《初級信息系統(tǒng)審計》-課程教學(xué)大綱

PAGEPAGE14《初級信息系統(tǒng)審計》課程教學(xué)大綱一、課程基本信息課程代碼：17010203課程名稱：初級信息系統(tǒng)審計英文名稱：PrimaryInformationSystemsAudit課程類別：專業(yè)課學(xué)時：48學(xué)分：30適用對象:信息系統(tǒng)審計專業(yè)考核方式：考試先修課程：二、課程簡介1、信息系統(tǒng)審計（初級）是本專業(yè)的基礎(chǔ)性專業(yè)課程，對中高級階段的學(xué)生培養(yǎng)具有重要意義。通過本課程的學(xué)習(xí)，引導(dǎo)學(xué)生對信息系統(tǒng)審計有一定的了解，為后續(xù)中高級的教育打下堅實的框架基礎(chǔ)，讓學(xué)生對以后的職業(yè)生涯有一個清晰的方向，有助于學(xué)生規(guī)劃成長路徑，明確成長過程中需要掌握的知識體系，使學(xué)生向著目標學(xué)、帶著任務(wù)學(xué)、懷著初心學(xué)。2、主要內(nèi)容如下：信息系統(tǒng)審計職能，明確審計團隊的任務(wù)和保持審計獨立性和能力的策略，促成高級管理層執(zhí)行高效IT管理；信息系統(tǒng)審計準則和鑒證標準，傳導(dǎo)客觀、敬業(yè)和職業(yè)審慎執(zhí)行最佳實踐履行職責(zé)的行動要求；信息系統(tǒng)控制目標，通過風(fēng)險分析，幫助審計師識別風(fēng)險；實施信息系統(tǒng)審計，圍繞信息系統(tǒng)控制目標，通過各種審計過程獲得證據(jù)，管理審計過程中形成的各種成果；公司治理和企業(yè)IT治理，理解公司治理對IT的要求，建立合理的戰(zhàn)略規(guī)劃、管理實務(wù)等措施；風(fēng)險管理實務(wù)，明確建立風(fēng)險管理程序的目的，制定和實施風(fēng)險管理職責(zé)、流程等；信息技術(shù)管理實踐，講述各種IS相關(guān)管理活動所涉及的政策和程序的實施情況等。三、課程性質(zhì)與教學(xué)目的1、理解信息系統(tǒng)審計的內(nèi)涵。2、掌握信息系統(tǒng)審計的規(guī)范化流程，包括審計程序、審計技術(shù)與方法等。3、掌握信息系統(tǒng)審計各個方面的審計重點、要點，以及相關(guān)行關(guān)的監(jiān)管要求。4、結(jié)合信息系統(tǒng)相關(guān)行業(yè)審計案例，推動審計經(jīng)驗的積累。通過學(xué)習(xí)，讓學(xué)生認識到我國的信息系統(tǒng)審計尚處于探索階段，還未形成一套成型的專業(yè)規(guī)范，也未建立健全一套適應(yīng)信息系統(tǒng)審計事業(yè)發(fā)展的管理運作機制，同時也缺乏能夠全面開展信息系統(tǒng)審計業(yè)務(wù)的人才隊伍。加強學(xué)生信息系統(tǒng)審計專業(yè)必要性的認識，站在國際高度讓學(xué)生理解中外之間在專業(yè)性方面的差距，激勵學(xué)生愛國強審、科技強國意識的提升，學(xué)習(xí)先進的理論實踐，結(jié)合未來職業(yè)發(fā)展，規(guī)劃個人職業(yè)發(fā)展。四、教學(xué)內(nèi)容及要求第一章信息系統(tǒng)審計職能管理目的與要求管理和引導(dǎo)審計職能的方式應(yīng)能確保審計團隊所執(zhí)行和完成的各項任務(wù)將會實現(xiàn)審計職能目標，同時保持審計獨立性和能力。管理審計職能時確保為促成高級管理層執(zhí)行高效IT管理和達成業(yè)務(wù)目標提供附加價值。教學(xué)內(nèi)容第一節(jié)審計章程審計章程由公司內(nèi)部審計管理部門起草，是為了保證審計活動的獨立性，確定審計部門/人員的地位和作用的一份聲明性文件。什么是審計？為什么要做審計？第二節(jié)審計資源管理資源是有限的，好刀不用會生銹。對信息系統(tǒng)審計師的要求：持續(xù)不斷的學(xué)習(xí)，保持執(zhí)業(yè)資格；具備項目管理能力。對國內(nèi)信息系統(tǒng)審計的嚴峻形勢進行剖析，促進學(xué)生站在國家治理、國家安全的角度思考學(xué)習(xí)的深刻意義，激勵學(xué)生認真學(xué)習(xí)。思考與實踐最佳實踐：每年一次培訓(xùn)；每半年回顧，確保培訓(xùn)與審計內(nèi)容一致；管理層提供必要支持。教學(xué)方法與手段使用多媒體，采用課堂講授、案例引入與討論的教學(xué)形式。第二章信息系統(tǒng)審計的主要內(nèi)容目的與要求信息系統(tǒng)是否能夠保護資產(chǎn)的安全、是否能夠維護數(shù)據(jù)的完整、是否能夠有效地實現(xiàn)既定的目標、是否能夠使資源得到高效地使用等等對企事業(yè)單位而言就顯得非常的重要，信息系統(tǒng)審計應(yīng)運而生。信息系統(tǒng)與手工會計系統(tǒng)不同，它是由會計數(shù)據(jù)體系，計算機硬件和軟件以及系統(tǒng)工作和維護人員組成，所以信息系統(tǒng)的審計內(nèi)容與手工會計系統(tǒng)也存在著較大的差別。教學(xué)內(nèi)容第一節(jié)一般控制審計IT治理、信息系統(tǒng)與基礎(chǔ)設(shè)施生命周期管理、IT服務(wù)交付與服務(wù)支持、信息資產(chǎn)保護、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)。第二節(jié)應(yīng)用控制審計輸入控制、處理程序和控制、輸出控制、業(yè)務(wù)流程保證控制。教學(xué)方法與手段使用多媒體教室，采用課堂講授與案例討論分析的教學(xué)形式。第三章信息系統(tǒng)審計準則和鑒證標準目的與要求遵從并執(zhí)行適當?shù)男畔⑾到y(tǒng)審計準則、程序和控制。按照職業(yè)準則和最佳實踐履行職責(zé)，并做到應(yīng)有的客觀、敬業(yè)和職業(yè)審慎。以誠實、合法的方式為利益相關(guān)者服務(wù)，保持高尚的行為操守及品德，不從事有損執(zhí)業(yè)行為的活動。教學(xué)內(nèi)容第一節(jié)ISACA信息系統(tǒng)審計準則準則主要在IS審計和鑒證標準的應(yīng)用方面提供指導(dǎo)。應(yīng)重點掌握S1審計章程，S2獨立性，S3職業(yè)道德和準則，S5審計計劃，S6審計工作執(zhí)行，S7審計報告。第二節(jié)ISACA信息系統(tǒng)審計指南在確定如何應(yīng)用審計準則時考慮審計指南，在應(yīng)用審計指南時使用職業(yè)判斷，能夠證明任何偏離準則的行為。應(yīng)重點掌握G1使用其他審計師的工作成果，G5審計章程，G8審計文檔，G9對違規(guī)行為的審計考慮，G17非審計角色對信息系統(tǒng)審計師獨立性的影響，G20審計報告，G35追蹤審計。強化良好職業(yè)道德、職業(yè)素養(yǎng)的重要性認識，提高執(zhí)業(yè)能力。思考與實踐最佳實踐：應(yīng)用大于背誦。教學(xué)方法與手段使用多媒體教室，采用課堂講授的教學(xué)形式。第四章信息系統(tǒng)控制目標目的與要求風(fēng)險分析是審計計劃的一部分，幫助信息系統(tǒng)審計師識別風(fēng)險和脆弱性并確定降低風(fēng)險所需的控制。在評估IT相關(guān)的組織業(yè)務(wù)流程時，正確理解風(fēng)險與控制的關(guān)系，對審計師及控制專家來說都是非常重要的。信息系統(tǒng)審計師必須能夠識別與區(qū)分不同的風(fēng)險類型及降低風(fēng)險所使用的控制措施，必須了解常見的業(yè)務(wù)風(fēng)險、相關(guān)技術(shù)風(fēng)險和控制，對業(yè)務(wù)管理人員所使用的風(fēng)險評估和管理方法要能夠做出評價，并對風(fēng)險做出評估以幫助確定重點和制定審計計劃。除了理解業(yè)務(wù)風(fēng)險和控制外，信息系統(tǒng)審計師還必須理解審計程序中存在的風(fēng)險。教學(xué)內(nèi)容第一節(jié)風(fēng)險分析應(yīng)當對這些措施實施成本效益分析，并選擇那些能減緩風(fēng)險至管理層可接受水平的相關(guān)措施。分析過程可基于以下內(nèi)容：比較控制成本與降低風(fēng)險所得的收益；管理層的風(fēng)險偏好(如：管理層準備接受的殘余風(fēng)險水平)；優(yōu)先選用的風(fēng)險降低方法(如：終止風(fēng)險、降低風(fēng)險發(fā)生的可能性、減少影響、通過保險轉(zhuǎn)移風(fēng)險等)。第二節(jié)風(fēng)險分析在審計計劃中的用途幫助審計人員識別風(fēng)險，識別組織所面臨的威脅及對應(yīng)的內(nèi)部控制，審計人員可以根據(jù)風(fēng)險水平選擇擬審計的區(qū)域，幫助審計人員在制訂審計計劃時對控制的評估，幫助審計人員確定審計目標，支持基于風(fēng)險的審計決策。針對金融行業(yè)、政務(wù)相關(guān)信息科技風(fēng)險進行案例剖析，提高風(fēng)險的危機意識以及作為審計人員的責(zé)任意識。思考與實踐信息系統(tǒng)審計師除了要理解業(yè)務(wù)風(fēng)險與控制外，對審計活動本身的風(fēng)險也要有清楚的認識。教學(xué)方法與手段使用多媒體教室，采用課堂講授的教學(xué)形式。第五章實施信息系統(tǒng)審計目的與要求風(fēng)險分析是審計計劃的一部分，幫助信息系統(tǒng)審計師識別風(fēng)險和脆弱性并確定降低風(fēng)險所需的控制。在評估IT相關(guān)的組織業(yè)務(wù)流程時，正確理解風(fēng)險與控制的關(guān)系，對審計師及控制專家來說都是非常重要的。信息系統(tǒng)審計師必須能夠識別與區(qū)分不同的風(fēng)險類型及降低風(fēng)險所使用的控制措施，必須了解常見的業(yè)務(wù)風(fēng)險、相關(guān)技術(shù)風(fēng)險和控制，對業(yè)務(wù)管理人員所使用的風(fēng)險評估和管理方法要能夠做出評價，并對風(fēng)險做出評估以幫助確定重點和制定審計計劃。除了理解業(yè)務(wù)風(fēng)險和控制外，信息系統(tǒng)審計師還必須理解審計程序中存在的風(fēng)險。對重點環(huán)節(jié)的風(fēng)險進行解析，提高審計師風(fēng)險擔(dān)當意識，促進審計師專業(yè)技能的提升，建立良好的職業(yè)素養(yǎng)。教學(xué)內(nèi)容第一節(jié)審計目標獲取充分、恰當?shù)膶徲嬜C據(jù)來得出和支持審計結(jié)論和意見。獲取并記錄對審計對象的了解，風(fēng)險評估和總體審計計劃和安排，詳細審計計劃，初步檢查審計對象，評估審計對象，符合性測試（控制測試），實質(zhì)性測試，溝通結(jié)果并形成最終報告，后續(xù)審計。第二節(jié)審計階段確定審計對象-被審計領(lǐng)域（IT），確定審計目標，決定審計范圍，制定審計計劃，確定收集數(shù)據(jù)的審計程序和步驟，評價測試或檢查結(jié)果，與管理人員溝通，準備審計報告，提交審計報告。第三節(jié)工作底稿工作底稿是指審計人員在審計工作過程中形成的全部審計工作記錄和獲取的資料。它是審計證據(jù)的載體，可作為審計過程和結(jié)果的書面證明，也是形成審計結(jié)論的依據(jù)。具有可追溯行和指示性。工作底稿編寫的注意事項：必須要有日期、編制人、編號和標識，內(nèi)容應(yīng)該相關(guān)、完整、清晰，底稿要及時歸檔保存。審計報告可以視為一種特殊的工作底稿。案例介紹工作底稿質(zhì)量問題的典型表現(xiàn)，提高底稿編制重要性認識，強化底稿復(fù)審觀念。思考與實踐信息系統(tǒng)審計師要理解審計工作的各個階段，對審計活動的符合性測試和實質(zhì)性測試也要有清楚的認識。教學(xué)方法與手段使用多媒體教室，采用課堂講授的教學(xué)形式。第六章公司治理/企業(yè)IT治理目的與要求IT治理是組織中的一種制度安排。目的是為了提高IT績效．降低IT風(fēng)險，有效利用資源。通過本章的學(xué)習(xí)，IS審計師應(yīng)當能理解公司治理對IT的要求，了解組織為完善IT治理，應(yīng)當如何建立合理的戰(zhàn)略規(guī)劃、管理實務(wù)、組織結(jié)構(gòu)、政策程序、職責(zé)機制和監(jiān)督等措施。IT治理知識是IS審計師的工作基礎(chǔ)，也是制定合理的控制實務(wù)與管理層監(jiān)督檢查機制的基礎(chǔ)。教學(xué)內(nèi)容第一節(jié)公司治理整個組織層面的文化、決策和實務(wù)都必須通過公司治理來培養(yǎng)，公司治理被治理層定義為：為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為。第二節(jié)企業(yè)IT治理企業(yè)IT治理（GEIT）是一個系統(tǒng)，在這個系統(tǒng)中，所有的股東，包括董事會、高級管理層、內(nèi)部客戶以及財務(wù)等部門等都會向決策制定流程提供信息或數(shù)據(jù)的輸入。評估、指導(dǎo)和監(jiān)控的流程可以以端到端的方式整合到企業(yè)的流程中去，并對如下方面進行評估、指導(dǎo)和監(jiān)控：績效和一致性；系統(tǒng)的內(nèi)部控制；對外部要求的合規(guī)性。案例解析企業(yè)治理問題導(dǎo)致的相關(guān)風(fēng)險，提高學(xué)生對IT治理重要性的認識。第三節(jié)審計在IT治理中的角色IT治理報告涉及組織最高層次，并且可能是跨區(qū)域、跨職能或跨部門的，對列入計劃的審計項目，應(yīng)當考慮組織現(xiàn)狀及IS審計師技能的適當性，如發(fā)現(xiàn)不足，應(yīng)由適當?shù)墓芾韺觼砜紤]聘用獨立的第三方來管理或執(zhí)行審計。按照IS審計師的既定角色，需要評價與IT治理相關(guān)的以下內(nèi)容：IS職能與組織使命、愿景、價值、目標和戰(zhàn)略的一致性，法律、環(huán)境、信息質(zhì)量、委托、安全和隱私方面的要求，組織的控制環(huán)境，IS環(huán)境的固有風(fēng)險。結(jié)合金融行業(yè)相關(guān)監(jiān)管要求及案例，介紹審計在IT治理中的角色及作用，實現(xiàn)學(xué)生對實踐經(jīng)驗的積累。思考與實踐ISACA提出的用于支持IT治理的框架。它確保了：IT與業(yè)務(wù)目標的一致性、通過IT實現(xiàn)業(yè)務(wù)的利潤最大化、有效地使用IT資源、合理地管理IT風(fēng)險。COBIT采用工具對組織內(nèi)的IT流程進行評估和績效測量。COBIT5包含5個原則、5個領(lǐng)域，37個流程和210個實踐。教學(xué)方法與手段使用多媒體教室，采用課堂講授，案例引入與討論的教學(xué)形式。第七章風(fēng)險管理實務(wù)目的與要求風(fēng)險管理是組織用于識別信息資源的脆弱性及威脅，制定相應(yīng)的對策(安全措施或控制)，以實現(xiàn)組織業(yè)務(wù)目標的過程。任何風(fēng)險，都應(yīng)當基于信息資源對組織的價值，將其降低至可接受水平(如殘余風(fēng)險)。有效的風(fēng)險管理始于清楚地理解組織的風(fēng)險偏好。在IT環(huán)境下，風(fēng)險偏好推動所有的風(fēng)險管理工作，影響未來的技術(shù)投資，IT資產(chǎn)的保護程度及所需的保證水平。風(fēng)險管理包括識別、分析、評估、處置、監(jiān)督和溝通IT流程的風(fēng)險影響。一旦確定了風(fēng)險偏好與風(fēng)險承受能力，就可以制定風(fēng)險管理策略并分配職責(zé)。教學(xué)內(nèi)容第一節(jié)制定風(fēng)險管理程序確定風(fēng)險管理程序的目的——第一步是確定組織建立風(fēng)險管理程序的目的，可能是降低保險費用，或者是減少相關(guān)系統(tǒng)的損害。在實施風(fēng)險管理計劃之前確定其意圖，組織可以確定關(guān)鍵績效指標并評價其結(jié)果。一般情況下，由執(zhí)行管理層和董事會來設(shè)定風(fēng)險管理程序的基本要求。為風(fēng)險管理計劃分配職責(zé)——第二步是為制定和實施組織的風(fēng)險管理程序向個人或團隊分配職責(zé)。當風(fēng)險管理計劃的主要職責(zé)由團隊負責(zé)時，其成功因素是把風(fēng)險管理與組織內(nèi)各個層級進行整合。運營管理人員和董事會成員都應(yīng)當協(xié)助風(fēng)險管理委員會識別風(fēng)險、設(shè)計適當?shù)娘L(fēng)險控制并介入戰(zhàn)略的制定第二節(jié)風(fēng)險管理流程風(fēng)險管理過程的第一步是對那些由于具有脆弱性而受到威脅，需要保護的信息資源或資產(chǎn)進行識別并分類。分類目的可以是為進一步調(diào)查并確定適當?shù)谋Ｗo措施排定優(yōu)先次序(按照資產(chǎn)價值進行簡單分類)，也可以是促進標準保護模型的應(yīng)用(按照關(guān)鍵程度和敏感性進行分類)。一旦確定了風(fēng)險因素，綜合考慮這些風(fēng)險因素就形成了對風(fēng)險的總體評價。對各類風(fēng)險因素進行綜合的常用方法是計算每一類威脅對脆弱性的影響(特定信息資源可能發(fā)生的)，匯總得出整體風(fēng)險值。風(fēng)險與價值的損失或損害以及威脅發(fā)生的預(yù)期頻率成正比。以金融行業(yè)為例，推出風(fēng)險管理實務(wù)，讓學(xué)生理解風(fēng)險管理疏漏的代價，深刻理解風(fēng)險管理的主體責(zé)任以及審計師的責(zé)任與義務(wù)。思考與實踐基于過去的經(jīng)驗通常難以預(yù)料其發(fā)生，特別是對沒有先例的事件，因此應(yīng)謹慎地估計最壞情況的發(fā)生。教學(xué)方法與手段使用多媒體教室，采用課堂講授，案例引入與討論的教學(xué)形式。第八章信息技術(shù)管理實踐目的與要求IS管理實務(wù)反映的是為各種IS相關(guān)管理活動所設(shè)計的政策與程序的實施情況。在有些組織中，IS部門是服務(wù)或支持部門，服務(wù)部門的傳統(tǒng)角色是幫助生產(chǎn)部門更加有效地運營。IS已經(jīng)與組織中的許多方面融為一體，其重要性逐年增加，并且不存在多少逆轉(zhuǎn)的可能。IS審計師必須意識到并充分理解一個管理良好的IS部門對實現(xiàn)組織目標的關(guān)鍵程度。教學(xué)內(nèi)容第一節(jié)人力資源管理人力資源管理涉及到人員的招聘、選用、培訓(xùn)和晉升，業(yè)績考評，員工紀律，繼任計劃等組織政策與程序。由于這些活動與IS職能密切相關(guān)，其效果將影響員工表現(xiàn)及IS職責(zé)的履行。為風(fēng)險管理計劃分配職責(zé)——第二步是為制定和實施組織的風(fēng)險管理程序向個人或團隊分配職責(zé)。當風(fēng)險管理計劃的主要職責(zé)由團隊負責(zé)時，其成功因素是把風(fēng)險管理與組織內(nèi)各個層級進行整合。運營管理人員和董事會成員都應(yīng)當協(xié)助風(fēng)險管理委員會識別風(fēng)險、設(shè)計適當?shù)娘L(fēng)險控制并介入戰(zhàn)略的制定。第二節(jié)采購實務(wù)采購實務(wù)是組織獲取支持業(yè)務(wù)所需IS職能的方式，組織可以通過集中方式在內(nèi)部實施全部IS職能(稱為內(nèi)包)，也可以在全球范圍對所有職能進行外包。采購戰(zhàn)略應(yīng)當考慮每一項IS職能并確定使IS職能符合企業(yè)目標的方式。在完成制定采購戰(zhàn)略后，IS指導(dǎo)委員會應(yīng)當審查并批準該戰(zhàn)略。此時，如果組織確定使用外包，則應(yīng)遵循包括以下步驟的嚴格程序：明確外包的IS職能，描述所需的服務(wù)水平以及應(yīng)滿足的最低指標要求，明確對服務(wù)提供商的知識、技能和質(zhì)量的期望水平，了解當前組織內(nèi)員工的實施成本及第三方報價的比較情況，對潛在的服務(wù)提供商進行認真審查。對外包中存在的問題，使用實例進行剖析，包括主觀的、客觀的因素，理解外包的操作風(fēng)險、能力風(fēng)險以及在審計過程中需要使用的方法如何揭示風(fēng)險。思考與實踐可考慮以下內(nèi)容：是否為組織的核心職能?是否有滿足目標所需的不可替代的特有知識、流程和員工?外包給其他組織或地方的價格是否相同或更低?質(zhì)量是否相同或更高?是否未增加風(fēng)險?組織是否擁有管理第三方及使用遠程或離岸方式執(zhí)行IS或業(yè)務(wù)職能的經(jīng)驗?。教學(xué)方法與手段使用多媒體教室，采用課堂講授，案例引入與討論的教學(xué)形式。第九章業(yè)務(wù)連續(xù)性計劃（BCP）目的與要求業(yè)務(wù)連續(xù)性計劃(BCP)是組織為避免關(guān)鍵業(yè)務(wù)功能／運作(手工或自動的)中斷，減少業(yè)務(wù)風(fēng)險而建立的一個控制流程，它包括了對支持組織關(guān)鍵業(yè)務(wù)員功能／運作的人力、物力需求和關(guān)鍵業(yè)務(wù)功能所需的最小級別服務(wù)水平的連續(xù)性保證?？刂迫魏物L(fēng)險的首要工作應(yīng)該是通過考慮業(yè)務(wù)地點，建筑材料和遠程關(guān)鍵業(yè)務(wù)的備份來盡量消除威脅。然而現(xiàn)代商業(yè)組織是不可能避免所有形式的公司風(fēng)險或潛在損害。一個現(xiàn)實的目標是通過建立一種能夠識別和管理可能造成損害的風(fēng)險的文化來確保組織的生存。教學(xué)內(nèi)容第一節(jié)信息系統(tǒng)的業(yè)務(wù)連續(xù)性綜觀BCP過程，組織總的計劃應(yīng)該考慮：首先，這應(yīng)該由可執(zhí)行的政策支持。所有信息系統(tǒng)業(yè)務(wù)連續(xù)性計劃必須和總的BCP一致且其支持總的BCP。這就意味著支持關(guān)鍵運營的備用處理設(shè)施必須隨時準備且針對其使用有及時更新的計劃。信息系統(tǒng)業(yè)務(wù)連續(xù)性計劃也應(yīng)當服從于組織的戰(zhàn)略。各種部署在組織中的應(yīng)用系統(tǒng)的重要性分類取決于業(yè)務(wù)的性質(zhì)，以及每類應(yīng)用對業(yè)務(wù)的價值大小。實例講述業(yè)務(wù)連續(xù)性的重要性，提高對業(yè)務(wù)連續(xù)性的客觀認識，促進業(yè)務(wù)連續(xù)性管理與組織戰(zhàn)略有機融合。第二節(jié)災(zāi)難和其他業(yè)務(wù)中斷事件災(zāi)難發(fā)生會引起重要的信息資源停止運行一段時間，對組織的業(yè)務(wù)將產(chǎn)生負面影響。根據(jù)對信息系統(tǒng)被損害的程度，中斷時間可以從幾分鐘到幾個月。最重要的是，災(zāi)難發(fā)生后應(yīng)該通過努力恢復(fù)到運營狀態(tài)。有些事件雖然具有高風(fēng)險的性質(zhì)，會引起關(guān)鍵服務(wù)的中斷，但一般并不把它們歸納到災(zāi)難事件中去。例如，系統(tǒng)戰(zhàn)障、意外文件刪除、網(wǎng)絡(luò)遭受拒絕服務(wù)攻擊、非法入侵、感染病毒等。通過國內(nèi)外信息科技事件，對重要性行業(yè)及政務(wù)相關(guān)風(fēng)險事件的解讀，提高國家信息安全、金融信息安全重要性的認識，強化審計人員責(zé)任意識與擔(dān)當精神。思考與實踐根據(jù)組織規(guī)模與需求的不同，BCP可能含有多個計劃文件，一般包括多個計劃文檔：持續(xù)運營計劃(ContinuityofoperationPlan)，災(zāi)難恢復(fù)計劃(DisasterRecoveryPlan)，業(yè)務(wù)恢復(fù)計劃(BusinessResumptionPlan)。教學(xué)方法與手段使用多媒體教室，采用課堂講授的教學(xué)形式。第十章數(shù)據(jù)式審計模式研究與應(yīng)用目的與要求以系統(tǒng)內(nèi)部控制測評為基礎(chǔ)，通過對電子數(shù)據(jù)的收集、轉(zhuǎn)換、整理、分析和驗證，來實現(xiàn)審計目標的審計方式?；谟嬎銠C輔助審計技術(shù)的數(shù)據(jù)式審計的方法、工具、軟件的現(xiàn)狀，以及其在信息系統(tǒng)審計中的應(yīng)用。以實例解析數(shù)據(jù)式審計如何在信息系統(tǒng)審計中發(fā)揮作用，激發(fā)學(xué)生掌握該項技術(shù)的興趣，以上機實踐為引導(dǎo)，增加應(yīng)用實踐經(jīng)驗。教學(xué)內(nèi)容第一節(jié)數(shù)據(jù)式審計模式的研究內(nèi)容計算機審計包括數(shù)據(jù)審計、系統(tǒng)審計兩大類。在應(yīng)用實踐中，逐步發(fā)展演變形成計算機審計應(yīng)用模式的分類體系。數(shù)據(jù)式審計模式是對系統(tǒng)審計和數(shù)據(jù)審計兩大分支的綜合。一般控制審計：IT治理、信息系統(tǒng)與基礎(chǔ)設(shè)施生命周期管理、IT服務(wù)交付與服務(wù)支持、信息資產(chǎn)保護、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)。應(yīng)用控制審計：輸入控制、處理程序和控制、輸出控制、業(yè)務(wù)流程保證控制。第二節(jié)數(shù)據(jù)式審計模式的應(yīng)用與研究結(jié)合數(shù)據(jù)式審計模式應(yīng)用，擴展介紹目前審計署創(chuàng)建的其他各類審計模式的應(yīng)用情況。再和大家共同研究數(shù)據(jù)式審計模式在企業(yè)內(nèi)審中的應(yīng)用。以金融行業(yè)數(shù)據(jù)式審計為例，講述國內(nèi)該領(lǐng)域的現(xiàn)狀，激發(fā)學(xué)生掌握數(shù)據(jù)式審計的熱情，助力執(zhí)業(yè)方向選擇，培養(yǎng)學(xué)習(xí)新技術(shù)的興趣與愛好。思考與實踐數(shù)據(jù)式審計模式是信息化條件下審計模式發(fā)展的產(chǎn)物，是信息化條件下審計目標的綜合體現(xiàn)，是信息系統(tǒng)審計和電子數(shù)據(jù)審計的綜合應(yīng)用，是審計風(fēng)險的綜合防范與控制。因此，建議要了解和掌握數(shù)據(jù)式審計模式的內(nèi)涵，并且能夠?qū)W會和運用。（四）教學(xué)方法與手段使用多媒體教室，采用課堂講授與案例討論分析的教學(xué)形式。第十一章信息系統(tǒng)審計評價方法與典型案例目的與要求完成行內(nèi)業(yè)務(wù)需求與系統(tǒng)實現(xiàn)功能的對比，確定業(yè)務(wù)需求是否按《需求書》明確的各項具體要求現(xiàn)實，對未按要求實現(xiàn)的部分，分析未實現(xiàn)的原因，對變更需求進行開發(fā)的部分，分析變更的合理性。以實例為背景講解：完成某家行內(nèi)業(yè)務(wù)系統(tǒng)與其他行系統(tǒng)的對比，分別參照某省內(nèi)外城市商業(yè)銀行對應(yīng)系統(tǒng)的功能及價格，評價同級別、同規(guī)模商業(yè)銀行系統(tǒng)建設(shè)情況，同時與國有商業(yè)銀行對應(yīng)系統(tǒng)的功能進行對比，找出有利于行方業(yè)務(wù)系統(tǒng)建設(shè)方面可供借鑒的在系統(tǒng)規(guī)劃設(shè)計、系統(tǒng)功能、制度建設(shè)以及產(chǎn)品應(yīng)用支持等方面的優(yōu)點。對審計評價發(fā)現(xiàn)的系統(tǒng)開發(fā)建設(shè)過程中存在的需求分析、架構(gòu)設(shè)計等方面的問題及不足，尤其是對某行行方外包方式下需求管理的規(guī)范性、合理性，以及供應(yīng)商履約質(zhì)量進行測試、評價，揭示系統(tǒng)功能、流程設(shè)計以及權(quán)限控制存在的問題，找出原因、揭示風(fēng)險。審計評價發(fā)現(xiàn)的各種問題，提出改進意見及建議，并與行方一起落實相關(guān)的問題解決方案，促進問題最終整改，完善制度建設(shè)。教學(xué)內(nèi)容第一節(jié)審計重點及目標通過審計評價實例，揭示高管層在信息系統(tǒng)戰(zhàn)略目標的定位、業(yè)務(wù)管理部門在落實業(yè)務(wù)需求與產(chǎn)品對接、科技部門在駕馭信息系統(tǒng)開發(fā)管理等方面的工作疏漏，以及形成信息科技風(fēng)險的情況。通過具體案例展示金融行業(yè)信息科技相關(guān)管理場景，促進管理實務(wù)經(jīng)驗的積累。第二節(jié)總體評價關(guān)注重點高風(fēng)險等級問題是否突出，系統(tǒng)建設(shè)、制度建設(shè)、內(nèi)控執(zhí)行以及信息科技方面是否存在重大風(fēng)險及隱患。信息系統(tǒng)底層規(guī)劃設(shè)計是否存在缺陷或不足。影響數(shù)據(jù)質(zhì)量的問題是否較普遍，數(shù)據(jù)治理是否需要加強。教學(xué)方法與手段使用多媒體教室，采用課堂講授與案例討論分析的教學(xué)形式。第十二章信息系統(tǒng)審計流程的新變化