信息系統(tǒng)審計(jì)

1、cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 it治理與信息安全咨詢(xún)顧問(wèn)：陳偉 信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容 一、什么是審計(jì)？一、什么是審計(jì)？ 二、什么是信息系統(tǒng)審計(jì)？二、什么是信息系統(tǒng)審計(jì)？ 三、信息系統(tǒng)審計(jì)過(guò)程三、信息系統(tǒng)審計(jì)過(guò)程 四、信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)四、信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) 五、信息系統(tǒng)審計(jì)師五、信息系統(tǒng)審計(jì)師cisa簡(jiǎn)介簡(jiǎn)介 六、互動(dòng)討論六、互動(dòng)討論 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 一、什么是審計(jì)？ it auditing cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 1.1 審計(jì)的概念與歷史審計(jì)的概念與歷史

2、 n審計(jì)的定義審計(jì)的定義 n是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán)，對(duì)特定經(jīng)濟(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán)，對(duì)特定經(jīng)濟(jì) 實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀地收集和評(píng)價(jià)，以確定這些信實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀地收集和評(píng)價(jià)，以確定這些信 息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報(bào)告的一個(gè)系統(tǒng)的過(guò)息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報(bào)告的一個(gè)系統(tǒng)的過(guò) 程。程。 n對(duì)審計(jì)的理解對(duì)審計(jì)的理解 n審計(jì)主體：審計(jì)主體：“獨(dú)立機(jī)構(gòu)或人員獨(dú)立機(jī)構(gòu)或人員” n審計(jì)關(guān)系：審計(jì)關(guān)系：“接受委托或授權(quán)接受委托或授權(quán)” n審計(jì)對(duì)象：審計(jì)對(duì)象：“可計(jì)量的信息可計(jì)量的信息” n審計(jì)依據(jù)：審計(jì)依據(jù)：“既定

3、標(biāo)準(zhǔn)既定標(biāo)準(zhǔn)” n審計(jì)依據(jù)：審計(jì)依據(jù)：“既定標(biāo)準(zhǔn)既定標(biāo)準(zhǔn)” n審計(jì)工作：審計(jì)工作：“客觀地收集和評(píng)價(jià)證據(jù)客觀地收集和評(píng)價(jià)證據(jù)” n審計(jì)目標(biāo)：審計(jì)目標(biāo)：“確定這些信息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報(bào)告確定這些信息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報(bào)告” n審計(jì)過(guò)程：審計(jì)過(guò)程：“系統(tǒng)的過(guò)程系統(tǒng)的過(guò)程”-遵循邏輯順序、結(jié)構(gòu)嚴(yán)密的活動(dòng)。遵循邏輯順序、結(jié)構(gòu)嚴(yán)密的活動(dòng)。 n審計(jì)的性質(zhì)：獨(dú)立、客觀審計(jì)的性質(zhì)：獨(dú)立、客觀 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)領(lǐng)域?qū)徲?jì)領(lǐng)域 n審計(jì)所涉及的領(lǐng)域包含社會(huì)活動(dòng)的方方面面，它最關(guān)注的是風(fēng)險(xiǎn)，財(cái)務(wù)審計(jì)所涉及的領(lǐng)域包含社會(huì)活動(dòng)的方方面面，它最關(guān)注的

4、是風(fēng)險(xiǎn)，財(cái)務(wù) 風(fēng)險(xiǎn)只是其中的一部分，國(guó)家審計(jì)機(jī)關(guān)、會(huì)計(jì)師事務(wù)所的審計(jì)是財(cái)務(wù)報(bào)風(fēng)險(xiǎn)只是其中的一部分，國(guó)家審計(jì)機(jī)關(guān)、會(huì)計(jì)師事務(wù)所的審計(jì)是財(cái)務(wù)報(bào) 表審計(jì)，內(nèi)部審計(jì)是全方位的經(jīng)營(yíng)管理審計(jì)；表審計(jì)，內(nèi)部審計(jì)是全方位的經(jīng)營(yíng)管理審計(jì)； n在發(fā)達(dá)國(guó)家，企業(yè)管理人員甚至可以就業(yè)務(wù)經(jīng)營(yíng)管理的任何問(wèn)題咨詢(xún)審在發(fā)達(dá)國(guó)家，企業(yè)管理人員甚至可以就業(yè)務(wù)經(jīng)營(yíng)管理的任何問(wèn)題咨詢(xún)審 計(jì)師的意見(jiàn)；在我國(guó)，財(cái)務(wù)會(huì)計(jì)審計(jì)幾乎成了審計(jì)的全部，這與我國(guó)計(jì)師的意見(jiàn)；在我國(guó)，財(cái)務(wù)會(huì)計(jì)審計(jì)幾乎成了審計(jì)的全部，這與我國(guó) 審計(jì)事業(yè)目前所處的發(fā)展階段有關(guān)。審計(jì)事業(yè)目前所處的發(fā)展階段有關(guān)。 n中國(guó)國(guó)家審計(jì)署要求國(guó)家審計(jì)工作逐步做到財(cái)務(wù)收支審計(jì)項(xiàng)目和效益

5、審中國(guó)國(guó)家審計(jì)署要求國(guó)家審計(jì)工作逐步做到財(cái)務(wù)收支審計(jì)項(xiàng)目和效益審 計(jì)項(xiàng)目各占一半，由基于帳項(xiàng)的審計(jì)逐步向基于數(shù)據(jù)和基于風(fēng)險(xiǎn)的審計(jì)計(jì)項(xiàng)目各占一半，由基于帳項(xiàng)的審計(jì)逐步向基于數(shù)據(jù)和基于風(fēng)險(xiǎn)的審計(jì) 過(guò)渡。過(guò)渡。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)的產(chǎn)生審計(jì)的產(chǎn)生 n審計(jì)是社會(huì)生產(chǎn)發(fā)展到一定階段的產(chǎn)物。審計(jì)是社會(huì)生產(chǎn)發(fā)展到一定階段的產(chǎn)物。 n早在西周時(shí)期，我國(guó)就設(shè)有行使就地稽查職權(quán)的審計(jì)職能官早在西周時(shí)期，我國(guó)就設(shè)有行使就地稽查職權(quán)的審計(jì)職能官宰夫；宰夫； 在古埃及、古希臘和古羅馬帝國(guó)，都有對(duì)國(guó)家財(cái)政收支進(jìn)行監(jiān)督檢查在古埃及、古希臘和古羅馬帝國(guó)，都有對(duì)國(guó)家財(cái)政收支進(jìn)行監(jiān)督檢查 的審

6、計(jì)官員。的審計(jì)官員。 n16世紀(jì)意大利商業(yè)城市中出現(xiàn)了一批具有良好的會(huì)計(jì)知識(shí)、專(zhuān)門(mén)從事世紀(jì)意大利商業(yè)城市中出現(xiàn)了一批具有良好的會(huì)計(jì)知識(shí)、專(zhuān)門(mén)從事 這種查賬和公證工作的專(zhuān)業(yè)人員，他們所進(jìn)行的查賬與公證，可以說(shuō)這種查賬和公證工作的專(zhuān)業(yè)人員，他們所進(jìn)行的查賬與公證，可以說(shuō) 是注冊(cè)會(huì)計(jì)師審計(jì)的起源。是注冊(cè)會(huì)計(jì)師審計(jì)的起源。 n1853年，蘇格蘭愛(ài)丁堡創(chuàng)立了第一個(gè)注冊(cè)會(huì)計(jì)師的專(zhuān)業(yè)團(tuán)體年，蘇格蘭愛(ài)丁堡創(chuàng)立了第一個(gè)注冊(cè)會(huì)計(jì)師的專(zhuān)業(yè)團(tuán)體愛(ài)丁愛(ài)丁 堡會(huì)計(jì)師協(xié)會(huì)。該協(xié)會(huì)的成立，標(biāo)志著注冊(cè)會(huì)計(jì)師職業(yè)的誕生。堡會(huì)計(jì)師協(xié)會(huì)。該協(xié)會(huì)的成立，標(biāo)志著注冊(cè)會(huì)計(jì)師職業(yè)的誕生。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審

7、計(jì)在近代的發(fā)展審計(jì)在近代的發(fā)展 n從從18世紀(jì)下半葉到世紀(jì)下半葉到20世紀(jì)初，英國(guó)的法律規(guī)定了所有股份公司和銀世紀(jì)初，英國(guó)的法律規(guī)定了所有股份公司和銀 行必須聘請(qǐng)注冊(cè)會(huì)計(jì)師進(jìn)行審計(jì)，致使英國(guó)注冊(cè)會(huì)計(jì)師審計(jì)得到了迅行必須聘請(qǐng)注冊(cè)會(huì)計(jì)師進(jìn)行審計(jì)，致使英國(guó)注冊(cè)會(huì)計(jì)師審計(jì)得到了迅 速發(fā)展，并對(duì)當(dāng)時(shí)歐、美及亞洲等地區(qū)產(chǎn)生了重要影響。速發(fā)展，并對(duì)當(dāng)時(shí)歐、美及亞洲等地區(qū)產(chǎn)生了重要影響。 n1933年，美國(guó)年，美國(guó)證券法證券法規(guī)定，在證券交易所上市的企業(yè)的會(huì)計(jì)報(bào)規(guī)定，在證券交易所上市的企業(yè)的會(huì)計(jì)報(bào) 表必須接受注冊(cè)會(huì)計(jì)師審計(jì)，向社會(huì)公眾公布注冊(cè)會(huì)計(jì)師出具的審計(jì)表必須接受注冊(cè)會(huì)計(jì)師審計(jì)，向社會(huì)公眾公布注冊(cè)會(huì)計(jì)師出

8、具的審計(jì) 報(bào)告；報(bào)告； n在這一階段，世界各國(guó)的審計(jì)組織、審計(jì)制度、審計(jì)方法和技術(shù)都已在這一階段，世界各國(guó)的審計(jì)組織、審計(jì)制度、審計(jì)方法和技術(shù)都已 有了很大發(fā)展，形成了一門(mén)獨(dú)立的，具有自己的對(duì)象、任務(wù)和方法的有了很大發(fā)展，形成了一門(mén)獨(dú)立的，具有自己的對(duì)象、任務(wù)和方法的 經(jīng)濟(jì)監(jiān)督學(xué)科。經(jīng)濟(jì)監(jiān)督學(xué)科。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n在當(dāng)代，審計(jì)已擴(kuò)展企業(yè)風(fēng)險(xiǎn)控制的各個(gè)方面在當(dāng)代，審計(jì)已擴(kuò)展企業(yè)風(fēng)險(xiǎn)控制的各個(gè)方面 n20世紀(jì)世紀(jì)50年代以后，隨著西方資本主義經(jīng)濟(jì)的迅速發(fā)展，競(jìng)爭(zhēng)不斷年代以后，隨著西方資本主義經(jīng)濟(jì)的迅速發(fā)展，競(jìng)爭(zhēng)不斷 加劇，為了加強(qiáng)企業(yè)經(jīng)濟(jì)活動(dòng)的規(guī)劃和控制，專(zhuān)門(mén)為企

9、業(yè)內(nèi)部經(jīng)營(yíng)管加劇，為了加強(qiáng)企業(yè)經(jīng)濟(jì)活動(dòng)的規(guī)劃和控制，專(zhuān)門(mén)為企業(yè)內(nèi)部經(jīng)營(yíng)管 理服務(wù)的管理會(huì)計(jì)應(yīng)運(yùn)而生；理服務(wù)的管理會(huì)計(jì)應(yīng)運(yùn)而生； n因此現(xiàn)代審計(jì)從財(cái)務(wù)審計(jì)發(fā)展到管理審計(jì)；從鑒證會(huì)計(jì)資料的正確性因此現(xiàn)代審計(jì)從財(cái)務(wù)審計(jì)發(fā)展到管理審計(jì)；從鑒證會(huì)計(jì)資料的正確性 和合法性，又發(fā)展到評(píng)價(jià)企業(yè)經(jīng)營(yíng)管理和提高經(jīng)濟(jì)效益；從事后審計(jì)和合法性，又發(fā)展到評(píng)價(jià)企業(yè)經(jīng)營(yíng)管理和提高經(jīng)濟(jì)效益；從事后審計(jì) 又發(fā)展到事前審計(jì)，使審計(jì)的內(nèi)涵和外延向著縱深方向發(fā)展；又發(fā)展到事前審計(jì)，使審計(jì)的內(nèi)涵和外延向著縱深方向發(fā)展； n2002年美國(guó)國(guó)會(huì)發(fā)布了年美國(guó)國(guó)會(huì)發(fā)布了sox薩班斯薩班斯奧克斯利法案奧克斯利法案要求所有上要求所有上 市公司都必

10、須建立有效的內(nèi)部控制框架，掀開(kāi)了全球企業(yè)加強(qiáng)風(fēng)險(xiǎn)管市公司都必須建立有效的內(nèi)部控制框架，掀開(kāi)了全球企業(yè)加強(qiáng)風(fēng)險(xiǎn)管 理和內(nèi)部控制的序幕。理和內(nèi)部控制的序幕。 n2006年年6月中國(guó)國(guó)資委發(fā)布月中國(guó)國(guó)資委發(fā)布中央企業(yè)全面風(fēng)險(xiǎn)管理中央企業(yè)全面風(fēng)險(xiǎn)管理， 2006年年10 月財(cái)政部發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)，其目的是為推動(dòng)企業(yè)完月財(cái)政部發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)，其目的是為推動(dòng)企業(yè)完 善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制，善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制，中國(guó)式的中國(guó)式的sox法法即將出臺(tái)即將出臺(tái)。 隨著公司治理、企業(yè)風(fēng)險(xiǎn)管理理論的流 行，審計(jì)作為風(fēng)險(xiǎn)控制的重要手段，越來(lái)越 顯示其對(duì)企業(yè)不可或缺的作用。 cio時(shí)代

11、：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)師面臨的機(jī)會(huì)與挑戰(zhàn)審計(jì)師面臨的機(jī)會(huì)與挑戰(zhàn) n企業(yè)風(fēng)險(xiǎn)管理已成為保護(hù)企業(yè)核心競(jìng)爭(zhēng)力的有效手段，有效的風(fēng)險(xiǎn)管理企業(yè)風(fēng)險(xiǎn)管理已成為保護(hù)企業(yè)核心競(jìng)爭(zhēng)力的有效手段，有效的風(fēng)險(xiǎn)管理 將是未來(lái)企業(yè)發(fā)展的主旋律；將是未來(lái)企業(yè)發(fā)展的主旋律； n負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)保證任務(wù)的審計(jì)部門(mén)及審計(jì)師將面臨巨大的挑戰(zhàn)，但也面負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)保證任務(wù)的審計(jì)部門(mén)及審計(jì)師將面臨巨大的挑戰(zhàn)，但也面 臨著眾多的機(jī)會(huì)。臨著眾多的機(jī)會(huì)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 1.2 審計(jì)的分類(lèi)審計(jì)的分類(lèi) n按審計(jì)主體分類(lèi)按審計(jì)主體分類(lèi) n政府審計(jì)政府審計(jì) n內(nèi)部審計(jì)內(nèi)部審計(jì) n注冊(cè)會(huì)計(jì)師審計(jì)注冊(cè)

12、會(huì)計(jì)師審計(jì) n按審計(jì)目的和內(nèi)容分類(lèi)按審計(jì)目的和內(nèi)容分類(lèi) n財(cái)務(wù)報(bào)表審計(jì)財(cái)務(wù)報(bào)表審計(jì) n經(jīng)營(yíng)管理審計(jì)經(jīng)營(yíng)管理審計(jì) n合規(guī)性審計(jì)合規(guī)性審計(jì) n司法取證審計(jì)司法取證審計(jì) n信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì) 信息系統(tǒng)審計(jì)的特殊性：信息系統(tǒng)審計(jì)的特殊性： u信息系統(tǒng)審計(jì)師可以經(jīng)常從不同的方面來(lái) 評(píng)估it系統(tǒng)與功能，比如：安全、質(zhì)量、服 務(wù)、效率、可靠性及能力等。 u由于審計(jì)對(duì)象的特殊性，信息系統(tǒng)審計(jì)在 實(shí)施審計(jì)時(shí)，還要理解和掌握測(cè)試和評(píng)估信 息系統(tǒng)控制的方法 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n按審計(jì)的發(fā)展模式分類(lèi)按審計(jì)的發(fā)展模式分類(lèi) n賬項(xiàng)基礎(chǔ)審計(jì)賬項(xiàng)基礎(chǔ)審計(jì) n制度基礎(chǔ)審計(jì)制度基礎(chǔ)審計(jì) n數(shù)據(jù)

13、基礎(chǔ)審計(jì)數(shù)據(jù)基礎(chǔ)審計(jì) n風(fēng)險(xiǎn)基礎(chǔ)審計(jì)風(fēng)險(xiǎn)基礎(chǔ)審計(jì) n其他分類(lèi)其他分類(lèi) n按與被審計(jì)單位關(guān)系分類(lèi)：可分為內(nèi)部審計(jì)和外部審計(jì)；按與被審計(jì)單位關(guān)系分類(lèi)：可分為內(nèi)部審計(jì)和外部審計(jì)； n按審計(jì)范圍分類(lèi)：可分為全面審計(jì)和局部審計(jì)，綜合審計(jì)和按審計(jì)范圍分類(lèi)：可分為全面審計(jì)和局部審計(jì)，綜合審計(jì)和 專(zhuān)題審計(jì)；專(zhuān)題審計(jì)； n按施行時(shí)間分類(lèi)：可分為事前、事中和事后審計(jì)，定期和不按施行時(shí)間分類(lèi)：可分為事前、事中和事后審計(jì)，定期和不 定期審計(jì)，期中和期末審計(jì)；定期審計(jì)，期中和期末審計(jì)； n按可選擇性的角度分類(lèi)：可分為強(qiáng)制性審計(jì)和任意審計(jì)。按可選擇性的角度分類(lèi)：可分為強(qiáng)制性審計(jì)和任意審計(jì)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代

14、：引領(lǐng)中國(guó)信息化 1.3 審計(jì)執(zhí)業(yè)規(guī)范體系審計(jì)執(zhí)業(yè)規(guī)范體系 n什么是執(zhí)業(yè)規(guī)范體系什么是執(zhí)業(yè)規(guī)范體系 n指導(dǎo)審計(jì)人員科學(xué)合理進(jìn)行工作的標(biāo)準(zhǔn)，亦是衡量審計(jì)機(jī)指導(dǎo)審計(jì)人員科學(xué)合理進(jìn)行工作的標(biāo)準(zhǔn)，亦是衡量審計(jì)機(jī) 構(gòu)與人員素質(zhì)及工作質(zhì)量的準(zhǔn)繩。構(gòu)與人員素質(zhì)及工作質(zhì)量的準(zhǔn)繩。 n世界各國(guó)都制定了不同的審計(jì)準(zhǔn)則體系。審計(jì)準(zhǔn)則按審計(jì)世界各國(guó)都制定了不同的審計(jì)準(zhǔn)則體系。審計(jì)準(zhǔn)則按審計(jì) 主體分為：主體分為： n政府審計(jì)準(zhǔn)則政府審計(jì)準(zhǔn)則 n注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則 n內(nèi)部審計(jì)準(zhǔn)則內(nèi)部審計(jì)準(zhǔn)則 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 1.4 審計(jì)機(jī)構(gòu)審計(jì)機(jī)構(gòu) n政府審計(jì)機(jī)構(gòu)政府審計(jì)機(jī)構(gòu) n政府審計(jì)

15、機(jī)構(gòu)的隸屬模式政府審計(jì)機(jī)構(gòu)的隸屬模式 n立法模式立法模式 國(guó)家審計(jì)機(jī)構(gòu)隸屬于立法機(jī)構(gòu)，直接對(duì)議會(huì)負(fù)責(zé)并向議會(huì)報(bào)告審國(guó)家審計(jì)機(jī)構(gòu)隸屬于立法機(jī)構(gòu)，直接對(duì)議會(huì)負(fù)責(zé)并向議會(huì)報(bào)告審 計(jì)結(jié)果。代表性的國(guó)家是美國(guó)。計(jì)結(jié)果。代表性的國(guó)家是美國(guó)。 n司法模式司法模式 司法型的政府審計(jì)制度的特點(diǎn)是在政府審計(jì)機(jī)構(gòu)內(nèi)部設(shè)立司法部司法型的政府審計(jì)制度的特點(diǎn)是在政府審計(jì)機(jī)構(gòu)內(nèi)部設(shè)立司法部 門(mén)，國(guó)家審計(jì)擁有有限司法權(quán)，從而強(qiáng)化了政府審計(jì)職能。西歐大陸、非洲門(mén)，國(guó)家審計(jì)擁有有限司法權(quán)，從而強(qiáng)化了政府審計(jì)職能。西歐大陸、非洲 和南美洲一些國(guó)家采用。和南美洲一些國(guó)家采用。 n行政模式行政模式特點(diǎn)是審計(jì)部門(mén)是國(guó)家行政部門(mén)的一個(gè)組成

16、部分。主要有中國(guó)、特點(diǎn)是審計(jì)部門(mén)是國(guó)家行政部門(mén)的一個(gè)組成部分。主要有中國(guó)、 東歐和北歐的瑞典等國(guó)家。東歐和北歐的瑞典等國(guó)家。 n獨(dú)立模式獨(dú)立模式特點(diǎn)是政府審計(jì)機(jī)構(gòu)獨(dú)立于立法權(quán)、司法權(quán)和行政權(quán)之外單獨(dú)設(shè)特點(diǎn)是政府審計(jì)機(jī)構(gòu)獨(dú)立于立法權(quán)、司法權(quán)和行政權(quán)之外單獨(dú)設(shè) 置，形成國(guó)家政權(quán)體系的一個(gè)分支。目前具有代表性的國(guó)家當(dāng)推日本。置，形成國(guó)家政權(quán)體系的一個(gè)分支。目前具有代表性的國(guó)家當(dāng)推日本。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n國(guó)際政府審計(jì)組織國(guó)際政府審計(jì)組織 n最高審計(jì)機(jī)關(guān)國(guó)際組織最高審計(jì)機(jī)關(guān)國(guó)際組織(the international orgnization of supreme aud

17、it institutions，intosai) ，是由聯(lián)合國(guó)成員國(guó)的最高審計(jì)機(jī)關(guān)組成的國(guó)際性是由聯(lián)合國(guó)成員國(guó)的最高審計(jì)機(jī)關(guān)組成的國(guó)際性 組織，宗旨是促進(jìn)最高審計(jì)機(jī)關(guān)之間在政府審計(jì)領(lǐng)域內(nèi)的審計(jì)準(zhǔn)則、方法組織，宗旨是促進(jìn)最高審計(jì)機(jī)關(guān)之間在政府審計(jì)領(lǐng)域內(nèi)的審計(jì)準(zhǔn)則、方法 和技術(shù)的交流和技術(shù)的交流 n我國(guó)的政府審計(jì)機(jī)構(gòu)我國(guó)的政府審計(jì)機(jī)構(gòu) n我國(guó)實(shí)行的是行政審計(jì)模式，我國(guó)政府的審計(jì)機(jī)構(gòu)共分四級(jí)：審計(jì)署，各省、自治我國(guó)實(shí)行的是行政審計(jì)模式，我國(guó)政府的審計(jì)機(jī)構(gòu)共分四級(jí)：審計(jì)署，各省、自治 區(qū)、直轄市審計(jì)區(qū)、直轄市審計(jì)(廳廳)局，省轄市、自治州、盟、行政公署局，省轄市、自治州、盟、行政公署(省人民政府派出機(jī)

18、關(guān)省人民政府派出機(jī)關(guān))審計(jì)審計(jì) 局，縣、旗、縣局，縣、旗、縣(市市)級(jí)審計(jì)局。級(jí)審計(jì)局。 n我國(guó)各級(jí)審計(jì)機(jī)關(guān)實(shí)行統(tǒng)一領(lǐng)導(dǎo)，分級(jí)審計(jì)，雙重管理體制。我國(guó)各級(jí)審計(jì)機(jī)關(guān)實(shí)行統(tǒng)一領(lǐng)導(dǎo)，分級(jí)審計(jì)，雙重管理體制。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n內(nèi)部審計(jì)機(jī)構(gòu)內(nèi)部審計(jì)機(jī)構(gòu) n內(nèi)部審計(jì)的組織形式內(nèi)部審計(jì)的組織形式 n在公司管理部門(mén)之上，董事會(huì)之下，設(shè)立內(nèi)部審計(jì)組織。這些內(nèi)部審計(jì)織中在公司管理部門(mén)之上，董事會(huì)之下，設(shè)立內(nèi)部審計(jì)組織。這些內(nèi)部審計(jì)織中 的人員必須由不參加日常管理工作的董事會(huì)成員來(lái)?yè)?dān)任，以便內(nèi)部審計(jì)工作的人員必須由不參加日常管理工作的董事會(huì)成員來(lái)?yè)?dān)任，以便內(nèi)部審計(jì)工作 在企業(yè)中有高

19、度的獨(dú)立性。美國(guó)上市公司中的內(nèi)部審計(jì)就屬于這一類(lèi)型。在企業(yè)中有高度的獨(dú)立性。美國(guó)上市公司中的內(nèi)部審計(jì)就屬于這一類(lèi)型。 n在總經(jīng)理直接領(lǐng)導(dǎo)下，各職能管理部門(mén)之上設(shè)置內(nèi)部審計(jì)部門(mén)，幫助總經(jīng)理在總經(jīng)理直接領(lǐng)導(dǎo)下，各職能管理部門(mén)之上設(shè)置內(nèi)部審計(jì)部門(mén)，幫助總經(jīng)理 執(zhí)行日常監(jiān)督工作，有一定獨(dú)立性。我國(guó)的企業(yè)大部分采用這一組織形式。執(zhí)行日常監(jiān)督工作，有一定獨(dú)立性。我國(guó)的企業(yè)大部分采用這一組織形式。 n在財(cái)務(wù)部門(mén)內(nèi)部設(shè)置審計(jì)組織，隸屬于財(cái)務(wù)部門(mén)領(lǐng)導(dǎo)。主要對(duì)會(huì)計(jì)記錄、日在財(cái)務(wù)部門(mén)內(nèi)部設(shè)置審計(jì)組織，隸屬于財(cái)務(wù)部門(mén)領(lǐng)導(dǎo)。主要對(duì)會(huì)計(jì)記錄、日 常核算工作等進(jìn)行監(jiān)督，獨(dú)立性與權(quán)威性均較低。常核算工作等進(jìn)行監(jiān)督，獨(dú)立性與權(quán)

20、威性均較低。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n內(nèi)部審計(jì)的國(guó)際組織內(nèi)部審計(jì)的國(guó)際組織 n國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)(institute of internal auditor，iia)是一個(gè)國(guó)際性?xún)?nèi)部審計(jì)是一個(gè)國(guó)際性?xún)?nèi)部審計(jì) 學(xué)術(shù)團(tuán)體，成立于學(xué)術(shù)團(tuán)體，成立于1941年，該協(xié)會(huì)的宗旨是為會(huì)員完成各項(xiàng)專(zhuān)業(yè)職責(zé)和促進(jìn)內(nèi)年，該協(xié)會(huì)的宗旨是為會(huì)員完成各項(xiàng)專(zhuān)業(yè)職責(zé)和促進(jìn)內(nèi) 部審計(jì)事業(yè)的發(fā)展提供服務(wù)。部審計(jì)事業(yè)的發(fā)展提供服務(wù)。 n iia在全球的會(huì)員人數(shù)為在全球的會(huì)員人數(shù)為10.7萬(wàn)人，目前獲得萬(wàn)人，目前獲得cia資格的內(nèi)部審計(jì)師已超過(guò)資格的內(nèi)部審計(jì)師已超過(guò)5萬(wàn)人。萬(wàn)人。 n我國(guó)的

21、內(nèi)部審計(jì)機(jī)構(gòu)我國(guó)的內(nèi)部審計(jì)機(jī)構(gòu) n我國(guó)的內(nèi)部審計(jì)機(jī)構(gòu)目前大多數(shù)采用的是總經(jīng)理領(lǐng)導(dǎo)模式，即在本單位主要負(fù)責(zé)我國(guó)的內(nèi)部審計(jì)機(jī)構(gòu)目前大多數(shù)采用的是總經(jīng)理領(lǐng)導(dǎo)模式，即在本單位主要負(fù)責(zé) 人的領(lǐng)導(dǎo)下，設(shè)置獨(dú)立的、與其他職能部門(mén)平行的內(nèi)部審計(jì)機(jī)構(gòu)。人的領(lǐng)導(dǎo)下，設(shè)置獨(dú)立的、與其他職能部門(mén)平行的內(nèi)部審計(jì)機(jī)構(gòu)。 n1989年年12月，審計(jì)署發(fā)布了月，審計(jì)署發(fā)布了關(guān)于內(nèi)部審計(jì)工作的規(guī)定關(guān)于內(nèi)部審計(jì)工作的規(guī)定，使內(nèi)部審計(jì)工作的，使內(nèi)部審計(jì)工作的 開(kāi)展有了法規(guī)依據(jù)。開(kāi)展有了法規(guī)依據(jù)。1995年年1月月1日實(shí)施的日實(shí)施的中華人民共和國(guó)審計(jì)法中華人民共和國(guó)審計(jì)法規(guī)定了哪規(guī)定了哪 些部門(mén)、組織和單位應(yīng)按規(guī)定建立、健全內(nèi)部審計(jì)

22、制度，從而為我國(guó)建立內(nèi)部審些部門(mén)、組織和單位應(yīng)按規(guī)定建立、健全內(nèi)部審計(jì)制度，從而為我國(guó)建立內(nèi)部審 計(jì)提供了法律依據(jù)。計(jì)提供了法律依據(jù)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n注冊(cè)會(huì)計(jì)師審計(jì)機(jī)構(gòu)注冊(cè)會(huì)計(jì)師審計(jì)機(jī)構(gòu) n會(huì)計(jì)師事務(wù)所會(huì)計(jì)師事務(wù)所 n國(guó)際會(huì)計(jì)師事務(wù)所國(guó)際會(huì)計(jì)師事務(wù)所“四大四大” 畢馬威畢馬威(kpmg)、安永、安永(ernst n我國(guó)的會(huì)計(jì)師事務(wù)所我國(guó)的會(huì)計(jì)師事務(wù)所注冊(cè)會(huì)計(jì)師法注冊(cè)會(huì)計(jì)師法規(guī)定會(huì)計(jì)師事務(wù)所只能采用規(guī)定會(huì)計(jì)師事務(wù)所只能采用 合伙制或有限責(zé)任制的形式合伙制或有限責(zé)任制的形式,由主任會(huì)計(jì)師、副主任會(huì)計(jì)師、部門(mén)經(jīng)由主任會(huì)計(jì)師、副主任會(huì)計(jì)師、部門(mén)經(jīng) 理、注冊(cè)會(huì)計(jì)師、業(yè)

23、務(wù)助理人員和其他工作人員組成。實(shí)現(xiàn)理、注冊(cè)會(huì)計(jì)師、業(yè)務(wù)助理人員和其他工作人員組成。實(shí)現(xiàn)主主任會(huì)計(jì)任會(huì)計(jì) 師負(fù)責(zé)制，主任會(huì)計(jì)師是事務(wù)所的法定代表，并且必須是注冊(cè)會(huì)計(jì)師。師負(fù)責(zé)制，主任會(huì)計(jì)師是事務(wù)所的法定代表，并且必須是注冊(cè)會(huì)計(jì)師。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)人員的資格考試審計(jì)人員的資格考試 n政府審計(jì)人員的資格及相關(guān)考試政府審計(jì)人員的資格及相關(guān)考試 n申請(qǐng)政府審計(jì)人員職稱(chēng)考試時(shí)，資格審查與考試程序并不復(fù)雜。一般只要確申請(qǐng)政府審計(jì)人員職稱(chēng)考試時(shí)，資格審查與考試程序并不復(fù)雜。一般只要確 認(rèn)其學(xué)歷，并通過(guò)三四門(mén)的專(zhuān)業(yè)考試，就可獲得如審計(jì)師這樣的職稱(chēng)。認(rèn)其學(xué)歷，并通過(guò)三四門(mén)的

24、專(zhuān)業(yè)考試，就可獲得如審計(jì)師這樣的職稱(chēng)。 n注冊(cè)會(huì)計(jì)師的資格審查及相關(guān)考試注冊(cè)會(huì)計(jì)師的資格審查及相關(guān)考試 cpa ncpa考試科目為五科：會(huì)計(jì)、財(cái)務(wù)成本管理、審計(jì)、經(jīng)濟(jì)法和稅法?？荚嚳颇繛槲蹇疲簳?huì)計(jì)、財(cái)務(wù)成本管理、審計(jì)、經(jīng)濟(jì)法和稅法。 通過(guò)注冊(cè)會(huì)計(jì)師考試全科成績(jī)合格的，均可取得注冊(cè)會(huì)計(jì)師資格，申通過(guò)注冊(cè)會(huì)計(jì)師考試全科成績(jī)合格的，均可取得注冊(cè)會(huì)計(jì)師資格，申 請(qǐng)加入注冊(cè)會(huì)計(jì)師協(xié)會(huì)成為非執(zhí)業(yè)會(huì)員，但不能執(zhí)業(yè)。要獲得執(zhí)業(yè)資請(qǐng)加入注冊(cè)會(huì)計(jì)師協(xié)會(huì)成為非執(zhí)業(yè)會(huì)員，但不能執(zhí)業(yè)。要獲得執(zhí)業(yè)資 格，必須在一家會(huì)計(jì)師事務(wù)所從事審計(jì)工作兩年以上并符合其他審批格，必須在一家會(huì)計(jì)師事務(wù)所從事審計(jì)工作兩年以上并符合其他審批

25、條件。只有經(jīng)批準(zhǔn)注冊(cè)后，發(fā)給財(cái)政部統(tǒng)一印制的注冊(cè)會(huì)計(jì)師證書(shū)，條件。只有經(jīng)批準(zhǔn)注冊(cè)后，發(fā)給財(cái)政部統(tǒng)一印制的注冊(cè)會(huì)計(jì)師證書(shū)， 方可執(zhí)行注冊(cè)會(huì)計(jì)師業(yè)務(wù)。方可執(zhí)行注冊(cè)會(huì)計(jì)師業(yè)務(wù)。 n內(nèi)部審計(jì)人員的資格審查及相關(guān)考試內(nèi)部審計(jì)人員的資格審查及相關(guān)考試 cia ncia考試科目共計(jì)四門(mén)，分別為內(nèi)部審計(jì)在治理、風(fēng)險(xiǎn)和控制中的作考試科目共計(jì)四門(mén)，分別為內(nèi)部審計(jì)在治理、風(fēng)險(xiǎn)和控制中的作 用，實(shí)施內(nèi)部審計(jì)業(yè)務(wù)，經(jīng)營(yíng)分析和信息技術(shù)，經(jīng)營(yíng)管理技術(shù)。用，實(shí)施內(nèi)部審計(jì)業(yè)務(wù)，經(jīng)營(yíng)分析和信息技術(shù)，經(jīng)營(yíng)管理技術(shù)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 二、什么是信息系統(tǒng)審計(jì)？ it auditing cio時(shí)代：引領(lǐng)中

26、國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nit風(fēng)險(xiǎn)已逐漸成為組織的重要風(fēng)險(xiǎn)風(fēng)險(xiǎn)已逐漸成為組織的重要風(fēng)險(xiǎn) n隨著隨著it技術(shù)的快速發(fā)展與應(yīng)用的深入，技術(shù)的快速發(fā)展與應(yīng)用的深入，企業(yè)對(duì)企業(yè)對(duì)it系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng)系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng) 的同時(shí)，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅；的同時(shí)，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅； n現(xiàn)代企業(yè)現(xiàn)代企業(yè)it系統(tǒng)的停機(jī)可能會(huì)造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競(jìng)爭(zhēng)系統(tǒng)的停機(jī)可能會(huì)造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競(jìng)爭(zhēng) 優(yōu)勢(shì)喪失；優(yōu)勢(shì)喪失； nit項(xiàng)目的高投入和高失敗率，使得企業(yè)無(wú)法實(shí)現(xiàn)其預(yù)期的創(chuàng)新與利益，項(xiàng)目的高投入和高失敗率，使得企業(yè)無(wú)法實(shí)現(xiàn)其預(yù)期的創(chuàng)新與利益，

27、 不能實(shí)現(xiàn)對(duì)不能實(shí)現(xiàn)對(duì)it的投資回報(bào)，或者不通對(duì)投資回報(bào)進(jìn)行測(cè)量；的投資回報(bào)，或者不通對(duì)投資回報(bào)進(jìn)行測(cè)量； n在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢(shì)中，在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢(shì)中，it越來(lái)越充當(dāng)重要角色，越來(lái)越充當(dāng)重要角色，it 不僅要為業(yè)務(wù)的風(fēng)險(xiǎn)控制提供保障環(huán)境，而且其自身的風(fēng)險(xiǎn)控制也倍受不僅要為業(yè)務(wù)的風(fēng)險(xiǎn)控制提供保障環(huán)境，而且其自身的風(fēng)險(xiǎn)控制也倍受 關(guān)注關(guān)注 2.1 信息系統(tǒng)審計(jì)的產(chǎn)生背景信息系統(tǒng)審計(jì)的產(chǎn)生背景 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nit審計(jì)是控制信息化的風(fēng)險(xiǎn)的制度安排審計(jì)是控制信息化的風(fēng)險(xiǎn)的制度安排 n決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是

28、制度、組織決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織 結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。 n信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息 系統(tǒng)建設(shè)成功的重要保證。系統(tǒng)建設(shè)成功的重要保證。 n應(yīng)該逐步完善企業(yè)的應(yīng)該逐步完善企業(yè)的it治理機(jī)制，實(shí)現(xiàn)治理機(jī)制，實(shí)現(xiàn)it與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營(yíng)、信息與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營(yíng)、信息 安全的深度融合。安全的深度融合。 n這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價(jià)值并保護(hù)持續(xù)性，另一方面控制信這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價(jià)值并保護(hù)持續(xù)性，另一方面控制

29、信 息化的風(fēng)險(xiǎn)與降低成本。息化的風(fēng)險(xiǎn)與降低成本。 n構(gòu)筑信息時(shí)代新的構(gòu)筑信息時(shí)代新的“游戲規(guī)則游戲規(guī)則”，“規(guī)則規(guī)則”是是“游戲游戲”是重要組成部分。是重要組成部分。 建立信息系統(tǒng)審計(jì)制度是建立信 息化“游戲規(guī)則”的重要組成部分。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n信息系統(tǒng)審計(jì)的定義信息系統(tǒng)審計(jì)的定義 n國(guó)際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威國(guó)際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威ron weber的定義：的定義： n收集與評(píng)估證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)收集與評(píng)估證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng)信息系統(tǒng))是否有效做到是否有效做到 保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)地使用資源。保護(hù)資產(chǎn)、

30、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)地使用資源。 nisaca定義：定義： n信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠 保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效 果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。 2.2 信息系統(tǒng)審計(jì)的概念與歷史信息系統(tǒng)審計(jì)的概念與歷史 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n信息系統(tǒng)審計(jì)國(guó)際組織信息系統(tǒng)審計(jì)國(guó)際組織isaca n1969年美國(guó)洛杉磯成立了電子數(shù)據(jù)審計(jì)師協(xié)會(huì)年美國(guó)洛杉磯成立了電子數(shù)據(jù)審

31、計(jì)師協(xié)會(huì)(edpaa) n1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(isaca information system audit and control associration),總部在芝加哥?？偛吭谥ゼ痈纭?nisaca制訂信息系統(tǒng)審計(jì)準(zhǔn)則、實(shí)務(wù)指南等專(zhuān)業(yè)規(guī)范來(lái)指導(dǎo)信息系統(tǒng)審計(jì)師的制訂信息系統(tǒng)審計(jì)準(zhǔn)則、實(shí)務(wù)指南等專(zhuān)業(yè)規(guī)范來(lái)指導(dǎo)信息系統(tǒng)審計(jì)師的 工作，每年為通過(guò)考試為從業(yè)人員頒發(fā)工作，每年為通過(guò)考試為從業(yè)人員頒發(fā)cisa、cism證書(shū)，證書(shū)，cisa資格在世界各資格在世界各 國(guó)被廣泛認(rèn)可。國(guó)被廣泛認(rèn)可。 n isaca在在100多個(gè)國(guó)家，設(shè)有多個(gè)國(guó)家，

32、設(shè)有170多個(gè)分會(huì)，現(xiàn)有會(huì)員超過(guò)多個(gè)分會(huì)，現(xiàn)有會(huì)員超過(guò)6萬(wàn)萬(wàn)5千人，認(rèn)證信千人，認(rèn)證信 息系統(tǒng)審計(jì)師息系統(tǒng)審計(jì)師cisa超過(guò)超過(guò)5萬(wàn)人。萬(wàn)人。 nit治理研究院治理研究院(itgi)組織各種專(zhuān)項(xiàng)研究，制定和發(fā)布了組織各種專(zhuān)項(xiàng)研究，制定和發(fā)布了it控制與審計(jì)標(biāo)準(zhǔn)控制與審計(jì)標(biāo)準(zhǔn) cobit； n信息系統(tǒng)審計(jì)與控制基金會(huì)（信息系統(tǒng)審計(jì)與控制基金會(huì)（isacf）接受捐贈(zèng)、管理財(cái)務(wù)事宜。）接受捐贈(zèng)、管理財(cái)務(wù)事宜。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nisaca的重要貢獻(xiàn)之一：的重要貢獻(xiàn)之一：it治理及治理及cobit cobit框架 控制目標(biāo) 控制實(shí)務(wù) 審計(jì)指南

33、實(shí)施指南 管理指南 it治理總論 practices responsibilities executives -評(píng)價(jià)評(píng)價(jià)規(guī)定的控制的適宜性; -評(píng)估評(píng)估符合性，通過(guò)測(cè)試規(guī)定的控制是否按規(guī)定、 一致的、持續(xù)的起作用; -證實(shí)證實(shí)，通過(guò)分析技術(shù)和/或咨詢(xún)可選的來(lái)源，證 實(shí)控制目標(biāo)的風(fēng)險(xiǎn)不存在。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)步驟一：確定與記錄審計(jì)步驟一：確定與記錄 n目標(biāo)：目標(biāo)： n為了使審計(jì)師能夠熟悉為了使審計(jì)師能夠熟悉審計(jì)目標(biāo)審計(jì)目標(biāo)所涉及的所涉及的任務(wù)任務(wù)，并且了解信息系統(tǒng)管理層人，并且了解信息系統(tǒng)管理層人 員是如何確認(rèn)他們己實(shí)施了有效的控制，包括識(shí)別出與實(shí)施的員是如

34、何確認(rèn)他們己實(shí)施了有效的控制，包括識(shí)別出與實(shí)施的任務(wù)任務(wù)和和規(guī)定的規(guī)定的 控制程序控制程序相關(guān)的人員、過(guò)程和地點(diǎn)。相關(guān)的人員、過(guò)程和地點(diǎn)。 n流程：流程： cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)步驟二：評(píng)估審計(jì)步驟二：評(píng)估 n目標(biāo)：目標(biāo)： n通過(guò)評(píng)估通過(guò)評(píng)估規(guī)定的控制程序規(guī)定的控制程序，以決定此程序是否提供了有效的控制結(jié)構(gòu)。評(píng)估時(shí)要，以決定此程序是否提供了有效的控制結(jié)構(gòu)。評(píng)估時(shí)要 利用己確定的準(zhǔn)則、行業(yè)標(biāo)準(zhǔn)及必要的審計(jì)判斷。利用己確定的準(zhǔn)則、行業(yè)標(biāo)準(zhǔn)及必要的審計(jì)判斷。 n一個(gè)有效的控制結(jié)構(gòu)應(yīng)當(dāng)考慮成本有效性，要對(duì)一個(gè)有效的控制結(jié)構(gòu)應(yīng)當(dāng)考慮成本有效性，要對(duì)任務(wù)任務(wù)己被執(zhí)行、己被執(zhí)

35、行、控制目標(biāo)控制目標(biāo)己達(dá)到己達(dá)到 提供合理保證。提供合理保證。 n流程：流程： cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)步驟三：符合性測(cè)試審計(jì)步驟三：符合性測(cè)試 n目標(biāo)：目標(biāo)： n對(duì)組織符合對(duì)組織符合規(guī)定的控制程序規(guī)定的控制程序的程度進(jìn)行分析，把的程度進(jìn)行分析，把實(shí)際的控制程序?qū)嶋H的控制程序及及 補(bǔ)償性控制措施補(bǔ)償性控制措施與與規(guī)定的控制程序規(guī)定的控制程序進(jìn)行對(duì)比，并進(jìn)行文檔檢查、會(huì)進(jìn)行對(duì)比，并進(jìn)行文檔檢查、會(huì) 晤相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實(shí)施。只對(duì)被證明晤相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實(shí)施。只對(duì)被證明 有效的控制程序進(jìn)行符合性測(cè)試。有效的控制程序進(jìn)行符合

36、性測(cè)試。 n流程：流程： cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)步驟四：實(shí)質(zhì)性測(cè)試審計(jì)步驟四：實(shí)質(zhì)性測(cè)試 n目標(biāo)：目標(biāo)： n進(jìn)行必要的數(shù)據(jù)測(cè)試，就給定的業(yè)務(wù)目標(biāo)是否己達(dá)到，為管理進(jìn)行必要的數(shù)據(jù)測(cè)試，就給定的業(yè)務(wù)目標(biāo)是否己達(dá)到，為管理 層提供最終的保證。層提供最終的保證。 n流程：流程： cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n現(xiàn)場(chǎng)審計(jì)步驟現(xiàn)場(chǎng)審計(jì)步驟 n預(yù)審計(jì)計(jì)劃預(yù)審計(jì)計(jì)劃 n首次會(huì)議首次會(huì)議 n資料收集資料收集 n實(shí)地檢查重要設(shè)備與流程實(shí)地檢查重要設(shè)備與流程 n符合性測(cè)試、實(shí)質(zhì)性測(cè)試符合性測(cè)試、實(shí)質(zhì)性測(cè)試 ncsa工作組評(píng)審，得出結(jié)論工作組評(píng)審，得出結(jié)論 n與被審計(jì)

37、方進(jìn)行溝通與被審計(jì)方進(jìn)行溝通 n擬定審計(jì)報(bào)告擬定審計(jì)報(bào)告 首首次次會(huì)會(huì)議議 現(xiàn)現(xiàn)場(chǎng)場(chǎng)審審核核 每每日日審審核核組組 內(nèi)內(nèi)部部會(huì)會(huì)議議 確確定定不不符符合合項(xiàng)項(xiàng) 并并編編寫(xiě)寫(xiě)不不符符合合報(bào)報(bào)告告 審審核核組組 分分析析總總結(jié)結(jié) 未未次次會(huì)會(huì)議議 宣宣布布審審核核結(jié)結(jié)果果 簡(jiǎn)簡(jiǎn)要要介介紹紹、建建立立聯(lián)聯(lián)系系、落落實(shí)實(shí) 資資源源、確確定定時(shí)時(shí)間間 收收集集審審核核證證據(jù)據(jù)、審審核核控控制制、 審審核核發(fā)發(fā)現(xiàn)現(xiàn)、現(xiàn)現(xiàn)場(chǎng)場(chǎng)審審核核記記錄錄 交交流流情情況況、整整理理結(jié)結(jié)果果、 工工作作安安排排 確確定定不不符符合合原原則則、類(lèi)類(lèi)型型，編編 寫(xiě)寫(xiě)不不符符合合報(bào)報(bào)告告 確確定定所所有有不不符符合合報(bào)報(bào)告告、

38、 審審核核結(jié)結(jié)果果的的匯匯總總分分析析 介介紹紹審審核核發(fā)發(fā)現(xiàn)現(xiàn)、宣宣布布審審 核核結(jié)結(jié)果果、提提出出后后續(xù)續(xù)工工作作 要要求求、宣宣布布結(jié)結(jié)束束現(xiàn)現(xiàn)場(chǎng)場(chǎng)審審核核 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n現(xiàn)場(chǎng)時(shí)間安排現(xiàn)場(chǎng)時(shí)間安排（示例） cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)證據(jù)的收集審計(jì)證據(jù)的收集 n證據(jù)就是審計(jì)師按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求，在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)行證據(jù)就是審計(jì)師按照審計(jì)標(biāo)準(zhǔn)及目標(biāo)的要求，在對(duì)某一實(shí)體或數(shù)據(jù)進(jìn)行 審計(jì)時(shí)所采用的信息。審計(jì)時(shí)所采用的信息。 n收集證據(jù)是審計(jì)過(guò)程的一個(gè)重要步驟，信息系統(tǒng)審計(jì)師必須了解審計(jì)證收集證據(jù)是審計(jì)過(guò)程的一個(gè)重要步驟，信息

39、系統(tǒng)審計(jì)師必須了解審計(jì)證 據(jù)的表現(xiàn)形式、收集及評(píng)價(jià)證據(jù)的程序與技術(shù)據(jù)的表現(xiàn)形式、收集及評(píng)價(jià)證據(jù)的程序與技術(shù) n證據(jù)的可靠性保證：證據(jù)的可靠性保證： u提供審計(jì)證據(jù)人員的獨(dú)立性 u提供審計(jì)信息或證據(jù)人員的資格 u審計(jì)證據(jù)的客觀性 u審計(jì)證據(jù)的時(shí)效性 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n收集證據(jù)的方法收集證據(jù)的方法 n觀察觀察 n在被審計(jì)方辦公場(chǎng)所內(nèi)外進(jìn)行觀察在被審計(jì)方辦公場(chǎng)所內(nèi)外進(jìn)行觀察 n從地下室到建筑物屋頂從地下室到建筑物屋頂 n觀察員工形為觀察員工形為 n觀察對(duì)來(lái)訪者的接待觀察對(duì)來(lái)訪者的接待 n n檢查文檔檢查文檔 n對(duì)所有收到的文檔進(jìn)行標(biāo)記對(duì)所有收到的文檔進(jìn)行標(biāo)記(時(shí)間、日

40、程、來(lái)源、時(shí)間、日程、來(lái)源、 格式格式) n生成并維護(hù)一個(gè)文檔列表生成并維護(hù)一個(gè)文檔列表 n對(duì)控制進(jìn)行突出顯示對(duì)控制進(jìn)行突出顯示 n列出所缺文檔（或不清楚的內(nèi)容）列出所缺文檔（或不清楚的內(nèi)容） n一些樣例文檔的拷貝一些樣例文檔的拷貝（供受審計(jì)方參考）（供受審計(jì)方參考） n n人員訪談人員訪談 n各種人員交流、討論，發(fā)現(xiàn)問(wèn)題各種人員交流、討論，發(fā)現(xiàn)問(wèn)題 n測(cè)試安全意識(shí)與技能測(cè)試安全意識(shí)與技能 n音像資料獲取音像資料獲取 n對(duì)一些需要記錄的重要場(chǎng)所與人員對(duì)一些需要記錄的重要場(chǎng)所與人員 行為，用錄音、錄像方式記錄行為，用錄音、錄像方式記錄 n信息系統(tǒng)審計(jì)證據(jù)的獲取信息系統(tǒng)審計(jì)證據(jù)的獲取 n輔助審計(jì)軟

41、件輔助審計(jì)軟件 n網(wǎng)絡(luò)掃描工具網(wǎng)絡(luò)掃描工具 n穿透測(cè)試工具穿透測(cè)試工具 n口令測(cè)試工具口令測(cè)試工具 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)證據(jù)評(píng)價(jià)審計(jì)證據(jù)評(píng)價(jià) n收集審計(jì)證據(jù)之后，要評(píng)估所收集的信息，以便提出審計(jì)意見(jiàn)。收集審計(jì)證據(jù)之后，要評(píng)估所收集的信息，以便提出審計(jì)意見(jiàn)。 n審計(jì)證據(jù)評(píng)價(jià)要考慮的因素有審計(jì)證據(jù)評(píng)價(jià)要考慮的因素有 ： n控制需求控制需求 n相關(guān)及周邊信息相關(guān)及周邊信息 n考慮補(bǔ)償性與重疊性控制考慮補(bǔ)償性與重疊性控制 n考慮控制的相關(guān)性考慮控制的相關(guān)性 n判斷控制是否有效率和效果判斷控制是否有效率和效果 n分析證據(jù)的技術(shù)分析證據(jù)的技術(shù) n判斷審計(jì)結(jié)果的重要性水平判

42、斷審計(jì)結(jié)果的重要性水平 n 審計(jì)師應(yīng)善用判斷來(lái)決定哪些問(wèn)題對(duì)相關(guān)層級(jí)主管是重要的，并向他們報(bào)告。審計(jì)師應(yīng)善用判斷來(lái)決定哪些問(wèn)題對(duì)相關(guān)層級(jí)主管是重要的，并向他們報(bào)告。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)報(bào)告審計(jì)報(bào)告 n審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則070.03中規(guī)定中規(guī)定“在信息系統(tǒng)審計(jì)完成后，信息系統(tǒng)審計(jì)師應(yīng)提在信息系統(tǒng)審計(jì)完成后，信息系統(tǒng)審計(jì)師應(yīng)提 交一份按要求格式書(shū)寫(xiě)的信息系統(tǒng)審計(jì)報(bào)告。交一份按要求格式書(shū)寫(xiě)的信息系統(tǒng)審計(jì)報(bào)告。 n信息系統(tǒng)審計(jì)報(bào)告應(yīng)陳述信息系統(tǒng)審計(jì)工作的范圍、目標(biāo)、期間、性質(zhì)信息系統(tǒng)審計(jì)報(bào)告應(yīng)陳述信息系統(tǒng)審計(jì)工作的范圍、目標(biāo)、期間、性質(zhì) 等，并限定報(bào)告提交對(duì)象和發(fā)放條

43、件。在報(bào)告中還應(yīng)陳述信息系統(tǒng)審計(jì)等，并限定報(bào)告提交對(duì)象和發(fā)放條件。在報(bào)告中還應(yīng)陳述信息系統(tǒng)審計(jì) 結(jié)論、信息系統(tǒng)審計(jì)建議和保留意見(jiàn)。結(jié)論、信息系統(tǒng)審計(jì)建議和保留意見(jiàn)?！?n審計(jì)指南審計(jì)指南070.010 “審計(jì)報(bào)告審計(jì)報(bào)告”提供了一個(gè)審計(jì)報(bào)告內(nèi)容與格式的一般指提供了一個(gè)審計(jì)報(bào)告內(nèi)容與格式的一般指 導(dǎo)導(dǎo) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n介紹介紹 n委托書(shū)（審計(jì)目標(biāo)和范圍）委托書(shū)（審計(jì)目標(biāo)和范圍） n審計(jì)過(guò)程（日程，活動(dòng)）審計(jì)過(guò)程（日程，活動(dòng)） n審計(jì)總結(jié)審計(jì)總結(jié) n審計(jì)重要發(fā)現(xiàn)綜述審計(jì)重要發(fā)現(xiàn)綜述 n審計(jì)結(jié)論審計(jì)結(jié)論 n主要建議主要建議 n管理層對(duì)審計(jì)結(jié)論的反應(yīng)管理層對(duì)審計(jì)結(jié)論的

44、反應(yīng) n總體安全評(píng)審總體安全評(píng)審 ncsa方法介紹方法介紹 n安全評(píng)審的結(jié)果安全評(píng)審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n主機(jī)與網(wǎng)絡(luò)安全主機(jī)與網(wǎng)絡(luò)安全 n評(píng)審的結(jié)果評(píng)審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n物理安全、環(huán)境安全物理安全、環(huán)境安全 n評(píng)審的結(jié)果評(píng)審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n業(yè)務(wù)應(yīng)用系統(tǒng)安全業(yè)務(wù)應(yīng)用系統(tǒng)安全 n評(píng)審的結(jié)果評(píng)審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃 n評(píng)審的結(jié)果評(píng)審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n. n附錄附錄 ncsa分值列表分值列表 n信息安全審計(jì)報(bào)告示例信息安全審計(jì)報(bào)告示例 cio時(shí)代：引領(lǐng)中國(guó)信息

45、化時(shí)代：引領(lǐng)中國(guó)信息化 n質(zhì)量保證活動(dòng)質(zhì)量保證活動(dòng) n審計(jì)小組審計(jì)小組 n遵守審計(jì)程序與步驟遵守審計(jì)程序與步驟 n使用檢查列表使用檢查列表 n使用與審計(jì)內(nèi)容相關(guān)的檢查列表使用與審計(jì)內(nèi)容相關(guān)的檢查列表 n根據(jù)列表提出問(wèn)題根據(jù)列表提出問(wèn)題 n審計(jì)發(fā)現(xiàn)與建議審計(jì)發(fā)現(xiàn)與建議 n審計(jì)質(zhì)量控制標(biāo)準(zhǔn)審計(jì)質(zhì)量控制標(biāo)準(zhǔn) n計(jì)算機(jī)輔助審計(jì)計(jì)算機(jī)輔助審計(jì) n每天審計(jì)小組討論與檢查每天審計(jì)小組討論與檢查 n與委托方討論審計(jì)發(fā)現(xiàn)與委托方討論審計(jì)發(fā)現(xiàn) n主任審計(jì)師對(duì)審計(jì)結(jié)論的復(fù)核主任審計(jì)師對(duì)審計(jì)結(jié)論的復(fù)核 n委托方委托方 n對(duì)以下活動(dòng)要進(jìn)行核實(shí)和對(duì)以下活動(dòng)要進(jìn)行核實(shí)和 簽署意見(jiàn)簽署意見(jiàn) ncsa評(píng)審意見(jiàn)評(píng)審意見(jiàn) ncsa

46、評(píng)分的更改評(píng)分的更改 n審計(jì)報(bào)告審計(jì)報(bào)告 n閱讀并校對(duì)閱讀并校對(duì) n寫(xiě)委托方的總結(jié)寫(xiě)委托方的總結(jié) n對(duì)審計(jì)建議進(jìn)行核對(duì)對(duì)審計(jì)建議進(jìn)行核對(duì) 3.4審計(jì)后事宜審計(jì)后事宜 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n審計(jì)跟蹤審計(jì)跟蹤 n審計(jì)工作應(yīng)當(dāng)是一個(gè)持續(xù)進(jìn)行的過(guò)程，某一階段審計(jì)活動(dòng)完成，審計(jì)報(bào)告遞交后，審計(jì)工作應(yīng)當(dāng)是一個(gè)持續(xù)進(jìn)行的過(guò)程，某一階段審計(jì)活動(dòng)完成，審計(jì)報(bào)告遞交后， 還需要跟蹤檢查管理層是否就審計(jì)發(fā)現(xiàn)及結(jié)論采取了改進(jìn)措施。還需要跟蹤檢查管理層是否就審計(jì)發(fā)現(xiàn)及結(jié)論采取了改進(jìn)措施。 n跟蹤檢查的時(shí)效性取決于審計(jì)發(fā)現(xiàn)的重要性及基于審計(jì)的職業(yè)判斷，跟蹤檢查的跟蹤檢查的時(shí)效性取決于審計(jì)發(fā)現(xiàn)的

47、重要性及基于審計(jì)的職業(yè)判斷，跟蹤檢查的 結(jié)果要及時(shí)與管理層溝通。結(jié)果要及時(shí)與管理層溝通。 n審計(jì)文檔（審計(jì)底稿）審計(jì)文檔（審計(jì)底稿） nisaca審計(jì)指南審計(jì)指南060.010“審計(jì)文檔審計(jì)文檔”條款對(duì)審計(jì)文檔作了明確的要求條款對(duì)審計(jì)文檔作了明確的要求. n應(yīng)當(dāng)包括：審計(jì)計(jì)劃、信息系統(tǒng)環(huán)境的描述及圖示、審計(jì)程序、會(huì)議記錄、審計(jì)應(yīng)當(dāng)包括：審計(jì)計(jì)劃、信息系統(tǒng)環(huán)境的描述及圖示、審計(jì)程序、會(huì)議記錄、審計(jì) 證據(jù)、審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論及建議、審計(jì)過(guò)程中發(fā)布的任何其他報(bào)告及監(jiān)督檢查證據(jù)、審計(jì)發(fā)現(xiàn)、審計(jì)結(jié)論及建議、審計(jì)過(guò)程中發(fā)布的任何其他報(bào)告及監(jiān)督檢查 結(jié)論等。結(jié)論等。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)

48、信息化 四、信息系統(tǒng)審計(jì)標(biāo)準(zhǔn) it auditing cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nit治理框架 n由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技 術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。 n戰(zhàn)略層面 it原則、架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用需求及it投資的決策權(quán)歸 屬及責(zé)任擔(dān)當(dāng)框架的建立。 n戰(zhàn)術(shù)層面利用國(guó)際認(rèn)可的最佳實(shí)施規(guī)范建立it控制框架 4.1it治理框架作為審計(jì)標(biāo)準(zhǔn)治理框架作為審計(jì)標(biāo)準(zhǔn) it控制目標(biāo)cobit 信息安全管理iso27001 it服務(wù)管理itil 企業(yè)元數(shù)據(jù)標(biāo)準(zhǔn)數(shù)據(jù)集標(biāo)準(zhǔn)、數(shù)據(jù) 元標(biāo)準(zhǔn) 企業(yè)業(yè)務(wù)連續(xù)性計(jì)劃 it項(xiàng)目管理與it監(jiān)理規(guī)范 it資

49、源協(xié)同 it績(jī)效測(cè)量 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nit治理框架圖示治理框架圖示 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n對(duì)對(duì)itit風(fēng)險(xiǎn)的控制是否達(dá)到組織可接受水平風(fēng)險(xiǎn)的控制是否達(dá)到組織可接受水平 n風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在損害，風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在損害， 風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值的損害程度及威脅發(fā)生的頻度成正比風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值的損害程度及威脅發(fā)生的頻度成正比” n每一種對(duì)象審計(jì)都面臨著不同的風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)師要善于評(píng)價(jià)各種每一種對(duì)象審計(jì)都面臨著不同的風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)師要善于評(píng)價(jià)各種

50、 風(fēng)險(xiǎn)，并選擇對(duì)高風(fēng)險(xiǎn)區(qū)域進(jìn)行審計(jì)。風(fēng)險(xiǎn)，并選擇對(duì)高風(fēng)險(xiǎn)區(qū)域進(jìn)行審計(jì)。 4.2基于風(fēng)險(xiǎn)評(píng)估的審計(jì)標(biāo)準(zhǔn)基于風(fēng)險(xiǎn)評(píng)估的審計(jì)標(biāo)準(zhǔn) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析 n風(fēng)險(xiǎn)控制目前是企業(yè)關(guān)注的重點(diǎn)，其前提首先要對(duì)企業(yè)面臨的風(fēng)風(fēng)險(xiǎn)控制目前是企業(yè)關(guān)注的重點(diǎn)，其前提首先要對(duì)企業(yè)面臨的風(fēng) 險(xiǎn)有一個(gè)全面的認(rèn)識(shí)險(xiǎn)有一個(gè)全面的認(rèn)識(shí) u組織中最重要的業(yè)務(wù)環(huán)節(jié)是什么？這些部分是如何使用與處理信 息的？信息系統(tǒng)對(duì)這些部分的重要性如何？ u組織的信息系統(tǒng)在產(chǎn)生、傳輸、處理、存儲(chǔ)信息過(guò)程中有哪些薄 弱環(huán)節(jié)，信息的機(jī)密性、完整性、可用性需要什么樣的保護(hù)？ u當(dāng)前組織的風(fēng)險(xiǎn)管理方法與策略是否有效

51、，是否能把風(fēng)險(xiǎn)降低到 管理層可以接受的水平? u組織所制定的風(fēng)險(xiǎn)控制目標(biāo)及控制方法是否考慮了成本效益原則？ u對(duì)風(fēng)險(xiǎn)的管理是不是一個(gè)持續(xù)改善的過(guò)程？ cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算 n一種是定性分級(jí)一種是定性分級(jí) ：對(duì)審計(jì)對(duì)象每一個(gè)重要風(fēng)險(xiǎn)因素給出一個(gè)分值，把：對(duì)審計(jì)對(duì)象每一個(gè)重要風(fēng)險(xiǎn)因素給出一個(gè)分值，把 各種因素的風(fēng)險(xiǎn)值累計(jì)起來(lái)就是被審計(jì)對(duì)象的風(fēng)險(xiǎn)值。要優(yōu)先對(duì)高風(fēng)險(xiǎn)各種因素的風(fēng)險(xiǎn)值累計(jì)起來(lái)就是被審計(jì)對(duì)象的風(fēng)險(xiǎn)值。要優(yōu)先對(duì)高風(fēng)險(xiǎn) 區(qū)域進(jìn)行審計(jì)。區(qū)域進(jìn)行審計(jì)。 n另一種技術(shù)是審計(jì)師根據(jù)專(zhuān)業(yè)經(jīng)驗(yàn)、業(yè)務(wù)知識(shí)、管理層的指導(dǎo)、業(yè)務(wù)另一種技術(shù)是審計(jì)師根據(jù)專(zhuān)業(yè)經(jīng)驗(yàn)、業(yè)務(wù)知

52、識(shí)、管理層的指導(dǎo)、業(yè)務(wù) 目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險(xiǎn)大小及審計(jì)的優(yōu)先級(jí)目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險(xiǎn)大小及審計(jì)的優(yōu)先級(jí) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 nitit的一般性準(zhǔn)則的一般性準(zhǔn)則 nitit與其他業(yè)務(wù)一樣都應(yīng)當(dāng)符合一般性管理原則，與其他業(yè)務(wù)一樣都應(yīng)當(dāng)符合一般性管理原則，itit的每一種缺陷的每一種缺陷 都可被追溯到違背了某些原則。都可被追溯到違背了某些原則。 nitit審計(jì)師可結(jié)合被審計(jì)對(duì)象所在的行業(yè)特征、管理原則、技術(shù)原審計(jì)師可結(jié)合被審計(jì)對(duì)象所在的行業(yè)特征、管理原則、技術(shù)原 則等制定適合自身需求的審計(jì)標(biāo)準(zhǔn)。則等制定適合自身需求的審計(jì)標(biāo)準(zhǔn)。 4.3it一般

53、性準(zhǔn)則作用標(biāo)準(zhǔn)一般性準(zhǔn)則作用標(biāo)準(zhǔn) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n國(guó)家法律、法規(guī)國(guó)家法律、法規(guī) n如：如：中華人民共和國(guó)國(guó)家安全法中華人民共和國(guó)國(guó)家安全法、中華人民共和國(guó)計(jì)算機(jī)信息安全保護(hù)條中華人民共和國(guó)計(jì)算機(jī)信息安全保護(hù)條 例例、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 、中華人民中華人民 共和國(guó)商用密碼管理?xiàng)l例共和國(guó)商用密碼管理?xiàng)l例等等 n行業(yè)信息安全規(guī)定行業(yè)信息安全規(guī)定 n如：如：金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)暫行規(guī)定金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)暫行規(guī)定、網(wǎng)上銀行業(yè)務(wù)管理暫行網(wǎng)上銀行業(yè)務(wù)管理暫行 辦法辦法等等 n

54、組織有關(guān)信息安全的政策與程序組織有關(guān)信息安全的政策與程序 n如：某商業(yè)銀行總行制定的如：某商業(yè)銀行總行制定的大型計(jì)算機(jī)中心安全運(yùn)行管理規(guī)范大型計(jì)算機(jī)中心安全運(yùn)行管理規(guī)范、軟件投產(chǎn)軟件投產(chǎn) 制度制度、機(jī)房管理制度機(jī)房管理制度、軟件管理與電子化信息建檔制度軟件管理與電子化信息建檔制度、應(yīng)急維護(hù)應(yīng)急維護(hù) 制度制度及及計(jì)算機(jī)內(nèi)控管理制度計(jì)算機(jī)內(nèi)控管理制度等等 n以上標(biāo)準(zhǔn)以外的信息安全擴(kuò)展審計(jì)內(nèi)容以上標(biāo)準(zhǔn)以外的信息安全擴(kuò)展審計(jì)內(nèi)容 4.4遵從法規(guī)的要求作為審計(jì)標(biāo)準(zhǔn)遵從法規(guī)的要求作為審計(jì)標(biāo)準(zhǔn) cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 五、cisa簡(jiǎn)介 it auditing cio時(shí)代：引領(lǐng)中國(guó)信息

55、化時(shí)代：引領(lǐng)中國(guó)信息化 ncisa在國(guó)內(nèi)外的發(fā)展在國(guó)內(nèi)外的發(fā)展 n注冊(cè)信息系統(tǒng)審計(jì)注冊(cè)信息系統(tǒng)審計(jì)cisa在國(guó)外已成為信息系統(tǒng)安全與鑒證領(lǐng)在國(guó)外已成為信息系統(tǒng)安全與鑒證領(lǐng) 域內(nèi)不可或缺的認(rèn)證；域內(nèi)不可或缺的認(rèn)證； n信息系統(tǒng)審計(jì)師信息系統(tǒng)審計(jì)師cisa認(rèn)證考試從認(rèn)證考試從2002年引入國(guó)內(nèi)算起已經(jīng)年引入國(guó)內(nèi)算起已經(jīng) 進(jìn)入第五個(gè)年頭了，而且從進(jìn)入第五個(gè)年頭了，而且從2003年起增加了中文考試；年起增加了中文考試； n國(guó)內(nèi)這些獲得認(rèn)證的審計(jì)師在信息安全與控制領(lǐng)域內(nèi)發(fā)揮著國(guó)內(nèi)這些獲得認(rèn)證的審計(jì)師在信息安全與控制領(lǐng)域內(nèi)發(fā)揮著 重要的作用，信息系統(tǒng)審計(jì)也越來(lái)越被國(guó)內(nèi)企業(yè)認(rèn)可，許多重要的作用，信息系統(tǒng)審計(jì)

56、也越來(lái)越被國(guó)內(nèi)企業(yè)認(rèn)可，許多 大型國(guó)有企業(yè)及跨國(guó)公司在招聘信息安全與控制方面高級(jí)管大型國(guó)有企業(yè)及跨國(guó)公司在招聘信息安全與控制方面高級(jí)管 理人員中，都明確了對(duì)理人員中，都明確了對(duì)cisa證書(shū)的要求；證書(shū)的要求； cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 n信息審計(jì)師獲取信息審計(jì)師獲取cisa認(rèn)證的優(yōu)勢(shì)認(rèn)證的優(yōu)勢(shì) n據(jù)據(jù)2001年一項(xiàng)針對(duì)國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員中持有年一項(xiàng)針對(duì)國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)會(huì)員中持有cisa 證書(shū)的調(diào)查顯示，證書(shū)的調(diào)查顯示，71%的受查者認(rèn)為，獲得的受查者認(rèn)為，獲得cisa認(rèn)證對(duì)于他們的認(rèn)證對(duì)于他們的 職業(yè)生涯有幫助；職業(yè)生涯有幫助； n對(duì)不論是否持有對(duì)不

57、論是否持有cisa證書(shū)的證書(shū)的isaca會(huì)員調(diào)查顯示，更有會(huì)員調(diào)查顯示，更有75%的受的受 查者認(rèn)為通過(guò)查者認(rèn)為通過(guò)cisa對(duì)于他們將來(lái)的職業(yè)生涯會(huì)有所幫助；對(duì)于他們將來(lái)的職業(yè)生涯會(huì)有所幫助； n獲得獲得cisa認(rèn)證可以促進(jìn)工作開(kāi)展或?yàn)槁殑?wù)升遷創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。認(rèn)證可以促進(jìn)工作開(kāi)展或?yàn)槁殑?wù)升遷創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 ncisa知識(shí)基礎(chǔ)知識(shí)基礎(chǔ) n信息系統(tǒng)審計(jì)是一門(mén)綜合性交叉性學(xué)科，它包括了審計(jì)學(xué)、企業(yè)風(fēng)險(xiǎn)管信息系統(tǒng)審計(jì)是一門(mén)綜合性交叉性學(xué)科，它包括了審計(jì)學(xué)、企業(yè)風(fēng)險(xiǎn)管 理學(xué)、信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)等組成，這些學(xué)科、領(lǐng)域的理論并非簡(jiǎn)理學(xué)、信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)

58、等組成，這些學(xué)科、領(lǐng)域的理論并非簡(jiǎn) 單的疊加，而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整單的疊加，而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整 體；體； n一名合格的信息系統(tǒng)審計(jì)師需要在企業(yè)管理理論、企業(yè)會(huì)計(jì)理論、審計(jì)一名合格的信息系統(tǒng)審計(jì)師需要在企業(yè)管理理論、企業(yè)會(huì)計(jì)理論、審計(jì) 理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實(shí)的知理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實(shí)的知 識(shí)基礎(chǔ)和綜合運(yùn)用知識(shí)的技能。識(shí)基礎(chǔ)和綜合運(yùn)用知識(shí)的技能。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 ncisa知識(shí)結(jié)構(gòu)及職業(yè)方向知識(shí)結(jié)構(gòu)及職業(yè)方向 cio時(shí)代：引領(lǐng)中國(guó)

59、信息化時(shí)代：引領(lǐng)中國(guó)信息化 n獲得獲得cisa認(rèn)證的前提認(rèn)證的前提 n通過(guò)通過(guò)cisa考試；考試； n遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的遵守國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的職業(yè)道德規(guī)范職業(yè)道德規(guī)范，此規(guī)范，此規(guī)范 已列入已列入cisa考試申請(qǐng)人指南考試申請(qǐng)人指南中，供應(yīng)考人參考；中，供應(yīng)考人參考； n在信息系統(tǒng)審計(jì)、控制、或安全領(lǐng)域在信息系統(tǒng)審計(jì)、控制、或安全領(lǐng)域5年以上工作經(jīng)驗(yàn)的證明。年以上工作經(jīng)驗(yàn)的證明。 n提出提出cisa資格申請(qǐng)并得到批準(zhǔn)。資格申請(qǐng)并得到批準(zhǔn)。 n專(zhuān)業(yè)經(jīng)驗(yàn)必須在申請(qǐng)前的專(zhuān)業(yè)經(jīng)驗(yàn)必須在申請(qǐng)前的10 年之內(nèi)獲得，認(rèn)證申請(qǐng)必須在通過(guò)年之內(nèi)獲得，認(rèn)證申請(qǐng)必須在通過(guò)cisa 考試的考試

60、的5 年之內(nèi)提出；年之內(nèi)提出； n專(zhuān)業(yè)經(jīng)驗(yàn)必須由原雇主獨(dú)立地確認(rèn)。專(zhuān)業(yè)經(jīng)驗(yàn)必須由原雇主獨(dú)立地確認(rèn)。 cio時(shí)代：引領(lǐng)中國(guó)信息化時(shí)代：引領(lǐng)中國(guó)信息化 ncisa報(bào)名報(bào)名 n從從isaca網(wǎng)站下載報(bào)名表，填好后寄出；網(wǎng)站下載報(bào)名表，填好后寄出； n或或在線報(bào)名在線報(bào)名(/examreg)，isaca鼓勵(lì)在線報(bào)名，可省鼓勵(lì)在線報(bào)名，可省$35； n在在cisa考試前考試前2 到到3 周，你會(huì)收到考試機(jī)構(gòu)寄來(lái)的準(zhǔn)考證以及來(lái)自周，你會(huì)收到考試機(jī)構(gòu)寄來(lái)的準(zhǔn)考證以及來(lái)自 isaca 的電子準(zhǔn)考證。準(zhǔn)考證上標(biāo)明了考試的日期、入場(chǎng)登記時(shí)間與考的電子準(zhǔn)考證。準(zhǔn)考證上標(biāo)明了考試的日期、入場(chǎng)