《信息系统审计》是一本结合审计理论方法和现代信息技术的综合性教材。

审计是党和国家监督体系的重要组成部分。信息系统审计是伴随着信息技术迅猛发展而产生的新兴领域。企业和组织的信息化程度越高，所面临的信息安全风险就越严峻。加强信息系统审计工作不仅对被审计单位的健康发展至关重要，在当前纷繁复杂的国际环境下，对保障我国信息安全，进而保障经济社会的平稳运行也有着重大意义。但该领域目前在国内仍然处于快速发展阶段，人才需求巨大。本教材将朝着推动该领域的理论和技术发展、推广教学和行业应用而努力。 本教材共9章，第1章为信息系统审计基础部分，主要介绍信息系统审计的基本概念、发展和人才定位等，帮助读者了解信息系统审计的基础知识；第2章至第4章为理论知识部分，主要介绍IT治理、信息系统审计准则、审计流程和审计方法；第5章至第8章为信息系统审计实务部分，将介绍针对信息系统生命周期、内部控制、安全管理和绩效这几个层面进行审计时所采用的审计方法和审计程序；第9章为案例部分，通过三个不同行业的真实案例综合应用前面章节的知识，帮助读者了解信息系统审计全过程，有助其对信息系统审计各知识点的融会贯通，从而形成完整的知识体系。 本书具有以下特色。 1．完整实用的信息系统审计教学理论体系 信息系统审计在国内起步和发展较晚，国际上已经形成了一套完整的理论体系。然而国情不同，国内的企业或组织虽然已经完成了信息化的初级建设过程，但在其信息系统建设过程中普遍缺乏对数据和应用系统进行审计的规划和考虑。例如，未在其ERP等综合应用系统中设计开发审计模块，并且无论是内部审计还是外部审计，均缺乏实施信息系统审计的意识和行动。本教材并未直接照搬国际信息系统审计协会（ISACA）的信息系统审计理论体系，而是综合目前国内的行业协会和主管部门所制定和发布的规范、准则，再结合国内高校及科研院所的研究成果，形成了本教材的独立理论体系。这样的理论体系在国内更具现实意义。 2．全面的信息系统审计方法 本教材虽然也介绍了传统审计方法，如证据收集方法中的函证、重新计算、问询等，但更多的则是介绍信息技术层面的审计方法，如数据库查询法、穿行测试法、平行模拟法、数据分析法、程序日志检查法等。由于信息系统审计对象的特殊性，这些技术方法对于完成信息系统审计工作而言将是不可或缺的，在后续的案例中，本教材将综合运用这些审计方法，以用作风险评估程序、控制测试和实质性程序中的主要手段，从而获取充分、适当的审计证据。 3．多行业的信息系统审计案例 本教材的两位作者主持了多个信息系统审计项目，并将这些项目提炼成审计案例，这些案例所涉及的行业也是目前国内开展信息系统审计工作最多、最广的几个行业。案例中的数据也是真实数据进行脱敏处理后的版本，能够最大限度地还原实际工作场景。这些原型案例将极大地提高学生的学习兴趣与获得感。 本教材由重庆理工大学朱谱熠担任主编，负责编写第1章至第8章。本教材是重庆市一流课程“信息系统审计”的配套教材。天健会计师事务所高级经理、信息系统审计专家商泽民编写第9章及本书的全部案例，他主持过包括30余家上市公司在内的多个信息系统审计项目，拥有20余年信息系统审计的实践经验，曾获国家级科技进步二等奖。本教材受重庆理工大学研究生教育高质量发展行动计划资助。重庆市会计信息化课程虚拟教研室和重庆市教学名师工作室（会计信息化）为本教材的编写和出版给予了大力支持。 本教材既可用作本科生和研究生学习教材或国际信息系统审计师（CISA）认证考试学习教材，也可用作国内信息系统审计实务指南或参考资料。

第1章 绪论 1 1.1 信息系统审计概述 1 1.1.1 信息系统审计的概念 1 1.1.2 信息系统审计的特点 2 1.1.3 信息系统审计的业务范围 3 1.1.4 信息系统审计的重要意义 4 1.1.5 计算机审计与信息系统审计的 关系 5 1.1.6 财务审计与信息系统审计的 关系 6 1.1.7 信息系统审计师的主要工作 8 1.2 信息系统审计的目标、对象和 主要内容 9 1.2.1 信息系统审计的目标 9 1.2.2 信息系统审计的对象 10 1.2.3 信息系统审计的主要内容 10 1.3 信息系统审计的发展历程 12 1.4 信息系统审计人才定位 16 本章小结 17 复习思考题 18 第2章 IT治理 19 2.1 IT治理概述 19 2.1.1 IT治理的概念 19 2.1.2 IT治理的目标 19 2.1.3 IT治理可以解决的问题 20 2.1.4 IT治理与信息系统审计的 关系 20 2.2 企业的IT治理 21 2.3 IT治理的核心问题 23 2.4 IT治理的标准 25 2.5 信息系统审计准则 28 2.5.1 ISACA信息系统审计基本 准则 29 2.5.2 ISACA信息系统审计基本准则与 审计指南、审计程序的关系 29 2.5.3 ISACA信息系统审计基本准则的 内容 31 本章小结 35 复习思考题 36 第3章 信息系统审计流程 37 3.1 信息系统审计流程概述 37 3.1.1 审计计划阶段 37 3.1.2 审计实施阶段 38 3.1.3 审计完成阶段 38 3.2 确定审计关系 40 3.3 了解被审计单位的情况 40 3.4 评估审计风险 46 3.4.1 固有风险 46 3.4.2 控制风险 47 3.4.3 检查风险 49 3.4.4 形成信息系统审计风险的 原因 50 3.4.5 信息系统审计风险的特征 51 3.4.6 信息系统审计风险与防范风险的 措施 51 3.5 识别重要性水平 53 3.6 确定审计依据 54 3.7 制订审计计划 54 3.7.1 总体计划 54 3.7.2 具体计划 58 3.8 收集审计证据 59 3.8.1 符合性测试 60 3.8.2 实质性测试 61 3.9 出具审计报告 63 3.9.1 审计底稿的复核 63 3.9.2 审计事实的确认 64 3.9.3 信息系统审计报告的内容 64 3.10 审计结束 66 3.11 信息系统审计的重点环节 66 本章小结 69 复习思考题 69 第4章 信息系统审计方法 70 4.1 信息系统审计方法概述 70 4.2 信息系统审计的具体方法 71 4.2.1 证据收集的方法 71 4.2.2 数字取证方法 73 4.2.3 数据库查询法 74 4.2.4 穿行测试法 81 4.2.5 测试数据法 82 4.2.6 平行模拟法 83 4.2.7 虚拟实体法 83 4.2.8 程序日志检查法 84 4.2.9 数据分析法 84 4.2.10 程序流程图审核法 84 4.2.11 受控处理法与受控再处理法 84 4.2.12 嵌入审计程序法 85 4.2.13 快照法 86 4.2.14 审计抽样测试法 86 4.2.15 时间戳审计法 90 4.2.16 网络审计技术 91 4.3 审计数据采集、数据清理和数据 转换 93 4.4 信息系统审计软件与工具 94 本章小结 96 复习思考题 96 第5章 信息系统生命周期审计 97 5.1 信息化建设全过程 97 5.2 信息系统战略规划审计 101 5.3 信息系统需求分析审计 103 5.4 信息系统资源获取审计 105 5.5 信息系统开发审计 109 5.6 信息系统实施审计 115 5.7 信息系统维护审计 118 本章小结 122 复习思考题 123 第6章 信息系统内部控制审计 124 6.1 一般控制审计 124 6.1.1 组织架构审计 125 6.1.2 制度体系审计 125 6.1.3 岗位职责审计 126 6.1.4 教育培训审计 129 6.1.5 内部监督审计 130 6.2 应用控制审计 131 6.2.1 业务流程控制审计 131 6.2.2 数据输入控制审计 133 6.2.3 数据处理控制审计 136 6.2.4 数据输出控制审计 137 6.2.5 业务协同、信息共享控制 审计 139 6.2.6 应用控制审计案例 140 本章小结 144 复习思考题 145 第7章 信息系统安全管理审计 146 7.1 物理安全控制审计 147 7.2 网络安全控制审计 148 7.3 主机安全控制审计 150 7.4 应用安全控制审计 151 7.5 数据安全控制审计 153 7.6 终端安全控制审计 154 7.7 运行安全控制审计 155 7.8 灾难恢复计划审计 158 本章小结 162 复习思考题 162 第8章 信息系统绩效审计 163 8.1 信息系统绩效评价指标 设计 163 8.2 经济维度下的绩效评价 165 8.3 控制维度下的绩效评价 166 8.4 服务维度下的绩效评价 169 8.5 信息系统绩效审计的方法与 技术 171 8.5.1 成本—效益分析法 171 8.5.2 系统运行前后对比法 172 8.5.3 平衡计分卡 173 8.5.4 层次分析法 174 8.5.5 模糊综合法 175 8.5.6 Delphi法 176 8.5.7 几种评价方法的比较 177 本章小结 178 复习思考题 178 第9章 信息系统审计案例 179 9.1 医院信息系统审计案例 179 9.1.1 A医院基本情况及其信息系统的 特点 179 9.1.2 A医院信息系统的风险分析 181 9.1.3 A医院信息系统审计的内容 182 9.1.4 A医院信息系统审计的方法 202 9.1.5 A医院信息系统审计的实施 204 9.1.6 A医院信息系统审计结果 212 9.2 制造型企业信息系统审计 案例 230 9.2.1 B企业的基本情况及其信息系统 的特点 230 9.2.2 B企业信息系统的风险分析 232 9.2.3 B企业信息系统审计的内容 233 9.2.4 B企业信息系统审计的方法 239 9.2.5 B企业信息系统审计结果 240 9.3 商业银行信息系统审计 案例 245 9.3.1 C银行的基本情况及其信息系统 的特点 245 9.3.2 C银行信息系统的风险分析 250 9.3.3 C银行信息系统审计的内容 250 9.3.4 C银行信息系统审计的方法 258 9.3.5 C银行信息系统审计结果 261 复习思考题 269 参考文献 271