信息技术保证框架(ITAF,Information Technology Assurance Framework)
- 审计准则:强制性要求
一般准则:基本的审计指导原理
执行准则:涉及任务的执行和管理
报告准则:落实报告类型、沟通方式和沟通信息 - 审计指南:侧重于审计方法、理论
工具和技术(也叫程序):提供各种方法、工具和模板
三者关系:IS审计师必须遵守审计准则,审计指南帮助应用审计准则,审计工具和技术提供了具体的流程和步骤范例。
风险评估概念、工具及技术
风险的定义:“风险是特定的威胁利用资产的脆弱性从而对组织造成损害的可能性。”(ISO/IECPDTR13335-1)
风险评估的过程:
- 识别业务目标(BO,Business Object)
- 识别信息资产(IA,Information Asset)
- 进行风险评估(RA,,Risk Assessment):威胁->脆弱性->可能性->影响
- 进行风险减缓(RM,Risk Mitigation):落实相关控制
- 进行风险处置(RT,Risk Treatment)
基于风险的审计:
(1)搜集信息和计划
(2)理解内部控制
(3)执行符合性测试
(4)执行实质性测试
(5)完成审计和报告
审计风险:审计过程中未发现信息可能存在的重大错误的风险
- 固有风险(Inherent Risk)
- 控制风险(Control Risk)
- 检查风险(Detection Risk)
- 整体审计风险(Overall Audit Risk)
审计重大性(Materiality):在问题程度上可被组织视为严重的错误
风险的处置(应首先确定风险的可接受标准)
- 降低风险(Mitigate)
- 接受风险(Accept)
- 避免风险(Avoid)
- 转移风险(Transfer)
风险评估技术:
- 评分机制
- 主观判断
- 二者结合