IT審計的組織與實施(培訓(xùn)課件)

1,IT審計的組織與實施,劉濟(jì)平中國光大（集團(tuán)）總公司審計部副主任注冊信息系統(tǒng)審計師（CISA）、注冊內(nèi)部審計師（CIA）、高級審計師經(jīng)濟(jì)學(xué)碩士（南開大學(xué)西方會計與審計專業(yè)）、理學(xué)碩士（英國Strathclyde大學(xué)商務(wù)信息技術(shù)系統(tǒng)專業(yè)）E-mail:liujp,2,內(nèi)容安排,內(nèi)部審計及其分類信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解信息系統(tǒng)審計標(biāo)準(zhǔn)信息系統(tǒng)審計方法IT核心流程和審計方法問題討論案例分析,3,內(nèi)部審計及其分類,內(nèi)部審計內(nèi)部審計分類業(yè)務(wù)審計（OperationsAudit）信息系統(tǒng)審計(InformationSystemsAudit)或IT審計,4,內(nèi)部審計及其分類,業(yè)務(wù)審計與IT審計的關(guān)系,自動應(yīng)用控制應(yīng)用控制帳號管理/邏輯控制,一般應(yīng)用控制電子數(shù)據(jù)表和局部數(shù)據(jù)庫程序員安全在業(yè)務(wù)用戶層面上的變更管理業(yè)務(wù)持續(xù)計劃（BCP）,基礎(chǔ)架構(gòu)一般應(yīng)用控制變更和配置管理網(wǎng)絡(luò)安全管理計算機(jī)操作系統(tǒng)開發(fā)生命周期（SDLC）共享數(shù)據(jù)庫機(jī)房,業(yè)務(wù)審計,IT審計,5,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,一個目標(biāo)兩種風(fēng)險三項評價四類測試,6,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,一個目標(biāo)將IT相關(guān)的風(fēng)險控制在可接受的水平風(fēng)險是事件的不確定性，這個事件對目標(biāo)的實現(xiàn)具有影響。風(fēng)險是不希望發(fā)生事情的可能性。對待風(fēng)險的四種策略：拒絕、接受、轉(zhuǎn)移、緩釋（控制）,7,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,兩種風(fēng)險戰(zhàn)略風(fēng)險失去競爭優(yōu)勢信息系統(tǒng)項目失敗災(zāi)難導(dǎo)致長期不能提供服務(wù)操作風(fēng)險變更管理文檔不完整密碼政策不恰當(dāng)未激活Oracle審計軌跡設(shè)置,8,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,三項評價評價信息系統(tǒng)項目評價業(yè)務(wù)流程中的IT控制評價信息安全,9,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,四類測試IT控制環(huán)境測試物理控制測試邏輯控制測試IS操作控制測試,10,信息系統(tǒng)審計從風(fēng)險管理和風(fēng)險基礎(chǔ)審計的角度理解,將IT相關(guān)風(fēng)險控制在可接受水平,戰(zhàn)略風(fēng)險,操作風(fēng)險,評價IT項目,評價業(yè)務(wù)流程中的IT控制,評價信息安全,測試IT控制環(huán)境,測試物理控制,測試邏輯控制,測試IS操作控制,一個目標(biāo),兩種風(fēng)險,三項評價,四類測試,11,信息系統(tǒng)審計標(biāo)準(zhǔn),ITIL(ITInfrastructureLibrary)BS7799COBIT(ControlObjectivesforInformationandRelatedTechnology),12,信息系統(tǒng)審計標(biāo)準(zhǔn)ITIL,IT服務(wù)管理IT服務(wù)管理（ITSM）：一種以流程為導(dǎo)向，以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力和水平。ITIL（ITInfrastructureLibrary,IT基礎(chǔ)架構(gòu)庫），最初由英國商務(wù)部（OGC）80年代組織開發(fā)，是ITSM領(lǐng)域在歐洲的事實標(biāo)準(zhǔn)。2001年成為英國標(biāo)準(zhǔn)BS15000,13,信息系統(tǒng)審計標(biāo)準(zhǔn)ITIL,ITIL整體框架服務(wù)提供包括5個核心流程：服務(wù)級別管理、能力管理、可用性管理、持續(xù)性管理、財務(wù)管理。服務(wù)支持包括5個核心流程：配置管理、發(fā)布管理、變更管理、事故管理、問題管理、服務(wù)臺職能。,資料來源：OGC,2002,14,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,信息安全管理：指一個組織的政策、實務(wù)、程序、組織結(jié)構(gòu)和軟件功能，用以保護(hù)信息，確保信息免受非授權(quán)訪問、修改或意外變更，并且在經(jīng)授權(quán)用戶需要時可用。,保密性(Confidentiality),資料來源：Pfleeger,1997,完整性(Integrity),可用性(Availability),15,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS）BS7799：最早由英國貿(mào)易和工業(yè)部于1993年組織開發(fā)，1995年成為英國國家標(biāo)準(zhǔn)，由兩部分組成，目前最新版本為：BS7799-1：1999信息安全管理實施規(guī)則BS7799-2：2002信息安全管理體系規(guī)范BS7799-1于2000年被批準(zhǔn)為國際標(biāo)準(zhǔn)ISO/IEC17799：2000信息技術(shù)：信息安全管理實施規(guī)則。,16,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,信息安全管理體系（ISMS）BS7799-1將信息安全管理分為10類控制，成為組織實施信息安全管理的實用指南。,通訊和運行管理訪問控制系統(tǒng)開發(fā)和維護(hù)業(yè)務(wù)持續(xù)管理合規(guī),信息安全政策安全組織資產(chǎn)分類和控制人員控制物理和環(huán)境安全,17,信息系統(tǒng)審計標(biāo)準(zhǔn)BS7799,BS7799-2提供的信息安全管理框架,制定政策,確定ISMS的范圍,實施風(fēng)險評價,管理風(fēng)險,選擇控制目標(biāo)和控制,制定應(yīng)用說明,政策文件,ISMS范圍,風(fēng)險評價,選擇的控制選項,應(yīng)用說明,結(jié)果和結(jié)論,選擇的控制目標(biāo)和控制,威脅、弱點、影響,風(fēng)險管理方法,需要的保證程度,ISMS需要的控制目標(biāo)和控制,BS7799以外的控制,第一步,第二步,第三步,第四步,第五步,第六步,資料來源：BSI，1999,18,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,IT治理信息安全和控制實務(wù)普遍接受的標(biāo)準(zhǔn)主要目的是為企業(yè)治理提供清晰的政策和最佳實務(wù)以信息系統(tǒng)審計與控制基金會(ISACF)的控制目標(biāo)為基礎(chǔ)，由ISACA及其下屬的“IT治理研究院”開發(fā)。1996年第一版，2000年第三版，2006年第四版。,19,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,由34個IT控制目標(biāo)組成，分為四個方面:規(guī)劃和組織獲得與實施交付與支持監(jiān)控,20,信息系統(tǒng)審計標(biāo)準(zhǔn)-COBIT,COBIT的34個控制目標(biāo),交付和支持,IT資源,信息,監(jiān)控,獲得與實施,規(guī)劃和組織,-效果性-效率性-保密性-完整性-可用性-合規(guī)性-可靠性,-人-應(yīng)用系統(tǒng)-技術(shù)-設(shè)備-數(shù)據(jù),確定自動化方案獲取并維護(hù)應(yīng)用程序軟件獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施程序開發(fā)與維護(hù)系統(tǒng)安裝與鑒定變更管理,定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術(shù)方向定義IT組織和關(guān)系管理IT投資傳達(dá)管理目標(biāo)和方向人力資源管理確保遵循外部要求風(fēng)險評估項目管理質(zhì)量管理,定義并管理服務(wù)水平管理第三方的服務(wù)管理性能與容量確保服務(wù)的連續(xù)性確保系統(tǒng)安全確定并分配成本教育并培訓(xùn)用戶協(xié)助和咨詢客戶配置管理處理問題和突發(fā)事件數(shù)據(jù)管理設(shè)施管理運行管理,過程監(jiān)控評價內(nèi)部控制的適當(dāng)性獲取獨立鑒證提供獨立的審計,COBIT,企業(yè)目標(biāo),IT治理,資料來源：ITGovernanceInstitute,2000,21,信息系統(tǒng)審計方法,年度風(fēng)險評估和計劃,問題追蹤和后續(xù)審計,審計評價,審計報告,審計計劃,控制評價,風(fēng)險評估,審計方案和測試,年度風(fēng)險評估和計劃,問題追蹤和后續(xù)審計,審計評價,審計報告,審計計劃,控制評價,風(fēng)險評估,審計方案和測試,22,內(nèi)部審計方法年度風(fēng)險評估和計劃,實施年度風(fēng)險評估識別下一年度的審計領(lǐng)域.制定年度審計計劃,23,年度風(fēng)險評估:風(fēng)險評估,按照可審計業(yè)務(wù)單元進(jìn)行每年實施一次考慮因素業(yè)務(wù)/財務(wù)影響外部環(huán)境：如規(guī)章制度、市場、技術(shù)容易出現(xiàn)欺詐舞弊計算機(jī)環(huán)境上一次審計結(jié)果及時間與管理層討論（分公司、子公司和總公司）,24,年度風(fēng)險評估:風(fēng)險分級和審計頻率,非常高(一年或少于一年審計一次)高(每一至兩年審計一次)中(每三到四年審計一次)低(每五年審計一次或不審計),25,年度風(fēng)險評估:舉例,26,年度審計計劃:舉例,某公司2005年內(nèi)部審計計劃一、制定計劃的方法本計劃是根據(jù)公司規(guī)定的年度風(fēng)險評估方法加以制定的。在制定過程中，我們考慮了公司管理層的要求，以及公司其他股東的年度審計計劃。二、影響計劃制定的主要因素1、中國區(qū)業(yè)務(wù)的快速發(fā)展2、與其他股東在內(nèi)部審計方面的良好合作3、三、審計范圍,四、審計項目描述五、審計時間預(yù)算,27,信息系統(tǒng)審計方法計劃,審計任務(wù)備忘錄(審計通知書)審計目的和范圍審計方法審計人員被審計單位人員審計時間安排問題溝通和行動計劃審計標(biāo)準(zhǔn)審計效果評價,28,計劃：舉例,某公司一般IT控制審計備忘錄審計范圍和目的：本次審計的目的是，通過審計，評價下列領(lǐng)域控制的效果。IT規(guī)劃和組織系統(tǒng)開發(fā)和獲得變更管理數(shù)據(jù)管理信息安全網(wǎng)絡(luò)管理計算機(jī)操作物理安全和設(shè)備管理業(yè)務(wù)持續(xù)計劃審計方法：本次審計是按照風(fēng)險基礎(chǔ)審計的方法進(jìn)行的，我們將對上述領(lǐng)域的風(fēng)險進(jìn)行評估，然后對中高風(fēng)險領(lǐng)域進(jìn)行控制測試。在審計中，我們主要采取如下方法：檢查有關(guān)規(guī)章制度、程序和標(biāo)準(zhǔn)；檢查有關(guān)規(guī)劃和操作文件和報告（如IT規(guī)劃、項目文檔、總是日志、BCP等）；IT實地觀察；與管理層和有關(guān)員工面談。審計組成員：審計時間：審計標(biāo)準(zhǔn)：我們將按照國際內(nèi)部審計師協(xié)會（IIA）和國際信息系統(tǒng)審計與控制協(xié)會（ISACA）制定的有關(guān)標(biāo)準(zhǔn)進(jìn)行審計。由于我們是通過抽樣進(jìn)行測試，因此我們的審計并不能絕對保證發(fā)現(xiàn)所有的錯誤和違規(guī)問題。審計績效評價：審計結(jié)束時，我們將向員工發(fā)送問券調(diào)查，以評價審計工作是否有效和達(dá)到目的。,29,信息系統(tǒng)審計方法風(fēng)險評估,識別業(yè)務(wù)流程的具體風(fēng)險風(fēng)險矩陣具體風(fēng)險業(yè)務(wù)影響可能性評價(高/中/低)影響評價(低/中/顯著/非常顯著)風(fēng)險(高/中/低),30,風(fēng)險評估:舉例,流程:IT規(guī)劃與組織,31,信息系統(tǒng)審計方法控制評價,記錄需要控制風(fēng)險的主要內(nèi)部控制.控制評價矩陣具體風(fēng)險需要的控制控制類型(預(yù)防/發(fā)現(xiàn)/改正),32,控制評價:舉例,流程:IT規(guī)劃與組織,33,信息系統(tǒng)審計方法審計方案和測試,制定審計方案需要測試的控制審計程序測試主要控制的有效性記錄測試結(jié)果,34,審計方案和測試:舉例,流程:IT規(guī)劃與組織,35,信息系統(tǒng)審計方法溝通和報告,發(fā)出審計發(fā)現(xiàn)清單與被審計單位管理層交換意見起草審計報告舉行結(jié)束會議發(fā)布最終審計報告摘要詳細(xì)審計發(fā)現(xiàn)和審計建議,36,信息系統(tǒng)審計方法績效評價,被審計單位調(diào)查問卷審計結(jié)束時發(fā)出調(diào)查問題:審計目的是否表述清楚?審計人員對被審計單位人員是否謙和禮貌?審計發(fā)現(xiàn)是否準(zhǔn)確?對你是否有用?,37,信息系統(tǒng)審計方法問題追蹤和后續(xù)審計,對重要審計建議進(jìn)行季度監(jiān)控.內(nèi)部審計季度檢查報告控制報告,38,IT核心流程和審計方法,規(guī)劃和組織系統(tǒng)開發(fā)變更/問題管理數(shù)據(jù)管理計算機(jī)操作運行物理安全/設(shè)備管理業(yè)務(wù)持續(xù)計劃(BCP)信息安全網(wǎng)絡(luò)管理應(yīng)用處理,39,IT流程:規(guī)劃和組織,公司如何管理IT.相關(guān)風(fēng)險IT規(guī)劃與業(yè)務(wù)規(guī)劃不一致不現(xiàn)實的戰(zhàn)略規(guī)劃IT成本超支存在不相容的職能組織不好的IT職能,40,審計方法:規(guī)劃和組織,審計范圍組織結(jié)構(gòu)規(guī)劃過程(戰(zhàn)略,戰(zhàn)術(shù))預(yù)算和成本控制服務(wù)級別協(xié)議(SLAs)培訓(xùn)和資源保障溝通過程,41,審計方法:規(guī)劃和組織,訪談對象首席執(zhí)行官（CEO）/首席營運官（COO）首席財務(wù)官（CFO）首席信息官（CIO）IT指導(dǎo)委員會成員IT高級管理層用戶管理層,42,審計方法:規(guī)劃和組織,檢查內(nèi)容:IT組織機(jī)構(gòu)圖IT部門章程/權(quán)限IT規(guī)劃(戰(zhàn)略,戰(zhàn)術(shù))業(yè)務(wù)規(guī)劃IT指導(dǎo)委員會會議紀(jì)要政策、程序和標(biāo)準(zhǔn)服務(wù)級別協(xié)議(SLAs)培訓(xùn)計劃職位描述,43,IT流程:系統(tǒng)開發(fā),信息系統(tǒng)是如何開發(fā)的，以支持企業(yè)運營.相關(guān)風(fēng)險未滿足業(yè)務(wù)需求有瑕疵的業(yè)務(wù)案例延期實施范圍不確定（軟件基線）,44,審計方法:系統(tǒng)開發(fā),審計范圍項目所有者需求的提出和控制項目管理開發(fā)和測試數(shù)據(jù)轉(zhuǎn)換控制后實施,45,審計方法:系統(tǒng)開發(fā),訪談對象:CIOIT指導(dǎo)委員會成員項目指導(dǎo)委員會成員項目所有者項目經(jīng)理,46,審計方法:系統(tǒng)開發(fā),檢查內(nèi)容:IT規(guī)劃系統(tǒng)開發(fā)方法與硬件/軟件采購相關(guān)的政策和程序項目文檔(如：需求定義，可行性分析)與軟件采購、開發(fā)和維護(hù)相關(guān)的合同,47,IT流程:變更管理,IT變更是如何管理的，以確保完整性相關(guān)風(fēng)險非授權(quán)的變更請求未測試的變更非授權(quán)的變更實施,48,審計方法:變更管理,審計范圍所有者需求的提出和控制變更控制文檔和過程軟件發(fā)布政策,49,年度審計計劃:考慮的因素和批準(zhǔn),考慮的因素風(fēng)險高的可審計單元管理層的要求公司風(fēng)險管理委員會和審計委員會的指導(dǎo)外部審計年度審計計劃批準(zhǔn)第一層次:副總裁&總審計師（管理層）第二層次:審計委員會（董事會）,50,審計方法:變更管理,訪談對象CIOIT高級管理層應(yīng)用開發(fā)經(jīng)理質(zhì)量鑒定經(jīng)理IT運行經(jīng)理,51,審計方法:變更管理,檢查內(nèi)容:系統(tǒng)開發(fā)方法變更控制政策和程序變更需求表,52,IT流程:數(shù)據(jù)管理,數(shù)據(jù)是如何管理的，以確保完整和可用.相關(guān)風(fēng)險數(shù)據(jù)不準(zhǔn)確、過時或被破壞數(shù)據(jù)不可恢復(fù)數(shù)據(jù)的不適當(dāng)訪問,53,審計方法:數(shù)據(jù)管理,審計范圍數(shù)據(jù)所有者組織結(jié)構(gòu)計劃和開發(fā)系統(tǒng)管理安全備份/恢復(fù),54,審計方法:數(shù)據(jù)管理,訪談對象:IT高級管理層信息安全官員系統(tǒng)開發(fā)經(jīng)理數(shù)據(jù)庫存管理員數(shù)據(jù)所有者,55,審計方法:數(shù)據(jù)管理,檢查內(nèi)容:數(shù)據(jù)所有關(guān)系結(jié)構(gòu)數(shù)據(jù)模型與以下內(nèi)容相關(guān)的政策和程序:數(shù)據(jù)輸入授權(quán)數(shù)據(jù)處理輸出的分發(fā)數(shù)據(jù)庫維護(hù)和安全庫管理,56,IT流程:計算機(jī)操作運行,如何管理計算設(shè)備，以提供持續(xù)服務(wù).相關(guān)風(fēng)險處理延遲重新運行頻繁問題無法解決,57,審計方法:計算機(jī)操作運行,審計范圍組織結(jié)構(gòu)時間安排媒介控制備份/重新啟動/恢復(fù)容量規(guī)劃,58,審計方法:計算機(jī)操作運行,訪談對象:IT高級管理層IT運行經(jīng)理數(shù)據(jù)中心主管,59,審計方法:計算機(jī)操作運行,檢查的文件：組織結(jié)構(gòu)圖部門計劃職位描述服務(wù)級別協(xié)議(SLAs)與計算機(jī)處理相關(guān)的政策和程序工作安排人員備份/恢復(fù)問題管理磁帶管理,60,IT流程:物理安全/設(shè)備管理,相關(guān)風(fēng)險非授權(quán)訪問、使用公司資產(chǎn)或信息偷竊、損壞或毀損數(shù)據(jù)或設(shè)備不安全的工作環(huán)境,61,審計方法:物理安全/設(shè)備管理,審計范圍訪問控制環(huán)境災(zāi)難火災(zāi)控制電力供應(yīng)員工安全應(yīng)急程序維護(hù),62,審計方法:物理安全/設(shè)備管理,訪談對象:IT高級管理層IT設(shè)備經(jīng)理信息安全官運行/數(shù)據(jù)中心經(jīng)理,63,審計方法:物理安全/設(shè)備管理,檢查內(nèi)容:數(shù)據(jù)中心樓層計劃/分布IT用房的視查可接觸IT設(shè)備人員清單與物理安全、人員健康和安全、環(huán)境危害防護(hù)相關(guān)的政策和程序,64,IT流程:業(yè)務(wù)持續(xù)計劃（BCP）,如何確保持續(xù)的IT服務(wù)、當(dāng)需要時可得到，以及在出現(xiàn)重大中斷時對業(yè)務(wù)影響最小.相關(guān)風(fēng)險無法按照計劃恢復(fù)關(guān)鍵業(yè)務(wù)功能沒有足夠的資源完成或?qū)嵤┯媱澾^時和未測試的業(yè)務(wù)持續(xù)計劃第三方供貨商的支持不充分,65,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,審計范圍所有者業(yè)務(wù)影響評估恢復(fù)策略與業(yè)務(wù)的聯(lián)系維護(hù)測試,66,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,訪談對象:CIOIT高級管理層IT運行經(jīng)理信息安全官用戶管理層業(yè)務(wù)持續(xù)計劃（BCP）/災(zāi)難恢復(fù)計劃（DRP）小組災(zāi)難恢復(fù)地經(jīng)理,67,審計方法:業(yè)務(wù)持續(xù)計劃（BCP）,檢查內(nèi)容:BCP手冊BCP/DRP測試結(jié)果供貨商/維護(hù)合同業(yè)務(wù)中斷保單與持續(xù)計劃過程相關(guān)的政策和程序,68,IT流程:信息安全,信息是如何保護(hù)的，以確保其完整、保密和可用.相關(guān)風(fēng)險非授權(quán)訪問信息（內(nèi)部和外部）有意泄露信息,69,審計方法:信息安全,審計范圍政策和程序數(shù)據(jù)分級用戶添加、維護(hù)和刪除監(jiān)控密碼方案訪問級別安全環(huán)境,70,審計方法:信息安全,訪談對象:IT高級管理層信息安全官員應(yīng)用開發(fā)經(jīng)理數(shù)據(jù)管理員,71,審計方法:信息安全,檢查內(nèi)容信息安全政策和程序了解訪問控制軟件違反安全的報告IT資源訪問點(物理的/邏輯的)的設(shè)計安排具有訪問系統(tǒng)資源權(quán)限的雇員、供貨商、服務(wù)提供商的人員名單,72,IT流程:網(wǎng)絡(luò)管理,如何管理網(wǎng)絡(luò)，以確保其安全、高效運行和可用.相關(guān)風(fēng)險網(wǎng)絡(luò)低效率網(wǎng)絡(luò)無法恢復(fù)網(wǎng)絡(luò)問題無法解決,73,審計方法:網(wǎng)絡(luò)管理,審計范圍所有者組織結(jié)構(gòu)規(guī)劃和開發(fā)政策和程序網(wǎng)絡(luò)安全和管理恢復(fù)/重新啟動,74,審計方法:網(wǎng)絡(luò)管理,訪談對象:IT運行經(jīng)理網(wǎng)絡(luò)管理員信息安全官,75,審計方法:網(wǎng)絡(luò)管理,檢查內(nèi)容組織結(jié)構(gòu)圖部門計劃職位描述服務(wù)級別協(xié)議(SLAs)網(wǎng)絡(luò)體系結(jié)構(gòu)/配置與網(wǎng)絡(luò)管理相關(guān)的政策和程序,76,IT流程:應(yīng)用處理,系統(tǒng)如何實施，以確保經(jīng)授權(quán)的業(yè)務(wù)信息處理完全、準(zhǔn)確相關(guān)風(fēng)險：包括計算機(jī)操作運行、變更管理和信息安全風(fēng)險,77,審計方法:應(yīng)用處理