Presentation is loading. Please wait.

Presentation is loading. Please wait.

حسابرسی فناوری اطلاعات

Published byErlin Cahyadi Modified over 6 years ago

Similar presentations

Presentation on theme: "حسابرسی فناوری اطلاعات"— Presentation transcript:

1 حسابرسی فناوری اطلاعات
IS & IT Audit دکتر علی عباس نژاد CISSP,CSSLP,CISM CEH,CCISO,CRISC,GSEC ISO Lead Auditor BS Lead Auditor

2 ارتباط حسابرسی سیستم های اطلاعاتی و فناوری اطلاعات با حاکمیت فناوری اطلاعات

3

4

5 Calder moir  A risk committee and audit committee should assist the board in carrying out its IT responsibilities

6 You CAN’T buy good IT Governance, An Organization must LIVE it!
خون همسو کردن

7 بررسی چند CASE در حوزه امنیت فناوری اطلاعات

8 1 زیرساخت‌های الکترونیکی و تجارت، در فرآیندهای کسب و کار در سراسر جهان یکپارچه شده است و نیاز به ممیزی و حسابرسی فناوری اطلاعات هرگز بیشتر از حال حاضر نبوده است.

9 آمار جرایم رایانه ای و اینترنتی در ایران
بر اساس گزارش پلیس فتا: سال 89/90 آمار جرائم رایانه ای 3.8 برابر شده است. بیشترین نوع جرائم: برداشت از حساب بانکی 48.5 درصد هتک حیثیت کلاهبرداری اینترنتی 89درصد مردان و 11 درصد زنان بیشترین توزیع سنی (64 درصد) 17 تا 25 سال

10

11 Banking DOS

12 زیرساخت‌های الکترونیکی و تجارت، در فرآیندهای کسب و کار در سراسر جهان یکپارچه شده است و نیاز به ممیزی و حسابرسی فناوری اطلاعات هرگز بیشتر از حال حاضر نبوده است.

13

14 فیشینگ گسترده بانکی در کشور
بانک‌های ملی، ملت، سپه، تجارت، پارسان، سامان، سینا epayment.bmi.ir epayment1.bmi.ir epayment2.bmi.ir epayment3.bmi.ir epayment4.bmi.ir epayment5.bmi.ir epayment6.bmi.ir pgw.bpm.bankmellat.ir pecco24.com mci.sb24.com              esinabank.com              ebanking.bankmellat.ir             ebanksepah.ir             ib.sb24.com             online.tejaratbank.net

15 وضعیت کنونی و نیاز به حسابرسی
ورود فراگیر اینترنت به سازمانها و ارائه سرویس های ملی بالا رفتن توقعات مشتریان تنوع خدمات فناوری اطلاعات عدم کفایت کنترل و حسابرسی جزیره ای یکپارچه شدن سیستم ها

16 حسابرسی فناوری اطلاعات چیست؟
حسابرسی + فناوری اطلاعات حسابرسی: فرآیندی منظم و با قاعده (سیستماتیک) جهت جمع‌آوری و ارزیابی بی طرفانه شواهد درباره ادعاهای مدیریت در ارتباط با فعالیت ها و وقایع با معیارهای از پیش تعیین شده و گزارش نتایج به افراد ذینفع زیرساخت‌های الکترونیکی و تجارت، در فرآیندهای کسب و کار در سراسر جهان یکپارچه شده است و نیاز به ممیزی و حسابرسی فناوری اطلاعات هرگز بیشتر از حال حاضر نبوده است. فناوری اطلاعات : استفاده از کامپیوتر برای به دست آوردن، ذخیره سازی، پردازش و توزیع اطلاعات

17 حسابرسی فناوری اطلاعات چیست؟
حسابرسی فناوری اطلاعات یا حسابرسی سیستم های اطلاعاتی ، آزمون کنترل های ساختار فناوری اطلاعات است. فرآیند سیستماتیک جمع آوری و ارزیابی بی طرفانه شواهد پستوانه یک یا چند ادعا از سیستمهای اطلاعاتی ، شیوه ها و عملیات سازمان است. نام های دیگر : پردازش خودکار داده ها : ADP Automated Data Processing پردازش الکترونیک داده ها : EDP Electronic Data Processing فرآیند سیستماتیک جمع آوری و ارزیابی بی طرفانه شواهد پشتوانه یک یا چند ادعا از سیستمهای اطلاعاتی ، شیوه ها و عملیات سازمان است.

18 اهمیت حسابرسی فناوری اطلاعات
امروزه ممیزی و حسابرسی فناوری اطلاعات تبدیل به یک مکانیسم حساس برای تضمین صحت سیستم‌های اطلاعاتی جهت جلوگیری و ممانعت از وقوع شکست‌های سنگین مالی در آینده شده است. زیرساخت‌های الکترونیکی و تجارت، در فرآیندهای کسب و کار در سراسر جهان یکپارچه شده است و نیاز به ممیزی و حسابرسی فناوری اطلاعات هرگز بیشتر از حال حاضر نبوده است.

19 دامنه حسابرسی فن آوری اطلاعات
توسعه و خرید این عملکرد فن آوری اطلاعات توسعه نرم افزارها در داخل مؤسسه و یا خرید نرم افزارها و تجهیزات فن آوری اطلاعات است.مدیریت پروژه مؤثر منوط به شناخت این وظیفه و کاهش خطرات مربوط به ایجاد تغییرات در سیستم های موجود است. مدیریت اجرایی و پشتیبانی این عملکرد فن آوری اطلاعات معطوف به اجرای عملیات روزانه مرکز داده با توجه عمیق به نگهداری از تجهیزات فیزیکی فن آوری اطلاعات است. تداوم کسب و کار و بازاریابی اطلاعات این وظیفه فن آوری مسئول تجزیه و تحلیل سناریوهای ایجاد صدمات احتمالی و برنامه های تداوم فعالیت در هنگام بروز حوادث غیر مترقبه میباشد.

20 دامنه حسابرسی فن آوری اطلاعات (ادامه)
مدیریت امنیت این عملکرد فن آوری اطلاعات، چگونگی اجرای کنترلهای کافی جهت حفاظت از اطلاعات را بیان میدارد. فن آوری برون سپاری این عملکرد فن آوری اطلاعات نحوه تعامل با اشخاصی که قسمتی از فعالیت های فن آوری اطلاعات در قالب برون سپاری به آنها محول میشود را بر عهده دارد.

21 دامنه حسابرسی فناوری اطلاعات
شبکه های ارتباطی سیستم های عامل سیستم های امنیتی نرم افزار های کاربردی خدمات شبکه جهانی پایگاه های داده زیر ساخت های مخابراتی طرح های تداوم کسب و کار

22 ایجاد و افزایش ارزش هدف اصلی حسابرسی فن آوری اطلاعات
توالی کار در یک حسابرسی استاندارد با شناسایی خطرها آغاز و سپس با ارزیابی ساختار کنترلها ادامه و با آزمون اثربخشی کنترلها پایان می یابد. حسابرسان بامهارت، می توانند در هر مرحله از حسابرسی موجب افزایش ارزش شوند.

23 حسابرسی فناوری اطلاعات چگونه به سازمانها کمک می کند؟

24 کاهش مخاطرات مزایای حسابرسی فناوری اطلاعات
برنامه ریزی و اجرای حسابرسی فناوری اطلاعات دربرگیرنده شناخت و براورد خطرها در سازمان است. حسابرسیهای فناوری اطلاعات به طور معمول خطرهای مرتبط با اعتمادپذیری، یکپارچگی و دسترس پذیری زیرساخت ها و فرایندهای فناوری اطلاعات را پوشش می دهد. خطرهای دیگر شامل اثربخشی، کارایی و اتکاپذیری فناوری اطلاعات است. نخستین بار که خطر براورد شود، می توان به چشم اندازی روشن از این دست یافت که برای کاهش یا تخفیف خطر از طریق به کارگیری کنترل، انتقال خطر از طریق بیمه، یا به طور ساده پذیرفتن خطر به عنوان بخشی از محیط عملیاتی، چه مسیری در نظر گرفته شود.

25 تقویت کنترل های امنیتی مزایای حسابرسی فناوری اطلاعات
پس از براورد خطرهای پیش گفته، سپس می توان کنترلها را مشخص و ارزیابی کرد و کنترلهایی که طراحی ضعیف یا غیرموثر دارند را می توان دوباره طراحی و / یا تقویت کرد

26 رعایت مقررات مزایای حسابرسی فناوری اطلاعات
مقررات گسترده در سطح دولت مرکزی و ایالتی، الزامات خاصی را برای امنیت اطلاعات در بر میگیرد. حسابرس فناوری وظیفه ای حیاتی دارد که اطمینان دهد الزامات خاص رعایت، خطرها براورد و کنترلها به کار گرفته شده است.

27 تسهیل ارتباط بین مدیریت کسب و کار و مدیریت فناوری
مزایای حسابرسی فناوری اطلاعات تسهیل ارتباط بین مدیریت کسب و کار و مدیریت فناوری حسابرسی می تواند در گشایش کانالهای ارتباطی میان مدیریت کسب وکار و مدیریت فناوری سازمان، تاثیر مثبت داشته باشد. حسابرسان از آنچه در واقعیت و در عمل روی می دهد، مصاحبه،مشاهده و آزمون به عمل می آورند. نتیجه نهایی حسابرسی، اطلاعاتی ارزشمند به شکل گزارشهای کتبی و شفاهی است. مدیریت ارشد می تواند درباره چگونگی کارکرد سازمان خود، بازخورد مستقیم دریافت کند

28 بهبود نظام فناوری اطلاعات
مزایای حسابرسی فناوری اطلاعات بهبود نظام فناوری اطلاعات ISACA: “مسئولیت نظام راهبری فناوری اطلاعات، بر عهده مدیران اجرایی و هیئت مدیره است و دربرگیرنده راهبر ی، ساختارها و فرایندهای سازمانی است تا اطمین ان دهد که فناوری اطلاعات سازمان، راهبردها و هدف های سازمان را حفظ کرده و گسترش می دهد.” موضوع محوری در حسابرسی فناوری اطلاعات و در کل، مدیریت فناوری اطلاعات، شناخت قوی ارزشها، خطرها و کنترلهای پیرامون محیط فناوری سازمان می باشد. به گونه ای دقیق تر، حسابرسان فناوری اطلاعات، ارزشها، خطرها و کنترلها در هر یک از اجزای اصلی فناوری مانند برنامه های کاربردی،اطلاعات، زیرساختها و اشخاص را بررسی میکنند.

29 تغییر نقش حسابرسان سیستم های اطلاعاتی
نقش جدید: پیشگیری شریک کسب و کار تمرکز بر کسب و کار تمرکز بر مشتری مدیر ریسک تیمی فناوری نقش سنتی: کشف پلیس تمرکز بر حسابرسی تمرکز بر هزینه حسابرس سلسله مراتبی قلم و کاغذ

30 وظایف بخش حسابرسی فناوری اطلاعات
بررسی رعایت قوانین و مقررات ، آیین نامه ها بررسی کنترل های امنیتی بررسی مراحل خرید، نصب و راه اندازی تجهیزات سخت افزاری و نرم افزاری بررسی کنترل های حفاظت از تجهیزات و داده های کامپیوتری بررسی امنیت سیستم های کامپیوتری بررسی قرار داد های واحد فناوری اطلاعات

31 وظایف بخش حسابرسی فن آوری اطلاعات ( ادامه )
وضعیت بیمه تجهیزات واحد فن آوری اطلاعات بررسی برنامه های تامین تجهیزات واحد فناوری اطلاعات بررسی برنامه های کنترل حوادث غیر مترقبه

32 مثلث حسابرسی فناوری اطلاعات
Guidelines راهنما ها Standards استانداردها Procedures فرآیندها

33 برنامه حسابرسی فناوری اطلاعات
ارزیابی اثربخشی برنامه ریزی های مدیریتی و نظارتی فعالیتهای فناوری اطلاعات ارزیابی اثربخشی فرآیندهای عملیاتی و کنترلهای داخلی سنجش کفایت تطابق اقدامات بعمل آمده و روشهای کنترل داخلی با سیاست های فناوری اطلاعات شناسایی نارسایی ها پیشنهاد اقدامات اصلاحی

34 وظیفه واحد حسابرسی فناوری اطلاعات
حسابرسی فناوری اطلاعات وظیفه دارد که به صورت خاص بر چگونگی مدیریت ریسکهای فناوری اطلاعات و مدیریت برنامه ریزی فناوری و کنترلهای لازم، نظارت داشته و عملکرد مدیریت اجرایی موسسه را ارزیابی نماید. بهترین روش انجام حسابرسی فناوری اطلاعات اجرای حسابرسی فناوری اطلاعات مبتنی بر ریسک است.

35 دیدگاه های اجرای حسابرسی فناوری اطلاعات
ایجاد واحد درون سازمانی مستقل حسابرسی فناوری اطلاعات برون سپاری حسابرسی فناوری اطلاعات در هر دو روش ، برای اجرای یک برنامه موفق حاکمیت فناوری اطلاعات ، نیاز به وجود دانش حسابرسی فناوری اطلاعات در هر سازمانی وجود دارد.

36 مراجع و مستندات ... توضیحات IT Audit

37 تجربه خوش آموزش

Download ppt "حسابرسی فناوری اطلاعات"

Similar presentations

Security Frameworks Robert M. Slade, MSc, CISSP

Security Frameworks Robert M. Slade, MSc, CISSP
The audit process: assuring the integrity of public spending David Watkins Chair, Accounting and Auditing Standards Panel ICPS Public Accounts Committees.

The audit process: assuring the integrity of public spending David Watkins Chair, Accounting and Auditing Standards Panel ICPS Public Accounts Committees.
Audit Committee and Corporate Governance. The European Confederation of Institutes of Internal Auditing (ECIIA) Founded in 1982 Confederation of 32 countries.

Audit Committee and Corporate Governance. The European Confederation of Institutes of Internal Auditing (ECIIA) Founded in 1982 Confederation of 32 countries.
Cash Management WV State Treasurer’s Office. Cash Management and Cash Handling Spending Unit –State Cash Collection Site Cash –Not just and Coins Currency.

Cash Management WV State Treasurer’s Office. Cash Management and Cash Handling Spending Unit –State Cash Collection Site Cash –Not just and Coins Currency.
Audit Committee in Albania Legal framework Law 9226 /2006 “On banks in Republic of Albania” Law 9901/2008 “On entrepreneurs and commercial companies” Corporate.

Audit Committee in Albania Legal framework Law 9226 /2006 “On banks in Republic of Albania” Law 9901/2008 “On entrepreneurs and commercial companies” Corporate.
INTERNAL CONTROL. INTERNAL CONTROL DEFINED  INTERNAL CONTROL IS A PROCESS - EFFECTED BY AN ENTITY'S BOARD OF DIRECTORS, MANAGEMENT, AND OTHER PERSONNEL.

INTERNAL CONTROL. INTERNAL CONTROL DEFINED  INTERNAL CONTROL IS A PROCESS - EFFECTED BY AN ENTITY'S BOARD OF DIRECTORS, MANAGEMENT, AND OTHER PERSONNEL.
IS Audit Function Knowledge

IS Audit Function Knowledge
INFORMATION SYSTEMS AUDIT & CONTROL OVERVIEW

INFORMATION SYSTEMS AUDIT & CONTROL OVERVIEW
Yaoundé, November 18 2014 Presented by: Mamata Teindrebeogo, Amadou Doudou Seck World Bank.

Yaoundé, November Presented by: Mamata Teindrebeogo, Amadou Doudou Seck World Bank.
The Role of Risk Management and Assurance in Effective Organizational Governance Urton Anderson The University of Texas at Austin.

The Role of Risk Management and Assurance in Effective Organizational Governance Urton Anderson The University of Texas at Austin.
New Jersey Automobile Insurance Risk Exchange. We are here to discuss and act on matters relating to the business of the New Jersey Automobile Insurance.

New Jersey Automobile Insurance Risk Exchange. We are here to discuss and act on matters relating to the business of the New Jersey Automobile Insurance.
COBIT®. COBIT - Control Objectives for Information and related Technology C OBI T was initially created by the Information Systems Audit & Control Foundation.

COBIT®. COBIT - Control Objectives for Information and related Technology C OBI T was initially created by the Information Systems Audit & Control Foundation.
© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.

© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.
1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, 12-13 October 2009 Introduction to IT audits PART II IT.

1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, October 2009 Introduction to IT audits PART II IT.
Evolving IT Framework Standards (Compliance and IT)

Evolving IT Framework Standards (Compliance and IT)
Annual Conference The Internal Auditor – value added to both the Audit Committee and Management 7 November 2012.

Annual Conference The Internal Auditor – value added to both the Audit Committee and Management 7 November 2012.
Practitioner Discussant Comments Malik Datardina CPA, CA, CISA.

Practitioner Discussant Comments Malik Datardina CPA, CA, CISA.
Chapter Three IT Risks and Controls.

Chapter Three IT Risks and Controls.
Audit Planning & Audit Evidence

Audit Planning & Audit Evidence
Continuous Controls Monitoring https://store.theartofservice.com/the-continuous-controls-monitoring-toolkit.html.

Continuous Controls Monitoring

Similar presentations

Ads by Google