信息系统风险管理审计一致性审计—第3205号内部审计实务指南第二章第5节
2021-01-24
一、业务概述
信息系统风险是指潜在影响业务的信息系统相关事件构成,包括不确定的频率以及重要性、符合业务目的和目标的挑战以及追求机会的不确定性。信息系统风险管理是组织在实现目标过程中,将不确定产生的与信息系统有关的影响,控制在可接受范围内的过程。
二、审计目标和内容
审计目标:
根据组织战略目标、风险管理策略及相应的固有风险,评价组织如何实施信息系统风险管理,将与信息系统有关的风险因素控制在实现组织目标可接受的范围内。
审计内容:
包括但不限于:系统风险的制度和流程符合性、有效性;风险管理的全面性、合理性、适用性;风险管理职责及人员分工的合理性;风险管理的监控、评估及应对等。
三、常见问题和风险
1、信息系统风……
