×

扫描二维码登录本站

IT审计在现代企业中的应用  

标签: 企业审计

作者:惠普IT管理学院高级顾问,资深审计专家 宋琳


一、审计的定义

系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行

  • 审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
  • 每个人不能审核自己所从事的工作(独立的)
  • 审核一定要查验到文件及记录(文件化的)
  • 审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。

二、IT审计的应用

企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:

国际视角

  • SOX与COSO –塞班斯法案与COSO企业内部控制框架
  • COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
  • 其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等

国内标准

  • 财政部等五部委发布的《内部控制指引》/CSOX等

三、各类审核标准之间的关系及范围

  • ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
  • ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
  • Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
  • COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。

[  /showpic.html#blogid=7ebc432501017qzd&  /orignal/7ebc4325g7b1545b68118][/url]

来自: 惠普IT管理学院 博客







上一篇:基于审计案例的经验分享
下一篇:从BBC丑闻看审计的诚信原则
daisy8

写了 1530 篇文章,拥有财富 19407,被 90 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
qhxnlw 发表于 2015-4-17 11:40:57
[p=null, 2, center][b]作者:[/b]惠普IT管理学院高级顾问,资深审计专家 宋琳[/p][p=null, 2, center] [/p]
[p=null, 2, center] [/p][p=null, 2, left][b]一、[/b][b]审计的定义[/b][/p][p=null, 2, left][b]系统的、独立的和文件化的获取证据[/b][b],[/b][b]并进行客观的评估,判断审核标准的范围得到履行[/b][b]。[/b][/p][list]
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
[/list][p=null, 2, left] [/p][p=null, 2, left][b]二、[/b][b]IT[/b][b]审计的应用[/b][/p][p=null, 2, left] [/p][p=null, 2, left]企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:[/p][p=null, 2, left][b]国际视角[/b][/p][list]
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
[/list][p=null, 2, left][b]国内标准[/b][/p][list]
[*]财政部等五部委发布的《内部控制指引》/CSOX等
[/list][p=null, 2, left] [/p][p=null, 2, left][b]三、[/b][b]各类审核标准之间的关系及范围[/b][/p][list]
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
[/list][p=null, 2, left][  /showpic.html#blogid=7ebc432501017qzd&  /orignal/7ebc4325g7b1545b68118][img=643,349]mw690/7ebc4325g7b1545b68118&690[/img][/url]

来自: 惠普IT管理学院 博客



[/p]
芨芨草 发表于 2014-6-25 14:14:26
[p=null, 2, center][b]作者:[/b]惠普IT管理学院高级顾问,资深审计专家 宋琳[/p][p=null, 2, center] [/p]
[p=null, 2, center] [/p][p=null, 2, left][b]一、[/b][b]审计的定义[/b][/p][p=null, 2, left][b]系统的、独立的和文件化的获取证据[/b][b],[/b][b]并进行客观的评估,判断审核标准的范围得到履行[/b][b]。[/b][/p][list]
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
[/list][p=null, 2, left] [/p][p=null, 2, left][b]二、[/b][b]IT[/b][b]审计的应用[/b][/p][p=null, 2, left] [/p][p=null, 2, left]企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:[/p][p=null, 2, left][b]国际视角[/b][/p][list]
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
[/list][p=null, 2, left][b]国内标准[/b][/p][list]
[*]财政部等五部委发布的《内部控制指引》/CSOX等
[/list][p=null, 2, left] [/p][p=null, 2, left][b]三、[/b][b]各类审核标准之间的关系及范围[/b][/p][list]
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
[/list][p=null, 2, left][  /showpic.html#blogid=7ebc432501017qzd&  /orignal/7ebc4325g7b1545b68118][img=643,349]mw690/7ebc4325g7b1545b68118&690[/img][/url]

来自: 惠普IT管理学院 博客



[/p]
finnfong 该用户已被删除
finnfong 发表于 2014-4-22 17:46:38
提示: 作者被禁止或删除 内容自动屏蔽
凌冷妖 发表于 2014-4-22 09:26:39
[p=null, 2, center][b]作者:[/b]惠普IT管理学院高级顾问,资深审计专家 宋琳[/p][p=null, 2, center] [/p]
[p=null, 2, center] [/p][p=null, 2, left][b]一、[/b][b]审计的定义[/b][/p][p=null, 2, left][b]系统的、独立的和文件化的获取证据[/b][b],[/b][b]并进行客观的评估,判断审核标准的范围得到履行[/b][b]。[/b][/p][list]
[*]审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
[*]每个人不能审核自己所从事的工作(独立的)
[*]审核一定要查验到文件及记录(文件化的)
[*]审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。
[/list][p=null, 2, left] [/p][p=null, 2, left][b]二、[/b][b]IT[/b][b]审计的应用[/b][/p][p=null, 2, left] [/p][p=null, 2, left]企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:[/p][p=null, 2, left][b]国际视角[/b][/p][list]
[*]SOX与COSO –塞班斯法案与COSO企业内部控制框架
[*]COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
[*]其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等
[/list][p=null, 2, left][b]国内标准[/b][/p][list]
[*]财政部等五部委发布的《内部控制指引》/CSOX等
[/list][p=null, 2, left] [/p][p=null, 2, left][b]三、[/b][b]各类审核标准之间的关系及范围[/b][/p][list]
[*]ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
[*]ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
[*]Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
[*]COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。
[/list][p=null, 2, left][  /showpic.html#blogid=7ebc432501017qzd&  /orignal/7ebc4325g7b1545b68118][img=643,349]mw690/7ebc4325g7b1545b68118&690[/img][/url]

来自: 惠普IT管理学院 博客



[/p]
12下一页
Powered by ITIL  © 2001-2025
返回顶部