IT审计的组织与实施.pptVIP

? 风险评估:举例 具体风险 业务影响 可能性评价 影响评价 风险 说明 控制评价 审计方案 IT战略规划与 企业目标不致 IT战略规划不支持企业业务目标实现 资金用途没有最大化. 中等 非常高 高 有业务规划 IT管理层了解业务规划 IT管理层参与业务规化制定 IT管理层在制定IT战略规划时考虑业务规划 Link Link 业务流程总体评价 流程:IT规划与组织 第三十页，共八十四页。 ? 信息系统审计方法控制评价 记录需要控制风险的主要内部控制. 控制评价矩阵 具体风险 需要的控制 控制类型 (预防/发现/改正) 第三十一页，共八十四页。 ? 控制评价:举例 风险 控制 控制类型 (P,D,C) 审计方案索引 IT战略规划与企业目标不一致 企业IT投资以坚实的业务案例为依据 P Link 对控制设计的结论 流程:IT规划与组织 第三十二页，共八十四页。 ? 信息系统审计方法审计方案和测试 制定审计方案 需要测试的控制 审计程序 测试主要控制的有效性 记录测试结果 第三十三页，共八十四页。 ? 审计方案和测试:举例 风险/测试的控制 审计程序 工作底稿索引 审计人员 1-3 与以下人员面谈 CEO COO CFO IT部门负责人 IT指导委员会成员 分管IT的高管 人力资源部 取得并检查下列文件 IT规划的规章制度 高管在指导委员会的职责 企业战略目标，长期、短期计划 IT指导委员会会议记要 评价和测试内容 规划是否包括以下内容 企业的目标 IT是否支持企业目标 对IT项目是否经风险评价 IT项目是否根据企业目标的改变而调整 流程:IT规划与组织 第三十四页，共八十四页。 ? 信息系统审计方法沟通和报告 发出审计发现清单 与被审计单位管理层交换意见 起草审计报告 举行结束会议 发布最终审计报告 摘要 详细审计发现和审计建议 第三十五页，共八十四页。 ? 信息系统审计方法绩效评价 被审计单位调查问卷 审计结束时发出 调查问题: 审计目的是否表述清楚? 审计人员对被审计单位人员是否谦和礼貌? 审计发现是否准确? 对你是否有用? 第三十六页，共八十四页。 ? 信息系统审计方法 问题追踪和后续审计 对重要审计建议进行季度监控. 内部审计季度检查报告 控制报告 第三十七页，共八十四页。 ? IT 核心流程和审计方法 规划和组织 系统开发 变更/问题管理 数据管理 计算机操作运行 物理安全/设备管理 业务持续计划 (BCP) 信息安全 网络管理 应用处理 第三十八页，共八十四页。 ? IT 流程:规划和组织 公司如何管理 IT. 相关风险 IT规划与业务规划不一致 不现实的战略规划 IT成本超支 存在不相容的职能 组织不好的IT职能 第三十九页，共八十四页。 ? 审计方法:规划和组织 审计范围 组织结构 规划过程(战略, 战术) 预算和成本控制 服务级别协议 (SLAs) 培训和资源保障 沟通过程 第四十页，共八十四页。 ? 审计方法:规划和组织 访谈对象 首席执行官（CEO）/首席营运官（COO） 首席财务官（CFO） 首席信息官（CIO） IT 指导委员会成员 IT 高级管理层 用户管理层 第四十一页，共八十四页。 ? 审计方法:规划和组织 检查内容: IT组织机构图 IT 部门章程/权限 IT 规划 (战略, 战术) 业务规划 IT 指导委员会会议纪要 政策、程序和标准 服务级别协议 (SLAs) 培训计划 职位描述 第四十二页，共八十四页。 ? IT 流程:系统开发 信息系统是如何开发的，以支持企业运营. 相关风险 未满足业务需求 有瑕疵的业务案例 延期实施 范围不确定（软件基线） 第四十三页，共八十四页。 ? 审计方法:系统开发 审计范围 项目所有者 需求的提出和控制 项目管理 开发和测试 数据转换控制 后实施 第四十四页，共八十四页。 ? 审计方法:系统开发 访谈对象: CIO IT 指导委员会成员 项目指导委员会成员 项目所有者 项目经理 第四十五页，共八十四页。 ? 审计方法:系统开发 检查内容: IT 规划 系统开发方法 与硬件/软件采购相关的政策和程序 项目文档 (如：需求定义，可行性分析) 与软件采购、开发和维护相关的合同 第四十六页，共八十四页。 ? IT 流程:变更管理 IT变更是如何管理的，以确保完整性 相关风险 非授权的变更请求 未测试的变更 非授权的变更实施 第四十七页，共八十四页。 ? 审计方法:变更管理 审计范围 所有者 需求的提出和控制 变更控制 文档和过程 软件发布政策 第四十八页，共八十四页。 ? 年度审计计划:考虑的因素和批准 考虑的因素 风险高的可审计单元 管理层的要求 公司风