简述信息系统审计的主要内容 (出自第七单元)复习进程

第七章内部控制系统及其评审

第一节内部控制简介

第二节了解内部控制

第三节内部控制评价

第一节内部控制简介

【解释】内部控制与财务信息质量的关系

结论1：因为有了羊圈，丢羊的可能性大大降低

结论2：只有羊圈牢靠时，丢羊的可能性才会大降低，因此，还要测测羊圈牢不牢

一、内部控制的含义和要素

（一）含义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。

（二）内部控制的目标：合理保证【2015，北国会面试题】

财务目标（保证财务报告的可靠性）：与管理层履行财务报告编制责任密切相关

经营目标（保证业务活动的效率和效果）：即经济有效地使用企业资源，以最优方式实现企业的目标

合规目标（遵守适用的法律法规的要求）：即在法律法规的框架下从事经营活动

二、与审计相关的控制[确定了解内控的范围]

（一）并非需要了解所有的内部控制

注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。

因此，注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

（二）仅限于与财务报告可靠性相关的控制

用以防止未经授权购买、使用或处置资产的内部控制，可能包括与财务报告目标和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。（三）与经营目标、合规目标相关的控制(是否与审计相关?)

第一部分审计理论与方法——第十一章计算机审计

目录

01考情分析

02内容介绍

03内容讲解

【考情分析】

随着审计信息化的发展，计算机审计越来越成为审计中一个不可忽略的问题。本章与其他章节关系不大，属于非重点章节，分值3分左右。

初级资格仅要求第一节，但历年考试内容也可能涉及一些第三节知识。

【内容介绍】

第一节计算机审计概述

第二节电子数据审计

第三节信息系统审计

【内容讲解】

第一节计算机审计概述

一、计算机审计的含义

从广义上来看，计算机审计是在信息技术环境下发展的审计技术方法的总称；从狭义上来看，计算机审计可以包括对计算机产生的电子数据的审计以及对信息系统本身的审计。

计算机对审计的影响可以分为两个方面，既有对审计对象客体的影响，又有对审计自身的影响。

二、计算机审计的过程

但每一阶段的具体内容有所不同，这些内容的不同源于审计对象形式的变化。

三、计算机审计软件（了解）

1.通用审计软件和专业审计软件

2.联网审计软件和非联网审计软件

3.一般审计软件和审计全过程管理软件

【经典例题】

【例题1·多选题】下列关于计算机审计的表述，正确的有：

A.计算机审计不需要审查纸质材料

B.计算机审计的审计内容与传统审计不完全一致

C.计算机审计的审计对象既包括电子数据，又包括信息系统

D.计算机审计不需要进行内部控制测试

E.计算机审计的基本过程与传统审计是一致的

『正确答案』BCE

『答案解析』选项A，计算机审计对电子数据和信息系统本身的审计中涉及到纸质资料的检查。

选项D，信息系统审计包括对信息系统内部控制的审计。

第二节电子数据审计

过程：（会区别）

信息系统审计内容

一、信息系统审计内容概述

信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计

组织层面信息技术控制审计的内容包括：

（一）控制环境

内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估

内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信

息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动

内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通

内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督

内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计

信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续

运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动：

信息系统审计

电子数据处理系统发展分为三阶段：数据的单项处理阶段(1953-1965)、数据的综合处理阶段（1965-1970）、数据的系统处理阶段（1970年以后），对传统审计产生了巨大的影响，主要表现在（1）对审计线索的影响：传统的审计线索缺失；EDP下：数据处理、存储电子化，不可见，难辨真伪。（2）对审计方法和技术的影响：技术方法复杂化；EDP下：利用计算机——审计技术变得复杂化（3）对审计人员的影响：知识构成要求发生变化；EDP下：会计、审计、计算机等知识和技能（4）对审计准则的影响：信息化下审计准则与标准的缺失；EDP下：在原有审计准则的基础上，建立一系列新的准则（5）对内部控制的影响：内部控制方式发生改变：传统方式下：强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下：数据处理根据既定的指令程序自动进行，信息的处理和存储高度集中于计算机，控制依赖于计算机信息系统，控制方式发生改变。

2、信息系统审计的定义：指根据公认的标准和指导规范，对信息系统从计划、研发、实施到运行维护各个环节进行审查评价，对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现，并提出一系列改进建议的管理活动。

3、信息系统审计的特点（1）审计范围的广泛性（2）审计线索的隐蔽性、易逝性（3）审计取证的动态性（4）审计技术的复杂性：首先，由于不同被审单位的信息系统所配备的计算机设备各式各样，各个机器的功能各异，所配备的系统软件也各不相同。审计人员在审计过程中，必然要和计算机的硬件和系统软件打交道，各种机型功能不一，配备的系统软件各异，必然增加了审计技术的复杂性，其次，由于不同被审单位的业务规模和性质不同，所采用的数据处理及存储方式也不同，不同的数据处理，存储方式，审计所采用的方法、技术也不同。此外，不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同，不同开发方式以及用不同的程序设计语言开发的应用软件，其审计方法与技术也不一样。

IT审计的主要内容

1. 信息技术管理

- 评估和审查有关信息技术管理的政策、管理层责任和组织结

构等方面。

- 检查信息技术战略和规划，以确保其与组织的目标和战略一致。

2. 信息系统开发和实施

- 检查信息系统开发和实施的流程和控制措施。

- 评估软件开发生命周期的管理，包括需求分析、设计、编码、测试和上线等环节。

3. 网络和系统基础设施

- 审查网络和系统基础设施的安全性和可靠性。

- 评估网络架构和系统配置是否符合最佳实践和安全标准。

4. 数据管理和保护

- 检查数据管理和保护的政策和程序。

- 评估数据备份和恢复策略以及数据访问控制措施。

5. 信息安全和网络安全

- 评估信息安全和网络安全政策和流程。

- 检查安全事件和违规行为的监控和报告机制。

6. IT服务管理和支持

- 审核IT服务管理和支持的流程和控制。

- 评估IT服务水平（SLA）和故障管理的措施。

IT审计的主要内容包括信息技术管理、信息系统开发和实施、网络和系统基础设施、数据管理和保护、信息安全和网络安全以及IT服务管理和支持等方面。通过对这些内容的审计与评估，可以帮助组织发现潜在的风险并提供改进建议，从而保护和提升信息技术系统的可靠性和安全性。

信息系统数据审计制度

1. 概述

信息系统数据审计制度是指对信息系统中的数据进行审计的管

理体系和规定。通过对信息系统数据审计的实施，可以确保信息系

统中的数据安全、完整以及合法使用。

2. 目的

信息系统数据审计制度的目的在于保护信息系统中的数据资源，防止数据的滥用、篡改和泄露，以及发现和处理可能存在的安全风

险和漏洞。通过数据审计，可以提高信息系统的可信度和可靠性，

维护用户的合法权益。

3. 审计范围与内容

信息系统数据审计范围包括但不限于以下内容：

- 数据的收集、存储、传输和处理过程；

- 数据的访问控制和权限管理；

- 数据的操作记录和日志管理；

- 数据的备份和恢复；

- 数据的安全性和完整性保障；

4. 审计程序与方法

信息系统数据审计应采用系统性、全面性、持续性的审计方法进行。审计程序包括以下步骤：

1. 确定审计对象和审计周期；

2. 制定审计计划和工作方案；

3. 收集相关数据和信息；

4. 进行数据的分析和比对；

5. 发现和确认异常情况；

6. 提出问题和建议，制定改进措施；

7. 进行审计报告的编写和提交；

8. 进行审计结果的跟踪和整改。

5. 审计责任与监督

信息系统数据审计的责任主体应为专业的审计机构或经过培训和认证的审计人员。审计结果应及时向相关部门和管理人员报告，并按照要求进行整改和改进。

6. 数据保密与隐私保护

在信息系统数据审计中，应严格遵守相关的法律法规和保密规定，保护用户和企业的隐私权利。审计人员应签署保密协议，并遵

循保密原则进行工作。

7. 监督与评估

信息系统数据审计制度的实施过程应得到相关部门和管理人员

信息系统审计主要内容2篇

信息系统审计主要内容（上篇）

信息系统是现代组织中必不可少的重要组成部分，而信息系统审

计则扮演了保障信息系统运行和数据安全的重要角色。信息系统审计

是对信息系统的合规性、有效性和安全性进行评估的过程，其主要内

容可以分为策略性审计、管理性审计和技术性审计三个方面。

策略性审计是信息系统审计的第一个主要内容。它主要关注的是

信息系统的规划、发展和运营方面的问题。策略性审计着重评估组织

是否制定了明确的信息系统策略和规划，并且是否能够与组织的战略

目标相一致。此外，策略性审计还会检查信息系统是否具备适当的资

源分配、团队组织和管理能力，以确保信息系统能够有效地支持组织

的业务需求。

管理性审计是信息系统审计的第二个主要内容。它专注于信息系

统管理方面的问题，包括系统开发、运维、风险管理和合规性等方面。管理性审计会评估组织是否建立了适当的信息系统管理框架和流程，

并且是否严格执行了这些框架和流程。此外，管理性审计还会关注信

息系统的运维是否规范，风险管理是否有效，以及合规性是否得到充

分的确保。

技术性审计是信息系统审计的第三个主要内容。它关注信息系统

的技术实施和安全性方面的问题。技术性审计涉及的内容非常广泛，

包括网络安全、系统配置、访问控制、数据备份和恢复等各个方面。

技术性审计旨在评估信息系统的脆弱性和漏洞，并提供建议和措施来

加强信息系统的安全性。通过技术性审计，组织可以了解其信息系统

存在的技术风险，并采取相应的措施来降低这些风险。

信息系统审计的上述三个主要内容相互依赖、相互补充，构成了

一个完整的信息系统审计框架。策略性审计主要关注信息系统的规划

信息系统审计主要内容

信息系统审计是指对组织的信息系统进行全面检查和评估的过程，以确保其安全性、完整性和可靠性。这是为了帮助组织管理人员了解信息系统的运行状况，并识别潜在的风险和问题。

信息系统审计的主要内容包括以下几个方面：

1. 系统架构审计：审计人员需要对组织的信息系统架构进行审查，了解系统的设计和实施情况。这包括系统的硬件设备、网络拓扑、操作系统等方面的审计。

2. 安全策略审计：审计人员需要评估组织的安全策略和措施是否合理有效。这包括对密码策略、访问控制、防火墙设置等方面的审计。

3. 数据库审计：审计人员需要对组织的数据库进行审查，确保其数据的安全性和完整性。这包括对数据库的备份、恢复、访问控制等方面的审计。

4. 应用程序审计：审计人员需要对组织的应用程序进行审查，确保其安全性和可靠性。这包括对应用程序的开发过程、代码审查、漏洞扫描等方面的审计。

5. 日志审计：审计人员需要对系统的日志进行审查，以了解系统的运行状况和潜在的问题。这包括对日志文件的分析、监控、报告等方面的审计。

6. 物理安全审计：审计人员需要对组织的物理环境进行审查，确保其对信息系统的支持和保护。这包括对机房、服务器、存储设备等方面的审计。

7. 网络安全审计：审计人员需要对组织的网络进行审查，确保其网络的安全性和可靠性。这包括对网络设备、网络拓扑、安全策略等方面的审计。

8. 业务流程审计：审计人员需要对组织的业务流程进行审查，了解信息系统在业务过程中的应用情况。这包括对业务流程的规范、控制点、数据流等方面的审计。

9. 合规性审计：审计人员需要对组织的信息系统是否符合相关法律法规和行业标准进行审查。这包括对安全政策、隐私保护、数据保护等方面的审计。

信息系统审计内容及重点、步骤和

方法

一、审计内容

（一）信息系统一般控制情况

1.信息系统总体控制情况;

2.信息安全技术控制情况;

3.信息安全管理控制情况。

（二）信息系统应用控制情况

1.信息系统业务流程控制情况；

2.数据输入、处理和输出控制情况；

3.信息共享和业务协同情况。

二、审计重点及审计步骤和方法

（一）一般控制审计

1.总体控制审计

审计思路：通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险，形成信息系统总体控制的审计评价和结论。

审计方法：召开座谈会、发放调查问卷、查阅文件等。

审计步骤：

（1）战略规划评价。检查被审计单位是否建立了信息系统战略发展规划，是否明确了战略目标、整体规划、实现指标和相应的实施机制。

（2）组织架构评价。检查被审计单位是否建立了与信

息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构，以及行业内各层级的信息化工作机构，是否建立了各类机构的权力责任和制约机制。

（3）制度体系评价。检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。

4）岗位职责评价。检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。

（5）内部监督评价。检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制，是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。

信息系统审计

第一章总则

第一条为了规范信息系统审计工作，提高审计质量和效率，根据《内部审计基本准则》，制定本准则。

第二条本准则所称信息系统审计，是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。

第三条本准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。其他组织或者人员接受委托、聘用，承办或者参与内部审计业务，也应当遵守本准则。第二章一般原则

第四条信息系统审计的目的是通过实施信息系统审计工作，对组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行职责。

组织的信息技术管理目标主要包括：

（一）保证组织的信息技术战略充分反映组织的战略目标；

（二）提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性；（三）提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规以及相关监管要求。

第五条组织中信息技术管理人员的责任是进行信息系统的开发、运行和维护，以及与信息技术相关的内部控制的设计、执行和监控；信息系统审计人员的责任是实施信息系统审计工作并出具审计报告。

第六条从事信息系统审计的内部审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验。必要时，实施信息系统审计可以利用外部专家服务。

第七条信息系统审计可以作为独立的审计项目组织实施，也可以作为综合性内部审计项目的组成部分实施。

当信息系统审计作为综合性内部审计项目的一部分时，信息系统审计人员应当及时与其他相关内部审计人员沟通信息系统审计中的发现，并考虑依据审计结果调整其他相关审计的范围、时间及性质。

《信息系统审计》复习大纲

一、概念

管理信息系统的概念：（定义）一个由人计算机等组成的能进行信息的收集、传递、储存、加工、维护和使用的系统.管理信息系统能实测企业的各种运行情况；利用过去的数据预测未来；从企业全局出发辅助企业进行决策；利用信息控制企业的行为；帮助企业实现其规划目标。

管理信息系统是一个人机系统。管理信息系统是一个一体化系统或集成系统。管理信息系统需用数学模型分析数据，辅助决策。

ERP ----- E nterprise Resource Planning企业资源il划系统，是拒建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台.ERP系统集中信息技术与先进的管理思想於一身，成为现代企业的运行模式，反映时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。由MRPH （制造资源计划）发展来的.

信息系统一般控制/应用控制书

计算机网络

信息系统审计

宿息系统审计是指根据公认的标准和指导规范，对信息系统从规划，实施到运行维护各个环节进行审査评价，对信息系统及其业务应用的安全性，有效性，可靠性等进行检测，评估和控制的过程，以确定预定的业务目标得以实现，并提出一系列改进建议的管理活动.

（1）信息系统审计的主体是“有胜任能力的佰息系统独立审计机构或人员”.

（2）信息系统审计的对象是“被审计的信息系统”.

（3）信息系统审计工作的核心是“客观地收集和评估证据”。

（4）信息系统审计的目的是评估并提供反馈、保证及建议。

（5）信息系统审计目标是安全性，可靠性，有效性.