第1章 绪论 1
1.1 IT审计概述 1
1.1.1 IT审计的起源 1
1.1.2 IT审计的定义 2
1.1.3 IT审计国内外现状 3
1.1.4 IT治理、管理及审计概念的辨析 5
1.2 IT审计的目的和对象 6
1.2.1 IT审计的目的 6
1.2.2 IT审计的对象 6
1.3 IT审计的分类和范围 7
1.3.1 IT审计的分类 7
1.3.2 IT审计的范围 8
1.4 IT审计的依据和特点 8
1.4.1 IT审计的依据 8
1.4.2 IT审计的特点 10
1.5 IT审计的风险和重要性 11
1.5.1 IT审计的风险 11
1.5.2 IT审计的重要性 12
1.6 IT审计的意义 13
1.7 本章小结 14
第2章 IT审计管理 15
2.1 IT审计组织 15
2.1.1 IT审计组织的类型 15
2.1.2 IT审计职能 16
2.2 IT审计组织的管理 17
2.2.1 内部审计章程 17
2.2.2 内部IT审计机构 17
2.2.3 内部IT审计制度 20
2.2.4 内部IT审计准则 21
2.2.5 IT审计规划管理 21
2.2.6 IT审计沟通与协调 23
2.3 IT审计资源保障 25
2.3.1 IT审计资源的含义 25
2.3.2 IT审计资源的分类 25
2.3.3 IT审计资源的投入 27
2.3.4 IT审计人力资源的要求 28
2.4 IT审计质量管理 31
2.4.1 概述 31
2.4.2 IT审计质量管理要求 31
2.4.3 IT审计质量管理内容 32
2.4.4 IT审计项目质量控制 33
2.5 控制自评估 33
2.5.1 控制自评估的目标 34
2.5.2 传统审计方法与CSA方法的比较 35
2.6 本章小结 36
第3章 IT审计方法与技术 37
3.1 IT审计准则、规范及IT相关标准 37
3.1.1 国际IT审计准则与规范 37
3.1.2 国内IT审计准则与规范 40
3.1.3 国际国内IT相关标准 43
3.2 IT审计常用方法 48
3.2.1 访谈法 48
3.2.2 调查法 49
3.2.3 检查法 49
3.2.4 观察法 50
3.2.5 测试法 52
3.2.6 程序代码检查法 54
3.3 IT审计技术 55
3.3.1 风险评估技术 55
3.3.2 审计抽样技术 55
3.3.3 计算机辅助审计技术 57
3.4 IT审计证据 60
3.4.1 审计证据基本概念 60
3.4.2 审计证据的含义 60
3.4.3 审计证据的特性 60
3.4.4 审计证据的分类 61
3.4.5 电子审计证据 64
3.4.6 审计证据获取方法应用举例 66
3.5 IT审计证据评价 68
3.5.1 审计证据的整理与分析 68
3.5.2 审计证据评价应考虑的因素 70
3.6 IT审计工作底稿 72
3.6.1 概述 72
3.6.2 审计工作底稿的分类 73
3.6.3 审计工作底稿的编制 73
3.6.4 审计工作底稿的复核 76
3.6.5 审计工作底稿的控制 77
3.6.6 审计工作底稿的归档 78
3.7 IT审计报告 78
3.8 本章小结 78
第4章 IT审计流程 79
4.1 审计流程概述 79
4.1.1 审计流程的含义 79
4.1.2 审计流程的作用 79
4.2 审计准备阶段 80
4.2.1 明确审计目的及任务 81
4.2.2 组建审计项目组 81
4.2.3 搜集相关信息 82
4.2.4 编制审计计划 82
4.3 审计实施阶段 86
4.3.1 深入调查并调整审计计划 86
4.3.2 了解并初步评估IT内部控制 89
4.3.3 进行符合性测试 91
4.3.4 进行实质性测试 95
4.4 审计终结阶段 98
4.4.1 整理与复核审计工作底稿 99
4.4.2 整理审计证据 99
4.4.3 评价相关IT控制目标的实现 99
4.4.4 判断并报告审计发现 100
4.4.5 沟通审计结果 101
4.4.6 出具审计报告 102
4.4.7 归档管理 104
4.5 后续审计阶段 105
4.6 本章小结 105
第5章 IT治理审计 106
5.1 IT治理概述 106
5.2 IT治理组织 107
5.2.1 IT治理组织概述 108
5.2.2 IT治理组织设置 108
5.2.3 IT政策和制度 114
5.3 IT战略 114
5.3.1 IT战略规划 115
5.3.2 IT投资 115
5.4 IT架构 117
5.4.1 IT架构的组成 117
5.4.2 IT架构的管理支撑体系 117
5.5 业务连续性管理 124
5.5.1 BCM 124
5.5.2 IT灾难恢复能力 126
5.6 风险管理 129
5.6.1 风险管理机制 129
5.6.2 管理风险 131
5.7 监督管理 132
5.7.1 IT绩效及内部控制的自我评价 132
5.7.2 IT绩效、内部控制及合规的独立审计 133
5.8 IT治理组织、战略与架构审计的实施 133
5.8.1 IT治理组织审计 134
5.8.2 IT战略审计 137
5.8.3 IT架构审计 138
5.9 业务连续性管理审计的实施 141
5.9.1 BCM审计 141
5.9.2 IT灾难恢复能力审计 143
5.10 风险管理审计的实施 146
5.10.1 风险管理机制审计 146
5.10.2 管理风险审计 146
5.11 监督管理审计的实施 147
5.11.1 自我评价情况的审计 147
5.11.2 独立审计情况的审计 148
5.12 本章小结 148
第6章 信息系统建设审计 149
6.1 项目管理 149
6.1.1 项目管理概念 149
6.1.2 项目管理过程 152
6.1.3 项目管理实务 153
6.2 工程方法 154
6.2.1 信息系统开发 154
6.2.2 信息系统集成 157
6.3 应用控制 158
6.3.1 输入控制 159
6.3.2 处理程序 159
6.3.3 输出控制 160
6.4 典型应用系统 160
6.4.1 云类业务系统 160
6.4.2 电子商务类业务系统 161
6.4.3 电子数据交换类业务系统 161
6.4.4 电子支付类业务系统 161
6.4.5 集成制造类业务系统 161
6.4.6 企业管理类业务系统 162
6.5 项目管理审计的实施 162
6.6 工程方法审计的实施 163
6.6.1 可行性研究的审计 163
6.6.2 需求分析的审计 164
6.6.3 系统设计的审计 165
6.6.4 系统开发的审计 166
6.6.5 系统集成的审计 167
6.6.6 系统测试的审计 168
6.6.7 系统验收的审计 169
6.6.8 系统变更和迁移的审计 170
6.7 应用控制审计的实施 170
6.7.1 输入控制的审计 170
6.7.2 处理程序的审计 171
6.7.3 输出控制的审计 172
6.8 典型应用系统审计的实施 172
6.8.1 云类业务系统的审计 172
6.8.2 电子商务类业务系统的审计 173
6.8.3 电子数据交换类业务系统的审计 174
6.8.4 电子支付类业务系统的审计 175
6.8.5 集成制造类业务系统的审计 176
6.8.6 企业管理类业务系统的审计 177
6.9 本章小结 178
第7章 信息系统运行与服务审计 179
7.1 信息系统运行与服务简介 179
7.1.1 组织责任 179
7.1.2 人员能力 181
7.1.3 IT服务支持管理 181
7.1.4 IT服务交付管理 183
7.2 IT基础设施设备 184
7.2.1 概述 184
7.2.2 服务器系统 185
7.2.3 网络及网络设备 187
7.2.4 存储设备 190
7.2.5 计算机终端 191
7.2.6 云计算 192
7.2.7 IT基础设施设备运维 193
7.3 操作系统 194
7.3.1 操作系统的功能 195
7.3.2 操作系统维护 196
7.4 应用系统 197
7.4.1 实用程序 198
7.4.2 软件许可 198
7.4.3 数字版权管理 199
7.5 数据架构 199
7.5.1 如何建立组织级数据架构 200
7.5.2 组织级数据架构的内容 200
7.6 信息系统运行与服务审计的实施 202
7.6.1 应用系统审计 202
7.6.2 操作系统审计 203
7.6.3 数据架构审计 204
7.6.4 IT基础设施设备审计 205
7.6.5 IT服务支持审计 208
7.6.6 IT服务交付审计 210
7.7 本章小结 212
第8章 信息安全审计 213
8.1 信息安全关键管理要素 213
8.1.1 信息安全策略 213
8.1.2 信息安全组织 215
8.1.3 人力资源安全 217
8.1.4 供应商关系 219
8.1.5 信息安全事件管理 220
8.1.6 符合性 221
8.2 信息安全关键技术 224
8.2.1 访问控制 224
8.2.2 物理安全 227
8.2.3 网络通信安全 230
8.2.4 系统获取、开发和维护 234
8.2.5 密码技术 234
8.3 信息安全关键管理要素审计的实施 236
8.3.1 信息安全策略审计 236
8.3.2 信息安全组织审计 238
8.3.3 人力资源安全审计 238
8.3.4 供应商关系审计 240
8.3.5 信息安全事件管理审计 241
8.3.6 符合性审计 242
8.4 信息安全关键技术审计的实施 244
8.4.1 访问控制审计 244
8.4.2 物理安全审计 246
8.4.3 网络通信安全审计 248
8.4.4 系统获取、开发和维护审计 250
8.4.5 密码技术审计 251
8.5 本章小结 252
附录A ISACA IT审计标准表 253
参考文献 257