企业信息系统审计的组织与实施.pdf

企业信息系统审计的组织与实施  刘济平  中国光大（集团）总公司审计部副主任  注册信息系统审计师（CISA ）、注册内部审计 师（CIA ）、高级审计师  经济学硕士（南开大学西方会计与审计专业）、 理学硕士（英国Strathclyde大学商务信息技术系 统专业） 1 内容安排  内部审计及其分类  信息系统审计—从风险管理和风险基础审计的角度理解  信息系统审计标准  信息系统审计方法  IT核心流程和审计方法  问题讨论  案例分析 2 内部审计及其分类  内部审计  内部审计分类  业务审计（Operations Audit ）  信息系统审计(Information Systems Audit)或IT 审计 3 内部审计及其分类  业务审计与IT审计的关系 业务审计 IT审计 自动应用控制 一般应用控制 基础架构一般应用控制 电子数据表和局部数 变更和配置管理 应用控制 据库 网络安全管理 帐号管理/逻辑控制 程序员安全 计算机操作 在业务用户层面上的 变更管理 系统开发生命周期（SDLC ） 业务持续计划（BCP） 共享数据库 机房 4 信息系统审计 —从风险管理和风险基础审计的角度理解  一个目标  两种风险  三项评价  四类测试 5 信息系统审计 —从风险管理和风险基础审计的角度理解  一个目标  将IT相关的风险控制在可接受的水平  风险是事件的不确定性，这个事件对目标的实现具有影响。  风险是不希望发生事情的可能性。  对待风险的四种策略：拒绝、接受、转移、缓释（控制） 机会 风险 6 信息系统审计 —从风险管理和风险基础审计的角度理解  两种风险  战略风险  失去竞争优势  信息系统项目失败  灾难导致长期不能提供服务  ……  操作风险  变更管理文档不完整  密码政策不恰当  未激活Oracle审计轨迹设置  ……