A. 信息系统审计职能管理
A1. IS审计职能的组织
内部
审计章程或审计委托书(S1)中描述责任、授权和义务
外部
合同
独立性
A2. IS审计资源管理(S4)
A3. 审计计划
年度计划
短期
年内
长期
IT战略方针引起的风险
单项审计任务
步骤(S5)
了解业务
巡检关键设施
阅读背景资料
检查战略规划
访谈管理人员
审阅历史报告
适用IT的规章
识别外包活动
找出规定
风险分析、指定审计计划
IT内控检查
审计目标和范围
指定审计方法和策略
分配人力资源
项目后勤
A4. 法律、法规对IS审计计划的影响
COSO
COSO.jpg
Basel II
B. ISACA IS审计准则和指南
G5,S9,G9,G17,S2,G35
B6. ITAF
C. 风险分析
风险定义:风险是特定的威胁利用资产的脆弱性从而对组织造成的一种潜在的损害(ISO/IEC 13335-1)
识别业务目标、信息资产或相关资源;实施风险评估;风险缓解;监控风险水平
D. 内部控制
D1. 内部控制目标
内部会计控制
运营控制
管理控制
D2. IS控制目标
应用控制领域
手工
自动化
结合
D3. 信息及相关技术控制目标(COBIT)
D4. 一般控制
内部会计控制
运营控制
管理控制
组织安全政策和规程
保证记录的总体政策
安全保护流程和实务
数据中心和IT资源
D5. IS控制
E. 实施IS审计
E1. 审计分类
财务审计
运营审计
综合审计
管理审计
IS审计
专项审计
司法取证审计
E2. 审计程序
获取和记录
风险评估和总体计划
详细计划
初步检查
评估
评估和验证符合型
符合性测试
实质性测试
报告
内审的追踪活动
E3. 审计方法
E4. 检测舞弊行为
E5. 基于风险的审计
E6. 审计风险和重要性
分类
固有风险
控制风险
检测风险
整体审计风险
重要性
E7. 风险评估及处置
评估风险
过程
1、风险分析(量化风险的方法)
2、风险评价(对比风险值与风险标准)
处置风险
E8. 风险评估技术
E9. 审计目标
E10. 符合性测试与实质性测试
符合性测试
验证控制的执行是否符合预期
既包括功能测试,也包括业务测试;既测试有无错误,也测试具体数据
不测试IS处理后的资料的正确性
实质性测试
证实实际处理的完整性
类型
交易和平衡进行测试
分析性复核
E11. 证据
适当性(质量)
充分性(数量)
可靠性
人员的独立性
人员的资格
证据的客观性
证据的时效性
收集
检查IS组织结构
检查政策和规程
检查IS标准
检查IS文档
访谈适当的人员
观察工作流程和员工表现
E12. 访谈和观察工作中的员工
实际职能
实际流程或程序
安全意识
报告关系
E13. 抽样
方法
统计抽样
置信系数
非统计抽样
属性抽样
符合性测试
分类
属性抽样
停走抽样
发现抽样
变量抽样
实质性测试
分类
分层单位平均估计抽样
不分层单位平均估计抽样
差额估计
术语
置信系数
95%
风险水平
精度
样本和总体之间的可接受误差范围
预期差错率
属性抽样only
样本平均值
样本值的合计数除以样本量
样本标准差
可容忍误差率
总体标准差
样本量越大
变量抽样only
E14. 使用其他审计师和专家服务
E15. 计算机辅助审计技术(CAAT)
E16. 评价审计强度和缺陷
补偿控制
重叠控制
判断审计发现的重要性水平
E17. 沟通审计结果
报告的结构和内容
报告提要
审计目标
范围
期间
审计程序和测试性质及范围的总体说明
IS审计方法和指导的说明
审计发现
重要性
接收人
审计师的保留意见和限制因素
详细的审计发现和建议
备忘录
不重要的审计发现
E18. 管理审计建议的实施
E19. 审计文档
记录
审计目标与范围的计划与准备
审计领域或执行走查
审计程序
审计步骤及审计证据
使用其他审计师和专家的服务内容
审计发现、结论及建议
审计文档与文件鉴定和时间的关系
建议包括
审计报告的副本
证据
F 控制自评估(CSA)
F1. CSA的目标
分散控制监督到职能部门
教育管理人员设计和监督控制
授权员工对控制进行评估和设计
F2. CSA的优点
F3. CSA的缺点
F4. 审计师在CSA中的角色
推动者
管理人员才是实施者
F5. CSA中的技术手段
F6. 传统审计方法与CSA方法的比较
G. IS审计过程的新变化
G1. 电子工作底稿
G2. 综合审计
H. 持续审计
比较
持续监控
是一种IS管理工具,一般基于自动化程序来满足既定的监督要求
持续审计
独立审计师对审计对象提供书面保证的一种方法,他是在审计对象发生事件的同时, 或短时之后,发表一系列审计师报告。一般都是用自动化的审计程序