文档介绍:Feb, 2008
金融企业IT审计实务培训—— 1. 重要概念与理论专题
杨洋
(yycisa@)
杨洋,yycisa@
Feb, 2008
主讲人简介
杨洋
管理学博士(信息管理与信息安全方向,同济大学)
会计学学士、硕士(东北财经大学)
高级程序员(1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计算的安全接入关键技术
杨洋,yycisa@
Feb, 2008
1. IT审计的概念
2. IT审计的目标
3. IT审计的形式
4. IT审计的发展历史
一、 IT审计概述
杨洋,yycisa@
Feb, 2008
“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全,不针对单个系统。
1. IT审计概念
杨洋,yycisa@
Feb, 2008
2. IT审计的四个目标
Asset Security(资产安全性)
Effectivity(系统有效性)
Efficiency(系统效率性)
Data Integrity(数据完整性)
Compliance (合规性)
杨洋,yycisa@
Feb, 2008
3. IT审计的实施方式
定期全面审计
对委托单位的全部信息系统的整体情况进行评价和建议,包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面(计划、组织、流程、培训)等情况。
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收)或指定阶段(如单独的后评估)的监理与建议。
专项审计
根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议,比如对委托单位的信息系统安全审计。
杨洋,yycisa@
Feb, 2008
IT审计的组织模式
作为内部审计部门的组成
成立单独的IT审计或评价部门
委托外部审计机构
混合模式
杨洋,yycisa@
Feb, 2008
外审视角(签证目标):
资产安全性
数据完整性
合规性
内审视角(管理目标)还包括:
系统有效性
系统效率性
外审与内审
杨洋,yycisa@
Feb, 2008
4. IT审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助
独立的信息系统审计——完全超出财务报表范围,直接为企业信息系统的各方面情况进行审计
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
杨洋,yycisa@
Feb, 2008
1. 总体发展趋势
2. 金融企业IT审计发展趋势
二、 IT审计发展现状与趋势