1. 信息技术服务
1.1. 供方为需方提供如何开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的服务
1.2. 信息技术咨询服务、设计与开发服务、信息系统集成服务、数据处理和运营服务及其他信息技术服务
2. 信息系统审计
2.1. 收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源
2.2. 目的
2.2.1. 【21上选10】
2.2.1.1. 【22下选09】
2.2.2. 评估并提供反馈、保证及建议
2.2.2.1. 可用性
2.2.2.2. 保密性
2.2.2.3. 完整性
2.3. 产生动因
2.3.1. 会计审计发展到计算机审计再发展到信息系统审计
2.3.2. 大型信息系统的建设是一项庞大的系统工程,它投资大、周期长、高技术、高风险,在系统的建设过程中,对工程进行严格、规范的管理和控制至关重要
2.4. EDI审计
2.5. 计算机辅助审计技术(CAATs)
2.6. 系统审计(SYSTEM AUDIT)
2.6.1. 电子数据处理审计协会(EDPAA后更名为ISACA)
2.6.2. IT控制的开放式标准COBIT(Control Objectives for Information and Related Technology)
2.7. 一门边缘性学科,跨越多学科领域
2.8. 理论基础
2.8.1. 传统审计理论
2.8.1.1. 用谨慎的眼光审视信息系统在保护资产安全、保证信息完整,并能有效地实现企业目标的能力
2.8.2. 信息系统管理理论
2.8.2.1. 一门关于如何更好地管理信息系统的开发与运行过程的理论
2.8.3. 行为科学理论
2.8.3.1. 人是信息系统安全最薄弱的环节
2.8.4. 计算机科学
2.9. 基本业务
2.9.1. 系统开发审计
2.9.1.1. 包括开发过程的审计、开发方法的审计,为IT规划指导委员会及变革控制委员会提供咨询服务
2.9.2. 主要数据中心、网络、通信设施的结构审计
2.9.3. 支持其他审计人员的工作
2.9.4. 为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导;推动风险自评估程序的执行
2.9.5. 软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计
2.9.6. 灾难恢复和业务持续计划审计
2.9.7. 对系统运营效能、投资回报率及应用开发测试审计
2.9.8. 系统的安全审计
2.9.9. 网站的信誉审计
2.9.10. 全面控制审计
2.10. 主要组成部分
2.10.1. 信息系统的管理、规划与组织
2.10.2. 信息系统技术基础设施与操作实务
2.10.3. 资产的保护
2.10.4. 灾难恢复与业务持续计划
2.10.5. 应用系统开发、获得、实施与维护
2.10.6. 业务流程评价与风险管理
2.11. 依据
2.11.1. 一般公认信息系统审计准则
2.11.1.1. 包括职业准则、ISACA公告和职业道德规范
2.11.1.2. 信息系统审计认证(Certified Information System Auditor,CISA)
2.11.2. 信息系统的控制目标
2.11.2.1. COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)
2.11.2.1.1. 面向业务是COBIT的主题
2.11.2.1.2. 满足利益相关者需求
2.11.2.1.3. 端到端覆盖企业
2.11.2.1.4. 采用单一集成框架
2.11.2.1.5. 启用一种综合的方法
2.11.2.1.6. 区分治理和管理
2.11.3. 其他法律及规定
2.12. 审计从基于控制(Control-Based)演变为基于风险(Risk-Based)的方法
2.13. 步骤
2.13.1. 【19上选11】
2.13.2. 编制组织使用的信息系统清单并对其进行分类
2.13.3. 决定哪些系统影响关键功能和资产
2.13.4. 评估哪些风险影响这些系统及对商业运作的冲击
2.13.5. 在上述评估的基础上对系统分级,决定审计优先值、资源、进度和频率