IT治理、IT審計與COBITppt課件

1、信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，經(jīng)過現(xiàn)代的審計實際和IT管理實際，從信息資產(chǎn)的平安性、數(shù)據(jù)的完好性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其能否可以有效可靠的到達組織的戰(zhàn)略目的進展全面的監(jiān)測和評價，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡、運用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、平安等審計1IT審計引見.Asset Security資產(chǎn)平安性Effectivity系統(tǒng)有效性Efficiency系統(tǒng)效率性Data Integrity數(shù)據(jù)完好性2IT審計目的.信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)

2、部控制測試信息系統(tǒng)初步評價信息系統(tǒng)本質(zhì)性測試信息系統(tǒng)綜合評價3IT審計流程.4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信任嗎？控制測試信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信任嗎？測試和評價補償控制本質(zhì)性測試全面評價編制審計報告退出審計提出管理建議審計終了否否內(nèi)部控制的詳細審查與評價計算機信息系統(tǒng)審計流程.信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設計、管理程度等進展全面、深化地了解，是進展信息系統(tǒng)審計的根底。了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的根本情況。了解總體架構(gòu)，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之

3、間有什么關(guān)系的調(diào)查。了解規(guī)劃管理，對信息系統(tǒng)建立、運用、管理情況的調(diào)查。5信息系統(tǒng)調(diào)查.IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為普通控制運用控制6IT內(nèi)部控制.是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)一切的運用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實現(xiàn)組織的目的而進展的組織構(gòu)造設計、權(quán)責安排和制度設計。包括職責分別、授權(quán)、監(jiān)視、人事管理等系統(tǒng)開發(fā)與維護控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設計、編程實現(xiàn)、測試、運轉(zhuǎn)維護、文檔管理等控制DIB 中國領(lǐng)先內(nèi)部控制和風險管理處理方案提供商7普通控制.平安控制：堅持良好的運轉(zhuǎn)環(huán)境，包括訪問接觸、環(huán)境平安、防病

4、毒、平安嚴密、平安教育等控制硬件及系統(tǒng)軟件控制1硬件控制2軟件控制5、操作控制信息系統(tǒng)的運用操作應有一套完好的管理制度，包括上機守那么與操作規(guī)程、上級日志記錄、嚴密制度和操作任務計劃等。8普通控制.運用控制是為順應各種數(shù)據(jù)處置的特殊控制要求，保證數(shù)據(jù)處置完好、準確地完成而建立的內(nèi)部控制。分成三類控制輸入控制：保證只需經(jīng)過授權(quán)同意的業(yè)務才干輸入計算機信息系統(tǒng)；保證經(jīng)同意的數(shù)據(jù)沒有喪失、脫漏和篡改；保證被計算機回絕的錯誤數(shù)據(jù)能矯正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制9運用控制.處置控制：對信息系統(tǒng)進展的內(nèi)部數(shù)據(jù)處置活動的控制措施，這些控制措施往往被寫入計算機程序，包括數(shù)據(jù)有效性檢測、錯誤糾正控制

5、。輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和平安的方式遞交給用戶，包括輸出錯誤處置、輸出報告管理、報告接納確認10運用控制.11IT治理提出的背景.公司治理就是為一切股東發(fā)明和呈現(xiàn)價值的企業(yè)品德行為公司治理包括組織中管理層、董事會、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目的、確定實現(xiàn)目的和監(jiān)視績效的方式提供了框架。12IT治理.13IT治理.IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務，法律相關(guān)事務，一切利益相關(guān)方，董事會，高級管理層，流程一切人，IT供應商，用戶和審計師。IT治理有助于確保IT和企業(yè)目的堅持一致。IT治理是組織中的一種制

6、度安排，目的是為了提高IT績效、降低IT風險，有效地利用資源。IT治理采用最正確實際來確保組織信息及相關(guān)技術(shù)支持其業(yè)務目的和價值交付，確保資源得到合理運用，風險得到適當管理、績效得到測評。14IT治理.IT治理在根本上關(guān)注以下兩方面的問題：IT向業(yè)務交付價值 ：由IT和業(yè)務的戰(zhàn)略一致驅(qū)動IT風險得到管理：經(jīng)過向企業(yè)分配責任來驅(qū)動15IT治理.Control Objectives for Information and related TechnologyCOBIT是一個在國際上得到公認的、先進的和權(quán)威的平安與信息技術(shù)管理和控制規(guī)范，它在業(yè)務風險、控制需求和技術(shù)問題之間架起了一座橋梁，它可以輔助

7、管理層進展IT 治理，指點組織有效利用信息資源，有效地管理與信息相關(guān)的風險。面向業(yè)務是COBIT的主題，它不僅是為用戶和審計師而設計，而且更重要的是它可以作為管理者及業(yè)務過程的一切者的綜合指南。 COBIT真正關(guān)注的問題是，企業(yè)能否具備適當?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它協(xié)助企業(yè)確定他們能否正在做他們表示要做的事，以及他們能否可以證明這一點 16COBIT是什么？.COBIT第一版由信息系統(tǒng)審計與控制基金會ISACF于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目的與詳細控制目的，添加了實施工具集Implementation Tool Set信息系統(tǒng)審計與控制協(xié)會IS

8、ACA及其相關(guān)的基金會在1998年創(chuàng)建 IT治理研討院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，參與了管理指南，以及擴展和加強了對IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目的，參照了其他控制框架、行業(yè)規(guī)范；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進展了調(diào)整，強調(diào)了IT控制與IT治理五個領(lǐng)域的對應關(guān)系。17COBIT 開展歷程.早期第1、2版以控制目的和審計指南為主。2000年推出第3版，重點突出了“管理指南。2006年推出第4版，精簡了控制目的，并完善了管理指南2007年推出第4.1版，將審計指南改為“簽證指南，并提出ValueIT等理念，

9、與IT治理聯(lián)絡更嚴密。18COBIT 開展歷程.COBIT中定義的IT資源如下。 (1)數(shù)據(jù)：是最廣泛意義上的對象(如外部和內(nèi)部的)、構(gòu)造化及非構(gòu)造化的、 圖形、聲音等。 (2)運用系統(tǒng)：手工的以及計算機程序的總和。 (3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡、多媒體等。 (4)設備：包括所擁有的支持信息系統(tǒng)的一切資源。 (5)人員：包括員工技藝、認識，以及方案、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及效力的才干。19IT資源.COBIT定義了7方面的信息規(guī)范：效果性Effectiveness ：信息系統(tǒng)提供對業(yè)務處置來說“有效 的信息效率性Efficiency ：“有效率 地運用資源

10、，提供信息嚴密性Confidentiality ： 維護敏感信息，防止走漏信息一致性Integrity ：保證信息的“真實可信 ，即信息準確、完好，并且從業(yè)務價值和業(yè)務需求的角度來說是正確有效的可用性Availablity：當業(yè)務需求時，信息可隨時獲得可靠性Reliability：為管理層維持組織運轉(zhuǎn)和履行所賦予職責提供適當?shù)男畔⒑弦?guī)性Compliance：符合相關(guān)法律、規(guī)定、合同對業(yè)務過程的規(guī)定20IT準那么.活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應于企業(yè)運營領(lǐng)域的一個個活動。過程：這些活動可以按照彼此之間關(guān)系的嚴密程度或者目的的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義

11、信息體系構(gòu)造、管理IT投資、風險評價，等等。域：過程之間的自然組合構(gòu)成企業(yè)的域，與企業(yè)構(gòu)造的職責域相對應。21活動、過程、域.22活動、過程、域.23COBIT框架模型.24成熟度模型.25COBIT 組織方式.26業(yè)務目的和治理目的效率運用信息根底架構(gòu)人提供和支持監(jiān)控和評價獲取和實施信息IT資源C O B I T框架有效性嚴密性完好性可用性合規(guī)性DS1 效力級別定義及管理DS2 第三方效力管理DS3 性能和才干管理DS4 延續(xù)效力保證DS5 系統(tǒng)平安保證DS6 本錢識別及分配DS7 用戶教育及培訓.DS8 效力臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理

12、環(huán)境管理DS13操作管理ME1 監(jiān)控與評價IT性能ME2 監(jiān)控與評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略方案PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目的和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風險評價和管理.PO10 工程管理AI1 識別處理方案.AI2 獲取與維護運用軟件AI3 獲取與維護技術(shù)架構(gòu)AI4 運營與運用才干保證AI5 獲取IT資源AI6 變卦管理AI7 變卦及方案的部署和授權(quán)方案和組織可靠性COBIT框架.27COBIT 模型: IT 域 方案與組織

13、 (PO)目的:指明戰(zhàn)略和戰(zhàn)術(shù)識別如何使IT為業(yè)務目的的達成作出最大的奉獻方案、溝通和管理戰(zhàn)略目的的實現(xiàn)實施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務在戰(zhàn)略上能否一致?企業(yè)對資源的利用能否合理?能否一切的員工都了解IT目的?能否一切的風險都被了解并管理?IT系統(tǒng)質(zhì)量能否滿足業(yè)務需求?IT 和業(yè)務.28讓我們來看一下COBIT流程模型, 它由4個IT域共34個IT流程組成。 PO1 制定IT戰(zhàn)略方案PO2 確定信息架構(gòu)PO3 確定技術(shù)導向PO4 定義IT流程、組織和關(guān)系PO5 IT投資管理PO6 溝通管理目的和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風險評價和管理PO10 工程管理方案與組織

14、COBIT 模型: IT 域 (續(xù))方案與組織提供與支持獲取與實施監(jiān)控與評價IT 流程.29COBIT 模型: IT 域 (續(xù)) 獲取與實施 (AI)目的:識別、制定或獲取、實施并整合IT方案現(xiàn)有系統(tǒng)的變卦與維護范圍:新工程提供的處理方案能否滿足業(yè)務需求提供?新工程能否能在預算范圍內(nèi)及時提供?新工程實施后能否能正常任務?變卦能否可以不影響當前的業(yè)務運營?新工程組織?.30COBIT模型: IT域 (續(xù))方案與組織提供與支持獲取與實施監(jiān)控與評價IT 流程AI1 識別自動處理方案AI2 獲取與維護運用軟件AI3 獲取與維護技術(shù)架構(gòu)AI4 保證運營與運用AI5 獲取IT資源AI6 變卦管理AI7 變

15、卦及方案的部署和授權(quán)獲取與實施.31COBIT模型: IT域 (續(xù)) 提供與支持 (DS)目的:所懇求效力的實踐提供結(jié)果, 包括效力提供過程平安、延續(xù)性、數(shù)據(jù)和運營設備管理對用戶的效力支持范圍:IT效力提供能否與業(yè)務優(yōu)先級相匹配?IT本錢能否最優(yōu)?員工能否能平安有效的運用IT系統(tǒng)?能否能保證性、完好性和可用性?IT效力業(yè)務優(yōu)先級.32COBIT模型: IT域 (續(xù))DS1 效力級別定義與管理DS2 第三方效力管理DS3 性能和才干管理DS4 延續(xù)效力保證DS5 系統(tǒng)平安保證DS6 本錢識別與分配DS7 用戶教育與培訓DS8 效力臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理提供與支持方案與組織提供與支持獲取與實施監(jiān)控與評價IT