信息系统审计课后习题

1.审计定义中的四个基本要素是什么?

包括审计主体、审计对象、审计目标、审计目的四个基本要素。审计的主体是审计人，是指国家审计机关、内部审计机构和民间审计组织，统称为专职机构和人员。审计的客体是被审计人，包括各级政府机关、金融机构和企事业单位等。审计的对象是被审计单位的财政、财务收支及有关的经济活动。审计的总目标是评价受托经济责任。审计的预期目标是审查、确认审计对象的真实性、合法性、效益性。审计的目的是维护财经法纪，改善经营管理，提高经济效益，加强宏观调控。

2. IT审计的目的是什么?

IT审计的目的是评估并提供反馈、保证及建议。其关注之处可被分为如下三类：1. 可用性--商业高度依赖的信息系统能否在任何需要的时刻提供服务？信息系统是否被完好保护以应对各种的损失和灾难？2. 保密性--系统保存的信息是否仅对需要这些信息的人员开放，而不对其他任何人开放？3. 完整性--信息系统提供的信息是否始终保持正确、可信、及时？能否防止未授权的对系统数据和软件的修改？

3. 《审计准则公告78号》的目标是什么?

为设计控制系统提供更多的实际指导，包含5个部分：控制环境、风险评估、信息与沟通、监控以及控制活动。控制环境是基础。风险评估：以发现年、分析和管理有关财务报告的风险，环境的变化导致风险产生。信息与沟通：公司已经采用会计信息系统(AIS)，ais所产生信息的质量直接影响到管理层制定策略和举措的能力。监控：是评估内部控制设计和运行质量的过程。控制活动：对已发现的风险而采取的政策和程序。

4. 控制测试与实质性测试的关系是什么？

内部控制结构越稳固。控制风险就越低，审计师所做的实质性测试就越少。换言之，当控制非常有效时，审计师就可以减少实质性测试，反之，内部结构控制越薄弱，控制风险就越大，且审计师的实质性测试就越多。实质性测试费时费力，成本也高，所以，有效的内部内部结构有助于企业获得最佳效益。

5.举一个预防、检查、改正控制风险的例子。

在进行系统设计时首先要设计一个良好的数据输入屏幕，数据输入区域应尽量减少用户直接打字输入的数量，而是用选项及下拉列表等代替。这可以很好的预防错误的发生、控制风险。其次，在编写程序时需要特别编写一些检查控制程序，某些数据需要与预先设立的条件相比较。这可以很好的检查出一些错误。最后，检查控制发现的错误可能会引起一些问题，改正控制是解决这一问题。

6. IT 环境下数据合并的风险是什么？

在IT环境下进行数据合并可能存在由于合并后数据的不一致性导致信息和信息系统被破坏；一些不法分子擅自篡改内部数据，导致企业遭受严重的损失。

1.信息系统审计的定义

是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。

是通过一定的技术手段采集审计证据，对被审计单位计算机信息系统的安全性、可靠性、有效性和效率进行综合审查与评价的活动。

2.简述IT 审计的结构

(IT审计)偏重与企业信息系统的计算机应用方面.包括对系统实施、操作过程和计算机资源控制的评估。在IT审计中由于缺少可以直观目测和评价的物理程序，所以加大了IT审计的复杂性。因此，在IT环境中为实施审计而建立了逻辑框架。

3.简述信息系统审计特点

(一)CISA的特点1.由“结果审计”为主向“过程审计”为主转化；2.审计线索的“可视性”向“不可视性”的转化；3.审计取证的动态性；4.审计技术的复杂性和审计数据的各异性；5.审计范围的广泛性。

(二)CAA的特点1.审计过程自动控制；2.审计信息自动存储；3.改变了审计作业小组的构成；4.转移了审计技术的主体。

4.简述信息系统审计范围

对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。

5.审计信息系统构成

1 审计证据管理子系统、

2 信息系统安全标准子系统、

3 信息系统安全评估子系统、

4 项目管理审计子系统、

5 信息系统审计法律标准子系统。五个子系统组成。