全球信息系統(tǒng)審計(jì)指南（上下冊(cè)）

前言

本書中IIA所使用的“技術(shù)審計(jì)”，其實(shí)質(zhì)就是信息系統(tǒng)審計(jì)。20世紀(jì)60年代IBM出版《Audit Encounters Electronic Data Processing》一書，首次提出計(jì)算機(jī)審計(jì)概念，隨著計(jì)算機(jī)技術(shù)的不斷普及和發(fā)展，其審計(jì)的內(nèi)涵和外延也不斷拓展，進(jìn)入21世紀(jì)，信息系統(tǒng)審計(jì)框架逐漸形成。原本，信息系統(tǒng)審計(jì)與組織內(nèi)部的管理審計(jì)是沿著技術(shù)和管理兩條路線并行發(fā)展的，但因計(jì)算機(jī)應(yīng)用技術(shù)逐步發(fā)展到信息技術(shù)和網(wǎng)絡(luò)技術(shù)，并從早期的輔助應(yīng)用演進(jìn)為與企業(yè)的經(jīng)營活動(dòng)相融合，于是，相對(duì)獨(dú)立的信息技術(shù)就從純技術(shù)層面走向與財(cái)務(wù)管理、會(huì)計(jì)核算、組織營運(yùn)等活動(dòng)相融合的技術(shù)經(jīng)濟(jì)綜合體。計(jì)算機(jī)技術(shù)的應(yīng)用與發(fā)展，改變了企業(yè)、機(jī)關(guān)等組織的作業(yè)環(huán)境和作業(yè)條件，使現(xiàn)代企業(yè)運(yùn)營對(duì)于信息技術(shù)與網(wǎng)絡(luò)依賴與日俱增。在遵從SOX法案的過程中，尤其是在規(guī)范企業(yè)管理方面，信息系統(tǒng)起著極為重要的作用，因此，信息系統(tǒng)審計(jì)與內(nèi)部管理審計(jì)相融合成為歷史的必然。2005年，IT治理協(xié)會(huì)第三次修訂了“信息及相關(guān)技術(shù)控制目標(biāo)（Control Objectives for Information and Related Technology）”框架（簡稱COBIT4.0），它與COSO和SOX緊密結(jié)合，將IT治理和IT控制納入組織治理和組織內(nèi)部控制范疇，該框架的頒布，加速了信息系統(tǒng)審計(jì)與內(nèi)部管理審計(jì)的結(jié)合。

內(nèi)容概要

　　《全球信息系統(tǒng)審計(jì)指南（套裝上下冊(cè)）》中IIA所使用的“技術(shù)審計(jì)”，其實(shí)質(zhì)就是信息系統(tǒng)審計(jì)?！?0世紀(jì)60年代IBM出版《Audit Encounters Electronic Data Processing》一書，首次提出計(jì)算機(jī)審計(jì)概念，隨著計(jì)算機(jī)技術(shù)的不斷普及和發(fā)展，其審計(jì)的內(nèi)涵和外延也不斷拓展，進(jìn)入21世紀(jì)，信息系統(tǒng)審計(jì)框架逐漸形成。

書籍目錄

譯序1 信息技術(shù)控制1.1 主席的信1.2 執(zhí)行摘要1.2.1 IT控制的介紹1.2.2 理解IT控制1.2.3 IT控制的重要性1.2.4 IT的角色和職責(zé)1.2.5 分析風(fēng)險(xiǎn)1.2.6 監(jiān)督和技術(shù)1.2.7 IT控制評(píng)估1.3 介紹1.4 評(píng)估IT控制——概述1.5 理解IT控制1.5.1 控制分類1.5.2 治理管理技術(shù)1.5.3 IT控制——期望目標(biāo)1.5.4 信息安全1.5.5 IT控制框架1.6 IT‘控制的重要性1.7 組織中IT的角色1.7.1 董事會(huì)俚事機(jī)構(gòu)1.7.2 管理1.7.3 審計(jì)1.8 分析風(fēng)險(xiǎn)1.8.1 風(fēng)險(xiǎn)決定的反應(yīng)1.8.2 決定IT控制充分性的風(fēng)險(xiǎn)因素1.8.3 風(fēng)險(xiǎn)緩解策略1.8.4 考慮控制的特性1.8.5 基線IT控制1.9 監(jiān)控(Monitoring)與技術(shù)(Techniques)1.9.1 選擇一個(gè)控制框架1.9.2 監(jiān)督IT控制1.10 評(píng)估1.10.1 可以使用哪些審計(jì)方法1.10.2 測試IT控制和持續(xù)鑒證1.10.3 審計(jì)委員會(huì)／管理層／審計(jì)接口1.11 結(jié)論1.12 附錄A——信息安全計(jì)劃要素1.13 附錄B——法律和條例的遵守以及相關(guān)執(zhí)行情況的指導(dǎo)1.14 附錄C——內(nèi)部審計(jì)人員IT知識(shí)的三個(gè)類別1.15 附錄D——遵守框架1.16 用COSO評(píng)估IT控制1.16.1 內(nèi)部控制定義1.16.2 COSO內(nèi)部控制整體框架1.17 ITGI的信息和相關(guān)技術(shù)控制目標(biāo)CobiT1.18 審計(jì)委員會(huì)考慮到IT控制度量1.18.1 董事會(huì)／董事的度量1.18.2 管理層的度量1.19 CAE的檢查表1.20 參考文獻(xiàn)1.20.1 治理1.20.2 管理1.20.3 技術(shù)問題1.20.4 IT審計(jì)1.21 詞匯表1.22 關(guān)于全球技術(shù)審計(jì)指南GTAG計(jì)劃的合作方1.23 合作者和全球項(xiàng)目組1.23.1 IT控制咨詢理事會(huì)1.23.2 合作組織1.23.3 項(xiàng)目審評(píng)小組1.23.4 國際分支機(jī)構(gòu)1.23.5 其他國際組織1.23.6 國際先進(jìn)技術(shù)委員會(huì)1.23.7 撰寫組1.23.8 總部員工產(chǎn)品組2 變更和補(bǔ)丁管理控制：組織成功的關(guān)鍵2.1 執(zhí)行摘要2.1.1 為什么控制變更和補(bǔ)丁管理中一定要有首席審計(jì)執(zhí)行官2.1.2 快速識(shí)別不良的變更管理2.1.3 理解怎樣有效管理IT變更2.1.4 降低IT變更風(fēng)險(xiǎn)的五大步驟2.1.5 內(nèi)部審計(jì)人員的作用2.2 介紹2.2.1 為什么IT變更和補(bǔ)丁管理重要2.2.2 IT變更和補(bǔ)丁管理如何幫助控制IT風(fēng)險(xiǎn)和成本2.2.3 什么可行和什么不可行2.2.4 如何確定IT變更和補(bǔ)丁管理是否正常發(fā)揮作用2.2.5 內(nèi)部審計(jì)人員應(yīng)該做什么2.2.6 C10和CAE之間的啟發(fā)性對(duì)話2.3 為什么應(yīng)該關(guān)注組織變更管理的方法2.3.1 變更產(chǎn)生風(fēng)險(xiǎn)：為什么必須把補(bǔ)丁作為一種變更2.3.2 我們已經(jīng)有變更管理流程——差別在哪里2.3.3 穩(wěn)健的變更管理流程如何發(fā)揮作用2.4 定義IT變更管理2.4.1 什么是變更管理的范圍2.4.2 無效的變更管理看起來是怎樣的2.4.3 有效的變更管理看起來是怎樣的2.4.4 變更管理度量和指標(biāo)2.4.5 把補(bǔ)丁管理整合到變更管理中2.4.6 指南的原則：如何決定是否需要實(shí)施變更、何時(shí)變更、如何變更2.5 我應(yīng)該就變更和補(bǔ)丁管理提什么問題……3 連續(xù)審計(jì)：對(duì)保證、監(jiān)控和風(fēng)險(xiǎn)評(píng)估的意義4 IT審計(jì)管理5 管理和審計(jì)隱私風(fēng)險(xiǎn)6 IT薄弱點(diǎn)的管理與審計(jì) 7 信息技術(shù)外包8 應(yīng)用控制審計(jì)9 身份和訪問管理10 業(yè)務(wù)持續(xù)性管理11 制訂IT審計(jì)計(jì)劃12 IT審計(jì)項(xiàng)目

章節(jié)摘錄

插圖：緩解關(guān)鍵的薄弱點(diǎn)通常情況下，緩解關(guān)鍵薄弱點(diǎn)的最有效的途徑是讓IT安全職員運(yùn)用現(xiàn)有的事件或故障測試系統(tǒng)。這個(gè)系統(tǒng)是標(biāo)準(zhǔn)IT操作程序的一部分，它能夠確保相關(guān)人員及時(shí)修復(fù)發(fā)現(xiàn)的薄弱點(diǎn)。創(chuàng)建一個(gè)減輕薄弱點(diǎn)的程序確定最關(guān)鍵的薄弱點(diǎn)能夠顯著消除風(fēng)險(xiǎn)。這應(yīng)該是一個(gè)非?？焖俚膱?zhí)行過程，因?yàn)橥@樣的薄弱點(diǎn)不會(huì)太多。但當(dāng)你試圖一次修護(hù)成百上千的薄弱點(diǎn)時(shí)，很多不同的挑戰(zhàn)就會(huì)接踵而至。此時(shí)，最有效的方法就是去創(chuàng)建一個(gè)包含有一位項(xiàng)目經(jīng)理，一套交付過程和一個(gè)截止期限的IT項(xiàng)目來修復(fù)這些薄弱點(diǎn)。那么這個(gè)項(xiàng)目就必須獲得整合組織基礎(chǔ)設(shè)施管理流程的授權(quán)并安裝必要的補(bǔ)丁。因此，想要不斷重復(fù)并有效率地實(shí)施薄弱點(diǎn)管理，其最有效的途徑便是實(shí)施一套依據(jù)組織基礎(chǔ)設(shè)施管理流程而精心設(shè)計(jì)的薄弱點(diǎn)管理項(xiàng)目。依此類推，我們同樣可以考慮建立一個(gè)軟件應(yīng)用公司的開發(fā)團(tuán)隊(duì)。通過建立應(yīng)用程序的生命周期來開發(fā)高質(zhì)量的軟件，并且開發(fā)團(tuán)隊(duì)也意識(shí)到一項(xiàng)產(chǎn)品如果要不斷發(fā)展，那就必須不斷開發(fā)產(chǎn)品的新特征。他們采納這些特征，依據(jù)其商業(yè)價(jià)值和作用將其分級(jí)；隨后開發(fā)、測試，最后推出該產(chǎn)品。他們通過運(yùn)用能讓股東們認(rèn)同他們的動(dòng)機(jī)、角色和職責(zé)的保證過程來做到這一切。例如，一個(gè)開發(fā)團(tuán)隊(duì)可能會(huì)要求來自IT職員的額外的基礎(chǔ)設(shè)施來支持某一項(xiàng)業(yè)務(wù)應(yīng)用。當(dāng)然，這樣的結(jié)果自然會(huì)影響到IT的成本、數(shù)據(jù)傳遞或配置，但是卻有利于達(dá)到組織的目標(biāo)和期望。成功執(zhí)行一個(gè)有效的薄弱點(diǎn)管理項(xiàng)目有賴于與IT管理團(tuán)隊(duì)相類似的IT安全團(tuán)隊(duì)的介入。項(xiàng)目的成功也取決于指定一套薄弱點(diǎn)管理過程并將它傳達(dá)給IT管理團(tuán)隊(duì)，這就如同將另一項(xiàng)計(jì)劃的工作加到了原本的工作領(lǐng)域上。包括數(shù)據(jù)傳遞、職責(zé)和薄弱點(diǎn)的確認(rèn)在內(nèi)的這些項(xiàng)目細(xì)節(jié)都成為日益龐大的IT運(yùn)作過程的組成部分。

編輯推薦

《全球信息系統(tǒng)審計(jì)指南(套裝上下冊(cè))》：內(nèi)部審計(jì)前沿報(bào)告書系。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    全球信息系統(tǒng)審計(jì)指南（上下冊(cè)） PDF格式下載

---