信息系统审计基础培训课件

1、信息系统审计基础培训,1,信息系统审计基础培训.,信息系统审计基础培训,2,课程目录,信息系统审计基础 通用计算机控制审计 应用系统控制审计 计算机辅助审计技术介绍 信息技术控制缺陷的评估 对外包服务商内部控制的考虑 交流与回答,信息系统审计基础培训,3,信息系统审计基础,信息系统审计基础培训,4,IT审计的定义,为了信息系统的安全、可靠与有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串的活动。 IT审计的要点： 独立性 综合性 IT审计师资格 IT审计报告 促进信息系统安全、可靠与有效,信息系统审计基础培训,5,IT审计 vs. 财务审计,Perform Financial Statement Review (Ch. 21),Overall Evaluation of Misstatements & the Scope of our Audit (Ch.20),Perform Tests of Operating Effectiveness of Controls (Ch. 17),

2、Perform the Audit Plan,Determine Planning Materiality (Ch. 11),Perform Preliminary Analytical Review (Ch. 10),Understand the Entity and Its Environment (Ch. 7.),Strategic Audit Planning (Ch. 6),Perform Preliminary Planning,Plan an intermediate level of substantive procedures (Ch. 15),Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our work performed in the prior 2 audits, & plan a basic level of sub-stantive procedures (Ch

3、. 14 & 15),Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period, & plan a moderate level of substantive procedures (Ch. 14 & 15),Plan a focused level of substantive procedures (Ch. 15),Develop the Audit Plan,Summarize & Communicate the Audit Plan (Ch 16),Plan to Rely on Operating Effectiveness of Controls (Ch. 13),Specific Identified Risk (Ch. 12),Yes,No,Yes,No,Yes,No,3.0,1.7,0.7,2.0,.,Perform Substantive Procedures SAP (Ch. 18) &/or Tests of D

4、etails (Ch. 19),No Specific Identified Risk (Ch. 12),Assess Risk at the Potential-Error Level (Ch. 12),Design & implementation of controls was adequate (Ch. 9),No,信息系统审计基础培训,6,内部控制构成要素（COSO）,确保相关信息得到及时识别与传达的程序 来自高管的信息 政策与程序 培训 道德准则,组织的控制意识。“高层论调” 道德准则 成文的政策与程序 文化评估,对影响组织绩效的内外部因素的评估 业务风险管理 程序风险管理 内部审计风险评估,确定内部控制是否得到正确地设计、有效和因地制宜地执行的程序 管理分析 披露委员会 内部审计,确保风险管理措施得到及时执行的政策与程序 授权审批 普通程序和系统 职责分隔 客户对帐 信息技术控制,信息系统审计基础培训,7,IT穿插在企业内部控制的各个环节,控制环境 IT控制环境是公司整体控制环境的重要组成部分 在公司“老总”层面要听得到关于信息技术的声音 信息技术的控制职责和签字权力必须

5、明确 信息技术的控制政策和规程必须成文,风险评估 应当有专门的信息技术风险评估程序 应当对信息技术内控计划的制定加以监督 信息技术风险包括安全、运行、可用性等，都会影响财务报告的可靠性 管理层必须意识到信息技术的风险与信息技术的控制息息相关,信息与沟通 部署用以支持沟通的架构、标准和流程 信息能够准确、及时地向上传递 方便地获取信息技术相关的政策、流程、职位描述和职责定义 准确地对财务数据和报告进行整理和沟通,监督 对信息技术内控进行持续监督，确保其实质有效实际并运行 对信息技术文档的充分性进行监督 信息技术内审复核. 对弥补和升级程序进行监控. 持续的安全监督,信息系统审计基础培训,8,了解企业内部控制的程序,识别主要活动,程序和控制, 以应对内控的 各实体层次构成要素。,了解监管负责人员如何应对风险,评估控制的设计与执行,对以下作出结论： 对实现有效内部控制和可靠财务信息处理的帮助。 它是否提高或降低内部控制的有效性,信息系统审计基础培训,9,IT控制是内部控制的重要组成部分,Entity Level Controls Entity-level controls set the t

6、one and culture of the organization. IT entity-level controls are part of a companys overall control environment. Controls include: Strategies and plans Policies and procedures Risk assessment activities Training and education Quality assurance Internal audit,IT General Controls Controls embedded within IT processes that provide a reliable operating environment and support the effective operation of application controls.,Controls include: Program development Program changes Access to programs an

7、d data Computer operations,Application Controls Controls embedded within business process applications directly support financial control objectives. Controls include: Control objectives/assertions include: Completeness Accuracy Existence/authorization Presentation/disclosure,信息系统审计基础培训,10,控制 vs. 风险,风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值程度及威胁发生的频度成正比 为了将风险控制在管理层可接受的程度，就必须对识别出的各类风险实施相关的控制。在实施时须考虑如下因素： 比较控制成本与减少风险所得的收益 管理层的风险喜好（如，管理层准备接受的残余风险水平） 愿意采取的风险降低的方式（如，终止风险、减少发生的可能、减少影响、转移或保险）,信息系统审计基

8、础培训,11,控制的分类,预防性控制 在事情发生前监测问题 监控运营和输入 在问题发生前预测潜在问题 避免错误、疏忽或蓄意行为的发生 检测性控制 使用控制检查和报告发生的错误、疏漏或蓄意行为的发生 纠正性控制 减少危害影响 修复检查性控制发现的问题 找出问题原因，纠正问题衍生出的错误，修改处理系统以减少未来问题发生的可能性,信息系统审计基础培训,12,内部控制目标,内部控制就是要通过实施一系列特定的控制活动，达到所预期的结果或目的。通常包括： 内部会计控制主要针对会计操作，即资产安全、财务资料准确可靠 运营控制针对日常运营、职能和活动，用于确保运营达到企业目标 管理控制关注职能部门的运作效率及运营控制符合管理政策的程度，是以提高经营效率和保证管理方针、政策的实施为目标的控制 技术环境控制保护信息资产，符合组织的方针策略及法律法规的要求，信息输入输出，交易处理的准确性及完整性，数据处理的可靠性，备份与恢复，业务经营的效率与效果,信息系统审计基础培训,13,信息系统控制目标,内部控制目标可以运用在所有人工及自动化控制部分，常见的信息系统控制目标如： 保护信息系统以防止不当存取，并确保及时更

9、新 保护计算机操作系统及网络操作系统的完整性 保护敏感的、重要的应用系统（如财务及管理应用系统）的机密性和完整性： 保证信息系统的运营效率与效果 符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求 制定业务持续计划及灾难恢复计划 制定应急响应及处理程序 ,信息系统审计基础培训,14,实施信息系统审计,信息系统审计是检查评估自动化信息处理系统、与其有关的非自动化程序和两者之间的接口等。实施信息系统审计需要如下几个步骤： 充分的审计计划（短期、长期） 为有效地利用审计资源，审计机构必须评估所有风险（一般控制与应用控制领域） 制定审计计划，包括审计目标与审计程序 搜集证据、对现有控制进行评估与测试 编写审计报告，并与管理层沟通审计发现,信息系统审计基础培训,15,测试和评估信息系统控制的方法,信息系统审计师必须理解和掌握测试评估信息系统控制的方法： 使用通用审计软件调查数据文件的内容（包括系统日志） 使用专用软件来评估操作系统参数文件（如测试系统参数设置漏洞） 用流程图的方式来图示业务流程及应用系统 使用操作系统中内置的审计报告 进行文档检查 观察 ,信息系统审计基础培训,16,符合性测试 vs. 实质性测试,符合性测试确定控制的执行符合管理层制定的方针政策的程度。测试目的是为信息系统审计师提供保证其在初步评价中确定的关键控制点是可以信赖的。 实质性测试验证实际处理的完整性。例如对于贷款利息计算，信息系统审计师可能采取详细的利息计算测试，也可能采取统计抽样技术，得出全部贷款利息正确的结论。 需要进行实质性测试的数量与内部控制水平直接相关。（德勤的方法中样本数量可相差10倍）,信息系统审计基础培训,17,审计证据,证据是审计师安全审计标准及目标的要求， 在对某一实体或数据进行审计时所采用的信息。审计证据包括审计人员的观察、询问的记录、从内部文件或信件中获取的资料、审计测试程序所产生的结果。审计证据的可靠性取决于以下因素： 提供审计证据人员的独立性 提供审计信息或证据人员的资格 审计证据的客观性 审计证据的实效性,信息系统审计基础培训,18,审计证据的获得,获取审计证据的技术有： 检查信

《信息系统审计基础培训课件》由会员luobi****88888分享，可在线阅读，更多相关《信息系统审计基础培训课件》请在金锄头文库上搜索。