IT审计的组织与实施(培训课件)

1 IT审计的组织与实施 刘济平中国光大 集团 总公司审计部副主任注册信息系统审计师 CISA 注册内部审计师 CIA 高级审计师经济学硕士 南开大学西方会计与审计专业 理学硕士 英国Strathclyde大学商务信息技术系统专业 E mail liujp 2 内容安排 内部审计及其分类信息系统审计 从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析 3 内部审计及其分类 内部审计内部审计分类业务审计 OperationsAudit 信息系统审计 InformationSystemsAudit 或IT审计 4 内部审计及其分类 业务审计与IT审计的关系 自动应用控制应用控制帐号管理 逻辑控制 一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划 BCP 基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期 SDLC 共享数据库机房 业务审计 IT审计 5 信息系统审计 从风险管理和风险基础审计的角度理解 一个目标两种风险三项评价四类测试 6 信息系统审计 从风险管理和风险基础审计的角度理解 一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性 这个事件对目标的实现具有影响 风险是不希望发生事情的可能性 对待风险的四种策略 拒绝 接受 转移 缓释 控制 7 信息系统审计 从风险管理和风险基础审计的角度理解 两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务 操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置 8 信息系统审计 从风险管理和风险基础审计的角度理解 三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全 9 信息系统审计 从风险管理和风险基础审计的角度理解 四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试 10 信息系统审计 从风险管理和风险基础审计的角度理解 将IT相关风险控制在可接受水平 战略风险 操作风险 评价IT项目 评价业务流程中的IT控制 评价信息安全 测试IT控制环境 测试物理控制 测试逻辑控制 测试IS操作控制 一个目标 两种风险 三项评价 四类测试 11 信息系统审计标准 ITIL ITInfrastructureLibrary BS7799COBIT ControlObjectivesforInformationandRelatedTechnology 12 信息系统审计标准 ITIL IT服务管理IT服务管理 ITSM 一种以流程为导向 以客户为中心的方法 它通过整合IT服务与组织业务 提高组织IT服务提供和服务支持的能力和水平 ITIL ITInfrastructureLibrary IT基础架构库 最初由英国商务部 OGC 80年代组织开发 是ITSM领域在欧洲的事实标准 2001年成为英国标准BS15000 13 信息系统审计标准 ITIL ITIL整体框架服务提供包括5个核心流程 服务级别管理 能力管理 可用性管理 持续性管理 财务管理 服务支持包括5个核心流程 配置管理 发布管理 变更管理 事故管理 问题管理 服务台职能 资料来源 OGC 2002 14 信息系统审计标准 BS7799 信息安全管理 指一个组织的政策 实务 程序 组织结构和软件功能 用以保护信息 确保信息免受非授权访问 修改或意外变更 并且在经授权用户需要时可用 保密性 Confidentiality 资料来源 Pfleeger 1997 完整性 Integrity 可用性 Availability 15 信息系统审计标准 BS7799 信息安全管理体系 ISMS BS7799 最早由英国贸易和工业部于1993年组织开发 1995年成为英国国家标准 由两部分组成 目前最新版本为 BS7799 1 1999 信息安全管理实施规则 BS7799 2 2002 信息安全管理体系规范 BS7799 1于2000年被批准为国际标准ISO IEC17799 2000 信息技术 信息安全管理实施规则 16 信息系统审计标准 BS7799 信息安全管理体系 ISMS BS7799 1将信息安全管理分为10类控制 成为组织实施信息安全管理的实用指南 通讯和运行管理访问控制系统开发和维护业务持续管理合规 信息安全政策安全组织资产分类和控制人员控制物理和环境安全 17 信息系统审计标准 BS7799 BS7799 2提供的信息安全管理框架 制定政策 确定ISMS的范围 实施风险评价 管理风险 选择控制目标和控制 制定应用说明 政策文件 ISMS范围 风险评价 选择的控制选项 应用说明 结果和结论 选择的控制目标和控制 威胁 弱点 影响 风险管理方法 需要的保证程度 ISMS需要的控制目标和控制 BS7799以外的控制 第一步 第二步 第三步 第四步 第五步 第六步 资料来源 BSI 1999 18 信息系统审计标准 COBIT IT治理信息安全和控制实务普遍接受的标准主要目的是为企业治理提供清晰的政策和最佳实务以信息系统审计与控制基金会 ISACF 的控制目标为基础 由ISACA及其下属的 IT治理研究院 开发 1996年第一版 2000年第三版 2006年第四版 19 信息系统审计标准 COBIT 由34个IT控制目标组成 分为四个方面 规划和组织获得与实施交付与支持监控 20 信息系统审计标准 COBIT COBIT的34个控制目标 交付和支持 IT资源 信息 监控 获得与实施 规划和组织 效果性 效率性 保密性 完整性 可用性 合规性 可靠性 人 应用系统 技术 设备 数据 确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理 定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理 定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理 过程监控评价内部控制的适当性获取独立鉴证提供独立的审计 COBIT 企业目标 IT治理 资料来源 ITGovernanceInstitute 2000 21 信息系统审计方法 年度风险评估和计划 问题追踪和后续审计 审计评价 审计报告 审计计划 控制评价 风险评估 审计方案和测试 年度风险评估和计划 问题追踪和后续审计 审计评价 审计报告 审计计划 控制评价 风险评估 审计方案和测试 22 内部审计方法年度风险评估和计划 实施年度风险评估识别下一年度的审计领域 制定年度审计计划 23 年度风险评估 风险评估 按照可审计业务单元进行每年实施一次考虑因素业务 财务影响外部环境 如规章制度 市场 技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论 分公司 子公司和总公司 24 年度风险评估 风险分级和审计频率 非常高 一年或少于一年审计一次 高 每一至两年审计一次 中 每三到四年审计一次 低 每五年审计一次或不审计 25 年度风险评估 举例 26 年度审计计划 举例 某公司2005年内部审计计划一 制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的 在制定过程中 我们考虑了公司管理层的要求 以及公司其他股东的年度审计计划 二 影响计划制定的主要因素1 中国区业务的快速发展2 与其他股东在内部审计方面的良好合作3 三 审计范围 四 审计项目描述五 审计时间预算 27 信息系统审计方法计划 审计任务备忘录 审计通知书 审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动计划审计标准审计效果评价 28 计划 举例 某公司一般IT控制审计备忘录审计范围和目的 本次审计的目的是 通过审计 评价下列领域控制的效果 IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划审计方法 本次审计是按照风险基础审计的方法进行的 我们将对上述领域的风险进行评估 然后对中高风险领域进行控制测试 在审计中 我们主要采取如下方法 检查有关规章制度 程序和标准 检查有关规划和操作文件和报告 如IT规划 项目文档 总是日志 BCP等 IT实地观察 与管理层和有关员工面谈 审计组成员 审计时间 审计标准 我们将按照国际内部审计师协会 IIA 和国际信息系统审计与控制协会 ISACA 制定的有关标准进行审计 由于我们是通过抽样进行测试 因此我们的审计并不能绝对保证发现所有的错误和违规问题 审计绩效评价 审计结束时 我们将向员工发送问券调查 以评价审计工作是否有效和达到目的 29 信息系统审计方法风险评估 识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价 高 中 低 影响评价 低 中 显著 非常显著 风险 高 中 低 30 风险评估 举例 流程 IT规划与组织 31 信息系统审计方法控制评价 记录需要控制风险的主要内部控制 控制评价矩阵具体风险需要的控制控制类型 预防 发现 改正 32 控制评价 举例 流程 IT规划与组织 33 信息系统审计方法审计方案和测试 制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果 34 审计方案和测试 举例 流程 IT规划与组织 35 信息系统审计方法沟通和报告 发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议 36 信息系统审计方法绩效评价 被审计单位调查问卷审计结束时发出调查问题 审计目的是否表述清楚 审计人员对被审计单位人员是否谦和礼貌 审计发现是否准确 对你是否有用 37 信息系统审计方法问题追踪和后续审计 对重要审计建议进行季度监控 内部审计季度检查报告控制报告 38 IT核心流程和审计方法 规划和组织系统开发变更 问题管理数据管理计算机操作运行物理安全 设备管理业务持续计划 BCP 信息安全网络管理应用处理 39 IT流程 规划和组织 公司如何管理IT 相关风险IT规划与业务规划不一致不现实的战略规划IT成本超支存在不相容的职能组织不好的IT职能 40 审计方法 规划和组织 审计范围组织结构规划过程 战略 战术 预算和成本控制服务级别协议 SLAs 培训和资源保障沟通过程 41 审计方法 规划和组织 访谈对象首席执行官 CEO 首席营运官 COO 首席财务官 CFO 首席信息官 CIO IT指导委员会成员IT高级管理层用户管理层 42 审计方法 规划和组织 检查内容 IT组织机构图IT部门章程 权限IT规划 战略 战术 业务规划IT指导委员会会议纪要政策 程序和标准服务级别协议 SLAs 培训计划职位描述 43 IT流程 系统开发 信息系统是如何开发的 以支持企业运营 相关风险未满足业务需求有瑕疵的业务案例延期实施范围不确定 软件基线 44 审计方法 系统开发 审计范围项目所有者需求的提出和控制项目管理开发和测试数据转换控制后实施 45 审计方法 系统开发 访谈对象 CIOIT指导委员会成员项目指导委员会成员项目所有者项目经理 46 审计方法 系统开发 检查内容 IT规划系统开发方法与硬件 软件采购相关的政策和程序项目文档 如 需求定义 可行性分析 与软件采购 开发和维护相关的合同 47 IT流程 变更管理 IT变更是如何管理的 以确保完整性相关风险非授权的变更请求未测试的变更非授权的变更实施 48 审计方法 变更管理 审计范围所有者需求的提出和控制变更控制文档和过程软件发布政策 49 年度审计计划 考虑的因素和批准 考虑的因素风险高的可审计单元管理层的要求公司风险管理委员会和审计委员会的指导外部审计年度审计计划批准第一层次 副总裁 总审计师 管理层 第二层次 审计委员会 董事会 50 审计方法 变更管理 访谈对象CIOIT高级管理层应用开发经理质量鉴定经理IT运行经理 51 审计方法 变更管理 检查内容 系统开发方法变更控制政策和程序变更需求表 52 IT流程 数据管理 数据是如何管理的 以确保完整和可用 相关风险数据不准确 过时或被破坏数据不可恢复数据的不适当访问 53 审计方法 数据管理 审计范围数据所有者组织结构计划和开发系统管理安全备份 恢复 54 审计方法 数据管理 访谈对象 IT高级管理层信息安全官员系统开发经理数据库存管理员数据所有者 55 审计方法 数据管理 检查内容 数据所有关系结构数据模型与以下内容相关的政策和程序 数据输入授权数据处理输出的分发数据库维护和安全库管理 56 IT流程 计算机操作运行 如何管理计算设备 以提供持续服务 相关风险处理延迟重新运行频繁问题无法解决 57 审计方法 计算机操作运行 审计范围组织结构时间安排媒介控制备份 重新启动 恢复容量规划 58 审计方法 计算机操作运行 访谈对象 IT高级管理层IT运行经理数据中心主管 59 审计方法 计算机操作运行 检查的文件 组织结构图部门计划职位描述服务级别协议 SLAs 与计算机处理相关的政策和程序工作安排人员备份 恢复问题管理磁带管理 60 IT流程 物理安全 设备管理 相关风险非授权访问 使用公司资产或信息偷窃 损坏或毁损数据或设备不安全的工作环境 61 审计方法 物理安全 设备管理 审计范围访问控制环境灾难火灾控制电力供应员工安全应急程序维护 62 审计方法 物理安全 设备管理 访谈对象 IT高级管理层IT设备经理信息安全官运行 数据中心经理 63 审计方法 物理安全 设备管理 检查内容 数据中心楼层计划 分布IT用房的视查可接触IT设备人员清单与物理安全 人员健康和安全 环境危害防护相关的政策和程序 64 IT流程 业务持续计划 BCP 如何确保持续的IT服务 当需要时可得到 以及在出现重大中断时对业务影响最小 相关风险无法按照计划恢复关键业务功能没有足够的资源完成或实施计划过时和未测试的业务持续计划第三方供货商的支持不充分 65 审计方法 业务持续计划 BCP 审计范围所有者业务影响评估恢复策略与业务的联系维护测试 66 审计方法 业务持续计划 BCP 访谈对象 CIOIT高级管理层IT运行经理信息安全官用户管理层业务持续计划 BCP 灾难恢复计划 DRP 小组灾难恢复地经理 67 审计方法 业务持续计划 BCP 检查内容 BCP手册BCP DRP测试结果供货商 维护合同业务中断保单与持续计划过程相关的政策和程序 68 IT流程 信息安全 信息是如何保护的 以确保其完整 保密和可用 相关风险非授权访问信息 内部和外部 有意泄露信息 69 审计方法 信息安全 审计范围政策和程序数据分级用户添加 维护和删除监控密码方案访问级别安全环境 70 审计方法 信息安全 访谈对象 IT高级管理层信息安全官员应用开发经理数据管理员 71 审计方法 信息安全 检查内容信息安全政策和程序了解访问控制软件违反安全的报告IT资源访问点 物理的 逻辑的 的设计安排具有访问系统资源权限的雇员 供货商 服务提供商的人员名单 72 IT流程 网络管理 如何管理网络 以确保其安全 高效运行和可用 相关风险网络低效率网络无法恢复网络问题无法解决 73 审计方法 网络管理 审计范围所有者组织结构规划和开发政策和程序网络安全和管理恢复 重新启动 74 审计方法 网络管理 访谈对象 IT运行经理网络管理员信息安全官 75 审计方法 网络管理 检查内容组织结构图部门计划职位描述服务级别协议 SLAs 网络体系结构 配置与网络管理相关的政策和程序 76 IT流程 应用处理 系统如何实施 以确保经授权的业务信息处理完全 准确相关风险 包括计算机操作运行 变更管理和信息安全风险 77 审计方法 应用