مبانی ممیزی فناوری اطلاعات

Slides:



Advertisements
Similar presentations
Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.
Advertisements

Launching into Learning.
ISACA Guidance and Practices Committee
North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential 14854_10_2008_c1 1 Holistic Approach to Information Security Greg Carter, Cisco Security.
Chapter 10 Accounting Information Systems and Internal Controls
Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.
ISACA Research Initiatives
By Collin Smith COBIT Introduction By Collin Smith
“Walking Through an Internal IT Audit” MSU IT Exchange Conference August 12, 2010.
Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.
1 Transforming Enterprise IT Speaker Name/Title Date.
Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA ( November 2010.
ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.
Chapter 2 Careers in Fraud Examination and Financial Forensics.
Certification and Training Presented by Sam Jeyandran.
COBIT®. COBIT - Control Objectives for Information and related Technology C OBI T was initially created by the Information Systems Audit & Control Foundation.
© ITGI, ISACA - not for commercial use. John R. Robles Guidance for Information.
© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.
1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, October 2009 Introduction to IT audits PART II IT.
ISACA For Student. Agenda- “Move yourself Forward” About ISACA –Professions served –Certifications available ISACA Student Membership –Student Benefits.
Alignment with ISACA Model Curriculum for Information Systems Major.
Cybersecurity nexus (CSX)
Professional Standards Committee and Frameworks for IT Audits
The Value of Experience 5/12/08 IT Auditing So easy, a caveman can do it… Lee Barken, CPA, CISSP, CISA, CCNA, MCP
Chapter Three IT Risks and Controls.
Corporate Presentation Protecting the ABCs of your business. TM TECHNOLOGICS & CONTROLS 11.
OVERVIEW OF INFORMATION SYSTEM (IS) AUDITING NORHAFIZAH BINTI ABDUL MUDALIP YAP YONG TECK TAN YUAN JUE TAY QIU JIE GROUP MEMBER:
1. IT AUDITS  IT audits: provide audit services where processes or data, or both, are embedded in technologies.  Subject to ethics, guidelines, and.
The ISO Standards Get Familiar or Stay Away? PrivaTech Consulting Presenter: Fazila Nurani, B.A.Sc., (E.Eng.), LL.B., CIPP/C.
Overview of COBIT5 and Impact on Local Content for IT By Mrs Tokunbo Martins Director Banking Supervision (Central Bank of Nigeria)
Information Systems Audit and Control Association ( ISACA ) – Certified Information Security Manager (CISM ) ITEC 6324 Instructor: Dr. E. Crowley Name:
COBIT®. COBIT® - Control Objectives for Information and related Technology. C OBI T was initially created by the Information Systems Audit & Control Foundation.
2/20/2016 Leveraging IT Governance and COBIT Chip Council, PhD, CGEIT, CISM, CISA Matt Schmidt, MS, CISSP, CISA Adjunct Professors, University of Minnesota.
BA 559: IT Governance Ben Tsao. What is COBIT?  Control Objectives for Information and Related Technology  Control framework for IT  A set of best.
“ I C T a d v i s o r y s e r v i c e s ” Transforming Enterprise IT Thomas Bbosa, CISSP BitWork Consult Ltd BitWork Consult Ltd.
ISACA: 2016 AND BEYOND MATT LOEB (CGEIT, CAE) ISACA CHIEF EXECUTIVE OFFICER.
COBIT 5 Update FEI/CFIT Meeting December 15, 2011
WELCOME TO. Emmanuel Ofori Boateng, cisa Cism, Cgeit, Deputy IT Head, Ecobank Ghana.
Module 6: Business Application Software Audit Chapter 1: Business Application Software Audit 1.
MS in IT Auditing, Cyber Security, and Risk Assessment
Dr. Yeffry Handoko Putra, M.T
IS4680 Security Auditing for Compliance
Introduction Outline: Importance IT Governance
COBIT® 5 for Assurance Introduction
ACCOUNTING INFORMATION SYSTEMS
Dr. Ir. Yeffry Handoko Putra
Governance & Control in ERP Systems
MASTER OF SCIENCE IN BUSINESS ADMINISTRATION - TOR VERGATA UNIVERSITY
Internal control objectives
Careers in IT.
How to Successfully Leverage Professional Associations
ACC 599 Education for Service/tutorialrank.com
ISACA Guidance and Practices Committee
Information governance and information security
Oracle Open World 2018 CAS5818 Streamline SOX compliance and segregation of duties using Oracle ERP cloud Didier Chabrerie.
COSO Internal Control s Framework
OAUG SOX Panel Scott Tang, Project Manager
ინფორმაციული უსაფრთხოება მიზნები, დაგეგმვა, დანერგვა
Privacy and EU GDPR Ayilur Ramnath
Governance, audit and digital preservation
IT Data destruction audit proposal
توانمند سازی ممیزی با رویکرد IT GRC در گروه شرکت‌های مپنا
יישום מודל ה – SOX הישראלי
COBIT® 5 for Assurance Introduction
حسابرسی فناوری اطلاعات
COBIT® 5 for Assurance Introduction
CS 490/CIS 790 Information System Security
ISACA Guidance and Practices Committee
COBIT® 5 for Assurance Introduction
Presentation transcript:

مبانی ممیزی فناوری اطلاعات الهه نجفی دبیر علمی همایش شرکت مهندسی پدیدپرداز

سنجش در فرآیند بهبود مستمر هدف P D ? A C

فهرست مطالب اهداف ممیزی فناوری اطلاعات مزایای ممیزی فناوری اطلاعات تاریخچه ممیزی اجزاء ممیزی فناوری اطلاعات چارچوب‏ها و به‏روش‏ها گواهینامه‏های بین‏المللی ممیزان

حوزه ممیزی فناوری اطلاعات اهداف راهبردی مخاطرات IT Audit آیین نامه سیستم‏های اطلاعاتی مقررات قوانین

مزایای ممیزی فناوری اطلاعات تضمین استقرار نظام ساختارمند ممیزی فناوری اطلاعات و تسهیل عملیاتی‌سازی چارچوب‏های مدیریت و حاکمیت فناوری اطلاعات تضمین تحقق اهداف فناوری اطلاعات (از طریق پایش مستمر و دریافت بازخوردها در زمان مناسب) تضمین پایداری کارایی و اثربخشی فناوری اطلاعات تضمین کنترل‏پذیری مخاطرات حوزه فناوری اطلاعات تضمین تطابق فرآیندهای فناوری اطلاعات با سیاست‏های داخلی، الزامات، آیین‏نامه‏ها و قوانین خارجی بهبود مستمر کیفیت خدمات و محصولات قابل ارایه

تاریخچه ممیزی اولین شوک به بازار بورس در سال 1929 در ایالات متحده آمریکا وارد شد، که ماحصل یک تقلب مالی جهانی بود. تصویب قانون SEC در 1933و مکلف کردن شرکت‏های تجاری عام به ممیزی توسط ممیزان قانون رفتار فاسد خارجی FCPA در سال 1979 مصوب شد، به دلیل افشای نقش مدیران در دادن رشوه و حق‌السکوت به سازمان‌های خارجی از محل منابع مالی سازمان رسوایی‏های مالی شرکت‏های بزرگ آمریکا تصویب قانون ساکس در 2002

تاریخچه (قانون ساکسSOX) هدف: اصلاح عمومی «حسابداری شرکت‏ها» و «قانون حفاظت از سرمایه گذار»، تصویب: 2002 مخاطبان: تمام شرکت‌های سهامی عام آمریکایی موسسات حسابداری عمومی موسسات عرضه کنندهٔ خدمات ممیزی کمپانی‌های غیر آمریکایی حاضر درآمریکا حوزه‏های مرتبط با ممیزی فناوری اطلاعات بخش 302 قانون ساکس، با عنوان «مسوولیت‌ شرکتی برای گزارش‌های مالی» بخش 404 از قانون ساکس، با عنوان «ارزشیابی مدیریتی از کنترل‌های داخلی» بخش ۴۰۹ – افشاگری‏های منتشرهٔ مطابق با گذشت زمان بخشهای ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاه‏برداری Jill Gilbert Welytok, Sarbanes-Oxley for Dummies, Wiley Publishing, Inc, 2006

اجزاء چارچوب ممیزی فناوری اطلاعات چارچوب مفهومی روابط سه طرفه فرآیند ممیزی موضوع ممیزی معیار مناسب اجرای ارزیابی نتیجه‏گیری تعیین محدوده ممیزی تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی انتشار اطلاعات ممیزی خبرگان تضمین (ممیزان) طرف پاسخگو کاربران مدیریت و راهبری انجام استاندارد موجودیت نوع کنترل ساختار سازمانی کمیته راهبری دبیرخانه کمیته تدوین شاخص ها کارگروه تخصصی

ساختار ممیزی فناوری اطلاعات ساختار سازمانی کمیته راهبری دبیرخانه کمیته تدوین شاخص ها کارگروه تخصصی ترکیب وظایف نحوه گزارش‏دهی

چارچوب مفهومی ممیزی فناوری اطلاعات عمومی استاندارد کارایی و اثربخشی گزارش‏دهی موجودیت (What, How, when) نوع کنترل (Preventive, Detective, Corrective)

تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی فرآیند ممیزی فرآیندهای ممیزی روابط سه طرفه فرآیند ممیزی موضوع ممیزی معیار مناسب اجرای ارزیابی نتیجه‏گیری تعیین محدوده ممیزی تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی انتشار اطلاعات ممیزی خبرگان تضمین (ممیزان) طرف پاسخگو کاربران مدیریت و راهبری انجام COBIT 5 for assurance, ISACA, 2013

تعیین ذی‏نفعان و سهم هر یک در فرآیند ممیزی تدوین اهداف ممیزی بر پایه تعیین محدوده تعیین ذی‏نفعان و سهم هر یک در فرآیند ممیزی تدوین اهداف ممیزی بر پایه اهداف راهبردی ارزیابی محیط داخل/خارج، مخاطرات تعیین توانمندسازهای مرتبط و محدوده مشارکت هر یک

تعیین محدوده :تعیین اهداف ممیزی پیشران‏های ذی‏نفعان نیاز محیط کسب وکار قوانین و مقررات نیازهای ذی‏نفعان فناوری اهداف BSC اهداف راهبردی اهداف سازمانی اهداف فناوری اطلاعات اهداف مرتبط با فناوری اطلاعات اهداف توانمندسازها

تعیین محدوده: توانمندسازها پیشران‏های ذی‏نفعان نیازهای ذی‏نفعان اهداف سازمانی اهداف مرتبط با فناوری اطلاعات اهداف توانمندسازها توانمندسازها

7 توانمندساز کوبیت 5 مدیریت روزانه ساختار سازمانی فرهنگ سازمانی فرآیند اهداف تصمیمات کلیدی رفتار مطلوب راهنمای عملی ناچیز شمردن عوامل کلیدی موفقیت خط مشی، اصول، چارچوب اشخاص و سازمان پخش شده در هر سازمان افراد/مهارت شایستگی محصول خدمت اطلاعات خروجی سازمان فعالیت‏های مدیریت و راهبری تولید و استفاده شده در هر سازمان اتخاذ تصمیمات برنامه کاربردی مدیریت روزانه نیروی انسانی راهبری مورد نیاز انجام موفقیت‏آمیز فعالیت‏ها زیرساخت اهداف مرتبط با فناوری اطلاعات مدیریت COBIT5 A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012 در سطح عملیات محصول کلیدی خدمات اجرای اقدامات اصلاحی

مرحله 2:تشخیص توانمندسازها، تعیین معیارهای سنجش مناسب و انجام ارزیابی مرحله 2:تشخیص توانمندسازها، تعیین معیارهای سنجش مناسب و انجام ارزیابی توافق بر روی سنجه‏ها و معیارهای اهداف سازمانی و اهداف مرتبط با فناوری اطلاعات، فرآیندها و ارزیابی آن‏ها تعیین محدوده خط مشی‏ها، اصول و چارچوب شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ها تعیین محدوده ساختارسازمانی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده فرهنگ، اخلاق و رفتار سازمانی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده خدمات زیرساخت و برنامه‏های کاربردی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده افراد، مهارت‏ها و شایستگی‏های شرکت کننده در فرآیند ممیزی و ارزیابی آن‏

مرحله 3:انتشار اطلاعات ممیزی مستندسازی استثنائات و شکاف‏ها انتشار یافته‏ها و کار انجام شده

چارچوب ITAF استانداردهای تضمین و ممیزی سیستم‏های اطلاعاتی استانداردهای عمومی طرح ممیزی استثنائات تصمیم‏گیری محدوده‏ها استانداردهای کارایی ارزیابی مخاطرات شواهد استفاده از نتایج کاری سایر خبرگان استانداردهای گزارش‏دهی گزارش‏دهی فعالیت‏های پیگیری ITAF™: A Professional Practices Framework for IS Audit/Assurance, 3rd Edition, ISACA, 2014

گواهینامه‏های مرتبط با ممیزان فناوری اطلاعات Certified Information Systems Auditor (CISA) Certified Information Security Manager (CISM) Certified in the Governance of Enterprise IT (CGEIT) Certified in Risk and Information Systems Control (CRISC)

CISA- Certified Information Systems Auditor- ISACA نیازمندی: داشتن حداقل 5 سال تجربه در زمینه ممیزی فناوری اطلاعات، تضمین و امنیت دامنه‏ها دامنه 1:فرآیند ممیزی فناوری اطلاعات (14%) دامنه 2: مدیریت و حاکمیت فناوری اطلاعات(14%) دامنه 3: دانش برون‏سپاری، توسعه و پیاده‏سازی محصولات و خدمات فناوری اطلاعات(19%) دامنه 4: دانش عملیاتی ساختن، نگهداری و پشتیبانی سیستم‏های اطلاعاتی(23%) دامنه 5: محافظت از دارایی‏های اطلاعاتی(30%)

CISA تعداد سوالات آزمون: 200 مدت زمان: 4 ساعت هزینه آزمون: 420 دلار برای اعضای ایساکا و 600 دلار برای افراد غیر عضو حداقل نمره قبولی: کسب 450 از 800

جمع‏بندی ممیزی فناوری اطلاعات وسیله‏ای است به منظور بهبود و ارتقا ممیزی فناوری اطلاعات،فرایندی مستمردر سازمان‏ها ممیزی تضمین کننده انجام مسوولیت‏ها و تعهدات طراحی شاخص‏ها شمشیر دولبه فرآیند ممیزی آغاز است نه پایان

چالش‏ها و دستاوردها در سازمان‏های بزرگ Governance, Risk Compliance مقالات سومین همایش بانک ملت مپنا چالش‏ها و دستاوردها در سازمان‏های بزرگ IT GRC Governance, Risk Compliance سازمان فاوا شهرداری توانیر شاپرک سازمان‏های حاکمیتی سازمان فاوا توسن ISO 20K

با تشکر پرسش و پاسخ

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.