信息系统审计基础培训材料

1、信息系统审计基础培训，1，信息系统审计基础培训，信息系统审计基础培训，2，课程目录，信息系统审计基础通用计算机控制审计应用系统控制审计计算机辅助审计技术介绍信息技术控制缺陷的评估对外包服务商内部控制的考虑交流与回答，信息系统审计基础培训，3，信息系统审计基础，信息系统审计基础培训，4，信息技术审计的定义，为了信息系统的安全、可靠与有效，由独立于审计对象的它审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向它审计对象的最高领导，提出问题与建议的一连串的活动信息技术。审计的要点：独立性综合性它审计师资格它审计报告促进信息系统安全、可靠与有效，信息系统审计基础培训，5，信息

2、技术审计相对财务审计，执行财务报表审核21)、对我们审计范围内的错报进行总体评估（第20章)，执行控制的操作有效性测试（第20章).17)，执行审计计划，确定计划重要性（第11)、执行初步分析评审（第10)、了解实体及其环境（中国7 .)，战略审计规划6)、执行初步规划，规划中级实质性程序（第. 15)，计划在当前审计期间或与我们在之前的两次审计中所做的工作一起，获得关于控制措施的运行有效性的审计证据，计划基本水平的基本程序（第14 15)，计划获得关于控制措施的运行有效性的审计证据，在当前审计期间，计划适度的实质性程序（第14 15)，计划一个有重点的实质性程序水平（中国15)、制定审计计划

3、、总结、传达审计计划（第16章)，依靠控制的运行有效性的计划（第16章).13)、特定已识别风险（中国12)、是、否、是、否、是、否、3.0、1.7、0.7、2.0、执行实质性程序18)/或细节测试（第19)，无特定的已识别风险（中国12)、在潜在误差水平上评估风险12)，控制措施的设计实施是充分的（第. 9)，不，信息系统审计基础培训，6，内部控制构成要素(COSO)，确保相关信息得到及时识别与传达的程序来自高管的信息政策与程序培训道德准则，组织的控制意识。评价书面政策和程序文化的“高层次论证”道德准则，评价影响组织绩效的内部和外部因素，业务风险管理程序风险管理内部审计风险评价，程序管理分析

4、和披露委员会内部审计，以确定内部控制是否正确设计，有效，并根据当地情况实施，政策和程序，以确保及时实施风险管理措施，授权，审批，普通程序和系统责任，客户对账分离，信息技术控制， 信息系统审计基础培训7、信息技术穿插于企业内部控制的各个方面，控制环境信息技术控制环境是公司整体控制环境的重要组成部分。 在公司的“老板”层面，你应该听到关于信息技术的声音。信息技术的控制职责和签署权必须明确。必须编写信息技术的控制政策和程序。风险评估应有专门的信息技术风险评估程序。应监督信息技术内部控制计划的制定。信息技术风险包括安全、操作和可用性。这将影响财务报告的可靠性。管理层必须认识到信息技术的风险与信息技术的

5、控制密切相关。信息和通信被用来支持通信的结构、标准和过程信息，这些信息可以被准确和及时地向上传输。方便获取与信息技术相关的政策、流程、岗位描述和职责定义，准确整理和传递财务数据和报告，监督信息技术内部控制的持续监督。确保其实质性、有效性、实用性和可操作性，监督信息技术文件的充分性，进行内部审计和信息技术审查，监测补偿和升级程序，进行持续的安全监督，进行信息系统审计的基本培训，8、了解企业的内部控制程序，并确定主要活动、程序和控制措施，以处理各实体层面的内部控制构成要素。了解监事应如何应对风险，评价控制的设计和实施，并得出以下结论：有助于实现有效的内部控制和可靠的财务信息处理。无论是提高还是降低

6、内部控制的有效性，信息系统审计的基础培训，9，信息技术控制是内部控制的重要组成部分，实体级控制实体级控制决定了组织的基调和文化。信息技术实体级控制是公司整体控制环境的一部分。控制措施包括：战略和计划政策和程序风险评估活动培训和教育质量保证内部审计，嵌入在信息技术流程中的信息技术一般控制措施，提供可靠的操作环境并支持应用控制措施的有效运行。控制包括：程序开发程序变更程序和数据访问计算机操作，应用程序控制嵌入业务流程应用程序中的控制直接支持财务控制目标。控制包括：控制目标/主张包括：完整性准确性存在/授权展示/披露、信息系统审计基础培训、10、控制与风险、风险是一种由特定威胁引起的潜在资产损害。风

7、险的严重性与资产价值和威胁频率成正比。为使管理层将风险控制在可接受的水平，有必要对已识别的各种风险实施相关控制。实施过程中应考虑以下因素：控制成本与降低风险收益的比较；管理层的风险偏好(如管理层准备接受的剩余风险水平)；管理层愿意采用的风险降低方法(如终止风险、降低发生可能性、降低影响、转移或保险)；信息系统审计基础培训；11、分类控制；预防控制在问题发生之前监控问题，监控操作和输入，在问题发生之前预测潜在问题，避免错误、遗漏或故意行为，使用控制来检查和报告错误、遗漏或故意行为，并使用纠正控制来减少危害，修复检查控制发现的问题，找出问题的原因，纠正由问题产生的错误，并修改处理系统以减少将来出现

8、问题的可能性。信息系统审计基础培训12、内部控制目标内部控制是通过实施一系列具体的控制活动来达到预期的结果或目标。一般而言，内部会计控制主要针对会计业务，即资产安全和准确可靠的财务信息。运营控制针对日常运营、职能和活动，用于确保运营符合企业目标管理控制，该控制关注职能部门的运营效率以及运营控制符合管理政策的程度。控制技术环境控制旨在提高运营效率并确保管理方针和政策的实施。它保护信息资产，满足组织的政策和法律法规的要求，信息输入和输出，事务处理的准确性和完整性，数据处理的可靠性，备份和恢复，业务操作的效率和效果，信息系统审计的基本培训，13，信息系统控制目标，内部控制目标可应用于所有手动和自动控

9、制部分。共同的信息系统控制目标包括：保护信息系统，防止不当访问；确保计算机操作系统和网络操作系统的完整性得到及时更新；保护敏感和重要应用系统(如财务和管理应用系统)的机密性和完整性；确保信息系统的运行效率和效果满足用户、组织政策、战略和程序的需要，并符合法律法规的要求；制定业务连续性计划和灾难恢复计划；制定应急响应和处理程序。信息系统审计基础培训14、实施信息系统审计，信息系统审计是检查和评估自动化信息处理系统、其相关的非自动化程序以及它们之间的接口等。实施信息系统审计需要以下步骤：充分的审计计划(短期和长期)为了有效地利用审计资源，审计机构必须评估所有风险(一般控制和应用控制领域)，制定审计

10、计划，包括审计目标和审计程序，收集证据，评估和测试现有控制，编写审计报告，并与管理层交流审计结果，信息系统审计的基本培训，15，测试和评估信息系统控制， 信息系统审核员必须了解和掌握测试和评估信息系统控制的方法：使用通用审核软件调查数据文件(包括系统日志)的内容，使用专用软件评估操作系统参数文件(如测试系统参数设置漏洞)，使用流程图说明业务流程和应用系统，使用操作系统内置的审核报告检查和观察文档。 信息系统审计基础培训，16，合规性测试与实质性测试，合规性测试，以确定控制的实施在多大程度上符合管理层制定的方针和政策。测试的目的是为信息系统审核员提供保证，即初步评估中确定的关键控制点是可靠的。实

11、质性测试验证实际处理的完整性。例如，对于贷款利息的计算，信息系统审计人员可能会进行详细的利息计算测试，或者采用统计抽样技术，并得出结论，所有的贷款利息计算结果都是审计证据包括审计员的观察、询问记录、从内部文件或信件中获得的信息以及审计测试程序产生的结果。审计证据的可靠性取决于以下因素：提供审计证据的人员的独立性、审计证据的客观性、审计证据的有效性、信息系统审计的基本培训、18、获取审计证据的途径、获取审计证据的技术包括：检查信息系统组织结构、检查信息系统政策、检查信息系统标准、检查信息系统文件、访谈相关人员和举行会谈以观察处理过程和员工的实际表现。审计工作不仅包括查询程序，还包括测试和验证控制

12、和审计证据，得出审计测试结论，信息系统审计基础培训，19，一般计算机控制审计，信息系统审计基础培训，20，一般计算机审计涉及的领域，信息系统运行信息安全应用系统的实施和维护，数据库的实施和维护，网络支持系统软件支持信息资源战略和与外包供应商的规划关系，业务连续性计划硬件支持， 信息系统审计基础培训，21、信息系统操作，所有批量处理、在线操作和报表生成的生产程序能及时运行并正常完成。 根据法律、法规或公司政策，只有有效的生产程序才能执行，数据才能保存，以便在必要时随时获得计算机处理环境的服务水平，满足或超过管理当局的期望。用户可以接受应用系统使用方面的适当培训，并获得适当的支持，以确保应用系统的

13、功能按照他们预定的目标运行。信息系统审计基础培训，22、信息系统操作，所有批量和在线操作的生产程序及报表生成能及时运行并正常完成。管理当局应监督计算机处理(包括审查和解决任何异常)，以确保成功处理和及时完成异常处理异常。它们应记录在日志中，由管理机构审查，并立即解决，以定义批处理和在线处理程序。为确保工作和/或事务正常处理和完成，或恢复和重新处理，信息系统审计基础培训，23，信息系统操作，仅执行了有效的生产过程自动调度工具，以确保处理流程得到授权和完成，并定义了生产过程控制语言和可执行程序的访问权限。只有合适的人员才能执行、修改、删除或创建。管理当局或用户审查已完成的处理，以确保其正确性、完整性和授权。信息系统审计基础培训，24。信息系统运行、数据保存符合法律、法规或公司政策，