《信息系统审计》教学大纲（Information System Auditing）制定单位：信息科学学院信息管理系制定人：吕新民审核人：黄作明编写时间：2008年1月29日《信息系统审计》教学大纲学分和学时：54 学时学分 3适用专业：审计学、信息管理与信息系统课程类型：必修先修课程：审计学，计算机基础，数据库管理系统，管理信息系统执笔人：吕新民教研室主任：黄作明一课程教学目的和要求掌握信息系统审计的基本概念、理论方法以及信息系统审计实务，了解信息系统审计的内容、程序、方法与技术，懂得如何设计和审查信息系统的内部控制、如何恰当有效地使用信息系统审计方法与技术对信息系统的安全性、可靠性与有效性等方面进行审计。

了解和掌握主要的审计软件的设计和使用。

二课程介绍《信息系统审计》是一门综合性课程。

随着现代信息技术的发展，审计的目标、对象、内容等已发生了变化，传统环境下的审计已不能适应信息技术环境下的审计要求，需要开展信息系统审计。

本课程主要介绍了有关信息系统审计的基本概念、理论方法以及信息系统审计实务内容。

本课程在介绍了信息系统审计的产生与发展、特点、内容、方法、程序步骤、准则等基本概念内容的基础上，从理论和实务两方面具体介绍了IT治理、一般控制及审计、应用控制及审计、系统开发与获取审计、系统运营与维护审计、应用程序审计、数据文件审计等信息系统审计所包含的内容。

在实践教学中，通过上机实验，主要使学生具有掌握、运用计算机辅助技术工具于审计工作中的能力。

三课时分配四教学内容第一章信息系统审计概论（10 学时）主要内容：一、信息系统审计的产生与发展1、电子数据处理系统对审计的影响2、信息系统审计的产生与发展二、信息系统审计的含义与特点1、信息系统审计的定义2、信息系统审计的特点三、信息系统审计目标四、信息系统审计的内容1、内部控制系统审计2、系统开发审计3、应用程序审计4、数据文件审计五、信息系统审计的基本方法1、绕过信息系统审计2、通过信息系统审计六、信息系统审计的步骤1、准备阶段2、实施阶段3、终结阶段七、信息系统审计准则1、信息系统审计准则的概念和作用2、国际信息系统审计准则3、我国信息系统审计规范体系八、我国信息系统审计人才培养策略1、信息时代呼唤信息系统审计师2、信息系统审计师应具备的素质3、信息系统审计师的培养九、金审工程简介1、金审工程总体规划2、金审工程建设情况3、金审工程二期建设展望基本要求：理解和掌握信息系统审计的概念、特点、目标、内容、方法以及程序步骤，了解信息系统审计标准、金审工程等内容。

重点：信息系统审计概念、特点、目标、内容、方法以及程序步骤难点：信息系统审计方法以及程序步骤第二章 IT治理（3学时）主要内容：一、IT治理的定义二、IT治理的关键问题1、IT治理缺失的症状2、IT治理的关键问题三、IT治理与公司治理1、公司治理和公司管理2、IT治理和IT管理3、公司治理和IT治理四、IT治理标准五、建立IT治理的机制和方法1、IT治理机制2、IT治理方法六、IT治理的目标和范围1、IT治理目标2、IT治理范围七、IT治理成熟度模型基本要求：了解和掌握IT治理相关知识重点：IT治理关键问题、标准、机制、方法、成熟度模型难点：IT治理成熟度模型第三章信息系统一般控制及审计（ 4 学时）主要内容：一、信息系统一般控制综述二、管理控制及其审计1、管理控制的基本内容2、管理控制审计3、管理控制测试三、系统基础设施控制及其审计1、信息系统环境控制2、信息系统硬件控制与审计3、系统软件控制四、系统访问控制及其审计1、逻辑访问控制2、物理访问控制3、对访问控制的审计五、系统网络架构控制及其审计1、局域网控制与审计2、客户机/服务器架构风险与控制3、互联网风险与控制4、网络安全技术5、网络架构控制的审计六、灾难恢复控制及其审计1、灾难与业务中断2、灾难恢复与业务持续计划3、灾难恢复与业务持续计划的审计基本要求：了解信息系统一般控制与审计概念、内容、方法重点：信息系统一般控制与审计内容、方法难点：信息系统一般控制与审计方法第四章信息系统应用控制及审计（3学时）主要内容：一、输入控制1、数据采集控制2、数据输入控制3、会计信息系统输入控制二、处理控制1、审核处理输出2、进行数据有效性检验3、会计信息系统中几种特殊的处理控制技术三、输出控制四、应用控制的审计1、业务处理规程和输入控制的审查2、输出控制的审查五、内部控制审计实例1、被审单位基本情况2、被审计算机信息系统——采购和付款系统说明3、内部控制制度4、收集审计证据5、审计证据的分析与报告基本要求：了解和掌握信息系统应用控制与审计概念、内容、方法重点：信息系统应用控制与审计内容、方法难点：信息系统应用控制与审计方法第五章信息系统开发与获取审计（4学时）主要内容：一、信息系统生命周期与审计1、信息系统审计师在信息系统开发中的职责2、信息系统开发与实施评价二、基于生命周期的信息系统开发方法1、软件开发生命周期2、传统的SDLC各阶段描述三、信息系统的其它开发方法1、原型法（prototyping）2、面向对象的方法（Object-Oriented Method）3、计算机辅助开发方法（CASE）4、基于组件的开发方法（Component-based Development）5、基于Web应用开发方法(Web-based Application Development）6、快速应用开发方法（RAD）7、敏捷开发(Agile Development）四、信息系统开发团队、角色和责任五、项目管理六、软件配置管理七、与软件开发相关的风险八、软件开发过程的完善1、ISO91262、软件能力成熟度模型（CMM）3、软件能力成熟度模型集成（CMMI）九、信息系统开发过程审计1、信息系统审计师对系统开发过程进行风险评估2、制定审计计划3、系统开发过程审计基本要求：理解和掌握信息系统开发与获取审计的内容和方法重点：信息系统开发与获取审计的内容和方法难点：信息系统开发与获取的审计评估方法第六章信息系统运营与维护审计（4 学时）主要内容：一、信息系统的运营与维护工作存在的问题二、软件维护1、软件维护的种类2、软件维护的实施3、软件维护申请报告4、维护档案记录5、维护阶段的审计三、信息系统变更管理四、系统变更流程和迁移程序的审计五、IT服务管理1、IT服务管理产生的背景2、IT服务管理的发展历史3、IT服务管理的定义4、ITIL5、IT服务提供流程6、IT服务支持管理7、IT服务管理案例——如何建立一个基于ITIL的服务台六、信息系统生命周期的审计程序基本要求：理解和掌握信息系统运营与维护及审计的内容、方法重点：信息系统运营与维护及审计内容和方法难点：信息系统运营与维护的审计方法第七章信息系统应用程序审计（4学时）主要内容：一、应用程序审计的内容1、审查程序控制是否健全有效2、审查程序的合法性3、审查程序编码的正确性4、审查程序的有效性二、应用程序审计方法1、程序编码检查法2、程序运行记录检查法3、程序运行结果检查法4、检测数据法5、整体检测法6、程序编码比较法7、受控处理法8、受控再处理法9、平行模拟法10、嵌入审计程序法11、程序追踪法基本要求：了解并掌握信息系统应用程序审计的内容、方法重点：信息系统应用程序审计的内容、方法难点：信息系统应用程序审计方法第八章信息系统数据文件审计（4学时）主要内容：一、数据文件的审计内容二、信息系统数据文件的审计流程1、审前准备阶段的工作实现2、审计实施阶段的工作实现3、审计完成阶段的工作实现三、计算机辅助数据文件审计技术方法与工具1、计算机辅助数据文件审计方法2、计算机辅助审计技术工具基本要求：了解并掌握信息系统数据文件审计的内容、流程、技术方法与工具重点：信息系统数据文件审计的内容、流程、技术方法与工具难点：计算机辅助数据文件审计技术方法与工具五实践内容与要求试验一系统安装和系统管理（2学时）一、实验目的了解系统安装和系统管理的基本操作二、实验内容1、系统安装2、故障排除3、系统登陆4、系统管理5、录入单位信息6、录入人员信息实验二数据转换模拟练习（2学时）一、试验目的了解并掌握数据转换的目的和意义，了解并掌握对主流财务软件的数据进行转换的方法二、实验内容1、用友财务软件数据转换2、金碟财务软件数据转换试验三审计准备（2学时）一、试验目的理解并掌握审计准备阶段审计的各种操作，包括获取被审计单位基本信息、建立新的审计项目、获取被审计的电子数据、数据格式的转换、科目对照、生成账簿、生成报表等。

二、实验内容1、系统设置2、项目准备：包括新建单位、新建项目3、公文准备：包括编制方案、生成公文4、数据准备：包括获取电子数据、格式转换、生成账簿和生成报表5、法规准备：包括常用法规和自定义问题的定制与处理。

试验四审计实施（1）（2学时）一、试验目的：熟悉并掌握软件为进行审计实务提供一套强大的作业工具，其中包括综合分析、综合查询、辅助库审计、审计工具、内控测评、工作底稿、法律法规等，以帮助审计人员顺利地完成审计实施阶段的任务。

二、实验内容1、审前预警2、综合分析3、综合查询试验五审计实施（2）（2学时）实验内容：1、辅助库审计2、审计工具3、内部测评4、工作底稿试验六审计终结（2学时）一、试验目的：熟悉并掌握审计终结阶段的主要功能。

审计终结的功能主要是，为审计终结阶段的各种作业提供操作平台，尤其是能灵活方便地完成审计工作底稿的编制、复核，以及审计报告的草拟、复核等工作。

二、实验内容：1、工作底稿编制2、审计工作底稿导入导出3、审计工作底稿复核4、审计工作底稿汇总5、备份文档察看试验七审计跟踪和模拟审计数据练习（2学时）一、试验目的熟悉和掌握审计跟踪主要功能；针对提供的模拟数据进行审计练习。

审计跟踪”的主要功能是，为审计人员提供一个操作平台，包括跟踪审计（后续审计）的时间提示，审计终结阶段的审计公文（如审计报告、审计建议、审计决定等）查询，还能随时查询法律法规等。

二、试验内容1、对于审计功能进行系统设置2、针对提供的单位数据，进行审计模拟训练试验八审计软件上机考核（2学时）一、试验目的针对提供的模拟数据，运用审计软件功能，完成给定的审计项目任务。

二、试验内容1、建立审计项目2、针对提供的单位数据和审计要求，进行数据采集转换与分析，完成审计报告六教材与参考资料教材：《信息系统审计》张金城主编，清华大学出版社，2009年2月参考资料：张金城主编，管理信息系统，北京大学出版社，2004年7月张金城主编，信息系统控制与审计，北京大学出版社，2002年4月孙强主编，信息系统审计，机械工业出版社，2006年1月胡克瑾等编著，IT审计，电子工业出版社，2002年9月钱啸森主编，国外信息系统审计案例，中国时代经济出版社，2007年1月庄明来等执笔，信息系统审计内容与方法，中国时代经济出版社，2008年8月CISA复习手册七考核方式期末闭卷笔试成绩：65%平时成绩+实验课成绩：35%。