IT审计的组织与实施(培训课件)

《IT审计的组织与实施(培训课件)》由会员分享，可在线阅读，更多相关《IT审计的组织与实施(培训课件)（83页珍藏版）》请在装配图网上搜索。

1、IT审计的组织与实施n刘济平n中国光大（集团）总公司审计部副主任n注册信息系统审计师（CISA）、注册内部审计师（CIA）、高级审计师n经济学硕士（南开大学西方会计与审计专业）、理学硕士（英国Strathclyde大学商务信息技术系统专业）nE-mail:1内容安排n内部审计及其分类n信息系统审计从风险管理和风险基础审计的角度理解n信息系统审计标准n信息系统审计方法nIT核心流程和审计方法n问题讨论n案例分析2内部审计及其分类n内部审计n内部审计分类n业务审计（Operations Audit）n信息系统审计(Information Systems Audit)或IT审计3内部审计及其分类n业

2、务审计与IT审计的关系自动应用控制应用控制帐号管理/逻辑控制一般应用控制电子数据表和局部数据库程序员安全在业务用户层面上的变更管理业务持续计划（BCP）基础架构一般应用控制变更和配置管理网络安全管理计算机操作系统开发生命周期（SDLC）共享数据库机房业务审计IT审计4信息系统审计从风险管理和风险基础审计的角度理解n一个目标n两种风险n三项评价n四类测试5信息系统审计从风险管理和风险基础审计的角度理解n一个目标n将IT相关的风险控制在可接受的水平n风险是事件的不确定性，这个事件对目标的实现具有影响。n风险是不希望发生事情的可能性。n对待风险的四种策略：拒绝、接受、转移、缓释（控制）风险 机会6信

3、息系统审计从风险管理和风险基础审计的角度理解n两种风险n战略风险n失去竞争优势n信息系统项目失败n灾难导致长期不能提供服务nn操作风险n变更管理文档不完整n密码政策不恰当n未激活Oracle审计轨迹设置n7信息系统审计从风险管理和风险基础审计的角度理解n三项评价n评价信息系统项目n评价业务流程中的IT控制n评价信息安全8信息系统审计从风险管理和风险基础审计的角度理解n四类测试nIT控制环境测试n物理控制测试n逻辑控制测试nIS操作控制测试9信息系统审计从风险管理和风险基础审计的角度理解将IT相关风险控制在可接受水平战略风险操作风险评价IT项目评价业务流程中的IT控制评价信息安全测试IT控制环境

4、测试物理控制测试逻辑控制测试IS操作控制一个目标两种风险三项评价四类测试10信息系统审计标准nITIL(IT Infrastructure Library)nBS7799nCOBIT(Control Objectives for Information and Related Technology)11信息系统审计标准ITILnIT服务管理nIT服务管理（ITSM）：一种以流程为导向，以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力和水平。nITIL（IT Infrastructure Library,IT基础架构库），最初由英国商务部（OGC）80年代组

5、织开发，是ITSM领域在欧洲的事实标准。2001年成为英国标准BS 1500012信息系统审计标准ITILnITIL整体框架服务提供包括5个核心流程：服务级别管理、能力管理、可用性管理、持续性管理、财务管理。服务支持包括5个核心流程：配置管理、发布管理、变更管理、事故管理、问题管理、服务台职能。技术业务应用管理IT服务管理实施规划业务视角服务管理服务管理ICT基础架构管理安全管理服务支持服务提供资料来源：OGC,200213信息系统审计标准BS7799n信息安全管理：指一个组织的政策、实务、程序、组织结构和软件功能，用以保护信息，确保信息免受非授权访问、修改或意外变更，并且在经授权用户需要时可

6、用。保密性(Confidentiality)资料来源：Pfleeger,1997完整性(Integrity)可用性(Availability)14信息系统审计标准BS7799n信息安全管理体系（ISMS）nBS 7799：最早由英国贸易和工业部于1993年组织开发，1995年成为英国国家标准，由两部分组成，目前最新版本为：nBS 7799-1：1999信息安全管理实施规则nBS 7799-2：2002信息安全管理体系规范 BS 7799-1于2000年被批准为国际标准ISO/IEC 17799：2000信息技术：信息安全管理实施规则。15信息系统审计标准BS7799n信息安全管理体系（ISMS

7、）nBS 7799-1将信息安全管理分为10类控制，成为组织实施信息安全管理的实用指南。n通讯和运行管理n访问控制n系统开发和维护n业务持续管理n合规n信息安全政策n安全组织n资产分类和控制n人员控制n物理和环境安全16信息系统审计标准BS7799BS 7799-2提供的信息安全管理框架制定政策确定ISMS的范围实施风险评价管理风险选择控制目标和控制制定应用说明政策文件ISMS范围风险评价选择的控制选项应用说明结果和结论选择的控制目标和控制威胁、弱点、影响风险管理方法需要的保证程度ISMS需要的控制目标和控制BS 7799 以外的控制第一步第二步第三步第四步第五步第六步资料来源：BSI，199

8、917信息系统审计标准-COBITnIT治理n信息安全和控制实务普遍接受的标准n主要目的是为企业治理提供清晰的政策和最佳实务n以信息系统审计与控制基金会(ISACF)的控制目标为基础，由ISACA及其下属的“IT治理研究院”开发。1996年第一版，2000年第三版，2006年第四版。18信息系统审计标准-COBITn由34个IT控制目标组成，分为四个方面:n规划和组织n获得与实施n交付与支持n监控19信息系统审计标准-COBIT COBIT 的34个控制目标交付和支持交付和支持IT 资源信息信息监控监控获得与实施获得与实施规划和组织规划和组织-效果性 -效率性-保密性 -完整性-可用性 -合规

9、性-可靠性-人 -应用系统-技术-设备-数据确定自动化方案获取并维护应用程序软件获取并维护技术基础设施程序开发与维护系统安装与鉴定变更管理定义IT战略规划定义信息体系结构确定技术方向定义IT组织和关系管理IT投资传达管理目标和方向人力资源管理确保遵循外部要求风险评估项目管理质量管理定义并管理服务水平管理第三方的服务管理性能与容量确保服务的连续性确保系统安全确定并分配成本教育并培训用户协助和咨询客户配置管理处理问题和突发事件数据管理设施管理运行管理过程监控评价内部控制的适当性获取独立鉴证提供独立的审计COBIT企业目标企业目标IT治理治理资料来源：IT Governance Institute,

10、200020信息系统审计方法年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试年度风险评估和计划问题追踪和后续审计审计评价审计报告审计计划控制评价风险评估审计方案和测试21内部审计方法年度风险评估和计划n实施年度风险评估n识别下一年度的审计领域.n制定年度审计计划22年度风险评估:风险评估n按照可审计业务单元进行n每年实施一次n考虑因素n业务/财务影响n外部环境：如规章制度、市场、技术n容易出现欺诈舞弊n计算机环境n上一次审计结果及时间n与管理层讨论（分公司、子公司和总公司）23年度风险评估:风险分级和审计频率n非常高(一年或少于一年审计一次)n高(每一

11、至两年审计一次)n中(每三到四年审计一次)n低(每五年审计一次或不审计)24年度风险评估:举例可审计单元可审计单元 业务因素业务因素(50)风险因素风险因素(25)控制环境控制环境(25)总分排序风险水平风险影响(20)财务影响(15)合规影响(10)未来成功影响(5)容易舞弊(6)满足目标的压力(3)计算机环境(6)复杂程度(6)变更(4)内部控制(12)管理层(8)前次审计(5)物理和逻辑安全1512654.5264.53612674高操作和第三方服务提供商的管理1012454.5336331256.516中灾难恢复和业务持续计划1012251.524.54.5331553.520中应用设

12、计和配置109251.5336331551.523中25年度审计计划:举例某公司某公司2005 年内部审计计划年内部审计计划 一、制定计划的方法一、制定计划的方法本计划是根据公司规定的年度风险评估方法加以制定的。在制定过程中，我们考虑了公司管理层的要求，以及公司其他股东的年度审计计划。二、影响计划制定的主要因素二、影响计划制定的主要因素1、中国区业务的快速发展2、与其他股东在内部审计方面的良好合作3、三、审计范围三、审计范围 风险领域审计项目信息技术 技术基础架构项目管理业务持续计划（BCP）四、审计项目描述四、审计项目描述五、审计时间预算五、审计时间预算26信息系统审计方法计划n审计任务备忘

13、录(审计通知书)n审计目的和范围n审计方法n审计人员n被审计单位人员n审计时间安排n问题沟通和行动计划n审计标准n审计效果评价27计划：举例某公司一般IT控制审计备忘录 审计范围和目的：审计范围和目的：本次审计的目的是，通过审计，评价下列领域控制的效果。IT规划和组织系统开发和获得变更管理数据管理信息安全网络管理计算机操作物理安全和设备管理业务持续计划 审计方法审计方法：本次审计是按照风险基础审计的方法进行的，我们将对上述领域的风险进行评估，然后对中高风险领域进行控制测试。在审计中，我们主要采取如下方法：检查有关规章制度、程序和标准；检查有关规划和操作文件和报告（如IT规划、项目文档、总是日志

14、、BCP等）；IT实地观察；与管理层和有关员工面谈。审计组成员：审计组成员：审计时间：审计时间：审计标准审计标准：我们将按照国际内部审计师协会（IIA）和国际信息系统审计与控制协会（ISACA）制定的有关标准进行审计。由于我们是通过抽样进行测试，因此我们的审计并不能绝对保证发现所有的错误和违规问题。审计绩效评价：审计绩效评价：审计结束时，我们将向员工发送问券调查，以评价审计工作是否有效和达到目的。28信息系统审计方法风险评估n识别业务流程的具体风险n风险矩阵n具体风险n业务影响n可能性评价 (高/中/低)n影响评价(低/中/显著/非常显著)n风险(高/中/低)29风险评估:举例具体风险具体风险

15、业务影响业务影响可能性评价可能性评价影响评价影响评价风险风险说明说明控制评价控制评价审计方案审计方案IT战略规划与企业目标不致1.IT战略规划不支持企业业务目标实现2.资金用途没有最大化.中等非常高高1.有业务规划2.IT管理层了解业务规划3.IT管理层参与业务规化制定4.IT管理层在制定IT战略规划时考虑业务规划LinkLink业务流程总体业务流程总体评价评价n流程:IT规划与组织30信息系统审计方法控制评价n记录需要控制风险的主要内部控制.n控制评价矩阵n具体风险n需要的控制n控制类型(预防/发现/改正)31控制评价:举例风险风险控制控制控制类型控制类型(P,D,C)审计方案索引审计方案索

16、引IT战略规划与企业目标战略规划与企业目标不一致不一致企业IT投资以坚实的业务案例为依据PLink对控制设计的结论n流程:IT规划与组织32信息系统审计方法审计方案和测试n制定审计方案n需要测试的控制n审计程序n测试主要控制的有效性n记录测试结果33审计方案和测试:举例风险/测试的控制审计程序工作底稿索引审计人员1-3与以下人员面谈CEOCOOCFOIT部门负责人IT指导委员会成员分管IT的高管人力资源部取得并检查下列文件IT规划的规章制度高管在指导委员会的职责企业战略目标，长期、短期计划IT指导委员会会议记要评价和测试内容规划是否包括以下内容1.企业的目标2.IT是否支持企业目标3.对IT项

17、目是否经风险评价4.IT项目是否根据企业目标的改变而调整n流程:IT规划与组织34信息系统审计方法沟通和报告n发出审计发现清单n与被审计单位管理层交换意见n起草审计报告n举行结束会议n发布最终审计报告n摘要n详细审计发现和审计建议35信息系统审计方法绩效评价n被审计单位调查问卷n审计结束时发出n调查问题:n审计目的是否表述清楚?n审计人员对被审计单位人员是否谦和礼貌?n审计发现是否准确?对你是否有用?36信息系统审计方法 问题追踪和后续审计n对重要审计建议进行季度监控.n内部审计季度检查报告n控制报告37IT 核心流程和审计方法n规划和组织n系统开发n变更/问题管理n数据管理n计算机操作运行n

18、物理安全/设备管理n业务持续计划(BCP)n信息安全n网络管理n应用处理38IT 流程:规划和组织n公司如何管理 IT.n相关风险n IT规划与业务规划不一致n不现实的战略规划 nIT成本超支n存在不相容的职能n组织不好的IT职能39审计方法:规划和组织n审计范围n组织结构n规划过程(战略,战术)n预算和成本控制n服务级别协议(SLAs)n培训和资源保障n沟通过程40审计方法:规划和组织n访谈对象n首席执行官（CEO）/首席营运官（COO）n首席财务官（CFO）n首席信息官（CIO）nIT 指导委员会成员nIT 高级管理层n用户管理层41审计方法:规划和组织n检查内容:nIT组织机构图nIT

19、部门章程/权限nIT 规划(战略,战术)n业务规划nIT 指导委员会会议纪要n政策、程序和标准n服务级别协议(SLAs)n培训计划n职位描述42IT 流程:系统开发n信息系统是如何开发的，以支持企业运营.n相关风险n未满足业务需求n有瑕疵的业务案例n延期实施n范围不确定（软件基线）43审计方法:系统开发n审计范围n项目所有者n需求的提出和控制n项目管理n开发和测试n数据转换控制n后实施44审计方法:系统开发n访谈对象:nCIOnIT 指导委员会成员n项目指导委员会成员n项目所有者n项目经理45审计方法:系统开发n检查内容:nIT 规划n系统开发方法n与硬件/软件采购相关的政策和程序n项目文档(

20、如：需求定义，可行性分析)n与软件采购、开发和维护相关的合同46IT 流程:变更管理nIT变更是如何管理的，以确保完整性n相关风险n非授权的变更请求n未测试的变更n非授权的变更实施47审计方法:变更管理n审计范围n所有者n需求的提出和控制n变更控制n文档和过程n软件发布政策48年度审计计划:考虑的因素和批准n考虑的因素n风险高的可审计单元n管理层的要求n公司风险管理委员会和审计委员会的指导n外部审计n年度审计计划批准n第一层次:副总裁&总审计师（管理层）n第二层次:审计委员会（董事会）49审计方法:变更管理n访谈对象nCIOnIT 高级管理层n应用开发经理n质量鉴定经理nIT 运行经理50审计

21、方法:变更管理n检查内容:n系统开发方法n变更控制政策和程序n变更需求表51IT 流程:数据管理n数据是如何管理的，以确保完整和可用.n相关风险n数据不准确、过时或被破坏n数据不可恢复n数据的不适当访问52审计方法:数据管理n审计范围n数据所有者n组织结构n计划和开发n系统管理n安全n备份/恢复53审计方法:数据管理n访谈对象:nIT 高级管理层n信息安全官员n系统开发经理n数据库存管理员n数据所有者54审计方法:数据管理n检查内容:n数据所有关系结构n数据模型n与以下内容相关的政策和程序:n数据输入授权n数据处理n输出的分发n数据库维护和安全n库管理55IT 流程:计算机操作运行n如何管理计

22、算设备，以提供持续服务.n相关风险n处理延迟n重新运行频繁n问题无法解决56审计方法:计算机操作运行n审计范围n组织结构n时间安排n媒介控制n备份/重新启动/恢复n容量规划57审计方法:计算机操作运行n访谈对象:nIT 高级管理层nIT 运行经理n数据中心主管58审计方法:计算机操作运行n检查的文件：n组织结构图n部门计划n职位描述n服务级别协议(SLAs)n与计算机处理相关的政策和程序n工作安排人员n备份/恢复n问题管理n磁带管理59IT流程:物理安全/设备管理n相关风险n非授权访问、使用公司资产或信息n偷窃、损坏或毁损数据或设备n不安全的工作环境60审计方法:物理安全/设备管理n审计范围n

23、访问控制n环境灾难n火灾控制n电力供应n员工安全n应急程序n维护61审计方法:物理安全/设备管理n访谈对象:nIT 高级管理层nIT 设备经理n信息安全官n运行/数据中心经理62审计方法:物理安全/设备管理n检查内容:n数据中心楼层计划/分布n IT用房的视查n可接触IT设备人员清单n与物理安全、人员健康和安全、环境危害防护相关的政策和程序63IT流程:业务持续计划（BCP）n如何确保持续的IT服务、当需要时可得到，以及在出现重大中断时对业务影响最小.n相关风险n无法按照计划恢复关键业务功能n没有足够的资源完成或实施计划n过时和未测试的业务持续计划n第三方供货商的支持不充分64审计方法:业务持

24、续计划（BCP）n审计范围n所有者n业务影响评估n恢复策略n与业务的联系n维护n测试65审计方法:业务持续计划（BCP）n访谈对象:nCIOnIT 高级管理层nIT 运行经理n信息安全官n用户管理层n业务持续计划（BCP）/灾难恢复计划（DRP）小组n灾难恢复地经理66审计方法:业务持续计划（BCP）n检查内容:nBCP 手册nBCP/DRP 测试结果n供货商/维护合同n业务中断保单n与持续计划过程相关的政策和程序67IT流程:信息安全n信息是如何保护的，以确保其完整、保密和可用.n相关风险n非授权访问信息（内部和外部）n有意泄露信息68审计方法:信息安全n审计范围n政策和程序n数据分级n用户

25、添加、维护和删除n监控n密码方案n访问级别n安全环境69审计方法:信息安全n访谈对象:nIT 高级管理层n信息安全官员n应用开发经理n数据管理员70审计方法:信息安全n检查内容n信息安全政策和程序n了解访问控制软件n违反安全的报告nIT资源访问点(物理的/逻辑的)的设计安排n具有访问系统资源权限的雇员、供货商、服务提供商的人员名单71IT流程:网络管理n如何管理网络，以确保其安全、高效运行和可用.n相关风险n网络低效率n网络无法恢复n网络问题无法解决72审计方法:网络管理n审计范围n所有者n组织结构n规划和开发n政策和程序n网络安全和管理n恢复/重新启动73审计方法:网络管理n访谈对象:nIT

26、 运行经理n网络管理员n信息安全官74审计方法:网络管理n检查内容n组织结构图n部门计划n职位描述n服务级别协议(SLAs)n网络体系结构/配置n与网络管理相关的政策和程序75IT流程:应用处理n系统如何实施，以确保经授权的业务信息处理完全、准确n相关风险：包括计算机操作运行、变更管理和信息安全风险76审计方法:应用处理n访谈对象:n用户管理n应用开发经理nIT 运行经理n信息安全官n数据库管理员n选择的用户77审计方法:应用处理n检查内容n了解业务流程n业务营运手册n用户/系统手册n系统访问人员清单n系统产生的报告78问题讨论n下列问题涉及哪些IT流程和IT相关风险？n张先生在A公司担任数据

27、库管理员，并负责公司的编程工作。nB公司的主要处理设施在北京公司总部的二楼，该地区交通拥堵；数据备份设施则在离公司总部不远的写字楼。n公司前不久对工资处理系统进行了升级，一些员工反映其工资有差错。n最近IT部门负责人制定了公司IT三年规划，并得到CIO批准。n公司几名员工反映，他们办公用的PC机常常被病毒感染，与公司客户信息系统的连接也变得很慢。79案例分析n背景nG公司年销售额350万元，总部设在S市。该公司为150家客户提供在线法律软件服务，包括律师事务所的数据存储和管理活动。公司自三年前建成以来发展迅速，并为适应这一发展扩大了数据处理部门。nG公司最近将总部搬到市郊一间改造的仓库。仓库改

28、造时，保留了原有构造，包括木结构外墙以及内部的木梁。分布处理式小型机置于最大的一间房子，且开有天窗，员工能方便进入。机房使用前，通过了消防部门的检查，包括灭火装置和安全出口等。n为进一步保护存有客户信息的数据库，公司设置了磁带备份程序，每周日晚自动进行数据库备份，避免日常操作和程序中断。然后将备份磁带标号，存于专设的架子上。使用手册明确规定了如何使用这些磁带恢复数据库。为了应对紧急情况的发生，公司备有数据处理部门员工的家庭电话。n上周日，G公司总部被大火完全烧毁，所有客户信息被破坏。n要求n指出G公司灾难恢复计划的缺陷。nG公司的灾难恢复计划应包括哪些部分？80职责分离控制矩阵 控制小组系统分析员应用程序员帮助和支持经理最终用户数据录入员计算机操作员数据库管理员网络管理员系统管理员安全管理员磁带库管理员系统程序员质检员控制小组 系统分析员 应用程序员 帮助和支持经理 最终用户 数据录入员 计算机操作员 数据库管理员 网络管理员 系统管理员 安全管理员 磁带库管理员 系统程序员 质检员 81问题8283