当前位置:文档之家 › CISAIT审计实务培训审计实务PPT课件

CISAIT审计实务培训审计实务PPT课件

  • 格式:ppt
  • 大小:176.50 KB
  • 文档页数:56

下载文档原格式

  / 56

合集下载

IT审计相关知识(ppt 62页)

IT审计相关知识(ppt 62页)
PerformanTceecahnndicBaulsRineefsesr-DenricveenModel (TRM)
Performan•cSeerRveicferCenocmepMonoednetl (IPnRteMrfa)ces, Interoperability •Inputs, Ou•tpTuetcsh, nanodloOgiuetsc,oRmeecsommendations •Uniquely Tailored IT Performance Indicators
Audit Work Team
$ Manager: Responsible for the audit and quality control.
$ Senior/team leader: Responsible for the work papers.
$ Staff: Responsible for the performance of the audit.
$ Definition of Scope and Objectives. $ Analysis and understanding of standard procedures. $ Evaluation of system and internal controls. $ Audit Procedures and documentation of evidence. $ Analysis of facts encountered. $ Formation of opinion over the controls. $ Presentation of report and recommendations.
THE FEA REFERENCE MODEL FRAMEWORK

CISAIT审计实务培训理论专题PPT课件

CISAIT审计实务培训理论专题PPT课件
Feb, 2008
杨洋,yycisa@
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. IT审计概念
“收集并评估证据,以判断一个信息系 统是否有效做到保护资产、维护数据
具体项目审计
针对具体某个信息化项目的建设进行全周期(从规划到验收 )或指定阶段(如单独的后评估)的监理与建议。
专项审计
Feb, 2008
根据委托单位的特别要求针对信息化的某个层面进杨洋行,专门的 评价和建议,比如对委托单位的信息系统yyc安isa全@2审63.n计ety。ycisa@yy
完整、完成组织目标,同时最经济的
使用资源”。(Ron Weber)
IS audit 注重应用系统审计,开发流程,已建立系统的 应用,基于应用系统。
IT audit 注重基础设施安全,一般控制审计,侧重安全
,不针对单个系统。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
1. 总体发展现状与趋势
国外各类企业IT审计
典型国家简介:美国、澳大利亚 SOX法案对企业实施IT审计的影响 特点与趋势:
仍以内审为主 从关注安全向关注业务目标过渡 一般控制审计与应用控制审计并行

审计实务培训课件)

审计实务培训课件)
在沟通过程中,应保持耐心、细 致、严谨的态度,同时注意倾听 对方的意见和建议,以达成共识

与上级单位沟通技巧与方法
沟通前准备
在与上级单位沟通前,应充分了解上级单位的要求和期望,为沟 通做好准备。
沟通方式选择
根据具体情况选择适当的沟通方式,如面谈、电话沟通、邮件沟通 等。
沟通技巧
在沟通过程中,应保持谦虚、谨慎的态度,同时注意表达清晰、准 确,以获得上级单位的认可和支持。
02 03
利润表审计要点
对利润表进行审计时,需要关注报表的编制是否符合会计准则和规定, 收入、成本、费用的确认和计量是否准确、完整,以及是否存在重大错 报或漏报。
利润表审计程序
审计程序包括获取或编制利润表,核对总账、明细账与利润表相关项目 的金额是否相符,检查利润表中的重要项目,如营业收入、营业成本、 期间费用等,以确定其真实性、完整性和准确性。
建立举报机制
鼓励员工举报潜在的舞弊行为,并提 供保护和支持。
加强内部审计和监督
通过内部审计和监督,及时发现并纠 正潜在的舞弊行为。
舞弊风险防范意识培养
提高员工意识
通过培训和教育,提高员 工对舞弊风险的认识和意 识。
建立诚信文化
在企业内部建立诚信文化 ,鼓励员工遵守道德规范 和法律法规。
加强宣传和推广
识别和分析影响企业目标实现 的相关风险。
信息与沟通
确保信息及时、准确地传递, 建立有效的沟通渠道。
控制环境
包括诚信原则、道德价值观、 员工素质、管理层理念和经营 风格等。
控制活动
包括授权审批控制、职责分离 控制、会计系统控制、财产保 护控制、预算控制等。
监控
对内部控制体系进行持续监控 ,及时发现并纠正缺陷。

会计师事务所审计实务培训课件PPT(往来及权益类)

会计师事务所审计实务培训课件PPT(往来及权益类)
“预收账款”
• 本科目核算企业按照合同规定预收的款项。预收账款情况不多的,也可 以不设置本科目,将预收的款项直接计入“应收账款”科目。
Client name - Event - Presentation title Page 24
预付账款常用审计方法
1、通过发函、查看合同及原始凭证验证预付账款的发生认定; 2、研究每个项目的性质,看其是否符合资本化的要求,如不符合,应将其直 接计入损益; 3、验证期末余额的估值; 4、预付账款如一年以上才会摊销完或收到服务时,应考虑将超过一年的部分 调整到长期资产; 5、将期末余额与以前年度期末余额做比较,并解释增减变动的原因。
“其他应付款”
• 本科目核算企业除应付票据、应付账款、预收账款、应付职工薪酬、应付利 息、应付股利、应交税费、长期应付款等以外的其他各项应付、暂收的款项。
Client name - Event - Presentation title Page 19
其他应收款/其他应付款审计2
其他应收款
主要关注:存在与估值。
需要考虑:强调每个明细项 目的性质,弄清楚“筐”里 装了些什么东西?
其他应付款
主要关注:完整性。
需要考虑:强调每个明细项目 的性质,弄清楚“筐”里装了 些什么东西?
Client name - Event - Presentation title Page 20
其他应收款/其他应付款审计3
个人借 款
Client name - Event - Presentation title Page 22
其他应付款审计
在进行其他应付款的审计工作时,第一步应取得其明细,了解每一个主 要项目的性质。然后,才能根据了解到的性质,决定具体应该做些什么样的 实质性程序。当最终要测试某个项目的完整性时,所使用的的方法与应付账 款的手段大体相同,也就是发函确认、翻看原始凭证、执行分析性程序等。

审计实务培训课件PPT)

审计实务培训课件PPT)
程序
包括审计计划、审计实施、审计报告和后续跟踪等阶段。
信息技术审计的技巧与工具
要点一
技巧
要点二
工具
包括风险评估、控制测试、系统审查和数据分析等。
包括审计软件、测试工具、监控设备和文档管理工具等。
06
CATALOGUE
审计报告与质量控制
审计报告的内容与格式
审计报告的内容
审计报告应包括审计目标、范围、方法、结果和结论,以及对被审计单位管理层的建议 。
04
工作底稿:详细记录审计过程和结果的文件,包括审计计划、程序、 证据和结论等,有助于确保审计质量和符合监管要求。
02
CATALOGUE
财务报表审计
资产负债表审计
资产负债表审计概述
资产类科目审计
资产负债表是反映企业在某一特定日期财 务状况的财务报表,其审计目的是确保报 表的准确性和合规性。
对企业的流动资产、长期投资、固定资产 、无形资产等科目进行审计,核实其真实 性、完整性和准确性。
审计实务培训课件
汇报人:可编辑
2023-12-23
CATALOGUE
目 录
• 审计基础知识 • 财务报表审计 • 内部控制审计 • 舞弊审计 • 信息技术审计 • 审计报告与质量控制
01
CATALOGUE
审计基础知识
审计的定义与目的
总结词
明确审计的概念、目的和作用
详细描述
审计是对企业、组织或个人的财务报表、交易记录、资产等进行独立、客观的 审查和评估,目的是确保其准确性和合规性,并提供合理的保证。
筹资活动现金流量审计
对企业的筹资活动现金流入和流出进 行审计,核实其真实性、完整性和准 确性。
合并财务报表审计

CISA_IT审计实务培训3-COBIT专题PPT参考课件

CISA_IT审计实务培训3-COBIT专题PPT参考课件
“是否应该进行IT投资?”、“如何进行IT投资” “IT投资是否得到了期望的回报?” “业务需求是否得到了IT的支持和满足?”
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
Feb, 2008
杨洋,yycisa@
2. 核心目标与思想
COBIT的制订宗旨是跨越业务控制 (business control)和IT控制之间的鸿 沟,从而建立一个面向业务目标的IT控 制框架。
COBIT是IT治理的模型
COBIT是基于过程的模型
Feb, 2008
2. 核心目标与思想
把所有人调动起来!
COBIT就是这样一个能够把所有IT与非IT部门结合起来协调 开展IT治理活动的模型框架!
Feb, 2008
杨洋,yycisa@
3. 与其他相关体系的关系
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非是针对IT审计的专门论述
1. 域与过程的划分
4个域,34个过程,215个具体控制目标:
计划域组织(PO):10个过程 获取与实现(AI) :17个过程 交付与支持(DS):13个过程 监控与评价(ME):4个过程
Feb, 2008
1. 域 与 过 程 的 划 分
Feb, 2008
杨洋,yycisa@
杨洋,yycisa@
杨洋,yycisa@
1. Cobit的产生与发展
COBIT(Control Objectives for Information and Related Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制 定的IT治理模型。 早期第1、2版以控制目标和审计指南为主。 2000年推出第3版,重点突出了“管理指南”。 2006年推出第4版,精简了控制目标,并完善了管理指南 2007年推出第4.1版,将审计指南改为“签证指南”,并提 出ValueIT等理念,与IT治理联系更紧密。

审计实务培训课件PPT)精品模板分享(带动画)

审计实务培训课件PPT)精品模板分享(带动画)
信息技术审计方法:介绍常用的信息技术审计方法,如数据抽样、数据挖掘、数据分析等,并解 释每种方法的应用场景和优缺点。
信息技术审计案例分析:通过具体案例,展示信息技术审计的实际应用和效果,加深对信息技术 审计程序和方法的理解。
信息技术审计发展趋势:分析当前信息技术审计的发展趋势,如人工智能、大数据等技术在信息 技术审计中的应用前景,以及未来信息技术审计的发展方向。
01
案例一:某会计师事务所因违反职业道德规范被监管机构处罚
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
02
案例二:某注册会计师因未尽勤勉尽责被起诉并承担法律责任
单击此处添加文本具体内容,简明扼要地阐述您的观点。根据需要可酌情增减
文字,以便观者准确地理解您传达的思想
审计重点:关注财 务报表的重大错报 风险,包括收入确 认、存货计价、关 联方交易等方面
审计方法:采用抽 样审计、分析程序 等方法,对财务报 表进行全面、系统 的审查和测试
财务报表审计程序与方法
审计方法:抽样审计、分析 程序、细节测试等
审计程序:制定审计计划、 了解被审计单位情况、实施 审计程序、编制审计报告
职业道德与法律责任
第八章
职业道德规范
保持独立性,不受利益影响
遵守法律法规,维护公正公 平
保守秘密,保护客户隐私 诚信为本,维护职业声誉
法律责任与风险防范
审计人员的法律责任
审计风险及其防范措施
添加标题
添加标题
审计职业道德规范
添加标题
添加标题
案例分析:审计人员职业道德与法 律责任的重要性
案例分析与实践操作
以上案例分析旨在说明职业道德与法律责任在审计实务中的重要性,通过实践

审计基础与实务培训课件

审计基础与实务培训课件

❖ (六)意义和影响
❖ 2.“五大”变“四大”
❖ 2002年6月15日,联邦大陪审团裁定安达信 “妨碍司法”罪名成立,安达信被罚款50万美 元并自动失去上市公司审计资格。16日,安达 信宣布将从2002年8月31日起停止对上市公司 的审计业务。至此,1913年创办的、在美国审 计了约20%上市公司、一度享誉全球的安达信 陨落了。
必须配合
自愿配合
出具审计意见书、 自愿 做出审计决定、 提出处理、处罚 意见
强制
内部组织必须接受
性质
外部经济监督
外部行政监督
内部经济监督
权责
发表意见权
处置权
报告权
独立性
双向独立
单向独立
相对独立
三、审计与会计的关系
1.联系: (1)两者相互依存:两者的工作对象都对 准会计资料,会计是审计的基础,审计是会 计工作质量的保证
❖ (五)安达信的审计情况
❖ 3.销毁审计档案,妨碍司法调查
❖ 众所周知,审计最重证据。以客观、真实的 证据为依据的审计。2001年10月23日,首席 审计师大卫•邓肯要求审计小组执行总部文件 保管政策的指令,在休斯敦、伦敦和波特兰 保管的安然审计档案开始被销毁。
❖ (六)意义和影响
❖ 21世纪初期,发生了两件震撼世界、令人 不安的大事,一件是“9•11”事件,严重影响 了人们的生活和安全;另一件就是安然公司 破产案,严重损害了资本市场的信誉,动摇 了投资人的信心。安然审计失败因其带来的 影响和震撼,堪称会计史上的“9•11”事件。
❖ 然而,南海公司的经营并未如愿,赢利甚微,
公司股票的市场价格与上市公司实际经营前景完 全脱节。
英国南海公司泡沫事件
❖ 1721年6月,为了制止各类“泡沫公司”的膨胀, 英国国会通过了“反泡沫公司法”(The Bubble Act)。自此,许多公司被解散,公众开始清醒过 来。对一些公司的怀疑逐渐扩展到南海公司身上。 从7月份开始,外国投资者首先抛出南海股票,撤 回资金,军队下达了要求军人回到岗位的命令。随 着投机热潮的冷却,南海股价一落千丈,9月份直 跌至每股175英镑,12月份最终跌为124英镑。 “南海气泡”终于破灭。

CISA_IT审计实务培训2-审计实务PPT教学课件

CISA_IT审计实务培训2-审计实务PPT教学课件

2020/12/10
杨洋,
3.比对技术
源代码比对 目标代码比对 特征值比对
2020/12/10
杨洋,
杨洋,
杨洋,
4.业务观察与穿行测试
实际岗位分工与制度是否一致 穿行测试(walk-through):实际流程是
否一致 安全意识 汇报路线:权责是否一致
2020/12/10
杨洋,
5.渗透测试
算的安全接入关键技术
2020/12/10
杨洋,
杨洋,
一、 常用审计方法概述
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
2020/12/10
杨洋,
杨洋,
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
关键风险与控制
参考材料:“系统变更审计要点”
案例讨论:
中国银联系统宕机事件
2020/12/10
杨洋,
杨洋,
三、 网络安全审计实务
1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点:无线接入与数据库保护
2020/12/10
杨洋,
1. 网络安全审计概述
审计目标与范围
安全 管理 员
备份 管理 员
系统 程序 员
质量 保证 小组
数据库 管理员
安全管 理员
备份管 理员
系统程 序员
质量保 证小组
2020/12/10
杨洋,
杨洋,
1. 对组织管理架构的审计
关键风险和控制
参考材料:“IT组织管理架构审计要点”

审计实务培训课件PPT)

审计实务培训课件PPT)

审计实施
按照审计计划和方案进 行现场调查、证据收集 和分析,形成审计工作 底稿。
审计报告
根据审计结果编写审计 报告,提出改进建议和 措施。
后续跟踪
对被审计单位进行后续 跟踪,确保改进措施得 到有效执行。
06 审计实务案例分析
企业财务报表审计案例
总结词
财务报表审计案例旨在帮助学员了解财务报表审计的流程、方法和技巧,通过实际案例分析,提高学 员对企业财务报表审计的认知和实践能力。
审计证据与工作底稿
总结词
审计证据是审计过程中收集的各种资料,工作底稿是记录审计过程和结果的文档。
详细描述
审计证据是审计过程中收集的各种资料,包括财务报表、凭证、合同等,用于证明被审计事项的真实性和准确性 。工作底稿是记录审计过程和结果的文档,包括审计计划、现场记录、证据收集等,是形成审计意见和撰写审计 报告的重要依据。
VS
详细描述
本案例分析将介绍企业内部控制审计的基 本原理和方法,包括内部控制制度的建立 、运行和评估等。通过实际案例的分析, 学员将了解如何识别内部控制中的缺陷和 漏洞,如何评估内部控制的有效性和合规 性,以及如何提出有效的改进建议。
管理层舞弊审计案例
总结词
管理层舞弊审计案例旨在帮助学员了解管理层舞弊的识别、预防和应对方法,通 过实际案例分析,提高学员对管理层舞弊的认知和实践能力。
详细描述
本案例分析将介绍管理层舞弊的基本类型、特点和动机,以及舞弊审计的方法和 技巧。通过实际案例的分析,学员将了解如何识别管理层舞弊的迹象和信号,如 何评估舞弊风险并采取应对措施,以及如何进行有效的舞弊调查和报告。
信息技术审计案例
总结词
信息技术审计案例旨在帮助学员了解信息技 术审计的原理、方法和技巧,通过实际案例 分析,提高学员对信息技术审计的认知和实 践能力。

审计学实务与案例PPT课件

审计学实务与案例PPT课件
– 需要作出审计应对
• 如果审计师认为高级管理人员的诚信需要高度关注, 或已掌握高级管理人员舞弊行为的证据,应当实施 下列步骤:P39
.
22
2.5 创建业务与签订业务约定书
• 创建业务的审计工作底稿
– 初步业务活动程序表:表2-6。 – 业务承接与保持评价表:表2-7、表2-8。
• 签署审计业务约定书
ofSupreme Audit Institutions,简称INTOSAI), 是由世界各 国最高一级国家审计机关所组成的国际性组织。创立于 1953年,1968年在东京召开的第六次会议上,该组织的 章程被通过,最高审计机关国际组织正式宣布成立,受联 合国经社理事会领导。最高审计机关国际组织总部设在维 也纳,由奥地利审计法院负责日常工作,该组织的会费由 各成员国按联合国缴纳会费的比例分摊。目前该组织有成 员186个,我国于1982年加入该组织。其主要职责是统一 规范审计标准,加强业务合作,促进审计事业发展以及各 会员国之间的信息交流与沟通。该组织的宗旨:互相交流 情况,交流经验,推动和促进各国审计机关更好的完成本 国的审计工作。
.
12
• 审计期望差距
– 业绩差距 – 合理性差距
.
13
实训项目
P17 会计师事务所组织形式
.
14
第二章 承接审计业务
学习目标:
1.了解业务承接的两大目标及其基本程序; 2.熟悉如何初步了解和评价客户; 3.掌握客户信息的来源及收集信息的方法; 4.熟悉初步业务活动的目的和质量控制; 5.掌握如何利用其他审计师工作; 6.掌握前后任审计师沟通的程序与内容; 7.掌握初步评估舞弊的相关内容; 8.熟悉审计业务约定书的基本内容、重签与变更; 9.了解并满足超越客户期望的方法。

IT审计的组织与实施(CISA培训课件)

IT审计的组织与实施(CISA培训课件)
14
信息系统审计标准—BS7799

信息安全管理体系(ISMS)

BS 7799: 最早由英国贸易和工业部于1993年 组织开发,1995年成为英国国家标准,由两部 分组成,目前最新版本为:

BS 7799-1:1999《信息安全管理实施规则》 BS 7799-2:2002《信息安全管理体系规范》
机会
风险
6
信息系统审计 —从风险管理和风险基础审计的角度理解

两种风险

战略风险

失去竞争优势 信息系统项目失败 灾难导致长期不能提供服务 ……

操作风险


变更管理文档不完整 密码政策不恰当 未激活Oracle审计轨迹设置 ……
7
信息系统审计 —从风险管理和风险基础审计的角度理解
应用控制 帐号管理/逻辑控制
4
信息系统审计 —从风险管理和风险基础审计的角度理解



一个目标 两种风险 三项评价 四类测试
5
信息系统审计 —从风险管理和风险基础审计的角度理解

一个目标

将IT相关的风险控制在可接受的水平

风险是事件的不确定性,这个事件对目标的实现具有影响。 风险是不希望发生事情的可能性。 对待风险的四种策略:拒绝、接受、转移、缓释(控制)
IT审计的组织与实施
1
内容安排



内部审计及其分类 信息系统审计—从风险管理和风险基础审计的角度理解 信息系统审计标准 信息系统审计方法 IT核心流程和审计方法 问题讨论 案例分析
2
内部审计及其分类

内部审计 内部审计分类

CISAIT审计实务培训0-课程导言16页PPT

CISAIT审计实务培训0-课程导言16页PPT
3、当他看到ATM机如数吐出1000元,并只扣1元的漏洞 后,先后171次共取走17.5万元。
据悉,该漏洞是4月24日早上由广州商业银行恒福支行 ATM机管理中心的工作人员翻查监控记录时发现的。随 后,该部门立刻通知广州商业银行总行并报案。
Feb, 2008
杨洋,yycisa@
课程内容
1. 重要理论与概念
1. IT审计概况及其在金融业的发展趋势 2. 重大性、披露、一般控制与应用控制等重要问题 3. 执业资格、行业协会与CISA考试简介
2. IT审计技术实务
1. 常用审计技术 2. 一般控制审计分阶段详解 3. 网络安全审计专题——一般形式、技术与工具 4. 应用控制审计案例详解 5. 持续在线审计技术专题
谢谢大家,欢迎交流!
杨洋(yy.ok.2000263)
Feb, 2008
杨洋,yycisa@
更多精品资源请访问
docin/sanshengshiyuan doc88/sanshenglu
杨洋,yycisa@
反思

1. 为什么只有许霆发现了这一秘密?
2. 同一错误为什么能够重现171次?
3. 为什么误差恰好是十进制整数?
4. 服务器错误还是终端错误?
5.如果是批量升级,是否仅此一台出错?
6. 为何3天后才发现异常?
7. 升级前后是否进行了充分测试?
8. ATM机是否可配置?由谁配置?
估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2019年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开
展银行业金融机构2019年度信息科技风险内部和外部评价审计工作。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
a@yycisa@
杨洋,yycisa@
5.渗透测试
模拟攻击行为,发现漏洞
关键:
实施风险分析 全面备份与恢复计划 委托专业机构
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
整体概况
+ 概况1
您的内容打在这里,或者通过复制您的文本后。
概况2
+ 您的内容打在这里,或者通过复制您的文本后。
概况3
+ 您的内容打在这里,或者通过复制您的文本后。
杨洋,yycisa@
一、 常用审计方法概述
杨洋,yycisa@
1.文档复核
理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1.文档复核
2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
a@yycisa@
3.比对技术
源代码比对 目标代码比对 特征值比对
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
1. 对组织管理架构的审计
2. 对IT外包的审计
3. 对IT基础设施与环境的审计
4. 对备份和业务持续性的审计
5. 对开发和获取过程的审计
6. 对系统变更过程的审计
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
2.面询与问卷卷对象:专业性与客观性 答案的明确性
如何避免答案失真
杨洋,yycisa@
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
杨洋,yycisa@
1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developer
目前为同济大学电信学院博士后,主要研究领域:基于移动计 算的安全接入关键技术
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋,yycisa@
2.面询与问卷设计
面谈准备:
背景研究 确定对象 内容、时间和地点
面谈实施:
时间控制 气氛把握 记录方式 确认 后续分析
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试类型
ITF(生产环境中用测试用例)
输入标记 消除影响
平行模拟(SQL,EXCEL+VBA)
杨洋,yycisa@
4.业务观察与穿行测试
实际岗位分工与制度是否一致
穿行测试(walk-through):实际流程是 否一致
安全意识
汇报路线:权责是否一致
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
工具的选择:
功能与易用性 使用习惯与方便获取
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
二、 一般控制审计实务
a@yycisa@
杨洋,yycisa@
6. 数据测试
测试
选择重要模块
数据设计
覆盖各种情况:数据类型、编码违规、违反逻辑 条件、数据文件不一致……
来源:实际业务数据、用户测试数据、审计师测 试数据、自动生成数据
一般方式:
黑盒 白盒
Feb, 2008
分析性复核
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
GAAT:
ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL
开发原型 新旧系统交接
Feb, 2008
杨洋, yycisa@yycisa@yy cisa@yycisa@yycis
a@yycisa@
杨洋,yycisa@
7. 数据采集与分析
直接获取系统数据,特别是业务输 入与业务输出