IT审计的组织与实施(培训课件).ppt

1、1,IT审计的组织与实施,刘济平 中国光大（集团）总公司审计部副主任 注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师 经济学硕士（南开大学西方会计与审计专业）、理学硕士（英国Strathclyde大学商务信息技术系统专业） E-mail: ,2,内容安排,内部审计及其分类 信息系统审计从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计方法 IT核心流程和审计方法 问题讨论 案例分析,3,内部审计及其分类,内部审计 内部审计分类 业务审计（Operations Audit） 信息系统审计(Information Systems Audit)或IT审计,4,内

2、部审计及其分类,业务审计与IT审计的关系,自动应用控制 应用控制 帐号管理/逻辑控制,一般应用控制 电子数据表和局部数据库 程序员安全 在业务用户层面上的变更管理 业务持续计划（BCP）,基础架构一般应用控制 变更和配置管理 网络安全管理 计算机操作 系统开发生命周期（SDLC） 共享数据库 机房,业务审计,IT审计,5,信息系统审计从风险管理和风险基础审计的角度理解,一个目标 两种风险 三项评价 四类测试,6,信息系统审计从风险管理和风险基础审计的角度理解,一个目标 将IT相关的风险控制在可接受的水平 风险是事件的不确定性，这个事件对目标的实现具有影响。 风险是不希望发生事情的可能性。 对待

3、风险的四种策略：拒绝、接受、转移、缓释（控制）,7,信息系统审计从风险管理和风险基础审计的角度理解,两种风险 战略风险 失去竞争优势 信息系统项目失败 灾难导致长期不能提供服务 操作风险 变更管理文档不完整 密码政策不恰当 未激活Oracle审计轨迹设置 ,8,信息系统审计从风险管理和风险基础审计的角度理解,三项评价 评价信息系统项目 评价业务流程中的IT控制 评价信息安全,9,信息系统审计从风险管理和风险基础审计的角度理解,四类测试 IT控制环境测试 物理控制测试 逻辑控制测试 IS操作控制测试,10,信息系统审计从风险管理和风险基础审计的角度理解,将IT相关风险控制在可接受水平,战略风险,

4、操作风险,评价IT项目,评价业务流程中的IT控制,评价信息安全,测试IT控制环境,测试物理控制,测试逻辑控制,测试IS操作控制,一个目标,两种风险,三项评价,四类测试,11,信息系统审计标准,ITIL(IT Infrastructure Library) BS7799 COBIT(Control Objectives for Information and Related Technology),12,信息系统审计标准ITIL,IT服务管理 IT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。 ITIL（IT

5、 Infrastructure Library, IT基础架构库），最初由英国商务部（OGC）80年代组织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 15000,13,信息系统审计标准ITIL,ITIL整体框架 服务提供包括5个核心流程： 服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。,资料来源：OGC, 2002,14,信息系统审计标准BS7799,信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在

6、经授权用户需要时可用。,保密性 (Confidentiality),资料来源：Pfleeger, 1997,完整性 (Integrity),可用性 (Availability),15,信息系统审计标准BS7799,信息安全管理体系（ISMS） BS 7799： 最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为： BS 7799-1：1999信息安全管理实施规则 BS 7799-2：2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000信息技术：信息安全管理实施规则。,16,信息系统审计

7、标准BS7799,信息安全管理体系（ISMS） BS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。,通讯和运行管理 访问控制 系统开发和维护 业务持续管理 合规,信息安全政策 安全组织 资产分类和控制 人员控制 物理和环境安全,17,信息系统审计标准BS7799,BS 7799-2提供的信息安全管理框架,制定政策,确定ISMS的范围,实施风险评价,管理风险,选择控制目标和控制,制定应用说明,政策文件,ISMS范围,风险评价,选择的控制选项,应用说明,结果和结论,选择的控制目标和控制,威胁、弱点、影响,风险管理方法,需要的保证程度,ISMS需要的控制目标和控制,

8、BS 7799 以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,资料来源：BSI，1999,18,信息系统审计标准-COBIT,IT治理 信息安全和控制实务普遍接受的标准 主要目的是为企业治理提供清晰的政策和最佳实务 以信息系统审计与控制基金会 (ISACF) 的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。,19,信息系统审计标准-COBIT,由34个IT控制目标组成，分为四个方面: 规划和组织 获得与实施 交付与支持 监控,20,信息系统审计标准-COBIT,COBIT 的34个控制目标,交付和支持,IT 资

9、源,信息,监控,获得与实施,规划和组织,-效果性 -效率性 -保密性 -完整性 -可用性 -合规性 -可靠性,-人 -应用系统 -技术 -设备 -数据,确定自动化方案 获取并维护应用程序软件 获取并维护技术基础设施 程序开发与维护 系统安装与鉴定 变更管理,定义IT战略规划 定义信息体系结构 确定技术方向 定义IT组织和关系 管理IT投资 传达管理目标和方向 人力资源管理 确保遵循外部要求 风险评估 项目管理 质量管理,定义并管理服务水平 管理第三方的服务 管理性能与容量 确保服务的连续性 确保系统安全 确定并分配成本 教育并培训用户 协助和咨询客户 配置管理 处理问题和突发事件 数据管理 设

10、施管理 运行管理,过程监控 评价内部控制的适当性 获取独立鉴证 提供独立的审计,COBIT,企业目标,IT治理,资料来源：IT Governance Institute, 2000,21,信息系统审计方法,年度风险评估 和计划,问题追踪和 后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案 和测试,年度风险评估 和计划,问题追踪和 后续审计,审计评价,审计报告,审计计划,控制评价,风险评估,审计方案 和测试,22,内部审计方法年度风险评估和计划,实施年度风险评估 识别下一年度的审计领域. 制定年度审计计划,23,年度风险评估:风险评估,按照可审计业务单元进行 每年实施一次 考

11、虑因素 业务/财务影响 外部环境：如规章制度、市场、技术 容易出现欺诈舞弊 计算机环境 上一次审计结果及时间 与管理层讨论（分公司、子公司和总公司）,24,年度风险评估:风险分级和审计频率,非常高 (一年或少于一年审计一次) 高 (每一至两年审计一次) 中 (每三到四年审计一次) 低 (每五年审计一次或不审计),25,年度风险评估:举例,26,年度审计计划:举例,某公司2005 年内部审计计划 一、制定计划的方法 本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。 二、影响计划制定的主要因素 1、中国区业务的快速发展 2

12、、与其他股东在内部审计方面的良好合作 3、 三、审计范围,四、审计项目描述 五、审计时间预算,27,信息系统审计方法计划,审计任务备忘录(审计通知书) 审计目的和范围 审计方法 审计人员 被审计单位人员 审计时间安排 问题沟通和行动计划 审计标准 审计效果评价,28,计划：举例,某公司一般IT控制审计备忘录 审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。 IT规划和组织 系统开发和获得 变更管理 数据管理 信息安全 网络管理 计算机操作 物理安全和设备管理 业务持续计划 审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进

13、行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志、BCP等）；IT实地观察；与管理层和有关员工面谈。 审计组成员： 审计时间： 审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。 审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和达到目的。,29,信息系统审计方法风险评估,识别业务流程的具体风险 风险矩阵 具体风险 业务影响 可能性评价 (

14、高/中/低) 影响评价 (低/中/显著/非常显著) 风险 (高/中/低),30,风险评估:举例,流程:IT规划与组织,31,信息系统审计方法控制评价,记录需要控制风险的主要内部控制. 控制评价矩阵 具体风险 需要的控制 控制类型 (预防/发现/改正),32,控制评价:举例,流程:IT规划与组织,33,信息系统审计方法审计方案和测试,制定审计方案 需要测试的控制 审计程序 测试主要控制的有效性 记录测试结果,34,审计方案和测试:举例,流程:IT规划与组织,35,信息系统审计方法沟通和报告,发出审计发现清单 与被审计单位管理层交换意见 起草审计报告 举行结束会议 发布最终审计报告 摘要 详细审计

15、发现和审计建议,36,信息系统审计方法绩效评价,被审计单位调查问卷 审计结束时发出 调查问题: 审计目的是否表述清楚? 审计人员对被审计单位人员是否谦和礼貌? 审计发现是否准确? 对你是否有用?,37,信息系统审计方法 问题追踪和后续审计,对重要审计建议进行季度监控. 内部审计季度检查报告 控制报告,38,IT 核心流程和审计方法,规划和组织 系统开发 变更/问题管理 数据管理 计算机操作运行 物理安全/设备管理 业务持续计划 (BCP) 信息安全 网络管理 应用处理,39,IT 流程:规划和组织,公司如何管理 IT. 相关风险 IT规划与业务规划不一致 不现实的战略规划 IT成本超支 存在不

16、相容的职能 组织不好的IT职能,40,审计方法:规划和组织,审计范围 组织结构 规划过程(战略, 战术) 预算和成本控制 服务级别协议 (SLAs) 培训和资源保障 沟通过程,41,审计方法:规划和组织,访谈对象 首席执行官（CEO）/首席营运官（COO） 首席财务官（CFO） 首席信息官（CIO） IT 指导委员会成员 IT 高级管理层 用户管理层,42,审计方法:规划和组织,检查内容: IT组织机构图 IT 部门章程/权限 IT 规划 (战略, 战术) 业务规划 IT 指导委员会会议纪要 政策、程序和标准 服务级别协议 (SLAs) 培训计划 职位描述,43,IT 流程:系统开发,信息系统

17、是如何开发的，以支持企业运营. 相关风险 未满足业务需求 有瑕疵的业务案例 延期实施 范围不确定（软件基线）,44,审计方法:系统开发,审计范围 项目所有者 需求的提出和控制 项目管理 开发和测试 数据转换控制 后实施,45,审计方法:系统开发,访谈对象: CIO IT 指导委员会成员 项目指导委员会成员 项目所有者 项目经理,46,审计方法:系统开发,检查内容: IT 规划 系统开发方法 与硬件/软件采购相关的政策和程序 项目文档 (如：需求定义，可行性分析) 与软件采购、开发和维护相关的合同,47,IT 流程:变更管理,IT变更是如何管理的，以确保完整性 相关风险 非授权的变更请求 未测试

18、的变更 非授权的变更实施,48,审计方法:变更管理,审计范围 所有者 需求的提出和控制 变更控制 文档和过程 软件发布政策,49,年度审计计划:考虑的因素和批准,考虑的因素 风险高的可审计单元 管理层的要求 公司风险管理委员会和审计委员会的指导 外部审计 年度审计计划批准 第一层次: 副总裁&总审计师（管理层） 第二层次: 审计委员会（董事会）,50,审计方法:变更管理,访谈对象 CIO IT 高级管理层 应用开发经理 质量鉴定经理 IT 运行经理,51,审计方法:变更管理,检查内容: 系统开发方法 变更控制政策和程序 变更需求表,52,IT 流程:数据管理,数据是如何管理的，以确保完整和可用

19、. 相关风险 数据不准确、过时或被破坏 数据不可恢复 数据的不适当访问,53,审计方法:数据管理,审计范围 数据所有者 组织结构 计划和开发 系统管理 安全 备份/恢复,54,审计方法:数据管理,访谈对象: IT 高级管理层 信息安全官员 系统开发经理 数据库存管理员 数据所有者,55,审计方法:数据管理,检查内容: 数据所有关系结构 数据模型 与以下内容相关的政策和程序: 数据输入授权 数据处理 输出的分发 数据库维护和安全 库管理,56,IT 流程:计算机操作运行,如何管理计算设备，以提供持续服务. 相关风险 处理延迟 重新运行频繁 问题无法解决,57,审计方法:计算机操作运行,审计范围

20、组织结构 时间安排 媒介控制 备份/重新启动/恢复 容量规划,58,审计方法:计算机操作运行,访谈对象: IT 高级管理层 IT 运行经理 数据中心主管,59,审计方法:计算机操作运行,检查的文件： 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 与计算机处理相关的政策和程序 工作安排人员 备份/恢复 问题管理 磁带管理,60,IT流程:物理安全/设备管理,相关风险 非授权访问、使用公司资产或信息 偷窃、损坏或毁损数据或设备 不安全的工作环境,61,审计方法:物理安全/设备管理,审计范围 访问控制 环境灾难 火灾控制 电力供应 员工安全 应急程序 维护,62,审计方法:物理安全/设

21、备管理,访谈对象: IT 高级管理层 IT 设备经理 信息安全官 运行 /数据中心经理,63,审计方法:物理安全/设备管理,检查内容: 数据中心楼层计划/ 分布 IT用房的视查 可接触IT设备人员清单 与物理安全、人员健康和安全、环境危害防护相关的政策和程序,64,IT流程:业务持续计划（BCP）,如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小. 相关风险 无法按照计划恢复关键业务功能 没有足够的资源完成或实施计划 过时和未测试的业务持续计划 第三方供货商的支持不充分,65,审计方法:业务持续计划（BCP）,审计范围 所有者 业务影响评估 恢复策略 与业务的联系 维

22、护 测试,66,审计方法:业务持续计划（BCP）,访谈对象: CIO IT 高级管理层 IT 运行经理 信息安全官 用户管理层 业务持续计划（BCP）/灾难恢复计划（DRP）小组 灾难恢复地经理,67,审计方法:业务持续计划（BCP）,检查内容: BCP 手册 BCP/DRP 测试结果 供货商 /维护合同 业务中断保单 与持续计划过程相关的政策和程序,68,IT流程:信息安全,信息是如何保护的，以确保其完整、保密和可用. 相关风险 非授权访问信息（内部和外部） 有意泄露信息,69,审计方法:信息安全,审计范围 政策和程序 数据分级 用户添加、维护和删除 监控 密码方案 访问级别 安全环境,70

23、,审计方法:信息安全,访谈对象: IT 高级管理层 信息安全官员 应用开发经理 数据管理员,71,审计方法:信息安全,检查内容 信息安全政策和程序 了解访问控制软件 违反安全的报告 IT资源访问点 (物理的/逻辑的)的设计安排 具有访问系统资源权限的雇员、供货商、服务提供商的人员名单,72,IT流程:网络管理,如何管理网络，以确保其安全、高效运行和可用. 相关风险 网络低效率 网络无法恢复 网络问题无法解决,73,审计方法:网络管理,审计范围 所有者 组织结构 规划和开发 政策和程序 网络安全和管理 恢复/重新启动,74,审计方法:网络管理,访谈对象: IT 运行经理 网络管理员 信息安全官,75,审计方法:网络管理,检查内容 组织结构图 部门计划 职位描述 服务级别协议 (SLAs) 网络体系结构/配置 与网络管理相关的政策和程序,76,IT流程:应用处理,系统如何实施，以确保经授权的业务信息处理完全、准确 相关风险：包括计算机操作