信息系统审计.ppt
《信息系统审计.ppt》由会员分享,可在线阅读,更多相关《信息系统审计.ppt(90页珍藏版)》请在冰豆网上搜索。
NANJINGAUDITUNIVERSITY本课程主要内容本课程主要内容:
信息系统审计概论信息系统审计概论IT治理审计治理审计信息系统架构控制与审计信息系统架构控制与审计信息系统开发及审计信息系统开发及审计信息系统运营与维护审计信息系统运营与维护审计信息安全控制与审计信息安全控制与审计信息系统审计技术方法信息系统审计技术方法信息系统审计信息系统审计NANJINGAUDITUNIVERSITY信息系统审计概论信息系统审计概论ISA的定义、目标、内容、信息系统审计风险、信息的定义、目标、内容、信息系统审计风险、信息系统控制与审计、审计程序,以及信息系统审计的准则、系统控制与审计、审计程序,以及信息系统审计的准则、控制模型等。
控制模型等。
本章主要介绍有关信息系统审计的基本概念和基本理本章主要介绍有关信息系统审计的基本概念和基本理论。
论。
IT治理审计治理审计通过本章的学习,信息系统审计师理解评估信息系统通过本章的学习,信息系统审计师理解评估信息系统管理、计划和组织的战略、政策、标准、程序和相关实务。
管理、计划和组织的战略、政策、标准、程序和相关实务。
确保组织拥有适当的结构、政策、工作职责、运营管理机确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对制和监督实务,以达到公司治理中对IT方面的要求方面的要求。
NANJINGAUDITUNIVERSITY信息系统架构控制与审计信息系统架构控制与审计一个组织要建立信息系统,就需要有效地建立、控制一个组织要建立信息系统,就需要有效地建立、控制和管理好其信息技术基础架构。
本章主要介绍和管理好其信息技术基础架构。
本章主要介绍学习如何正学习如何正确评价组织的信息技术基础设施和运行管理(日常运行事确评价组织的信息技术基础设施和运行管理(日常运行事务、系统执行与监控)的效果和效率。
务、系统执行与监控)的效果和效率。
信息系统开发及审计信息系统开发及审计信息系统开发过程中的问题和错误会产生信息系统开发过程中的问题和错误会产生“积累放大积累放大”效应,并会使企业付出高昂的代价。
因此,通过对信息效应,并会使企业付出高昂的代价。
因此,通过对信息系统开发过程中每个阶段的跟踪审计,及时发现每个阶段系统开发过程中每个阶段的跟踪审计,及时发现每个阶段的错误,并得到及时修正,从而保障整个信息系统的质量。
的错误,并得到及时修正,从而保障整个信息系统的质量。
NANJINGAUDITUNIVERSITY信息系统运营与维护审计信息系统运营与维护审计保证一个组织已经建立的信息系统能高效的为其服务,保证一个组织已经建立的信息系统能高效的为其服务,离不开对其良好的操作、离不开对其良好的操作、运行管理(日常运行事务、系统运行管理(日常运行事务、系统执行与监控)执行与监控)和维护,使其保持最佳的运行状态。
因此,和维护,使其保持最佳的运行状态。
因此,对信息系统运行和维护过程的审计非常重要,是对整个信对信息系统运行和维护过程的审计非常重要,是对整个信息系统实现高效服务的保障。
本章即介绍信息系统运营和息系统实现高效服务的保障。
本章即介绍信息系统运营和维护过程的审计维护过程的审计。
信息系统安全控制与审计信息系统安全控制与审计信息技术环境下信息系统的脆弱性和威胁,使信息系信息技术环境下信息系统的脆弱性和威胁,使信息系统及其产生的信息存在信息安全风险。
本章主要介绍如何统及其产生的信息存在信息安全风险。
本章主要介绍如何对信息系统进行安全审计与控制,从而使信息系统的风险对信息系统进行安全审计与控制,从而使信息系统的风险降到最低。
降到最低。
NANJINGAUDITUNIVERSITY信息系统审计技术与方法信息系统审计技术与方法面对错综复杂的信息系统和审计环境,向审计人员提面对错综复杂的信息系统和审计环境,向审计人员提出了挑战,审计人员实施审计的难度很大,需要运用许多出了挑战,审计人员实施审计的难度很大,需要运用许多技术、方法和工具来辅助他们进行审计工具。
本章即介绍技术、方法和工具来辅助他们进行审计工具。
本章即介绍一些有关信息系统审计的技术和方法。
一些有关信息系统审计的技术和方法。
NANJINGAUDITUNIVERSITY第一章第一章信息系统审计概论信息系统审计概论第一节第一节信息系统审计及其产生与发展信息系统审计及其产生与发展一、何谓信息系统审计(一、何谓信息系统审计(ISA)?
)?
国际信息系统审计委员会国际信息系统审计委员会(ISACA)定义:
定义:
是一个获取是一个获取并评价证据,以判断计算机系统是否能够保证资并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程。
源并有效果地实现组织目标地过程。
日本通产省情报处理开发协会信息系统审计委员会定日本通产省情报处理开发协会信息系统审计委员会定义为:
义为:
为了信息系统的安全、可靠与有效,由独为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动。
提出问题与建议的一连串的活动。
NANJINGAUDITUNIVERSITY从以上定义可以看出从以上定义可以看出,信息系统审计的两个方面职能信息系统审计的两个方面职能:
从外部审计的角度从外部审计的角度,ISA实现实现-监证目标(监证目标(“保证保证”职能)职能)从内部审计的角度从内部审计的角度,ISA实现实现-管理目标(管理目标(“咨询咨询”职能)职能)第一章第一章信息系统审计概论信息系统审计概论一般定义一般定义:
根据公认的标准和指导规范,对信息系统从计根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。
以实现,并提出一系列改进建议的管理活动。
RonWeber定义定义:
搜集并评价证据,以判断一个计算机系搜集并评价证据,以判断一个计算机系统统(信息系统信息系统)是否有效的做到保护资产、维护数据完是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源。
整、完成组织目标,同时最经济的使用资源。
NANJINGAUDITUNIVERSITY第一章第一章信息系统审计概论信息系统审计概论注:
注:
ISACA(InformationSystemAuditandControlassociation,信息系,信息系统审计与控制与控制协会会):
):
是最有权威的信息系统审计行业组织,总部设在美国。
主要从是最有权威的信息系统审计行业组织,总部设在美国。
主要从事事ISA相关理论与实务研究,制定相关相关理论与实务研究,制定相关ISA标准、规范、执业标准、规范、执业指南等;也是唯一有权授予国际信息系统审计师资格的跨国界、指南等;也是唯一有权授予国际信息系统审计师资格的跨国界、跨行业的专业机构。
跨行业的专业机构。
根据根据ISA概念,应理解:
概念,应理解:
ISAISA的主体:
有胜任能力的信息系统独立审计机构或人员的主体:
有胜任能力的信息系统独立审计机构或人员机构:
政府审计机构、内部审计机构、会计和审计事机构:
政府审计机构、内部审计机构、会计和审计事务所、信息化鉴证咨询机构等中介组织务所、信息化鉴证咨询机构等中介组织人员:
注册会计师、审计人员、信息技术人员,等。
人员:
注册会计师、审计人员、信息技术人员,等。
实施实施ISAISA的人员称为:
信息系统审计师的人员称为:
信息系统审计师(或或:
IT:
IT审计师审计师)NANJINGAUDITUNIVERSITYCISA:
(CertifiedInformationSystemAuditor,注册信息系统审计师注册信息系统审计师):
):
取得取得CISA资格的审计人员,既通晓信息系统的软件、硬件、资格的审计人员,既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全,又熟悉经济管理的核心开发、运营、维护、管理和安全,又熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。
全性、稳定性和有效性进行审计、检查、评价和改造。
第一章第一章信息系统审计概论信息系统审计概论CISA从事的活动:
从事的活动:
1、对信息系统的可靠性、安全性、稳定性和有效性进行审对信息系统的可靠性、安全性、稳定性和有效性进行审计、检查、评价、咨询,并提出建议;计、检查、评价、咨询,并提出建议;2、对信息系统的内部控制和风险进行检查、评价、咨询以对信息系统的内部控制和风险进行检查、评价、咨询以及提出改进建议。
及提出改进建议。
NANJINGAUDITUNIVERSITY第一章第一章信息系统审计概论信息系统审计概论信息系统审计师相关信息系统审计师相关知识和能力要求:
知识和能力要求:
知识要求知识要求:
审计学相关知识审计学相关知识:
审计学的基本理论、实务审计学的基本理论、实务信息系统计划、开发和运营等相关知识:
信息系统计划、开发和运营等相关知识:
.信息系统构成相关知识;信息系统构成相关知识;信息化战略规划、构想、提案、立项等相关知识;信息化战略规划、构想、提案、立项等相关知识;系统设计、程序设计、软件测试等相关知识;系统设计、程序设计、软件测试等相关知识;系统操作和管理、数据管理等相关知识;系统操作和管理、数据管理等相关知识;信息系统审计实施相关知识:
信息系统审计实施相关知识:
经营管理方面相关知识;经营管理方面相关知识;信息安全管理相关知识;信息安全管理相关知识;业务对象相关知识;业务对象相关知识;相关法律和法规;相关法律和法规;能力方面要求如下:
能力方面要求如下:
系统审计的相关能力;系统审计的相关能力;审计的立项、分析、评价相关能力;审计的立项、分析、评价相关能力;信息收集、审核、审计方法掌握、相关技巧运用方面的能力;信息收集、审核、审计方法掌握、相关技巧运用方面的能力;审计报告制作能力;审计报告制作能力;NANJINGAUDITUNIVERSITY第一章第一章信息系统审计概论信息系统审计概论信息系统审计师应该做到信息系统审计师应该做到:
严格遵循相关实施准则、程序及控制,遵守相关法规;严格遵循相关实施准则、程序及控制,遵守相关法规;依据职业准则及最佳实践原则要求自己,做到敬业、公正依据职业准则及最佳实践原则要求自己,做到敬业、公正及审慎;及审慎;以合法的诚实的方式为利益相关者服务,保持高尚的品行,以合法的诚实的方式为利益相关者服务,保持高尚的品行,不从事有损与信息系统审计职业的活动;不从事有损与信息系统审计职业的活动;除非官方要求揭露,必须维护履行职责进程中获得信息的除非官方要求揭露,必须维护履行职责进程中获得信息的隐私与机密,不用于个人利益或泄露给不适合的组织;隐私与机密,不用于个人利益或泄露给不适合的组织;维持独立性及客观性,获得充分及客观的证据,作出审计维持独立性及客观性,获得充分及客观的证据,作出审计结论;结论;保持在审计信息系统控制相关领域的技能,完成审计任务;保持在审计信息系统控制相关领域的技能,完成审计任务;审计结果向相关组织、部门和个人报告。
审计结果向相关组织、部门和个人报告。
NANJINGAUDITUNIVERSITY二、二、ISA特点:
特点:
ISA是一个过程,贯穿于整个信息系统生命周期;是一个过程,贯穿于整个信息系统生命周期;ISA的对象具有综合性和复杂性;的对象具有综合性和复杂性;
升级会员 