【课程大纲】

第1天�信息系统审计实施流程与应用


导入：步入信息时代，信息安全的风险和灾难


一、为什么推行信息系统审计


-�新兴风险的出现促使内审的变革


-�什么是信息系统审计？


-�IT审计在企业中的定位及重要性


-�IT审计与一般审计的区别与联系


-�信息系统审计准则及规范要求


二、信息系统审计体系搭建


-�内审人员的能力要求不断提高，你们准备好了吗？


-�内审人员需了解的IT知识


-�内审人员需运用的工具、分析方法


-�IT审计人员的能力框架


-�什么是高效的IT内部审计体系？


-�基于目标的IT内部审计规划


-�打造高效的IT内部审计团队


-�严格IT内部审计质量控制程序


-�完善的内部管理、考核监督机制


三、以风险为导向的IT审计实施


-�以管理层期望为基础的审计目标确定


-�以风险为导向，从IT的角度进行风险评估


-�识别高风险领域—IT技术、IT项目、IT流程、IT环境


-�风险模型—损失分布法、蒙特卡罗法


-�建立IT风险矩阵及应对策略图


-�基于风险评估的IT审计计划


-�执行IT项目审计程序


-�如何选择适合的审计程序


-�审计证据收集与评价


-�出具一份有价值的审计报告


案例分析：


-�案例1：通用汽车的信息系统审计实施借鉴


-�案例2：商业银行个贷信息系统审计案例


拓展应用：


-�应用1：根据某中心财务收支和信息系统现状进行审计


-�应用2：不同行业特点公司应重点关注的IT审计领域


第2天�信息系统审计方法和要点


第1天�市场与动因


四、信息系统审计的方法与工具


-�手工方法：面谈法、观察法等


-�审计抽样技术


-�IT审计的穿行测试


-�执行有效性的抽样技巧


-�计算机辅助审计技术与工具


-�虚拟测试：系统测试法


-�系统模拟：整体检查法、平行模拟法优劣比较


-�预警提醒：审计钩(hooks)


-�连续监控：系统控制审计校验文件以及嵌入式审计模型(SCARF/EAM)


-�什么是CAAT、文件稽核和ACL?


五、信息系统审计核心要点


-�数据环节


-�能够向前、向后追踪单个交易和资产记录的方法


-�信息系统安全


-�操作系统、信息系统硬件安全


-�数据库、互联网技术安全


-�有效的系统权限分离


-�内部控制环节


-�控制系统资源的存取的使用


-�建立按用户只能分配资源的制度


-�记录系统的使用情况


-�确认处理过程的准确性


-�管理人员对财务系统的修改


-�数据传输转移环节


-�转移过程中数据可能变化


-�新老科目代码的异同


-�数据质量情况


-�确保数据信息经批准、完整、精确


案例分析：


-�案例3：陶氏等公司信息系统审计COBIT5实践�


-�案例4：建行网上银行的信息系统审计案例共享


拓展应用：


-�应用3：内部控制审计中的信息技术的运用


-�应用4：IT审计穿行测试与一般审计的区别