安达信IT审计培训的三个PPT.ppt

第一部分电脑技术在内部审计的应用介绍 第二部分信息系统管理第三部分信息系统开发和维护,2,第一部分电脑技术在内部审计的应用介绍概述,3,目的,对信息系统审计评估作一般性了解介绍在信息系统管理评估、可升级性评估、信息安全评估和可用性评估中使用的技术和流程,4,信息系统审计的框架,标准 确定信息系统审计和报告的法定要求指引 为信息系统审计准则的运用提供指引程序 举例说明信息系统审计师在审计项目中可遵循的程序可在以下网址查阅信息系统审计和控制协会(“ISACA”)准则和指引（http:/www.isaca.org/stand1.htm）,5,风险和控制,国际标准化组织(“ISO”)定义 风险 为“利用一项资产或一组资产的薄弱环节，某些特定威胁可以导致资产损失或损害的可能性.”审计师必须能够识别风险及用于防御这些风险的控制,安达信的业务风险模型,信息技术风险 访问-信息的访问被不适当地允许或拒绝的风险一致性-在交易输入、交易处理、汇总和报告过程中，与授权、完整性和准确性相关的风险相关性-信息与其收集、维护或发布的目的无关可用性-需要时得不到所需的信息基础设施-企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），以高效率、低成本、有组织地满足企业的目前和未来需要,风险模型,8,技术架构,监察事项,风险,控制,访问一致性可用性相关性基础设施,规条和指引,政策、标准、,开展管理,风险管理框架,9,访问（保密性）目标：保护个人信息或有价值信息免遭有意或无意的、未经授权的泄露。信息的读取可能会被不恰当地允许或拒绝的风险。未授权的人员可能读取保密信息。发生于各个层面网络层访问处理环境访问应用系统访问功能层访问,访问风险,10,一致性(准确真实)目的:保护重要数据免遭有预谋的或无意的、未经授权的篡改或删除在交易输入公司所使用的各种应用系统，并在系统内进行处理、汇总和报告的过程中，与信息的授权、完整性和准确性相关的风险典型问题：用户界面、处理、错误处理、变更管理、数据等,一致性风险,11,可用性目标:防止对真正的用户拒绝提供信息技术服务或未经授权地保留服务需要时不能得到所需信息的风险相关性信息与其收集、维护或发布的目的不符的风险,可用性和相关性,12,基础设施企业没有有效的信息技术基础设施（例如硬件、网络、软件、人员和流程），不能够高效率、低成本、有组织地满足企业的目前和未来的需要重点注意以下核心信息技术流程组织架构应用系统的定义、推行和变更管理物理设备安全计算机和网络操作数据和数据库的管理业务/数据中心复原,基础设施,13,风险评估,确认产生/存储、使用或操纵资产的信息资产和潜在的系统资产面对的潜在威胁及可能带来的后果确认并评估提出的控制和安全策划，以：防止或降低风险发生的可能性；警惕风险的发生并将风险的影响降到最低,14,风险控制的评估步骤,识别风险控制评估风险控制设计的有效性确定控制措施的正常运作测试控制措施运作的效果,15,控制的定义：“能够提供合理保证的政策、措施和组织结构”“提供适当的信息技术保护并支持关键流程的技术”,可扩展性IT 战略规划负载测试,访问操作系统安全防火墙和路由器应用程序,基础设施系统监控行政管理职责分工,可用性应急计划备份/复原系统设计高可用性计划,相关性系统开发控制,潜在控制,16,信息技术风险管理,信息技术风险评估制定信息技术安全框架 制定信息技术安全政策和措施 开展信息技术安全培训 建立信息技术风险管理部门，监控政策和措施的执行 系统评估/审计,17,信息技术审计的重点,数据中心安全评估评估信息技术部门的职责分工评估物理安全措施，防范对关键电脑和网络设备的非授权物理访问评估日常电脑运作和物理管理控制评估系统开发和维护控制程序评估测试和变更管理控制评估备份和复原程序，以及灾难复原计划应用系统安全评估评估数据输入控制，例如数据验证和交易确认评估数据处理控制，例如交易处理、更新和界面控制评估主文件一致性控制评估数据输出控制，例如报告的一致性和总数核对 评估应用程序功能访问控制电脑辅助审计技术(CAAT)开发 CAAT 程序来测试系统逻辑利用电脑审计软件进行数据处理和验证,18,问题？,