it审计PPT课件.ppt

CIO时时代代：引引领领中中国国信信息息化化IT治理与信息安全咨询顾问：陈伟信息系信息系统审计CIO时时代代：引引领领中中国国信信息息化化培培训内容内容一、什么是一、什么是审计？二、什么是信息系二、什么是信息系统审计？三、信息系三、信息系统审计过程程四、信息系四、信息系统审计标准准五、信息系五、信息系统审计师CISA简介介六、互六、互动讨论CIO时时代代：引引领领中中国国信信息息化化一、什么是一、什么是审计审计？IT AuditingCIO时时代代：引引领领中中国国信信息息化化1.1 审计的概念与的概念与历史史n审计的定的定义n是指有是指有胜任能力的独立机构或人任能力的独立机构或人员接受委托或授接受委托或授权，对特定特定经济实体的可体的可计量的信息量的信息证据据进行客行客观地收集和地收集和评价，以确定价，以确定这些信些信息与既定息与既定标准的符合程度，并向利益相关者准的符合程度，并向利益相关者报告的一个系告的一个系统的的过程。程。n对审计的理解的理解n审计主体：主体：“独立机构或人独立机构或人员”n审计关系：关系：“接受委托或授接受委托或授权”n审计对象：象：“可可计量的信息量的信息”n审计依据：依据：“既定既定标准准”n审计依据：依据：“既定既定标准准”n审计工作：工作：“客客观地收集和地收集和评价价证据据”n审计目目标：“确定确定这些信息与既定些信息与既定标准的符合程度，并向利益相关者准的符合程度，并向利益相关者报告告”n审计过程：程：“系系统的的过程程”-遵循遵循逻辑顺序、序、结构构严密的活密的活动。n审计的性的性质：独立、客：独立、客观CIO时时代代：引引领领中中国国信信息息化化n审计领域域n审计所涉及的所涉及的领域包含社会活域包含社会活动的方方面面，它最关注的是的方方面面，它最关注的是风险，财务风险只是其中的一部分，国家只是其中的一部分，国家审计机关、会机关、会计师事事务所的所的审计是是财务报表表审计，内部，内部审计是全方位的是全方位的经营管理管理审计；n在在发达国家，企达国家，企业管理人管理人员甚至可以就甚至可以就业务经营管理的任何管理的任何问题咨咨询审计师的意的意见；在我国，；在我国，财务会会计审计几乎成了几乎成了审计的全部，的全部，这与我国与我国审计事事业目前所目前所处的的发展展阶段有关。段有关。n中国国家中国国家审计署要求国家署要求国家审计工作逐步做到工作逐步做到财务收支收支审计项目和效益目和效益审计项目各占一半，由基于目各占一半，由基于帐项的的审计逐步向基于数据和基于逐步向基于数据和基于风险的的审计过渡。渡。CIO时时代代：引引领领中中国国信信息息化化n审计的的产生生n审计是社会生是社会生产发展到一定展到一定阶段的段的产物。物。n早在西周早在西周时期，我国就期，我国就设有行使就地稽有行使就地稽查职权的的审计职能官能官宰夫；在宰夫；在古埃及、古希腊和古古埃及、古希腊和古罗马帝国，都有帝国，都有对国家国家财政收支政收支进行行监督督检查的的审计官官员。n16世世纪意大利商意大利商业城市中出城市中出现了一批具有良好的会了一批具有良好的会计知知识、专门从事从事这种种查账和公和公证工作的工作的专业人人员，他，他们所所进行的行的查账与公与公证，可以，可以说是是注册会注册会计师审计的起源。的起源。n1853年，年，苏格格兰爱丁堡丁堡创立了第一个注册会立了第一个注册会计师的的专业团体体爱丁丁堡会堡会计师协会。会。该协会的成立，会的成立，标志着注册会志着注册会计师职业的的诞生。生。CIO时时代代：引引领领中中国国信信息息化化n审计在近代的在近代的发展展n从从18世世纪下半叶到下半叶到20世世纪初，英国的法律初，英国的法律规定了所有股份公司和定了所有股份公司和银行必行必须聘聘请注册会注册会计师进行行审计，致使英国注册会，致使英国注册会计师审计得到了迅得到了迅速速发展，并展，并对当当时欧、美及欧、美及亚洲等地区洲等地区产生了重要影响。生了重要影响。n1933年，美国年，美国证券法券法规定，在定，在证券交易所上市的企券交易所上市的企业的会的会计报表必表必须接受注册会接受注册会计师审计，向社会公众公布注册会，向社会公众公布注册会计师出具的出具的审计报告；告；n在在这一一阶段，世界各国的段，世界各国的审计组织、审计制度、制度、审计方法和技方法和技术都已都已有了很大有了很大发展，形成了一展，形成了一门独立的，具有自己的独立的，具有自己的对象、任象、任务和方法的和方法的经济监督学科。督学科。CIO时时代代：引引领领中中国国信信息息化化n在当代，在当代，审计已已扩展企展企业风险控制的各个方面控制的各个方面n20世世纪50年代以后，随着西方年代以后，随着西方资本主本主义经济的迅速的迅速发展，展，竞争不断加争不断加剧，为了加了加强企企业经济活活动的的规划和控制，划和控制，专门为企企业内部内部经营管理管理服服务的管理会的管理会计应运而生；运而生；n因此因此现代代审计从从财务审计发展到管理展到管理审计；从；从鉴证会会计资料的正确性料的正确性和合法性，又和合法性，又发展到展到评价企价企业经营管理和提高管理和提高经济效益；从事后效益；从事后审计又又发展到事前展到事前审计，使，使审计的内涵和外延向着的内涵和外延向着纵深方向深方向发展；展；n2002年美国国会年美国国会发布了布了SOX萨班斯班斯奥克斯利法案奥克斯利法案要求所有上要求所有上市公司都必市公司都必须建立有效的内部控制框架，掀开了全球企建立有效的内部控制框架，掀开了全球企业加加强风险管管理和内部控制的序幕。理和内部控制的序幕。n2006年年6月中国国月中国国资委委发布布中央企中央企业全面全面风险管理管理，2006年年10月月财政部政部发起成立企起成立企业内部控制内部控制标准委准委员会，其目的是会，其目的是为推推动企企业完完善治理善治理结构和内部构和内部约束机制，束机制，中国式的中国式的SOX法法即将出台即将出台。随着公司治理、企业风险管理理论的流行，审计作为风险控制的重要手段，越来越显示其对企业不可或缺的作用。CIO时时代代：引引领领中中国国信信息息化化n审计师面面临的机会与挑的机会与挑战n企企业风险管理已成管理已成为保保护企企业核心核心竞争力的有效手段，有效的争力的有效手段，有效的风险管理管理将是未来企将是未来企业发展的主旋律；展的主旋律；n负责企企业风险保保证任任务的的审计部部门及及审计师将面将面临巨大的挑巨大的挑战，但也面，但也面临着众多的机会。着众多的机会。CIO时时代代：引引领领中中国国信信息息化化1.2 审计的分的分类n按按审计主体分主体分类 n政府政府审计n内部内部审计n注册会注册会计师审计n按按审计目的和内容分目的和内容分类n财务报表表审计 n经营管理管理审计 n合合规性性审计 n司法取司法取证审计n信息系信息系统审计信息系信息系统审计的特殊性：的特殊性：u信息系统审计师可以经常从不同的方面来评估IT系统与功能，比如：安全、质量、服务、效率、可靠性及能力等。u由于审计对象的特殊性，信息系统审计在实施审计时，还要理解和掌握测试和评估信息系统控制的方法CIO时时代代：引引领领中中国国信信息息化化n按按审计的的发展模式分展模式分类 n账项基基础审计n制度基制度基础审计n数据基数据基础审计n风险基基础审计n其他分其他分类n按与被按与被审计单位关系分位关系分类：可分：可分为内部内部审计和外部和外部审计；n按按审计范范围分分类：可分：可分为全面全面审计和局部和局部审计，综合合审计和和专题审计；n按施行按施行时间分分类：可分：可分为事前、事中和事后事前、事中和事后审计，定期和不，定期和不定期定期审计，期中和期末，期中和期末审计；n按可按可选择性的角度分性的角度分类：可分：可分为强制性制性审计和任意和任意审计。CIO时时代代：引引领领中中国国信信息息化化1.3 审计执业规范体系范体系n什么是什么是执业规范体系范体系n指指导审计人人员科学合理科学合理进行工作的行工作的标准，亦是衡量准，亦是衡量审计机构机构与人与人员素素质及工作及工作质量的准量的准绳。n世界各国都制定了不同的世界各国都制定了不同的审计准准则体系。体系。审计准准则按按审计主主体分体分为：n政府政府审计准准则n注册会注册会计师审计准准则n内部内部审计准准则CIO时时代代：引引领领中中国国信信息息化化1.4 审计机构机构n政府政府审计机构机构 n政府政府审计机构的隶属模式机构的隶属模式 n立法模式立法模式 国家国家审计机构隶属于立法机构，直接机构隶属于立法机构，直接对议会会负责并向并向议会会报告告审计结果。代表性的国家是美国。果。代表性的国家是美国。n司法模式司法模式 司法型的政府司法型的政府审计制度的特点是在政府制度的特点是在政府审计机构内部机构内部设立司法部立司法部门，国家，国家审计拥有有限司法有有限司法权，从而，从而强化了政府化了政府审计职能。西欧大能。西欧大陆、非洲、非洲和南美洲一些国家采用。和南美洲一些国家采用。n行政模式行政模式特点是特点是审计部部门是国家行政部是国家行政部门的一个的一个组成部分。主要有中国、成部分。主要有中国、东欧和北欧的瑞典等国家。欧和北欧的瑞典等国家。n独立模式独立模式特点是政府特点是政府审计机构独立于立法机构独立于立法权、司法、司法权和行政和行政权之外之外单独独设置，形成国家政置，形成国家政权体系的一个分支。目前具有代表性的国家当推日本。体系的一个分支。目前具有代表性的国家当推日本。CIO时时代代：引引领领中中国国信信息息化化n国国际政府政府审计组织n最高最高审计机关国机关国际组织(The International Orgnization of Supreme Audit Institutions，INTOSAI)，是由是由联合国成合国成员国的最高国的最高审计机关机关组成的国成的国际性性组织，宗旨是促，宗旨是促进最高最高审计机关之机关之间在政府在政府审计领域内的域内的审计准准则、方法和、方法和技技术的交流的交流 n我国的政府我国的政府审计机构机构 n我国我国实行的是行政行的是行政审计模式，我国政府的模式，我国政府的审计机构共分四机构共分四级：审计署，各省、自治署，各省、自治区、直区、直辖市市审计(厅)局，省局，省辖市、自治州、盟、行政公署市、自治州、盟、行政公署(省人民政府派出机关省人民政府派出机关)审计局，局，县、旗、旗、县(市市)级审计局。局。n我国各我国各级审计机关机关实行行统一一领导，分，分级审计，双重管理体制。，双重管理体制。CIO时时代代：引引领领中中国国信信息息化化n内部内部审计机构机构n内部内部审计的的组织形式形式n在公司管理部在公司管理部门之上，董事会之下，之上，董事会之下，设立内部立内部审计组织。这些内部些内部审计织中中的人的人员必必须由不参加日常管理工作的董事会成由不参加日常管理工作的董事会成员来担任，以便内部来担任，以便内部审计工作工作在企在企业中有高度的独立性。美国上市公司中的内部中有高度的独立性。美国上市公司中的内部审计就属于就属于这一一类型。型。n在在总经理直接理直接领导下，各下，各职能管理部能管理部门之上之上设置内部置内部审计部部门，帮助，帮助总经理理执行日常行日常监督工作，有一定独立性。我国的企督工作，有一定独立性。我国的企业大部分采用大部分采用这一一组织形式。形式。n在在财务部部门内部内部设置置审计组织，隶属于，隶属于财务部部门领导。主要。主要对会会计记录、日、日常核算工作等常核算工作等进行行监督，独立性与督，独立性与权威性均威性均较低。低。CIO时时代代：引引领领中中国国信信息息化化n内部内部审计的国的国际组织 n国国际内部内部审计师协会会(Institute of Internal Auditor，IIA)是一个国是一个国际性内部性内部审计学学术团体，成立于体，成立于1941年，年，该协会的宗旨是会的宗旨是为会会员完成各完成各项专业职责和促和促进内部内部审计事事业的的发展提供服展提供服务。n IIA在全球的会在全球的会员人数人数为10.7万人，目前万人，目前获得得CIA资格的内部格的内部审计师已超已超过5万人。万人。n我国的内部我国的内部审计机构机构 n我国的内部我国的内部审计机构目前大多数采用的是机构目前大多数采用的是总经理理领导模式，即在本模式，即在本单位主要位主要负责人的人的领导下，下，设置独立的、与其他置独立的、与其他职能部能部门平行的内部平行的内部审计机构。机构。n1989年年12月，月，审计署署发布了布了关于内部关于内部审计工作的工作的规定定，使内部，使内部审计工作的工作的开展有了法开展有了法规依据。依据。1995年年1月月1日日实施的施的中中华人民共和国人民共和国审计法法规定了哪定了哪些部些部门、组织和和单位位应按按规定建立、健全内部定建立、健全内部审计制度，从而制度，从而为我国建立内部我国建立内部审计提供了法律依据。提供了法律依据。CIO时时代代：引引领领中中国国信信息息化化n注册会注册会计师审计机构机构n会会计师事事务所所n国国际会会计师事事务所所“四大四大”毕马威威(KPMG)、安永、安永(Ernst&Young)、德勤德勤(Deloitte&Touch Tohmatsu)以及普以及普华永道永道(Price Water house Coopers)会会计师事事务所所;n我国的会我国的会计师事事务所所注册会注册会计师法法规定会定会计师事事务所只能采用所只能采用合伙制或有限合伙制或有限责任制的形式任制的形式,由主任会由主任会计师、副主任会、副主任会计师、部、部门经理、注册会理、注册会计师、业务助理人助理人员和其他工作人和其他工作人员组成。成。实现主主任会任会计师负责制，主任会制，主任会计师是事是事务所的法定代表，并且必所的法定代表，并且必须是注册会是注册会计师。CIO时时代代：引引领领中中国国信信息息化化n审计人人员的的资格考格考试n政府政府审计人人员的的资格及相关考格及相关考试 n申申请政府政府审计人人员职称考称考试时，资格格审查与考与考试程序并不复程序并不复杂。一般只要确。一般只要确认其学其学历，并通，并通过三四三四门的的专业考考试，就可，就可获得如得如审计师这样的的职称。称。n注册会注册会计师的的资格格审查及相关考及相关考试 CPAnCPA考考试科目科目为五科：会五科：会计、财务成本管理、成本管理、审计、经济法和税法。法和税法。通通过注册会注册会计师考考试全科成全科成绩合格的，均可取得注册会合格的，均可取得注册会计师资格，申格，申请加入注册会加入注册会计师协会成会成为非非执业会会员，但不能，但不能执业。要。要获得得执业资格，必格，必须在一家会在一家会计师事事务所从事所从事审计工作两年以上并符合其他工作两年以上并符合其他审批批条件。只有条件。只有经批准注册后，批准注册后，发给财政部政部统一印制的注册会一印制的注册会计师证书，方可方可执行注册会行注册会计师业务。n内部内部审计人人员的的资格格审查及相关考及相关考试 CIAnCIA考考试科目共科目共计四四门，分，分别为内部内部审计在治理、在治理、风险和控制中的作和控制中的作用，用，实施内部施内部审计业务，经营分析和信息技分析和信息技术，经营管理技管理技术。CIO时时代代：引引领领中中国国信信息息化化二、什么是信息系二、什么是信息系统审计统审计？IT AuditingCIO时时代代：引引领领中中国国信信息息化化nIT风险已逐已逐渐成成为组织的重要的重要风险n随着随着IT技技术的快速的快速发展与展与应用的深入，企用的深入，企业对IT系系统的依的依赖性越来越性越来越强的同的同时，面，面临不断增多的系不断增多的系统薄弱性和各种各薄弱性和各种各样的威的威胁；n现代企代企业IT系系统的停机可能会造成的停机可能会造成业务受到巨大受到巨大损失、声誉下降、失、声誉下降、竞争争优势丧失；失；nIT项目的高投入和高失目的高投入和高失败率，使得企率，使得企业无法无法实现其其预期的期的创新与利益，新与利益，不能不能实现对IT的投的投资回回报，或者不通，或者不通对投投资回回报进行行测量；量；n在全球加在全球加强行行业监管和内部控制的管和内部控制的趋势中，中，IT越来越充当重要角色，越来越充当重要角色，IT不不仅要要为业务的的风险控制提供保障控制提供保障环境，而且其自身的境，而且其自身的风险控制也倍受控制也倍受关注关注2.1 信息系信息系统审计的的产生背景生背景CIO时时代代：引引领领中中国国信信息息化化nIT审计是控制信息化的是控制信息化的风险的制度安排的制度安排n决定信息系决定信息系统是否有效运是否有效运转的决定因素不是信息技的决定因素不是信息技术，而是制度、，而是制度、组织结构、构、规则与与标准，最准，最终是人。是人。n信息化需要合理有效的制度安排，建立良好的管理控制体系是企信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息信息系系统建建设成功的重要保成功的重要保证。n应该逐步完善企逐步完善企业的的IT治理机制，治理机制，实现IT与与战略、管理、略、管理、业务运运营、信息、信息安全的深度融合。安全的深度融合。n这样一方面使信息系一方面使信息系统为企企业创造价造价值并保并保护持持续性，另一方面控制信性，另一方面控制信息化的息化的风险与降低成本。与降低成本。n构筑信息构筑信息时代新的代新的“游游戏规则”，“规则”是是“游游戏”是重要是重要组成部分。成部分。建立信息系统审计制度是建立信息化“游戏规则”的重要组成部分。CIO时时代代：引引领领中中国国信信息息化化n信息系信息系统审计的定的定义n国国际信息系信息系统审计领域的域的权威威Ron Weber的定的定义：n收集与收集与评估估证据，以判断一个据，以判断一个计算机系算机系统(信息系信息系统)是否有效做到是否有效做到保保护资产、维护数据完整、完成数据完整、完成组织目目标，同，同时最最经济地使用地使用资源。源。nISACA定定义：n信息系信息系统审计是一个是一个获取并取并评价价证据，以判断据，以判断计算机系算机系统是否能是否能够保保证资产的安全、数据的完整以及有效率地利用的安全、数据的完整以及有效率地利用组织的的资源并有效源并有效果地果地实现组织目目标的的过程。程。2.2 信息系信息系统审计的概念与的概念与历史史CIO时时代代：引引领领中中国国信信息息化化n信息系信息系统审计国国际组织ISACAn1969年美国洛杉年美国洛杉矶成立了成立了电子数据子数据审计师协会会(EDPAA)n1994年年该协会更名会更名为信息系信息系统审计与控制与控制协会会(ISACA Information System Audit and Control Associration),总部在芝加哥。部在芝加哥。nISACA制制订信息系信息系统审计准准则、实务指南等指南等专业规范来指范来指导信息系信息系统审计师的的工作，每年工作，每年为通通过考考试为从从业人人员颁发CISA、CISM证书，CISA资格在世界各格在世界各国被广泛国被广泛认可。可。n ISACA在在100多个国家，多个国家，设有有170多个分会，多个分会，现有会有会员超超过6万万5千人，千人，认证信信息系息系统审计师CISA超超过5万人。万人。nIT治理研究院治理研究院(ITGI)组织各种各种专项研究，制定和研究，制定和发布了布了IT控制与控制与审计标准准COBIT；n信息系信息系统审计与控制基金会（与控制基金会（ISACF）接受捐）接受捐赠、管理、管理财务事宜。事宜。www.isaca.orgCIO时时代代：引引领领中中国国信信息息化化nISACA的重要的重要贡献之一：献之一：IT治理及治理及COBITCOBIT框架控制目标控制实务审计指南实施指南管理指南IT治理总论PracticesResponsibilitiesExecutives&BoardsExecutives&BoardsPracticesResponsibilitiesExecutives&BoardsExecutives&BoardsPracticesResponsibilitiesExecutives&BoardsExecutives&Boards治理治理实务职责董事会与董事会与执行管理行管理层Business and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity modelsBusiness and Technology ManagementBusiness and Technology Managementw wPerformance measuresPerformance measuresw wCritical success factorsCritical success factorsw wMaturity modelsMaturity models业务与技与技术管理管理层w w绩效效测量量w w关关键成功因素成功因素w w成熟度模型成熟度模型Audit,control and security professional Audit,control and security professional What is the ITWhat is the ITControl Framework?Control Framework?How to assess the ITHow to assess the ITControl Framework?Control Framework?How to introduce itHow to introduce itin the enterprise?in the enterprise?Audit,control and security professional Audit,control and security professional What is the ITWhat is the ITControl Framework?Control Framework?How to assess the ITHow to assess the ITControl Framework?Control Framework?How to introduce itHow to introduce itin the enterprise?in the enterprise?Audit,control and security professional Audit,control and security professional What is the ITWhat is the ITControl Framework?Control Framework?How to assess the ITHow to assess the ITControl Framework?Control Framework?How to introduce itHow to introduce itin the enterprise?in the enterprise?审计、控制和安全从、控制和安全从业人人员如何制定如何制定IT控控制框架制框架?如何如何评估估IT控控制框架制框架?如何在如何在组织中建中建立立IT控制框架控制框架?-COBIT IT Control Objectives for Sox-COBIT IT Control Objectives for Basel II-COBIT Mapping to ISO17799、ITIL、CMMI、PMBOK、Prince2、TOGAF关注点如何控制IT风险CIO时时代代：引引领领中中国国信信息息化化nISACA的重要的重要贡献之二：献之二：VAL IT关注点如何使IT创造价值CIO时时代代：引引领领中中国国信信息息化化n信息系信息系统审计的作用的作用n鉴证价价值n通通过审计，合理地保，合理地保证被被审计单位信息系位信息系统及其及其处理、理、产生的信息的真生的信息的真实性、完整性与性、完整性与可靠性，政策遵循的一可靠性，政策遵循的一贯性。性。n促促进价价值n审计师的的证明可以增明可以增强人人们对组织信息系信息系统的信任程度。促的信任程度。促进组织更有效地更有效地带入社会入社会经济生活中。生活中。n通通过审计发现控制缺陷或漏洞，提出解决控制缺陷或漏洞，提出解决问题的建的建议，从而促，从而促进被被审计单位提高管理水位提高管理水平，提高平，提高经济效益。效益。n咨咨询价价值n审计师帮助企帮助企业建立健全内部控制制度，建立健全内部控制制度，进行系行系统诊断咨断咨询，客，客观中立地帮助企中立地帮助企业降低降低信息化建信息化建设过程中的程中的风险。“信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入，将逐渐从单一的产品和技术向整体解决方案过渡，同时从封闭式的设计、实施与管理，不断与完善的、具有适当资质的、独立的第三方审计相结合，这是未来发展的一个趋势。”中国人民银行支付与科技司司长陈静 CIO时时代代：引引领领中中国国信信息息化化n信息系信息系统审计的的业务内容内容组织层控制控制审计应用用层控制控制审计一般性控制一般性控制审计CIO时时代代：引引领领中中国国信信息息化化n一般控制、一般控制、组织控制的控制的审计业务内容内容n信息系信息系统的管理、的管理、规划与划与组织审计 n信息系信息系统技技术基基础设施与运行施与运行实务审计 n信息信息资产的保的保护审计 n灾灾难恢复与恢复与业务持持续计划划 n业务应用系用系统开开发、获得、得、实施与施与维护 n业务流程流程评价与价与风险管理管理 n与安全相关的人力与安全相关的人力资源管理与企源管理与企业文化文化 CIO时时代代：引引领领中中国国信信息息化化n应用控制的用控制的审计业务内容内容n应用控制是存在于用控制是存在于应用系用系统中，用于保中，用于保证记录的完整性和准的完整性和准确性及人工或自确性及人工或自动数据数据录入的正确性的控制措施，入的正确性的控制措施，应用控制用控制是是针对输入、入、处理和理和输出功能的控制。出功能的控制。n应用控制大部分与用控制大部分与IT应用系用系统相关相关联，但，但业务过程范程范围内的内的部分控制仍保留着手工操作的程序，如：交易授部分控制仍保留着手工操作的程序，如：交易授权、职责分分离和人工核离和人工核对等。等。nCOBIT过程包含了一般性程包含了一般性IT控制，但是不包括控制，但是不包括应用系用系统控制。控制。因因为应用系用系统控制属于控制属于业务过程所有者的程所有者的职责。但。但IT管理与管理与控制人控制人员有有协助助业务人人员建立并完善建立并完善IT应用控制的用控制的责任。任。CIO时时代代：引引领领中中国国信信息息化化n应用控制的种用控制的种类CIO时时代代：引引领领中中国国信信息息化化n社会社会对信息系信息系统审计的需求的需求n企企业IT部部门n信息系信息系统安全服安全服务的新形式信息安全的新形式信息安全审计n为企企业控制控制IT风险，提高，提高绩效效n企企业内内审部部门n拓展新的拓展新的审计业务n提升自身的地位提升自身的地位n独立的第三方独立的第三方审计部部门n国家法律、行国家法律、行业法法规要求要求 信息系统审计是企业风险管理中不可或缺的重要组成部分CIO时时代代：引引领领中中国国信信息息化化三、信息系三、信息系统审计过统审计过程程IT AuditingCIO时时代代：引引领领中中国国信信息息化化n提高信息系提高信息系统审计质统审计质量、促量、促进审计进审计从从业业人人员员之之间间的的经验经验交交流，促流，促进审计职业进审计职业的良好的良好发发展展信息系统审计准则信息系统审计指南信息系统审计程序职业道德规范强制性标准推荐性标准3.1 信息系信息系统审计准准则与指南与指南CIO时时代代：引引领领中中国国信信息息化化nIT审计职业道德道德规范范n职业道德道德规范范(Code of Professional Ethics)n职业审慎慎(Due Professional Care)u信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制，并遵守相关法律法规的要求；u在具体执行审计中要按照职业标准及最佳实践原则要求自己，做到敬业、公正及审慎。u以诚实及符合法律要求的方式为利益相关者服务，保持高尚的行为及品德，不从事有损于信息系统审计职业的活动；u对信息系统审计过程中所取得的信息，应予以保密，不得借以谋取私利和泄漏给他人。执法机构的司法调查除外；u保持在审计和信息系统控制相关领域的专业胜任能力，有效而可靠地完成审计任务；u应获得充分及适当的证据，作出审计结论及建议，审计结果应向适当的组织、部门和个人报告；u应当对组织中的利益相关者进行信息系统安全与控制的教育，以促进其对审计及信息系统的了解；u指工作勤勉程度和开展工作所必需的技能要求，体现在信息系统审计师的职业判断过程中，是确保客户获得高质量审计的基础 CIO时时代代：引引领领中中国国信信息息化化n信息系信息系统审计准准则n是整个是整个审计准准则体系的体系的总纲，是信息系，是信息系统审计师的的资格条件、格条件、执业行行为的基本的基本规范，是制定范，是制定审计指南和指南和审计程序的基程序的基础依据。依据。审计师执行行审计业务，出具，出具审计报告，都必告，都必须遵守遵守执行，具有行，具有强制性制性 nISACA标准委准委员会制定了会制定了11大大类信息系信息系统审计准准则。n审计指南指南n审计指南是依据指南是依据审计准准则制定的，是制定的，是审计准准则的具体化。指南的具体化。指南详细规定定了信息系了信息系统审计师执行各行各项审计业务、出具、出具审计报告的具体指南，告的具体指南，为审计师在在执行行审计业务中如何遵守中如何遵守审计准准则提供指提供指导。n审计师在运用在运用这些指南些指南时，离不开，离不开职业判断，判断，对任何偏离指南的行任何偏离指南的行为一一定要有充分的理由。定要有充分的理由。nISACA标准委准委员会制定了会制定了35条信息系条信息系统审计指南。指南。CIO时时代代：引引领领中中国国信信息息化化n审计程序程序 n信息系信息系统审计程序是依据程序是依据审计准准则和和审计指南制定的；指南制定的；n它它为审计师提供了一般提供了一般审计业务的程序和步的程序和步骤，是遵守，是遵守审计准准则和和审计指南的一些通常指南的一些通常审计程序；程序；n审计程序程序为审计师提供了很好的工作范例，但提供了很好的工作范例，但审计师在在执行具行具体的体的审计业务时，还要根据特定的信息系要根据特定的信息系统和特定的技和特定的技术环境境做出自己的做出自己的职业判断。判断。CIO时时代代：引引领领中中国国信信息息化化n审计章程章程(Audit Charter)n组织通通过审计章程来确定信息系章程来确定信息系统审计活活动在在组织中所扮演的角色。中所扮演的角色。n审计章程既要章程既要强调管理管理层本身的本身的对信息系信息系统审计的的责任与目任与目标，以，以及及对信息系信息系统审计的授的授权，也要明确信息系，也要明确信息系统审计师可以行使的可以行使的权力、所力、所负责任及任及审计范范围。3.2信息系信息系统审计方法方法CIO时时代代：引引领领中中国国信信息息化化n审计方法方法(Audit Methodology)n所所谓的的审计方法就是通方法就是通过在在组织中制定一系列中制定一系列规范的范的审计方法来达到方法来达到预期的期的审计目目标，也可称，也可称为审计策略。策略。n主要内容包括主要内容包括审计范范围、审计目目标及工作程序。及工作程序。n审计方法方法论应当由当由审计部部门的管理人的管理人员来制定与批准，来制定与批准，并在并在审计人人员中推广中推广应用。用。一般性一般性审计方法方法审计对象确定审计对象审计目标确定审计目标，如：审计目标是确定对程序源代码的变更是否有良好的定义和控制。审计范围确定特定的系统、功能或组织单元进行审核。例如，在程序源代码变更管理审计中，可以把范围限制在某一个应用系统中，或在一个有限的时间范围内。审计资源确定审计所需要的技术技能及资源为测试或检查确定信息来源，比如：流程图、策略、标准、程序及以前的审计报告。确定进行审计的地点及设施审计方案确定和选择收集证据的方法来验证和测试控制确定访谈对象确定和收集组织的相关政策、标准和指南进行检查实施审计以走访、面谈、测试、分析、复核等方法收据审计证据。评价测试检查结果（因组织不同而变化）与管理人员沟通（因组织不同而变化）准备审计报告确定后续检查方法确定评价与测试审计对象运营的效率与效果的方法确定测试控制的方法检查和评价文档、政策及程序的完备性CIO时时代代：引引领领中中国国信信息息化化n审计计划划(Audit Plan)n短期短期计划本年度内需要划本年度内需要实施的施的审计事事项n中中长期期计划划2年以上的年以上的审计计划划n制定制定审计计划的要点：划的要点：u充分了解组织的业务目标、业务流程及信息技术u进行风险评估、实施内部控制检查u确定审计范围及目标、制定审计方案及审计策略u审计计划应当得到管理层和审计委员会的批准，如果可能的话，尽量通报到各管理层负责人 u综合考虑审计项目要求、人力资源现状及其他限制条件，合理匹配审计资源 CIO时时代代：引引领领中中国国信信息息化化n审计资源管理源管理n审计师的信息系的信息系统相关知相关知识与能力与能力n审计项目管理的能力目管理的能力n审计人人员的培的培训计划划n审计工具的使用（例如：网工具的使用（例如：网络扫描工具、穿透描工具、穿透测试工具、日工具、日志分析工具等）志分析工具等）CIO时时代代：引引领领中中国国信信息息化化n审计委托委托书n审计师的的责任任n审计师的的权利利n审计师的的义务n与委托方的交流与委托方的交流明确审计任务、审计目标、审计范围、独立性、风险评价、被审计单位的其他要求等。对于内部审计师而言，还包括关键成功因素、主要绩效衡量指标及其他工作措施。审计师有权接触的相关信息，询问相关被审计人员，巡视被审计场所及信息系统相关的设备、软件等；审计人员有权了解组织结构包括向董事会和高层经理汇报的途径信息系统审计小组成员不同的权限确定报告接受者；质量评估；约定的完工期；预算；双方达成的协议。对内部审计师还包括：工作成绩和职责标准；向上级汇报的途径；信息系统审计师的经历与经验；个人工作表现评价；独立性评价；对标准遵守情况；计划完成情况；经费开支委托方要准确描述信息系统审计目标、对象、领域和信息系统审计时限；描述可能面临的问题的解决方案提供能进行有效、便捷的交流方式和工具CIO时时代代：引引领领中中国国信信息息化化n审计方案方案(Audit Program)n信息系信息系统审计师经常需要从不同的角度常需要从不同的角度评价价IT系系统及其功能，此及其功能，此时建立建立审计工作方案工作方案(也就是具体的也就是具体的审计策略与策略与计划划)是一件十分重要的工作；是一件十分重要的工作；n通通过审计工作方案可以确定具体的工作方案可以确定具体的审计范范围、审计目目标、审计程序，以程序，以获得充分的、合理的得充分的、合理的证据，以得出和支持据，以得出和支持审计结论与与审计建建议。审计方案的一般内容方案的一般内容获得对审计领域及审计主题的理解并进行记录；进行风险评估并制定通用的审计计划