本课程通过行之有效的信息系统审计培训，帮助学员抓住信息系统管理的核心，掌握信息系统审计的IT审计方法与流程，并结合自身所学的先进审计技术，对企业信息系统的安全性、稳定性和有效性进行全面的审查、评估和改进。让企业与时代发展同步，保持持续创新，在竞争中处于优势地位。

课程背景

目前，大型企业在组织形态走向分散化的同时，其管理的集约化程度也在不断提高，运用信息系统进行审计被越来越多的企业所选择。如何使用信息系统审计来提高审计的效率与准确性、如何确保数据资产的安全性、如何落实信息系统审计在各方面的实际运用是现代企业尤为关注的问题。区别于传统审计的财务领域，信息系统审计关注的是企业系统的可靠性和运行现状，在某些情况下甚至能够直接参与项目的开发或变更过程，以保证足够的控制得以顺利实施，确保内部控制真正落地。

课程收益

※ 了解信息系统审计标准、准则和内容

※ 了解信息系统审计的基本方法

※ 掌握信息系统审计体系的各个环节

※ 学习把握信息系统审计的重点——IT审计方法与流程

※ 学会使用多种信息系统审计工具，提高审计效率与准确性

※ 掌握独立的为企业核心信息系统进行审计、检查与评价

课程对象

※ 财务总监、控制总监、投资总监、审计总监

※ 首席信息官

※ 财务部、审计部、内控部等部门相关人员

※ IT部门相关人员

课程内容

第1天 信息审计标准方法与体系

一、 信息系统审计概述

- 信息系统审计的发展

- 信息系统审计与一般审计的区别

- 信息系统审计的目标

- 信息安全管理体系标准发展

- ISO 27001:2005标准要求介绍

- 信息安全的重要性

- 信息安全的威胁及弱点

- 信息系统审计准则

- 信息系统审计准则的概念和作用

- 国际信息系统审计准则

- 我国信息系统审计规范体系

二、 信息系统审计的基本方法

- 绕过信息系统审计

- 通过信息系统审计

- 信息系统审计的主要内容

- 内部控制系统审计

- 系统开发审计

- 应用程序审计

- 数据文件审计

- 信息系统审计的步骤

- 准备阶段

- 实施阶段

- 终结阶段

- 信息系统审计的重点环节

- 数据环节

- 内部控制环节

- 数据传输转移环节

三、 信息系统审计基本体系

- 管理控制及其审计

- 管理控制的基本内容

- 管理控制审计

- 管理控制测试

- 系统基础设施控制及其审计

- 信息系统环境控制

- 信息系统硬件控制与审计

- 系统软件控制

- 系统访问控制及其审计

- 逻辑访问控制

- 物理访问控制

- 对访问控制的审计

- 系统网络架构控制及其审计

- 局域网控制与审计

- 客户机/服务器架构风险与控制

- 互联网风险与控制

- 网络安全技术

- 网络架构控制的审计

- 灾难恢复控制及其审计

- 灾难与业务中断

- 灾难恢复与业务持续计划

- 灾难恢复与业务持续计划的审计



第2天 信息审计重点与具

四、 信息系统审计重点--IT审计方法与流程

- 审计准备

- 如何确定审计范围

- 识别与业务流程相关的信息需求

- 选择要审计的平台和流程

- 了解IT风险及内部控制措施

- 确定审计策略

- 案例讨论

- 审计实施

- 了解风险管理以及内部控制措施

- IT风险评估

- 案例讨论

- IT一般控制

- IT应用控制

- IT内部控制覆盖范围及控制点

- 案例讨论

- 控制目标的风险评估

- 符合性测试基本流程

- 案例讨论

- 实质性测试流程

- 案例讨论

- 审计报告

- 审计证据收集与评价

- 确定收集样本

- 随机抽查样本记录

- 分析记录

- 记录工作底稿

五、 信息系统审计方法与工具

- 系统测试法

- 整体检查法

- 平行模拟法

- 快照法

- 审计钩(hooks)

- 系统控制审计校验文件以及嵌入式审计模型(SCARF/EAM)


信息化审计是时代发展的必然结果，不但提高审计的效率，加强了审计的监督力度，也加大审计的透明度。信息化审计体系的建立的关键就是如何有效实施，高顿帮助学员抓住信息系统管理的核心，掌握信息审计的关键点，实现科技带给企业运营的巨大进步，提高企业的财务管理能力。