CISAIT审计实务培训理论专题PPT课件
合集下载
CISAIT审计实务培训审计实务PPT课件
a@yycisa@
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
CISAIT审计实务培训2审计实务精品PPT课件
Feb, 2008
杨洋,
杨洋,
5. 对开发和获取过程的审计
技术先进性与系统获取
某区教育系统数据中心采购案例
全局性考虑
委托开发中的知识产权问题
Feb, 2008
杨洋,
杨洋,
6. 对系统变更过程的审计
系统变更对金融企业的作用 系统变更管理的一般流程
Feb, 2008
杨洋,
杨洋,
6. 对系统变更过程的审计
分析性复核
Feb, 2008
杨洋,
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
工具的选择:
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋,
杨洋,
杨洋,
二、 一般控制审计实务
1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计
Feb, 2008
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
Feb, 2008
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
Feb, 2008
杨洋,
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋,
杨洋,
杨洋,
6. 数据测试
测试
选择重要模块 数据设计
IT审计相关知识(ppt 62页)
PerformanTceecahnndicBaulsRineefsesr-DenricveenModel (TRM)
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK
国际内部审计专业实务框架培训资料(PPT 56张)
5、国际内部审计实务标准与中国内部审计准则比较
►
框架不同
一、内部审计实务标准及演进(续)
May 2
May 2
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括(续)
Practice Advisory 1330-1: Use of "Conducted in Accordance with the Standards” Practice Advisory 2100-8: The Internal Auditor’s Role in Evaluating An Organization’s Privacy Framework Practice Advisory 2100-9 Applications Systems Review Practice Advisory 2100-10 Audit Sampling Practice Advisory 2100-11 Effect of Pervasive IS Controls Practice Advisory 2100-12 Outsourcing of IS Activities
►
►
迄今为止在中国相关网站中可以查到的更新通知为2006年10月24日公布的“IIA对《 部审计专业实务标准》第1312条进行修订 ”
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括
Practice Advisory 1000.C1-3 Additional Considerations for Consulting Engagements in Government Organizational Settings Practice Advisory 1210.A2-1: Auditor’s Responsibilities Relating to Fraud Risk Assessment, Prevention, and Detection
►
框架不同
一、内部审计实务标准及演进(续)
May 2
May 2
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括(续)
Practice Advisory 1330-1: Use of "Conducted in Accordance with the Standards” Practice Advisory 2100-8: The Internal Auditor’s Role in Evaluating An Organization’s Privacy Framework Practice Advisory 2100-9 Applications Systems Review Practice Advisory 2100-10 Audit Sampling Practice Advisory 2100-11 Effect of Pervasive IS Controls Practice Advisory 2100-12 Outsourcing of IS Activities
►
►
迄今为止在中国相关网站中可以查到的更新通知为2006年10月24日公布的“IIA对《 部审计专业实务标准》第1312条进行修订 ”
一、内部审计实务标准及演进(续)
3、2004年1月后国际内审实务标准修改的内容包括
Practice Advisory 1000.C1-3 Additional Considerations for Consulting Engagements in Government Organizational Settings Practice Advisory 1210.A2-1: Auditor’s Responsibilities Relating to Fraud Risk Assessment, Prevention, and Detection
CISAIT审计实务培训0-课程导言16页PPT
3、当他看到ATM机如数吐出1000元,并只扣1元的漏洞 后,先后171次共取走17.5万元。
据悉,该漏洞是4月24日早上由广州商业银行恒福支行 ATM机管理中心的工作人员翻查监控记录时发现的。随 后,该部门立刻通知广州商业银行总行并报案。
Feb, 2008
杨洋,yycisa@
课程内容
1. 重要理论与概念
1. IT审计概况及其在金融业的发展趋势 2. 重大性、披露、一般控制与应用控制等重要问题 3. 执业资格、行业协会与CISA考试简介
2. IT审计技术实务
1. 常用审计技术 2. 一般控制审计分阶段详解 3. 网络安全审计专题——一般形式、技术与工具 4. 应用控制审计案例详解 5. 持续在线审计技术专题
谢谢大家,欢迎交流!
杨洋(yy.ok.2000263)
Feb, 2008
杨洋,yycisa@
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
杨洋,yycisa@
反思
1. 为什么只有许霆发现了这一秘密?
2. 同一错误为什么能够重现171次?
3. 为什么误差恰好是十进制整数?
4. 服务器错误还是终端错误?
5.如果是批量升级,是否仅此一台出错?
6. 为何3天后才发现异常?
7. 升级前后是否进行了充分测试?
8. ATM机是否可配置?由谁配置?
估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2019年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开
展银行业金融机构2019年度信息科技风险内部和外部评价审计工作。
据悉,该漏洞是4月24日早上由广州商业银行恒福支行 ATM机管理中心的工作人员翻查监控记录时发现的。随 后,该部门立刻通知广州商业银行总行并报案。
Feb, 2008
杨洋,yycisa@
课程内容
1. 重要理论与概念
1. IT审计概况及其在金融业的发展趋势 2. 重大性、披露、一般控制与应用控制等重要问题 3. 执业资格、行业协会与CISA考试简介
2. IT审计技术实务
1. 常用审计技术 2. 一般控制审计分阶段详解 3. 网络安全审计专题——一般形式、技术与工具 4. 应用控制审计案例详解 5. 持续在线审计技术专题
谢谢大家,欢迎交流!
杨洋(yy.ok.2000263)
Feb, 2008
杨洋,yycisa@
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
杨洋,yycisa@
反思
1. 为什么只有许霆发现了这一秘密?
2. 同一错误为什么能够重现171次?
3. 为什么误差恰好是十进制整数?
4. 服务器错误还是终端错误?
5.如果是批量升级,是否仅此一台出错?
6. 为何3天后才发现异常?
7. 升级前后是否进行了充分测试?
8. ATM机是否可配置?由谁配置?
估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2019年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开
展银行业金融机构2019年度信息科技风险内部和外部评价审计工作。
CISAIT审计实务培训1理论专题课件
•Feb, 2杨洋,
1. IT审计师的能力和胜任
演示案例:
某机关重要文档在线管理系统
职业道德要求 事情考虑:
是否充分了解目标系统? 是否能够调动足够资源? 时间与成本是否允许? ……
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 重要性(重大性) 2. 审计报告与披露 3. 一般控制审计与应用控制审计 4. 对信息系统生命周期各阶段的审计
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 重要性(重大性)
重要性概念回顾
可容忍差错的最高界限 案例:财务审计中的重要性水平设定
IT审计的重要性难题
不再有“笔误”! 系统互联——“错误乘数”
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全, 不针对单个系统。
•Feb, 2008
•CISAIT审计实务培训1理论专题
杨洋,
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
审计实务培训课件PPT)
程序
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计
CISA_IT审计实务培训3-COBIT专题PPT参考课件
“是否应该进行IT投资?”、“如何进行IT投资” “IT投资是否得到了期望的回报?” “业务需求是否得到了IT的支持和满足?”
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。
审计实务培训课件PPT)精品模板分享(带动画)
信息技术审计方法:介绍常用的信息技术审计方法,如数据抽样、数据挖掘、数据分析等,并解 释每种方法的应用场景和优缺点。
信息技术审计案例分析:通过具体案例,展示信息技术审计的实际应用和效果,加深对信息技术 审计程序和方法的理解。
信息技术审计发展趋势:分析当前信息技术审计的发展趋势,如人工智能、大数据等技术在信息 技术审计中的应用前景,以及未来信息技术审计的发展方向。
01
案例一:某会计师事务所因违反职业道德规范被监管机构处罚
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
02
案例二:某注册会计师因未尽勤勉尽责被起诉并承担法律责任
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
审计重点:关注财 务报表的重大错报 风险,包括收入确 认、存货计价、关 联方交易等方面
审计方法:采用抽 样审计、分析程序 等方法,对财务报 表进行全面、系统 的审查和测试
财务报表审计程序与方法
审计方法:抽样审计、分析 程序、细节测试等
审计程序:制定审计计划、 了解被审计单位情况、实施 审计程序、编制审计报告
职业道德与法律责任
第八章
职业道德规范
保持独立性,不受利益影响
遵守法律法规,维护公正公 平
保守秘密,保护客户隐私 诚信为本,维护职业声誉
法律责任与风险防范
审计人员的法律责任
审计风险及其防范措施
添加标题
添加标题
审计职业道德规范
添加标题
添加标题
案例分析:审计人员职业道德与法 律责任的重要性
案例分析与实践操作
以上案例分析旨在说明职业道德与法律责任在审计实务中的重要性,通过实践
信息技术审计案例分析:通过具体案例,展示信息技术审计的实际应用和效果,加深对信息技术 审计程序和方法的理解。
信息技术审计发展趋势:分析当前信息技术审计的发展趋势,如人工智能、大数据等技术在信息 技术审计中的应用前景,以及未来信息技术审计的发展方向。
01
案例一:某会计师事务所因违反职业道德规范被监管机构处罚
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
02
案例二:某注册会计师因未尽勤勉尽责被起诉并承担法律责任
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
审计重点:关注财 务报表的重大错报 风险,包括收入确 认、存货计价、关 联方交易等方面
审计方法:采用抽 样审计、分析程序 等方法,对财务报 表进行全面、系统 的审查和测试
财务报表审计程序与方法
审计方法:抽样审计、分析 程序、细节测试等
审计程序:制定审计计划、 了解被审计单位情况、实施 审计程序、编制审计报告
职业道德与法律责任
第八章
职业道德规范
保持独立性,不受利益影响
遵守法律法规,维护公正公 平
保守秘密,保护客户隐私 诚信为本,维护职业声誉
法律责任与风险防范
审计人员的法律责任
审计风险及其防范措施
添加标题
添加标题
审计职业道德规范
添加标题
添加标题
案例分析:审计人员职业道德与法 律责任的重要性
案例分析与实践操作
以上案例分析旨在说明职业道德与法律责任在审计实务中的重要性,通过实践
信息系统审计师所需要的知识结构从CISA考试到审计项目实务
信息系统审计师所需要 的知识结构----从CISA考
试到审计项目实务
PPT文档演模板
2020/11/5
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息系统审计过程
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
重要性水平和审计质量改进
财务审计:收入,利润错报的比例 信息系统审计:?
信息系统审计项目:审计质量管理与改进
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
IT治理
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
治理和管理
治理? 管理? 平衡记分卡?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
IT服务管理 运维变更管理
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息资产保护
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息资产,所有者,流程
信息资产,所有者,流程? 信息资产中的信息? 没有owner?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
灾难恢复与业务连续性计划
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
DRP和BCP
DRP? BCP? 应急计划?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
试到审计项目实务
PPT文档演模板
2020/11/5
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息系统审计过程
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
重要性水平和审计质量改进
财务审计:收入,利润错报的比例 信息系统审计:?
信息系统审计项目:审计质量管理与改进
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
IT治理
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
治理和管理
治理? 管理? 平衡记分卡?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
IT服务管理 运维变更管理
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息资产保护
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
信息资产,所有者,流程
信息资产,所有者,流程? 信息资产中的信息? 没有owner?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
灾难恢复与业务连续性计划
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
DRP和BCP
DRP? BCP? 应急计划?
PPT文档演模板
信息系统审计师所需要的知识结构从 CISA考试到审计项目实务
IT审计的组织与实施(CISA培训课件)
14
信息系统审计标准—BS7799
信息安全管理体系(ISMS)
BS 7799: 最早由英国贸易和工业部于1993年 组织开发,1995年成为英国国家标准,由两部 分组成,目前最新版本为:
BS 7799-1:1999《信息安全管理实施规则》 BS 7799-2:2002《信息安全管理体系规范》
机会
风险
6
信息系统审计 —从风险管理和风险基础审计的角度理解
两种风险
战略风险
失去竞争优势 信息系统项目失败 灾难导致长期不能提供服务 ……
操作风险
变更管理文档不完整 密码政策不恰当 未激活Oracle审计轨迹设置 ……
7
信息系统审计 —从风险管理和风险基础审计的角度理解
应用控制 帐号管理/逻辑控制
4
信息系统审计 —从风险管理和风险基础审计的角度理解
一个目标 两种风险 三项评价 四类测试
5
信息系统审计 —从风险管理和风险基础审计的角度理解
一个目标
将IT相关的风险控制在可接受的水平
风险是事件的不确定性,这个事件对目标的实现具有影响。 风险是不希望发生事情的可能性。 对待风险的四种策略:拒绝、接受、转移、缓释(控制)
IT审计的组织与实施
1
内容安排
内部审计及其分类 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计方法 IT核心流程和审计方法 问题讨论 案例分析
2
内部审计及其分类
内部审计 内部审计分类
信息系统审计标准—BS7799
信息安全管理体系(ISMS)
BS 7799: 最早由英国贸易和工业部于1993年 组织开发,1995年成为英国国家标准,由两部 分组成,目前最新版本为:
BS 7799-1:1999《信息安全管理实施规则》 BS 7799-2:2002《信息安全管理体系规范》
机会
风险
6
信息系统审计 —从风险管理和风险基础审计的角度理解
两种风险
战略风险
失去竞争优势 信息系统项目失败 灾难导致长期不能提供服务 ……
操作风险
变更管理文档不完整 密码政策不恰当 未激活Oracle审计轨迹设置 ……
7
信息系统审计 —从风险管理和风险基础审计的角度理解
应用控制 帐号管理/逻辑控制
4
信息系统审计 —从风险管理和风险基础审计的角度理解
一个目标 两种风险 三项评价 四类测试
5
信息系统审计 —从风险管理和风险基础审计的角度理解
一个目标
将IT相关的风险控制在可接受的水平
风险是事件的不确定性,这个事件对目标的实现具有影响。 风险是不希望发生事情的可能性。 对待风险的四种策略:拒绝、接受、转移、缓释(控制)
IT审计的组织与实施
1
内容安排
内部审计及其分类 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计方法 IT核心流程和审计方法 问题讨论 案例分析
2
内部审计及其分类
内部审计 内部审计分类
CISA_IT审计实务培训2-审计实务PPT教学课件
2020/12/10
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
2020/12/10
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
2020/12/10
杨洋,
5.渗透测试
算的安全接入关键技术
2020/12/10
杨洋,
杨洋,
一、 常用审计方法概述
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
2020/12/10
杨洋,
杨洋,
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
关键风险与控制
参考材料:“系统变更审计要点”
案例讨论:
中国银联系统宕机事件
2020/12/10
杨洋,
杨洋,
三、 网络安全审计实务
1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点:无线接入与数据库保护
2020/12/10
杨洋,
1. 网络安全审计概述
审计目标与范围
安全 管理 员
备份 管理 员
系统 程序 员
质量 保证 小组
数据库 管理员
安全管 理员
备份管 理员
系统程 序员
质量保 证小组
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
关键风险和控制
参考材料:“IT组织管理架构审计要点”
最新最全的CISA知识体系讲解PPT43页
是自由的第一条件。——黑格 尔 7、纪律是集体的面貌,集体的声音, 集体的 动作, 集体的 表情, 集体的 信念。 ——马 卡连柯
8、我们现在必须完全保持党的纪律, 否则一 切都会 陷入污 泥中。 ——马 克思 9、学校没有纪律便如磨坊没有水。— —夸美 纽斯
10、一个人应该:活泼而守纪律,天 真而不 幼稚, 勇敢而 鲁莽, 倔强而 有原则 ,热情 而不冲 动,乐 观而不 盲目。 ——马 克思
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
8、我们现在必须完全保持党的纪律, 否则一 切都会 陷入污 泥中。 ——马 克思 9、学校没有纪律便如磨坊没有水。— —夸美 纽斯
10、一个人应该:活泼而守纪律,天 真而不 幼稚, 勇敢而 鲁莽, 倔强而 有原则 ,热情 而不冲 动,乐 观而不 盲目。 ——马 克思
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
IT审计培训PPT课件
© 2001 安达信公司 。 所有内容版权属於公司所有 。
20
可管理性
可管理性涉及以下几个领域:
– 信息技术战略规划 – 信息技术安全政策 – 组织架构管理 – 系统开发和维护 – 系统事故报告
© 2001 安达信公司 。 所有内容版权属於公司所有 。
21
可管理性
- 信息技术战略规划
© 2001 安达信公司 。 所有内容版权属於公司所有 。
4
网络层
© 2001 安达信公司 。 所有内容版权属於公司所有 。
5
网络
• 局域网 (LAN) : 计算机之间的地理位置十分接近 (即在同一栋楼内)。
• 广域网 (WAN) : 计算机间距离较远,并由电话线、无线电波和专线连接。
© 2001 安达信公司 。 所有内容版权属於公司所有 。
6
网络组件
• 数据库管理系统 (“DBMS”) 协助组织、控制和使用应用程序所需数据 的系统软件
• 常用数据库产品举例
– IBM DB2 – Oracle Database – Microsoft SQL Server – Sybase – Informix
© 2001 安达信公司 。 所有内容版权属於公司所有 。
基本要求
• 该政策必须是:
– 可执行、可实施的 – 简明易懂的 – 良好地平衡生产和保护二者间的关系 – 经常更新,跟上企业的变化
© 2001 安达信公司 。 所有内容版权属於公司所有 。
8
硬件平台
• 不同类型的硬件 – 大型机 (OS/390) – 小型机 (AS/400, RS/6000) – 微机 (PC, Macintosh)
• 计算机组成部件 – 内存 – 海量存储器 – 输入设备 – 输出设备 – 中央处理器
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Feb, 2008
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
Feb, 2008
a@yycisa@
杨洋,yycisa@
4. IT审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助
独立的信息系统审计——完全超出财务报表范围,直接为企业信 息系统的各方面情况进行审计
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势国外政府机构IT审计英国绩效审计中的IT审计
日本对国家投资项目的IT审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
3. IT审计的实施方式
定期全面审计
对委托单位的全部信息系统的整体情况进行评价和建议,包 括在建项目的执行情况、已运行系统的安全和有效性、其他 与信息化相关的方面(计划、组织、流程、培训)等情况。
a@yycisa@
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
杨洋,yycisa@
a@yycisa@
杨洋,yycisa@
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
美国联邦政府的IT审计
特点与趋势:
Feb, 2008
外部审计与政府内部审计结合
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
一、 IT审计概述
1. IT审计的概念 2. IT审计的目标 3. IT审计的形式 4. IT审计的发展历史
cisa@yycisa@yycis a@yycisa@
杨洋,yycisa@
IT审计的组织模式
作为内部审计部门的组成 成立单独的IT审计或评价部门 委托外部审计机构
混合模式
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
外审与内审
外审视角(签证目标):
资产安全性 数据完整性 合规性
内审视角(管理目标)还包括:
系统有效性 系统效率性
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行
Feb, 2008
a@yycisa@
杨洋,yycisa@
4. IT审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助
独立的信息系统审计——完全超出财务报表范围,直接为企业信 息系统的各方面情况进行审计
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势国外政府机构IT审计英国绩效审计中的IT审计
日本对国家投资项目的IT审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
3. IT审计的实施方式
定期全面审计
对委托单位的全部信息系统的整体情况进行评价和建议,包 括在建项目的执行情况、已运行系统的安全和有效性、其他 与信息化相关的方面(计划、组织、流程、培训)等情况。
a@yycisa@
2. IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性) Compliance (合规性)
杨洋,yycisa@
a@yycisa@
杨洋,yycisa@
二、 IT审计发展现状与趋势
1. 总体发展趋势 2. 金融企业IT审计发展趋势
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
美国联邦政府的IT审计
特点与趋势:
Feb, 2008
外部审计与政府内部审计结合
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
一、 IT审计概述
1. IT审计的概念 2. IT审计的目标 3. IT审计的形式 4. IT审计的发展历史
cisa@yycisa@yycis a@yycisa@
杨洋,yycisa@
IT审计的组织模式
作为内部审计部门的组成 成立单独的IT审计或评价部门 委托外部审计机构
混合模式
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
外审与内审
外审视角(签证目标):
资产安全性 数据完整性 合规性
内审视角(管理目标)还包括:
系统有效性 系统效率性
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis