怎样开展信息系统审计工作培训课件.pptVIP

* S1审计章程；S2独立性；S3职业道德和标准；S4职业能力；S5计划；S6审计工作的执行；S7审计报告；S8后续工作；S9违规和非法行为；S10信息技术管制；S11审计计划中风险评估的运用；S12审计重要性水平；S13利用其他专家的工作；S14审计证据。 * G1利用其他审计人员的工作；G10审计抽样；G18IT治理；G27移动计算等。 ISACA也在开发其他的审计指南，将在未来发布，主要有：信息访问隐私、变更管理等。 * P1信息系统风险评估；P2数字签名；P3入侵检测；P4病毒与其他恶意代码等。 ISACA也在开发其他的审计流程，将在未来发布，主要有：变更控制、数据中心等。 * * * * 有两个主要的概念可以帮助开始思考ITIL：整体服务管理和面向用户。 ITIL中的某些过程被提升为最佳实践，并被作为达到英国的信息技术服务管理标准（BS15000）的基础，而后者很有可能成为国际标准ISO/IEC 20000。 * 每项一般控制都有具体的实施指导，但是特殊控制没有具体实施指导，这是因为每个组织都希望建立一套完整的信息安全框架与风险控制评估流程，以确保组织的需求是适应实际情况的，而只有在建立这样的流程后，才能识别出不同于一般控制的特殊控制。而且实际上要列出所有可能的控制通常是不可能的。 * * * * * * * * * * * * * 内容提要 信息系统审计概述 国际上开展的政府的信息系统审计现状 信息系统审计模型－－COBIT 审计署所做的信息系统审计工作 案例介绍与分析 审什么和怎么审 交流互动 信息系统审计的提出与探索 从审计署计算中心成立之初，就开始提出开展信息系统审计，建立中国自己的信息系统审计人才认证； 十几年来，全国各级审计机关逐步尝试开展信息系统审计实践，为其发展积累了经验； 学术界也为信息系统审计工作进行了多年的理论准备。 有了这些积累，以下的事情也就成为水到渠成了： 开展的信息系统审计项目 2007年以前，部分特派办和省厅已经开始在审计项目中尝试开展信息系统审计工作。 2007年6月到11月，审计署组织在国家开发银行的资产、负债及损益审计项目中开展了对信息系统控制的审计，这是审计署第一次正式组织信息系统审计项目。 2008年上半年，审计署组织对中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。 2008年下半年，审计署组织对中化集团及天津公司开展了信息系统审计项目，这是审计署第一次独立组织的信息系统审计项目。 培训和交流 2006年底，审计署派团前往美国学习信息系统审计，归国后学员的学习报告和建议得到署领导重视。 2008年5月到6月，审计署在南京审计学院举办第一期信息系统审计培训班，来自审计署机关、派出局、特派办、地方审计机关的49名学员参加了培训。12月又举办了第二期培训班。 2007年，面向全国审计机关征集了第一批信息系统审计案例，并召开了研讨会。 2009年，再次面向全国审计机关征集信息系统审计案例，计划在11月份再次评审并召开了研讨会。 资料编写和翻译 2007年，审计署培训中心组织把最高审计机关国际组织的IT审计课件翻译成为中文，计算中心与相关机构联系，把该资料挂在委员会网站上。 2008年，审计署科研所组织编写了《信息系统审计技术方法》。 2009年，审计署计算中心开始翻译GAO的《联邦信息系统控制审计手册》。 规范准备 2007年，审计署计算中心组织编制了信息系统审计准则，后此项工作交由法规司负责。 2008年，审计署计算中心组织开始编制信息系统审计指南，此项工作计划在2009年3月底完成。 内容提要 信息系统审计概述 国际上开展的政府的信息系统审计现状 信息系统审计模型－－COBIT 审计署所做的信息系统审计工作 案例介绍与分析 审什么和怎么审 交流互动 案例1： 国家开发银行信息系统审计 案例2： 中化集团信息系统审计 内容提要 信息系统审计概述 国际上开展的政府的信息系统审计现状 信息系统审计模型－－COBIT 审计署所做的信息系统审计工作 案例介绍与分析 审什么和怎么审 交流互动 政府信息系统审计的总体目的 对被审计单位的信息系统运行、管理中的控制的有效性进行评价，包括对相关控制的设计是否合理、执行是否有效，有无重大的控制缺失等。审计机关和审计人员应当根据本单位拟开展的信息系统审计项目的实际情况，确定信息系统审计的目的，包括以下不同情况： 在财务收支审计中，通过对与财务收支审计目标相关的信息系统一般控制和应用控制的有效性进行评价，从而为财务收支审计提供支持； 在独立的信息系统审计项目中，通过对系统控制的有效性进行测试，指出系统的关键控制缺陷，在此基础上进一步对信息系统控制的有效性给予评价；或者仅指出系统的关键控制缺陷，而不进行整