COBIT提供的IT过程审计指南.ppt

COBIT提供的IT过程审计指南 审计指南是COBIT提供的一个补充工具，以方便审计师在审计和评估活动中使用COBIT 框架与控制目标； 由于审计指南与COBIT 框架和详细控制目标集成在一起，因此审计指南为审计师准备审计计划、审计方案提供了指引； COBIT为IT的安全与控制提供了明确的政策和良好的实践，因此扎根于控制目标的审计指南使审计师可以从审计结论中得出合理的审计建议，并参照权威的标准来完善控制过程。 审计模型 审计的目标是： 为管理层提供控制合理性的保证 何处存在重要的控制弱点，证实由此产生的风险 建议管理层采取纠正措施。 审计过程的公认结构是： 识别与文档工作 评价 符合性测试 实质性测试 审计指南三层结构 审计前的准备 通用审计过程 具体审计步骤 审计步骤一：确定与记录 目标 为了使审计师能够熟悉审计目标所涉及的任务，并且了解信息系统管理层人员是如何确认他们己实施了有效的控制，包括识别出与实施的任务和规定的控制程序相关的人员、过程和地点。 预期的结果 是谁在执行审计目标所涉及的任务？ 任务在哪里执行？ 任务在何时执行？ 执行任务需要基于什么样的输入？ 任务的期望输出是什么？ 执行此任务有什么规定的控制程序？ 审计步骤二：评估 目标 通过评估规定的控制程序，以决定此程序是否提供了有效的控制结构。评估时要利用己确定的准则、行业标准及必要的审计判断。 一个有效的控制结构应当考虑成本有效性，要对任务己被执行、控制目标己达到提供合理保证。 预期的结果 适用于控制程序的法律、法规、组织准则、行业标准等。 规定的控制程序，通过此程序可以决定成本的有效性，是否能对任务己被执行、控制目标己达到提供合理保证。 经过评估的、用来弥补有缺陷的控制程序的补偿性控制措施。 对规定的控制程序和补偿性控制措施能否提供有效控制得出结论。 对符合性测试是否适宜得出结论。 审计步骤三：符合性测试 目标 对组织符合规定的控制程序的程度进行分析，把实际的控制程序及补偿性控制措施与规定的控制程序进行对比，并进行文档检查、会晤相关人员，以判断控制是否被正确地、持续地实施。只对被证明有效的控制程序进行符合性测试。 预期的结果 对组织遵守控制程序的程度的记录，和对组织是否正确地、持续地实施了规定的控制程序和补偿性控制措施而得出的结论。 为保证控制的充分性，在基于符合性级别的前提下，审计师决定进行实质性测试的程度。 审计步骤四：实质性测试 目标 进行必要的数据测试，就给定的业务目标是否己达到，为管理层提供最终的保证。 预期的结果 对任务的输出进行充分的测试后，对给定的控制目标是否达到而得出结论。 当出现下列情况时，要进行实质性测试： ---组织不存在控制措施 ---通过评估认为控制措施不能令人满意。或者， ---符合性测试表明控制措施没有被正确地、持续性执行。 对控制的观察 控制过程 首先，指定一个过程期望的执行结果的标准。 第二，要有一个方法感知过程中什么正在发生，即过程传递控制信息到控制单元中。 第三，控制单元将该信息与标准进行比较。 第四，如果真有什么不是在按照标准进行，控制单元指示采取纠正行动，当信息回到该过程时通知纠正行动。 观察什么？ IT过程的职责－清楚 标准－明确 控制过程 －偏差的界限 控制信息 －及时、完整和适宜 * 当地条件 地区特定标准 行业标准 与特定平台相关的因素 所使用的详细控制技术 第三层 补充详细的控制目标的审计关注点 详细审计指南 第二层 过程审计指南 COBIT框架 审计前的准备 对控制的观察 通用审计过程 第一层 通用IT审计方法 控制与风险 步骤与任务 决策点 设定审计策略 IT过程 资源 选择要审计的IT过程和平台 最近在业务与技术环境中发生的变量与事件 有关审计、鉴定和自我评估的结果 管理层使用的IT监督措施 识别固有的IT风险和各种级别的控制 与业务过程的相关性 识别与业务过程相关的信息需求 相关的业务过程 支持业务过程的平台、系统及系统间的互联 角色、责任及组织结构 定义审计范围 --获得对业务需求有关的风险、和相应的控制方法的理解; ----评价规定的控制的适宜性; ------评估符合性，通过测试规定的控制是否按规定、一致的、持续的起作用; --------证实，通过分析技术和/或咨询可选的来源，证实控制目标的风险不存在。 通用审计过程详解 COBIT审计指南示例 COBIT推荐的IT审计方法 * * *