IT审计：风险管控下的信息系统流程与组织

IT流程中的"应用处理-IT审计与组织"这一部分深入探讨了在现代企业环境中，如何通过系统的实施和审计来确保业务信息的安全、准确处理。由刘济平，一位拥有丰富经验的IT审计专家进行讲解，他具备多个专业资格，包括注册信息系统审计师（CISA）、注册内部审计师（CIA）等。 主要内容分为以下几个部分： 1. IT审计的组织与实施：介绍了内部审计的基本概念，包括其定义、分类，以及内部审计与业务审计（Operations Audit）和信息系统审计（IT Audit）之间的关系。这部分强调了审计工作在组织内部的重要性，特别是在自动化应用控制中的角色，如应用控制、账号管理、逻辑控制等。 2. 内部审计的分类和内容：详细解释了业务审计和IT审计的不同侧重点，前者关注日常运营效率，后者着重于信息系统相关的风险管理和控制。具体涵盖了自动应用控制，如电子数据表、数据库管理、程序员安全、变更管理和业务连续计划等。 3. 从风险管理和风险基础审计角度理解信息系统审计：阐述了审计的目标，即控制IT风险在可接受范围内，明确了风险的定义和对待风险的策略。风险被分为战略风险和操作风险，并列举了可能遇到的具体风险实例，如项目失败、信息安全问题等。 4. 评价体系：涵盖了对信息系统项目的评估、业务流程中IT控制的评价以及信息安全的评估。审计方法分为四个类别，即IT控制环境测试、物理控制测试、逻辑控制测试和IS操作控制测试，这些都围绕着风险管理进行。 5. 实施策略：最终目标是确保将IT相关风险控制在可控范围内，这需要综合运用上述的审计方法和评价框架，以保障企业的信息技术系统稳定、有效运作。 IT流程中的应用处理与IT审计紧密相连，通过实施有效的审计机制，可以提升组织的信息安全，减少风险，从而支持业务的高效运作。刘济平的专业背景和丰富的实践经验为理解和实施这些流程提供了宝贵的指导。