2026年高级审计师复习资料_信息系统审计的对象和内容

审计的对象是“信息系统”，但这一个词涵盖了技术、人员和流程。高级审计师在制定审计方案时，必须能够系统性地分解审计内容。

1.IT治理与管理

对象：组织的IT战略、政策、组织架构、风险管理框架。

内容：审查IT战略是否支撑业务战略；IT决策机制是否有效；IT风险是否被充分识别和管理；IT资源（人、财、物）配置是否合理。

2.IT基础设施与操作

对象：硬件（服务器、网络设备）、系统软件、数据中心物理环境。

内容：

物理安全控制：机房准入、环境监控（温湿度、消防）。

逻辑访问控制：身份认证（如多因素认证）、授权管理、特权账户（如管理员权限）的监控。

网络安全：防火墙配置、入侵检测/防御系统的有效性。

运行管理：备份与恢复策略（审查备份日志、恢复演练报告）、灾难恢复计划和业务连续性计划的完备性和可操作性。

3.系统开发、采购与变更控制

对象：处于开发、测试或变更过程中的应用程序和系统。

内容：

系统开发/采购：审查项目立项、需求分析、招投标过程是否规范；系统上线前是否经过充分测试。

变更管理：审查变更流程（申请、审批、测试、部署）是否受控，是否存在未经授权的变更。这是防止舞弊和错误的关键控制点。

4.业务应用系统控制

对象：具体的业务软件（如ERP、财务软件、CRM系统）。

内容：审查嵌入在应用系统中，用以保证业务数据准确完整的控制措施。

输入控制：数据的合法性、完整性检查（如：必填项、数据类型匹配）。

处理控制：数据计算、对账、过账的准确性（如：批处理总额控制）。

输出控制：报告的准确性、完整性以及分发的保密性。

5.数据管理与安全

对象：数据库、数据仓库、数据文件。

内容：数据库访问权限（DBA权限分离）；数据加密（存储和传输中）；数据完整性；敏感数据（特别是个人隐私信息）的防泄露措施。

【高级审计师考点关注】

（组织协调能力）面对如此广泛的对象，高级审计师的首要任务是组织和安排。你需要根据风险评估结果，判断本次审计的重点范围。例如，是重点审计“IT一般控制”，还是深入审计某个特定“应用控制”？

（发现问题能力）案例中可能会描述一个现象（如：财务数据频繁出错），你需要分析这可能源于哪个对象的内容出了问题？（是“变更管理”失控，还是“应用控制”的“处理控制”设计缺陷？）