IT审计的组织与实施(培训)

1、IT审计的组织与实施(培训),1,IT审计的组织与实施,注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师 Strathclyde E-mail: ,IT审计的组织与实施(培训),2,内容安排,内部审计及其分类 信息系统审计从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计方法 IT核心流程和审计方法 问题讨论 案例分析,IT审计的组织与实施(培训),3,内部审计及其分类,内部审计 内部审计分类 业务审计（Operations Audit） 信息系统审计(Information Systems Audit)或IT审计,IT审计的组织与实施(培训),4,内部审计

2、及其分类,业务审计与IT审计的关系,自动应用控制 应用控制 帐号管理/逻辑控制,一般应用控制 电子数据表和局部数据库 程序员安全 在业务用户层面上的变更管理 业务持续计划（BCP）,基础架构一般应用控制 变更和配置管理 网络安全管理 计算机操作 系统开发生命周期（SDLC） 共享数据库 机房,业务审计,IT审计,IT审计的组织与实施(培训),5,信息系统审计从风险管理和风险基础审计的角度理解,一个目标 两种风险 三项评价 四类测试,IT审计的组织与实施(培训),6,信息系统审计从风险管理和风险基础审计的角度理解,一个目标 将IT相关的风险控制在可接受的水平 风险是事件的不确定性，这个事件对目标

3、的实现具有影响。 风险是不希望发生事情的可能性。 对待风险的四种策略：拒绝、接受、转移、缓释（控制）,IT审计的组织与实施(培训),7,信息系统审计从风险管理和风险基础审计的角度理解,两种风险 战略风险 失去竞争优势 信息系统项目失败 灾难导致长期不能提供服务 操作风险 变更管理文档不完整 密码政策不恰当 未激活Oracle审计轨迹设置 ,IT审计的组织与实施(培训),8,信息系统审计从风险管理和风险基础审计的角度理解,三项评价 评价信息系统项目 评价业务流程中的IT控制 评价信息安全,IT审计的组织与实施(培训),9,信息系统审计从风险管理和风险基础审计的角度理解,四类测试 IT控制环境测试

4、 物理控制测试 逻辑控制测试 IS操作控制测试,IT审计的组织与实施(培训),10,信息系统审计从风险管理和风险基础审计的角度理解,将IT相关风险控制在可接受水平,战略风险,操作风险,评价IT项目,评价业务流程中的IT控制,评价信息安全,测试IT控制环境,测试物理控制,测试逻辑控制,测试IS操作控制,一个目标,两种风险,三项评价,四类测试,IT审计的组织与实施(培训),11,信息系统审计标准,ITIL(IT Infrastructure Library) BS7799 COBIT(Control Objectives for Information and Related Technology

5、),IT审计的组织与实施(培训),12,信息系统审计标准ITIL,IT服务管理 IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。 ITIL（IT Infrastructure Library, IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 15000,IT审计的组织与实施(培训),13,信息系统审计标准ITIL,ITIL整体框架 服务提供包括5个核心流程： 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个

6、核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。,资料来源：OGC, 2002,IT审计的组织与实施(培训),14,信息系统审计标准BS7799,信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。,保密性 (Confidentiality),资料来源：Pfleeger, 1997,完整性 (Integrity),可用性 (Availability),IT审计的组织与实施(培训),15,信息系统审计标准BS7799,信息安全管理体系（ISMS） BS 7799： 最早由英国贸易

7、和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为： BS 7799-1：1999信息安全管理实施规则 BS 7799-2：2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000信息技术：信息安全管理实施规则。,IT审计的组织与实施(培训),16,信息系统审计标准BS7799,信息安全管理体系（ISMS） BS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。,通讯和运行管理 访问控制 系统开发和维护 业务持续管理 合规,信息安全政策 安全组织 资产分类和控制 人员控制

8、物理和环境安全,IT审计的组织与实施(培训),17,信息系统审计标准BS7799,BS 7799-2提供的信息安全管理框架,制定政策,确定ISMS的范围,实施风险评价,管理风险,选择控制目标和控制,制定应用说明,政策文件,ISMS范围,风险评价,选择的控制选项,应用说明,结果和结论,选择的控制目标和控制,威胁、弱点、影响,风险管理方法,需要的保证程度,ISMS需要的控制目标和控制,BS 7799 以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,资料来源：BSI，1999,IT审计的组织与实施(培训),18,信息系统审计标准-COBIT,IT治理 信息安全和控制实务普遍接受的标准 主

9、要目的是为企业治理提供清晰的政策和最佳实务 以信息系统审计与控制基金会 (ISACF) 的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。,IT审计的组织与实施(培训),19,信息系统审计标准-COBIT,由34个IT控制目标组成，分为四个方面: 规划和组织 获得与实施 交付与支持 监控,IT审计的组织与实施(培训),20,信息系统审计标准-COBIT,COBIT 的34个控制目标,交付和支持,IT 资源,信息,监控,获得与实施,规划和组织,-效果性 -效率性 -保密性 -完整性 -可用性 -合规性 -可靠性,-人 -应用系统

10、 -技术 -设备 -数据,确定自动化方案 获取并维护应用程序软件 获取并维护技术基础设施 程序开发与维护 系统安装与鉴定 变更管理,定义IT战略规划 定义信息体系结构 确定技术方向 定义IT组织和关系 管理IT投资 传达管理目标和方向 人力资源管理 确保遵循外部要求 风险评估 项目管理 质量管理,定义并管理服务水平 管理第三方的服务 管理性能与容量 确保服务的连续性 确保系统安全 确定并分配成本 教育并培训用户 协助和咨询客户 配置管理 处理问题和突发事件 数据管理 设施管理 运行管理,过程监控 评价内部控制的适当性 获取独立鉴证 提供独立的审计,COBIT,企业目标,IT治理,资料来源：IT

11、 Governance Institute, 2000,IT审计的组织与实施(培训),21,信息系统审计方法,年度风险评估 和计划,问题追踪和 后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案 和测试,年度风险评估 和计划,问题追踪和 后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案 和测试,IT审计的组织与实施(培训),22,内部审计方法年度风险评估和计划,实施年度风险评估 识别下一年度的审计领域. 制定年度审计计划,IT审计的组织与实施(培训),23,年度风险评估:风险评估,按照可审计业务单元进行 每年实施一次 考虑因素 业务/财务影响 外部环境：如

12、规章制度、市场、技术 容易出现欺诈舞弊 计算机环境 上一次审计结果及时间 与管理层讨论（分公司、子公司和总公司）,IT审计的组织与实施(培训),24,年度风险评估:风险分级和审计频率,非常高 (一年或少于一年审计一次) 高 (每一至两年审计一次) 中 (每三到四年审计一次) 低 (每五年审计一次或不审计),IT审计的组织与实施(培训),25,年度风险评估:举例,IT审计的组织与实施(培训),26,年度审计计划:举例,某公司2005 年内部审计计划 一、制定计划的方法 本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。 二

13、、影响计划制定的主要因素 1、中国区业务的快速发展 2、与其他股东在内部审计方面的良好合作 3、 三、审计范围,四、审计项目描述 五、审计时间预算,IT审计的组织与实施(培训),27,信息系统审计方法计划,审计任务备忘录(审计通知书) 审计目的和范围 审计方法 审计人员 被审计单位人员 审计时间安排 问题沟通和行动计划 审计标准 审计效果评价,IT审计的组织与实施(培训),28,计划：举例,某公司一般IT控制审计备忘录 审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。 IT规划和组织 系统开发和获得 变更管理 数据管理 信息安全 网络管理 计算机操作 物理安全和设备管理 业

14、务持续计划 审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志、BCP等）；IT实地观察；与管理层和有关员工面谈。 审计组成员： 审计时间： 审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。 审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效

15、和达到目的。,IT审计的组织与实施(培训),29,信息系统审计方法风险评估,识别业务流程的具体风险 风险矩阵 具体风险 业务影响 可能性评价 (高/中/低) 影响评价 (低/中/显著/非常显著) 风险 (高/中/低),IT审计的组织与实施(培训),30,风险评估:举例,流程:IT规划与组织,IT审计的组织与实施(培训),31,信息系统审计方法控制评价,记录需要控制风险的主要内部控制. 控制评价矩阵 具体风险 需要的控制 控制类型 (预防/发现/改正),IT审计的组织与实施(培训),32,控制评价:举例,流程:IT规划与组织,IT审计的组织与实施(培训),33,信息系统审计方法审计方案和测试,制

16、定审计方案 需要测试的控制 审计程序 测试主要控制的有效性 记录测试结果,IT审计的组织与实施(培训),34,审计方案和测试:举例,流程:IT规划与组织,IT审计的组织与实施(培训),35,信息系统审计方法沟通和报告,发出审计发现清单 与被审计单位管理层交换意见 起草审计报告 举行结束会议 发布最终审计报告 摘要 详细审计发现和审计建议,IT审计的组织与实施(培训),36,信息系统审计方法绩效评价,被审计单位调查问卷 审计结束时发出 调查问题: 审计目的是否表述清楚? 审计人员对被审计单位人员是否谦和礼貌? 审计发现是否准确? 对你是否有用?,IT审计的组织与实施(培训),37,信息系统审计方

17、法 问题追踪和后续审计,对重要审计建议进行季度监控. 内部审计季度检查报告 控制报告,IT审计的组织与实施(培训),38,IT 核心流程和审计方法,规划和组织 系统开发 变更/问题管理 数据管理 计算机操作运行 物理安全/设备管理 业务持续计划 (BCP) 信息安全 网络管理 应用处理,IT审计的组织与实施(培训),39,IT 流程:规划和组织,公司如何管理 IT. 相关风险 IT规划与业务规划不一致 不现实的战略规划 IT成本超支 存在不相容的职能 组织不好的IT职能,IT审计的组织与实施(培训),40,审计方法:规划和组织,审计范围 组织结构 规划过程(战略, 战术) 预算和成本控制 服务

18、级别协议 (SLAs) 培训和资源保障 沟通过程,IT审计的组织与实施(培训),41,审计方法:规划和组织,访谈对象 首席执行官（CEO）/首席营运官（COO） 首席财务官（CFO） 首席信息官（CIO） IT 指导委员会成员 IT 高级管理层 用户管理层,IT审计的组织与实施(培训),42,审计方法:规划和组织,检查内容: IT组织机构图 IT 部门章程/权限 IT 规划 (战略, 战术) 业务规划 IT 指导委员会会议纪要 政策、程序和标准 服务级别协议 (SLAs) 培训计划 职位描述,IT审计的组织与实施(培训),43,IT 流程:系统开发,信息系统是如何开发的，以支持企业运营. 相关

19、风险 未满足业务需求 有瑕疵的业务案例 延期实施 范围不确定（软件基线）,IT审计的组织与实施(培训),44,审计方法:系统开发,审计范围 项目所有者 需求的提出和控制 项目管理 开发和测试 数据转换控制 后实施,IT审计的组织与实施(培训),45,审计方法:系统开发,访谈对象: CIO IT 指导委员会成员 项目指导委员会成员 项目所有者 项目经理,IT审计的组织与实施(培训),46,审计方法:系统开发,检查内容: IT 规划 系统开发方法 与硬件/软件采购相关的政策和程序 项目文档 (如：需求定义，可行性分析) 与软件采购、开发和维护相关的合同,IT审计的组织与实施(培训),47,IT 流

20、程:变更管理,IT变更是如何管理的，以确保完整性 相关风险 非授权的变更请求 未测试的变更 非授权的变更实施,IT审计的组织与实施(培训),48,审计方法:变更管理,审计范围 所有者 需求的提出和控制 变更控制 文档和过程 软件发布政策,IT审计的组织与实施(培训),49,年度审计计划:考虑的因素和批准,考虑的因素 风险高的可审计单元 管理层的要求 公司风险管理委员会和审计委员会的指导 外部审计 年度审计计划批准 第一层次: 副总裁&总审计师（管理层） 第二层次: 审计委员会（董事会）,IT审计的组织与实施(培训),50,审计方法:变更管理,访谈对象 CIO IT 高级管理层 应用开发经理 质

21、量鉴定经理 IT 运行经理,IT审计的组织与实施(培训),51,审计方法:变更管理,检查内容: 系统开发方法 变更控制政策和程序 变更需求表,IT审计的组织与实施(培训),52,IT 流程:数据管理,数据是如何管理的，以确保完整和可用. 相关风险 数据不准确、过时或被破坏 数据不可恢复 数据的不适当访问,IT审计的组织与实施(培训),53,审计方法:数据管理,审计范围 数据所有者 组织结构 计划和开发 系统管理 安全 备份/恢复,IT审计的组织与实施(培训),54,审计方法:数据管理,访谈对象: IT 高级管理层 信息安全官员 系统开发经理 数据库存管理员 数据所有者,IT审计的组织与实施(培

22、训),55,审计方法:数据管理,检查内容: 数据所有关系结构 数据模型 与以下内容相关的政策和程序: 数据输入授权 数据处理 输出的分发 数据库维护和安全 库管理,IT审计的组织与实施(培训),56,IT 流程:计算机操作运行,如何管理计算设备，以提供持续服务. 相关风险 处理延迟 重新运行频繁 问题无法解决,IT审计的组织与实施(培训),57,审计方法:计算机操作运行,审计范围 组织结构 时间安排 媒介控制 备份/重新启动/恢复 容量规划,IT审计的组织与实施(培训),58,审计方法:计算机操作运行,访谈对象: IT 高级管理层 IT 运行经理 数据中心主管,IT审计的组织与实施(培训),5

23、9,审计方法:计算机操作运行,检查的文件： 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 与计算机处理相关的政策和程序 工作安排人员 备份/恢复 问题管理 磁带管理,IT审计的组织与实施(培训),60,IT流程:物理安全/设备管理,相关风险 非授权访问、使用公司资产或信息 偷窃、损坏或毁损数据或设备 不安全的工作环境,IT审计的组织与实施(培训),61,审计方法:物理安全/设备管理,审计范围 访问控制 环境灾难 火灾控制 电力供应 员工安全 应急程序 维护,IT审计的组织与实施(培训),62,审计方法:物理安全/设备管理,访谈对象: IT 高级管理层 IT 设备经理 信息安全官

24、运行 /数据中心经理,IT审计的组织与实施(培训),63,审计方法:物理安全/设备管理,检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境危害防护相关的政策和程序,IT审计的组织与实施(培训),64,IT流程:业务持续计划（BCP）,如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小. 相关风险 无法按照计划恢复关键业务功能 没有足够的资源完成或实施计划 过时和未测试的业务持续计划 第三方供货商的支持不充分,IT审计的组织与实施(培训),65,审计方法:业务持续计划（BCP）,审计范围 所有者 业务影响评估 恢

25、复策略 与业务的联系 维护 测试,IT审计的组织与实施(培训),66,审计方法:业务持续计划（BCP）,访谈对象: CIO IT 高级管理层 IT 运行经理 信息安全官 用户管理层 业务持续计划（BCP）/灾难恢复计划（DRP）小组 灾难恢复地经理,IT审计的组织与实施(培训),67,审计方法:业务持续计划（BCP）,检查内容: BCP 手册 BCP/DRP 测试结果 供货商 /维护合同 业务中断保单 与持续计划过程相关的政策和程序,IT审计的组织与实施(培训),68,IT流程:信息安全,信息是如何保护的，以确保其完整、保密和可用. 相关风险 非授权访问信息（内部和外部） 有意泄露信息,IT审

26、计的组织与实施(培训),69,审计方法:信息安全,审计范围 政策和程序 数据分级 用户添加、维护和删除 监控 密码方案 访问级别 安全环境,IT审计的组织与实施(培训),70,审计方法:信息安全,访谈对象: IT 高级管理层 信息安全官员 应用开发经理 数据管理员,IT审计的组织与实施(培训),71,审计方法:信息安全,检查内容 信息安全政策和程序 了解访问控制软件 违反安全的报告 IT资源访问点 (物理的/逻辑的)的设计安排 具有访问系统资源权限的雇员、供货商、服务提供商的人员名单,IT审计的组织与实施(培训),72,IT流程:网络管理,如何管理网络，以确保其安全、高效运行和可用. 相关风险 网络低效率 网络无法恢复 网络问题无法解决,IT审计的组织与实施(培训),73,审计方法:网络管理,审计范围 所有者 组织结构 规划和开发 政策和程序 网络安全和管理 恢复/重新启动,IT审计的组织与实施(培训),74,审计方法:网络管理,访谈对象: IT 运行经理 网络管理员 信息安全官,IT审计的组织与实施(培训),75,审计方法:网络管理,检查内容 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 网络体系结构/配置 与网络管理相关的政策和程序,IT审计的组织与实施(培训),76,IT流程:应用处理,系统如何实施，以确保经授权的业务信息处理完全、准确