全球信息系統(tǒng)審計指南（上下冊）

前言

本書中IIA所使用的“技術(shù)審計”，其實質(zhì)就是信息系統(tǒng)審計。20世紀(jì)60年代IBM出版《Audit Encounters Electronic Data Processing》一書，首次提出計算機審計概念，隨著計算機技術(shù)的不斷普及和發(fā)展，其審計的內(nèi)涵和外延也不斷拓展，進入21世紀(jì)，信息系統(tǒng)審計框架逐漸形成。原本，信息系統(tǒng)審計與組織內(nèi)部的管理審計是沿著技術(shù)和管理兩條路線并行發(fā)展的，但因計算機應(yīng)用技術(shù)逐步發(fā)展到信息技術(shù)和網(wǎng)絡(luò)技術(shù)，并從早期的輔助應(yīng)用演進為與企業(yè)的經(jīng)營活動相融合，于是，相對獨立的信息技術(shù)就從純技術(shù)層面走向與財務(wù)管理、會計核算、組織營運等活動相融合的技術(shù)經(jīng)濟綜合體。計算機技術(shù)的應(yīng)用與發(fā)展，改變了企業(yè)、機關(guān)等組織的作業(yè)環(huán)境和作業(yè)條件，使現(xiàn)代企業(yè)運營對于信息技術(shù)與網(wǎng)絡(luò)依賴與日俱增。在遵從SOX法案的過程中，尤其是在規(guī)范企業(yè)管理方面，信息系統(tǒng)起著極為重要的作用，因此，信息系統(tǒng)審計與內(nèi)部管理審計相融合成為歷史的必然。2005年，IT治理協(xié)會第三次修訂了“信息及相關(guān)技術(shù)控制目標(biāo)（Control Objectives for Information and Related Technology）”框架（簡稱COBIT4.0），它與COSO和SOX緊密結(jié)合，將IT治理和IT控制納入組織治理和組織內(nèi)部控制范疇，該框架的頒布，加速了信息系統(tǒng)審計與內(nèi)部管理審計的結(jié)合。

內(nèi)容概要

　　《全球信息系統(tǒng)審計指南（套裝上下冊）》中IIA所使用的“技術(shù)審計”，其實質(zhì)就是信息系統(tǒng)審計?！?0世紀(jì)60年代IBM出版《Audit Encounters Electronic Data Processing》一書，首次提出計算機審計概念，隨著計算機技術(shù)的不斷普及和發(fā)展，其審計的內(nèi)涵和外延也不斷拓展，進入21世紀(jì)，信息系統(tǒng)審計框架逐漸形成。

書籍目錄

譯序1 信息技術(shù)控制1.1 主席的信1.2 執(zhí)行摘要1.2.1 IT控制的介紹1.2.2 理解IT控制1.2.3 IT控制的重要性1.2.4 IT的角色和職責(zé)1.2.5 分析風(fēng)險1.2.6 監(jiān)督和技術(shù)1.2.7 IT控制評估1.3 介紹1.4 評估IT控制——概述1.5 理解IT控制1.5.1 控制分類1.5.2 治理管理技術(shù)1.5.3 IT控制——期望目標(biāo)1.5.4 信息安全1.5.5 IT控制框架1.6 IT‘控制的重要性1.7 組織中IT的角色1.7.1 董事會俚事機構(gòu)1.7.2 管理1.7.3 審計1.8 分析風(fēng)險1.8.1 風(fēng)險決定的反應(yīng)1.8.2 決定IT控制充分性的風(fēng)險因素1.8.3 風(fēng)險緩解策略1.8.4 考慮控制的特性1.8.5 基線IT控制1.9 監(jiān)控(Monitoring)與技術(shù)(Techniques)1.9.1 選擇一個控制框架1.9.2 監(jiān)督IT控制1.10 評估1.10.1 可以使用哪些審計方法1.10.2 測試IT控制和持續(xù)鑒證1.10.3 審計委員會／管理層／審計接口1.11 結(jié)論1.12 附錄A——信息安全計劃要素1.13 附錄B——法律和條例的遵守以及相關(guān)執(zhí)行情況的指導(dǎo)1.14 附錄C——內(nèi)部審計人員IT知識的三個類別1.15 附錄D——遵守框架1.16 用COSO評估IT控制1.16.1 內(nèi)部控制定義1.16.2 COSO內(nèi)部控制整體框架1.17 ITGI的信息和相關(guān)技術(shù)控制目標(biāo)CobiT1.18 審計委員會考慮到IT控制度量1.18.1 董事會／董事的度量1.18.2 管理層的度量1.19 CAE的檢查表1.20 參考文獻1.20.1 治理1.20.2 管理1.20.3 技術(shù)問題1.20.4 IT審計1.21 詞匯表1.22 關(guān)于全球技術(shù)審計指南GTAG計劃的合作方1.23 合作者和全球項目組1.23.1 IT控制咨詢理事會1.23.2 合作組織1.23.3 項目審評小組1.23.4 國際分支機構(gòu)1.23.5 其他國際組織1.23.6 國際先進技術(shù)委員會1.23.7 撰寫組1.23.8 總部員工產(chǎn)品組2 變更和補丁管理控制：組織成功的關(guān)鍵2.1 執(zhí)行摘要2.1.1 為什么控制變更和補丁管理中一定要有首席審計執(zhí)行官2.1.2 快速識別不良的變更管理2.1.3 理解怎樣有效管理IT變更2.1.4 降低IT變更風(fēng)險的五大步驟2.1.5 內(nèi)部審計人員的作用2.2 介紹2.2.1 為什么IT變更和補丁管理重要2.2.2 IT變更和補丁管理如何幫助控制IT風(fēng)險和成本2.2.3 什么可行和什么不可行2.2.4 如何確定IT變更和補丁管理是否正常發(fā)揮作用2.2.5 內(nèi)部審計人員應(yīng)該做什么2.2.6 C10和CAE之間的啟發(fā)性對話2.3 為什么應(yīng)該關(guān)注組織變更管理的方法2.3.1 變更產(chǎn)生風(fēng)險：為什么必須把補丁作為一種變更2.3.2 我們已經(jīng)有變更管理流程——差別在哪里2.3.3 穩(wěn)健的變更管理流程如何發(fā)揮作用2.4 定義IT變更管理2.4.1 什么是變更管理的范圍2.4.2 無效的變更管理看起來是怎樣的2.4.3 有效的變更管理看起來是怎樣的2.4.4 變更管理度量和指標(biāo)2.4.5 把補丁管理整合到變更管理中2.4.6 指南的原則：如何決定是否需要實施變更、何時變更、如何變更2.5 我應(yīng)該就變更和補丁管理提什么問題……3 連續(xù)審計：對保證、監(jiān)控和風(fēng)險評估的意義4 IT審計管理5 管理和審計隱私風(fēng)險6 IT薄弱點的管理與審計 7 信息技術(shù)外包8 應(yīng)用控制審計9 身份和訪問管理10 業(yè)務(wù)持續(xù)性管理11 制訂IT審計計劃12 IT審計項目

章節(jié)摘錄

插圖：緩解關(guān)鍵的薄弱點通常情況下，緩解關(guān)鍵薄弱點的最有效的途徑是讓IT安全職員運用現(xiàn)有的事件或故障測試系統(tǒng)。這個系統(tǒng)是標(biāo)準(zhǔn)IT操作程序的一部分，它能夠確保相關(guān)人員及時修復(fù)發(fā)現(xiàn)的薄弱點。創(chuàng)建一個減輕薄弱點的程序確定最關(guān)鍵的薄弱點能夠顯著消除風(fēng)險。這應(yīng)該是一個非?？焖俚膱?zhí)行過程，因為往往這樣的薄弱點不會太多。但當(dāng)你試圖一次修護成百上千的薄弱點時，很多不同的挑戰(zhàn)就會接踵而至。此時，最有效的方法就是去創(chuàng)建一個包含有一位項目經(jīng)理，一套交付過程和一個截止期限的IT項目來修復(fù)這些薄弱點。那么這個項目就必須獲得整合組織基礎(chǔ)設(shè)施管理流程的授權(quán)并安裝必要的補丁。因此，想要不斷重復(fù)并有效率地實施薄弱點管理，其最有效的途徑便是實施一套依據(jù)組織基礎(chǔ)設(shè)施管理流程而精心設(shè)計的薄弱點管理項目。依此類推，我們同樣可以考慮建立一個軟件應(yīng)用公司的開發(fā)團隊。通過建立應(yīng)用程序的生命周期來開發(fā)高質(zhì)量的軟件，并且開發(fā)團隊也意識到一項產(chǎn)品如果要不斷發(fā)展，那就必須不斷開發(fā)產(chǎn)品的新特征。他們采納這些特征，依據(jù)其商業(yè)價值和作用將其分級；隨后開發(fā)、測試，最后推出該產(chǎn)品。他們通過運用能讓股東們認(rèn)同他們的動機、角色和職責(zé)的保證過程來做到這一切。例如，一個開發(fā)團隊可能會要求來自IT職員的額外的基礎(chǔ)設(shè)施來支持某一項業(yè)務(wù)應(yīng)用。當(dāng)然，這樣的結(jié)果自然會影響到IT的成本、數(shù)據(jù)傳遞或配置，但是卻有利于達到組織的目標(biāo)和期望。成功執(zhí)行一個有效的薄弱點管理項目有賴于與IT管理團隊相類似的IT安全團隊的介入。項目的成功也取決于指定一套薄弱點管理過程并將它傳達給IT管理團隊，這就如同將另一項計劃的工作加到了原本的工作領(lǐng)域上。包括數(shù)據(jù)傳遞、職責(zé)和薄弱點的確認(rèn)在內(nèi)的這些項目細(xì)節(jié)都成為日益龐大的IT運作過程的組成部分。

編輯推薦

《全球信息系統(tǒng)審計指南(套裝上下冊)》：內(nèi)部審計前沿報告書系。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    全球信息系統(tǒng)審計指南（上下冊） PDF格式下載

---