IT审计的组织与实施(培训课件)

1、1IT审计的组织与实施n注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师nStrathclydenE-mail: 2内容安排n内部审计及其分类n信息系统审计从风险管理和风险基础审计的角度理解n信息系统审计标准n信息系统审计方法nIT核心流程和审计方法n问题讨论n案例分析3内部审计及其分类n内部审计n内部审计分类n业务审计（Operations Audit）n信息系统审计(Information Systems Audit)或IT审计4内部审计及其分类n业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的

2、变更管理业务持续计划（BCP）基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期（SDLC）共享数据库机房业务审计IT审计5信息系统审计从风险管理和风险基础审计的角度理解n一个目标n两种风险n三项评价n四类测试6信息系统审计从风险管理和风险基础审计的角度理解n一个目标n将IT相关的风险控制在可接受的水平n风险是事件的不确定性，这个事件对目标的实现具有影响。n风险是不希望发生事情的可能性。n对待风险的四种策略：拒绝、接受、转移、缓释（控制）风险 机会7信息系统审计从风险管理和风险基础审计的角度理解n两种风险n战略风险n失去竞争优势n信息系统项目失败n灾难导致长期不能提供服务

3、nn操作风险n变更管理文档不完整n密码政策不恰当n未激活Oracle审计轨迹设置n8信息系统审计从风险管理和风险基础审计的角度理解n三项评价n评价信息系统项目n评价业务流程中的IT控制n评价信息安全9信息系统审计从风险管理和风险基础审计的角度理解n四类测试nIT控制环境测试n物理控制测试n逻辑控制测试nIS操作控制测试10信息系统审计从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安全测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试11信息系统审计标准nITIL(IT Infra

4、structure Library)nBS7799nCOBIT(Control Objectives for Information and Related Technology)12信息系统审计标准ITILnIT服务管理nIT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。nITIL（IT Infrastructure Library, IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 1500013信息系统审计标准ITILnITIL整

5、体框架服务提供包括5个核心流程： 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理服务管理ICT基础架构管理安全管理服务支持服务提供资料来源：OGC, 200214信息系统审计标准BS7799n信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。保密性(Confidentiality)资料来源：Pfleeger, 1997完整性(Integrity)可用

6、性(Availability)15信息系统审计标准BS7799n信息安全管理体系（ISMS）nBS 7799： 最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为：nBS 7799-1：1999信息安全管理实施规则nBS 7799-2：2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000信息技术：信息安全管理实施规则。16信息系统审计标准BS7799n信息安全管理体系（ISMS）nBS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。n通讯和运行管理n访问

7、控制n系统开发和维护n业务持续管理n合规n信息安全政策n安全组织n资产分类和控制n人员控制n物理和环境安全17信息系统审计标准BS7799nBS 7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS 7799 以外的控制第一步第二步第三步第四步第五步第六步资料来源：BSI，199918信息系统审计标准-COBITnIT治理n信息安全和控制实务普遍接受的标准n主要目的是为企业治理提供清晰

8、的政策和最佳实务n以信息系统审计与控制基金会 (ISACF) 的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。19信息系统审计标准-COBITn由34个IT控制目标组成，分为四个方面:n规划和组织n获得与实施n交付与支持n监控20信息系统审计标准-COBIT COBIT 的34个控制目标交付和支持交付和支持IT 资源信息信息监控监控获得与实施获得与实施规划和组织规划和组织-效果性 -效率性-保密性 -完整性-可用性 -合规性-可靠性-人 -应用系统-技术 -设备-数据确定自动化方案获取并维护应用程序软件获取并维护技术基础设施

9、程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理过程监控评价内部控制的适当性获取独立鉴证提供独立的审计COBIT企业目标企业目标IT治理治理资料来源：IT Governance Institute, 200021信息系统审计方法年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险

10、评估审计方案和测试年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试22内部审计方法年度风险评估和计划n实施年度风险评估n识别下一年度的审计领域.n制定年度审计计划23年度风险评估:风险评估n按照可审计业务单元进行n每年实施一次n考虑因素n业务/财务影响n外部环境：如规章制度、市场、技术n容易出现欺诈舞弊n计算机环境n上一次审计结果及时间n与管理层讨论（分公司、子公司和总公司）24年度风险评估:风险分级和审计频率n非常高 (一年或少于一年审计一次)n高 (每一至两年审计一次)n中 (每三到四年审计一次)n低 (每五年审计一次或不审计)25年度风险评估:举

11、例可审计单元可审计单元 业务因素业务因素 (50)风险因素风险因素 (25)控制环境控制环境 (25)总分排序风险水平风险影响 (20)财务影响 (15)合规影响 (10)未来成功影响 (5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度 (6)变更 (4)内部控制 (12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.520中应用设计和配置109251.5336331551.523中26年度审计计划:举

12、例某公司某公司2005 年内部审计计划年内部审计计划 一、制定计划的方法一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。 二、影响计划制定的主要因素二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围三、审计范围 风险领域审计项目信息技术 技术基础架构项目管理业务持续计划（BCP） 四、审计项目描述四、审计项目描述五、审计时间预算五、审计时间预算27信息系统审计方法计划n审计任务备忘录(审计通知书)n审计目的和范围n审计方法n审计人员n被审计单位人员

13、n审计时间安排n问题沟通和行动计划n审计标准n审计效果评价28计划：举例某公司一般IT控制审计备忘录 审计范围和目的：审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。 IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划 审计方法审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志、BCP等）；IT实地观察；与管理层和有关员工面谈。 审计组成员：

14、审计组成员： 审计时间：审计时间： 审计标准审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。 审计绩效评价：审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和达到目的。 29信息系统审计方法风险评估n识别业务流程的具体风险n风险矩阵n具体风险n业务影响n可能性评价 (高/中/低)n影响评价 (低/中/显著/非常显著)n风险 (高/中/低)30风险评估:举例n流程:IT规划与组织31信息系统审计方法控制评价n记录需要控制风险

15、的主要内部控制.n控制评价矩阵n具体风险n需要的控制n控制类型 (预防/发现/改正)32控制评价:举例n流程:IT规划与组织33信息系统审计方法审计方案和测试n制定审计方案n需要测试的控制n审计程序n测试主要控制的有效性n记录测试结果34审计方案和测试:举例n流程:IT规划与组织35信息系统审计方法沟通和报告n发出审计发现清单n与被审计单位管理层交换意见n起草审计报告n举行结束会议n发布最终审计报告n摘要n详细审计发现和审计建议36信息系统审计方法绩效评价n被审计单位调查问卷n审计结束时发出n调查问题:n审计目的是否表述清楚?n审计人员对被审计单位人员是否谦和礼貌?n审计发现是否准确? 对你是

16、否有用?37信息系统审计方法 问题追踪和后续审计n对重要审计建议进行季度监控.n内部审计季度检查报告n控制报告38IT 核心流程和审计方法n规划和组织n系统开发n变更/问题管理n数据管理n计算机操作运行n物理安全/设备管理n业务持续计划 (BCP)n信息安全n网络管理n应用处理39IT 流程:规划和组织n公司如何管理 IT.n相关风险n IT规划与业务规划不一致n不现实的战略规划 nIT成本超支n存在不相容的职能n组织不好的IT职能40审计方法:规划和组织n审计范围n组织结构n规划过程(战略, 战术)n预算和成本控制n服务级别协议 (SLAs)n培训和资源保障n沟通过程41审计方法:规划和组织

17、n访谈对象n首席执行官（CEO）/首席营运官（COO）n首席财务官（CFO）n首席信息官（CIO）nIT 指导委员会成员nIT 高级管理层n用户管理层42审计方法:规划和组织n检查内容:nIT组织机构图nIT 部门章程/权限nIT 规划 (战略, 战术)n业务规划nIT 指导委员会会议纪要n政策、程序和标准n服务级别协议 (SLAs)n培训计划n职位描述43IT 流程:系统开发n信息系统是如何开发的，以支持企业运营.n相关风险n未满足业务需求n有瑕疵的业务案例n延期实施n范围不确定（软件基线）44审计方法:系统开发n审计范围n项目所有者n需求的提出和控制n项目管理n开发和测试n数据转换控制n后

18、实施45审计方法:系统开发n访谈对象:nCIOnIT 指导委员会成员n项目指导委员会成员n项目所有者n项目经理46审计方法:系统开发n检查内容:nIT 规划n系统开发方法n与硬件/软件采购相关的政策和程序n项目文档 (如：需求定义，可行性分析)n与软件采购、开发和维护相关的合同47IT 流程:变更管理nIT变更是如何管理的，以确保完整性n相关风险n非授权的变更请求n未测试的变更n非授权的变更实施48审计方法:变更管理n审计范围n所有者n需求的提出和控制n变更控制n文档和过程n软件发布政策49年度审计计划:考虑的因素和批准n考虑的因素n风险高的可审计单元n管理层的要求n公司风险管理委员会和审计委

19、员会的指导n外部审计n年度审计计划批准n第一层次: 副总裁&总审计师（管理层）n第二层次: 审计委员会（董事会）50审计方法:变更管理n访谈对象nCIOnIT 高级管理层n应用开发经理n质量鉴定经理nIT 运行经理51审计方法:变更管理n检查内容:n系统开发方法n变更控制政策和程序n变更需求表52IT 流程:数据管理n数据是如何管理的，以确保完整和可用.n相关风险n数据不准确、过时或被破坏n数据不可恢复n数据的不适当访问53审计方法:数据管理n审计范围n数据所有者n组织结构n计划和开发n系统管理n安全n备份/恢复54审计方法:数据管理n访谈对象:nIT 高级管理层n信息安全官员n系统开

20、发经理n数据库存管理员n数据所有者55审计方法:数据管理n检查内容:n数据所有关系结构n数据模型n与以下内容相关的政策和程序:n数据输入授权n数据处理n输出的分发n数据库维护和安全n库管理56IT 流程:计算机操作运行n如何管理计算设备，以提供持续服务.n相关风险n处理延迟n重新运行频繁n问题无法解决57审计方法:计算机操作运行n审计范围n组织结构n时间安排n媒介控制n备份/重新启动/恢复n容量规划58审计方法:计算机操作运行n访谈对象:nIT 高级管理层nIT 运行经理n数据中心主管59审计方法:计算机操作运行n检查的文件：n组织结构图n部门计划n职位描述n服务级别协议 (SLAs)n与计算

21、机处理相关的政策和程序n工作安排人员n备份/恢复n问题管理n磁带管理60IT流程:物理安全/设备管理n相关风险n非授权访问、使用公司资产或信息n偷窃、损坏或毁损数据或设备n不安全的工作环境61审计方法:物理安全/设备管理n审计范围n访问控制n环境灾难n火灾控制n电力供应n员工安全n应急程序n维护62审计方法:物理安全/设备管理n访谈对象:nIT 高级管理层nIT 设备经理n信息安全官n运行 /数据中心经理63审计方法:物理安全/设备管理n检查内容:n数据中心楼层计划/ 分布n IT用房的视查n可接触IT设备人员清单n与物理安全、人员健康和安全、环境危害防护相关的政策和程序64IT流程:业务持续

22、计划（BCP）n如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小.n相关风险n无法按照计划恢复关键业务功能n没有足够的资源完成或实施计划n过时和未测试的业务持续计划n第三方供货商的支持不充分65审计方法:业务持续计划（BCP）n审计范围n所有者n业务影响评估n恢复策略n与业务的联系n维护n测试66审计方法:业务持续计划（BCP）n访谈对象:nCIOnIT 高级管理层nIT 运行经理n信息安全官n用户管理层n业务持续计划（BCP）/灾难恢复计划（DRP）小组n灾难恢复地经理67审计方法:业务持续计划（BCP）n检查内容:nBCP 手册nBCP/DRP 测试结果n供货商

23、/维护合同n业务中断保单n与持续计划过程相关的政策和程序68IT流程:信息安全n信息是如何保护的，以确保其完整、保密和可用.n相关风险n非授权访问信息（内部和外部）n有意泄露信息69审计方法:信息安全n审计范围n政策和程序n数据分级n用户添加、维护和删除n监控n密码方案n访问级别n安全环境70审计方法:信息安全n访谈对象:nIT 高级管理层n信息安全官员n应用开发经理n数据管理员71审计方法:信息安全n检查内容n信息安全政策和程序n了解访问控制软件n违反安全的报告nIT资源访问点 (物理的/逻辑的)的设计安排n具有访问系统资源权限的雇员、供货商、服务提供商的人员名单72IT流程:网络管理n如何

24、管理网络，以确保其安全、高效运行和可用.n相关风险n网络低效率n网络无法恢复n网络问题无法解决73审计方法:网络管理n审计范围n所有者n组织结构n规划和开发n政策和程序n网络安全和管理n恢复/重新启动74审计方法:网络管理n访谈对象:nIT 运行经理n网络管理员n信息安全官75审计方法:网络管理n检查内容n组织结构图n部门计划n职位描述n服务级别协议 (SLAs)n网络体系结构/配置n与网络管理相关的政策和程序76IT流程:应用处理n系统如何实施，以确保经授权的业务信息处理完全、准确n相关风险：包括计算机操作运行、变更管理和信息安全风险77审计方法:应用处理n访谈对象:n用户管理n应用开发经理nIT 运行经理n信息安全官n数据库管理员n选择的用户78审计方法:应用处理n检查内容n了解业务流程n业务营运