信息系统审计概述.pptx

《信息系统审计概述.pptx》由会员分享，可在线阅读，更多相关《信息系统审计概述.pptx（86页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CIO时代：引领中国信息化时代：引领中国信息化IT治理与信息安全咨询顾问：陈伟信息系统审计信息系统审计CIO时代：引领中国信息化时代：引领中国信息化培训内容培训内容一、什么是审计？一、什么是审计？二、什么是信息系统审计？二、什么是信息系统审计？三、信息系统审计过程三、信息系统审计过程四、信息系统审计标准四、信息系统审计标准五、信息系统审计师五、信息系统审计师CISA简介简介六、互动讨论六、互动讨论CIO时代：引领中国信息化时代：引领中国信息化一、什么是审计？IT AuditingCIO时代：引领中国信息化时代：引领中国信息化1.1 审计的概念与历史审计的概念与历史n审计的定义审计的定义n是指有

2、胜任能力的独立机构或人员接受委托或授权，对特定经济是指有胜任能力的独立机构或人员接受委托或授权，对特定经济实体的可计量的信息证据进行客观地收集和评价，以确定这些信实体的可计量的信息证据进行客观地收集和评价，以确定这些信息与既定标准的符合程度，并向利益相关者报告的一个系统的过息与既定标准的符合程度，并向利益相关者报告的一个系统的过程。程。n对审计的理解对审计的理解n审计主体：审计主体：“独立机构或人员独立机构或人员”n审计关系：审计关系：“接受委托或授权接受委托或授权”n审计对象：审计对象：“可计量的信息可计量的信息”n审计依据：审计依据：“既定标准既定标准”n审计依据：审计依据：“既定标准既定

3、标准”n审计工作：审计工作：“客观地收集和评价证据客观地收集和评价证据”n审计目标：审计目标：“确定这些信息与既定标准的符合程度，并向利益相关者报告确定这些信息与既定标准的符合程度，并向利益相关者报告”n审计过程：审计过程：“系统的过程系统的过程”-遵循逻辑顺序、结构严密的活动。遵循逻辑顺序、结构严密的活动。n审计的性质：独立、客观审计的性质：独立、客观CIO时代：引领中国信息化时代：引领中国信息化n审计领域审计领域n审计所涉及的领域包含社会活动的方方面面，它最关注的是风险，财务审计所涉及的领域包含社会活动的方方面面，它最关注的是风险，财务风险只是其中的一部分，国家审计机关、会计师事务所的审计

4、是财务报风险只是其中的一部分，国家审计机关、会计师事务所的审计是财务报表审计，内部审计是全方位的经营管理审计；表审计，内部审计是全方位的经营管理审计；n在发达国家，企业管理人员甚至可以就业务经营管理的任何问题咨询审在发达国家，企业管理人员甚至可以就业务经营管理的任何问题咨询审计师的意见；在我国，财务会计审计几乎成了审计的全部，这与我国计师的意见；在我国，财务会计审计几乎成了审计的全部，这与我国审计事业目前所处的发展阶段有关。审计事业目前所处的发展阶段有关。n中国国家审计署要求国家审计工作逐步做到财务收支审计项目和效益审中国国家审计署要求国家审计工作逐步做到财务收支审计项目和效益审计项目各占一半

5、，由基于帐项的审计逐步向基于数据和基于风险的审计计项目各占一半，由基于帐项的审计逐步向基于数据和基于风险的审计过渡。过渡。 CIO时代：引领中国信息化时代：引领中国信息化n审计的产生审计的产生n审计是社会生产发展到一定阶段的产物。审计是社会生产发展到一定阶段的产物。n早在西周时期，我国就设有行使就地稽查职权的审计职能官早在西周时期，我国就设有行使就地稽查职权的审计职能官宰夫；宰夫；在古埃及、古希腊和古罗马帝国，都有对国家财政收支进行监督检查在古埃及、古希腊和古罗马帝国，都有对国家财政收支进行监督检查的审计官员。的审计官员。n16世纪意大利商业城市中出现了一批具有良好的会计知识、专门从事世纪意大

6、利商业城市中出现了一批具有良好的会计知识、专门从事这种查账和公证工作的专业人员，他们所进行的查账与公证，可以说这种查账和公证工作的专业人员，他们所进行的查账与公证，可以说是注册会计师审计的起源。是注册会计师审计的起源。 n1853年，苏格兰爱丁堡创立了第一个注册会计师的专业团体年，苏格兰爱丁堡创立了第一个注册会计师的专业团体爱丁爱丁堡会计师协会。该协会的成立，标志着注册会计师职业的诞生。堡会计师协会。该协会的成立，标志着注册会计师职业的诞生。CIO时代：引领中国信息化时代：引领中国信息化n审计在近代的发展审计在近代的发展n从从18世纪下半叶到世纪下半叶到20世纪初，英国的法律规定了所有股份公司

7、和银世纪初，英国的法律规定了所有股份公司和银行必须聘请注册会计师进行审计，致使英国注册会计师审计得到了迅行必须聘请注册会计师进行审计，致使英国注册会计师审计得到了迅速发展，并对当时欧、美及亚洲等地区产生了重要影响。速发展，并对当时欧、美及亚洲等地区产生了重要影响。n1933年，美国年，美国证券法证券法规定，在证券交易所上市的企业的会计报规定，在证券交易所上市的企业的会计报表必须接受注册会计师审计，向社会公众公布注册会计师出具的审计表必须接受注册会计师审计，向社会公众公布注册会计师出具的审计报告；报告；n在这一阶段，世界各国的审计组织、审计制度、审计方法和技术都已在这一阶段，世界各国的审计组织、

8、审计制度、审计方法和技术都已有了很大发展，形成了一门独立的，具有自己的对象、任务和方法的有了很大发展，形成了一门独立的，具有自己的对象、任务和方法的经济监督学科。经济监督学科。CIO时代：引领中国信息化时代：引领中国信息化n在当代，审计已扩展企业风险控制的各个方面在当代，审计已扩展企业风险控制的各个方面n20世纪世纪50年代以后，随着西方资本主义经济的迅速发展，竞争不断年代以后，随着西方资本主义经济的迅速发展，竞争不断加剧，为了加强企业经济活动的规划和控制，专门为企业内部经营管加剧，为了加强企业经济活动的规划和控制，专门为企业内部经营管理服务的管理会计应运而生；理服务的管理会计应运而生；n因此

9、现代审计从财务审计发展到管理审计；从鉴证会计资料的正确性因此现代审计从财务审计发展到管理审计；从鉴证会计资料的正确性和合法性，又发展到评价企业经营管理和提高经济效益；从事后审计和合法性，又发展到评价企业经营管理和提高经济效益；从事后审计又发展到事前审计，使审计的内涵和外延向着纵深方向发展；又发展到事前审计，使审计的内涵和外延向着纵深方向发展；n2002年美国国会发布了年美国国会发布了SOX萨班斯萨班斯奥克斯利法案奥克斯利法案要求所有上要求所有上市公司都必须建立有效的内部控制框架，掀开了全球企业加强风险管市公司都必须建立有效的内部控制框架，掀开了全球企业加强风险管理和内部控制的序幕。理和内部控制

10、的序幕。n2006年年6月中国国资委发布月中国国资委发布中央企业全面风险管理中央企业全面风险管理， 2006年年10月财政部发起成立企业内部控制标准委员会，其目的是为推动企业完月财政部发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，善治理结构和内部约束机制，中国式的中国式的SOX法法即将出台即将出台。随着公司治理、企业风险管理理论的流行，审计作为风险控制的重要手段，越来越显示其对企业不可或缺的作用。CIO时代：引领中国信息化时代：引领中国信息化n审计师面临的机会与挑战审计师面临的机会与挑战n企业风险管理已成为保护企业核心竞争力的有效手段，有效的风险管理企业风险管理

11、已成为保护企业核心竞争力的有效手段，有效的风险管理将是未来企业发展的主旋律；将是未来企业发展的主旋律；n负责企业风险保证任务的审计部门及审计师将面临巨大的挑战，但也面负责企业风险保证任务的审计部门及审计师将面临巨大的挑战，但也面临着众多的机会。临着众多的机会。CIO时代：引领中国信息化时代：引领中国信息化1.2 审计的分类审计的分类n按审计主体分类按审计主体分类 n政府审计政府审计n内部审计内部审计n注册会计师审计注册会计师审计n按审计目的和内容分类按审计目的和内容分类n财务报表审计财务报表审计 n经营管理审计经营管理审计 n合规性审计合规性审计 n司法取证审计司法取证审计n信息系统审计信息系

12、统审计信息系统审计的特殊性：信息系统审计的特殊性：u信息系统审计师可以经常从不同的方面来评估IT系统与功能，比如：安全、质量、服务、效率、可靠性及能力等。u由于审计对象的特殊性，信息系统审计在实施审计时，还要理解和掌握测试和评估信息系统控制的方法CIO时代：引领中国信息化时代：引领中国信息化n按审计的发展模式分类按审计的发展模式分类 n账项基础审计账项基础审计n制度基础审计制度基础审计n数据基础审计数据基础审计n风险基础审计风险基础审计n其他分类其他分类n按与被审计单位关系分类：可分为内部审计和外部审计；按与被审计单位关系分类：可分为内部审计和外部审计；n按审计范围分类：可分为全面审计和局部审

13、计，综合审计和按审计范围分类：可分为全面审计和局部审计，综合审计和专题审计；专题审计；n按施行时间分类：可分为事前、事中和事后审计，定期和不按施行时间分类：可分为事前、事中和事后审计，定期和不定期审计，期中和期末审计；定期审计，期中和期末审计；n按可选择性的角度分类：可分为强制性审计和任意审计。按可选择性的角度分类：可分为强制性审计和任意审计。CIO时代：引领中国信息化时代：引领中国信息化1.3 审计执业规范体系审计执业规范体系n什么是执业规范体系什么是执业规范体系n指导审计人员科学合理进行工作的标准，亦是衡量审计机指导审计人员科学合理进行工作的标准，亦是衡量审计机构与人员素质及工作质量的准绳

14、。构与人员素质及工作质量的准绳。n世界各国都制定了不同的审计准则体系。审计准则按审计世界各国都制定了不同的审计准则体系。审计准则按审计主体分为：主体分为：n政府审计准则政府审计准则n注册会计师审计准则注册会计师审计准则n内部审计准则内部审计准则CIO时代：引领中国信息化时代：引领中国信息化1.4 审计机构审计机构n政府审计机构政府审计机构 n政府审计机构的隶属模式政府审计机构的隶属模式 n立法模式立法模式 国家审计机构隶属于立法机构，直接对议会负责并向议会报告审国家审计机构隶属于立法机构，直接对议会负责并向议会报告审计结果。代表性的国家是美国。计结果。代表性的国家是美国。n司法模式司法模式 司

15、法型的政府审计制度的特点是在政府审计机构内部设立司法部司法型的政府审计制度的特点是在政府审计机构内部设立司法部门，国家审计拥有有限司法权，从而强化了政府审计职能。西欧大陆、非洲门，国家审计拥有有限司法权，从而强化了政府审计职能。西欧大陆、非洲和南美洲一些国家采用。和南美洲一些国家采用。n行政模式行政模式特点是审计部门是国家行政部门的一个组成部分。主要有中国、特点是审计部门是国家行政部门的一个组成部分。主要有中国、东欧和北欧的瑞典等国家。东欧和北欧的瑞典等国家。n独立模式独立模式特点是政府审计机构独立于立法权、司法权和行政权之外单独设特点是政府审计机构独立于立法权、司法权和行政权之外单独设置，形

16、成国家政权体系的一个分支。目前具有代表性的国家当推日本。置，形成国家政权体系的一个分支。目前具有代表性的国家当推日本。 CIO时代：引领中国信息化时代：引领中国信息化n国际政府审计组织国际政府审计组织n最高审计机关国际组织最高审计机关国际组织(The International Orgnization of Supreme Audit Institutions，INTOSAI) ，是由联合国成员国的最高审计机关组成的国际性是由联合国成员国的最高审计机关组成的国际性组织，宗旨是促进最高审计机关之间在政府审计领域内的审计准则、方法组织，宗旨是促进最高审计机关之间在政府审计领域内的审计准则、方法和技

17、术的交流和技术的交流 n我国的政府审计机构我国的政府审计机构 n我国实行的是行政审计模式，我国政府的审计机构共分四级：审计署，各省、自治我国实行的是行政审计模式，我国政府的审计机构共分四级：审计署，各省、自治区、直辖市审计区、直辖市审计(厅厅)局，省辖市、自治州、盟、行政公署局，省辖市、自治州、盟、行政公署(省人民政府派出机关省人民政府派出机关)审计审计局，县、旗、县局，县、旗、县(市市)级审计局。级审计局。n我国各级审计机关实行统一领导，分级审计，双重管理体制。我国各级审计机关实行统一领导，分级审计，双重管理体制。 CIO时代：引领中国信息化时代：引领中国信息化n内部审计机构内部审计机构n内

18、部审计的组织形式内部审计的组织形式n在公司管理部门之上，董事会之下，设立内部审计组织。这些内部审计织中在公司管理部门之上，董事会之下，设立内部审计组织。这些内部审计织中的人员必须由不参加日常管理工作的董事会成员来担任，以便内部审计工作的人员必须由不参加日常管理工作的董事会成员来担任，以便内部审计工作在企业中有高度的独立性。美国上市公司中的内部审计就属于这一类型。在企业中有高度的独立性。美国上市公司中的内部审计就属于这一类型。n在总经理直接领导下，各职能管理部门之上设置内部审计部门，帮助总经理在总经理直接领导下，各职能管理部门之上设置内部审计部门，帮助总经理执行日常监督工作，有一定独立性。我国的

19、企业大部分采用这一组织形式。执行日常监督工作，有一定独立性。我国的企业大部分采用这一组织形式。n在财务部门内部设置审计组织，隶属于财务部门领导。主要对会计记录、日在财务部门内部设置审计组织，隶属于财务部门领导。主要对会计记录、日常核算工作等进行监督，独立性与权威性均较低。常核算工作等进行监督，独立性与权威性均较低。 CIO时代：引领中国信息化时代：引领中国信息化n内部审计的国际组织内部审计的国际组织 n国际内部审计师协会国际内部审计师协会(Institute of Internal Auditor，IIA)是一个国际性内部审计是一个国际性内部审计学术团体，成立于学术团体，成立于1941年，该协

20、会的宗旨是为会员完成各项专业职责和促进内年，该协会的宗旨是为会员完成各项专业职责和促进内部审计事业的发展提供服务。部审计事业的发展提供服务。n IIA在全球的会员人数为在全球的会员人数为10.7万人，目前获得万人，目前获得CIA资格的内部审计师已超过资格的内部审计师已超过5万人。万人。n我国的内部审计机构我国的内部审计机构 n我国的内部审计机构目前大多数采用的是总经理领导模式，即在本单位主要负责我国的内部审计机构目前大多数采用的是总经理领导模式，即在本单位主要负责人的领导下，设置独立的、与其他职能部门平行的内部审计机构。人的领导下，设置独立的、与其他职能部门平行的内部审计机构。 n1989年年

21、12月，审计署发布了月，审计署发布了关于内部审计工作的规定关于内部审计工作的规定，使内部审计工作的，使内部审计工作的开展有了法规依据。开展有了法规依据。1995年年1月月1日实施的日实施的中华人民共和国审计法中华人民共和国审计法规定了哪规定了哪些部门、组织和单位应按规定建立、健全内部审计制度，从而为我国建立内部审些部门、组织和单位应按规定建立、健全内部审计制度，从而为我国建立内部审计提供了法律依据。计提供了法律依据。CIO时代：引领中国信息化时代：引领中国信息化n注册会计师审计机构注册会计师审计机构n会计师事务所会计师事务所n国际会计师事务所国际会计师事务所“四大四大” 毕马威毕马威(KPMG

22、)、安永、安永(Ernst&Young)、德勤德勤(Deloitte&Touch Tohmatsu)以及普华永道以及普华永道(Price Water house Coopers)会计师事务所会计师事务所;n我国的会计师事务所我国的会计师事务所注册会计师法注册会计师法规定会计师事务所只能采用规定会计师事务所只能采用合伙制或有限责任制的形式合伙制或有限责任制的形式,由主任会计师、副主任会计师、部门经由主任会计师、副主任会计师、部门经理、注册会计师、业务助理人员和其他工作人员组成。实现理、注册会计师、业务助理人员和其他工作人员组成。实现主主任会计任会计师负责制，主任会计师是事务所的法定代表，并且必须

23、是注册会计师。师负责制，主任会计师是事务所的法定代表，并且必须是注册会计师。 CIO时代：引领中国信息化时代：引领中国信息化n审计人员的资格考试审计人员的资格考试n政府审计人员的资格及相关考试政府审计人员的资格及相关考试 n申请政府审计人员职称考试时，资格审查与考试程序并不复杂。一般只要确申请政府审计人员职称考试时，资格审查与考试程序并不复杂。一般只要确认其学历，并通过三四门的专业考试，就可获得如审计师这样的职称。认其学历，并通过三四门的专业考试，就可获得如审计师这样的职称。n注册会计师的资格审查及相关考试注册会计师的资格审查及相关考试 CPAnCPA考试科目为五科：会计、财务成本管理、审计、

24、经济法和税法。考试科目为五科：会计、财务成本管理、审计、经济法和税法。通过注册会计师考试全科成绩合格的，均可取得注册会计师资格，申通过注册会计师考试全科成绩合格的，均可取得注册会计师资格，申请加入注册会计师协会成为非执业会员，但不能执业。要获得执业资请加入注册会计师协会成为非执业会员，但不能执业。要获得执业资格，必须在一家会计师事务所从事审计工作两年以上并符合其他审批格，必须在一家会计师事务所从事审计工作两年以上并符合其他审批条件。只有经批准注册后，发给财政部统一印制的注册会计师证书，条件。只有经批准注册后，发给财政部统一印制的注册会计师证书，方可执行注册会计师业务。方可执行注册会计师业务。n

25、内部审计人员的资格审查及相关考试内部审计人员的资格审查及相关考试 CIAnCIA考试科目共计四门，分别为内部审计在治理、风险和控制中的作考试科目共计四门，分别为内部审计在治理、风险和控制中的作用，实施内部审计业务，经营分析和信息技术，经营管理技术。用，实施内部审计业务，经营分析和信息技术，经营管理技术。 CIO时代：引领中国信息化时代：引领中国信息化二、什么是信息系统审计？IT AuditingCIO时代：引领中国信息化时代：引领中国信息化nIT风险已逐渐成为组织的重要风险风险已逐渐成为组织的重要风险n随着随着IT技术的快速发展与应用的深入，企业对技术的快速发展与应用的深入，企业对IT系统的依

26、赖性越来越强系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁；的同时，面临不断增多的系统薄弱性和各种各样的威胁；n现代企业现代企业IT系统的停机可能会造成业务受到巨大损失、声誉下降、竞争系统的停机可能会造成业务受到巨大损失、声誉下降、竞争优势丧失；优势丧失；nIT项目的高投入和高失败率，使得企业无法实现其预期的创新与利益，项目的高投入和高失败率，使得企业无法实现其预期的创新与利益，不能实现对不能实现对IT的投资回报，或者不通对投资回报进行测量；的投资回报，或者不通对投资回报进行测量； n在全球加强行业监管和内部控制的趋势中，在全球加强行业监管和内部控制的趋势中，IT越来越充

27、当重要角色，越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也倍受不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也倍受关注关注2.1 信息系统审计的产生背景信息系统审计的产生背景CIO时代：引领中国信息化时代：引领中国信息化nIT审计是控制信息化的风险的制度安排审计是控制信息化的风险的制度安排n决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。结构、规则与标准，最终是人。n信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息信息化需要合理有效

28、的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。系统建设成功的重要保证。n应该逐步完善企业的应该逐步完善企业的IT治理机制，实现治理机制，实现IT与战略、管理、业务运营、信息与战略、管理、业务运营、信息安全的深度融合。安全的深度融合。n这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。息化的风险与降低成本。n构筑信息时代新的构筑信息时代新的“游戏规则游戏规则”，“规则规则”是是“游戏游戏”是重要组成部分。是重要组成部分。建立信息系统审计制度是建立信息化“游戏规则”的重要组成部分。

29、CIO时代：引领中国信息化时代：引领中国信息化n信息系统审计的定义信息系统审计的定义n国际信息系统审计领域的权威国际信息系统审计领域的权威Ron Weber的定义：的定义：n收集与评估证据，以判断一个计算机系统收集与评估证据，以判断一个计算机系统(信息系统信息系统)是否有效做到是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。nISACA定义：定义：n信息系统审计是一个获取并评价证据，以判断计算机系统是否能够信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的

30、资源并有效保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。果地实现组织目标的过程。2.2 信息系统审计的概念与历史信息系统审计的概念与历史CIO时代：引领中国信息化时代：引领中国信息化n信息系统审计国际组织信息系统审计国际组织ISACAn1969年美国洛杉矶成立了电子数据审计师协会年美国洛杉矶成立了电子数据审计师协会(EDPAA)n1994年该协会更名为信息系统审计与控制协会年该协会更名为信息系统审计与控制协会(ISACA Information System Audit and Control Associration),总部在芝加哥。总部在芝加哥。nISA

31、CA制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作，每年为通过考试为从业人员颁发工作，每年为通过考试为从业人员颁发CISA、CISM证书，证书，CISA资格在世界各资格在世界各国被广泛认可。国被广泛认可。n ISACA在在100多个国家，设有多个国家，设有170多个分会，现有会员超过多个分会，现有会员超过6万万5千人，认证信千人，认证信息系统审计师息系统审计师CISA超过超过5万人。万人。nIT治理研究院治理研究院(ITGI)组织各种专项研究，制定和发布了组织各种专项研究，制定和发布了IT控制与审计标准控制与审计

32、标准COBIT；n信息系统审计与控制基金会（信息系统审计与控制基金会（ISACF）接受捐赠、管理财务事宜。）接受捐赠、管理财务事宜。CIO时代：引领中国信息化时代：引领中国信息化nISACA的重要贡献之一：的重要贡献之一：IT治理及治理及COBITCOBIT框架控制目标控制实务审计指南实施指南管理指南IT治理总论PracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsibilitiesExecutives & BoardsExecutives & BoardsPracticesResponsi

33、bilitiesExecutives & BoardsExecutives & Boards治理实务治理实务职责职责董事会与执行管理层董事会与执行管理层Business and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology Manag

34、ementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success fac

35、torsCritical success factorsw wMaturity modelsMaturity models业务与技术管理层业务与技术管理层w w绩效测量绩效测量w w关键成功因素关键成功因素w w成熟度模型成熟度模型Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess th

36、e ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to assess

37、the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?Audit, control and security professional Audit, control and security professional What is the ITWhat is the ITControl Framework ?Control Framework ?How to assess the ITHow to asses

38、s the ITControl Framework ?Control Framework ?How to introduce itHow to introduce itin the enterprise ?in the enterprise ?审计、控制和安全从业人员审计、控制和安全从业人员如何制定如何制定IT控控制框架制框架 ?如何评估如何评估IT控控制框架制框架 ?如何在组织中建如何在组织中建立立IT控制框架控制框架 ?-COBIT IT Control Objectives for Sox -COBIT IT Control Objectives for Basel II -COBIT

39、Mapping to ISO17799、 ITIL、 CMMI、PMBOK、 Prince2、 TOGAF关注点如何控制IT风险CIO时代：引领中国信息化时代：引领中国信息化nISACA的重要贡献之二：的重要贡献之二：VAL IT关注点如何使IT创造价值CIO时代：引领中国信息化时代：引领中国信息化n信息系统审计的作用信息系统审计的作用n鉴证价值鉴证价值n通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。可靠性，政策遵循的一贯性。n促进价值促进价值n审计师的证明可以增

40、强人们对组织信息系统的信任程度。促进组织更有效地带入社会经审计师的证明可以增强人们对组织信息系统的信任程度。促进组织更有效地带入社会经济生活中。济生活中。n通过审计发现控制缺陷或漏洞，提出解决问题的建议，从而促进被审计单位提高管理水通过审计发现控制缺陷或漏洞，提出解决问题的建议，从而促进被审计单位提高管理水平，提高经济效益。平，提高经济效益。n咨询价值咨询价值n审计师帮助企业建立健全内部控制制度，进行系统诊断咨询，客观中立地帮助企业降低审计师帮助企业建立健全内部控制制度，进行系统诊断咨询，客观中立地帮助企业降低信息化建设过程中的风险。信息化建设过程中的风险。“信息安全越来越成为银行信息化建设与

41、管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入，将逐渐从单一的产品和技术向整体解决方案过渡，同时从封闭式的设计、实施与管理，不断与完善的、具有适当资质的、独立的第三方审计相结合，这是未来发展的一个趋势。”中国人民银行支付与科技司司长陈静 CIO时代：引领中国信息化时代：引领中国信息化n信息系统审计的业务内容信息系统审计的业务内容组织层控制审计组织层控制审计应用层控制审计应用层控制审计一般性控制审计一般性控制审计CIO时代：引领中国信息化时代：引领中国信息化n一般控制、组织控制的审计业务内容一般控制、组织控制的审计业务内容n信息系统的管理、规划与组织审计信息系统的管理、规划与组织审

42、计 n信息系统技术基础设施与运行实务审计信息系统技术基础设施与运行实务审计 n信息资产的保护审计信息资产的保护审计 n灾难恢复与业务持续计划灾难恢复与业务持续计划 n业务应用系统开发、获得、实施与维护业务应用系统开发、获得、实施与维护 n业务流程评价与风险管理业务流程评价与风险管理 n与安全相关的人力资源管理与企业文化与安全相关的人力资源管理与企业文化 CIO时代：引领中国信息化时代：引领中国信息化n应用控制的审计业务内容应用控制的审计业务内容n应用控制是存在于应用系统中，用于保证记录的完整性和准应用控制是存在于应用系统中，用于保证记录的完整性和准确性及人工或自动数据录入的正确性的控制措施，应

43、用控制确性及人工或自动数据录入的正确性的控制措施，应用控制是针对输入、处理和输出功能的控制。是针对输入、处理和输出功能的控制。n应用控制大部分与应用控制大部分与IT应用系统相关联，但业务过程范围内的应用系统相关联，但业务过程范围内的部分控制仍保留着手工操作的程序，如：交易授权、职责分部分控制仍保留着手工操作的程序，如：交易授权、职责分离和人工核对等。离和人工核对等。nCOBIT过程包含了一般性过程包含了一般性IT控制，但是不包括应用系统控制。控制，但是不包括应用系统控制。因为应用系统控制属于业务过程所有者的职责。但因为应用系统控制属于业务过程所有者的职责。但IT管理与管理与控制人员有协助业务人

44、员建立并完善控制人员有协助业务人员建立并完善IT应用控制的责任。应用控制的责任。CIO时代：引领中国信息化时代：引领中国信息化n应用控制的种类应用控制的种类CIO时代：引领中国信息化时代：引领中国信息化n社会对信息系统审计的需求社会对信息系统审计的需求n企业企业IT部门部门n信息系统安全服务的新形式信息安全审计信息系统安全服务的新形式信息安全审计n为企业控制为企业控制IT风险，提高绩效风险，提高绩效n企业内审部门企业内审部门n拓展新的审计业务拓展新的审计业务n提升自身的地位提升自身的地位n独立的第三方审计部门独立的第三方审计部门n国家法律、行业法规要求国家法律、行业法规要求 信息系统审计是企业

45、风险管理中不可或缺的重要组成部分CIO时代：引领中国信息化时代：引领中国信息化三、信息系统审计过程IT AuditingCIO时代：引领中国信息化时代：引领中国信息化n提高信息系统审计质量、促进审计从业人员之间的经验交提高信息系统审计质量、促进审计从业人员之间的经验交流，促进审计职业的良好发展流，促进审计职业的良好发展信息系统审计准则信息系统审计指南信息系统审计程序职业道德规范强制性标准推荐性标准3.1 信息系统审计准则与指南信息系统审计准则与指南CIO时代：引领中国信息化时代：引领中国信息化nIT审计职业道德规范审计职业道德规范n职业道德规范职业道德规范(Code of Profession

46、al Ethics)n职业审慎职业审慎(Due Professional Care)u信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制，并遵守相关法律法规的要求；u在具体执行审计中要按照职业标准及最佳实践原则要求自己，做到敬业、公正及审慎。u以诚实及符合法律要求的方式为利益相关者服务，保持高尚的行为及品德，不从事有损于信息系统审计职业的活动；u对信息系统审计过程中所取得的信息，应予以保密，不得借以谋取私利和泄漏给他人。执法机构的司法调查除外；u保持在审计和信息系统控制相关领域的专业胜任能力，有效而可靠地完成审计任务；u应获得充分及适当的证据，作出审计结论及建议，审计结果应向适当

47、的组织、部门和个人报告；u应当对组织中的利益相关者进行信息系统安全与控制的教育，以促进其对审计及信息系统的了解；u指工作勤勉程度和开展工作所必需的技能要求，体现在信息系统审计师的职业判断过程中，是确保客户获得高质量审计的基础 CIO时代：引领中国信息化时代：引领中国信息化n信息系统审计准则信息系统审计准则n是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计业务，出具审计报告，都必须遵守执行，具有强制

48、性业务，出具审计报告，都必须遵守执行，具有强制性 nISACA标准委员会制定了标准委员会制定了11大类信息系统审计准则。大类信息系统审计准则。n审计指南审计指南n审计指南是依据审计准则制定的，是审计准则的具体化。指南详细规定审计指南是依据审计准则制定的，是审计准则的具体化。指南详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南，为审了信息系统审计师执行各项审计业务、出具审计报告的具体指南，为审计师在执行审计业务中如何遵守审计准则提供指导。计师在执行审计业务中如何遵守审计准则提供指导。n审计师在运用这些指南时，离不开职业判断，对任何偏离指南的行为一审计师在运用这些指南时，离不开职业

49、判断，对任何偏离指南的行为一定要有充分的理由。定要有充分的理由。 nISACA标准委员会制定了标准委员会制定了35条信息系统审计指南。条信息系统审计指南。CIO时代：引领中国信息化时代：引领中国信息化n审计程序审计程序 n信息系统审计程序是依据审计准则和审计指南制定的；信息系统审计程序是依据审计准则和审计指南制定的；n它为审计师提供了一般审计业务的程序和步骤，是遵守审计准它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指南的一些通常审计程序；则和审计指南的一些通常审计程序；n审计程序为审计师提供了很好的工作范例，但审计师在执行具审计程序为审计师提供了很好的工作范例，但审计师在执行

50、具体的审计业务时，还要根据特定的信息系统和特定的技术环境体的审计业务时，还要根据特定的信息系统和特定的技术环境做出自己的职业判断。做出自己的职业判断。 CIO时代：引领中国信息化时代：引领中国信息化n审计章程审计章程 (Audit Charter) n组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。n审计章程既要强调管理层本身的对信息系统审计的责任与目标，以审计章程既要强调管理层本身的对信息系统审计的责任与目标，以及对信息系统审计的授权，也要明确信息系统审计师可以行使的权及对信息系统审计的授权，也要明确信息系统审计师可以行