文档介绍：预防性控制  职责分工,物理访问控制 
检查性控制  审计轨迹 
纠正性控制  备份程序 
 
 
IS 审计   了解审计环境‐‐‐进行风险评估‐‐‐编制审计计划 
 
符合性测试:属性抽样 
符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。 
用以确定内部控制制度是否落实执行的审计测试。 
 
实质性测试: 
一种审计测试的方法，用来保证在足够的内部控制的基础上，可以避免发生严重错误或诈欺
行为。 
 
变量抽样、分层单位平均估计法、差额估计法 
1 固有风险评估  2 控制风险评估  3 控制测试评估  4 实质性测试评估 
符合性测试与实质性测试的区别主要有以下 6 点：
1）测试目的不同：前者是为确定实质性测试性质，范围，时间； 后
者是为了对被审核单位内控制度发表审核意见。
2）测试范围不同，前者只对拟信赖的内控进行测试； 后者视委托目
的而定。
3）测试依据不同，前者依据《独立审计准则》； 后者依据《内部控
制审核指导意见》。
4）测试时间不同，前者和报表审计期间相同； 后者视委托目的而定。
5）测试结果不同，前者形成审计工作底稿； 后者形成内部控制审核
报告。
6）内部控制审核要求被审核单位提供有关内控情况的书面声明，而符
合性测试不需要。
第一章  信息系统审计过程 
审计计划包括短期计划和长期计划。短期年度内需要实施，长期考虑
IT 战略方针对 IT 环境造成的影响所带来的相关风险问题。 
制定审计计划时：必须理解整体被审计环境。包括了解审计对象的各
项业务流程和职能。 
审计计划步骤： 
1 了解业务使命，目标、目的和流程 
2 找出相关规定（政策、标准等） 
3 风险分析 
4 执行 IT 相关内部控制检查 
5 确定审计目标和审计范围 
6 制定审计方法或策略 
7 为审计事项分配人力资源 
8 关注项目后勤保障 
了解业务的步骤 
1 巡检设施 
2 阅读背景资料（出版物，报告） 
3 检察业务及 IT 长期战略规划 
4 访谈关键管理人 
5 审阅以往审计报告或相关报告 
6 识别适用于 IT 的具体规章 
7 识别已外包的 IT 职能和相关活动。
审计程序列表： 
1 风险评估方法 
2 数字签名 
3 入侵检测 
4 病毒和其他恶意代码 
5 控制风险自评估 
6 防火墙 
7 违规和非法行为 
8 安全评估——穿透测试和脆弱性分析 
9 评估加密方法的管理控制 
10 业务应用系统变更控制 
11 电子资金转账（EFT) 
风险分析 
风险分析是帮助 IS 审计师识别风险和脆弱性并确定降低风险所需的
控制。 
风险评估： 
1 识别业务目标、信息资产、支持系统或相关信息资源。（风险评估） 
2 识别选择风险减缓所需的控制（风险减缓） 
3 监控所管理的风险水平（风险在评估） 
内部控制 
内部控制由能够降低组织风险的政策、规程、实务和组织结构组成。 
目地是使风险事件能够被预防、检测和纠正，业务目标能够达成。
控制分类 
预防性、检测性和纠正性。 
 
 
一般控制 
适用于组织的所有领域 
IS 控制程序： 
1 战略和方针 2 全面的组织和管理 3IT 资源的访问 4 系统开发方法和
变更控制 5 运行规程 6 系统编程和技术支持职能 7 质量保证 QA 流程
8 物理访问控制 9 业务持续计划（BCP)灾难恢复计划（DRP)10 网络和
通讯 11 数据库管理 12 对内、外部攻击的检查和保护机制 
审计方法：