CISA第一章 信息系统审计过程.doc

第一章信息系统审计过程A.信息系统审计简介 IT是信息技术（Information Technology）的简称。IT审计也叫信息系统审计（IS审计），指审计师对信息技术本身及其相关控制的审计，是广义计算机审计的一个方面，其另一方面是计算机辅助审计技术（CAAT），指审计师使用信息技术辅助审计业务的技术手段，也叫非现场审计。狭义的计算机审计仅指信息技术审计，以下所讨论的就是这一领域，我们统一称之为信息系统审计或“IS审计”。A1审计章程（Audit Charter） 组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。审计章程既要强调管理层本身的对信息系统审计的责任与目标，以及对信息系统审计的授权，也要明确信息系统审计师可以行使的权力、所负责任及审计范围。 最高管理层和审计委员会应当批准审计章程，一旦建立，就只有在非常必要且经过充分论证之后才允许变更审计章程。A2.审计资源管理 审计师的信息系统相关知识与能力，应当熟悉不同的业务运营环境 审计师必须通过适当的继续职业教育保持胜任能力 在制定审计计划和分配任务时，应当考虑审计师的技能和知识 审计人员的培训计划 审计工具的使用（例如：网络扫描工具、 穿透测试工具、日志分析工具等），应当由审计管理层提供A3.审计计划 短期计划本年度内需要实施的审计事项 中长期计划主要考虑组织调整IT战略方针对环境造成影响所带来的相关风险问题 至少每年对短期计划和长期计划进行分析 每一个单项审计任务也应当有充分的计划（审计方案） 制定和实施审计计划的要点： u充分了解组织的业务使命、目标和流程 u找出审计依据，如政策、标准、程序、组织结构 u进行风险评估和内部控制检查 u确定审计范围及目标、制定审计方法及审计策略 u综合考虑审计项目要求、人力资源现状及其他限制条件，合理分配审计资源 u审计计划应当得到管理层和审计委员会的批准，如果可能的话，尽量通报到各级管理层负责人A4.法律法规对IS审计计划的影响 确定政府及其他团体是否有以下方面的规定和要求： 计算机的运行与控制 计算机、程序及数据的存放方式， 信息服务的活动及组织 记录相关法律与法规的要求 评估组织的在制定信息系统计划、策略、标准及程序时是否考虑的来自外部法律法规要求。 检查内部信息系统相关部门是否在正式文件中落实了遵守法律、法规的要求。 检查组织中是否已经建立程序，并遵照执行来满足法律、法规的要求。B1.IS审计职业道德规范 职业道德规范(Code of Professional Ethics) u 信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制，并遵守相关法律法规的要求； u 在具体执行审计中要按照职业标准及最佳实践原则要求自己，做到敬业、公正及审慎。 u 以诚实及符合法律要求的方式为利益相关者服务，保持高尚的行为及品德，不从事有损于信息系统审计职业的活动； u 对信息系统审计过程中所取得的信息，应予以保密，不得借以谋取私利和泄漏给他人。执法机构的司法调查除外； u 保持在审计和信息系统控制相关领域的专业胜任能力，有效而可靠地完成审计任务； u 应获得充分及适当的证据，作出审计结论及建议，审计结果应向适当的组织、部门和个人报告； u 应当对组织中的利益相关者进行信息系统安全与控制的教育，以促进其对审计及信息系统的了解；职业审慎(Due Professional Care) 指工作勤勉程度和开展工作所必需的技能要求，体现在信息系统审计师的职业判断过程中，是确保客户获得高质量审计的基础。职业审慎要求审计师在合理范围内提供合理保证，不要求提供绝对保证。B2.ISACA信息系统审计准则 是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计业务，出具审计报告，都必须遵守执行，具有强制性。 ISACA标准委员会共制定了16个信息系统审计准则，必须熟悉掌握其内容及如何应用。信息系统审计准则P11-14B2.1 S2独立性 人员独立性- 在所有审计相关事项中，IS审计师应当对被审计人保持实质态度与表现形式上的独立性。 组织独立性- IS审计职能部门应当对被审计领域或活动保持独立性以能够客观地完成审计任务。B2.2 S9违规和非法行为 IS审计师应当收集充分、恰当的审计证据以确认管理层或组织内其他成员是否知效所有真实、怀疑或传言中的违规和非法行为。 应当至少每年获得管理层的书面陈述，或根据审计委托书增加频率。陈述中应当包括：承诺对设计并实施内部控制以预防和检查违规或非法行为负责等情况。 如果IS审计师已经发现重大违规或非法行为，或者得到存在重大违规或非法行为的确定线索，应当及时与适当层级的管理人员沟通。 当IS审计师发现的重大违规或非法行为涉及到管理层或内部控制重要岗位员工时，应当及时与其上级主管沟通。 审计中，IS审计师应当将预防及检查违规或非法行为的内部控制重大缺陷通知适当层级的管理人员和上级主管人员 如果重大误报或非法行为导致的异常情况影响到IS审计师不能继续执行审计任务，IS审计师应当考虑这种情况下适用的法律和职业责任，包括是否需要向审计委托方报告，是否需要向上级主管或合规管理部门报告，或考虑从审计中退出。B3.审计指南 审计指南是依据审计准则制定的，是审计准则的具体化。指南详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体要求，为审计师在执行审计业务中如何遵守审计准则提供指导。 审计师在运用这些指南时，离不开职业判断，对任何偏离指南的行为一定要有充分的理由。 ISACA标准委员会制定了40项信息系统审计指南，最近新增加的三项，废止一项。目前执行中的审计指南共有39项。 必须熟练掌握其内容的指南有：p14信息系统审计指南p14B4.审计程序 信息系统审计程序是依据审计准则和审计指南制定的； 它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指南的一些通常审计程序和步骤； 审计程序为审计师提供了很好的工作范例，但审计师在执行具体的审计业务时，还要根据特定的信息系统和特定的技术环境做出自己的职业判断。 目前共有11个审计程序，可作为执行相关审计项目的参考范例。信息系统审计程序p16B5. 信息技术保证框架（ITAF） 信息技术保证框架是一个全面的最佳实践模型，它包括： 为IT审计和保证任务的设计、执行和报告提供指导 定义IT保证中的特定术语和概念 制定标准并落实IT审计和保证的职业角色和责任、知识和技能、勤勉、执行和报告要求 ITAF以ISACA资料为主，也包括由IT治理协会（ITGI）和其他一些组织研发的内容，通过ITAF，IT审计和保证人员可以得到指导、研究政策和规程、获取审计和保证程序、编制有效的报告。 ITAF包括三类准则（一般准则、执行准则和报告准则）、指南、工具和技术。B5.1 ITAF组织结构B5.2 ITAF主要内容 准则部分 第2200节一般准则 第2400节执行准则 第2600节报告准则 指南部分 第3000节IT保证指南 第3200节企业主题 第3400节IT管理流程 第3600节IT审计和保证流程 第3800节IT审计和保证管理C.风险分析风险的概念 风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值的损害程度及威胁发生的频度成正比风险分析 风险控制目前是企业关注的重点，其前提首先要对企业面临的风险有一个全面的认识 组织中最重要的业务环节是什么？这些部分是如何使用与处理信息的？信息系统对这些部分的重要性如何？ 组织的信息系统在产生、传输、处理、存储信息过程中有哪些薄弱环节，信息的机密性、完整性、可用性需要什么样的保护？ 当前组织的风险管理方法与策略是否有效，是否能把风险降低到管理层可以接受的水平? 组织所制定的风险控制目标及控制方法是否考虑了成本效益原则？ 对风险的管理是不是一个持续改善的过程？D.内部控制 概念 组织为了降低风险，保护其资产的安全性、会计资料的准确性和可靠性，提高经营效率以及贯彻执行其规定的管理方针而在组织内部采取的一系列制度、策略、方法及程序。 董事会或最高管理层应当努力建立一种适宜的内部控制文化，使得组织每一个人都参与到内部控制系统中来，保证内部控制的有效性，并对内部控制进行持续监督与完善。 内部控制应当落实两个内容：要达到什么和要避免什么？内部控制的分类 预防性控制：在事件发生之前进行检测，监控运营和输入等，避免错误、疏忽或蓄意行为的发生。例如：职责分离、交易授权、访问控制、数据加密等。 检查性控制：在事件进行当中进行检查，报告发生的错误、疏忽或蓄意行为等。如：哈希汇总、内部审计职能、为查找非法访问目的而检查日志文件。 纠正性控制：在问题发现之后进行纠正，以减少危害的影响，找出问题原因并加强控制等。如：建立应急计划、备份处理流程、恢复运营流程等。D1.内部控制目标 内部控制包括：会计控制、运营控制和管理控制，其目标主要有四个，即资产安全、信息准确可靠、业务运行的效果及效率、管理方针的贯彻。具体包括以下各方面： 保护资产 符合公司政策和法律法规的要求 授权和认证 机密性 数据准确性及完整性 数据处理的可靠性 IT服务的可用性 业务运行的效率、效果和经济性 IT及相关系统的变更管理D3. 信息及相关技术控制目标COBIT 通过ISACA多年来研究，IT治理委员会于1996 年发布的COBIT （Control Objectives for Information and related Technology），这是一个在国际上公认、先进权威的安全与信息技 术管理和控制的标准，目前已经更新至4.1。 它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界上一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT控制框架(图见p28)COBIT - 以业务为中心 COBIT的主题是面向业务，除了供IT服务人员、用户和审计人员使用外，更重要的是，COBIT为管理人员和业务流程所有人提供了一个综合指南。 COBIT框架基本原理为：为提供实现业务目标所需的企业信息，企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源，提供服务以交付所需的企业信息。COBIT - 以流程为导向 COBIT在四个域内将IT活动定义为通用过程模型。这四个域分别是：规划与组织、获取与实施、交付与支持、监督与评价。这些域映射到传统的IT职责域：计划、建设、运行和监控。 计划与组织(PO)：为提供解决方案(AI)和提供服务(DS)落实方针政策； 获取与实施(AI)：提供解决方案并将其转化成为服务； 交付与支持(DS)：接受解决方案，为最终用户提供服务； 监督与评价(ME)：监控所有流程确保遵循既定方针。COBIT - 以控制为基础(图如右上) 控制是指为合理保证业务目标的实现，预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。 标准控制模型遵循以下推理原则：当设定了供暖系统（处理流程）的室温（标准）时，系统会持续检查（比较）房间的环境温度（控制信息）并指示供暖系统提供更多或更少的热量（纠正）。COBIT - 业务控制与IT控制 企业内部控制系统在以下三个层次上影响IT： 在执行管理层：设定企业目标、制定政策、作出关于如何部署和管理企业资源以执行企业战略的决策。董事会确定治理和控制的整体方法并在企业范围内贯彻。IT控制环境受控于这些高层目标和政策。 在业务流程层：控制具体的业务活动。许多业务流程是自动化的并与IT应用系统进行了整合，导致这个层面的许多控制也是自动化的，这些控制被称为应用控制。然而，业务流程中的部分控制仍保留了手工操作，如：交易授权、职责分离和手工对账，因此， 业务流程层面的控制是业务人员手工控制与自动化应用控制相结合，虽然应用控制需要IT职能予以支持进行设计和开发，但两种控制的建立和管理都是业务部门的职责。 为技术支持层：IT通常采用共享服务的方式为许多业务流程提供IT服务，因为许多的IT开发和操作流程需提供给整个企业，并且大多数的IT基础设施是公用的(如，网络、数据库、操作系统和存储)。这些应用于所有IT服务的控制措施被称为IT一般控制。一般 控制的可靠运行是应用控制可靠性的必备条件，例如：缺乏变更管理将危及（意外或蓄意的）自动化系统完整性检查的可靠性。COBIT - 一般控制和应用控制 一般控制是指那些嵌入到IT流程和服务中的控制，如： 系统开发； 变更管理； 安全管理； 计算机运行管理。 嵌入到业务应用系统的控制通常称为应用控制。如： 完整性； 准确性； 有效性； 授权； 职责分离。COBIT - 以测评为驱动 企业的一个基本需求就是了解其自身的IT系统状况，决定企业应采取的管理和控制水平。为了确定正确的水平，管理层应该问自己：我们还应该走多远，成本与收益是否匹配？ 对于企业自身业绩的客观测评是比较困难的。应该测评什么，如何测评？企业需要衡量他们处于什么位置， 哪里需要改进，用什么管理工具来监督改进等。 COBIT通过以下方式来解决这些问题： 采用成熟度模型实施基准管理以识别所需的能力改进； IT流程的绩效目标和指标指明了IT流程如何满足业务目标和IT目标，并基于平衡记分卡的原理用于测量内部流程的绩效； 采用活动目标促进流程绩效的效果。COBIT - 成熟度模型 0-无级别：完全没有可识别的流程，组织还未意识到需要解决的问题。 1-初始级：组织已意识到问题存在并需要加以解决，但没有标准的工作流程，仍然基于个人与一事一办原则采用临时解决办法；管理缺乏统筹规划。 2-可重复级：已建立工作流程使不同人员在执行相同任务时能够采用类似的操作程序，但未对这些流程组织正式的培训和贯彻，其职责仍停留在个人阶段；实际工作对个人知识与能力存在很强的依赖性，错误时有发生。 3-已定义级：已建立标准化的书面程序，并通过正式的培训进行贯彻；虽已明确要求工作中必须遵循这些流程，但偏离流程的现象仍有发生；程序本身还不尽完善，只是现有工作惯例的正式化。 4-可管理级：管理层监督和衡量对程序的遵循性，并在流程失效时采取必要的纠正措施；工作流程已处于持续改进中并能作为最佳实践；自动化和工具在有限范围内分散使用。 5-优化级：基于持续改进的结果及外部组织的成熟度模型，工作流程已被优化为最佳实践。IT作为一个整体以使工作流程自动化、提供改进工作质量和效率的工具、使企业能够快速适应。D4.一般控制程序 一般控制适用于组织的各个方面，控制程序包含由管理者建立的政策及方法，目的在于合理地确保控制目标可以实现。 一般内部控制程序包括： u 会计控制针对会计操作，关注资产安全及财务记录可靠性运营控制保证日常业务操作、功能及活动满足业务目标需求管理控制关注职能部门的运作效率及运营控制符合管理政策的程度，以提高经营效率、保证管理方针和政策的贯彻。具体有以下几个方面： 确保恰当使用信息和技术资产的组织安全政策和规程在设计和使用充分的文档与记录（手工或自动化）方面的总体政策，以确保交易的正确记录（交易的审计轨迹）确保充分保护资产和设施的访问及使用的安全保护流程和实务数据中心和IT资源（如：服务器和通讯基础设施）的物理、逻辑安全政策E.实施信息系统审计 定义 审计是指有胜任能力的独立机构或人员接受委托或授权，对特定经济实体的可计量的信息证据进行客观地收集和评价，以确定这些信息与既定标准的符合程度，并向利益相关者报告的一个系统过程 审计目的在于确定、履行被审计单位的委托责任和加强对被审计单位的管理与控制。实施审计的限制因素： u 最近的员工更替或缺席； u 违反约定的项目结束日期及更新处理日期； u 相关知识与文档的缺乏。 审计项目管理 u 制定详细的计划； u 按照审计计划报告项目活动； u 调整计划及采取纠正行动。审计工作五要素 IT审计是指IT审计人员对主体责任人（被审计人）所负责的IT相关主体事项所进行的检查或评价活动，一般也涉及到直接使用该主体事项的第三方责任人，该方受管理层委托行使对主体事项的日常运营和管理职责。因此，第三方责任人是评价的最终用户（一般为业务管理部门），应该与主体责任人（一般为IT管理部门）、审计人员一起，议定审计中使用的评价标准。E1. 审计分类 财务报表审计 经营审计 综合审计 管理审计 信息系统审计 专项审计 司法取证审计信息系统审计的特殊性信息系统审计师还可以经常从不同的方面来评估IT 系统与功能，比如：安全、质量、服务、 可靠性及能力等。 u由于审计对象的特殊性，信息系统审计在实施审计时，还要理解和掌握测试和评估信息系统控制的方法E2.审计方法论 审计方法论就是通过在组织中制定一系列规范的审计方法来达到预期的审计目标，也可称为审计策略。 主要内容包括审计范围、审计目标及工作程序。 审计方法论应当由审计部门的管理人员来制定与批准，在整个审计过程中一贯使用，并在审计人员中推广应用。 所有的审计计划、测试、发现及相关工作都应当记录在工作底稿中。工作底稿形式多样，是审计目标与最终报告间的纽带，具有可追溯性，形成从目标到报告和报告到目标之间的无缝连接。 典型审计阶段：审计对象、审计目标、审计范围、初步审计计划、审计方法和收集数据的步骤、评价测试和检查结果、与管理人员沟通、准备审计报告。E3.审计方案 信息系统审计师经常需要从不同的角度评价IT系统及其功能，此时建立审计工作方案(也就是具体的审计策略与计划)是一件十分重要的工作； 通过审计工作方案可以确定具体的审计范围、审计目标、审计程序，以获得充分的、合理的证据，以得出和支持审计结论与审计建议。 审计方案的一般内容 获得对审计领域及审计主题的理解并进行记录； 进行风险评估并制定通用的审计计划和日程安排； 制定详细的审计计划； 对审计领域及审计主题的预审计； 对审计领域及审计主题进行评价； 符合性测试(常指对控制的测试，也叫控制控制测试) 实质性测试； 报告(沟通审计结果)； 后续工作（追踪审计）。E4.检测舞弊行为 一个设计良好的内部控制系统不仅可以有效地威慑舞弊现象的发生，而且还可及时检测出组织中出现各种不良行为； 信息系统审计师应当认真考虑组织中各种舞弊行为发生的可能性及出现的方式，特别要提防那些利用系统脆弱性和绕过IT环境中的控制来实施欺诈的行为。E5. 基于风险的审计（图见p34）根据数字统计规律查找舞弊 班福定律 数字频率系数测试 重复数字测试E6.审计风险与重要性水平 审计风险的概念 信息或财务报表可能有重要错误，但信息系统审计人员未发现已发生的错误，并做出了错误结论的风险 审计师选择审计方法，制定审计程序，目的就是把审计风险降低到审计师可以接受的水平。 评估审计过程本身所具有的风险，并决定在审计过程中是否采用及如何采用符合性测试及实质性测试。 把对控制所做的成本效益分析与已知的风险结合起来，做出最佳控制选择。审计风险分类 固有风险是指假设不存在相关的内部控制的情况下，发生重大错误的风险。 控制风险是指有内部控制制度但无法预防、及时发现或纠正重要错误的风险。 检查风险是指信息系统审计人员由于采用不恰当的测试程序，未能发现已存在重大错误的风险。 整体审计风险整体审计风险是对个别控制目标所评估出的各类审计风险的综合。 整体风险的计算： 整体审计风险=(X*固有风险) (Y*控制风险) (Z*检查风险) 重要性、重大性、物质性（Materiality） 是指错误的严重程度，这一程度是从被审计信息系统的利益相关者的角度来判断，如果影响到利益相关者的判断与决策，那么这一错误就是重要的。 信息系统审计人员在计划审计业务时，为做出抽样决策，应评估重要性水平，以有效地使用审计资源，实现审计目标。 财务报表用货币价值作为衡量标准，审计师可以用货价值来衡量重要性水平。而信息系统审计的对象可以是非财务项目，因此IS审计师需要得到如何确定重大性水平的指导 其中X,Y,Z 为风险权数审计准则S12 审计重大性 准则 03 IS审计师在确定审计程序的性质、时间和范围时，应当考虑审计重大性及其与审计风险的关系。 04 在审计计划阶段，IS审计师应当考虑控制的潜在缺陷或缺失，以及可能导致的信息系统重大缺陷或不足。 05 IS审计师应当考虑次要控制缺陷或缺失的累积效应导致产生的信息系统重大缺陷或不足。 06 IS审计师应当在报告中披露无效控制或缺失控制、控制缺陷的重要性及其导致重大缺陷或不足的可能性。审计准则S12 审计重大性 补充指导 07 审计风险是IS审计师由审计发现得出不正确结论的风险，IS审计师应当理 解审计风险的三个组成部分：固有风险、控制风险和检查风险。 08 在计划和执行审计任务时，IS审计师应当通过对IS及其相关控制的适当评 估，努力降低审计风险至可接受的较低水平并满足审计目标的要求。 09 如果控制缺失将导致不能合理保证满足控制目标的要求，该控制缺陷应当被认为是“重大性”的。 10 重大缺陷意味着：控制不存在、控制无效或控制不足并会逐步升级。 11 重大缺陷是指不能预防或检查到的小概率非预期事件所导致的重大不足或 其组合。 12 重大性与IS审计师可接受的审计风险水平呈反向关系，即：重大性水平越 高，可接受审计风险越低，反之亦然。IS审计师可据此确定审计程序的性质、时间和范围，例如：在制定一个具体审计程序时，IS审计师确定重大性水平较低，从而提高审计风险，并打算通过扩大控制测试（减少控制风险评估）或实质性测试程序（减少检查风险评估）予以补偿。 13 在确定控制缺陷或其组合是否为重大缺陷或不足时，IS审计应当评估补偿性控制的影响及其有效性。E7.风险评估与处置 为加深对审计风险的理解，IS审计师应当理解被审计的组织是如何评估与处置风险的 风险处置措施 降低风险 接受风险 转移风险 避免风险E8.风险评估技术 每一种对象审计都面临着不同的审计风险，信息系统审计师要善于评价各种风险，并选择对高风险区域进行审计。 风险评估的方法： 一种是定性分级：对审计对象每一个重要风险因素给出一个分值，把各种因素的风险值累计起来就是被审计对象的风险值。要优先对高风险区域进行审计。 另一种技术是审计师根据专业经验、业务知识、管理层的指导、业务目标、环境因素等进行判断，以决定风险大小及审计的优先级E9.审计目标 审计目标就是要通过收集证据，证实内部控制存在并能有效地降低业务风险。通用的审计目标主要是鉴证信息资产的机密性、完整性、可用性、可靠性及与法律法规的符合性。 在计划信息系统审计时，一个关键因素就是要把基本的审计目标转换成特定的信息系统审计目标。 确定特定审计目标要根据审计师职业判断并参照相关标准，如：COBIT、BS7799、CMM、 ITIL等。E9.审计目标-BS7799/ISO17799 信息安全领域中，ISO17799在包括信息安全策略，资产管理，脆弱性、故障、事故管理，业务持续性管理等方面可为组织提供很好的实践指南，它所建立的最佳实践标准不但可用于在信息系统发生故障或中断时确保业务持续运行，而且能够控制对数据、系统和网络的访问，保护信息的机密性和完整性，防止对技术设施的非授权访问，同时还能够保证符合相关的法律规定。E9.审计目标-CMM/CMMI 应用软件开发控制方面，CMM （软件能力成熟度模型）在世界各地已得到广泛接受。CMM关注软件开发过程的标准化与控制，它将软件开发水平分为5个逐渐演进的“成熟度”等级： 初始级、可重复级、已定义级、量化管理级和 优化级。COBIT借鉴了CMM的成熟度模型并将其推广，可适用于包括软件开发在内的所有IT 流程。根据流程成熟度模型，审计人员可与IT 部门商定一个适当的级别作为目标和基准，对比企业实际状况，评价IT流程存在的不足及所需改进。E9.审计目标-ITIL 在IT服务管理领域，ITIL （信息技术基础设施库）是事实上的标准，国际上先进银行的IT运行服务多采用ITIL进行管理。其最新版本3.0的主要内容中包括服务台、事件管理、问题管理、变更管理、配置管理、服务水平管理等11个主要模块，其主要目标是把IT服务与企业和客户需求连成一体，提高服务质量，减少服务成本。E10.符合性测试与实质性测试 符合性测试 是对信息系统中内部控制的存在性、有效性及控制程序编写方法的合规性进行核实，并得出相应审计结论的一种测试方法。 测试方法有：发放调查问卷、实地考察、查阅有关程序文档资料等。 符合性测试时要注意的问题： 控制制度涉及的方面越多，相应的系统风险越大，所允许的控制风险就越小，符合性测试所取的样本量就越大。 控制措施越重要，所允许的控制风险就越小。即某一控制措施很重要，一旦测试发现其已失控时，就没有必要进行符合性测试，而应在此关键点进行更多的实质性测试。 u尽管符合性测试既包括功能测试，也包括业务测试，既测试有无错误，也测试具体数据，然而符合性测试是对内部控制功能的实际作用的测试，而不是对系统处理后的资料正确性的测试，所以还必须进行实质性测试。实质性测试 是指经被审计信息系统处理过的各种包括财务会计信的直接检查和分析性复核，以便对企业经济信息的质量发表审计意见。 信息系统条件下的实质性测试与手工会计核算系统中的实质性测试在目的和内容上是相同的，只是在测试手段、方法、对象和时机上有所不同。 实质性测试时要注意的问题： u审计人员应根据符合性测试的结果来确定实质性测试的范围。一般地说，符合性测试表明内控可靠性高，实质性测试范围小；反之，实质性测试范围就大。 通过分析性审核所发现的异常项目，应包括在审计抽样中，而且样本数应大于在普通情况下的抽样数量，在特定情况下，甚至对所有异常项目进行100的实质性测试。 网络化条件下，成批的事后审计被实时的事中审计所取代，大量数据同时瞬时通过审计控制点时，在实质性测试中就必须采用统计抽样技术，以便最大限度地减少审计风险。E11.证据 定义 证据就是审计师按照审计标准及目标的要求，在对某一实体或数据进行审计时所采用的信息。 收集证据是审计过程的一个重要步骤，信息系统审计师必须了解审计证据的表现形式、收集及评价证据的程序与技术 证据的可靠性保证： u提供审计证据人员的独立性 u提供审计信息或证据人员的资格 u审计证据的客观性 u审计证据的时效性收集证据的方法 检查信息系统组织结构 检查信息系统政策与程序 检查信息系统标准 检查信息系统文档 选择合适的人员进行访谈 观察工作流程和员工表现 穿行测试 走查E12、访谈和观察工作中的员工 概念 观察员工的履行其职责的过程，有助于信息系统审计师获取准确的第一手资料。 主要内容 工作职能-判断合适的员工在做合适的事，见证员工是如何理解和遵守组织的政策及程序。 实际过程/程序-对现场对过程/程序进行穿行测试，有助于获取符合性的证据以及了解偏离标准的程度。 安全意识-验证员工是否理解并实施了好的预防性和检测性的安全控制措施，以保护组织信息资产安全。 报告关系-确保对其工作是否分配了充分的职责，并进行了必要的职责分离。E13、抽样 概念 从审计总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。 统计抽样与非统计抽样 统计抽样是审计师在计算正式抽样结果时采用统计推断技术的一种抽样方法。 非统计抽样是审计师全凭主观标准和个人经验来评价样本结果并对总体做出结论。 两者最根本的区别是统计抽样可以量化抽样风险。属性抽样和变量抽样 属性抽样估计一个控制或一组相关控制属性的发生概率。 变量抽样根据总体的抽样来估计总体的金额数或其他衡量单位，如重量。属性抽样的方法 固定样本量抽样法 停走抽样法 发现抽样 变量抽样的方法 分层单位平均估计抽样 不分层单位平均估计抽样 差额估计抽样统计抽样中的术语 置信系数 风险水平 精度 预期差错率 u 样本均值 u 样本标准差 u 可容忍差错率 总体标准差 执行审计抽样的主要步骤： 决定测试的目标； 定义抽样的总体； 决定抽样的方法，如变量抽样或属性抽样。 计算样本大小； 抽取样本； 从审计角度来评价样本。 抽样公式 其中： n1、n2、n3分别为属性抽样、变量抽样和货币单位抽样的样本量 C 置信系数，也称置信水平、可信因子，是以百分比（95%、99%等）表示的抽样结果能够代表总体的概率。一般而言，95%的置信水平则认为高度满意，置信水平越高，样本量越大。1减去置信系数为风险水平，是样本结果不能代表总体的概率。 p 预期总体误差，即预期差错发生率，以百分比表示，是审计师估计总体可能存在的错误率。预期总体误差越高，样本量越大，用于属性抽样中，其另一个参数q等于1减去p。 P 精度，也称精确度，由审计师设定，代表样本与总体之间的可接受误差范围。在属性抽样中，精度以百分比表示，在变量抽样中，精度用一个数值表示。精度值越大，样本量越小，总体误差值就越大；反之，精度值越小，样本量越大，总体误差值就越小，但增加了抽样工作量。 总体标准差，是衡量总体中个别单位偏离总体平均值的离散程度 的指标，标准差越大，样本量越大，用于变量抽样中。 BV 账面价值。 RF 泊松分布的风险因素，或称可靠性因素，可通过查表得出。 TM 可容忍错报额。E14. 使用其他审计师和专家服务 原因 信息系统审计师的普遍短缺，同时组织也需要IT安全专家和其他学科的专家的协助； 信息系统鉴证和安全服务工作的外包越来越成为一种趋势。 注意事项 是否存在法律、法规方面对外包审计服务的限制； 审计章程、审计委托书或合同约定； 对整体的或特定的信息系统审计目标的影响； 对信息系统审计风险和职业责任的影响； 其他审计师或外部专家的独立性和客观性； 职业能力、资质及经验； 所涉及的外包工作范围和工作途径； 来自组织监督层和审计管理层的对审计外包的控制； 对审计工作结果的沟通形式与方法； 与法律、法规及职业标准的符合性；E15.计算机辅助审计技术CAAT l 通用和专用审计软件技术通用和专用审计软件都是一组能够读取、计算、分析计算机可读记录的程序。 主要功能包括：数据读取和转换、查询、计算、分类、抽样选择、排序、数据文件联结、比较、合并、输出。 常用的计算机辅助审计软件与技术 公用软件 测试数据 应用程序检查审计专家系统 整体测试 快照 系统控制审计审核文档 其他特殊的审计软件 CAAT的应用领域：u 对交易与帐目数据的详细测试u 分析性的检查过程u 信息系统一般控制的符合性测试u 信息系统应用控制的符合性测试操作系统脆弱性评估及穿透测试在准备购买或开发CAAT前应当考虑的事项： 易操作，包括对现有及未来的审计人员 培训需求 编码及维护的复杂性 使用的灵活性 安装需求 处理效率（特别是PC机上的CAAT） 源数据导入CAAT所需的精力 保护导入数据的真实性，确保其完整性 记录关键处理点所下载数据的时间戳，以支持检查的可信度 获得在被审计服务器上安装软件的许可 软件的可靠性 处理数据的机密性E16.审计证据评价 收集审计证据之后，要评估所收集的信息，以便提出审计意见。 审计证据评价要考虑的因素有： 控制需求 相关及周边信息 考虑补偿性与重叠性控制（第二章详述） 考虑控制的相关性 判断控制是否有效率和效果 分析证据的技术 判断审计结果的重要性水平 审计师应善用判断来决定哪些问题对相关层级主管是重要的，并向他们报告。E17.审计报告 审计准则070.03中规定“在信息系统审计完成后，信息系统审计师应提交一份按要求格式书写的信息系统审计报告。信息系统审计报告应陈述信息系统审计工作的范围、目标、期间、性质等，并限定报告提交对象和发放条件。在报告中还应陈述信息系统审计结论、 信息系统审计建议和保留意见。” 审计指南070.010 “审计报告”提供了一个审计报告内容与格式的一般指导E18.审计跟踪 审计工作应当是一个持续进行的过程，某一阶段审计活动完成，审计报告递交后，还需要跟踪检查管理层是否就审计发现及结论采取了改进措施。 跟踪检查的时效性取决于审计发现的重要性及基于审计的职业判断，跟踪检查的结果要及时与管理层沟通。 E19.审计档 ISACA审计指南G8“审计文档”条款对审计文档作了明确的要求. 应当包括：审计计划、信息系统环境的描述及图示、审计程序、会议记录、审计证据、审计发现、审计结论及建议、审计过程中发布的任何其他报告及监督检查结论等。F.控制自我评估CSA 定义 控制自我评估是用来对关键业务目标、实现目标所面临的风险及管理业务风险的内部控制进行检查的一系列正式的、程序化的过程。 在控制自评活动中，管理层和CSA工作团队将直接参与到对现有控制的判断与监控中。 在这个活动中，信息系统审计师充当控制专家及评估活动的推动者。 CSA基本工具包括管理会议、研讨会、工作表及CSA项目方法。实施CSA方法的目标 通过把一些控制监督的功能分散到职能部门，以发挥内部控制的优势。 CSA方法还要教育管理人员如何针对风险区域设计控制方法与监督