第一章信息系统审计过程A.信息系统审计简介 IT是信息技术（Information Technology）的简称。IT审计也叫信息系统审计（IS审计），指审计师对信息技术本身及其相关控制的审计，是广义计算机审计的一个方面，其另一方面是计算机辅助审计技术（CAAT），指审计师使用信息技术辅助审计业务的技术手段，也叫非现场审计。狭义的计算机审计仅指信息技术审计，以下所讨论的就是这一领域，我们统一称之为信息系统审计或“IS审计”。A1审计章程（Audit Charter） 组织通过审计章程来确定信息系统审计活动在组织中所扮演的角色。审计章程既要强调管理层本身的对信息系统审计的责任与目标，以及对信息系统审计的授权，也要明确信息系统审计师可以行使的权力、所负责任及审计范围。 最高管理层和审计委员会应当批准审计章程，一旦建立，就只有在非常必要且经过充分论证之后才允许变更审计章程。A2.审计资源管理 审计师的信息系统相关知识与能力，应当熟悉不同的业务运营环境 审计师必须通过适当的继续职业教育保持胜任能力 在制定审计计划和分配任务时，应当考虑审计师的技能和知识 审计人员的培训计划 审计工具的使用（例如：网络扫描工具、 穿透测试工具、日志分析工具等），应当由审计管理层提供A3.审计计划 短期计划本年度内需要实施的审计事项 中长期计划主要考虑组织调整IT战略方针对环境造成影响所带来的相关风险问题 至少每年对短期计划和长期计划进行分析 每一个单项审计任务也应当有充分的计划（审计方案） 制定和实施审计计划的要点： u充分了解组织的业务使命、目标和流程 u找出审计依据，如政策、标准、程序、组织结构 u进行风险评估和内部控制检查 u确定审计范围及目标、制定审计方法及审计策略 u综合考虑审计项目要求、人力资源现状及其他限制条件，合理分配审计资源 u审计计划应当得到管理层和审计委员会的批准，如果可能的话，尽量通报到各级管理层负责人A4.法律法规对IS审计计划的影响 确定政府及其他团体是否有以下方面的规定和要求： 计算机的运行与控制 计算机、程序及数据的存放方式， 信息服务的活动及组织 记录相关法律与法规的要求 评估组织的在制定信息系统计划、策略、标准及程序时是否考虑的来自外部法律法规要求。 检查内部信息系统相关部门是否在正式文件中落实了遵守法律、法规的要求。 检查组织中是否已经建立程序，并遵照执行来满足法律、法规的要求。B1.IS审计职业道德规范 职业道德规范(Code of Professional Ethics) u 信息系统审计师应在审计工作中自觉严格遵循相关实施准则、程序及控制，并遵守相关法律法规的要求； u 在具体执行审计中要按照职业标准及最佳实践原则要求自己，做到敬业、公正及审慎。 u 以诚实及符合法律要求的方式为利益相关者服务，保持高尚的行为及品德，不从事有损于信息系统审计职业的活动； u 对信息系统审计过程中所取得的信息，应予以保密，不得借以谋取私利和泄漏给他人。执法机构的司法调查除外； u 保持在审计和信息系统控制相关领域的专业胜任能力，有效而可靠地完成审计任务； u 应获得充分及适当的证据，作出审计结论及建议，审计结果应向适当的组织、部门和个人报告； u 应当对组织中的利益相关者进行信息系统安全与控制的教育，以促进其对审计及信息系统的了解；职业审慎(Due Professional Care) 指工作勤勉程度和开展工作所必需的技能要求，体现在信息系统审计师的职业判断过程中，是确保客户获得高质量审计的基础。职业审慎要求审计师在合理范围内提供合理保证，不要求提供绝对保证。B2.ISACA(Information System Audit And Control Association)信息系统审计准则 是整个审计准则体系的总纲，是信息系统审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计师执行审计业务，出具审计报告，都必须遵守执行，具有强制性。 ISACA标准委员会共制定了16个信息系统审计准则，必须熟悉掌握其内容及如何应用。信息系统审计准则P11-14B2.1 S2独立性 人员独立性- 在所有审计相关事项中，IS审计师应当对被审计人保持实质态度与表现形式上的独立性。 组织独立性- IS审计职能部门应当对被审计领域或活动保持独立性以能够客观地完成审计任务。B2.2 S9违规和非法行为 IS审计师应当收集充分、恰当的审计证据以确认管理层或组织内其他成员是否知效所有真实、怀疑或传言中的违规和非法行为。 应当至少每年获得管理层的书面陈述，或根据审计委托书增加频率。陈述中应当包括：承诺对设计并实施内部控制以预防和检查违规或非法行为负责等情况。 如果IS审计师已经发现重大违规或非法行为，或者得到存在重大违规或非法行为的确定线索，应当及时与适当层级的管理人员沟通。 当IS审计师发现的重大违规或非法行为涉及到管理层或内部控制重要岗位员工时，应当及时与其上级主管沟通。 审计中，IS审计师应当将预防及检查违规或非法行为的内部控制重大缺陷通知适当层级的管理人员和上级主管人员 如果重大误报或非法行为导致的异常情况影响到IS审计师不能继续执行审计任务，IS审计师应当考虑这种情况下适用的法律和职业责任，包括是否需要向审计委托方报告，是否需要向上级主管或合规管理部门报告，或考虑从审计中退出。B3.审计指南 审计指南是依据审计准则制定的，是审计准则的具体化。指南详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体要求，为审计师在执行审计业务中如何遵守审计准则提供指导。 审计师在运用这些指南时，离不开职业判断，对任何偏离指南的行为一定要有充分的理由。 ISACA标准委员会制定了40项信息系统审计指南，最近新增加的三项，废止一项。目前执行中的审计指南共有39项。 必须熟练掌握其内容的指南有：p14信息系统审计指南p14B4.审计程序 信息系统审计程序是依据审计准则和审计指南制定的； 它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指南的一些通常审计程序和步骤； 审计程序为审计师提供了很好的工作范例，但审计师在执行具体的审计业务时，还要根据特定的信息系统和特定的技术环境做出自己的职业判断。 目前共有11个审计程序，可作为执行相关审计项目的参考范例。信息系统审计程序p16B5. 信息技术保证框架（ITAF） 信息技术保证框架是一个全面的最佳实践模型，它包括： 为IT审计和保证任务的设计、执行和报告提供指导 定义IT保证中的特定术语和概念 制定标准并落实IT审计和保证的职业角色和责任、知识和技能、勤勉、执行和报告要求 ITAF以ISACA资料为主，也包括由IT治理协会（ITGI）和其他一些组织研发的内容，通过ITAF，IT审计和保证人员可以得到指导、研究政策和规程、获取审计和保证程序、编制有效的报告。 ITAF包括三类准则（一般准则、执行准则和报告准则）、指南、工具和技术。B5.1 ITAF组织结构B5.2 ITAF主要内容 准则部分 第2200节一般准则 第2400节执行准则 第2600节报告准则 指南部分 第3000节IT保证指南 第3200节企业主题 第3400节IT管理流程 第3600节IT审计和保证流程 第3800节IT审计和保证管理C.风险分析风险的概念 风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在损害，风险的严重程度与资产价值的损害程度及威胁发生的频度成正比风险分析 风险控制目前是企业关注的重点，其前提首先要对企业面临的风险有一个全面的认识 组织中最重要的业务环节是什么？这些部分是如何使用与处理信息的？信息系统对这些部分的重要性如何？ 组织的信息系统在产生、传输、处理、存储信息过程中有哪些薄弱环节，信息的机密性、完整性、可用性需要什么样的保护？ 当前组织的风险管理方法与策略是否有效，是否能把风险降低到管理层可以接受的水平? 组织所制定的风险控制目标及控制方法是否考虑了成本效益原则？ 对风险的管理是不是一个持续改善的过程？D.内部控制 概念 组织为了降低风险，保护其资产的安全性、会计资料的准确性和可靠性，提高经营效率以及贯彻执行其规定的管理方针而在组织内部采取的一系列制度、策略、方法及程序。 董事会或最高管理层应当努力建立一种适宜的内部控制文化，使得组织每一个人都参与到内部控制系统中来，保证内部控制的有效性，并对内部控制进行持续监督与完善。 内部控制应当落实两个内容：要达到什么和要避免什么？内部控制的分类 预防性控制：在事件发生之前进行检测，监控运营和输入等，避免错误、疏忽或蓄意行为的发生。例如：职责分离、交易授权、访问控制、数据加密等。 检查性控制：在事件进行当中进行检查，报告发生的错误、疏忽或蓄意行为等。如：哈希汇总、内部审计职能、为查找非法访问目的而检查日志文件。 纠正性控制：在问题发现之后进行纠正，以减少危害的影响，找出问题原因并加强控制等。如：建立应急计划、备份处理流程、恢复运营流程等。D1.内部控制目标 内部控制包括：会计控制、运营控制和管理控制，其目标主要有四个，即资产安全、信息准确可靠、业务运行的效果及效率、管理方针的贯彻。具体包括以下各方面： 保护资产 符合公司政策和法律法规的要求 授权和认证 机密性 数据准确性及完整性 数据处理的可靠性 IT服务的可用性 业务运行的效率、效果和经济性 IT及相关系统的变更管理D3. 信息及相关技术控制目标COBIT 通过ISACA多年来研究，IT治理委员会于1996 年发布的COBIT （Control Objectives for Information and related Technology），这是一个在国际上公认、先进权威的安全与信息技 术管理和控制的标准，目前已经更新至4.1。 它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界上一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。COBIT控制框架(图见p28)COBIT - 以业务为中心 COBIT的主题是面向业务，除了供IT服