版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
审计的组织与实施培训第1页,共82页。内容安排内部审计及其分类信息系统审计—从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析第2页,共82页。内部审计及其分类内部审计内部审计分类业务审计(OperationsAudit)信息系统审计(InformationSystemsAudit)或IT审计第3页,共82页。内部审计及其分类业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划(BCP)基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期(SDLC)共享数据库机房业务审计IT审计第4页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解一个目标两种风险三项评价四类测试第5页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性,这个事件对目标的实现具有影响。风险是不希望发生事情的可能性。对待风险的四种策略:拒绝、接受、转移、缓释(控制)风险机会第6页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务……操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置……第7页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全第8页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试第9页,共82页。信息系统审计
—从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安全测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试第10页,共82页。信息系统审计标准ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology)第11页,共82页。信息系统审计标准—ITILIT服务管理IT服务管理(ITSM):一种以流程为导向,以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力和水平。ITIL(ITInfrastructureLibrary,IT基础架构库),最初由英国商务部(OGC)80年代组织开发,是ITSM领域在欧洲的事实标准。2001年成为英国标准BS15000第12页,共82页。信息系统审计标准—ITILITIL整体框架服务提供包括5个核心流程:服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程:配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理ICT基础架构管理安全管理服务支持服务提供资料来源:OGC,2002第13页,共82页。信息系统审计标准—BS7799信息安全管理:指一个组织的政策、实务、程序、组织结构和软件功能,用以保护信息,确保信息免受非授权访问、修改或意外变更,并且在经授权用户需要时可用。资料来源:Pfleeger,1997完整性(Integrity)可用性(Availability)第14页,共82页。信息系统审计标准—BS7799信息安全管理体系(ISMS)BS7799:最早由英国贸易和工业部于1993年组织开发,1995年成为英国国家标准,由两部分组成,目前最新版本为:BS7799-1:1999《信息安全管理实施规则》BS7799-2:2002《信息安全管理体系规范》
BS7799-1于2000年被批准为国际标准ISO/IEC17799:2000《信息技术:信息安全管理实施规则》。第15页,共82页。信息系统审计标准—BS7799信息安全管理体系(ISMS)BS7799-1将信息安全管理分为10类控制,成为组织实施信息安全管理的实用指南。通讯和运行管理访问控制系统开发和维护业务持续管理合规信息安全政策安全组织资产分类和控制人员控制物理和环境安全第16页,共82页。信息系统审计标准—BS7799BS7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS7799以外的控制第一步第二步第三步第四步第五步第六步资料来源:BSI,1999第17页,共82页。信息系统审计标准-COBITIT治理信息安全和控制实务普遍接受的标准主要目的是为企业治理提供清晰的政策和最佳实务以信息系统审计与控制基金会(ISACF)的控制目标为基础,由ISACA及其下属的“IT治理研究院”开发。1996年第一版,2000年第三版,2006年第四版。第18页,共82页。信息系统审计标准-COBIT由34个IT控制目标组成,分为四个方面:规划和组织获得与实施交付与支持监控第19页,共82页。信息系统审计标准-COBITCOBIT的34个控制目标交付和支持IT资源信息监控获得与实施规划和组织-效果性-效率性-保密性-完整性-可用性-合规性-可靠性-人-应用系统-技术-设备-数据确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理过程监控评价内部控制的适当性获取独立鉴证提供独立的审计COBIT企业目标IT治理资料来源:ITGovernanceInstitute,2000第20页,共82页。信息系统审计方法年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试第21页,共82页。内部审计方法
年度风险评估和计划实施年度风险评估识别下一年度的审计领域.制定年度审计计划第22页,共82页。年度风险评估:
风险评估按照可审计业务单元进行每年实施一次考虑因素业务/财务影响外部环境:如规章制度、市场、技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论(分公司、子公司和总公司)第23页,共82页。年度风险评估:
风险分级和审计频率非常高(一年或少于一年审计一次)高(每一至两年审计一次)中(每三到四年审计一次)低(每五年审计一次或不审计)第24页,共82页。年度风险评估:
举例可审计单元
业务因素(50)风险因素(25)控制环境(25)总分排序风险水平风险影响(20)财务影响(15)合规影响(10)未来成功影响(5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度(6)变更(4)内部控制(12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.520中应用设计和配置109251.5336331551.523中第25页,共82页。年度审计计划:
举例某公司2005年内部审计计划
一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中,我们考虑了公司管理层的要求,以及公司其他股东的年度审计计划。
二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围
风险领域审计项目信息技术
技术基础架构项目管理业务持续计划(BCP)
四、审计项目描述五、审计时间预算第26页,共82页。信息系统审计方法
计划审计任务备忘录(审计通知书)审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动计划审计标准审计效果评价第27页,共82页。计划:
举例某公司一般IT控制审计备忘录
审计范围和目的:本次审计的目的是,通过审计,评价下列领域控制的效果。
IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划
审计方法:本次审计是按照风险基础审计的方法进行的,我们将对上述领域的风险进行评估,然后对中高风险领域进行控制测试。在审计中,我们主要采取如下方法:检查有关规章制度、程序和标准;检查有关规划和操作文件和报告(如IT规划、项目文档、总是日志、BCP等);IT实地观察;与管理层和有关员工面谈。
审计组成员:
审计时间:
审计标准:我们将按照国际内部审计师协会(IIA)和国际信息系统审计与控制协会(ISACA)制定的有关标准进行审计。由于我们是通过抽样进行测试,因此我们的审计并不能绝对保证发现所有的错误和违规问题。
审计绩效评价:审计结束时,我们将向员工发送问券调查,以评价审计工作是否有效和达到目的。
第28页,共82页。信息系统审计方法
风险评估识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价(高/中/低)影响评价(低/中/显著/非常显著)风险(高/中/低)第29页,共82页。风险评估:
举例具体风险业务影响可能性评价影响评价风险说明控制评价审计方案IT战略规划与企业目标不致IT战略规划不支持企业业务目标实现资金用途没有最大化.
中等非常高高有业务规划IT管理层了解业务规划IT管理层参与业务规化制定IT管理层在制定IT战略规划时考虑业务规划LinkLink业务流程总体评价流程:IT规划与组织第30页,共82页。信息系统审计方法
控制评价记录需要控制风险的主要内部控制.控制评价矩阵具体风险需要的控制控制类型(预防/发现/改正)第31页,共82页。控制评价:
举例风险控制控制类型
(P,D,C)审计方案索引IT战略规划与企业目标不一致企业IT投资以坚实的业务案例为依据PLink对控制设计的结论流程:IT规划与组织第32页,共82页。信息系统审计方法
审计方案和测试制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果第33页,共82页。审计方案和测试:
举例风险/测试的控制审计程序工作底稿索引审计人员1-3与以下人员面谈CEOCOOCFOIT部门负责人IT指导委员会成员分管IT的高管人力资源部取得并检查下列文件IT规划的规章制度高管在指导委员会的职责企业战略目标,长期、短期计划IT指导委员会会议记要评价和测试内容规划是否包括以下内容企业的目标IT是否支持企业目标对IT项目是否经风险评价IT项目是否根据企业目标的改变而调整流程:IT规划与组织第34页,共82页。信息系统审计方法
沟通和报告发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议第35页,共82页。信息系统审计方法
绩效评价被审计单位调查问卷审计结束时发出调查问题:审计目的是否表述清楚?审计人员对被审计单位人员是否谦和礼貌?审计发现是否准确?对你是否有用?第36页,共82页。信息系统审计方法
问题追踪和后续审计对重要审计建议进行季度监控.内部审计季度检查报告控制报告第37页,共82页。IT核心流程和审计方法规划和组织系统开发变更/问题管理数据管理计算机操作运行物理安全/设备管理业务持续计划(BCP)信息安全网络管理应用处理第38页,共82页。IT流程:
规划和组织公司如何管理
IT.相关风险
IT规划与业务规划不一致不现实的战略规划
IT成本超支存在不相容的职能组织不好的IT职能第39页,共82页。审计方法:
规划和组织审计范围组织结构规划过程(战略,战术)预算和成本控制服务级别协议(SLAs)培训和资源保障沟通过程第40页,共82页。审计方法:
规划和组织访谈对象首席执行官(CEO)/首席营运官(COO)首席财务官(CFO)首席信息官(CIO)IT指导委员会成员IT高级管理层用户管理层第41页,共82页。审计方法:
规划和组织检查内容:IT组织机构图IT部门章程/权限IT规划(战略,战术)业务规划IT指导委员会会议纪要政策、程序和标准服务级别协议(SLAs)培训计划职位描述第42页,共82页。IT流程:
系统开发信息系统是如何开发的,以支持企业运营.相关风险未满足业务需求有瑕疵的业务案例延期实施范围不确定(软件基线)第43页,共82页。审计方法:
系统开发审计范围项目所有者需求的提出和控制
项目管理开发和测试数据转换控制后实施第44页,共82页。审计方法:
系统开发访谈对象:CIOIT指导委员会成员项目指导委员会成员项目所有者项目经理第45页,共82页。审计方法:
系统开发检查内容:IT规划系统开发方法与硬件/软件采购相关的政策和程序项目文档(如:需求定义,可行性分析)与软件采购、开发和维护相关的合同第46页,共82页。IT流程:
变更管理IT变更是如何管理的,以确保完整性相关风险非授权的变更请求未测试的变更非授权的变更实施第47页,共82页。审计方法:
变更管理审计范围所有者需求的提出和控制变更控制文档和过程软件发布政策第48页,共82页。年度审计计划:
考虑的因素和批准考虑的因素风险高的可审计单元管理层的要求公司风险管理委员会和审计委员会的指导外部审计年度审计计划批准第一层次:副总裁&总审计师(管理层)第二层次:审计委员会(董事会)第49页,共82页。审计方法:
变更管理访谈对象CIOIT高级管理层应用开发经理质量鉴定经理IT运行经理第50页,共82页。审计方法:
变更管理检查内容:系统开发方法变更控制政策和程序变更需求表第51页,共82页。IT流程:
数据管理数据是如何管理的,以确保完整和可用.相关风险数据不准确、过时或被破坏数据不可恢复数据的不适当访问第52页,共82页。审计方法:
数据管理审计范围数据所有者组织结构计划和开发系统管理安全备份/恢复第53页,共82页。审计方法:
数据管理访谈对象:IT高级管理层信息安全官员系统开发经理数据库存管理员数据所有者第54页,共82页。审计方法:
数据管理检查内容:数据所有关系结构数据模型与以下内容相关的政策和程序:数据输入授权数据处理输出的分发数据库维护和安全库管理第55页,共82页。IT流程:
计算机操作运行如何管理计算设备,以提供持续服务.相关风险处理延迟重新运行频繁问题无法解决第56页,共82页。审计方法:
计算机操作运行审计范围组织结构时间安排媒介控制备份/重新启动/恢复容量规划第57页,共82页。审计方法:
计算机操作运行访谈对象:IT高级管理层IT运行经理数据中心主管第58页,共82页。审计方法:
计算机操作运行检查的文件:组织结构图部门计划职位描述服务级别协议(SLAs)与计算机处理相关的政策和程序工作安排人员备份/恢复问题管理磁带管理第59页,共82页。IT流程:
物理安全/设备管理相关风险非授权访问、使用公司资产或信息偷窃、损坏或毁损数据或设备不安全的工作环境第60页,共82页。审计方法:
物理安全/设备管理审计范围访问控制环境灾难火灾控制电力供应员工安全应急程序维护第61页,共82页。审计方法:
物理安全/设备管理访谈对象:IT高级管理层IT设备经理信息安全官运行/数据中心经理第62页,共82页。审计方法:
物理安全/设备管理检查内容:数据中心楼层计划/分布
IT用房的视查可接触IT设备人员清单与物理安全、人员健康和安全、环境危害防护相关的政策和程序第63页,共82页。IT流程:
业务持续计划(BCP)如何确保持续的IT服务、当需要时可得到,以及在出现重大中断时对业务影响最小.相关风险无法按照计划恢复关键业务功能没有足够的资源完成或实施计划过时和未测试的业务持续计划第三方供货商的支持不充分第64页,共82页。审计方法:
业务持续计划(BCP)审计范围所有者业务影响评估恢复策略与业务的联系维护测试第65页,共82页。审计方法:
业务持续计划(BCP)访谈对象:CIOIT高级管理层IT运行经理信息安全官用户管理层业务持续计划(BCP)/灾难恢复计划(DRP)小组灾难恢复地经理第66页,共82页。审计方法:
业务持续计划(BCP)检查内容:BCP手册BCP/DRP测试结果供货商/维护合同业务中断保单与持续计划过程相关的政策和程序第67页,共82页。IT流程:
信息安全信息是如何保护的,以确保其完整、保密和可用.相关风险非授权访问信息(内部和外部)有意泄露信息第68页,共82页。审计方法:
信息安全审计范围政策和程序数据分级用户添加、维护和删除监控密码方案访问级别安全环境第69页,共82页。审计方法:
信息安全访谈对象:IT高级管理层信息安全官员应用开发经理数据管理员第70页,共82页。审计方法:
信息安全检查内容信息安全政策和程序了解访问控制软件违反安全的报告IT资源访问点(物理的/逻辑的)的设计安排具有访问系统资源权限的雇员、供货商、服务提供商的人员名单第71页,共82页。IT流程:
网络管理如何管理网络,以确保其安全、高效运行和可用.相关风险网络低效率网络无法恢复网络问题无法解决第72页,共82页。审计方法:
网络管理审计范围所有者组织结构规划和开发政策和程序网络安全和管理恢复/重新启动第73页,共82页。审计方法:
网络管理访谈对象:IT运行经理网络管理员信息安全官第74页,共82页。审计方法:
网络管理检查内容组织结构图部门计划职位描述服务级别协议(SLAs)网络体系结构/配置与网络管理相关的政策和程序第75页,共82页。IT流程:
应用处理系统如何实施,以确保经授权的业务信息处理完全、准确相关风险:包括计算机操作运行、变更管理和信息安全风险第76页,共82页。审计方法:
应用处理访谈对象:用户管理应用开发经理IT运行经理信息安全官数据库管理员选择的用户第77页,共82页。审计方法:
应用处理检查内容了解业务流程业务营运手册用户/系统手册系统访问人员清单系统产生的报告第78页,共82页。问题讨论下列问题涉及哪些IT流程和IT相关风险?张先生在A公司担任数据库管理员,并负责公司的编程工作。B公司的主要处理设施在北京公司总部的二楼,该地区交通拥堵;数据备份设施则在离公司总部不远的写字楼。公司前不久对工资处理系统进行了升级,一些员工反映其工资有差错。最近IT部门负责人制定了公司IT三年规划,并得到CIO批准。公司几名员工反映,他们办公用的PC机常常被病毒感染,与公司客户信息系统的连接也变得很慢。第7
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《老年壶腹周围癌专科护理|梗阻管理 + 全套护理措施》
- 《儿童慢性病居家心理治疗专科护理》
- 国际医疗部专科疾病护理|临床查房专用教学资料
- 中学研究性学习课题申报与过程管理方案
- 2026年RTC职业能力测试题及答案
- 2026年拼音巩固测试题及答案
- 2026年故乡同步测试题及答案
- 2026年企业年报知识测试题及答案
- 2026年大足小升初测试题及答案
- 2026年常见四风问题测试题及答案
- GB/T 47723-2026风能发电系统风力发电机组自动消防系统
- 2026年人教版四年级数学下册期末测试卷(含答案)
- 2025年东莞市长安镇下属事业单位招聘真题
- 2026年云南省中考语文试卷真题及答案详解(精校打印版)
- 雨课堂学堂在线学堂云《自然辩证法概论(北京航空航天)》单元测试考核答案
- APQC跨行业流程分类框架 (8.0 版)( 中文版-2026年4月)
- 哈尔滨工业大学强基校测面试真题
- 新标准大学英语综合教程2 单词
- 养老护理解决方案之商业计划书
- 【班海精品课件】人教版(新)八下-17.1 勾股定理 第一课时
- 2022年网络安全管理员四级考试题与答案
评论
0/150
提交评论