CISAIT審計實務(wù)培訓(xùn)0課程導(dǎo)言

1、Feb, 2008IT審計實務(wù)培訓(xùn)0. 課程導(dǎo)言（）Feb, 2008主講人簡介楊洋管理學(xué)博士（信息管理與信息安全方向，同濟大學(xué)）會計學(xué)學(xué)士、碩士（東北財經(jīng)大學(xué)）高級程序員（1998），CISA（2002）, SCJP，IBM電子商務(wù)咨詢師，IBM WSAD Developer目前為同濟大學(xué)電信學(xué)院博士后，主要研究領(lǐng)域：基于移動計算的安全接入關(guān)鍵技術(shù)Feb, 2008中行大連分行營業(yè)部計算機輸入員翟昌平6年挪用800萬美元，銷毀個人電腦中帳務(wù)數(shù)據(jù)后潛逃，于2005年3月21日被捕歸案。針對此一系列案件，銀監(jiān)會針對銀行機構(gòu)對操作風險的識別與控制能力不能適應(yīng)業(yè)務(wù)發(fā)展的突出問題，發(fā)布了關(guān)于加大防范操

2、作風險工作力度的通知（2005）業(yè)務(wù)系統(tǒng)可靠嗎？Feb, 20081. 為什么巨額挪用持續(xù)6年而未被發(fā)現(xiàn)？2. 為什么銀行帳務(wù)數(shù)據(jù)可以被個人輕易銷毀？3. 計算機輸入員崗位的權(quán)限到底有多大？4. 對于風險崗位是否存在有效牽制？5. 其他職員是否有效保護了自己的登錄信息？6. 銀行業(yè)務(wù)流程和管理控制到底存在多少重大漏洞？反思Feb, 2008許霆案回顧：1. 2006年4月21日下午5時，廣電運通公司為廣州商業(yè)銀行進行ATM機系統(tǒng)升級后，位于廣電運通集團樓下的離行式ATM機發(fā)生了異常（推測）。 2. 晚上許霆拿著存有175元的銀行卡，在該ATM機準備取款100元時，由于多按了一個零，變成了取10

3、00元。 3、當他看到ATM機如數(shù)吐出1000元，并只扣1元的漏洞后，先后171次共取走17.5萬元。 據(jù)悉，該漏洞是4月24日早上由廣州商業(yè)銀行恒福支行ATM機管理中心的工作人員翻查監(jiān)控記錄時發(fā)現(xiàn)的。隨后，該部門立刻通知廣州商業(yè)銀行總行并報案。交易設(shè)備可靠嗎？Feb, 20081. 為什么只有許霆發(fā)現(xiàn)了這一秘密？2. 同一錯誤為什么能夠重現(xiàn)171次？3. 為什么誤差恰好是十進制整數(shù)？4. 服務(wù)器錯誤還是終端錯誤？5.如果是批量升級，是否僅此一臺出錯？6. 為何3天后才發(fā)現(xiàn)異常？7. 升級前后是否進行了充分測試？8. ATM機是否可配置？由誰配置？9. 反思Feb, 2008少一點反思，多一點

4、控制！Feb, 2008IT審計信息系統(tǒng)審計（Information System Audit），又稱IT審計，是指根據(jù)公認的標準和指導(dǎo)規(guī)范對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預(yù)定的業(yè)務(wù)目標得以實現(xiàn)。具體而言，信息系統(tǒng)審計以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。Feb, 2008社會經(jīng)濟對IT審計的需求由于企業(yè)內(nèi)部控制導(dǎo)致的案件愈發(fā)頻繁，針對企

5、業(yè)內(nèi)控進行定期審查和專項審查的呼聲越來越高現(xiàn)代企業(yè)的業(yè)務(wù)流程基本依賴于信息系統(tǒng)，因此對信息系統(tǒng)內(nèi)部控制的審計格外重要SOX法案頒布以來，對于任何一家在美上市的公司而言，符合SOX法案都是前所未有的巨大挑戰(zhàn)。但這同時對CIO來講，卻是“利好”，因為對已經(jīng)開始實施法案符合性階段的公司來講，IT在其內(nèi)部控制中所扮演的重要角色立即凸顯出來，而實施IT審計正是解決之道！Feb, 2008SOX404專案實施團隊的專業(yè)組成來源：Ernst & Young 調(diào)查報告Feb, 2008中國金融業(yè)監(jiān)管機構(gòu)對IT審計的要求2003年12月15日中國證監(jiān)會發(fā)布證券公司內(nèi)部控制指引。2004年9月30日中國銀監(jiān)會發(fā)布

6、商業(yè)銀行內(nèi)部控制評價辦法。2006年3月銀監(jiān)會發(fā)布電子銀行業(yè)務(wù)管理辦法和電子銀行安全評估指引 。上海證券交易所7月發(fā)布上海證券交易所上市公司內(nèi)部控制指引 。深圳證券交易所9月發(fā)布深圳證券交易所上市公司內(nèi)部控制指引 。2006年11月銀監(jiān)會發(fā)布銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 ,開展銀行業(yè)金融機構(gòu)2006年度信息科技風險內(nèi)部和外部評價審計工作。Feb, 2008課程特點從實務(wù)出發(fā)，不再對理論框架進行系統(tǒng)講解以案例為主，充分結(jié)合金融業(yè)特點開拓視野，展示IT治理、 COBIT等最新熱點兼顧CISA考試要求Feb, 2008課程內(nèi)容重要理論與概念I(lǐng)T審計概況及其在金融業(yè)的發(fā)展趨勢重大性、披露、一般控制與應(yīng)用控制等重要問題執(zhí)業(yè)資格、行業(yè)協(xié)會與CISA考試簡介IT審計技術(shù)實務(wù)常用審計技術(shù)一般控制審計分階段詳解網(wǎng)絡(luò)安全審計專題一般形式、技術(shù)與工具應(yīng)用控制審計案例詳解持續(xù)在線審計技術(shù)專題 基于COBIT的IT審計方法COBIT體系導(dǎo)讀管理指南與簽證（審計）指南的應(yīng)用特別內(nèi)容IT治理特別內(nèi)容ISO20000與ITIL簡介Feb, 2008學(xué)習(xí)資料CISA Review Manual 2007Information System Control and