《初级信息系统审计》课程教学大纲 一、课程基本信息 课程代码:17010203 课程名称:初级信息系统审计 英文名称:Primary Information Systems Audit 课程类别:专业课 学 时:48 学 分:30 适用对象:信息系统审计专业 考核方式:考试 先修课程: 二、课程简介 1、信息系统审计(初级)是本专业的基础性专业课程,对中高级阶段的学生培 养具有重要意义。通过本课程的学习,引导学生对信息系统审计有一定的了解,为后 续中高级的教育打下坚实的框架基础,让学生对以后的职业生涯有一个清晰的方向, 有助于学生规划成长路径,明确成长过程中需要掌握的知识体系,使学生向着目标学 带着任务学、怀着初心学。 2、主要内容如下:信息系统审计职能,明确审计团队的任务和保持审计独立性 和能力的策略,促成高级管理层执行高效T管理;信息系统审计准则和鉴证标准, 传导客观、散业知职业宙植执行最佳实践履行职责的行动要求:信息系统按制目标 通过风险分析,帮助审计师识别风险;实施信息系统审计,围绕信息系统控制目标, 通过各种审计过程获得证据,管理审计过程中形成的各种成果;公司治理和企业T 治理,理解公司治理对T的要求,建立合理的战略规划、管理实务等措施;风险管 理实务,明确建立风险管理程序的目的,制定和实施风险管理职责、流程等;信息技 术管理实践,讲述各种I$相关管理活动所涉及的政策和程序的实施情况等。 三、课程性质与教学目的 1、理解信息系统审计的内涵。 2、学握信息系统审计的规范化流程,包括审计程序、审计技术与方法等。 3、掌握信息系统审计各个方面的审计重点、要点,以及相关行关的监管要求。 4、结合信息系统相关行业审计案例,推动审计经验的积累 通过学习,让学生认识到我国的信息系统审计尚处于探索阶段,还未形成一套成 型的专业规范,也未建立健全一套适应信息系统审计事业发展的管理运作机制,同时 也缺乏能够全面开展信息系统审计业务的人才队伍。加强学生信息系统审计专业必要
1 《初级信息系统审计》课程教学大纲 一、课程基本信息 课程代码:17010203 课程名称:初级信息系统审计 英文名称:Primary Information Systems Audit 课程类别:专业课 学 时:48 学 分:30 适用对象:信息系统审计专业 考核方式:考试 先修课程: 二、课程简介 1、信息系统审计(初级)是本专业的基础性专业课程,对中高级阶段的学生培 养具有重要意义。通过本课程的学习,引导学生对信息系统审计有一定的了解,为后 续中高级的教育打下坚实的框架基础,让学生对以后的职业生涯有一个清晰的方向, 有助于学生规划成长路径,明确成长过程中需要掌握的知识体系,使学生向着目标学、 带着任务学、怀着初心学。 2、主要内容如下:信息系统审计职能,明确审计团队的任务和保持审计独立性 和能力的策略,促成高级管理层执行高效 IT 管理;信息系统审计准则和鉴证标准, 传导客观、敬业和职业审慎执行最佳实践履行职责的行动要求;信息系统控制目标, 通过风险分析,帮助审计师识别风险;实施信息系统审计,围绕信息系统控制目标, 通过各种审计过程获得证据,管理审计过程中形成的各种成果;公司治理和企业 IT 治理,理解公司治理对 IT 的要求,建立合理的战略规划、管理实务等措施;风险管 理实务,明确建立风险管理程序的目的,制定和实施风险管理职责、流程等;信息技 术管理实践,讲述各种 IS 相关管理活动所涉及的政策和程序的实施情况等。 三、课程性质与教学目的 1、理解信息系统审计的内涵。 2、掌握信息系统审计的规范化流程,包括审计程序、审计技术与方法等。 3、掌握信息系统审计各个方面的审计重点、要点,以及相关行关的监管要求。 4、结合信息系统相关行业审计案例,推动审计经验的积累。 通过学习,让学生认识到我国的信息系统审计尚处于探索阶段,还未形成一套成 型的专业规范,也未建立健全一套适应信息系统审计事业发展的管理运作机制,同时 也缺乏能够全面开展信息系统审计业务的人才队伍。加强学生信息系统审计专业必要
性的认识,站在国际高度让学生理解中外之间在专业性方面的差距,激励学生爱国强 审、科技强国意识的提升,学习先进的理论实践,结合未来职业发展,规划个人职业 发展。 四、教学内容及要求 第一章信息系统审计职能管理 (一)目的与要求 1.管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任 务将会实现审计职能目标,同时保持审计独立性和能力。 2.管理审计职能时确保为促成高级管理层执行高效IT管理和达成业务 目标提供附加价值。 (二)教学内容 第一节 1.审计章程 2.审计章程由公司内部审计管理部门起草,是为了保证审计活动的独立 性,确定审计部门/人员的地位和作用的一份声明性文件。 3.什么是审计?为什么要做审计? 第二节 1.审计资源管理 2.资源是有限的,好刀不用会生锈 3.对信息系统审计师的要求:持续不断的学习,保持执业资格:具备项 目管理能力 4.对国内信息系统审计的严峻形势进行剖析,促进学生站在国家治理、 国家安全的角度思考学习的深刻意义,激励学生认真学习 5.思政融入:数据是国家基础性战略资源,数据资源是网络安全所保护 的核心对象。学习《数据安全法》这一数据领域的基础性法律,规范 数据处理活动,保璋数据安全,促进数据开发利用,保护个人、组织 的合法权益,维护国家主权、安全和发展利益。网络信息安全是关系 国家安全、国民生计、经济命脉、社会稳定、法人及公民权益的大事 网络安全等级保护制度是我国网络信息安全保障工作的基本制度、基 本策略和基本方法:是集法律、政策、方针、方法论为一体的一个体 系性的基本制度。学习《网络安全等级保护制度》,加强同学的法律意 识,站在国家治理、国家安全的角度思考问题。 (三)思考与实践 最佳实践:每年一次培训:每半年回顾,确保培训与审计内容一致:管理层提 供必要支持
2 性的认识,站在国际高度让学生理解中外之间在专业性方面的差距,激励学生爱国强 审、科技强国意识的提升,学习先进的理论实践,结合未来职业发展,规划个人职业 发展。 四、教学内容及要求 第一章 信息系统审计职能管理 (一)目的与要求 1.管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任 务将会实现审计职能目标,同时保持审计独立性和能力。 2.管理审计职能时确保为促成高级管理层执行高效 IT 管理和达成业务 目标提供附加价值。 (二)教学内容 第一节 1.审计章程 2.审计章程由公司内部审计管理部门起草,是为了保证审计活动的独立 性,确定审计部门/人员的地位和作用的一份声明性文件。 3.什么是审计?为什么要做审计? 第二节 1.审计资源管理 2.资源是有限的,好刀不用会生锈。 3.对信息系统审计师的要求:持续不断的学习,保持执业资格;具备项 目管理能力。 4.对国内信息系统审计的严峻形势进行剖析,促进学生站在国家治理、 国家安全的角度思考学习的深刻意义,激励学生认真学习。 5.思政融入:数据是国家基础性战略资源,数据资源是网络安全所保护 的核心对象。学习《数据安全法》 这一数据领域的基础性法律,规范 数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织 的合法权益,维护国家主权、安全和发展利益。网络信息安全是关系 国家安全、国民生计、经济命脉、社会稳定、法人及公民权益的大事。 网络安全等级保护制度是我国网络信息安全保障工作的基本制度、基 本策略和基本方法;是集法律、政策、方针、方法论为一体的一个体 系性的基本制度。学习《网络安全等级保护制度》,加强同学的法律意 识,站在国家治理、国家安全的角度思考问题。 (三)思考与实践 最佳实践:每年一次培训;每半年回顾,确保培训与审计内容一致;管理层提 供必要支持
(四)教学方法与手段 使用多媒体,采用课堂讲授、案例引入与讨论的教学形式。 第二章信息系统审计的主要内容 (一)目的与要求 1.信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否 能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对 企事业单位而言就显得非常的重要,信息系统审计应运而生。 2.信息系统与手工会计系统不同,它是由会计数据体系,计算机硬件和 软件以及系统工作和维护人员组成,所以信息系统的审计内容与手工 会计系统也存在着较大的差别。 (二)教学内容 第一节 1.一般控制审计 2.IT治理、信息系统与基础设施生命周期管理、IT服务交付与服务支 持、信息资产保护、业务连续性与灾难恢复。 3.思政融入:在进行信息系统一般性控制审计中,应在成本效益原则的 基础上实现风险管理框架下的组织业务目标,确保项目按计划开展, 并有相应文档充分支持。培养学生树立正确的费用观,遵从成本效益 原则。 第二节 1.应用控制审计 2.输入控制、处理程序和控制、输出控制、业务流程保证控制。 3,思政融入:应用控制中应注重对审计系统数据的录入、修改与审核的 职责分离,关注对数据进行加密和敏感性分级处理的规则以及加密方 式是否满足工作需求。培养学生在信息系统审计中遵从不相容职务分 离原则,最大程度从源头上避免可能导致问题漏洞 (三)教学方法与手段 使用多媒体教室,采用课堂讲授与案例讨论分析的教学形式。 第三章信息系统审计准则和鉴证标准 (一)目的与要求 1.遵从并执行适当的信息系统审计准则、程序和控制。 2.按照职业准则和最佳实践履行职责,并做到应有的客观、敬业和职业 审慎。 3
3 (四)教学方法与手段 使用多媒体,采用课堂讲授、案例引入与讨论的教学形式。 第二章 信息系统审计的主要内容 (一)目的与要求 1.信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否 能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对 企事业单位而言就显得非常的重要,信息系统审计应运而生。 2.信息系统与手工会计系统不同,它是由会计数据体系,计算机硬件和 软件以及系统工作和维护人员组成,所以信息系统的审计内容与手工 会计系统也存在着较大的差别。 (二)教学内容 第一节 1.一般控制审计 2.IT 治理、信息系统与基础设施生命周期管理、IT 服务交付与服务支 持、信息资产保护、业务连续性与灾难恢复。 3.思政融入:在进行信息系统一般性控制审计中,应在成本效益原则的 基础上实现风险管理框架下的组织业务目标,确保项目按计划开展, 并有相应文档充分支持。培养学生树立正确的费用观,遵从成本效益 原则。 第二节 1.应用控制审计 2.输入控制、处理程序和控制、输出控制、业务流程保证控制。 3.思政融入:应用控制中应注重对审计系统数据的录入、修改与审核的 职责分离,关注对数据进行加密和敏感性分级处理的规则以及加密方 式是否满足工作需求。培养学生在信息系统审计中遵从不相容职务分 离原则,最大程度从源头上避免可能导致问题漏洞。 (三)教学方法与手段 使用多媒体教室,采用课堂讲授与案例讨论分析的教学形式。 第三章 信息系统审计准则和鉴证标准 (一)目的与要求 1.遵从并执行适当的信息系统审计准则、程序和控制。 2.按照职业准则和最佳实践履行职责,并做到应有的客观、敬业和职业 审慎
3.以诚实、合法的方式为利益相关者服务,保持高尚的行为操守及品德, 不从事有损执业行为的活动。 (二)教学内容 第一节 1.ISACA信息系统审计准则 2.准则主要在IS审计和鉴证标准的应用方面提供指导。 3.应重点掌握S1审计章程,S2独立性,S3职业道德和准则,S5审计计 划,S6审计工作执行,S7审计报告。 第二节 I.ISACA信息系统审计指南 2。在确定如何应用审计准则时考虑审计指南,在应用审计指南时使用职 业判断,能够证明任何偏离准则的行为。 3.应重点掌握G1使用其他审计师的工作成果,G5审计章程,G8审计文 档,G9对违规行为的审计考虑,G17非审计角色对信息系统审计师独 立性的影响,G20审计报告,G35追踪审计 4.思政融入:信息系统审计不断提升内部审计人员职能,严格履行审计 程序,提高审计工作质量:强化审计人员形成良好职业道德、职业索 养,提高执业能力:信息系统审计指南在审计准则执行过程起到补充 作用,审计准则的内容应与时俱进。 5.思考与实践 最佳实践:应用大于背诵 (三)教学方法与手段 使用多媒体教室,采用课堂讲授的教学形式, 第四章信息系统控制目标 (一)目的与要求 1.风险分析是审计计划的一部分,帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估IT相关的组织业务流程时,正确理解风险与控制的关系,对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施,必须了解常见 的业务风险、相关技术风险和控制,对业务管理人员所使用的风险评 估和管理方法要能够做出评价,并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外,信息系统审计师还必须 理解审计程序中存在的风险。 4
4 3.以诚实、合法的方式为利益相关者服务,保持高尚的行为操守及品德, 不从事有损执业行为的活动。 (二)教学内容 第一节 1.ISACA 信息系统审计准则 2.准则主要在 IS 审计和鉴证标准的应用方面提供指导。 3.应重点掌握 S1 审计章程,S2 独立性,S3 职业道德和准则,S5 审计计 划,S6 审计工作执行,S7 审计报告。 第二节 1.ISACA 信息系统审计指南 2.在确定如何应用审计准则时考虑审计指南,在应用审计指南时使用职 业判断,能够证明任何偏离准则的行为。 3.应重点掌握 G1 使用其他审计师的工作成果,G5 审计章程,G8 审计文 档,G9 对违规行为的审计考虑,G17 非审计角色对信息系统审计师独 立性的影响,G20 审计报告,G35 追踪审计。 4.思政融入:信息系统审计不断提升内部审计人员职能,严格履行审计 程序,提高审计工作质量;强化审计人员形成良好职业道德、职业素 养,提高执业能力;信息系统审计指南在审计准则执行过程起到补充 作用,审计准则的内容应与时俱进。 5.思考与实践 最佳实践:应用大于背诵。 (三)教学方法与手段 使用多媒体教室,采用课堂讲授的教学形式。 第四章 信息系统控制目标 (一)目的与要求 1.风险分析是审计计划的一部分,帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估 IT 相关的组织业务流程时,正确理解风险与控制的关系,对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施,必须了解常见 的业务风险、相关技术风险和控制,对业务管理人员所使用的风险评 估和管理方法要能够做出评价,并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外,信息系统审计师还必须 理解审计程序中存在的风险
(二)教学内容 第一节 1.风险分析 2.应当对这些措施实施成本效益分析,并选择那些能减缓风险至管理层 可接受水平的相关措施。分析过程可基于以下内容:比较控制成本与 降低风险所得的收益:管理层的风险偏好(如:管理层准备接受的残 余风险水平):优先选用的风险降低方法(如:终止风险、降低风险发 生的可能性、减少影响、通过保险转移风险等)。 第二节 1.风险分析在审计计划中的用途 2.帮助审计人员识别风险,识别组织所面临的威胁及对应的内部控制, 审计人员可以根据风险水平选择拟审计的区域,帮助审计人员在制订 审计计划时对控制的评估,帮助审计人员确定审计目标,支持基于风 险的审计决策。 3.思政融入:针对金融行业、政务相关信息科技风险进行案例剖析,提 高风险的危机意识以及作为审计人员的责任意识。 (三)思考与实践 信息系统审计师除了要理解业务风险与控制外,对审计活动本身的风险也要有 清楚的认识。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授的教学形式。 第五章实施信息系统审计 (一)目的与要求 1.风险分析是审计计划的一部分,帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估IT相关的组织业务流程时,正确理解风险与控制的关系,对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施,必须了解常见 的业务风险、相关技术风险和控制,对业务管理人员所使用的风险评 估和管理方法要能够做出评价,并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外,信息系统审计师还必须 理解审计程序中存在的风险。 3.对重点环节的风险进行解析,提高审计师风险担当意识,促进审计师 专业技能的提升,建立良好的职业素养。 5
5 (二)教学内容 第一节 1.风险分析 2.应当对这些措施实施成本效益分析,并选择那些能减缓风险至管理层 可接受水平的相关措施。分析过程可基于以下内容:比较控制成本与 降低风险所得的收益; 管理层的风险偏好(如:管理层准备接受的残 余风险水平);优先选用的风险降低方法(如:终止风险、降低风险发 生的可能性、减少影响、通过保险转移风险等)。 第二节 1.风险分析在审计计划中的用途 2.帮助审计人员识别风险,识别组织所面临的威胁及对应的内部控制, 审计人员可以根据风险水平选择拟审计的区域,帮助审计人员在制订 审计计划时对控制的评估,帮助审计人员确定审计目标,支持基于风 险的审计决策。 3.思政融入:针对金融行业、政务相关信息科技风险进行案例剖析,提 高风险的危机意识以及作为审计人员的责任意识。 (三)思考与实践 信息系统审计师除了要理解业务风险与控制外,对审计活动本身的风险也要有 清楚的认识。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授的教学形式。 第五章 实施信息系统审计 (一)目的与要求 1.风险分析是审计计划的一部分,帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估 IT 相关的组织业务流程时,正确理解风险与控制的关系,对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施,必须了解常见 的业务风险、相关技术风险和控制,对业务管理人员所使用的风险评 估和管理方法要能够做出评价,并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外,信息系统审计师还必须 理解审计程序中存在的风险。 3.对重点环节的风险进行解析,提高审计师风险担当意识,促进审计师 专业技能的提升,建立良好的职业素养
(二)教学内容 第一节 1.审计目标 2.获取充分、恰当的审计证据来得出和支持审计结论和意见。 3.获取并记录对审计对象的了解,风险评估和总体审计计划和安排,详 细审计计划,初步检查审计对象,评估审计对象,符合性测试(控制 测试),实质性测试,沟通结果并形成最终报告,后续审计。 第二节 1.宙计阶段 2.确定审计对象-被审计领域(IT),确定审计目标,决定审计范围,制 定审计计划,确定收集数据的审计程序和步骤,评价测试或检查结果, 与管理人员沟通,准备审计报告,提交审计报告。 第三节 1,工作底福 2.工作底稿是指审计人员在审计工作过程中形成的全部审计工作记录和 获取的资料。它是审计证据的载体,可作为审计过程和结果的书面证 明,也是形成审计结论的依据。具有可追溯行和指示性。 3.工作底稿编写的注意事项:必须要有日期、编制人、编号和标识,内 容应该相关、完整、清晰,底稿要及时归档保存。 4.审计报告可以视为一种特殊的工作底稿。 5.案例介绍工作底稿质量问题的典型表现,提高底稿编制重要性认识, 强化底稿复审观念。 6.思政融入:通过案例了解信息系统审计的审计实施过程,对重点环节 的风险进行解析,如果注册会计师在进行年度财务报表审计中未勤勉 尽责,未执行对客户的信息系统实施相关审计程序,违反审计准则的 要求,应接受相应的处罚。通过案例提高学生的认知,培养风验担当 意识,促进学生专业技能的提升,建立良好的职业素养,树立正确的 价值观。 (三)思考与实践 信息系统审计师要理解审计工作的各个阶段,对审计活动的符合性测试和实质 性测试也要有清楚的认识。 (四)数学方法与手段 使用多媒体教室,采用课堂讲授的教学形式。 第六章公司治理/企业T治理 6
6 (二)教学内容 第一节 1.审计目标 2.获取充分、恰当的审计证据来得出和支持审计结论和意见。 3.获取并记录对审计对象的了解,风险评估和总体审计计划和安排,详 细审计计划,初步检查审计对象,评估审计对象,符合性测试(控制 测试),实质性测试,沟通结果并形成最终报告,后续审计。 第二节 1.审计阶段 2.确定审计对象-被审计领域(IT),确定审计目标,决定审计范围,制 定审计计划,确定收集数据的审计程序和步骤,评价测试或检查结果, 与管理人员沟通,准备审计报告,提交审计报告。 第三节 1.工作底稿 2.工作底稿是指审计人员在审计工作过程中形成的全部审计工作记录和 获取的资料。它是审计证据的载体,可作为审计过程和结果的书面证 明,也是形成审计结论的依据。具有可追溯行和指示性。 3.工作底稿编写的注意事项:必须要有日期、编制人、编号和标识,内 容应该相关、完整、清晰,底稿要及时归档保存。 4.审计报告可以视为一种特殊的工作底稿。 5.案例介绍工作底稿质量问题的典型表现,提高底稿编制重要性认识, 强化底稿复审观念。 6.思政融入:通过案例了解信息系统审计的审计实施过程,对重点环节 的风险进行解析,如果注册会计师在进行年度财务报表审计中未勤勉 尽责,未执行对客户的信息系统实施相关审计程序,违反审计准则的 要求,应接受相应的处罚。通过案例提高学生的认知,培养风险担当 意识,促进学生专业技能的提升,建立良好的职业素养,树立正确的 价值观。 (三)思考与实践 信息系统审计师要理解审计工作的各个阶段,对审计活动的符合性测试和实质 性测试也要有清楚的认识。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授的教学形式。 第六章 公司治理/企业 IT 治理
(一)目的与要求 1.IT治理是组织中的一种制度安排。目的是为了提高IT绩效.降低IT 风险,有效利用资源。通过本章的学习,S审计师应当能理解公司治 理对IT的要求,了解组织为完善IT治理,应当如何建立合理的战略 规划、管理实务、组织结构、政策程序、职责机制和监督等措施。 2.IT治理知识是IS审计师的工作基础,也是制定合理的控制实务与管 理层监督检查机制的基础。 (二)教学内容 第一节 1.公司治理 2.整个组织层面的文化、决策和实务都必须通过公司治理来培养,公司 治理被治理层定义为:为所有股东创造和呈现价值的企业道德行为。 第一节 1.企业IT治理 2.企业IT治理(GEIT)是一个系统,在这个系统中,所有的股东,包括 董事会、高级管理层、内部客户以及财务等部门等都会向决策制定流 程提供信息或数据的输入。 3,评估、指导和监控的流程可以以端到端的方式整合到企业的流程中去, 并对如下方面进行评估、指导和监控:绩效和一致性系统的内部控 制;对外部要求的合规性。 4.案例解析企业治理问题导致的相关风险,提高学生对IT治理重要性的 认识 第三节 1.审计在IT治理中的角色 2.IT治理报告涉及组织最高层次,并且可能是跨区域、跨职能或跨部门 的,对列入计划的审计项目,应当考虑组织现状及信息系统审计师技 能的适当性,如发现不足,应由适当的管理层来考虑聘用独立的第 方来管理或执行审计。 3.按照信息系统审计师的既定角色,需要评价与IT治理相关的以下内 容:信息系统职能与组织使命、愿景、价值、目标和战略的一致性, 法律、环境、信息质量、委托、安全和隐私方面的要求,组织的控制 环培,信息系统环境的固有风险。 4.结合金融行业相关监管要求及案例,介绍审计在T治理中的角色及作 用,实现学生对实践经验的积累。IT审计员负责分析和评估组织的技 术基础设施,以发现效率、风险管理和遵从性方面的问题。 7
7 (一)目的与要求 1.IT 治理是组织中的一种制度安排。目的是为了提高 IT 绩效.降低 IT 风险,有效利用资源。通过本章的学习,IS 审计师应当能理解公司治 理对 IT 的要求,了解组织为完善 IT 治理,应当如何建立合理的战略 规划、管理实务、组织结构、政策程序、职责机制和监督等措施。 2.IT 治理知识是 IS 审计师的工作基础,也是制定合理的控制实务与管 理层监督检查机制的基础。 (二)教学内容 第一节 1.公司治理 2.整个组织层面的文化、决策和实务都必须通过公司治理来培养,公司 治理被治理层定义为:为所有股东创造和呈现价值的企业道德行为。 第二节 1.企业 IT 治理 2.企业 IT 治理(GEIT)是一个系统,在这个系统中,所有的股东,包括 董事会、高级管理层、内部客户以及财务等部门等都会向决策制定流 程提供信息或数据的输入。 3.评估、指导和监控的流程可以以端到端的方式整合到企业的流程中去, 并对如下方面进行评估、指导和监控:绩效和一致性;系统的内部控 制;对外部要求的合规性。 4.案例解析企业治理问题导致的相关风险,提高学生对 IT 治理重要性的 认识。 第三节 1.审计在 IT 治理中的角色 2.IT 治理报告涉及组织最高层次,并且可能是跨区域、跨职能或跨部门 的,对列入计划的审计项目,应当考虑组织现状及信息系统审计师技 能的适当性,如发现不足,应由适当的管理层来考虑聘用独立的第三 方来管理或执行审计。 3.按照信息系统审计师的既定角色,需要评价与 IT 治理相关的以下内 容: 信息系统职能与组织使命、愿景、价值、目标和战略的一致性, 法律、环境、信息质量、委托、安全和隐私方面的要求, 组织的控制 环境,信息系统环境的固有风险。 4.结合金融行业相关监管要求及案例,介绍审计在 IT 治理中的角色及作 用,实现学生对实践经验的积累。IT 审计员负责分析和评估组织的技 术基础设施,以发现效率、风险管理和遵从性方面的问题
(三)思考与实践 ISACA提出的用于支持IT治理的框架。它确保了:IT与业务目标的一致性、 通过IT实现业务的利润最大化、有效地使用IT资源、合理地管理IT风险。COBIT 采用工具对组织内的IT流程进行评估和绩效测量。COBIT5包含5个原则、5个领域, 37个流程和210个实践。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。 第七章风险管理实务 (一)目的与要求 1.风险管理是组织用于识别信息资源的脆弱性及威胁,制定相应的对策 (安全措施或控制),以实现组织业务目标的过程。任何风险,都应当 基于信息资源对组织的价值,将其降低至可接受水平(如残余风险)。 2.有效的风险管理始于清楚地理解组织的风险偏好。在IT环境下,风险 偏好推动所有的风险管理工作,影响未来的技术投资,IT资产的保护 程度及所需的保证水平。风险管理包括识别、分析、评估、处置、监 督和沟通IT流程的风险影响。一旦确定了风险偏好与风险承受能力, 就可以制定风险管理策略并分配职责。 (二)教学内容 第一节 1.制定风险管理程序 2.确定风险管理程序的目的一 一第一步是确定组织建立风险管理程序的 目的,可能是降低保险费用,或者是减少相关系统的损害。在实施冈 险管理计划之前确定其意图,组织可以确定关键绩效指标并评价其结 一般情况下,由执行管理层和董事会来设定风险管理程序的基本 要求。 3.为风险管理计划分配职责一一第二步是为制定和实施组织的风险管理 程序向个人或团队分配职责。当风险管理计划的主要职责由团队负责 时,其成功因素是把风险管理与组织内各个层级进行整合。运营管理 人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的 风险控制并介入战略的制定 第二节 1.风险管理流程 2.风险管理过程的第一步是对那些由于具有脆弱性而受到威胁,需要保 护的信息资源或资产进行识别并分类。分类目的可以是为进一步调查
8 (三)思考与实践 ISACA 提出的用于支持 IT 治理的框架。它确保了:IT 与业务目标的一致性、 通过 IT 实现业务的利润最大化、有效地使用 IT 资源、合理地管理 IT 风险。COBIT 采用工具对组织内的 IT 流程进行评估和绩效测量。COBIT 5 包含 5 个原则、5 个领域, 37 个流程和 210 个实践。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。 第七章 风险管理实务 (一)目的与要求 1.风险管理是组织用于识别信息资源的脆弱性及威胁,制定相应的对策 (安全措施或控制),以实现组织业务目标的过程。任何风险,都应当 基于信息资源对组织的价值,将其降低至可接受水平(如残余风险)。 2.有效的风险管理始于清楚地理解组织的风险偏好。在 IT 环境下,风险 偏好推动所有的风险管理工作,影响未来的技术投资,IT 资产的保护 程度及所需的保证水平。风险管理包括识别、分析、评估、处置、监 督和沟通 IT 流程的风险影响。一旦确定了风险偏好与风险承受能力, 就可以制定风险管理策略并分配职责。 (二)教学内容 第一节 1.制定风险管理程序 2.确定风险管理程序的目的——第一步是确定组织建立风险管理程序的 目的,可能是降低保险费用,或者是减少相关系统的损害。在实施风 险管理计划之前确定其意图,组织可以确定关键绩效指标并评价其结 果。一般情况下,由执行管理层和董事会来设定风险管理程序的基本 要求。 3.为风险管理计划分配职责——第二步是为制定和实施组织的风险管理 程序向个人或团队分配职责。当风险管理计划的主要职责由团队负责 时,其成功因素是把风险管理与组织内各个层级进行整合。运营管理 人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的 风险控制并介入战略的制定 第二节 1.风险管理流程 2.风险管理过程的第一步是对那些由于具有脆弱性而受到威胁,需要保 护的信息资源或资产进行识别并分类。分类目的可以是为进一步调查
并确定适当的保护措施排定优先次序(按照资产价值进行简单分类), 也可以是促进标准保护模型的应用(按照关键程度和敏感性进行分 类)。 3. 一旦确定了风险因素,综合考虑这些风险因素就形成了对风险的总体 评价。对各类风险因素进行综合的常用方法是计算每一类威胁对脆弱 性的影响(特定信息资源可能发生的),汇总得出整体风险值。风险与 价值的损失或损害以及威胁发生的预期频率成正比。 4.以金融行业为例,推出风险管理实务,让学生理解风险管理疏漏的代 价,深刻理解风险管理的主体责任以及审计师的责任与义务。 5.思政融入:通过金融行业案例分析,学生深刻理解信息系统中风险的 存在,强化审计师的责任,树立责任感,加强职业道德的培养。 (三)思考与实践 基于过去的经验通常难以预料其发生,特别是对没有先例的事件,因此应谨慎 地估计最坏情况的发生。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。 第八章信息技术管理实践 (一)目的与要求 1,IS管理实务反映的是为各种IS相关管理活动所设计的政改策与程序的 实施情况。在有些组织中,S部门是服务或支持部门,服务部门的传 统角色是帮助生产部门更加有效地运营。 2.IS己经与组织中的许多方面融为一体,其重要性逐年增加,并且不有 在多少逆转的可能。S审计师必须意识到并充分理解一个管理良好的 S部门对实现组织目标的关键程度。 (二)教学内容 第一节 1.人力资源管理 2.人力资源管理涉及到人员的招聘、选用、培训和晋升,业绩考评,员 工纪律,继任计划等组织政策与程序。由于这些活动与IS职能密切相 关,其效果将影响员工表现及IS职责的履行。 3.为风险管理计划分配职责一一第二步是为制定和实施组织的风险管理 程序向个人或团队分配职责。当风险管理计划的主要职责由团队负责 时,其成功因素是把风哈管理与组织内各个层级讲行整合。云背管理 人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的 9
9 并确定适当的保护措施排定优先次序(按照资产价值进行简单分类), 也可以是促进标准保护模型的应用(按照关键程度和敏感性进行分 类)。 3.一旦确定了风险因素,综合考虑这些风险因素就形成了对风险的总体 评价。对各类风险因素进行综合的常用方法是计算每一类威胁对脆弱 性的影响(特定信息资源可能发生的),汇总得出整体风险值。风险与 价值的损失或损害以及威胁发生的预期频率成正比。 4.以金融行业为例,推出风险管理实务,让学生理解风险管理疏漏的代 价,深刻理解风险管理的主体责任以及审计师的责任与义务。 5.思政融入:通过金融行业案例分析,学生深刻理解信息系统中风险的 存在,强化审计师的责任,树立责任感,加强职业道德的培养。 (三)思考与实践 基于过去的经验通常难以预料其发生,特别是对没有先例的事件,因此应谨慎 地估计最坏情况的发生。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。 第八章 信息技术管理实践 (一)目的与要求 1.IS 管理实务反映的是为各种 IS 相关管理活动所设计的政策与程序的 实施情况。在有些组织中,IS 部门是服务或支持部门,服务部门的传 统角色是帮助生产部门更加有效地运营。 2.IS 已经与组织中的许多方面融为一体,其重要性逐年增加,并且不存 在多少逆转的可能。IS 审计师必须意识到并充分理解一个管理良好的 IS 部门对实现组织目标的关键程度。 (二)教学内容 第一节 1.人力资源管理 2.人力资源管理涉及到人员的招聘、选用、培训和晋升,业绩考评,员 工纪律,继任计划等组织政策与程序。由于这些活动与 IS 职能密切相 关,其效果将影响员工表现及 IS 职责的履行。 3.为风险管理计划分配职责——第二步是为制定和实施组织的风险管理 程序向个人或团队分配职责。当风险管理计划的主要职责由团队负责 时,其成功因素是把风险管理与组织内各个层级进行整合。运营管理 人员和董事会成员都应当协助风险管理委员会识别风险、设计适当的
风险控制并介入战略的制定。 第二节 1.采购实务 2.采购实务是组织获取支持业务所需IS职能的方式,组织可以通过集中 方式在内部实施全部IS职能(称为内包),也可以在全球范围对所有职 能进行外包。采购战略应当考虑每一项IS职能并确定使IS职能符合 企业目标的方式 3.在完成制定采购战略后,IS指导委员会应当审查并批准该战略。此时, 如果组织确定伸用外句,则应尊循句括以下步魔的亚格程字:明确外 包的IS职能,描述所需的服务水平以及应满足的最低指标要求,明 确对服务提供商的知识、技能和质量的期望水平,了解当前组织内员 工的实施成本及第三方报价的比较情况,对潜在的服务提供商进行认 直宙杏 4.对外包中存在的问题,使用实例进行剖析,包括主观的、客观的因素, 理解外包的操作风险、能力风险以及在审计过程中需要使用的方法如 何揭示风险。 (三)思考与实践 可考虑以下内容:是否为组织的核心职能?是否有满足目标所需的不可替代的 特有知识、流程和员工?外包给其他组织或地方的价格是否相同或更低?质量是否相同 或更高?是否未增加风险?组织是否拥有管理第三方及使用远程或离岸方式执行IS或 业务职能的经验? (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式 第九章业务连续性计划(BCP) (一)目的与要求 1.业务连续性计划(BCP)是组织为避免关键业务功能/运作(手工或自动 的)中断,减少业务风险而律立的一个控制流程,它包括了对支持组织 关键业务员功能/运作的人力、物力需求和关键业务功能所需的最小 级别服务水平的连续性保证。 2.控制任何风险的首要工作应该是通过考虑业务地点,建筑材料和远程 关键业务的备份来尽量消除威胁。然而现代商业组织是不可能避免所 有形式的公司风险或潜在损害。一个现实的目标是通过建立一种能够 识别和管理可能造成损害的风险的文化来确保组织的生存。 (二)教学内容 10
10 风险控制并介入战略的制定。 第二节 1.采购实务 2.采购实务是组织获取支持业务所需 IS 职能的方式,组织可以通过集中 方式在内部实施全部 IS 职能(称为内包),也可以在全球范围对所有职 能进行外包。采购战略应当考虑每一项 IS 职能并确定使 IS 职能符合 企业目标的方式。 3.在完成制定采购战略后,IS 指导委员会应当审查并批准该战略。此时, 如果组织确定使用外包,则应遵循包括以下步骤的严格程序:明确外 包的 IS 职能,描述所需的服务水平以及应满足的最低指标要求, 明 确对服务提供商的知识、技能和质量的期望水平,了解当前组织内员 工的实施成本及第三方报价的比较情况,对潜在的服务提供商进行认 真审查。 4.对外包中存在的问题,使用实例进行剖析,包括主观的、客观的因素, 理解外包的操作风险、能力风险以及在审计过程中需要使用的方法如 何揭示风险。 (三)思考与实践 可考虑以下内容:是否为组织的核心职能?是否有满足目标所需的不可替代的 特有知识、流程和员工?外包给其他组织或地方的价格是否相同或更低?质量是否相同 或更高?是否未增加风险? 组织是否拥有管理第三方及使用远程或离岸方式执行 IS 或 业务职能的经验?。 (四)教学方法与手段 使用多媒体教室,采用课堂讲授,案例引入与讨论的教学形式。 第九章 业务连续性计划(BCP) (一)目的与要求 1.业务连续性计划(BCP)是组织为避免关键业务功能/运作(手工或自动 的)中断,减少业务风险而建立的一个控制流程,它包括了对支持组织 关键业务员功能/运作的人力、物力需求和关键业务功能所需的最小 级别服务水平的连续性保证。 2.控制任何风险的首要工作应该是通过考虑业务地点,建筑材料和远程 关键业务的备份来尽量消除威胁。然而现代商业组织是不可能避免所 有形式的公司风险或潜在损害。一个现实的目标是通过建立一种能够 识别和管理可能造成损害的风险的文化来确保组织的生存。 (二)教学内容