《信息系统审计》教学大纲(InformationSystemAuditing)制定单位:信息科学学院信息管理系制定人:李庭燎审核人:余小兵编写时间:2011年9月10日第一部分课程概述一、基本信息(一)课程代码(二)课程属性、学分、学时专业选修课,学分3,学时48(三)适用对象本科生专业:金审学院信息管理与信息系统(四)先修课程与知识准备审计学,计算机基础,数据库管理系统,管理信息系统二、课程简介《信息系统审计》是一门综合性课程。随着现代信息技术的发展,审计的目标、对象、内容等已发生了变化,传统环境下的审计已不能适应信息技术环境下的审计要求,需要开展信息系统审计。本课程主要介绍了有关信息系统审计的基本概念、理论方法以及信息系统审计实务内容。本课程在介绍了信息系统审计的产生与发展、特点、内容、方法、程序步骤、准则等基本概念内容的基础上,从理论和实务两方面具体介绍了IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统运营与维护审计、应用程序审计、数据文件审计等信息系统审计所包含的内容。并通过上机实验演示,主要使学生了解在审计工作中运用计算机辅助技术工具的能力。InformationSystemsAuditisacomprehensivecurriculum.Withthedevelopmentofmoderninformationtechnology,auditobjectives,targets,content,etc.,havechangedthetraditionalenvironment,theauditcannotmeettheinformationtechnologyenvironment,theauditrequirements,theneedtocarryoutinformationsystemaudits.Thiscourseintroducesthebasicconceptsofinformationsystemsaudit,informationsystemstheory,methodandcontentofauditpractice.Thiscourseintroducesinformationsystemsauditinthegenerationanddevelopment,characteristics,content,methods,procedures,steps,guidelinesandotherbasicconceptsonthebasisofcontent,fromboththeoreticalandpracticalintroductionofspecificITgovernance,controlandauditofthegeneralapplicationofcontrolandaudit,systemdevelopmentandaccesstoaudit,systemoperationandmaintenanceofaudit,applicationauditing,informationsystemsauditingdatafilecontainsthecontentsoftheaudit.Demonstratedthroughexperimentsonthemachine,mainlytoenablestudentstounderstandtheuseofcomputer-assistedaudittechnologytools.三、教学目标掌握信息系统审计的基本概念、理论方法以及信息系统审计实务,了解信息系统审计的内容、程序、方法与技术,懂得如何设计和审查信息系统的内部控制、如何恰当有效地使用信息系统审计方法与技术对信息系统的安全性、可靠性与有效性等方面进行审计。了解和掌握主要的审计软件的设计和使用。四、师资团队冯国富博士副教授fgf@nau.edu.cn58318603竞慧西401余小兵硕士讲师cosine@263.net58318603竞慧西401李庭燎硕士讲师tingliao@263.net58318603竞慧西401吕新民硕士副教授lv007@nau.edu.cn58318603竞慧西401五、教学资源教材:《信息系统审计》张金城主编,清华大学出版社,2009年2月参考资料:张金城主编,管理信息系统,北京大学出版社,2004年7月张金城主编,信息系统控制与审计,北京大学出版社,2002年4月孙强主编,信息系统审计,机械工业出版社,2006年1月胡克瑾等编著,IT审计,电子工业出版社,2002年9月钱啸森主编,国外信息系统审计案例,中国时代经济出版社,2007年1月庄明来等执笔,信息系统审计内容与方法,中国时代经济出版社,2008年8月CISA复习手册网络资源:《信息系统审计》精品课程网站六、教学要求要求教师具有信息系统审计相关专业背景和相关实践经验,熟练使用审计软件七、学习要求完成教师布置的预习要求、参与课堂讨论的要求、作业要求、课外自主学习要求、考试要求。八、考核方案平时成绩(含实验成绩)40%+期末考试60%第二部分教学进度表授课人:课程名:信息系统审计课程学分:3周次授课次数授课章节主要授课内容课时作业,测验,实验,及其他安排111.1~1.3课程介绍、案例、ISA的发展和定义;ISA的特点、目标2211.4~1.8ISA的内容、方法、步骤、准则、人才培养等2312.1~2.2IT治理的发展、定义与关键问题2课堂作业412.3~2.7IT治理与公司治理、标准、机制和方法、目标和范围、成熟度模型2513.1~3.2控制框架与审计方法(CoBIT)2613.2~3.4IS一般控制概述、管理控制2课堂作业713.5S基础设施控制及审计、访问控制2813.5系统网络架构控制及审计;2913.6灾难恢复控制2课堂作业1014.1~4.4IS应用控制的审计21114.5IS应用控制审计案例;2课堂作业1215.1~5.2IS生命周期21315.3IS开发方法21415.4~5.9开发团队、项目管理、软件配置管理;风险、过程改进,审计2课堂作业1516.1~6.5软件维护、变更管理及其审计;IT服务管理21616.6IT服务管理与审计2课堂作业第三部分教学要点(理论)第一章信息系统审计概论主要内容:一、信息系统审计的产生与发展1、电子数据处理系统对审计的影响2、信息系统审计的产生与发展二、信息系统审计的含义与特点1、信息系统审计的定义2、信息系统审计的特点三、信息系统审计目标四、信息系统审计的内容1、内部控制系统审计2、系统开发审计3、应用程序审计4、数据文件审计五、信息系统审计的基本方法1、绕过信息系统审计2、通过信息系统审计六、信息系统审计的步骤1、准备阶段2、实施阶段3、终结阶段七、信息系统审计准则1、信息系统审计准则的概念和作用2、国际信息系统审计准则3、我国信息系统审计规范体系八、我国信息系统审计人才培养策略1、信息时代呼唤信息系统审计师2、信息系统审计师应具备的素质3、信息系统审计师的培养基本要求:理解和掌握信息系统审计的概念、特点、目标、内容、方法以及程序步骤,了解信息系统审计标准、金审工程等内容。重点:信息系统审计概念、特点、目标、内容、方法以及程序步骤难点:信息系统审计方法以及程序步骤第二章IT治理主要内容:一、IT治理的定义二、IT治理的关键问题1、IT治理缺失的症状2、IT治理的关键问题三、IT治理与公司治理1、公司治理和公司管理2、IT治理和IT管理3、公司治理和IT治理四、IT治理标准五、建立IT治理的机制和方法1、IT治理机制2、IT治理方法六、IT治理的目标和范围1、IT治理目标2、IT治理范围七、IT治理成熟度模型基本要求:了解和掌握IT治理相关知识重点:IT治理关键问题、标准、机制、方法、成熟度模型难点:IT治理成熟度模型第三章信息系统一般控制及审计主要内容:一、信息系统一般控制综述二、管理控制及其审计1、管理控制的基本内容2、管理控制审计3、管理控制测试三、系统基础设施控制及其审计1、信息系统环境控制2、信息系统硬件控制与审计3、系统软件控制四、系统访问控制及其审计1、逻辑访问控制2、物理访问控制3、对访问控制的审计五、系统网络架构控制及其审计1、局域网控制与审计2、客户机/服务器架构风险与控制3、互联网风险与控制4、网络安全技术5、网络架构控制的审计六、灾难恢复控制及其审计1、灾难与业务中断2、灾难恢复与业务持续计划3、灾难恢复与业务持续计划的审计基本要求:了解信息系统一般控制与审计概念、内容、方法重点:信息系统一般控制与审计内容、方法难点:信息系统一般控制与审计方法第四章信息系统应用控制及审计主要内容:一、输入控制1、数据采集控制2、数据输入控制3、会计信息系统输入控制二、处理控制1、审核处理输出2、进行数据有效性检验3、会计信息系统中几种特殊的处理控制技术三、输出控制四、应用控制的审计1、业务处理规程和输入控制的审查2、输出控制的审查五、内部控制审计实例1、被审单位基本情况2、被审计算机信息系统——采购和付款系统说明3、内部控制制度4、收集审计证据5、审计证据的分析与报告基本要求:了解和掌握信息系统应用控制与审计概念、内容、方法重点:信息系统应用控制与审计内容、方法难点:信息系统应用控制与审计方法第五章信息系统生命周期审计主要内容:一、信息系统生命周期与审计1、信息系统审计师在信息系统开发中的职责2、信息系统开发与实施评价二、基于生命周期的信息系统开发方法1、软件开发生命周期2、传统的SDLC各阶段描述三、信息系统的其它开发方法1、原型法(prototyping)2、面向对象的方法(Object-OrientedMethod)3、计算机辅助开发方法(CASE)4、基于组件的开发方法(Component-basedDevelopment)5、基于Web应用开发方法(Web-basedApplicationDevelopment)6、快速应用开发方法(RAD)7、敏捷开发(AgileDevelopment)四、信息系统开发团队、角色和责任五、项目管理六、软件配置管理七、与软件开发相关的风险八、软件开发过程的完善1、ISO91262、软件能力成熟度模型(CMM)3、软件能力成熟度模型集成(CMMI)九、软件维护1、软件维护的种类2、软件维护的实施3、软件维护申请报告4、维护档案记录5、维护阶段的审计十、信息系统变更管理十一、系统变更流程和迁移程序的审计十二、IT服务管理1、IT服务管理产生的背景2、IT服务管理的发展历史3、IT服务管理的定义4、ITIL5、IT服务提供流程6、IT服务支持管理7、IT服务管理案例——如何建立一个基于ITIL的服务台十三、信息系统生命周期的审计程序1、信息系统审计师对系统生命周期进行风险评估2、制定审计计划3、系统生命周期审计过程基本要求:理解和掌握信息系统生命周期审计的内容和方法重点:信息系统开发与获取审计的内容和方法难点:信息系统开发与获取的审计评估方法、信息系统运营与维护的审计方法