jī)密性、有效性和安全性等，通過(guò)審查信息系統(tǒng)的運(yùn)行狀況，發(fā)現(xiàn)信息系統(tǒng)在使用和管理過(guò)程中存在的問(wèn)題，確定是否存在漏洞和缺陷，有無(wú)非法和錯(cuò)誤的處理和控制的薄弱環(huán)節(jié)，客觀評(píng)價(jià)系統(tǒng)的現(xiàn)狀，促進(jìn)被審計(jì)調(diào)查單位進(jìn)一步加強(qiáng)信息系統(tǒng)管理，完善信息系統(tǒng)功能，保證資金的安全與完整，防范利用計(jì)算機(jī)系統(tǒng)進(jìn)行欺詐與舞弊，并提出具有建設(shè)性的建議。

信息系統(tǒng)審計(jì)重點(diǎn)內(nèi)容主要有以下三個(gè)方面：

一、信息系統(tǒng)運(yùn)行方面，主要包括：

1、系統(tǒng)安全性，審查信息系統(tǒng)的物理安全性，是否可以有效防止被非法使用，相關(guān)安全制度是否齊全，機(jī)房進(jìn)出是否執(zhí)行登記制度等；中心機(jī)房是否建設(shè)為標(biāo)準(zhǔn)機(jī)房，電源是否為單獨(dú)供電或雙路供電并配備UPS電源，服務(wù)器是否配置機(jī)柜；機(jī)房?jī)?nèi)是否擺放紙箱等可燃物品，墻體地板、天花等是否按防火標(biāo)準(zhǔn)建設(shè)或改造，是否配備防雷設(shè)施，地板是否經(jīng)過(guò)防火、防靜電處理，配備防靜電設(shè)施；是否建有磁帶庫(kù)、虛擬帶庫(kù)等系統(tǒng)以備份系統(tǒng)數(shù)據(jù)，是否建有冗災(zāi)備份系統(tǒng)，以確保數(shù)據(jù)信息安全。

2、系統(tǒng)可靠性，審查硬件、軟件是否有效能夠保證業(yè)務(wù)的正常運(yùn)行，操作系統(tǒng)和數(shù)據(jù)庫(kù)是否為正版軟件并及時(shí)更新，數(shù)據(jù)庫(kù)是否能夠滿足運(yùn)行需要，系統(tǒng)是否存在漏洞，是否易受病毒、木馬、黑客等攻擊，導(dǎo)致數(shù)據(jù)丟失、篡改等；殺毒軟件病毒庫(kù)及防火墻是否及時(shí)更新。

3、系統(tǒng)機(jī)密性，審查數(shù)據(jù)訪問(wèn)權(quán)限的保密性，是否存在數(shù)據(jù)被非法用戶訪問(wèn)，不相容的權(quán)限是否設(shè)置單選或者禁用，是否存在同時(shí)操作前臺(tái)和后臺(tái)，既能辦理業(yè)務(wù)，又能審核業(yè)務(wù)等，隱私數(shù)據(jù)的保密是否有力；操作系統(tǒng)及數(shù)據(jù)庫(kù)是否加密存儲(chǔ)用戶口令，系統(tǒng)日志是否保留用戶登錄、操作系統(tǒng)模塊和業(yè)務(wù)模塊的相關(guān)信息；是否存在大量共享文件夾及文件，導(dǎo)致系統(tǒng)安全風(fēng)險(xiǎn)。

4、系統(tǒng)合法性，審查信息系統(tǒng)的開發(fā)、管理、運(yùn)營(yíng)是否符合法律、法規(guī)、規(guī)章的規(guī)定。重要信息是否為必填項(xiàng)或符合規(guī)范錄入要求。

5、系統(tǒng)效益性，查信息化建設(shè)是否堅(jiān)持成本節(jié)約原則，資源的利用是否堅(jiān)持效率性原則，信息系統(tǒng)是否達(dá)到信息化建設(shè)目標(biāo)。

二、信息系統(tǒng)管理方面，主要包括：

1、內(nèi)部控制制度，主要審查信息系統(tǒng)是否建立相關(guān)內(nèi)部控制及實(shí)際執(zhí)行，關(guān)注各個(gè)控制

措施之間的相關(guān)性，業(yè)務(wù)運(yùn)行結(jié)果是否與財(cái)務(wù)數(shù)據(jù)一致，某一控制是否存在補(bǔ)償性或是重疊性的控制。

2、保障措施，主要審查各個(gè)環(huán)節(jié)、各個(gè)業(yè)務(wù)部門之間的聯(lián)接、系統(tǒng)運(yùn)營(yíng)后勤保障、售后服務(wù)合同簽訂及后期實(shí)施情況等，查看是否存在薄弱環(huán)節(jié)，是否能有效保障系統(tǒng)的正常安全運(yùn)行。

三、政策執(zhí)行方面，主要包括：

1、政策執(zhí)行，主要地方政策是否符合中央或省級(jí)政策的有關(guān)條目及法律法規(guī)的規(guī)定。

2、業(yè)務(wù)流程，主要審查信息系統(tǒng)是否嚴(yán)格按照流程進(jìn)行運(yùn)營(yíng)，是否存在漏洞等。信息系統(tǒng)審計(jì)主要采取的方法：

1、座談及現(xiàn)場(chǎng)察看，采取與信息化部門、用戶及相關(guān)人員進(jìn)行座談，查閱與信息系統(tǒng)相關(guān)的文檔、程序等，實(shí)地查看機(jī)房、業(yè)務(wù)終端、器材等。

2、計(jì)算機(jī)輔助審計(jì)，利用AO軟件的查詢、計(jì)算、分類、抽樣選擇、排序、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并等功能進(jìn)行審查。

3、測(cè)試數(shù)據(jù)，通過(guò)測(cè)試數(shù)據(jù)樣本，評(píng)價(jià)信息系統(tǒng)是否能夠正確處理所有業(yè)務(wù)數(shù)據(jù)，是否能夠?qū)μ幚磉^(guò)程實(shí)施一定控制。

4、應(yīng)用程序檢查，檢查系統(tǒng)軟件開發(fā)過(guò)程中是否設(shè)置相應(yīng)控制措施。

5、聘請(qǐng)計(jì)算機(jī)專家，為審計(jì)師提供指導(dǎo)及其他有價(jià)值的信息。

6、整體測(cè)試，在軟件系統(tǒng)內(nèi)置入虛構(gòu)實(shí)體，并以測(cè)試資料或正式資料，針對(duì)該實(shí)體進(jìn)行處理，以驗(yàn)證其正確性。