IT治理、IT审计与COBITppt课件

1、信息系统审计(ITA)是以企业或政府等组织的信息系统为审计对象，经过现代的审计实际和IT管理实际，从信息资产的平安性、数据的完好性以及系统的有效性和效率性等方面出发，对其能否可以有效可靠的到达组织的战略目的进展全面的监测和评价，并为改善和健全组织对信息系统的控制提出详细的建议。IT审计对象是信息系统，审计内容是计算机资源管理、硬件、软件获取、系统软件、数据库、网络、运用系统开发、系统维护、操作、平安等审计1IT审计引见.Asset Security资产平安性Effectivity系统有效性Efficiency系统效率性Data Integrity数据完好性2IT审计目的.信息系统调查信息系统内

2、部控制测试信息系统初步评价信息系统本质性测试信息系统综合评价3IT审计流程.4调查阶段信息系统内部控制初步评审内部控制可信任吗？控制测试信息系统控制测试结果的评价内部控制可信任吗？测试和评价补偿控制本质性测试全面评价编制审计报告退出审计提出管理建议审计终了否否内部控制的详细审查与评价计算机信息系统审计流程.信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理程度等进展全面、深化地了解，是进展信息系统审计的根底。了解管理体制，从总体上把握被审计单位信息系统管理的根本情况。了解总体架构，完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之

3、间有什么关系的调查。了解规划管理，对信息系统建立、运用、管理情况的调查。5信息系统调查.IT内部控制的类型：根据控制的范围，信息系统内部控制分为普通控制运用控制6IT内部控制.是指对整个计算机信息系统及环境要素实施的，对系统一切的运用或功能模块具有普遍影响的控制措施。划分成五类控制：组织控制：为实现组织的目的而进展的组织构造设计、权责安排和制度设计。包括职责分别、授权、监视、人事管理等系统开发与维护控制：包括需求定义、开发规划、系统设计、编程实现、测试、运转维护、文档管理等控制DIB 中国领先内部控制和风险管理处理方案提供商7普通控制.平安控制：坚持良好的运转环境，包括访问接触、环境平安、防病

4、毒、平安严密、平安教育等控制硬件及系统软件控制1硬件控制2软件控制5、操作控制信息系统的运用操作应有一套完好的管理制度，包括上机守那么与操作规程、上级日志记录、严密制度和操作任务计划等。8普通控制.运用控制是为顺应各种数据处置的特殊控制要求，保证数据处置完好、准确地完成而建立的内部控制。分成三类控制输入控制：保证只需经过授权同意的业务才干输入计算机信息系统；保证经同意的数据没有丧失、脱漏和篡改；保证被计算机回绝的错误数据能矫正后重新提交。包括数据采集、数据输入控制9运用控制.处置控制：对信息系统进展的内部数据处置活动的控制措施，这些控制措施往往被写入计算机程序，包括数据有效性检测、错误纠正控制

5、。输出控制：主要是保证交付给用户的数据是符合格式要求的、可交付的，并以一致和平安的方式递交给用户，包括输出错误处置、输出报告管理、报告接纳确认10运用控制.11IT治理提出的背景.公司治理就是为一切股东发明和呈现价值的企业品德行为公司治理包括组织中管理层、董事会、股东和其他利益相关法之间的一系列关系，它为制定公司目的、确定实现目的和监视绩效的方式提供了框架。12IT治理.13IT治理.IT治理是一个综合术语，它包括信息系统，技术和通讯，业务，法律相关事务，一切利益相关方，董事会，高级管理层，流程一切人，IT供应商，用户和审计师。IT治理有助于确保IT和企业目的坚持一致。IT治理是组织中的一种制

6、度安排，目的是为了提高IT绩效、降低IT风险，有效地利用资源。IT治理采用最正确实际来确保组织信息及相关技术支持其业务目的和价值交付，确保资源得到合理运用，风险得到适当管理、绩效得到测评。14IT治理.IT治理在根本上关注以下两方面的问题：IT向业务交付价值 ：由IT和业务的战略一致驱动IT风险得到管理：经过向企业分配责任来驱动15IT治理.Control Objectives for Information and related TechnologyCOBIT是一个在国际上得到公认的、先进的和权威的平安与信息技术管理和控制规范，它在业务风险、控制需求和技术问题之间架起了一座桥梁，它可以辅助

7、管理层进展IT 治理，指点组织有效利用信息资源，有效地管理与信息相关的风险。面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的一切者的综合指南。 COBIT真正关注的问题是，企业能否具备适当的控制力，以确保符合相关的管理规定。它协助企业确定他们能否正在做他们表示要做的事，以及他们能否可以证明这一点 16COBIT是什么？.COBIT第一版由信息系统审计与控制基金会ISACF于1996年发布。COBIT第二版于1998年出版，修订了高层控制目的与详细控制目的，添加了实施工具集Implementation Tool Set信息系统审计与控制协会IS

8、ACA及其相关的基金会在1998年创建 IT治理研讨院(ITGI)，由ITGI制定并发布了COBIT第三版，参与了管理指南，以及扩展和加强了对IT治理的关注；COBIT基于ISACF的建立的IT控制目的，参照了其他控制框架、行业规范；ITGI于2005年底发布了COBIT第四版，这一版对IT某些过程进展了调整，强调了IT控制与IT治理五个领域的对应关系。17COBIT 开展历程.早期第1、2版以控制目的和审计指南为主。2000年推出第3版，重点突出了“管理指南。2006年推出第4版，精简了控制目的，并完善了管理指南2007年推出第4.1版，将审计指南改为“签证指南，并提出ValueIT等理念，

9、与IT治理联络更严密。18COBIT 开展历程.COBIT中定义的IT资源如下。 (1)数据：是最广泛意义上的对象(如外部和内部的)、构造化及非构造化的、 图形、声音等。 (2)运用系统：手工的以及计算机程序的总和。 (3)技术：包括硬件、操作系统、数据库管理系统、网络、多媒体等。 (4)设备：包括所拥有的支持信息系统的一切资源。 (5)人员：包括员工技艺、认识，以及方案、组织、获取、交付、支持和监控信息系统及效力的才干。19IT资源.COBIT定义了7方面的信息规范：效果性Effectiveness ：信息系统提供对业务处置来说“有效 的信息效率性Efficiency ：“有效率 地运用资源

10、，提供信息严密性Confidentiality ： 维护敏感信息，防止走漏信息一致性Integrity ：保证信息的“真实可信 ，即信息准确、完好，并且从业务价值和业务需求的角度来说是正确有效的可用性Availablity：当业务需求时，信息可随时获得可靠性Reliability：为管理层维持组织运转和履行所赋予职责提供适当的信息合规性Compliance：符合相关法律、规定、合同对业务过程的规定20IT准那么.活动：企业的信息系统是由一个个功能组成的，它们对应于企业运营领域的一个个活动。过程：这些活动可以按照彼此之间关系的严密程度或者目的的一致程度归结为一些过程，例如，定义IT战略规划、定义

11、信息体系构造、管理IT投资、风险评价，等等。域：过程之间的自然组合构成企业的域，与企业构造的职责域相对应。21活动、过程、域.22活动、过程、域.23COBIT框架模型.24成熟度模型.25COBIT 组织方式.26业务目的和治理目的效率运用信息根底架构人提供和支持监控和评价获取和实施信息IT资源C O B I T框架有效性严密性完好性可用性合规性DS1 效力级别定义及管理DS2 第三方效力管理DS3 性能和才干管理DS4 延续效力保证DS5 系统平安保证DS6 本钱识别及分配DS7 用户教育及培训.DS8 效力台和突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理

12、环境管理DS13操作管理ME1 监控与评价IT性能ME2 监控与评价内部控制ME3 确保与法律的符合性ME4 提供IT治理PO1 制定IT战略方案PO2 确定信息架构.PO3 确定技术方向.PO4 定义IT流程、组织和关系.PO5 IT投资管理.PO6 沟通管理目的和方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评价和管理.PO10 工程管理AI1 识别处理方案.AI2 获取与维护运用软件AI3 获取与维护技术架构AI4 运营与运用才干保证AI5 获取IT资源AI6 变卦管理AI7 变卦及方案的部署和授权方案和组织可靠性COBIT框架.27COBIT 模型: IT 域 方案与组织

13、 (PO)目的:指明战略和战术识别如何使IT为业务目的的达成作出最大的奉献方案、沟通和管理战略目的的实现实施组织和技术架构范围:IT与业务在战略上能否一致?企业对资源的利用能否合理?能否一切的员工都了解IT目的?能否一切的风险都被了解并管理?IT系统质量能否满足业务需求?IT 和业务.28让我们来看一下COBIT流程模型, 它由4个IT域共34个IT流程组成。 PO1 制定IT战略方案PO2 确定信息架构PO3 确定技术导向PO4 定义IT流程、组织和关系PO5 IT投资管理PO6 沟通管理目的和方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评价和管理PO10 工程管理方案与组织

14、COBIT 模型: IT 域 (续)方案与组织提供与支持获取与实施监控与评价IT 流程.29COBIT 模型: IT 域 (续) 获取与实施 (AI)目的:识别、制定或获取、实施并整合IT方案现有系统的变卦与维护范围:新工程提供的处理方案能否满足业务需求提供?新工程能否能在预算范围内及时提供?新工程实施后能否能正常任务?变卦能否可以不影响当前的业务运营?新工程组织?.30COBIT模型: IT域 (续)方案与组织提供与支持获取与实施监控与评价IT 流程AI1 识别自动处理方案AI2 获取与维护运用软件AI3 获取与维护技术架构AI4 保证运营与运用AI5 获取IT资源AI6 变卦管理AI7 变

15、卦及方案的部署和授权获取与实施.31COBIT模型: IT域 (续) 提供与支持 (DS)目的:所恳求效力的实践提供结果, 包括效力提供过程平安、延续性、数据和运营设备管理对用户的效力支持范围:IT效力提供能否与业务优先级相匹配?IT本钱能否最优?员工能否能平安有效的运用IT系统?能否能保证性、完好性和可用性?IT效力业务优先级.32COBIT模型: IT域 (续)DS1 效力级别定义与管理DS2 第三方效力管理DS3 性能和才干管理DS4 延续效力保证DS5 系统平安保证DS6 本钱识别与分配DS7 用户教育与培训DS8 效力台和突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理提供与支持方案与组织提供与支持获取与实施监控与评价IT