IS审计和保障标准、指南、工具、职业道德规范

信息技术保证框架(ITAF,Information Technology Assurance Framework)

  • 审计准则:强制性要求
    一般准则:基本的审计指导原理
    执行准则:涉及任务的执行和管理
    报告准则:落实报告类型、沟通方式和沟通信息
  • 审计指南:侧重于审计方法、理论
    工具和技术(也叫程序):提供各种方法、工具和模板

三者关系:IS审计师必须遵守审计准则,审计指南帮助应用审计准则,审计工具和技术提供了具体的流程和步骤范例。

风险评估概念、工具及技术
风险的定义:“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。”(ISO/IECPDTR13335-1)

风险评估的过程:

  1. 识别业务目标(BO,Business Object)
  2. 识别信息资产(IA,Information Asset)
  3. 进行风险评估(RA,,Risk Assessment):威胁->脆弱性->可能性->影响
  4. 进行风险减缓(RM,Risk Mitigation):落实相关控制
  5. 进行风险处置(RT,Risk Treatment)

基于风险的审计:
(1)搜集信息和计划
(2)理解内部控制
(3)执行符合性测试
(4)执行实质性测试
(5)完成审计和报告

审计风险:审计过程中未发现信息可能存在的重大错误的风险

  • 固有风险(Inherent Risk)
  • 控制风险(Control Risk)
  • 检查风险(Detection Risk)
  • 整体审计风险(Overall Audit Risk)

审计重大性(Materiality):在问题程度上可被组织视为严重的错误

风险的处置(应首先确定风险的可接受标准)

  • 降低风险(Mitigate)
  • 接受风险(Accept)
  • 避免风险(Avoid)
  • 转移风险(Transfer)

风险评估技术:

  • 评分机制
  • 主观判断
  • 二者结合

你可能感兴趣的:(IS审计和保障标准、指南、工具、职业道德规范)