信息系統(tǒng)審計

1、cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 it治理與信息安全咨詢顧問：陳偉 信息系統(tǒng)審計信息系統(tǒng)審計 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容 一、什么是審計？一、什么是審計？ 二、什么是信息系統(tǒng)審計？二、什么是信息系統(tǒng)審計？ 三、信息系統(tǒng)審計過程三、信息系統(tǒng)審計過程 四、信息系統(tǒng)審計標(biāo)準(zhǔn)四、信息系統(tǒng)審計標(biāo)準(zhǔn) 五、信息系統(tǒng)審計師五、信息系統(tǒng)審計師cisa簡介簡介 六、互動討論六、互動討論 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 一、什么是審計？ it auditing cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 1.1 審計的概念與歷史審計的概念與歷史

2、 n審計的定義審計的定義 n是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán)，對特定經(jīng)濟(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán)，對特定經(jīng)濟(jì) 實體的可計量的信息證據(jù)進(jìn)行客觀地收集和評價，以確定這些信實體的可計量的信息證據(jù)進(jìn)行客觀地收集和評價，以確定這些信 息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報告的一個系統(tǒng)的過息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報告的一個系統(tǒng)的過 程。程。 n對審計的理解對審計的理解 n審計主體：審計主體：“獨(dú)立機(jī)構(gòu)或人員獨(dú)立機(jī)構(gòu)或人員” n審計關(guān)系：審計關(guān)系：“接受委托或授權(quán)接受委托或授權(quán)” n審計對象：審計對象：“可計量的信息可計量的信息” n審計依據(jù)：審計依據(jù)：“既定

3、標(biāo)準(zhǔn)既定標(biāo)準(zhǔn)” n審計依據(jù)：審計依據(jù)：“既定標(biāo)準(zhǔn)既定標(biāo)準(zhǔn)” n審計工作：審計工作：“客觀地收集和評價證據(jù)客觀地收集和評價證據(jù)” n審計目標(biāo)：審計目標(biāo)：“確定這些信息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報告確定這些信息與既定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報告” n審計過程：審計過程：“系統(tǒng)的過程系統(tǒng)的過程”-遵循邏輯順序、結(jié)構(gòu)嚴(yán)密的活動。遵循邏輯順序、結(jié)構(gòu)嚴(yán)密的活動。 n審計的性質(zhì)：獨(dú)立、客觀審計的性質(zhì)：獨(dú)立、客觀 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計領(lǐng)域?qū)徲嬵I(lǐng)域 n審計所涉及的領(lǐng)域包含社會活動的方方面面，它最關(guān)注的是風(fēng)險，財務(wù)審計所涉及的領(lǐng)域包含社會活動的方方面面，它最關(guān)注的

4、是風(fēng)險，財務(wù) 風(fēng)險只是其中的一部分，國家審計機(jī)關(guān)、會計師事務(wù)所的審計是財務(wù)報風(fēng)險只是其中的一部分，國家審計機(jī)關(guān)、會計師事務(wù)所的審計是財務(wù)報 表審計，內(nèi)部審計是全方位的經(jīng)營管理審計；表審計，內(nèi)部審計是全方位的經(jīng)營管理審計； n在發(fā)達(dá)國家，企業(yè)管理人員甚至可以就業(yè)務(wù)經(jīng)營管理的任何問題咨詢審在發(fā)達(dá)國家，企業(yè)管理人員甚至可以就業(yè)務(wù)經(jīng)營管理的任何問題咨詢審 計師的意見；在我國，財務(wù)會計審計幾乎成了審計的全部，這與我國計師的意見；在我國，財務(wù)會計審計幾乎成了審計的全部，這與我國 審計事業(yè)目前所處的發(fā)展階段有關(guān)。審計事業(yè)目前所處的發(fā)展階段有關(guān)。 n中國國家審計署要求國家審計工作逐步做到財務(wù)收支審計項目和效益

5、審中國國家審計署要求國家審計工作逐步做到財務(wù)收支審計項目和效益審 計項目各占一半，由基于帳項的審計逐步向基于數(shù)據(jù)和基于風(fēng)險的審計計項目各占一半，由基于帳項的審計逐步向基于數(shù)據(jù)和基于風(fēng)險的審計 過渡。過渡。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計的產(chǎn)生審計的產(chǎn)生 n審計是社會生產(chǎn)發(fā)展到一定階段的產(chǎn)物。審計是社會生產(chǎn)發(fā)展到一定階段的產(chǎn)物。 n早在西周時期，我國就設(shè)有行使就地稽查職權(quán)的審計職能官早在西周時期，我國就設(shè)有行使就地稽查職權(quán)的審計職能官宰夫；宰夫； 在古埃及、古希臘和古羅馬帝國，都有對國家財政收支進(jìn)行監(jiān)督檢查在古埃及、古希臘和古羅馬帝國，都有對國家財政收支進(jìn)行監(jiān)督檢查 的審

6、計官員。的審計官員。 n16世紀(jì)意大利商業(yè)城市中出現(xiàn)了一批具有良好的會計知識、專門從事世紀(jì)意大利商業(yè)城市中出現(xiàn)了一批具有良好的會計知識、專門從事 這種查賬和公證工作的專業(yè)人員，他們所進(jìn)行的查賬與公證，可以說這種查賬和公證工作的專業(yè)人員，他們所進(jìn)行的查賬與公證，可以說 是注冊會計師審計的起源。是注冊會計師審計的起源。 n1853年，蘇格蘭愛丁堡創(chuàng)立了第一個注冊會計師的專業(yè)團(tuán)體年，蘇格蘭愛丁堡創(chuàng)立了第一個注冊會計師的專業(yè)團(tuán)體愛丁愛丁 堡會計師協(xié)會。該協(xié)會的成立，標(biāo)志著注冊會計師職業(yè)的誕生。堡會計師協(xié)會。該協(xié)會的成立，標(biāo)志著注冊會計師職業(yè)的誕生。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審

7、計在近代的發(fā)展審計在近代的發(fā)展 n從從18世紀(jì)下半葉到世紀(jì)下半葉到20世紀(jì)初，英國的法律規(guī)定了所有股份公司和銀世紀(jì)初，英國的法律規(guī)定了所有股份公司和銀 行必須聘請注冊會計師進(jìn)行審計，致使英國注冊會計師審計得到了迅行必須聘請注冊會計師進(jìn)行審計，致使英國注冊會計師審計得到了迅 速發(fā)展，并對當(dāng)時歐、美及亞洲等地區(qū)產(chǎn)生了重要影響。速發(fā)展，并對當(dāng)時歐、美及亞洲等地區(qū)產(chǎn)生了重要影響。 n1933年，美國年，美國證券法證券法規(guī)定，在證券交易所上市的企業(yè)的會計報規(guī)定，在證券交易所上市的企業(yè)的會計報 表必須接受注冊會計師審計，向社會公眾公布注冊會計師出具的審計表必須接受注冊會計師審計，向社會公眾公布注冊會計師出

8、具的審計 報告；報告； n在這一階段，世界各國的審計組織、審計制度、審計方法和技術(shù)都已在這一階段，世界各國的審計組織、審計制度、審計方法和技術(shù)都已 有了很大發(fā)展，形成了一門獨(dú)立的，具有自己的對象、任務(wù)和方法的有了很大發(fā)展，形成了一門獨(dú)立的，具有自己的對象、任務(wù)和方法的 經(jīng)濟(jì)監(jiān)督學(xué)科。經(jīng)濟(jì)監(jiān)督學(xué)科。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n在當(dāng)代，審計已擴(kuò)展企業(yè)風(fēng)險控制的各個方面在當(dāng)代，審計已擴(kuò)展企業(yè)風(fēng)險控制的各個方面 n20世紀(jì)世紀(jì)50年代以后，隨著西方資本主義經(jīng)濟(jì)的迅速發(fā)展，競爭不斷年代以后，隨著西方資本主義經(jīng)濟(jì)的迅速發(fā)展，競爭不斷 加劇，為了加強(qiáng)企業(yè)經(jīng)濟(jì)活動的規(guī)劃和控制，專門為企

9、業(yè)內(nèi)部經(jīng)營管加劇，為了加強(qiáng)企業(yè)經(jīng)濟(jì)活動的規(guī)劃和控制，專門為企業(yè)內(nèi)部經(jīng)營管 理服務(wù)的管理會計應(yīng)運(yùn)而生；理服務(wù)的管理會計應(yīng)運(yùn)而生； n因此現(xiàn)代審計從財務(wù)審計發(fā)展到管理審計；從鑒證會計資料的正確性因此現(xiàn)代審計從財務(wù)審計發(fā)展到管理審計；從鑒證會計資料的正確性 和合法性，又發(fā)展到評價企業(yè)經(jīng)營管理和提高經(jīng)濟(jì)效益；從事后審計和合法性，又發(fā)展到評價企業(yè)經(jīng)營管理和提高經(jīng)濟(jì)效益；從事后審計 又發(fā)展到事前審計，使審計的內(nèi)涵和外延向著縱深方向發(fā)展；又發(fā)展到事前審計，使審計的內(nèi)涵和外延向著縱深方向發(fā)展； n2002年美國國會發(fā)布了年美國國會發(fā)布了sox薩班斯薩班斯奧克斯利法案奧克斯利法案要求所有上要求所有上 市公司都必

10、須建立有效的內(nèi)部控制框架，掀開了全球企業(yè)加強(qiáng)風(fēng)險管市公司都必須建立有效的內(nèi)部控制框架，掀開了全球企業(yè)加強(qiáng)風(fēng)險管 理和內(nèi)部控制的序幕。理和內(nèi)部控制的序幕。 n2006年年6月中國國資委發(fā)布月中國國資委發(fā)布中央企業(yè)全面風(fēng)險管理中央企業(yè)全面風(fēng)險管理， 2006年年10 月財政部發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會，其目的是為推動企業(yè)完月財政部發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會，其目的是為推動企業(yè)完 善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制，善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制，中國式的中國式的sox法法即將出臺即將出臺。 隨著公司治理、企業(yè)風(fēng)險管理理論的流 行，審計作為風(fēng)險控制的重要手段，越來越 顯示其對企業(yè)不可或缺的作用。 cio時代

11、：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計師面臨的機(jī)會與挑戰(zhàn)審計師面臨的機(jī)會與挑戰(zhàn) n企業(yè)風(fēng)險管理已成為保護(hù)企業(yè)核心競爭力的有效手段，有效的風(fēng)險管理企業(yè)風(fēng)險管理已成為保護(hù)企業(yè)核心競爭力的有效手段，有效的風(fēng)險管理 將是未來企業(yè)發(fā)展的主旋律；將是未來企業(yè)發(fā)展的主旋律； n負(fù)責(zé)企業(yè)風(fēng)險保證任務(wù)的審計部門及審計師將面臨巨大的挑戰(zhàn)，但也面負(fù)責(zé)企業(yè)風(fēng)險保證任務(wù)的審計部門及審計師將面臨巨大的挑戰(zhàn)，但也面 臨著眾多的機(jī)會。臨著眾多的機(jī)會。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 1.2 審計的分類審計的分類 n按審計主體分類按審計主體分類 n政府審計政府審計 n內(nèi)部審計內(nèi)部審計 n注冊會計師審計注冊

12、會計師審計 n按審計目的和內(nèi)容分類按審計目的和內(nèi)容分類 n財務(wù)報表審計財務(wù)報表審計 n經(jīng)營管理審計經(jīng)營管理審計 n合規(guī)性審計合規(guī)性審計 n司法取證審計司法取證審計 n信息系統(tǒng)審計信息系統(tǒng)審計 信息系統(tǒng)審計的特殊性：信息系統(tǒng)審計的特殊性： u信息系統(tǒng)審計師可以經(jīng)常從不同的方面來 評估it系統(tǒng)與功能，比如：安全、質(zhì)量、服 務(wù)、效率、可靠性及能力等。 u由于審計對象的特殊性，信息系統(tǒng)審計在 實施審計時，還要理解和掌握測試和評估信 息系統(tǒng)控制的方法 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n按審計的發(fā)展模式分類按審計的發(fā)展模式分類 n賬項基礎(chǔ)審計賬項基礎(chǔ)審計 n制度基礎(chǔ)審計制度基礎(chǔ)審計 n數(shù)據(jù)

13、基礎(chǔ)審計數(shù)據(jù)基礎(chǔ)審計 n風(fēng)險基礎(chǔ)審計風(fēng)險基礎(chǔ)審計 n其他分類其他分類 n按與被審計單位關(guān)系分類：可分為內(nèi)部審計和外部審計；按與被審計單位關(guān)系分類：可分為內(nèi)部審計和外部審計； n按審計范圍分類：可分為全面審計和局部審計，綜合審計和按審計范圍分類：可分為全面審計和局部審計，綜合審計和 專題審計；專題審計； n按施行時間分類：可分為事前、事中和事后審計，定期和不按施行時間分類：可分為事前、事中和事后審計，定期和不 定期審計，期中和期末審計；定期審計，期中和期末審計； n按可選擇性的角度分類：可分為強(qiáng)制性審計和任意審計。按可選擇性的角度分類：可分為強(qiáng)制性審計和任意審計。 cio時代：引領(lǐng)中國信息化時代

14、：引領(lǐng)中國信息化 1.3 審計執(zhí)業(yè)規(guī)范體系審計執(zhí)業(yè)規(guī)范體系 n什么是執(zhí)業(yè)規(guī)范體系什么是執(zhí)業(yè)規(guī)范體系 n指導(dǎo)審計人員科學(xué)合理進(jìn)行工作的標(biāo)準(zhǔn)，亦是衡量審計機(jī)指導(dǎo)審計人員科學(xué)合理進(jìn)行工作的標(biāo)準(zhǔn)，亦是衡量審計機(jī) 構(gòu)與人員素質(zhì)及工作質(zhì)量的準(zhǔn)繩。構(gòu)與人員素質(zhì)及工作質(zhì)量的準(zhǔn)繩。 n世界各國都制定了不同的審計準(zhǔn)則體系。審計準(zhǔn)則按審計世界各國都制定了不同的審計準(zhǔn)則體系。審計準(zhǔn)則按審計 主體分為：主體分為： n政府審計準(zhǔn)則政府審計準(zhǔn)則 n注冊會計師審計準(zhǔn)則注冊會計師審計準(zhǔn)則 n內(nèi)部審計準(zhǔn)則內(nèi)部審計準(zhǔn)則 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 1.4 審計機(jī)構(gòu)審計機(jī)構(gòu) n政府審計機(jī)構(gòu)政府審計機(jī)構(gòu) n政府審計

15、機(jī)構(gòu)的隸屬模式政府審計機(jī)構(gòu)的隸屬模式 n立法模式立法模式 國家審計機(jī)構(gòu)隸屬于立法機(jī)構(gòu)，直接對議會負(fù)責(zé)并向議會報告審國家審計機(jī)構(gòu)隸屬于立法機(jī)構(gòu)，直接對議會負(fù)責(zé)并向議會報告審 計結(jié)果。代表性的國家是美國。計結(jié)果。代表性的國家是美國。 n司法模式司法模式 司法型的政府審計制度的特點是在政府審計機(jī)構(gòu)內(nèi)部設(shè)立司法部司法型的政府審計制度的特點是在政府審計機(jī)構(gòu)內(nèi)部設(shè)立司法部 門，國家審計擁有有限司法權(quán)，從而強(qiáng)化了政府審計職能。西歐大陸、非洲門，國家審計擁有有限司法權(quán)，從而強(qiáng)化了政府審計職能。西歐大陸、非洲 和南美洲一些國家采用。和南美洲一些國家采用。 n行政模式行政模式特點是審計部門是國家行政部門的一個組成

16、部分。主要有中國、特點是審計部門是國家行政部門的一個組成部分。主要有中國、 東歐和北歐的瑞典等國家。東歐和北歐的瑞典等國家。 n獨(dú)立模式獨(dú)立模式特點是政府審計機(jī)構(gòu)獨(dú)立于立法權(quán)、司法權(quán)和行政權(quán)之外單獨(dú)設(shè)特點是政府審計機(jī)構(gòu)獨(dú)立于立法權(quán)、司法權(quán)和行政權(quán)之外單獨(dú)設(shè) 置，形成國家政權(quán)體系的一個分支。目前具有代表性的國家當(dāng)推日本。置，形成國家政權(quán)體系的一個分支。目前具有代表性的國家當(dāng)推日本。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n國際政府審計組織國際政府審計組織 n最高審計機(jī)關(guān)國際組織最高審計機(jī)關(guān)國際組織(the international orgnization of supreme aud

17、it institutions，intosai) ，是由聯(lián)合國成員國的最高審計機(jī)關(guān)組成的國際性是由聯(lián)合國成員國的最高審計機(jī)關(guān)組成的國際性 組織，宗旨是促進(jìn)最高審計機(jī)關(guān)之間在政府審計領(lǐng)域內(nèi)的審計準(zhǔn)則、方法組織，宗旨是促進(jìn)最高審計機(jī)關(guān)之間在政府審計領(lǐng)域內(nèi)的審計準(zhǔn)則、方法 和技術(shù)的交流和技術(shù)的交流 n我國的政府審計機(jī)構(gòu)我國的政府審計機(jī)構(gòu) n我國實行的是行政審計模式，我國政府的審計機(jī)構(gòu)共分四級：審計署，各省、自治我國實行的是行政審計模式，我國政府的審計機(jī)構(gòu)共分四級：審計署，各省、自治 區(qū)、直轄市審計區(qū)、直轄市審計(廳廳)局，省轄市、自治州、盟、行政公署局，省轄市、自治州、盟、行政公署(省人民政府派出機(jī)

18、關(guān)省人民政府派出機(jī)關(guān))審計審計 局，縣、旗、縣局，縣、旗、縣(市市)級審計局。級審計局。 n我國各級審計機(jī)關(guān)實行統(tǒng)一領(lǐng)導(dǎo)，分級審計，雙重管理體制。我國各級審計機(jī)關(guān)實行統(tǒng)一領(lǐng)導(dǎo)，分級審計，雙重管理體制。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n內(nèi)部審計機(jī)構(gòu)內(nèi)部審計機(jī)構(gòu) n內(nèi)部審計的組織形式內(nèi)部審計的組織形式 n在公司管理部門之上，董事會之下，設(shè)立內(nèi)部審計組織。這些內(nèi)部審計織中在公司管理部門之上，董事會之下，設(shè)立內(nèi)部審計組織。這些內(nèi)部審計織中 的人員必須由不參加日常管理工作的董事會成員來擔(dān)任，以便內(nèi)部審計工作的人員必須由不參加日常管理工作的董事會成員來擔(dān)任，以便內(nèi)部審計工作 在企業(yè)中有高

19、度的獨(dú)立性。美國上市公司中的內(nèi)部審計就屬于這一類型。在企業(yè)中有高度的獨(dú)立性。美國上市公司中的內(nèi)部審計就屬于這一類型。 n在總經(jīng)理直接領(lǐng)導(dǎo)下，各職能管理部門之上設(shè)置內(nèi)部審計部門，幫助總經(jīng)理在總經(jīng)理直接領(lǐng)導(dǎo)下，各職能管理部門之上設(shè)置內(nèi)部審計部門，幫助總經(jīng)理 執(zhí)行日常監(jiān)督工作，有一定獨(dú)立性。我國的企業(yè)大部分采用這一組織形式。執(zhí)行日常監(jiān)督工作，有一定獨(dú)立性。我國的企業(yè)大部分采用這一組織形式。 n在財務(wù)部門內(nèi)部設(shè)置審計組織，隸屬于財務(wù)部門領(lǐng)導(dǎo)。主要對會計記錄、日在財務(wù)部門內(nèi)部設(shè)置審計組織，隸屬于財務(wù)部門領(lǐng)導(dǎo)。主要對會計記錄、日 常核算工作等進(jìn)行監(jiān)督，獨(dú)立性與權(quán)威性均較低。常核算工作等進(jìn)行監(jiān)督，獨(dú)立性與權(quán)

20、威性均較低。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n內(nèi)部審計的國際組織內(nèi)部審計的國際組織 n國際內(nèi)部審計師協(xié)會國際內(nèi)部審計師協(xié)會(institute of internal auditor，iia)是一個國際性內(nèi)部審計是一個國際性內(nèi)部審計 學(xué)術(shù)團(tuán)體，成立于學(xué)術(shù)團(tuán)體，成立于1941年，該協(xié)會的宗旨是為會員完成各項專業(yè)職責(zé)和促進(jìn)內(nèi)年，該協(xié)會的宗旨是為會員完成各項專業(yè)職責(zé)和促進(jìn)內(nèi) 部審計事業(yè)的發(fā)展提供服務(wù)。部審計事業(yè)的發(fā)展提供服務(wù)。 n iia在全球的會員人數(shù)為在全球的會員人數(shù)為10.7萬人，目前獲得萬人，目前獲得cia資格的內(nèi)部審計師已超過資格的內(nèi)部審計師已超過5萬人。萬人。 n我國的

21、內(nèi)部審計機(jī)構(gòu)我國的內(nèi)部審計機(jī)構(gòu) n我國的內(nèi)部審計機(jī)構(gòu)目前大多數(shù)采用的是總經(jīng)理領(lǐng)導(dǎo)模式，即在本單位主要負(fù)責(zé)我國的內(nèi)部審計機(jī)構(gòu)目前大多數(shù)采用的是總經(jīng)理領(lǐng)導(dǎo)模式，即在本單位主要負(fù)責(zé) 人的領(lǐng)導(dǎo)下，設(shè)置獨(dú)立的、與其他職能部門平行的內(nèi)部審計機(jī)構(gòu)。人的領(lǐng)導(dǎo)下，設(shè)置獨(dú)立的、與其他職能部門平行的內(nèi)部審計機(jī)構(gòu)。 n1989年年12月，審計署發(fā)布了月，審計署發(fā)布了關(guān)于內(nèi)部審計工作的規(guī)定關(guān)于內(nèi)部審計工作的規(guī)定，使內(nèi)部審計工作的，使內(nèi)部審計工作的 開展有了法規(guī)依據(jù)。開展有了法規(guī)依據(jù)。1995年年1月月1日實施的日實施的中華人民共和國審計法中華人民共和國審計法規(guī)定了哪規(guī)定了哪 些部門、組織和單位應(yīng)按規(guī)定建立、健全內(nèi)部審計

22、制度，從而為我國建立內(nèi)部審些部門、組織和單位應(yīng)按規(guī)定建立、健全內(nèi)部審計制度，從而為我國建立內(nèi)部審 計提供了法律依據(jù)。計提供了法律依據(jù)。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n注冊會計師審計機(jī)構(gòu)注冊會計師審計機(jī)構(gòu) n會計師事務(wù)所會計師事務(wù)所 n國際會計師事務(wù)所國際會計師事務(wù)所“四大四大” 畢馬威畢馬威(kpmg)、安永、安永(ernst n我國的會計師事務(wù)所我國的會計師事務(wù)所注冊會計師法注冊會計師法規(guī)定會計師事務(wù)所只能采用規(guī)定會計師事務(wù)所只能采用 合伙制或有限責(zé)任制的形式合伙制或有限責(zé)任制的形式,由主任會計師、副主任會計師、部門經(jīng)由主任會計師、副主任會計師、部門經(jīng) 理、注冊會計師、業(yè)

23、務(wù)助理人員和其他工作人員組成。實現(xiàn)理、注冊會計師、業(yè)務(wù)助理人員和其他工作人員組成。實現(xiàn)主主任會計任會計 師負(fù)責(zé)制，主任會計師是事務(wù)所的法定代表，并且必須是注冊會計師。師負(fù)責(zé)制，主任會計師是事務(wù)所的法定代表，并且必須是注冊會計師。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計人員的資格考試審計人員的資格考試 n政府審計人員的資格及相關(guān)考試政府審計人員的資格及相關(guān)考試 n申請政府審計人員職稱考試時，資格審查與考試程序并不復(fù)雜。一般只要確申請政府審計人員職稱考試時，資格審查與考試程序并不復(fù)雜。一般只要確 認(rèn)其學(xué)歷，并通過三四門的專業(yè)考試，就可獲得如審計師這樣的職稱。認(rèn)其學(xué)歷，并通過三四門的

24、專業(yè)考試，就可獲得如審計師這樣的職稱。 n注冊會計師的資格審查及相關(guān)考試注冊會計師的資格審查及相關(guān)考試 cpa ncpa考試科目為五科：會計、財務(wù)成本管理、審計、經(jīng)濟(jì)法和稅法。考試科目為五科：會計、財務(wù)成本管理、審計、經(jīng)濟(jì)法和稅法。 通過注冊會計師考試全科成績合格的，均可取得注冊會計師資格，申通過注冊會計師考試全科成績合格的，均可取得注冊會計師資格，申 請加入注冊會計師協(xié)會成為非執(zhí)業(yè)會員，但不能執(zhí)業(yè)。要獲得執(zhí)業(yè)資請加入注冊會計師協(xié)會成為非執(zhí)業(yè)會員，但不能執(zhí)業(yè)。要獲得執(zhí)業(yè)資 格，必須在一家會計師事務(wù)所從事審計工作兩年以上并符合其他審批格，必須在一家會計師事務(wù)所從事審計工作兩年以上并符合其他審批

25、條件。只有經(jīng)批準(zhǔn)注冊后，發(fā)給財政部統(tǒng)一印制的注冊會計師證書，條件。只有經(jīng)批準(zhǔn)注冊后，發(fā)給財政部統(tǒng)一印制的注冊會計師證書， 方可執(zhí)行注冊會計師業(yè)務(wù)。方可執(zhí)行注冊會計師業(yè)務(wù)。 n內(nèi)部審計人員的資格審查及相關(guān)考試內(nèi)部審計人員的資格審查及相關(guān)考試 cia ncia考試科目共計四門，分別為內(nèi)部審計在治理、風(fēng)險和控制中的作考試科目共計四門，分別為內(nèi)部審計在治理、風(fēng)險和控制中的作 用，實施內(nèi)部審計業(yè)務(wù)，經(jīng)營分析和信息技術(shù)，經(jīng)營管理技術(shù)。用，實施內(nèi)部審計業(yè)務(wù)，經(jīng)營分析和信息技術(shù)，經(jīng)營管理技術(shù)。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 二、什么是信息系統(tǒng)審計？ it auditing cio時代：引領(lǐng)中

26、國信息化時代：引領(lǐng)中國信息化 nit風(fēng)險已逐漸成為組織的重要風(fēng)險風(fēng)險已逐漸成為組織的重要風(fēng)險 n隨著隨著it技術(shù)的快速發(fā)展與應(yīng)用的深入，技術(shù)的快速發(fā)展與應(yīng)用的深入，企業(yè)對企業(yè)對it系統(tǒng)的依賴性越來越強(qiáng)系統(tǒng)的依賴性越來越強(qiáng) 的同時，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅；的同時，面臨不斷增多的系統(tǒng)薄弱性和各種各樣的威脅； n現(xiàn)代企業(yè)現(xiàn)代企業(yè)it系統(tǒng)的停機(jī)可能會造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競爭系統(tǒng)的停機(jī)可能會造成業(yè)務(wù)受到巨大損失、聲譽(yù)下降、競爭 優(yōu)勢喪失；優(yōu)勢喪失； nit項目的高投入和高失敗率，使得企業(yè)無法實現(xiàn)其預(yù)期的創(chuàng)新與利益，項目的高投入和高失敗率，使得企業(yè)無法實現(xiàn)其預(yù)期的創(chuàng)新與利益，

27、 不能實現(xiàn)對不能實現(xiàn)對it的投資回報，或者不通對投資回報進(jìn)行測量；的投資回報，或者不通對投資回報進(jìn)行測量； n在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢中，在全球加強(qiáng)行業(yè)監(jiān)管和內(nèi)部控制的趨勢中，it越來越充當(dāng)重要角色，越來越充當(dāng)重要角色，it 不僅要為業(yè)務(wù)的風(fēng)險控制提供保障環(huán)境，而且其自身的風(fēng)險控制也倍受不僅要為業(yè)務(wù)的風(fēng)險控制提供保障環(huán)境，而且其自身的風(fēng)險控制也倍受 關(guān)注關(guān)注 2.1 信息系統(tǒng)審計的產(chǎn)生背景信息系統(tǒng)審計的產(chǎn)生背景 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 nit審計是控制信息化的風(fēng)險的制度安排審計是控制信息化的風(fēng)險的制度安排 n決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是

28、制度、組織決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的決定因素不是信息技術(shù)，而是制度、組織 結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，最終是人。 n信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息信息化需要合理有效的制度安排，建立良好的管理控制體系是企業(yè)信息 系統(tǒng)建設(shè)成功的重要保證。系統(tǒng)建設(shè)成功的重要保證。 n應(yīng)該逐步完善企業(yè)的應(yīng)該逐步完善企業(yè)的it治理機(jī)制，實現(xiàn)治理機(jī)制，實現(xiàn)it與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營、信息與戰(zhàn)略、管理、業(yè)務(wù)運(yùn)營、信息 安全的深度融合。安全的深度融合。 n這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價值并保護(hù)持續(xù)性，另一方面控制信這樣一方面使信息系統(tǒng)為企業(yè)創(chuàng)造價值并保護(hù)持續(xù)性，另一方面控制

29、信 息化的風(fēng)險與降低成本。息化的風(fēng)險與降低成本。 n構(gòu)筑信息時代新的構(gòu)筑信息時代新的“游戲規(guī)則游戲規(guī)則”，“規(guī)則規(guī)則”是是“游戲游戲”是重要組成部分。是重要組成部分。 建立信息系統(tǒng)審計制度是建立信 息化“游戲規(guī)則”的重要組成部分。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n信息系統(tǒng)審計的定義信息系統(tǒng)審計的定義 n國際信息系統(tǒng)審計領(lǐng)域的權(quán)威國際信息系統(tǒng)審計領(lǐng)域的權(quán)威ron weber的定義：的定義： n收集與評估證據(jù)，以判斷一個計算機(jī)系統(tǒng)收集與評估證據(jù)，以判斷一個計算機(jī)系統(tǒng)(信息系統(tǒng)信息系統(tǒng))是否有效做到是否有效做到 保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟(jì)地使用資源。保護(hù)資產(chǎn)、

30、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟(jì)地使用資源。 nisaca定義：定義： n信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機(jī)系統(tǒng)是否能夠信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機(jī)系統(tǒng)是否能夠 保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效 果地實現(xiàn)組織目標(biāo)的過程。果地實現(xiàn)組織目標(biāo)的過程。 2.2 信息系統(tǒng)審計的概念與歷史信息系統(tǒng)審計的概念與歷史 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n信息系統(tǒng)審計國際組織信息系統(tǒng)審計國際組織isaca n1969年美國洛杉磯成立了電子數(shù)據(jù)審計師協(xié)會年美國洛杉磯成立了電子數(shù)據(jù)審

31、計師協(xié)會(edpaa) n1994年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會年該協(xié)會更名為信息系統(tǒng)審計與控制協(xié)會(isaca information system audit and control associration),總部在芝加哥?？偛吭谥ゼ痈纭?nisaca制訂信息系統(tǒng)審計準(zhǔn)則、實務(wù)指南等專業(yè)規(guī)范來指導(dǎo)信息系統(tǒng)審計師的制訂信息系統(tǒng)審計準(zhǔn)則、實務(wù)指南等專業(yè)規(guī)范來指導(dǎo)信息系統(tǒng)審計師的 工作，每年為通過考試為從業(yè)人員頒發(fā)工作，每年為通過考試為從業(yè)人員頒發(fā)cisa、cism證書，證書，cisa資格在世界各資格在世界各 國被廣泛認(rèn)可。國被廣泛認(rèn)可。 n isaca在在100多個國家，設(shè)有多個國家，

32、設(shè)有170多個分會，現(xiàn)有會員超過多個分會，現(xiàn)有會員超過6萬萬5千人，認(rèn)證信千人，認(rèn)證信 息系統(tǒng)審計師息系統(tǒng)審計師cisa超過超過5萬人。萬人。 nit治理研究院治理研究院(itgi)組織各種專項研究，制定和發(fā)布了組織各種專項研究，制定和發(fā)布了it控制與審計標(biāo)準(zhǔn)控制與審計標(biāo)準(zhǔn) cobit； n信息系統(tǒng)審計與控制基金會（信息系統(tǒng)審計與控制基金會（isacf）接受捐贈、管理財務(wù)事宜。）接受捐贈、管理財務(wù)事宜。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 nisaca的重要貢獻(xiàn)之一：的重要貢獻(xiàn)之一：it治理及治理及cobit cobit框架 控制目標(biāo) 控制實務(wù) 審計指南

33、實施指南 管理指南 it治理總論 practices responsibilities executives -評價評價規(guī)定的控制的適宜性; -評估評估符合性，通過測試規(guī)定的控制是否按規(guī)定、 一致的、持續(xù)的起作用; -證實證實，通過分析技術(shù)和/或咨詢可選的來源，證 實控制目標(biāo)的風(fēng)險不存在。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計步驟一：確定與記錄審計步驟一：確定與記錄 n目標(biāo)：目標(biāo)： n為了使審計師能夠熟悉為了使審計師能夠熟悉審計目標(biāo)審計目標(biāo)所涉及的所涉及的任務(wù)任務(wù)，并且了解信息系統(tǒng)管理層人，并且了解信息系統(tǒng)管理層人 員是如何確認(rèn)他們己實施了有效的控制，包括識別出與實施的員是如

34、何確認(rèn)他們己實施了有效的控制，包括識別出與實施的任務(wù)任務(wù)和和規(guī)定的規(guī)定的 控制程序控制程序相關(guān)的人員、過程和地點。相關(guān)的人員、過程和地點。 n流程：流程： cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計步驟二：評估審計步驟二：評估 n目標(biāo)：目標(biāo)： n通過評估通過評估規(guī)定的控制程序規(guī)定的控制程序，以決定此程序是否提供了有效的控制結(jié)構(gòu)。評估時要，以決定此程序是否提供了有效的控制結(jié)構(gòu)。評估時要 利用己確定的準(zhǔn)則、行業(yè)標(biāo)準(zhǔn)及必要的審計判斷。利用己確定的準(zhǔn)則、行業(yè)標(biāo)準(zhǔn)及必要的審計判斷。 n一個有效的控制結(jié)構(gòu)應(yīng)當(dāng)考慮成本有效性，要對一個有效的控制結(jié)構(gòu)應(yīng)當(dāng)考慮成本有效性，要對任務(wù)任務(wù)己被執(zhí)行、己被執(zhí)

35、行、控制目標(biāo)控制目標(biāo)己達(dá)到己達(dá)到 提供合理保證。提供合理保證。 n流程：流程： cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計步驟三：符合性測試審計步驟三：符合性測試 n目標(biāo)：目標(biāo)： n對組織符合對組織符合規(guī)定的控制程序規(guī)定的控制程序的程度進(jìn)行分析，把的程度進(jìn)行分析，把實際的控制程序?qū)嶋H的控制程序及及 補(bǔ)償性控制措施補(bǔ)償性控制措施與與規(guī)定的控制程序規(guī)定的控制程序進(jìn)行對比，并進(jìn)行文檔檢查、會進(jìn)行對比，并進(jìn)行文檔檢查、會 晤相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實施。只對被證明晤相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實施。只對被證明 有效的控制程序進(jìn)行符合性測試。有效的控制程序進(jìn)行符合

36、性測試。 n流程：流程： cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計步驟四：實質(zhì)性測試審計步驟四：實質(zhì)性測試 n目標(biāo)：目標(biāo)： n進(jìn)行必要的數(shù)據(jù)測試，就給定的業(yè)務(wù)目標(biāo)是否己達(dá)到，為管理進(jìn)行必要的數(shù)據(jù)測試，就給定的業(yè)務(wù)目標(biāo)是否己達(dá)到，為管理 層提供最終的保證。層提供最終的保證。 n流程：流程： cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n現(xiàn)場審計步驟現(xiàn)場審計步驟 n預(yù)審計計劃預(yù)審計計劃 n首次會議首次會議 n資料收集資料收集 n實地檢查重要設(shè)備與流程實地檢查重要設(shè)備與流程 n符合性測試、實質(zhì)性測試符合性測試、實質(zhì)性測試 ncsa工作組評審，得出結(jié)論工作組評審，得出結(jié)論 n與被審計

37、方進(jìn)行溝通與被審計方進(jìn)行溝通 n擬定審計報告擬定審計報告 首首次次會會議議 現(xiàn)現(xiàn)場場審審核核 每每日日審審核核組組 內(nèi)內(nèi)部部會會議議 確確定定不不符符合合項項 并并編編寫寫不不符符合合報報告告 審審核核組組 分分析析總總結(jié)結(jié) 未未次次會會議議 宣宣布布審審核核結(jié)結(jié)果果 簡簡要要介介紹紹、建建立立聯(lián)聯(lián)系系、落落實實 資資源源、確確定定時時間間 收收集集審審核核證證據(jù)據(jù)、審審核核控控制制、 審審核核發(fā)發(fā)現(xiàn)現(xiàn)、現(xiàn)現(xiàn)場場審審核核記記錄錄 交交流流情情況況、整整理理結(jié)結(jié)果果、 工工作作安安排排 確確定定不不符符合合原原則則、類類型型，編編 寫寫不不符符合合報報告告 確確定定所所有有不不符符合合報報告告、

38、 審審核核結(jié)結(jié)果果的的匯匯總總分分析析 介介紹紹審審核核發(fā)發(fā)現(xiàn)現(xiàn)、宣宣布布審審 核核結(jié)結(jié)果果、提提出出后后續(xù)續(xù)工工作作 要要求求、宣宣布布結(jié)結(jié)束束現(xiàn)現(xiàn)場場審審核核 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n現(xiàn)場時間安排現(xiàn)場時間安排（示例） cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計證據(jù)的收集審計證據(jù)的收集 n證據(jù)就是審計師按照審計標(biāo)準(zhǔn)及目標(biāo)的要求，在對某一實體或數(shù)據(jù)進(jìn)行證據(jù)就是審計師按照審計標(biāo)準(zhǔn)及目標(biāo)的要求，在對某一實體或數(shù)據(jù)進(jìn)行 審計時所采用的信息。審計時所采用的信息。 n收集證據(jù)是審計過程的一個重要步驟，信息系統(tǒng)審計師必須了解審計證收集證據(jù)是審計過程的一個重要步驟，信息

39、系統(tǒng)審計師必須了解審計證 據(jù)的表現(xiàn)形式、收集及評價證據(jù)的程序與技術(shù)據(jù)的表現(xiàn)形式、收集及評價證據(jù)的程序與技術(shù) n證據(jù)的可靠性保證：證據(jù)的可靠性保證： u提供審計證據(jù)人員的獨(dú)立性 u提供審計信息或證據(jù)人員的資格 u審計證據(jù)的客觀性 u審計證據(jù)的時效性 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n收集證據(jù)的方法收集證據(jù)的方法 n觀察觀察 n在被審計方辦公場所內(nèi)外進(jìn)行觀察在被審計方辦公場所內(nèi)外進(jìn)行觀察 n從地下室到建筑物屋頂從地下室到建筑物屋頂 n觀察員工形為觀察員工形為 n觀察對來訪者的接待觀察對來訪者的接待 n n檢查文檔檢查文檔 n對所有收到的文檔進(jìn)行標(biāo)記對所有收到的文檔進(jìn)行標(biāo)記(時間、日

40、程、來源、時間、日程、來源、 格式格式) n生成并維護(hù)一個文檔列表生成并維護(hù)一個文檔列表 n對控制進(jìn)行突出顯示對控制進(jìn)行突出顯示 n列出所缺文檔（或不清楚的內(nèi)容）列出所缺文檔（或不清楚的內(nèi)容） n一些樣例文檔的拷貝一些樣例文檔的拷貝（供受審計方參考）（供受審計方參考） n n人員訪談人員訪談 n各種人員交流、討論，發(fā)現(xiàn)問題各種人員交流、討論，發(fā)現(xiàn)問題 n測試安全意識與技能測試安全意識與技能 n音像資料獲取音像資料獲取 n對一些需要記錄的重要場所與人員對一些需要記錄的重要場所與人員 行為，用錄音、錄像方式記錄行為，用錄音、錄像方式記錄 n信息系統(tǒng)審計證據(jù)的獲取信息系統(tǒng)審計證據(jù)的獲取 n輔助審計軟

41、件輔助審計軟件 n網(wǎng)絡(luò)掃描工具網(wǎng)絡(luò)掃描工具 n穿透測試工具穿透測試工具 n口令測試工具口令測試工具 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計證據(jù)評價審計證據(jù)評價 n收集審計證據(jù)之后，要評估所收集的信息，以便提出審計意見。收集審計證據(jù)之后，要評估所收集的信息，以便提出審計意見。 n審計證據(jù)評價要考慮的因素有審計證據(jù)評價要考慮的因素有 ： n控制需求控制需求 n相關(guān)及周邊信息相關(guān)及周邊信息 n考慮補(bǔ)償性與重疊性控制考慮補(bǔ)償性與重疊性控制 n考慮控制的相關(guān)性考慮控制的相關(guān)性 n判斷控制是否有效率和效果判斷控制是否有效率和效果 n分析證據(jù)的技術(shù)分析證據(jù)的技術(shù) n判斷審計結(jié)果的重要性水平判

42、斷審計結(jié)果的重要性水平 n 審計師應(yīng)善用判斷來決定哪些問題對相關(guān)層級主管是重要的，并向他們報告。審計師應(yīng)善用判斷來決定哪些問題對相關(guān)層級主管是重要的，并向他們報告。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計報告審計報告 n審計準(zhǔn)則審計準(zhǔn)則070.03中規(guī)定中規(guī)定“在信息系統(tǒng)審計完成后，信息系統(tǒng)審計師應(yīng)提在信息系統(tǒng)審計完成后，信息系統(tǒng)審計師應(yīng)提 交一份按要求格式書寫的信息系統(tǒng)審計報告。交一份按要求格式書寫的信息系統(tǒng)審計報告。 n信息系統(tǒng)審計報告應(yīng)陳述信息系統(tǒng)審計工作的范圍、目標(biāo)、期間、性質(zhì)信息系統(tǒng)審計報告應(yīng)陳述信息系統(tǒng)審計工作的范圍、目標(biāo)、期間、性質(zhì) 等，并限定報告提交對象和發(fā)放條

43、件。在報告中還應(yīng)陳述信息系統(tǒng)審計等，并限定報告提交對象和發(fā)放條件。在報告中還應(yīng)陳述信息系統(tǒng)審計 結(jié)論、信息系統(tǒng)審計建議和保留意見。結(jié)論、信息系統(tǒng)審計建議和保留意見。” n審計指南審計指南070.010 “審計報告審計報告”提供了一個審計報告內(nèi)容與格式的一般指提供了一個審計報告內(nèi)容與格式的一般指 導(dǎo)導(dǎo) cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n介紹介紹 n委托書（審計目標(biāo)和范圍）委托書（審計目標(biāo)和范圍） n審計過程（日程，活動）審計過程（日程，活動） n審計總結(jié)審計總結(jié) n審計重要發(fā)現(xiàn)綜述審計重要發(fā)現(xiàn)綜述 n審計結(jié)論審計結(jié)論 n主要建議主要建議 n管理層對審計結(jié)論的反應(yīng)管理層對審計結(jié)論的

44、反應(yīng) n總體安全評審總體安全評審 ncsa方法介紹方法介紹 n安全評審的結(jié)果安全評審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n主機(jī)與網(wǎng)絡(luò)安全主機(jī)與網(wǎng)絡(luò)安全 n評審的結(jié)果評審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n物理安全、環(huán)境安全物理安全、環(huán)境安全 n評審的結(jié)果評審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n業(yè)務(wù)應(yīng)用系統(tǒng)安全業(yè)務(wù)應(yīng)用系統(tǒng)安全 n評審的結(jié)果評審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n業(yè)務(wù)連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃 n評審的結(jié)果評審的結(jié)果 n詳細(xì)發(fā)現(xiàn)與建議詳細(xì)發(fā)現(xiàn)與建議 n. n附錄附錄 ncsa分值列表分值列表 n信息安全審計報告示例信息安全審計報告示例 cio時代：引領(lǐng)中國信息

45、化時代：引領(lǐng)中國信息化 n質(zhì)量保證活動質(zhì)量保證活動 n審計小組審計小組 n遵守審計程序與步驟遵守審計程序與步驟 n使用檢查列表使用檢查列表 n使用與審計內(nèi)容相關(guān)的檢查列表使用與審計內(nèi)容相關(guān)的檢查列表 n根據(jù)列表提出問題根據(jù)列表提出問題 n審計發(fā)現(xiàn)與建議審計發(fā)現(xiàn)與建議 n審計質(zhì)量控制標(biāo)準(zhǔn)審計質(zhì)量控制標(biāo)準(zhǔn) n計算機(jī)輔助審計計算機(jī)輔助審計 n每天審計小組討論與檢查每天審計小組討論與檢查 n與委托方討論審計發(fā)現(xiàn)與委托方討論審計發(fā)現(xiàn) n主任審計師對審計結(jié)論的復(fù)核主任審計師對審計結(jié)論的復(fù)核 n委托方委托方 n對以下活動要進(jìn)行核實和對以下活動要進(jìn)行核實和 簽署意見簽署意見 ncsa評審意見評審意見 ncsa

46、評分的更改評分的更改 n審計報告審計報告 n閱讀并校對閱讀并校對 n寫委托方的總結(jié)寫委托方的總結(jié) n對審計建議進(jìn)行核對對審計建議進(jìn)行核對 3.4審計后事宜審計后事宜 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n審計跟蹤審計跟蹤 n審計工作應(yīng)當(dāng)是一個持續(xù)進(jìn)行的過程，某一階段審計活動完成，審計報告遞交后，審計工作應(yīng)當(dāng)是一個持續(xù)進(jìn)行的過程，某一階段審計活動完成，審計報告遞交后， 還需要跟蹤檢查管理層是否就審計發(fā)現(xiàn)及結(jié)論采取了改進(jìn)措施。還需要跟蹤檢查管理層是否就審計發(fā)現(xiàn)及結(jié)論采取了改進(jìn)措施。 n跟蹤檢查的時效性取決于審計發(fā)現(xiàn)的重要性及基于審計的職業(yè)判斷，跟蹤檢查的跟蹤檢查的時效性取決于審計發(fā)現(xiàn)的

47、重要性及基于審計的職業(yè)判斷，跟蹤檢查的 結(jié)果要及時與管理層溝通。結(jié)果要及時與管理層溝通。 n審計文檔（審計底稿）審計文檔（審計底稿） nisaca審計指南審計指南060.010“審計文檔審計文檔”條款對審計文檔作了明確的要求條款對審計文檔作了明確的要求. n應(yīng)當(dāng)包括：審計計劃、信息系統(tǒng)環(huán)境的描述及圖示、審計程序、會議記錄、審計應(yīng)當(dāng)包括：審計計劃、信息系統(tǒng)環(huán)境的描述及圖示、審計程序、會議記錄、審計 證據(jù)、審計發(fā)現(xiàn)、審計結(jié)論及建議、審計過程中發(fā)布的任何其他報告及監(jiān)督檢查證據(jù)、審計發(fā)現(xiàn)、審計結(jié)論及建議、審計過程中發(fā)布的任何其他報告及監(jiān)督檢查 結(jié)論等。結(jié)論等。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國

48、信息化 四、信息系統(tǒng)審計標(biāo)準(zhǔn) it auditing cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 nit治理框架 n由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技 術(shù)與過程的風(fēng)險、增加價值來確保實現(xiàn)企業(yè)的目標(biāo)。 n戰(zhàn)略層面 it原則、架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用需求及it投資的決策權(quán)歸 屬及責(zé)任擔(dān)當(dāng)框架的建立。 n戰(zhàn)術(shù)層面利用國際認(rèn)可的最佳實施規(guī)范建立it控制框架 4.1it治理框架作為審計標(biāo)準(zhǔn)治理框架作為審計標(biāo)準(zhǔn) it控制目標(biāo)cobit 信息安全管理iso27001 it服務(wù)管理itil 企業(yè)元數(shù)據(jù)標(biāo)準(zhǔn)數(shù)據(jù)集標(biāo)準(zhǔn)、數(shù)據(jù) 元標(biāo)準(zhǔn) 企業(yè)業(yè)務(wù)連續(xù)性計劃 it項目管理與it監(jiān)理規(guī)范 it資

49、源協(xié)同 it績效測量 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 nit治理框架圖示治理框架圖示 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n對對itit風(fēng)險的控制是否達(dá)到組織可接受水平風(fēng)險的控制是否達(dá)到組織可接受水平 n風(fēng)險是特定的威脅利用資產(chǎn)的脆弱性從而造成對資產(chǎn)的一種潛在損害，風(fēng)險是特定的威脅利用資產(chǎn)的脆弱性從而造成對資產(chǎn)的一種潛在損害， 風(fēng)險的嚴(yán)重程度與資產(chǎn)價值的損害程度及威脅發(fā)生的頻度成正比風(fēng)險的嚴(yán)重程度與資產(chǎn)價值的損害程度及威脅發(fā)生的頻度成正比” n每一種對象審計都面臨著不同的風(fēng)險，信息系統(tǒng)審計師要善于評價各種每一種對象審計都面臨著不同的風(fēng)險，信息系統(tǒng)審計師要善于評價各種

50、 風(fēng)險，并選擇對高風(fēng)險區(qū)域進(jìn)行審計。風(fēng)險，并選擇對高風(fēng)險區(qū)域進(jìn)行審計。 4.2基于風(fēng)險評估的審計標(biāo)準(zhǔn)基于風(fēng)險評估的審計標(biāo)準(zhǔn) cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n風(fēng)險分析風(fēng)險分析 n風(fēng)險控制目前是企業(yè)關(guān)注的重點，其前提首先要對企業(yè)面臨的風(fēng)風(fēng)險控制目前是企業(yè)關(guān)注的重點，其前提首先要對企業(yè)面臨的風(fēng) 險有一個全面的認(rèn)識險有一個全面的認(rèn)識 u組織中最重要的業(yè)務(wù)環(huán)節(jié)是什么？這些部分是如何使用與處理信 息的？信息系統(tǒng)對這些部分的重要性如何？ u組織的信息系統(tǒng)在產(chǎn)生、傳輸、處理、存儲信息過程中有哪些薄 弱環(huán)節(jié)，信息的機(jī)密性、完整性、可用性需要什么樣的保護(hù)？ u當(dāng)前組織的風(fēng)險管理方法與策略是否有效

51、，是否能把風(fēng)險降低到 管理層可以接受的水平? u組織所制定的風(fēng)險控制目標(biāo)及控制方法是否考慮了成本效益原則？ u對風(fēng)險的管理是不是一個持續(xù)改善的過程？ cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n風(fēng)險計算風(fēng)險計算 n一種是定性分級一種是定性分級 ：對審計對象每一個重要風(fēng)險因素給出一個分值，把：對審計對象每一個重要風(fēng)險因素給出一個分值，把 各種因素的風(fēng)險值累計起來就是被審計對象的風(fēng)險值。要優(yōu)先對高風(fēng)險各種因素的風(fēng)險值累計起來就是被審計對象的風(fēng)險值。要優(yōu)先對高風(fēng)險 區(qū)域進(jìn)行審計。區(qū)域進(jìn)行審計。 n另一種技術(shù)是審計師根據(jù)專業(yè)經(jīng)驗、業(yè)務(wù)知識、管理層的指導(dǎo)、業(yè)務(wù)另一種技術(shù)是審計師根據(jù)專業(yè)經(jīng)驗、業(yè)務(wù)知

52、識、管理層的指導(dǎo)、業(yè)務(wù) 目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險大小及審計的優(yōu)先級目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險大小及審計的優(yōu)先級 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 nitit的一般性準(zhǔn)則的一般性準(zhǔn)則 nitit與其他業(yè)務(wù)一樣都應(yīng)當(dāng)符合一般性管理原則，與其他業(yè)務(wù)一樣都應(yīng)當(dāng)符合一般性管理原則，itit的每一種缺陷的每一種缺陷 都可被追溯到違背了某些原則。都可被追溯到違背了某些原則。 nitit審計師可結(jié)合被審計對象所在的行業(yè)特征、管理原則、技術(shù)原審計師可結(jié)合被審計對象所在的行業(yè)特征、管理原則、技術(shù)原 則等制定適合自身需求的審計標(biāo)準(zhǔn)。則等制定適合自身需求的審計標(biāo)準(zhǔn)。 4.3it一般

53、性準(zhǔn)則作用標(biāo)準(zhǔn)一般性準(zhǔn)則作用標(biāo)準(zhǔn) cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n國家法律、法規(guī)國家法律、法規(guī) n如：如：中華人民共和國國家安全法中華人民共和國國家安全法、中華人民共和國計算機(jī)信息安全保護(hù)條中華人民共和國計算機(jī)信息安全保護(hù)條 例例、中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 、中華人民中華人民 共和國商用密碼管理條例共和國商用密碼管理條例等等 n行業(yè)信息安全規(guī)定行業(yè)信息安全規(guī)定 n如：如：金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)暫行規(guī)定金融機(jī)構(gòu)計算機(jī)信息系統(tǒng)安全保護(hù)暫行規(guī)定、網(wǎng)上銀行業(yè)務(wù)管理暫行網(wǎng)上銀行業(yè)務(wù)管理暫行 辦法辦法等等 n

54、組織有關(guān)信息安全的政策與程序組織有關(guān)信息安全的政策與程序 n如：某商業(yè)銀行總行制定的如：某商業(yè)銀行總行制定的大型計算機(jī)中心安全運(yùn)行管理規(guī)范大型計算機(jī)中心安全運(yùn)行管理規(guī)范、軟件投產(chǎn)軟件投產(chǎn) 制度制度、機(jī)房管理制度機(jī)房管理制度、軟件管理與電子化信息建檔制度軟件管理與電子化信息建檔制度、應(yīng)急維護(hù)應(yīng)急維護(hù) 制度制度及及計算機(jī)內(nèi)控管理制度計算機(jī)內(nèi)控管理制度等等 n以上標(biāo)準(zhǔn)以外的信息安全擴(kuò)展審計內(nèi)容以上標(biāo)準(zhǔn)以外的信息安全擴(kuò)展審計內(nèi)容 4.4遵從法規(guī)的要求作為審計標(biāo)準(zhǔn)遵從法規(guī)的要求作為審計標(biāo)準(zhǔn) cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 五、cisa簡介 it auditing cio時代：引領(lǐng)中國信息

55、化時代：引領(lǐng)中國信息化 ncisa在國內(nèi)外的發(fā)展在國內(nèi)外的發(fā)展 n注冊信息系統(tǒng)審計注冊信息系統(tǒng)審計cisa在國外已成為信息系統(tǒng)安全與鑒證領(lǐng)在國外已成為信息系統(tǒng)安全與鑒證領(lǐng) 域內(nèi)不可或缺的認(rèn)證；域內(nèi)不可或缺的認(rèn)證； n信息系統(tǒng)審計師信息系統(tǒng)審計師cisa認(rèn)證考試從認(rèn)證考試從2002年引入國內(nèi)算起已經(jīng)年引入國內(nèi)算起已經(jīng) 進(jìn)入第五個年頭了，而且從進(jìn)入第五個年頭了，而且從2003年起增加了中文考試；年起增加了中文考試； n國內(nèi)這些獲得認(rèn)證的審計師在信息安全與控制領(lǐng)域內(nèi)發(fā)揮著國內(nèi)這些獲得認(rèn)證的審計師在信息安全與控制領(lǐng)域內(nèi)發(fā)揮著 重要的作用，信息系統(tǒng)審計也越來越被國內(nèi)企業(yè)認(rèn)可，許多重要的作用，信息系統(tǒng)審計

56、也越來越被國內(nèi)企業(yè)認(rèn)可，許多 大型國有企業(yè)及跨國公司在招聘信息安全與控制方面高級管大型國有企業(yè)及跨國公司在招聘信息安全與控制方面高級管 理人員中，都明確了對理人員中，都明確了對cisa證書的要求；證書的要求； cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 n信息審計師獲取信息審計師獲取cisa認(rèn)證的優(yōu)勢認(rèn)證的優(yōu)勢 n據(jù)據(jù)2001年一項針對國際信息系統(tǒng)審計與控制協(xié)會會員中持有年一項針對國際信息系統(tǒng)審計與控制協(xié)會會員中持有cisa 證書的調(diào)查顯示，證書的調(diào)查顯示，71%的受查者認(rèn)為，獲得的受查者認(rèn)為，獲得cisa認(rèn)證對于他們的認(rèn)證對于他們的 職業(yè)生涯有幫助；職業(yè)生涯有幫助； n對不論是否持有對不

57、論是否持有cisa證書的證書的isaca會員調(diào)查顯示，更有會員調(diào)查顯示，更有75%的受的受 查者認(rèn)為通過查者認(rèn)為通過cisa對于他們將來的職業(yè)生涯會有所幫助；對于他們將來的職業(yè)生涯會有所幫助； n獲得獲得cisa認(rèn)證可以促進(jìn)工作開展或為職務(wù)升遷創(chuàng)造競爭優(yōu)勢。認(rèn)證可以促進(jìn)工作開展或為職務(wù)升遷創(chuàng)造競爭優(yōu)勢。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 ncisa知識基礎(chǔ)知識基礎(chǔ) n信息系統(tǒng)審計是一門綜合性交叉性學(xué)科，它包括了審計學(xué)、企業(yè)風(fēng)險管信息系統(tǒng)審計是一門綜合性交叉性學(xué)科，它包括了審計學(xué)、企業(yè)風(fēng)險管 理學(xué)、信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)等組成，這些學(xué)科、領(lǐng)域的理論并非簡理學(xué)、信息技術(shù)學(xué)、信息經(jīng)濟(jì)學(xué)

58、等組成，這些學(xué)科、領(lǐng)域的理論并非簡 單的疊加，而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整單的疊加，而是按照一定的秩序、規(guī)則進(jìn)行有效的組合而形成的有機(jī)整 體；體； n一名合格的信息系統(tǒng)審計師需要在企業(yè)管理理論、企業(yè)會計理論、審計一名合格的信息系統(tǒng)審計師需要在企業(yè)管理理論、企業(yè)會計理論、審計 理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實的知理論、信息技術(shù)理論、行為科學(xué)、信息安全、法律等方面具背扎實的知 識基礎(chǔ)和綜合運(yùn)用知識的技能。識基礎(chǔ)和綜合運(yùn)用知識的技能。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 ncisa知識結(jié)構(gòu)及職業(yè)方向知識結(jié)構(gòu)及職業(yè)方向 cio時代：引領(lǐng)中國

59、信息化時代：引領(lǐng)中國信息化 n獲得獲得cisa認(rèn)證的前提認(rèn)證的前提 n通過通過cisa考試；考試； n遵守國際信息系統(tǒng)審計與控制協(xié)會的遵守國際信息系統(tǒng)審計與控制協(xié)會的職業(yè)道德規(guī)范職業(yè)道德規(guī)范，此規(guī)范，此規(guī)范 已列入已列入cisa考試申請人指南考試申請人指南中，供應(yīng)考人參考；中，供應(yīng)考人參考； n在信息系統(tǒng)審計、控制、或安全領(lǐng)域在信息系統(tǒng)審計、控制、或安全領(lǐng)域5年以上工作經(jīng)驗的證明。年以上工作經(jīng)驗的證明。 n提出提出cisa資格申請并得到批準(zhǔn)。資格申請并得到批準(zhǔn)。 n專業(yè)經(jīng)驗必須在申請前的專業(yè)經(jīng)驗必須在申請前的10 年之內(nèi)獲得，認(rèn)證申請必須在通過年之內(nèi)獲得，認(rèn)證申請必須在通過cisa 考試的考試

60、的5 年之內(nèi)提出；年之內(nèi)提出； n專業(yè)經(jīng)驗必須由原雇主獨(dú)立地確認(rèn)。專業(yè)經(jīng)驗必須由原雇主獨(dú)立地確認(rèn)。 cio時代：引領(lǐng)中國信息化時代：引領(lǐng)中國信息化 ncisa報名報名 n從從isaca網(wǎng)站下載報名表，填好后寄出；網(wǎng)站下載報名表，填好后寄出； n或或在線報名在線報名(/examreg)，isaca鼓勵在線報名，可省鼓勵在線報名，可省$35； n在在cisa考試前考試前2 到到3 周，你會收到考試機(jī)構(gòu)寄來的準(zhǔn)考證以及來自周，你會收到考試機(jī)構(gòu)寄來的準(zhǔn)考證以及來自 isaca 的電子準(zhǔn)考證。準(zhǔn)考證上標(biāo)明了考試的日期、入場登記時間與考的電子準(zhǔn)考證。準(zhǔn)考證上標(biāo)明了考試的日期、入場