信息审计.pptVIP

信息系统审计的实施及审计准则 信息系统审计的实施 国际信息系统审计准则 1. 信息系统审计的准备－审计部门 信息系统审计的环境构建、文化导入； IT审计师的培养； 各种审计相关规章的准备 宗旨在于提高作为企业中枢神经的信息系统的可靠性、安全性和开发、运营效率，使企业能够健康地运营和发展。要使信息系统审计能够达成既定目标，上级主管的完全授权是最重要的一环 2. 信息系统审计的准备－被审计部门 　要求被审计部门提供诸如文档之类相应的资料作为审计依据。　被审计部门为此事先应该对文档、操作说明书等进行整理和准备。准备好计算机安全措施、个人信息保密措施等说明。尽可能让IT审计师一目了然。通常，被审计部门（信息化部门，用户部门）需要准备的东西如下面所示。当然，有关的系统设计书、程序设计说明书之类的必须保持最新的更新状态 信息化部门： 系统开发计划书系统设计书 系统构成图程序一览表信息管理相关规章操作指南故障对应指南计算机安全对策现状说明 用户部门：终端设备操作手册系统输出列表系统输入式样系统使用指南 3. 信息系统审计的实施步骤 基本计划（每年一度的审计计划，属于年度计划，概要性的计划） 个别计划（个别，有实施细则） ? 审计实施 审计通知（实施前1－3周通知被审计部门） 预备调查（审计实施前准备） 审计实施（实际的审计活动） 审计意见整备（基于审计结果的记录和文档） 评议会（基于审计结果，与被审计部门交换本次审计意见） 审计计划 审计报告 审计报告制作（完成信息系统审计报告）提交（向上级主管提交信息系统审计报告）报告会（召集相应的干系人进行会议）改良指示（上级主管根据审计意见责令被审计部门进行相关的改良活动） 审计追踪（IT审计师对改良情况进行检查） 4. 信息系统审计的留意点 必须制作相应的审计计划。计划中必须明确审计的对象、审计目的、审计主题。　 审计对象、主题的选定、优先度确定之类留意点可参照下面所述:企业经营方针、上级主管的需求信息化部门的问题、要求用户部门的问题、要求审计对象的业务特征信息系统的重要度审计对象业务的问题点及其解决紧迫度IT审计师自身的知识、经验 5. 信息系统审计的着眼点 安全：信息系统的物理安全性，防止非法使用 可靠：硬件、软件的正确运行 机密：基于数据访问权限的保密 合法：法律、法规、规章之类 适时：是否符合开发、导入、运营等的时 间限制 成本：成本节约方面的效率 资源：资源利用方面的效率 有效：信息系统目标的达成度 6. 信息系统审计技术 　通过很多方法实施信息审计，每种方法各有利弊，组合使用，可以更有效。　　商谈法：与信息化部门、用户及相关人员进行会谈　　资料查阅法：对与信息系统相关的文档、程序进行查阅，核查　　实地考察法：对机房、考勤以及业务终端、器材（例如POS）等进行实地考核　　 计算机审计法： 常见一些利用计算机的方法有： 测试数据法 程序审计 审计模块 ITF方法 并行仿真 快照 追踪（Tracig） 代码比较 7. 信息审计报告 　IT审计师将结果汇编成《信息系统审计报告》，向上级部门出示的同时，也要传送给相关的人。　由IT审计师独立编写，内容主要涵盖信息系统的可靠性，安全性和效率的现状以及问题点。同时给出改良建议 《信息系统审计报告》的样式如下所示：　　信息系统审计报告书 　[题头] 报告日期； 上级主管部门名称； 上级主管姓名； 审计说明（概要）； 　[正文] 审计对象； 重点审计主题； 审计目的； 审计范围和审计实施步骤（概要）； 实施期间； 被审计对象部门； 被审计人员及其工作职能； ? 审计结果（概要） 可靠性? 1) 可靠性概要? 2) 可靠性评价 安全性? 1) 安全性概要? 2) 安全性评价 效率? 1) 效率概要? 2) 效率评价 主要存在的问题 改良建议? 1) 一般改良建议? 2) 紧急改良建议 8.? 改良指示和改良追踪 　结果以审计报告的方式提交给上级主管，上级主管根据审计报告，向被审计部门提出改良的指示，被审计部门依照审计报告中的改良建议进行改良。　　IT审计师需要对被审计部门的反馈（改良活动）进行复查和评价，该活动称为审计追踪；　　通过审计追踪，能够确保审计效果的达成，同时还可以确保改良措施得到妥当地执行。　 　改良追踪的步骤如下所示：　　信息系统审计的实施（审计部门）→　信息系统审计报告书制作（审计部门）→　对被审计部门提出改良指示（上级主管）→　改良活动实施（被审计部门）→　改良状况检查（审计部门）→　改良状