CISAIT审计实务培训1理论专题

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Feb, 2008,杨洋，,金融企业IT审计实务培训,1. 重要概念与理论专题,（）,Feb, 2008,主讲人简介,杨洋,管理学博士（信息管理与信息安全方向，同济大学）,会计学学士、硕士（东北财经大学）,高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer,目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术,Feb, 2008,1. IT审计的概念,2. IT审计的目标,3. IT审计的形式,4. IT审计的发展历史,一、 IT审计概述,Feb, 2008,“收集并评估证据，以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。（Ron Weber）,IS audit 注重应用系统审计，开发流程，已建立系统的应用，基于应用系统。,IT audit 注重基础设施安全，一般控制审计，侧重安全，不针对单个系统。,1. IT审计概念,Feb, 2008,2. IT审计的四个目标,Asset Security（资产安全性）,Effectivity（系统有效性）,Efficiency（系统效率性）,Data Integrity（数据完整性）,Compliance（合规性）,Feb, 2008,3. IT审计的实施方式,定期全面审计,对委托单位的全部信息系统的整体情况进行评价和建议，包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面（计划、组织、流程、培训）等情况。,具体项目审计,针对具体某个信息化项目的建设进行全周期（从规划到验收）或指定阶段（如单独的后评估）的监理与建议。,专项审计,根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议，比如对委托单位的信息系统安全审计。,Feb, 2008,IT审计的组织模式,作为内部审计部门的组成,成立单独的IT审计或评价部门,委托外部审计机构,混合模式,Feb, 2008,外审视角（签证目标）：,资产安全性,数据完整性,合规性,内审视角（管理目标）还包括：,系统有效性,系统效率性,外审与内审,Feb, 2008,4. IT审计的发展历史,EDP审计阶段为财务审计的数据获取提供帮助,1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA）,内控系统审计阶段为财务审计的符合性测试提供帮助,独立的信息系统审计完全超出财务报表范围，直接为企业信息系统的各方面情况进行审计,1994年该协会更名为信息系统审计与控制协会即ISACA，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，是从事信息系统审计的专业人员唯一的国际性组织，CISA也是这一领域的唯一职业资格。,Feb, 2008,1. 总体发展趋势,2. 金融企业IT审计发展趋势,二、 IT审计发展现状与趋势,Feb, 2008,1. 总体发展现状与趋势,国外各类企业IT审计,典型国家简介：美国、澳大利亚,SOX法案对企业实施IT审计的影响,特点与趋势：,仍以内审为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计并行,Feb, 2008,1. 总体发展现状与趋势,国外政府机构IT审计,英国绩效审计中的IT审计,日本对国家投资项目的IT审计,美国联邦政府的IT审计,特点与趋势：,外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果,Feb, 2008,1. 总体发展现状与趋势,国内IT审计发展现状,国内IT审计的起步,地区性分布：珠三角长三角北京,从业人员与机构,特点与趋势：,目前以SOX审计为主,外审需求较低，内审已经开始发展,自上而下推动，以合规审计为主,Feb, 2008,1. 总体发展现状与趋势,国内相关机构简介,审计署与信息产业部对IT审计的理解和推动,各类审计、咨询公司对IT审计的理解和推动,相关学术团体及成果,国内IT审计案例简介,某国有通信服务企业IT审计概述,Feb, 2008,2. 金融企业IT审计发展现状与趋势,金融企业IT审计的特点,需求更急切，开展更早,更为关注安全性,业务变更频繁，直接影响风险,联网率高，风险扩散迅速,数据量大，审计成本高,岗位复杂，分权失效风险大, ,Feb, 2008,2. 金融企业IT审计发展现状与趋势,国外金融企业IT审计典型案例,案例1：银行IT审计架构,案例2：银行一般控制审计与发现,案例3：银行业务系统审计与发现,Feb, 2008,2. 金融企业IT审计发展现状与趋势,国内金融企业IT审计典型案例,案例1：基于COBIT的IT审计架构,案例2：再贴现业务系统审计与发现,案例3：个人消费信贷系统审计案例,Feb, 2008,2. 金融企业IT审计发展现状与趋势,趋势展望,越发强调事前参与和事中控制，建设多重IT控制框架,应用控制审计与财务审计紧密结合,持续在线审计技术将深入应用,Feb, 2008,1. IT审计师的能力和胜任,2. 行业协会简介,3. CISA考试简介,三、 执业资格与认证,Feb, 2008,1. IT审计师的能力和胜任,再谈IT审计师的素质,管理 vs 技术,IT审计师不必是IT专家，不需要开发经验？,IT审计师是IT专家又能怎样？,应该具备的素质,系统的理解力,沟通能力与责任心,对不同技术的敏感性,丰富的系统经验,Feb, 2008,1. IT审计师的能力和胜任,演示案例：,某机关重要文档在线管理系统,职业道德要求,事情考虑：,是否充分了解目标系统？,是否能够调动足够资源？,时间与成本是否允许？,Feb, 2008,2. 行业协会简介,各会计、审计组织与IT审计,各信息安全组织与IT审计,ISACA（Information System Audit and Control Association）,Feb, 2008,3. CISA考试简介,基本素质要求：,良好的职业道德观念,较全面的计算机技术知识,基本的风险基础审计理论,管理学知识,自主学习的能力,实际从事IT业或审计业的工作经验,Feb, 2008,3. CISA考试简介,认证要求：,具备前述条件,通过CISA考试,每年一次，100分/70分，英文/中文,具有5年相关工作经验,相关大学学历可减免两年,遵守执业规范，参加后续教育,Feb, 2008,CISA考试时间点（2007下半年）,07-08-15优惠报名费截止日,07-09-26 报名截止日,07-10-19 变更考试注册信息截止日,07-12-1 之前 发放电子准考证,07-12-8 CISA考试日,08-2-20左右 开始发布成绩,实际时间可能变更，请关注ISACA官方网站,Feb, 2008,Feb, 2008,CISA考试注意事项,入场时间：8：00- 8：30 （8：30以后不能入场）,准备时间：8：30- 9：00,考试时间：9：00-13：00（4小时）,地点：考场位置提前查看,英文考场/中文考场,实际时间可能变更，请关注ISACA官方网站,Feb, 2008,CISA考试注意事项,必带物品：身份证，准考证，表，HB/2B铅笔，橡皮,禁止物品：手机，书，笔记，字典等,水/食品：只能在考场饮水区喝水/吃食品,衣服：注意环境，可能很冷（空调教室）,药品：胃药、止泻药、其他,Feb, 2008,CISA考试注意事项,每道题有且只有一个正确选项,200道选择题，无倒扣，标准分,正确填涂,Feb, 2008,学习资料,Review Manual,CISA Review Questions， Answers and Explanations Manual,Feb, 2008,备考方法,反复读书，领会细节,反复作题，关注错误,情景思考，注重人性,牢记术语，前后比较,实践为本，相信直觉,Feb, 2008,1. 重要性（重大性）,2. 审计报告与披露,3. 一般控制审计与应用控制审计,4. 对信息系统生命周期各阶段的审计,四、 重要理论专题,Feb, 2008,1. 重要性（重大性）,重要性,概念回顾,可容忍差错的最高界限,案例：财务审计中的重要性水平设定,IT审计的重要性,难题,不再有“笔误”！,系统互联“错误乘数”,Feb, 2008,1. 重要性（重大性）与独立性,如何确定重要性？,对各级管理层的影响,不采取措施的后果,职业判断,案例探讨,Feb, 2008,2. 审计报告与披露,格式规范：,无一定之规,ISACA S7 & S8,一般内容：,简介：背景、目标、时间、方法论等,整体结论,详细审计发现,审计限制,遵循标准与指南,Feb, 2008,2. 审计报告与披露,案例：国外审计报告导读,美国能源部 设施信息管理系统审计报告,Feb, 2008,2. 审计报告与披露,审计披露与职业判断,案例：银行IT经理临时修改授权,审计披露与客户阻力,案例：银行IT经理限制关键服务器取证,审计披露与职业道德,案例：违反联邦储备局管理规范的银行系统,Feb, 2008,3. 一般控制与应用控制,概念区分,一般控制审计的特点和目的,应用控制审计的特点和目的,Feb, 2008,3. 一般控制与应用控制,二者联系,大多数应用控制审计均会涉及一般控制审计,技术与工具的比较,审计依据：Checklist vs 系统文档等,主要关注：IT管理流程 vs 系统具体情况,一般工具：观察、调阅、询问,高级手段：穿透测试 vs 代码、数据分析等,Feb, 2008,3. 一般控制与应用控制,相关问题：控制测试与实质性测试,概念回顾,实质性测试成本大于控制测试？,Feb, 2008,4. 信息系统生命周期的IT审计,系统规划阶段的IT审计,系统开发获取与实施阶段的IT审计,系统运营阶段的IT审计,系统废弃与升级阶段的IT审计,Feb, 2008,谢谢大家，欢迎交流!,杨洋（,yy.ok.）,Feb, 2008,