广东财经大学：会计学院《初级信息系统审计》课程教学大纲

《初级信息系统审计》课程教学大纲 一、课程基本信息 课程代码：17010203 课程名称：初级信息系统审计 英文名称：Primary Information Systems Audit 课程类别：专业课 学 时：48 学 分：30 适用对象：信息系统审计专业 考核方式：考试 先修课程： 二、课程简介 1、信息系统审计（初级）是本专业的基础性专业课程，对中高级阶段的学生培 养具有重要意义。通过本课程的学习，引导学生对信息系统审计有一定的了解，为后 续中高级的教育打下坚实的框架基础，让学生对以后的职业生涯有一个清晰的方向， 有助于学生规划成长路径，明确成长过程中需要掌握的知识体系，使学生向着目标学 带着任务学、怀着初心学。 2、主要内容如下：信息系统审计职能，明确审计团队的任务和保持审计独立性 和能力的策略，促成高级管理层执行高效T管理；信息系统审计准则和鉴证标准， 传导客观、散业知职业宙植执行最佳实践履行职责的行动要求：信息系统按制目标 通过风险分析，帮助审计师识别风险；实施信息系统审计，围绕信息系统控制目标， 通过各种审计过程获得证据，管理审计过程中形成的各种成果；公司治理和企业T 治理，理解公司治理对T的要求，建立合理的战略规划、管理实务等措施；风险管 理实务，明确建立风险管理程序的目的，制定和实施风险管理职责、流程等；信息技 术管理实践，讲述各种I$相关管理活动所涉及的政策和程序的实施情况等。 三、课程性质与教学目的 1、理解信息系统审计的内涵。 2、学握信息系统审计的规范化流程，包括审计程序、审计技术与方法等。 3、掌握信息系统审计各个方面的审计重点、要点，以及相关行关的监管要求。 4、结合信息系统相关行业审计案例，推动审计经验的积累 通过学习，让学生认识到我国的信息系统审计尚处于探索阶段，还未形成一套成 型的专业规范，也未建立健全一套适应信息系统审计事业发展的管理运作机制，同时 也缺乏能够全面开展信息系统审计业务的人才队伍。加强学生信息系统审计专业必要

1 《初级信息系统审计》课程教学大纲 一、课程基本信息 课程代码：17010203 课程名称：初级信息系统审计 英文名称：Primary Information Systems Audit 课程类别：专业课 学 时：48 学 分：30 适用对象:信息系统审计专业 考核方式：考试 先修课程： 二、课程简介 1、信息系统审计（初级）是本专业的基础性专业课程，对中高级阶段的学生培 养具有重要意义。通过本课程的学习，引导学生对信息系统审计有一定的了解，为后 续中高级的教育打下坚实的框架基础，让学生对以后的职业生涯有一个清晰的方向， 有助于学生规划成长路径，明确成长过程中需要掌握的知识体系，使学生向着目标学、 带着任务学、怀着初心学。 2、主要内容如下：信息系统审计职能，明确审计团队的任务和保持审计独立性 和能力的策略，促成高级管理层执行高效 IT 管理；信息系统审计准则和鉴证标准， 传导客观、敬业和职业审慎执行最佳实践履行职责的行动要求；信息系统控制目标， 通过风险分析，帮助审计师识别风险；实施信息系统审计，围绕信息系统控制目标， 通过各种审计过程获得证据，管理审计过程中形成的各种成果；公司治理和企业 IT 治理，理解公司治理对 IT 的要求，建立合理的战略规划、管理实务等措施；风险管 理实务，明确建立风险管理程序的目的，制定和实施风险管理职责、流程等；信息技 术管理实践，讲述各种 IS 相关管理活动所涉及的政策和程序的实施情况等。 三、课程性质与教学目的 1、理解信息系统审计的内涵。 2、掌握信息系统审计的规范化流程，包括审计程序、审计技术与方法等。 3、掌握信息系统审计各个方面的审计重点、要点，以及相关行关的监管要求。 4、结合信息系统相关行业审计案例，推动审计经验的积累。 通过学习，让学生认识到我国的信息系统审计尚处于探索阶段，还未形成一套成 型的专业规范，也未建立健全一套适应信息系统审计事业发展的管理运作机制，同时 也缺乏能够全面开展信息系统审计业务的人才队伍。加强学生信息系统审计专业必要

性的认识，站在国际高度让学生理解中外之间在专业性方面的差距，激励学生爱国强 审、科技强国意识的提升，学习先进的理论实践，结合未来职业发展，规划个人职业 发展。 四、教学内容及要求 第一章信息系统审计职能管理 (一)目的与要求 1.管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任 务将会实现审计职能目标，同时保持审计独立性和能力。 2.管理审计职能时确保为促成高级管理层执行高效IT管理和达成业务 目标提供附加价值。 (二)教学内容 第一节 1.审计章程 2.审计章程由公司内部审计管理部门起草，是为了保证审计活动的独立 性，确定审计部门/人员的地位和作用的一份声明性文件。 3.什么是审计？为什么要做审计？ 第二节 1.审计资源管理 2.资源是有限的，好刀不用会生锈 3.对信息系统审计师的要求：持续不断的学习，保持执业资格：具备项 目管理能力 4.对国内信息系统审计的严峻形势进行剖析，促进学生站在国家治理、 国家安全的角度思考学习的深刻意义，激励学生认真学习 5.思政融入：数据是国家基础性战略资源，数据资源是网络安全所保护 的核心对象。学习《数据安全法》这一数据领域的基础性法律，规范 数据处理活动，保璋数据安全，促进数据开发利用，保护个人、组织 的合法权益，维护国家主权、安全和发展利益。网络信息安全是关系 国家安全、国民生计、经济命脉、社会稳定、法人及公民权益的大事 网络安全等级保护制度是我国网络信息安全保障工作的基本制度、基 本策略和基本方法：是集法律、政策、方针、方法论为一体的一个体 系性的基本制度。学习《网络安全等级保护制度》，加强同学的法律意 识，站在国家治理、国家安全的角度思考问题。 (三)思考与实践 最佳实践：每年一次培训：每半年回顾，确保培训与审计内容一致：管理层提 供必要支持

2 性的认识，站在国际高度让学生理解中外之间在专业性方面的差距，激励学生爱国强 审、科技强国意识的提升，学习先进的理论实践，结合未来职业发展，规划个人职业 发展。 四、教学内容及要求 第一章 信息系统审计职能管理 （一）目的与要求 1．管理和引导审计职能的方式应能确保审计团队所执行和完成的各项任 务将会实现审计职能目标，同时保持审计独立性和能力。 2．管理审计职能时确保为促成高级管理层执行高效 IT 管理和达成业务 目标提供附加价值。 （二）教学内容 第一节 1．审计章程 2．审计章程由公司内部审计管理部门起草，是为了保证审计活动的独立 性，确定审计部门/人员的地位和作用的一份声明性文件。 3．什么是审计？为什么要做审计？ 第二节 1．审计资源管理 2．资源是有限的，好刀不用会生锈。 3．对信息系统审计师的要求：持续不断的学习，保持执业资格；具备项 目管理能力。 4．对国内信息系统审计的严峻形势进行剖析，促进学生站在国家治理、 国家安全的角度思考学习的深刻意义，激励学生认真学习。 5．思政融入：数据是国家基础性战略资源，数据资源是网络安全所保护 的核心对象。学习《数据安全法》 这一数据领域的基础性法律，规范 数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织 的合法权益，维护国家主权、安全和发展利益。网络信息安全是关系 国家安全、国民生计、经济命脉、社会稳定、法人及公民权益的大事。 网络安全等级保护制度是我国网络信息安全保障工作的基本制度、基 本策略和基本方法；是集法律、政策、方针、方法论为一体的一个体 系性的基本制度。学习《网络安全等级保护制度》，加强同学的法律意 识，站在国家治理、国家安全的角度思考问题。 （三）思考与实践 最佳实践：每年一次培训；每半年回顾，确保培训与审计内容一致；管理层提 供必要支持

(四)教学方法与手段 使用多媒体，采用课堂讲授、案例引入与讨论的教学形式。 第二章信息系统审计的主要内容 (一)目的与要求 1.信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否 能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对 企事业单位而言就显得非常的重要，信息系统审计应运而生。 2.信息系统与手工会计系统不同，它是由会计数据体系，计算机硬件和 软件以及系统工作和维护人员组成，所以信息系统的审计内容与手工 会计系统也存在着较大的差别。 (二)教学内容 第一节 1.一般控制审计 2.IT治理、信息系统与基础设施生命周期管理、IT服务交付与服务支 持、信息资产保护、业务连续性与灾难恢复。 3.思政融入：在进行信息系统一般性控制审计中，应在成本效益原则的 基础上实现风险管理框架下的组织业务目标，确保项目按计划开展， 并有相应文档充分支持。培养学生树立正确的费用观，遵从成本效益 原则。 第二节 1.应用控制审计 2.输入控制、处理程序和控制、输出控制、业务流程保证控制。 3,思政融入：应用控制中应注重对审计系统数据的录入、修改与审核的 职责分离，关注对数据进行加密和敏感性分级处理的规则以及加密方 式是否满足工作需求。培养学生在信息系统审计中遵从不相容职务分 离原则，最大程度从源头上避免可能导致问题漏洞 (三)教学方法与手段 使用多媒体教室，采用课堂讲授与案例讨论分析的教学形式。 第三章信息系统审计准则和鉴证标准 (一)目的与要求 1.遵从并执行适当的信息系统审计准则、程序和控制。 2.按照职业准则和最佳实践履行职责，并做到应有的客观、敬业和职业 审慎。 3

3 （四）教学方法与手段 使用多媒体，采用课堂讲授、案例引入与讨论的教学形式。 第二章 信息系统审计的主要内容 （一）目的与要求 1．信息系统是否能够保护资产的安全、是否能够维护数据的完整、是否 能够有效地实现既定的目标、是否能够使资源得到高效地使用等等对 企事业单位而言就显得非常的重要，信息系统审计应运而生。 2．信息系统与手工会计系统不同，它是由会计数据体系，计算机硬件和 软件以及系统工作和维护人员组成，所以信息系统的审计内容与手工 会计系统也存在着较大的差别。 （二）教学内容 第一节 1．一般控制审计 2．IT 治理、信息系统与基础设施生命周期管理、IT 服务交付与服务支 持、信息资产保护、业务连续性与灾难恢复。 3．思政融入：在进行信息系统一般性控制审计中，应在成本效益原则的 基础上实现风险管理框架下的组织业务目标，确保项目按计划开展， 并有相应文档充分支持。培养学生树立正确的费用观，遵从成本效益 原则。 第二节 1．应用控制审计 2．输入控制、处理程序和控制、输出控制、业务流程保证控制。 3．思政融入：应用控制中应注重对审计系统数据的录入、修改与审核的 职责分离，关注对数据进行加密和敏感性分级处理的规则以及加密方 式是否满足工作需求。培养学生在信息系统审计中遵从不相容职务分 离原则，最大程度从源头上避免可能导致问题漏洞。 （三）教学方法与手段 使用多媒体教室，采用课堂讲授与案例讨论分析的教学形式。 第三章 信息系统审计准则和鉴证标准 （一）目的与要求 1．遵从并执行适当的信息系统审计准则、程序和控制。 2．按照职业准则和最佳实践履行职责，并做到应有的客观、敬业和职业 审慎

3.以诚实、合法的方式为利益相关者服务，保持高尚的行为操守及品德， 不从事有损执业行为的活动。 (二)教学内容 第一节 1.ISACA信息系统审计准则 2.准则主要在IS审计和鉴证标准的应用方面提供指导。 3.应重点掌握S1审计章程，S2独立性，S3职业道德和准则，S5审计计 划，S6审计工作执行，S7审计报告。 第二节 I.ISACA信息系统审计指南 2。在确定如何应用审计准则时考虑审计指南，在应用审计指南时使用职 业判断，能够证明任何偏离准则的行为。 3.应重点掌握G1使用其他审计师的工作成果，G5审计章程，G8审计文 档，G9对违规行为的审计考虑，G17非审计角色对信息系统审计师独 立性的影响，G20审计报告，G35追踪审计 4.思政融入：信息系统审计不断提升内部审计人员职能，严格履行审计 程序，提高审计工作质量：强化审计人员形成良好职业道德、职业索 养，提高执业能力：信息系统审计指南在审计准则执行过程起到补充 作用，审计准则的内容应与时俱进。 5.思考与实践 最佳实践：应用大于背诵 (三)教学方法与手段 使用多媒体教室，采用课堂讲授的教学形式， 第四章信息系统控制目标 (一)目的与要求 1.风险分析是审计计划的一部分，帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估IT相关的组织业务流程时，正确理解风险与控制的关系，对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施，必须了解常见 的业务风险、相关技术风险和控制，对业务管理人员所使用的风险评 估和管理方法要能够做出评价，并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外，信息系统审计师还必须 理解审计程序中存在的风险。 4

4 3．以诚实、合法的方式为利益相关者服务，保持高尚的行为操守及品德， 不从事有损执业行为的活动。 （二）教学内容 第一节 1．ISACA 信息系统审计准则 2．准则主要在 IS 审计和鉴证标准的应用方面提供指导。 3．应重点掌握 S1 审计章程，S2 独立性，S3 职业道德和准则，S5 审计计 划，S6 审计工作执行，S7 审计报告。 第二节 1．ISACA 信息系统审计指南 2．在确定如何应用审计准则时考虑审计指南，在应用审计指南时使用职 业判断，能够证明任何偏离准则的行为。 3．应重点掌握 G1 使用其他审计师的工作成果，G5 审计章程，G8 审计文 档，G9 对违规行为的审计考虑，G17 非审计角色对信息系统审计师独 立性的影响，G20 审计报告，G35 追踪审计。 4．思政融入：信息系统审计不断提升内部审计人员职能，严格履行审计 程序，提高审计工作质量；强化审计人员形成良好职业道德、职业素 养，提高执业能力；信息系统审计指南在审计准则执行过程起到补充 作用，审计准则的内容应与时俱进。 5．思考与实践 最佳实践：应用大于背诵。 （三）教学方法与手段 使用多媒体教室，采用课堂讲授的教学形式。 第四章 信息系统控制目标 （一）目的与要求 1．风险分析是审计计划的一部分，帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2．在评估 IT 相关的组织业务流程时，正确理解风险与控制的关系，对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施，必须了解常见 的业务风险、相关技术风险和控制，对业务管理人员所使用的风险评 估和管理方法要能够做出评价，并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外，信息系统审计师还必须 理解审计程序中存在的风险

(二)教学内容 第一节 1.风险分析 2.应当对这些措施实施成本效益分析，并选择那些能减缓风险至管理层 可接受水平的相关措施。分析过程可基于以下内容：比较控制成本与 降低风险所得的收益：管理层的风险偏好（如：管理层准备接受的残 余风险水平)：优先选用的风险降低方法（如：终止风险、降低风险发 生的可能性、减少影响、通过保险转移风险等)。 第二节 1.风险分析在审计计划中的用途 2.帮助审计人员识别风险，识别组织所面临的威胁及对应的内部控制， 审计人员可以根据风险水平选择拟审计的区域，帮助审计人员在制订 审计计划时对控制的评估，帮助审计人员确定审计目标，支持基于风 险的审计决策。 3.思政融入：针对金融行业、政务相关信息科技风险进行案例剖析，提 高风险的危机意识以及作为审计人员的责任意识。 (三)思考与实践 信息系统审计师除了要理解业务风险与控制外，对审计活动本身的风险也要有 清楚的认识。 (四)教学方法与手段 使用多媒体教室，采用课堂讲授的教学形式。 第五章实施信息系统审计 (一)目的与要求 1.风险分析是审计计划的一部分，帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2.在评估IT相关的组织业务流程时，正确理解风险与控制的关系，对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施，必须了解常见 的业务风险、相关技术风险和控制，对业务管理人员所使用的风险评 估和管理方法要能够做出评价，并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外，信息系统审计师还必须 理解审计程序中存在的风险。 3.对重点环节的风险进行解析，提高审计师风险担当意识，促进审计师 专业技能的提升，建立良好的职业素养。 5

5 （二）教学内容 第一节 1．风险分析 2．应当对这些措施实施成本效益分析，并选择那些能减缓风险至管理层 可接受水平的相关措施。分析过程可基于以下内容：比较控制成本与 降低风险所得的收益； 管理层的风险偏好(如：管理层准备接受的残 余风险水平)；优先选用的风险降低方法(如：终止风险、降低风险发 生的可能性、减少影响、通过保险转移风险等)。 第二节 1．风险分析在审计计划中的用途 2．帮助审计人员识别风险，识别组织所面临的威胁及对应的内部控制， 审计人员可以根据风险水平选择拟审计的区域，帮助审计人员在制订 审计计划时对控制的评估，帮助审计人员确定审计目标，支持基于风 险的审计决策。 3．思政融入：针对金融行业、政务相关信息科技风险进行案例剖析，提 高风险的危机意识以及作为审计人员的责任意识。 （三）思考与实践 信息系统审计师除了要理解业务风险与控制外，对审计活动本身的风险也要有 清楚的认识。 （四）教学方法与手段 使用多媒体教室，采用课堂讲授的教学形式。 第五章 实施信息系统审计 （一）目的与要求 1．风险分析是审计计划的一部分，帮助信息系统审计师识别风险和脆弱 性并确定降低风险所需的控制。 2．在评估 IT 相关的组织业务流程时，正确理解风险与控制的关系，对审 计师及控制专家来说都是非常重要的。信息系统审计师必须能够识别 与区分不同的风险类型及降低风险所使用的控制措施，必须了解常见 的业务风险、相关技术风险和控制，对业务管理人员所使用的风险评 估和管理方法要能够做出评价，并对风险做出评估以帮助确定重点和 制定审计计划。除了理解业务风险和控制外，信息系统审计师还必须 理解审计程序中存在的风险。 3．对重点环节的风险进行解析，提高审计师风险担当意识，促进审计师 专业技能的提升，建立良好的职业素养