财务总监、控制总监、投资总监、审计总监；首席信息官；财务部、审计部、内控部等部门相关人员；IT部门相关人员

课程背景

目前，大型企业在组织形态走向分散化的同时，其管理的集约化程度也在不断提高，运用信息系统进行审计被越来越多的企业所选择。如何使用信息系统审计来提高审计的效率与准确性、如何确保数据资产的安全性、如何落实信息系统审计在各方面的实际运用是现代企业尤为关注的问题。区别于传统审计的财务领域，信息系统审计关注的是企业系统的可靠性和运行现状，在某些情况下甚至能够直接参与项目的开发或变更过程，以保证足够的控制得以顺利实施，确保内部控制真正落地。

课程收益

了解信息系统审计标准、准则和内容

了解信息系统审计的基本方法

掌握信息系统审计体系的各个环节

学习把握信息系统审计的重点——IT审计方法与流程

学会使用多种信息系统审计工具，提高审计效率与准确性

掌握独立的为企业核心信息系统进行审计、检查与评价

课程对象

财务总监、控制总监、投资总监、审计总监

首席信息官

财务部、审计部、内控部等部门相关人员

IT部门相关人员

课程内容：

第1天 信息审计标准方法与体系

一、 信息系统审计概述

信息系统审计的发展

信息系统审计与一般审计的区别

信息系统审计的目标

信息安全管理体系标准发展

ISO 27001:2005标准要求介绍

信息安全的重要性

信息安全的威胁及弱点

信息系统审计准则

信息系统审计准则的概念和作用

国际信息系统审计准则

我国信息系统审计规范体系

二、 信息系统审计的基本方法

绕过信息系统审计

通过信息系统审计

信息系统审计的主要内容

内部控制系统审计

系统开发审计

应用程序审计

数据文件审计

信息系统审计的步骤

准备阶段

实施阶段

终结阶段

信息系统审计的重点环节

数据环节

内部控制环节

数据传输转移环节

三、 信息系统审计基本体系

管理控制及其审计

管理控制的基本内容

管理控制审计

管理控制测试

系统基础设施控制及其审计

信息系统环境控制

信息系统硬件控制与审计

系统软件控制

系统访问控制及其审计

逻辑访问控制

物理访问控制

对访问控制的审计

系统网络架构控制及其审计

局域网控制与审计

客户机/服务器架构风险与控制

互联网风险与控制

网络安全技术

网络架构控制的审计

灾难恢复控制及其审计

灾难与业务中断

灾难恢复与业务持续计划

灾难恢复与业务持续计划的审计

第2天 信息审计重点与工具

四、 信息系统审计重点--IT审计方法与流程

审计准备

如何确定审计范围

识别与业务流程相关的信息需求

选择要审计的平台和流程

了解IT风险及内部控制措施

确定审计策略

案例讨论

审计实施

了解风险管理以及内部控制措施

IT风险评估

案例讨论

IT一般控制

IT应用控制

IT内部控制覆盖范围及控制点

案例讨论

控制目标的风险评估

符合性测试基本流程

案例讨论

实质性测试流程

案例讨论

审计报告

审计证据收集与评价

确定收集样本

随机抽查样本记录

分析记录

记录工作底稿

五、信息系统审计方法与工具

系统测试法

整体检查法

平行模拟法

快照法

审计钩(hooks)

系统控制审计校验文件以及嵌入式审计模型(SCARF/EAM)

系统控制审计校验文件以及嵌入式审计模型(SCARF/EAM)