IT审计专题介绍

信息系统审计基本知识信息系统审计基本知识信息系统审计基本知识信息系统审计基本知识李志生CISA二〇一二年六月目录目录信息系统审计的引入信息系统审计的引入IT审计的价值与标准规范如何开展IT审计项目IT审计技术与工具如何成为一个IT审计师如何成为一个IT审计师It审计的由来审计的由来什么是审计？经济责任审计什么是审计？古代就有，近代词汇由日本引入•经济责任审计•离任审计环境审计由独立、合格的专职人员接受委托或根据授权，为确定被审计单位经济财务及相关活动的信息•环境审计•社会责任审计审计位经济、财务及相关活动的信息与既定标准之间的相符程度而收集和评价审计证据，提出审计意见并进行报告的经济鉴证过程•IPO审计•IT审计见并进行报告的经济鉴证过程。•舞弊审计•内控审计•跟踪审计It审计的由来审计的由来1、六十年代，美国注册会计师协会和当时的八大会计师事务所联合开始开展EDP（电子数据处理）审计。子数处审计2、1968年，电子数据处理审计师协会（EDPAA）成立，1977年，IBM赞助美国内部审计师协会对IT审计方法和工具进行研究，发布《控制目标》第一版。会4、1984年日本通产省参考美国IT审计标准发布日本的IT审计标准，并在国内软件水平考试中设立IT审计师考试。3、1978年，电子数据处理审计师协会推出CISA认证，1981年推出正式考试。件水平考试中设审计师考试5、1982年，中国香港分会成立，1994年，电子数据处理审计师协会（EDPAA）改名为信息系统审计与控制协会（ISACA）2004年起在国内推广认证考试.6、目前ISACA有160多个分会，覆盖100多个国家，CISA会员超过10万，香港分会超过3000会员。72005年9月美国国家标准协会（ANSI）对ISACA提供的CISA和CISM资格进7、2005年9月，美国国家标准协会（ANSI）对ISACA提供的CISA和CISM资格进行了鉴定的认可。中国审计署也开始引导政府信息化的审计。更多IT审计当前动向可见：技会计•计量问题：真实性和准确性技术在经审计•取证问题：电子数据和访问控制经济和社审计•合规与效益：信息系统反映业务社会管理IT审计合规与效益：信息系统反映业务的合规及IT系统的效率与效益中的应用IT审计的由来2001安然财务欺诈引发安达信倒闭审计来重《萨班斯-奥克斯利法案：2002年》重点领域管理当局报告董事会治理管理层和董事会行为强制执行与惩罚审计师的独立性管理层声明(302条款)域审计委员会的标准加强对内部交易的报告上市公司会计监管委员会(PCAOB)审计委员会事先批准所有审计师提管理层关关键条禁止向董报告向财务官员颁会()对故意发表有审计师提供的服务禁提供管理层关于内部控制的报告条款禁止向董事和官员贷款向财务官员颁布行为准则对故意发表不实声明的刑事处罚(906条款)禁止审计师提供某些服务保护举报人(404条款)(906条款)5年强制轮换审计主管合伙人保护举报人第404条还要求外部审计师对于内部控制和管理层对内部控制的评价进行审计，并出具审计意见。其中与财务报表相关的IT审计意见只能由IT审计审计，并出具审计意见其中与财务报表相关的审计意见只能由审计师出具。IT审计的由来审计来•2009年7月1日起施行中国版的“SOX法案”《企业内部控制基本规范》，首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。上市的其他大中型企业执行。•2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》，自2011年1月1日起首先在境内外同时上市的公司施行，2012年1月1日起1日起首先在境内外同时上市的公司施行，2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。目录目录信息系统审计的引入信息系统审计的引入IT审计的价值与标准规范如何开展IT审计项目展IT审计技术与工具如何成为一个IT审计师IT审计的定义审计一个通过获取并评估证据，以判断IT系统是否保护了组织的资产，有效率地利用组织的资源，保障数据的安全性和一致性以及有效地达到组织的业务目标的过程性，以及有效地达到组织的业务目标的过程。真实性合法性效益性IT审计的内在价值审计在价值资产资产业务目标安全IT系统目标统投资项目，IT监理、IT审计等服务，均可用这四个问题来观察。IT审计的内在价值价值产出/投入审计在价值价值=产出/投入1IT审计对象的重要性2法律法规的强制性1、IT审计对象的重要性2、法律法规的强制性3、IT审计项目的实际绩效IT审计的客户价值审计客户价值社会公金融企社会公众公司金融企业政府与非盈利组织IT审计的客户价值审计客户价值管理信息系统按照业务流程设置为业务运作管理信息系统按照业务流程设置，为业务运作提供基础设施服务，系统中的数据是内部管理和控制的结果和依据内部控制目标实现依赖信息化系统的控制，各业务系统产生数据最终汇总到财务报告披露通过信息系统控制来帮助控制财务报告的风险，通过IT治理来实现公司利益关系人的权责利统一。（基于经营权与管理权、所有权分离的公司架构）（基于经营权与管理权、所有权分离的公司架构）IT审计形式审计式•处于内部审计或者风险控制部门之中。•内部单独的IT审计与评估机构。•外部审计机构。IT审计形式审计式•组织级全面审计。•IT项目审计。•专项审计，如安全审计、绩效审计、数据审计。IT审计内容审计容•一般性控制。保障信息系统正常运行的稳定性、有效性、安全性等方面的控制控制•应用性控制。保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制IT审计内容审计容《联邦信息系统控制审计手册》1、一般控制：1、般控制：•实体安全控制•访问控制•应用软件开发和变更控制•系统软件控制职责分离控制•职责分离控制•服务连续性控制2、应用控制：•授权控制•完整性控制•准确性控制•数据文件和处理的完整性控制•数据文件和处理的完整性控制IT审计内容审计容•一般性控制审计组织•IT治理•IT组织模式、架构、岗位职责供应商•IT供应商管理、版权与知识产权•非核心业务服务水平的保障机房境与防灾基础设施•机房环境与防灾•主机、通讯网络、存储、访问控制•资产、风险、威胁、策略和保障措施业务连续性资产风险威胁策略障措施•业务连续性对IT连续性的要求、备份与恢复IT项目•开发与获取过程的质量、安全变更管理IT项目管控•变更管理网络安全•网络配置、日志检查•漏洞扫描、渗透测试全IT审计内容审计容•应用控制审计业务•用户问题跟踪•功能测试、代码分析、场景模拟或者跟踪IO•输入控制•输出控制•可用性性能•可用性•可靠性•业务数据、日志数据•真实性、一致性、准确性代码•安全性、规范性•流程逻辑性、后门代码流程逻辑性、后门ERP系统•业务流程与线下活动•接口与数据统IT审计的公司价值审计司价值中国注册会计师协会发布的全国百家信息：普华永道毕马威德勤安永普华永道毕马威德勤安永20049亿4.3亿3.7亿3.2亿元2005年124亿71亿65亿62亿元2005年12.4亿7.1亿6.5亿6.2亿元2007年26.3亿19.5亿21.2亿23.2亿元2008年276亿244亿249亿270亿元2008年27.6亿24.4亿24.9亿27.0亿元2009年25.8亿22.2亿23.7亿19.6亿元2010年296亿186亿260亿209亿2010年29.6亿18.6亿26.0亿20.9亿IT审计占财务审计的比重不详，但肯定越来越低，以前以一般性控制为主。未来趋势独立做应用性控制为主。目前项目驱动来自银监会、保监会的强制要求。IT审计的公司价值审计司价值IT审计占财务审计的比重不详，但肯定越来越低，以前以一般性控制为主。IT应用对业务的支持越来越大，特别是集团性公司形成完全依赖，未来趋势独立做应用性控制为主。。目前国内的企业IT审计项目以银监会、保监会的文件强制要求。目前国内的政府IT审计项目以审计署条线领导，更多的是做专项审计，在公积金业务等社会民生信息化为主。随着IT对主营业务的完全覆盖，企业内部控制的审计证据将来主要依靠IT审计提供证据。IT审计的标准规范审计标准范ISACA的信息系统审计标准标准（Standards）标准（Standards）指南（Guidelines）流程（Procedures）技术与管理标准信息系统控制方面信息系统运营服务管理方面信息系统运营、服务管理方面信息系统安全方面信息系统审计必须遵循的行业法规萨班斯一奥史斯利法案金融行业金融行业核电行业服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的风险审计IT审计风险＝固有风险×控制风险×检查风险提示：按照风险与收益成正比关系，可以印证咨询、监理、测试等服务的业务效益从风险等式也可以大致推断一般性控制和应用性控制审计的价值。服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越目录目录信息系统审计的引入IT审计的价值与标准规范IT审计的价值与标准规范如何开展IT审计项目IT审计技术与工具如何成为一个IT审计师IT审计的实施IT审计的实施一审计工作委托与授权一、审计工作委托与授权二、审前调查与准备三IT审计计划与组织三、IT审计计划与组织四、访谈调查、取证、分析等审计过程五、审计报告服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施一、IT审计的授权与委托时的关注点企业经营目标、策略、上级主管的需求信息化部门的问题要求、IT审计的授权与委托时的关注点信息化部门的问题、要求用户部门的问题、要求审计对象的业务特征信息系统的重要度信息系统的重要度审计对象业务的问题点及其解决紧迫度服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施二、审前调查与准备1、信息化部门应用系统产品及文档二、审前调查与准备应用系统产及文档IT管理规章制度运维操作指南故障维修与应急方案安全策略与各类记录2业务部门2、业务部门设备操作手册及其他文档应用系统使用指南与系统输入输出对应的流程和文档、记录与系统输入输出对应的流程和文档、记录服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施三、IT审计计划与组织三、IT审计计划与组织目的：了解被审计单位以及其业务运作情况；了解被审计单位以及其业务运作情况；识别风险和内部控制；确定审计的性质、范围和重点。任务：确定合适的被审计部门以及适合开展审计的信息系统。确定审计所关注的重要领域。确定审计所关注的重要领域。初步评估系统的风险。了解并初步评估信息系统控制。形成审计方案和审计实施方案。服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施三、IT审计计划与组织三、IT审计计划与组织1、持续性审计应有年度计划2专项审计有计划和实施细则3、审计目标、审计范围、审计人员、时间安排、配合要求等2、专项审计有计划和实施细则4、检查表和各类底稿、审计意见模板服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施四访谈调查取证分析等审计过程四、访谈调查、取证、分析等审计过程根据被审计单位和审计对象的控制活动，通过检查和测试发现问题试发现问题1、工作日志2、工作底稿3、取证表3、取证表4、证据5、意见交流并关注整改服务创造价值服务创造价值诚信铸就卓越诚信铸就卓越IT审计的实施IT审计的实施五审计报告五、审计报告审计对象；审计性质；审计性质；审计目的；审计范围和依据；审计实施步骤；实实施活动期间；被审计对象部