CISA-IT审计实务培训1理论专题课件.ppt

1、金融企业IT审计实务培训 1.重要概念与理论专题杨洋（yycisa263）Feb,2019主讲人简介杨洋杨洋n管理学博士（信息管理与信息安全方向，同济大学）n会计学学士、硕士（东北财经大学）n高级程序员（2019），CISA（2019）,SCJP，IBM电子商务咨询师，IBM WSAD Developern目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术Feb,2019杨洋，yycisa2631.IT审计的概念2.IT审计的目标3.IT审计的形式4.IT审计的发展历史一、IT审计概述Feb,2019杨洋，yycisa263n“收集并评估证据，以判断一个信息系统是否有效

2、做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。（Ron Weber）nIS audit 注重应用系统审计，开发流程，已建立系统的注重应用系统审计，开发流程，已建立系统的应用，基于应用系统。应用，基于应用系统。nIT audit 注重基础设施安全，一般控制审计，侧重安全，注重基础设施安全，一般控制审计，侧重安全，不针对单个系统。不针对单个系统。1.IT审计概念Feb,2019杨洋，yycisa2632.IT审计的四个目标nAsset Security（资产安全性）nEffectivity（系统有效性）nEfficiency（系统效率性）nData Integrity（数据完整

3、性）nCompliance（合规性）Feb,2019杨洋，yycisa2633.IT审计的实施方式n定期全面审计对委托单位的全部信息系统的整体情况进行评价和建议，包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面（计划、组织、流程、培训）等情况。n具体项目审计针对具体某个信息化项目的建设进行全周期（从规划到验收）或指定阶段（如单独的后评估）的监理与建议。n专项审计根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议，比如对委托单位的信息系统安全审计。Feb,2019杨洋，yycisa263IT审计的组织模式n作为内部审计部门的组成n成立单独的IT审计或评价部门n

4、委托外部审计机构n混合模式Feb,2019杨洋，yycisa263n外审视角（签证目标）：n资产安全性n数据完整性n合规性n内审视角（管理目标）还包括：n系统有效性n系统效率性外审与内审Feb,2019杨洋，yycisa2634.IT审计的发展历史nEDP审计阶段为财务审计的数据获取提供帮助1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA）n内控系统审计阶段为财务审计的符合性测试提供帮助n独立的信息系统审计完全超出财务报表范围，直接为企业信息系统的各方面情况进行审计1994年该协会更名为信息系统审计与控制协会即ISACA，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160

5、多个分会，现有会员两万多人，是从事信息系统审计的专业人员唯一的国际性组织，CISA也是这一领域的唯一职业资格。Feb,2019杨洋，yycisa2631.总体发展趋势2.金融企业IT审计发展趋势二、IT审计发展现状与趋势Feb,2019杨洋，yycisa2631.总体发展现状与趋势n国外各类企业IT审计n典型国家简介：美国、澳大利亚nSOX法案对企业实施IT审计的影响n特点与趋势：n仍以内审为主n从关注安全向关注业务目标过渡n一般控制审计与应用控制审计并行Feb,2019杨洋，yycisa2631.总体发展现状与趋势n国外政府机构IT审计n英国绩效审计中的IT审计n日本对国家投资项目的IT审计

6、n美国联邦政府的IT审计n特点与趋势：n外部审计与政府内部审计结合n融入绩效预算管理体系n关注系统最终效果Feb,2019杨洋，yycisa2631.总体发展现状与趋势n国内IT审计发展现状n国内IT审计的起步n地区性分布：珠三角长三角北京n从业人员与机构n特点与趋势：n目前以SOX审计为主n外审需求较低，内审已经开始发展n自上而下推动，以合规审计为主Feb,2019杨洋，yycisa2631.总体发展现状与趋势n国内相关机构简介n审计署与信息产业部对IT审计的理解和推动n各类审计、咨询公司对IT审计的理解和推动n相关学术团体及成果n国内IT审计案例简介n某国有通信服务企业IT审计概述Feb,

7、2019杨洋，yycisa2632.金融企业IT审计发展现状与趋势n金融企业IT审计的特点n需求更急切，开展更早n更为关注安全性n业务变更频繁，直接影响风险n联网率高，风险扩散迅速n数据量大，审计成本高n岗位复杂，分权失效风险大n Feb,2019杨洋，yycisa2632.金融企业IT审计发展现状与趋势n国外金融企业IT审计典型案例n案例1：银行IT审计架构n案例2：银行一般控制审计与发现n案例3：银行业务系统审计与发现Feb,2019杨洋，yycisa2632.金融企业IT审计发展现状与趋势n国内金融企业IT审计典型案例n案例1：基于COBIT的IT审计架构n案例2：再贴现业务系统审计与发

8、现n案例3：个人消费信贷系统审计案例Feb,2019杨洋，yycisa2632.金融企业IT审计发展现状与趋势n趋势展望n越发强调事前参与和事中控制，建设多重IT控制框架n应用控制审计与财务审计紧密结合n持续在线审计技术将深入应用Feb,2019杨洋，yycisa2631.IT审计师的能力和胜任2.行业协会简介3.CISA考试简介三、执业资格与认证Feb,2019杨洋，yycisa2631.IT审计师的能力和胜任n再谈IT审计师的素质n管理 vs 技术nIT审计师不必是IT专家，不需要开发经验？nIT审计师是IT专家又能怎样？n应该具备的素质n系统的理解力n沟通能力与责任心n对不同技术的敏感性

9、n丰富的系统经验Feb,2019杨洋，yycisa2631.IT审计师的能力和胜任n演示案例：n某机关重要文档在线管理系统n职业道德要求n事情考虑：n是否充分了解目标系统？n是否能够调动足够资源？n时间与成本是否允许？nFeb,2019杨洋，yycisa2632.行业协会简介n各会计、审计组织与IT审计n各信息安全组织与IT审计nISACA（Information System Audit and Control Association）Feb,2019杨洋，yycisa2633.CISA考试简介n基本素质要求：n良好的职业道德观念n较全面的计算机技术知识n基本的风险基础审计理论n管理学知识n

10、自主学习的能力n实际从事IT业或审计业的工作经验Feb,2019杨洋，yycisa2633.CISA考试简介n认证要求：n具备前述条件n通过CISA考试每年一次，100分/70分，英文/中文n具有5年相关工作经验相关大学学历可减免两年n遵守执业规范，参加后续教育Feb,2019杨洋，yycisa263CISA考试时间点（2019下半年）n07-08-15优惠报名费截止日n07-09-26 报名截止日n07-10-19 变更考试注册信息截止日 n07-12-1 之前 发放电子准考证n07-12-8 CISA考试日 n08-2-20 左右 开始发布成绩 n实际时间可能变更，请关注ISACA官方网站

11、Feb,2019杨洋，yycisa263Feb,2019杨洋，yycisa263CISA考试注意事项n入场时间：8：00-8：30（8：30以后不能入场）n准备时间：8：30-9：00n考试时间：9：00-13：00（4小时）n地点：考场位置提前查看n英文考场/中文考场n实际时间可能变更，请关注ISACA官方网站Feb,2019杨洋，yycisa263CISA考试注意事项n必带物品：身份证，准考证，表，HB/2B铅笔，橡皮n禁止物品：手机，书，笔记，字典等n水/食品：只能在考场饮水区喝水/吃食品n衣服：注意环境，可能很冷（空调教室）n药品：胃药、止泻药、其他Feb,2019杨洋，yycisa2

12、63CISA考试注意事项n每道题有且只有一个正确选项n200道选择题，无倒扣，标准分n正确填涂Feb,2019杨洋，yycisa263学习资料nReview Manual nCISA Review Questions，Answers and Explanations ManualFeb,2019杨洋，yycisa263备考方法n反复读书，领会细节n反复作题，关注错误 n情景思考，注重人性n牢记术语，前后比较n实践为本，相信直觉Feb,2019杨洋，yycisa2631.重要性（重大性）2.审计报告与披露3.一般控制审计与应用控制审计4.对信息系统生命周期各阶段的审计四、重要理论专题Feb,20

13、19杨洋，yycisa2631.重要性（重大性）n重要性概念回顾n可容忍差错的最高界限n案例：财务审计中的重要性水平设定nIT审计的重要性难题n不再有“笔误”！n系统互联“错误乘数”Feb,2019杨洋，yycisa2631.重要性（重大性）与独立性n如何确定重要性？n对各级管理层的影响n不采取措施的后果n职业判断n案例探讨Feb,2019杨洋，yycisa2632.审计报告与披露n格式规范：n无一定之规nISACA S7&S8n一般内容：n简介：背景、目标、时间、方法论等n整体结论n详细审计发现n审计限制n遵循标准与指南Feb,2019杨洋，yycisa2632.审计报告与披露n案例：国外审

14、计报告导读n美国能源部 设施信息管理系统审计报告Feb,2019杨洋，yycisa2632.审计报告与披露n审计披露与职业判断n案例：银行IT经理临时修改授权n审计披露与客户阻力n案例：银行IT经理限制关键服务器取证n审计披露与职业道德n案例：违反联邦储备局管理规范的银行系统Feb,2019杨洋，yycisa2633.一般控制与应用控制n概念区分n一般控制审计的特点和目的n应用控制审计的特点和目的Feb,2019杨洋，yycisa2633.一般控制与应用控制n二者联系n大多数应用控制审计均会涉及一般控制审计n技术与工具的比较n审计依据：Checklist vs 系统文档等n主要关注：IT管理流程 vs 系统具体情况n一般工具：观察、调阅、询问n高级手段：穿透测试 vs 代码、数据分析等Feb,2019杨洋，yycisa2633.一般控制与应用控制n相关问题：控制测试与实质性测试n概念回顾n实质性测试成本大于控制测试？Feb,2019杨洋，yycisa2634.信息系统生命周期的IT审计n系统规划阶段的IT审计n系统开发获取与实施阶段的IT审计n系统运营阶段的IT审计n系统废弃与升级阶段的IT审计Feb,2019杨洋，yycisa263谢谢大家，欢迎交流谢谢大家，欢迎交流!杨洋（杨洋（yy.ok.2000263）Feb,2019杨洋，yycisa263