信息系统审计基础培训.pptx
合集下载
【精品】信息系统审计PPT课件
硬件
软件
第三方
单位:万元人民币
内部支持
总计
354 8,586 1,620 12,150 4,860 6,512 3,434 3,019 3,316
3,353 669
12,859 4,046 4,256 156
354 8,748 3,240 12,150 5,670 15,168 11,904 5,434 1,953
A6.数字盆地系统
A7.工程技术生产 运行管理系统
C1.电子采购系统
D1.ERP业务分析 与实施计划
D7.工程技术服务 ERP系统
C2.电子销售系统
D2.勘探与生产 ERP系统
D8.物资装备 ERP系统
C3.贸易管理系统
D3.天然气与管道 ERP系统
D9.海外业务 ERP系统
C4.矿区服务系统
D4.炼油与化工 ERP系统
B 炼油化工与销售项目
B1.炼油与化工运行系统 B2.炼化物料优化与排产系统 B3.客户关系管理系统 B4.加油站管理系统
C 商务与支持项目
C1.电子采购系统 C2.电子销售系统 C3.贸易管理系统 C4.矿区服务系统 C5.物流管理系统 C6.发电供电信息系统
硬件
软件
第三方
单位:万元人民币
内部支持
完成实施项目
正在实施项目
完成可研项目
中国石油信息技术总体规划
集团公司“十一五”信息技术总体规划项目投资总额为92亿元
未上市部分 股份公司 合计
单位
投资(亿元人民币)
29.9896 62.0121 92.0017
“十一五”信息技术总体规划投资
工作包名称
A 勘探开发与管道项目
信息系统审计概述(ppt 86页)
建立信息系统审计制度是建立信 息化“游戏规则”的重要组成部分。
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;
信息化审计的技术基础知识(ppt 84页)
四.信息与信息技术的概念
信息范围广大,人们可以通过电视,电话,报刊,网 络等各种媒体,获取,加工和传递信息。 信息技术(IT)是指利用电子计算机和现代通信手段 实现获取信息,传递信息,存储信息,处理信息, 显示信息等的相关技术,
主要包括传感技术,通信技术,字化的特点
审计数字化的特点具有以下四个特点: 数字化: 审计信息数字化 集成化: 审计信息资源进行集成化的组织,管理
和存储,杜绝审计信息的无序状态。 共享化:各类审计信息资源能够及时地更新,并且
可以使审计人员之间实现高度共享,快速传递和实 时交流。 知识化:处于不断“学习,记忆,适应,优化”的 状态,形成一种“发现知识----利用知识----产生新 知识----知识积累”的良性循环之中,成为知识型和 学习型的审计组织和人员。
四.信息与信息技术的概念
什么是“信息”? 从广义上讲,信息是一个事物的运动状态以及 运动状态形式的变化。它是一种客观存在,例 如日出,日落,股市的涨跌等等,都是信息。 而狭义的“信息”是指信息接受主体所感觉到 并被能理解的东西。 例如,某公司财务报表上的各种数据,尽管它 们是客观存在的,如果不能被人理解,就不是 信息。
审计信息化的发展经历了三个阶段:
3.以系统论为指导的计算机审计方式的形成 审计机关在大量实践的基础上总结出了一整套规范化的计算机审
计作业流程;
数据审计的普及和提高,并与信息系统审计紧密结合,把底层数 据和信息系统作为审计取证的切入点;
单机审计模式,局域网络审计模式和网上设计模式等多种作业模式 同时并存,适用于不同的计算机审计项目;
三.信息化对内部审计的影响
(一)审计风险的增加 网络的开放性:会计信息资源共享,会计资
料被非法修改和窃取; 传统控制方式的改变:数据集中,方式改变,
(精)信息系统安全管理与审核培训课件
收集和分析外部威胁情报,及时了解最新的 攻击手段和工具。
恶意代码防范
采取多种手段防范恶意代码,如定期更新病 毒库、限制软件安装权限等。
攻击事件监测与处置
利用安全设备和日志分析工具,实时监测攻 击事件,及时处置并恢复系统。
安全漏洞披露与应急响应
建立安全漏洞披露机制,及时响应和处理安 全漏洞,降低安全风险。
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改或 者销毁,确保信息的机密性、完整性和可用性。
信息安全重要性
信息安全对于保障个人隐私、企业机密、国家安全等方面具有重要意义。随着 信息化程度的不断提高,信息安全问题也日益突出,因此加强信息安全管理至 关重要。
信息安全威胁与风险
信息安全威胁
据加密、防病毒等措施。
网络安全设备配置
合理配置防火墙、入侵检测系 统、安全网关等网络安全设备
,确保网络安全。
系统漏洞修补
定期对企业内部系统进行漏洞 扫描和修补,防止黑客利用漏
洞进行攻击。
员工安全意识培训
定期开展网络安全意识培训, 提高员工对网络安全的认识和
防范能力。
外部攻击防范与应对实践
威胁情报收集与分析
持续改进与跟踪
建立持续改进机制,对发现的问题进 行跟踪和改进,确保企业信息系统的 持续合规。
THANKS.
讯联络、现场处置等方面措施。
应急演练实施
02
定期组织应急演练,提高人员应急处置能力,检验应急预案的
有效性。
演练效果评估
03
对演练效果进行评估,针对存在问题提出改进措施,不断完善
应急预案。
信息系统安全管理
06
与审核实践
企业内部网络安全管理实践
恶意代码防范
采取多种手段防范恶意代码,如定期更新病 毒库、限制软件安装权限等。
攻击事件监测与处置
利用安全设备和日志分析工具,实时监测攻 击事件,及时处置并恢复系统。
安全漏洞披露与应急响应
建立安全漏洞披露机制,及时响应和处理安 全漏洞,降低安全风险。
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改或 者销毁,确保信息的机密性、完整性和可用性。
信息安全重要性
信息安全对于保障个人隐私、企业机密、国家安全等方面具有重要意义。随着 信息化程度的不断提高,信息安全问题也日益突出,因此加强信息安全管理至 关重要。
信息安全威胁与风险
信息安全威胁
据加密、防病毒等措施。
网络安全设备配置
合理配置防火墙、入侵检测系 统、安全网关等网络安全设备
,确保网络安全。
系统漏洞修补
定期对企业内部系统进行漏洞 扫描和修补,防止黑客利用漏
洞进行攻击。
员工安全意识培训
定期开展网络安全意识培训, 提高员工对网络安全的认识和
防范能力。
外部攻击防范与应对实践
威胁情报收集与分析
持续改进与跟踪
建立持续改进机制,对发现的问题进 行跟踪和改进,确保企业信息系统的 持续合规。
THANKS.
讯联络、现场处置等方面措施。
应急演练实施
02
定期组织应急演练,提高人员应急处置能力,检验应急预案的
有效性。
演练效果评估
03
对演练效果进行评估,针对存在问题提出改进措施,不断完善
应急预案。
信息系统安全管理
06
与审核实践
企业内部网络安全管理实践
【精品】信息系统审计四章节幻灯片
信息系统审计四章节
第五章 信息系统开发与获取审计
5.1 信息系统生命周期与审计 5.2 基于生命周期的信息系统开发方法 5.3 信息系统的其他开发方法 5.4 信息系统开发团队、角色和责任 5.5 项目管理 5.6 软件配置管理 5.7 与软件开发相关的风险 5.8 软件开发过程的完善 5.9 信息系统开发过程审计
于组件开发是通过定义组件的接口,将组件集成可执行的 软件包,从而完成一定的系统功能服务。
➢ 组件的基本的类型
➢ 过程内客户端组件 ➢ 独立客户端组件 ➢ 独立服务器端组件 ➢ 过程内服务器组件
➢ 组件开发的优点及风险
5.3.5 基于Web应用的开发方法
➢ Web Services是基于Web应用开发的一个全新技术架构,
5.9 信息系统开发过程审计
5.9.1 信息系统审计师对系统开发过程进行风 险评估
5.9.2 制定审计计划 5.9.3 系统开发过程审计
谢 谢!
5.5 项目管理
➢ 项目管理的组织与机制
➢ 项目范围管理 ➢ 软件规模评估 ➢ 项目启动 ➢ 项目计划 ➢ 项目进度管理 ➢ 源代码行数 ➢ 项目成本管理 ➢ 成本预算 ➢ 软件成本评估 ➢ 关键路径法 ➢ 甘特图 ➢ 项目评审技术 ➢ 结束项目
5.6 软件配置管理
➢ 软件配置管理
➢ 软件发布管理 ➢ 程序库控制软件 ➢ 执行码及源代码的完整性 ➢ 源代码比较
➢ RAD支持单独系统的开发和实施,但不支持整个企业
信息需求或者某个主要业务领域的信息需求的规划和分析。
➢ 通过对系统开发设立严格的时间框架,采用重用组件,
RAD提供一种快速开发系统的思路。过程如下:
➢ 概念定义阶段 ➢ 功能设计阶段 ➢ 开发阶段 ➢ 安装阶段
第五章 信息系统开发与获取审计
5.1 信息系统生命周期与审计 5.2 基于生命周期的信息系统开发方法 5.3 信息系统的其他开发方法 5.4 信息系统开发团队、角色和责任 5.5 项目管理 5.6 软件配置管理 5.7 与软件开发相关的风险 5.8 软件开发过程的完善 5.9 信息系统开发过程审计
于组件开发是通过定义组件的接口,将组件集成可执行的 软件包,从而完成一定的系统功能服务。
➢ 组件的基本的类型
➢ 过程内客户端组件 ➢ 独立客户端组件 ➢ 独立服务器端组件 ➢ 过程内服务器组件
➢ 组件开发的优点及风险
5.3.5 基于Web应用的开发方法
➢ Web Services是基于Web应用开发的一个全新技术架构,
5.9 信息系统开发过程审计
5.9.1 信息系统审计师对系统开发过程进行风 险评估
5.9.2 制定审计计划 5.9.3 系统开发过程审计
谢 谢!
5.5 项目管理
➢ 项目管理的组织与机制
➢ 项目范围管理 ➢ 软件规模评估 ➢ 项目启动 ➢ 项目计划 ➢ 项目进度管理 ➢ 源代码行数 ➢ 项目成本管理 ➢ 成本预算 ➢ 软件成本评估 ➢ 关键路径法 ➢ 甘特图 ➢ 项目评审技术 ➢ 结束项目
5.6 软件配置管理
➢ 软件配置管理
➢ 软件发布管理 ➢ 程序库控制软件 ➢ 执行码及源代码的完整性 ➢ 源代码比较
➢ RAD支持单独系统的开发和实施,但不支持整个企业
信息需求或者某个主要业务领域的信息需求的规划和分析。
➢ 通过对系统开发设立严格的时间框架,采用重用组件,
RAD提供一种快速开发系统的思路。过程如下:
➢ 概念定义阶段 ➢ 功能设计阶段 ➢ 开发阶段 ➢ 安装阶段
信息系统审计第3章PPT课件
2020/9/17
信息系统审计
8
§3.1审计证据概述
充分的审计证据:
1、如果审计证据支持所有关于审计目标和范围的实质问 题,则可以被视为充分的证据。
2、审计证据应该客观充分,使得一个有资格的独立方可 以重复操作审计检查并获得同样结果。审计证据应该与审计 项目的实质性以及所涉及的风险相称。
3、充分性用来衡量审计证据的量,而正确性用来衡量审 计证据的质,两者相互关联。在这种情况下,当信息系统审 计师使用从机构获取的信息来进行审计工作时,审计师应要 求并强调所获信息的正确性和完整性。
如果将输入数据的可能值分成若干个“等价类”,就可以 合理地假定:每一类的一个代表性的值在测试中的作用等价于这 一类中的其他值,也就是说,如果某一类中的一个测试用例发现 了错误,这一等价类中的其他测试用例也能发现同样的错误;反 之,如果某一类中的一个测试用例没有发现错误,则这一类中的 其他测试用例也不会查出错误 。
2020/9/17
信息系统审计
19
§3.2 审计证据收集方法
5、黑盒法: 信息系统审计师在已知企业的信息系统功能的条件
下,通过测试来检测每个功能是否都能正常使用。 黑盒测试方法主要有等价类划分、边界值分析、因果
图分析、错误推测等方法。
2020/9/17
信息系统审计
20
§3.2 审计证据收集方法
(1)等价类划分:
5、信息系统审计师应考虑其获取的任何信息的来源和性质, 以便评估这些信息的可信度和进一步确认的需要。
2020/9/17
信息系统审计
14
§3.2 审计证据收集方法
收集方法概述 :
在进行审计证据收集时要考虑成本因素和技术因素。
2020/9/17
信息系统审计信息系统审计基础
7
1. 信息系统审计的起源与发展
1.2 国内:
1994 年2 月,我国颁布了《中华人民共和国计算机 信息系统安全保护条例》,提出信息的完整性、可 用性、保密性、抗抵赖性、可控性等要求。 1999年2月9日,我国正式成立了中国国家信息安全 测评认证中心。 2002年4月15日 全国信息安全标准化技术委员会 (简称信息安全标委会,TC260)。 2005年12月16日 国家网络与信息安全协调小组正 式通过了《信息安全风险评估指南》。
12
4. 信息系统审计的标准与依据
ISO13335标准 首次给出了关于IT安全的保密性、完整性、
可用性、审计性、认证性、可靠性6个方面 含义,并提出了以风险为核心的安全模型: 企业的资产面临很多威胁(包括来自内部的 威胁和来自外部的威胁);利用信息系统存 在的各种漏洞(如:物理环境、网络服务、 主机系统、应用系统、相关人员、安全策略 等),对信息系统进行渗透和攻击。
15
4. 信息系统审计的标准与依据
16
4. 信息系统审计的标准与依据
17
4. 信息系统审计的标准与依据
18
4. 信息系统审计的标准与依据
19
5. 信息系统审计的过程
审计计划: 检查被审计单位的IT政策、实务及组织 结构; 检查一般控制和应用控制的情况; 计划控制测试和实质性测试的程序;
20
8
2. 信息系统审计的内容
管理计划 与IS的组
织
技术基础 与操作实
务
业务过程 评价与风 险管理
信息资产 的保护
灾难备份 与业务持 续计划
业务应用系统 的开发取得实
施与维护
9
3. 信息系统审计与内部控制
管理角度 管理计划与IS的组织(C2)
1. 信息系统审计的起源与发展
1.2 国内:
1994 年2 月,我国颁布了《中华人民共和国计算机 信息系统安全保护条例》,提出信息的完整性、可 用性、保密性、抗抵赖性、可控性等要求。 1999年2月9日,我国正式成立了中国国家信息安全 测评认证中心。 2002年4月15日 全国信息安全标准化技术委员会 (简称信息安全标委会,TC260)。 2005年12月16日 国家网络与信息安全协调小组正 式通过了《信息安全风险评估指南》。
12
4. 信息系统审计的标准与依据
ISO13335标准 首次给出了关于IT安全的保密性、完整性、
可用性、审计性、认证性、可靠性6个方面 含义,并提出了以风险为核心的安全模型: 企业的资产面临很多威胁(包括来自内部的 威胁和来自外部的威胁);利用信息系统存 在的各种漏洞(如:物理环境、网络服务、 主机系统、应用系统、相关人员、安全策略 等),对信息系统进行渗透和攻击。
15
4. 信息系统审计的标准与依据
16
4. 信息系统审计的标准与依据
17
4. 信息系统审计的标准与依据
18
4. 信息系统审计的标准与依据
19
5. 信息系统审计的过程
审计计划: 检查被审计单位的IT政策、实务及组织 结构; 检查一般控制和应用控制的情况; 计划控制测试和实质性测试的程序;
20
8
2. 信息系统审计的内容
管理计划 与IS的组
织
技术基础 与操作实
务
业务过程 评价与风 险管理
信息资产 的保护
灾难备份 与业务持 续计划
业务应用系统 的开发取得实
施与维护
9
3. 信息系统审计与内部控制
管理角度 管理计划与IS的组织(C2)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计基础培训.
1
信息系统审计基础培训
©2007 德勤华永会计师事务所
课程目录
• 信息系统审计基础 • 通用计算机控制审计 • 应用系统控制审计 • 计算机辅助审计技术介绍 • 信息技术控制缺陷的评估 • 对外包服务商内部控制的考虑 • 交流与回答
2
信息系统审计基础培训
©2007 德勤华永会计师事务所
1.7
0.7
Summarize & Communicate the Audit Plan (Ch 16)
Perform Tests of Operating Effectiveness of Controls (Ch. 17) Perform Substantive Procedures [SAP (Ch. 18) &/or Tests of Details (Ch. 19)]
•授权审批 •普通程序和系统 •职责分隔 ••客 信息户技对术帐控制
组织的控制意识。“高层论调”
•道德准则 •成文的政策与程序 •文化评估
Establish Terms of Engagement (Ch. 5)
Perform Preliminary Planning
Strategic Audit Planning (Ch. 6) Understand the Entity and Its Environment (Ch. 7.)
Understanding Internal Control (Ch. 8) Understand the Accounting Process (Ch. 9) Perform Preliminary Analytical Review (Ch. 10)
.
Yes
Yes
No
No
Plan to obtain audit evidence about the operating effectiveness of
controls, in the current audit period, & plan a moderate level of
substantive procedures (Ch. 14 & 15)
Engagement Reporting (Ch. 26)
Assess Engagement Quality (Ch. 27)
No Plan an intermediate level of
substantive procedures (Ch. 15) 2.0
©2007 德勤华永会计师事务所
内部控制构成要素(COSO)
Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our
work performed in the prior 2 audits, & plan a basic level of sub-stantive procedures (Ch. 14 & 15)
确保相关信息得到及时识别与传达的程序
•来自高管的信息 •政策与程序 •培训 •道德准则
对影响组织绩效的内外部因素的评估
▪业务风险管理 ▪程序风险管理 ▪内部审计风险评估
确定内部控制是否得到正确地设计、有效和因 地制宜地执行的程序
•管理分析 •披露委员会 •内部审计
确保风险管理措施得到及时执行的政策与程序
Perform Financial Statement Review (Ch. 21) Overall Evaluation of Misstatements & the Scope of our Audit (Ch.20)
Perform Subsequent Events Review (Ch. 22) Obtain Management Representations (Ch. 23) Prepare Audit Summary Memorandum (Ch. 24)
Conclude & Report
Perform Post-Engagement Activities
Design & implementation of controls was adequate (Ch. 9)
Yes
Plan to Rely on Operating Effectiveness of Controls (Ch. 13)
Determine Planning Materiality (Ch. 11) Assess Risk at the Potential-Error Level (Ch. 12)
Specific Identified Risk (Ch. 12)
No Specific Identified Risk (Ch. 12)
Assess and Manage Risk
Audit Quaudit
Plan
Plan a focused level of substantive procedures (Ch. 15)
3.0
Perform the Audit Plan
5
信息系统审计基础培训
信息系统审计基础
3
信息系统审计基础培训
©2007 德勤华永会计师事务所
IT审计的定义
• 为了信息系统的安全、可靠与有效,由独立于审计对象的IT审 计师,以第三方的客观立场对以计算机为核心的信息系统进 行综合的检查与评价,向IT审计对象的最高领导,提出问题与 建议的一连串的活动。
• IT审计的要点:
– 独立性 – 综合性 – IT审计师资格 – IT审计报告 – 促进信息系统安全、可靠与有效
4
信息系统审计基础培训
©2007 德勤华永会计师事务所
IT审计 vs. 财务审计
Perform Pre- Engagement Activities
Assess & Respond to Engagement Risk (Ch. 3) Manage the Audit Engagement (Ch. 2) Select the Engagement Team (Ch. 4)
1
信息系统审计基础培训
©2007 德勤华永会计师事务所
课程目录
• 信息系统审计基础 • 通用计算机控制审计 • 应用系统控制审计 • 计算机辅助审计技术介绍 • 信息技术控制缺陷的评估 • 对外包服务商内部控制的考虑 • 交流与回答
2
信息系统审计基础培训
©2007 德勤华永会计师事务所
1.7
0.7
Summarize & Communicate the Audit Plan (Ch 16)
Perform Tests of Operating Effectiveness of Controls (Ch. 17) Perform Substantive Procedures [SAP (Ch. 18) &/or Tests of Details (Ch. 19)]
•授权审批 •普通程序和系统 •职责分隔 ••客 信息户技对术帐控制
组织的控制意识。“高层论调”
•道德准则 •成文的政策与程序 •文化评估
Establish Terms of Engagement (Ch. 5)
Perform Preliminary Planning
Strategic Audit Planning (Ch. 6) Understand the Entity and Its Environment (Ch. 7.)
Understanding Internal Control (Ch. 8) Understand the Accounting Process (Ch. 9) Perform Preliminary Analytical Review (Ch. 10)
.
Yes
Yes
No
No
Plan to obtain audit evidence about the operating effectiveness of
controls, in the current audit period, & plan a moderate level of
substantive procedures (Ch. 14 & 15)
Engagement Reporting (Ch. 26)
Assess Engagement Quality (Ch. 27)
No Plan an intermediate level of
substantive procedures (Ch. 15) 2.0
©2007 德勤华永会计师事务所
内部控制构成要素(COSO)
Plan to obtain audit evidence about the operating effectiveness of controls, in the current audit period or together with our
work performed in the prior 2 audits, & plan a basic level of sub-stantive procedures (Ch. 14 & 15)
确保相关信息得到及时识别与传达的程序
•来自高管的信息 •政策与程序 •培训 •道德准则
对影响组织绩效的内外部因素的评估
▪业务风险管理 ▪程序风险管理 ▪内部审计风险评估
确定内部控制是否得到正确地设计、有效和因 地制宜地执行的程序
•管理分析 •披露委员会 •内部审计
确保风险管理措施得到及时执行的政策与程序
Perform Financial Statement Review (Ch. 21) Overall Evaluation of Misstatements & the Scope of our Audit (Ch.20)
Perform Subsequent Events Review (Ch. 22) Obtain Management Representations (Ch. 23) Prepare Audit Summary Memorandum (Ch. 24)
Conclude & Report
Perform Post-Engagement Activities
Design & implementation of controls was adequate (Ch. 9)
Yes
Plan to Rely on Operating Effectiveness of Controls (Ch. 13)
Determine Planning Materiality (Ch. 11) Assess Risk at the Potential-Error Level (Ch. 12)
Specific Identified Risk (Ch. 12)
No Specific Identified Risk (Ch. 12)
Assess and Manage Risk
Audit Quaudit
Plan
Plan a focused level of substantive procedures (Ch. 15)
3.0
Perform the Audit Plan
5
信息系统审计基础培训
信息系统审计基础
3
信息系统审计基础培训
©2007 德勤华永会计师事务所
IT审计的定义
• 为了信息系统的安全、可靠与有效,由独立于审计对象的IT审 计师,以第三方的客观立场对以计算机为核心的信息系统进 行综合的检查与评价,向IT审计对象的最高领导,提出问题与 建议的一连串的活动。
• IT审计的要点:
– 独立性 – 综合性 – IT审计师资格 – IT审计报告 – 促进信息系统安全、可靠与有效
4
信息系统审计基础培训
©2007 德勤华永会计师事务所
IT审计 vs. 财务审计
Perform Pre- Engagement Activities
Assess & Respond to Engagement Risk (Ch. 3) Manage the Audit Engagement (Ch. 2) Select the Engagement Team (Ch. 4)