IT治理審計和信息系統(tǒng)

審計電算化研習報告

IT治理第二小組：張昊天吳與倫陳頔王雨晴研習思路IT治理簡介IT治理目標IT治理的主要內(nèi)容IT治理的運行機制IT治理與信息系統(tǒng)審計IT功能外包現(xiàn)實中的困難與對策審計電算化研習報告——IT治理一、IT治理簡介IT治理的產(chǎn)生2IT治理與IT管理3IT治理的概念1審計電算化研習報告——IT治理〔一〕IT治理的概念三種主要觀點：·IT治理用于描述被委托治理實體的人員在監(jiān)督、檢查、控制和指導實體的過程中如何看待信息技術(shù)?！T治理是一個含義廣泛的概念,。其主要任務是保持IT與業(yè)務目標一致,推動業(yè)務開展,促使收益最大化,合理利用IT資源,IT相關(guān)風險的適當管理?！T治理是一個由關(guān)系和過程所構(gòu)成的體制,用于指導和控制企業(yè),通過平衡信息技術(shù)與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。審計電算化研習報告——IT治理〔二〕IT治理的產(chǎn)生·IT治理最初的雛形，是2002年過后，美國證監(jiān)會開始對企業(yè)的內(nèi)控系統(tǒng)提出嚴格的要求，塞班斯法案的制定者與研究者開始覺得，IT是天然的內(nèi)控專員。也從這個時候起，IT治理的思想開始產(chǎn)生與開展，企業(yè)內(nèi)控體系開始出現(xiàn)對信息系統(tǒng)的內(nèi)容與要求，并且分量越來越重。審計電算化研習報告——IT治理〔三〕IT治理與IT管理區(qū)別與聯(lián)系？IT治理是用于描述企業(yè)或政府是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息化過程中的風險，確保實現(xiàn)組織的戰(zhàn)略目標的過程。IT管理聚焦于公司的信息及信息系統(tǒng)的戰(zhàn)術(shù)和運營層面，通過梳理IT對業(yè)務的支持流程，以確保IT目標以及為此目標實現(xiàn)所采取的行動。審計電算化研習報告——IT治理可以說IT治理包涵IT效勞管理，IT治理更多的是從戰(zhàn)略高度來闡述IT與業(yè)務戰(zhàn)略的有機融合，而IT效勞管理是在戰(zhàn)術(shù)和運營層面具體實現(xiàn)IT治理。二、IT治理目標整合信息技術(shù)與業(yè)務目標有效利用信息資源風險管理價值交付資源管理績效度量審計電算化研習報告——IT治理三、IT治理的主要內(nèi)容〔重點〕IT職能結(jié)構(gòu)計算機中心災難恢復方案審計電算化研習報告——IT治理〔一〕IT職能結(jié)構(gòu)1、集中數(shù)據(jù)處理模式〔centralizeddataprocessingmode〕2、分散數(shù)據(jù)處理模式〔distributeddataprocessingmode〕

集中數(shù)據(jù)處理模式

數(shù)據(jù)庫管理〔databaseadministration〕數(shù)據(jù)加工〔dataprocessing〕系統(tǒng)開發(fā)〔systemdevelopment〕系統(tǒng)數(shù)據(jù)數(shù)據(jù)使用者分散數(shù)據(jù)處理模式分散數(shù)據(jù)處理的優(yōu)勢：運營本錢較低改善本錢控制責任備份具有靈活性分散數(shù)據(jù)處理的劣勢：數(shù)據(jù)利用不充分職責分配不明確缺少統(tǒng)一的標準〔二〕計算機中心地理位置構(gòu)造路徑通氣狀況防火設施容錯審計目標審計過程地理位置遠離危險區(qū)域遠離公共交通繁華的區(qū)域不能放在地下室構(gòu)造計算機中心應當單獨占鞏固建筑物的單獨一層計算機的線路應當埋在地下放置計算機中心的房間的窗戶不能翻開，但是有空氣過濾設備。路徑通往計算機中心的通道僅供計算機管理員和其他相關(guān)人員使用。通道中安裝門禁系統(tǒng)安裝閉路監(jiān)控系統(tǒng)登陸認證措施精確的訪問記錄通氣狀況華氏70~75，攝氏21~24濕度50%防火措施安裝人工報警器和自動報警器自動滅火系統(tǒng)，噴灑特定的溶劑來滅火重要的地點要放置滅火器放置計算機中心的建筑物能夠承受放火系統(tǒng)的破壞明確的標識應急通道容錯使用磁盤陣列不間斷的電源供給審計目標計算機中心有合理的保護措施保險的范圍包括計算機中心的損毀或消滅審計過程測試物理構(gòu)造測試火災警報和放火系統(tǒng)測試通道控制測試磁盤陣列測試應急電源供給測試保險的范圍〔三〕災難恢復方案起源種類這些領(lǐng)域的其中一些

1、人為錯誤

2、惡意的行為

3、病毒

4、軟件故障

5、意外的結(jié)果

災難恢復方案主要注意的四點〔1〕1、識別重要的應用災難恢復方案的最根本的步驟是識別重要的應用和有關(guān)的數(shù)據(jù)文件。2、建立災難恢復方案團隊

災難恢復方案主要注意的四點〔2〕3、提供備用地點的支持災難恢復方案中的一個要素是提供在災難發(fā)生之后復制數(shù)據(jù)處理的功能設施。在所有可能有效的選擇中，最常見的是以下四個〔1〕互助協(xié)定〔2〕空殼〔也稱為冷備援計算機中心〕〔3〕恢復操作中心〔也稱為熱備援計算機中心〕〔4〕內(nèi)部提供的后援災難恢復方案主要注意的四點〔3〕4、備份及離線存儲過程的詳細闡述〔1〕操作系統(tǒng)備份〔2〕審計目標〔3〕審計程序四、IT治理的運行機制審計電算化研習報告——IT治理五、IT治理與信息系統(tǒng)審計〔重點〕信息系統(tǒng)審計的定義IT治理與信息系統(tǒng)審計的關(guān)系信息系統(tǒng)審計的職能信息系統(tǒng)的內(nèi)部控制信息與相關(guān)技術(shù)的控制目標〔CobiT〕審計電算化研習報告——IT治理〔一〕信息系統(tǒng)審計的定義信息系統(tǒng)審計(InformationSystemAuditing)，簡稱IS審計，目前還沒有固定通用的定義。定義一：信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的平安、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。定義二：為了信息系統(tǒng)的平安、可靠與有效，由獨立于審計對象的IS審計師，以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向IS審計對象的最高領(lǐng)導提出問題與建議的一連串的活動。審計電算化研習報告——IT治理審計對象：審計對象存在于信息系統(tǒng)的整個生命周期之中，是指各類以計算機為核心的信息系統(tǒng)及其相關(guān)的技術(shù)和管理活動。責任與義務：信息系統(tǒng)審計應該由審計方與委托方簽署審計合同，合同應闡述信息系統(tǒng)審計的義務、權(quán)利、責任和績效度量，信息系統(tǒng)審計實現(xiàn)委托方的組織目標，提供反響、保證及建議。信息系統(tǒng)審計師的獨立性。審計過程：信息系統(tǒng)審計師應獲得充分、可靠、相關(guān)和有用的證據(jù)，以有效地實現(xiàn)審計目標，審計結(jié)論應當建立在對證據(jù)合理的分析和解釋的根底之上。審計結(jié)果：信息系統(tǒng)審計師應提交一份按要求格式書寫的審計報告。審計電算化研習報告——IT治理信息系統(tǒng)審計要點〔二〕IT治理與信息系統(tǒng)審計的關(guān)系〔1〕審計電算化研習報告——IT治理IT治理與信息系統(tǒng)審計的關(guān)系〔2〕審計電算化研習報告——IT治理IT治理缺失的癥狀詳細描述針對問題采取的IS審計各自為政缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃，目標不明確，標準不統(tǒng)一，處在混亂無序的狀態(tài)，形成很多在全力保護下的信息孤島，缺乏共享的、網(wǎng)絡化的信息資源審計各企業(yè)CA(CertificateAuthority)認證，督促建立行業(yè)CA認證信息化假設領(lǐng)導者錯位，IT應用方案和企業(yè)業(yè)務需求之間邏輯錯位過去的信息化工程是技術(shù)專家主導下進行的，而不是經(jīng)濟專家或管理專家主導，較少聚焦在IT戰(zhàn)略和組織戰(zhàn)略目標的互動上，較少考慮信息技術(shù)如何形成企業(yè)核心競爭力，如何避免風險等。分析審計奉獻中的組織機構(gòu)因素，對于技術(shù)專家類領(lǐng)導者相關(guān)的風險要設定控制風險為低水平信息資源的合理應用信息處理環(huán)境建設滯后于物理環(huán)境建設，許多企業(yè)數(shù)據(jù)庫混亂狀況與其先進的計算機環(huán)境和網(wǎng)絡環(huán)境不相稱，使信息化建設無法取得實收，造成浪費加強信息化應用績效評價IT治理與信息系統(tǒng)審計的關(guān)系〔3〕審計電算化研習報告——IT治理利益沖突和信息不透明在任何一個IT戰(zhàn)略決策當中都會不可避免地發(fā)生利益相關(guān)者之間的利益沖突；某些廠商利用信息不對稱欺騙客戶對IT管理系統(tǒng)進行評價IT安全治理和風險管理缺位突出表現(xiàn)為重視安全技術(shù)，輕視安全管理，沒有形成合理的信息安全方針來知道組織的信息安全管理工作，在安全規(guī)劃、風險管理、應急計劃等許多方面總是出現(xiàn)問題才想補救辦法，是一種靜態(tài)管理進行風險評估，確定風險評估范圍、程序以及具體方法非技術(shù)性的障礙信息技術(shù)不僅僅是一種工具，一些非技術(shù)性的問題往往是導致企業(yè)信息化不成功的根源對公司管理層經(jīng)營理念進行評價，根據(jù)非技術(shù)障礙的深層原因?qū)T領(lǐng)導力水平作出評價和提出建議〔三〕信息系統(tǒng)審計的職能審計電算化研習報告——IT治理“保證”即“系統(tǒng)可靠性保證”，指通過對信息系統(tǒng)運行過程、商業(yè)連續(xù)性能力、維護狀況進行評價，合理保證信息系統(tǒng)平安、穩(wěn)定、有效，它是信息系統(tǒng)審計最根本的職能?！白稍儭笔侵笇徲嬋藛T能夠向信息系統(tǒng)的高層管理者以及使用者提供解決問題的方案，以到達改善經(jīng)營和為組織增加價值的目的?！菜摹承畔⑾到y(tǒng)的內(nèi)部控制信息系統(tǒng)控制是企業(yè)為了保證信息系統(tǒng)的效率、平安性和完整一致性而采取的控制措施。可分為一般控制和應用控制兩類。一般控制是對信息系統(tǒng)的開發(fā)、實施、維護和運行進行的控制，其目的是確保應用系統(tǒng)的有效運行。應用控制是對信息系統(tǒng)的某一處理的過程實施的控制，隨著業(yè)務的不同而不同，一般按照處理的環(huán)節(jié)把應用控制分為輸入控制、處理控制和輸出控制。審計電算化研習報告——IT治理一般控制測試例如〔1〕審計電算化研習報告——IT治理控制領(lǐng)域常用的控制測試組織控制1、檢查員工的分工情況，確定是否貫徹了不相容職責分離2、查明重要員工休假時，其工作是如何安排的，是否違背了不相容原則3、現(xiàn)場觀察和詢問與組織相關(guān)的操作系統(tǒng)開發(fā)控制1、檢查系統(tǒng)開發(fā)過程是否有內(nèi)審人員參與，在每個開發(fā)階段結(jié)束時，內(nèi)審人員是否進行了評價2、檢查系統(tǒng)開發(fā)周期的文檔是否準確完整，確認系統(tǒng)開發(fā)活動是否符合既定的規(guī)劃與政策3、檢查系統(tǒng)開發(fā)各個階段的報告是否獲得使用者以及企業(yè)高層的簽字認可操作控制1、檢查各種操作手冊2、檢查操作日志，并對于出現(xiàn)的事件詢問有關(guān)操作人員3、觀察IT人員的具體操作4、觀察IT部分的活動，包括日常備份、上傳下載數(shù)據(jù)文件的行為5、通過手動日志查看服務器何時癱瘓過，并檢查服務器的自動日志，對手動的工作與服務器日志進行對比，并確認系統(tǒng)是否恢復到原來的安全環(huán)境一般控制測試例如一般控制測試例如〔2〕審計電算化研習報告——IT治理備份與恢復控制1、向首席信息官以及基礎(chǔ)設施部經(jīng)理了解和討論有關(guān)備份的政策2、觀察某日的備份程序，見證備份磁盤被帶離現(xiàn)場，并立刻妥善保管3、詢問在何種時刻需要進行恢復系統(tǒng)，檢查何時進行過這樣的操作，檢查所有的工作日志，并確認恢復成功訪問控制1、獲取用戶的訪問權(quán)和文件的打印權(quán)限控制表，并對其中的一些向系統(tǒng)管理員進一步了解2、詢問操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的配置情況，并同系統(tǒng)管理員一起進行查看一些重要參數(shù)3、訪問與檢查系統(tǒng)的日志，了解什么人何時多少對它進行監(jiān)控。統(tǒng)計其頻率是否滿足公司系統(tǒng)安全的要求系統(tǒng)維護控制1、向基礎(chǔ)設施部經(jīng)理與應用開發(fā)部經(jīng)理詢問有關(guān)系統(tǒng)的維護政策和程序2、檢查應用開發(fā)部經(jīng)理對程序的變更審批情況，確定是否所有的程序變更都有更新報告，并出現(xiàn)在基礎(chǔ)設施部的日志中災難恢復控制1、向首席信息官以及基礎(chǔ)設施部經(jīng)理了解災難恢復計劃2、檢查災難恢復計劃，并檢查與測試文件〔五〕信息與相關(guān)技術(shù)的控制目標〔CobiT〕CobiT對IT流程定義了四個主要的域：方案和組織、獲取與實施、交付和支持、監(jiān)控這四個領(lǐng)域都明確了控制目標和進程，它可以采用最正確做法設計一個有效的框架。具體來說，CobiT為控制IT過程提供成熟度模型，使管理層能夠映射本組織當前的成熟度水平，使組織能夠明確當前與行業(yè)一流組織之間的差距，以及組織希望到達的預期水平。審計電算化研習報告——IT治理六、IT功能外包〔重點〕IT外包的含義IT外包的相關(guān)理論研究IT外包的作用典型的外包價值鏈IT外包的風險IT外包的審計準那么審計電算化研習報告——IT治理〔一〕IT外包的含義信息技術(shù)外包〔IToutsourcing〕是指企業(yè)專注于自己的核心業(yè)務，而聘用效勞提供商或者供給商來建立、維持或重新設計公司的IT架構(gòu)和系統(tǒng)。深入的講還包括高技術(shù)含量高附加值的應用系統(tǒng)和業(yè)務流程外包效勞，協(xié)助企業(yè)用較低的投入獲得較高的信息化建設和應用水平。審計電算化研習報告——IT治理〔二〕IT外包的相關(guān)理論研究目前比較主流的IT外包理論有兩種核心競爭力理論〔CoreCompetencyTheory〕交易本錢經(jīng)濟理論〔TransactionCostEconomics〕在辨析兩個理論的核心觀點之前，有必要介紹兩個概念：作為商品的IT資產(chǎn)〔CommodityITassets〕和特定的IT資產(chǎn)〔SpecificITassets〕審計電算化研習報告——IT治理兩個概念審計電算化研習報告——IT治理作為商品的IT資產(chǎn)這類資產(chǎn)沒有很強的獨特性，可以容易地從從市場上活得。這類IT資產(chǎn)包括網(wǎng)絡管理、系統(tǒng)運行、效勞器維護和幫助臺運營。對于企業(yè)和組織來說往往是獨特的，多用于支持其戰(zhàn)略目標。這也就決定了特定的IT資產(chǎn)對于某一個企業(yè)來說有很大作用，但是對于其他企業(yè)來說卻沒有同等大的作用。特定的IT資產(chǎn)包括系統(tǒng)優(yōu)化、應用維護、數(shù)據(jù)倉庫和相關(guān)專業(yè)人員的培訓。外包理論之一：核心競爭力理論核心競爭力理論認為，企業(yè)和組織應該專注于其具有核心競爭力的業(yè)務，把非核心的一些領(lǐng)域——例如IT功能部門——外包給其他有效率的公司。聽上去確實是合理的，但是非常重要的是，這個前提忽略了作為商品的IT資產(chǎn)和特定的IT資產(chǎn)這個兩個不同的概念。審計電算化研習報告——IT治理外包理論之二：交易本錢經(jīng)濟理論交易本錢經(jīng)濟理論認為企業(yè)和組織應該保存某些核心IT資產(chǎn)在其內(nèi)部，比方特定的IT資產(chǎn)。由于特定的IT資產(chǎn)具有一定的機密性，因此當已經(jīng)建立的外包合同被撤銷以后，如何做好保密工作，讓此類IT資產(chǎn)在發(fā)包的企業(yè)和組織內(nèi)部發(fā)揮和原來同等的效力，是個棘手的問題。但是對于作為商品的IT資產(chǎn)，TCE理論還是支持對其進行外包以減少本錢的。審計電算化研習報告——IT治理〔三〕IT外包的作用1、減輕內(nèi)部IT工作負擔。這樣公司就可以把重點放在關(guān)鍵的活動，例如IT戰(zhàn)略開展以及IT目標與業(yè)務戰(zhàn)略的融合。2、在提高流程效率水平方面實現(xiàn)重大改進。外包的概念上包括流程再造，有由此使IT的功能更有效率、更積極。3、提供一個IT技能的共享，否那么可能在組織內(nèi)部難以長期保存。因此，供給商提供了一系列IT能力和技能，這些技能可以作為IT部門的骨干力量。審計電算化研習報告——IT治理〔四〕典型的外包價值鏈企業(yè)的價值創(chuàng)造是通過一系列活動構(gòu)成的，這些活動可分為根本活動和輔助活動兩類，這些互不相同但又相互關(guān)聯(lián)的生產(chǎn)經(jīng)營活動，構(gòu)成了一個創(chuàng)造價值的動態(tài)過程，即價值鏈。一個典型的外包價值鏈包括六個環(huán)節(jié)，依次為：聯(lián)盟、可行性分析、交易、轉(zhuǎn)換、最優(yōu)化、終止與重新談判。審計電算化研習報告——IT治理審計電算化研習報告——IT治理〔五〕IT外包的風險不能履行的義務：發(fā)包企業(yè)的狀況就和承包企業(yè)的工作成果相關(guān)聯(lián)，如果由于某些原因發(fā)包企業(yè)無法按期完成外包任務，那么顯然客戶會受到嚴重影響。來自承包方的剝削：作為承包方，它通常是從客戶那里取得特殊資產(chǎn)，而且很難將特殊資產(chǎn)再轉(zhuǎn)賣，因此它承擔了很大的風險。顯然客戶要為特殊資產(chǎn)的轉(zhuǎn)移支付很大的費用。一旦發(fā)生轉(zhuǎn)移，特殊資產(chǎn)的所有權(quán)就歸屬于承包企業(yè)，因此承包企業(yè)就有時機利用對特殊資產(chǎn)的升級和維護等增值效勞向客戶收取高額的費用。而且隨著客戶IT方面需求的不斷增加，掌握特殊資產(chǎn)、處于主動地位的承包方可以向客戶收取更多的額外費用。審計電算化研習報告——IT治理外包的本錢超過收益：客戶沒有充分考慮到在挑選承包方、簽訂合同和IT承包方替換等方面帶來的本錢減少的信息平安：如果一家美國公司將其IT業(yè)務外包給了巴基斯坦的一家公司進行處理，那么如果外包公司的員工由于某些問題而導致不滿，他們就可能將客戶的資料公開到網(wǎng)上。失去戰(zhàn)略上的優(yōu)勢：IT外包可能導致客戶公司的戰(zhàn)略方案與承包公司的實際運營不協(xié)調(diào)。審計電算化研習報告——IT治理〔六〕IT外包的審計準那么薩班斯(SOX)第二號審計準那么中寫道，“管理人員對公司外部效勞的使用并不能減少其在保持內(nèi)控有效性的根底上對公司財務業(yè)績的報告。”相反地，管理人員應該對提供效勞的公司提供適當?shù)目刂啤Ｈ绻粋€外包公司的工作人員掌握著客戶公司的關(guān)鍵數(shù)據(jù)和交易資料，或者承擔了其他重要的工作，那么審計師就需要進一步對外包公司的內(nèi)控進行評估，或者從外包公司出獲得SAS第70號〔StatementonAuditingStandardNo.70〕審計師報告。審計電算化研習報告——IT治理SAS70與SAS70報告SAS70是美國注冊會計師協(xié)會〔AICPA〕制定的審計標準。這個標準效勞提供商取得關(guān)于他們的控制目標和控制過程的獨立保證。SAS70報告是最知名的效勞審計師報告，它是由獨立審計師總結(jié)SAS70，簽發(fā)給效勞組織的，提供了效勞提供商控制的描述。有兩種類型的效勞審計師報告：I型和II型審計電算化研習報告——IT治理SAS70報告與公司的聯(lián)系審計電算化研習報告——IT治理七、現(xiàn)實中的困難與對策IT治理的困難信息系統(tǒng)審計主要存在的問題幾點建議審計電算化研習報告——IT治理〔一〕IT治理的困難〔1〕國內(nèi)外對信息資產(chǎn)的監(jiān)管目