信息系统审计朱谱熠课后参考答案

第一章绪论1、信息系统审计与财务审计的审计要素分别是什么，审计内容有何区别?信息系统审计的审计要素包括：信息系统的可用性、保密性和完整性等方面的控制，数据的准确性和可靠性，业务流程的合规性以及信息系统的安全措施和风险管理等。财务审计的审计要素主要包括财务报表的准确性、合规性和真实性，财务内部控制的有效性，以及财务制度的合规性等。审计内容上的区别在于，信息系统审计主要关注信息系统管理和运行的各个方面，包括系统的安全性、可靠性等，而财务审计主要关注企业财务相关的内容，如财务报表、内部控制等。2、国内信息系统审计发展面临的阻码有哪些?信息系统审计发展面临的阻碍包括技术和人员两个方面的问题。技术方面的阻碍主要包括信息系统的复杂性、多样性和不断更新的特点，导致审计人员难以理解和应对各种复杂的技术问题。此外，信息系统的安全性和隐私性也会对审计师的工作造成一定的限制。人员方面的阻碍主要包括缺乏专业的信息系统审计人员，以及审计人员对于信息系统审计的知识和技能的不足等。3、信息系使审计师应具备哪些理论知识?系统审计师应具备的理论知识包括：信息系统的基本原理和结构、信息系统与企业内部控制的关系、信息系统的安全性和风险管理等。此外，审计师还应具备关于各类信息系统审计标准和方法、信息系统审计程序和技巧等方面的知识。另外，审计师还应了解相关的法律法规，并具备一定的会计和财务知识。4、我几个典型行业，分析这些行业对信息系统的依赖程度，分析信息系统审计的作用和重要性。典型行业如银行、保险、电信等对信息系统的依赖程度较高。信息系统在这些行业中的作用和重要性主要体现在：实现业务的自动化和高效性、保障客户的信息安全、促进业务的创新和发展等方面。信息系统审计在这些行业中的作用和重要性主要体现在：确保信息系统的安全可靠性、评估信息系统的风险和可行性、评估信息系统的合规性等方面。通过信息系统审计，可以发现并解决信息系统中存在的问题，提高信息系统的管理和运行效率，从而保障企业的业务安全和稳定发展。第二章IT治理1、为何说良好的IT治理是组织成功的关健因素?良好的IT治理是组织成功的关键因素，有以下几个方面的原因：（1）信息技术已经成为现代组织运营的重要基础，良好的IT治理可以优化业务流程、提高效率和效益。（2）IT治理可以帮助组织确保信息技术的可靠性、安全性和合规性，减少风险和避免损失。（3）良好的IT治理可以提供良好的决策支持和战略指导，促进组织的创新和发展。（4）良好的IT治理可以建立信任和声誉，增强与利益相关者的关系。2、董事会在IT治理方面承的眼贵有哪些?董事会在IT治理方面承载的职责主要包括：确保IT战略与组织战略相一致，参与并审查IT治理框架的制定与实施，监督IT投资和预算，评估和管理IT风险，监督IT项目管理，评估和改进IT绩效，确保信息安全和合规性，监督IT供应商和合作伙伴，以及与相关方进行沟通和协调。3、管理者的职责有哪些?管理者的职责包括：制定和实施IT战略，确保IT与业务目标相一致，制定和实施IT治理策略，并确保其有效性，管理和优化IT资源和预算，监督和管理IT项目，评估和管理IT风险，确保信息安全和合规性，与董事会和利益相关者进行有效沟通和协调，以及培养和管理IT人员。4、查阅资料，简述COBIT框架的体系结构、控制日标、治理要点。COBIT（ControlObjectivesforInformationandRelatedTechnology）框架的体系结构由五个相互关联的组件构成：目标级别、流程级别、控制目标级别、管理目标级别和实施级别。控制目标指定了信息技术所需要满足的控制要求，治理要点包括：使能和支持业务目标的信息技术能力、保障信息技术资源的合理使用和管理、确保信息和技术的安全和合规性。5、综合考虑信息技术发展和企业管理层面，分析IT治理未来的发展方向在哪里？IT治理的未来发展方向主要包括：（1）强调战略导向和价值创造，将IT视为业务的整体部分，并将IT治理与业务战略有机结合；（2）加强风险管理和安全保障，随着数字化转型的加速，信息安全和隐私保护的风险也会相应增加，IT治理需要更加重视风险管理和安全策略；（3）加强数据治理和数据管理能力，随着大数据和人工智能的发展，数据将成为组织的重要资产，IT治理需要加强对数据的管理和治理；（4）强调创新和敏捷性，IT治理需要适应快速变化的技术环境，注重创新和敏捷开发方法和过程。6、审计标准与审计准则有何差异?列举信息系统审计标准和审计准则的核心要点。审计标准是指规范审计行为和判断的性质和各种要求，而审计准则是指在进行审计时应遵循的基本原则和要求。信息系统审计标准的核心要点包括：信息系统的可用性、保密性和完整性等方面的控制，数据的准确性和可靠性，业务流程的合规性以及信息系统的安全措施和风险管理等。信息系统审计准则的核心要点包括：独立性和职业行为的准则、审计程序的准则、审计报告的准则以及质量控制的准则等。第三章信息系统审计流程1、在对某银行进行信息系统审计时。具体的审计依据有哪些?（1）审计程序和程序设计文件；（2）与信息系统相关的政策和程序文件；（3）安全控制和凭证记录；（4）网络和系统日志；（5）数据备份和恢复程序；（6）用户权限和访问控制；（7）系统配置和补丁管理；（8）信息安全和合规报告；（9）以前的审计结果和建议。2、网上书店在其运营系统中包括了客户关系管理系统(CRM)，信息系统审计师受命审查呼叫中心时，他应该采取的第一步行动是什么?当信息系统审计师受命审查呼叫中心时，他应该采取的第一步行动是了解和熟悉呼叫中心的运营情况，包括呼叫中心的目标和职能、关键业务流程、系统架构和技术支持、数据管理和安全措施、呼叫中心员工的培训和授权等。此外，审计师还应了解呼叫中心的关键指标和绩效评估体系。3、在信息系统审计的准备阶段，应该了解被审计单位的哪些方面的情况?（1）组织架构；（2）业务流程和关键应用系统；（3）IT基础设施和技术环境；（4）系统开发和维护过程；（5）信息安全策略和措施；（6）IT人员的组成和能力；（7）IT投资和预算；（8）以及与第三方供应商和合作伙伴的关系。4、简要说明信息系统审计有哪些风险。（1）数据安全和隐私问题；（2）系统故障和服务中断；（3）未经授权的访问和恶意行为；（4）软件错误和漏洞；（5）缺乏灵活性和易于操作性；（6）违反合规要求和法规；（7）以及技术过时和不足。5、在一项基于风险的信息系统审计中，固有风险和控制风险均已被评定为高级别，信息系统审计师可以通过额外执行哪些审计程序来弥补这种情况?加强数据分析和抽样，深入了解关键业务流程和系统，加强对内部控制的测试和评估，与第三方合作伙伴和供应商进行审计，并进行更详细的审计测试和确认。6、在信息系统审计项目中，风险评估的作用是什么?风险评估在信息系统审计项目中的作用是评估和识别潜在的风险和问题，以有针对性地制定审计计划和方法，并确定适当的控制措施和改进建议。风险评估可以帮助审计师聚焦重要的审计领域，并确保审计资源的有效利用。7、与被审计单位相关人员召开审计启动会议的主要目的是什么?与被审计单位相关人员召开审计启动会议的主要目的是：介绍审计的目的和范围，明确和确认审计计划和时间表，获取对被审计单位的进一步理解和背景信息，建立沟通和合作关系，以及解答和澄清双方的疑问和期望。8、信息系统审计师在审计电子商务环境时，主要的审计流程是什么？在审计电子商务环境时，主要的审计流程包括：了解电子商务系统的架构和技术，评估和测试电子商务的安全控制和风险管理措施，检查订购和支付过程的完整性和准确性，评估数据加密和存储的安全性，检查客户关系管理和市场推广的合规性，以及审查电子商务平台和交易记录的审计轨迹。9、应由谁做出是否将一项重大发现写入信息系统审计报告的最终决定?对于是否将一项重大发现写入信息系统审计报告的最终决定，应由审计师根据其重要性和影响程度、管理层的回应和解决措施以及组织的整体利益来综合考虑和决定。审计师应遵循审计准则和要求，以及组织的内部政策和程序。10、在信息系统审计工作正式结束前，与被审计单位举行会议的主要目的是什么？在信息系统审计工作正式结束前，与被审计单位举行会议的主要目的是：与管理层和相关人员分享审计结果和发现，解释和解答审计报告中的问题和建议，提供改进和加强的建议，收集和确认管理层的回应和承诺，以及建立后续跟进和监督的机制和流程。第四章信息系统审计方法1、审查被审计单位在信息系统中职责分离的控制情况时，最佳的审计方法是?进行访谈和观察。审计师可以与被审计单位的相关人员交谈，了解他们在系统访问、配置管理、程序开发等方面的责任和权限分工情况。同时，审计师还可以通过观察被审计单位的操作流程和系统日志，来确认职责分离的控制是否得到有效实施。2、人力资源副总裁要求进行审计，以确定上一年多付的工资额。在这种情况下，最佳的审计方法是什么?在确定过去一年中多付工资的情况下，最佳的审计方法是进行数据分析。审计师可以通过审计工具和技术，对工资数据进行检查和比较，找出多付工资的异常情况和模式。此外，审计师还可以进行目标抽样，选择一部分数据进行详细审查和核实。3、穿行测试法的步骤和优点有?穿行测试法的步骤有：确定审计目标、编制审计程序、选择样本、收集证据、进行分析和比较、评估风险和问题、提出建议和意见、编写审计报告。穿行测试法的优点：可以全面了解和测试系统本身和业务流程的完整性和准确性，以及内部控制的有效性和适当性。4、信息系统审计师使用哪种审计方法时需要查阅被审计单位的数据流程图?当信息系统审计师使用数据分析审计方法时，需要查阅被审计单位的数据流程图。数据流程图可以帮助审计师理解和分析被审计单位的业务流程和信息交换方式，确定审计重点和数据检查点，以及识别潜在的风险和问题。5、信息系统审计师使用哪种审计方法时需要查阅被审计单位的系统日志?当信息系统审计师使用系统审计方法时，需要查阅被审计单位的系统日志。系统日志可以记录用户的操作行为、系统的异常情况、安全事件和访问记录等信息。通过查阅系统日志，审计师可以追踪和审计系统的使用情况、异常事件和潜在的风险，评估系统控制的有效性和操作的合规性。6、信息系统审计师评估被审计单位IT部门内部职责分工落实情况的最佳方法是什么?评估被审计单位IT部门内部职责分工落实情况的最佳方法是通过访谈和文件审查相结合。审计师可以与IT部门的管理层和员工进行访谈，了解其职责和工作分工，并验证其实际执行情况。同时，审计师还可以审查相关的职责分工文件、制度和流程，以核实其一致性和有效性。7、哪种审计方法能最有效地确保会计系统内部利息计算相关控制的有效性?最有效的审计方法是进行系统探索和测试。审计师可以对会计系统进行探索，了解利息计算的相关输入、处理和输出过程，并进行相应的系统和应用程序测试，以验证其准确性和完整性。此外，审计师还可以对系统控制和数据输入进行比较和分析，评估其合规性和有效性。第五章信息系统生命周期审计1、对信息系统生命周期中哪些阶段的审计既可以是事前审计，又可以是事中审计或事后审计，不同的认定有何差别?对于信息系统生命周期中的不同阶段，审计可以根据不同时间节点进行不同的认定。事前审计是在系统开发或实施之前对相关计划、设计及准备工作进行审计。事中审计是在系统开发或实施过程中对相关活动、控制及问题进行审计。事后审计是在系统上线运行后，对其运行及效果进行审计。不同认定的差别在于审计的焦点、目标和方法。2、信息系统资源获取审计的关键控制点有哪些?信息系统资源获取审计的关键控制点可能包括：制定和执行合规性政策和程序、对供应商进行评估和筛选、建立供应链管理和风险管理机制、监控资源获取过程的完整性和准确性、确保信息资产的合理配置和利用、保护信息资源免受未经授权的访问和滥用。3、信息系统开发审计通常可以采用哪些审计技术和方法?在系统开发过程中，可以采用的审计技术和方法包括：代码审查、系统功能测试、安全测试、性能测试、回归测试、可行性研究、需求分析和评估、流程分析、数据分析、风险评估、安全评估等。4、在审计某单位的系统过去的上线记录和审批资料时，信息系统审计师发现该系统未按要求到监管部门进行备案，但系统当前已经处于正常运行状态，该如何处理?如果审计发现系统未按要求进行备案，但当前已经正常运行，审计师应及时向相关部门或人员报告这一问题，并要求相关部门或人员进行整改，确保系统能够按规定进行备案，以便日后的监管和审计。5、在审计某第三方T服务提供商时，信息系统审计师发现未按合同要求进行访问审查，该如何处理?如果审计发现第三方IT服务提供商未按合同要求进行访问审查，审计师应及时向相关部门或人员报告这一问题，并要求第三方IT服务提供商重新进行访问审查，确保其符合合同要求和相关规定。6、在审计某单位的系统日志时，信息系统审计师发现系统日志有被篡改的痕迹，该如何处理?如果审计发现系统日志有被篡改的痕迹，审计师应该立即记录相关发现，并通知相关部门或人员进行调查和取证。此外，审计师还应根据取证结果采取相应的行动，如修复受损的日志、加强系统安全控制等，以防止类似事件再次发生。第六章信息系统内部控制审计1、信息系统审计师审查被审计单位的组织架构的主要目的是什么?了解和评估组织的整体管理结构、职责分工、权责关系等情况，确保信息系统的设计、实施和运行与组织的战略目标和治理结构相一致，同时也能够帮助审计师确定适当的审计重点和范围。2、在应用程序软件审查过程中，信息系统审计师在超出审计范围的相关数据库环境中发现了漏洞，该如何处理?他应该将这些漏洞详细记录下来，并及时向相关部门或人员报告，以便采取正确的修复措施，确保数据的安全性和完整性。3、在审计某大型企业的身份管理(IDM)系统的配置程序时，信息系统审计师很快发现少量访问请求并未由某位管理人员通过正常的预设工作流程逐步审批授权，审计师应采取什么行动?他应该及时向相关管理人员报告这一问题，并要求对审批授权流程进行调查和修复，以确保访问权限的合法性和安全性。4、在审计某金融服务公司的网站时，信息系统审计师发现此网站拥有一个独立代理用来管理客户账户的网站。在检查网站的逻辑访问时，发现有些用户ID被多个代理用户共享。信息系统审计师应采取什么行动?他应记录这一现象，并向相关部门或人员报告，要求对网站的用户账户管理进行调查和修复，确保用户账户的隔离性和安全性。5、经初步调查，信息系统审计师有理由相信可能存在舞弊行为，此时他应采取什么行动?他应立即向相关部门或人员报告，并提供相关证据和调查结果。进一步的行动可能包括深入调查、取证和采取法律行动等，以便揭露和处理舞弊行为。同时，审计师还要遵循相关法律法规和职业道德准则的要求，保护信息的机密性和完整性。第七章信息系统安全管理审计1、在评估对密码管理的程序控制时，信息系统审计师应审查哪些具体的控制措施?（1）密码复杂度要求：审查密码策略，包括密码长度、复杂度、强度要求等。（2）密码生命周期管理：审查密码更改和重置的程序，如密码到期、遗忘密码等情况下的处理流程。（3）密码存储和传输：审查密码的存储方式和传输方式，如是否加密存储、使用安全通道传输等。（4）访问控制和身份验证：审查密码作为身份验证凭证的使用情况，如多因素身份验证、账户锁定等。（5）密码保护机制：审查密码的保护措施，如防止密码泄露的技术和管理防护措施。2、在审查软件使用和许可情况时，信息系统审计师发现许多PC含有未经授权的软件应采取什么行动?（1）记录并报告发现的未经授权软件情况，向相关部门或人员提供审计结果。（2）调查软件未经授权的原因，如是否是员工从外部下载的、是否是内部员工违规安装的等。（3）推动相关部门或人员制定和执行合规性政策和程序，加强软件的许可证管理和监控。（4）建议制定和实施软件使用和许可的培训和教育计划，提高员工对软件许可的意识和合规性意识。3、执行审计工作时，信息系统审计师检测到系统内存在病毒。该信息系统审计师下一步应该怎么做?（1）立即停止检测到病毒的系统或应用程序的运行，以防止病毒进一步传播或造成损害。（2）通知相关部门或人员，如信息技术部门或网络安全团队，以便进行病毒扫描和清除操作。（3）协助有关部门或人员对受影响的系统进行修复和补丁操作，以恢复系统的正常运行。（4）追踪和记录病毒入侵的来源和传播路径，分析并评估影响范围和损害程度，并提供相应的建议和改进措施。4、在进行数据库安全控制审计时，可采用哪些审计方法?（1）审查权限管理：审查数据库用户的权限分配情况，包括读取、写入、修改、删除等操作的授权设置。（2）审查访问日志：审查数据库访问日志，检查用户的访问权限是否符合授权，并查找异常访问行为。（3）进行漏洞扫描：使用专业的漏洞扫描工具对数据库进行扫描，发现数据库的安全漏洞和配置问题。（4）进行安全策略审查：审查数据库的安全策略和配置，如密码策略、加密策略、审计策略等。（5）进行数据备份审查：审查数据库的备份策略和实施情况，确保数据的完整性和可恢复性。以上方法可以综合应用，以全面评估数据库的安全性和合规性。第八章信息系统绩效审计1、评价信息系统效益的难点在哪里?为什么?（1）多样性：信息系统的效益是多样化的，不同的组织和业务目标可能有不同的度量标准和关键绩效指标。因此，评价信息系统的效益需要考虑到组织的特定需求和目标。（2）主观性：信息系统效益的评估可能涉及主观判断和主观测量，例如用户满意度和业务流程改进。这使得评估结果可能受到个人偏见或主观解释的影响。（3）时间因素：评价信息系统效益需要考虑到时间因素，即短期和长期的效益。某些效益可能在实施初期不太明显，而在长期运行中才能实现。（4）量化难度：有些信息系统效益很难量化，如知识管理、创新和决策支持。这些效益通常是间接或中间结果，难以用具体数字或指标来衡量。2、财务会计对资产有一套成熟的核算方法，这类方法适用于对信息系统的核算吗?财务会计的核算方法主要适用于财务相关的资产，如固定资产、存货和应收账款等。然而，对于信息系统这样的无形资产，财务会计核算方法可能并不适用。信息系统不仅涉及硬件和软件的资产，还包括数据、流程和人员等方面的资产价值。这些无形资产的价值不容易直接定义和度量，也难以准确反映在财务报表上。因此，需要使用其他方法来核算信息系统的价值和效益，如经济评估、绩效评价和成本效益分析等。3、不同行业、不同企业的信息系统绩效评价标准是否通用？举例说明。不同行业和企业的信息系统绩效评价标准可能不通用，因为它们受到组织的特定需求和目标的影响。不同行业可能有不同的信息系统需求和业务流程，因此对信息系统绩效的评价标准会有所差异。例如，对于电子商务行业来说，交易处理能力和网站稳定性可能是重要的指标；而对于制造业来说，生产效率和供应链协调能力可能更为关键。同样，在不同规模和类型的企业中，信息系统绩效评价标准也会有所不同，因为它们的目标和战略也不同。第九章信息系统审计案例1、被审计单位在查看可报告的审计发现后，立即采取了纠正措施，这种情况下信息系统审计师是否将审计发现包含在最终报告中，为什么?在被审计单位立即采取了纠正措施后，信息系统审计师可以酌情决定是否将该审计发现包含在最终报告中。以下是几个考虑因素：（1）时效性：如果被审计单位已经及时采取了纠正措施，并且问题已经得到解决，那么审计发现可能因为已经不再存在而不被包含在最终报告中，以保持报告的时效性。（2）重要性：审计发现的重要性也是一个考虑因素。如果审计发现与信息系统的安全或合规性存在重大问题，即使被纠正，审计师可能仍然认为该问题值得在最终报告中提及。这样可以为管理层提供对问题的知晓和解决方案的确认，并推动进一步改进措施的实施。（3）透明度和完整性：报告的透明度和完整性应该是信息系统审计师考虑的因素。当审计发现已经记录并在纠正措施中得到解决时，如果将其公开包含在最终报告中，可以增加报告的透明度，向相关利益相关方提供全面的信息，以便他们了解被审计单位的改进过程。然而，最终决策是否将纠正后的审计发现包含在最终报告中，取决于审计师的判断和被审计单位的政策和要求。在任何情况下，审计师应遵循相关的道德准则和职业要求来做出决策，并保持报告的客观和公正性。2、如果信息系统审计师与部门经理对审计结果存在争议，争议期间信息系统审计师应首先采取什么行动?如果信息系统审计师与部门经理存在审计结果上的争议，他们应该首先进行斡旋和沟通，寻找共识并解决分歧。这可能包括深入了解问题、提供证据支持和妥善解释审计结果。如果争议仍然无法解决，审计师可以向更高级别的管理层或审计委员会报告情况，并寻求他们的意见或干预。3、在离场面谈过程中，如果对于审计发现可能产生的影响存在分歧，信息系统审计师应该如何处理?（1）尽可能在评估发现的影响之前收集更多证据和信息。（2）再次审查相关的内部控制和安全措施，并与相关人员进行进一步沟通和澄清。。（3）如果仍然无法达成共识，则应将争议的事实和观点记录在审计工作底稿中，并向相关经理或审计委员会报告情况。（4）如果需要，可以寻求第三方专家的意见或进行独立评估。4、信息系统审计师被要求在快到计划上线日期之前审查一个关键的