Information Technology Auditing and Assurance- Text Only pdf epub mobi txt 电子书 下载 2026

简体网页||繁体网页

☆☆☆☆☆

出版者:Thomson; South- Western

作者:James A. Hall

出品人:

页数:592

译者:

出版时间:2005

价格:0

装帧:Paperback

isbn号码:9780005998366

丛书系列:

图书标签:

• 信息技术审计
• 信息安全
• 风险管理
• 内部控制
• IT治理
• 审计保证
• 合规性
• 数据安全
• 信息系统
• 审计方法

审计实务前沿：风险驱动的内部控制与技术应用 导语： 在当今快速演进的商业环境中，企业面临的风险日益复杂，其中技术风险占据了核心地位。本手册旨在为审计专业人员提供一套全面、前沿的框架，指导他们如何在高风险、高技术含量的运营环境中，设计、执行有效的内部控制和信息系统审计。本书摒弃了传统的、侧重合规性的审计视角，转而聚焦于风险驱动的审计方法论，强调审计工作如何为组织的战略目标实现提供积极价值。 --- 第一部分：现代企业风险环境与治理基础 (The Evolving Risk Landscape and Governance Foundations) 第一章：信息时代的企业风险全景 本章深入剖析当前企业面临的主要风险领域，强调传统业务风险与信息技术风险的深度融合。我们详细探讨了宏观经济波动、地缘政治不确定性对企业治理结构的影响，并着重分析了数字化转型带来的新兴风险，如供应链韧性风险、数据主权风险以及“影子IT”的治理挑战。本章的核心在于帮助审计师从战略层面识别关键风险点，理解业务流程与底层技术基础设施之间的相互依赖性。 第二章：COSO框架的当代应用与局限性 本章聚焦于企业风险管理（ERM）的主流框架，特别是对COSO（The Committee of Sponsoring Organizations of the Treadway Commission）风险管理框架的深度解析。我们将探讨如何超越传统的合规性检查，将COSO的五大组成部分——内部环境、目标设定、风险评估、控制活动、信息与沟通——有效地融入到日常的运营和技术变更管理中。此外，本章还将批判性地评估当前框架在应对如人工智能伦理风险、气候变化相关风险等新兴领域时的适用性与潜在不足。 第三章：企业治理、道德与问责制 企业治理结构是所有控制措施的基石。本章详细阐述了董事会、管理层、内部审计部门三道防线（Three Lines Model）的有效运作机制。重点关注信息安全责任如何从技术部门延伸至董事会层面的问责制。我们将通过案例分析，探讨“道德漂移”（Ethical Drift）如何侵蚀内部控制的有效性，并提供构建强有力道德文化和举报人保护机制的实践指南。 --- 第二部分：风险驱动的内部控制设计与评估 (Risk-Driven Internal Control Design and Assessment) 第四章：从流程到控制的映射：价值链审计方法 本章引入了价值链审计视角。审计师不再孤立地检查单个控制点，而是从企业创造价值的端到端流程（如订单到收款、采购到付款、研发到上市）入手，识别流程中的关键风险点（Critical Control Points, CCPs）。本章详细介绍了如何使用流程图、数据流图（DFD）等工具来精确描绘控制的边界与交互，确保控制设计能够直接缓解已识别的业务风险。 第五章：控制设计的质量与测试方法论 有效的控制必须具备充分性（Sufficiency）和效率性（Efficiency）。本章深入探讨了两种核心测试阶段：设计有效性测试（Design Effectiveness Testing）和运行有效性测试（Operating Effectiveness Testing）。我们将引入基于风险的抽样技术，包括统计抽样和基于业务关键性判断的判断性抽样，用以优化审计资源配置，并详细阐述如何针对自动化控制（Automated Controls）设计更具穿透力的测试程序。 第六章：持续监控与控制环境的动态管理 现代企业环境变化迅速，静态的年度审计已不足以应对挑战。本章重点介绍了持续控制监控（Continuous Control Monitoring, CCM）的原理和实施路径。我们探讨了如何利用数据分析工具（如ACL/Galvanize、Tableau）嵌入到日常系统中，实时捕获异常交易和控制失效信号。本章提供了构建“热点分析”模型的步骤，使内部审计能够从被动的“事后检查”转变为主动的“事前预警”。 --- 第三部分：信息系统审计与新兴技术风险 (Information Systems Auditing and Emerging Technology Risks) 第七章：IT通用控制（ITGCs）的现代化审计 IT通用控制是信息系统审计的基石。本章对传统ITGCs（如访问权限管理、程序变更管理、系统开发与获取、作业操作）进行了现代化解读。特别强调了云环境（IaaS, PaaS, SaaS）下的职责分离挑战，以及如何审计持续集成/持续交付（CI/CD）流水线中的安全控制。本章提供了审计云环境下的“共享责任模型”的评估工具箱。 第八章：应用控制的深度穿透：数据完整性与准确性 应用控制是确保业务交易数据准确性的核心。本章聚焦于关键业务应用中的输入控制、处理控制和输出控制。我们详细分析了如何审计大型企业资源规划（ERP）系统中的业务规则配置，特别是在财务报告和关键操作流程中的嵌入式控制。此外，本章探讨了大数据分析环境中，数据清洗和转换过程中可能引入的数据偏见（Data Bias）风险及其审计应对。 第九章：数据分析驱动的审计（Data Analytics in Auditing） 本章将数据分析视为审计的赋能技术，而非简单的工具。内容涵盖如何使用描述性分析（识别异常模式）、诊断性分析（追溯异常原因）以及预测性分析（评估未来风险）。详细介绍了审计师如何利用SQL、Python或R语言构建审计脚本，对全量数据进行测试，从而替代传统抽样，实现全方位审计覆盖（Full Population Testing），极大地提升了审计的深度和效率。 第十章：新兴技术环境下的审计挑战与前瞻 本章着眼于未来十年内信息系统审计的重点领域。 云计算审计： 深入讨论第三方服务组织（SSAE 18/SOC 报告）的审计关注点，以及如何评估云服务商的安全治理和SLA的执行情况。 人工智能与机器学习（AI/ML）审计： 探讨模型风险管理（Model Risk Management），包括数据来源的可靠性、模型的透明度（可解释性XAI）和算法的公平性，这些是未来财务报告和决策支持系统中潜在的重大风险点。 区块链与分布式账本技术（DLT）： 分析DLT在提升交易不可篡改性方面的优势，以及审计师如何验证智能合约的逻辑正确性和系统实现的安全性。 --- 第四部分：审计报告与价值传递 (Audit Reporting and Value Delivery) 第十一章：构建具有洞察力的审计报告 一份卓越的审计报告必须清晰、客观，并提供可执行的建议。本章指导审计师如何平衡合规要求与管理建议的实用性。我们将分析如何根据风险的影响程度（Impact）和发生可能性（Likelihood）对发现进行分级，并确保建议措施与业务的战略方向保持一致。强调报告应侧重于“为什么会发生”和“如何预防”，而非仅仅“发生了什么”。 第十二章：审计结果的沟通与跟进机制 审计工作的最终价值体现在控制的改进上。本章讨论了与高层管理层和治理委员会进行有效沟通的技巧，特别是当审计发现涉及重大管理层或系统缺陷时。本章详细阐述了行动计划（Action Plan）的制定、跟踪与验证机制，确保管理层承诺的整改措施得到有效实施，形成闭环管理。 --- 结语： 本手册的宗旨是培养具备“技术理解力、业务洞察力和批判性思维”的审计专业人士。通过掌握风险驱动的方法论和前沿的技术工具，审计师将能够超越传统的事务性工作，成为企业治理和价值创造不可或缺的战略伙伴。

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆

评分☆☆☆☆☆