怎样开展信息系统审计工作.ppt
怎样开展信息系统审计工作,审计署计算中心 辅助审计处 陈剑,课程目的,这部分内容是对信息系统审计这一新兴的审计领域的介绍性质的课程。通过学习,学员能够了解国内外信息系统审计开展的状况,明确国家审计中信息系统审计的范围和目标,初步了解开展信息系统审计的工作流程和技术方法,达到开阔眼界,启发思路、指导实践的作用。,小调查1,你的专业背景是:计算机相关审计业务相关其他是否参加过本单位开展的信息系统审计项目是否是否有信息系统审计相关学习经历CISACISSP其他无,小调查2,你认为影响本单位开展信息系统审计工作的主要因素是:(多选)人才和技术手段缺乏 信息系统审计在国家审计中的定位模糊 法规不健全 目前单位的考核机制 不知道该如何开展 认为没有开展的必要 其他(请具体说明),内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,什么是信息系统审计,INTOSAI(最高审计机关国际组织):信息系统审计是:一个通过获取并评估证据,以判断IT系统是否保护了组织的资产,有效率地利用组织的资源,保障数据的安全性和一致性,以及有效地达到组织的业务目标的过程。,为什么要开展信息系统审计,计算机在各级政府组织中的广泛使用 交易处理财务报表决策支持功能数据挖掘被审计单位的IT系统对审计人员的审计方法和在审计测试中采用的技术产生了影响;内部控制环境的变更;匿名用户带来的责任缺失;未经授权的和未记录下来的数据修改的可能性;看得见的审计痕迹和/或纸质文件的缺失;审计证据的变化;数据复制/无内容数据的可能性;出现欺诈和错误的新机会和机制;分布式数据处理和存储;关键业务信息的机密性和一致性;由于组织内部或组织之间的通讯,特别是因特网增加的风险;系统故障/宕机的可能性。,信息系统审计的类型,对信息系统控制的检查 对财务信息系统的审计 信息系统的绩效审计或VFM审计 对正在开发的信息系统的审计 信息系统舞弊审计 信息系统安全审计 计算机辅助审计技术(CAATs),信息系统审计的起源与发展,社会审计:伴随着财务报告审计发展1954年,第一套计算机化的会计系统在通用电气公司开始使用。六十年代中期,出现了第一套通用审计软件(GAS)。1968年,AICPA(美国注册会计师协会)和当时的八大会计师事务所联合开始开展EDP(电子数据处理)审计。1968年,电子数据处理审计师协会(EDPAA)成立。该协会于1977年发布了控制目标第一版(即Cobit的前身)。1977年,IIA发布了一项研究成果,即系统可审计性与控制(the Systems,Auditability,and Control,简称SAC)。,信息系统审计发展的历史(续),1994年,电子数据处理审计师协会(EDPAA)改名为信息系统审计与控制协会(ISACA)。1996年,信息系统审计与控制基金会(Control Objectives for Information and Related Technology,简称ISACF)发布了信息技术控制目标COBIT第一版。目前已经修订到第四版。1998年,IT治理学会(IT Governance Institute)成立。1978年,出现了CISA职业化认证,并在1981年举办了第一次CISA考试。2005年9月,美国国家标准协会(ANSI)对ISACA提供的CISA和CISM资格进行了鉴定的认可,巩固了这两个资格的地位。,信息系统审计发展的历史(续),政府审计:起源于对政府信息系统的评价1959年,GAO发布第一份政府的信息系统审计报告:评价自动化数据处理系统的安装;1999年,GAO发布联邦信息系统控制审计手册(第一版);2001年,GAO发布联邦信息系统安全审计管理的计划指南;2007年,审计署组织了第一次信息系统审计项目;2008年,审计署组织了第一次独立的信息系统审计项目;2009年,GAO发布联邦信息系统控制审计手册(第二 版),信息系统审计的标准体系,ISACA的信息系统审计标准标准(Standards)指南(Guidelines)流程(Procedures)信息系统审计可以参考的其他标准信息系统控制方面信息系统运营、服务管理方面信息系统安全方面信息系统审计必须遵循的行业法规,ISACA的信息系统审计标准,标准:定义了信息系统审计和报告的强制性要求。指南:对审计人员执行信息系统审计标准的指导,信息系统审计人员在实施相关工作时,应当考虑这些指南的要求。流程:为信息系统审计人员在执行具体审计任务时提供详细的案例,供审计人员参考。,标准,生效日期,指南,生效日期,流程,生效日期,信息系统审计可以参考的其他标准,信息系统控制方面COSO COBIT SAC&eSAC 信息系统运营、服务管理方面ITIL信息系统安全方面ISO/ICT17799,COSO,COSO内部控制框架实际上是COSO组织在1992年9月发布的一份报告,报告的正式名称是“内部控制-完整框架”。它是在美国审计行业最为广泛接受并使用的内部控制框架。包括政府审计和会计师事务所的审计都以COSO作为检查组织内部控制的标准框架。尽管COSO框架并不是信息技术方面的内部控制框架,但是由于它在审计领域的重要性,几乎所有的信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。特别是2002年萨班斯奥克斯利法案(SOX)颁布后,美国证券交易管理委员会(SEC)把COSO框架作为组织加强内部控制的唯一参考框架,更进一步提升了COSO框架的重要地位。许多组织为了达到SOX法案对内部控制和信息真实性的要求,纷纷对信息系统进行控制评估和风险测试,开发了各种信息技术控制框架以符合COSO提出的要求,从而把信息技术的一般控制和应用控制方法与COSO框架结合起来。,SAC&eSAC,SAC是第一个与信息技术相关的内部控制框架,它其实是由内部审计师学会(IIA)在1977年发布一份报告,报告的正式名称是系统审计与控制报告,该报告着重从业务视角考察信息技术,分析了存在于信息系统的计划、实施、自动化应用中的风险,希望为组织提供“对信息技术与系统审计的控制的指导”。SAC报告包含了14个模块,分别是:执行概要、审计与控制环境、审计中信息技术的应用、计算机资源管理、管理信息与开发系统、业务系统、最终用户与部门级计算、通讯、安全、意外计划、技术、索引、先进技术支持、案例研究。2001年,内部审计师学会(IIA)发布了适应时代的信息系统控制模型:电子系统验证与控制(eSAC),主要内容包括高级管理人员、公司治理实体、审计人员在理解、评估、监控、化解技术风险时需要掌握的新知识。eSAC的核心通过五个验证目标(可用性、性能、功能、保护、责任)与COSO的四个内部控制目标(运行、报告、符合、维护)以及五项基础设施模块(人员、技术、过程、投资、通讯)结合起来。,ITIL,ITIL是指信息技术基础设施库(IT Infrastructure Library)。是一个能促进组织接近提供高质量的信息技术服务的最佳实践的框架。ITIL专门关注怎样做和谁来做。核心过程包括在两个ITIL的文档中:服务支持和服务交付。服务支持主要包括以下过程:事故管理问题管理配置管理变更管理版本管理服务交付主要包括以下过程:服务水平管理信息技术服务的财务管理能力管理信息技术服务持续度管理可用性管理ITIL还包括了基础架构管理、应用程序管理、安全管理、规划与实施服务管理、软件资产管理等内容。,ISO/ICT17799,ISO/ICT17799是信息安全的国际标准,是由国际标准化组织(ISO)和国际电子技术委员会(ICT)颁布的。该标准的正式名称是“信息技术安全技术信息安全管理实务规定”。其中ISO/ICT17799:2000版本,是对英国标准BS7799-1:1999的复制。2005版的ISO/ICT17799标准包含了以下12个方面:风险评估与处理、安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与运营管理、访问控制、信息系统获取、开发与维护、信息安全事故管理、业务持续管理、符合性。在标准的每一部分中,都清楚地标明了信息技术安全控制的目标,信息技术安全控制被作为达到这些目标的最佳实践。,信息系统审计必须遵循的行业法规,Gramm-Leach-Bliley 法案(GLBA)又称金融现代化法案,1999年11月12日获得美国国会的通过,GLBA规定金融机构必须评估客户机密信息的风险,制定控制措施,尽量降低已知风险,并定期更新风险评估结果和控制措施。健康保险流通与责任法案(HIPAA)1996年8月21日,健康保险流通与责任法案(HIPAA)(The Health Insurance Portability and Accountability Act)获得美国国会的通过,法案规定所有处理和/或持有健康医疗相关信息的组织都必须遵守保护病患信息(PHI)的安全性规定。HIPAA把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。萨班斯一奥史斯利法案(Sarbanes-Oxley Act)2002 年通过的萨班斯一奥史斯利法案(Sarbanes-Oxley(SOX)Act of 2002)规定美国证券交易所(SEC)的注册公司必须针对运营和金融业务建立并维持有效的内部控制架构,为控制措施的有效性提供管理报告,而且控制措施的有效性必须通过外部审计人员的审核。,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,国际上开展的政府的信息系统审计现状,美国联邦审计机构信息系统审计美国地方审计机构信息系统审计国外IT绩效审计与电子政务审计,美国联邦机构信息系统审计,美国的联邦审计机构(中央级)由两部分组成:一部分是美国审计署(GAO),另一部分是兼有审计、监察两种职能的行政部门和机构的监察长办公室(OIGs)。,美国联邦审计机构,美国审计署作为议会的调查机构,是议会用来监督和评价联邦政府的工具。其主要工作是开展项目效果评价和管理评估、政策评估以及为国会提供有关政府施政方面的复杂问题的研究报告。除对联邦合并财务报表和个别机构、单位的财务报表由美国审计署进行审计外,部门和机构的财务审计基本上交由监察长办公室进行。美国的监察长审计制度是通过1978年监察长法建立起来的。根据1978年的监察长法及其后来的修正案,联邦政府各部门均设立监察长办公室,监察长负责监察长办公室的工作,由总统任命。监察长办公室的预算是独立的,由国会批准,部门负责人不能用经费来限制监察长办公室的业务活动。监察长办公室的工作范围十分广泛,涉及到影响部门工作效率和效果的各个方面。其主要工作包括审计、对投诉、举报和有关事项的调查和监察等工作。其中,审计工作主要包括财务审计和绩效审计两个方面。美国审计署和监察长办公室在分工上各有侧重,二者共同构成了美国国家审计的整体。,美国审计署与监察长办公室的关系,(根据2004年3月24日美国审计长大卫沃克所做的美国审计署和监察长办公室:提高政府绩效和责任演讲中的幻灯片的内容编译。),1、美国审计署,美国审计署与计算机相关的组织机构 在业务方面,设置了专门的信息技术局开展信息系统审计;另外,在应用研究与技术局下设有专门的技术工程和信息安全实验中心,负责改善信息技术和促进软件工程现代化,评估联邦政府计算机系统的安全性。在保障方面,设置了专门的信息系统与技术服务部门保障内部信息系统的运转。,相关计算机机构的任务,信息技术局(截止至2007年4月)有局领导2人,5个处,分别是:(1)信息管理;(2)信息技术架构与系统;(3)信息技术人力资本与管理;(4)信息技术管理事务:(5)信息技术安全事务。信息系统与技术服务部门设GAO首席信息官(CIO)一名,承担9项任务:(1)业务系统;(2)客户关系;(3)预约管理;(4)组织架构;(5)信息系统安全;(6)网络运营;(7)运行与计划;(8)通讯;(9)网页服务 技术工程和信息安全实验中心负责对工作成果有关内容的准确性进行技术检验,包括具备系统工程、软件工程、成本概算和计算机安全等方面的工程师和科学家。,美国审计署文件对信息系统审计组织机构的要求,美国审计署信息系统安全审计管理的计划指南(2001年12月)中提到:审计机关所辖信息系统审计部门的大小决定了信息系统审计的能力,州和地方审计机关信息系统审计部门的大小和职能区别很大。一些审计机关没有设置信息系统审计部门,而是通过与社会审计有关方面签订合同,完成信息系统审计工作。还有一些审计机关的信息系统审计人员直接整合进入财务审计和业务审计小组。此外,审计机关应该根据其大小、结构和任务建立健全信息系统安全审计方面的能力。,美国审计署对信息系统控制审计的提法,1、一般控制(摘自联邦信息系统控制审计手册):实体安全控制访问控制应用软件开发和变更控制系统软件控制职责分离控制服务连续性控制2、应用控制(摘自联邦政府内部控制标准和控制管理与评价工具):授权控制完整性控制准确性控制数据文件和处理的完整性控制,美国审计署关于信息系统安全审计的提法,(摘自信息系统安全审计管理的计划指南)信息系统安全审计的目标是:支持财务审计、支持效益审计、支持计算机辅助审计和完成系统开发的安全检查等。满足信息系统安全审计目标的活动有:计划支持;一般控制检查(组织和管理、应用开发与维护、系统软件、计算机运行、安全管理、逻辑安全、物理安全)、应用控制检查(输入控制、输出控制);采用专门的安全技术工具;收集其他安全相关信息;其他的专业支持。,美国审计署与信息技术投资相关的指南和手册,信息技术:评估采购风险的审计指南,1992年12月;执行指南:通过信息管理战略来提高执行任务的效果,1994年5月;信息技术投资:联邦机构能提高效益、降低成本和使风险最小,1996年9月;信息技术投资评价指南,1997年2月;执行指南:信息技术投资的效益计量和成果演示,1998年3月;执行指南:信息安全管理,1998年8月;信息安全风险评估:领先者的实践经验,1999年11月;信息技术投资管理执行指南:评估和改进过程成熟度的框架 2004年3月。,美国审计署发布的信息系统审计报告,根据对美国审计署官方网站上审计报告的统计,自1959年12月15日的评价自动化数据处理系统的安装开始至今(2007年5月),美国审计署共发布1632份有关信息管理的审计报告。自2000年1月至今,美国审计署共发布有有关信息管理的审计报告392篇,占同期全部审计报告(7087份)约5.5%。,以美国审计署网站公布的第一份信息管理类审计报告为例,这是一份提交给邮政事务委员会(THE COMMITTEE ON POST OFFICE AND CIVIL SERVICE)的报告。审计调查:1959年10月,邮政事务委员会请求美国审计署对其自动化数据处理系统的安装进行评价。1952年12月,其下属部门租得一套中型计算机系统Datatron 205,年度租金$123,300,增加运营成本$156,700,该部门不久 安装了一套更大处理能力的Datatron 220,将进一步增加运营成本$127,500。审计署认为,该部门决定租用计算机系统Datatron 205的理由是充分的,但调查也发现使用该套设备并不能直接节约费用。,以美国审计署发布的最新一期信息管理类审计报告为例,信息安全:美国联邦存款保险公司需要继续改进其处理程序。GAO-07-351,2007年5月18日 美国审计署为什么要完成进行这项审计任务?美国联邦存款保险公司(FDIC)有责任强制要求金融机构遵守银行法,保护存款人的利益。作为2006年度财务报表审计的一部分,美国审计署评估以下内容:(1)美国联邦存款保险公司按照先前报告要求,对信息安全薄弱环节的纠正情况。(2)信息系统完整性控制的效力,以保证财务信息和信息系统的机密性和有效性。美国审计署的建议是:美国联邦存款保险公司应采取措施解决控制薄弱点,并将NFE“新财务环境”充分整合,纳入统一的信息安全程序。在起草报告的过程中,美国联邦存款保险公司反映他们正在落实整改。,以美国审计署发布的最新一期信息管理类审计报告为例(续),美国审计署的审计发现:首先,美国联邦存款保险公司积极按照2005年美国审计署报告的建议,对26项薄弱点进行了纠正。其中包括:(1)正在开发和已经完成的计算机程序不得在网络中以可读取的方式传输主机用户和管理员的密码;(2)使用程序变更供应商的用户名/密码;(3)改进主机的安全监控等。虽然,美国联邦存款保险公司已经采取了有效措施改进其信息系统控制,但是原有的和新发现的薄弱点将阻碍公司保护其财务和敏感信息与系统的完整、机密和有效。除了还有5项薄弱点还没有得到纠正以外,本次审计还发现以下控制存在薄弱点:(1)e-mail安全;(2)物理安全;(3)配置管理。虽然这些薄弱点可能不会给公司的财务报表造成虚假陈述的显著风险,但是他们的确是可能造成财务和信息系统风险的发生。此外,公司没有将其“新财务环境”(NFE)纳入整体的信息安全程序,没有对其实施关键的控制活动。,2、监察长办公室(OIGs),监察长办公室下设多个部门,其中包括审计处。审计处主要负责:1、实施和监督与部门项目和业务活动有关的审计;2、提出相关政策建议以提升部门项目和业务活动管理的经济、效率和效果,揭露并杜绝项目和业务活动管理过程中出现的舞弊、浪费、滥用和管理不善问题,协助监察长提请部长和国会注意有关部门项目和业务管理方面的问题、不足以及改善的必要性和过程。监察长下设的审计部门在信息系统审计领域,同样要遵守美国审计署颁布的审计标准、手册和指南。,美国小企业管理局监察长办公室,2003财年信息系统控制审计报告,2004年4月,审计人员检查了小企业管理局的财务管理系统的一般控制和应用控制,确认其是否控制符合联邦的要求。本次审计,对联邦政府进行一般控制和应用控制的检查,主要依据下列文件:(1)管理和预算办公室(OMB)的A-130通知;(2)联邦信息资源和计算机安全法案,1987年。审计结论认为:小企业管理局在实施信息系统安全程序方面获得相当大的进展,但仍然存在不足,部分控制仍需加强,包括:整体的安全控制、访问控制、应用软件开发和变更控制、系统软件控制、职责分离控制控制和业务持续性控制。该报告也提出了相应的解决建议。,联邦通信委员会监察长办公室,呼叫中心的计算机控制审计,2000年6月,审计依据:(1)管理和预算办公室(OMB)的A-130通知;(2)美国审计署联邦信息系统控制审计手册;(3)通讯委员会自定的“计算机安全程序”;(4)“计算机舞弊和滥用法”。审计发现:审计最终发现103处问题,其中高风险(13处),中风险(52处),低风险(38处)。呼叫中心共有3大系统,分别是:自动呼叫管理系统、语音响应系统和专家顾问系统。,国外的信息系统审计,美国联邦审计机构信息系统审计美国地方审计机构信息系统审计国外IT绩效审计与电子政务审计,两个协会,美国州审计师、主计师、司库全国协会(NASACT)美国地方政府审计师协会(ALGA),美国州审计师、主计师、司库全国协会(NASACT),美国州审计师、主计师、司库协会由州政府开展财务管理政府官员组成的一个组织。其会员包括美国50个州、哥伦比亚特区等美国领土的所有审计师、主计师和司库。该协会成立了专门的政府间信息安全审计论坛,以促进加强政府信息安全审计能力。包括5个组,任务目标组、法律文件和报告组、技术组、培训和课件开发组和信息共享组。其目标是:技术技巧和人力资源;采用的审计方法和工具;建立完成信息安全审计的技术、法律和程序基础;开发材料,教育信息安全风险与审计;讨论改善信息安全的统一标准。其开发的操作手册包括:一般控制、应用控制、计算机辅助审计技术、计算机取证审计,美国地方政府审计师协会(ALGA),美国地方政府审计师协会是由有关审计机构组成,自由入会,共享资源。该协会对信息系统审计没有特别定义,它收集了很多与信息系统审计相关的资源,包括:(1)AICPA,SASNo.94“信息技术对审计师在财务报表审计中考虑内部控制的影响”;(2)信息系统控制与审计学会的信息系统审计;(3)内部审计学会信息技术审计;(4)NIST关于联邦信息处理标准中计算机安全的描述;,德克萨斯州审计局犯罪司法信息系统数据的准确性,2001年12月,经过审计,审计局认为德州CJIS(犯罪司法信息系统)比5年完善和准确。但是,还有部分有待改善。审计局曾经作出评估德州犯罪司法信息系统的审计报告,指出该系统存在多个薄弱点可能影响数据的可靠性。审计报告指出需要采取若干基本控制以确保数据的可靠性。审计报告的内容主要分两个部分:(1)州公共安全厅应加强控制确保犯罪数据库系统(CCH)数据的完整和准确;犯罪数据库系统的数据是不完整的,审计发现法院部署实施逮捕的数据与在册的罪犯数据不匹配。其原因有:有关方面还没有提交逮捕信息,公共安全厅的“自动指纹识别系统”和现场扫描系统存在数据重复等。(2)州犯罪司法厅应改进罪犯改正跟踪系统,并加强该系统的IT控制。,国外的信息系统审计,美国联邦审计机构信息系统审计美国地方审计机构信息系统审计国外IT绩效审计与电子政务审计,美国的做法,电子政务法案,2002 在颁布电子政务法案前的20年,美国陆续颁布过很多与联邦信息技术管理相关的法律文件,如隐私法、信息自由法、Clinger-Cohen 法(信息技术管理改革法)、文书削减法等。2002年,由预算与管理办公室(OMB)主导,促成了电子政务法的颁布。该法案在第2章“联邦管理与电子政务促进”中3707条款提到:美国审计署应在4年内向众议院政府改革委员会和参议院政务事务委员会提交一份报告,包括评价信息技术交换技术的效力;以及该程序是否应该继续或终止的建议。该法案第2章“联邦信息系统标准的责任”11331条款中提到:国家技术标准委在制定相关标准时应与预算与管理办公室、国防部、能源部、国家安全局、审计署和国土安全部协商。该法案第3章2332条款提到:美国审计署在六个月内向国会提交一份有关“结余分享”(share-in-savings contracts)的报告。,美国地方审计机关对电子政务的审计报告,美国新泽西州审计局在2001年对信息技术局的电子政务服务进行了审计;美国明尼苏达州审计机关在2002年4月对当地的电子政务进行了审计;美国亚利桑那州审计局在2004年9月对州运输局的车辆处进行了对信息安全和电子政务的审计,英国的做法,英国审计署十分注重VFM(Value for Money)审计,即价值衡量审计(绩效审计),IT项目绩效也在其重点考虑和评价之列。有资料表明,英国审计署对IT项目的最初审计实践始于1984年,经过多年发展,英国审计署已经将有关信息技术服务管理作为进一步利用计算机开展绩效审计工作的主要方向。1999年12月和2002年4月,英国审计署分两次提交网上政府报告;2002年4月,提交通过电子政务提供更好的公众服务报告;2003年5月,提交采购和管理软件许可证报告;2004年,提交改进IT采购:商务部改进IT程序和项目效益的动机及影响报告;2005年,提交健康部:健康部的国家IT项目报告。,“信息通信技术在电子政务审计中的应用:关于效率、透明和责任的战略”的国际专题讨论会。,2005年4月,联合国(UN)和最高审计机关国际组织(INTOSAI)在奥地利维也纳召开。电子政务审计作为加强政府透明和责任不可缺失的手段正在受到各国审计机关的高度重视。审计机关电子政务审计的成熟度,取决于国家电子政务达到的水平,以及审计机关自身的技术。,2004年4月,最高审计机关国际组织IT审计委员会在莫斯科召开了第4次效益审计工作会议,议题:“如何对电子政务开展效益审计”包含3个子议题,分别是:“电子政务项目的风险评估”,“以用户为导向的效率问题”,“审计电子政务时面临的挑战”。,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,信息系统审计模型COBIT,COBIT:全称是信息技术控制目标框架,由ISACF在1996年发布,分别在1998、2000、2005年进行了修订,目前的版本是COBIT4.1。,信息系统审计模型COBIT,COBIT是一个全面的内部控制框架,是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。COBIT的内容主要参考了不同的国际组织的标准或最佳实践,覆盖了当今世界上关于控制和IT的主要标准。如:国际标准化组织(ISO)ISACA信息技术安全评估标准(ITSEC)COSOGAOIFACIIAAICPACICA欧洲安全论坛(ESF)国家标准与技术学会(NIST),COBIT的基本原理,COBIT是基于控制的模型,COBIT对控制的定义是:“组织为了能够预防、检测、纠正非预想情况的发生,而设计实施的一整套策略、程序、实务以及组织结构等的集合,以达到组织的各项业务目标。”这个定义与其他内部控制框架对控制的定义差不多。COBIT架起了强调业务的控制模型(如COSO)和强调IT的控制模型(如BS7799)之间的桥梁。,COBIT是面向过程的模型,COBIT把IT环境下的各项活动组合成为过程,对每个过程设定了一批详细的控制目标,又把这些过程按照逻辑相关性组合成为域。COBIT有四个最高层的域,在这四个域中共包含了34个高层控制目标和318个具体控制目标。这四个域是:PO域:计划与组织(11个过程)AI域:获取与实施(6个过程)DS域:交付与支持(13个过程)ME域:监测与评估(4个过程),信息系统审计模型COBIT,COBIT定义了组织中的4种关键信息技术资源:人员信息应用系统信息基础设施COBIT定义了7方面的信息标准:效果性(Effectiveness):信息系统提供对业务处理来说“有效”的信息效率性(Efficiency):“有效率”地使用资源,提供信息保密性(Confidentiality):保护敏感信息,避免泄漏信息一致性(Integrity):保证信息的“真实可信”,即信息准确、完整,并且 从业务价值和业务需要的角度来说是正确有效的可用性(Availablity):当业务需要时,信息可随时获得可靠性(Reliability):为管理层维持组织运转和履行所赋予职责提供适当 的信息合规性(Compliance):符合相关法律、规定、合同对业务过程的规定,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,信息系统审计的提出与探索,从审计署计算中心成立之初,就开始提出开展信息系统审计,建立中国自己的信息系统审计人才认证;十几年来,全国各级审计机关逐步尝试开展信息系统审计实践,为其发展积累了经验;学术界也为信息系统审计工作进行了多年的理论准备。有了这些积累,以下的事情也就成为水到渠成了:,开展的信息系统审计项目,2007年以前,部分特派办和省厅已经开始在审计项目中尝试开展信息系统审计工作。2007年6月到11月,审计署组织在国家开发银行的资产、负债及损益审计项目中开展了对信息系统控制的审计,这是审计署第一次正式组织信息系统审计项目。2008年上半年,审计署组织对中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。2008年下半年,审计署组织对中化集团及天津公司开展了信息系统审计项目,这是审计署第一次独立组织的信息系统审计项目。,培训和交流,2006年底,审计署派团前往美国学习信息系统审计,归国后学员的学习报告和建议得到署领导重视。2008年5月到6月,审计署在南京审计学院举办第一期信息系统审计培训班,来自审计署机关、派出局、特派办、地方审计机关的49名学员参加了培训。12月又举办了第二期培训班。2007年,面向全国审计机关征集了第一批信息系统审计案例,并召开了研讨会。2009年,再次面向全国审计机关征集信息系统审计案例,计划在11月份再次评审并召开了研讨会。,资料编写和翻译,2007年,审计署培训中心组织把最高审计机关国际组织的IT审计课件翻译成为中文,计算中心与相关机构联系,把该资料挂在委员会网站上。2008年,审计署科研所组织编写了信息系统审计技术方法。2009年,审计署计算中心开始翻译GAO的联邦信息系统控制审计手册。,规范准备,2007年,审计署计算中心组织编制了信息系统审计准则,后此项工作交由法规司负责。2008年,审计署计算中心组织开始编制信息系统审计指南,此项工作计划在2009年3月底完成。,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,案例1:,国家开发银行信息系统审计,案例2:,中化集团信息系统审计,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,政府信息系统审计的总体目的,对被审计单位的信息系统运行、管理中的控制的有效性进行评价,包括对相关控制的设计是否合理、执行是否有效,有无重大的控制缺失等。审计机关和审计人员应当根据本单位拟开展的信息系统审计项目的实际情况,确定信息系统审计的目的,包括以下不同情况:在财务收支审计中,通过对与财务收支审计目标相关的信息系统一般控制和应用控制的有效性进行评价,从而为财务收支审计提供支持;在独立的信息系统审计项目中,通过对系统控制的有效性进行测试,指出系统的关键控制缺陷,在此基础上进一步对信息系统控制的有效性给予评价;或者仅指出系统的关键控制缺陷,而不进行整体评价。,政府信息系统审计的范围,针对以上目的,信息系统审计可以在以下不同的层次开展:可以针对被审计单位的整体信息系统运行和管理进行审计;可以针对被审计单位的特定的信息系统(如ERP系统)或者使用的特定技术(如网络安全)进行审计;可以只对一般控制或应用控制情况开展审计。,审计计划阶段,计划阶段的目的是:了解被审计单位以及其业务运作情况;识别风险和内部控制;确定审计的性质、范围和重点。计划阶段主要的任务有:确定合适的被审计单位以及适合开展审计的信息系统。确定审计所关注的重要领域。初步评估系统的风险。了解并初步评估信息系统控制。形成审计方案和审计实施方案。,确定合适的被审计单位以及适合开展审计的信息系统,1、选择合适的被审计单位是国家审计特有的任务,这主要取决于:(1)根据国家政策监管的要求,国家审计的关注点、行业的重要程度、以及被审计单位的信息化程度等多方面因素确定。例如金融行业、电信行业等重点行业对于保障国计民生以及维护国家经济安全至关重要,国家有很多监管要求,本行业信息化程度也很高,审计机关应当充分考虑对其开展信息系统审计。(2)在日常审计工作中,感觉有必要开展信息系统审计的单位,可在对其充分调查的基础上,开展各种形式的信息系统审计。,确定合适的被审计单位以及适合开展审计的信息系统,2、选择适合开展审计的信息系统时,要考虑:(1)该系统对于被审计单位的重要程度。被审计单位对系统的依赖程度越高,开展信息系统审计的意义越大。(2)该系统的复杂程度。太复杂的系统应当考虑进行非全面的,特定范围的信息系统审计,如仅对其业务环节的应用控制进行审计。,了解被审计单位的相关情况,在审计计划阶段,审计人员应当系统地搜集掌握被审计单位的相关信息,进行专业的分析和评估,为后续的工作做好准备。为开展信息系统审计,审计人员需要了解的被审计单位的相关情况主要包括以下几类:1、被审计单位的基本情况。2、被审计单位信息系统的情况。3、被审计单位的网络和安全管理情况。4、影响被审计单位信息系统的内、外部因素。(1)国家、行业的监管信息,如IT相关法律法规、监管要求、技术发展趋势;(2)组织内部的制度要求。,5、组织的战略目标对信息技术和信息系统的依赖程度。6、信息技术的战略目标、发展规划及近期发展计划。7、信息技术组织架构和关键人员,以及最近一年的人员变更情况。8、信息系统支持的关键业务流程及最近一年的变更情况。9、被审计单位对外部信息技术服务的依赖程度。10、最近一年主要信息系统的上线、升级、变更情况。11、被审计单位的信息资产的敏感程度。12、以前年度IT审计、外部审计等相关的审计发现及追踪情况。,了解被审计单位的相关情况(续),识别出审计所关注的关键领域,通过以上步骤,审计人员能够对被审计单位的系统关键程度、关键业务流程、内外的监管要求都有了初步的了解,也就可以初步分析出组织所面临的风险。结合审计整体目的和以上情况,审计人员能够识别出所关注的潜在的审计事项,在将这些潜在的审计事项按照风险进行比较,审计人员就确定了本次审计所关注的关键领域,也就是那些对于达到审计目标而言关键的领域。,审计计划阶段,制定总体审计工作方案初步评估信息系统的风险对信息系统的控制给出初步的评价制定审计实施方案,审计实施阶段,信息系统的一般控制信息系统的应用控制确定审计所关注的控制领域和控制目标。根据已识别并评估的IT风险,对潜在审计对象的了解程度、机构重要性程度、审计资源配置,对控制的有效程度的初步评估结果,以及一般控制的审计目标,审计机关和审计人员可以确定审计所关注的控制领域。识别被审计单位的控制活动。确定审计程序和测试方案。开展审计测试。审计人员根据既定的具体审计方案进行审计测试,编制审计工作底稿。评价一般控制和应用控制的有效性。,审计报告阶段,内容提要,信息系统审计概述国际上开展的政府的信息系统审计现状信息系统审计模型COBIT审计署所做的信息系统审计工作案例介绍与分析审什么和怎么审交流互动,联系方式,审计署计算机技术中心辅助审计处 陈剑TEL:010-68301641 13901167943E-MAIL:,谢谢大家!,