Presentation is loading. Please wait.

Presentation is loading. Please wait.

مبانی ممیزی فناوری اطلاعات

Published byWidya Darmali Modified over 5 years ago

Similar presentations

Presentation on theme: "مبانی ممیزی فناوری اطلاعات"— Presentation transcript:

1 مبانی ممیزی فناوری اطلاعات
الهه نجفی دبیر علمی همایش شرکت مهندسی پدیدپرداز

2 سنجش در فرآیند بهبود مستمر
هدف P D ? A C

3 فهرست مطالب اهداف ممیزی فناوری اطلاعات مزایای ممیزی فناوری اطلاعات تاریخچه ممیزی اجزاء ممیزی فناوری اطلاعات چارچوب‏ها و به‏روش‏ها گواهینامه‏های بین‏المللی ممیزان

4 حوزه ممیزی فناوری اطلاعات
اهداف راهبردی مخاطرات IT Audit آیین نامه سیستم‏های اطلاعاتی مقررات قوانین

5 مزایای ممیزی فناوری اطلاعات
تضمین استقرار نظام ساختارمند ممیزی فناوری اطلاعات و تسهیل عملیاتی‌سازی چارچوب‏های مدیریت و حاکمیت فناوری اطلاعات تضمین تحقق اهداف فناوری اطلاعات (از طریق پایش مستمر و دریافت بازخوردها در زمان مناسب) تضمین پایداری کارایی و اثربخشی فناوری اطلاعات تضمین کنترل‏پذیری مخاطرات حوزه فناوری اطلاعات تضمین تطابق فرآیندهای فناوری اطلاعات با سیاست‏های داخلی، الزامات، آیین‏نامه‏ها و قوانین خارجی بهبود مستمر کیفیت خدمات و محصولات قابل ارایه

6 تاریخچه ممیزی اولین شوک به بازار بورس در سال 1929 در ایالات متحده آمریکا وارد شد، که ماحصل یک تقلب مالی جهانی بود. تصویب قانون SEC در 1933و مکلف کردن شرکت‏های تجاری عام به ممیزی توسط ممیزان قانون رفتار فاسد خارجی FCPA در سال 1979 مصوب شد، به دلیل افشای نقش مدیران در دادن رشوه و حق‌السکوت به سازمان‌های خارجی از محل منابع مالی سازمان رسوایی‏های مالی شرکت‏های بزرگ آمریکا تصویب قانون ساکس در 2002

7 تاریخچه (قانون ساکسSOX)
هدف: اصلاح عمومی «حسابداری شرکت‏ها» و «قانون حفاظت از سرمایه گذار»، تصویب: 2002 مخاطبان: تمام شرکت‌های سهامی عام آمریکایی موسسات حسابداری عمومی موسسات عرضه کنندهٔ خدمات ممیزی کمپانی‌های غیر آمریکایی حاضر درآمریکا حوزه‏های مرتبط با ممیزی فناوری اطلاعات بخش 302 قانون ساکس، با عنوان «مسوولیت‌ شرکتی برای گزارش‌های مالی» بخش 404 از قانون ساکس، با عنوان «ارزشیابی مدیریتی از کنترل‌های داخلی» بخش ۴۰۹ – افشاگری‏های منتشرهٔ مطابق با گذشت زمان بخشهای ۸۰۲ و ۱۱۰۲ - شرکت سهامی و جوابگویی جزایی در کلاه‏برداری Jill Gilbert Welytok, Sarbanes-Oxley for Dummies, Wiley Publishing, Inc, 2006

8 اجزاء چارچوب ممیزی فناوری اطلاعات
چارچوب مفهومی روابط سه طرفه فرآیند ممیزی موضوع ممیزی معیار مناسب اجرای ارزیابی نتیجه‏گیری تعیین محدوده ممیزی تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی انتشار اطلاعات ممیزی خبرگان تضمین (ممیزان) طرف پاسخگو کاربران مدیریت و راهبری انجام استاندارد موجودیت نوع کنترل ساختار سازمانی کمیته راهبری دبیرخانه کمیته تدوین شاخص ها کارگروه تخصصی

9 ساختار ممیزی فناوری اطلاعات
ساختار سازمانی کمیته راهبری دبیرخانه کمیته تدوین شاخص ها کارگروه تخصصی ترکیب وظایف نحوه گزارش‏دهی

10 چارچوب مفهومی ممیزی فناوری اطلاعات
عمومی استاندارد کارایی و اثربخشی گزارش‏دهی موجودیت (What, How, when) نوع کنترل (Preventive, Detective, Corrective)

11 تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی
فرآیند ممیزی فرآیندهای ممیزی روابط سه طرفه فرآیند ممیزی موضوع ممیزی معیار مناسب اجرای ارزیابی نتیجه‏گیری تعیین محدوده ممیزی تشخیص توانمندسازها، تعیین معیارهای ارزیابی مناسب، انجام ارزیابی انتشار اطلاعات ممیزی خبرگان تضمین (ممیزان) طرف پاسخگو کاربران مدیریت و راهبری انجام COBIT 5 for assurance, ISACA, 2013

12 تعیین ذی‏نفعان و سهم هر یک در فرآیند ممیزی تدوین اهداف ممیزی بر پایه
تعیین محدوده تعیین ذی‏نفعان و سهم هر یک در فرآیند ممیزی تدوین اهداف ممیزی بر پایه اهداف راهبردی ارزیابی محیط داخل/خارج، مخاطرات تعیین توانمندسازهای مرتبط و محدوده مشارکت هر یک

13 تعیین محدوده :تعیین اهداف ممیزی
پیشران‏های ذی‏نفعان نیاز محیط کسب وکار قوانین و مقررات نیازهای ذی‏نفعان فناوری اهداف BSC اهداف راهبردی اهداف سازمانی اهداف فناوری اطلاعات اهداف مرتبط با فناوری اطلاعات اهداف توانمندسازها

14 تعیین محدوده: توانمندسازها
پیشران‏های ذی‏نفعان نیازهای ذی‏نفعان اهداف سازمانی اهداف مرتبط با فناوری اطلاعات اهداف توانمندسازها توانمندسازها

15 7 توانمندساز کوبیت 5 مدیریت روزانه ساختار سازمانی فرهنگ سازمانی فرآیند
اهداف تصمیمات کلیدی رفتار مطلوب راهنمای عملی ناچیز شمردن عوامل کلیدی موفقیت خط مشی، اصول، چارچوب اشخاص و سازمان پخش شده در هر سازمان افراد/مهارت شایستگی محصول خدمت اطلاعات خروجی سازمان فعالیت‏های مدیریت و راهبری تولید و استفاده شده در هر سازمان اتخاذ تصمیمات برنامه کاربردی مدیریت روزانه نیروی انسانی راهبری مورد نیاز انجام موفقیت‏آمیز فعالیت‏ها زیرساخت اهداف مرتبط با فناوری اطلاعات مدیریت COBIT5 A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012 در سطح عملیات محصول کلیدی خدمات اجرای اقدامات اصلاحی

16 مرحله 2:تشخیص توانمندسازها، تعیین معیارهای سنجش مناسب و انجام ارزیابی
مرحله 2:تشخیص توانمندسازها، تعیین معیارهای سنجش مناسب و انجام ارزیابی توافق بر روی سنجه‏ها و معیارهای اهداف سازمانی و اهداف مرتبط با فناوری اطلاعات، فرآیندها و ارزیابی آن‏ها تعیین محدوده خط مشی‏ها، اصول و چارچوب شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ها تعیین محدوده ساختارسازمانی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده فرهنگ، اخلاق و رفتار سازمانی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده خدمات زیرساخت و برنامه‏های کاربردی شرکت کننده در فرآیند ممیزی و ارزیابی آن‏ تعیین محدوده افراد، مهارت‏ها و شایستگی‏های شرکت کننده در فرآیند ممیزی و ارزیابی آن‏

17 مرحله 3:انتشار اطلاعات ممیزی
مستندسازی استثنائات و شکاف‏ها انتشار یافته‏ها و کار انجام شده

18 چارچوب ITAF استانداردهای تضمین و ممیزی سیستم‏های اطلاعاتی
استانداردهای عمومی طرح ممیزی استثنائات تصمیم‏گیری محدوده‏ها استانداردهای کارایی ارزیابی مخاطرات شواهد استفاده از نتایج کاری سایر خبرگان استانداردهای گزارش‏دهی گزارش‏دهی فعالیت‏های پیگیری ITAF™: A Professional Practices Framework for IS Audit/Assurance, 3rd Edition, ISACA, 2014

19 گواهینامه‏های مرتبط با ممیزان فناوری اطلاعات
Certified Information Systems Auditor (CISA) Certified Information Security Manager (CISM) Certified in the Governance of Enterprise IT (CGEIT) Certified in Risk and Information Systems Control (CRISC)

20 CISA- Certified Information Systems Auditor- ISACA
نیازمندی: داشتن حداقل 5 سال تجربه در زمینه ممیزی فناوری اطلاعات، تضمین و امنیت دامنه‏ها دامنه 1:فرآیند ممیزی فناوری اطلاعات (14%) دامنه 2: مدیریت و حاکمیت فناوری اطلاعات(14%) دامنه 3: دانش برون‏سپاری، توسعه و پیاده‏سازی محصولات و خدمات فناوری اطلاعات(19%) دامنه 4: دانش عملیاتی ساختن، نگهداری و پشتیبانی سیستم‏های اطلاعاتی(23%) دامنه 5: محافظت از دارایی‏های اطلاعاتی(30%)

21 CISA تعداد سوالات آزمون: 200 مدت زمان: 4 ساعت هزینه آزمون: 420 دلار برای اعضای ایساکا و 600 دلار برای افراد غیر عضو حداقل نمره قبولی: کسب 450 از 800

22 جمع‏بندی ممیزی فناوری اطلاعات وسیله‏ای است به منظور بهبود و ارتقا ممیزی فناوری اطلاعات،فرایندی مستمردر سازمان‏ها ممیزی تضمین کننده انجام مسوولیت‏ها و تعهدات طراحی شاخص‏ها شمشیر دولبه فرآیند ممیزی آغاز است نه پایان

23 چالش‏ها و دستاوردها در سازمان‏های بزرگ Governance, Risk Compliance
مقالات سومین همایش بانک ملت مپنا چالش‏ها و دستاوردها در سازمان‏های بزرگ IT GRC Governance, Risk Compliance سازمان فاوا شهرداری توانیر شاپرک سازمان‏های حاکمیتی سازمان فاوا توسن ISO 20K

24 با تشکر پرسش و پاسخ

Download ppt "مبانی ممیزی فناوری اطلاعات"

Similar presentations

Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.

Information Technology Management (ITM101) Week 01: Introduction Matthew W. Stephan: CISM, CISSP, CGEIT, CRISC, PMP.
Launching into Learning.

Launching into Learning.
ISACA Guidance and Practices Committee

ISACA Guidance and Practices Committee
North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.

North American Leadership Conference Dallas, Texas USA April 13-14, 2013 Hyatt Regency.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential 14854_10_2008_c1 1 Holistic Approach to Information Security Greg Carter, Cisco Security.

© 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential 14854_10_2008_c1 1 Holistic Approach to Information Security Greg Carter, Cisco Security.
Chapter 10 Accounting Information Systems and Internal Controls

Chapter 10 Accounting Information Systems and Internal Controls
Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.

Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.
ISACA Research Initiatives

ISACA Research Initiatives
By Collin Smith http://techinitiatives.blogspot.com COBIT Introduction By Collin Smith http://techinitiatives.blogspot.com.

By Collin Smith COBIT Introduction By Collin Smith
“Walking Through an Internal IT Audit” MSU IT Exchange Conference August 12, 2010.

“Walking Through an Internal IT Audit” MSU IT Exchange Conference August 12, 2010.
Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.

Chapter 7 Control and AIS Copyright © 2012 Pearson Education, Inc. publishing as Prentice Hall 7-1.
1 Transforming Enterprise IT Speaker Name/Title Date.

1 Transforming Enterprise IT Speaker Name/Title Date.
Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA (www.isaca.org) November 2010.

Third Annual Shopping on the Job: ISACA’s Online Holiday Shopping and Workplace Internet Safety Survey Commissioned by ISACA ( November 2010.
ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.

ISACA Wellington: 2014 Strategy. Background ISACA’s vision: Trust in, and value from, information and information systems ISACA’s mission: For professionals.
Chapter 2 Careers in Fraud Examination and Financial Forensics.

Chapter 2 Careers in Fraud Examination and Financial Forensics.
Certification and Training Presented by Sam Jeyandran.

Certification and Training Presented by Sam Jeyandran.
COBIT®. COBIT - Control Objectives for Information and related Technology C OBI T was initially created by the Information Systems Audit & Control Foundation.

COBIT®. COBIT - Control Objectives for Information and related Technology C OBI T was initially created by the Information Systems Audit & Control Foundation.
© ITGI, ISACA - not for commercial use. John R. Robles 787-647-3961 Guidance for Information.

© ITGI, ISACA - not for commercial use. John R. Robles Guidance for Information.
© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.

© 2007 ISACA ® All Rights Reserved DAMA-NCR Chapter Meeting March 11, 2008.
1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, 12-13 October 2009 Introduction to IT audits PART II IT.

1 Homologues Group Meeting Slovenia, October 2009 Republika SlovenijaEuropean Union Ljubljana, October 2009 Introduction to IT audits PART II IT.

Similar presentations

Ads by Google