《信息系統(tǒng)審計(jì)》教學(xué)大綱

1、信息系統(tǒng)審計(jì)教學(xué)大綱（Information System Auditing）制定單位：信息科學(xué)學(xué)院信息管理系制 定 人：李庭燎審 核 人：余小兵編寫時(shí)間：2011年9月10日第一部分 課程概述一、基本信息（一）課程代碼（二）課程屬性、學(xué)分、學(xué)時(shí)專業(yè)選修課，學(xué)分3，學(xué)時(shí)48（三）適用對(duì)象本科生專業(yè)：金審學(xué)院 信息管理與信息系統(tǒng)（四）先修課程與知識(shí)準(zhǔn)備審計(jì)學(xué)，計(jì)算機(jī)基礎(chǔ)，數(shù)據(jù)庫(kù)管理系統(tǒng)，管理信息系統(tǒng)二、課程簡(jiǎn)介信息系統(tǒng)審計(jì)是一門綜合性課程。隨著現(xiàn)代信息技術(shù)的發(fā)展，審計(jì)的目標(biāo)、對(duì)象、內(nèi)容等已發(fā)生了變化，傳統(tǒng)環(huán)境下的審計(jì)已不能適應(yīng)信息技術(shù)環(huán)境下的審計(jì)要求，需要開(kāi)展信息系統(tǒng)審計(jì)。本課程主要介紹了有關(guān)信

2、息系統(tǒng)審計(jì)的基本概念、理論方法以及信息系統(tǒng)審計(jì)實(shí)務(wù)內(nèi)容。本課程在介紹了信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展、特點(diǎn)、內(nèi)容、方法、程序步驟、準(zhǔn)則等基本概念內(nèi)容的基礎(chǔ)上，從理論和實(shí)務(wù)兩方面具體介紹了IT治理、一般控制及審計(jì)、應(yīng)用控制及審計(jì)、系統(tǒng)開(kāi)發(fā)與獲取審計(jì)、系統(tǒng)運(yùn)營(yíng)與維護(hù)審計(jì)、應(yīng)用程序?qū)徲?jì)、數(shù)據(jù)文件審計(jì)等信息系統(tǒng)審計(jì)所包含的內(nèi)容。并通過(guò)上機(jī)實(shí)驗(yàn)演示，主要使學(xué)生了解在審計(jì)工作中運(yùn)用計(jì)算機(jī)輔助技術(shù)工具的能力。Information Systems Audit is a comprehensive curriculum. With the development of modern information tech

3、nology, audit objectives, targets, content, etc., have changed the traditional environment, the audit can not meet the information technology environment, the audit requirements, the need to carry out information system audits. This course introduces the basic concepts of information systems audit,

4、information systems theory, method and content of audit practice. This course introduces information systems audit in the generation and development, characteristics, content, methods, procedures, steps, guidelines and other basic concepts on the basis of content, from both theoretical and practical

5、 introduction of specific IT governance, control and audit of the general application of control and audit, system development and access to audit, system operation and maintenance of audit, application auditing, information systems auditing data file contains the contents of the audit. Demonstrated

6、 through experiments on the machine, mainly to enable students to understand the use of computer-assisted audit technology tools.三、教學(xué)目標(biāo) 掌握信息系統(tǒng)審計(jì)的基本概念、理論方法以及信息系統(tǒng)審計(jì)實(shí)務(wù)，了解信息系統(tǒng)審計(jì)的內(nèi)容、程序、方法與技術(shù)，懂得如何設(shè)計(jì)和審查信息系統(tǒng)的內(nèi)部控制、如何恰當(dāng)有效地使用信息系統(tǒng)審計(jì)方法與技術(shù)對(duì)信息系統(tǒng)的安全性、可靠性與有效性等方面進(jìn)行審計(jì)。了解和掌握主要的審計(jì)軟件的設(shè)計(jì)和使用。四、師資團(tuán)隊(duì)馮國(guó)富 博士 副教授

7、競(jìng)慧西401余小兵 碩士 講師 競(jìng)慧西401李庭燎 碩士 講師 競(jìng)慧西401呂新民 碩士 副教授 競(jìng)慧西401五、教學(xué)資源教材 ：信息系統(tǒng)審計(jì) 張金城主編，清華大學(xué)出版社，2009年2月參考資料：張金城主編，管理信息系統(tǒng) ， 北京大學(xué)出版社，2004年7月 張金城主編，信息系統(tǒng)控制與審計(jì)，北京大學(xué)出版社，2002年4月 孫強(qiáng)主編， 信息系統(tǒng)審計(jì)，機(jī)械工業(yè)出版社，2006年1月胡克瑾等編著，IT審計(jì)，電子工業(yè)出版社，2002年9月錢嘯森主編，國(guó)外信息系統(tǒng)審計(jì)案例，中國(guó)時(shí)代經(jīng)濟(jì)出版社，2007年1月莊明來(lái)等

8、執(zhí)筆，信息系統(tǒng)審計(jì)內(nèi)容與方法，中國(guó)時(shí)代經(jīng)濟(jì)出版社，2008年8月CISA復(fù)習(xí)手冊(cè)網(wǎng)絡(luò)資源：信息系統(tǒng)審計(jì)精品課程網(wǎng)站六、教學(xué)要求要求教師具有信息系統(tǒng)審計(jì)相關(guān)專業(yè)背景和相關(guān)實(shí)踐經(jīng)驗(yàn)，熟練使用審計(jì)軟件七、學(xué)習(xí)要求完成教師布置的預(yù)習(xí)要求、參與課堂討論的要求、作業(yè)要求、課外自主學(xué)習(xí)要求、考試要求。八、考核方案平時(shí)成績(jī)（含實(shí)驗(yàn)成績(jī)）40%+期末考試60%第二部分 教學(xué)進(jìn)度表授課人：課程名： 信息系統(tǒng)審計(jì)課程學(xué)分：3周次授課次數(shù)授課章節(jié)主要授課內(nèi)容課時(shí)作業(yè)，測(cè)驗(yàn)，實(shí)驗(yàn)，及其他安排111.11.3課程介紹、案例、ISA的發(fā)展和定義；ISA的特點(diǎn)、目標(biāo)2211.41.8ISA的內(nèi)容、方法、步驟、準(zhǔn)則、人才培養(yǎng)等

9、2312.12.2IT治理的發(fā)展、定義與關(guān)鍵問(wèn)題2課堂作業(yè)412.32.7IT治理與公司治理、標(biāo)準(zhǔn)、機(jī)制和方法、目標(biāo)和范圍、成熟度模型2513.13.2控制框架與審計(jì)方法（CoBIT）2613.23.4IS一般控制概述、管理控制2課堂作業(yè)713.5S基礎(chǔ)設(shè)施控制及審計(jì)、訪問(wèn)控制 2813.5系統(tǒng)網(wǎng)絡(luò)架構(gòu)控制及審計(jì)； 2913.6災(zāi)難恢復(fù)控制2課堂作業(yè)1014.14.4IS應(yīng)用控制的審計(jì)21114.5IS應(yīng)用控制審計(jì)案例； 2課堂作業(yè)1215.15.2IS生命周期21315.3IS開(kāi)發(fā)方法21415.45.9開(kāi)發(fā)團(tuán)隊(duì)、項(xiàng)目管理、軟件配置管理；風(fēng)險(xiǎn)、過(guò)程改進(jìn)，審計(jì)2課堂作業(yè)1516.16.5軟件維

10、護(hù)、變更管理及其審計(jì)；IT服務(wù)管理21616.6IT服務(wù)管理與審計(jì)2課堂作業(yè)第三部分 教學(xué)要點(diǎn)（理論）第一章 信息系統(tǒng)審計(jì)概論 主要內(nèi)容：一、信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展1、電子數(shù)據(jù)處理系統(tǒng)對(duì)審計(jì)的影響2、信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展二、信息系統(tǒng)審計(jì)的含義與特點(diǎn)1、信息系統(tǒng)審計(jì)的定義2、信息系統(tǒng)審計(jì)的特點(diǎn) 三、信息系統(tǒng)審計(jì)目標(biāo) 四、信息系統(tǒng)審計(jì)的內(nèi)容 1、內(nèi)部控制系統(tǒng)審計(jì) 2、系統(tǒng)開(kāi)發(fā)審計(jì) 3、應(yīng)用程序?qū)徲?jì) 4、數(shù)據(jù)文件審計(jì) 五、信息系統(tǒng)審計(jì)的基本方法 1、繞過(guò)信息系統(tǒng)審計(jì) 2、通過(guò)信息系統(tǒng)審計(jì) 六、信息系統(tǒng)審計(jì)的步驟 1、準(zhǔn)備階段 2、實(shí)施階段 3、終結(jié)階段 七、信息系統(tǒng)審計(jì)準(zhǔn)則 1、信息系統(tǒng)審計(jì)準(zhǔn)

11、則的概念和作用 2、國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則 3、我國(guó)信息系統(tǒng)審計(jì)規(guī)范體系 八、我國(guó)信息系統(tǒng)審計(jì)人才培養(yǎng)策略 1、信息時(shí)代呼喚信息系統(tǒng)審計(jì)師 2、信息系統(tǒng)審計(jì)師應(yīng)具備的素質(zhì) 3、信息系統(tǒng)審計(jì)師的培養(yǎng) 基本要求：理解和掌握信息系統(tǒng)審計(jì)的概念、特點(diǎn)、目標(biāo)、內(nèi)容、方法以及程序步驟，了解信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、金審工程等內(nèi)容。重點(diǎn)：信息系統(tǒng)審計(jì)概念、特點(diǎn)、目標(biāo)、內(nèi)容、方法以及程序步驟難點(diǎn)：信息系統(tǒng)審計(jì)方法以及程序步驟第二章 IT治理 主要內(nèi)容：一、IT治理的定義 二、IT治理的關(guān)鍵問(wèn)題 1、IT治理缺失的癥狀 2、IT治理的關(guān)鍵問(wèn)題 三、IT治理與公司治理 1、公司治理和公司管理 2、IT治理和IT管理 3、公

12、司治理和IT治理 四、IT治理標(biāo)準(zhǔn) 五、建立IT治理的機(jī)制和方法1、IT治理機(jī)制2、IT治理方法 六、IT治理的目標(biāo)和范圍1、IT治理目標(biāo)2、IT治理范圍 七、IT治理成熟度模型基本要求：了解和掌握IT治理相關(guān)知識(shí)重點(diǎn)：IT治理關(guān)鍵問(wèn)題、標(biāo)準(zhǔn)、機(jī)制、方法、成熟度模型難點(diǎn)：IT治理成熟度模型第三章 信息系統(tǒng)一般控制及審計(jì)主要內(nèi)容：一、信息系統(tǒng)一般控制綜述 二、管理控制及其審計(jì)1、管理控制的基本內(nèi)容2、管理控制審計(jì)3、管理控制測(cè)試 三、系統(tǒng)基礎(chǔ)設(shè)施控制及其審計(jì)1、信息系統(tǒng)環(huán)境控制2、信息系統(tǒng)硬件控制與審計(jì)3、系統(tǒng)軟件控制 四、系統(tǒng)訪問(wèn)控制及其審計(jì)1、邏輯訪問(wèn)控制2、物理訪問(wèn)控制3、對(duì)訪問(wèn)控制的審計(jì)

13、 五、系統(tǒng)網(wǎng)絡(luò)架構(gòu)控制及其審計(jì) 1、局域網(wǎng)控制與審計(jì) 2、客戶機(jī)/服務(wù)器架構(gòu)風(fēng)險(xiǎn)與控制 3、互聯(lián)網(wǎng)風(fēng)險(xiǎn)與控制 4、網(wǎng)絡(luò)安全技術(shù) 5、網(wǎng)絡(luò)架構(gòu)控制的審計(jì) 六、災(zāi)難恢復(fù)控制及其審計(jì) 1、災(zāi)難與業(yè)務(wù)中斷 2、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃 3、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃的審計(jì)基本要求：了解信息系統(tǒng)一般控制與審計(jì)概念、內(nèi)容、方法重點(diǎn)：信息系統(tǒng)一般控制與審計(jì)內(nèi)容、方法難點(diǎn)：信息系統(tǒng)一般控制與審計(jì)方法第四章 信息系統(tǒng)應(yīng)用控制及審計(jì) 主要內(nèi)容：一、輸入控制 1、數(shù)據(jù)采集控制 2、數(shù)據(jù)輸入控制 3、會(huì)計(jì)信息系統(tǒng)輸入控制 二、處理控制 1、審核處理輸出 2、進(jìn)行數(shù)據(jù)有效性檢驗(yàn) 3、會(huì)計(jì)信息系統(tǒng)中幾種特殊的處理控制技術(shù) 三、

14、輸出控制 四、應(yīng)用控制的審計(jì) 1、業(yè)務(wù)處理規(guī)程和輸入控制的審查 2、輸出控制的審查 五、內(nèi)部控制審計(jì)實(shí)例 1、被審單位基本情況 2、被審計(jì)算機(jī)信息系統(tǒng)采購(gòu)和付款系統(tǒng)說(shuō)明 3、內(nèi)部控制制度 4、收集審計(jì)證據(jù) 5、審計(jì)證據(jù)的分析與報(bào)告基本要求：了解和掌握信息系統(tǒng)應(yīng)用控制與審計(jì)概念、內(nèi)容、方法重點(diǎn)：信息系統(tǒng)應(yīng)用控制與審計(jì)內(nèi)容、方法難點(diǎn)：信息系統(tǒng)應(yīng)用控制與審計(jì)方法第五章 信息系統(tǒng)生命周期審計(jì)主要內(nèi)容： 一、信息系統(tǒng)生命周期與審計(jì) 1、信息系統(tǒng)審計(jì)師在信息系統(tǒng)開(kāi)發(fā)中的職責(zé) 2、信息系統(tǒng)開(kāi)發(fā)與實(shí)施評(píng)價(jià) 二、基于生命周期的信息系統(tǒng)開(kāi)發(fā)方法 1、軟件開(kāi)發(fā)生命周期 2、傳統(tǒng)的SDLC各階段描述 三、信息系統(tǒng)的其

15、它開(kāi)發(fā)方法1、原型法（prototyping）2、面向?qū)ο蟮姆椒ǎ∣bject-Oriented Method）3、計(jì)算機(jī)輔助開(kāi)發(fā)方法（CASE）4、基于組件的開(kāi)發(fā)方法（Component-based Development）5、基于Web應(yīng)用開(kāi)發(fā)方法(Web-based Application Development）6、快速應(yīng)用開(kāi)發(fā)方法（RAD）7、敏捷開(kāi)發(fā)(Agile Development） 四、信息系統(tǒng)開(kāi)發(fā)團(tuán)隊(duì)、角色和責(zé)任 五、項(xiàng)目管理 六、軟件配置管理 七、與軟件開(kāi)發(fā)相關(guān)的風(fēng)險(xiǎn) 八、軟件開(kāi)發(fā)過(guò)程的完善 1、ISO9126 2、軟件能力成熟度模型（CMM） 3、軟件能力成熟度模型集成（CMMI）九、軟件維護(hù) 1、軟件維護(hù)的種類 2、軟件維護(hù)的實(shí)施 3、軟件維護(hù)申請(qǐng)報(bào)告 4、維護(hù)檔案記錄 5、維護(hù)階段的審計(jì) 十、信息系統(tǒng)變更管理 十一、系統(tǒng)變更流程和遷移程序的審計(jì) 十二、