《初级信息系统审计》课程教学大纲文档格式.docx
《《初级信息系统审计》课程教学大纲文档格式.docx》由会员分享,可在线阅读,更多相关《《初级信息系统审计》课程教学大纲文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
信息系统审计专业
考核方式:
考试
先修课程:
二、课程简介
1、信息系统审计(初级)是本专业的基础性专业课程,对中高级阶段的学生培养具有重要意义。
通过本课程的学习,引导学生对信息系统审计有一定的了解,为后续中高级的教育打下坚实的框架基础,让学生对以后的职业生涯有一个清晰的方向,有助于学生规划成长路径,明确成长过程中需要掌握的知识体系,使学生向着目标学、带着任务学、怀着初心学。
2、主要内容如下:
信息系统审计职能,明确审计团队的任务和保持审计独立性和能力的策略,促成高级管理层执行高效IT管理;
信息系统审计准则和鉴证标准,传导客观、敬业和职业审慎执行最佳实践履行职责的行动要求;
信息系统控制目标,通过风险分析,帮助审计师识别风险;
实施信息系统审计,围绕信息系统控制目标,通过各种审计过程获得证据,管理审计过程中形成的各种成果;
公司治理和企业IT治理,理解公司治理对IT的要求,建立合理的战略规划、管理实务等措施;
风险管理实务,明确建立风险管理程序的目的,制定和实施风险管理职责、流程等;
信息技术管理实践,讲述各种IS相关管理活动所涉及的政策和程序的实施情况等。
三、课程性质与教学目的
1、理解信息系统审计的内涵。
2、掌握信息系统审计的规范化流程,包括审计程序、审计技术与方法等。
3、掌握信息系统审计各个方面的审计重点、要点,以及相关行关的监管要求。
4、结合信息系统相关行业审计案例,推动审计经验的积累。
通过学习,让学生认识到我国的信息系统审计尚处于探索阶段,还未形成一套成型的专业规范,也未建立健全一套适应信息系统审计事业发展的管理运作机制,同时也缺乏能够全面开展信息系统审计业务的人才队伍。
加强学生信息系统审计专业必要性的认识,站在国际高度让学生理解中外之间在专业性方面的差距,激励学生爱国强审、科技强国意识的提升,学习先进的理论实践,结合未来职业发展,规划个人职业发展。
四、教学内容及要求
第一章信息系统审计职能管理
(一)目的与要求
1.管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任务将会实现审计职能目标,同时保持审计独立性和能力。
2.管理审计职能时确保为促成高级管理层执行高效IT管理和达成业务目标提供附加价值。
(二)教学内容
第一节
1.审计章程
2.审计章程由公司内部审计管理部门起草,是为了保证审计活动的独立性,确定审计部门/人员的地位和作用的一份声明性文件。
3.什么是审计?
为什么要做审计?
第二节
1.审计资源管理
2.资源是有限的,好刀不用会生锈。
3.对信息系统审计师的要求:
持续不断的学习,保持执业资格;
具备项目管理能力。
4.对国内信息系统审计的严峻形势进行剖析,促进学生站在国家治理、国家安全的角度思考学习的深刻意义,激励学生认真学习。
(三)思考与实践
最佳实践:
每年一次培训;
每半年回顾,确保培训与审计内容一致;
管理层提供必要支持。
(四)教学方法与手段
使用多媒体,采用课堂讲授、案例引入与讨论的教学形式。
第二章信息系统审计的主要内容
1.信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对企事业单位而言就显得非常的重要,信息系统审计应运而生。
2.信息系统与手工会计系统不同,它是由会计数据体系,计算机硬件和软件以及系统工作和维护人员组成,所以信息系统的审计内容与手工会计系统也存在着较大的差别。
1.一般控制审计
2.IT治理、信息系统与基础设施生命周期管理、IT服务交付与服务支持、信息资产保护、业务连续性与灾难恢复。
1.应用控制审计
2.输入控制、处理程序和控制、输出控制、业务流程保证控制。
(三)教学方法与手段
使用多媒体教室,采用课堂讲授与案例讨论分析的教学形式。
第三章信息系统审计准则和鉴证标准
1.遵从并执行适当的信息系统审计准则、程序和控制。
2.按照职业准则和最佳实践履行职责,并做到应有的客观、敬业和职业审慎。
3.以诚实、合法的方式为利益相关者服务,保持高尚的行为操守及品德,不从事有损执业行为的活动。
1.ISACA信息系统审计准则
2.准则主要在IS审计和鉴证标准的应用方面提供指导。
3.应重点掌握S1审计章程,S2独立性,S3职业道德和准则,S5审计计划,S6审计工作执行,S7审计报告。
第二节
1.ISACA信息系统审计指南
2.在确定如何应用审计准则时考虑审计指南,在应用审计指南时使用职业判断,能够证明任何偏离准则的行为。
3.应重点掌握G1使用其他审计师的工作成果,G5审计章程,G8审计文档,G9对违规行为的审计考虑,G17非审计角色对信息系统审计师独立性的影响,G20审计报告,G35追踪审计。
4.强化良好职业道德、职业素养的重要性认识,提高执业能力。
应用大于背诵。
使用多媒体教室,采用课堂讲授的教学形式。
第四章信息系统控制目标
1.风险分析是审计计划的一部分,帮助信息系统审计师识别风险和脆弱性并确定降低风险所需的控制。
2.在评估IT相关的组织业务流程时,正确理解风险与控制的关系,对审计师及控制专家来说都是非常重要的。
信息系统审计师必须能够识别与区分不同的风险类型及降低风险所使用的控制措施,必须了解常见的业务风险、相关技术风险和控制,对业务管理人员所使用的风险评估和管理方法要能够做出评价,并对风险做出评估以帮助确定重点和制定审计计划。
除了理解业务风险和控制外,信息系统审计师还必须理解审计程序中存在的风险。
1.风险分析
2.应当对这些措施实施成本效益分析,并选择那些能减缓风险至管理层可接受水平的相关措施。
分析过程可基于以下内容:
比较控制成本与降低风险所得的收益;
管理层的风险偏好(如:
管理层准备接受的残余风险水平);
优先选用的风险降低方法(如:
终止风险、降低风险发生的可能性、减少影响、通过保险转移风险等)。
1.风险分析在审计计划中的用途
2.帮助审计人员识别风险,识别组织所面临的威胁及对应的内部控制,审计人员可以根据风险水平选择拟审计的区域,帮助审计人员在制订审计计划时对控制的评估,帮助审计人员确定审计目标,支持基于风险的审计决策。
3.针对金融行业、政务相关信息科技风险进行案例剖析,提高风险的危机意识以及作为审计人员的责任意识。
信息系统审计师除了要理解业务风险与控制外,对审计活动本身的风险也要有清楚的认识。
第五章实施信息系统审计
3.对重点环节的风险进行解析,提高审计师风险担当意识,促进审计师专业技能的提升,建立良好的职业素养。
1.审计目标
2.获取充分、恰当的审计证据来得出和支持审计结论和意见。
3.获取并记录对审计对象的了解,风险评估和总体审计计划和安排,详细审计计划,初步检查审计对象,评估审计对象,符合性测试(控制测试),实质性测试,沟通结果并形成最终报告,后续审计。
1.审计阶段
2.确定审计对象-被审计领域(IT),确定审计目标,决定审计范围,制定审计计划,确定收集数据的审计程序和步骤,评价测试或检查结果,与管理人员沟通,准备审计报告,提交审计报告。
第三节
1.工作底稿
2.工作底稿是指审计人员在审计工作过程中形成的全部审计工作记录和获取的资料。
它是审计证据的载体,可作为审计过程和结果的书面证明,也是形成审计结论的依据。
具有可追溯行和指示性。
3.工作底稿编写的注意事项:
必须要有日期、编制人、编号和标识,内容应该相关、完整、清晰,底稿要及时归档保存。
4.审计报告可以视为一种特殊的工作底稿。
5.案例介绍工作底稿质量问题的典型表现,提高底稿编制重要性认识,强化底稿复审观念。
信息系统审计师要理解审计工作的各个阶段,对审计活动的符合性测试和实质性测试也要有清楚的认识。
第六章公司治理/企业IT治理
1.IT治理是组织中的一种制度安排。
目的是为了提高IT绩效.降低IT风险,有效利用资源。
通过本章的学习,IS审计师应当能理解公司治理对IT的要求,了解组织为完善IT治理,应当如何建立合理的战略规划、管理实务、组织结构、政策程序、职责机制和监督等措施。
2.IT治理知识是IS审计师的工作基础,也是制定合理的控制实务与管理层监督检查机制的基础。
1.公司治理
2.整个组织层面的文化、决策和实务都必须通过公司治理来培养,公司治理被治理层定义为:
为所有股东创造和呈现价值的企业道德行为。
1.企业IT治理
2.企业IT治理(GEIT)是一个系统,在这个系统中,所有的股东,包括董事会、高级管理层、内部客户以及财务等部门等都会向决策制定流程提供信息或数据的输入。
3.评估、指导和监控的流程可以以端到端的方式整合到企业的流程中去,并对如下方面进行评估、指导和监控:
绩效和一致性;
系统的内部控制;
对外部要求的合规性。
4.案例解析企业治理问题导致的相关风险,提高学生对IT治理重要性的认识。
1.审计在IT治理中的角色
2.IT治理报告涉及组织最高层次,并且可能是跨区域、跨职能或跨部门的,对列入计划的审计项目,应当考虑组织现状及IS审计师技能的适当性,如发现不足,应由适当的管理层来考虑聘用独立的第三方来管理或执行审计。
3.按照IS审计师的既定角色,需要评价与IT治理相关的以下内容:
IS职能与组织使命、愿景、价值、目标和战略的一致性,法律、环境、信息质量、委托、安全和隐私方面的要求,组织的控制环境,IS环境的固有风险。
4.结合金融行业相关监管要求及案例,介绍审计在IT治理中的角色及作用,实现学生对实践经验的积累。
ISACA提出的用于支持IT治理的框架。
它确保了:
IT与业务目标的一致性、通过IT实现业务的利润最大化、有效地使用IT资源、合理地管理IT风险。
COBIT采用工具对组织内的IT流程进行评估和绩效测量。
COBIT5包含5个原则、5个领域,37个流程和210个实践。
使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。
第七章风险管理实务
1.风险管理是组织用于识别信息资源的脆弱性及威胁,制定相应的对策(安全措施或控制),以实现组织业务目标的过程。
任何风险,都应当基于信息资源对组织的价值,将其降低至可接受水平(如残余风险)。
2.有效
升级会员 