第1章 信息系统审计概论 1
1.1信息系统审计的产生与发展 1
1.1.1电子数据处理系统对审计的影响 1
1.1.2信息系统审计的产生与发展 2
1.2信息系统审计的含义与特点 4
1.2.1信息系统审计的定义 4
1.2.2信息系统审计的特点 6
1.3信息系统审计目标 7
1.4信息系统审计的主要内容 8
1.4.1内部控制系统审计 8
1.4.2系统开发审计 8
1.4.3应用程序审计 9
1.4.4数据文件审计 9
1.5信息系统审计的基本方法 9
1.5.1绕过信息系统审计 9
1.5.2通过信息系统审计 10
1.6信息系统审计的步骤 11
1.6.1准备阶段 11
1.6.2实施阶段 12
1.6.3终结阶段 13
1.7信息系统审计准则 14
1.7.1信息系统审计准则的概念和作用 14
1.7.2国际信息系统审计准则 14
1.7.3我国信息系统审计规范体系 15
1.8我国信息系统审计人才培养策略 17
1.8.1信息时代呼唤信息系统审计师 17
1.8.2信息系统审计师应具备的素质 18
1.8.3信息系统审计师的培养 19
1.9金审工程简介 21
1.9.1金审工程的背景 21
1.9.2金审工程总体规划 21
1.9.3金审工程建设情况 23
1.9.4金审工程二期建设展望 27
思考题 29
第2章 IT治理 30
2.1 IT治理的定义 30
2.2 IT治理的关键问题 31
2.2.1 IT治理缺失的症状 31
2.2.2 IT治理的关键问题 33
2.3 IT治理与公司治理 34
2.3.1公司治理和公司管理 34
2.3.2 IT治理和IT管理 38
2.3.3公司治理和IT治理 38
2.4 IT治理标准 38
2.5建立IT治理的机制和方法 40
2.5.1 IT治理机制 40
2.5.2 IT治理方法 41
2.6 IT治理的目标和范围 45
2.6.1 IT治理目标 45
2.6.2 IT治理范围 46
2.7 IT治理成熟度模型 47
思考题 49
第3章 信息系统一般控制及审计 50
3.1信息系统一般控制概述 50
3.2管理控制及其审计 51
3.2.1管理控制的基本内容 51
3.2.2管理控制审计 51
3.2.3管理控制测试 53
3.3系统基础设施控制及其审计 54
3.3.1信息系统环境控制 54
3.3.2信息系统硬件控制与审计 56
3.3.3系统软件控制 58
3.4系统访问控制及其审计 64
3.4.1逻辑访问控制 64
3.4.2物理访问控制 68
3.4.3对访问控制的审计 69
3.5系统网络架构控制及其审计 70
3.5.1局域网控制与审计 70
3.5.2客户机/服务器架构风险与控制 71
3.5.3互联网风险与控制 73
3.5.4网络安全技术 74
3.5.5网络架构控制的审计 81
3.6灾难恢复控制及其审计 83
3.6.1灾难与业务中断 83
3.6.2灾难恢复与业务持续计划 84
3.6.3灾难恢复与业务持续计划的审计 88
思考题 89
第4章 信息系统应用控制及其审计 90
4.1输入控制 90
4.1.1数据采集控制 90
4.1.2数据输入控制 91
4.1.3会计信息系统输入控制 94
4.2处理控制 96
4.2.1审核处理输出 96
4.2.2进行数据有效性检验 96
4.2.3会计信息系统中几种特殊的处理控制技术 98
4.3输出控制 99
4.4应用控制的审计 100
4.4.1业务处理规程和输入控制的审查 101
4.4.2输出控制的审查 101
4.5内部控制审计实例 101
4.5.1被审单位基本情况 101
4.5.2被审信息系统——采购和付款系统说明 102
4.5.3内部控制制度 102
4.5.4收集审计证据 104
4.5.5审计证据的分析与报告 104
思考题 105
第5章 信息系统开发与获取审计 106
5.1信息系统生命周期与审计 106
5.1.1信息系统审计师在信息系统开发中的职责 106
5.1.2信息系统开发与实施评价 108
5.2基于生命周期的信息系统开发方法 108
5.3信息系统的其他开发方法 110
5.3.1原型法 111
5.3.2面向对象的方法 112
5.3.3计算机辅助开发方法 113
5.3.4基于组件的开发方法 114
5.3.5基于Web应用开发方法 115
5.3.6快速应用开发方法 116
5.3.7敏捷开发 117
5.4信息系统开发团队、角色和责任 118
5.5项目管理 120
5.6软件配置管理 124
5.7与软件开发相关的风险 126
5.8软件开发过程的完善 127
5.8.1 ISO 9126 127
5.8.2软件能力成熟度模型 127
5.8.3软件能力成熟度模型集成 129
5.9信息系统开发过程审计 130
5.9.1信息系统审计师对系统开发过程进行风险评估 130
5.9.2制订审计计划 130
5.9.3系统开发过程审计 131
思考题 134
第6章 信息系统运营与维护审计 135
6.1信息系统的运营与维护工作存在的问题 135
6.2软件维护 136
6.2.1软件维护的种类 136
6.2.2软件维护的实施 137
6.2.3软件维护申请报告 138
6.2.4维护档案记录 139
6.2.5维护阶段的审计 139
6.3信息系统变更管理 141
6.4系统变更流程和迁移程序的审计 143
6.5 IT服务管理 144
6.5.1 IT服务管理产生的背景 144
6.5.2 IT服务管理的发展历史 146
6.5.3 IT服务管理的定义 147
6.5.4 ITIL 149
6.5.5 IT服务提供流程 151
6.5.6 IT服务支持管理 156
6.5.7 IT服务管理案例——如何建立一个基于ITIL的服务台 161
6.6信息系统生命周期的审计程序 163
思考题 166
第7章 信息系统应用程序审计 167
7.1应用程序审计的内容 167
7.1.1审查程序控制是否健全有效 167
7.1.2审查程序的合法性 168
7.1.3审查程序编码的正确性 168
7.1.4审查程序的有效性 169
7.2应用程序审计方法 169
7.2.1程序编码检查法 169
7.2.2程序运行记录检查法 170
7.2.3程序运行结果检查法 171
7.2.4检测数据法 171
7.2.5整体检测法 173
7.2.6程序编码比较法 175
7.2.7受控处理法 176
7.2.8受控再处理法 176
7.2.9平行模拟法 177
7.2.10嵌入审计程序法 178
7.2.11程序追踪法 179
思考题 179
第8章 信息系统数据文件审计 180
8.1数据文件的审计内容 180
8.2信息系统数据文件的审计流程 181
8.2.1审前准备阶段的工作实现 181
8.2.2审计实施阶段的工作实现 187
8.2.3审计终结阶段的工作实现 190
8.3计算机辅助数据文件审计技术方法与工具 191
8.3.1计算机辅助数据文件审计方法 191
8.3.2计算机辅助审计技术 192
思考题 203
参考文献 204