1信息系统审计简介V2.ppt

1、信息系统审计简介,agenda,信息系统审计,信息系统审计的方法,IT审计&传统审计,agenda,项目背景,工作范围,工作方法,现场工作计划（部分）,资料调阅审请,审计方案（部分）,审计建议（部分）,信息系统审计整改（部分）,agenda,ISACA规定的IS审计主要内容,国外IS审计实践的基本业务,审计重点-数据环节,审计重点-内部控制环节,审计重点-数据传输转移环节,信息系统审计分类方式,在进行信息系统审计时，审计师通常根据两种方式对系统进行划分：一种方式是根据管理功能，保证信息系统的开发、维护、运行和维护以一种可控的方式进行，通常包括高层管理、信息系统管理、系统开发管理、程序管理、数据

2、管理、质量保证管理、安全管理、运行管理等。第二种划分是根据应用功能划分，执行这些应用以达到信息可靠处理的目标。这种划分方式通常将大的应用系统逐层划分成子系统，然后针对子系统的输入、处理、输出、数据库等方面的数据完整性进行审计。,审计实施主要几个步骤,信息系统审计的几个特征,从信息系统审计的定义和内容，大致归纳出信息系统审计的几个特征,agenda,ISACA-信息系统审计标准,SOX-简介,SOX-主要要求,1)第302节要求公司的CEO和CFO在财务报告上签字，保证财务报告不存在重大错报、漏报，在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对

3、相关批露的内部控制有效性进行评价。2)第906节明确规定上市公司管理层对舞弊和欺诈负有刑事责任。3)第404节404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。a)公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括：明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序；管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。b)公司外部审计师对管理层的内控报告出具鉴证报告。为应对第404条款的要求，首先需要开展与财务报表相关的公司内部控制项目。由于财务报告及其相关的内部控制流程都依赖信

4、息技术的重要支撑，因此需要加强相关的信息技术控制，以满足第404条款的要求。特别是在业务流程高度依赖IT系统支撑的电信与金融行业，重视信息技术控制、完善信息技术控制对满足监管机构要求和企业自身发展都至关重要。同时在SOX中提到了主要控制IT控制点，如信息安全、业务的流程、数据的备份及灾难恢复。SOX的基本条文非常简单，于是推荐了COSO等一些控制措施框架，在COSO的框架中有一半是和IT直接相关的。,COBIT-简介,COBIT信息及相关技术的控制目标（COBIT-Control Objectives for Information and related Technology）；是IT治理的

5、一个开放性标准，由美国IT治理研究院开发与推广，现已更新为第四版；IT业务流程是COBIT关注的焦点，对每一个IT业务流程，COBIT提出也一系列的控制目标，实现这些控制目标的相应的控制程序，评价这些控制程序是否存在并是否被有效执行的一系列审计程序；该标准为IT的治理、安全与控制提供了一个普遍适应的公认标准，以辅助管理层进行IT治理。目前已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险；COBIT已经被证明是一种测量和评估组织IT控制能力的优秀工具；,COBIT-组件,COBIT-组件关系,COBIT-架构总览,*通过IT过程管理IT资源，实

6、现IT目标满足业务需求*,COBIT-架构基础,COBIT-示例,COBIT-成熟度模型,COSO-标准由来,COSO-框架,COSO-三个目标,尽管COSO框架包含了关于符合性和操作的内部控制，但是SOX404只是要求管理者去评估与财务报告有关的内部控制。因此，管理者不需要评估与财务报告无关的内部控制。,COSO-五个组成部分,1.控制环境是“高层设定的基调”，它影响一个组织的控制意识。控制环境是其他内部控制组成部分的基础，为其他组成部分提供纪律和组织结构。2.风险评估是评估影响组织绩效的内外部因素。风险分析是鉴别和分析影响公司达到目标的风险。管理者必须建立一个管理风险的原则。由于经济、工业

7、政策和操作环境都是在不断变化的，所以管理者需要建立一种机制能使管理者鉴别和确定由于变化导致的风险。管理者应该执行控制，去预防或检测错误/欺诈。鉴别和分析风险流程是一个不断重复一直运行的流程。3.控制活动是一些策略和程序，这些策略和程序有助于确保及时地执行那些用来识别管理风险的活动。这些活动发生在整个组织内，包括批准流程、授权流程、验证流程、调和流程、操作执行的回顾流程及资产的安全和职责分离。COSO讨论了许多不同类型的控制活动，包括：预防控制、检测控制、手动控制、计算机控制及管理控制。控制活动是保证实现指定信息流程的目标，例如确保数据流程的完整性和准确性。4.信息与沟通是确保相关信息被识别并及

8、时沟通的过程。这个部分不仅包括一般的内部数据，还包括与信息相关的外部事件、行为等。该部分是对内部和外部信息的鉴别，捕获，处理及报告。沟通是指实现组织之间的有效沟通。最高管理者必须很清楚地向每个员工传达他们各自的控制职责。每个员工必须知道在内部控制系统中他的职责及什么行为才是与工作相关的行为。员工与上层管理者之间必须有很好的沟通机制去交互重要的信息。同样，与外部组织（例如，客户、供应商、领导单位及股东）也要有有效的沟通机制。管理者应该了解对财务数据的汇集起到重要作用的系统和流程，其中包括对维护安全信息的控制系统，授权交易的流程及维护记录的系统。5.监控是用来确定内部控制是否被充分设计、执行、有效

9、和适应的过程。对流程的整个过程进行监控，包括规章制度管理上的监控、重要活动的监控及在执行职责时的对个人行为的监控。管理者评估的范围和频率主要依靠对（1）风险和（2）监控流程有效性的评估上。,1995,1998,1999.04,2000.12,2002,2005.6,2005.10,BS7799-2:1998信息安全管理体系规范,BS7799:1999BS7799的两个部分进行合并,ISO/IEC 17799:2000信息技术信息安全管理实施规则,BS7799-2:2002安全管理体系规范与使用指南,ISO/IEC 17799:2005信息安全管理体系实施规则,ISO/IEC 27001:200

10、5信息技术安全技术信息安全管理体系要求,BS7799-1:1995信息安全管理实施规则,39,ISMS-标准发展沿革,ISMS-概述,41,ISMS-11个安全管理域,ISMS-PDCA过程方法,银监会313文件简介,313审计要点信息科技治理和组织结构,313审计要点信息安全管理,313审计要点信息科技项目开发和变更管理,313审计要点信息系统运行和操作管理,313审计要点业务连续性规划,其它相关文件,2006年底生效的巴赛尔新资本协定(Basel II)，要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风险控管(risk management)，而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。国家计算机信息系统安全保护等级划分准则商业银行内部控制指引 中国移动集团内控手册中国电信股份公司内部控制手册中国网通集团内部控制体系建设指导意见银行业金融机构信息系统风险管理指 引商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引,agenda,问题讨论,