一、3205号《指南》的主要特点

1、尽量减少了使用复杂的专业术语，少量的专业术语也作了释义，深入浅出，容易理解；

2、立足于审计实务，解决实际问题，基本没有比较空洞的理论，与我们日常审计工作息息相关；

3、以风险为基础，以内部控制为重点，审计的思路、方法与常规的审计工作是相通的，完全不难理解；

4、以用户为导向，坚持易于操作的原则，对各方面的审计列出了常见问题和风险清单，方便应用和操作；

5、坚持源于实践、遵循《信息系统审计准则》的思路，根据信息化不断演进变化的实际情况做适当拓展，让读者不仅能看到常见的信息系统审计内容，而且还能了解到云安全、数据安全、移动互联网安全、物联网安全等新兴的审计内容；

6、涵盖了当下信息系统审计的绝大部分内容，也许有些工作实际上还并未开展，但《指南》的前瞻性和指导性一定会为读者在实际工作中提供有益的帮助。

这本具有全面性和系统性特点的《指南》能帮助读者解决信息系统审计实践中遇到的问题和困惑，拓宽视角，打开思路。

CISA考试辅导

二、3205号《指南》有什么？

《指南》共分六章，其中：

第一章介绍了信息系统审计的基本概念、内容体系和审计程序等基础理论，提出了关于信息系统审计的总体概念框架。看完本章内容，会对信息系统审计的目标、原则、特点、内容、程序、方法、工具等有全面的了解。

第二章介绍了组织层面信息系统管理控制审计。组织层面信息系统管理控制是企业信息化设计与建设的关键。看完本章，不仅会对堪称组织信息化建设顶层设计的信息系统治理审计、信息系统与业务目标一致性审计深入了解，而且会对信息系统投资与绩效、组织与制度、风险管理、项目管理等审计有更深入的认识。

第三章介绍了信息系统一般控制审计。看完本章，对于应用系统开发、测试与上线，信息系统运维与服务管理，信息安全管理等传统的IT审计项目，会有比较全面的掌握。

第四章介绍了信息系统应用控制审计。看完本章，对于核心业务流程控制，应用系统输入控制、处理控制、输出控制，信息共享与业务协调等审计内容，会有更清晰的工作路径。

第五章介绍了信息系统相关专项审计。这一章，既有常见的信息科技外部审计、灾备与业务连续性审计、关键信息基础设施安全审计等专项审计的内容，又有云安全审计、数据安全审计、移动互联网安全审计、工控系统安全审计、物联网安全审计等新兴安全审计的内容。如果能对这一章的内容应用自如，那将成为一名资深IT审计专家。

第六章介绍了信息系统审计的质量控制。审计质量是审计工作的生命线。无论是传统审计，还是信息系统审计，都要强化审计的质量控制。一方面，要加强审计全过程的质量控制；另一方面，还要加强审计人员的专业胜任能力培养。

附录包含了本指南中的相关术语、主要法规参考标准及相关实务案例。通过这部分的继续学习，既可以了解更多关于信息系统审计的法规、标准、文献，又可以将信息系统审计的计划、方案拿来所用。

三、3205号《指南》怎么用？

如果正在从事信息系统审计工作，《指南》可以作为工具书，时常用来参考，结合所在组织实际情况，进一步拓工作的宽度和深度。

如果希望了解和学习信息系统审计知识经验，《指南》可以作为教科书，全面系统地帮您补足短板。

如果是其他组织或者人员接受委托、聘用，承办或者参与内部审计业务的人员，《指南》可以作为参考的工作标准，指导您为客户交付更好的审计成果。

如果是信息系统的设计者、建设者或管理者，《指南》可以指引您正确设计、建设和运维，避开盲目建设、重复建设、信息孤岛、信息安全事件等“暗礁”和“漩涡”。

CISA考试辅导

点这里下载：《第3205号内部审计实务指南——信息系统审计》