IT审计在现代企业中的应用
作者:惠普IT管理学院高级顾问,资深审计专家 宋琳一、审计的定义系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行。
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
二、IT审计的应用 企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:国际视角
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
国内标准
[*]财政部等五部委发布的《内部控制指引》/CSOX等
三、各类审核标准之间的关系及范围
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
mw690/7ebc4325g7b1545b68118&690
来自: 惠普IT管理学院 博客
作者:惠普IT管理学院高级顾问,资深审计专家 宋琳
一、审计的定义系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行。
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
二、IT审计的应用 企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:国际视角
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
国内标准
[*]财政部等五部委发布的《内部控制指引》/CSOX等
三、各类审核标准之间的关系及范围
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
mw690/7ebc4325g7b1545b68118&690
来自: 惠普IT管理学院 博客
作者:惠普IT管理学院高级顾问,资深审计专家 宋琳
一、审计的定义系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行。
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
二、IT审计的应用 企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:国际视角
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
国内标准
[*]财政部等五部委发布的《内部控制指引》/CSOX等
三、各类审核标准之间的关系及范围
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
mw690/7ebc4325g7b1545b68118&690
来自: 惠普IT管理学院 博客
作者:惠普IT管理学院高级顾问,资深审计专家 宋琳
一、审计的定义系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行。
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
二、IT审计的应用 企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:国际视角
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
国内标准
[*]财政部等五部委发布的《内部控制指引》/CSOX等
三、各类审核标准之间的关系及范围
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
mw690/7ebc4325g7b1545b68118&690
来自: 惠普IT管理学院 博客
页:
[1]
2