信息系统审计培训提纲.docVIP

信息系统审计培训提纲 北京吋代新威信息技术有限公司王新杰 信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资 产的安全、维护数据的完整、使被审计单位的目标得以冇效地实现、使组织的资 源得到高效地使用等方面作出判断的过程。近年来，越来越多的企业需要信息系 统审计服务，相关技术人员急需信息系统审计培训相关素材，木文以北京吋代新 威信息技术有限公司（以下简称时代新威）的服务内容为蓝本，给大家提供-?份 信息系统审计培训的内容提纲。 1、信息系统审计服务 【引用：信息系统审计培训-时代新威PT-S-01 ] 为什么审？ ?企业自身内控的需要 ?行业监管部门的要求 ?用户等相关方的期望 曲电脑、网络和用户所构成的信息系统，已经成为当今社会最重要的生产工 具。其安全性和有效性已经成为生产安全的重要组成部分，并成为信息系统所有 者及其用户最为关心的问题。同时，也是行业监管部门主要的监管内容。 信息系统审计是信息系统治理工作中的重要一环。它以合规性评价为出发点, 以评审、检查和测试为主要手段，以发现信息系统治理过程中存在的风险为目标， 帮助和促进用户全面预防和及时处置信息系统风险，从而有效提高信息系统的安 全性和有效性。 审什么？ 审计署对信息系统审计内容的要求是：“信息系统的安全性、有效性和经济 性”，它给出了信息系统审计的口标和方向。但针对一个具体的信息系统审计项 廿，其审计内容应以所确定的审计依据为准，通常包含一?般控制审计和应用控制 审计；也可以根据审计目的和内容的不同，分为不同的专项审计，女口： ?信息安全审计 ?业务和数据审计 ?信息系统投产和变更审计 ?业务连续性审计 ?信息技术外包管理审计 ?信息系统安全等级保护审计 怎么审? 实施信息系统审计，首先要明确审计口的并确定审计范围；然后选择和明确 审计依据，组建审计小组；其次规划审计方案，实施现场审计；最后报告审计发 现，形成审计报告；其后，作为后续审计活动，实施跟踪审计。其审计工作流程 大致如K： ?申计俎长?审计人员实施现场宙计组建审计小姐?审计计划 ?审计发现?审计品论?审计报杏 ?风险提 ?风险建议抿告审计 ?申计俎长 ?审计人员 实施现场宙计 组建审计小姐 ?审计计划 ?审计发现 ?审计品论 ?审计报杏 ?风险提 ?风险建议 抿告审计发现 后翳计 （信息系统审计培训示意图1） 审什么？ 信息系统审计时间的确定应考虑组织年度审计计划，尽量避开被审计对彖业 务活动高峰时期，以免影响其业务。确定信息系统审计时间，可考虑： ?定期审计 ?随机审计 ?遇有重大事件时审计 ?信息资产发生重大变化时审计 在哪里审？ 通常认为，信息系统审计的主要对象是一个组织的信息科技部门。其实，除 信息科技部门外，信息系统的所有用户部门及相关方都应考虑在内，因为许多信 息系统的控制措施要在这些部门完成。确定被审计对彖，可考虑： 一个组织的全部，即所有业务和所有部门 一个组织的局部，即部分业务或部分部门 ?组织的相关方，如组织的供方，顾客等 根据审计方式的不同，信息系统审计还分为现场审计和非现场审计。非现场 审计以非现场审计系统为主要审计工具。 谁来审? 审计组是实施信息系统审计的主体，应根据审计目标和内容，选择合适的审 计人员组成审计组。一个审计组应包括： ?组长 ?审计师 ?业务或技术专家 审计组成员应经过专业培训并取得相应资格,如CISP-Auditor、CISA等。 业务或技术专家应具备丰富的行业知识和经验。 2、业务数据审计服务 【引用：信息系统审计培训-时代新威PT-S-02] ☆高效、准确地发现业务系统中的违规和可疑数据 ☆按需定制的数据审计模型最大限度满足用户需求 ☆ 丰富的行业审计经验模型为用户提供参考和借鉴 业务数据审计是信息系统审计中最具价值的审计类型Z—。如何打开业务系 统电子帐农？如何建立业务数据审计模型？如何对海量业务数据进行筛选、分析? 是信息信息审计师当前面临的难题。 为解决上述难题，时代新威与中科院软件所合作，在审计署指导下，以审计 署常用审计模型为基础，总结众多行业实际审计业务经验，研发完成了一套高效 易用的业务数据审计系统。该系统在金融领域海量数据审计中发挥了重要作用。 此外，系统屮提供的审计模型具有通用性，也可以用于其它行业数据审计。 系统特点 ?统一的业务模型管理。建立了商业银行和政策性银行的信贷、小间业务、 资金、财务等业务类别的审计模型休系，涵盖了银行大部分的业务流程和 风险控制点；具备了企事业单位财务方面的审计模型； ?标准的数据审计模型。对被审计的业务系统数据，采取了字典规范化、表 结构规范化处理，保持了审计模型的独立性。 技术指标 ?通用性：能够同主流的数据库系统进行连接，并能高效地打开数据表; ?易用性：采用了自然语言编