第一章 信息系统审计过程 本章主要内容为IS审计的完整实践,包括指导IS审计师对已有IT领域实施专业化审计的程序和完整的方法论。 -参考ISACA准则,指南,程序 站在审计角度看问确保-2011版CISA中文教CISA考生具备必 国际信息安全学习联盟题 材 了解ISACA职业道要的知识并遵照IT审 -国盟电子版CISA案德 计标准提供审计服务, 例 撑握ISACA审计准以帮助组织保护和控 -国盟红宝书按章节 则 制信息系统 知识点分析题目 熟悉原理 学习目标 学习思路 参考文档 国际信息安全学习联盟
主要任务与知识点对照 审计规划以及审计项目管理技术;IT 相关的基本业务流程 B ISACAIT 审计标准、证据收集技术(如:指南、工具和技术、观察、调查、检查、 职业道德规范;审访谈以及用于收集、计过程中的风险评保护和保存审计证A C 估概念、工具以及据的数据分析技技术;COBIT;审信息系统审术);抽样方法;计质量保障体系和计过程 14% 报告和沟通技术框架;影响范围、国际信息安全学习联盟5个学习任务 (如:推进、商谈、证据收集和保存以解决冲突、审计报及审计相关的法律告结构 法规 D 指导跟进或准备现E 审计发现以及提供状报告以确保管理建议并在必要时沟层及时的采取了恰通变更的结果及有当的措施 效性 国际信息安全学习联盟
审计职能管理 ISACA审计职能 信息系统审计服务可由内部或外部提供。内部:内部审计部(内部审计), 外部:会计师事务所(社会审计),审计署(国家审计) •信息系统内部审计职能的角色由审计章程来确定。 •信息系统审计可以是内部审计的一部分、独立的职能部门、或融合于财务和运营 审计中为财务或管理审计师提供IT方面的控制保证,因此,审计章程中可包括作为 审计支持职能(Audit support)的信息系统审计。 •任何情况下,内部审计职能应保持独立性,向董事会下属审计委员会或最高管理 层(例如董事会)报告工作。 审计章程 审计章程应当清楚地阐明管理层对于IS 审计职能的责任、目标和授权, 章程中还应当概述审计职能的整体授权、范围和责任 ISACA 信息系统审计准则要求在审计章程或审计委托书(S1 审计章程) 中适当地描述IS 审计职能的责任、授权和义务 国际信息安全学习联盟
审计计划 审计计划:包括短期计划和长期计划。 短期计划考虑年度内需要实施的审计事项, 长期计划主要考虑组织调整IT战略方针对IT环境造成的影响所带来的相关风险问题。 单项审计任务:每一个单项审计任务也应当有充分的计划。IS审计师也 应当理解可能影响整体审计方法的其他事项,如:定期的风险评估、技 术应用的变更、审计隐私问题和法规要求等。 在制定审计计划时,必须 理解整理被审计环境,包括各项业务流程和智能,也包括支持这些活动 的技术和信息系统类型。 国际信息安全学习联盟
审计计划 IS审计师应当按照如下步骤来实施审计计划: 了解业务使命、目标、目的和流程、包括信息和处理要求,如:可用性、完整性安 全和业务技术以及信息机密性; 找出相关规定(合规); 实施风险分析以帮助制定审计计划(基于风险的审计计划); 执行IT相关内部控制检查; 确定审计目标和审计范围; 制定审计方法和审计策略; 为审计事项分配人力资源; 关注项目后勤保障; IS审计师在制定审计计划时,应考虑与审计范围相关的审计对象的目标 及其技术基础架构。计划另一项基本内容是按照审计计划要求分配可用 的审计资源。 ISACA 信息系统审计准则要求IS 审计师遵照适用的审计准则(S5 计划)制 定IS 审计计划,确定审计目标 国际信息安全学习联盟
法律、法规对IS审计计划的影响 审计计划应当考虑法律法规的影响(合规:针对不同的国界以及不同 行业的标准,隐私保护政策) 一是审计或IS审计的法律要求(法律、法规及合同协议) 审计对象及系统、数据管理和报告等方面相关的法律要求。 如:COSO内部控制整体框架是针对上市公司。如:各国银行业对由于数 据备份和恢复程序不符合标准而造成的服务水平不达标,都将给以严厉 处罚。再如:在有些国家中,要求互联网服务提供商(ISP)必须遵守机 密性和服务可用性方面的相关法律。 针对上市公司如一个强控制实务的例子是美国《萨班斯-奥可斯利法案 2002》 国际信息安全学习联盟
ISACA职业道德规范(Code of Professional Ethics) ISACA制定了职业道德规范来指导会员和认证持有人的执业和个人行为。 ISACA会员和认证持有人应当: •遵从并执行适当的IS审计准则、程序和控制; •按照职业准则和最佳实践履行职责,并做到应有的客观、敬业和职业审慎; •以诚实、合法的方式为利益相关者服务,保持高尚的行为操守及品德,不从事有损执业行为的活动; • 对工作中获取的信息,除法律要求披露外,应保持其隐私和机密性,不得用于谋取私利或泄漏给他人; • 保持在所从事工作领域的专业胜任能力,仅从事自己能胜任的工作; • 向适当的组织报告工作成果,并向它们披露所有重大事项; • 应对利益相关者进行教育,以加强他们对信息系统安全和控制的理解。 国际信息安全学习联盟
ISACA 信息系统审计准则框架 ISACA信息系统审计准则的目标: •基于职业道德规范,IS审计师满足执业能力、可接受的最低绩效要求; •管理层和相关部门对IS审计人员的执业期盼; •注册信息系统审计师(CISA)持证人的资格要求,CISA持证人不遵守审计准则的要求将导致ISACA委员会的调查,并最终受到纪律处分。 ISACA信息系统审计准则框架分为以下三个层次: •准则:定义了IS审计和报告的强制性要求; •指南:为应用IS审计准则提供了指导。IS审计师在确定如何达到上述则要求时考虑这些指南; •程序:为IS审计师执行审计任务提供过程范例。为如何达到准则要求提供参考,不是强制要求 国际信息安全学习联盟
信息技术保证框架ITAFTM 信息技术保证框架是一个全面的最佳实践模型,它包括: •为IT审计和保证任务的设计、执行和报告提供指导; •定义IT保证中的特定术语和概念; •制定标准并落实IT审计和保证的职业角色和责任、知识和技能、勤勉、执行和报告要求。 ITAF包括三类准则(一般准则、执行准则和报告准则)、指南、工具和 技术: 一般准则:IT保证人员开展工作的指导原则,应用于执行所有任务,涉 及IT审计和保证人员的职业道德、独立性、客观性、应有的审慎,也包 括知识、胜任能力和技能; 执行准则:涉及审计任务的执行; 报告准则:落实报告类型、沟通方式和沟通信息; 指南:就审计和保证领域向IT审计和保证人员提供信息和方针; 工具和技术:提供各种方法、工具和模板的具体信息,也提供了把这些 信息运用于实际工作的指导。 国际信息安全学习联盟
审计准则、指南、工具和技术(程序)的关系 •1S审计师必须遵守ISACA制定的审计准则,审计指南帮助审讲师在各种审计任务中应用这些准则, •程序为:审计师在具体审计任务中应用审计准提供了、迎程和步骤范例,然而,1S审计师在应用程序和指南时应使用职业判断。 •ITAF包括三类准则,(一般准则,执行准则,和报告准则)指南,工具和技术 信息技术保证框架 ,下面简单的列几个大纲: 准则: •第2200节,一般准则 •2400节,执行准则 •2600节,报告准则 指南部分提到的: •第3000节IT保证指南 •第3200节企业主题 •第3400币IT管理流程 •第3600节IT审计和保证 •第3800节IT审计和保证管理 国际信息安全学习联盟
风险分析 风险是特定的威胁利用资产的脆弱性从而对组织造成的一种潜在损害 (ISO/IEC13335-1 IT安全管理指南)。 业务风险是指那些可能对资产、流程、具体业务或组织目标造成负面影 响的威胁。 风险分析是审计计划的一部分,帮助IS审计师识别风险和脆弱性 并确定最终降低风险所需的控制。 评估IT相关的组织业务流程时,正确理解 风险与控制的关系,IS审计师必须能够识别与区分不同的风险类型及降低风 险使用的控制措施,必须了解常见的业务风险、相关技术风险和控制,对业 务管理人员所使用的风险评估和管理方法要能够做出评价,并对风险做出评 估以帮助确定重点和审计计划。 风险评估过程是一个循环反复周期,包括3个阶段: 1. 识别业务目标、信息资产、支撑系统或相关信息资源; 2. 在风险减缓阶段,应识别减缓风险所需的控制,这些控制措施是风险减缓 措施,他们应当能预防风险事件的发生、降低风险事件发生的可能性、检查 已经发生的风险事件、减少影响或向其他组织转移; 3. 监控所管理的风险水平。当环境发生变化时,需要重新启动风险评估,以 保证变化符合控制环境。包括三个阶段:风险评估->风险减缓->风险再评估, 以确定风险是否已经降低至管理层可接受的水平。 国际信息安全学习联盟
风险控制措施:转移、接受、减少和规避。 对控制措施实施成本效益分析,分析基于如下: •比较控制成本与降低风险所得的收益; •管理层的风险偏好(如管理层准备接受的残余风险水平); •优先选用的风险降低方法; 从IS审计师的角度出发,风险分析的目标: •帮助IS审计师识别那些需要管理落实的与IT环境和IS系统相关的风险和威胁,识别系统特有的控制,根据风险水平选择具体审计领域; • 帮助SI审计师在制定审计计划时评估控制; • 帮助IS审计师确定审计目标; • 支持基于风险的审计决策。 ISACA Risk IT Framework 帮助企业管理与IT相关的风险。 Risk IT 包括: The Risk IT Framework • Summary + Core Framework • Helps convey the risk landscape and processes and prioritise activities The Risk IT Practitioner Guide • Provides practical guidance on improving risk management activities 国际信息安全学习联盟
内部控制 内部控制通常由能够降低组织风险的政策、规程、实务和组织架构组 成。 内部控制的设计是为管理层提供风险事件能够被预防、检测和纠 正,业务目标能够达成的合理保证。 内部控制可以是人工、自动的或者两者结合的方式。 董事会和高级管理层应负责建立一种适宜的文化,以促进建立有效的 内部控 制体系,并持续监督其有效性。 对控制强度进行评估时,应当在性质上将控制分为预防、检查和纠正 性三种类型。 COSO(Committee Of Sponsoring Organization Of The Treadway Commission) 国际上内部控制研究的权威组织,代表着内控研究的发展方向。 国际信息安全学习联盟
COSO内部控制-综合框架图 内部控制类别 监控 内活动 业务单位业务单位活动部 信息和沟通 国际信息安全学习联盟控 制 控制活动 五 要 风险评估 素 控制环境 国际信息安全学习联盟 2 1 B A
内部控制的分类 预防性控制: •在事件发生之前进行检测,监控运营和输入等,避免错误、疏忽或蓄意 行为的发生。例如:职责分离、交易授权、访问控制、数据加密等。 检查性控制: •在事件进行当中进行检查,报告发生的错误、疏忽或蓄意行为等。如: 哈希汇总、内部审计职能、为查找非法访问目的而检查日志文件。 纠正性控制: •在问题发现之后进行纠正,以减少危害的影响,找出问题并加强控制等。 如:建立应急计划、备份处理流程、恢复运营流程等。 预防、检查和纠正三种控制方式,对应的就是事前预防、事中检测、事 后纠正(整改)。这种“事前”、“事中”和“事后”的方式目前被普 遍应用于各种标准当中,如《商业银行信息科技风险管理指引》中的 “三道防线”。 国际信息安全学习联盟
内部控制目标 内部控制也包括与技术环境相关的那些控制,这些类型的内部控制包括: • 内部会计控制-主要针对会计运营,如资产保护和财务记录的可靠性; • 运营控制-针对日常运营、职能和活动,确保运营满足业务目标的要求; • 管理控制-关注职能部门的运营效率、运营控制是否符合管理层的政策,是以保证运营控制的效率和对组织政策的符合程度为目标的控制。 •内部控制目标是实施控制活动(程序)想要达到的结果或目的(要达到什么和要避免什么)。 内部控制目标就是COSO的目标,在内部控制活动中也是参考COSO进行 实施。 国际信息安全学习联盟
信息及相关技术控制目标(COBIT) COBIT提供了一个IT治理框架,以确保IT与业务保持一致、IT促进业务实 现利益最大化、IT资源得到有效使用以及IT风险得到适当管理。 COBIT 控制框架共制定了 34 个高层控制日标,每个目标代表一个IT 过 程。COBIT框架把34个IT流程组合到四个域中:计划和组织(PO)、获 取与实施(AI)、交付与支持(DS)、监督与评价(ME)。通过改造或 直接使用来自34个相关IT流程的这些实务,可确保组织实施IT环境所需 的IT治理和相关控制体系,支持这些IT流程的是有效实施控制所需的200 多个详细控制目标。 COBIT关注控制,而不是运行
IS控制目标 内部控制目标可以应用于手工、自动化或二者相结合的所有控制领域。 因此IS环境中的控制目标与手工环境没有变化,但控制的实施方式有所 不同,内部控制目标需要按照具体的IS相关流程予以落实。 IS控制目标包 括: 保护信息资产,保护信息以防止不当存取,并确保及时更新; 保护计算机操作系统及网络操作系统的完整性; 保护敏感及重要应用系统(如财务及管理应用系统)的机密性及完整性; 确保对IS资源用户的恰当识别和验证; 保证信息系统的运营效率与效果; 符合用户的需求、组织的方针、策略与程序,并遵守法律法规的要求; 制定业务连续性计划及灾难恢复计划; 制定应急响应及处理程序; 实施有效的变更管理流程,确保系统完整性和可靠性 国际信息安全学习联盟
总体控制GC 控制包括管理层建立的政策、规程和实务(任务和活动),为实现特定 目标提供合理保证。 一般控制适用于组织所有领域,包括IT基础设施和 支持服务。 总体控制包括: 内部会计控制-主要针对会计操作,关注资产保护和财务记录的可靠性; 运营控制-关注日常操作、职能和活动,确保运营满足业务目标要求; 管理控制-关注职能领域的运营效率,满足管理政策的要求(管理控制 支持特定的运营控制,关注运营效率和对组织政策的符合程度); 确保恰当使用信息和技术资产的组织安全政策和规程; 在设计和使用充分的文档与记录(手工或自动化)方面的总体政策,以 确保交易的正确记录(交易的审计轨迹)。 确保充分保护资产和设施的访问及使用的安全保护流程的事务; 数据中心和IT资源(如:服务器和通讯基础设施)的物理、逻辑安全政 策; 国际信息安全学习联盟
信息系统控制控制 总体控制程序可以被转换为信息系统控制程序信息系统审计师应理解信 息系统控制概念和在规划审计任务时如何应用信息系统控制。 常用信息系统内部控制程序: 信息系统战略与方向; 信息系统的组织与管理; 对数据与计算机程序的访问限制; 系统开发方法与变更控制; 数据处理作业; 系统编程及技术支持; 数据处理质量保证程序; 物理访问控制; 业务连续性计划与灾难恢复;(2011融合入第二、第四章节) 数据库管理; 针对内部和外部攻击的保护和检查机制。 国际信息安全学习联盟
实施IS审计 审计的定义: 由具有资质、胜任、独立的组织或人员,针对流程的预定结果,客观地 搜集并评价证据,以确定与既定标准的符合程度,形成意见并报告的系 统过程。 审计的主体是组织或人(必须具有资质和能力以及独立性),目标是特 定的流程,同时要有一套审计的标准,搜集证据并进行评估与标准的符 合程度(差距分析)。 在审计的过程中,外审人员首先会了解流程,根据经验寻找风险点(数 据输入、处理和输出),询问相应的控制措施,截屏的过程就是审计人 员取证的一个过程。 IS审计是指审计内容中包括了对自动化信息处理系统、相关手工流程及 两者间接口进行全部或部分检查及评价的任何审计 国际信息安全学习联盟
实施信息系统审计需要如下几个步骤: •充分的审计计划(短期、长期) •为有效的利用审计资源,审计机构必须评估所有的风险(一般控制与应用控制领域) •制定审计计划,包括审计日标与审计程序 •收集证据、对现有控制进行评估与测试 •编写审计报告,并与管理层沟通审计发现 审计管理人员必须确保实施审计的资源和计划是充分可用的。 审计管理人员还应与管理层讨论审计范围、审计目标、原则、步骤、证 据、结论意见和结果报告等。 国际信息安全学习联盟
审计分类 财务审计Financial Audit :评价组织财务报表真实性; 运营审计Operational Audit :评价指定流程或领域的内部控制结构,应用控制或逻辑安全系统的IS审计; 综合审计Integrated Audit :财务审计和运营审计的结合; 管理审计Administrative Audit :评价组织内与经营效率相关的问题的审计; IS审计IS Audit :搜集与评价证据,以确定信息系统及相关资源是否能充分保护资产、维护数据和系统完整性、提供相关的可靠信息、有效实现组织目标、有效使用资源,并且存在有效的内部控制为满足业务、运营和控制目标的要求提供合理保证,及时预防、检测和纠正非预期事件。 专项审计Specialized Audit :检查第三方服务水平的专项审计(SAS70,SSAE16)。 司法取证审计Forensic Audit :针对舞弊和犯罪进行调查、揭露和跟踪的专项审计。 国际信息安全学习联盟
审计程序 审计程序是审计策略和计划,识别审计范围、目标和步骤,使用这些步 骤可以获得充分、相关和可靠的证据以得出并支持审计结论和意见。 执行审计工作的总体审计步骤(Procedure)通常包括以下基本步骤: 获取并记录对审计对象的了解 这是进行审计检查的第一步 风险评估和总体审计计划和安排 详细审计计划 初步检查审计领域或审计对象 评估审计领域或审计对象 评估和验证控制设计符合控制目标的适当程度 符合性测试,即控制测试 实质性测试 报告(或沟通结果) 内部审计职能的追踪活动 国际信息安全学习联盟
审计方法 审计方法是指为实现预定的审计目标而设计的一系列书面审计程序,其 内容包括审计范围、审计目标和审计步骤(程序)。 审计方法应当由审计管理层制定和批准并保持一致,审计方法应当采用正式的方式,并向所有审计人员传达落实。 审计程序至少应当获得对被审计实体的理解,评估控制结构并执行控制测试。 为测试或检查确定信息来源,比如:流程图、策略、标准、程序和以往的审计报告 IS审计师应当特别注意保持审计测试证据的完整性并加以保护,以保护其作为审计结果支持证据的价值。 国际信息安全学习联盟
典型审计的各个阶段 描述 确定审计领域 审计对象 明确审计目的 审计目标 确定组织中要检查的具体系统、职能或单元 审计范围 确定所需的技术技能和资源并检查的信息来源 确认审计地点或设施 初步审计计划 确定对控制进行测试和验证的审计方法和访谈对象名单 搜集数据的审计程序 确定需检查的部门政策、标准和指南验证的审计工具和方法 和步骤 评价测试或检查结果因组织不同而异 的程序 与管理人员的沟通程 因组织不同而异 序 确定追踪审计程序测试和评价运营效果及效率的程序 准备审计报告确定控制测试程序检查和评价文档、政策和规程的合理性 阶段 国际信息安全学习联盟
检测舞弊行为 公司治理相关法律法规规定,无论舞弊行为严重与否,管理层应对舞弊 行为负责,审计人员和审计委员会负责发现和披露舞弊行为。 应有的职业谨慎:审计师应该工作中注意并警惕舞弊行为的发生。 内部控制并不能完全消除舞弊,IS审计师要清楚舞弊行为发生的可能性和舞弊的方式,舞弊行为可能是利用控制的薄弱环节,也可能是通过超越控制发生的。 在实施常规保证审计任务时,审计人员可能会遇到舞弊现象或迹象,经过仔细评估,如果需要进一步的调查,审计人员应该将该情况与适当的管理层沟通。一旦审计人员确认发生了重大舞弊或检查风险很高时,审计经理也应该及时地与审计委员会沟通情况。 •在舞弊预防方面,IS 审计师应当清楚关于实施特定的舞弊检查程序和向适当机构报告舞弊的法律要求 国际信息安全学习联盟
基于风险的审计 基于风险的审计方法,以适应于制定和完善持续性的审计流程。这种方 法可以评估风险,并帮助IS审计师在采用符合性测试或实质性测试时做 出决策。 基于风险的审计方法可以有效帮助审计师确定测试的性质和程度。 业务风险关注不确定事件对实现既定业务目标可能产生的影响,这些风险的性质可能是财务、法规或运营,也可能包括来自特定技术的风险。 通过了解业务性质,IS审计师可以识别风险的类型,并确定审计中的风险模型和方法。 基于风险的审计方法: 搜集信息和理解内部控执行符合性执行实质性完成审计 计划 制 测试 测试 国际信息安全学习联盟
审计风险的重要性 审计风险定义:审计过程中未发现信息可能存在的重大错误的风险。 审计风险分类: • 固有风险(Inherent Risk):固有风险的存在与审计无关,其发生是由企业的性质所导致。在不存在相关控制的情况下,易于导致重大错误的风险。 • 控制风险(Control Risk):内部控制体系不能及时预防或探测出存在的重大错误的风险。 • 检测风险(Detection Risk):IS审计师由于采用了不恰当的测试程序,对实际存在的重大错误得出错误结论的风险。 •整体审计风险(Overall Audit Risk):针对每一个具体控制目标所评估出的各类审计风险的综合。 •审计风险用于描述IS审计师在执行审计任务时准备接受的风险水平。审计师可通过设定目标风险水平并调整详细审计工作量,以最小化整体审计风险。 国际信息安全学习联盟
重大性Materiality •在制定审计计划时, 信息系统审计师要对审计风险有清楚地认识。审计抽样可能不会检查出全部的潜在错误, 但通过使用恰当的统计抽样程序或质量控制程序,会大大减少检查风险的概率。 • 在评估内部控制时,信息系统审计师也要认识到既定的检查系统可能不会发现小的错误,但小错误与其他错误组合在一起可能就会对整个系统产生重大影响。 审计检查时不要忽略小错误。 •“重大性”的评估依赖于信息系统审计师的职业判断。信息系统审计师可能发现,一项在业务层认为很重要而高级管理人员却认为是不重要的“小”错误。了解审计风险并衡量其重要性,是计划审计范围及审计测试应具有的基本观念。重要性是指对整个组织的全部的潜在影响。 •发现检查范围相关的问题,正确的做法是对与当前范围相关的内容重点检查,建议衍生检查可能存在问题的地方。如果在当前项目中延伸可能影响当前时间进度,而且也没有足够的审计资源。 国际信息安全学习联盟
风险评估及处置 评估安全风险:为更加全面的理解审计风险,IS审计师应当了解被审计 组织如何对风险进行评估和处置。 风险评估应当根据风险接受标准和组织相关目标来识别和量化风险并设定优先级,为针对这些风险实施相应控制设定优先级。 处置安全风险:在考虑处置风险前,组织应当首先确定风险的可接受标准。例如,如果评估结果表明风险降低或者组织处置风险的成本不符合成本效益原则。 可能的风险处置方式:转移、接受、减少和规避。 注意:任何控制都不能实现绝对的安全,应当落实额外的管理行为来监控、评价和改善安全控制的效率与效果,以支持组织的目标。 国际信息安全学习联盟
风险评估技术 风险评估的一种常用技术是评分系统,对风险因素进行评估,优先审计 高风险区域。考虑的风险因素主要有审计对象的技术复杂性、现有控制 程序的水平、可能造成的财务损失等。审计人员通过比较各变量的风险 值,赋予风险变绪一定的权值。 另一种技术是审计师根据专业经验、业务知识、管理层的指导、历史表 现、业务目标、环境因素等进行判断,以决定风险大小及审计的优先级。 两种技术结合使用的效果可能会更好。 不存在一成不变的风险评估技术。 风险可以采用定性或定量的方式,但在目前具体项目实施过程中,通常采用定性的方法。 国际信息安全学习联盟
审计目标 审计目标是指审计工作必须实现的特定目的,相反,控制目标是指内部控制应当如何发挥作用。 审计目标关注于证实存在降低业务风险的内部控制并能发挥预期作用。 审计师应当把宽泛的基本审计目标转化成具体的IS审计目标。 通用的信息系统审计目标: 鉴证信息资产的机密性、完整性、可用性、可靠性及与法律法规的符合性。 在规划信息系统审计时,一个关键因素就是要把基本的审计目标转换成特定的信息系统审计目标。 确定特定审计目标要根据审计师职业判断并参照相关标准,如:COBIT、ISO27001、CMM、ITIL(V3)等。 国际信息安全学习联盟
符合性测试 符合性测试:为测试组织对控制程序的符合性而收集证据。 符合性测试验证控制的执行是否符合管理政策和规程,主要目标就是为 IS审计师提供如下合理保证:IS审计师准备信赖的特定控制正如IS审计师 在初步评价中所理解的方式正常运行 国际信息安全学习联盟
实质性测试 实质性测试:评价交易、数据或其他信息的完整性而收集证据。 实质性测试验证财务报表数据及相关交易的有效性和完整性,IS审计师 可以测试组织中直接影响财务报表平衡或其他相关数据中的金额错误。 需要进行实质性测试的数量与内部控制水平直接相关。如果符合性测试 (也叫控制测试)结果表明被审计单位内部控制充分,信息系统审计师就会 减少实质性测试程序。 国际信息安全学习联盟
证据 审计证据包含审计人员的观察、询问的记录、从内部文件或信件中取得的资 料、审计测试程序所产生的结果。 评估审计证据的可靠性,取决于以下因素: 提供审计证据人员的独立性 审计证据由外部人员提供比内部人员提供更可靠,这也是为何要采用询证函来 验证应收账款余额的原因。 提供审计信息或证据人员的资格(能力) 不论提供审计信息或证据者是外部或内部人员,审计师都应考虑提供审计证据 人员的资格。对审计师也需作同样的考虑。如果审计师对其所审计的技术领域 不能很好地理解,特别是如果审计人员对测试不完全了解时,则在测试该领域 时所收集的信息可能是不可靠的。 审计证据的客观性 客观的审计证据比需要判断或解释的证据好。如财务审计人员清点现金是直接、 客观的证据,而审计师分析应用系统的效率,是根据与特定人员的讨论结果来 确定的,可能不是客观的审计证据。 审计证据的时效性 信息系统审计师应当考虑在进行符合性测试、实质性测试相关信息的时效性问 题。例如,电子数据交换(EDI)、文档影像处理、电子表格等应用系统对数据的 更新如果没有日志记录审计踪迹,或者文件没有备份,那么经过一段时间以后, 就无法对以前某一交易发生时的具体时间及当事人进行追踪与审查了。 国际信息安全学习联盟
抽样Sampling 抽样是应用在成本及时间都不允许对所有交易或事件的对象总体作 100% 的审计时,可以从审计总体中选取一定数量的样本进行测试,并根据测 试结果,推断审计对象总体特征的一种方法。 审计抽样分类的方法有很多种,常用的分类方法是: 按抽样决策的依据不同,将审计抽样分为统计抽样和非统计抽样; 按审计抽样所了解的总体特征的不同,将审计抽样分为属性抽样和变量抽样; 不论是统计抽样或非统计抽样在确定总体特性时都需要审计人员运用职 业判断,因而存在得出错误结论的风险(抽样风险)。 统计抽样采用客观 的方法来确定样本量和样本抽取标准。 非统计抽样根据审计师判断来确 定抽样方法。 国际信息安全学习联盟
抽样 审计抽样的两种一般方法是统计抽样和非统计抽样: 统计抽样 – 采用客观的方法来确定样本量和样本抽取标准。统计抽样采用概率学原理来:a) 计算样本量,b) 抽取样本,c) 评价样本结果并做出推断。利用统计抽样,IS 审计师可以量化描述样本与总体的接近程度(评价抽样精度)以及用百分数表示的样本能够代表总体的概念(可靠性或置信水平)。有效的统计抽样结果是量化的。 非统计抽样(常指判断抽样) – 采用审计师判断来确定抽样方法、样本量(从总体中抽取的一定数量的事项以执行测试)及抽样标准(选择哪一些事项用于测试)。抽样结果是基于审计师对抽样事项或交易的重要性及风险的主观判断。 国际信息安全学习联盟
抽样 属性抽样(Attribute Sampling,指固定样本量属性抽样或频率估计抽样)– 种用于估计总体中某种特性(属性)的发生比率(百分率)的抽样方法,属性抽样回答“有多少?”的问题。可被测试的属性的一个例子是计算机访问申请表上的批准签字。 停-走抽样(Stop-or-go Sampling)– 一种允许审计测试尽可能在早期停止以防止过度抽样的抽样方法。停-走抽样用于IS 审计师相信总体中只存在少量错误的情况。 发现抽样(Discovery Sampling)– 一种可用在预期错误发生率非常低的情况下的抽样方法。发现抽样常用于审计目标是发现舞弊、违反法规或其他非法行为时。 变量抽样(Variable Sampling),也称为金额估计抽样或平均值估计抽样,是一种由样本估计总体的货币金额或其他度量单位(如重量)的抽样技术。变量抽样的一个例子是检查组织重要交易的余额表及对生成余额表的程序实施的应用系统审计。 国际信息安全学习联盟
抽样 执行审计抽样测试的主要步骤包括: 确定测试目标 确定抽样总体 确定抽样方法,如属性抽样或变量抽样 计算样本量 抽取样本 从审计的角度评价样本 国际信息安全学习联盟
使用其他审计师和专家服务 在具体审计过程中也会应用到其他审计师或专家的成果。 即使已将审计 工作的整体或部分委托给外部服务提供商,但相应的职业责任并未进行 必要的外包,为此,IS审计师或实体应当负责管理外部服务以: 使用正式的审计委托书来清晰地沟通审计目标、范围和方法; 制定监督流程定期检查外部服务提供商的工作; 评估外部服务报告的可用性和适当性。 IS 审计师或实体应当监督外包服务的关系以确保任务执行期间的客观性 和独立性 国际信息安全学习联盟
计算机辅助审计技术(CAAT) 当今信息处理环境中,证据大都存在于磁介质上,CAAT是IS审计师在这 种环境下收集信息的重要工具。 CAAT的优势是通过持续在线审计技术来 改善审计效率的能力。 常用的计算机辅助审计软件与技术: 公用软件 测试数据 应用程序检查 审计专家系统 整体测试 快照 系统控制审计审核文档 其他特殊的审计软件 国际信息安全学习联盟
评价审计强度和缺陷 IS审计师应当评价审计中所收集的证据以确定被审计的运营流程是否受 到良好控制并有效运行,这是需要IS审计师判断与经验的领域。IS审计师 应当评价控制的强度和缺陷以确定它们是否满足审计计划中的控制目标 的要求。 在评价控制的适当水平时常常使用控制矩阵。把被审计领域可能出现的 已知类型的错误放在纵轴,检查或纠正错误的已知控制放在横轴,然后 使用分级方法,用适当的度量填充矩阵,该矩阵能指出控制薄弱或缺失 的领域。 判断审计发现重要性的关键是评估这些审计发现对各级管理层的重要性, 评估中需要判断未针对审计发现采取纠正措施可能导致的潜在影响。 国际信息安全学习联盟
沟通审计结果 在审计结束时就审计发现和建议进行沟通。在沟通时应该注意沟通的技 巧和展现技巧。 管理摘要(Executive Summary) :采用管理层可读的方式撰写; 可视化展现(Visual Presentation) :采用PPT和计算机图片。 在与高级管理层沟通审计结果前,IS审计师应当与被审计组织的管理人员讨论审计发现,目的是就审计发现达成一致并制定整改计划(提前交流不能改变报告内容)。当不能达成一致时,IS审计师应当详细描述审计发现的重要性,不纠正控制缺陷的风险和影响。 IS审计师应当说明审计师与顾问角色的不同之处,并仔细考虑如何协助被审计人员才能不影响IS审计师的独立性。 审计报告是IS审计工作的最终成果,用于IS审计师向管理层报告审计发现和建议。 国际信息安全学习联盟
控制自评估(CSA) 控制自评估(CSA)可以被看作是一种管理技术,它可以使利益相关方、客户和其他组织确 信公司内部控制体系是可靠的,也能保证员工意识到业务所面临的风险并主动实行定期 的控制检查;CSA是一种方法,是用来对关键业务目标、实现目标所面临的风险及管理 业务风险的内部控制进行检查的一系列正式的、书面化的程序。 CSA的目标包括对直线管理者在控制职责、监督和专注于高风险领域的训练。加强审计 责任。高级管理层能够做出内部控制充分性的保证,满足各法律机构和法规 。 实施CSA方法有几个目标。主要目标是通过把一些控制监督的功能分散到职能部门,以 发挥内部控制的优势。这并不是削弱审计的功能,反而在某种程度上增强了审计的功能。 通过明确基层管理人员不仅要对其工作环境的控制负责,而且要监督控制的有效性,这 样做的好处是各种控制措施落实到具体的业务流程中去。 CSA 方法还要教育管理人员如 何针对风险区域设计控制方法与监督措施,CSA方法不仅仅是作为策略来要求员工遵守, 而且还要求员工参与到CSA的设计与执行中来, 因为只有基层的员工才最清楚业务流程 及其薄弱点所在。 如果在CSA项日中包括了审计师, 审计师应当作为内部控制专家及评估推动者的角色而 出现。CSA中审计师的价值在于促进管理人员在他们的授权管理范围内承担了内部控制 的责任及明确了所有者身份,使管理人员对控制结构进行流程改善并落实监督工作责任。 国际信息安全学习联盟
IS审计过程新变化 IS 审计过程必须不断发展以适应技术的不断革新。近年来的典型变化有电子工 作底稿、综合审计和持续审计 自动化的电子工作底稿 综合审计就是结合适用的审计原则,对运营、流程或实体的关键内部控制进行评估的过程。 综合审计关注风险。风险分析的目的是理解和识别由实体及其环境引起的风险 和相关的内部控制。IT审计师的职责是理解和识别信息管理、IT基础设施、IT治 理和IT运营等领域的风险,其他专业审计则要了解组织环境。 持续审计 持续审计的动因是它能够更好的监控公司的财务问题,确保实时交易能受到实 时监控。 连续监控—它是一种IS管理工具,一般基于自动化程序,来达到预定监督 要求。例如,实时防病毒或入侵监测系统就是以连续监控的方式运行的。 连续审计—它是独立审计师对审计对象提供书面保证的一种方法, 它是在审计 对象发生事件的同时,或在短时之后,发表的一系列审计师报告。连续 Is审计 (或非 I审计)一般都使用自动化的审计程序。 完整的持续审计流程必须仔细嵌入应用系统并使其工作在各个层次上,审计工 具必须与业务流程并行运转,以捕捉实时数据、提取典型特征或特征码并将结 果传递给审计模块。 国际信息安全学习联盟
综合审计 •综合审计结合适用的审计原则,对运营、流程或实体的关键内部控制进行评估的过程。 •综合审计的一个关键步骤就是审计组集体讨论风险及其影响和发生的可能性。 典型的综合审计程序包括: – 识别组织中被审计领域所面临的风险 – 识别相关关键控制 – 检查、理解关键控制的设计 – 测试由IT系统支持的关键控制 – 测试管理控制的运行效果 – 对控制风险、设计和缺陷的综合报告或意见 国际信息安全学习联盟
持续审计 •通过使用特定的软件系统对企业中的财务状况进行持续控制,以保证实时交易处于实时的监督中,以避免重大财务损失和审计丑闻的发生。 • 在最新开发的系统中设计连续性审计模块,帮助审计师捕捉到预定义的事件,或者直接检查可疑交易和意外事件。 •传统的应用系统中如果嵌入合适的审计模块也能实现连续审计功能。 • 一些简化的连续性审计和监控工具已逐渐集成到ERP软件包(SAP AIS模块)、操作系统及网络安全软件包中,按照一定规则进行恰当配置参数,系统在处理实际数据时,可以按照用户的要求输出异常报告 国际信息安全学习联盟
国盟官方群体 国盟会员可以做什么? 国盟群交流讨论 A 才有国盟论坛 讨论交流 共享下载 com/ 测试与指导 服务与持续 com/ D 免费帮助国盟会员考试持久免费 专业共享 报名,认证,CPE维持 相互帮助 共同提高 —我们做、你想要的!
案例分析 案例场景 • 为了测量与新法规要求的符合性,IS审计师要求实施的初步工作是审查并评估组织的准备程度。要求是用于确保管理层采取主动的角色来建立和维护来年更好的控制环境,并因此评估通用IT控制环境管理层的检阅和测试。被测的领域包括逻辑和物理、变更管理、产品线控制以及网络管、IT治理以及终端用户计算习联盟。IS审计师要求在6个月内实施初步的工作并且给予足够可用的时间。需要注意的是在上一年,重复的问题出现在逻辑安全和变更管理国际信息安全学的域中,所以这些领域需要一定程度的修正。逻辑安全不足包括管理员账户的共享以及密码控制强度不够。变更管理不足包括不恰当的不兼容指责的分离以及没有记录所有的变更。另外,发现实施服务器操作系统更新的流程仅仅部分有效。CIO要求期望 IS审计师实施的工作直接通报开发叙事和工作流程来描述可靠的 IT的主要活动。这些被各位流程所有者以及 CIO 完成和批准的并被转交给 IS 审计师检查。 国际信息安全学习联盟
IS 审计师首先要做什么? A.实施IT 风险评估 B.实施逻辑访问控制调查审计 C.检查审计计划并关注基于风险的审计 D.开始测试IS 审计师感觉最重要的控制 答案:A 解析:IT 风险评估应该首先被实施以确保哪个领域有最大的风险且需要 什么控制来减少该风险。尽管叙事和工艺流程已经建立,组织却没有评 估哪里是关键控制。所有其他的选项都是在实施完IT风险后执行的。 国际信息安全学习联盟
当测试程序变更管理时,如何选择样例? A. 任意选择变更管理记录并检查是否适当 B. 产品代码的变更应该被抽样并追踪恰当的授权的文件材料 C. 变更管理记录应该基于系统的关键程度选取并价差是否适当 D. 产品线的变更应该被抽样并追溯回能够表示变更日期和时间的系统产品化的日志。 答案:B 解析:当测试控制时,从受控事项追溯到相关控制文件资料是非常明智的。 当从系列控制文件中选择样例时,没有办法保证每个变更伴随着合适的控制 文件资料。因此,产品的变更为选择样例提供了最合适的基础。抽样的变更 应该被追溯到授权文件资料。相反,从变更管理文档的母体中选择将不会揭 示任何已绕过正常授权以及文件化流程的变更。同样的,对比产品代码的变 更与系统生成日志不会提供在他们被迁移到产品前变更授权的证明。 国际信息安全学习联盟
案例场景 • IS审计师正在为在全世界范围内有几个地点的大型公司规划财务应用程序安全的检查。应用系统 Web界面的、业务逻辑层和数据库层构成。应用通过 LAN 以及通过VPN 连接从因特网上访问。 国际信息安全学习联盟
审计师应该使用哪种最恰当类型的 CAAT 工具来为整个应用系统测试安全 配置设置? A. 普遍的审计软件(GAS) B. 测试数据 C. 工具软件 D. 专家系统 答案:C 解析:当测试全部应用系统的安全时(包括操作系统、数据库和应用的 安全),审计师最有可能会使用工具软件来辅助评估配置设置。相反, 审计师可能使用 GAS 来实施应用的数据的和配置文件的实质性测试。测 试数据通常用于检查数据以及用于询问具体研究对象的专家系统的完整 性。 国际信息安全学习联盟
上文给出应用可通过因特网访问,那么审计师如何确定是否需要对防火墙规 则以及 VPN 配置设置实施细节的检查? A. 文件化的风险分析 B. 技术专家意见的可用性 C. 在上次审计使用的方法 D. IS 审计指南以及最佳实践 答案:B 解析:为了确定审计范围是否需要包括具体的基础设施部分(假若如此,包 括防火墙规则以及VPN 配置设置),审计师应该实施和记录风险分析以便确 定哪个部分展示最大风险以及将该部分纳入审计范围内。风险分析需要考虑 的因素如系统的上次评估、在企业或其他其公司的相同部分的相关安全事件 和用于评估的可用资源以及其他。技术专业意见的可用性以及在上次审计使 用的方法可能会被考虑;然而,这些应该是次要的。IS 恶化年纪指南以及最 佳实践为审计师关于如何遵循 IS 审计标准提供了指南,但是本身并不足以支 持决策。 国际信息安全学习联盟
在检查中,如果审计师探测到由于在应用程序中缺乏清晰定义的角色和 特权而导致事务处理授权控制目标不能被满足,审计师首先应该: A. 检查某事务处理样例的授权 B. 及时向上层通报审计发先 C. 请求被审计管理者为所有用户检查访问权限的恰当性 D. 使用 GAS 工具检查数据库的完成性 答案:A 解析:审计师应首先评估母体样例的授权以便确定和通报问题的影响和 重要性。审计师是否能及时通报问题或者直到审计结束再报告发现将会 取决于问题的影响重要性,这需要评估母体的样例。GAS的使用检查数据 的完整性不会帮助审计师评估问题的重要性。 国际信息安全学习联盟
案例场景 IS 审计师被指定在为存在两年的公司执行 IS 审计任务。在接受任命后 IS 审计师发现: •除了别的之外,公司已经有了细节化的 IS 审计职能范围以及指着的审计章程并且详述了审计委员会作为审计行为的监督实体。 •公司规划大幅度增加IT投资,主要是由于新 ERP应用的实施,且将整合跨地域分散的部门的业务流程。希望 ERP 实施在下个 90 天内成为可操作的。支持业务应用的服务器宿住在公司外的第三方服务商。 •公司有新现任的 CISO,向 CFO报告。 •公司受合规性要求约束需要它的管理层保证内部控制系统以及与之相关的财务报告一样有效。公司的在过去的两年中以超过行业平均的两倍的速度持续的增长。然而,公司同样增加了员工的人员流动率 国际信息安全学习联盟
IS 审计师在第一年首先需要研究的是: A. 早前的 IS 审计报告以及规划审计程序 B. 审计章程以及规划审计程序 C. 新在职的 CISO 的影响 D. IT 环境中新EPR 的实施的影响以及规划审计程序 答案:D 解析:就优先级而言,因为新 ERP 的实施将很快达到在系统中即将配置 IS 控制的结果,审计师需要研究 EPRP 实施的影响以及以此规划审计程序。 最好的是,IS 审计师讨论与外部审计师以及公司内部审计部门讨论审计 计划会是公司的审计工作更加有效和有用。 国际信息安全学习联盟
IS 审计师如何评估计算机操作的备份和补丁升级? A. 规划并执行独立的计算机操作评估 B. 依赖于服务提供商的服务审计师的报告 C. 研究公司与服务提供商的契约 D. 对比服务交付报告以及服务水平协议 答案:D 解析:服务交付报告对比合同协商水平反应了服务提供商的真实效果, 为计算机操作评估提供最佳和最多的客观性基础。服务审计师的报告对 于公司的外部审计师从控制评估观点出发更加有用。 国际信息安全学习联盟
IT审计发展历史 盟国际信息安全学习联
本章参考资源 简体中文版 审计方法PPT 一般性审计指南 CISA中文审计标准全本 IT审计表格--战略规划表格 证券公司IT审计PPT IT审计实务培训完整版 信息系统审计方法论PPT 信息保障技术框架(IATF)中文版 信息技术保证框架(ITAFTM)涉及内容 ISO/IEC PDTR 1335-1 COSO企业风险管理框架(中英文对照版) ISACA-内部控制和IT的监控(草案): CSA讲义,审计报告英语版,风险评估报告 国盟2010年3月针对风险评估研讨会的讲义
国际信息安全学习联盟共同交流、共同提高
