IT审计参考资料PPT课件_第1页
IT审计参考资料PPT课件_第2页
IT审计参考资料PPT课件_第3页
IT审计参考资料PPT课件_第4页
IT审计参考资料PPT课件_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

目录 内部控制定义信息科技层面评估架构IT公司层面控制IT一般性控制应用程序控制IT审计的参考标准 内部控制定义 续 Basel内部控制框架的定义Internalcontrolisaprocesseffectedbytheboardofdirectors seniormanagementandalllevelsofpersonnel Itisnotsolelyaprocedureorpolicythatisperformedatacertainpointintime butratheritiscontinuallyoperatingatalllevelswithinthebank Theboardofdirectorsandseniormanagementareresponsibleforestablishingtheappropriateculturetofacilitateaneffectiveinternalcontrolprocessandformonitoringitseffectivenessonanongoingbasis however eachindividualwithinanorganisationmustparticipateintheprocess 内部控制定义 续 COSO内部控制定义内部控制被宽泛地定义为一个由主体的董事会 管理层和其他人员实施的 旨在为实现以下各类目标提供合理保证的过程 经营的有效性和效率财务报告的可靠性符合适用的法律和法规 内部控制定义 续 内部控制是 为实现经营目标的动态过程和机制一系列的 制度程序方法对风险进行事前防范 事中控制 事后监督和纠正高级管理层责任需要全体职工参与的工作需要通过监控来确保有效性 流程A 商业流程 交易类别 关键应用程序 IT基础设施服务 数据库管理系统 操作系统 网络 硬件 流程B 流程C 应用程序X 应用程序Y 应用程序Z 流程A 信息系统控制 识别信息系统范围 商业流程 交易类别 信息科技层面评估架构 信息科技层面评估架构 续 信息系统控制评估的建议构架基于国际通行的评估标准 其中 IT公司层面控制评估是基于COSO模型 IT一般性控制和应用程序控制评估是基于COBIT 模型 应用程序控制 COSO IT公司层面控制 IT一般性控制 信息科技层面评估架构 续 风险评估信息技术风险评估目标的设定技术风险的识别机制及风险分析降低风险的行动计划与预算 控制活动制定各类程序和政策根据风险执行相应信息系统控制信息技术职责分工 信息与沟通关注战略一体化的信息系统与信息质量关注内部与外部的沟通及其沟通方式 控制环境信息技术员工诚信和道德价值观信息技术员工胜任能力管理层 董事会对信息技术的关注信息技术组织结构信息技术策略与制度数据和应用系统的归属制与职责分离 COSO 内部控制 整体框架 监控进行持续性信息系统监督活动信息系统的独立评估体系适宜的信息技术内部审计计划信息系统缺陷报告 信息科技层面评估构架 续 COBIT4 1包含34个信息技术过程控制 并归集为四个控制域 计划与组织获取与实施交付与支持监控与评价 COBIT ControlObjectivesforInformationandrelatedTechnology 信息及相关技术的控制目标 是国际公认的IT治理框架 为企业管理者 用户 信息系统审计和安全从业者提供了一个优良参考构架 信息科技层面评估架构 续 应用程序控制简介 应用程序控制是业务流程中控制的一部分 是在应用系统中由程序自动执行的控制 用以替代很多由人工完成的基础性检查工作 由于应用程序控制普遍适用于各种交易的处理 所以应用程序控制是否有效对于内控的有效性有着重要的影响 应用程序控制可以分为两类 系统自动控制由系统自动完成的控制 无需人工干预 在开发系统时已经考虑并嵌入到系统中 人工依赖系统控制由系统完成部分的控制 需要人工干预 且控制是否有效会受到人为因素的影响 信息科技层面评估架构 续 应用程序控制类型 信息科技层面评估架构 续 应用程序控制类型 实时校验 编辑检查控制 也称为系统录入控制 这类控制主要是确保录入到系统中的数据的准确性 进行录入时系统会对重要字段的合理性 合规性和准确性进行检查 防止一些不合适的数据被系统接受 造成系统数据的不真实和垃圾数据的产生登陆权限 岗位分离控制 系统中用户的权限设置是否合理 是否按照职责需要进行授权 是否考虑到岗位分离的情况计算机计算控制 系统自动计算并保证计算的正确性 此类控制一般在程序开发时已嵌入到系统中自动系统接口控制 主要关注不同应用系统之间通过接口传递的数据是否准确完整配置控制 主要关注的是系统中维护的重要参数是否准确 这些参数对于系统的运行和业务处理的正确性起着重要的作用 信息科技层面评估架构 续 识别关键风险及信息资产根据贵行的特性包括现有制度 业务需要 风险识别 组织模型 管理 体系结构和行业标准以及法律 法规 识别关键流程和控制范围 监控控制活动贵行的控制活动得到改善和加强后 需要建立一套监控体系来保证控制活动的持续有效 建立一整套完善的监控方案 用以监控控制活动的有效性 评估现有控制贵行需在IT管理层面以及流程层面需建立相应的控制 使贵行的工作模式能够有效地规范起来 在这一阶段中 内审部将对现有IT流程和控制进行评估 了解内部管理和控制情况 确认控制中存在的风险及差异 控制的改善与加强基于对贵行内部管理和控制情况的评估结果及发现的风险与差异 对控制进行改善和加强 依照国际认可的实践经验与标准 改善自身的控制活动 以更好的防范风险 信息科技评估体系 IT审计的参考标准 CoBIT CoBIT ControlObjectivesforInformationandrelatedTechnology 信息及相关技术的控制目标 最初的用途是为企业的IT治理提供清晰的指导策略和优良的实践范本 以帮助管理层理解并管理有关IT的风险 CoBIT已经被发展成为一套国际公认的 企业通用的 有关IT安全和控制的标准 它为企业管理者 用户 信息系统审计和安全从业者提供了一个优良参考构架 CoBIT将IT过程 IT资源与企业的策略与目标 准则 联系起来 形成一个三维的体系结构 IT审计的参考标准 CoBIT 续 有效性 Effectiveness 是指信息与商业过程相关 并以及时 准确 一致和可行的方式传送 高效性 Efficiency 关于如何最佳 最高产和最经济 利用资源来提供信息 机密性 Confidentiality 涉及对敏感信息的保护 以防止未经授权的披露 完整性 Integrity 涉及信息的精确性和完全性 以及与商业评价和期望相一致 可用性 Availability 指在现在和将来的商业处理需求中 信息是可用的 还指对必要的资源和相关性能的维护 符合性 Compliance 遵守商业运作过程中必须遵守的法律 法规和契约条款 如外部强制商业标准 可靠性 ReliabilityofInformation 为管理者的日常经营管理以及履行财务报告责任提供适当的信息 有效性 效率 保密性 完整性 可用性 合规性 可靠性 应用系统 信息 基础设施 人员 计划与组织 PO IT战略与业务战略是否一致企业是否优化资源的使用组织的成员是否能够理解IT目标管理层是否意识到企业面临的IT风险并予以妥善管理IT系统的质量能否满足业务需求采购与实施 AI 新项目所提供的解决方案能否满足业务需求新项目能否在既定的预算内按期交付新系统能否按预期运行变更是否影响当前业务的正常运行交付与支持 DS IT服务是否根据业务的优先级交付IT成本是否最优工作负荷是否影响IT系统的有效使用是否充分实现保密性 完整性和可用性监控与评价 ME IT绩效考核能否及时发现问题管理层能否确保内部控制的效率和有效性IT绩效能否与业务目标相关联是否测量并报告风险 控制 符合性和绩效 IT审计的参考标准 CoBIT 续 有效性 效率 保密性 完整性 可用性 合规性 可靠性 应用系统 信息 基础设施 人员 应用系统 用户处理信息的自动化用户系统及手册程序 信息 信息系统输入 处理和输出的所有形式的数据 可以被业务以任何形式所使用 基础设施 保障应用系统处理信息所需的技术和设施 硬件 操作系统 数据库管理系统 网络 多媒体等 以及放置 支持上述技术和设施的环境 人员 策划 组织 采购 实施 交付 支持 监视和评价信息系统和服务所需的人员 人员可以是内部的 外包人员或合同人员 IT审计的参考标准 CoBIT 续 CoBIT34个高层次控制目标 IT审计的参考标准 CoBIT 续 IT审计的参考标准 COSO CommitteeofSponsoringOrganizationsofTheTreadwayCommission COSO 由美国会计师协会 美国审计总署 美国内部审计师协会和管理会计师协会等7个团体共同赞助成立 专门研究内部控制问题 内部控制 整体框架的目标 保证财务报告的可靠性保证经营效益和效率对相关法律法规的遵循 根据COSO内控框架 公司层面的内部控制由以下五个部分组成 1 控制环境2 风险评估3 控制活动4 信息与沟通5 监控中国内部审计协会于2003年6月1日颁布实施的 内部审计具体准则 第5号 内部控制第5条 亦明确公司的内部控制是由上述五个部分组成的 公司要建立完善的内部控制 就要从这五方面着手 因为它们是内控的根基 它们会影响到公司风险管理每个环节的工作 IT审计的参考标准 COSO 续 控制环境控制环境是影响 制约企业内部控制建立与执行的各种内部因素的总称 是实施内部控制的基础 内部环境主要包括治理结构 组织机构设置与权责分配 企业文化 人力资源政策 内部审计机构设置 反舞弊机制等 从以下三个方面评价控制环境的有效性 识别及评价公司业务和财务报表的风险的能力按照公认会计准则编制高质量的财务报表保证财务报表可靠性的基本控制及监控措施 IT审计的参考标准 COSO 续 风险评估风险评估是及时识别 科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程 是实施内部控制的重要环节 风险评估主要包括目标设定 风险识别 风险分析和风险应对 包括 IT审计的参考标准 COSO 续 正式建立和广泛公布公司层面的目标及价值观 风险评估的程序对重大问题的预计 识别以及做出反应的机制识别公认会计原则变更 商业惯例及内部控制的步骤和程序等 控制活动控制活动是根据风险评估结果 结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段 是实施内部控制的具体方式 控制活动结合企业具体业务和事项的特点与要求制定 主要包括职责分工控制 授权控制 审核批准控制 预算控制 财产保护控制 会计系统控制 内部报告控制 经济活动分析控制 绩效考评控制 信息技术控制等 IT审计的参考标准 COSO 续 信息与沟通信息与沟通是及时 准确 完整地收集与企业经营管理相关的各种信息 并使这些信息以适当的方式在企业有关层级之间进行及时传递 有效沟通和正确应用的过程 是实施内部控制的重要条件 主要包括 管理层有效地传达员工的岗位职责和应负有的控制责任建立渠道收集和处理内部投诉及不满充分的沟通交流指定人员或部门负责收集和处理外部的评论和投诉已建立上下各部门之间的汇报路线和沟通渠道 IT审计的参考标准 COSO 续 监督主要包括对建立并执行内部控制的整体情况进行持续性监督检查 对内部控制的某一方面或者某些方面进行专项监督检查 以及提交相应的检查报告 提出有针对性的改进措施等 企业内部控制自我评估是内部控制监督检查的一项重要内容 监控监督是企业对其内部控制的健全性 合理性和有效性进行监督检查与评估 形成书面报告并作出相应处理的过程 是实施内部控制的重要保证 IT审计的参考标准 COSO 续 IT审计的参考标准 COSO与BaselII的关系 IT审计相关标准 COSO与BaselII的关系 IT审计的参考标准 COSO与BaselII的关系 续 有两种方法来选择相关的IT流程和控制 风险驱动 根据风险的属性 严重 重要 有影响 无影响 来定义控制目标和步骤目标驱动 根据BaselII定义目标 然后使用CoBIT提供的指引 IT审计的参考标准 CoBIT与BaselII的关系 IT审计的参考标准 CoBIT与BaselII的关系 风险驱动方

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论