第一章 信息系统审计过程Word下载.docx
《第一章 信息系统审计过程Word下载.docx》由会员分享,可在线阅读,更多相关《第一章 信息系统审计过程Word下载.docx(30页珍藏版)》请在冰点文库上搜索。
♦计算机、程序及数据的存放方式,
♦信息服务的活动及组织
记录相关法律与法规的要求
评估组织的在制定信息系统计划、策略、标准及程序时是否考虑的来自外部法律法规要求。
检查内部信息系统相关部门是否在正式文件中落实了遵守法律、法规的要求。
检查组织中是否已经建立程序,并遵照执行来满足法律、法规的要求。
B1.IS审计职业道德规范
职业道德规范(CodeofProfessionalEthics)
u信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制,并遵守相关法律法规的要求;
u在具体执行审计中要按照职业标准及最佳实践原则要求自己,做到敬业、公正及审慎。
u以诚实及符合法律要求的方式为利益相关者服务,保持高尚的行为及品德,不从事有损于信息系统审计职业的活动;
u对信息系统审计过程中所取得的信息,应予以保密,不得借以谋取私利和泄漏给他人。
执法机构的司法调查除外;
u保持在审计和信息系统控制相关领域的专业胜任能力,有效而可靠地完成审计任务;
u应获得充分及适当的证据,作出审计结论及建议,审计结果应向适当的组织、部门和个人报告;
u应当对组织中的利益相关者进行信息系统安全与控制的教育,以促进其对审计及信息系统的了解;
职业审慎(DueProfessionalCare)
指工作勤勉程度和开展工作所必需的技能要求,体现在信息系统审计师的职业判断过程中,是确保客户获得高质量审计的基础。
职业审慎要求审计师在合理范围内提供合理保证,不要求提供绝对保证。
B2.ISACA信息系统审计准则
是整个审计准则体系的总纲,是信息系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。
审计师执行审计业务,出具审计报告,都必须遵守执行,具有强制性。
ISACA标准委员会共制定了16个信息系统审计准则,必须熟悉掌握其内容及如何应用。
信息系统审计准则P11-14
B2.1S2独立性
人员独立性-在所有审计相关事项中,IS审计师应当对被审计人保持实质态度与表现形式上的独立性。
组织独立性-IS审计职能部门应当对被审计领域或活动保持独立性以能够客观地完成审计任务。
B2.2S9违规和非法行为
Ø
IS审计师应当收集充分、恰当的审计证据以确认管理层或组织内其他成员是否知效所有真实、怀疑或传言中的违规和非法行为。
应当至少每年获得管理层的书面陈述,或根据审计委托书增加频率。
陈述中应当包括:
承诺对设计并实施内部控制以预防和检查违规或非法行为负责等情况。
如果IS审计师已经发现重大违规或非法行为,或者得到存在重大违规或非法行为的确定线索,应当及时与适当层级的管理人员沟通。
当IS审计师发现的重大违规或非法行为涉及到管理层或内部控制重要岗位员工时,应当及时与其上级主管沟通。
审计中,IS审计师应当将预防及检查违规或非法行为的内部控制重大缺陷通知适当层级的管理人员和上级主管人员
如果重大误报或非法行为导致的异常情况影响到IS审计师不能继续执行审计任务,IS审计师应当考虑这种情况下适用的法律和职业责任,包括是否需要向审计委托方报告,是否需要向上级主管或合规管理部门报告,或考虑从审计中退出。
B3.审计指南
审计指南是依据审计准则制定的,是审计准则的具体化。
指南详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体要求,为审计师在执行审计业务中如何遵守审计准则提供指导。
审计师在运用这些指南时,离不开职业判断,对任何偏离指南的行为一定要有充分的理由。
ISACA标准委员会制定了40项信息系统审计指南,最近新增加的三项,废止一项。
目前执行中的审计指南共有39项。
必须熟练掌握其内容的指南有:
p14
信息系统审计指南p14
B4.审计程序
信息系统审计程序是依据审计准则和审计指南制定的;
它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指南的一些通常审计程序和步骤;
审计程序为审计师提供了很好的工作范例,但审计师在执行具体的审计业务时,还要根据特定的信息系统和特定的技术环境做出自己的职业判断。
目前共有11个审计程序,可作为执行相关审计项目的参考范例。
信息系统审计程序p16
B5.信息技术保证框架(ITAF)
信息技术保证框架是一个全面的最佳实践模型,它包括:
♦为IT审计和保证任务的设计、执行和报告提供指导
♦定义IT保证中的特定术语和概念
♦制定标准并落实IT审计和保证的职业角色和责任、知识和技能、勤勉、执行和报告要求
ITAF以ISACA资料为主,也包括由IT治理协会(ITGI)和其他一些组织研发的内容,通过ITAF,IT审计和保证人员可以得到指导、研究政策和规程、获取审计和保证程序、编制有效的报告。
ITAF包括三类准则(一般准则、执行准则和报告准则)、指南、工具和技术。
B5.1ITAF组织结构
B5.2ITAF主要内容
准则部分
♦第2200节一般准则
♦第2400节执行准则
♦第2600节报告准则
指南部分
♦第3000节IT保证指南
♦第3200节企业主题
♦第3400节IT管理流程
♦第3600节IT审计和保证流程
♦第3800节IT审计和保证管理
C.风险分析
风险的概念
风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害,风险的严重程度与资产价值的损害程度及威胁发生的频度成正比
风险分析
风险控制目前是企业关注的重点,其前提首先要对企业面临的风险有一个全面的认识
♦组织中最重要的业务环节是什么?
这些部分是如何使用与处理信息的?
信息系统对这些部分的重要性如何?
♦组织的信息系统在产生、传输、处理、存储信息过程中有哪些薄弱环节,信息的机密性、完整性、可用性需要什么样的保护?
♦当前组织的风险管理方法与策略是否有效,是否能把风险降低到管理层可以接受的水平?
♦组织所制定的风险控制目标及控制方法是否考虑了成本效益原则?
♦对风险的管理是不是一个持续改善的过程?
D.内部控制
概念
组织为了降低风险,保护其资产的安全性、会计资料的准确性和可靠性,提高经营效率以及贯彻执行其规定的管理方针而在组织内部采取的一系列制度、策略、方法及程序。
董事会或最高管理层应当努力建立一种适宜的内部控制文化,使得组织每一个人都参与到内部控制系统中来,保证内部控制的有效性,并对内部控制进行持续监督与完善。
内部控制应当落实两个内容:
要达到什么和要避免什么?
内部控制的分类
预防性控制:
在事件发生之前进行检测,监控运营和输入等,避免错误、疏忽或蓄意行为的发生。
例如:
职责分离、交易授权、访问控制、数据加密等。
检查性控制:
在事件进行当中进行检查,报告发生的错误、疏忽或蓄意行为等。
如:
哈希汇总、内部审计职能、为查找非法访问目的而检查日志文件。
纠正性控制:
在问题发现之后进行纠正,以减少危害的影响,找出问题原因并加强控制等。
建立应急计划、备份处理流程、恢复运营流程等。
D1.内部控制目标
内部控制包括:
会计控制、运营控制和管理控制,其目标主要有四个,即资产安全、信息准确可靠、业务运行的效果及效率、管理方针的贯彻。
具体包括以下各方面:
保护资产
符合公司政策和法律法规的要求
授权和认证
机密性
数据准确性及完整性
数据处理的可靠性
IT服务的可用性
业务运行的效率、效果和经济性
IT及相关系统的变更管理
D3.信息及相关技术控制目标COBIT
通过ISACA多年来研究,IT治理委员会于1996年发布的COBIT(ControlObjectivesforInformationandrelatedTechnology),这是一个在国际上公认、先进权威的安全与信息技术管理和控制的标准,目前已经更新至4.1。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
该标准体系已在世界上一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT控制框架(图见p28)
COBIT-以业务为中心
COBIT的主题是面向业务,除了供IT服务人员、用户和审计人员使用外,更重要的是,COBIT为管理人员和业务流程所有人提供了一个综合指南。
COBIT框架基本原理为:
为提供实现业务目标所需的企业信息,企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源,提供服务以交付所需的企业信息。
COBIT-以流程为导向
COBIT在四个域内将IT活动定义为通用过程模型。
这四个域分别是:
规划与组织、获取与实施、交付与支持、监督与评价。
这些域映射到传统的IT职责域:
计划、建设、运行和监控。
计划与组织(PO):
为提供解决方案(AI)和提供服务(DS)落实方针政策;
获取与实施(AI):
提供解决方案并将其转化成为服务;
交付与支持(DS):
接受解决方案,为最终用户提供服务;
监督与评价(ME):
监控所有流程确保遵循既定方针。
COBIT-以控制为基础(图如右上)
控制是指为合理保证业务目标的实现,预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。
标准控制模型遵循以下推理原则:
当设定了供暖系统(处理流程)的室温(标准)时,系统会持续检查(比较)房间的环境温度(控制信息)并指示供暖系统提供更多或更少的热量(纠正)。
COBIT-业务控制与IT控制
企业内部控制系统在以下三个层次上影响IT:
在执行管理层:
设定企业目标、制定政策、作出关于如何部署和管理企业资源以执行企业战略的决策。
董事会确定治理和控制的整体方法并在企业范围内贯彻。
IT控制环境受控于这些高层目标和政策。
在业务流程层:
控制具体的业务活动。
许多业务流程是自动化的并与IT应用系统进行了整合,导致这个层面的许多控制也是自动化的,这些控制被称为应用控制。
然而,业务流程中的部分控制仍保留了手工操作,如:
交易授权、职责分离和手工对账,因此,
业务流程层面的控制是业务人员手工控制与自动化应用控制相结合,虽然应用控制需要IT职能予以支持进行设计和开发,但两种控制的建立和管理都是业务部门的职责。
为技术支持层:
IT通常采用共享服务的方式为许多业务流程提供IT服务,因为许多的IT开发和操作流程需提供给整个企业,并且大多数的IT基础设施是公用的(如,网络、数据库、操作系统和存储)。
这些应用于所有IT服务的控制措施被称为IT一般控制。
一般控制的可靠运行是应用控制可靠性的必备条件,例如:
缺乏变更管理将危及(意外或蓄意的)自动化系统完整性检查的可靠性。
COBIT-一般控制和应用控制
一般控制是指那些嵌入到IT流程和服务中的控制,如:
♦系统开发;
♦变更管理;
♦安全管理;
♦计算机运行管理。
嵌入到业务应用系统的控制通常称为应用控制。
♦完整性;
♦准确性;
♦有效性;
♦授权;
♦职责分离。
COBIT-以测评为驱动
企业的一个基本需求就是了解其自身的IT系统状况,决定企业应采取的管理和控制水平。
为了确定正确的水平,管理层应该问自己:
我们还应该走多远,成本与收益是否匹配?
对于企业自身业绩的客观测评是比较困难的。
应该测评什么,如何测评?
企业需要衡量他们处于什么位置,哪里需要改进,用什么管理工具来监督改进等。
COBIT通过以下方式来解决这些问题:
♦采用成熟度模型实施基准管理以识别所需的能力改进;
♦IT流程的绩效目标和指标指明了IT流程如何满足业务目标和IT目标,并基于平衡记分卡的原理用于测量内部流程的绩效;
♦采用活动目标促进流程绩效的效果。
COBIT-成熟度模型
0-无级别:
完全没有可识别的流程,组织还未意识到需要解决的问题。
1-初始级:
组织已意识到问题存在并需要加以解决,但没有标准的工作流程,仍然基于个人与一事一办原则采用临时解决办法;
管理缺乏统筹规划。
2-可重复级:
已建立工作流程使不同人员在执行相同任务时能够采用类似的操作程序,但未对这些流程组织正式的培训和贯彻,其职责仍停留在个人阶段;
实际工作对个人知识与能力存在很强的依赖性,错误时有发生。
3-已定义级:
已建立标准化的书面程序,并通过正式的培训进行贯彻;
虽已明确要求工作中必须遵循这些流程,但偏离流程的现象仍有发生;
程序本身还不尽完善,只是现有工作惯例的正式化。
4-可管理级:
管理层监督和衡量对程序的遵循性,并在流程失效时采取必要的纠正措施;
工作流程已处于持续改进中并能作为最佳实践;
自动化和工具在有限范围内分散使用。
5-优化级:
基于持续改进的结果及外部组织的成熟度模型,工作流程已被优化为最佳实践。
IT作为一个整体以使工作流程自动化、提供改进工作质量和效率的工具、使企业能够快速适应。
D4.一般控制程序
一般控制适用于组织的各个方面,控制程序包含由管理者建立的政策及方法,目的在于合理地确保控制目标可以实现。
一般内部控制程序包括:
u会计控制—针对会计操作,关注资产安全及财务记录可靠性
运营控制—保证日常业务操作、功能及活动满足业务目标需求
管理控制—关注职能部门的运作效率及运营控制符合管理政策的程度,以提高经营效率、保证管理方针和政策的贯彻。
具体有以下几个方面:
确保恰当使用信息和技术资产的组织安全政策和规程
在设计和使用充分的文档与记录(手工或自动化)方面的总体政策,以确保交易的正确记录(交易的审计轨迹)
确保充分保护资产和设施的访问及使用的安全保护流程和实务
数据中心和IT资源(如:
服务器和通讯基础设施)的物理、逻辑安全政策
E.实施信息系统审计
定义
审计是指有胜任能力的独立机构或人员接受委托或授权,对特定经济实体的可计量的信息证据进行客观地收集和评价,以确定这些信息与既定标准的符合程度,并向利益相关者报告的一个系统过程
审计目的在于确定、履行被审计单位的委托责任和加强对被审计单位的管理与控制。
实施审计的限制因素:
u最近的员工更替或缺席;
u违反约定的项目结束日期及更新处理日期;
u相关知识与文档的缺乏。
审计项目管理
u制定详细的计划;
u按照审计计划报告项目活动;
u调整计划及采取纠正行动。
审计工作五要素
IT审计是指IT审计人员对主体责任人(被审计人)所负责的IT相关主体事项所进行的检查或评价活动,一般也涉及到直接使用该主体事项的第三方责任人,该方受管理层委托行使对主体事项的日常运营和管理职责。
因此,第三方责任人是评价的最终用户(一般为业务管理部门),应该与主体责任人(一般为IT管理部门)、审计人员一起,议定审计中使用的评价标准。
E1.审计分类
财务报表审计
经营审计
综合审计
管理审计
信息系统审计
专项审计
司法取证审计
信息系统审计的特殊性
信息系统审计师还可以经常从不同的方面来评估IT系统与功能,比如:
安全、质量、服务、可靠性及能力等。
u由于审计对象的特殊性,信息系统审计在实施审计时,还要理解和掌握测试和评估信息系统控制的方法
E2.审计方法论
审计方法论就是通过在组织中制定一系列规范的审计方法来达到预期的审计目标,也可称为审计策略。
主要内容包括审计范围、审计目标及工作程序。
审计方法论应当由审计部门的管理人员来制定与批准,在整个审计过程中一贯使用,并在审计人员中推广应用。
所有的审计计划、测试、发现及相关工作都应当记录在工作底稿中。
工作底稿形式多样,是审计目标与最终报告间的纽带,具有可追溯性,形成从目标到报告和报告到目标之间的无缝连接。
典型审计阶段:
审计对象、审计目标、审计范围、初步审计计划、审计方法和收集数据的步骤、评价测试和检查结果、与管理人员沟通、准备审计报告。
E3.审计方案
信息系统审计师经常需要从不同的角度评价IT系统及其功能,此时建立审计工作方案(也就是具体的审计策略与计划)是一件十分重要的工作;
通过审计工作方案可以确定具体的审计范围、审计目标、审计程序,以获得充分的、合理的证据,以得出和支持审计结论与审计建议。
审计方案的一般内容
♦获得对审计领域及审计主题的理解并进行记录;
♦进行风险评估并制定通用的审计计划和日程安排;
♦制定详细的审计计划;
♦对审计领域及审计主题的预审计;
♦对审计领域及审计主题进行评价;
♦符合性测试(常指对控制的测试,也叫控制控制测试)
♦实质性测试;
♦报告(沟通审计结果);
♦后续工作(追踪审计)。
E4.检测舞弊行为
一个设计良好的内部控制系统不仅可以有效地威慑舞弊现象的发生,而且还可及时检测出组织中出现各种不良行为;
信息系统审计师应当认真考虑组织中各种舞弊行为发生的可能性及出现的方式,特别要提防那些利用系统脆弱性和绕过IT环境中的控制来实施欺诈的行为。
E5.基于风险的审计(图见p34)
根据数字统计规律查找舞弊
班福定律
数字频率系数测试
重复数字测试
E6.审计风险与重要性水平
审计风险的概念
♦信息或财务报表可能有重要错误,但信息系统审计人员未发现已发生的错误,并做出了错误结论的风险
♦审计师选择审计方法,制定审计程序,目的就是把审计风险降低到审计师可以接受的水平。
♦评估审计过程本身所具有的风险,并决定在审计过程中是否采用及如何采用符合性测试及实质性测试。
♦把对控制所做的成本效益分析与已知的风险结合起来,做出最佳控制选择。
审计风险分类
♦固有风险—是指假设不存在相关的内部控制的情况下,发生重大错误的风险。
♦控制风险—是指有内部控制制度但无法预防、及时发现或纠正重要错误的风险。
♦检查风险—是指信息系统审计人员由于采用不恰当的测试程序,未能发现已存在重大错误的风险。
♦整体审计风险—整体审计风险是对个别控制目标所评估出的各类审计风险的综合。
整体风险的计算:
整体审计风险=(X*固有风险)×
(Y*控制风险)×
(Z*检查风险)
重要性、重大性、物质性(Materiality)
是指错误的严重程度,这一程度是从被审计信息系统的利益相关者的角度来判断,如果影响到利益相关者的判断与决策,那么这一错误就是重要的。
信息系统审计人员在计划审计业务时,为做出抽样决策,应评估重要性水平,以有效地使用审计资源,实现审计目标。
财务报表用货币价值作为衡量标准,审计师可以用货价值来衡量重要性水平。
而信息系统审计的对象可以是非财务项目,因此IS审计师需要得到如何确定重大性水平的指导其中X,Y,Z为风险权数
审计准则S12审计重大性
准则
03IS审计师在确定审计程序的性质、时间和范围时,应当考虑审计重大性及其与审计风险的关系。
04在审计计划阶段,IS审计师应当考虑控制的潜在缺陷或缺失,以及可能导致的信息系统重大缺陷或不足。
05IS审计师应当考虑次要控制缺陷或缺失的累积效应导致产生的信息系统重大缺陷或不足。
06IS审计师应当在报告中披露无效控制或缺失控制、控制缺陷的重要性及其导致重大缺陷或不足的可能性。
补充指导
07审计风险是IS审计师由审计发现得出不正确结论的风险,IS审计师应当理解审计风险的三个组成部分:
固有风险、控制风险和检查风险。
08在计划和执行审计任务时,IS审计师应当通过对IS及其相关控制的适当评估,努力降低审计风险至可接受的较低水平并满足审计目标的要求。
09如果控制缺失将导致不能合理保证满足控制目标的要求,该控制缺陷应当被认为是“重大性”的。
10重大缺陷意味着:
控制不存在、控制无效或控制不足并会逐步升级。
11重大缺陷是指不能预防或检查到的小概率非预期事件所导致的重大不足或其组合。
12重大性与IS审计师可接受的审计风险水平呈反向关系,即:
重大性水平越高,可接受审计风险越低,反之亦然。
IS审计师可据此确定审计程序的性质、时间和范围,例如:
在制定一个具体审计程序时,IS审计师确定重大性水平较低,从而提高审计风险,并打算通过扩大控制测试(减少控制风险评估)或实质性测试程序(减少检查风险评估)予以补偿。
13在确定控制缺陷或其组合是否为重大缺陷或不足时,IS审计应当评估补偿性控制的影响及其有效性。
E7.风险评估与处置
为加深对审计风险的理解,IS审计师应当理解被审计的组织是如何评估与处置风险的风险处置措施
♦降低风险
♦接受风险
♦转移风险
♦避免风险
E8.风险评估技术
每一种对象审计都面临着不同的审计风险,信息系统审
升级会员 