CISA-IT審計(jì)實(shí)務(wù)培訓(xùn)1-理論專題課件

金融企業(yè)IT審計(jì)實(shí)務(wù)培訓(xùn) —— 1.重要概念與理論專題楊洋（yycisa@263.net）金融企業(yè)IT審計(jì)實(shí)務(wù)培訓(xùn) —— 1.重要概念與理論專題楊1主講人簡(jiǎn)介楊洋管理學(xué)博士（信息管理與信息安全方向，同濟(jì)大學(xué)）會(huì)計(jì)學(xué)學(xué)士、碩士（東北財(cái)經(jīng)大學(xué)）高級(jí)程序員（1998），CISA（2002）,SCJP，IBM電子商務(wù)咨詢師，IBMWSADDeveloper目前為同濟(jì)大學(xué)電信學(xué)院博士后，主要研究領(lǐng)域：基于移動(dòng)計(jì)算的安全接入關(guān)鍵技術(shù)主講人簡(jiǎn)介楊洋21.IT審計(jì)的概念2.IT審計(jì)的目標(biāo)3.IT審計(jì)的形式4.IT審計(jì)的發(fā)展歷史一、IT審計(jì)概述1.IT審計(jì)的概念一、IT審計(jì)概述3“收集并評(píng)估證據(jù)，以判斷一個(gè)信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。（RonWeber）ISaudit注重應(yīng)用系統(tǒng)審計(jì)，開發(fā)流程，已建立系統(tǒng)的應(yīng)用，基于應(yīng)用系統(tǒng)。ITaudit注重基礎(chǔ)設(shè)施安全，一般控制審計(jì)，側(cè)重安全，不針對(duì)單個(gè)系統(tǒng)。1.IT審計(jì)概念“收集并評(píng)估證據(jù)，以判斷一個(gè)信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維42.IT審計(jì)的四個(gè)目標(biāo)AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）Compliance （合規(guī)性）2.IT審計(jì)的四個(gè)目標(biāo)AssetSecurity（資產(chǎn)安53.IT審計(jì)的實(shí)施方式定期全面審計(jì) 對(duì)委托單位的全部信息系統(tǒng)的整體情況進(jìn)行評(píng)價(jià)和建議，包括在建項(xiàng)目的執(zhí)行情況、已運(yùn)行系統(tǒng)的安全和有效性、其他與信息化相關(guān)的方面（計(jì)劃、組織、流程、培訓(xùn)）等情況。具體項(xiàng)目審計(jì) 針對(duì)具體某個(gè)信息化項(xiàng)目的建設(shè)進(jìn)行全周期（從規(guī)劃到驗(yàn)收）或指定階段（如單獨(dú)的后評(píng)估）的監(jiān)理與建議。專項(xiàng)審計(jì) 根據(jù)委托單位的特別要求針對(duì)信息化的某個(gè)層面進(jìn)行專門的評(píng)價(jià)和建議，比如對(duì)委托單位的信息系統(tǒng)安全審計(jì)。3.IT審計(jì)的實(shí)施方式定期全面審計(jì)6IT審計(jì)的組織模式作為內(nèi)部審計(jì)部門的組成成立單獨(dú)的IT審計(jì)或評(píng)價(jià)部門委托外部審計(jì)機(jī)構(gòu)混合模式IT審計(jì)的組織模式作為內(nèi)部審計(jì)部門的組成7外審視角（簽證目標(biāo)）：資產(chǎn)安全性數(shù)據(jù)完整性合規(guī)性內(nèi)審視角（管理目標(biāo)）還包括：系統(tǒng)有效性系統(tǒng)效率性外審與內(nèi)審?fù)鈱徱暯牵ê炞C目標(biāo)）：外審與內(nèi)審84.IT審計(jì)的發(fā)展歷史EDP審計(jì)階段——為財(cái)務(wù)審計(jì)的數(shù)據(jù)獲取提供幫助1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）內(nèi)控系統(tǒng)審計(jì)階段——為財(cái)務(wù)審計(jì)的符合性測(cè)試提供幫助獨(dú)立的信息系統(tǒng)審計(jì)——完全超出財(cái)務(wù)報(bào)表范圍，直接為企業(yè)信息系統(tǒng)的各方面情況進(jìn)行審計(jì)

1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)即ISACA，總部設(shè)在美國(guó)芝加哥。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，是從事信息系統(tǒng)審計(jì)的專業(yè)人員唯一的國(guó)際性組織，CISA也是這一領(lǐng)域的唯一職業(yè)資格。4.IT審計(jì)的發(fā)展歷史EDP審計(jì)階段——為財(cái)務(wù)審計(jì)的數(shù)據(jù)獲9 1.總體發(fā)展趨勢(shì)

2.金融企業(yè)IT審計(jì)發(fā)展趨勢(shì)二、IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)二、IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)101.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外各類企業(yè)IT審計(jì)典型國(guó)家簡(jiǎn)介：美國(guó)、澳大利亞SOX法案對(duì)企業(yè)實(shí)施IT審計(jì)的影響特點(diǎn)與趨勢(shì)：仍以內(nèi)審為主從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過渡一般控制審計(jì)與應(yīng)用控制審計(jì)并行1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外各類企業(yè)IT審計(jì)111.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外政府機(jī)構(gòu)IT審計(jì)英國(guó)績(jī)效審計(jì)中的IT審計(jì)日本對(duì)國(guó)家投資項(xiàng)目的IT審計(jì)美國(guó)聯(lián)邦政府的IT審計(jì)特點(diǎn)與趨勢(shì)：外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合融入績(jī)效預(yù)算管理體系關(guān)注系統(tǒng)最終效果1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外政府機(jī)構(gòu)IT審計(jì)121.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)IT審計(jì)發(fā)展現(xiàn)狀國(guó)內(nèi)IT審計(jì)的起步地區(qū)性分布：珠三角——長(zhǎng)三角——北京從業(yè)人員與機(jī)構(gòu)特點(diǎn)與趨勢(shì)：目前以SOX審計(jì)為主外審需求較低，內(nèi)審已經(jīng)開始發(fā)展自上而下推動(dòng)，以合規(guī)審計(jì)為主1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)IT審計(jì)發(fā)展現(xiàn)狀131.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)相關(guān)機(jī)構(gòu)簡(jiǎn)介審計(jì)署與信息產(chǎn)業(yè)部對(duì)IT審計(jì)的理解和推動(dòng)各類審計(jì)、咨詢公司對(duì)IT審計(jì)的理解和推動(dòng)相關(guān)學(xué)術(shù)團(tuán)體及成果國(guó)內(nèi)IT審計(jì)案例簡(jiǎn)介某國(guó)有通信服務(wù)企業(yè)IT審計(jì)概述1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)相關(guān)機(jī)構(gòu)簡(jiǎn)介142.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)金融企業(yè)IT審計(jì)的特點(diǎn)需求更急切，開展更早更為關(guān)注安全性業(yè)務(wù)變更頻繁，直接影響風(fēng)險(xiǎn)聯(lián)網(wǎng)率高，風(fēng)險(xiǎn)擴(kuò)散迅速數(shù)據(jù)量大，審計(jì)成本高崗位復(fù)雜，分權(quán)失效風(fēng)險(xiǎn)大……2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)金融企業(yè)IT審計(jì)的特點(diǎn)152.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外金融企業(yè)IT審計(jì)典型案例案例1：銀行IT審計(jì)架構(gòu)案例2：銀行一般控制審計(jì)與發(fā)現(xiàn)案例3：銀行業(yè)務(wù)系統(tǒng)審計(jì)與發(fā)現(xiàn)2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外金融企業(yè)IT審計(jì)典型162.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)金融企業(yè)IT審計(jì)典型案例案例1：基于COBIT的IT審計(jì)架構(gòu)案例2：再貼現(xiàn)業(yè)務(wù)系統(tǒng)審計(jì)與發(fā)現(xiàn)案例3：個(gè)人消費(fèi)信貸系統(tǒng)審計(jì)案例2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)金融企業(yè)IT審計(jì)典型172.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)趨勢(shì)展望越發(fā)強(qiáng)調(diào)事前參與和事中控制，建設(shè)多重IT控制框架應(yīng)用控制審計(jì)與財(cái)務(wù)審計(jì)緊密結(jié)合持續(xù)在線審計(jì)技術(shù)將深入應(yīng)用2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)趨勢(shì)展望18 1.IT審計(jì)師的能力和勝任 2.行業(yè)協(xié)會(huì)簡(jiǎn)介 3.CISA考試簡(jiǎn)介

三、執(zhí)業(yè)資格與認(rèn)證三、執(zhí)業(yè)資格與認(rèn)證191.IT審計(jì)師的能力和勝任再談IT審計(jì)師的素質(zhì)管理vs技術(shù)IT審計(jì)師不必是IT專家，不需要開發(fā)經(jīng)驗(yàn)？IT審計(jì)師是IT專家又能怎樣？應(yīng)該具備的素質(zhì)系統(tǒng)的理解力溝通能力與責(zé)任心對(duì)不同技術(shù)的敏感性豐富的系統(tǒng)經(jīng)驗(yàn)1.IT審計(jì)師的能力和勝任再談IT審計(jì)師的素質(zhì)201.IT審計(jì)師的能力和勝任演示案例：某機(jī)關(guān)重要文檔在線管理系統(tǒng)職業(yè)道德要求事情考慮：是否充分了解目標(biāo)系統(tǒng)？是否能夠調(diào)動(dòng)足夠資源？時(shí)間與成本是否允許？……1.IT審計(jì)師的能力和勝任演示案例：212.行業(yè)協(xié)會(huì)簡(jiǎn)介各會(huì)計(jì)、審計(jì)組織與IT審計(jì)各信息安全組織與IT審計(jì)ISACA（InformationSystemAuditandControlAssociation）2.行業(yè)協(xié)會(huì)簡(jiǎn)介各會(huì)計(jì)、審計(jì)組織與IT審計(jì)223.CISA考試簡(jiǎn)介基本素質(zhì)要求：良好的職業(yè)道德觀念較全面的計(jì)算機(jī)技術(shù)知識(shí)基本的風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論管理學(xué)知識(shí)自主學(xué)習(xí)的能力實(shí)際從事IT業(yè)或?qū)徲?jì)業(yè)的工作經(jīng)驗(yàn)3.CISA考試簡(jiǎn)介基本素質(zhì)要求：233.CISA考試簡(jiǎn)介認(rèn)證要求：具備前述條件通過CISA考試 每年一次，100分/70分，英文/中文具有5年相關(guān)工作經(jīng)驗(yàn)相關(guān)大學(xué)學(xué)歷可減免兩年遵守執(zhí)業(yè)規(guī)范，參加后續(xù)教育3.CISA考試簡(jiǎn)介認(rèn)證要求：24CISA考試時(shí)間點(diǎn)（2007下半年）07-08-15 優(yōu)惠報(bào)名費(fèi)截止日07-09-26 報(bào)名截止日07-10-19 變更考試注冊(cè)信息截止日07-12-1之前 發(fā)放電子準(zhǔn)考證07-12-8 CISA考試日08-2-20 左右 開始發(fā)布成績(jī)實(shí)際時(shí)間可能變更，請(qǐng)關(guān)注ISACA官方網(wǎng)站CISA考試時(shí)間點(diǎn)（2007下半年）07-08-15 優(yōu)惠25CISA-IT審計(jì)實(shí)務(wù)培訓(xùn)1-理論專題課件26CISA考試注意事項(xiàng)入場(chǎng)時(shí)間：8：00----8：30（8：30以后不能入場(chǎng)）準(zhǔn)備時(shí)間：8：30----9：00考試時(shí)間：9：00----13：00（4小時(shí)）地點(diǎn)：考場(chǎng)位置提前查看英文考場(chǎng)/中文考場(chǎng)實(shí)際時(shí)間可能變更，請(qǐng)關(guān)注ISACA官方網(wǎng)站CISA考試注意事項(xiàng)入場(chǎng)時(shí)間：8：00----8：3027CISA考試注意事項(xiàng)必帶物品：身份證，準(zhǔn)考證，表，HB/2B鉛筆，橡皮禁止物品：手機(jī)，書，筆記，字典等水/食品：只能在考場(chǎng)飲水區(qū)喝水/吃食品衣服：注意環(huán)境，可能很冷（空調(diào)教室）藥品：胃藥、止瀉藥、其他CISA考試注意事項(xiàng)必帶物品：身份證，準(zhǔn)考證，表，HB/2B28CISA考試注意事項(xiàng)每道題有且只有一個(gè)正確選項(xiàng)200道選擇題，無(wú)倒扣，標(biāo)準(zhǔn)分正確填涂CISA考試注意事項(xiàng)每道題有且只有一個(gè)正確選項(xiàng)29學(xué)習(xí)資料ReviewManualCISAReviewQuestions，AnswersandExplanationsManual學(xué)習(xí)資料ReviewManual30備考方法反復(fù)讀書，領(lǐng)會(huì)細(xì)節(jié)反復(fù)作題，關(guān)注錯(cuò)誤情景思考，注重人性牢記術(shù)語(yǔ)，前后比較實(shí)踐為本，相信直覺備考方法反復(fù)讀書，領(lǐng)會(huì)細(xì)節(jié)31 1.重要性（重大性） 2.審計(jì)報(bào)告與披露 3.一般控制審計(jì)與應(yīng)用控制審計(jì) 4.對(duì)信息系統(tǒng)生命周期各階段的審計(jì)四、重要理論專題四、重要理論專題321.重要性（重大性）重要性概念回顧可容忍差錯(cuò)的最高界限案例：財(cái)務(wù)審計(jì)中的重要性水平設(shè)定IT審計(jì)的重要性難題不再有“筆誤”！系統(tǒng)互聯(lián)——“錯(cuò)誤乘數(shù)”1.重要性（重大性）重要性概念回顧331.重要性（重大性）與獨(dú)立性如何確定重要性？對(duì)各級(jí)管理層的影響不采取措施的后果職業(yè)判斷案例探討1.重要性（重大性）與獨(dú)立性如何確定重要性？342.審計(jì)報(bào)告與披露格式規(guī)范：無(wú)一定之規(guī)ISACAS7&S8一般內(nèi)容：簡(jiǎn)介：背景、目標(biāo)、時(shí)間、方法論等整體結(jié)論詳細(xì)審計(jì)發(fā)現(xiàn)審計(jì)限制遵循標(biāo)準(zhǔn)與指南2.審計(jì)報(bào)告與披露格式規(guī)范：352.審計(jì)報(bào)告與披露案例：國(guó)外審計(jì)報(bào)告導(dǎo)讀美國(guó)能源部設(shè)施信息管理系統(tǒng)審計(jì)報(bào)告2.審計(jì)報(bào)告與披露案例：國(guó)外審計(jì)報(bào)告導(dǎo)讀362.審計(jì)報(bào)告與披露審計(jì)披露與職業(yè)判斷案例：銀行IT經(jīng)理臨時(shí)修改授權(quán)審計(jì)披露與客戶阻力案例：銀行IT經(jīng)理限制關(guān)鍵服務(wù)器取證審計(jì)披露與職業(yè)道德案例：違反聯(lián)邦儲(chǔ)備局管理規(guī)范的銀行系統(tǒng)2.審計(jì)報(bào)告與披露審計(jì)披露與職業(yè)判斷373.一般控制與應(yīng)用控制概念區(qū)分一般控制審計(jì)的特點(diǎn)和目的應(yīng)用控制審計(jì)的特點(diǎn)和目的3.一般控制與應(yīng)用控制概念區(qū)分383.一般控制與應(yīng)用控制二者聯(lián)系大多數(shù)應(yīng)用控制審計(jì)均會(huì)涉及一般控制審計(jì)技術(shù)與工具的比較審計(jì)依據(jù)：Checklistvs系統(tǒng)文檔等主要關(guān)注：IT管理流程vs系統(tǒng)具體情況一般工具：觀察、調(diào)閱、詢問高級(jí)手段：穿透測(cè)試vs代碼、數(shù)據(jù)分析等3.一般控制與應(yīng)用控制二者聯(lián)系393.一般控制與應(yīng)用控制相關(guān)問題：控制測(cè)試與實(shí)質(zhì)性測(cè)試概念回顧實(shí)質(zhì)性測(cè)試成本大于控制測(cè)試？3.一般控制與應(yīng)用控制相關(guān)問題：控制測(cè)試與實(shí)質(zhì)性測(cè)試404.信息系統(tǒng)生命周期的IT審計(jì)系統(tǒng)規(guī)劃階段的IT審計(jì)系統(tǒng)開發(fā)獲取與實(shí)施階段的IT審計(jì)系統(tǒng)運(yùn)營(yíng)階段的IT審計(jì)系統(tǒng)廢棄與升級(jí)階段的IT審計(jì)4.信息系統(tǒng)生命周期的IT審計(jì)系統(tǒng)規(guī)劃階段的IT審計(jì)41

謝謝大家，歡迎交流!

楊洋（yy.ok.2000@263.net）

42金融企業(yè)IT審計(jì)實(shí)務(wù)培訓(xùn) —— 1.重要概念與理論專題楊洋（yycisa@263.net）金融企業(yè)IT審計(jì)實(shí)務(wù)培訓(xùn) —— 1.重要概念與理論專題楊43主講人簡(jiǎn)介楊洋管理學(xué)博士（信息管理與信息安全方向，同濟(jì)大學(xué)）會(huì)計(jì)學(xué)學(xué)士、碩士（東北財(cái)經(jīng)大學(xué)）高級(jí)程序員（1998），CISA（2002）,SCJP，IBM電子商務(wù)咨詢師，IBMWSADDeveloper目前為同濟(jì)大學(xué)電信學(xué)院博士后，主要研究領(lǐng)域：基于移動(dòng)計(jì)算的安全接入關(guān)鍵技術(shù)主講人簡(jiǎn)介楊洋441.IT審計(jì)的概念2.IT審計(jì)的目標(biāo)3.IT審計(jì)的形式4.IT審計(jì)的發(fā)展歷史一、IT審計(jì)概述1.IT審計(jì)的概念一、IT審計(jì)概述45“收集并評(píng)估證據(jù)，以判斷一個(gè)信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)的使用資源”。（RonWeber）ISaudit注重應(yīng)用系統(tǒng)審計(jì)，開發(fā)流程，已建立系統(tǒng)的應(yīng)用，基于應(yīng)用系統(tǒng)。ITaudit注重基礎(chǔ)設(shè)施安全，一般控制審計(jì)，側(cè)重安全，不針對(duì)單個(gè)系統(tǒng)。1.IT審計(jì)概念“收集并評(píng)估證據(jù)，以判斷一個(gè)信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維462.IT審計(jì)的四個(gè)目標(biāo)AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）Compliance （合規(guī)性）2.IT審計(jì)的四個(gè)目標(biāo)AssetSecurity（資產(chǎn)安473.IT審計(jì)的實(shí)施方式定期全面審計(jì) 對(duì)委托單位的全部信息系統(tǒng)的整體情況進(jìn)行評(píng)價(jià)和建議，包括在建項(xiàng)目的執(zhí)行情況、已運(yùn)行系統(tǒng)的安全和有效性、其他與信息化相關(guān)的方面（計(jì)劃、組織、流程、培訓(xùn)）等情況。具體項(xiàng)目審計(jì) 針對(duì)具體某個(gè)信息化項(xiàng)目的建設(shè)進(jìn)行全周期（從規(guī)劃到驗(yàn)收）或指定階段（如單獨(dú)的后評(píng)估）的監(jiān)理與建議。專項(xiàng)審計(jì) 根據(jù)委托單位的特別要求針對(duì)信息化的某個(gè)層面進(jìn)行專門的評(píng)價(jià)和建議，比如對(duì)委托單位的信息系統(tǒng)安全審計(jì)。3.IT審計(jì)的實(shí)施方式定期全面審計(jì)48IT審計(jì)的組織模式作為內(nèi)部審計(jì)部門的組成成立單獨(dú)的IT審計(jì)或評(píng)價(jià)部門委托外部審計(jì)機(jī)構(gòu)混合模式IT審計(jì)的組織模式作為內(nèi)部審計(jì)部門的組成49外審視角（簽證目標(biāo)）：資產(chǎn)安全性數(shù)據(jù)完整性合規(guī)性內(nèi)審視角（管理目標(biāo)）還包括：系統(tǒng)有效性系統(tǒng)效率性外審與內(nèi)審?fù)鈱徱暯牵ê炞C目標(biāo)）：外審與內(nèi)審504.IT審計(jì)的發(fā)展歷史EDP審計(jì)階段——為財(cái)務(wù)審計(jì)的數(shù)據(jù)獲取提供幫助1969年在洛杉磯成立了電子數(shù)據(jù)處理審計(jì)師協(xié)會(huì)（EDPAA）內(nèi)控系統(tǒng)審計(jì)階段——為財(cái)務(wù)審計(jì)的符合性測(cè)試提供幫助獨(dú)立的信息系統(tǒng)審計(jì)——完全超出財(cái)務(wù)報(bào)表范圍，直接為企業(yè)信息系統(tǒng)的各方面情況進(jìn)行審計(jì)

1994年該協(xié)會(huì)更名為信息系統(tǒng)審計(jì)與控制協(xié)會(huì)即ISACA，總部設(shè)在美國(guó)芝加哥。目前該組織在世界上100多個(gè)國(guó)家設(shè)有160多個(gè)分會(huì)，現(xiàn)有會(huì)員兩萬(wàn)多人，是從事信息系統(tǒng)審計(jì)的專業(yè)人員唯一的國(guó)際性組織，CISA也是這一領(lǐng)域的唯一職業(yè)資格。4.IT審計(jì)的發(fā)展歷史EDP審計(jì)階段——為財(cái)務(wù)審計(jì)的數(shù)據(jù)獲51 1.總體發(fā)展趨勢(shì)

2.金融企業(yè)IT審計(jì)發(fā)展趨勢(shì)二、IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)二、IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)521.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外各類企業(yè)IT審計(jì)典型國(guó)家簡(jiǎn)介：美國(guó)、澳大利亞SOX法案對(duì)企業(yè)實(shí)施IT審計(jì)的影響特點(diǎn)與趨勢(shì)：仍以內(nèi)審為主從關(guān)注安全向關(guān)注業(yè)務(wù)目標(biāo)過渡一般控制審計(jì)與應(yīng)用控制審計(jì)并行1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外各類企業(yè)IT審計(jì)531.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外政府機(jī)構(gòu)IT審計(jì)英國(guó)績(jī)效審計(jì)中的IT審計(jì)日本對(duì)國(guó)家投資項(xiàng)目的IT審計(jì)美國(guó)聯(lián)邦政府的IT審計(jì)特點(diǎn)與趨勢(shì)：外部審計(jì)與政府內(nèi)部審計(jì)結(jié)合融入績(jī)效預(yù)算管理體系關(guān)注系統(tǒng)最終效果1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外政府機(jī)構(gòu)IT審計(jì)541.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)IT審計(jì)發(fā)展現(xiàn)狀國(guó)內(nèi)IT審計(jì)的起步地區(qū)性分布：珠三角——長(zhǎng)三角——北京從業(yè)人員與機(jī)構(gòu)特點(diǎn)與趨勢(shì)：目前以SOX審計(jì)為主外審需求較低，內(nèi)審已經(jīng)開始發(fā)展自上而下推動(dòng)，以合規(guī)審計(jì)為主1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)IT審計(jì)發(fā)展現(xiàn)狀551.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)相關(guān)機(jī)構(gòu)簡(jiǎn)介審計(jì)署與信息產(chǎn)業(yè)部對(duì)IT審計(jì)的理解和推動(dòng)各類審計(jì)、咨詢公司對(duì)IT審計(jì)的理解和推動(dòng)相關(guān)學(xué)術(shù)團(tuán)體及成果國(guó)內(nèi)IT審計(jì)案例簡(jiǎn)介某國(guó)有通信服務(wù)企業(yè)IT審計(jì)概述1.總體發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)相關(guān)機(jī)構(gòu)簡(jiǎn)介562.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)金融企業(yè)IT審計(jì)的特點(diǎn)需求更急切，開展更早更為關(guān)注安全性業(yè)務(wù)變更頻繁，直接影響風(fēng)險(xiǎn)聯(lián)網(wǎng)率高，風(fēng)險(xiǎn)擴(kuò)散迅速數(shù)據(jù)量大，審計(jì)成本高崗位復(fù)雜，分權(quán)失效風(fēng)險(xiǎn)大……2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)金融企業(yè)IT審計(jì)的特點(diǎn)572.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外金融企業(yè)IT審計(jì)典型案例案例1：銀行IT審計(jì)架構(gòu)案例2：銀行一般控制審計(jì)與發(fā)現(xiàn)案例3：銀行業(yè)務(wù)系統(tǒng)審計(jì)與發(fā)現(xiàn)2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)外金融企業(yè)IT審計(jì)典型582.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)金融企業(yè)IT審計(jì)典型案例案例1：基于COBIT的IT審計(jì)架構(gòu)案例2：再貼現(xiàn)業(yè)務(wù)系統(tǒng)審計(jì)與發(fā)現(xiàn)案例3：個(gè)人消費(fèi)信貸系統(tǒng)審計(jì)案例2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)國(guó)內(nèi)金融企業(yè)IT審計(jì)典型592.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)趨勢(shì)展望越發(fā)強(qiáng)調(diào)事前參與和事中控制，建設(shè)多重IT控制框架應(yīng)用控制審計(jì)與財(cái)務(wù)審計(jì)緊密結(jié)合持續(xù)在線審計(jì)技術(shù)將深入應(yīng)用2.金融企業(yè)IT審計(jì)發(fā)展現(xiàn)狀與趨勢(shì)趨勢(shì)展望60 1.IT審計(jì)師的能力和勝任 2.行業(yè)協(xié)會(huì)簡(jiǎn)介 3.CISA考試簡(jiǎn)介

三、執(zhí)業(yè)資格與認(rèn)證三、執(zhí)業(yè)資格與認(rèn)證611.IT審計(jì)師的能力和勝任再談IT審計(jì)師的素質(zhì)管理vs技術(shù)IT審計(jì)師不必是IT專家，不需要開發(fā)經(jīng)驗(yàn)？IT審計(jì)師是IT專家又能怎樣？應(yīng)該具備的素質(zhì)系統(tǒng)的理解力溝通能力與責(zé)任心對(duì)不同技術(shù)的敏感性豐富的系統(tǒng)經(jīng)驗(yàn)1.IT審計(jì)師的能力和勝任再談IT審計(jì)師的素質(zhì)621.IT審計(jì)師的能力和勝任演示案例：某機(jī)關(guān)重要文檔在線管理系統(tǒng)職業(yè)道德要求事情考慮：是否充分了解目標(biāo)系統(tǒng)？是否能夠調(diào)動(dòng)足夠資源？時(shí)間與成本是否允許？……1.IT審計(jì)師的能力和勝任演示案例：632.行業(yè)協(xié)會(huì)簡(jiǎn)介各會(huì)計(jì)、審計(jì)組織與IT審計(jì)各信息安全組織與IT審計(jì)ISACA（InformationSystemAuditandControlAssociation）2.行業(yè)協(xié)會(huì)簡(jiǎn)介各會(huì)計(jì)、審計(jì)組織與IT審計(jì)643.CISA考試簡(jiǎn)介基本素質(zhì)要求：良好的職業(yè)道德觀念較全面的計(jì)算機(jī)技術(shù)知識(shí)基本的風(fēng)險(xiǎn)基礎(chǔ)審計(jì)理論管理學(xué)知識(shí)自主學(xué)習(xí)的能力實(shí)際從事IT業(yè)或?qū)徲?jì)業(yè)的工作經(jīng)驗(yàn)3.CISA考試簡(jiǎn)介基本素質(zhì)要求：653.CISA考試簡(jiǎn)介認(rèn)證要求：具備前述條件通過CISA考試 每年一次，100分/70分，英文/中文具有5年相關(guān)工作經(jīng)驗(yàn)相關(guān)大學(xué)學(xué)歷可減免兩年遵守執(zhí)業(yè)規(guī)范，參加后續(xù)教育3.CISA考試簡(jiǎn)介認(rèn)證要求：66CISA考試時(shí)間點(diǎn)（2007下半年）07-08-15 優(yōu)惠報(bào)名費(fèi)截止日07-09-26 報(bào)名截止日07-10-19 變更考試注冊(cè)信息截止日07-12-1之前 發(fā)放電子準(zhǔn)考證07-12-8 CISA考試日08-2-20 左右 開始發(fā)布成績(jī)實(shí)際時(shí)間可能變更，請(qǐng)關(guān)注ISACA官方網(wǎng)站CISA考試時(shí)間點(diǎn)（2007下半年）07-08-15 優(yōu)惠67CISA-IT審計(jì)實(shí)務(wù)培訓(xùn)1-理論專題課件68CISA考試注意事項(xiàng)入場(chǎng)時(shí)間：8：00----8：30（8：30以后不能入場(chǎng)）準(zhǔn)備時(shí)間：8：30----9：00考試時(shí)間：9：00----13：00（4小時(shí)）地點(diǎn)：考場(chǎng)位置提前查看英文考場(chǎng)/中文考場(chǎng)實(shí)際時(shí)間可能變更，請(qǐng)關(guān)注ISACA官方網(wǎng)站CISA考試注意事項(xiàng)入場(chǎng)時(shí)間：8：00----8：3069CISA考試注意事項(xiàng)必帶物品：身份證，準(zhǔn)考證，表，HB/2B鉛筆，橡皮禁止物品：手機(jī)，書，筆記，字典等水/食品：只能在考場(chǎng)飲水區(qū)喝水/吃食品衣服：注意環(huán)境，可能很冷（空調(diào)教室）藥品：胃藥、止瀉藥、其他CISA考試注意事項(xiàng)必帶物品：身份證，準(zhǔn)考證，表，HB/2B70CISA考試注意事項(xiàng)每道題有且只有一個(gè)正確選項(xiàng)200道選擇題，無(wú)倒扣，標(biāo)準(zhǔn)分正確填涂CISA考試注意事項(xiàng)每道題有且只有一個(gè)正確選項(xiàng)71學(xué)習(xí)資料ReviewManualCISAReviewQuestions，AnswersandExplanationsManual學(xué)習(xí)資料ReviewManual72備考方法反復(fù)讀書，領(lǐng)會(huì)細(xì)節(jié)反復(fù)作題，關(guān)注錯(cuò)誤情景思考，注重人性牢記術(shù)語(yǔ)，前后比較實(shí)踐為本，相信直覺備考方法反復(fù)讀書，領(lǐng)會(huì)細(xì)節(jié)73 1.重要性（重大性） 2.審計(jì)報(bào)告與披露 3.一般控制審計(jì)與應(yīng)用控制