《内部控制与风险管理（第二版）》第十章信息系统的内部控制和风险管理

第十章

信息系统的

内部控制和风险管理章节目录第一节企业的信息战略和

内部控制目标第二节信息系统内部控制

——COBIT模型第三节信息系统的风险管理一、企业的信息战略（一）信息系统战略应遵循企业的经营战略，并且必须确保在经营战略实施的过程中，可获得、保存、共享和使用恰当的信息。信息系统包括所有涉及信息收集、储存、产生和分配的系统和程序。第一节企业的信息战略和内部控制目标信息系统事务处理系统管理信息系统企业资源计划系统战略性企业管理

决策支持系统经理信息系统专家系统（二）信息技术战略

信息技术战略定义了满足企业信息需要所必需的特定系统，包括硬件、软件、操作系统等。每个信息技术系统必须能够获取、处理、概括和报告必要信息。（三）信息管理战略

信息管理战略、涉及信息的储存及访问方式。它会考虑中间接口文件或关系数据库的使用方式、数据库创建和备份功能等等。该战略能确保将信息提供给用户，并且不会生成多余的信息。第一节企业的信息战略和内部控制目标信息管理战略信息技术战略信息系统战略信息系统战略重点关注各个信息业务单元，使它们能满足内部或外部的信息用户需求。信息技术战略以供应信息为导向，它重点关注供应信息活动以及支持这些活动所需的技术。信息管理战略在整个企业层次上以管理为导向。第一节企业的信息战略和内部控制目标二、信息系统内部控制分类1、管理控制涉及整个信息系统的决策、开发以及日常的使用和维护。2、运行控制负责系统硬件和软件的日常运行，保证应用系统能完成工作目标。3、应用控制保证各个应用系统达到保护资产安全、数据完整、系统有效和高效的目标。第一节企业的信息战略和内部控制目标主要内容与要求1.规章制度2.系统管理3.岗位分离与制约4.安全与保密5.数据保存与备份6.病毒防范7.灾难备份与应急处理三、信息系统内部控制的目标四、信息系统内部控制的主要内容与要求目标与业务目标一致有效利用信息资源风险管理第一节企业的信息战略和内部控制目标一、COBIT介绍COBIT即信息系统和技术控制目标，是由美国信息系统审计与控制协会(ISACA)在1996年公布的，目前已经更新至第5.0版,是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。二、COBIT控制原理分析第二节信息系统内部控制——COBIT模型二、COBIT控制原理分析（一）IT资源包括数据、应用系统、技术、设施、人力;（二）业务需求质量需求、信任需求、安全需求信息评价指标：有效性、高效性、保密性、完整性、可用性、兼容性、可靠性（三）IT处理过程信息系统生命周期：规划与组织、获取与实施、交付与支持和监控第二节信息系统内部控制——COBIT模型三、COBIT在信息系统中的应用COBIT的优点：易于理解和实施，帮助在管理层、IT与审计之间搭建桥梁共同的标准，便于沟通增加管理层对控制的感知和支持简化信息系统内部控制工作为IT处理过程的实施者提供完整的理论指导提供了一个国际通用的信息系统内部控制方案帮助决定过程责任，提高信息系统内部控制的水平第二节信息系统内部控制——COBIT模型企业应用：需要根据实际情况把COBIT具体化。企业在应用COBIT前必须先了解其指导思想；以COBIT的34个IT处理过程为模板，建立满足企业特殊要求的IT处理过程，提出每个IT处理过程的控制目标；企业的IT处理过程及其控制目标必须及时更新。第二节信息系统内部控制——COBIT模型一、信息系统风险企业信息系统不是简单的计算机应用软件的叠加，而是具有集成能力的综合系统。企业信息系统支持业务活动，并为企业经营管理活动提供支持。企业信息系统的风险来自信息系统的脆弱性。信息系统的脆弱性是指信息系统固有的弱点，分为技术方面和管理方面。第三节信息系统的风险管理二、企业信息系统风险管理的作用企业信息系统控制内部控制外部控制法律规章制度第三方审计通过法律规章制度对信息系统进行控制主要是指信息系统的开发、运行以及维护必须按照一定的标准进行，以确保整个信息系统的安全与质量。信息系统审计是由独立的具有资格的第三方进行的，对以计算机为核心的信息系统的整个生命周期实施的系统审计。系统审计作为信息系统的安全对策，能有效地控制信息资源投入的风险，从而确保信息资源的增值。第三节信息系统的风险管理三、信息系统审计信息系统审计是指,审计人员接受委托或授权，收集并评估证据以判断一个计算机系统是否做到保护资产、维护数据完整并最有效率地完成组织目标。主要评审内容:(1)信息系统的管理、规划与组织。(2)信息系统技术基础设施与操作实务。(3)资产的保护。(4)灾难恢复与业务持续计划。(5)应用系统开发、获得、实施与维护。(6)