《IT审计的组织与实施(培训)ppt课件》由会员分享,可在线阅读,更多相关《IT审计的组织与实施(培训)ppt课件(83页珍藏版)》请在金锄头文库上搜索。
1、 1 IT审计的组织与实施 刘济平中国光大 集团 总公司审计部副主任注册信息系统审计师 CISA 注册内部审计师 CIA 高级审计师经济学硕士 南开大学西方会计与审计专业 理学硕士 英国Strathclyde大学商务信息技术系统专业 E mail liujp 2 内容安排 内部审计及其分类信息系统审计 从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析 3 内部审计及其分类 内部审计内部审计分类业务审计 OperationsAudit 信息系统审计 InformationSystemsAudit 或IT审计 4 内部审计及其分类 业务审计与
2、IT审计的关系 自动应用控制应用控制帐号管理 逻辑控制 一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划 BCP 基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期 SDLC 共享数据库机房 业务审计 IT审计 5 信息系统审计 从风险管理和风险基础审计的角度理解 一个目标两种风险三项评价四类测试 6 信息系统审计 从风险管理和风险基础审计的角度理解 一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性 这个事件对目标的实现具有影响 风险是不希望发生事情的可能性 对待风险的四种策略 拒绝 接受 转移 缓释 控制 7 信息系统审计
3、 从风险管理和风险基础审计的角度理解 两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务 操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置 8 信息系统审计 从风险管理和风险基础审计的角度理解 三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全 9 信息系统审计 从风险管理和风险基础审计的角度理解 四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试 10 信息系统审计 从风险管理和风险基础审计的角度理解 将IT相关风险控制在可接受水平 战略风险 操作风险 评价IT项目 评价业务流程中的IT控制 评价信息安全 测试IT控制环境 测试
4、物理控制 测试逻辑控制 测试IS操作控制 一个目标 两种风险 三项评价 四类测试 11 信息系统审计标准 ITIL ITInfrastructureLibrary BS7799COBIT ControlObjectivesforInformationandRelatedTechnology 12 信息系统审计标准 ITIL IT服务管理IT服务管理 ITSM 一种以流程为导向 以客户为中心的方法 它通过整合IT服务与组织业务 提高组织IT服务提供和服务支持的能力和水平 ITIL ITInfrastructureLibrary IT基础架构库 最初由英国商务部 OGC 80年代组织开发 是ITS
5、M领域在欧洲的事实标准 2001年成为英国标准BS15000 13 信息系统审计标准 ITIL ITIL整体框架服务提供包括5个核心流程 服务级别管理 能力管理 可用性管理 持续性管理 财务管理 服务支持包括5个核心流程 配置管理 发布管理 变更管理 事故管理 问题管理 服务台职能 资料来源 OGC 2002 14 信息系统审计标准 BS7799 信息安全管理 指一个组织的政策 实务 程序 组织结构和软件功能 用以保护信息 确保信息免受非授权访问 修改或意外变更 并且在经授权用户需要时可用 保密性 Confidentiality 资料来源 Pfleeger 1997 完整性 Integrity
6、 可用性 Availability 15 信息系统审计标准 BS7799 信息安全管理体系 ISMS BS7799 最早由英国贸易和工业部于1993年组织开发 1995年成为英国国家标准 由两部分组成 目前最新版本为 BS7799 1 1999 信息安全管理实施规则 BS7799 2 2002 信息安全管理体系规范 BS7799 1于2000年被批准为国际标准ISO IEC17799 2000 信息技术 信息安全管理实施规则 16 信息系统审计标准 BS7799 信息安全管理体系 ISMS BS7799 1将信息安全管理分为10类控制 成为组织实施信息安全管理的实用指南 通讯和运行管理访问控制
7、系统开发和维护业务持续管理合规 信息安全政策安全组织资产分类和控制人员控制物理和环境安全 17 信息系统审计标准 BS7799 BS7799 2提供的信息安全管理框架 制定政策 确定ISMS的范围 实施风险评价 管理风险 选择控制目标和控制 制定应用说明 政策文件 ISMS范围 风险评价 选择的控制选项 应用说明 结果和结论 选择的控制目标和控制 威胁 弱点 影响 风险管理方法 需要的保证程度 ISMS需要的控制目标和控制 BS7799以外的控制 第一步 第二步 第三步 第四步 第五步 第六步 资料来源 BSI 1999 18 信息系统审计标准 COBIT IT治理信息安全和控制实务普遍接受的
8、标准主要目的是为企业治理提供清晰的政策和最佳实务以信息系统审计与控制基金会 ISACF 的控制目标为基础 由ISACA及其下属的 IT治理研究院 开发 1996年第一版 2000年第三版 2006年第四版 19 信息系统审计标准 COBIT 由34个IT控制目标组成 分为四个方面 规划和组织获得与实施交付与支持监控 20 信息系统审计标准 COBIT COBIT的34个控制目标 交付和支持 IT资源 信息 监控 获得与实施 规划和组织 效果性 效率性 保密性 完整性 可用性 合规性 可靠性 人 应用系统 技术 设备 数据 确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护
9、系统安装与鉴定变更管理 定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理 定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理 过程监控评价内部控制的适当性获取独立鉴证提供独立的审计 COBIT 企业目标 IT治理 资料来源 ITGovernanceInstitute 2000 21 信息系统审计方法 年度风险评估和计划 问题追踪和后续审计 审计评价 审计报告 审计计划 控制评价 风险
10、评估 审计方案和测试 年度风险评估和计划 问题追踪和后续审计 审计评价 审计报告 审计计划 控制评价 风险评估 审计方案和测试 22 内部审计方法年度风险评估和计划 实施年度风险评估识别下一年度的审计领域 制定年度审计计划 23 年度风险评估 风险评估 按照可审计业务单元进行每年实施一次考虑因素业务 财务影响外部环境 如规章制度 市场 技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论 分公司 子公司和总公司 24 年度风险评估 风险分级和审计频率 非常高 一年或少于一年审计一次 高 每一至两年审计一次 中 每三到四年审计一次 低 每五年审计一次或不审计 25 年度风险评估 举例
11、26 年度审计计划 举例 某公司2005年内部审计计划一 制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的 在制定过程中 我们考虑了公司管理层的要求 以及公司其他股东的年度审计计划 二 影响计划制定的主要因素1 中国区业务的快速发展2 与其他股东在内部审计方面的良好合作3 三 审计范围 四 审计项目描述五 审计时间预算 27 信息系统审计方法计划 审计任务备忘录 审计通知书 审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动计划审计标准审计效果评价 28 计划 举例 某公司一般IT控制审计备忘录审计范围和目的 本次审计的目的是 通过审计 评价下列领域控制的效果
12、 IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划审计方法 本次审计是按照风险基础审计的方法进行的 我们将对上述领域的风险进行评估 然后对中高风险领域进行控制测试 在审计中 我们主要采取如下方法 检查有关规章制度 程序和标准 检查有关规划和操作文件和报告 如IT规划 项目文档 总是日志 BCP等 IT实地观察 与管理层和有关员工面谈 审计组成员 审计时间 审计标准 我们将按照国际内部审计师协会 IIA 和国际信息系统审计与控制协会 ISACA 制定的有关标准进行审计 由于我们是通过抽样进行测试 因此我们的审计并不能绝对保证发现所有的错误和违规
13、问题 审计绩效评价 审计结束时 我们将向员工发送问券调查 以评价审计工作是否有效和达到目的 29 信息系统审计方法风险评估 识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价 高 中 低 影响评价 低 中 显著 非常显著 风险 高 中 低 30 风险评估 举例 流程 IT规划与组织 31 信息系统审计方法控制评价 记录需要控制风险的主要内部控制 控制评价矩阵具体风险需要的控制控制类型 预防 发现 改正 32 控制评价 举例 流程 IT规划与组织 33 信息系统审计方法审计方案和测试 制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果 34 审计方案和测试 举例 流程 IT
14、规划与组织 35 信息系统审计方法沟通和报告 发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议 36 信息系统审计方法绩效评价 被审计单位调查问卷审计结束时发出调查问题 审计目的是否表述清楚 审计人员对被审计单位人员是否谦和礼貌 审计发现是否准确 对你是否有用 37 信息系统审计方法问题追踪和后续审计 对重要审计建议进行季度监控 内部审计季度检查报告控制报告 38 IT核心流程和审计方法 规划和组织系统开发变更 问题管理数据管理计算机操作运行物理安全 设备管理业务持续计划 BCP 信息安全网络管理应用处理 39 IT流程 规划和组织
15、公司如何管理IT 相关风险IT规划与业务规划不一致不现实的战略规划IT成本超支存在不相容的职能组织不好的IT职能 40 审计方法 规划和组织 审计范围组织结构规划过程 战略 战术 预算和成本控制服务级别协议 SLAs 培训和资源保障沟通过程 41 审计方法 规划和组织 访谈对象首席执行官 CEO 首席营运官 COO 首席财务官 CFO 首席信息官 CIO IT指导委员会成员IT高级管理层用户管理层 42 审计方法 规划和组织 检查内容 IT组织机构图IT部门章程 权限IT规划 战略 战术 业务规划IT指导委员会会议纪要政策 程序和标准服务级别协议 SLAs 培训计划职位描述 43 IT流程 系
16、统开发 信息系统是如何开发的 以支持企业运营 相关风险未满足业务需求有瑕疵的业务案例延期实施范围不确定 软件基线 44 审计方法 系统开发 审计范围项目所有者需求的提出和控制项目管理开发和测试数据转换控制后实施 45 审计方法 系统开发 访谈对象 CIOIT指导委员会成员项目指导委员会成员项目所有者项目经理 46 审计方法 系统开发 检查内容 IT规划系统开发方法与硬件 软件采购相关的政策和程序项目文档 如 需求定义 可行性分析 与软件采购 开发和维护相关的合同 47 IT流程 变更管理 IT变更是如何管理的 以确保完整性相关风险非授权的变更请求未测试的变更非授权的变更实施 48 审计方法 变更管理 审计范围所有者需求的提出和控制变更控制文档和过程软件发布政策 49 年度审计计划 考虑的因素和批准 考虑的因素风险高的可审计单元管理层的要求公司风险管理委员会和审计委员会的指导外部审计年度审计计划批准第一层次 副总裁 总审计师 管理层 第二层次 审计委员会 董事会 50 审计方法 变更管理 访谈对象CIOIT高级管理层应用开发经理质量鉴定经理IT运行经理 51 审计方法 变更管理 检查内容
