第一章信息系统审计程序★必须的知识点1、ISACA发布的信息系统审计标准、准则、程序和职业道德规范2、IS审计实务和技术3、收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质)4、证据的生命周期(如证据的收集、保护和证据之间的相关性)5、与信息系统相关的控制目标和控制(如Cobit模型)6、审计过程中的风险评估7、审计计划和管理技术8、报告和沟通技术(如推进、商谈、解决冲突)9、控制自我评估(CSA)10、持续审计技术(即:连续审计技术)★可能的考试重点ISACA审计标准的变化:违规和非法行为、IT治理、在审计计划中运用风险评估ISACA审计指南索引与审计程序索引(不重要)COBIT(了解和补充)审计程序(必考内容)舞弊检查(审计师的职业谨慎、内部控制和舞弊)面谈并观察员工履行职责情况(审计师识别职能、实际过程、安全意识和报告关系,原第二章内容)补偿控制与审计发现的重要性水平(重要)审计报告(一般不会问到格式,考虑沟通技巧和报告关系)控制自我评估:CSA混合方式、CSA优缺点、审计师在CSA中的作用信息系统审计程序的新变化:电子底稿、综合审计、连续审计与在线审计★知识点摘要审计章程信息系统审计(简称:ls审计,下同)职能的角色应该建立在审计章程的基础上。一般,Is审计是内部审计的一部分;因此,审计章程还包括其他的审计职能。审计章程应当清楚地说明管理层对于巧审计职能的的责任、目标和委托授权。审计章程还应全局性地说明审计职能的授权、业务范围和责任。最高管理层和审计委员会,应当批准这部章程。一旦创立,就只有在非常必要、并经过充分的论证后才允许变更审计章程。IsACA信息系统审计标准要求审计章程或业务委托书上适当地描述信息系统审计职能的责任、授权和义务。对审计师技能的要求lS审计师是有限的资源,Is技术又日新月异地飞忆速发展。于是,Is审计师通过不断更新技能通过培训直接获得新的审计技术等方式,保持其执业资格是非常重要的。尤其,I审计师应当懂得管理由经过适当培训的审计员工组成的审计项目团队的管理技术。IS信息系统审计标准要求IS审计师在技术上胜任、具备执行审计1二作所需的技能和知识。此外,I审计师可以通过适当的继续职业教育保持其胜任性。在制定审计计划和向员工指派审计工作作时,知识和技能要纳入考虑。IS审计管理层也应当提供必要的IT资源,以改善I审计的熟练能力,例如;提供必要的软件、网络入侵测试之用的扫描器和穿透测试环境。审计计划至少每年都应对短期计划与长期计划进行分析,特别是在采用了新的技术、新的控制措施及新的评测技术时要做这样的分析得到管理层和审计委员会的批准并根据分析的结果来规划将要开展的审计活动。审计计划应当如果可能的话,尽星通报到各级管理层负责人。制定审计计划时,I审计师必须了解执业的整体环境。它包括对审计课题相关的各种业务实务和职能的一般性了解熟悉不同得业务运营环境也包括支持这些活动的各种信息系统和技术。ls审计师制定审计计划时,要考虑到审计范围相关的审计对象的日标其技术框架。如果需要,l审计师也应该考虑被检查的方面和它与组织的关系(战略的、财务的和/或运营的),并获得包括Is战略规划在内的战略计划的信息。ls审计师应该了解审计对象的信息框架和技术方向,来设计适用于审计对象的当前和未来技术的审计计划。IS审计计划中,考虑法律、法规的影响。一是规范审计或信息系统审计活动的法律规则;另一个是与审计委托人的信息系统、数据管理及财务报告等方面相关的法律法规,后者无论是在内部审计还是在外部审计方面都很重要,组织中任何违反法律法规的事项都将对组织的业务运营有负面影响。组织中最好能设置法律部门,当发生有关法律方面事务时,1s控制专员可以得到法律支持。由于不断暴露的财务丑闻,提供给投资者的信息质量变成世界关注的焦点。信息系统审计准则信息系统审计准则是由信息系统审计准则、审计指南和审计程序构成的。第一层次:信息系统审计准则。信息系统审计准则是整个审计准则体系的总纲,是信息系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。分为8大类,共12条准则。只要是信息系统审计师执行审计业务,出具审计报告,都必须遵守执行,具有强制性。第二层次:信息系统审计指南。审计指南是依据审计准则制定的,是审计准则的具体化,它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南,为审计师在执行审计业务中如何遵守审计准则提供指导。审计师在执业时运用这些指南,离不开职业判断,对任何偏离指南的行为一定要有充分的理由。第三层次:信息系统审计程序。信息系统审计程序是依据审计准则和审计指南制定的。它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指南的一些通用审计程序。审计程序为审计师提供了很好的上作范例。但这仅是审计师的一个参照而已,它所提供的只是审计师在审计时能满足审计准则要求的通常做法,它并不要求强制执行。审计师在执行具体的审计业务时,要根据特定的信息系统和特定的技术环境做出白己的职业判断,选择适当的审计程序。ISACA职业道德准则信息系统审计和控制协会制定了职业道德准则用以指导协会会员和CI}认证持有者的职业和个人行为。协会会员和IS认证持有者应该遵守以下道德规范:1、遵从并努力符合信息系统审计标准、程序及控制;2、在具体执行审计中要按照职业标准及最佳实践原则要求白己,做到敬业、公正及审慎:3、以诚实及符合法律要求的方式为利益相关者服务,保持高尚的行为及品德,不从事有损于信息系统审计职业的活动;4、对信息系统审计中所取得的信息,应予以保密,不得借以谋取私利和泄漏给他人;5、保持在审计和信息系统控制相关领域的专业胜任能力,有效而可靠地完成审计任务;6、审计结果应向适当的组织、部门和个人报告,并披露所有的重人事项:7、应当对组织中的利益相关者进行信息系统安全与控制的教育,以促进其对审计及信息系统的了解;ISACA信息系统审计标准审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。信息系统审计师在从事审计事项时,应该在实质和形式上独立于被审计方。信息系统审计人员应编制基于风险的审计方法。信息系统审计人员应编制详细的审计计划,包括审计性质、目标、范围和所需的资源。信息系统审计人员应编制审计程序和步骤。在计划和实施审计工作时,信息系统审计人员应该考虑不合规和非法行为等可能带来的审计风险。无论不合规和非法行为的风险评估结果如何,信息系统审计人员在实施审计作业时都要对由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。在确定或得到存在重人的不合规和非法行为的信息时,信息系统审计人员应该及时与适当的管理层沟通该情况。在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时,信息系统审计人员应该及时与董事会沟通该情况。如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时,信息系统审计人员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有:向业务主管人员报告、向公司治理机构或司法机构报告、中止审计业务。信息系统审计人员应该检查和评估I职能部门的使命、愿景、价值观、目标和战略是否与组织相一致。信息系统审计人员应该检查I职能部门是否存在书面明确的业绩标准,评价其履行情况。S12审计重要性AuditMeterialityS3使用外部专家UsetheworkofotherexpertsS14审计证据AuditEvidence风险分析风险分析(RiskAnalysis)作为审计计划的一部分,它有助于审计师确定信息资产的脆弱性、面临的威胁及由此而产生的风险水平,并根据风险水平来决定如何引入控制措施降低风险。“风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害,风险的严重程度与资产价值的损害程度及威胁发生的频度成正比”。信息系统审计人员常常关注高风险问题,如敏感和重要信息的保密性、可用性、完整性以及生成、存储和处理这些信息的重要的信息系统和流程等。在检查这些风险的时候,信息系统审计人员常常评估组织所使用的风险管理过程的有效性。对实施措施应运用成本效益分析的方法,选择降低风险到管理层可接受的水平的相关控制审计师在进行风险分析时要考虑以一下问题:比较控制成本与减少风险所得收益管理层的风险喜好(如,管理层准备接受的剩余风险水平):愿意采用的风险降低的方式(如,终止风险、减少发生的可能性、减少影响、转移或保险)风险评估包括三个过程—风险评估、风险消除和风险再评估。内部控制为减少风险所实施的各种政策、步骤、实务和组织结构被称为内部控制。预防性控制在事情发生前监测问题监控运营和输入在问题发生前预测潜在问题,并做出纠正避免错误、疏忽或蓄意行为的发生检查性控制使用控制检查和报告发生的错误、疏漏或蓄意行为的发生纠正性控制减少危害影响修复检查性控制发现的问题找出问题原因纠正问题衍生出的错误修改处理系统以减少未来问题发生的可能性内部控制设计包括两个重要方面:要达到什么和要避免什么。内部控制不仅作用于业务和运营日标,它还能够预防、检杳和纠止不良事件的发生。内部控制目标IT保护信息资产符合组织的方针策略及法律法规的要求信息输入输出交易处理的准确性及完整性数据处理的可靠性备份与恢复业务经营的效率与效果COBITCOBIT控制框架共制定了34个高层控制日标,每个日标代表一个IT过程,可组合为四人领域:计划与组织、采购与实施、交付与支持、监控和评估。通过定位这34个高层控制目标,组织可以确保为IT环境提供了一个充分的治理和控制系统。考生应该知道这个框架是什么,做什么用和企业为什么用它COBIT中文手册实施信息系统审计审计是指有胜任能力的独立机构或人员接受委托或授权,对特定经济实体的可计量的信息证据进行客观地收集和评价,以确定这些信息与既定标准的符合程度,并向利益相关者报告的一个系统过程。实施信息系统审计需要如下几个步骤:.充分的审计计划(短期、长期).为有效的利用审计资源,审计机构必须评估所有的风险(一般控制与应用控制领域).制定审计计划,包括审计日标与审计程序.收集证据、对现有控制进行评估与测试.编写审计报告,并与管理层沟通审计发现审计管理人员必须确保实施审计的资源和计划是充分可用的。审计管理人员还应与管理层讨论审计范围、审计目标、原则、步骤、证据、结论意见和结果报告等。审计程序★★特别要强调的是审计工作计划是审计的战略和规划,表明审计的范围和目的,审计步骤是为了获取充分、恰当的审计证据来得出和支持审计结论和意见。实施审计工作通常包括如下基本步骤:★★1、获取并记录对审计对象的了解这是进行审计检查的第一步2、风险评估和总体审计计划和安排3、详细审计计划4、初步检杳审计对象5、评估审计对象6、符合性测试,即控制测试7、实质性测试8、报告(或沟通结果)9、后续审计审计方法学methodology所谓的审计方法就是通过在组织中制定一系列规范的审计程序auditprocedures来达到预期的审计目标,其主要内容包括审计范围、审计目标及工作程序APG。审计方法应当由审计部门的管理人员来制定与批准,为测试或检查确定信息来源,比如:流程图、策略、标准、程序和以往的审计报告所有的审计规划、计划、测试、发现和相关工作都要记录在工作底稿中。底稿的内容应该相关、完整、清晰并被归档保存。舞弊检查公司治理相关法律法规规定,无论舞弊行为严重与否,管理层应对舞弊行为负责,审计人员和审计委员会负责发现和披露舞弊行为。应有的职业谨慎:审计师应该工作中注意并警惕舞弊行为的发生。内部控制并不能完全消除舞弊,IT审计师要清楚舞弊行为发生的可能性和舞弊的方式,舞弊行为可能是利用控制的薄弱环节,也可能是通过超越控制发生的。在实施常规保证审计任务时,巧审计人员可能会遇到舞弊现象或迹象,经过仔细评估,如果需要进一步的调查,审计人员应该将该情况与适当的管理层沟通。一旦审计人员确认发生了重大舞弊或检查风险很高时,审计经理也应该及时地与审计委员会沟通情况。基于风险的审计Risk-basedauditing2008新增持续审