CISA_IT审计实务培训1-理论专题

null金融企业IT审计实务培训 —— 1. 重要概念与理论专 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 金融企业IT审计实务培训 —— 1. 重要概念与理论专题杨洋 （yycisa@263.net）主讲人简介主讲人简介杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术一、 IT审计概述一、 IT审计概述1. IT审计的概念 2. IT审计的目标 3. IT审计的形式 4. IT审计的发展历史1. IT审计概念1. IT审计概念“收集并评估证据，以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济的使用资源”。（Ron Weber） IS audit 注重应用系统审计，开发流程，已建立系统的应用，基于应用系统。 IT audit 注重基础设施安全，一般控制审计，侧重安全，不针对单个系统。2. IT审计的四个目标2. IT审计的四个目标Asset Security（资产安全性） Effectivity（系统有效性） Efficiency（系统效率性） Data Integrity（数据完整性） Compliance （合规性） 3. IT审计的实施方式3. IT审计的实施方式定期全面审计 对委托单位的全部信息系统的整体情况进行评价和建议，包括在建项目的执行情况、已运行系统的安全和有效性、其他与信息化相关的方面（ 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、组织、流程、培训）等情况。 具体项目审计 针对具体某个信息化项目的建设进行全周期（从规划到验收）或指定阶段（如单独的后评估）的监理与建议。 专项审计 根据委托单位的特别要求针对信息化的某个层面进行专门的评价和建议，比如对委托单位的信息系统安全审计。IT审计的组织模式IT审计的组织模式作为内部审计部门的组成 成立单独的IT审计或评价部门 委托外部审计机构 混合模式外审与内审外审与内审外审视角（签证目标）： 资产安全性 数据完整性 合规性 内审视角（管理目标）还包括： 系统有效性 系统效率性4. IT审计的发展历史4. IT审计的发展历史EDP审计阶段——为财务审计的数据获取提供帮助 1969年在洛杉矶成立了电子数据处理审计师协会（EDPAA） 内控系统审计阶段——为财务审计的符合性测试提供帮助 独立的信息系统审计——完全超出财务报表范围，直接为企业信息系统的各方面情况进行审计 1994年该协会更名为信息系统审计与控制协会即ISACA，总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会，现有会员两万多人，是从事信息系统审计的专业人员唯一的国际性组织，CISA也是这一领域的唯一职业资格。 二、 IT审计发展现状与趋势二、 IT审计发展现状与趋势 1. 总体发展趋势 2. 金融企业IT审计发展趋势1. 总体发展现状与趋势1. 总体发展现状与趋势国外各类企业IT审计 典型国家简介：美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势： 仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行1. 总体发展现状与趋势1. 总体发展现状与趋势国外政府机构IT审计 英国绩效审计中的IT审计 日本对国家投资项目的IT审计 美国联邦政府的IT审计 特点与趋势： 外部审计与政府内部审计结合 融入绩效预算管理体系 关注系统最终效果1. 总体发展现状与趋势1. 总体发展现状与趋势国内IT审计发展现状 国内IT审计的起步 地区性分布：珠三角——长三角——北京 从业人员与机构 特点与趋势： 目前以SOX审计为主 外审需求较低，内审已经开始发展 自上而下推动，以合规审计为主1. 总体发展现状与趋势1. 总体发展现状与趋势国内相关机构简介 审计署与信息产业部对IT审计的理解和推动 各类审计、咨询公司对IT审计的理解和推动 相关学术团体及成果 国内IT审计案例简介 某国有通信服务企业IT审计概述2. 金融企业IT审计发展现状与趋势2. 金融企业IT审计发展现状与趋势金融企业IT审计的特点 需求更急切，开展更早 更为关注安全性 业务变更频繁，直接影响风险 联网率高，风险扩散迅速 数据量大，审计成本高 岗位复杂，分权失效风险大 … …2. 金融企业IT审计发展现状与趋势2. 金融企业IT审计发展现状与趋势国外金融企业IT审计典型案例 案例1：银行IT审计架构 案例2：银行一般控制审计与发现 案例3：银行业务系统审计与发现2. 金融企业IT审计发展现状与趋势2. 金融企业IT审计发展现状与趋势国内金融企业IT审计典型案例 案例1：基于COBIT的IT审计架构 案例2：再贴现业务系统审计与发现 案例3：个人消费信贷系统审计案例2. 金融企业IT审计发展现状与趋势2. 金融企业IT审计发展现状与趋势趋势展望 越发强调事前参与和事中控制，建设多重IT控制框架 应用控制审计与财务审计紧密结合 持续在线审计技术将深入应用三、 执业资格与认证三、 执业资格与认证 1. IT审计师的能力和胜任 2. 行业协会简介 3. CISA考试简介 1. IT审计师的能力和胜任1. IT审计师的能力和胜任再谈IT审计师的素质 管理 vs 技术 IT审计师不必是IT专家，不需要开发经验？ IT审计师是IT专家又能怎样？ 应该具备的素质 系统的理解力 沟通能力与责任心 对不同技术的敏感性 丰富的系统经验1. IT审计师的能力和胜任1. IT审计师的能力和胜任演示案例： 某机关重要文档在线管理系统 职业道德要求 事情考虑： 是否充分了解目标系统？ 是否能够调动足够资源？ 时间与成本是否允许？ ……2. 行业协会简介2. 行业协会简介各会计、审计组织与IT审计 各信息安全组织与IT审计 ISACA（Information System Audit and Control Association）3. CISA考试简介3. CISA考试简介基本素质要求： 良好的职业道德观念 较全面的计算机技术知识 基本的风险基础审计理论 管理学知识 自主学习的能力 实际从事IT业或审计业的工作经验3. CISA考试简介3. CISA考试简介认证要求： 具备前述条件 通过CISA考试 每年一次，100分/70分，英文/中文 具有5年相关工作经验 相关大学学历可减免两年 遵守执业 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ，参加后续教育CISA考试时间点（2007下半年）CISA考试时间点（2007下半年）07-08-15 优惠报名费截止日 07-09-26 报名截止日 07-10-19 变更考试注册信息截止日 07-12-1 之前 发放电子准考证 07-12-8 CISA考试日 08-2-20 左右 开始发布成绩 实际时间可能变更，请关注ISACA官方网站nullCISA考试注意事项CISA考试注意事项入场时间：8：00---- 8：30 （8：30以后不能入场） 准备时间：8：30---- 9：00 考试时间：9：00----13：00（4小时） 地点：考场位置提前查看 英文考场/中文考场 实际时间可能变更，请关注ISACA官方网站CISA考试注意事项CISA考试注意事项必带物品：身份证，准考证，表，HB/2B铅笔，橡皮 禁止物品：手机，书，笔记，字典等 水/食品：只能在考场饮水区喝水/吃食品 衣服：注意环境，可能很冷（空调教室） 药品：胃药、止泻药、其他CISA考试注意事项CISA考试注意事项每道题有且只有一个正确选项 200道选择题，无倒扣， 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 分 正确填涂学习资料学习资料Review Manual CISA Review Questions， Answers and Explanations Manual备考 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 备考方法反复读书，领会细节 反复作题，关注错误 情景思考，注重人性 牢记术语，前后比较 实践为本，相信直觉四、 重要理论专题四、 重要理论专题 1. 重要性（重大性） 2. 审计报告与披露 3. 一般控制审计与应用控制审计 4. 对信息系统生命周期各阶段的审计1. 重要性（重大性）1. 重要性（重大性）重要性概念回顾 可容忍差错的最高界限 案例：财务审计中的重要性水平设定 IT审计的重要性难题 不再有“笔误”！ 系统互联——“错误乘数”1. 重要性（重大性）与独立性1. 重要性（重大性）与独立性如何确定重要性？ 对各级管理层的影响 不采取措施的后果 职业判断 案例探讨2. 审计报告与披露2. 审计报告与披露格式规范： 无一定之规 ISACA S7 & S8 一般内容： 简介：背景、目标、时间、方法论等 整体结论 详细审计发现 审计限制 遵循标准与指南2. 审计报告与披露2. 审计报告与披露案例：国外审计报告导读 美国能源部 设施信息管理系统审计报告 2. 审计报告与披露2. 审计报告与披露审计披露与职业判断 案例：银行IT经理临时修改授权 审计披露与客户阻力 案例：银行IT经理限制关键服务器取证 审计披露与职业道德 案例：违反联邦储备局管理规范的银行系统3. 一般控制与应用控制3. 一般控制与应用控制概念区分 一般控制审计的特点和目的 应用控制审计的特点和目的3. 一般控制与应用控制3. 一般控制与应用控制二者联系 大多数应用控制审计均会涉及一般控制审计 技术与工具的比较 审计依据：Checklist vs 系统文档等 主要关注：IT管理流程 vs 系统具体情况 一般工具：观察、调阅、询问 高级手段：穿透测试 vs 代码、数据分析等 3. 一般控制与应用控制3. 一般控制与应用控制相关问题：控制测试与实质性测试 概念回顾 实质性测试成本大于控制测试？4. 信息系统生命周期的IT审计4. 信息系统生命周期的IT审计系统规划阶段的IT审计 系统开发获取与实施阶段的IT审计 系统运营阶段的IT审计 系统废弃与升级阶段的IT审计null 谢谢大家，欢迎交流! 杨洋（yy.ok.2000@263.net）