1、*保持审计独立性和胜任能力,确保审计小组所实施完成的审计任务能满足审计职能的目标要求*风险分析是审计计划的一部分,帮助 IS 审计师识别风险和脆弱性并确定降低风险所需的控制*要以审计师的视角来学习以及看待题目,组织内部的项目审计师的角色;*第一方审计:自查报告给自己高层*第二方审计:甲方审乙方*第三方审计:外审报告给公众或相关机构*按照 IT 审计标准制定并实施基于风险的 IT 审计战略*内审首先需要建立审计章程;外审首先需要合同以及委托书;*审计章程或委托书应在组织内部适当的层次得到同意和通过,一旦创立,就只有在非常必要、并经过充分的论证后才允许变更审计章程;*审计章程涵盖整个范围的审计活动
2、;合同侧重于特定的审计任务;*信息系统审计的最重要的资源是:审计师*IS 审计师应有合格的职业能力,具备进行审计工作的相应知识;IS 审计师应持续保持职业教育和培训,保持良好的职业能力;*在制定审计计划时,要通过风险评估,确认高风险区域,找到审计的重点范围,合理分配审计资源;*信息系统审计师常常关注高风险的问题,如敏感和重要信息的机密性、可用性、完整性以及生成、存储和处理这些信息的系统及流程等。在检查这类风险时,信息系统审计师常常对组织所使用的风险管理过程的有效性进行评估。*风险管理首要任务是识别出敏感或关键的信息资产;然后实施风险评估来识别威胁并确定其发生频率、所导致的影响以及将风险降低至管
3、理层可接受水平的相应安全措施;*为保持其有效性,风险评估过程应当在组织中持续进行,以致力于及时发现和评估新出现的风险。*内部控制通常由能够降低组织风险的政策、规程、实务和组织结构组成;*内部控制的设计是为管理层提供风险事件能够被预防、检测和纠正,业务目标能够达成的合理保证。*实施有效的 IS 审计的第一步是审计计划;*长期审计计划与企业的业务与发展有关,一般为 3 到 5 年的期间;*每年都需要对长、短期审计计划进行分析;*无论长期短期规划每年都必须分析、调整;在环境有重大变化时也必须分析调整*证据的优先级:审计师自己收集第三方提供被审计方提供(银行函证例外)*制定审计计划的步骤:1、了解组织
4、业务使命、目标、目的和流程的了解,包括信息和处理要求:对组织关键设施现场巡视;收集阅读组织背景资料;检查长期战略计划;与管理人员会谈;审阅以前的饿审计报告;2、找出规定内容,如:政策、标准和作业指导书、程序和组织结构;3、评价管理层实施的风险评估和隐私保护影响分析;4、实施风险分析,找出高风险区域重点检查对象;5、执行内部控制检查(针对风险检查);6、确定审计范围和审计目标;7、确定审计方法或审计战略;8、为审计任务和其后勤支援分配人力资源*需要遵守相关的法律法规:被审计方、审计师;*法律法规的合规性:识别政府或相关外部要求的法律法规记录相关法律法规评估被审计方在制定计划或设定策略时是否考虑相
5、关的法律法规制度的执行流程以及保障(文档及程序)执行结果*信息系统审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计*审计程序包括确定审计范围、说明审计目标、找出审计标准、执行审计步骤、检查和评估证据、形成审计结论和意见、与关键流程所有人讨论后报告管理层*审计方法是指:为实现预定的审计目标而设计的一系列书面审计程序,其内容包括审计范围、审计目标和审计步骤;*审计方法应当由审计管理层制定和批准并保持一致性。*ISACA 信息系统审计准则:职业道德规范:必须遵守 信息系统审计标准:强制必须遵守,不可偏离 信息系统审计指南:在有合理解释的前提下可
6、以调整和偏离 信息系统审计工具和技术:根据实际情况作出自己的职业判断*审计计划步骤:1、计划审计纲要;2、以书面形式记录一份基于风险评估的审计方法;3、以书面形式记录一份审计计划书,详述审计目标、性质、时间、范围以及所需相关资源;4、以书面形式起草审计计划和审计程序*信息系统审计人员应该得到监督,合理保证其审计目标的完成,并且符合审计职业标准;*审计工作中收集证据的工作量最大;通过证据评估结论最困难;*信息系统审计师必须拥有足够的、恰当的审计证据来解释报告中的审计结果;*在报告审计发现和建议后,审计师必须持续跟进后续审计结果;*审计最终目的:A&A(Audit&Assurance)审计及保证*
7、审计实质性(重要性)=阀值*审计实质性(重要性)越低,需要投入的资源越大;审计实质性(重要性)越高,需要投入的资源越小;*ITAF(信息技术保证框架)包括:1、一般准则:通用准则,所有审计都须遵守;2、执行准则:在实施审计中的要求 3、报告准则(绩效准则)4、指南 5、工具和技术*目标-风险-控制-审计*风险是特定的威胁,利用资产的脆弱性从而对组织造成的一种潜在的损害;它通过使用资产和价值损失的概念把风险放在了组织的业务环境中。*业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影响的威胁。*风险的三个要素:威胁、脆弱性、资产(价值);其中应该首先评估资产;*以年为单位评估风险基于成
8、本效益原则(财务以年结算)*风险评估:识别风险*风险管理:消灭、控制风险*风险评估首先识别敏感或关键信息资产;*风险评估的最终目标:将风险降低至管理层可接受水平的相应安全措施;*高风险=高发展、高收益*风险控制(风险消减的措施):1、预防:避免或减少风险事件发生的可能性;2、检查:发现不良事件的发生;3、纠正:减小影响 向别的组织转移风险*控制分为(书中):预防性:在问题发生前预防,监控运营和输入;职责分离、控制对物理设施的访问、良好设计的文档、建立交易授权的适当流程、编辑检查、访问控制软件、加密软件 检测性:使用控制措施来检查和报告已发生的错误;哈希、检查点、通讯回显控制 纠正性:纠正问题引
9、起的错误,把威胁影响降到最小;BCP、备份、DRP*审计风险:审计过程中未发现信息可能存在的重大错误的风险;审计风险包括(固有风险、控制风险、检测风险、整体审计风险)*固有风险:审计过程中遇到的,在假定不存在相关补偿控制的情况下,当与其他错误相结合时会导致重大错误的风险;也可以定义为:在不存在相关控制的情况下,易于导致重大错误的风险;是由于业务性质所导致的,在审计中独立存在(复杂计算比简单计算更容易出错)*所有审计项目的基本目标之一都是确定控制目标及针对这些目标的相关控制。并找出关键控制点。*控制风险:内部控制体系不能及时预防或检测出存在的重大错误的风险(手工检查计算机日志的相关检查风险很高)
10、*检测风险:信息系统审计师由于采用了不恰当的测试程序,对实际存在的重大错误得出错误结论的风险。(识别检测风险能更好的评价审计师的能力)*整体审计风险:对每一个具体控制目标所评估出的各类审计风险的综合。*统计抽样风险指由选定样本得出错误的整体特征的风险*风险分析量化风险的系统方法*风险评价对比风险值与风险标准确定风险重要性的过程*风险评估中所识别出的每一个风险都必须处置,处置方式包括:降低、避免、接受、转移*风险分析的目标是理解和识别由实体及其环境引起的风险和相关的内部控制*审计是典型的检测性控制;*审计可定义为:由具备资质、胜任、独立的组织或人员,针对流程的预定结果,客观地搜集并评价证据,以确
11、定与既定标准的符合程度,形成意见并报告的系统过程。对特定经济实体的可计量的信息证据进行客观的收集和评价,向利益相关者报告。可重现当时场景*信息系统控制程序包括:战略和方针、全面的组织管理、IT 资源的访问(包括数据和程序)、系统开发和变更控制、运行规程、系统编程及技术支持智能、质量保证(QA)流程、物理访问控制、BCP、DRP、网络和通讯、数据库管理、对内外部攻击的检查和保护机制*风险评估过程应当在组织中持续进行,以致力于及时发现和评估新出现的风险;*内部控制:为减少风险所实施的各种政策、步骤、实践和组织结构;确保业务目标的有效达成。提高经营效率*风险控制另外分类方法:技术类控制、物理类控制以
12、及管理类控制;*COSO 内部控制框架:控制环境风险分析控制活动内部沟通机制监督和持续改进*COBIT 通过域和流程框架来提供最佳实务,把 34 个 IT 流程组合到四个域中:1、计划和组织(PO);2、获取与实施(AI);3、交付与支持(DS);4、监督与评价(ME).*COBIT 框架定义:IT 资源需要由自然归组的流程管理,为组织提供实现其目标所需要各种类型的、符合质量、可用性以及安全要求的信息。(业务部门需要 IT 部门提供满足一定要求的信息);*管理:好的事情发生,产生价值、创造效益;*控制:防止风险*业务需求七要素:种类 项目 解释 质量 效果效果 符合业务部门的期望 效率效率 成
13、本效益 安全 保密性保密性 信息泄露 可用性可用性 物理设备的丢失、信息被破坏;需要时能用 完整性完整性 防止篡改、修改 受信/受托 符合性符合性 合规性,法律法规 可靠性可靠性 数据准确*IT 资源:人员、信息、基础架构、应用系统;*通过流程化管理 IT 资源;*通用控制:适用于组织的各个方面,包括:会计控制、运营控制、管理控制;*应用控制:针对特定的流程;*信息系统控制:战略指导、信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制、网络和通讯、数据库管理、IT 计划;*审计是指:有胜任能力的独立机构或人员(审计主体)接受委托或授权(审计关系),对特定经济实体的可计量的信息(审计对象)证据进行客观的收集和评价证据(审计工作),以确定这些信息与既定标准(审计依据)的符合程度,并向利益相关者报告(审计目标)的一个系统的过程(审计过程);审计的性质独立、客观。*位流映像镜像 之后再做哈希防止篡改*审计的实质:审计信息是否满足 7 要素;*制定信息系统审计计划的关键内容就是把宽泛的基本审计目标转化成具体的信息系统审计目标;信息系统审计师必须明白如何把一般审计目标转换成特定的信息系统控制
