it审计PPT课件

IT治理与信息安全咨询顾问 陈伟 信息系统审计 培训内容 一 什么是审计 二 什么是信息系统审计 三 信息系统审计过程四 信息系统审计标准五 信息系统审计师CISA简介六 互动讨论 一 什么是审计 ITAuditing 1 1审计的概念与历史 审计的定义是指有胜任能力的独立机构或人员接受委托或授权 对特定经济实体的可计量的信息证据进行客观地收集和评价 以确定这些信息与既定标准的符合程度 并向利益相关者报告的一个系统的过程 对审计的理解审计主体 独立机构或人员 审计关系 接受委托或授权 审计对象 可计量的信息 审计依据 既定标准 审计依据 既定标准 审计工作 客观地收集和评价证据 审计目标 确定这些信息与既定标准的符合程度 并向利益相关者报告 审计过程 系统的过程 遵循逻辑顺序 结构严密的活动 审计的性质 独立 客观 审计领域审计所涉及的领域包含社会活动的方方面面 它最关注的是风险 财务风险只是其中的一部分 国家审计机关 会计师事务所的审计是财务报表审计 内部审计是全方位的经营管理审计 在发达国家 企业管理人员甚至可以就业务经营管理的任何问题咨询审计师的意见 在我国 财务 会计审计几乎成了审计的全部 这与我国审计事业目前所处的发展阶段有关 中国国家审计署要求国家审计工作逐步做到财务收支审计项目和效益审计项目各占一半 由基于帐项的审计逐步向基于数据和基于风险的审计过渡 审计的产生审计是社会生产发展到一定阶段的产物 早在西周时期 我国就设有行使就地稽查职权的审计职能官 宰夫 在古埃及 古希腊和古罗马帝国 都有对国家财政收支进行监督检查的审计官员 16世纪意大利商业城市中出现了一批具有良好的会计知识 专门从事这种查账和公证工作的专业人员 他们所进行的查账与公证 可以说是注册会计师审计的起源 1853年 苏格兰爱丁堡创立了第一个注册会计师的专业团体 爱丁堡会计师协会 该协会的成立 标志着注册会计师职业的诞生 审计在近代的发展从18世纪下半叶到20世纪初 英国的法律规定了所有股份公司和银行必须聘请注册会计师进行审计 致使英国注册会计师审计得到了迅速发展 并对当时欧 美及亚洲等地区产生了重要影响 1933年 美国 证券法 规定 在证券交易所上市的企业的会计报表必须接受注册会计师审计 向社会公众公布注册会计师出具的审计报告 在这一阶段 世界各国的审计组织 审计制度 审计方法和技术都已有了很大发展 形成了一门独立的 具有自己的对象 任务和方法的经济监督学科 在当代 审计已扩展企业风险控制的各个方面20世纪50年代以后 随着西方资本主义经济的迅速发展 竞争不断加剧 为了加强企业经济活动的规划和控制 专门为企业内部经营管理服务的管理会计应运而生 因此现代审计从财务审计发展到管理审计 从鉴证会计资料的正确性和合法性 又发展到评价企业经营管理和提高经济效益 从事后审计又发展到事前审计 使审计的内涵和外延向着纵深方向发展 2002年美国国会发布了SOX 萨班斯 奥克斯利法案 要求所有上市公司都必须建立有效的内部控制框架 掀开了全球企业加强风险管理和内部控制的序幕 2006年6月中国国资委发布 中央企业全面风险管理 2006年10月财政部发起成立企业内部控制标准委员会 其目的是为推动企业完善治理结构和内部约束机制 中国式的SOX法即将出台 随着公司治理 企业风险管理理论的流行 审计作为风险控制的重要手段 越来越显示其对企业不可或缺的作用 审计师面临的机会与挑战企业风险管理已成为保护企业核心竞争力的有效手段 有效的风险管理将是未来企业发展的主旋律 负责企业风险保证任务的审计部门及审计师将面临巨大的挑战 但也面临着众多的机会 1 2审计的分类 按审计主体分类政府审计内部审计注册会计师审计按审计目的和内容分类财务报表审计经营管理审计合规性审计司法取证审计信息系统审计 按审计的发展模式分类账项基础审计制度基础审计数据基础审计风险基础审计其他分类按与被审计单位关系分类 可分为内部审计和外部审计 按审计范围分类 可分为全面审计和局部审计 综合审计和专题审计 按施行时间分类 可分为事前 事中和事后审计 定期和不定期审计 期中和期末审计 按可选择性的角度分类 可分为强制性审计和任意审计 1 3审计执业规范体系 什么是执业规范体系指导审计人员科学合理进行工作的标准 亦是衡量审计机构与人员素质及工作质量的准绳 世界各国都制定了不同的审计准则体系 审计准则按审计主体分为 政府审计准则注册会计师审计准则内部审计准则 1 4审计机构 政府审计机构政府审计机构的隶属模式立法模式 国家审计机构隶属于立法机构 直接对议会负责并向议会报告审计结果 代表性的国家是美国 司法模式 司法型的政府审计制度的特点是在政府审计机构内部设立司法部门 国家审计拥有有限司法权 从而强化了政府审计职能 西欧大陆 非洲和南美洲一些国家采用 行政模式 特点是审计部门是国家行政部门的一个组成部分 主要有中国 东欧和北欧的瑞典等国家 独立模式 特点是政府审计机构独立于立法权 司法权和行政权之外单独设置 形成国家政权体系的一个分支 目前具有代表性的国家当推日本 国际政府审计组织最高审计机关国际组织 TheInternationalOrgnizationofSupremeAuditInstitutions INTOSAI 是由联合国成员国的最高审计机关组成的国际性组织 宗旨是促进最高审计机关之间在政府审计领域内的审计准则 方法和技术的交流我国的政府审计机构我国实行的是行政审计模式 我国政府的审计机构共分四级 审计署 各省 自治区 直辖市审计 厅 局 省辖市 自治州 盟 行政公署 省人民政府派出机关 审计局 县 旗 县 市 级审计局 我国各级审计机关实行统一领导 分级审计 双重管理体制 内部审计机构内部审计的组织形式在公司管理部门之上 董事会之下 设立内部审计组织 这些内部审计织中的人员必须由不参加日常管理工作的董事会成员来担任 以便内部审计工作在企业中有高度的独立性 美国上市公司中的内部审计就属于这一类型 在总经理直接领导下 各职能管理部门之上设置内部审计部门 帮助总经理执行日常监督工作 有一定独立性 我国的企业大部分采用这一组织形式 在财务部门内部设置审计组织 隶属于财务部门领导 主要对会计记录 日常核算工作等进行监督 独立性与权威性均较低 内部审计的国际组织国际内部审计师协会 InstituteofInternalAuditor IIA 是一个国际性内部审计学术团体 成立于1941年 该协会的宗旨是为会员完成各项专业职责和促进内部审计事业的发展提供服务 IIA在全球的会员人数为10 7万人 目前获得CIA资格的内部审计师已超过5万人 我国的内部审计机构我国的内部审计机构目前大多数采用的是总经理领导模式 即在本单位主要负责人的领导下 设置独立的 与其他职能部门平行的内部审计机构 1989年12月 审计署发布了 关于内部审计工作的规定 使内部审计工作的开展有了法规依据 1995年1月1日实施的 中华人民共和国审计法 规定了哪些部门 组织和单位应按规定建立 健全内部审计制度 从而为我国建立内部审计提供了法律依据 注册会计师审计机构会计师事务所国际会计师事务所 四大 毕马威 KPMG 安永 Ernst我国的会计师事务所 注册会计师法 规定会计师事务所只能采用合伙制或有限责任制的形式 由主任会计师 副主任会计师 部门经理 注册会计师 业务助理人员和其他工作人员组成 实现主任会计师负责制 主任会计师是事务所的法定代表 并且必须是注册会计师 审计人员的资格考试政府审计人员的资格及相关考试申请政府审计人员职称考试时 资格审查与考试程序并不复杂 一般只要确认其学历 并通过三四门的专业考试 就可获得如审计师这样的职称 注册会计师的资格审查及相关考试CPACPA考试科目为五科 会计 财务成本管理 审计 经济法和税法 通过注册会计师考试全科成绩合格的 均可取得注册会计师资格 申请加入注册会计师协会成为非执业会员 但不能执业 要获得执业资格 必须在一家会计师事务所从事审计工作两年以上并符合其他审批条件 只有经批准注册后 发给财政部统一印制的注册会计师证书 方可执行注册会计师业务 内部审计人员的资格审查及相关考试CIACIA考试科目共计四门 分别为内部审计在治理 风险和控制中的作用 实施内部审计业务 经营分析和信息技术 经营管理技术 二 什么是信息系统审计 ITAuditing IT风险已逐渐成为组织的重要风险随着IT技术的快速发展与应用的深入 企业对IT系统的依赖性越来越强的同时 面临不断增多的系统薄弱性和各种各样的威胁 现代企业IT系统的停机可能会造成业务受到巨大损失 声誉下降 竞争优势丧失 IT项目的高投入和高失败率 使得企业无法实现其预期的创新与利益 不能实现对IT的投资回报 或者不通对投资回报进行测量 在全球加强行业监管和内部控制的趋势中 IT越来越充当重要角色 IT不仅要为业务的风险控制提供保障环境 而且其自身的风险控制也倍受关注 2 1信息系统审计的产生背景 IT审计是控制信息化的风险的制度安排决定信息系统是否有效运转的决定因素不是信息技术 而是制度 组织结构 规则与标准 最终是人 信息化需要合理有效的制度安排 建立良好的管理控制体系是企业信息系统建设成功的重要保证 应该逐步完善企业的IT治理机制 实现IT与战略 管理 业务运营 信息安全的深度融合 这样一方面使信息系统为企业创造价值并保护持续性 另一方面控制信息化的风险与降低成本 构筑信息时代新的 游戏规则 规则 是 游戏 是重要组成部分 建立信息系统审计制度是建立信息化 游戏规则 的重要组成部分 信息系统审计的定义国际信息系统审计领域的权威RonWeber的定义 收集与评估证据 以判断一个计算机系统 信息系统 是否有效做到保护资产 维护数据完整 完成组织目标 同时最经济地使用资源 ISACA定义 信息系统审计是一个获取并评价证据 以判断计算机系统是否能够保证资产的安全 数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程 2 2信息系统审计的概念与历史 信息系统审计国际组织ISACA1969年美国洛杉矶成立了电子数据审计师协会 EDPAA 1994年该协会更名为信息系统审计与控制协会 ISACAInformationSystemAuditandControlAssociration 总部在芝加哥 ISACA制订信息系统审计准则 实务指南等专业规范来指导信息系统审计师的工作 每年为通过考试为从业人员颁发CISA CISM证书 CISA资格在世界各国被广泛认可 ISACA在100多个国家 设有170多个分会 现有会员超过6万5千人 认证信息系统审计师CISA超过5万人 IT治理研究院 ITGI 组织各种专项研究 制定和发布了IT控制与审计标准COBIT 信息系统审计与控制基金会 ISACF 接受捐赠 管理财务事宜 www isaca org ISACA的重要贡献之一 IT治理及COBIT 关注点 如何控制IT风险 ISACA的重要贡献之二 VALIT 关注点 如何使IT创造价值 信息系统审计的作用鉴证价值通过审计 合理地保证被审计单位信息系统及其处理 产生的信息的真实性 完整性与可靠性 政策遵循的一贯性 促进价值审计师的证明可以增强人们对组织信息系统的信任程度 促进组织更有效地带入社会经济生活中 通过审计发现控制缺陷或漏洞 提出解决问题的建议 从而促进被审计单位提高管理水平 提高经济效益 咨询价值审计师帮助企业建立健全内部控制制度 进行系统诊断咨询 客观中立地帮助企业降低信息化建设过程中的风险 信息安全越来越成为银行信息化建设与管理中需要密切关注的问题 企业对信息安全的重视程度和资金投入 将逐渐从单一的产品和技术向整体解决方案过渡 同时从封闭式的设计 实施与管理 不断与完善的 具有适当资质的 独立的第三方审计相结合 这是未来发展的一个趋势 中国人民银行支付与科技司司长陈静 信息系统审计的业务内容 组织层控制审计 应用层控制审计 一般性控制审计 一般控制 组织控制的审计业务内容信息系统的管理 规划与组织审计信息系统技术基础设施与运行实务审计信息资产的保护审计灾难恢复与业务持续计划业务应用系统开发 获得 实施与维护业务流程评价与风险管理与安全相关的人力资源管理与企业文化 应用控制的审计业务内容应用控制是存在于应用系统中 用于保证记录的完整性和准确性及人工或自动数据录入的正确性的控制措施 应用控制是针对输入 处理和输出功能的控制 应用控制大部分与IT应用系统相关联 但业务过程范围内的部分控制仍保留着手工操作的程序 如 交易授权 职责分离和人工核对等 COBIT过程包含了一般性IT控制 但是不包括应用系统控制 因为应用系统控制属于业务过程所有者的职责 但IT管理与控制人员有协助业务人员建立并完善IT应用控制的责任 应用控制的种类 社会对信息系统审计的需求企业IT部门信息系统安全服务的新形式 信息安全审计为企业控制IT风险 提高绩效企业内审部门拓展新的审计业务提升自身的地位独立的第三方审计部门国家法律 行业法规要求 信息系统审计是企业风险管理中不可或缺的重要组成部分 三 信息系统审计过程 ITAuditing 提高信息系统审计质量 促进审计从业人员之间的经验交流 促进审计职业的良好发展 信息系统审计准则 信息系统审计指南 信息系统审计程序 职业道德规范 3 1信息系统审计准则与指南 IT审计职业道德规范职业道德规范 CodeofProfessionalEthics 职业审慎 DueProfessionalCare 信息系统审计师应在审计工作中自觉严格遵循相关实施准则 程序及控制 并遵守相关法律法规的要求 在具体执行审计中要按照职业标准及最佳实践原则要求自己 做到敬业 公正及审慎 以诚实及符合法律要求的方式为利益相关者服务 保持高尚的行为及品德 不从事有损于信息系统审计职业的活动 对信息系统审计过程中所取得的信息 应予以保密 不得借以谋取私利和泄漏给他人 执法机构的司法调查除外 保持在审计和信息系统控制相关领域的专业胜任能力 有效而可靠地完成审计任务 应获得充分及适当的证据 作出审计结论及建议 审计结果应向适当的组织 部门和个人报告 应当对组织中的利益相关者进行信息系统安全与控制的教育 以促进其对审计及信息系统的了解 指工作勤勉程度和开展工作所必需的技能要求 体现在信息系统审计师的职业判断过程中 是确保客户获得高质量审计的基础 信息系统审计准则是整个审计准则体系的总纲 是信息系统审计师的资格条件 执业行为的基本规范 是制定审计指南和审计程序的基础依据 审计师执行审计业务 出具审计报告 都必须遵守执行 具有强制性ISACA标准委员会制定了11大类信息系统审计准则 审计指南审计指南是依据审计准则制定的 是审计准则的具体化 指南详细规定了信息系统审计师执行各项审计业务 出具审计报告的具体指南 为审计师在执行审计业务中如何遵守审计准则提供指导 审计师在运用这些指南时 离不开职业判断 对任何偏离指南的行为一定要有充分的理由 ISACA标准委员会制定了35条信息系统审计指南 审计程序信息系统审计程序是依据审计准则和审计指南制定的 它为审计师提供了一般审计业务的程序和步骤 是遵守审计准则和审计指南的一些通常审计程序 审计程序为审计师提供了很好的工作范例 但审计师在执行具体的审计业务时 还要根据特定的信息系统和特定的技术环境做出自己的职业判断 审计章程 AuditCharter 组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色 审计章程既要强调管理层本身的对信息系统审计的责任与目标 以及对信息系统审计的授权 也要明确信息系统审计师可以行使的权力 所负责任及审计范围 3 2信息系统审计方法 审计方法 AuditMethodology 所谓的审计方法就是通过在组织中制定一系列规范的审计方法来达到预期的审计目标 也可称为审计策略 主要内容包括审计范围 审计目标及工作程序 审计方法论应当由审计部门的管理人员来制定与批准 并在审计人员中推广应用 审计计划 AuditPlan 短期计划 本年度内需要实施的审计事项中长期计划 2年以上的审计计划制定审计计划的要点 充分了解组织的业务目标 业务流程及信息技术进行风险评估 实施内部控制检查确定审计范围及目标 制定审计方案及审计策略审计计划应当得到管理层和审计委员会的批准 如果可能的话 尽量通报到各管理层负责人综合考虑审计项目要求 人力资源现状及其他限制条件 合理匹配审计资源 审计资源管理审计师的信息系统相关知识与能力审计项目管理的能力审计人员的培训计划审计工具的使用 例如 网络扫描工具 穿透测试工具 日志分析工具等 审计委托书审计师的责任审计师的权利审计师的义务与委托方的交流 明确审计任务 审计目标 审计范围 独立性 风险评价 被审计单位的其他要求等 对于内部审计师而言 还包括关键成功因素 主要绩效衡量指标及其他工作措施 审计师有权接触的相关信息 询问相关被审计人员 巡视被审计场所及信息系统相关的设备 软件等 审计人员有权了解组织结构包括向董事会和高层经理汇报的途径信息系统审计小组成员不同的权限 确定报告接受者 质量评估 约定的完工期 预算 双方达成的协议 对内部审计师还包括 工作成绩和职责标准 向上级汇报的途径 信息系统审计师的经历与经验 个人工作表现评价 独立性评价 对标准遵守情况 计划完成情况 经费开支 委托方要准确描述信息系统审计目标 对象 领域和信息系统审计时限 描述可能面临的问题的解决方案提供能进行有效 便捷的交流方式和工具 审计方案 AuditProgram 信息系统审计师经常需要从不同的角度评价IT系统及其功能 此时建立审计工作方案 也就是具体的审计策略与计划 是一件十分重要的工作 通过审计工作方案可以确定具体的审计范围 审计目标 审计程序 以获得充分的 合理的证据 以得出和支持审计结论与审计建议 审计方案的一般内容获得对审计领域及审计主题的理解并进行记录 进行风险评估并制定通用的审计计划和日程安排 制定详细的审计步骤 对审计领域及审计主题的预审计 对审计领域及审计主题进行评价 符合性测试 常指对控制的测试 实质性测试 报告 沟通审计结果 后续工作 编制审计方案要考虑的问题 信息系统的使用程度信息系统的复杂程度信息系统的组织结构数据的可获得性计算机辅助审计技术特殊技能的要求收集信息系统环境资料 审计日期安排审计人力资源的确定与培训项目管理可用资源与需求的匹配 企业的组织结构与业务流程权力与责任的沟通手段管理层的监管手段了解业务信息系统了解对审计范围有显著影响的事件 了解被审计单位及其环境 审计资源安排计划 通用审计目标为管理当局提供相关控制己有效实施的保证发现控制弱点和由此而产生的风险为管理当局提出纠正建议 ISACACoBIT框架 审计指南 审计目标 例如 信息安全审计的目标为达到控制信息安全的目标 要对委托方提供合理的保证证明组织存在信息安全控制弱点 并指出这种弱点所产生的风险建议对信息安全存在的弱点采取控制措施使委托方管理人员了解组织当前组织信息安全的状况促使管理者提高信息安全意识 确定审计重点内容 重要性水平 业务流程分析建立信息系统的轮廓现有控制的初步评估己往审计报告的分析审计师的职业经验 例如 A组织的须审计的重点内容总体安全评审主机与网络安全物理安全环境安全业务应用系统安全知识产权保护业务连续性计划 审计内容 日程安排 示例 t 开始审计时间 n 周签订审计委托书t 10确定审计日期t 8到达目的地时间审计小组工作时间开始调查时间结果调查时间确定访谈对象t 8确定审计小组成员t 8收集文档资料t 4起草审计报告t 2完成审计报告t 6 资源n 周x人数前期准备1实施审计1 1每增加一个主题 完成报告1 1每增加一个主题 总计3 2每增加一个主题 人员要求见下一页 所需经验小组组长 5年审计管理高沟通能力高信息系统安全非常高掌握CSA方法较深主机网络安全 3年物理环境安全 3年业务应用系统 5年业务连续性计划 5年 所有人员都应有类似的审计经验 否则审计日期的安排至少应该增加50 人员要求 示例 所需人员 假设人员都具有足够经验 总体安全评审 1主机与网络安全 1物理安全 环境安全 1业务应用系统安全 1业务连续性计划 1 最多人数 5 理想的小组规模 3 4人 信息收集 示例 IT系统信息 信息安全方针己有的信息安全与IT的调查报告组织流程图联系人姓名与地址网络拓扑与描述IT资产分类目录业务连续性计划 相关法律与法规 组织数据保护 个人隐私计算机犯罪 滥用软件版权知识产权 IT政策与程序 信息安全政策物理访问 逻辑访问控制运营管理 备份 日志等 系统开发第三方提供的保险工作描述 场地信息 建筑平面图机房设计与设备放置防灾措施 COBIT推荐的审计过程 3 3信息系统审计过程 审计的四个过程 获得对业务需求有关的风险 和相应的控制方法的理解 评价规定的控制的适宜性 评估符合性 通过测试规定的控制是否按规定 一致的 持续的起作用 证实 通过分析技术和 或咨询可选的来源 证实控制目标的风险不存在 审计步骤一 确定与记录目标 为了使审计师能够熟悉审计目标所涉及的任务 并且了解信息系统管理层人员是如何确认他们己实施了有效的控制 包括识别出与实施的任务和规定的控制程序相关的人员 过程和地点 流程 审计步骤二 评估目标 通过评估规定的控制程序 以决定此程序是否提供了有效的控制结构 评估时要利用己确定的准则 行业标准及必要的审计判断 一个有效的控制结构应当考虑成本有效性 要对任务己被执行 控制目标己达到提供合理保证 流程 审计步骤三 符合性测试目标 对组织符合规定的控制程序的程度进行分析 把实际的控制程序及补偿性控制措施与规定的控制程序进行对比 并进行文档检查 会晤相关人员 以判断控制是否被正确地 持续地实施 只对被证明有效的控制程序进行符合性测试 流程 审计步骤四 实质性测试目标 进行必要的数据测试 就给定的业务目标是否己达到 为管理层提供最终的保证 流程 现场审计步骤预审计计划首次会议资料收集实地检查重要设备与流程符合性测试 实质性测试CSA工作组评审 得出结论与被审计方进行沟通拟定审计报告 现场时间安排 示例 审计证据的收集证据就是审计师按照审计标准及目标的要求 在对某一实体或数据进行审计时所采用的信息 收集证据是审计过程的一个重要步骤 信息系统审计师必须了解审计证据的表现形式 收集及评价证据的程序与技术证据的可靠性保证 提供审计证据人员的独立性提供审计信息或证据人员的资格审计证据的客观性审计证据的时效性 收集证据的方法观察在被审计方办公场所内外进行观察从地下室到建筑物屋顶观察员工形为观察对来访者的接待 检查文档对所有收到的文档进行标记 时间 日程 来源 格式 生成并维护一个文档列表对控制进行突出显示列出所缺文档 或不清楚的内容 一些样例文档的拷贝 供受审计方参考 人员访谈各种人员交流 讨论 发现问题测试安全意识与技能音像资料获取对一些需要记录的重要场所与人员行为 用录音 录像方式记录信息系统审计证据的获取辅助审计软件网络扫描工具穿透测试工具口令测试工具 审计证据评价收集审计证据之后 要评估所收集的信息 以便提出审计意见 审计证据评价要考虑的因素有 控制需求相关及周边信息考虑补偿性与重叠性控制考虑控制的相关性判断控制是否有效率和效果分析证据的技术判断审计结果的重要性水平审计师应善用判断来决定哪些问题对相关层级主管是重要的 并向他们报告 审计报告审计准则070 03中规定 在信息系统审计完成后 信息系统审计师应提交一份按要求格式书写的信息系统审计报告 信息系统审计报告应陈述信息系统审计工作的范围 目标 期间 性质等 并限定报告提交对象和发放条件 在报告中还应陈述信息系统审计结论 信息系统审计建议和保留意见 审计指南070 010 审计报告 提供了一个审计报告内容与格式的一般指导 介绍委托书 审计目标和范围 审计过程 日程 活动 审计总结审计重要发现综述审计结论主要建议管理层对审计结论的反应总体安全评审CSA方法介绍安全评审的结果详细发现与建议主机与网络安全评审的结果详细发现与建议 物理安全 环境安全评审的结果详细发现与建议业务应用系统安全评审的结果详细发现与建议业务连续性计划评审的结果详细发现与建议 附录CSA分值列表 信息安全审计报告示例 质量保证活动审计小组遵守审计程序与步骤使用检查列表使用与审计内容相关的检查列表根据列表提出问题审计发现与建议审计质量控制标准计算机辅助审计每天审计小组讨论与检查与委托方讨论审计发现主任审计师对审计结论的复核 委托方对以下活动要进行核实和签署意见CSA评审意见CSA评分的更改审计报告阅读并校对写委托方的总结对审计建议进行核对 3 4审计后事宜 审计跟踪审计工作应当是一个持续进行的过程 某一阶段审计活动完成 审计报告递交后 还需要跟踪检查管理层是否就审计发现及结论采取了改进措施 跟踪检查的时效性取决于审计发现的重要性及基于审计的职业判断 跟踪检查的结果要及时与管理层沟通 审计文档 审计底稿 ISACA审计指南060 010 审计文档 条款对审计文档作了明确的要求 应当包括 审计计划 信息系统环境的描述及图示 审计程序 会议记录 审计证据 审计发现 审计结论及建议 审计过程中发布的任何其他报告及监督检查结论等 四 信息系统审计标准 ITAuditing IT治理框架由关系和过程所构成的体制 用于指导和控制企业 通过平衡信息技术与过程的风险 增加价值来确保实现企业的目标 战略层面 IT原则 架构 基础设施 应用需求及IT投资的决策权归属及责任担当框架的建立 战术层面 利用国际认可的最佳实施规范建立IT控制框架 4 1IT治理框架作为审计标准 IT控制目标 COBIT信息安全管理 ISO27001IT服务管理 ITIL企业元数据标准 数据集标准 数据元标准企业业务连续性计划IT项目管理与IT监理规范IT资源协同IT绩效测量 IT治理框架图示 对IT风险的控制是否达到组织可接受水平风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害 风险的严重程度与资产价值的损害程度及威胁发生的频度成正比 每一种对象审计都面临着不同的风险 信息系统审计师要善于评价各种风险 并选择对高风险区域进行审计 4 2基于风险评估的审计标准 风险分析风险控制目前是企业关注的重点 其前提首先要对企业面临的风险有一个全面的认识 组织中最重要的业务环节是什么 这些部分是如何使用与处理信息的 信息系统对这些部分的重要性如何 组织的信息系统在产生 传输 处理 存储信息过程中有哪些薄弱环节 信息的机密性 完整性 可用性需要什么样的保护 当前组织的风险管理方法与策略是否有效 是否能把风险降低到管理层可以接受的水平 组织所制定的风险控制目标及控制方法是否考虑了成本效益原则 对风险的管理是不是一个持续改善的过程 风险计算一种是定性分级 对审计对象每一个重要风险因素给出一个分值 把各种因素的风险值累计起来就是被审计对象的风险值 要优先对高风险区域进行审计 另一种技术是审计师根据专业经验 业务知识 管理层的指导 业务目标 环境因素等进行判断 以决定风险大小及审计的优先级 IT的一般性准则IT与其他业务一样都应当符合一般性管理原则 IT的每一种缺陷都可被追溯到违背了某些原则 IT审计师可结合被审计对象所在的行业特征 管理原则 技术原则等制定适合自身需求的审计标准 4 3IT一般性准则作用标准 国家法律 法规如 中华人民共和国国家安全法 中华人民共和国计算机信息安全保护条例 中华人民共和国计算机信息系统安全保护等级划分准则 中华人民共和国商用密码管理条例 等行业信息安全规定如 金融机构计算机信息系统安全保护暂行规定 网上银行业务管理暂行办法 等组织有关信息安全的政策与程序如 某商业银行总行制定的 大型计算机中心安全运行管理规范 软件投产制度 机房管理制度 软件管理与电子化信息建档制度 应急维护制度 及 计算机内控管理制度 等以上标准以外的信息安全扩展审计内容 4 4遵从法规的要求作为审计标准 五 CISA简介 ITAuditing CISA在国内外的发展注册信息系统审计CISA在国外已成为信息系统安全与鉴证领域内不可或缺的认证 信息系统审计师CISA认证考试从2002年引入国内算起已经进入第五个年头了 而且从2003年起增加了中文考试 国内这些获得认证的审计师在信息安全与控制领域内发挥着重要的作用 信息系统审计也越来越被国内企业认可 许多大型国有企业及跨国公司在招聘信息安全与控制方面高级管理人员中 都明确了对CISA证书的要求 信息审计师获取CISA认证的优势据2001年一项针对国际信息系统审计与控制协会会员中持有CISA证书的调查显示 71 的受查者认为 获得CISA认证对于他们的职业生涯有帮助 对不论是否持有CISA证书的ISACA会员调查显示 更有75 的受查者认为通过CISA对于他们将来的职业生涯会有所帮助 获得CISA认证可以促进工作开展或为职务升迁创造竞争优势 CISA知识基础信息系统审计是一门综合性交叉性学科 它包括了审计学 企业风险管理学 信息技术学 信息经济学等组成 这些学科 领域的理论并非简单的叠加 而是按照一定的秩序 规则进行有效的组合而形成的有机整体 一名合格的信息系统审计师需要在企业管理理论 企业会计理论 审计理论 信息技术理论 行为科学 信息安全 法律等方面具背扎实的知识基础和综合运用知识的技能 CISA知识结构及职业方向 获得CISA认证的前提通过CISA考试 遵守国际信息系统审计与控制协会的 职业道德规范 此规范已列入 CISA考试申请人指南 中 供应考人参考 在信息系统审计 控制 或安全领域5年以上工作经验的证明 提出CISA资格申请并得到批准 专业经验必须在申请前的10年之内获得 认证申请必须在通过CISA考试的5年之内提出 专业经验必须由原雇主独立地确认 CISA报名从ISACA网站下载报名表 填好后寄出 或在线报名 www isaca org examreg ISACA鼓励在线报名 可省 35 在CISA考试前2到3周 你会收到考试机构寄来的准考证以及来自ISACA的电子准考证 准考证上标明了考试的日期 入场登记时间与考试地点 CISA考试CI