it审计

CIO时代：引领中国信息化IT治理与信息安全咨询顾问：陈伟信息系统审计CIO时代：引领中国信息化培训内容一、什么是审计？二、什么是信息系统审计？三、信息系统审计过程四、信息系统审计标准五、信息系统审计师CISA简介六、互动讨论CIO时代：引领中国信息化一、什么是审计？ITAuditingCIO时代：引领中国信息化1.1审计的概念与历史审计的定义是指有胜任能力的独立机构或人员接受委托或授权，对特定经济实体的可计量的信息证据进行客观地收集和评价，以确定这些信息与既定标准的符合程度，并向利益相关者报告的一个系统的过程。对审计的理解审计主体：“独立机构或人员”审计关系：“接受委托或授权”审计对象：“可计量的信息”审计依据：“既定标准”审计依据：“既定标准”审计工作：“客观地收集和评价证据”审计目标：“确定这些信息与既定标准的符合程度，并向利益相关者报告”审计过程：“系统的过程”-遵循逻辑顺序、结构严密的活动。审计的性质：独立、客观CIO时代：引领中国信息化审计领域审计所涉及的领域包含社会活动的方方面面，它最关注的是风险，财务风险只是其中的一部分，国家审计机关、会计师事务所的审计是财务报表审计，内部审计是全方位的经营管理审计；在发达国家，企业管理人员甚至可以就业务经营管理的任何问题咨询审计师的意见；在我国，财务／会计审计几乎成了审计的全部，这与我国审计事业目前所处的发展阶段有关。中国国家审计署要求国家审计工作逐步做到财务收支审计项目和效益审计项目各占一半，由基于帐项的审计逐步向基于数据和基于风险的审计过渡。CIO时代：引领中国信息化审计的产生审计是社会生产发展到一定阶段的产物。早在西周时期，我国就设有行使就地稽查职权的审计职能官—宰夫；在古埃及、古希腊和古罗马帝国，都有对国家财政收支进行监督检查的审计官员。16世纪意大利商业城市中出现了一批具有良好的会计知识、专门从事这种查账和公证工作的专业人员，他们所进行的查账与公证，可以说是注册会计师审计的起源。1853年，苏格兰爱丁堡创立了第一个注册会计师的专业团体——爱丁堡会计师协会。该协会的成立，标志着注册会计师职业的诞生。CIO时代：引领中国信息化审计在近代的发展从18世纪下半叶到20世纪初，英国的法律规定了所有股份公司和银行必须聘请注册会计师进行审计，致使英国注册会计师审计得到了迅速发展，并对当时欧、美及亚洲等地区产生了重要影响。1933年，美国《证券法》规定，在证券交易所上市的企业的会计报表必须接受注册会计师审计，向社会公众公布注册会计师出具的审计报告；在这一阶段，世界各国的审计组织、审计制度、审计方法和技术都已有了很大发展，形成了一门独立的，具有自己的对象、任务和方法的经济监督学科。CIO时代：引领中国信息化在当代，审计已扩展企业风险控制的各个方面20世纪50年代以后，随着西方资本主义经济的迅速发展，竞争不断加剧，为了加强企业经济活动的规划和控制，专门为企业内部经营管理服务的管理会计应运而生；因此现代审计从财务审计发展到管理审计；从鉴证会计资料的正确性和合法性，又发展到评价企业经营管理和提高经济效益；从事后审计又发展到事前审计，使审计的内涵和外延向着纵深方向发展；2002年美国国会发布了SOX《萨班斯—奥克斯利法案》要求所有上市公司都必须建立有效的内部控制框架，掀开了全球企业加强风险管理和内部控制的序幕。2006年6月中国国资委发布《中央企业全面风险管理》，2006年10月财政部发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制，中国式的SOX法即将出台。随着公司治理、企业风险管理理论的流行，审计作为风险控制的重要手段，越来越显示其对企业不可或缺的作用。CIO时代：引领中国信息化审计师面临的机会与挑战企业风险管理已成为保护企业核心竞争力的有效手段，有效的风险管理将是未来企业发展的主旋律；负责企业风险保证任务的审计部门及审计师将面临巨大的挑战，但也面临着众多的机会。CIO时代：引领中国信息化1.2审计的分类按审计主体分类政府审计内部审计注册会计师审计按审计目的和内容分类财务报表审计经营管理审计合规性审计司法取证审计信息系统审计信息系统审计的特殊性：信息系统审计师可以经常从不同的方面来评估IT系统与功能，比如：安全、质量、服务、效率、可靠性及能力等。由于审计对象的特殊性，信息系统审计在实施审计时，还要理解和掌握测试和评估信息系统控制的方法CIO时代：引领中国信息化按审计的发展模式分类账项基础审计制度基础审计数据基础审计风险基础审计其他分类按与被审计单位关系分类：可分为内部审计和外部审计；按审计范围分类：可分为全面审计和局部审计，综合审计和专题审计；按施行时间分类：可分为事前、事中和事后审计，定期和不定期审计，期中和期末审计；按可选择性的角度分类：可分为强制性审计和任意审计。CIO时代：引领中国信息化1.3审计执业规范体系什么是执业规范体系指导审计人员科学合理进行工作的标准，亦是衡量审计机构与人员素质及工作质量的准绳。世界各国都制定了不同的审计准则体系。审计准则按审计主体分为：政府审计准则注册会计师审计准则内部审计准则CIO时代：引领中国信息化1.4审计机构政府审计机构政府审计机构的隶属模式立法模式—国家审计机构隶属于立法机构，直接对议会负责并向议会报告审计结果。代表性的国家是美国。司法模式—司法型的政府审计制度的特点是在政府审计机构内部设立司法部门，国家审计拥有有限司法权，从而强化了政府审计职能。西欧大陆、非洲和南美洲一些国家采用。行政模式—特点是审计部门是国家行政部门的一个组成部分。主要有中国、东欧和北欧的瑞典等国家。独立模式—特点是政府审计机构独立于立法权、司法权和行政权之外单独设置，形成国家政权体系的一个分支。目前具有代表性的国家当推日本。CIO时代：引领中国信息化国际政府审计组织最高审计机关国际组织(TheInternationalOrgnizationofSupremeAuditInstitutions，INTOSAI)，是由联合国成员国的最高审计机关组成的国际性组织，宗旨是促进最高审计机关之间在政府审计领域内的审计准则、方法和技术的交流我国的政府审计机构我国实行的是行政审计模式，我国政府的审计机构共分四级：审计署，各省、自治区、直辖市审计(厅)局，省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局，县、旗、县(市)级审计局。我国各级审计机关实行统一领导，分级审计，双重管理体制。CIO时代：引领中国信息化内部审计机构内部审计的组织形式在公司管理部门之上，董事会之下，设立内部审计组织。这些内部审计织中的人员必须由不参加日常管理工作的董事会成员来担任，以便内部审计工作在企业中有高度的独立性。美国上市公司中的内部审计就属于这一类型。在总经理直接领导下，各职能管理部门之上设置内部审计部门，帮助总经理执行日常监督工作，有一定独立性。我国的企业大部分采用这一组织形式。在财务部门内部设置审计组织，隶属于财务部门领导。主要对会计记录、日常核算工作等进行监督，独立性与权威性均较低。CIO时代：引领中国信息化内部审计的国际组织国际内部审计师协会(InstituteofInternalAuditor，IIA)是一个国际性内部审计学术团体，成立于1941年，该协会的宗旨是为会员完成各项专业职责和促进内部审计事业的发展提供服务。IIA在全球的会员人数为10.7万人，目前获得CIA资格的内部审计师已超过5万人。我国的内部审计机构我国的内部审计机构目前大多数采用的是总经理领导模式，即在本单位主要负责人的领导下，设置独立的、与其他职能部门平行的内部审计机构。1989年12月，审计署发布了《关于内部审计工作的规定》，使内部审计工作的开展有了法规依据。1995年1月1日实施的《中华人民共和国审计法》规定了哪些部门、组织和单位应按规定建立、健全内部审计制度，从而为我国建立内部审计提供了法律依据。CIO时代：引领中国信息化注册会计师审计机构会计师事务所国际会计师事务所—“四大”毕马威(KPMG)、安永(Ernst&Young)、德勤(Deloitte&TouchTohmatsu)以及普华永道(PriceWaterhouseCoopers)会计师事务所;我国的会计师事务所—《注册会计师法》规定会计师事务所只能采用合伙制或有限责任制的形式,由主任会计师、副主任会计师、部门经理、注册会计师、业务助理人员和其他工作人员组成。实现主任会计师负责制，主任会计师是事务所的法定代表，并且必须是注册会计师。CIO时代：引领中国信息化审计人员的资格考试政府审计人员的资格及相关考试申请政府审计人员职称考试时，资格审查与考试程序并不复杂。一般只要确认其学历，并通过三四门的专业考试，就可获得如审计师这样的职称。注册会计师的资格审查及相关考试CPACPA考试科目为五科：会计、财务成本管理、审计、经济法和税法。通过注册会计师考试全科成绩合格的，均可取得注册会计师资格，申请加入注册会计师协会成为非执业会员，但不能执业。要获得执业资格，必须在一家会计师事务所从事审计工作两年以上并符合其他审批条件。只有经批准注册后，发给财政部统一印制的注册会计师证书，方可执行注册会计师业务。内部审计人员的资格审查及相关考试CIACIA考试科目共计四门，分别为内部审计在治理、风险和控制中的作用，实施内部审计业务，经营分析和信息技术，经营管理技术。CIO时代：引领中国信息化二、什么是信息系统审计？ITAuditingCIO时代：引领中国信息化IT风险已逐渐成为组织的重要风险随着IT技术的快速发展与应用的深入，企业对IT系统的依赖性越来越强的同时，面临不断增多的系统薄弱性和各种各样的威胁；现代企业IT系统的停机可能会造成业务受到巨大损失、声誉下降、竞争优势丧失；IT项目的高投入和高失败率，使得企业无法实现其预期的创新与利益，不能实现对IT的投资回报，或者不通对投资回报进行测量；在全球加强行业监管和内部控制的趋势中，IT越来越充当重要角色，IT不仅要为业务的风险控制提供保障环境，而且其自身的风险控制也倍受关注……2.1信息系统审计的产生背景CIO时代：引领中国信息化IT审计是控制信息化的风险的制度安排决定信息系统是否有效运转的决定因素不是信息技术，而是制度、组织结构、规则与标准，最终是人。信息化需要合理有效的制度安排，建立良好的管理控制体系是企业信息系统建设成功的重要保证。应该逐步完善企业的IT治理机制，实现IT与战略、管理、业务运营、信息安全的深度融合。这样一方面使信息系统为企业创造价值并保护持续性，另一方面控制信息化的风险与降低成本。构筑信息时代新的“游戏规则”，“规则”是“游戏”是重要组成部分。建立信息系统审计制度是建立信息化“游戏规则”的重要组成部分。CIO时代：引领中国信息化信息系统审计的定义国际信息系统审计领域的权威RonWeber的定义：收集与评估证据，以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。ISACA定义：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。2.2信息系统审计的概念与历史CIO时代：引领中国信息化信息系统审计国际组织ISACA1969年美国洛杉矶成立了电子数据审计师协会(EDPAA)1994年该协会更名为信息系统审计与控制协会(ISACAInformationSystemAuditandControlAssociration),总部在芝加哥。ISACA制订信息系统审计准则、实务指南等专业规范来指导信息系统审计师的工作，每年为通过考试为从业人员颁发CISA、CISM证书，CISA资格在世界各国被广泛认可。ISACA在100多