请选择 进入手机版 | 继续访问电脑版

IT运维管理,ITIL,ITSS,ITSM,ISO20000-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

艾拓先锋
搜索
查看: 2842|回复: 4

[IT审计(Cisa)] IT审计在现代企业中的应用

  [复制链接]
来自- 广东广州

参加活动:98

组织活动:251

发表于 2012-11-22 10:00:01 | 显示全部楼层 |阅读模式 来自- 广东广州

作者:惠普IT管理学院高级顾问,资深审计专家 宋琳


一、审计的定义

系统的、独立的和文件化的获取证据,并进行客观的评估,判断审核标准的范围得到履行

  • 审核内容要覆盖人员/程序/过程的执行力/设备/环境等所有影响因素(系统的)
  • 每个人不能审核自己所从事的工作(独立的)
  • 审核一定要查验到文件及记录(文件化的)
  • 审核是基于抽样,尽量是有代表性的样本。 一般抽3-5个样,如人员转岗时的权限变更,从HR的清单上找近期转岗的人员,选3-5个岗位较重要或职位较重要的人员,看其转岗前后的权限是否按要求变更。

二、IT审计的应用

企业(尤其是上市公司)每年要迎接各种各样的审核,如客户审核、认证审核、上市公司的内控及财务审计、集团的审计等, IT作为承载最大信息的载体以及保证公司运作的最重要的平台,每次都是审核的重点。现在IT审计大多缘于以下目的:

国际视角

  • SOX与COSO –塞班斯法案与COSO企业内部控制框架
  • COBIT,ISO 系列标准,如:ISO 27001, ISO 20000和其他IT相关标准
  • 其他来源的相关指导文件,如:IIA, 美国审计署(GAO)…等

国内标准

  • 财政部等五部委发布的《内部控制指引》/CSOX等

三、各类审核标准之间的关系及范围

  • ISO20000/ITIL: 适用范围是IT运维部门. 运营级别的管理模式。
  • ISO27001:适用范围是IT开发、运维、外来人员及除IT外其它等所有涉及或影响重要信息的部门。运营级别的管理模式。
  • Cobit: IT治理, IT战略及运营级别的管理,包涵了ISO27001及ISO20000的范围。战略级别的管理模式。
  • COSO/SOX: 公司治理/内控,公司战略及运营级别的管理,IT是其中的重要平台。战略级别的管理模式。



来自: 惠普IT管理学院 博客



来自

参加活动:0

组织活动:0

发表于 2014-4-22 09:26:16 | 显示全部楼层 来自
回个帖子,下班咯~
来自

参加活动:0

组织活动:0

发表于 2014-4-22 09:26:39 | 显示全部楼层 来自
我擦!我要沙发!
finnfong 该用户已被删除
发表于 2014-4-22 17:46:38 | 显示全部楼层 来自- 北京
提示: 作者被禁止或删除 内容自动屏蔽
来自- 江苏南京

参加活动:0

组织活动:0

发表于 2014-6-25 14:14:26 | 显示全部楼层 来自- 江苏南京
•SOX与COSO –塞班斯法案

本版积分规则

选择云运维时代的王牌讲师-长河老师,助你轻松入门ITIL Foundation培训课程

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1|网站地图

Baidu

GMT+8, 2018-11-13 23:52 , Processed in 0.208668 second(s), 42 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表