收藏
下载资源 加入VIP免费专享

CISAIT审计实务培训1理论专题课件.ppt

上传人:peixunshi 文档编号:14481119 上传时间:2022-02-07 格式:PPT 页数:42 大小:721.50KB
返回 下载 相关 举报
CISAIT审计实务培训1理论专题课件.ppt_第1页
第1页 / 共42页
CISAIT审计实务培训1理论专题课件.ppt_第2页
第2页 / 共42页
CISAIT审计实务培训1理论专题课件.ppt_第3页
第3页 / 共42页
CISAIT审计实务培训1理论专题课件.ppt_第4页
第4页 / 共42页
CISAIT审计实务培训1理论专题课件.ppt_第5页
第5页 / 共42页
点击查看更多>>
资源描述

《CISAIT审计实务培训1理论专题课件.ppt》由会员分享,可在线阅读,更多相关《CISAIT审计实务培训1理论专题课件.ppt(42页珍藏版)》请在三一文库上搜索。

1、Feb, 2008,CISAIT审计实务培训1理论专题,金融企业IT审计实务培训1. 重要概念与理论专题,(),CISAIT审计实务培训1理论专题,Feb, 2008,主讲人简介,杨洋管理学博士(信息管理与信息安全方向,同济大学)会计学学士、硕士(东北财经大学)高级程序员(1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer目前为同济大学电信学院博士后,主要研究领域:基于移动计算的安全接入关键技术,CISAIT审计实务培训1理论专题,Feb, 2008,1. IT审计的概念2. IT审计的目标3. IT审计的形式4. IT审计的发展历史,一、

2、 IT审计概述,CISAIT审计实务培训1理论专题,Feb, 2008,“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。(Ron Weber)IS audit 注重应用系统审计,开发流程,已建立系统的应用,基于应用系统。IT audit 注重基础设施安全,一般控制审计,侧重安全,不针对单个系统。,1. IT审计概念,CISAIT审计实务培训1理论专题,Feb, 2008,2. IT审计的四个目标,Asset Security(资产安全性)Effectivity(系统有效性)Efficiency(系统效率性)Data Integrit

3、y(数据完整性)Compliance(合规性),CISAIT审计实务培训1理论专题,Feb, 2008,3. IT审计的实施方式,定期全面审计对委托单位的全部信息系统的整体情况进行评价和建议,包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面(计划、组织、流程、培训)等情况。具体项目审计针对具体某个信息化项目的建设进行全周期(从规划到验收)或指定阶段(如单独的后评估)的监理与建议。专项审计根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议,比如对委托单位的信息系统安全审计。,CISAIT审计实务培训1理论专题,Feb, 2008,IT审计的组织模式,作为内部审

4、计部门的组成成立单独的IT审计或评价部门委托外部审计机构混合模式,CISAIT审计实务培训1理论专题,Feb, 2008,外审视角(签证目标):资产安全性数据完整性合规性内审视角(管理目标)还包括:系统有效性系统效率性,外审与内审,CISAIT审计实务培训1理论专题,Feb, 2008,4. IT审计的发展历史,EDP审计阶段为财务审计的数据获取提供帮助1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)内控系统审计阶段为财务审计的符合性测试提供帮助独立的信息系统审计完全超出财务报表范围,直接为企业信息系统的各方面情况进行审计1994年该协会更名为信息系统审计与控制协会即ISACA,总

5、部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。,CISAIT审计实务培训1理论专题,Feb, 2008,1. 总体发展趋势2. 金融企业IT审计发展趋势,二、 IT审计发展现状与趋势,CISAIT审计实务培训1理论专题,Feb, 2008,1. 总体发展现状与趋势,国外各类企业IT审计典型国家简介:美国、澳大利亚SOX法案对企业实施IT审计的影响特点与趋势:仍以内审为主从关注安全向关注业务目标过渡一般控制审计与应用控制审计并行,CISAIT审计实务培训1理论专题,Feb,

6、 2008,1. 总体发展现状与趋势,国外政府机构IT审计英国绩效审计中的IT审计日本对国家投资项目的IT审计美国联邦政府的IT审计特点与趋势:外部审计与政府内部审计结合融入绩效预算管理体系关注系统最终效果,CISAIT审计实务培训1理论专题,Feb, 2008,1. 总体发展现状与趋势,国内IT审计发展现状国内IT审计的起步地区性分布:珠三角长三角北京从业人员与机构特点与趋势:目前以SOX审计为主外审需求较低,内审已经开始发展自上而下推动,以合规审计为主,CISAIT审计实务培训1理论专题,Feb, 2008,1. 总体发展现状与趋势,国内相关机构简介审计署与信息产业部对IT审计的理解和推动

7、各类审计、咨询公司对IT审计的理解和推动相关学术团体及成果国内IT审计案例简介某国有通信服务企业IT审计概述,CISAIT审计实务培训1理论专题,Feb, 2008,2. 金融企业IT审计发展现状与趋势,金融企业IT审计的特点需求更急切,开展更早更为关注安全性业务变更频繁,直接影响风险联网率高,风险扩散迅速数据量大,审计成本高岗位复杂,分权失效风险大 ,CISAIT审计实务培训1理论专题,Feb, 2008,2. 金融企业IT审计发展现状与趋势,国外金融企业IT审计典型案例案例1:银行IT审计架构案例2:银行一般控制审计与发现案例3:银行业务系统审计与发现,CISAIT审计实务培训1理论专题,

8、Feb, 2008,2. 金融企业IT审计发展现状与趋势,国内金融企业IT审计典型案例案例1:基于COBIT的IT审计架构案例2:再贴现业务系统审计与发现案例3:个人消费信贷系统审计案例,CISAIT审计实务培训1理论专题,Feb, 2008,2. 金融企业IT审计发展现状与趋势,趋势展望越发强调事前参与和事中控制,建设多重IT控制框架应用控制审计与财务审计紧密结合持续在线审计技术将深入应用,CISAIT审计实务培训1理论专题,Feb, 2008,1. IT审计师的能力和胜任2. 行业协会简介3. CISA考试简介,三、 执业资格与认证,CISAIT审计实务培训1理论专题,Feb, 2008,

9、1. IT审计师的能力和胜任,再谈IT审计师的素质管理 vs 技术IT审计师不必是IT专家,不需要开发经验?IT审计师是IT专家又能怎样?应该具备的素质系统的理解力沟通能力与责任心对不同技术的敏感性丰富的系统经验,CISAIT审计实务培训1理论专题,Feb, 2008,1. IT审计师的能力和胜任,演示案例:某机关重要文档在线管理系统职业道德要求事情考虑:是否充分了解目标系统?是否能够调动足够资源?时间与成本是否允许?,CISAIT审计实务培训1理论专题,Feb, 2008,2. 行业协会简介,各会计、审计组织与IT审计各信息安全组织与IT审计ISACA(Information System

10、Audit and Control Association),CISAIT审计实务培训1理论专题,Feb, 2008,3. CISA考试简介,基本素质要求:良好的职业道德观念较全面的计算机技术知识基本的风险基础审计理论管理学知识自主学习的能力实际从事IT业或审计业的工作经验,CISAIT审计实务培训1理论专题,Feb, 2008,3. CISA考试简介,认证要求:具备前述条件通过CISA考试每年一次,100分/70分,英文/中文具有5年相关工作经验相关大学学历可减免两年遵守执业规范,参加后续教育,CISAIT审计实务培训1理论专题,Feb, 2008,CISA考试时间点(2007下半年),07

11、-08-15优惠报名费截止日07-09-26 报名截止日07-10-19 变更考试注册信息截止日 07-12-1 之前 发放电子准考证07-12-8 CISA考试日 08-2-20左右 开始发布成绩 实际时间可能变更,请关注ISACA官方网站,CISAIT审计实务培训1理论专题,Feb, 2008,CISAIT审计实务培训1理论专题,Feb, 2008,CISA考试注意事项,入场时间:8:00- 8:30 (8:30以后不能入场)准备时间:8:30- 9:00考试时间:9:00-13:00(4小时)地点:考场位置提前查看英文考场/中文考场实际时间可能变更,请关注ISACA官方网站,CISAIT

12、审计实务培训1理论专题,Feb, 2008,CISA考试注意事项,必带物品:身份证,准考证,表,HB/2B铅笔,橡皮禁止物品:手机,书,笔记,字典等水/食品:只能在考场饮水区喝水/吃食品衣服:注意环境,可能很冷(空调教室)药品:胃药、止泻药、其他,CISAIT审计实务培训1理论专题,Feb, 2008,CISA考试注意事项,每道题有且只有一个正确选项200道选择题,无倒扣,标准分正确填涂,CISAIT审计实务培训1理论专题,Feb, 2008,学习资料,Review Manual CISA Review Questions, Answers and Explanations Manual,CI

13、SAIT审计实务培训1理论专题,Feb, 2008,备考方法,反复读书,领会细节反复作题,关注错误 情景思考,注重人性牢记术语,前后比较实践为本,相信直觉,CISAIT审计实务培训1理论专题,Feb, 2008,1. 重要性(重大性)2. 审计报告与披露3. 一般控制审计与应用控制审计4. 对信息系统生命周期各阶段的审计,四、 重要理论专题,CISAIT审计实务培训1理论专题,Feb, 2008,1. 重要性(重大性),重要性概念回顾可容忍差错的最高界限案例:财务审计中的重要性水平设定IT审计的重要性难题不再有“笔误”!系统互联“错误乘数”,CISAIT审计实务培训1理论专题,Feb, 200

14、8,1. 重要性(重大性)与独立性,如何确定重要性?对各级管理层的影响不采取措施的后果职业判断案例探讨,CISAIT审计实务培训1理论专题,Feb, 2008,2. 审计报告与披露,格式规范:无一定之规ISACA S7 & S8一般内容:简介:背景、目标、时间、方法论等整体结论详细审计发现审计限制遵循标准与指南,CISAIT审计实务培训1理论专题,Feb, 2008,2. 审计报告与披露,案例:国外审计报告导读美国能源部 设施信息管理系统审计报告,CISAIT审计实务培训1理论专题,Feb, 2008,2. 审计报告与披露,审计披露与职业判断案例:银行IT经理临时修改授权审计披露与客户阻力案例

15、:银行IT经理限制关键服务器取证审计披露与职业道德案例:违反联邦储备局管理规范的银行系统,CISAIT审计实务培训1理论专题,Feb, 2008,3. 一般控制与应用控制,概念区分一般控制审计的特点和目的应用控制审计的特点和目的,CISAIT审计实务培训1理论专题,Feb, 2008,3. 一般控制与应用控制,二者联系大多数应用控制审计均会涉及一般控制审计技术与工具的比较审计依据:Checklist vs 系统文档等主要关注:IT管理流程 vs 系统具体情况一般工具:观察、调阅、询问高级手段:穿透测试 vs 代码、数据分析等,CISAIT审计实务培训1理论专题,Feb, 2008,3. 一般控制与应用控制,相关问题:控制测试与实质性测试概念回顾实质性测试成本大于控制测试?,CISAIT审计实务培训1理论专题,Feb, 2008,4. 信息系统生命周期的IT审计,系统规划阶段的IT审计系统开发获取与实施阶段的IT审计系统运营阶段的IT审计系统废弃与升级阶段的IT审计,CISAIT审计实务培训1理论专题,Feb, 2008,谢谢大家,欢迎交流!杨洋(yy.ok.),

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1