銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹課件_第1頁(yè)
銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹課件_第2頁(yè)
銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹課件_第3頁(yè)
銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹課件_第4頁(yè)
銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹課件_第5頁(yè)
已閱讀5頁(yè),還剩119頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

信息系統(tǒng)審計(jì)實(shí)務(wù)介紹

2009年3月招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

信息系統(tǒng)審計(jì)實(shí)務(wù)介紹

200聲明本培訓(xùn)資料中所包含之內(nèi)容屬保密內(nèi)容,未經(jīng)安永(中國(guó))企業(yè)咨詢有限公司正式書面允諾,不得部分或全部復(fù)制,不得使用于非法目的,不得以任何形式交予任何第三方或與任何第三方討論其中之內(nèi)容。保密內(nèi)容–安永(中國(guó))企業(yè)咨詢有限公司,二○○九年,保留所有權(quán)利聲明保密內(nèi)容–安永(中國(guó))企業(yè)咨詢有限公司,二○○

123第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一般架構(gòu)及范圍目錄

123第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一IT審計(jì)歷史背景IT審計(jì)的出處源自60年代IBM出版的《AuditencountersElectronicDataProcessing》等有關(guān)在EDI環(huán)境下進(jìn)行審核和組織的論述。不久后有關(guān)該方面的研究結(jié)果不斷涌現(xiàn),IT審計(jì)的雛形初步形成。但是由于信息系統(tǒng)在社會(huì)上尚未得到較為廣泛的應(yīng)用,因此IT審計(jì)并未在社會(huì)上形成意識(shí)。

七十年代中后期到八十年代初由于計(jì)算機(jī)在發(fā)達(dá)國(guó)家的企業(yè)初步普及,利用計(jì)算機(jī)犯罪和計(jì)算機(jī)系統(tǒng)失效的事件頻頻出現(xiàn),使得IT審計(jì)日益得到社會(huì)重視,美國(guó)、日本先后成立了IT審計(jì)方面的協(xié)會(huì)組織。從事對(duì)IT審計(jì)規(guī)則的制定和實(shí)施指導(dǎo)。值得注意的是1985年日本政府出臺(tái)了《IT審計(jì)標(biāo)準(zhǔn)》并根據(jù)美國(guó)勞工部的《SkillStart》和NorthwestCenterforEmergingTechnologies(NCET)對(duì)IT信息人員的從業(yè)技能的要求制訂了IT審計(jì)師(系統(tǒng)監(jiān)查員)的技能標(biāo)準(zhǔn)并以之作為新的"IT審計(jì)師(系統(tǒng)監(jiān)查員)"級(jí)考試的參考標(biāo)準(zhǔn)。

九十年代是IT審計(jì)的普及期,這主要?dú)w功于互聯(lián)網(wǎng)的普及?;ヂ?lián)網(wǎng)的普及是利用計(jì)算機(jī)犯罪的人員溫床,此外日益嚴(yán)重的軟件項(xiàng)目失敗問題引發(fā)了是否要對(duì)信息系統(tǒng)的投資和開發(fā)進(jìn)行審計(jì)的深思。IT審計(jì)得到了前所未有的重視。萌芽階段初步發(fā)展蓬勃發(fā)展IT審計(jì)歷史背景IT審計(jì)的出處源自60年代IBM出版的《AuIT審計(jì)的定義和對(duì)象IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查,是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方-IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。IT審計(jì)對(duì)象涵蓋整個(gè)信息系統(tǒng)所有活動(dòng)和中間產(chǎn)物,并包括信息系統(tǒng)實(shí)施相關(guān)的外部環(huán)境。一般來(lái)說(shuō),對(duì)企業(yè)實(shí)施IT審計(jì)的對(duì)象有:本企業(yè)內(nèi)的IT審計(jì)師外部IT審計(jì)事務(wù)所委托審計(jì)師國(guó)家審計(jì)機(jī)構(gòu)IT審計(jì)定義IT審計(jì)對(duì)象IT審計(jì)的定義和對(duì)象IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查,IT審計(jì)現(xiàn)狀計(jì)算機(jī)審計(jì)在發(fā)展的初期,還只是傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的一種輔助工具,對(duì)客戶的電子化會(huì)計(jì)數(shù)據(jù)進(jìn)行處理和分析,為財(cái)務(wù)報(bào)表審計(jì)人員提供服務(wù)。如今的信息系統(tǒng)審計(jì)的業(yè)務(wù)已經(jīng)超出了為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)的范圍,在很多大型會(huì)計(jì)公司內(nèi)部,信息系統(tǒng)審計(jì)部門已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起,更是為信息系統(tǒng)審計(jì)業(yè)務(wù)帶來(lái)了無(wú)盡的商機(jī)。為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)只占信息系統(tǒng)審計(jì)部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)?!拔磥?lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展”,這一觀點(diǎn)已經(jīng)逐漸成為國(guó)外會(huì)計(jì)、審計(jì)界的一個(gè)共識(shí)。會(huì)計(jì)公司以及整個(gè)社會(huì)對(duì)信息系統(tǒng)審計(jì)師需求量將隨之成倍地增長(zhǎng),信息系統(tǒng)審計(jì)師的地位也在不斷提高。在國(guó)外的一些大型會(huì)計(jì)公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人,他們持有的專業(yè)資格就是CISA。隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用,傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到巨大的挑戰(zhàn),大型跨國(guó)公司都將控制風(fēng)險(xiǎn),特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為管理咨詢和服務(wù)的重點(diǎn)。幾乎所有的大型跨國(guó)公司,由于普遍使用大型管理信息系統(tǒng),都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制。IT審計(jì)現(xiàn)狀計(jì)算機(jī)審計(jì)在發(fā)展的初期,還只是傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的IT審計(jì)現(xiàn)狀——銀行業(yè)當(dāng)前,隨著各銀行數(shù)據(jù)大集中的完成,IT風(fēng)險(xiǎn)也越來(lái)越集中。控制IT風(fēng)險(xiǎn)、保證信息系統(tǒng)穩(wěn)定運(yùn)行已成為銀行最緊迫的任務(wù)。此外,隨著金融監(jiān)管力度的加大,銀行信息披露制的實(shí)施也是當(dāng)務(wù)之急。這些都要求銀行加大對(duì)信息系統(tǒng)的審計(jì)力度。只有建立IT審計(jì)機(jī)制,由獨(dú)立的IT審計(jì)師進(jìn)行信息系統(tǒng)審計(jì),才能形成對(duì)信息系統(tǒng)安全的客觀評(píng)價(jià)。由于信息技術(shù)在銀行經(jīng)營(yíng)管理領(lǐng)域各個(gè)層面的廣泛運(yùn)用,IT審計(jì)也已貫穿在各種審計(jì)之中,成為時(shí)下銀行業(yè)最關(guān)注的重要課題。我國(guó)銀行業(yè)的IT審計(jì)尚處于摸索階段,尚缺乏成熟的經(jīng)驗(yàn)和案例可供參考,尤其是沒有針對(duì)大型數(shù)據(jù)處理和大型軟件開發(fā)的IT審計(jì)經(jīng)驗(yàn)可以借鑒。隨著信息技術(shù)在銀行普遍、深入的應(yīng)用,銀行信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最基本的條件之一,IT運(yùn)營(yíng)與公司運(yùn)營(yíng)緊密相關(guān),IT治理也與公司治理緊密相連,因此IT審計(jì)越來(lái)越得到銀行管理層的高度重視。目前,IT審計(jì)在國(guó)際上是一個(gè)相當(dāng)成熟的領(lǐng)域,發(fā)達(dá)國(guó)家的銀行均建立了完善的信息系統(tǒng)審計(jì)體系,而我國(guó)正在快速發(fā)展階段。IT審計(jì)現(xiàn)狀——銀行業(yè)當(dāng)前,隨著各銀行數(shù)據(jù)大集中的完成,ITIT審計(jì)差異分析IT審計(jì)部門的獨(dú)立性IT治理中審計(jì)人員的角色國(guó)外銀行IT審計(jì)的特點(diǎn)國(guó)外銀行IT審計(jì)的技術(shù)和組織框架IT審計(jì)人員的比例國(guó)外銀行IT審計(jì)的特點(diǎn)IT審計(jì)差異分析IT審計(jì)部門的獨(dú)立性IT治理中審計(jì)人員的角色國(guó)內(nèi)外銀行IT審計(jì)的差異組織結(jié)構(gòu)的差異從新加坡發(fā)展銀行的IT審計(jì)組織框架上看,IT審計(jì)由于涵蓋了軟件開發(fā)和項(xiàng)目投產(chǎn)、運(yùn)行維護(hù)的全過(guò)程,包含了各種技術(shù)平臺(tái)、系統(tǒng)生命周期的所有階段,因此IT審計(jì)機(jī)構(gòu)設(shè)置基本采用在總審計(jì)師領(lǐng)導(dǎo)下,與業(yè)務(wù)審計(jì)兩條線并列的模式。由于目前內(nèi)審部門的信息技術(shù)審計(jì)組織結(jié)構(gòu)不盡完善,無(wú)法進(jìn)一步細(xì)分審計(jì)職能、明確專業(yè)審計(jì)方向。審計(jì)覆蓋面上的差異國(guó)際上比較先進(jìn)的商業(yè)銀行無(wú)一例外全部開展了IT公司層面、IT一般控制和應(yīng)用程序控制的全方位IT審計(jì);我國(guó)由于信息技術(shù)審計(jì)工作開展不長(zhǎng),并且人員有限,還未能全面開展IT公司層面、IT一般控制和應(yīng)用程序控制的IT審計(jì)工作12人員上的差異從美國(guó)大通銀行的IT審計(jì)人員配備上看,人員專業(yè)化分工明確,技術(shù)水平要求也較高,懂IT技術(shù)人員的比例一般占內(nèi)部審計(jì)人員的30%-50%左右。而我國(guó)銀行從事信息技術(shù)審計(jì)工作的員工較少,在人員數(shù)量和質(zhì)量上與國(guó)際先進(jìn)水平還是有不小的差距。另外,在審計(jì)手段、輔助工具以及系統(tǒng)接口、技術(shù)支持等方面的差距更大,需要加強(qiáng)力量研究解決。3IT審計(jì)差異分析國(guó)內(nèi)外銀行IT審計(jì)的差異組織結(jié)構(gòu)的差異從新加坡發(fā)展銀行的ITIT審計(jì)專業(yè)要求—需要知識(shí)和技能IT審計(jì)師深入領(lǐng)會(huì)會(huì)計(jì)、經(jīng)濟(jì)、管理、商法、稅務(wù)、金融、審計(jì)和信息技術(shù)知識(shí);IT審計(jì)師通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全;;IT審計(jì)師能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù),對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造,以降低組織日益面臨的信息系統(tǒng)風(fēng)險(xiǎn),有效率使用資源,使到組織IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致。

需要知識(shí)和技能信息系統(tǒng)審計(jì)是一門邊緣性學(xué)科,跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。IT審計(jì)專業(yè)要求—需要知識(shí)和技能IT審計(jì)師深入領(lǐng)會(huì)會(huì)計(jì)、經(jīng)濟(jì)IT審計(jì)專業(yè)要求–

認(rèn)證IT審計(jì)專業(yè)要求–認(rèn)證IT審計(jì)專業(yè)要求–

認(rèn)證(續(xù))IT審計(jì)專業(yè)要求–認(rèn)證(續(xù))

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一般架構(gòu)及范圍

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審信息系統(tǒng)審計(jì)程序?qū)徲?jì)目標(biāo)和計(jì)劃審計(jì)中法律和法規(guī)影響ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南風(fēng)險(xiǎn)分析內(nèi)部控制實(shí)施信息系統(tǒng)審計(jì)控制自我評(píng)估信息系統(tǒng)審計(jì)程序?qū)徲?jì)目標(biāo)和計(jì)劃信息系統(tǒng)審計(jì)流程:依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),指導(dǎo)方針和最佳實(shí)踐,提供信息系統(tǒng)審計(jì)服務(wù)。確保組織的IT和業(yè)務(wù)系統(tǒng)得到保護(hù)和控制。信息系統(tǒng)審計(jì)程序信息系統(tǒng)審計(jì)流程:依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),指導(dǎo)方針和最佳實(shí)踐,審計(jì)目標(biāo)和計(jì)劃審計(jì)計(jì)劃獲得對(duì)業(yè)務(wù)使命、目標(biāo)、目的和流程了解找出規(guī)定的內(nèi)容評(píng)價(jià)管理層所實(shí)施的風(fēng)險(xiǎn)評(píng)估和隱私保護(hù)影響分析實(shí)施風(fēng)險(xiǎn)分析執(zhí)行內(nèi)部控制檢查確定審計(jì)范圍、審計(jì)目標(biāo)制定審計(jì)方法或?qū)徲?jì)戰(zhàn)略為審計(jì)任務(wù)和其后勤支援分配人力資源法律和法規(guī)對(duì)信息系統(tǒng)審計(jì)計(jì)劃影響審計(jì)目標(biāo)和計(jì)劃審計(jì)計(jì)劃法律和法規(guī)對(duì)信息系統(tǒng)審計(jì)計(jì)劃影響審計(jì)目標(biāo)和計(jì)劃(續(xù))審計(jì)成功條件在實(shí)施有效的信息系統(tǒng)審計(jì)中,首先要制定完善的審計(jì)計(jì)劃。制定審計(jì)計(jì)劃時(shí),信息系統(tǒng)審計(jì)師必須了解執(zhí)業(yè)的整體環(huán)境,包括與之相關(guān)的各種業(yè)務(wù)和控制風(fēng)險(xiǎn)。在審計(jì)計(jì)劃中,信息系統(tǒng)審計(jì)師要評(píng)估運(yùn)營(yíng)和控制風(fēng)險(xiǎn),同時(shí)識(shí)別控制目標(biāo)。審計(jì)目標(biāo)和計(jì)劃(續(xù))審計(jì)成功條件審計(jì)中法律和法規(guī)影響法律和法規(guī)要求對(duì)實(shí)施IT審計(jì)的法律要求對(duì)IT審計(jì)組織的要求IT審計(jì)過(guò)程中相關(guān)實(shí)體的責(zé)任與財(cái)務(wù)、業(yè)務(wù)及IT審計(jì)職能之間的相互關(guān)系信息系統(tǒng)審計(jì)師一般通過(guò)以下步驟確定組織對(duì)法律和法規(guī)符合性狀況:識(shí)別外部需求記錄相關(guān)法律與法規(guī)的要求評(píng)估組織在制定IT審計(jì)職能時(shí)是否考慮來(lái)自外部法律法規(guī)的要求檢查內(nèi)部信息系統(tǒng)相關(guān)部門是否在正式文件中落實(shí)了遵守法律法規(guī)的要求檢查組織已建立的程序是否符合法律法規(guī)我國(guó)與IT審計(jì)相關(guān)的法律和法規(guī)《審計(jì)法實(shí)施條例》《國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》審計(jì)中法律和法規(guī)影響法律和法規(guī)要求信息系統(tǒng)審計(jì)師一般通過(guò)以下信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)指南信息系統(tǒng)審計(jì)人員職業(yè)道德信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則目標(biāo)告知管理層和其他利益相關(guān)者審計(jì)相關(guān)的專業(yè)職責(zé)告知信息系統(tǒng)審計(jì)師根據(jù)ISACA準(zhǔn)則所必需遵守的相關(guān)審計(jì)規(guī)定以滿足專業(yè)審計(jì)要求。審計(jì)指南審計(jì)準(zhǔn)則審計(jì)程序?qū)徲?jì)準(zhǔn)則:信息系統(tǒng)審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系的總綱,是信息系統(tǒng)審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范,是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指南:審計(jì)指南是依據(jù)審計(jì)準(zhǔn)則制定的,是審計(jì)準(zhǔn)則的具體化,它詳細(xì)規(guī)定了信息系統(tǒng)審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指南,為審計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。審計(jì)程序:信息系統(tǒng)審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指南制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和步驟,是遵守審計(jì)準(zhǔn)則和審計(jì)指南的一些通用審計(jì)程序.審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則目信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南ISACA信息系統(tǒng)審計(jì)準(zhǔn)則和審計(jì)指南審計(jì)章程 獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)專業(yè)勝任能力審計(jì)計(jì)劃實(shí)施審計(jì)工作報(bào)告后續(xù)審計(jì)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南ISACA信息系統(tǒng)審計(jì)準(zhǔn)則和審計(jì)指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)章程 審計(jì)章程中載明信息系統(tǒng)審計(jì)的目的、責(zé)任、權(quán)限和職責(zé)獨(dú)立性

獨(dú)立性是指內(nèi)部審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外,可以理解為內(nèi)部審計(jì)部門的獨(dú)立性和內(nèi)部審計(jì)人員獨(dú)立性。內(nèi)審部門是否獲得獨(dú)立性應(yīng)考慮因素內(nèi)審部門設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定內(nèi)審部門向誰(shuí)負(fù)責(zé)和報(bào)告工作首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息,能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)的會(huì)議首席審計(jì)執(zhí)行官的任免有何種層次的領(lǐng)導(dǎo)層決定審計(jì)委員會(huì)由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)

職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)章程 獨(dú)立性 職業(yè)道德和標(biāo)準(zhǔn) 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)師的知識(shí)、技能和專業(yè)勝任能力出色的口頭和書面表達(dá)能力,以便清楚有效地表達(dá)審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)結(jié)論和審計(jì)建議擁有良好的人際交流技能接受后續(xù)專業(yè)教育,以保持專業(yè)技術(shù)的適應(yīng)性其他必備的技能包括對(duì)組織所在行業(yè)的深入了解,實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)營(yíng)方面所涉及流程的知識(shí)和技能審計(jì)師的知識(shí)、技能和專業(yè)勝任能力熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序和技術(shù),理解管理原則,深入領(lǐng)會(huì)會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、商法、稅收、金融和信息技術(shù)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)師的知識(shí)、技能和專業(yè)勝任能力出色的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南計(jì)劃

以相應(yīng)的法律和審計(jì)準(zhǔn)則為基礎(chǔ)基于風(fēng)險(xiǎn)審計(jì)方法制定詳細(xì)的審計(jì)計(jì)劃制定審計(jì)程序和步驟審計(jì)工作的實(shí)施

審計(jì)人員受到適當(dāng)監(jiān)督獲取證據(jù)審計(jì)底稿信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南計(jì)劃 審計(jì)工作的實(shí)施 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南報(bào)告

信息系統(tǒng)審計(jì)人員在完成審計(jì)工作后,應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲?jì)報(bào)告。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱、審計(jì)報(bào)告報(bào)送對(duì)象以及報(bào)告使用限制。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)工作所涵蓋的期間及所執(zhí)行審計(jì)工作的性質(zhì)和內(nèi)容。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)現(xiàn)的問題、形成的結(jié)論和建議以及審計(jì)師關(guān)于審計(jì)的任何保留意見。信息系統(tǒng)審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。審計(jì)報(bào)告簽發(fā)時(shí),信息系統(tǒng)審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書中的規(guī)定簽名、簽署日期再對(duì)外發(fā)放。后續(xù)審計(jì)

檢查之間的審計(jì)結(jié)論和建議檢查之間的審計(jì)發(fā)現(xiàn)的問題被審計(jì)單位是否及時(shí)妥善的處理了相關(guān)問題信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南報(bào)告 后續(xù)審計(jì) 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南使用ISACA指南

考慮審計(jì)指南,以決定怎樣實(shí)施審計(jì)準(zhǔn)則在應(yīng)用審計(jì)指南時(shí),審計(jì)師必須有自己專業(yè)判斷有能力調(diào)整出現(xiàn)的偏離信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南使用ISACA指南 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)定義:風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在的損害,風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值的損害程度及威脅發(fā)生的頻度成正比。影響風(fēng)險(xiǎn)的因素:業(yè)務(wù)流程及資產(chǎn)的脆弱性及其面臨的威脅,包括物理資產(chǎn)和信息資產(chǎn)威脅和脆弱性對(duì)資產(chǎn)的影響威脅發(fā)生的可能性(包括可能性和頻率)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)定義:風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)風(fēng)險(xiǎn)分析信息系統(tǒng)審計(jì)人員常常關(guān)注高風(fēng)險(xiǎn)問題,如敏感和重要信息的保密性、可用性、完整性以及生成、存儲(chǔ)和處理這些信息的重要的信息系統(tǒng)和流程等。風(fēng)險(xiǎn)分析有以下用途:幫助審計(jì)人員識(shí)別風(fēng)險(xiǎn),識(shí)別由管理層所建立的IT環(huán)境和IS系統(tǒng)的威脅及系統(tǒng)專有的內(nèi)部控制,審計(jì)人員根據(jù)風(fēng)險(xiǎn)水平選擇擬檢查的區(qū)域。幫助審計(jì)人員在制定審計(jì)計(jì)劃時(shí)對(duì)控制的評(píng)估。幫助審計(jì)人員確定審計(jì)目標(biāo)。支持基于風(fēng)險(xiǎn)的審計(jì)決策。風(fēng)險(xiǎn)分析信息系統(tǒng)審計(jì)人員常常關(guān)注高風(fēng)險(xiǎn)問題,如敏感和重要信息內(nèi)部控制內(nèi)部控制的定義企業(yè)管理層、高級(jí)經(jīng)理和所有人員為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行,保護(hù)資產(chǎn)的安全和完整;防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊,保證會(huì)計(jì)資料的真實(shí)、合法、完整而制定和實(shí)施的政策與程序。內(nèi)部控制內(nèi)容:控制分類信息系統(tǒng)控制目標(biāo)總體控制程序信息系統(tǒng)控制程序內(nèi)部控制內(nèi)部控制的定義內(nèi)部控制內(nèi)容:控制分類預(yù)防性控制檢查性控制糾正性控制職能在事情發(fā)生前檢測(cè)問題監(jiān)控運(yùn)營(yíng)和輸入在問題發(fā)生前預(yù)測(cè)潛在問題,并做出糾正避免錯(cuò)誤、疏忽或蓄意行為的發(fā)生使用控制檢查和報(bào)告發(fā)生的錯(cuò)誤、疏忽或蓄意行為減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問題找出問題原因和糾正問題衍生出的錯(cuò)誤修改處理系統(tǒng)以減少未來(lái)問題發(fā)生的可能性

作用僅雇傭勝任的人員和職責(zé)分工控制訪問物理設(shè)備使用良好設(shè)計(jì)的文檔(避免錯(cuò)誤)建立交易授權(quán)的配套流程完成程序化的編輯檢查使用訪問控制軟件,只允許授權(quán)用戶訪問敏感文件哈希匯總(Hashtotals)生產(chǎn)作業(yè)中的檢查點(diǎn)電信領(lǐng)域的回顯〔Echo)控制磁帶標(biāo)簽上的錯(cuò)誤信息重復(fù)計(jì)算檢查和定期匯報(bào)性能差異過(guò)期賬款報(bào)告和內(nèi)部審計(jì)

意外處理計(jì)劃備份流程恢復(fù)運(yùn)營(yíng)流程

控制分類預(yù)防性控制檢查性控制糾正性控制職能在事情發(fā)生前檢測(cè)問信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控制部分,所以對(duì)信息系統(tǒng)的控制目標(biāo)不變,但控制的性質(zhì)可能有所不同。因此應(yīng)該根據(jù)具體的相關(guān)流程來(lái)制定具體的內(nèi)部控制目標(biāo)。常見的控制目標(biāo)有:保護(hù)信息系統(tǒng)以防止不當(dāng)存取,并確保及時(shí)更新保護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性通過(guò)以下方法保護(hù)敏感的、重要的應(yīng)用系統(tǒng)(如財(cái)務(wù)及管理應(yīng)用系統(tǒng))的機(jī)密性和完整性:保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、策略與程序,并遵守法律法規(guī)的要求.制定業(yè)務(wù)持續(xù)計(jì)劃及災(zāi)難恢復(fù)計(jì)劃制定應(yīng)急響應(yīng)及處理程序信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控總體控制程序總體控制適用于組織的各個(gè)方面,控制程序包含由管理者建立的政策及方法,目的在于合理地確保控制目標(biāo)實(shí)現(xiàn)??傮w內(nèi)部控制程序包括:內(nèi)部會(huì)計(jì)控制—主要針對(duì)會(huì)計(jì)操作,關(guān)注資產(chǎn)安全、財(cái)務(wù)資料準(zhǔn)確可靠日常經(jīng)營(yíng)控制—保證日常業(yè)務(wù)操作、功能及活動(dòng)能滿足業(yè)務(wù)目標(biāo)需要.組織管理控制—關(guān)注職能部門的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度,以提高經(jīng)營(yíng)效率和保證管理方針、政策的實(shí)施為目標(biāo)總體控制程序總體控制適用于組織的各個(gè)方面,控制程序包含由管理信息系統(tǒng)控制程序總體內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序.設(shè)計(jì)良好的信息系統(tǒng)應(yīng)該對(duì)全部的敏感或重要功能進(jìn)行控制。信息系統(tǒng)內(nèi)部控制程序可分為以下幾類:信息系統(tǒng)戰(zhàn)略與方向信息系統(tǒng)組織與管理對(duì)數(shù)據(jù)與計(jì)算機(jī)程序的訪問限制系統(tǒng)開發(fā)方法與變更控制數(shù)據(jù)處理作業(yè)系統(tǒng)編程及技術(shù)支持?jǐn)?shù)據(jù)處理質(zhì)量保證程序物理訪問控制業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)網(wǎng)絡(luò)和通訊數(shù)據(jù)庫(kù)管理信息系統(tǒng)控制程序總體內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序?qū)徲?jì)定義:審計(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán),對(duì)特定經(jīng)濟(jì)實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀收集和評(píng)價(jià),已確定這些信息預(yù)計(jì)定標(biāo)準(zhǔn)的符合程度,并向利益相關(guān)者報(bào)告的一個(gè)系統(tǒng)過(guò)程。實(shí)施信息系統(tǒng)審計(jì)審計(jì)分類財(cái)務(wù)審計(jì):是指審計(jì)人員對(duì)被單位的會(huì)計(jì)報(bào)表的合法性、公允性發(fā)表審計(jì)意見。經(jīng)營(yíng)審計(jì):對(duì)企業(yè)經(jīng)營(yíng)活動(dòng)的內(nèi)部控制構(gòu)成進(jìn)行評(píng)估綜合審計(jì):是指財(cái)務(wù)審計(jì)與經(jīng)營(yíng)審計(jì)的結(jié)合。綜合審計(jì)的目的既包括對(duì)財(cái)務(wù)報(bào)表發(fā)表審計(jì)意見,即財(cái)務(wù)信息的正確性、資產(chǎn)的安全性:也包括對(duì)內(nèi)部控制的審計(jì),即內(nèi)部控制的效率與效果的審計(jì)。管理審計(jì):是一種評(píng)價(jià)組織內(nèi)與經(jīng)營(yíng)效率相關(guān)的問題的審計(jì)。信息系統(tǒng)審計(jì):接下頁(yè)審計(jì)定義:審計(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán),信息系統(tǒng)審計(jì)定義:信息系統(tǒng)審計(jì)時(shí)收集并評(píng)價(jià)審計(jì)證據(jù),以判斷與被審計(jì)單位信息系統(tǒng)有關(guān)的資源與資產(chǎn)的保全、資料與系統(tǒng)的完整性維護(hù)等;判斷信息系統(tǒng)是否可以提供值得信賴的資料,并有效實(shí)現(xiàn)組織的目標(biāo);信息系統(tǒng)的內(nèi)部控制是否有效的實(shí)現(xiàn)控制目標(biāo)和經(jīng)營(yíng)目標(biāo),并能及時(shí)的預(yù)防、發(fā)現(xiàn)和糾正不良事件的發(fā)生。實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)定義:信息系統(tǒng)審計(jì)時(shí)收集并評(píng)價(jià)審計(jì)證據(jù),以判斷與審計(jì)程序的步驟獲取并記錄對(duì)審計(jì)對(duì)象的了解風(fēng)險(xiǎn)評(píng)估和總體審計(jì)計(jì)劃和安排詳細(xì)審計(jì)計(jì)劃初步檢查審計(jì)對(duì)象評(píng)估審計(jì)對(duì)象符合性測(cè)試(控制測(cè)試)實(shí)質(zhì)性測(cè)試報(bào)告(溝通結(jié)果)后續(xù)審計(jì)實(shí)施信息系統(tǒng)審計(jì)審計(jì)程序的步驟實(shí)施信息系統(tǒng)審計(jì)審計(jì)方法審計(jì)范圍審計(jì)目標(biāo)審計(jì)工作計(jì)劃典型的審計(jì)階段確定審計(jì)目標(biāo)確定審計(jì)范圍初步審計(jì)計(jì)劃審計(jì)方法和采集數(shù)據(jù)評(píng)價(jià)測(cè)試和檢查結(jié)果與管理人員溝通準(zhǔn)備審計(jì)報(bào)告實(shí)施信息系統(tǒng)審計(jì)審計(jì)方法實(shí)施信息系統(tǒng)審計(jì)審計(jì)風(fēng)險(xiǎn)和重要性審計(jì)風(fēng)險(xiǎn)可定義為“信息或財(cái)務(wù)報(bào)表可能有重要錯(cuò)誤,但信息系統(tǒng)審計(jì)人員未發(fā)現(xiàn)已發(fā)生的錯(cuò)誤,并做出了錯(cuò)誤結(jié)論的風(fēng)險(xiǎn)”。

“重要性”一詞,是指錯(cuò)誤的嚴(yán)重程度,這一程度是從被審計(jì)信息系統(tǒng)的利益相關(guān)者的角度來(lái)判斷,如果影響到利益相關(guān)者的判斷與決策,那么這一錯(cuò)誤就是重要的。重要性的確定是信息系統(tǒng)審計(jì)師的一項(xiàng)職業(yè)判斷,需要從整體上考慮由于控制薄弱而造成的過(guò)失、疏忽、違規(guī)和非法行為對(duì)組織的影響。審計(jì)師使用基于風(fēng)險(xiǎn)的審計(jì)方法來(lái)評(píng)估審計(jì)過(guò)程本身所具有的風(fēng)險(xiǎn),并決定在審計(jì)過(guò)程中是否采用及如何采用符合性測(cè)試和實(shí)質(zhì)性測(cè)試。實(shí)施信息系統(tǒng)審計(jì)審計(jì)風(fēng)險(xiǎn)和重要性實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分類固有風(fēng)險(xiǎn):是指“假設(shè)不存在相關(guān)的內(nèi)部控制的情況下,發(fā)生重大錯(cuò)誤的風(fēng)險(xiǎn)”。控制風(fēng)險(xiǎn):是指有內(nèi)部控制制度,但無(wú)法預(yù)防、及時(shí)發(fā)現(xiàn)或糾正重要錯(cuò)誤的風(fēng)險(xiǎn)。檢查風(fēng)險(xiǎn):是指信息系統(tǒng)審計(jì)人員由于采用了不恰當(dāng)?shù)臏y(cè)試程序.未能發(fā)現(xiàn)已存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。整體審計(jì)風(fēng)險(xiǎn):整體審計(jì)風(fēng)險(xiǎn)是對(duì)個(gè)別控制目標(biāo)所評(píng)估出的各類審計(jì)風(fēng)險(xiǎn)的綜合。實(shí)施信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分類在采用基于風(fēng)險(xiǎn)的審計(jì)方法時(shí),信息系統(tǒng)審計(jì)師不僅僅是依賴于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí),而且還依賴于對(duì)組織的內(nèi)部控制和運(yùn)營(yíng)控制的分析。這種類型的風(fēng)險(xiǎn)評(píng)估就是把風(fēng)險(xiǎn)意識(shí)貫穿到審計(jì)的全過(guò)程,從而在審計(jì)過(guò)程中把重點(diǎn)放在審計(jì)風(fēng)險(xiǎn)的評(píng)估上,并有助于把對(duì)控制所做的成本效益分析與已知的風(fēng)險(xiǎn)結(jié)合起來(lái),作出最佳控制選擇?;陲L(fēng)險(xiǎn)的審計(jì)方法有以下優(yōu)點(diǎn):強(qiáng)調(diào)商業(yè)和業(yè)務(wù)知識(shí)強(qiáng)調(diào)評(píng)估整體控制的有效性根據(jù)控制目標(biāo)將風(fēng)險(xiǎn)評(píng)估和測(cè)試方法有機(jī)結(jié)合起來(lái)重點(diǎn)是從管理角度來(lái)看企業(yè)運(yùn)營(yíng)實(shí)施信息系統(tǒng)審計(jì)在采用基于風(fēng)險(xiǎn)的審計(jì)方法時(shí),信息系統(tǒng)審計(jì)師不僅僅是依賴于對(duì)風(fēng)在決定應(yīng)審計(jì)哪些功能區(qū)域時(shí),信息系統(tǒng)審計(jì)師將面臨大量不同類型的審計(jì)對(duì)象,信息系統(tǒng)審計(jì)師應(yīng)根據(jù)被審計(jì)對(duì)象的復(fù)雜性和具體情況來(lái)選擇最適合組織需要的風(fēng)險(xiǎn)評(píng)估技術(shù)。利用風(fēng)險(xiǎn)評(píng)估技術(shù)來(lái)確定審計(jì)范圍時(shí).要注意以下問題:管理層能有效的分配審計(jì)資源保證從組織的各級(jí)管理層能收集到足夠的信息能為有效管理審計(jì)部門并提高審計(jì)工作績(jī)效奠定基礎(chǔ)總結(jié)出單獨(dú)審計(jì)對(duì)象與整個(gè)組織及業(yè)務(wù)計(jì)劃是如何相關(guān)的實(shí)施信息系統(tǒng)審計(jì)在決定應(yīng)審計(jì)哪些功能區(qū)域時(shí),信息系統(tǒng)審計(jì)師將面臨大量不同類型控制目標(biāo)和審計(jì)目標(biāo)控制目標(biāo)指出內(nèi)部控制應(yīng)如何發(fā)揮作用,而審計(jì)目標(biāo)則給出明確的審計(jì)目的。一項(xiàng)審計(jì)可以包含幾個(gè)審計(jì)目的。審計(jì)目標(biāo)通常專注于證實(shí)內(nèi)部控制存在并能有效地降低業(yè)務(wù)風(fēng)險(xiǎn)。審計(jì)目標(biāo)包括鑒證信息資產(chǎn)的機(jī)密性、完整性、可靠性、可用性及與法律法規(guī)的符合性。當(dāng)實(shí)施具體的審計(jì)任務(wù)時(shí),被審計(jì)方管理層負(fù)責(zé)人會(huì)提供一個(gè)總的控制目標(biāo),讓審計(jì)師去檢查及鑒證。實(shí)施信息系統(tǒng)審計(jì)控制目標(biāo)和審計(jì)目標(biāo)實(shí)施信息系統(tǒng)審計(jì)符合性測(cè)試:符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策的程度。例如,通過(guò)測(cè)試抽取的程序樣本的原版本與目標(biāo)版本的一致性。實(shí)質(zhì)性測(cè)試:實(shí)質(zhì)性測(cè)試驗(yàn)證實(shí)際處理的完整性.通過(guò)實(shí)質(zhì)性測(cè)試可以確定財(cái)務(wù)報(bào)表和財(cái)務(wù)信息所反映的業(yè)務(wù)活動(dòng)的正確性和完整性。實(shí)質(zhì)性測(cè)試和符合性測(cè)試關(guān)系如果符合性測(cè)試(也叫控制測(cè)試)結(jié)果表明被審計(jì)單位內(nèi)部控制充分,信息系統(tǒng)審計(jì)師就會(huì)減少實(shí)質(zhì)性測(cè)試程序。反之,如果控制測(cè)試的結(jié)果表明被審計(jì)單位控制薄弱,在賬戶的完整性、正確性和有效性都不可信時(shí),信息系統(tǒng)審計(jì)師則要實(shí)施大量的實(shí)質(zhì)性測(cè)試程序.實(shí)施信息系統(tǒng)審計(jì)符合性測(cè)試:符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策實(shí)施信息系統(tǒng)審計(jì)審計(jì)證據(jù)是按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)要求,在對(duì)某實(shí)體進(jìn)行審計(jì)時(shí)所采用信息,審計(jì)結(jié)論必須基于充分、相關(guān)、可靠的證據(jù)。評(píng)估審計(jì)證據(jù)的可靠性,取決于以下因素:提供審計(jì)證據(jù)人員獨(dú)立性提供審計(jì)證據(jù)人員的資格審計(jì)證據(jù)客觀性審計(jì)證據(jù)時(shí)效性實(shí)施信息系統(tǒng)審計(jì)審計(jì)證據(jù)是按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)要求,在對(duì)某實(shí)獲取審計(jì)證據(jù)的技術(shù)檢查信息系統(tǒng)組織架構(gòu):在信息系統(tǒng)環(huán)境下,組織結(jié)構(gòu)提供了充分的職責(zé)分工,是重要的一般控制。檢查信息系統(tǒng)方針政策:信息系統(tǒng)審計(jì)師應(yīng)該檢查組織是否存在適當(dāng)?shù)姆结樅驼撸_定員工是否理解方針政策并在工作中得到遵循。檢查信息系統(tǒng)文件:檢查信息系統(tǒng)文件先要了解組織內(nèi)的現(xiàn)行文件,信息系統(tǒng)審計(jì)師至少要找到關(guān)鍵信息系統(tǒng)文件。約見相關(guān)人員進(jìn)行會(huì)談:約見應(yīng)事先安排,按事先擬好的提綱進(jìn)行,井記錄會(huì)談紀(jì)要。觀察處理過(guò)程和員工實(shí)際表現(xiàn):觀察是各種檢查方法中一種重要技巧。信息系統(tǒng)審計(jì)師在觀察過(guò)程中應(yīng)紀(jì)錄下充分詳細(xì)的記錄作為以后的審計(jì)證據(jù)。實(shí)施信息系統(tǒng)審計(jì)獲取審計(jì)證據(jù)的技術(shù)實(shí)施信息系統(tǒng)審計(jì)抽樣是應(yīng)用在成本及時(shí)間都不允許對(duì)所有交易或事件的對(duì)象總體作100%審計(jì)時(shí),可以從審計(jì)總體中選取一定數(shù)量的樣本進(jìn)行測(cè)試,并根據(jù)側(cè)試結(jié)果,推斷審計(jì)對(duì)象總體特征的一種方法。根據(jù)總體特征不同分為:統(tǒng)計(jì)抽樣:審計(jì)人員在計(jì)算正式抽樣結(jié)果時(shí)采用統(tǒng)計(jì)推斷技術(shù)的一種抽樣方法,統(tǒng)計(jì)抽樣采用客觀的方法來(lái)決定樣本量大小及抽樣方式。非統(tǒng)計(jì)抽樣:審計(jì)人員全憑主觀標(biāo)準(zhǔn)和個(gè)人經(jīng)驗(yàn)來(lái)評(píng)價(jià)樣本結(jié)果并對(duì)總體做出結(jié)論。二者最根本的區(qū)別在于非統(tǒng)計(jì)抽樣不能量化抽樣風(fēng)險(xiǎn),而統(tǒng)計(jì)抽樣可以量化抽樣風(fēng)險(xiǎn)。實(shí)施信息系統(tǒng)審計(jì)抽樣是應(yīng)用在成本及時(shí)間都不允許對(duì)所有交易或事件的對(duì)象總體作1實(shí)施信息系統(tǒng)審計(jì)根據(jù)抽樣方法分為:屬性抽樣:估計(jì)一個(gè)控制或一組相關(guān)控制屬性的發(fā)生概率。例如,使用電腦中請(qǐng)表中的核準(zhǔn)簽名就是一種控制屬性。變量抽樣:根據(jù)總體的抽樣來(lái)估計(jì)總體的金額數(shù)或其他衡量單位,如重量。屬性抽樣有以下常用方法:停-走抽樣:它從預(yù)計(jì)總體誤差為零開始,通過(guò)邊抽樣邊審查評(píng)價(jià)來(lái)完成抽樣審計(jì)工作。發(fā)現(xiàn)抽樣:發(fā)現(xiàn)抽樣是屬性抽樣的一種特殊形式,主要用于查找重大非法事件。變量抽樣有以下常用方法:分層單位平均估計(jì)抽樣:先對(duì)樣本總體進(jìn)行分層,在不同分層中進(jìn)行抽樣檢查確定樣本的平均值。根據(jù)樣本平均值推斷總休的平均值和總值的方法。分層方法可以縮小樣本量。不分層單位平均估計(jì)抽樣:通過(guò)抽樣檢查確定樣本的平均值,根據(jù)樣本平均值推斷總體的平均值和總值的方法。差額估計(jì)抽樣:差額估計(jì)抽樣是以樣本實(shí)際價(jià)值與賬面價(jià)值的平均差額來(lái)估計(jì)總體實(shí)際價(jià)值與賬面價(jià)值的平均差額,然后再以這個(gè)平均差額乘以總體項(xiàng)目個(gè)數(shù),從而求出總體的實(shí)際價(jià)值與賬面價(jià)值差額的一種抽樣方法。實(shí)施信息系統(tǒng)審計(jì)根據(jù)抽樣方法分為:實(shí)施信息系統(tǒng)審計(jì)統(tǒng)計(jì)抽樣術(shù)語(yǔ)置信系數(shù):也稱為信賴(置信)水平、可信度(可信賴程度)或可信賴因子,是以百分率(90%,95%,99%等)表示的抽樣結(jié)果能夠代表總體的概率。風(fēng)險(xiǎn)水平:等于1減去置信系數(shù),是樣本結(jié)果不能代表總體的概率。精度:也稱為精確度。由審計(jì)師設(shè)定,并能代表樣本與總體之間的可接受誤差范圍。預(yù)期總體誤差:即預(yù)期差錯(cuò)發(fā)生率,以百分率表示,是估計(jì)總體可能存在的錯(cuò)誤。樣本均值:是將所有抽樣樣本值合計(jì)再除以樣本數(shù),用來(lái)衡量樣本指標(biāo)的乎均大小。樣本標(biāo)準(zhǔn)差:是利用抽樣平均值計(jì)算樣木值的差異,用來(lái)衡量樣本值分布的情況??扇萑陶`差:是審計(jì)師認(rèn)為抽樣結(jié)果可以達(dá)到審計(jì)目的而愿意接受的與審計(jì)對(duì)象總體的最大誤差??傮w標(biāo)準(zhǔn)差:是衡量總體中個(gè)別單位偏離總體平均值的離散程度的指標(biāo)。實(shí)施信息系統(tǒng)審計(jì)統(tǒng)計(jì)抽樣術(shù)語(yǔ)計(jì)算機(jī)輔助審計(jì)技術(shù)(CAATs)計(jì)算機(jī)輔助審計(jì)技術(shù)成為信息系統(tǒng)審計(jì)師獲得獨(dú)立信息的重要工具。計(jì)算機(jī)輔助審計(jì)技術(shù)可以使信息系統(tǒng)審計(jì)師獨(dú)立收集審計(jì)信息、按照預(yù)定審計(jì)目標(biāo)訪問和分析數(shù)據(jù)、報(bào)告系統(tǒng)產(chǎn)生和維護(hù)的紀(jì)錄的可靠性等審計(jì)發(fā)現(xiàn)。所用信息來(lái)源的可靠性為得出審計(jì)結(jié)果提供了再保證.CAATs包括:通用審計(jì)軟件公共軟件測(cè)試數(shù)據(jù)整體測(cè)試快照審計(jì)專家系統(tǒng)……實(shí)施信息系統(tǒng)審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)(CAATs)實(shí)施信息系統(tǒng)審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)點(diǎn)

降低審計(jì)風(fēng)險(xiǎn)

不太需要依賴被審計(jì)單位的人員

比較廣泛并一致的審計(jì)范圍

可以更快速利用資料

執(zhí)行時(shí)間較有彈性

更有機(jī)會(huì)量化內(nèi)部控制的弱點(diǎn)

加強(qiáng)抽樣

節(jié)省成本計(jì)算機(jī)輔助審計(jì)技術(shù)的成本和效益容易使用,包括對(duì)現(xiàn)有及未來(lái)的審計(jì)工作人員對(duì)于培訓(xùn)的要求編寫及維護(hù)的復(fù)雜度使用的靈活性對(duì)于安裝的要求處理的效率,特別是用于個(gè)人電腦上的計(jì)算機(jī)輔助審計(jì)技術(shù)實(shí)施信息系統(tǒng)審計(jì)計(jì)算機(jī)輔助審計(jì)技術(shù)實(shí)施信息系統(tǒng)審計(jì)在審計(jì)實(shí)施階段,完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后,下一步就是評(píng)估所收集的信息,評(píng)估需要注意以下幾點(diǎn):控制需求:審計(jì)證據(jù)是否符合審計(jì)計(jì)劃階段制定的控制需求和目標(biāo)。相關(guān)及周邊信息:審計(jì)師在審計(jì)時(shí)收集各種審計(jì)證據(jù),其中有些可能與審計(jì)目標(biāo)有關(guān),有些則是輔助的??紤]補(bǔ)償性與重疊性控制:進(jìn)行信息系統(tǒng)審計(jì)時(shí),審計(jì)師可能發(fā)現(xiàn)一些健全的控制以及控制缺陷。在評(píng)估整體控制結(jié)構(gòu)時(shí),信息系統(tǒng)審計(jì)師要考慮到,在某些情況下,一個(gè)健全的控制在其他地方可能補(bǔ)償另一個(gè)控制的缺陷。這些在證據(jù)評(píng)價(jià)過(guò)程中都需要被考慮??紤]控制的相關(guān)性:由于一個(gè)適當(dāng)?shù)目刂撇⒉灰欢〞?huì)實(shí)現(xiàn)控制目標(biāo),因此審計(jì)師需要執(zhí)行一些測(cè)試程序,并評(píng)估控制與控制目標(biāo)的相關(guān)性,審計(jì)師應(yīng)在報(bào)告控制缺陷之前.先審計(jì)補(bǔ)償性控制.實(shí)施信息系統(tǒng)審計(jì)在審計(jì)實(shí)施階段,完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后,下一步就在審計(jì)實(shí)施階段,完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后,下一步就是評(píng)估所收集的信息,評(píng)估需要注意以下幾點(diǎn)(續(xù)):判斷控制是否有效率和效果:審計(jì)師應(yīng)檢查在審計(jì)過(guò)程中收集到的證據(jù),以決定被檢查的作業(yè)是否有良好的控制而且有效,這也需要審計(jì)師的判斷與經(jīng)驗(yàn).分析證據(jù)的技術(shù):審計(jì)師應(yīng)了解分析審計(jì)證據(jù)的技術(shù),例如.審計(jì)師可能希望按統(tǒng)計(jì)趨勢(shì)分析問題.使用審計(jì)時(shí)的整體比率或?qū)⒉煌陂g相比。判斷審計(jì)發(fā)現(xiàn)的重要性水平(MaterialityofFindings):重要性水平是一個(gè)重要的考慮指標(biāo)。決定審計(jì)發(fā)現(xiàn)重要性的關(guān)鍵,是評(píng)估那些對(duì)相關(guān)層次的主管有意義的事件。在審計(jì)發(fā)現(xiàn)的缺陷未被糾正前,進(jìn)行評(píng)估時(shí),需要判斷其潛在的影響。例如。在遠(yuǎn)程分散式電腦作業(yè)中,其電腦的物理存取控制缺陷可能只對(duì)當(dāng)?shù)刂鞴苡幸饬x,但對(duì)總公司的主管就不一定重要.然而,在遠(yuǎn)程的作業(yè)端,仍有一些事項(xiàng)對(duì)總公司的主管是重要的.實(shí)施信息系統(tǒng)審計(jì)在審計(jì)實(shí)施階段,完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后,下一步就正式發(fā)布審計(jì)報(bào)告前與有關(guān)管理人員的溝通,溝通目的:確保報(bào)告中的事實(shí)是準(zhǔn)確的;信息系統(tǒng)審計(jì)師應(yīng)在報(bào)告發(fā)布之前,就重要發(fā)現(xiàn)及時(shí)和合適的人員進(jìn)行交流.但提前交流不應(yīng)該改變報(bào)告的內(nèi)容;確保所推薦的改進(jìn)措施是可行的并符合成本效益原則,否則可通過(guò)協(xié)商方式找出替代方法,并制訂出執(zhí)行日期;在報(bào)告最后發(fā)布之前,信息系統(tǒng)審計(jì)師應(yīng)注意到組織或者環(huán)境的重大改變。如果所發(fā)生的變化會(huì)影響到信息系統(tǒng)審計(jì)的發(fā)現(xiàn)與結(jié)論.信息系統(tǒng)審計(jì)師有責(zé)任采取恰當(dāng)?shù)拇胧?,將這些改變及其潛在影響告知報(bào)告的收件人。與被審計(jì)單位溝通審計(jì)師與被審計(jì)單位進(jìn)行溝通,是獨(dú)立審計(jì)工作不可缺少的一部分,溝通不只限于完成審計(jì)工作時(shí),它與審計(jì)的所有階段相關(guān),是貫穿整個(gè)審計(jì)過(guò)程的一項(xiàng)重要工作。實(shí)施信息系統(tǒng)審計(jì)正式發(fā)布審計(jì)報(bào)告前與有關(guān)管理人員的溝通,溝通目的:實(shí)施信息系審計(jì)跟蹤:管理層對(duì)審計(jì)發(fā)現(xiàn)采取的改進(jìn)措施;審計(jì)師不斷的對(duì)所發(fā)現(xiàn)問題進(jìn)行跟進(jìn)實(shí)施信息系統(tǒng)審計(jì)項(xiàng)目管理技術(shù)開發(fā)一個(gè)詳細(xì)的計(jì)劃按照審計(jì)計(jì)劃報(bào)告項(xiàng)目活動(dòng)調(diào)整計(jì)劃及采取糾正行動(dòng)審計(jì)限制因素最近的員工更替或缺席違反約定的項(xiàng)目結(jié)束日期及更新處理日期相關(guān)知識(shí)與文檔的缺乏審計(jì)跟蹤:管理層對(duì)審計(jì)發(fā)現(xiàn)采取的改進(jìn)措施;審計(jì)師不斷的對(duì)所發(fā)控制自我評(píng)估的目標(biāo)增強(qiáng)審計(jì)職責(zé)培訓(xùn)一線經(jīng)理監(jiān)督控制的職責(zé)集中關(guān)注高風(fēng)險(xiǎn)的業(yè)務(wù)控制自我評(píng)估的優(yōu)點(diǎn)及早發(fā)現(xiàn)風(fēng)險(xiǎn)問題更有效的改進(jìn)內(nèi)部控制通過(guò)員工參與創(chuàng)造和諧的團(tuán)隊(duì)氣氛增強(qiáng)運(yùn)營(yíng)層與高層管理人員的溝通高度激發(fā)員工工作熱情改善審計(jì)定級(jí)過(guò)程減少控制成本向股東和消費(fèi)者做出內(nèi)部控制有效的保證高級(jí)管理層能夠做出內(nèi)部控制充分性的保證,滿足各法律機(jī)構(gòu)和法規(guī)對(duì)內(nèi)部控制的要求控制自我評(píng)估(CSA)用來(lái)對(duì)關(guān)鍵業(yè)務(wù)目標(biāo)、實(shí)現(xiàn)目標(biāo)所面臨的風(fēng)險(xiǎn)及管理業(yè)務(wù)風(fēng)險(xiǎn)的內(nèi)部控制進(jìn)行檢查的一系列正式的、程序化的過(guò)程??刂谱晕以u(píng)估的目標(biāo)控制自我評(píng)估(CSA)用來(lái)對(duì)關(guān)鍵業(yè)務(wù)目標(biāo)、控制自我評(píng)估(CSA)審計(jì)師在CSA中的角色如果在CSA項(xiàng)目中包括了審計(jì)師。審計(jì)師應(yīng)當(dāng)作為內(nèi)部控制專家及評(píng)估推動(dòng)者的角色而出現(xiàn)。項(xiàng)目中的技術(shù)手段綜合應(yīng)用硬件及軟件功能來(lái)支持CSA的選擇,以及使用視頻會(huì)議及計(jì)算機(jī)輔助決策方式來(lái)支持CSA人員作出集體決策。傳統(tǒng)審計(jì)方法與CSA的對(duì)比區(qū)別內(nèi)容傳統(tǒng)審計(jì)方法CSA方法授權(quán)方式對(duì)審計(jì)師分配責(zé)任/監(jiān)督管理授權(quán)/承擔(dān)責(zé)任的內(nèi)部員工推動(dòng)方式策略/規(guī)則驅(qū)動(dòng)持續(xù)完善/學(xué)習(xí)曲線參與程度有限的員工參與廣泛的員工參與和培訓(xùn)利益相關(guān)者關(guān)注程度利益相關(guān)者關(guān)注程度低利益相關(guān)者關(guān)注程度高審計(jì)參與者審計(jì)師和其他專業(yè)人員所有員工都是控制分析者控制自我評(píng)估(CSA)審計(jì)師在CSA中的角色區(qū)別內(nèi)容傳統(tǒng)審計(jì)

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一般架構(gòu)及范圍

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審業(yè)務(wù)流程與IT環(huán)境的關(guān)系 業(yè)務(wù)流程

IT環(huán)境信息技術(shù)是整體過(guò)程的主要部分物理安全網(wǎng)絡(luò)安全硬件平臺(tái)數(shù)據(jù)/數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)流程應(yīng)用程序和人工控制IT一般控制業(yè)務(wù)流程與IT環(huán)境財(cái)務(wù)關(guān)帳交易流程常規(guī)交易總帳非常規(guī)交易IT審計(jì)范圍估計(jì)交易財(cái)務(wù)報(bào)表業(yè)務(wù)流程與IT環(huán)境的關(guān)系 業(yè)務(wù)流程

IT環(huán)境信息IT審計(jì)按照信息系統(tǒng)的生命周期分為業(yè)務(wù)計(jì)劃審計(jì),業(yè)務(wù)開發(fā)審計(jì)、業(yè)務(wù)執(zhí)行審計(jì)和業(yè)務(wù)維護(hù)審計(jì)、涵蓋整個(gè)信息系統(tǒng)周期的共通業(yè)務(wù)審計(jì)和IT專項(xiàng)審計(jì)。業(yè)務(wù)計(jì)劃審計(jì)主要面向信息系統(tǒng)的企劃,對(duì)信息系統(tǒng)的投資可行性,系統(tǒng)規(guī)劃與公司戰(zhàn)略的相關(guān)性,系統(tǒng)開發(fā)計(jì)劃的可行性以及系統(tǒng)需求的完整性和正確性進(jìn)行審核和驗(yàn)證。業(yè)務(wù)開發(fā)審計(jì)對(duì)信息系統(tǒng)開發(fā)的各個(gè)階段的相關(guān)人員的活動(dòng)、信息、中間產(chǎn)物進(jìn)行審核,確認(rèn)這些活動(dòng)、信息和中間產(chǎn)物的規(guī)范性、有效性和對(duì)于信息系統(tǒng)目標(biāo)的針對(duì)性。業(yè)務(wù)執(zhí)行審計(jì)確認(rèn)與信息系統(tǒng)運(yùn)行相關(guān)的數(shù)據(jù)、軟硬件、安裝環(huán)境等是否符合信息系統(tǒng)的運(yùn)營(yíng)要求,同時(shí)對(duì)信息系統(tǒng)的功能、性能、易用度、可操作性等進(jìn)行評(píng)估。業(yè)務(wù)維護(hù)審計(jì)對(duì)信息系統(tǒng)的維護(hù)活動(dòng)和維護(hù)結(jié)果實(shí)施審核和評(píng)價(jià)。發(fā)現(xiàn)在維護(hù)中可能出現(xiàn)的各種漏洞和信息系統(tǒng)維護(hù)中急待改善的問題。共通業(yè)務(wù)審計(jì)涉及文檔管理、進(jìn)度管理、人員管理、采購(gòu)管理、風(fēng)險(xiǎn)管理等,檢查這些過(guò)程的規(guī)范性和有效性,并提出改良建議。IT專項(xiàng)審計(jì)專門為審計(jì)第三方服務(wù)機(jī)構(gòu)進(jìn)行IT相關(guān)的部分審計(jì),比如專項(xiàng)網(wǎng)絡(luò)安全審計(jì)、SAS70。它證明了被審計(jì)組織的控制活動(dòng)(包括信息技術(shù)和相關(guān)程序)通過(guò)了深入的審計(jì)。IT審計(jì)范圍IT審計(jì)按照信息系統(tǒng)的生命周期分為業(yè)務(wù)計(jì)劃審計(jì),業(yè)務(wù)開發(fā)審計(jì)信息系統(tǒng)全面風(fēng)險(xiǎn)管理統(tǒng)一的風(fēng)險(xiǎn)語(yǔ)言-利用IT風(fēng)險(xiǎn)宇宙,建立適用于公司的風(fēng)險(xiǎn)宇宙,能有效地啟發(fā)公司對(duì)各重大風(fēng)險(xiǎn)類別的考慮,并將通過(guò)提供簡(jiǎn)便易明的分類及風(fēng)險(xiǎn)知識(shí)共享來(lái)支持公司的知識(shí)管理。

合規(guī)性風(fēng)險(xiǎn)運(yùn)行風(fēng)險(xiǎn)財(cái)務(wù)風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)行業(yè)規(guī)定/標(biāo)準(zhǔn)信息系統(tǒng)變更管理資產(chǎn)管理數(shù)據(jù)管理財(cái)務(wù)系統(tǒng)安全財(cái)務(wù)業(yè)務(wù)接口報(bào)表生成信息系統(tǒng)戰(zhàn)略與計(jì)劃合作伙伴第三方管理業(yè)務(wù)可連續(xù)性計(jì)劃信息系統(tǒng)服務(wù)提供信息系統(tǒng)獲取和開發(fā)權(quán)限管理IT安全體系固定資產(chǎn)管理信息系統(tǒng)全面風(fēng)險(xiǎn)管理統(tǒng)一的風(fēng)險(xiǎn)語(yǔ)言-利用IT風(fēng)險(xiǎn)宇宙,信息系統(tǒng)內(nèi)部控制評(píng)估范圍 IT公司層面應(yīng)用程序控制層面IT一般控制層面具體內(nèi)容IT內(nèi)部控制領(lǐng)域IT一般控制應(yīng)用程序控制管理層控制......人工依賴的IT控制主要針對(duì)與IT相關(guān)的管理層的控制進(jìn)行評(píng)估:控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)督對(duì)IT常規(guī)流程控制進(jìn)行評(píng)估,信息技術(shù)控制評(píng)估對(duì)應(yīng)用層面控制的有效性起著持續(xù)不斷的影響。這些控制包括:IT公司層面控制測(cè)試IT一般控制測(cè)試應(yīng)用程序控制測(cè)試網(wǎng)絡(luò)層面控制測(cè)試對(duì)流程層面中通過(guò)系統(tǒng)實(shí)現(xiàn)的自動(dòng)控制部分進(jìn)行評(píng)估,包括:身份認(rèn)證輸入控制接口控制權(quán)限控制職責(zé)分工一般IT審計(jì)架構(gòu)網(wǎng)絡(luò)層面信息系統(tǒng)內(nèi)部控制評(píng)估范圍 IT公司層面應(yīng)用程序IT一般控制IT公司層面檢查企業(yè)內(nèi)部關(guān)于IT方面的控制設(shè)計(jì)及實(shí)施是否有效,為公司管理層最終發(fā)表內(nèi)控有效性聲明提供支持證據(jù)。應(yīng)用程序控制流程層面的應(yīng)用程序控制是在應(yīng)用系統(tǒng)中由程序執(zhí)行的控制,用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應(yīng)用程序控制普遍適用于各種交易的處理,所以應(yīng)用程序控制是否有效對(duì)于財(cái)務(wù)報(bào)表的完整性和正確性以及公司內(nèi)控的有效性有著重要的影響。

IT一般控制是指為保證一段時(shí)間內(nèi)系統(tǒng)的持續(xù)有效性,在系統(tǒng)變更和數(shù)據(jù)訪問等方面的系統(tǒng)控制。對(duì)應(yīng)手冊(cè)中的部分為:信息技術(shù)管理、信息安全管理以及應(yīng)急管理方面的評(píng)估工作。信息系統(tǒng)內(nèi)部控制評(píng)估范圍 IT審計(jì)審計(jì)范圍IT一般控制IT公司層面檢查企業(yè)內(nèi)部關(guān)于IT方面的控制招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

信息系統(tǒng)審計(jì)實(shí)務(wù)介紹

2009年3月招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

信息系統(tǒng)審計(jì)實(shí)務(wù)介紹

200聲明本培訓(xùn)資料中所包含之內(nèi)容屬保密內(nèi)容,未經(jīng)安永(中國(guó))企業(yè)咨詢有限公司正式書面允諾,不得部分或全部復(fù)制,不得使用于非法目的,不得以任何形式交予任何第三方或與任何第三方討論其中之內(nèi)容。保密內(nèi)容–安永(中國(guó))企業(yè)咨詢有限公司,二○○九年,保留所有權(quán)利聲明保密內(nèi)容–安永(中國(guó))企業(yè)咨詢有限公司,二○○

123第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一般架構(gòu)及范圍目錄

123第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一IT審計(jì)歷史背景IT審計(jì)的出處源自60年代IBM出版的《AuditencountersElectronicDataProcessing》等有關(guān)在EDI環(huán)境下進(jìn)行審核和組織的論述。不久后有關(guān)該方面的研究結(jié)果不斷涌現(xiàn),IT審計(jì)的雛形初步形成。但是由于信息系統(tǒng)在社會(huì)上尚未得到較為廣泛的應(yīng)用,因此IT審計(jì)并未在社會(huì)上形成意識(shí)。

七十年代中后期到八十年代初由于計(jì)算機(jī)在發(fā)達(dá)國(guó)家的企業(yè)初步普及,利用計(jì)算機(jī)犯罪和計(jì)算機(jī)系統(tǒng)失效的事件頻頻出現(xiàn),使得IT審計(jì)日益得到社會(huì)重視,美國(guó)、日本先后成立了IT審計(jì)方面的協(xié)會(huì)組織。從事對(duì)IT審計(jì)規(guī)則的制定和實(shí)施指導(dǎo)。值得注意的是1985年日本政府出臺(tái)了《IT審計(jì)標(biāo)準(zhǔn)》并根據(jù)美國(guó)勞工部的《SkillStart》和NorthwestCenterforEmergingTechnologies(NCET)對(duì)IT信息人員的從業(yè)技能的要求制訂了IT審計(jì)師(系統(tǒng)監(jiān)查員)的技能標(biāo)準(zhǔn)并以之作為新的"IT審計(jì)師(系統(tǒng)監(jiān)查員)"級(jí)考試的參考標(biāo)準(zhǔn)。

九十年代是IT審計(jì)的普及期,這主要?dú)w功于互聯(lián)網(wǎng)的普及?;ヂ?lián)網(wǎng)的普及是利用計(jì)算機(jī)犯罪的人員溫床,此外日益嚴(yán)重的軟件項(xiàng)目失敗問題引發(fā)了是否要對(duì)信息系統(tǒng)的投資和開發(fā)進(jìn)行審計(jì)的深思。IT審計(jì)得到了前所未有的重視。萌芽階段初步發(fā)展蓬勃發(fā)展IT審計(jì)歷史背景IT審計(jì)的出處源自60年代IBM出版的《AuIT審計(jì)的定義和對(duì)象IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查,是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方-IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。IT審計(jì)對(duì)象涵蓋整個(gè)信息系統(tǒng)所有活動(dòng)和中間產(chǎn)物,并包括信息系統(tǒng)實(shí)施相關(guān)的外部環(huán)境。一般來(lái)說(shuō),對(duì)企業(yè)實(shí)施IT審計(jì)的對(duì)象有:本企業(yè)內(nèi)的IT審計(jì)師外部IT審計(jì)事務(wù)所委托審計(jì)師國(guó)家審計(jì)機(jī)構(gòu)IT審計(jì)定義IT審計(jì)對(duì)象IT審計(jì)的定義和對(duì)象IT審計(jì)就是信息系統(tǒng)審計(jì),也稱IT監(jiān)查,IT審計(jì)現(xiàn)狀計(jì)算機(jī)審計(jì)在發(fā)展的初期,還只是傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的一種輔助工具,對(duì)客戶的電子化會(huì)計(jì)數(shù)據(jù)進(jìn)行處理和分析,為財(cái)務(wù)報(bào)表審計(jì)人員提供服務(wù)。如今的信息系統(tǒng)審計(jì)的業(yè)務(wù)已經(jīng)超出了為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)的范圍,在很多大型會(huì)計(jì)公司內(nèi)部,信息系統(tǒng)審計(jì)部門已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部門。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起,更是為信息系統(tǒng)審計(jì)業(yè)務(wù)帶來(lái)了無(wú)盡的商機(jī)。為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)只占信息系統(tǒng)審計(jì)部門業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)?!拔磥?lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展”,這一觀點(diǎn)已經(jīng)逐漸成為國(guó)外會(huì)計(jì)、審計(jì)界的一個(gè)共識(shí)。會(huì)計(jì)公司以及整個(gè)社會(huì)對(duì)信息系統(tǒng)審計(jì)師需求量將隨之成倍地增長(zhǎng),信息系統(tǒng)審計(jì)師的地位也在不斷提高。在國(guó)外的一些大型會(huì)計(jì)公司中已經(jīng)出現(xiàn)了沒有CPA資格的合伙人,他們持有的專業(yè)資格就是CISA。隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用,傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到巨大的挑戰(zhàn),大型跨國(guó)公司都將控制風(fēng)險(xiǎn),特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為管理咨詢和服務(wù)的重點(diǎn)。幾乎所有的大型跨國(guó)公司,由于普遍使用大型管理信息系統(tǒng),都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制。IT審計(jì)現(xiàn)狀計(jì)算機(jī)審計(jì)在發(fā)展的初期,還只是傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的IT審計(jì)現(xiàn)狀——銀行業(yè)當(dāng)前,隨著各銀行數(shù)據(jù)大集中的完成,IT風(fēng)險(xiǎn)也越來(lái)越集中??刂艻T風(fēng)險(xiǎn)、保證信息系統(tǒng)穩(wěn)定運(yùn)行已成為銀行最緊迫的任務(wù)。此外,隨著金融監(jiān)管力度的加大,銀行信息披露制的實(shí)施也是當(dāng)務(wù)之急。這些都要求銀行加大對(duì)信息系統(tǒng)的審計(jì)力度。只有建立IT審計(jì)機(jī)制,由獨(dú)立的IT審計(jì)師進(jìn)行信息系統(tǒng)審計(jì),才能形成對(duì)信息系統(tǒng)安全的客觀評(píng)價(jià)。由于信息技術(shù)在銀行經(jīng)營(yíng)管理領(lǐng)域各個(gè)層面的廣泛運(yùn)用,IT審計(jì)也已貫穿在各種審計(jì)之中,成為時(shí)下銀行業(yè)最關(guān)注的重要課題。我國(guó)銀行業(yè)的IT審計(jì)尚處于摸索階段,尚缺乏成熟的經(jīng)驗(yàn)和案例可供參考,尤其是沒有針對(duì)大型數(shù)據(jù)處理和大型軟件開發(fā)的IT審計(jì)經(jīng)驗(yàn)可以借鑒。隨著信息技術(shù)在銀行普遍、深入的應(yīng)用,銀行信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最基本的條件之一,IT運(yùn)營(yíng)與公司運(yùn)營(yíng)緊密相關(guān),IT治理也與公司治理緊密相連,因此IT審計(jì)越來(lái)越得到銀行管理層的高度重視。目前,IT審計(jì)在國(guó)際上是一個(gè)相當(dāng)成熟的領(lǐng)域,發(fā)達(dá)國(guó)家的銀行均建立了完善的信息系統(tǒng)審計(jì)體系,而我國(guó)正在快速發(fā)展階段。IT審計(jì)現(xiàn)狀——銀行業(yè)當(dāng)前,隨著各銀行數(shù)據(jù)大集中的完成,ITIT審計(jì)差異分析IT審計(jì)部門的獨(dú)立性IT治理中審計(jì)人員的角色國(guó)外銀行IT審計(jì)的特點(diǎn)國(guó)外銀行IT審計(jì)的技術(shù)和組織框架IT審計(jì)人員的比例國(guó)外銀行IT審計(jì)的特點(diǎn)IT審計(jì)差異分析IT審計(jì)部門的獨(dú)立性IT治理中審計(jì)人員的角色國(guó)內(nèi)外銀行IT審計(jì)的差異組織結(jié)構(gòu)的差異從新加坡發(fā)展銀行的IT審計(jì)組織框架上看,IT審計(jì)由于涵蓋了軟件開發(fā)和項(xiàng)目投產(chǎn)、運(yùn)行維護(hù)的全過(guò)程,包含了各種技術(shù)平臺(tái)、系統(tǒng)生命周期的所有階段,因此IT審計(jì)機(jī)構(gòu)設(shè)置基本采用在總審計(jì)師領(lǐng)導(dǎo)下,與業(yè)務(wù)審計(jì)兩條線并列的模式。由于目前內(nèi)審部門的信息技術(shù)審計(jì)組織結(jié)構(gòu)不盡完善,無(wú)法進(jìn)一步細(xì)分審計(jì)職能、明確專業(yè)審計(jì)方向。審計(jì)覆蓋面上的差異國(guó)際上比較先進(jìn)的商業(yè)銀行無(wú)一例外全部開展了IT公司層面、IT一般控制和應(yīng)用程序控制的全方位IT審計(jì);我國(guó)由于信息技術(shù)審計(jì)工作開展不長(zhǎng),并且人員有限,還未能全面開展IT公司層面、IT一般控制和應(yīng)用程序控制的IT審計(jì)工作12人員上的差異從美國(guó)大通銀行的IT審計(jì)人員配備上看,人員專業(yè)化分工明確,技術(shù)水平要求也較高,懂IT技術(shù)人員的比例一般占內(nèi)部審計(jì)人員的30%-50%左右。而我國(guó)銀行從事信息技術(shù)審計(jì)工作的員工較少,在人員數(shù)量和質(zhì)量上與國(guó)際先進(jìn)水平還是有不小的差距。另外,在審計(jì)手段、輔助工具以及系統(tǒng)接口、技術(shù)支持等方面的差距更大,需要加強(qiáng)力量研究解決。3IT審計(jì)差異分析國(guó)內(nèi)外銀行IT審計(jì)的差異組織結(jié)構(gòu)的差異從新加坡發(fā)展銀行的ITIT審計(jì)專業(yè)要求—需要知識(shí)和技能IT審計(jì)師深入領(lǐng)會(huì)會(huì)計(jì)、經(jīng)濟(jì)、管理、商法、稅務(wù)、金融、審計(jì)和信息技術(shù)知識(shí);IT審計(jì)師通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全;;IT審計(jì)師能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù),對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造,以降低組織日益面臨的信息系統(tǒng)風(fēng)險(xiǎn),有效率使用資源,使到組織IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致。

需要知識(shí)和技能信息系統(tǒng)審計(jì)是一門邊緣性學(xué)科,跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。IT審計(jì)專業(yè)要求—需要知識(shí)和技能IT審計(jì)師深入領(lǐng)會(huì)會(huì)計(jì)、經(jīng)濟(jì)IT審計(jì)專業(yè)要求–

認(rèn)證IT審計(jì)專業(yè)要求–認(rèn)證IT審計(jì)專業(yè)要求–

認(rèn)證(續(xù))IT審計(jì)專業(yè)要求–認(rèn)證(續(xù))

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審計(jì)一般架構(gòu)及范圍

123目錄第一IT審計(jì)介紹第二IT審計(jì)程序第三IT審信息系統(tǒng)審計(jì)程序?qū)徲?jì)目標(biāo)和計(jì)劃審計(jì)中法律和法規(guī)影響ISACA信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南風(fēng)險(xiǎn)分析內(nèi)部控制實(shí)施信息系統(tǒng)審計(jì)控制自我評(píng)估信息系統(tǒng)審計(jì)程序?qū)徲?jì)目標(biāo)和計(jì)劃信息系統(tǒng)審計(jì)流程:依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),指導(dǎo)方針和最佳實(shí)踐,提供信息系統(tǒng)審計(jì)服務(wù)。確保組織的IT和業(yè)務(wù)系統(tǒng)得到保護(hù)和控制。信息系統(tǒng)審計(jì)程序信息系統(tǒng)審計(jì)流程:依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn),指導(dǎo)方針和最佳實(shí)踐,審計(jì)目標(biāo)和計(jì)劃審計(jì)計(jì)劃獲得對(duì)業(yè)務(wù)使命、目標(biāo)、目的和流程了解找出規(guī)定的內(nèi)容評(píng)價(jià)管理層所實(shí)施的風(fēng)險(xiǎn)評(píng)估和隱私保護(hù)影響分析實(shí)施風(fēng)險(xiǎn)分析執(zhí)行內(nèi)部控制檢查確定審計(jì)范圍、審計(jì)目標(biāo)制定審計(jì)方法或?qū)徲?jì)戰(zhàn)略為審計(jì)任務(wù)和其后勤支援分配人力資源法律和法規(guī)對(duì)信息系統(tǒng)審計(jì)計(jì)劃影響審計(jì)目標(biāo)和計(jì)劃審計(jì)計(jì)劃法律和法規(guī)對(duì)信息系統(tǒng)審計(jì)計(jì)劃影響審計(jì)目標(biāo)和計(jì)劃(續(xù))審計(jì)成功條件在實(shí)施有效的信息系統(tǒng)審計(jì)中,首先要制定完善的審計(jì)計(jì)劃。制定審計(jì)計(jì)劃時(shí),信息系統(tǒng)審計(jì)師必須了解執(zhí)業(yè)的整體環(huán)境,包括與之相關(guān)的各種業(yè)務(wù)和控制風(fēng)險(xiǎn)。在審計(jì)計(jì)劃中,信息系統(tǒng)審計(jì)師要評(píng)估運(yùn)營(yíng)和控制風(fēng)險(xiǎn),同時(shí)識(shí)別控制目標(biāo)。審計(jì)目標(biāo)和計(jì)劃(續(xù))審計(jì)成功條件審計(jì)中法律和法規(guī)影響法律和法規(guī)要求對(duì)實(shí)施IT審計(jì)的法律要求對(duì)IT審計(jì)組織的要求IT審計(jì)過(guò)程中相關(guān)實(shí)體的責(zé)任與財(cái)務(wù)、業(yè)務(wù)及IT審計(jì)職能之間的相互關(guān)系信息系統(tǒng)審計(jì)師一般通過(guò)以下步驟確定組織對(duì)法律和法規(guī)符合性狀況:識(shí)別外部需求記錄相關(guān)法律與法規(guī)的要求評(píng)估組織在制定IT審計(jì)職能時(shí)是否考慮來(lái)自外部法律法規(guī)的要求檢查內(nèi)部信息系統(tǒng)相關(guān)部門是否在正式文件中落實(shí)了遵守法律法規(guī)的要求檢查組織已建立的程序是否符合法律法規(guī)我國(guó)與IT審計(jì)相關(guān)的法律和法規(guī)《審計(jì)法實(shí)施條例》《國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》審計(jì)中法律和法規(guī)影響法律和法規(guī)要求信息系統(tǒng)審計(jì)師一般通過(guò)以下信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)指南信息系統(tǒng)審計(jì)人員職業(yè)道德信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則目標(biāo)告知管理層和其他利益相關(guān)者審計(jì)相關(guān)的專業(yè)職責(zé)告知信息系統(tǒng)審計(jì)師根據(jù)ISACA準(zhǔn)則所必需遵守的相關(guān)審計(jì)規(guī)定以滿足專業(yè)審計(jì)要求。審計(jì)指南審計(jì)準(zhǔn)則審計(jì)程序?qū)徲?jì)準(zhǔn)則:信息系統(tǒng)審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系的總綱,是信息系統(tǒng)審計(jì)師的資格條件、執(zhí)業(yè)行為的基本規(guī)范,是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指南:審計(jì)指南是依據(jù)審計(jì)準(zhǔn)則制定的,是審計(jì)準(zhǔn)則的具體化,它詳細(xì)規(guī)定了信息系統(tǒng)審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指南,為審計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。審計(jì)程序:信息系統(tǒng)審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指南制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和步驟,是遵守審計(jì)準(zhǔn)則和審計(jì)指南的一些通用審計(jì)程序.審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則目信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南ISACA信息系統(tǒng)審計(jì)準(zhǔn)則和審計(jì)指南審計(jì)章程 獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)專業(yè)勝任能力審計(jì)計(jì)劃實(shí)施審計(jì)工作報(bào)告后續(xù)審計(jì)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南ISACA信息系統(tǒng)審計(jì)準(zhǔn)則和審計(jì)指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)章程 審計(jì)章程中載明信息系統(tǒng)審計(jì)的目的、責(zé)任、權(quán)限和職責(zé)獨(dú)立性

獨(dú)立性是指內(nèi)部審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外,可以理解為內(nèi)部審計(jì)部門的獨(dú)立性和內(nèi)部審計(jì)人員獨(dú)立性。內(nèi)審部門是否獲得獨(dú)立性應(yīng)考慮因素內(nèi)審部門設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定內(nèi)審部門向誰(shuí)負(fù)責(zé)和報(bào)告工作首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息,能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)的會(huì)議首席審計(jì)執(zhí)行官的任免有何種層次的領(lǐng)導(dǎo)層決定審計(jì)委員會(huì)由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)

職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)章程 獨(dú)立性 職業(yè)道德和標(biāo)準(zhǔn) 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)師的知識(shí)、技能和專業(yè)勝任能力出色的口頭和書面表達(dá)能力,以便清楚有效地表達(dá)審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)結(jié)論和審計(jì)建議擁有良好的人際交流技能接受后續(xù)專業(yè)教育,以保持專業(yè)技術(shù)的適應(yīng)性其他必備的技能包括對(duì)組織所在行業(yè)的深入了解,實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)營(yíng)方面所涉及流程的知識(shí)和技能審計(jì)師的知識(shí)、技能和專業(yè)勝任能力熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序和技術(shù),理解管理原則,深入領(lǐng)會(huì)會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、商法、稅收、金融和信息技術(shù)。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)師的知識(shí)、技能和專業(yè)勝任能力出色的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南計(jì)劃

以相應(yīng)的法律和審計(jì)準(zhǔn)則為基礎(chǔ)基于風(fēng)險(xiǎn)審計(jì)方法制定詳細(xì)的審計(jì)計(jì)劃制定審計(jì)程序和步驟審計(jì)工作的實(shí)施

審計(jì)人員受到適當(dāng)監(jiān)督獲取證據(jù)審計(jì)底稿信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南計(jì)劃 審計(jì)工作的實(shí)施 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南報(bào)告

信息系統(tǒng)審計(jì)人員在完成審計(jì)工作后,應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲?jì)報(bào)告。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱、審計(jì)報(bào)告報(bào)送對(duì)象以及報(bào)告使用限制。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)工作所涵蓋的期間及所執(zhí)行審計(jì)工作的性質(zhì)和內(nèi)容。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)現(xiàn)的問題、形成的結(jié)論和建議以及審計(jì)師關(guān)于審計(jì)的任何保留意見。信息系統(tǒng)審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。審計(jì)報(bào)告簽發(fā)時(shí),信息系統(tǒng)審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書中的規(guī)定簽名、簽署日期再對(duì)外發(fā)放。后續(xù)審計(jì)

檢查之間的審計(jì)結(jié)論和建議檢查之間的審計(jì)發(fā)現(xiàn)的問題被審計(jì)單位是否及時(shí)妥善的處理了相關(guān)問題信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南報(bào)告 后續(xù)審計(jì) 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南使用ISACA指南

考慮審計(jì)指南,以決定怎樣實(shí)施審計(jì)準(zhǔn)則在應(yīng)用審計(jì)指南時(shí),審計(jì)師必須有自己專業(yè)判斷有能力調(diào)整出現(xiàn)的偏離信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南使用ISACA指南 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)定義:風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在的損害,風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值的損害程度及威脅發(fā)生的頻度成正比。影響風(fēng)險(xiǎn)的因素:業(yè)務(wù)流程及資產(chǎn)的脆弱性及其面臨的威脅,包括物理資產(chǎn)和信息資產(chǎn)威脅和脆弱性對(duì)資產(chǎn)的影響威脅發(fā)生的可能性(包括可能性和頻率)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)定義:風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)風(fēng)險(xiǎn)分析信息系統(tǒng)審計(jì)人員常常關(guān)注高風(fēng)險(xiǎn)問題,如敏感和重要信息的保密性、可用性、完整性以及生成、存儲(chǔ)和處理這些信息的重要的信息系統(tǒng)和流程等。風(fēng)險(xiǎn)分析有以下用途:幫助審計(jì)人員識(shí)別風(fēng)險(xiǎn),識(shí)別由管理層所建立的IT環(huán)境和IS系統(tǒng)的威脅及系統(tǒng)專有的內(nèi)部控制,審計(jì)人員根據(jù)風(fēng)險(xiǎn)水平選擇擬檢查的區(qū)域。幫助審計(jì)人員在制定審計(jì)計(jì)劃時(shí)對(duì)控制的評(píng)估。幫助審計(jì)人員確定審計(jì)目標(biāo)。支持基于風(fēng)險(xiǎn)的審計(jì)決策。風(fēng)險(xiǎn)分析信息系統(tǒng)審計(jì)人員常常關(guān)注高風(fēng)險(xiǎn)問題,如敏感和重要信息內(nèi)部控制內(nèi)部控制的定義企業(yè)管理層、高級(jí)經(jīng)理和所有人員為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行,保護(hù)資產(chǎn)的安全和完整;防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊,保證會(huì)計(jì)資料的真實(shí)、合法、完整而制定和實(shí)施的政策與程序。內(nèi)部控制內(nèi)容:控制分類信息系統(tǒng)控制目標(biāo)總體控制程序信息系統(tǒng)控制程序內(nèi)部控制內(nèi)部控制的定義內(nèi)部控制內(nèi)容:控制分類預(yù)防性控制檢查性控制糾正性控制職能在事情發(fā)生前檢測(cè)問題監(jiān)控運(yùn)營(yíng)和輸入在問題發(fā)生前預(yù)測(cè)潛在問題,并做出糾正避免錯(cuò)誤、疏忽或蓄意行為的發(fā)生使用控制檢查和報(bào)告發(fā)生的錯(cuò)誤、疏忽或蓄意行為減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問題找出問題原因和糾正問題衍生出的錯(cuò)誤修改處理系統(tǒng)以減少未來(lái)問題發(fā)生的可能性

作用僅雇傭勝任的人員和職責(zé)分工控制訪問物理設(shè)備使用良好設(shè)計(jì)的文檔(避免錯(cuò)誤)建立交易授權(quán)的配套流程完成程序化的編輯檢查使用訪問控制軟件,只允許授權(quán)用戶訪問敏感文件哈希匯總(Hashtotals)生產(chǎn)作業(yè)中的檢查點(diǎn)電信領(lǐng)域的回顯〔Echo)控制磁帶標(biāo)簽上的錯(cuò)誤信息重復(fù)計(jì)算檢查和定期匯報(bào)性能差異過(guò)期賬款報(bào)告和內(nèi)部審計(jì)

意外處理計(jì)劃備份流程恢復(fù)運(yùn)營(yíng)流程

控制分類預(yù)防性控制檢查性控制糾正性控制職能在事情發(fā)生前檢測(cè)問信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控制部分,所以對(duì)信息系統(tǒng)的控制目標(biāo)不變,但控制的性質(zhì)可能有所不同。因此應(yīng)該根據(jù)具體的相關(guān)流程來(lái)制定具體的內(nèi)部控制目標(biāo)。常見的控制目標(biāo)有:保護(hù)信息系統(tǒng)以防止不當(dāng)存取,并確保及時(shí)更新保護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性通過(guò)以下方法保護(hù)敏感的、重要的應(yīng)用系統(tǒng)(如財(cái)務(wù)及管理應(yīng)用系統(tǒng))的機(jī)密性和完整性:保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、策略與程序,并遵守法律法規(guī)的要求.制定業(yè)務(wù)持續(xù)計(jì)劃及災(zāi)難恢復(fù)計(jì)劃制定應(yīng)急響應(yīng)及處理程序信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控總體控制程序總體控制適用于組織的各個(gè)方面,控制程序包含由管理者建立的政策及方法,目的在于合理地確保控制目標(biāo)實(shí)現(xiàn)??傮w內(nèi)部控制程序包括:內(nèi)部會(huì)計(jì)控制—主要針對(duì)會(huì)計(jì)操作,關(guān)注資產(chǎn)安全、財(cái)務(wù)資料準(zhǔn)確可靠日常經(jīng)營(yíng)控制—保證日常業(yè)務(wù)操作、功能及活動(dòng)能滿足業(yè)務(wù)目標(biāo)需要.組織管理控制—關(guān)注職能部門的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度,以提高經(jīng)營(yíng)效率和保證管理方針、政策的實(shí)施為目標(biāo)總體控制程序總體控制適用于組織的各個(gè)方面,控制程序包含由管理信息系統(tǒng)控制程序總體內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序.設(shè)計(jì)良好的信息系統(tǒng)應(yīng)該對(duì)全部的敏感或重要功能進(jìn)行控制。信息系統(tǒng)內(nèi)部控制程序可分為以下幾類:信息系統(tǒng)戰(zhàn)略與方向信息系統(tǒng)組織與管理對(duì)數(shù)據(jù)與計(jì)算機(jī)程序的訪問限制系統(tǒng)開發(fā)方法與變更控制數(shù)據(jù)處理作業(yè)系統(tǒng)編程及技術(shù)支持?jǐn)?shù)據(jù)處理質(zhì)量保證程序物理訪問控制業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)網(wǎng)絡(luò)和通訊數(shù)據(jù)庫(kù)管理信息系統(tǒng)控制程序總體內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序?qū)徲?jì)定義:審計(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán),對(duì)特定經(jīng)濟(jì)實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀收集和評(píng)價(jià),已確定這些信息預(yù)計(jì)定標(biāo)準(zhǔn)的符合程度,并向利益相關(guān)者報(bào)告的一個(gè)系統(tǒng)過(guò)程。實(shí)施信息系統(tǒng)審計(jì)審計(jì)分類財(cái)務(wù)審計(jì):是指審計(jì)人員對(duì)被單位的會(huì)計(jì)報(bào)表的合法性、公允性發(fā)表審計(jì)意見。經(jīng)營(yíng)審計(jì):對(duì)企業(yè)經(jīng)營(yíng)活動(dòng)的內(nèi)部控制構(gòu)成進(jìn)行評(píng)估綜合審計(jì):是指財(cái)務(wù)審計(jì)與經(jīng)營(yíng)審計(jì)的結(jié)合。綜合審計(jì)的目的既包括對(duì)財(cái)務(wù)報(bào)表發(fā)表審計(jì)意見,即財(cái)務(wù)信息的正確性、資產(chǎn)的安全性:也包括對(duì)內(nèi)部控制的審計(jì),即內(nèi)部控制的效率與效果的審計(jì)。管理審計(jì):是一種評(píng)價(jià)組織內(nèi)與經(jīng)營(yíng)效率相關(guān)的問題的審計(jì)。信息系統(tǒng)審計(jì):接下頁(yè)審計(jì)定義:審計(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán),信息系統(tǒng)審計(jì)定義:信息系統(tǒng)審計(jì)時(shí)收集并評(píng)價(jià)審計(jì)證據(jù),以判斷與被審計(jì)單位信息系統(tǒng)有關(guān)的資源與資產(chǎn)的保全、資料與系統(tǒng)的完整性維護(hù)等;判斷信息系統(tǒng)是否可以提供值得信賴的資料,并有效實(shí)現(xiàn)組織的目標(biāo);信息系統(tǒng)的內(nèi)部控制是否有效的實(shí)現(xiàn)控制目標(biāo)和經(jīng)營(yíng)目標(biāo),并能及時(shí)的預(yù)防、發(fā)現(xiàn)和糾正不良事件的發(fā)生。實(shí)施信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)定義:信息系統(tǒng)審計(jì)時(shí)收集并評(píng)價(jià)審計(jì)證據(jù),以判斷與審計(jì)程序的步驟獲取并記錄對(duì)審計(jì)對(duì)象的了解風(fēng)險(xiǎn)評(píng)估和總體審計(jì)計(jì)劃和安排詳細(xì)審計(jì)計(jì)劃初步檢查審計(jì)對(duì)象評(píng)估審計(jì)對(duì)象符合性測(cè)試(控制測(cè)試)實(shí)質(zhì)性測(cè)試報(bào)告(溝通結(jié)果)后續(xù)審計(jì)實(shí)施信息系統(tǒng)審計(jì)審計(jì)程序的步驟實(shí)施信息系統(tǒng)審計(jì)審計(jì)方法審計(jì)范圍審計(jì)目標(biāo)審計(jì)工作計(jì)劃典型的審計(jì)階段確定審計(jì)目標(biāo)確定審計(jì)范圍初步審計(jì)計(jì)劃審計(jì)方法和采集數(shù)據(jù)評(píng)價(jià)測(cè)試和檢查結(jié)果與管理人員溝通準(zhǔn)備審計(jì)報(bào)告實(shí)施信息系統(tǒng)審計(jì)審計(jì)方法實(shí)施信息系統(tǒng)審計(jì)審計(jì)風(fēng)險(xiǎn)和重要性審計(jì)風(fēng)險(xiǎn)可定義為“信息或財(cái)務(wù)報(bào)表可能有重要錯(cuò)誤,但信息系統(tǒng)審計(jì)人員未發(fā)現(xiàn)已發(fā)生的錯(cuò)誤,并做出了錯(cuò)誤結(jié)論的風(fēng)險(xiǎn)”。

“重要性”一詞,是指錯(cuò)誤的嚴(yán)重程度,這一程度是從被審計(jì)信息系統(tǒng)的利益相關(guān)者的角度來(lái)判斷,如果影響到利益相關(guān)者的判斷與決策,那么這一錯(cuò)誤就是重要的。重要性的確定是信息系統(tǒng)審計(jì)師的一項(xiàng)職業(yè)判斷,需要從整體上考慮由于控制薄弱而造成的過(guò)失、疏忽、違規(guī)和非法行為對(duì)組織的影響。審計(jì)師使用基于風(fēng)險(xiǎn)的審計(jì)方法來(lái)評(píng)估審計(jì)過(guò)程本身所具有的風(fēng)險(xiǎn),并決定在審計(jì)過(guò)程中是否采用及如何采用符合性測(cè)試和實(shí)質(zhì)性測(cè)試。實(shí)施信息系統(tǒng)審計(jì)審計(jì)風(fēng)險(xiǎn)和重要性實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分類固有風(fēng)險(xiǎn):是指“假設(shè)不存在相關(guān)的內(nèi)部控制的情況下,發(fā)生重大錯(cuò)誤的風(fēng)險(xiǎn)”??刂骑L(fēng)險(xiǎn):是指有內(nèi)部控制制度,但無(wú)法預(yù)防、及時(shí)發(fā)現(xiàn)或糾正重要錯(cuò)誤的風(fēng)險(xiǎn)。檢查風(fēng)險(xiǎn):是指信息系統(tǒng)審計(jì)人員由于采用了不恰當(dāng)?shù)臏y(cè)試程序.未能發(fā)現(xiàn)已存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。整體審計(jì)風(fēng)險(xiǎn):整體審計(jì)風(fēng)險(xiǎn)是對(duì)個(gè)別控制目標(biāo)所評(píng)估出的各類審計(jì)風(fēng)險(xiǎn)的綜合。實(shí)施信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分類在采用基于風(fēng)險(xiǎn)的審計(jì)方法時(shí),信息系統(tǒng)審計(jì)師不僅僅是依賴于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí),而且還依賴于對(duì)組織的內(nèi)部控制和運(yùn)營(yíng)控制的分析。這種類型的風(fēng)險(xiǎn)評(píng)估就是把風(fēng)險(xiǎn)意識(shí)貫穿到審計(jì)的全過(guò)程,從而在審計(jì)過(guò)程中把重點(diǎn)放在審計(jì)風(fēng)險(xiǎn)的評(píng)估上,并有助于把對(duì)控制所做的成本效益分析與已知的風(fēng)險(xiǎn)結(jié)合起來(lái),作出最佳控制選擇。基于風(fēng)險(xiǎn)的審計(jì)方法有以下優(yōu)點(diǎn):強(qiáng)調(diào)商業(yè)和業(yè)務(wù)知識(shí)強(qiáng)調(diào)評(píng)估整體控制的有效性根據(jù)控制目標(biāo)將風(fēng)險(xiǎn)評(píng)估和測(cè)試方法有機(jī)結(jié)合起來(lái)重點(diǎn)是從管理角度來(lái)看企業(yè)運(yùn)營(yíng)實(shí)施信息系統(tǒng)審計(jì)在采用基于風(fēng)險(xiǎn)的審計(jì)方法時(shí),信息系統(tǒng)審計(jì)師不僅僅是依賴于對(duì)風(fēng)在決定應(yīng)審計(jì)哪些功能區(qū)域時(shí),信息系統(tǒng)審計(jì)師將面臨大量不同類型的審計(jì)對(duì)象,信息系統(tǒng)審計(jì)師應(yīng)根據(jù)被審計(jì)對(duì)象的復(fù)雜性和具體情況來(lái)選擇最適合組織需要的風(fēng)險(xiǎn)評(píng)估技術(shù)。利用風(fēng)險(xiǎn)評(píng)估技術(shù)來(lái)確定審計(jì)范圍時(shí).要注意以下問題:管理層能有效的分配審計(jì)資源保證從組織的各級(jí)管理層能收集到足夠的信息能為有效管理審計(jì)部門并提高審計(jì)工作績(jī)效奠定基礎(chǔ)總結(jié)出單獨(dú)審計(jì)對(duì)象與整個(gè)組織及業(yè)務(wù)計(jì)劃是如何相關(guān)的實(shí)施信息系統(tǒng)審計(jì)在決定應(yīng)審計(jì)哪些功能區(qū)域時(shí),信息系統(tǒng)審計(jì)師將面臨大量不同類型控制目標(biāo)和審計(jì)目標(biāo)控制目標(biāo)指出內(nèi)部控制應(yīng)如何發(fā)揮作用,而審計(jì)目標(biāo)則給出明確的審計(jì)目的。一項(xiàng)審計(jì)可以包含幾個(gè)審計(jì)目的。審計(jì)目標(biāo)通常專注于證實(shí)內(nèi)部控制存在并能有效地降低業(yè)務(wù)風(fēng)險(xiǎn)。審計(jì)目標(biāo)包括鑒證信息資產(chǎn)的機(jī)密性、完整性、可靠性、可用性及與法律法規(guī)的符合性。當(dāng)實(shí)施具體的審計(jì)任務(wù)時(shí),被審計(jì)方管理層負(fù)責(zé)人會(huì)提供一個(gè)總的控制目標(biāo),讓審計(jì)師去檢查及鑒證。實(shí)施信息系統(tǒng)審計(jì)控制目標(biāo)和審計(jì)目標(biāo)實(shí)施信息系統(tǒng)審計(jì)符合性測(cè)試:符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策的程度。例如,通過(guò)測(cè)試抽取的程序樣本的原版本與目標(biāo)版本的一致性。實(shí)質(zhì)性測(cè)試:實(shí)質(zhì)性測(cè)試驗(yàn)證實(shí)際處理的完整性.通過(guò)實(shí)質(zhì)性測(cè)試可以確定財(cái)務(wù)報(bào)表和財(cái)務(wù)信息所反映的業(yè)務(wù)活動(dòng)的正確性和完整性。實(shí)質(zhì)性測(cè)試和符合性測(cè)試關(guān)系如果符合性測(cè)試(也叫控制測(cè)試)結(jié)果表明被審計(jì)單位內(nèi)部控制充分,信息系統(tǒng)審計(jì)師就會(huì)減少實(shí)質(zhì)性測(cè)試程序。反之,如果控制測(cè)試的結(jié)果表明被審計(jì)單位控制薄弱,在賬戶的完整性、正確性和有效性都不可信時(shí),信息系統(tǒng)審計(jì)師則要實(shí)施大量的實(shí)質(zhì)性測(cè)試程序.實(shí)施信息系統(tǒng)審計(jì)符合性測(cè)試:符合性測(cè)試確定控制的執(zhí)行符合管理層制定的方針政策實(shí)施信息系統(tǒng)審計(jì)審計(jì)證據(jù)是按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)要求,在對(duì)某實(shí)體進(jìn)行審計(jì)時(shí)所采用信息,審計(jì)結(jié)論必須基于充分、相關(guān)、可靠的證據(jù)。評(píng)估審計(jì)證據(jù)的可靠性,取決于以下因素:提供審計(jì)證據(jù)人員獨(dú)立性提供審計(jì)證據(jù)人員的資格審計(jì)證據(jù)客觀性審計(jì)證據(jù)時(shí)效性實(shí)施信息系統(tǒng)審計(jì)審計(jì)證據(jù)是按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)要求,在對(duì)某實(shí)獲取審計(jì)證據(jù)的技術(shù)檢查信息系統(tǒng)組織架構(gòu):在信息系統(tǒng)環(huán)境下,組織結(jié)構(gòu)提供了充分的職責(zé)分工,是重要的一般控制。檢查信息系統(tǒng)方針政策:信息系統(tǒng)審計(jì)師應(yīng)該檢查組織是否存在適當(dāng)?shù)姆结樅驼?,確定員工是否理解方針政策并在工作中得到遵循。檢查信息系統(tǒng)文件:檢查信息系統(tǒng)文件先要了解組織內(nèi)的現(xiàn)行文件,信息系統(tǒng)審計(jì)師至少要找到關(guān)鍵信息系統(tǒng)文件。約見相關(guān)人員進(jìn)行會(huì)談:約見應(yīng)事先安排,按事先擬好的提綱進(jìn)行,井記錄會(huì)談紀(jì)要。觀察處理過(guò)程和員工實(shí)際表現(xiàn):觀察是各種檢查方法中一種重要技巧。信息系統(tǒng)審計(jì)師在觀察過(guò)程中應(yīng)紀(jì)錄下充分詳細(xì)的記錄作為以后的審計(jì)證據(jù)。實(shí)施信息系統(tǒng)審計(jì)獲取審計(jì)證據(jù)的技術(shù)實(shí)施信息系統(tǒng)審計(jì)抽樣是應(yīng)用在成本及時(shí)間都不允許對(duì)所有交易或事件的對(duì)象總體作100%審計(jì)時(shí),可以從審計(jì)總體中選取一定數(shù)量的樣本進(jìn)行測(cè)試,并根據(jù)側(cè)試結(jié)果,推斷審計(jì)對(duì)象總體特征的一種方法。根據(jù)總體特征不同分為:統(tǒng)計(jì)抽樣:審計(jì)人員在計(jì)算正式抽樣結(jié)果時(shí)采用統(tǒng)計(jì)推斷技術(shù)的一種抽樣方法,統(tǒng)計(jì)抽樣采用客觀的方法來(lái)決定樣本量大小及抽樣方式。非統(tǒng)計(jì)抽樣:審計(jì)人員全憑主觀標(biāo)準(zhǔn)和個(gè)人經(jīng)驗(yàn)來(lái)評(píng)價(jià)樣本結(jié)果并對(duì)總體做出結(jié)論。二者最根本的區(qū)別在于非統(tǒng)計(jì)抽樣不能量化抽樣風(fēng)險(xiǎn),而統(tǒng)計(jì)抽樣可以量化抽樣風(fēng)險(xiǎn)。實(shí)施信息系統(tǒng)審計(jì)抽樣是應(yīng)用在成本及時(shí)間都不允許對(duì)所有交易或事件的對(duì)象總體作1實(shí)施信息系統(tǒng)審計(jì)根據(jù)抽樣方法分為:屬性抽樣:估計(jì)一個(gè)控制或一組相關(guān)控制屬性的發(fā)生概率。例如,使用電腦中請(qǐng)表中的核準(zhǔn)簽名就是一種控制屬性。變量抽樣:根據(jù)總體的抽樣來(lái)估計(jì)總體的金額數(shù)或其他衡量單位,如重量。屬性抽樣有以下常用方法:停-走抽樣:它從預(yù)計(jì)總體誤差為零開始,通過(guò)邊抽樣邊審查評(píng)價(jià)來(lái)完成抽樣審計(jì)工作。發(fā)現(xiàn)抽樣:發(fā)現(xiàn)抽樣是屬性抽樣的一種特殊形式,主要用于查找重大非法事件。變量抽樣有以下常用方法:分層單位平均估計(jì)抽樣:先對(duì)樣本總體進(jìn)行分層,在不同分層中進(jìn)行抽樣檢查確定樣本的平均值。根據(jù)樣本平均值推斷總休的平均值和總值的方法。分層方法可以縮小樣本量。不分層單位平均估計(jì)抽樣:通過(guò)抽樣檢查確定樣本的平均值,根據(jù)樣本平均值推斷總體的平均值和總值的方法。差額估計(jì)抽樣:差額估計(jì)抽樣是以樣本實(shí)際價(jià)值與賬面價(jià)值的平均差額來(lái)估計(jì)總體實(shí)際價(jià)值與賬面價(jià)值的平均差額,然后再以這個(gè)平均差額乘以總體項(xiàng)目個(gè)數(shù),從而求出總體的實(shí)際價(jià)值與賬面價(jià)值差額的一種抽樣方法。實(shí)施信息系統(tǒng)審計(jì)根據(jù)抽樣方法分為:實(shí)施信息系統(tǒng)審計(jì)統(tǒng)計(jì)抽樣術(shù)語(yǔ)置信系數(shù):也稱為信賴(置信)水平、可信度(可信賴程度)或可信賴因子,是以百分率(90%,95%,99%等)表示的抽樣結(jié)果能夠代表總體的概率。風(fēng)險(xiǎn)水平:等于1減去置信系數(shù),是樣本結(jié)果不能代表總體的概率。精度:也稱為精確度。由審計(jì)師設(shè)定,并能代表樣本與總體之間的可接受誤差范圍。預(yù)期總體誤差:即預(yù)期差錯(cuò)發(fā)生率,以百分率

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論