CISA-IT审计实务培训1-理论专题课件

金融企业IT审计实务培训 —— 1.重要概念与理论专题杨洋（yycisa@263.net）主讲人简介杨洋管理学博士（信息管理与信息安全方向，同济大学）会计学学士、硕士（东北财经大学）高级程序员（1998），CISA（2002）,SCJP，IBM电子商务咨询师，IBMWSADDeveloper目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术1.IT审计的概念2.IT审计的目标3.IT审计的形式4.IT审计的发展历史一、

IT审计概述“收集并评估证据，以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。（RonWeber）ISaudit注重应用系统审计，开发流程，已建立系统的应用，基于应用系统。ITaudit注重基础设施安全，一般控制审计，侧重安全，不针对单个系统。1.IT审计概念2.IT审计的四个目标AssetSecurity（资产安全性）Effectivity（系统有效性）Efficiency（系统效率性）DataIntegrity（数据完整性）Compliance （合规性）3.IT审计的实施方式定期全面审计 对委托单位的全部信息系统的整体情况进行评价和建议，包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面（计划、组织、流程、培训）等情况。具体项目审计 针对具体某个信息化项目的建设进行全周期（从规划到验收）或指定阶段（如单独的后评估）的监理与建议。专项审计 根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议，比如对委托单位的信息系统安全审计。IT审计的组织模式作为内部审计部门的组成成立单独的IT审计或评价部门委托外部审计机构混合模式外审视角（签证目标）：资产安全性数据完整性合规性内审视角（管理目标）还包括：系统有效性系统效率性外审与内审4.IT审计的发展历史EDP审计阶段——为财务审计的数据获取提供帮助1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA）内控系统审计阶段——为财务审计的符合性测试提供帮助独立的信息系统审计——完全超出财务报表范围，直接为企业信息系统的各方面情况进行审计

1994年该协会更名为信息系统审计与控制协会即ISACA，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，是从事信息系统审计的专业人员唯一的国际性组织，CISA也是这一领域的唯一职业资格。

1.总体发展趋势

2.金融企业IT审计发展趋势二、

IT审计发展现状与趋势1.总体发展现状与趋势国外各类企业IT审计典型国家简介：美国、澳大利亚SOX法案对企业实施IT审计的影响特点与趋势：仍以内审为主从关注安全向关注业务目标过渡一般控制审计与应用控制审计并行1.总体发展现状与趋势国外政府机构IT审计英国绩效审计中的IT审计日本对国家投资项目的IT审计美国联邦政府的IT审计特点与趋势：外部审计与政府内部审计结合融入绩效预算管理体系关注系统最终效果1.总体发展现状与趋势国内IT审计发展现状国内IT审计的起步地区性分布：珠三角——长三角——北京从业人员与机构特点与趋势：目前以SOX审计为主外审需求较低，内审已经开始发展自上而下推动，以合规审计为主1.总体发展现状与趋势国内相关机构简介审计署与信息产业部对IT审计的理解和推动各类审计、咨询公司对IT审计的理解和推动相关学术团体及成果国内IT审计案例简介某国有通信服务企业IT审计概述2.金融企业IT审计发展现状与趋势金融企业IT审计的特点需求更急切，开展更早更为关注安全性业务变更频繁，直接影响风险联网率高，风险扩散迅速数据量大，审计成本高岗位复杂，分权失效风险大

……2.金融企业IT审计发展现状与趋势国外金融企业IT审计典型案例案例1：银行IT审计架构案例2：银行一般控制审计与发现案例3：银行业务系统审计与发现2.金融企业IT审计发展现状与趋势国内金融企业IT审计典型案例案例1：基于COBIT的IT审计架构案例2：再贴现业务系统审计与发现案例3：个人消费信贷系统审计案例2.金融企业IT审计发展现状与趋势趋势展望越发强调事前参与和事中控制，建设多重IT控制框架应用控制审计与财务审计紧密结合持续在线审计技术将深入应用

1.IT审计师的能力和胜任

2.行业协会简介

3.CISA考试简介

三、

执业资格与认证1.IT审计师的能力和胜任再谈IT审计师的素质管理vs

技术IT审计师不必是IT专家，不需要开发经验？IT审计师是IT专家又能怎样？应该具备的素质系统的理解力沟通能力与责任心对不同技术的敏感性丰富的系统经验1.IT审计师的能力和胜任演示案例：某机关重要文档在线管理系统职业道德要求事情考虑：是否充分了解目标系统？是否能够调动足够资源？时间与成本是否允许？……2.行业协会简介各会计、审计组织与IT审计各信息安全组织与IT审计ISACA（InformationSystemAuditandControlAssociation）3.CISA考试简介基本素质要求：良好的职业道德观念较全面的计算机技术知识基本的风险基础审计理论管理学知识自主学习的能力实际从事IT业或审计业的工作经验3.CISA考试简介认证要求：具备前述条件通过CISA考试 每年一次，100分/70分，英文/中文具有5年相关工作经验相关大学学历可减免两年遵守执业规范，参加后续教育CISA考试时间点（2007下半年）07-08-15 优惠报名费截止日07-09-26 报名截止日07-10-19 变更考试注册信息截止日07-12-1之前 发放电子准考证07-12-8 CISA考试日08-2-20 左右 开始发布成绩实际时间可能变更，请关注ISACA官方网站CISA考试注意事项入场时间：8：00----8：30（8：30以后不能入场）准备时间：8：30----9：00考试时间：9：00----13：00（4小时）地点：考场位置提前查看英文考场/中文考场实际时间可能变更，请关注ISACA官方网站CISA考试注意事项必带物品：身份证，准考证，表，HB/2B铅笔，橡皮禁止物品：手机，书，笔记，字典等水/食品：只能在考场饮水区喝水/吃食品衣服：注意环境，可能很冷（空调教室）药品：胃药、止泻药、其他CISA考试注意事项每道题有且只有一个正确选项200道选择题，无倒扣，标准分正确填涂学习资料ReviewManualCISAReviewQuestions，AnswersandExplanationsManual备考方法反复读书，领会细节反复作题，关注错误情景思考，注重人性牢记术语，前后比较实践为本，相信直觉

1.重要性（重大性）

2.审计报告与披露

3.一般控制审计与应用控制审计

4.对信息系统生命周期各阶段的审计四、

重要理论专题1.重要性（重大性）重要性概念回顾可容忍差错的最高界限案例：财务审计中的重要性水平设定IT审计的重要性难题不再有“笔误”！系统互联——“错误乘数”1.重要性（重大性）与独立性如何确定重要性？对各级管理层的影响不采取措施的后果职业判断案例探讨2.审计报告与披露格式规范：无一定之规ISACAS7&S8一般内容：简介：背景、目标、时间、方法论等整体结论详细审计发现审计限制遵循标准与指南2.审计报告与披露案例：国外审计报告导读美国能源部设施信息管理系统审计报告2.审计报告与披露审计披露与职业判断案例：银行IT经理临时修改授权审计披露与客户阻力案例：银行IT经理限制关键服务器取证审计披露与职业道德案例：违反联邦储备局管理规范的银行系统3.一般控制与应用控制概念区分一般控制审计的特点和目的应用控制审计的特点和目的3.一般控制与应用控制二者联系大多数应用控制审计均会涉及一般控制审计技术与工具的比较审计依据：Checklistvs

系统文档等主要关注：IT管理流程vs

系统具体情况一般工具：观察、调阅、询问高