CISAIT审计实务培训理论专题PPT课件
合集下载
CISAIT审计实务培训审计实务PPT课件
a@yycisa@
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
CISAIT审计实务培训2审计实务精品PPT课件
Feb, 2008
杨洋,
杨洋,
5. 对开发和获取过程的审计
技术先进性与系统获取
某区教育系统数据中心采购案例
全局性考虑
委托开发中的知识产权问题
Feb, 2008
杨洋,
杨洋,
6. 对系统变更过程的审计
系统变更对金融企业的作用 系统变更管理的一般流程
Feb, 2008
杨洋,
杨洋,
6. 对系统变更过程的审计
分析性复核
Feb, 2008
杨洋,
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
工具的选择:
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋,
杨洋,
杨洋,
二、 一般控制审计实务
1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计
Feb, 2008
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
Feb, 2008
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
Feb, 2008
杨洋,
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋,
杨洋,
杨洋,
6. 数据测试
测试
选择重要模块 数据设计
IT审计相关知识(ppt 62页)
PerformanTceecahnndicBaulsRineefsesr-DenricveenModel (TRM)
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
国际内部审计专业实务框架培训资料(PPT 56张)
5、国际内部审计实务标准与中国内部审计准则比较
►
框架不同
一、内部审计实务标准及演进(续)
May 2
May 2
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括(续)
Practice Advisory 1330-1: Use of "Conducted in Accordance with the Standards” Practice Advisory 2100-8: The Internal Auditor’s Role in Evaluating An Organization’s Privacy Framework Practice Advisory 2100-9 Applications Systems Review Practice Advisory 2100-10 Audit Sampling Practice Advisory 2100-11 Effect of Pervasive IS Controls Practice Advisory 2100-12 Outsourcing of IS Activities
►
►
迄今为止在中国相关网站中可以查到的更新通知为2006年10月24日公布的“IIA对《 部审计专业实务标准》第1312条进行修订 ”
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括
Practice Advisory 1000.C1-3 Additional Considerations for Consulting Engagements in Government Organizational Settings Practice Advisory 1210.A2-1: Auditor’s Responsibilities Relating to Fraud Risk Assessment, Prevention, and Detection
►
框架不同
一、内部审计实务标准及演进(续)
May 2
May 2
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括(续)
Practice Advisory 1330-1: Use of "Conducted in Accordance with the Standards” Practice Advisory 2100-8: The Internal Auditor’s Role in Evaluating An Organization’s Privacy Framework Practice Advisory 2100-9 Applications Systems Review Practice Advisory 2100-10 Audit Sampling Practice Advisory 2100-11 Effect of Pervasive IS Controls Practice Advisory 2100-12 Outsourcing of IS Activities
►
►
迄今为止在中国相关网站中可以查到的更新通知为2006年10月24日公布的“IIA对《 部审计专业实务标准》第1312条进行修订 ”
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括
Practice Advisory 1000.C1-3 Additional Considerations for Consulting Engagements in Government Organizational Settings Practice Advisory 1210.A2-1: Auditor’s Responsibilities Relating to Fraud Risk Assessment, Prevention, and Detection
CISAIT审计实务培训0-课程导言16页PPT
3、当他看到ATM机如数吐出1000元,并只扣1元的漏洞 后,先后171次共取走17.5万元。
据悉,该漏洞是4月24日早上由广州商业银行恒福支行 ATM机管理中心的工作人员翻查监控记录时发现的。随 后,该部门立刻通知广州商业银行总行并报案。
Feb, 2008
杨洋,yycisa@
课程内容
1. 重要理论与概念
1. IT审计概况及其在金融业的发展趋势 2. 重大性、披露、一般控制与应用控制等重要问题 3. 执业资格、行业协会与CISA考试简介
2. IT审计技术实务
1. 常用审计技术 2. 一般控制审计分阶段详解 3. 网络安全审计专题——一般形式、技术与工具 4. 应用控制审计案例详解 5. 持续在线审计技术专题
谢谢大家,欢迎交流!
杨洋(yy.ok.2000263)
Feb, 2008
杨洋,yycisa@
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
杨洋,yycisa@
反思
1. 为什么只有许霆发现了这一秘密?
2. 同一错误为什么能够重现171次?
3. 为什么误差恰好是十进制整数?
4. 服务器错误还是终端错误?
5.如果是批量升级,是否仅此一台出错?
6. 为何3天后才发现异常?
7. 升级前后是否进行了充分测试?
8. ATM机是否可配置?由谁配置?
估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2019年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开
展银行业金融机构2019年度信息科技风险内部和外部评价审计工作。
据悉,该漏洞是4月24日早上由广州商业银行恒福支行 ATM机管理中心的工作人员翻查监控记录时发现的。随 后,该部门立刻通知广州商业银行总行并报案。
Feb, 2008
杨洋,yycisa@
课程内容
1. 重要理论与概念
1. IT审计概况及其在金融业的发展趋势 2. 重大性、披露、一般控制与应用控制等重要问题 3. 执业资格、行业协会与CISA考试简介
2. IT审计技术实务
1. 常用审计技术 2. 一般控制审计分阶段详解 3. 网络安全审计专题——一般形式、技术与工具 4. 应用控制审计案例详解 5. 持续在线审计技术专题
谢谢大家,欢迎交流!
杨洋(yy.ok.2000263)
Feb, 2008
杨洋,yycisa@
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
杨洋,yycisa@
反思
1. 为什么只有许霆发现了这一秘密?
2. 同一错误为什么能够重现171次?
3. 为什么误差恰好是十进制整数?
4. 服务器错误还是终端错误?
5.如果是批量升级,是否仅此一台出错?
6. 为何3天后才发现异常?
7. 升级前后是否进行了充分测试?
8. ATM机是否可配置?由谁配置?
估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2019年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开
展银行业金融机构2019年度信息科技风险内部和外部评价审计工作。
CISAIT审计实务培训1理论专题课件
•Feb, 2杨洋,
1. IT审计师的能力和胜任
演示案例:
某机关重要文档在线管理系统
职业道德要求 事情考虑:
是否充分了解目标系统? 是否能够调动足够资源? 时间与成本是否允许? ……
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 重要性(重大性) 2. 审计报告与披露 3. 一般控制审计与应用控制审计 4. 对信息系统生命周期各阶段的审计
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 重要性(重大性)
重要性概念回顾
可容忍差错的最高界限 案例:财务审计中的重要性水平设定
IT审计的重要性难题
不再有“笔误”! 系统互联——“错误乘数”
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全, 不针对单个系统。
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
审计实务培训课件PPT)
程序
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
CISA_IT审计实务培训3-COBIT专题PPT参考课件
“是否应该进行IT投资?”、“如何进行IT投资” “IT投资是否得到了期望的回报?” “业务需求是否得到了IT的支持和满足?”
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Feb, 2008
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
Feb, 2008
a@yycisa@
杨洋,yycisa@
4. IT审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助
独立的信息系统审计——完全超出财务报表范围,直接为企业信 息系统的各方面情况进行审计
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势国外政府机构IT审计英国绩效审计中的IT审计
日本对国家投资项目的IT审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
3. IT审计的实施方式
定期全面审计
对委托单位的全部信息系统的整体情况进行评价和建议,包 括在建项目的执行情况、已运行系统的安全和有效性、其他 与信息化相关的方面(计划、组织、流程、培训)等情况。
a@yycisa@
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
杨洋,yycisa@
a@yycisa@
杨洋,yycisa@
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
美国联邦政府的IT审计
特点与趋势:
Feb, 2008
外部审计与政府内部审计结合
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
一、 IT审计概述
1. IT审计的概念 2. IT审计的目标 3. IT审计的形式 4. IT审计的发展历史
cisa@yycisa@yycis a@yycisa@
杨洋,yycisa@
IT审计的组织模式
作为内部审计部门的组成 成立单独的IT审计或评价部门 委托外部审计机构
混合模式
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
外审与内审
外审视角(签证目标):
资产安全性 数据完整性 合规性
内审视角(管理目标)还包括:
系统有效性 系统效率性
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
Feb, 2008
a@yycisa@
杨洋,yycisa@
4. IT审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助
独立的信息系统审计——完全超出财务报表范围,直接为企业信 息系统的各方面情况进行审计
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势国外政府机构IT审计英国绩效审计中的IT审计
日本对国家投资项目的IT审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
3. IT审计的实施方式
定期全面审计
对委托单位的全部信息系统的整体情况进行评价和建议,包 括在建项目的执行情况、已运行系统的安全和有效性、其他 与信息化相关的方面(计划、组织、流程、培训)等情况。
a@yycisa@
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
杨洋,yycisa@
a@yycisa@
杨洋,yycisa@
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
美国联邦政府的IT审计
特点与趋势:
Feb, 2008
外部审计与政府内部审计结合
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
一、 IT审计概述
1. IT审计的概念 2. IT审计的目标 3. IT审计的形式 4. IT审计的发展历史
cisa@yycisa@yycis a@yycisa@
杨洋,yycisa@
IT审计的组织模式
作为内部审计部门的组成 成立单独的IT审计或评价部门 委托外部审计机构
混合模式
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
外审与内审
外审视角(签证目标):
资产安全性 数据完整性 合规性
内审视角(管理目标)还包括:
系统有效性 系统效率性
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis