資訊系統稽核流程_ CISA Review Course.pdf

2008 CISA‚ Review Course Chapter 1 資訊系 統稽 核流程 ü姓名：陳佳弘 ü現職：安永會計師事務所 風險管理諮詢服 務 協理 ü認證： CIA(2002) CISA(2003) CPMP(2005) ITIL Foundation(2005) üe-mail ：Feynman.Chen@ ü資訊系 統稽核 功能管理 ü ISACA資訊系統稽 核之準則及指導原則 ü風險分析 ü內部控制 ü執行資訊 系統稽核 ü控制自我評估 ü IS稽核程 序之新變革 統 核 ü資訊系 統稽核 功能組織 ü資訊系 統稽核資源管理 ü稽核規劃 ü 法令與規範對資訊 系統稽核規劃之影響 統 核功能組織 ü角色(role)是透過稽核規章 (audit charter)建立 ü內部稽核的一環，提供有關資訊科技的控制確信 (assurance) ü稽核規章中應清楚敘明授予其職權的範圍 與責任 ü最高階管理階層及稽核委員會認可 (approve)發佈 統 核 ü資訊系統稽核 人員是有限的資源 ü資訊系統科技 經常改變，應持續性進修以維持專業能 力 ü專業訓練內容應配合稽核規劃 而實施 ü稽核規劃包括短期及 長期規劃，短期計畫係指當年度稽核問 題 ，長期計畫則應包括 組織資訊政策方針及資訊系統環境之 變更。 ü 長短期問題應至少每年度進行一次分析，以便考量新控管問 題、科技變更、營運流程變更及強化評估技術。 ü資訊系統稽核員應明瞭及考量管理當局之風險評估 、法令需 求、及 其他事件可能對稽核之 全面性影響 。 執行稽核規畫時 ，資訊系 統稽核員應 ü 取得企業的使命、目標、目的 、流程之瞭解 ü 確認組織的 政策、標準 、指導原則 、程序 等內容 ü 風險評估 ü 執行風險分析 ü 執行內部控制覆 核 ü 設定稽核範圍及目標 ü 研擬稽核 方法或稽核 策 ü 指派資訊系統稽核 人員 法稽 核規劃 之影響系統 ü資訊系 統稽核之法令規範需考慮 –法令規範 需求的 建置(establishment) –法令規範 需求的 組織(organization) –相關單位的責任 (responsibilities) –財務 、作業與IT稽核功能之關聯性(correlation) 法稽 核規劃 之影響系統 ü為決定企業或機構對外部規 定或要 求之遵循程度 ， 須執行之步驟: –確認政府或其他外部單位有關之規 定或要求 –蒐集整理有關的 法令規定等 –評估組織內之管理階層人員及 訊 系統功能，是否在訂定計畫 及建置 方針、準則及程序 等方面，將外部規定或要 求納入考慮 –檢討內部資訊 系統部門／ 能／作 業之文件是否 注意遵守有關 該作業之規定 。 –確實遵循依這些規定或要求所 建立之作業程序 ISACA 統 核之 準則及指導原則 ISACA職 業道德規範(Code of Professional Ethics) ISACA資訊 系統稽 核準則(IS Auditing Standards) ISACA資訊 系統稽 核指導原則(IS Auditing Guidelines) ISACA資訊 系統稽 核程序(IS Auditing Procedures) 準則 、指導原則以及程序之間的關係(/standards) – Standards Must be followed by IS auditors – Guidelines Provide assistance on how to implement the standards – Procedures Provi