信息系統(tǒng)審計(jì)朱譜熠課后參考答案

第一章緒論1、信息系統(tǒng)審計(jì)與財(cái)務(wù)審計(jì)的審計(jì)要素分別是什么，審計(jì)內(nèi)容有何區(qū)別?信息系統(tǒng)審計(jì)的審計(jì)要素包括：信息系統(tǒng)的可用性、保密性和完整性等方面的控制，數(shù)據(jù)的準(zhǔn)確性和可靠性，業(yè)務(wù)流程的合規(guī)性以及信息系統(tǒng)的安全措施和風(fēng)險(xiǎn)管理等。財(cái)務(wù)審計(jì)的審計(jì)要素主要包括財(cái)務(wù)報(bào)表的準(zhǔn)確性、合規(guī)性和真實(shí)性，財(cái)務(wù)內(nèi)部控制的有效性，以及財(cái)務(wù)制度的合規(guī)性等。審計(jì)內(nèi)容上的區(qū)別在于，信息系統(tǒng)審計(jì)主要關(guān)注信息系統(tǒng)管理和運(yùn)行的各個(gè)方面，包括系統(tǒng)的安全性、可靠性等，而財(cái)務(wù)審計(jì)主要關(guān)注企業(yè)財(cái)務(wù)相關(guān)的內(nèi)容，如財(cái)務(wù)報(bào)表、內(nèi)部控制等。2、國(guó)內(nèi)信息系統(tǒng)審計(jì)發(fā)展面臨的阻碼有哪些?信息系統(tǒng)審計(jì)發(fā)展面臨的阻礙包括技術(shù)和人員兩個(gè)方面的問題。技術(shù)方面的阻礙主要包括信息系統(tǒng)的復(fù)雜性、多樣性和不斷更新的特點(diǎn)，導(dǎo)致審計(jì)人員難以理解和應(yīng)對(duì)各種復(fù)雜的技術(shù)問題。此外，信息系統(tǒng)的安全性和隱私性也會(huì)對(duì)審計(jì)師的工作造成一定的限制。人員方面的阻礙主要包括缺乏專業(yè)的信息系統(tǒng)審計(jì)人員，以及審計(jì)人員對(duì)于信息系統(tǒng)審計(jì)的知識(shí)和技能的不足等。3、信息系使審計(jì)師應(yīng)具備哪些理論知識(shí)?系統(tǒng)審計(jì)師應(yīng)具備的理論知識(shí)包括：信息系統(tǒng)的基本原理和結(jié)構(gòu)、信息系統(tǒng)與企業(yè)內(nèi)部控制的關(guān)系、信息系統(tǒng)的安全性和風(fēng)險(xiǎn)管理等。此外，審計(jì)師還應(yīng)具備關(guān)于各類信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和方法、信息系統(tǒng)審計(jì)程序和技巧等方面的知識(shí)。另外，審計(jì)師還應(yīng)了解相關(guān)的法律法規(guī)，并具備一定的會(huì)計(jì)和財(cái)務(wù)知識(shí)。4、我?guī)讉€(gè)典型行業(yè)，分析這些行業(yè)對(duì)信息系統(tǒng)的依賴程度，分析信息系統(tǒng)審計(jì)的作用和重要性。典型行業(yè)如銀行、保險(xiǎn)、電信等對(duì)信息系統(tǒng)的依賴程度較高。信息系統(tǒng)在這些行業(yè)中的作用和重要性主要體現(xiàn)在：實(shí)現(xiàn)業(yè)務(wù)的自動(dòng)化和高效性、保障客戶的信息安全、促進(jìn)業(yè)務(wù)的創(chuàng)新和發(fā)展等方面。信息系統(tǒng)審計(jì)在這些行業(yè)中的作用和重要性主要體現(xiàn)在：確保信息系統(tǒng)的安全可靠性、評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)和可行性、評(píng)估信息系統(tǒng)的合規(guī)性等方面。通過信息系統(tǒng)審計(jì)，可以發(fā)現(xiàn)并解決信息系統(tǒng)中存在的問題，提高信息系統(tǒng)的管理和運(yùn)行效率，從而保障企業(yè)的業(yè)務(wù)安全和穩(wěn)定發(fā)展。第二章IT治理1、為何說良好的IT治理是組織成功的關(guān)健因素?良好的IT治理是組織成功的關(guān)鍵因素，有以下幾個(gè)方面的原因：（1）信息技術(shù)已經(jīng)成為現(xiàn)代組織運(yùn)營(yíng)的重要基礎(chǔ)，良好的IT治理可以優(yōu)化業(yè)務(wù)流程、提高效率和效益。（2）IT治理可以幫助組織確保信息技術(shù)的可靠性、安全性和合規(guī)性，減少風(fēng)險(xiǎn)和避免損失。（3）良好的IT治理可以提供良好的決策支持和戰(zhàn)略指導(dǎo)，促進(jìn)組織的創(chuàng)新和發(fā)展。（4）良好的IT治理可以建立信任和聲譽(yù)，增強(qiáng)與利益相關(guān)者的關(guān)系。2、董事會(huì)在IT治理方面承的眼貴有哪些?董事會(huì)在IT治理方面承載的職責(zé)主要包括：確保IT戰(zhàn)略與組織戰(zhàn)略相一致，參與并審查IT治理框架的制定與實(shí)施，監(jiān)督IT投資和預(yù)算，評(píng)估和管理IT風(fēng)險(xiǎn)，監(jiān)督IT項(xiàng)目管理，評(píng)估和改進(jìn)IT績(jī)效，確保信息安全和合規(guī)性，監(jiān)督IT供應(yīng)商和合作伙伴，以及與相關(guān)方進(jìn)行溝通和協(xié)調(diào)。3、管理者的職責(zé)有哪些?管理者的職責(zé)包括：制定和實(shí)施IT戰(zhàn)略，確保IT與業(yè)務(wù)目標(biāo)相一致，制定和實(shí)施IT治理策略，并確保其有效性，管理和優(yōu)化IT資源和預(yù)算，監(jiān)督和管理IT項(xiàng)目，評(píng)估和管理IT風(fēng)險(xiǎn)，確保信息安全和合規(guī)性，與董事會(huì)和利益相關(guān)者進(jìn)行有效溝通和協(xié)調(diào)，以及培養(yǎng)和管理IT人員。4、查閱資料，簡(jiǎn)述COBIT框架的體系結(jié)構(gòu)、控制日標(biāo)、治理要點(diǎn)。COBIT（ControlObjectivesforInformationandRelatedTechnology）框架的體系結(jié)構(gòu)由五個(gè)相互關(guān)聯(lián)的組件構(gòu)成：目標(biāo)級(jí)別、流程級(jí)別、控制目標(biāo)級(jí)別、管理目標(biāo)級(jí)別和實(shí)施級(jí)別。控制目標(biāo)指定了信息技術(shù)所需要滿足的控制要求，治理要點(diǎn)包括：使能和支持業(yè)務(wù)目標(biāo)的信息技術(shù)能力、保障信息技術(shù)資源的合理使用和管理、確保信息和技術(shù)的安全和合規(guī)性。5、綜合考慮信息技術(shù)發(fā)展和企業(yè)管理層面，分析IT治理未來的發(fā)展方向在哪里？IT治理的未來發(fā)展方向主要包括：（1）強(qiáng)調(diào)戰(zhàn)略導(dǎo)向和價(jià)值創(chuàng)造，將IT視為業(yè)務(wù)的整體部分，并將IT治理與業(yè)務(wù)戰(zhàn)略有機(jī)結(jié)合；（2）加強(qiáng)風(fēng)險(xiǎn)管理和安全保障，隨著數(shù)字化轉(zhuǎn)型的加速，信息安全和隱私保護(hù)的風(fēng)險(xiǎn)也會(huì)相應(yīng)增加，IT治理需要更加重視風(fēng)險(xiǎn)管理和安全策略；（3）加強(qiáng)數(shù)據(jù)治理和數(shù)據(jù)管理能力，隨著大數(shù)據(jù)和人工智能的發(fā)展，數(shù)據(jù)將成為組織的重要資產(chǎn)，IT治理需要加強(qiáng)對(duì)數(shù)據(jù)的管理和治理；（4）強(qiáng)調(diào)創(chuàng)新和敏捷性，IT治理需要適應(yīng)快速變化的技術(shù)環(huán)境，注重創(chuàng)新和敏捷開發(fā)方法和過程。6、審計(jì)標(biāo)準(zhǔn)與審計(jì)準(zhǔn)則有何差異?列舉信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和審計(jì)準(zhǔn)則的核心要點(diǎn)。審計(jì)標(biāo)準(zhǔn)是指規(guī)范審計(jì)行為和判斷的性質(zhì)和各種要求，而審計(jì)準(zhǔn)則是指在進(jìn)行審計(jì)時(shí)應(yīng)遵循的基本原則和要求。信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)的核心要點(diǎn)包括：信息系統(tǒng)的可用性、保密性和完整性等方面的控制，數(shù)據(jù)的準(zhǔn)確性和可靠性，業(yè)務(wù)流程的合規(guī)性以及信息系統(tǒng)的安全措施和風(fēng)險(xiǎn)管理等。信息系統(tǒng)審計(jì)準(zhǔn)則的核心要點(diǎn)包括：獨(dú)立性和職業(yè)行為的準(zhǔn)則、審計(jì)程序的準(zhǔn)則、審計(jì)報(bào)告的準(zhǔn)則以及質(zhì)量控制的準(zhǔn)則等。第三章信息系統(tǒng)審計(jì)流程1、在對(duì)某銀行進(jìn)行信息系統(tǒng)審計(jì)時(shí)。具體的審計(jì)依據(jù)有哪些?（1）審計(jì)程序和程序設(shè)計(jì)文件；（2）與信息系統(tǒng)相關(guān)的政策和程序文件；（3）安全控制和憑證記錄；（4）網(wǎng)絡(luò)和系統(tǒng)日志；（5）數(shù)據(jù)備份和恢復(fù)程序；（6）用戶權(quán)限和訪問控制；（7）系統(tǒng)配置和補(bǔ)丁管理；（8）信息安全和合規(guī)報(bào)告；（9）以前的審計(jì)結(jié)果和建議。2、網(wǎng)上書店在其運(yùn)營(yíng)系統(tǒng)中包括了客戶關(guān)系管理系統(tǒng)(CRM)，信息系統(tǒng)審計(jì)師受命審查呼叫中心時(shí)，他應(yīng)該采取的第一步行動(dòng)是什么?當(dāng)信息系統(tǒng)審計(jì)師受命審查呼叫中心時(shí)，他應(yīng)該采取的第一步行動(dòng)是了解和熟悉呼叫中心的運(yùn)營(yíng)情況，包括呼叫中心的目標(biāo)和職能、關(guān)鍵業(yè)務(wù)流程、系統(tǒng)架構(gòu)和技術(shù)支持、數(shù)據(jù)管理和安全措施、呼叫中心員工的培訓(xùn)和授權(quán)等。此外，審計(jì)師還應(yīng)了解呼叫中心的關(guān)鍵指標(biāo)和績(jī)效評(píng)估體系。3、在信息系統(tǒng)審計(jì)的準(zhǔn)備階段，應(yīng)該了解被審計(jì)單位的哪些方面的情況?（1）組織架構(gòu)；（2）業(yè)務(wù)流程和關(guān)鍵應(yīng)用系統(tǒng)；（3）IT基礎(chǔ)設(shè)施和技術(shù)環(huán)境；（4）系統(tǒng)開發(fā)和維護(hù)過程；（5）信息安全策略和措施；（6）IT人員的組成和能力；（7）IT投資和預(yù)算；（8）以及與第三方供應(yīng)商和合作伙伴的關(guān)系。4、簡(jiǎn)要說明信息系統(tǒng)審計(jì)有哪些風(fēng)險(xiǎn)。（1）數(shù)據(jù)安全和隱私問題；（2）系統(tǒng)故障和服務(wù)中斷；（3）未經(jīng)授權(quán)的訪問和惡意行為；（4）軟件錯(cuò)誤和漏洞；（5）缺乏靈活性和易于操作性；（6）違反合規(guī)要求和法規(guī)；（7）以及技術(shù)過時(shí)和不足。5、在一項(xiàng)基于風(fēng)險(xiǎn)的信息系統(tǒng)審計(jì)中，固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)均已被評(píng)定為高級(jí)別，信息系統(tǒng)審計(jì)師可以通過額外執(zhí)行哪些審計(jì)程序來彌補(bǔ)這種情況?加強(qiáng)數(shù)據(jù)分析和抽樣，深入了解關(guān)鍵業(yè)務(wù)流程和系統(tǒng)，加強(qiáng)對(duì)內(nèi)部控制的測(cè)試和評(píng)估，與第三方合作伙伴和供應(yīng)商進(jìn)行審計(jì)，并進(jìn)行更詳細(xì)的審計(jì)測(cè)試和確認(rèn)。6、在信息系統(tǒng)審計(jì)項(xiàng)目中，風(fēng)險(xiǎn)評(píng)估的作用是什么?風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)審計(jì)項(xiàng)目中的作用是評(píng)估和識(shí)別潛在的風(fēng)險(xiǎn)和問題，以有針對(duì)性地制定審計(jì)計(jì)劃和方法，并確定適當(dāng)?shù)目刂拼胧┖透倪M(jìn)建議。風(fēng)險(xiǎn)評(píng)估可以幫助審計(jì)師聚焦重要的審計(jì)領(lǐng)域，并確保審計(jì)資源的有效利用。7、與被審計(jì)單位相關(guān)人員召開審計(jì)啟動(dòng)會(huì)議的主要目的是什么?與被審計(jì)單位相關(guān)人員召開審計(jì)啟動(dòng)會(huì)議的主要目的是：介紹審計(jì)的目的和范圍，明確和確認(rèn)審計(jì)計(jì)劃和時(shí)間表，獲取對(duì)被審計(jì)單位的進(jìn)一步理解和背景信息，建立溝通和合作關(guān)系，以及解答和澄清雙方的疑問和期望。8、信息系統(tǒng)審計(jì)師在審計(jì)電子商務(wù)環(huán)境時(shí)，主要的審計(jì)流程是什么？在審計(jì)電子商務(wù)環(huán)境時(shí)，主要的審計(jì)流程包括：了解電子商務(wù)系統(tǒng)的架構(gòu)和技術(shù)，評(píng)估和測(cè)試電子商務(wù)的安全控制和風(fēng)險(xiǎn)管理措施，檢查訂購(gòu)和支付過程的完整性和準(zhǔn)確性，評(píng)估數(shù)據(jù)加密和存儲(chǔ)的安全性，檢查客戶關(guān)系管理和市場(chǎng)推廣的合規(guī)性，以及審查電子商務(wù)平臺(tái)和交易記錄的審計(jì)軌跡。9、應(yīng)由誰做出是否將一項(xiàng)重大發(fā)現(xiàn)寫入信息系統(tǒng)審計(jì)報(bào)告的最終決定?對(duì)于是否將一項(xiàng)重大發(fā)現(xiàn)寫入信息系統(tǒng)審計(jì)報(bào)告的最終決定，應(yīng)由審計(jì)師根據(jù)其重要性和影響程度、管理層的回應(yīng)和解決措施以及組織的整體利益來綜合考慮和決定。審計(jì)師應(yīng)遵循審計(jì)準(zhǔn)則和要求，以及組織的內(nèi)部政策和程序。10、在信息系統(tǒng)審計(jì)工作正式結(jié)束前，與被審計(jì)單位舉行會(huì)議的主要目的是什么？在信息系統(tǒng)審計(jì)工作正式結(jié)束前，與被審計(jì)單位舉行會(huì)議的主要目的是：與管理層和相關(guān)人員分享審計(jì)結(jié)果和發(fā)現(xiàn)，解釋和解答審計(jì)報(bào)告中的問題和建議，提供改進(jìn)和加強(qiáng)的建議，收集和確認(rèn)管理層的回應(yīng)和承諾，以及建立后續(xù)跟進(jìn)和監(jiān)督的機(jī)制和流程。第四章信息系統(tǒng)審計(jì)方法1、審查被審計(jì)單位在信息系統(tǒng)中職責(zé)分離的控制情況時(shí)，最佳的審計(jì)方法是?進(jìn)行訪談和觀察。審計(jì)師可以與被審計(jì)單位的相關(guān)人員交談，了解他們?cè)谙到y(tǒng)訪問、配置管理、程序開發(fā)等方面的責(zé)任和權(quán)限分工情況。同時(shí)，審計(jì)師還可以通過觀察被審計(jì)單位的操作流程和系統(tǒng)日志，來確認(rèn)職責(zé)分離的控制是否得到有效實(shí)施。2、人力資源副總裁要求進(jìn)行審計(jì)，以確定上一年多付的工資額。在這種情況下，最佳的審計(jì)方法是什么?在確定過去一年中多付工資的情況下，最佳的審計(jì)方法是進(jìn)行數(shù)據(jù)分析。審計(jì)師可以通過審計(jì)工具和技術(shù)，對(duì)工資數(shù)據(jù)進(jìn)行檢查和比較，找出多付工資的異常情況和模式。此外，審計(jì)師還可以進(jìn)行目標(biāo)抽樣，選擇一部分?jǐn)?shù)據(jù)進(jìn)行詳細(xì)審查和核實(shí)。3、穿行測(cè)試法的步驟和優(yōu)點(diǎn)有?穿行測(cè)試法的步驟有：確定審計(jì)目標(biāo)、編制審計(jì)程序、選擇樣本、收集證據(jù)、進(jìn)行分析和比較、評(píng)估風(fēng)險(xiǎn)和問題、提出建議和意見、編寫審計(jì)報(bào)告。穿行測(cè)試法的優(yōu)點(diǎn)：可以全面了解和測(cè)試系統(tǒng)本身和業(yè)務(wù)流程的完整性和準(zhǔn)確性，以及內(nèi)部控制的有效性和適當(dāng)性。4、信息系統(tǒng)審計(jì)師使用哪種審計(jì)方法時(shí)需要查閱被審計(jì)單位的數(shù)據(jù)流程圖?當(dāng)信息系統(tǒng)審計(jì)師使用數(shù)據(jù)分析審計(jì)方法時(shí)，需要查閱被審計(jì)單位的數(shù)據(jù)流程圖。數(shù)據(jù)流程圖可以幫助審計(jì)師理解和分析被審計(jì)單位的業(yè)務(wù)流程和信息交換方式，確定審計(jì)重點(diǎn)和數(shù)據(jù)檢查點(diǎn)，以及識(shí)別潛在的風(fēng)險(xiǎn)和問題。5、信息系統(tǒng)審計(jì)師使用哪種審計(jì)方法時(shí)需要查閱被審計(jì)單位的系統(tǒng)日志?當(dāng)信息系統(tǒng)審計(jì)師使用系統(tǒng)審計(jì)方法時(shí)，需要查閱被審計(jì)單位的系統(tǒng)日志。系統(tǒng)日志可以記錄用戶的操作行為、系統(tǒng)的異常情況、安全事件和訪問記錄等信息。通過查閱系統(tǒng)日志，審計(jì)師可以追蹤和審計(jì)系統(tǒng)的使用情況、異常事件和潛在的風(fēng)險(xiǎn)，評(píng)估系統(tǒng)控制的有效性和操作的合規(guī)性。6、信息系統(tǒng)審計(jì)師評(píng)估被審計(jì)單位IT部門內(nèi)部職責(zé)分工落實(shí)情況的最佳方法是什么?評(píng)估被審計(jì)單位IT部門內(nèi)部職責(zé)分工落實(shí)情況的最佳方法是通過訪談和文件審查相結(jié)合。審計(jì)師可以與IT部門的管理層和員工進(jìn)行訪談，了解其職責(zé)和工作分工，并驗(yàn)證其實(shí)際執(zhí)行情況。同時(shí)，審計(jì)師還可以審查相關(guān)的職責(zé)分工文件、制度和流程，以核實(shí)其一致性和有效性。7、哪種審計(jì)方法能最有效地確保會(huì)計(jì)系統(tǒng)內(nèi)部利息計(jì)算相關(guān)控制的有效性?最有效的審計(jì)方法是進(jìn)行系統(tǒng)探索和測(cè)試。審計(jì)師可以對(duì)會(huì)計(jì)系統(tǒng)進(jìn)行探索，了解利息計(jì)算的相關(guān)輸入、處理和輸出過程，并進(jìn)行相應(yīng)的系統(tǒng)和應(yīng)用程序測(cè)試，以驗(yàn)證其準(zhǔn)確性和完整性。此外，審計(jì)師還可以對(duì)系統(tǒng)控制和數(shù)據(jù)輸入進(jìn)行比較和分析，評(píng)估其合規(guī)性和有效性。第五章信息系統(tǒng)生命周期審計(jì)1、對(duì)信息系統(tǒng)生命周期中哪些階段的審計(jì)既可以是事前審計(jì)，又可以是事中審計(jì)或事后審計(jì)，不同的認(rèn)定有何差別?對(duì)于信息系統(tǒng)生命周期中的不同階段，審計(jì)可以根據(jù)不同時(shí)間節(jié)點(diǎn)進(jìn)行不同的認(rèn)定。事前審計(jì)是在系統(tǒng)開發(fā)或?qū)嵤┲皩?duì)相關(guān)計(jì)劃、設(shè)計(jì)及準(zhǔn)備工作進(jìn)行審計(jì)。事中審計(jì)是在系統(tǒng)開發(fā)或?qū)嵤┻^程中對(duì)相關(guān)活動(dòng)、控制及問題進(jìn)行審計(jì)。事后審計(jì)是在系統(tǒng)上線運(yùn)行后，對(duì)其運(yùn)行及效果進(jìn)行審計(jì)。不同認(rèn)定的差別在于審計(jì)的焦點(diǎn)、目標(biāo)和方法。2、信息系統(tǒng)資源獲取審計(jì)的關(guān)鍵控制點(diǎn)有哪些?信息系統(tǒng)資源獲取審計(jì)的關(guān)鍵控制點(diǎn)可能包括：制定和執(zhí)行合規(guī)性政策和程序、對(duì)供應(yīng)商進(jìn)行評(píng)估和篩選、建立供應(yīng)鏈管理和風(fēng)險(xiǎn)管理機(jī)制、監(jiān)控資源獲取過程的完整性和準(zhǔn)確性、確保信息資產(chǎn)的合理配置和利用、保護(hù)信息資源免受未經(jīng)授權(quán)的訪問和濫用。3、信息系統(tǒng)開發(fā)審計(jì)通常可以采用哪些審計(jì)技術(shù)和方法?在系統(tǒng)開發(fā)過程中，可以采用的審計(jì)技術(shù)和方法包括：代碼審查、系統(tǒng)功能測(cè)試、安全測(cè)試、性能測(cè)試、回歸測(cè)試、可行性研究、需求分析和評(píng)估、流程分析、數(shù)據(jù)分析、風(fēng)險(xiǎn)評(píng)估、安全評(píng)估等。4、在審計(jì)某單位的系統(tǒng)過去的上線記錄和審批資料時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)該系統(tǒng)未按要求到監(jiān)管部門進(jìn)行備案，但系統(tǒng)當(dāng)前已經(jīng)處于正常運(yùn)行狀態(tài)，該如何處理?如果審計(jì)發(fā)現(xiàn)系統(tǒng)未按要求進(jìn)行備案，但當(dāng)前已經(jīng)正常運(yùn)行，審計(jì)師應(yīng)及時(shí)向相關(guān)部門或人員報(bào)告這一問題，并要求相關(guān)部門或人員進(jìn)行整改，確保系統(tǒng)能夠按規(guī)定進(jìn)行備案，以便日后的監(jiān)管和審計(jì)。5、在審計(jì)某第三方T服務(wù)提供商時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)未按合同要求進(jìn)行訪問審查，該如何處理?如果審計(jì)發(fā)現(xiàn)第三方IT服務(wù)提供商未按合同要求進(jìn)行訪問審查，審計(jì)師應(yīng)及時(shí)向相關(guān)部門或人員報(bào)告這一問題，并要求第三方IT服務(wù)提供商重新進(jìn)行訪問審查，確保其符合合同要求和相關(guān)規(guī)定。6、在審計(jì)某單位的系統(tǒng)日志時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)系統(tǒng)日志有被篡改的痕跡，該如何處理?如果審計(jì)發(fā)現(xiàn)系統(tǒng)日志有被篡改的痕跡，審計(jì)師應(yīng)該立即記錄相關(guān)發(fā)現(xiàn)，并通知相關(guān)部門或人員進(jìn)行調(diào)查和取證。此外，審計(jì)師還應(yīng)根據(jù)取證結(jié)果采取相應(yīng)的行動(dòng)，如修復(fù)受損的日志、加強(qiáng)系統(tǒng)安全控制等，以防止類似事件再次發(fā)生。第六章信息系統(tǒng)內(nèi)部控制審計(jì)1、信息系統(tǒng)審計(jì)師審查被審計(jì)單位的組織架構(gòu)的主要目的是什么?了解和評(píng)估組織的整體管理結(jié)構(gòu)、職責(zé)分工、權(quán)責(zé)關(guān)系等情況，確保信息系統(tǒng)的設(shè)計(jì)、實(shí)施和運(yùn)行與組織的戰(zhàn)略目標(biāo)和治理結(jié)構(gòu)相一致，同時(shí)也能夠幫助審計(jì)師確定適當(dāng)?shù)膶徲?jì)重點(diǎn)和范圍。2、在應(yīng)用程序軟件審查過程中，信息系統(tǒng)審計(jì)師在超出審計(jì)范圍的相關(guān)數(shù)據(jù)庫(kù)環(huán)境中發(fā)現(xiàn)了漏洞，該如何處理?他應(yīng)該將這些漏洞詳細(xì)記錄下來，并及時(shí)向相關(guān)部門或人員報(bào)告，以便采取正確的修復(fù)措施，確保數(shù)據(jù)的安全性和完整性。3、在審計(jì)某大型企業(yè)的身份管理(IDM)系統(tǒng)的配置程序時(shí)，信息系統(tǒng)審計(jì)師很快發(fā)現(xiàn)少量訪問請(qǐng)求并未由某位管理人員通過正常的預(yù)設(shè)工作流程逐步審批授權(quán)，審計(jì)師應(yīng)采取什么行動(dòng)?他應(yīng)該及時(shí)向相關(guān)管理人員報(bào)告這一問題，并要求對(duì)審批授權(quán)流程進(jìn)行調(diào)查和修復(fù)，以確保訪問權(quán)限的合法性和安全性。4、在審計(jì)某金融服務(wù)公司的網(wǎng)站時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)此網(wǎng)站擁有一個(gè)獨(dú)立代理用來管理客戶賬戶的網(wǎng)站。在檢查網(wǎng)站的邏輯訪問時(shí)，發(fā)現(xiàn)有些用戶ID被多個(gè)代理用戶共享。信息系統(tǒng)審計(jì)師應(yīng)采取什么行動(dòng)?他應(yīng)記錄這一現(xiàn)象，并向相關(guān)部門或人員報(bào)告，要求對(duì)網(wǎng)站的用戶賬戶管理進(jìn)行調(diào)查和修復(fù)，確保用戶賬戶的隔離性和安全性。5、經(jīng)初步調(diào)查，信息系統(tǒng)審計(jì)師有理由相信可能存在舞弊行為，此時(shí)他應(yīng)采取什么行動(dòng)?他應(yīng)立即向相關(guān)部門或人員報(bào)告，并提供相關(guān)證據(jù)和調(diào)查結(jié)果。進(jìn)一步的行動(dòng)可能包括深入調(diào)查、取證和采取法律行動(dòng)等，以便揭露和處理舞弊行為。同時(shí)，審計(jì)師還要遵循相關(guān)法律法規(guī)和職業(yè)道德準(zhǔn)則的要求，保護(hù)信息的機(jī)密性和完整性。第七章信息系統(tǒng)安全管理審計(jì)1、在評(píng)估對(duì)密碼管理的程序控制時(shí)，信息系統(tǒng)審計(jì)師應(yīng)審查哪些具體的控制措施?（1）密碼復(fù)雜度要求：審查密碼策略，包括密碼長(zhǎng)度、復(fù)雜度、強(qiáng)度要求等。（2）密碼生命周期管理：審查密碼更改和重置的程序，如密碼到期、遺忘密碼等情況下的處理流程。（3）密碼存儲(chǔ)和傳輸：審查密碼的存儲(chǔ)方式和傳輸方式，如是否加密存儲(chǔ)、使用安全通道傳輸?shù)?。?）訪問控制和身份驗(yàn)證：審查密碼作為身份驗(yàn)證憑證的使用情況，如多因素身份驗(yàn)證、賬戶鎖定等。（5）密碼保護(hù)機(jī)制：審查密碼的保護(hù)措施，如防止密碼泄露的技術(shù)和管理防護(hù)措施。2、在審查軟件使用和許可情況時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)許多PC含有未經(jīng)授權(quán)的軟件應(yīng)采取什么行動(dòng)?（1）記錄并報(bào)告發(fā)現(xiàn)的未經(jīng)授權(quán)軟件情況，向相關(guān)部門或人員提供審計(jì)結(jié)果。（2）調(diào)查軟件未經(jīng)授權(quán)的原因，如是否是員工從外部下載的、是否是內(nèi)部員工違規(guī)安裝的等。（3）推動(dòng)相關(guān)部門或人員制定和執(zhí)行合規(guī)性政策和程序，加強(qiáng)軟件的許可證管理和監(jiān)控。（4）建議制定和實(shí)施軟件使用和許可的培訓(xùn)和教育計(jì)劃，提高員工對(duì)軟件許可的意識(shí)和合規(guī)性意識(shí)。3、執(zhí)行審計(jì)工作時(shí)，信息系統(tǒng)審計(jì)師檢測(cè)到系統(tǒng)內(nèi)存在病毒。該信息系統(tǒng)審計(jì)師下一步應(yīng)該怎么做?（1）立即停止檢測(cè)到病毒的系統(tǒng)或應(yīng)用程序的運(yùn)行，以防止病毒進(jìn)一步傳播或造成損害。（2）通知相關(guān)部門或人員，如信息技術(shù)部門或網(wǎng)絡(luò)安全團(tuán)隊(duì)，以便進(jìn)行病毒掃描和清除操作。（3）協(xié)助有關(guān)部門或人員對(duì)受影響的系統(tǒng)進(jìn)行修復(fù)和補(bǔ)丁操作，以恢復(fù)系統(tǒng)的正常運(yùn)行。（4）追蹤和記錄病毒入侵的來源和傳播路徑，分析并評(píng)估影響范圍和損害程度，并提供相應(yīng)的建議和改進(jìn)措施。4、在進(jìn)行數(shù)據(jù)庫(kù)安全控制審計(jì)時(shí)，可采用哪些審計(jì)方法?（1）審查權(quán)限管理：審查數(shù)據(jù)庫(kù)用戶的權(quán)限分配情況，包括讀取、寫入、修改、刪除等操作的授權(quán)設(shè)置。（2）審查訪問日志：審查數(shù)據(jù)庫(kù)訪問日志，檢查用戶的訪問權(quán)限是否符合授權(quán)，并查找異常訪問行為。（3）進(jìn)行漏洞掃描：使用專業(yè)的漏洞掃描工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描，發(fā)現(xiàn)數(shù)據(jù)庫(kù)的安全漏洞和配置問題。（4）進(jìn)行安全策略審查：審查數(shù)據(jù)庫(kù)的安全策略和配置，如密碼策略、加密策略、審計(jì)策略等。（5）進(jìn)行數(shù)據(jù)備份審查：審查數(shù)據(jù)庫(kù)的備份策略和實(shí)施情況，確保數(shù)據(jù)的完整性和可恢復(fù)性。以上方法可以綜合應(yīng)用，以全面評(píng)估數(shù)據(jù)庫(kù)的安全性和合規(guī)性。第八章信息系統(tǒng)績(jī)效審計(jì)1、評(píng)價(jià)信息系統(tǒng)效益的難點(diǎn)在哪里?為什么?（1）多樣性：信息系統(tǒng)的效益是多樣化的，不同的組織和業(yè)務(wù)目標(biāo)可能有不同的度量標(biāo)準(zhǔn)和關(guān)鍵績(jī)效指標(biāo)。因此，評(píng)價(jià)信息系統(tǒng)的效益需要考慮到組織的特定需求和目標(biāo)。（2）主觀性：信息系統(tǒng)效益的評(píng)估可能涉及主觀判斷和主觀測(cè)量，例如用戶滿意度和業(yè)務(wù)流程改進(jìn)。這使得評(píng)估結(jié)果可能受到個(gè)人偏見或主觀解釋的影響。（3）時(shí)間因素：評(píng)價(jià)信息系統(tǒng)效益需要考慮到時(shí)間因素，即短期和長(zhǎng)期的效益。某些效益可能在實(shí)施初期不太明顯，而在長(zhǎng)期運(yùn)行中才能實(shí)現(xiàn)。（4）量化難度：有些信息系統(tǒng)效益很難量化，如知識(shí)管理、創(chuàng)新和決策支持。這些效益通常是間接或中間結(jié)果，難以用具體數(shù)字或指標(biāo)來衡量。2、財(cái)務(wù)會(huì)計(jì)對(duì)資產(chǎn)有一套成熟的核算方法，這類方法適用于對(duì)信息系統(tǒng)的核算嗎?財(cái)務(wù)會(huì)計(jì)的核算方法主要適用于財(cái)務(wù)相關(guān)的資產(chǎn)，如固定資產(chǎn)、存貨和應(yīng)收賬款等。然而，對(duì)于信息系統(tǒng)這樣的無形資產(chǎn)，財(cái)務(wù)會(huì)計(jì)核算方法可能并不適用。信息系統(tǒng)不僅涉及硬件和軟件的資產(chǎn)，還包括數(shù)據(jù)、流程和人員等方面的資產(chǎn)價(jià)值。這些無形資產(chǎn)的價(jià)值不容易直接定義和度量，也難以準(zhǔn)確反映在財(cái)務(wù)報(bào)表上。因此，需要使用其他方法來核算信息系統(tǒng)的價(jià)值和效益，如經(jīng)濟(jì)評(píng)估、績(jī)效評(píng)價(jià)和成本效益分析等。3、不同行業(yè)、不同企業(yè)的信息系統(tǒng)績(jī)效評(píng)價(jià)標(biāo)準(zhǔn)是否通用？舉例說明。不同行業(yè)和企業(yè)的信息系統(tǒng)績(jī)效評(píng)價(jià)標(biāo)準(zhǔn)可能不通用，因?yàn)樗鼈兪艿浇M織的特定需求和目標(biāo)的影響。不同行業(yè)可能有不同的信息系統(tǒng)需求和業(yè)務(wù)流程，因此對(duì)信息系統(tǒng)績(jī)效的評(píng)價(jià)標(biāo)準(zhǔn)會(huì)有所差異。例如，對(duì)于電子商務(wù)行業(yè)來說，交易處理能力和網(wǎng)站穩(wěn)定性可能是重要的指標(biāo)；而對(duì)于制造業(yè)來說，生產(chǎn)效率和供應(yīng)鏈協(xié)調(diào)能力可能更為關(guān)鍵。同樣，在不同規(guī)模和類型的企業(yè)中，信息系統(tǒng)績(jī)效評(píng)價(jià)標(biāo)準(zhǔn)也會(huì)有所不同，因?yàn)樗鼈兊哪繕?biāo)和戰(zhàn)略也不同。第九章信息系統(tǒng)審計(jì)案例1、被審計(jì)單位在查看可報(bào)告的審計(jì)發(fā)現(xiàn)后，立即采取了糾正措施，這種情況下信息系統(tǒng)審計(jì)師是否將審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中，為什么?在被審計(jì)單位立即采取了糾正措施后，信息系統(tǒng)審計(jì)師可以酌情決定是否將該審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中。以下是幾個(gè)考慮因素：（1）時(shí)效性：如果被審計(jì)單位已經(jīng)及時(shí)采取了糾正措施，并且問題已經(jīng)得到解決，那么審計(jì)發(fā)現(xiàn)可能因?yàn)橐呀?jīng)不再存在而不被包含在最終報(bào)告中，以保持報(bào)告的時(shí)效性。（2）重要性：審計(jì)發(fā)現(xiàn)的重要性也是一個(gè)考慮因素。如果審計(jì)發(fā)現(xiàn)與信息系統(tǒng)的安全或合規(guī)性存在重大問題，即使被糾正，審計(jì)師可能仍然認(rèn)為該問題值得在最終報(bào)告中提及。這樣可以為管理層提供對(duì)問題的知曉和解決方案的確認(rèn)，并推動(dòng)進(jìn)一步改進(jìn)措施的實(shí)施。（3）透明度和完整性：報(bào)告的透明度和完整性應(yīng)該是信息系統(tǒng)審計(jì)師考慮的因素。當(dāng)審計(jì)發(fā)現(xiàn)已經(jīng)記錄并在糾正措施中得到解決時(shí)，如果將其公開包含在最終報(bào)告中，可以增加報(bào)告的透明度，向相關(guān)利益相關(guān)方提供全面的信息，以便他們了解被審計(jì)單位的改進(jìn)過程。然而，最終決策是否將糾正后的審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中，取決于審計(jì)師的判斷和被審計(jì)單位的政策和要求。在任何情況下，審計(jì)師應(yīng)遵循相關(guān)的道德準(zhǔn)則和職業(yè)要求來做出決策，并保持報(bào)告的客觀和公正性。2、如果信息系統(tǒng)審計(jì)師與部門經(jīng)理對(duì)審計(jì)結(jié)果存在爭(zhēng)議，爭(zhēng)議期間信息系統(tǒng)審計(jì)師應(yīng)首先采取什么行動(dòng)?如果信息系統(tǒng)審計(jì)師與部門經(jīng)理存在審計(jì)結(jié)果上的爭(zhēng)議，他們應(yīng)該首先進(jìn)行斡旋和溝通，尋找共識(shí)并解決分歧。這可能包括深入了解問題、提供證據(jù)支持和妥善解釋審計(jì)結(jié)果。如果爭(zhēng)議仍然無法解決，審計(jì)師可以向更高級(jí)別的管理層或?qū)徲?jì)委員會(huì)報(bào)告情況，并尋求他們的意見或干預(yù)。3、在離場(chǎng)面談過程中，如果對(duì)于審計(jì)發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，信息系統(tǒng)審計(jì)師應(yīng)該如何處理?（1）盡可能在評(píng)估發(fā)現(xiàn)的影響之前收集更多證據(jù)和信息。（2）再次審查相關(guān)的內(nèi)部控制和安全措施，并與相關(guān)人員進(jìn)行進(jìn)一步溝通和澄清。。（3）如果仍然無法達(dá)成共識(shí)，則應(yīng)將爭(zhēng)議的事實(shí)和觀點(diǎn)記錄在審計(jì)工作底稿中，并向相關(guān)經(jīng)理或?qū)徲?jì)委員會(huì)報(bào)告情況。（4）如果需要，可以尋求第三方專家的意見或進(jìn)行獨(dú)立評(píng)估。4、信息系統(tǒng)審計(jì)師被要求在快到計(jì)劃上線日期之前審查一個(gè)關(guān)鍵的