CISAIT审计实务培训审计实务PPT课件
合集下载
IT审计相关知识(ppt 62页)
PerformanTceecahnndicBaulsRineefsesr-DenricveenModel (TRM)
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
CISAIT审计实务培训理论专题PPT课件
Feb, 2008
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
审计实务培训课件)
在沟通过程中,应保持耐心、细 致、严谨的态度,同时注意倾听 对方的意见和建议,以达成共识
。
与上级单位沟通技巧与方法
沟通前准备
在与上级单位沟通前,应充分了解上级单位的要求和期望,为沟 通做好准备。
沟通方式选择
根据具体情况选择适当的沟通方式,如面谈、电话沟通、邮件沟通 等。
沟通技巧
在沟通过程中,应保持谦虚、谨慎的态度,同时注意表达清晰、准 确,以获得上级单位的认可和支持。
02 03
利润表审计要点
对利润表进行审计时,需要关注报表的编制是否符合会计准则和规定, 收入、成本、费用的确认和计量是否准确、完整,以及是否存在重大错 报或漏报。
利润表审计程序
审计程序包括获取或编制利润表,核对总账、明细账与利润表相关项目 的金额是否相符,检查利润表中的重要项目,如营业收入、营业成本、 期间费用等,以确定其真实性、完整性和准确性。
建立举报机制
鼓励员工举报潜在的舞弊行为,并提 供保护和支持。
加强内部审计和监督
通过内部审计和监督,及时发现并纠 正潜在的舞弊行为。
舞弊风险防范意识培养
提高员工意识
通过培训和教育,提高员 工对舞弊风险的认识和意 识。
建立诚信文化
在企业内部建立诚信文化 ,鼓励员工遵守道德规范 和法律法规。
加强宣传和推广
识别和分析影响企业目标实现 的相关风险。
信息与沟通
确保信息及时、准确地传递, 建立有效的沟通渠道。
控制环境
包括诚信原则、道德价值观、 员工素质、管理层理念和经营 风格等。
控制活动
包括授权审批控制、职责分离 控制、会计系统控制、财产保 护控制、预算控制等。
监控
对内部控制体系进行持续监控 ,及时发现并纠正缺陷。
。
与上级单位沟通技巧与方法
沟通前准备
在与上级单位沟通前,应充分了解上级单位的要求和期望,为沟 通做好准备。
沟通方式选择
根据具体情况选择适当的沟通方式,如面谈、电话沟通、邮件沟通 等。
沟通技巧
在沟通过程中,应保持谦虚、谨慎的态度,同时注意表达清晰、准 确,以获得上级单位的认可和支持。
02 03
利润表审计要点
对利润表进行审计时,需要关注报表的编制是否符合会计准则和规定, 收入、成本、费用的确认和计量是否准确、完整,以及是否存在重大错 报或漏报。
利润表审计程序
审计程序包括获取或编制利润表,核对总账、明细账与利润表相关项目 的金额是否相符,检查利润表中的重要项目,如营业收入、营业成本、 期间费用等,以确定其真实性、完整性和准确性。
建立举报机制
鼓励员工举报潜在的舞弊行为,并提 供保护和支持。
加强内部审计和监督
通过内部审计和监督,及时发现并纠 正潜在的舞弊行为。
舞弊风险防范意识培养
提高员工意识
通过培训和教育,提高员 工对舞弊风险的认识和意 识。
建立诚信文化
在企业内部建立诚信文化 ,鼓励员工遵守道德规范 和法律法规。
加强宣传和推广
识别和分析影响企业目标实现 的相关风险。
信息与沟通
确保信息及时、准确地传递, 建立有效的沟通渠道。
控制环境
包括诚信原则、道德价值观、 员工素质、管理层理念和经营 风格等。
控制活动
包括授权审批控制、职责分离 控制、会计系统控制、财产保 护控制、预算控制等。
监控
对内部控制体系进行持续监控 ,及时发现并纠正缺陷。
会计师事务所审计实务培训课件PPT(往来及权益类)
“预收账款”
• 本科目核算企业按照合同规定预收的款项。预收账款情况不多的,也可 以不设置本科目,将预收的款项直接计入“应收账款”科目。
Client name - Event - Presentation title Page 24
预付账款常用审计方法
1、通过发函、查看合同及原始凭证验证预付账款的发生认定; 2、研究每个项目的性质,看其是否符合资本化的要求,如不符合,应将其直 接计入损益; 3、验证期末余额的估值; 4、预付账款如一年以上才会摊销完或收到服务时,应考虑将超过一年的部分 调整到长期资产; 5、将期末余额与以前年度期末余额做比较,并解释增减变动的原因。
“其他应付款”
• 本科目核算企业除应付票据、应付账款、预收账款、应付职工薪酬、应付利 息、应付股利、应交税费、长期应付款等以外的其他各项应付、暂收的款项。
Client name - Event - Presentation title Page 19
其他应收款/其他应付款审计2
其他应收款
主要关注:存在与估值。
需要考虑:强调每个明细项 目的性质,弄清楚“筐”里 装了些什么东西?
其他应付款
主要关注:完整性。
需要考虑:强调每个明细项目 的性质,弄清楚“筐”里装了 些什么东西?
Client name - Event - Presentation title Page 20
其他应收款/其他应付款审计3
个人借 款
Client name - Event - Presentation title Page 22
其他应付款审计
在进行其他应付款的审计工作时,第一步应取得其明细,了解每一个主 要项目的性质。然后,才能根据了解到的性质,决定具体应该做些什么样的 实质性程序。当最终要测试某个项目的完整性时,所使用的的方法与应付账 款的手段大体相同,也就是发函确认、翻看原始凭证、执行分析性程序等。
• 本科目核算企业按照合同规定预收的款项。预收账款情况不多的,也可 以不设置本科目,将预收的款项直接计入“应收账款”科目。
Client name - Event - Presentation title Page 24
预付账款常用审计方法
1、通过发函、查看合同及原始凭证验证预付账款的发生认定; 2、研究每个项目的性质,看其是否符合资本化的要求,如不符合,应将其直 接计入损益; 3、验证期末余额的估值; 4、预付账款如一年以上才会摊销完或收到服务时,应考虑将超过一年的部分 调整到长期资产; 5、将期末余额与以前年度期末余额做比较,并解释增减变动的原因。
“其他应付款”
• 本科目核算企业除应付票据、应付账款、预收账款、应付职工薪酬、应付利 息、应付股利、应交税费、长期应付款等以外的其他各项应付、暂收的款项。
Client name - Event - Presentation title Page 19
其他应收款/其他应付款审计2
其他应收款
主要关注:存在与估值。
需要考虑:强调每个明细项 目的性质,弄清楚“筐”里 装了些什么东西?
其他应付款
主要关注:完整性。
需要考虑:强调每个明细项目 的性质,弄清楚“筐”里装了 些什么东西?
Client name - Event - Presentation title Page 20
其他应收款/其他应付款审计3
个人借 款
Client name - Event - Presentation title Page 22
其他应付款审计
在进行其他应付款的审计工作时,第一步应取得其明细,了解每一个主 要项目的性质。然后,才能根据了解到的性质,决定具体应该做些什么样的 实质性程序。当最终要测试某个项目的完整性时,所使用的的方法与应付账 款的手段大体相同,也就是发函确认、翻看原始凭证、执行分析性程序等。
审计实务培训课件PPT)
程序
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
CISA_IT审计实务培训3-COBIT专题PPT参考课件
“是否应该进行IT投资?”、“如何进行IT投资” “IT投资是否得到了期望的回报?” “业务需求是否得到了IT的支持和满足?”
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
审计实务培训课件PPT)精品模板分享(带动画)
信息技术审计方法:介绍常用的信息技术审计方法,如数据抽样、数据挖掘、数据分析等,并解 释每种方法的应用场景和优缺点。
信息技术审计案例分析:通过具体案例,展示信息技术审计的实际应用和效果,加深对信息技术 审计程序和方法的理解。
信息技术审计发展趋势:分析当前信息技术审计的发展趋势,如人工智能、大数据等技术在信息 技术审计中的应用前景,以及未来信息技术审计的发展方向。
01
案例一:某会计师事务所因违反职业道德规范被监管机构处罚
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
02
案例二:某注册会计师因未尽勤勉尽责被起诉并承担法律责任
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
审计重点:关注财 务报表的重大错报 风险,包括收入确 认、存货计价、关 联方交易等方面
审计方法:采用抽 样审计、分析程序 等方法,对财务报 表进行全面、系统 的审查和测试
财务报表审计程序与方法
审计方法:抽样审计、分析 程序、细节测试等
审计程序:制定审计计划、 了解被审计单位情况、实施 审计程序、编制审计报告
职业道德与法律责任
第八章
职业道德规范
保持独立性,不受利益影响
遵守法律法规,维护公正公 平
保守秘密,保护客户隐私 诚信为本,维护职业声誉
法律责任与风险防范
审计人员的法律责任
审计风险及其防范措施
添加标题
添加标题
审计职业道德规范
添加标题
添加标题
案例分析:审计人员职业道德与法 律责任的重要性
案例分析与实践操作
以上案例分析旨在说明职业道德与法律责任在审计实务中的重要性,通过实践
信息技术审计案例分析:通过具体案例,展示信息技术审计的实际应用和效果,加深对信息技术 审计程序和方法的理解。
信息技术审计发展趋势:分析当前信息技术审计的发展趋势,如人工智能、大数据等技术在信息 技术审计中的应用前景,以及未来信息技术审计的发展方向。
01
案例一:某会计师事务所因违反职业道德规范被监管机构处罚
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
02
案例二:某注册会计师因未尽勤勉尽责被起诉并承担法律责任
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
审计重点:关注财 务报表的重大错报 风险,包括收入确 认、存货计价、关 联方交易等方面
审计方法:采用抽 样审计、分析程序 等方法,对财务报 表进行全面、系统 的审查和测试
财务报表审计程序与方法
审计方法:抽样审计、分析 程序、细节测试等
审计程序:制定审计计划、 了解被审计单位情况、实施 审计程序、编制审计报告
职业道德与法律责任
第八章
职业道德规范
保持独立性,不受利益影响
遵守法律法规,维护公正公 平
保守秘密,保护客户隐私 诚信为本,维护职业声誉
法律责任与风险防范
审计人员的法律责任
审计风险及其防范措施
添加标题
添加标题
审计职业道德规范
添加标题
添加标题
案例分析:审计人员职业道德与法 律责任的重要性
案例分析与实践操作
以上案例分析旨在说明职业道德与法律责任在审计实务中的重要性,通过实践
审计基础与实务培训课件
❖ (六)意义和影响
❖ 2.“五大”变“四大”
❖ 2002年6月15日,联邦大陪审团裁定安达信 “妨碍司法”罪名成立,安达信被罚款50万美 元并自动失去上市公司审计资格。16日,安达 信宣布将从2002年8月31日起停止对上市公司 的审计业务。至此,1913年创办的、在美国审 计了约20%上市公司、一度享誉全球的安达信 陨落了。
必须配合
自愿配合
出具审计意见书、 自愿 做出审计决定、 提出处理、处罚 意见
强制
内部组织必须接受
性质
外部经济监督
外部行政监督
内部经济监督
权责
发表意见权
处置权
报告权
独立性
双向独立
单向独立
相对独立
三、审计与会计的关系
1.联系: (1)两者相互依存:两者的工作对象都对 准会计资料,会计是审计的基础,审计是会 计工作质量的保证
❖ (五)安达信的审计情况
❖ 3.销毁审计档案,妨碍司法调查
❖ 众所周知,审计最重证据。以客观、真实的 证据为依据的审计。2001年10月23日,首席 审计师大卫•邓肯要求审计小组执行总部文件 保管政策的指令,在休斯敦、伦敦和波特兰 保管的安然审计档案开始被销毁。
❖ (六)意义和影响
❖ 21世纪初期,发生了两件震撼世界、令人 不安的大事,一件是“9•11”事件,严重影响 了人们的生活和安全;另一件就是安然公司 破产案,严重损害了资本市场的信誉,动摇 了投资人的信心。安然审计失败因其带来的 影响和震撼,堪称会计史上的“9•11”事件。
❖ 然而,南海公司的经营并未如愿,赢利甚微,
公司股票的市场价格与上市公司实际经营前景完 全脱节。
英国南海公司泡沫事件
❖ 1721年6月,为了制止各类“泡沫公司”的膨胀, 英国国会通过了“反泡沫公司法”(The Bubble Act)。自此,许多公司被解散,公众开始清醒过 来。对一些公司的怀疑逐渐扩展到南海公司身上。 从7月份开始,外国投资者首先抛出南海股票,撤 回资金,军队下达了要求军人回到岗位的命令。随 着投机热潮的冷却,南海股价一落千丈,9月份直 跌至每股175英镑,12月份最终跌为124英镑。 “南海气泡”终于破灭。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
a@yycisa@
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
5. 对开发和获取过程的审计
6. 对系统变更过程的审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
2.面询与问卷卷对象:专业性与客观性 答案的明确性
如何避免答案失真
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋,yycisa@
2.面询与问卷设计
面谈准备:
背景研究 确定对象 内容、时间和地点
面谈实施:
时间控制 气氛把握 记录方式 确认 后续分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试类型
ITF(生产环境中用测试用例)
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
杨洋,yycisa@
4.业务观察与穿行测试
实际岗位分工与制度是否一致
穿行测试(walk-through):实际流程是 否一致
安全意识
汇报路线:权责是否一致
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
工具的选择:
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
二、 一般控制审计实务
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试
选择重要模块
数据设计
覆盖各种情况:数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源:实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
一般方式:
黑盒 白盒
Feb, 2008
分析性复核
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
开发原型 新旧系统交接
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
直接获取系统数据,特别是业务输 入与业务输出
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
5. 对开发和获取过程的审计
6. 对系统变更过程的审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
2.面询与问卷卷对象:专业性与客观性 答案的明确性
如何避免答案失真
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋,yycisa@
2.面询与问卷设计
面谈准备:
背景研究 确定对象 内容、时间和地点
面谈实施:
时间控制 气氛把握 记录方式 确认 后续分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试类型
ITF(生产环境中用测试用例)
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
杨洋,yycisa@
4.业务观察与穿行测试
实际岗位分工与制度是否一致
穿行测试(walk-through):实际流程是 否一致
安全意识
汇报路线:权责是否一致
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
工具的选择:
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
二、 一般控制审计实务
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试
选择重要模块
数据设计
覆盖各种情况:数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源:实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
一般方式:
黑盒 白盒
Feb, 2008
分析性复核
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
开发原型 新旧系统交接
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
直接获取系统数据,特别是业务输 入与业务输出