IT审计的组织与实施(培训课件)

1,IT审计的组织与实施,刘济平中国光大（集团）总公司审计部副主任注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师经济学硕士（南开大学西方会计与审计专业）、理学硕士（英国Strathclyde大学商务信息技术系统专业）E-mail:liujp,2,内容安排,内部审计及其分类信息系统审计从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析,3,内部审计及其分类,内部审计内部审计分类业务审计（OperationsAudit）信息系统审计(InformationSystemsAudit)或IT审计,4,内部审计及其分类,业务审计与IT审计的关系,自动应用控制应用控制帐号管理/逻辑控制,一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划（BCP）,基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期（SDLC）共享数据库机房,业务审计,IT审计,5,信息系统审计从风险管理和风险基础审计的角度理解,一个目标两种风险三项评价四类测试,6,信息系统审计从风险管理和风险基础审计的角度理解,一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性，这个事件对目标的实现具有影响。风险是不希望发生事情的可能性。对待风险的四种策略：拒绝、接受、转移、缓释（控制）,7,信息系统审计从风险管理和风险基础审计的角度理解,两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置,8,信息系统审计从风险管理和风险基础审计的角度理解,三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全,9,信息系统审计从风险管理和风险基础审计的角度理解,四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试,10,信息系统审计从风险管理和风险基础审计的角度理解,将IT相关风险控制在可接受水平,战略风险,操作风险,评价IT项目,评价业务流程中的IT控制,评价信息安全,测试IT控制环境,测试物理控制,测试逻辑控制,测试IS操作控制,一个目标,两种风险,三项评价,四类测试,11,信息系统审计标准,ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology),12,信息系统审计标准ITIL,IT服务管理IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。ITIL（ITInfrastructureLibrary,IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS15000,13,信息系统审计标准ITIL,ITIL整体框架服务提供包括5个核心流程：服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。,资料来源：OGC,2002,14,信息系统审计标准BS7799,信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。,保密性(Confidentiality),资料来源：Pfleeger,1997,完整性(Integrity),可用性(Availability),15,信息系统审计标准BS7799,信息安全管理体系（ISMS）BS7799：最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为：BS7799-1：1999信息安全管理实施规则BS7799-2：2002信息安全管理体系规范BS7799-1于2000年被批准为国际标准ISO/IEC17799：2000信息技术：信息安全管理实施规则。,16,信息系统审计标准BS7799,信息安全管理体系（ISMS）BS7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。,通讯和运行管理访问控制系统开发和维护业务持续管理合规,信息安全政策安全组织资产分类和控制人员控制物理和环境安全,17,信息系统审计标准BS7799,BS7799-2提供的信息安全管理框架,制定政策,确定ISMS的范围,实施风险评价,管理风险,选择控制目标和控制,制定应用说明,政策文件,ISMS范围,风险评价,选择的控制选项,应用说明,结果和结论,选择的控制目标和控制,威胁、弱点、影响,风险管理方法,需要的保证程度,ISMS需要的控制目标和控制,BS7799以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,资料来源：BSI，1999,18,信息系统审计标准-COBIT,IT治理信息安全和控制实务普遍接受的标准主要目的是为企业治理提供清晰的政策和最佳实务以信息系统审计与控制基金会(ISACF)的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。,19,信息系统审计标准-COBIT,由34个IT控制目标组成，分为四个方面:规划和组织获得与实施交付与支持监控,20,信息系统审计标准-COBIT,COBIT的34个控制目标,交付和支持,IT资源,信息,监控,获得与实施,规划和组织,-效果性-效率性-保密性-完整性-可用性-合规性-可靠性,-人-应用系统-技术-设备-数据,确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理,定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理,定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理,过程监控评价内部控制的适当性获取独立鉴证提供独立的审计,COBIT,企业目标,IT治理,资料来源：ITGovernanceInstitute,2000,21,信息系统审计方法,年度风险评估和计划,问题追踪和后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案和测试,年度风险评估和计划,问题追踪和后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案和测试,22,内部审计方法年度风险评估和计划,实施年度风险评估识别下一年度的审计领域.制定年度审计计划,23,年度风险评估:风险评估,按照可审计业务单元进行每年实施一次考虑因素业务/财务影响外部环境：如规章制度、市场、技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论（分公司、子公司和总公司）,24,年度风险评估:风险分级和审计频率,非常高(一年或少于一年审计一次)高(每一至两年审计一次)中(每三到四年审计一次)低(每五年审计一次或不审计),25,年度风险评估:举例,26,年度审计计划:举例,某公司2005年内部审计计划一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围,四、审计项目描述五、审计时间预算,27,信息系统审计方法计划,审计任务备忘录(审计通知书)审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动计划审计标准审计效果评价,28,计划：举例,某公司一般IT控制审计备忘录审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志、BCP等）；IT实地观察；与管理层和有关员工面谈。审计组成员：审计时间：审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和达到目的。,29,信息系统审计方法风险评估,识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价(高/中/低)影响评价(低/中/显著/非常显著)风险(高/中/低),30,风险评估:举例,流程:IT规划与组织,31,信息系统审计方法控制评价,记录需要控制风险的主要内部控制.控制评价矩阵具体风险需要的控制控制类型(预防/发现/改正),32,控制评价:举例,流程:IT规划与组织,33,信息系统审计方法审计方案和测试,制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果,34,审计方案和测试:举例,流程:IT规划与组织,35,信息系统审计方法沟通和报告,发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议,36,信息系统审计方法绩效评价,被审计单位调查问卷审计结束时发出调查问题:审计目的是否表述清楚?审计人员对被审计单位人员是否谦和礼貌?审计发现是否准确?对你是否有用?,37,信息系统审计方法问题追踪和后续审计,对重要审计建议进行季度监控.内部审计季度检查报告控制报告,38,IT核心流程和审计方法,规划和组织系统开发变更/问题管理数据管理计算机操作运行物理安全/设备管理业务持续计划(BCP)信息安全网络管理应用处理,39,IT流程:规划和组织,公司如何管理IT.相关风险IT规划与业务规划不一致不现实的战略规划IT成本超支存在不相容的职能组织不好的IT职能,40,审计方法:规划和组织,审计范围组织结构规划过程(战略,战术)预算和成本控制服务级别协议(SLAs)培训和资源保障沟通过程,41,审计方法:规划和组织,访谈对象首席执行官（CEO）/首席营运官（COO）首席财务官（CFO）首席信息官（CIO）IT指导委员会成员IT高级管理层用户管理层,42,审计方法:规划和组织,检查内容:IT组织机构图IT部门章程/权限IT规划(战略,战术)业务规划IT指导委员会会议纪要政策、程序和标准服务级别协议(SLAs)培训计划职位描述,43,IT流程:系统开发,信息系统是如何开发的，以支持企业运营.相关风险未满足业务需求有瑕疵的业务案例延期实施范围不确定（软件基线）,44,审计方法:系统开发,审计范围项目所有者需求的提出和控制项目管理开发和测试数据转换控制后实施,45,审计方法:系统开发,访谈对象:CIOIT指导委员会成员项目指导委员会成员项目所有者项目经理,46,审计方法:系统开发,检查内容:IT规划系统开发方法与硬件/软件采购相关的政策和程序项目文档(如：需求定义，可行性分析)与软件采购、开发和维护相关的合同,47,IT流程:变更管理,IT变更是如何管理的，以确保完整性相关风险非授权的变更请求未测试的变更非授权的变更实施,48,审计方法:变更管理,审计范围所有者需求的提出和控制变更控制文档和过程软件发布政策,49,年度审计计划:考虑的因素和批准,考虑的因素风险高的可审计单元管理层的要求公司风险管理委员会和审计委员会的指导外部审计年度审计计划批准第一层次:副总裁&总审计师（管理层）第二层次:审计委员会（董事会）,50,审计方法:变更管理,访谈对象CIOIT高级管理层应用开发经理质量鉴定经理IT运行经理,51,审计方法:变更管理,检查内容:系统开发方法变更控制政策和程序变更需求表,52,IT流程:数据管理,数据是如何管理的，以确保完整和可用.相关风险数据不准确、过时或被破坏数据不可恢复数据的不适当访问,53,审计方法:数据管理,审计范围数据所有者组织结构计划和开发系统管理安全备份/恢复,54,审计方法:数据管理,访谈对象:IT高级管理层信息安全官员系统开发经理数据库存管理员数据所有者,55,审计方法:数据管理,检查内容:数据所有关系结构数据模型与以下内容相关的政策和程序:数据输入授权数据处理输出的分发数据库维护和安全库管理,56,IT流程:计算机操作运行,如何管理计算设备，以提供持续服务.相关风险处理延迟重新运行频繁问题无法解决,57,审计方法:计算机操作运行,审计范围组织结构时间安排媒介控制备份/重新启动/恢复容量规划,58,审计方法:计算机操作运行,访谈对象:IT高级管理层IT运行经理数据中心主管,59,审计方法:计算机操作运行,检查的文件：组织结构图部门计划职位描述服务级别协议(SLAs)与计算机处理相关的政策和程序工作安排人员备份/恢复问题管理磁带管理,60,IT流程:物理安全/设备管理,相关风险非授权访问、使用公司资产或信息偷窃、损坏或毁损数据或设备不安全的工作环境,61,审计方法:物理安全/设备管理,审计范围访问控制环境灾难火灾控制电力供应员工安全应急程序维护,62,审计方法:物理安全/设备管理,访谈对象:IT高级管理层IT设备经理信息安全官运行/数据中心经理,63,审计方法:物理安全/设备管理,检查内容:数据中心楼层计划/分布IT用房的视查可接触IT设备人员清单与物理安全、人员健康和安全、环境危害防护相关的政策和程序,64,IT流程:业务持续计划（BCP）,如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小.相关风险无法按照计划恢复关键业务功能没有足够的资源完成或实施计划过时和未测试的业务持续计划第三方供货商的支持不充分,65,审计方法:业务持续计划（BCP）,审计范围所有者业务影响评估恢复策略与业务的联系维护测试,66,审计方法:业务持续计划（BCP）,访谈对象:CIOIT高级管理层IT运行经理信息安全官用户管理层业务持续计划（BCP）/灾难恢复计划（DRP）小组灾难恢复地经理,67,审计方法:业务持续计划（BCP）,检查内容:BCP手册BCP/DRP测试结果供货商/维护合同业务中断保单与持续计划过程相关的政策和程序,68,IT流程:信息安全,信息是如何保护的，以确保其完整、保密和可用.相关风险非授权访问信息（内部和外部）有意泄露信息,69,审计方法:信息安全,审计范围政策和程序数据分级用户添加、维护和删除监控密码方案访问级别安全环境,70,审计方法:信息安全,访谈对象:IT高级管理层信息安全官员应用开发经理数据管理员,71,审计方法:信息安全,检查内容信息安全政策和程序了解访问控制软件违反安全的报告IT资源访问点(物理的/逻辑的)的设计安排具有访问系统资源权限的雇员、供货商、服务提供商的人员名单,72,IT流程:网络管理,如何管理网络，以确保其安全、高效运行和可用.相关风险网络低效率网络无法恢复网络问题无法解决,73,审计方法:网络管理,审计范围所有者组织结构规划和开发政策和程序网络安全和管理恢复/重新启动,74,审计方法:网络管理,访谈对象:IT运行经理网络管理员信息安全官,75,审计方法:网络管理,检查内容组织结构图部门计划职位描述服务级别协议(SLAs)网络体系结构/配置与网络管理相关的政策和程序,76,IT流程:应用处理,系统如何实施，以确保经授权的业务信息处理完全、准确相关风险：包括计算机操作运行、变更管理和信息安全风险,77,审计方法:应用处理