IT审计的组织与实施(培训)

IT审计的组织与实施刘济平中国光大〔集团〕总公司审计部副主任注册信息系统审计师〔CISA〕、注册内部审计师〔CIA〕、高级审计师经济学硕士〔南开大学西方会计与审计专业〕、理学硕士〔英国Strathclyde大学商务信息技术系统专业〕E-mail:liujp@bj.ebchina1整理ppt内容安排内部审计及其分类信息系统审计—从风险管理和风险根底审计的角度理解信息系统审计标准信息系统审计方法IT核心流程和审计方法问题讨论案例分析2整理ppt内部审计及其分类内部审计内部审计分类业务审计〔OperationsAudit〕信息系统审计(InformationSystemsAudit)或IT审计3整理ppt内部审计及其分类业务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员平安在业务用户层面上的变更管理业务持续方案〔BCP〕根底架构一般应用控制变更和配置管理网络平安管理计算机操作系统开发生命周期〔SDLC〕共享数据库机房业务审计IT审计4整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解一个目标两种风险三项评价四类测试5整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解一个目标将IT相关的风险控制在可接受的水平风险是事件的不确定性，这个事件对目标的实现具有影响。风险是不希望发生事情的可能性。对待风险的四种策略：拒绝、接受、转移、缓释〔控制〕风险机会6整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解两种风险战略风险失去竞争优势信息系统工程失败灾难导致长期不能提供效劳……操作风险变更管理文档不完整密码政策不恰当未激活Oracle审计轨迹设置……7整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解三项评价评价信息系统工程评价业务流程中的IT控制评价信息平安8整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解四类测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制测试9整理ppt信息系统审计

—从风险管理和风险根底审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT工程评价业务流程中的IT控制评价信息平安测试IT控制环境测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试10整理ppt信息系统审计标准ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology)11整理ppt信息系统审计标准—ITILIT效劳管理IT效劳管理〔ITSM〕：一种以流程为导向，以客户为中心的方法，它通过整合IT效劳与组织业务，提高组织IT效劳提供和效劳支持的能力和水平。ITIL〔ITInfrastructureLibrary,IT根底架构库〕，最初由英国商务部〔OGC〕80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS1500012整理ppt信息系统审计标准—ITILITIL整体框架效劳提供包括5个核心流程：效劳级别管理、能力管理、可用性管理、持续性管理、财务管理。效劳支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、效劳台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理ICT基础架构管理安全管理服务支持服务提供资料来源：OGC,200213整理ppt信息系统审计标准—BS7799信息平安管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可用。保密性(Confidentiality)资料来源：Pfleeger,1997完整性(Integrity)可用性(Availability)14整理ppt信息系统审计标准—BS7799信息平安管理体系〔ISMS〕BS7799：最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两局部组成，目前最新版本为：BS7799-1：1999?信息平安管理实施规那么?BS7799-2：2002?信息平安管理体系标准?BS7799-1于2000年被批准为国际标准ISO/IEC17799：2000?信息技术：信息平安管理实施规那么?。15整理ppt信息系统审计标准—BS7799信息平安管理体系〔ISMS〕BS7799-1将信息平安管理分为10类控制，成为组织实施信息平安管理的实用指南。通讯和运行管理访问控制系统开发和维护业务持续管理合规信息平安政策平安组织资产分类和控制人员控制物理和环境平安16整理ppt信息系统审计标准—BS7799BS7799-2提供的信息平安管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS7799以外的控制第一步第二步第三步第四步第五步第六步资料来源：BSI，199917整理ppt信息系统审计标准-COBITIT治理信息平安和控制实务普遍接受的标准主要目的是为企业治理提供清晰的政策和最正确实务以信息系统审计与控制基金会(ISACF)的控制目标为根底，由ISACA及其下属的“IT治理研究院〞开发。1996年第一版，2000年第三版，2006年第四版。18整理ppt信息系统审计标准-COBIT由34个IT控制目标组成，分为四个方面:规划和组织获得与实施交付与支持监控19整理ppt信息系统审计标准-COBITCOBIT的34个控制目标交付和支持IT资源信息监控获得与实施规划和组织-效果性-效率性-保密性-完整性-可用性-合规性-可靠性-人-应用系统-技术-设备-数据确定自动化方案获取并维护应用程序软件获取并维护技术根底设施程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估工程管理质量管理定义并管理效劳水平管理第三方的效劳管理性能与容量确保效劳的连续性确保系统平安确定并分配本钱教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理过程监控评价内部控制的适当性获取独立鉴证提供独立的审计COBIT企业目标IT治理资料来源：ITGovernanceInstitute,200020整理ppt信息系统审计方法年度风险评估和方案问题追踪和后续审计审计评价审计报告审计方案控制评价风险评估审计方案和测试年度风险评估和方案问题追踪和后续审计审计评价审计报告审计方案控制评价风险评估审计方案和测试21整理ppt内部审计方法

年度风险评估和方案实施年度风险评估识别下一年度的审计领域.制定年度审计方案22整理ppt年度风险评估:

风险评估按照可审计业务单元进行每年实施一次考虑因素业务/财务影响外部环境：如规章制度、市场、技术容易出现欺诈舞弊计算机环境上一次审计结果及时间与管理层讨论〔分公司、子公司和总公司〕23整理ppt年度风险评估:

风险分级和审计频率非常高(一年或少于一年审计一次)高(每一至两年审计一次)中(每三到四年审计一次)低(每五年审计一次或不审计)24整理ppt年度风险评估:

举例可审计单元

业务因素(50)风险因素(25)控制环境(25)总分排序风险水平风险影响(20)财务影响(15)合规影响(10)未来成功影响(5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度(6)变更(4)内部控制(12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.520中应用设计和配置109251.5336331551.523中25整理ppt年度审计方案:

举例某公司2005年内部审计方案

一、制定方案的方法本方案是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计方案。

二、影响方案制定的主要因素1、中国区业务的快速开展2、与其他股东在内部审计方面的良好合作3、三、审计范围

风险领域审计项目信息技术

技术基础架构项目管理业务持续计划（BCP）

四、审计工程描述五、审计时间预算26整理ppt信息系统审计方法

方案审计任务备忘录(审计通知书)审计目的和范围审计方法审计人员被审计单位人员审计时间安排问题沟通和行动方案审计标准审计效果评价27整理ppt方案：

举例某公司一般IT控制审计备忘录

审计范围和目的：本次审计的目的是，通过审计，评价以下领域控制的效果。

IT规划和组织系统开发和获得变更管理数据管理信息平安网络管理计算机操作物理平安和设备管理业务持续方案

审计方法：本次审计是按照风险根底审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告〔如IT规划、工程文档、总是日志、BCP等〕；IT实地观察；与管理层和有关员工面谈。

审计组成员：

审计时间：

审计标准：我们将按照国际内部审计师协会〔IIA〕和国际信息系统审计与控制协会〔ISACA〕制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。

审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和到达目的。28整理ppt信息系统审计方法

风险评估识别业务流程的具体风险风险矩阵具体风险业务影响可能性评价(高/中/低)影响评价(低/中/显著/非常显著)风险(高/中/低)29整理ppt风险评估:

举例具体风险业务影响可能性评价影响评价风险说明控制评价审计方案IT战略规划与企业目标不致IT战略规划不支持企业业务目标实现资金用途没有最大化.

中等非常高高有业务规划IT管理层了解业务规划IT管理层参与业务规化制定IT管理层在制定IT战略规划时考虑业务规划LinkLink业务流程总体评价流程:IT规划与组织30整理ppt信息系统审计方法

控制评价记录需要控制风险的主要内部控制.控制评价矩阵具体风险需要的控制控制类型(预防/发现/改正)31整理ppt控制评价:

举例风险控制控制类型

(P,D,C)审计方案索引IT战略规划与企业目标不一致企业IT投资以坚实的业务案例为依据PLink对控制设计的结论流程:IT规划与组织32整理ppt信息系统审计方法

审计方案和测试制定审计方案需要测试的控制审计程序测试主要控制的有效性记录测试结果33整理ppt审计方案和测试:

举例风险/测试的控制审计程序工作底稿索引审计人员1-3与以下人员面谈CEOCOOCFOIT部门负责人IT指导委员会成员分管IT的高管人力资源部取得并检查下列文件IT规划的规章制度高管在指导委员会的职责企业战略目标，长期、短期计划IT指导委员会会议记要评价和测试内容规划是否包括以下内容企业的目标IT是否支持企业目标对IT项目是否经风险评价IT项目是否根据企业目标的改变而调整流程:IT规划与组织34整理ppt信息系统审计方法

沟通和报告发出审计发现清单与被审计单位管理层交换意见起草审计报告举行结束会议发布最终审计报告摘要详细审计发现和审计建议35整理ppt信息系统审计方法

绩效评价被审计单位调查问卷审计结束时发出调查问题:审计目的是否表述清楚?审计人员对被审计单位人员是否谦和礼貌?审计发现是否准确?对你是否有用?36整理ppt信息系统审计方法

问题追踪和后续审计对重要审计建议进行季度监控.内部审计季度检查报告控制报告37整理pptIT核心流程和审计方法规划和组织系统开发变更/问题管理数据管理计算机操作运行物理平安/设备管理业务持续方案(BCP)信息平安网络管理应用处理38整理pptIT流程:

规划和组织公司如何管理IT.相关风险IT规划与业务规划不一致不现实的战略规划IT本钱超支存在不相容的职能组织不好的IT职能39整理ppt审计方法:

规划和组织审计范围组织结构规划过程(战略,战术)预算和本钱控制效劳级别协议(SLAs)培训和资源保障沟通过程40整理ppt审计方法:

规划和组织访谈对象首席执行官〔CEO〕/首席营运官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕IT指导委员会成员IT高级管理层用户管理层41整理ppt审计方法:

规划和组织检查内容:IT组织机构图IT部门章程/权限IT规划(战略,战术)业务规划IT指导委员会会议纪要政策、程序和标准效劳级别协议(SLAs)培训方案职位描述42整理pptIT流程:

系统开发信息系统是如何开发的，以支持企业运营.相关风险未满足业务需求有瑕疵的业务案例延期实施范围不确定〔软件基线〕43整理ppt审计方法:

系统开发审计范围工程所有者需求的提出和控制 工程管理开发和测试数据转换控制后实施44整理ppt审计方法:

系统开发访谈对象:CIOIT指导委员会成员工程指导委员会成员工程所有者工程经理45整理ppt审计方法:

系统开发检查内容:IT规划系统开发方法与硬件/软件采购相关的政策和程序工程文档(如：需求定义，可行性分析)与软件采购、开发和维护相关的合同46整理pptIT流程:

变更管理IT变更是如何管理的，以确保完整性相关风险非授权的变更请求未测试的变更非授权的变更实施47整理ppt审计方法:

变更管理审计范围所有者需求的提出和控制变更控制文档和过程软件发布政策48整理ppt年度审计方案:

考虑的因素和批准考虑的因素风险高的可审计单元管理层的要求公司风险管理委员会和审计委员会的指导外部审计年度审计方案批准第一层次:副总裁&总审计师〔管理层〕第二层次:审计委员会〔董事会〕49整理ppt审计方法:

变更管理访谈对象CIOIT高级管理层应用开发经理质量鉴定经理IT运行经理50整理ppt审计方法:

变更管理检查内容:系统开发方法变更控制政策和程序变更需求表51整理pptIT流程:

数据管理数据是如何管理的，以确保完整和可用.相关风险数据不准确、过时或被破坏数据不可恢复数据的不适当访问52整理ppt审计方法:

数据管理审计范围数据所有者组织结构方案和开发系统管理平安备份/恢复53整理ppt审计方法:

数据管理访谈对象:IT高级管理层信息平安官员系统开发经理数据库存管理员数据所有者54整理ppt审计方法:

数据管理检查内容:数据所有关系结构数据模型与以下内容相关的政策和程序:数据输入授权数据处理输出的分发数据库维护和平安库管理55整理pptIT流程:

计算机操作运行如何管理计算设备，以提供持续效劳.相关风险处理延迟重新运行频繁问题无法解决56整理ppt审计方法:

计算机操作运行审计范围组织结构时间安排媒介控制备份/重新启动/恢复容量规划57整理ppt审计方法:

计算机操作运行访谈对象:IT高级管理层IT运行经理数据中心主管58整理ppt审计方法:

计算机操作运行检查的文件：组织结构图部门方案职位描述效劳级别协议(SLAs)与计算机处理相关的政策和程序工作安排人员备份/恢复问题管理磁带管理59整理pptIT流程:

物理平安/设备管理相关风险非授权访问、使用公司资产或信息偷窃、损坏或毁损数据或设备不平安的工作环境60整理ppt审计方法:

物理平安/设备管理审计范围访问控制环境灾难火灾控制电力供给员工平安应急程序维护61整理ppt审计方法:

物理平安/设备管理访谈对象:IT高级管理层IT设备经理信息平安官运行/数据中心经理62整理ppt审计方法:

物理平安/设备管理检查内容:数据中心楼层方案/分布IT用房的视查可接触IT设备人员清单与物理平安、人员健康和平安、环境危害防护相关的政策和程序63整理pptIT流程:

业务持续方案〔BCP〕如何确保持续的IT效劳、当需要时可得到，以及在出现重大中断时对业务影响最小.相关风险无法按照方案恢复关键业务功能没有足够的资源完成或实施方案过时和未测试的业务持续方案第三方供货商的支持不充分64整理ppt审计方法:

业务持续方案〔BCP〕审计范围所有者业务影响评估恢复策略与业务的联系维护测试65整理ppt审计方法:

业务持续方案〔BCP〕访谈对象:CIOIT高级管理层IT运行经理信息平安官用户管理层业务持续方案〔BCP〕/灾难恢复方案〔DRP〕小组灾难恢复地经理66整理ppt审计方法:

业务持续方案〔BCP〕检查内容:BCP手册BCP/DRP测试结果供货商/维护合同业务中断保单与持续方案过程相关的政策和程序67整理pptIT流程:

信息平安信息是如何保护的，以确保其完整、保密和可用.相关风险非授权访问信息〔内部和外部〕有意泄露信息68整理ppt审计方法:

信息平安审计范围政策和程序数据分级用户添加、维护和删除监控密码方案访问级别平安环境69整理ppt审计方法:

信息平安访谈对象:IT高级管理层信息平安官员应用开发经理数据管理员70整理ppt审计方法:

信息平安检查内容信息平安政策和程序了解访问控制软件违反平安的报告IT资源访问点(物理的/逻辑的)的设计安排具有访问系统资源权限的雇员、供货商、效劳提供商的人员名单71整理pptIT流程:

网络管理如何管理网络，以确保其平安、高效运行和可用.相关风险网络低效率网络无法恢复网络问题无法解决72整理ppt审计方法:

网络管理审计范围所有者组织结构规划和开发政策和程序网络平安和管理恢复/重新启动73整理ppt审计方法:

网络管理访谈对象:IT运行经理网络管理员信息平安官74整理ppt审计方法:

网络管理检查内容组织结构图部门方案职位描述效劳级别协议(SLAs)网络体系结构/配置与网络管理相关的政策和程序75整理pptIT流程:

应用处理系统如何实施，以确保经授权的业务信息处理完全、准确相关风险：包括计算机操作运行、变更管理和信息平安风险76整理ppt审计方法:

应用处理访谈对象:用户管理应用开发经理IT运行经理信息平安官数据库管理员选择的用户77整理ppt审计方法:

应用处理检查内容了解业务流程业务营运手册用户/系统手册系统访问人员清单系统产生的报告78整理ppt问题讨论以下问题涉及哪些IT流程和IT相关风险？张先生在A公司担任数据库管理员，并负责公司的编程工作。B公司的主要处理设施在北京公司总部的二楼，该地区交通拥堵；数据备份设施那么在离公司总部不远的写字楼。公司前不久对工资处理系统进行了升级，一些员工反映其工资有过失。最近IT部门负责人制定了公司IT三年规划，并得到CIO批准。公司几名员工反映，他们办公用的PC机常常被病毒感染，与公司客户信息系统的连接也变得很慢。79整理ppt案例分析背景G