IT审计的组织与实施

2020/9/20IT审计的组织与实施内容安排内部审计及其分类信息系统审计—从风险管理和风险基础审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析2�内部审计及其分类内部审计内部审计分类业务审计（OperationsAudit）信息系统审计(InformationSystemsAudit)或IT审计3�内部审计及其分类业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划（BCP）基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期（SDLC）共享数据库机房业务审计IT审计4�信息系统审计—从风险管理和风险基础审计的角度理解一个目标两种风险三项评价四类测试5�信息系统审计—从风险管理和风险基础审计的角度理解一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性，这个事件对目标的实现具有影响。风险是不希望发生事情的可能性。对待风险的四种策略：拒绝、接受、转移、缓释（控制）风险机会6�信息系统审计—从风险管理和风险基础审计的角度理解两种风险战略风险失去竞争优势信息系统项目失败灾难导致长期不能提供服务……操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置……7�信息系统审计—从风险管理和风险基础审计的角度理解三项评价评价信息系统项目评价业务流程中的IT控制评价信息安全8�信息系统审计—从风险管理和风险基础审计的角度理解四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试9�信息系统审计—从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安全测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试10�信息系统审计标准ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology)11�信息系统审计标准—ITILIT服务管理IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。ITIL（ITInfrastructureLibrary,IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS1500012�信息系统审计标准—ITILITIL整体框架•服务提供包括5个核心流程：服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理ICT基础架构管理安全管理服务支持服务提供资料来源：OGC,200213�信息系统审计标准—BS7799信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。保密性(Confidentiality)资料来源：Pfleeger,1997完整性(Integrity)可用性(Availability)14�信息系统审计标准—BS7799信息安全管理体系（ISMS）BS7799：最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为：BS7799-1：1999《信息安全管理实施规则》BS7799-2：2002《信息安全管理体系规范》BS7799-1于2000年被批准为国际标准ISO/IEC17799：2000《信息技术：信息安全管理实施规则》。15�信息系统审计标准—BS7799信息安全管理体系（ISMS）BS7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。通讯和运行管理访问控制系统开发和维护业务持续管理合规信息安全政策安全组织资产分类和控制人员控制物理和环境安全16�信息系统审计标准—BS7799BS7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS7799以外的控制第一步第二步第三步第四步第五步第六步资料来源：BSI，199917�信息系统审计标准-COBITIT治理信息安全和控制实务普遍接受的标准主要目的是为企业治理提供清晰的政策和最佳实务以信息系统审计与控制基金会(ISACF)的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。18�信息系统审计标准-COBIT由34个IT控制目标组成，分为四个方面:规划和组织获得与实施交付与支持监控19�信息系统审计标准-COBIT–COBIT的34个控制目标交付和支持IT资源信息监控获得与实施规划和组织-效果性-效率性-保密性-完整性-可用性-合规性-可靠性-人-应用系统-技术-设备-数据•确定自动化方案•获取并维护应用程序软件•获取并维护技术基础设施•程序开发与维护•系统安装与鉴定•变更管理•定义IT战略规划•定义信息体系结构•确定技术方向•定义IT组织和关系•管理IT投资•传达管理目标和方向•人力资源管理•确保遵循外部要求•风险评估•项目管理•质量管理•定义并管理服务水平•管理第三方的服务•管理性能与容量•确保服务的连续性•确保系统安全•确定并分配成本•教育并培训用户•协助和咨询客户•配置管理•处理问题和突发事件•数据管理•设施管理•运行管理•过程监控•评价内部控制的适当性•获取独立鉴证•提供独立的审计COBIT企业目标IT治理资料来源：ITGovernanceInstitute,200020�信息系统审计方法年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试21�内部审计方法年度风险评估和计划实施年度风险评估识别下一年度的审计领域.制定年度审计计划22�年度风险评估:风险评估按照可审计业务单元进行每年实施一次考虑因素业务/财务影响外部环境：如规章制度、市场、技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论（分公司、子公司和总公司）23�年度风险评估:风险分级和审计频率非常高(一年或少于一年审计一次)高(每一至两年审计一次)中(每三到四年审计一次)低(每五年审计一次或不审计)24�年度风险评估:举例可审计单元业务因素(50)风险因素(25)控制环境(25)总分排序风险水平风险影响(20)财务影响(15)合规影响(10)未来成功影响(5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度(6)变更(4)内部控制(12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.520中应用设计和配置109251.5336331551.523中25�年度审计计划:举例某公司2005年内部审计计划一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围风险领域审计项目信息技术技术基础架构项目管理业务持续计划（BCP）四、审计项目描述五、审计时间预算26�信息系统审计方法计划审计任务备忘录(审计通知书)审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动计划审计标准审计效果评价27�计划：举例某公司一般IT控制审计备忘录审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志、BCP等）；IT实地观察；与管理层和有关员工面谈。审计组成员：审计时间：审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和达到目的。28�信息系统审计方法风险评估识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价(高/中/低)影响评价(低/中/显著/非常显著)风险(高/中/低)29�风险评估:举例具体风险业务影响可能性评价影响评价风险说明控制评价审计方案IT战略规划与企业目标不致1.IT战略规划不支持企业业务目标实现2.资金用途没有最大化.中等非常高高1.有业务规划2.IT管理层了解业务规划3.IT管理层参与业务规化制定4.IT管理层在制定IT战略规划时考虑业务规划LinkLink业务流程总体评价流程:IT规划与组织30�信息系统审计方法控制评价记录需要控制风险的主要内部控制.控制评价矩阵具体风险需要的控制控制类型(预防/发现/改正)31�控制评价:举例风险控制控制类型(P,D,C)审计方案索引IT战略规划与企业目标不一致企业IT投资以坚实的业务案例为依据PLink对控制设计的结论流程:IT规划与组织32�信息系统审计方法审计方案和测试制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果33�审计方案和测试:举例风险/测试的控制审计程序工作底稿索引审计人员1-3与以下人员面谈CEOCOOCFOIT部门负责人IT指导委员会成员分管IT的高管人力资源部取得并检查下列文件IT规划的规章制度高管在指导委员会的职责企业战略目标，长期、短期计划IT指导委员会会议记要评价和测试内容规划是否包括以下内容1.企业的目标2.IT是否支持企业目标3.对IT项目是否经风险评价4.IT项目是否根据企业目标的改变而调整流程:IT规划与组织34�信息系统审计方法沟通和报告发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议35�信息系统审计方法绩效评价被审计单位调查问卷审计结束时发出调查问题:审计目的是否表述清楚?审计人员对被审计单位人员是否谦和礼貌?审计发现是否准确?对你是否有用?36�信息系统审计方法问题追踪和后续审计对重要审计建议进行季度监控.内部审计季度检查报告控制报告37�IT核心流程和审计方法规划和组织系统开发变更/问题管理数据管理计算机操作运行物理安全/设备管理业务持续计划(BCP)信息安全网络管理应用处理38�IT流程:规划和组织公司如何管理IT.相关风险IT规划与业务规划不一致不现实的战略规划IT成本超支存在不相容的职能组织不好的IT职能39�审计方法:规划和组织审计范围