1、信息系统审计基本知识李志生 CISA二一二年六月目录信息系统审计的引入IT审计的价值与标准规范如何开展IT审计项目IT审计技术与工具如何成为一个 IT审计师It审计的由来什么是审计 ?经济责任审计?古代就有,近代词汇由日本引入 经济责任审计 离任审计环境审计由独立、合格的专职人员接受委托或根据授权,为确定被审计单位经济 财务及相关活动的信息 环境审计 社会责任审计审计位经济 、 财务及相关活动的信息与既定标准之间的相符程度而收集和评价审计证据,提出审计意见并进行报告的经济鉴证过程 IPO审计 IT审计见并进行报告的经济鉴证过程 。 舞弊审计 内控审计 跟踪审计It审计的由来1、六十年代,美国注
2、册会计师协会和当时的八大会计师事务所联合开始开展EDP(电 子数 据 处 理) 审计 。子数 处 审计2、1968年,电子数据处理审计师协会(EDPAA)成立,1977年,IBM赞助美国内部审计师协会对IT审计方法和工具进行研究,发布控制目标第一版。会4、1984年日本通产省参考美国IT审计标准发布日本的IT审计标准,并在国内软件水平考试中设 立IT 审计师考试 。3、1978年, 电子数据处理审计师协 会 推出 CISA认证, 1981年推出正式考试 。件水平考试中设 审计师考试5、1982年,中国香港分会成立, 1994年,电子数据处理审计师协会(EDPAA)改名为信息系统审计与控制协会(
3、ISACA) 2004年起在国内推广认证考试.6、 目前 ISACA 有 160多个分会,覆盖 100多个国家, CISA会员超过 10万,香港分会超过 3000会员。7 2005年 9月 美国国家标准协会 ( ANSI) 对 ISACA提供的 CISA和 CISM资格进、 年 月 , 美国国家标准协会 ( ) 对 提供的 和 资格进行了鉴定的认可。中国审计署也开始引导政府信息化的审计。更多 IT审计当前动向可见 : http:/www.isaca.org更多 审计当前动向可见 pgIt审计的由来确IT技会计计量问题:真实性和准 确 性技术在经审计取证问题:电子数据和访问控制经济和社审计合规与
4、效益 : 信息系统反映业务社会管理IT审计合规与效益 : 信息系统反映业务的合规及 IT系统的效率与效益中的应用IT审计的由来2001安然财务欺诈引发安达信倒闭来重萨班斯-奥克斯利法案:2002年重点领域管理当局报告 董事会治理管理层和董事会行为强制执行与惩罚 审计师的独立性管理层声明 (302条款)域审计委员会的标准加强对内部交易的报告上市公司会计监管委员会 (PCAOB)审计委员会事先批准所有审计师提管理层关关键条禁止向董报告向财务官员颁会 ()对故意发表有审计师提供的服务禁提供管理层关于内部控制的报告条款禁止向董事和官员贷款向财务官员颁布行为准则对故意发表不实声明的刑事处罚(906条款
5、)禁 止审计师 提供某些服务保护举报人(404条款)条款5年强制轮换审计主管合伙人保护举报人第 404条还要求外部审计师对于内部控制和管理层对内部控制的评价进行审计 , 并出具审计 意见 。 其中与财务报表相关的 IT审计意见只能由 IT审计,师出具。IT审计的由来来 2009年 7月 1日起施行中国版的“ SOX法案” 企业内部控制基本规范,首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行 。上市的其他大中型企业执行 。 2010年 4月 26日,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引,自 2011年 1月1日起首先在境内外同时上市的公司施行 , 20
6、12年 1月 1日起日起首先在境内外同时上市的公司施行 , 年 月 日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。目录信息系统审计的引入IT审计的价值与标准规范如何开展IT审计项目展IT审计技术与工具如何成为一个IT审计师IT审计的定义一个通过获取并评估 证据 ,以判断 IT系统 是否保护了组织的资产 ,有 效率 地利用组织的资源,保障 数据 的安全性和一致性 以及 有效 地达到组织的 业务目标 的过程性 , 以及 有效 地达到组织的 业务目标 的过程 。真实性 合法性 效益性IT审计的内在价值在价值资产资产业务目标安全IT系统目标
7、统www.itgi.orgwww.itgi.org效率RESOURCEMANAGEMENTIT审计的内在价值在价值是否做正确的事情是否获得预期的收益的事情 期的收益RESOURCEwww.itgi.orgwww.itgi.org是否用合适的方式方法是否把事情做确了MANAGEMENT的方式方法做事做 正 确了无论是对于 IT投资项目, IT监理、 IT审计等服务,均可用这四个问题来观察。IT审计的内在价值价值 产出 /投入在价值价值 =产出 投入1 IT审计对象的重要性2 法律法规的强制性、 审计对象的重要性、 法律法规的强制性3、IT审计项目的实际绩效IT审计的客户价值客户价值社会公金融企
8、社会公众公司金融企业政府与非盈利组织IT审计的客户价值客户价值管理信息系统按照业务流程设置 为业务运作管理信息系统按照业务流程设置 , 为业务运作提供基础设施服务,系统中的数据是内部管理和控制的结果和依据内部控制目标实现依赖信息化系统的控制,各业务系统产生数据最终汇总到财务报告披露通过信息系统控制来帮助控制财务报告的风险,通过 IT治理来实现公司利益关系人的权责利统一。( 基于经营权与管理权 、 所有权分离的公司架构 )( 、 )IT审计形式式 处于内部审计或者风险控制部门之中 。 内部单独的IT审计与评估机构 。 外部审计机构 。IT审计形式式 组织级全面审计 。 IT项目审计 。 专项审计
9、,如安全审计、绩效审计、数据审计 。IT审计内容容 一般性控制 。保障信息系统正常运行的稳定性、有效性、安全性等方面的控制控制 应用性控制 。保障信息系统产生的数据的真实性、完整性、可靠性等方面的控制IT审计内容容联邦信息系统控制审计手册1、 一 般控制 :、 般控制 : 实体安全控制 访问控制 应用软件开发和变更控制 系统软件控制职责分离控制 职责分离控制 服务连续性控制2、应用控制: 授权控制 完整性控制 准确性控制 数据文件和处理的完整性控制数据文件和处理的完整性控制IT审计内容容一般性控制 审计组织IT治理IT组织模式、架构、岗位职责供应商IT供应商管理、版权与知识产权非核心业务服务水
10、平的保障机房 境与防灾基础设施机房 环 境与防灾主机、通讯网络、存储、访问控制资产 、 风险 、 威胁 、 策略 和保 障措施业务连续性资产 风险 威胁 策略 障措施业务连续性对 IT连续性的要求、备份与恢复IT项目开发与获取过程的质量、安全变更管理项目管控变更管理网络安全网络配置、日志检查漏洞扫描、渗透测试全IT审计内容容 应用控制 审计业务用户问题跟踪功能测试、代码分析、场景模拟或者跟踪IO输入控制输出控制可用性性能可用性可靠性业务数据、日志数据真实性、一致性、准确性代码安全性、规范性流程逻辑性 、 后门代码流程逻辑性 、 后门ERP系统业务流程与线下活动接口与数据统IT审计的公司价值司价
11、值中国注册会计师协会发布的全国百家信息:普华永道 毕马威 德勤 安永普华永道 毕马威 德勤 安永2004 9亿 4.3亿 3.7亿 3.2亿元2005年 12 4亿 71亿 65亿 62亿元年 . 亿 7.1亿 6.5亿 6.2亿元2007年 26.3亿 19.5亿 21.2亿 23.2亿元2008年 27 6亿 24 4亿 24 9亿 27 0亿 元年 . 亿 . 亿 . 亿 . 亿 元2009年 25.8亿 22.2亿 23.7亿 19.6亿元2010年 29 6亿 18 6亿 26 0亿 20 9亿年 . 亿 . 亿 . 亿 . 亿IT审计占财务审计的比重不详,但肯定越来越低,以前以一般
12、性控制为主。未来趋势独立做应用性控制为主。目前项目驱动来自银监会、保监会的强制要求。IT审计的公司价值司价值IT审计占财务审计的比重不详,但肯定越来越低,以前以一般性控制为主。IT应用对业务的支持越来越大,特别是集团性公司形成完全依赖,未来趋势独立做应用性控制为主。目前国内的企业 IT审计项目以银监会、保监会的文件强制要求。目前国内的政府 IT审计项目以审计署条线领导,更多的是做专项审计,在公积金业务等社会民生信息化为主。随着 IT对主营业务的完全覆盖,企业内部控制的审计证据将来主要依靠 IT审计提供证据。IT审计的标准规范标准范ISACA的信息系统审计标准标准 ( Standards)标准
13、( )指南(Guidelines)流程(Procedures )技术与管理标准信息系统控制方面信息系统运营 服务管理方面信息系统运营 、 服务管理方面信息系统安全方面信息系统审计必须遵循的行业法规萨班斯一奥史斯利法案金融行业金融行业核电行业服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越IT审计的风险IT审计风险 固有风险控制风险检查风险提示:按照风险与收益成正比关系,可以印证咨询、监理、测试等服务的业务效益从风险等式也可以大致推断一般性控制和应用性控制审计的价值。服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越目录信息系统审计的引入IT审计的价值与标准规范如何开展IT审计项目IT审计
14、技术与工具如何成为一个IT审计师IT审计的实施一 审计工作委托与授权一 、 审计工作委托与授权二、审前调查与准备三 IT审计计划与组织三 、 审计计划与组织四、访谈调查、取证、分析等审计过程五、审计报告服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越IT审计的实施一 、 IT审计的授权与委托时的关注点企业经营目标、策略、上级主管的需求信息化部门的问题 要求、 审计的授权与委托时的关注点信息化部门的问题 、 要求用户部门的问题、要求审计对象的业务特征信息系统的重要度信息系统的重要度审计对象业务的问题点及其解决紧迫度服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越IT审计的实施二 、 审前
15、调查与准备1、信息化部门应用系统产 品 及文档二 、 审前调查与准备应用系统产 及文档IT管理规章制度运维操作指南故障维修与应急方案安全策略与各类记录2 业务部门、 业务部门设备操作手册及其他文档应用系统使用指南与系统输入输出对应的流程和文档 、 记录与系统输入输出对应的流程和文档 、 记录服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越IT审计的实施三 、 IT审计计划与组织三 、 审计计划与组织目的:了解被审计单位以及其业务运作情况 ;了解被审计单位以及其业务运作情况 ;识别风险和内部控制;确定审计的性质、范围和重点。任务:确定合适的被审计部门以及适合开展审计的信息系统。确定审计所关注的重要领域 。确定审计所关注的重要领域 。初步评估系统的风险。了解并初步评估信息系统控制。形成审计方案和审计实施方案。服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越IT审计的实施三 、 IT审计计划与组织三 、 审计计划与组织1、持续性审计应有年度计划2 专项审计有计划和实施细则3、审计目标、审计范围、审计人员、时间安排、配合要求等、 专项审计有计划和实施细则4、检查表和各类底稿、审计意见模板服务创造价值服务创造价值 诚信铸就卓越 诚信铸就卓越
