IT审计的组织与实施(培训).ppt
《IT审计的组织与实施(培训).ppt》由会员分享,可在线阅读,更多相关《IT审计的组织与实施(培训).ppt(83页珍藏版)》请在咨信网上搜索。
1、IT审计的组织与实施n刘济平n中国光大(集团)总公司审计部副主任n注册信息系统审计师(CISA)、注册内部审计师(CIA)、高级审计师n经济学硕士(南开大学西方会计与审计专业)、理学硕士(英国Strathclyde大学商务信息技术系统专业)nE-mail:1.内容安排n内部审计及其分类n信息系统审计从风险管理和风险基础审计的角度理解n信息系统审计标准n信息系统审计方法nIT核心流程和审计方法n问题讨论n案例分析2.内部审计及其分类n内部审计n内部审计分类n业务审计(Operations Audit)n信息系统审计(Information Systems Audit)或IT审计3.内部审计及其分
2、类n业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划(BCP)基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期(SDLC)共享数据库机房业务审计IT审计4.信息系统审计从风险管理和风险基础审计的角度理解n一个目标n两种风险n三项评价n四类测试5.信息系统审计从风险管理和风险基础审计的角度理解n一个目标n将IT相关的风险控制在可接受的水平n风险是事件的不确定性,这个事件对目标的实现具有影响。n风险是不希望发生事情的可能性。n对待风险的四种策略:拒绝、接受、转移、缓释(控制)风险
3、 机会6.信息系统审计从风险管理和风险基础审计的角度理解n两种风险n战略风险n失去竞争优势n信息系统项目失败n灾难导致长期不能提供服务nn操作风险n变更管理文档不完整n密码政策不恰当n未激活Oracle审计轨迹设置n7.信息系统审计从风险管理和风险基础审计的角度理解n三项评价n评价信息系统项目n评价业务流程中的IT控制n评价信息安全8.信息系统审计从风险管理和风险基础审计的角度理解n四类测试nIT控制环境测试n物理控制测试n逻辑控制测试nIS操作控制测试9.信息系统审计从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安
4、全测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试10.信息系统审计标准nITIL(ITInfrastructureLibrary)nBS7799nCOBIT(ControlObjectivesforInformationandRelatedTechnology)11.信息系统审计标准ITILnIT服务管理nIT服务管理(ITSM):一种以流程为导向,以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力和水平。nITIL(IT Infrastructure Library,IT基础架构库),最初由英国商务部(OGC)80
5、年代组织开发,是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 1500012.信息系统审计标准ITILnITIL整体框架服务提供包括5个核心流程:服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程:配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理服务管理ICT基础架构管理安全管理服务支持服务提供资料来源:OGC,200213.信息系统审计标准BS7799n信息安全管理:指一个组织的政策、实务、程序、组织结构和软件功能,用以保护信息,确保信息免受非授权访问、修改或意外变更,并且在经授权用
6、户需要时可用。保密性(Confidentiality)资料来源:Pfleeger,1997完整性(Integrity)可用性(Availability)14.信息系统审计标准BS7799n信息安全管理体系(ISMS)nBS 7799:最早由英国贸易和工业部于1993年组织开发,1995年成为英国国家标准,由两部分组成,目前最新版本为:nBS 7799-1:1999信息安全管理实施规则nBS 7799-2:2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799:2000信息技术:信息安全管理实施规则。15.信息系统审计标准BS7799n信息安全管理
7、体系(ISMS)nBS 7799-1将信息安全管理分为10类控制,成为组织实施信息安全管理的实用指南。n通讯和运行管理n访问控制n系统开发和维护n业务持续管理n合规n信息安全政策n安全组织n资产分类和控制n人员控制n物理和环境安全16.信息系统审计标准BS7799nBS 7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS7799以外的控制第一步第二步第三步第四步第五步第六步资料来源:
8、BSI,199917.信息系统审计标准-COBITnIT治理n信息安全和控制实务普遍接受的标准n主要目的是为企业治理提供清晰的政策和最佳实务n以信息系统审计与控制基金会(ISACF)的控制目标为基础,由ISACA及其下属的“IT治理研究院”开发。1996年第一版,2000年第三版,2006年第四版。18.信息系统审计标准-COBITn由34个IT控制目标组成,分为四个方面:n规划和组织n获得与实施n交付与支持n监控19.信息系统审计标准-COBIT COBIT 的34个控制目标交付和支持交付和支持IT资源信息信息监控监控获得与实施获得与实施规划和组织规划和组织-效果性-效率性-保密性-完整性-
9、可用性-合规性-可靠性-人-应用系统-技术-设备-数据确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理过程监控评价内部控制的适当性获取独立鉴证提供独立的审计COBIT企业目标企业目标IT治理治理资料来源:ITGovernanceInstitu
10、te,200020.信息系统审计方法年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试21.内部审计方法年度风险评估和计划n实施年度风险评估n识别下一年度的审计领域.n制定年度审计计划22.年度风险评估:风险评估n按照可审计业务单元进行n每年实施一次n考虑因素n业务/财务影响n外部环境:如规章制度、市场、技术n容易出现欺诈舞弊n计算机环境n上一次审计结果及时间n与管理层讨论(分公司、子公司和总公司)23.年度风险评估:风险分级和审计频率n非常高(一年或少于一年审计一
11、次)n高(每一至两年审计一次)n中(每三到四年审计一次)n低(每五年审计一次或不审计)24.年度风险评估:举例可审计单元可审计单元业务因素业务因素(50)风险因素风险因素(25)控制环境控制环境(25)总分排序风险水平风险影响(20)财务影响(15)合规影响(10)未来成功影响(5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度(6)变更(4)内部控制(12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.
12、520中应用设计和配置109251.5336331551.523中25.年度审计计划:举例某公司某公司2005 年内部审计计划年内部审计计划一、制定计划的方法一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中,我们考虑了公司管理层的要求,以及公司其他股东的年度审计计划。二、影响计划制定的主要因素二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围三、审计范围风险领域审计项目信息技术技术基础架构项目管理业务持续计划(BCP)四、审计项目描述四、审计项目描述五、审计时间预算五、审计时间预算26.信息系统审计方法计划n
13、审计任务备忘录(审计通知书)n审计目的和范围n审计方法n审计人员n被审计单位人员n审计时间安排n问题沟通和行动计划n审计标准n审计效果评价27.计划:举例某公司一般IT控制审计备忘录审计范围和目的:审计范围和目的:本次审计的目的是,通过审计,评价下列领域控制的效果。IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划审审计计方方法法:本次审计是按照风险基础审计的方法进行的,我们将对上述领域的风险进行评估,然后对中高风险领域进行控制测试。在审计中,我们主要采取如下方法:检查有关规章制度、程序和标准;检查有关规划和操作文件和报告(如IT规划、项目文档
14、、总是日志、BCP等);IT实地观察;与管理层和有关员工面谈。审计组成员:审计组成员:审计时间:审计时间:审审计计标标准准:我们将按照国际内部审计师协会(IIA)和国际信息系统审计与控制协会(ISACA)制定的有关标准进行审计。由于我们是通过抽样进行测试,因此我们的审计并不能绝对保证发现所有的错误和违规问题。审计绩效评价:审计绩效评价:审计结束时,我们将向员工发送问券调查,以评价审计工作是否有效和达到目的。28.信息系统审计方法风险评估n识别业务流程的具体风险n风险矩阵n具体风险n业务影响n可能性评价 (高/中/低)n影响评价(低/中/显著/非常显著)n风险(高/中/低)29.风险评估:举例具
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 审计 组织 实施 培训
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。