文档介绍：1 预防性控制职责分工, 物理访问控制检查性控制审计轨迹纠正性控制备份程序 IS 审计了解审计环境--- 进行风险评估--- 编制审计计划符合性测试: 属性抽样符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。用以确定内部控制制度是否落实执行的审计测试。实质性测试: 一种审计测试的方法, 用来保证在足够的内部控制的基础上, 可以避免发生严重错误或诈欺行为。变量抽样、分层单位平均估计法、差额估计法 1 固有风险评估 2 控制风险评估 3 控制测试评估 4 实质性测试评估符合性测试与实质性测试的区别主要有以下 6 点: 1 )测试目的不同:前者是为确定实质性测试性质,范围,时间; 后者是为了对被审核单位内控制度发表审核意见。 2 )测试范围不同,前者只对拟信赖的内控进行测试; 后者视委托目的而定。 3 )测试依据不同,前者依据《独立审计准则》; 后者依据《内部控制审核指导意见》。 4) 测试时间不同, 前者和报表审计期间相同; 后者视委托目的而定。 5 )测试结果不同,前者形成审计工作底稿; 后者形成内部控制审核报告。 6) 内部控制审核要求被审核单位提供有关内控情况的书面声明, 而符合性测试不需要。 2 第一章信息系统审计过程审计章程: 规范公司内部审计工作, 明确内部审计的职责和权限, 发挥内部审计在强化内部控制, 改善经营管理, 提高经济效益中的作用, 促进公司经营效率, 经济效益的提高, 确保内部控制持续有效实施, 维护投资者的权益, 实现内部审计的制度化和规范化, 审计计划包括短期计划和长期计划。短期年度内需要实施, 长期考虑 IT 战略方针对 IT 环境造成的影响所带来的相关风险问题。制定审计计划时: 必须理解整体被审计环境。包括了解审计对象的各项业务流程和职能。审计计划步骤: 1 了解业务使命,目标、目的和流程 2 找出相关规定(政策、标准等) 3 风险分析 4 执行 IT 相关内部控制检查 5 确定审计目标和审计范围 6 制定审计方法或策略 7 为审计事项分配人力资源 8 关注项目后勤保障了解业务的步骤 1 巡检设施 2 阅读背景资料(出版物,报告) 3 检察业务及 IT 长期战略规划 4 访谈关键管理人 5 审阅以往审计报告或相关报告 3 6 识别适用于 IT 的具体规章 7 识别已外包的 IT 职能和相关活动。审计程序列表: 1 风险评估方法 2 数字签名 3 入侵检测 4 病毒和其他恶意代码 5 控制风险自评估 6 防火墙 7 违规和非法行为 8 安全评估——穿透测试和脆弱性分析 9 评估加密方法的管理控制 10 业务应用系统变更控制 11 电子资金转账( EFT) 风险分析风险分析是帮助 IS 审计师识别风险和脆弱性并确定降低风险所需的控制。风险评估: 1 识别业务目标、信息资产、支持系统或相关信息资源。( 风险评估) 2 识别选择风险减缓所需的控制(风险减缓) 3 监控所管理的风险水平(风险在评估) 内部控制 4 内部控制由能够降低组织风险的政策、规程、实务和组织结构组成。目地是使风险事件能够被预防、检测和纠正,业务目标能够达成。控制分类预防性、检测性和纠正性。一般控制适用于组织的所有领域 5 IS 控制程序: 1 战略和方针 2 全面的组织和管理 3IT 资源的访问 4 系统开发方法和变更控制5 运行规程6 系统编程和技术支持职能7 质量保证QA流程 8 物理访问控制 9 业务持续计划( BCP) 灾难恢复计划( DRP) 10 网络和通讯 11 数据库管理 12 对内、外部攻击的检查和保护机制审计方法: 基于风险的审计 6 审计风险分类固有风险 Inherent Risk 控制风险 Control Risk 检测风险 Detection Risk 整体审计风险风险的重要性:应考虑对组织的整体潜在的影响。审计目标所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。 7 实质性测试与符合性测试符合性测试市委测试组织对控制程序的符合性而收集证据。验证控制的执行是否符合管理政策和规程。实质性测试是为了评价交易、数据或其他信息的完整性而收集证据。计算机辅助审计技术( CAAT ) 通用审计软件( GAS ) 、调试和扫描软件、测试数据、应用软件跟总映像、专家系统。沟通审计结果 IS 审计师对高级管理层和董事会下属的审计委员会负责。并且应当轻松的与这些管理层沟通问题即关注事项。在与高级管理层沟通审计结果前, IS 审计师应当与被审计组织的管理人员讨论审计发现。就审计发现达成一致并制订整改行动计划。当不能达成一致时, IS 审计师应当详细描述审计发现的重要性、不纠正控制缺陷的风险和影响。控制自我评估( CSA ) 把一些控制监督职责分散到职能部门来充分发挥内部审计职能的作用8 ``````