安达信it审计培训的三个ppt.ppt

第一部分电脑技术在内部审计的应用介绍 第二部分信息系统管理第三部分信息系统开发和维护
第一部分电脑技术在内部审计的应用介绍-概述
2
目的
对信息系统审计评估作一般性了解
介绍在信息系统管理评估、可升级性评估、信息安全评估和可用性评估中使用的技术和流程
3
信息系统审计的框架
标准确定信息系统审计和报告的法定要求
指引为信息系统审计准则的运用提供指引
程序举例说明信息系统审计师在审计项目中可遵循的程序
可在以下网址查阅信息系统审计和控制协会(“ISACA”) 准则和指引()
4
风险和控制
国际标准化组织(“ISO”) 定义风险为“利用一项资产或一组资产的薄弱环节,某些特定威胁可以导致资产损失或损害的可能性.”
审计师必须能够识别风险及用于防御这些风险的控制
5
安达信的业务风险模型
信息技术风险
访问- 信息的访问被不适当地允许或拒绝的风险
一致性- 在交易输入、交易处理、汇总和报告过程中,与授权、完整性和准确性相关的风险
相关性- 信息与其收集、维护或发布的目的无关
可用性- 需要时得不到所需的信息
基础设施- 企业没有有效的信息技术基础设施(例如硬件、网络、软件、人员和流程),以高效率、低成本、有组织地满足企业的目前和未来需要
风险模型
技术架构
监察事项
风险
控制
访问
一致性
可用性
相关性
基础设施
规条和指引
政策、标准、
开展管理
风险管理框架
8
访问(保密性)
目标:保护个人信息或有价值信息免遭有意或无意的、未经授权的泄露。
信息的读取可能会被不恰当地允许或拒绝的风险。未授权的人员可能读取保密信息。
发生于各个层面
网络层访问
处理环境访问
应用系统访问
功能层访问
访问风险
9
一致性(准确真实)
目的: 保护重要数据免遭有预谋的或无意的、未经授权的篡改或删除
在交易输入公司所使用的各种应用系统,并在系统内进行处理、汇总和报告的过程中,与信息的授权、完整性和准确性相关的风险
典型问题:用户界面、处理、错误处理、变更管理、数据等
一致性风险
10