信息系统风险管理审计一致性审计—第3205号内部审计实务指南第二章第5节

2021-01-24

内部审计 IT审计 3205号文

一、业务概述

信息系统风险是指潜在影响业务的信息系统相关事件构成,包括不确定的频率以及重要性、符合业务目的和目标的挑战以及追求机会的不确定性。信息系统风险管理是组织在实现目标过程中,将不确定产生的与信息系统有关的影响,控制在可接受范围内的过程。

二、审计目标和内容

审计目标:

根据组织战略目标、风险管理策略及相应的固有风险,评价组织如何实施信息系统风险管理,将与信息系统有关的风险因素控制在实现组织目标可接受的范围内。

审计内容:

包括但不限于:系统风险的制度和流程符合性、有效性;风险管理的全面性、合理性、适用性;风险管理职责及人员分工的合理性;风险管理的监控、评估及应对等。

三、常见问题和风险

1、信息系统风……



未完待续,登录后可查看全部内容。