IT治理、IT審計(jì)與COBIT課件

信息系統(tǒng)審計(jì)(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)象，通過現(xiàn)代的審計(jì)理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對(duì)其是否能夠有效可靠的達(dá)到組織的戰(zhàn)略目標(biāo)進(jìn)行全面的監(jiān)測(cè)和評(píng)估，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出詳細(xì)的建議。IT審計(jì)對(duì)象是信息系統(tǒng)，審計(jì)內(nèi)容是計(jì)算機(jī)資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護(hù)、操作、安全等審計(jì)1IT審計(jì)介紹信息系統(tǒng)審計(jì)(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）2IT審計(jì)目標(biāo)2IT審計(jì)目標(biāo)信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)部控制測(cè)試信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)實(shí)質(zhì)性測(cè)試信息系統(tǒng)綜合評(píng)價(jià)3IT審計(jì)流程信息系統(tǒng)調(diào)查3IT審計(jì)流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測(cè)試信息系統(tǒng)控制測(cè)試結(jié)果的評(píng)價(jià)內(nèi)部控制可信賴嗎？測(cè)試和評(píng)價(jià)補(bǔ)償控制實(shí)質(zhì)性測(cè)試全面評(píng)價(jià)編制審計(jì)報(bào)告退出審計(jì)提出管理建議審計(jì)結(jié)束否否內(nèi)部控制的詳細(xì)審查與評(píng)價(jià)計(jì)算機(jī)信息系統(tǒng)審計(jì)流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測(cè)試信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。了解管理體制，從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。了解總體架構(gòu)，完成對(duì)被審計(jì)單位有什么類型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。了解規(guī)劃管理，對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。5信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為一般控制應(yīng)用控制6IT內(nèi)部控制IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為6I是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護(hù)控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計(jì)、編程實(shí)現(xiàn)、測(cè)試、運(yùn)行維護(hù)、文檔管理等控制DIB中國領(lǐng)先內(nèi)部控制和風(fēng)險(xiǎn)管理解決方案提供商7一般控制是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì)劃等。8一般控制安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。分成三類控制輸入控制：保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制9應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整處理控制：對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控制措施往往被寫入計(jì)算機(jī)程序，包括數(shù)據(jù)有效性檢測(cè)、錯(cuò)誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯(cuò)誤處理、輸出報(bào)告管理、報(bào)告接收確認(rèn)10應(yīng)用控制處理控制：對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控11IT治理提出的背景11IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價(jià)值的企業(yè)道德行為公司治理包括組織中管理層、董事會(huì)、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實(shí)現(xiàn)目標(biāo)和監(jiān)督績效的方式提供了框架。12IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價(jià)值的企業(yè)道德行為12IT治13IT治理13IT治理IT治理是一個(gè)綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會(huì)，高級(jí)管理層，流程所有人，IT供應(yīng)商，用戶和審計(jì)師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風(fēng)險(xiǎn)，有效地利用資源。IT治理采用最佳實(shí)踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價(jià)值交付，確保資源得到合理使用，風(fēng)險(xiǎn)得到適當(dāng)管理、績效得到測(cè)評(píng)。14IT治理IT治理是一個(gè)綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法IT治理在根本上關(guān)注以下兩方面的問題：IT向業(yè)務(wù)交付價(jià)值：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動(dòng)IT風(fēng)險(xiǎn)得到管理：通過向企業(yè)分配責(zé)任來驅(qū)動(dòng)15IT治理IT治理在根本上關(guān)注以下兩方面的問題：15IT治理ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個(gè)在國際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計(jì)師而設(shè)計(jì)，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。COBIT真正關(guān)注的問題是，企業(yè)是否具備適當(dāng)?shù)目刂屏Γ源_保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點(diǎn)16COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（ImplementationToolSet）信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）及其相關(guān)的基金會(huì)在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對(duì)IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)；ITGI于2005年底發(fā)布了COBIT第四版，這一版對(duì)IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個(gè)領(lǐng)域的對(duì)應(yīng)關(guān)系。17COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1早期第1、2版以控制目標(biāo)和審計(jì)指南為主。2000年推出第3版，重點(diǎn)突出了“管理指南”。2006年推出第4版，精簡了控制目標(biāo)，并完善了管理指南2007年推出第4.1版，將審計(jì)指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。18COBIT發(fā)展歷程早期第1、2版以控制目標(biāo)和審計(jì)指南為主。18COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據(jù)：是最廣泛意義上的對(duì)象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、圖形、聲音等。(2)應(yīng)用系統(tǒng)：手工的以及計(jì)算機(jī)程序的總和。(3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。(4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識(shí)，以及計(jì)劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。19IT資源COBIT中定義的IT資源如下。19IT資源COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness）：信息系統(tǒng)提供對(duì)業(yè)務(wù)處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護(hù)敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實(shí)可信”，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價(jià)值和業(yè)務(wù)需要的角度來說是正確有效的可用性（Availablity）：當(dāng)業(yè)務(wù)需要時(shí)，信息可隨時(shí)獲得可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔⒑弦?guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對(duì)業(yè)務(wù)過程的規(guī)定20IT準(zhǔn)則COBIT定義了7方面的信息標(biāo)準(zhǔn)：20IT準(zhǔn)則活動(dòng)：企業(yè)的信息系統(tǒng)是由一個(gè)個(gè)功能組成的，它們對(duì)應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個(gè)個(gè)活動(dòng)。過程：這些活動(dòng)可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險(xiǎn)評(píng)估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對(duì)應(yīng)。21活動(dòng)、過程、域活動(dòng)：企業(yè)的信息系統(tǒng)是由一個(gè)個(gè)功能組成的，它們對(duì)應(yīng)于企業(yè)經(jīng)營22活動(dòng)、過程、域22活動(dòng)、過程、域23COBIT框架模型23COBIT框架模型24成熟度模型24成熟度模型25COBIT組織方式25COBIT組織方式26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評(píng)估獲取和實(shí)施信息IT資源COBIT框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級(jí)別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識(shí)別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺(tái)和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME1 監(jiān)控與評(píng)價(jià)IT性能ME2 監(jiān)控與評(píng)價(jià)內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計(jì)劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險(xiǎn)評(píng)估和管理.PO10 項(xiàng)目管理AI1 識(shí)別解決方案.AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 運(yùn)營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計(jì)劃和組織可靠性COBIT框架26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用提供和支持監(jiān)控和評(píng)估獲取和實(shí)施27COBIT模型:IT域計(jì)劃與組織(PO)目標(biāo):指明戰(zhàn)略和戰(zhàn)術(shù)識(shí)別如何使IT為業(yè)務(wù)目標(biāo)的達(dá)成作出最大的貢獻(xiàn)計(jì)劃、溝通和管理戰(zhàn)略目標(biāo)的實(shí)現(xiàn)實(shí)施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務(wù)在戰(zhàn)略上是否一致?企業(yè)對(duì)資源的利用是否合理?是否所有的員工都理解IT目標(biāo)?是否所有的風(fēng)險(xiǎn)都被理解并管理?IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT和業(yè)務(wù)27COBIT模型:IT域計(jì)劃與組織(PO28讓我們來看一下COBIT流程模型,它由4個(gè)IT域共34個(gè)IT流程組成。

PO1制定IT戰(zhàn)略計(jì)劃PO2確定信息架構(gòu)PO3確定技術(shù)導(dǎo)向PO4定義IT流程、組織和關(guān)系PO5IT投資管理PO6

溝通管理目標(biāo)和方向PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險(xiǎn)評(píng)估和管理PO10項(xiàng)目管理計(jì)劃與組織COBIT模型:IT域(續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT流程28讓我們來看一下COBIT流程模型,它由4個(gè)IT域共3429COBIT模型:IT域(續(xù))獲取與實(shí)施(AI)目標(biāo):識(shí)別、制定或獲取、實(shí)施并整合IT方案現(xiàn)有系統(tǒng)的變更與維護(hù)范圍:新項(xiàng)目提供的解決方案是否滿足業(yè)務(wù)需求提供?新項(xiàng)目是否能在預(yù)算范圍內(nèi)及時(shí)提供?新項(xiàng)目實(shí)施后是否能正常工作?變更是否能夠不影響當(dāng)前的業(yè)務(wù)運(yùn)營?新項(xiàng)目組織?29COBIT模型:IT域(續(xù))獲取與實(shí)施30COBIT模型:IT域(續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT流程AI1識(shí)別自動(dòng)解決方案AI2獲取與維護(hù)應(yīng)用軟件AI3獲取與維護(hù)技術(shù)架構(gòu)AI4保障運(yùn)營與使用AI5獲取IT資源AI6變更管理AI7變更及方案的部署和授權(quán)獲取與實(shí)施30COBIT模型:IT域(續(xù))計(jì)劃提供獲取監(jiān)控IT流31COBIT模型:IT域(續(xù))提供與支持(DS)目標(biāo):所請(qǐng)求服務(wù)的實(shí)際提供結(jié)果,包括服務(wù)提供過程安全、連續(xù)性、數(shù)據(jù)和運(yùn)營設(shè)施管理對(duì)用戶的服務(wù)支持范圍:IT服務(wù)提供是否與業(yè)務(wù)優(yōu)先級(jí)相匹配?IT成本是否最優(yōu)?員工是否能安全有效的使用IT系統(tǒng)?是否能保障機(jī)密性、完整性和可用性?IT服務(wù)業(yè)務(wù)優(yōu)先級(jí)31COBIT模型:IT域(續(xù))提供與支持(D32COBIT模型:IT域(續(xù))DS1服務(wù)級(jí)別定義與管理DS2第三方服務(wù)管理DS3性能和能力管理DS4連續(xù)服務(wù)保障DS5系統(tǒng)安全保障DS6成本識(shí)別與分配DS7用戶教育與培訓(xùn)DS8服務(wù)臺(tái)和突發(fā)事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營管理提供與支持計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT流程32COBIT模型:IT域(續(xù))提供與支持計(jì)劃提供獲取監(jiān)33COBIT模型:IT域(續(xù))監(jiān)控與評(píng)價(jià)(ME)目標(biāo):性能管理監(jiān)控內(nèi)部控制調(diào)整一致治理范圍:IT性能是否被衡量，從而使問題在造成影響前被監(jiān)測(cè)出來?管理是否能保證內(nèi)部控制的有效和高效?IT性能是否與業(yè)務(wù)目標(biāo)相關(guān)聯(lián)?風(fēng)險(xiǎn)、控制、一致性和績效是否被衡量并報(bào)告?IT性能33COBIT模型:IT域(續(xù))監(jiān)控與評(píng)價(jià)(M34ME1監(jiān)控與評(píng)價(jià)IT性能ME2監(jiān)控與評(píng)價(jià)內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理監(jiān)控與評(píng)價(jià)COBIT模型:IT域(續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)IT流程34監(jiān)控與評(píng)價(jià)COBIT模型:IT域(續(xù))計(jì)劃提供與支信息系統(tǒng)審計(jì)(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)象，通過現(xiàn)代的審計(jì)理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對(duì)其是否能夠有效可靠的達(dá)到組織的戰(zhàn)略目標(biāo)進(jìn)行全面的監(jiān)測(cè)和評(píng)估，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出詳細(xì)的建議。IT審計(jì)對(duì)象是信息系統(tǒng)，審計(jì)內(nèi)容是計(jì)算機(jī)資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護(hù)、操作、安全等審計(jì)35IT審計(jì)介紹信息系統(tǒng)審計(jì)(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)AssetSecurity（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）DataIntegrity（數(shù)據(jù)完整性）36IT審計(jì)目標(biāo)2IT審計(jì)目標(biāo)信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)部控制測(cè)試信息系統(tǒng)初步評(píng)價(jià)信息系統(tǒng)實(shí)質(zhì)性測(cè)試信息系統(tǒng)綜合評(píng)價(jià)37IT審計(jì)流程信息系統(tǒng)調(diào)查3IT審計(jì)流程38調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測(cè)試信息系統(tǒng)控制測(cè)試結(jié)果的評(píng)價(jià)內(nèi)部控制可信賴嗎？測(cè)試和評(píng)價(jià)補(bǔ)償控制實(shí)質(zhì)性測(cè)試全面評(píng)價(jià)編制審計(jì)報(bào)告退出審計(jì)提出管理建議審計(jì)結(jié)束否否內(nèi)部控制的詳細(xì)審查與評(píng)價(jià)計(jì)算機(jī)信息系統(tǒng)審計(jì)流程4調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評(píng)審內(nèi)部控制可信賴嗎？控制測(cè)試信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。了解管理體制，從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。了解總體架構(gòu)，完成對(duì)被審計(jì)單位有什么類型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。了解規(guī)劃管理，對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。39信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為一般控制應(yīng)用控制40IT內(nèi)部控制IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為6I是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制：組織控制：為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護(hù)控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計(jì)、編程實(shí)現(xiàn)、測(cè)試、運(yùn)行維護(hù)、文檔管理等控制DIB中國領(lǐng)先內(nèi)部控制和風(fēng)險(xiǎn)管理解決方案提供商41一般控制是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī)守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì)劃等。42一般控制安全控制：保持良好的運(yùn)行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。分成三類控制輸入控制：保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制43應(yīng)用控制應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整處理控制：對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控制措施往往被寫入計(jì)算機(jī)程序，包括數(shù)據(jù)有效性檢測(cè)、錯(cuò)誤糾正控制。輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯(cuò)誤處理、輸出報(bào)告管理、報(bào)告接收確認(rèn)44應(yīng)用控制處理控制：對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些控45IT治理提出的背景11IT治理提出的背景公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價(jià)值的企業(yè)道德行為公司治理包括組織中管理層、董事會(huì)、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實(shí)現(xiàn)目標(biāo)和監(jiān)督績效的方式提供了框架。46IT治理公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價(jià)值的企業(yè)道德行為12IT治47IT治理13IT治理IT治理是一個(gè)綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會(huì)，高級(jí)管理層，流程所有人，IT供應(yīng)商，用戶和審計(jì)師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風(fēng)險(xiǎn)，有效地利用資源。IT治理采用最佳實(shí)踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價(jià)值交付，確保資源得到合理使用，風(fēng)險(xiǎn)得到適當(dāng)管理、績效得到測(cè)評(píng)。48IT治理IT治理是一個(gè)綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法IT治理在根本上關(guān)注以下兩方面的問題：IT向業(yè)務(wù)交付價(jià)值：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動(dòng)IT風(fēng)險(xiǎn)得到管理：通過向企業(yè)分配責(zé)任來驅(qū)動(dòng)49IT治理IT治理在根本上關(guān)注以下兩方面的問題：15IT治理ControlObjectivesforInformationandrelatedTechnologyCOBIT是一個(gè)在國際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進(jìn)行IT治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計(jì)師而設(shè)計(jì)，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。COBIT真正關(guān)注的問題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點(diǎn)50COBIT是什么？ControlObjectivesforInformaCOBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（ImplementationToolSet）信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）及其相關(guān)的基金會(huì)在1998年創(chuàng)立IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對(duì)IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)；ITGI于2005年底發(fā)布了COBIT第四版，這一版對(duì)IT某些過程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個(gè)領(lǐng)域的對(duì)應(yīng)關(guān)系。51COBIT發(fā)展歷程COBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1早期第1、2版以控制目標(biāo)和審計(jì)指南為主。2000年推出第3版，重點(diǎn)突出了“管理指南”。2006年推出第4版，精簡了控制目標(biāo)，并完善了管理指南2007年推出第4.1版，將審計(jì)指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。52COBIT發(fā)展歷程早期第1、2版以控制目標(biāo)和審計(jì)指南為主。18COBIT發(fā)展COBIT中定義的IT資源如下。(1)數(shù)據(jù)：是最廣泛意義上的對(duì)象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、圖形、聲音等。(2)應(yīng)用系統(tǒng)：手工的以及計(jì)算機(jī)程序的總和。(3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。(4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。(5)人員：包括員工技能、意識(shí)，以及計(jì)劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。53IT資源COBIT中定義的IT資源如下。19IT資源COBIT定義了7方面的信息標(biāo)準(zhǔn)：效果性（Effectiveness）：信息系統(tǒng)提供對(duì)業(yè)務(wù)處理來說“有效”的信息效率性（Efficiency）：“有效率”地使用資源，提供信息保密性（Confidentiality）：保護(hù)敏感信息，避免泄漏信息一致性（Integrity）：保證信息的“真實(shí)可信”，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價(jià)值和業(yè)務(wù)需要的角度來說是正確有效的可用性（Availablity）：當(dāng)業(yè)務(wù)需要時(shí)，信息可隨時(shí)獲得可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔⒑弦?guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對(duì)業(yè)務(wù)過程的規(guī)定54IT準(zhǔn)則COBIT定義了7方面的信息標(biāo)準(zhǔn)：20IT準(zhǔn)則活動(dòng)：企業(yè)的信息系統(tǒng)是由一個(gè)個(gè)功能組成的，它們對(duì)應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個(gè)個(gè)活動(dòng)。過程：這些活動(dòng)可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險(xiǎn)評(píng)估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對(duì)應(yīng)。55活動(dòng)、過程、域活動(dòng)：企業(yè)的信息系統(tǒng)是由一個(gè)個(gè)功能組成的，它們對(duì)應(yīng)于企業(yè)經(jīng)營56活動(dòng)、過程、域22活動(dòng)、過程、域57COBIT框架模型23COBIT框架模型58成熟度模型24成熟度模型59COBIT組織方式25COBIT組織方式60業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評(píng)估獲取和實(shí)施信息IT資源COBIT框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級(jí)別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識(shí)別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺(tái)和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME1 監(jiān)控與評(píng)價(jià)IT性能ME2 監(jiān)控與評(píng)價(jià)內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計(jì)劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標(biāo)和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險(xiǎn)評(píng)估和管理.PO10 項(xiàng)目管理AI1 識(shí)別解決方案.AI2 獲取與維護(hù)應(yīng)用軟件AI3 獲取與維護(hù)技術(shù)架構(gòu)AI4 運(yùn)營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計(jì)劃和組織可靠性COBIT框架26業(yè)務(wù)目標(biāo)和治理目標(biāo)效率應(yīng)用提供和支持監(jiān)控和評(píng)估獲取和實(shí)施61COBIT模型:IT域計(jì)劃與組織(PO)目標(biāo):指明戰(zhàn)略和戰(zhàn)術(shù)識(shí)別如何使IT為業(yè)務(wù)目標(biāo)的達(dá)成作出最大的貢獻(xiàn)計(jì)劃、溝通和管理戰(zhàn)略目標(biāo)的實(shí)現(xiàn)實(shí)施組織和技術(shù)架構(gòu)范圍:IT與業(yè)務(wù)在戰(zhàn)略上是否一致?企業(yè)對(duì)資源的利用是否合理?是否所有的員工都理解IT目標(biāo)?是否所有的風(fēng)險(xiǎn)都被理解并管理?IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT和業(yè)務(wù)27COBIT模型:IT域計(jì)劃與組織(PO62讓我們來看一下COBIT流程模型,它由4個(gè)IT域共34個(gè)IT流程組成。

PO1制定IT戰(zhàn)略計(jì)劃PO2確定信息架構(gòu)PO3確定技術(shù)導(dǎo)向PO4定義IT流程、組織和關(guān)系PO5IT投資管理PO6

溝通管理目標(biāo)和方向PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險(xiǎn)評(píng)估和管理PO10項(xiàng)目管理計(jì)劃與組織COBIT模型:IT域(續(xù))計(jì)劃與組織提供與支持獲取與實(shí)施監(jiān)控與評(píng)價(jià)I