请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

搜索
查看: 4442|回复: 4

[IT审计(Cisa)] IT审计在现代企业中的应用

  [复制链接]
发表于 2012-11-22 10:00:01 | 显示全部楼层 |阅读模式

作者:惠普IT管理学院高级顾问,资深审计专家 宋琳


一、审计的定义

系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行

  • 审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
  • 每个人不能审核自己所从事的工作(独立的)
  • 审核一定要查验到文件及记录(文件化的)
  • 审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。

二、IT审计的应用

企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:

国际视角

  • SOX与COSO –塞班斯法案与COSO企业内部控制框架
  • COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
  • 其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等

国内标准

  • 财政部等五部委发布的《内部控制指引》/CSOX等

三、各类审核标准之间的关系及范围

  • ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
  • ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
  • Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
  • COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。



来自: 惠普IT管理学院 博客







上一篇:基于审计案例的经验分享
下一篇:从BBC丑闻看审计的诚信原则
发表于 2014-4-22 09:26:16 | 显示全部楼层
回个帖子,下班咯~
发表于 2014-4-22 09:26:39 | 显示全部楼层
我擦!我要沙发!
finnfong 该用户已被删除
发表于 2014-4-22 17:46:38 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-6-25 14:14:26 | 显示全部楼层
•SOX与COSO –塞班斯法案

本版积分规则

参加 ITIL 4 基础和中级专家认证、v3专家升级、DevOps专家认证、ITSS服务经理认证报名

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1 )|网站地图

Baidu

GMT+8, 2020-8-14 00:48 , Processed in 0.153972 second(s), 29 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表