《信息系統(tǒng)審計概論》

本課程主要內(nèi)容:信息系統(tǒng)審計概論IT治理審計信息系統(tǒng)架構(gòu)控制與審計信息系統(tǒng)開發(fā)及審計信息系統(tǒng)運營與維護審計信息安全控制與審計信息系統(tǒng)審計技術(shù)方法《信息系統(tǒng)審計》精選ppt信息系統(tǒng)審計概論

ISA的定義、目標、內(nèi)容、信息系統(tǒng)審計風險、信息系統(tǒng)控制與審計、審計程序，以及信息系統(tǒng)審計的準則、控制模型等。 本章主要介紹有關(guān)信息系統(tǒng)審計的基本概念和基本理論。IT治理審計

通過本章的學習，信息系統(tǒng)審計師理解評估信息系統(tǒng)管理、計劃和組織的戰(zhàn)略、政策、標準、程序和相關(guān)實務(wù)。確保組織擁有適當?shù)慕Y(jié)構(gòu)、政策、工作職責、運營管理機制和監(jiān)督實務(wù)，以達到公司治理中對IT方面的要求。精選ppt信息系統(tǒng)架構(gòu)控制與審計 一個組織要建立信息系統(tǒng)，就需要有效地建立、控制和管理好其信息技術(shù)基礎(chǔ)架構(gòu)。本章主要介紹學習如何正確評價組織的信息技術(shù)基礎(chǔ)設(shè)施和運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）的效果和效率。信息系統(tǒng)開發(fā)及審計

信息系統(tǒng)開發(fā)過程中的問題和錯誤會產(chǎn)生“積累放大”效應(yīng)，并會使企業(yè)付出高昂的代價。因此，通過對信息系統(tǒng)開發(fā)過程中每個階段的跟蹤審計，及時發(fā)現(xiàn)每個階段的錯誤，并得到及時修正，從而保障整個信息系統(tǒng)的質(zhì)量。精選ppt信息系統(tǒng)運營與維護審計 保證一個組織已經(jīng)建立的信息系統(tǒng)能高效的為其服務(wù)，離不開對其良好的操作、運行管理（日常運行事務(wù)、系統(tǒng)執(zhí)行與監(jiān)控）和維護，使其保持最佳的運行狀態(tài)。因此，對信息系統(tǒng)運行和維護過程的審計非常重要，是對整個信息系統(tǒng)實現(xiàn)高效服務(wù)的保障。本章即介紹信息系統(tǒng)運營和維護過程的審計。信息系統(tǒng)安全控制與審計

信息技術(shù)環(huán)境下信息系統(tǒng)的脆弱性和威脅，使信息系統(tǒng)及其產(chǎn)生的信息存在信息安全風險。本章主要介紹如何對信息系統(tǒng)進行安全審計與控制，從而使信息系統(tǒng)的風險降到最低。精選ppt信息系統(tǒng)審計技術(shù)與方法 面對錯綜復(fù)雜的信息系統(tǒng)和審計環(huán)境，向?qū)徲嬋藛T提出了挑戰(zhàn)，審計人員實施審計的難度很大，需要運用許多技術(shù)、方法和工具來輔助他們進行審計工具。本章即介紹一些有關(guān)信息系統(tǒng)審計的技術(shù)和方法。精選ppt第一章信息系統(tǒng)審計概論第一節(jié)信息系統(tǒng)審計及其產(chǎn)生與發(fā)展

一、何謂信息系統(tǒng)審計（ISA）？

國際信息系統(tǒng)審計委員會(ISACA)定義：是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率利用組織的資源并有效果地實現(xiàn)組織目標地過程。

日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會定義為：為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息系統(tǒng)審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動。

精選ppt從以上定義可以看出,信息系統(tǒng)審計的兩個方面職能:從外部審計的角度,ISA實現(xiàn)-------監(jiān)證目標（“保證”職能）從內(nèi)部審計的角度,ISA實現(xiàn)-------管理目標（“咨詢”職能）第一章信息系統(tǒng)審計概論一般定義:根據(jù)公認的標準和指導(dǎo)規(guī)范，對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個環(huán)節(jié)進行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整、效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)，并提出一系列改進建議的管理活動。RonWeber定義:搜集并評價證據(jù)，以判斷一個計算機系統(tǒng)(信息系統(tǒng))是否有效的做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟的使用資源。精選ppt第一章信息系統(tǒng)審計概論注：ISACA（InformationSystemAuditandControlassociation，信息系統(tǒng)審計與控制協(xié)會）：是最有權(quán)威的信息系統(tǒng)審計行業(yè)組織，總部設(shè)在美國。主要從事ISA相關(guān)理論與實務(wù)研究，制定相關(guān)ISA標準、規(guī)范、執(zhí)業(yè)指南等；也是唯一有權(quán)授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)的專業(yè)機構(gòu)。根據(jù)ISA概念，應(yīng)理解：ISA的主體：有勝任能力的信息系統(tǒng)獨立審計機構(gòu)或人員機構(gòu)：政府審計機構(gòu)、內(nèi)部審計機構(gòu)、會計和審計事務(wù)所、信息化鑒證咨詢機構(gòu)等中介組織人員：注冊會計師、審計人員、信息技術(shù)人員，等。實施ISA的人員稱為：信息系統(tǒng)審計師

(或:IT審計師)精選pptCISA：（CertifiedInformationSystemAuditor，注冊信息系統(tǒng)審計師）：取得CISA資格的審計人員，既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉經(jīng)濟管理的核心要義，能夠利用規(guī)范和先進的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。第一章信息系統(tǒng)審計概論CISA從事的活動：1、對信息系統(tǒng)的可靠性、安全性、穩(wěn)定性和有效性進行審計、檢查、評價、咨詢，并提出建議；2、對信息系統(tǒng)的內(nèi)部控制和風險進行檢查、評價、咨詢以及提出改進建議。精選ppt第一章信息系統(tǒng)審計概論

信息系統(tǒng)審計師相關(guān)知識和能力要求：知識要求:

審計學相關(guān)知識:審計學的基本理論、實務(wù)

信息系統(tǒng)計劃、開發(fā)和運營等相關(guān)知識：.信息系統(tǒng)構(gòu)成相關(guān)知識；·信息化戰(zhàn)略規(guī)劃、構(gòu)想、提案、立項等相關(guān)知識；·系統(tǒng)設(shè)計、程序設(shè)計、軟件測試等相關(guān)知識；

·系統(tǒng)操作和管理、數(shù)據(jù)管理等相關(guān)知識；

信息系統(tǒng)審計實施相關(guān)知識：

·經(jīng)營管理方面相關(guān)知識；·信息安全管理相關(guān)知識；

·業(yè)務(wù)對象相關(guān)知識；·相關(guān)法律和法規(guī)；

能力方面要求如下：·系統(tǒng)審計的相關(guān)能力；·審計的立項、分析、評價相關(guān)能力；·信息收集、審核、審計方法掌握、相關(guān)技巧運用方面的能力；

·審計報告制作能力；精選ppt第一章信息系統(tǒng)審計概論信息系統(tǒng)審計師應(yīng)該做到:嚴格遵循相關(guān)實施準則、程序及控制，遵守相關(guān)法規(guī)；依據(jù)職業(yè)準則及最佳實踐原則要求自己，做到敬業(yè)、公正及審慎；以合法的誠實的方式為利益相關(guān)者服務(wù)，保持高尚的品行，不從事有損與信息系統(tǒng)審計職業(yè)的活動；除非官方要求揭露，必須維護履行職責進程中獲得信息的隱私與機密，不用于個人利益或泄露給不適合的組織；維持獨立性及客觀性，獲得充分及客觀的證據(jù)，作出審計結(jié)論；保持在審計信息系統(tǒng)控制相關(guān)領(lǐng)域的技能，完成審計任務(wù)；審計結(jié)果向相關(guān)組織、部門和個人報告。

精選ppt二、ISA特點：ISA是一個過程，貫穿于整個信息系統(tǒng)生命周期；ISA的對象具有綜合性和復(fù)雜性；ISA拓展了傳統(tǒng)審計的目標；ISA是事前、事中、事后審計的綜合體；ISA的內(nèi)容更加廣泛；ISA是一種基于風險基礎(chǔ)審計的理論和方法。第一章信息系統(tǒng)審計概論信息系統(tǒng)審計的對象：被審計的信息系統(tǒng)

信息系統(tǒng)審計工作的核心：客觀地收集和評估證據(jù)

信息系統(tǒng)審計的目的：對信息系統(tǒng)的可用性、保密性、完整性進行評估并提供反饋、保證及建議

精選ppt三、ISA發(fā)展簡介

ISA的發(fā)展經(jīng)歷了幾個階段：早期階段：手工審計階段（繞過計算機階段）

萌芽階段：EDP（電子數(shù)據(jù)處理）審計階段

發(fā)展階段：信息系統(tǒng)審計階段

第一章信息系統(tǒng)審計概論

ISA發(fā)展處于領(lǐng)先的國家：美國、日本、加拿大，等

我國ISA的發(fā)展：起步于：20世紀80年代

目前狀況：處于EDP審計階段

“金審工程”簡介：（參見教材）精選ppt第一章信息系統(tǒng)審計概論第二節(jié)信息系統(tǒng)審計的目標、依據(jù)和內(nèi)容

一、信息系統(tǒng)審計的目標

ISA目標一般分為：一般審計目標、特定審計目標

一般目標：是進行所有信息系統(tǒng)審計都必須達到的目標。特定目標：指針對特定信息系統(tǒng)的審計目標。

一般來說，ISA的審計目標主要包括：提高信息系統(tǒng)資產(chǎn)的安全性目標：IS資產(chǎn)包括硬件、軟件、人力資源、數(shù)據(jù)文件及系統(tǒng)文件等保護信息系統(tǒng)數(shù)據(jù)的完整性目標提高信息系統(tǒng)有效性（效率和效益性）目標提高信息系統(tǒng)的合法性、合規(guī)性目標精選ppt第一章信息系統(tǒng)審計概論二、信息系統(tǒng)審計依據(jù)審計依據(jù)：也稱審計標準，是審計人員實施審計時，判斷被審計經(jīng)濟事項正誤、是非、優(yōu)劣的準繩，是形成審計結(jié)論、出具審計意見、作出審計決定的依據(jù)。

目前的ISA依據(jù)主要有：ISACA：信息系統(tǒng)審計準則；IS控制的標準模型COBIT；ASB第94號準則：SAS70；SAS94；

國際內(nèi)部審計師協(xié)會（IIA）：內(nèi)部審計師準則說明書（SIAS）；國際會計師聯(lián)合會（IFA）：國際審計準則系列；最高審計機關(guān)國際組織（INTOSAI）：審計準則（AS）；

歐洲：ISO系列（如：ISO17799）、EDIFACT技術(shù)標準；日本通產(chǎn)?。篒T審計標準；

精選ppt第一章信息系統(tǒng)審計概論我國：《中華人民共和國審計法》第三十二條；國務(wù)院辦公廳的《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》

；中國獨立審計準則20號《計算機信息系統(tǒng)環(huán)境下的審計》；審計署令第9號《審計署關(guān)于計算機審計的暫行規(guī)定》

；審計署頒布《審計機關(guān)計算機輔助審計辦法》精選ppt信息系統(tǒng)審計標準S1-S8：ISACA的信息系統(tǒng)審計準則由ISA標準、指南和程序(Standards,GuidelinesandProcedures)構(gòu)成

標準為信息系統(tǒng)審計和報告定義了強制性的要求。指南為信息系統(tǒng)審計標準的實施提供了指引。信息系統(tǒng)審計師在標準的實施程序中應(yīng)參考指南，同時作出職業(yè)判斷。程序為信息系統(tǒng)審計師提供審計項目中可以遵循的步驟范例。ISACA'SCOBITFramework:信息及相關(guān)技術(shù)控制目標（COBIT）是由美國IT治理協(xié)會提出的一個IT治理的開放性框架或標準，是基于組織的信息技術(shù)平臺而設(shè)計的，并在IT治理實踐中廣泛使用。第一章信息系統(tǒng)審計概論精選pptSAS70SAS70是經(jīng)國際確認，由美國注冊會計師協(xié)會(AmericanInstituteofCertifiedPublicAccountants，AICPA)所制定的標準。SAS70審計被公認為是針對服務(wù)提供商環(huán)境（包括網(wǎng)絡(luò)和相關(guān)程序的控制措施）最權(quán)威的安全性審計。

IT基礎(chǔ)架構(gòu)庫(ITIL)：是IT服務(wù)管理最佳做法的一套全面、一致和相關(guān)的代碼，己在全世界被廣泛采納為IT服務(wù)標準。ITIL包含下面五個部分：thebusinessperspective（商業(yè)遠景）、managingapplications（應(yīng)用管理）、deliveryofITservices（IT服務(wù)的交付）、supportofITservices（IT服務(wù)支撐）、managetheinfrastructure.（基礎(chǔ)設(shè)施管理）。第一章信息系統(tǒng)審計概論精選pptSAS94美國注冊會計師協(xié)會(AICPA)下屬的審計準則委員會(ASB)一直關(guān)注IT對獨立審計的影響。2001年4月，ASB發(fā)布了第94號準則：《IT對CPA評價內(nèi)部控制的影響》，該準則是作為SAS(審計準則公告)no.55的“補丁公告”推出的，它對下列三方面問題做出了規(guī)范：IT對企業(yè)內(nèi)部控制的影響；IT對CPA了解內(nèi)部控制的影響；IT對CPA評價審計風險的影響。SASno.94于2001年6月1日開始執(zhí)行。第一章信息系統(tǒng)審計概論精選pptISO17799：ISO17799包含以下部分：SecurityPolicy（安全策略）、Assetclassificationandcontrol（資產(chǎn)分類和控制）、SecurityOrganisation（組織安全）、PersonnelSecurity（人員安全）、PhysicalandEnvironmentalSecurity（物理安全和環(huán)境安全）、Communication/OperationManagement（通信和操作管理）、AccessControl（存取控制）、SystemDevelopmentandMaitenance（系統(tǒng)研發(fā)和維護）、BusinessContinuity（業(yè)務(wù)連貫性）、Compliance（一致性）。第一章信息系統(tǒng)審計概論精選ppt第一章信息系統(tǒng)審計概論三、信息系統(tǒng)審計的內(nèi)容

ISA包含的兩個層面的內(nèi)容：

其一：是對信息系統(tǒng)本身的審計，它貫穿于信息系統(tǒng)的整個生命周期。以及對信息系統(tǒng)的數(shù)據(jù)處理過程及處理結(jié)果的審計。目的在于確保信息系統(tǒng)的完整性、可靠性、安全性以及效率性和效益性。

其二：是將計算機、網(wǎng)絡(luò)技術(shù)等引入審計工作中，作為審計工作的輔助手段，以建立各種審計信息系統(tǒng)，以及實現(xiàn)審計工作的辦公自動化。

本課程課堂教學主要講授前者；實驗課程主要是后者精選ppt第一章信息系統(tǒng)審計概論ISACA規(guī)定了信息系統(tǒng)審計主要內(nèi)容：信息系統(tǒng)審計程序；IT治理(信息技術(shù)治理)；系統(tǒng)和基礎(chǔ)建設(shè)生命周期管理；IT服務(wù)的交付與支持；信息資產(chǎn)的保護；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃。

ISA：1、從縱向看，覆蓋了以電子計算機為核心的信息系統(tǒng)從計劃、分析、設(shè)計、編程、測試、運行、維護到報廢的全過程的各種業(yè)務(wù)；2、從橫向看，它包含對硬軟件的獲取審計、軟件審計、應(yīng)用程序?qū)徲?、?shù)據(jù)完整性審計、安全審計和生命周期共同業(yè)務(wù)（如文檔管理、人員管理、災(zāi)難恢復(fù)等）審計等內(nèi)容。

精選ppt第一章信息系統(tǒng)審計概論

從以上介紹，可以看出：ISA的特征：

一是獨立性；二是綜合性；三是管理特征。

ISA的效果：

一是提高信息系統(tǒng)可靠性；二是提高信息系統(tǒng)安全性；三是提高信息系統(tǒng)效率。精選ppt第一章信息系統(tǒng)審計概論

風險概念：可從三種角度看審計風險定義：（見教材）信息系統(tǒng)審計風險定義：信息系統(tǒng)的安全性、可靠性和有效性存在重大隱患，而信息系統(tǒng)審計師發(fā)表不恰當審計意見的可能性。

信息系統(tǒng)審計風險可以分為：固有風險、控制風險、檢查風險且有審計風險模型：DAR=IR╳CR╳DR

第三節(jié)信息系統(tǒng)審計風險

一、審計風險及信息系統(tǒng)審計風險

精選ppt二、信息系統(tǒng)審計風險特征及表現(xiàn)

1、固有風險（InherentRisk，簡稱IR）：是指假設(shè)不存在相關(guān)的內(nèi)部控制的情況下,發(fā)生重大錯誤的風險。

主要表現(xiàn)：

第一章信息系統(tǒng)審計概論電子數(shù)據(jù)的不可見性；數(shù)據(jù)的大量集中和高速處理；原始數(shù)據(jù)的錄入存在錯漏的可能性；計算機犯罪。

2、控制風險（ControlRisk，簡稱CR）：是指有內(nèi)部控制制度,但無法預(yù)防、及時發(fā)現(xiàn)或糾正重要錯誤的風險。

精選ppt主要表現(xiàn)：信息訪問的技術(shù)性暴露；未經(jīng)授權(quán)的訪問；職責不分離；網(wǎng)絡(luò)監(jiān)控失效；信息流和業(yè)務(wù)流的不一致；業(yè)務(wù)流程重組

第一章信息系統(tǒng)審計概論

3、檢查風險（DetectionRisk，簡稱DR）：是指信息系統(tǒng)審計人員由于采用了不恰當?shù)臏y試程序,未能發(fā)現(xiàn)已存在的重大錯誤的風險。

主要表現(xiàn)：

精選ppt第一章信息系統(tǒng)審計概論未能識別出系統(tǒng)的關(guān)鍵環(huán)節(jié)和重要的信息資產(chǎn)；利用測試數(shù)據(jù)對系統(tǒng)進行測試時測試不充分；模擬程序的運用,加大了檢查風險；系統(tǒng)更新?lián)Q代,使得測試系統(tǒng)失去時效性；參與系統(tǒng)開發(fā)的人員來執(zhí)行信息系統(tǒng)的檢查。

信息系統(tǒng)審計風險的特征：1、客觀性；2、復(fù)雜性；3、潛在性；

4、時效性；5、可控性。精選ppt三、形成信息系統(tǒng)審計風險的原因

1、信息處理的虛擬化、網(wǎng)絡(luò)化；2、捕捉證據(jù)的動態(tài)化；3、內(nèi)控制度的復(fù)雜化；4、審計人員知識結(jié)構(gòu)的單一化。精選ppt第一章信息系統(tǒng)審計概論四、信息系統(tǒng)環(huán)境對審計風險的影響

1、對固有風險的影響

資產(chǎn)出現(xiàn)新的特點；會計和業(yè)務(wù)處理自動化對信息技術(shù)的依賴性增強；其他變化。以上這些都使得固有風險增加。

2、對控制風險的影響

控制環(huán)境；風險評估；控制活動；信息與溝通；監(jiān)控。

精選ppt第一章信息系統(tǒng)審計概論

3、對檢查風險的影響降低檢查風險的因素：

提高審計覆蓋面；提高證據(jù)采集的獨立性；提高分析處理的可靠性；增加審計的時效性。

增加檢查風險的因素：

對信息系統(tǒng)缺乏足夠理解；技術(shù)不成熟；審計證據(jù)的可靠性；對技術(shù)的依賴性。

精選ppt第一章信息系統(tǒng)審計概論五、信息系統(tǒng)審計風險的防范措施

1、降低固有風險措施

加強信息資產(chǎn)管理；強化內(nèi)外部安全控制機制；建立安全的運行環(huán)境；加強數(shù)據(jù)輸入控制。2、降低控制風險的措施

正確分配訪問和操作權(quán)限,及時管理和維護權(quán)限分配表；建立嚴格的職責分離、輪崗和休假制度；建立安全的網(wǎng)絡(luò)監(jiān)控機制,減少來自外部的風險；精選ppt

3、降低檢查風險的措施

識別出重要信息資產(chǎn)；確定合理的檢查順序；改進審計手段。第一章信息系統(tǒng)審計概論

2、調(diào)查階段（風險識別）風險識別方法：

現(xiàn)場檢查、相關(guān)人員交談、召開座談會、流程調(diào)查、技術(shù)資料、有關(guān)文檔、資料分析、理論分析、日志審核、工具分析、模擬攻擊等。風險評估過程簡介：1、準備階段：

明確任務(wù)、建立項目組、職責分工、制定計劃精選ppt定性分析評估方法：安全檢查表法；專家評價法；事故樹分析法(FTA)事件樹分析法(ETA)；潛在問題分析法(PPA)因果分析法(CCA)；作業(yè)安全分析(WSA)

定量分析評估方法：

層次分析法(AHP)；模糊綜合評判法；BP神經(jīng)網(wǎng)絡(luò)法；灰色系統(tǒng)預(yù)測模型第一章信息系統(tǒng)審計概論3、風險分析風險分析：是識別機構(gòu)中存在的風險的過程，是對潛在威脅影響的量化，以及為實現(xiàn)控制所需的成本和產(chǎn)生的利潤提供證明。風險分析既可以采取定量分析的方法，用真實的數(shù)字說明威脅可能造成的損失以及損失的數(shù)量；也可以采取定性分析的方法，用排名的方法來分析對資材敏感度的威脅的嚴重性。精選ppt第一章信息系統(tǒng)審計概論可供參考的標準：

BS7799標準:將信息作為一種資產(chǎn)并進行管理與控制的手段對信息系統(tǒng)進行控制，確保業(yè)務(wù)的連續(xù)性與關(guān)鍵業(yè)務(wù)不受到損害，是當前國際中最重要的管理類標準。

ISO13355系列標準：安全管理策略標準。

CC標準：單一的通用準則安全技術(shù)方面的重要標準。

SSECMM模型：該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。

OCTAV方法：可操作的關(guān)鍵威脅、資產(chǎn)、脆弱性評估方法，風險評估的重要的方法體系。

GB17859-1999：《計算機信息安全保護等級劃分準則》精選ppt第四節(jié)信息系統(tǒng)內(nèi)部控制與審計內(nèi)部控制（COSO）：由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為運營的效率效果、財務(wù)報告的可靠性、相關(guān)法律規(guī)章的遵循性等目標的達成而提供合理保證的過程。內(nèi)部控制：是一個單位為了保護其資產(chǎn)的安全性、會計資料的準確性和可靠性，提高經(jīng)營效率以及貫徹執(zhí)行其規(guī)定的管理方針而在組織內(nèi)部采取的一系列制度、方針和手續(xù)。第一章信息系統(tǒng)審計概論

內(nèi)部控制的本質(zhì)：是一種制度安排，是一種管理控制內(nèi)部控制的表現(xiàn)形式：一些列方法、措施和程序精選ppt

內(nèi)部控制的基本原則：1、合法性原則；2、相互牽制原則；3、程式定位原則；4、系統(tǒng)全面原則。

內(nèi)部控制的基本方式：1、組織機構(gòu)控制；2、職務(wù)分離控制；3、其他重要的內(nèi)部控制。如：授權(quán)批準控制，人員素質(zhì)制度，信息質(zhì)量控制，財產(chǎn)安全控制，業(yè)務(wù)程序控制、內(nèi)部審計控制第一章信息系統(tǒng)審計概論精選ppt

內(nèi)部控制的發(fā)展階段：

經(jīng)歷了：內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架COSO提出的《內(nèi)部控制——整體框架》報告標志著內(nèi)部控制理論與實踐進入了內(nèi)部控制整體框架的新階段。

COSO《內(nèi)部控制——整體框架》報告提出了內(nèi)部控制組成要素：

控制環(huán)境(Control

Environment)風險評價(Risk

Assessment)控制活動(Control

Activities)信息與溝通(1nformationand

Communication)監(jiān)控(Monitoring)第一章信息系統(tǒng)審計概論精選ppt一、信息系統(tǒng)內(nèi)部控制的概念和特點概念：狹義；廣義（參見教材）特點：控制的重點轉(zhuǎn)向系統(tǒng)職能部門；控制的范圍擴大；控制方式和操作手段由人工控制轉(zhuǎn)為人工控制與程序化控制相結(jié)合。

第一章信息系統(tǒng)審計概論

內(nèi)部控制與審計的關(guān)系：

內(nèi)部控制的完善與可靠，直接影響審計風險的大小和審計成本的高低內(nèi)部控制完善且可靠，審計風險小、審計成本低；內(nèi)部控制不完善可靠，審計風險大、審計成本高。

精選ppt二、信息系統(tǒng)內(nèi)部控制的目標和標準（一）信息系統(tǒng)內(nèi)部控制的目標與業(yè)務(wù)目標一致；有效利用信息資源；風險管理。

第一章信息系統(tǒng)審計概論（二）信息系統(tǒng)內(nèi)部控制的標準公認標準：COBIT模型COBIT的全名是ControlObjectivesforInformationandrelatedTechnology,是由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）在1996年公布的，目前已經(jīng)更新至第四版，是國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標準。

精選ppt第一章信息系統(tǒng)審計概論三、信息系統(tǒng)內(nèi)部控制的種類依據(jù)要達到的直接目標分為：會計控制、管理控制依據(jù)控制的預(yù)定意圖：預(yù)防性控制、檢查性控制、糾正性控制其中：預(yù)防性控制是一種積極的控制（事前控制）

檢查性控制是一種中性控制（事中控制）

糾正性控制是一種消極的控制（事后控制）依據(jù)信息處理系統(tǒng)的不同可分為：手工系統(tǒng)控制、信息系統(tǒng)控制

依據(jù)控制所采取的工具或手段的不同分為：手工控制、程序化控制依據(jù)控制對象范圍和環(huán)境分為：一般控制、應(yīng)用控制

精選ppt第一章信息系統(tǒng)審計概論四、信息系統(tǒng)的控制措施

（一）信息系統(tǒng)的一般控制一般控制：指對計算機信息系統(tǒng)的構(gòu)成要素和系統(tǒng)環(huán)境實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。

具體說來，包括：1、組織控制?；驹瓌t：信息系統(tǒng)部門與業(yè)務(wù)部門的職責相分離；信息處理部門內(nèi)部的職責相分離。權(quán)責劃分：在分工協(xié)作的基礎(chǔ)上明確各部門的權(quán)限與責任職能分離：對不相容職務(wù)進行分離精選ppt主要控制措施包括：系統(tǒng)分析設(shè)計、系統(tǒng)維護、系統(tǒng)操作、文檔資料保管以及系統(tǒng)數(shù)據(jù)庫管理等職責要相互分離；交易的授權(quán)與交易的執(zhí)行相分離；資產(chǎn)的保管與記錄相分離；交易處理職能在多人之間進行分工，明確劃分責任。例：業(yè)務(wù)要由用戶部門發(fā)起或授權(quán)；記錄變動要由用戶部門授權(quán)；程序員與操作員相分離；等第一章信息系統(tǒng)審計概論2、系統(tǒng)開發(fā)與維護控制主要控制措施包括：精選ppt主要控制措施包括：系統(tǒng)開發(fā)的可行性控制；包括：目標、總體結(jié)構(gòu)、開發(fā)方式、組織結(jié)構(gòu)與管理體制、開發(fā)進度、資金預(yù)算、培訓(xùn)系統(tǒng)的合規(guī)、合法性控制；系統(tǒng)的可審性、系統(tǒng)測試的全面恰當性；開發(fā)過程的人員控制；系統(tǒng)設(shè)計控制；文檔控制；系統(tǒng)維護控制。包括：系統(tǒng)的日常維護；系統(tǒng)功能的改進和擴充

第一章信息系統(tǒng)審計概論精選ppt第一章信息系統(tǒng)審計概論3、系統(tǒng)安全控制主要控制措施包括：

（1）接觸控制只有經(jīng)過授權(quán)的人才能接觸各項資源硬件接觸控制人員批準、專用終端，證卡，通知程序資料接觸控制編碼，源程序數(shù)據(jù)文件接觸控制人員限制聯(lián)機系統(tǒng)接觸控制多級口令精選ppt第一章信息系統(tǒng)審計概論（2）環(huán)境安全控制預(yù)防性措施安全環(huán)境設(shè)備保護供電安全（3）安全保密控制

防止拷貝，更改和未經(jīng)授權(quán)使用軟件方法硬件方法結(jié)合精選ppt第一章信息系統(tǒng)審計概論（4）防病毒控制技術(shù)手段殺毒軟件，檢測程序管理手段：慎用軟件，定期檢查，備份，寫保護（5）保險意外事故精選ppt4、硬件及系統(tǒng)軟件控制主要控制措施包括：

（1）硬件控制計算機廠商建立在硬件或系統(tǒng)軟件中，為硬件操作提供可靠控制奇偶校驗冗余檢驗重復(fù)處理校驗回聲校驗設(shè)備檢驗有效性檢驗第一章信息系統(tǒng)審計概論精選ppt（2）系統(tǒng)軟件控制錯誤處置

I/O，記錄長度，存儲裝置程序保護邊界保護，外部調(diào)用，庫程序，控制修改文件保護內(nèi)部文件標簽檢查，存儲保護，內(nèi)存清理，地址比較安全保護自動記錄使用情況，系統(tǒng)活動分析公用程序，口令自我保護組裝和改動控制，職能分割，記錄，監(jiān)視，硬化第一章信息系統(tǒng)審計概論精選ppt5、操作控制主要控制措施包括：第一章信息系統(tǒng)審計概論上機守則與操作規(guī)程日志記錄保密制度非常狀態(tài)下的數(shù)據(jù)恢復(fù)冗余工作計劃系統(tǒng)操作控制主要表現(xiàn)：操作權(quán)限控制、操作規(guī)程控制操作權(quán)限控制：口令

操作規(guī)程控制：軟硬件操作規(guī)程,作業(yè)運行規(guī)程,用機時間記錄規(guī)程等

精選ppt第一章信息系統(tǒng)審計概論（二）信息系統(tǒng)的應(yīng)用控制應(yīng)用控制：是指對計算機信息系統(tǒng)中具體的數(shù)據(jù)處理功能的控制。

具體說來，包括：1、輸入控制。主要控制措施包括：防止遺漏和重復(fù)檢查錯誤編制書面文件設(shè)計格式建立收發(fā)記錄，計算控制總數(shù)數(shù)據(jù)輸入核對計算機編輯檢查精選ppt第一章信息系統(tǒng)審計概論案例：計算機會計信息系統(tǒng)輸入控制記賬憑證完整性、合理性檢驗建立科目名稱和代碼對照文件設(shè)計科目代碼校驗位設(shè)立對應(yīng)關(guān)系參照文件試算平衡控制順序檢查屏幕檢查二次輸入法控制總數(shù)法精選ppt第一章信息系統(tǒng)審計概論2、處理控制：是計算機信息系統(tǒng)按程序指令實行的內(nèi)部控制功能。主要控制措施包括：數(shù)據(jù)驗證。包括：數(shù)據(jù)有效性檢驗：文件標簽；記錄標示業(yè)務(wù)代碼；業(yè)務(wù)順序

處理有效性檢驗：運算正確性檢測雙重存儲數(shù)據(jù)和理性檢測數(shù)據(jù)極限檢驗交叉合計檢查精選ppt第一章信息系統(tǒng)審計概論錯誤糾正控制更正和抵消保留審計線索斷點技術(shù)特殊處理控制技術(shù)處理權(quán)限控制登帳條件檢驗防錯，糾錯控制非正常中斷恢復(fù)修改權(quán)限和修改痕跡控制精選ppt第一章信息系統(tǒng)審計概論3、輸出結(jié)果控制主要控制措施包括：控制總數(shù)核對勾稽關(guān)系檢驗對輸出資料的審視檢查與合理性檢驗輸出文件的保管與分發(fā)五、信息系統(tǒng)內(nèi)部控制的審計

審計目的：確定系統(tǒng)的內(nèi)部控制設(shè)置是否完善適當；已有的控制是否恰當?shù)匕l(fā)揮了作用，達到了原來的設(shè)計目標；針對系統(tǒng)控制的缺陷和薄弱環(huán)節(jié)提出改進的建議，并以此為依據(jù)調(diào)整實質(zhì)性測試階段的范圍、內(nèi)容和深度。

精選ppt（一）一般控制的審計目的：對系統(tǒng)一般控制的完善性和有效性進行審計

一般控制的評審包括兩個方面：1、對被審計單位信息系統(tǒng)背景信息評審。內(nèi)容有：

（1）被審計單位信息系統(tǒng)的規(guī)模；

（2）硬件和網(wǎng)絡(luò)的技術(shù)復(fù)雜性；

（3）被審計單位信息系統(tǒng)會計核算和業(yè)務(wù)系統(tǒng)等應(yīng)用軟件取得的方式；

（4）系統(tǒng)的管理情況；

（5）被審計單位信息系統(tǒng)處理業(yè)務(wù)流程等。

目的：通過對以上背景信息評審，基本收集了被審計單位信息系統(tǒng)硬件和軟件的基本情況

第一章信息系統(tǒng)審計概論精選ppt第一章信息系統(tǒng)審計概論

2、對被審計單位信息系統(tǒng)控制環(huán)境評審。內(nèi)容有：

（1）系統(tǒng)控制措施；

（2）不相容職能分離控制措施；

（3）訪問控制措施；

（4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施；

目的：是確定被審計單位信息系統(tǒng)總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風險。精選ppt（二）應(yīng)用控制的審計

目的：檢查存在于各具體應(yīng)用程序中的輸入控制、處理控制和輸出控制的情況的完善性和有效性。

應(yīng)用控制的評審包括：1、輸入控制審計目的：審查輸入控制在確保輸入數(shù)據(jù)的精確、完整、有效以及數(shù)據(jù)輸入的合法性的情況。輸入控制的審計的主要內(nèi)容包括：

（1）輸入權(quán)限控制；

（2）輸入完整性控制；

（3）數(shù)據(jù)有效性控制；

（4）輸入格式檢查；

第一章信息系統(tǒng)審計概論精選ppt

（5）輸入數(shù)據(jù)范圍檢查；（6）校驗；（7）有效性檢查；（8）相容性檢查；（9）數(shù)據(jù)重復(fù)控制；（10）數(shù)據(jù)相關(guān)性檢查；（11）輸入異常處理。

第一章信息系統(tǒng)審計概論

2、處理控制的審計目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復(fù)處理、處理的數(shù)據(jù)是有效的，等。處理控制的審計的主要內(nèi)容包括：

精選ppt第一章信息系統(tǒng)審計概論

（1）數(shù)據(jù)被處理前后保持一致；

（2）數(shù)據(jù)有效性檢查；

（3）處理與數(shù)據(jù)的非相關(guān)檢查；

（4）數(shù)據(jù)處理的完整性與一致性；（5）處理的有效性；（6）文件訪問沖突控制；（7）錯誤控制。

3、輸出控制的審計目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。處理控制的審計的主要內(nèi)容包括：

精選ppt

（1）輸出異常的處理；

（2）數(shù)據(jù)輸出完整性；

（3）輸出數(shù)據(jù)的保護；

（4）輸出結(jié)果符合要求；（5）輸出數(shù)據(jù)的及時性；（6）輸出被合適地發(fā)布。第一章信息系統(tǒng)審計概論六、信息系統(tǒng)內(nèi)部控制的審計步驟

(一)了解并描述內(nèi)部控制

調(diào)查方法：詢問、觀察、查閱文檔資料、檢測工具描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程圖法

精選ppt第一章信息系統(tǒng)審計概論

(二)符合性測試

人工控制審查方法：詢問、觀察、檢查文檔資料、發(fā)放調(diào)查問卷，等程序控制審查方法：人工控制審查方法、計算機輔助審計技術(shù)

(三)評價內(nèi)部控制

評價目標：確定被審單位的內(nèi)部控制是否達到了電算化條件下應(yīng)有的控制目標，內(nèi)部控制是否有重大缺陷，有無過控或欠控之處，已設(shè)立的控制是否有效執(zhí)行。結(jié)果處理：對被審單位控制的薄弱環(huán)節(jié)提出管理建議，并形成文檔——管理建議書；調(diào)整。精選ppt第一章信息系統(tǒng)審計概論

內(nèi)部控制評價指標簡介：

內(nèi)部控制的審計評價指標通常分為一般性指標和具體指標（一）信息系統(tǒng)內(nèi)部控制審計評價的一般性指標

指為保證信息系統(tǒng)安全運行所制定的內(nèi)部控制制度應(yīng)遵循的原則和達到的目標，包括：1、信息系統(tǒng)內(nèi)部控制的完整性；2、信息系統(tǒng)內(nèi)部控制的合理性；

3、信息系統(tǒng)內(nèi)部控制的有效性。（二）信息系統(tǒng)內(nèi)部控制審計評價的具體指標

指對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容方面的審計評價指標，是對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容的具體評價。精選ppt第五節(jié)風險基礎(chǔ)審計

第一章信息系統(tǒng)審計概論審計模式的發(fā)展經(jīng)歷了三個階段：賬項基礎(chǔ)審計制度基礎(chǔ)審計風險基礎(chǔ)審計

風險基礎(chǔ)的審計模式基本要素構(gòu)成：

固有風險、控制風險、檢查風險風險基礎(chǔ)審計的三個基本環(huán)節(jié)：

風險評估、內(nèi)控測試及實質(zhì)性測試

精選ppt風險基礎(chǔ)審計的優(yōu)點：

通過對被審計單位風險的評價，集中審計資源于高風險的審計領(lǐng)域，最大限度地降低審計的檢查風險；保證審計效果和質(zhì)量；節(jié)約審計成本；提高審計效率。

第一章信息系統(tǒng)審計概論風險基礎(chǔ)審計方法的思路：1、編制被審計單位使用的信息系統(tǒng)清單并對其進行分類；

2、判斷哪個系統(tǒng)影響關(guān)鍵功能和資產(chǎn)；

3、評估哪些風險影響這些系統(tǒng)并對商業(yè)運作造成沖擊；4、在上述評估的基礎(chǔ)上對系統(tǒng)進行分級，決定審計的優(yōu)先次序、資源、進度和頻率。

精選ppt第一章信息系統(tǒng)審計概論第六節(jié)基于風險審計理論的信息系統(tǒng)審計步驟

與傳統(tǒng)審計相同，信息系統(tǒng)審計步驟也分為三個階段：

審計計劃階段、審計實施階段、審計報告階段

（一）審計計劃階段（審計準備階段）內(nèi)容：制定科學、合理的審計計劃

結(jié)果形式：審計文檔——信息系統(tǒng)審計計劃書

（二）審計實施階段內(nèi)容：調(diào)查取證；結(jié)果形式：工作底稿及附件

（三）審計報告階段內(nèi)容：運用專業(yè)判斷，綜合各種證據(jù)，評估測試結(jié)果，根據(jù)審計準則，形成審計意見。結(jié)果形式：審計意見書、審計報告

精選ppt第一章信息系統(tǒng)審計概論具體的信息系統(tǒng)審計步驟和內(nèi)容如下所示：（一）審計計劃階段審計計劃了解被審系統(tǒng)情況；與委托單位簽訂業(yè)務(wù)約定書；初步評價被審系統(tǒng)的內(nèi)部控制及外部控制；確定重要性；分析審計風險；編制審計計劃

1、了解被審計系統(tǒng)基本情況

目的：明確審計的難度，所需時間及大致費用等。決定是否接受委托對該系統(tǒng)進行審計，精選ppt主要包括：（1）系統(tǒng)擁有者概況；（2）系統(tǒng)建成時間，運行時間，生命周期概況、規(guī)模及設(shè)備清單；（3）管理者的管理措施，對IS的內(nèi)部控制；（4）相關(guān)外部控制；（5）技術(shù)操作人員的概況；（6）已做過的審計，時間及審計機構(gòu)等。

第一章信息系統(tǒng)審計概論2、與委托單位簽訂業(yè)務(wù)約定書審計業(yè)務(wù)約定書的內(nèi)容一般包括：

精選ppt第一章信息系統(tǒng)審計概論簽約雙方名稱；委托目的；審計范圍；雙方責任；簽約各方的義務(wù)；出具審計報告的時間要求；審計報告的使用責任；審計收費；業(yè)務(wù)約定書的有效期間；違約責任；簽約時間及其他事項精選ppt

3、初步評價被審系統(tǒng)的內(nèi)部控制及外部控制內(nèi)部控制初評過程：第一章信息系統(tǒng)審計概論了解被審單位內(nèi)部控制情況，做出相應(yīng)記錄，初步測評內(nèi)控的存在性及完整性和有效性內(nèi)部控制有效嗎評價控制風險為最高水平確定較低控制風險確定重要性，分析審計風險，制定審計計劃YN精選ppt

外部控制初評：信息系統(tǒng)安全標準、行業(yè)標準、工程建設(shè)標準、驗收標準等各項規(guī)章制度的執(zhí)行情況。

第一章信息系統(tǒng)審計概論

5、分析審計風險方法：審計風險模型（DAR=IR╳CR╳DR）

4、確定重要性重要性特征：數(shù)量、質(zhì)量

重要性評估的目的：確定所需審計證據(jù)的數(shù)量

重要性水平與審計證據(jù)之間關(guān)系：反向關(guān)系

6、編制審計計劃

審計計劃包括：總體審計計劃、具體審計計劃

精選ppt總體審計計劃主要包括：被審單位基本情況；審計目的、審計范圍及策略；重要問題及重要審計領(lǐng)域；

工作進度及時間、費用預(yù)算；

審計小組成員分工；

重要性確定及風險評估等。

具體審計計劃主要包括：具體審計目標；審計程序；執(zhí)行人員及時間限制等。第一章信息系統(tǒng)審計概論精選ppt第一章信息系統(tǒng)審計概論（二）審計實施階段審計實施IT治理審計IS硬件與系統(tǒng)軟件審計IS開發(fā)審計IS運營、維護審計IS安全審計根據(jù)重要性、風險和計劃獲取有關(guān)資料;符合性測試，驗證固有和控制風險，維持或重新確定檢查風險;修改方案;實質(zhì)性瀏試;對測試結(jié)果進行分析;找出導(dǎo)致結(jié)果的原因精選ppt審計實施步驟：（1）審計通知；（2）預(yù)備調(diào)查；（3）審計實施；（4）審計評審；（5）補充審計；（6）審計評議會。ISA主要任務(wù)：（1）收集資料；

（2）確定審計或測試的方式；

（3）列出需要訪談的人員名單；（4）查閱有關(guān)部門的政策、標準及準則，以供審計使用；（5）利用審計方法，對所有控制進行測試和評價；（6）評估測試結(jié)果。第一章信息系統(tǒng)審計概論精選ppt

審計實施是審計的中心環(huán)節(jié)，主要由符合性測試階段和實質(zhì)性階段構(gòu)成。1、符合性測試

符合性測試的目標：審查被審計單位信息系統(tǒng)的內(nèi)部控制制度的建立及遵守情況，根據(jù)測試結(jié)果修訂審計計劃，確定后續(xù)測試――實質(zhì)性測試的程度。具體步驟：（1）目標設(shè)定；（2）事項識別；（3）風險評估；（4）風險應(yīng)對措施。

第一章信息系統(tǒng)審計概論精選ppt符合性測試的常用方法有：訪問被審計單位的領(lǐng)導(dǎo)與員工、發(fā)放調(diào)查問卷、實地考察、查閱有關(guān)程序文檔資料等。2、實施實質(zhì)性測試實質(zhì)性測試：是對交易和事項的詳細測試或分析性復(fù)核測試，以獲得審計期間這些事項或交易合法、完整、準確或真實存在的審計證據(jù)。具體步驟：（1）根據(jù)符合性測試的結(jié)果，確定進行實質(zhì)性測試的范圍、數(shù)量以及抽樣方法；（2）判斷是否需要大量測試，確定是進行大量的隨機或統(tǒng)計抽樣，還是執(zhí)行有限的隨機或判斷抽樣；第一章信息系統(tǒng)審計概論精選ppt

（3）確認所有的交易事項均已經(jīng)被準確記錄的可能性；（4）判斷就樣本而言是否達到控制目標？對能否達到組織的控制目標向管理層提供最終的保證或不保證。實質(zhì)性測試的常用方法有：檢測數(shù)據(jù)法、授控處理法、平行模擬法、利用輔助審計軟件直接審查信息系統(tǒng)的數(shù)據(jù)文件等方法。第一章信息系統(tǒng)審計概論符合性測試示例：

在應(yīng)收賬款業(yè)務(wù)的處理模塊中，當銷售業(yè)務(wù)數(shù)據(jù)輸入時，檢測應(yīng)收賬款的各種記錄是否產(chǎn)生相應(yīng)變化，其發(fā)生的增減變化方向是否與業(yè)務(wù)一致，或測試該客戶的應(yīng)收款余額是否超過信用額度，時間是否超過規(guī)定時間。實質(zhì)性測試示例：

在對會計報表模塊審計中，檢查計算機會計報表系統(tǒng)產(chǎn)生的報表數(shù)據(jù)和經(jīng)審計人員審計產(chǎn)生的報表數(shù)據(jù)是否一致。精選ppt第一章信息系統(tǒng)審計概論（三）審計完成階段審計完成整理、評價審計證據(jù);復(fù)核工作底稿，完成二級復(fù)核;匯總審計差異，同被審系統(tǒng)管理層交流;評價審計結(jié)果(對重要性和風險進行最終評價)，形成審計意見，編制審計報告，完成三級復(fù)核

1、整理、評價執(zhí)行審計業(yè)務(wù)過程中收集到的證據(jù)

證據(jù)：所謂證據(jù)就是審計師按照審計標準及目標的要求，在對某一實體或數(shù)據(jù)進行審計時所采用的信息，與審計目標有關(guān)的信息即可作為審計證據(jù)。證據(jù)形式：口頭證據(jù)、書面證據(jù)、電子證據(jù)，等

證據(jù)來源：原始憑證、電子記錄、錄音、照相、攝像，等精選ppt

2、復(fù)核審計底稿，完成二級復(fù)核傳統(tǒng)審計的三級復(fù)核制度：一級復(fù)核：項目經(jīng)理二級復(fù)核：部門經(jīng)理三級復(fù)核：主任審計會計師（審計師）

ISA一級復(fù)核內(nèi)容：審計中審計人員所完成的工作；審計形成的審計工作底稿及結(jié)論。

ISA二級復(fù)核內(nèi)容：審計階段結(jié)束后審計工作底稿及結(jié)論

3、匯總審計差異，與被審計單位溝通

第一章信息系統(tǒng)審計概論精選ppt第一章信息系統(tǒng)審計概論

4、評價審計結(jié)果，形成審計意見，完成三級復(fù)核，編制審計報告。

審計意見的類型：無保留意見的審計報告；保留意見的審計報告；否定意見的審計報告；無法表示意見的審計報告。

三級復(fù)核主要內(nèi)容：采用審計程序的恰當性；審計工作底稿的充分性；審計過程中是否存在重大遺漏；審計工作是否符合事務(wù)所的質(zhì)量要求等。

ISA完成表現(xiàn)形式：審計意見書、審計報告

精選ppt第一章信息系統(tǒng)審計概論

審計報告的基本格式：[題頭]

報告日期；上級主管部門名稱；上級主管姓名；

審計說明（概要）

[正文]

審計對象；重點審計主題；審計目的；

審計范圍和審計實施步驟（概要）；實施期間；

被審計對象部門；被審計人員及其工作職能；

審計結(jié)果（概要）

1可靠性：可靠性概要；可靠性評價

2安全性：安全性概要；安全性評價

3效率：效率概要；效率評價

主要存在的問題

改良建議：1一般改良建議；2緊急改良建議精選ppt第一章信息系統(tǒng)審計概論第七節(jié)信息系統(tǒng)審計的意義主要表現(xiàn)在：可以鑒證信息系統(tǒng)的安全和可靠性；可以鑒證電子化數(shù)據(jù)的真實性和完整性；可以促進和提高信息系統(tǒng)的效率和效益；為組織信息化建設(shè)提供咨詢服務(wù)。

第七節(jié)信息系統(tǒng)審計準則和職業(yè)道德規(guī)范簡介信息系統(tǒng)審計準則：為信息系統(tǒng)審計和報告定義了強制性的要求；是開展信息系統(tǒng)審計的前提；是實施信息系統(tǒng)審計的總綱；是實施信息系統(tǒng)審計的具體規(guī)范。

精選ppt第一章信息系統(tǒng)審計概論一、國際信息系統(tǒng)審計準則簡介

目前最具代表性和權(quán)威性的審計準則制定機構(gòu)：ISACAISACA的信息系統(tǒng)審計準則框架構(gòu)成：

ISA標準、指南、程序

第一層次:信息系統(tǒng)審計標準ISA標準是整個ISA準則體系的總綱,是制定ISA指南和ISA程序的基礎(chǔ)依據(jù)。它規(guī)定了審計章程及審計過程(從計劃、實施、報告到跟蹤)必須達到的基本要求,是CISA的資格條件、執(zhí)業(yè)行為的基本規(guī)范。最新的ISA標準分為11大類,共43條

精選ppt第一章信息系統(tǒng)審計概論第二層次:信息系統(tǒng)審計指南ISA指南是依據(jù)ISA標準制定的,是ISA標準的具體化,為ISA準則體系中11大類標準的實施提供了指引。它詳