信息系統(tǒng)審計(jì)與IT治理課件

《信息系統(tǒng)審計(jì)與IT治理課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)審計(jì)與IT治理課件（18頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,組長(zhǎng)：,從嘉琪（,PPT,制作）,組員：,張琳琳，胡紅燕（,IT,治理，,ISA,基本內(nèi)容）,劉唯一，徐逸檸，王毓秀（,COBIT,案例）,何詩(shī)雯（兩者關(guān)系）,&,信息系統(tǒng)審計(jì),IT,治理,組長(zhǎng)：從嘉琪（PPT制作）&信息系統(tǒng)審計(jì) IT治,IT,治理,IT治理,定義,企業(yè)IT治理（GEIT）指的是一個(gè)所有利益相關(guān)者（包括董事會(huì)、高級(jí)管理層、內(nèi)部客戶以及財(cái)務(wù)等部門）均可參與決策過(guò)程的體系。,GEIT是董事會(huì)和執(zhí)行管理部門的職責(zé)。,國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的定義,:,IT,治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，

2、用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo),。,定義企業(yè)IT治理（GEIT）指的是一個(gè)所有利益相關(guān)者（包括董,內(nèi)涵,IT,治理必須與企業(yè)戰(zhàn)略目標(biāo)一致,IT,治理以明確的期望值和衡量手段，確保,IT,按照目標(biāo)交付適用的功能和期望的收益。,IT,治理和其他治理主體一樣，是管理執(zhí)行經(jīng)理和利益相關(guān)者的責(zé)任,IT,治理不是孤立的規(guī)范和活動(dòng)，而是公司治理的有機(jī)組成部分,IT,治理在組織內(nèi)多個(gè)層面進(jìn)行,內(nèi)涵IT 治理必須與企業(yè)戰(zhàn)略目標(biāo)一致,IT,治理目標(biāo)：價(jià)值創(chuàng)造,GEIT,的目的是引導(dǎo),IT,活動(dòng)以確保,IT,執(zhí)行情況足以實(shí)現(xiàn),IT,與企業(yè)目標(biāo)保持一致并實(shí)現(xiàn)所承諾效益等

3、目標(biāo)。,GEIT,涉及兩個(gè)問(wèn)題：一是，,IT,應(yīng)該為業(yè)務(wù)帶來(lái)價(jià)值；二是，需要對(duì),IT,風(fēng)險(xiǎn)進(jìn)行管理。,實(shí)現(xiàn)收益,優(yōu)化風(fēng)險(xiǎn),優(yōu)化資源,治理目標(biāo)：創(chuàng)造價(jià)值,利益相關(guān)者需要,驅(qū)動(dòng),IT治理目標(biāo)：價(jià)值創(chuàng)造GEIT的目的是引導(dǎo)IT活動(dòng)以確保IT,COBIT5,治理和管理關(guān)鍵領(lǐng)域,COBIT5,由,ISACA,開發(fā),通過(guò)提供一個(gè)框架來(lái)確保,IT,與業(yè)務(wù)保持一致、,IT,使業(yè)務(wù)正常運(yùn)轉(zhuǎn)并使企業(yè)獲得最大利益,以及負(fù)責(zé)任地使用,IT,資源和適當(dāng)?shù)毓芾?IT,風(fēng)險(xiǎn),從而支持,GEIT,。,評(píng)價(jià),指導(dǎo),監(jiān)控,治理,管理,計(jì)劃,構(gòu)建,運(yùn)行,監(jiān)控,管理層反饋,業(yè)務(wù)需求,COBIT5治理和管理關(guān)鍵領(lǐng)域COBIT5由 IS

4、ACA開發(fā),信息系統(tǒng)審計(jì),信息系統(tǒng)審計(jì),發(fā)展歷程,萌芽階段,1940,年代：第一臺(tái)計(jì)算機(jī)誕生,1950,年代：計(jì)算機(jī)化的會(huì)計(jì)系統(tǒng)出現(xiàn)，“繞過(guò)計(jì)算機(jī)審計(jì)”,1960,年代：計(jì)算機(jī)與相關(guān)的應(yīng)用軟件開始普及，產(chǎn)生了“,EDP,（電子數(shù)據(jù)處理）審計(jì)”,發(fā)展,1970,年代：“美國(guó)權(quán)益融資公司”的審計(jì)中，審計(jì)人員首次采用“通過(guò)計(jì)算機(jī)審計(jì)”的審計(jì)方法,1977,年，,EDP,審計(jì)師協(xié)會(huì)出版行業(yè)標(biāo)準(zhǔn),COBIT,1978,年，該協(xié)會(huì)推出了,CISA,（注冊(cè)信息系統(tǒng)審計(jì)師）資格認(rèn)證,成熟,1980,年代，美國(guó)、日本等開始制定自己的標(biāo)準(zhǔn),普及,1994,年，,EDP,審計(jì)師協(xié)會(huì)更名為“信息系統(tǒng)審計(jì)與控制協(xié)會(huì)”（

5、,ISACA,）,1998,年，,AT&T,公司的,IT,故障使全世界的商務(wù)和通訊受到了重大影響。這類事故的發(fā)生，使人們關(guān)注,IT,服務(wù)的可靠性問(wèn)題，這些公司有了信息系統(tǒng)審計(jì)的需要。,發(fā)展歷程萌芽階段,定義,ISACA,我國(guó),信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整以及有效率低利用組織的資源并有效果地實(shí)現(xiàn)組織目標(biāo)的過(guò)程。,審計(jì)署：,信息系統(tǒng)審計(jì)是,指國(guó)家審計(jì)機(jī)關(guān)依法對(duì)被審計(jì)單位信息系統(tǒng)的真實(shí)性、合法性、效益性和安全性進(jìn)行檢查監(jiān)督的活動(dòng)。,中國(guó)內(nèi)部審計(jì)協(xié)會(huì)：信息系統(tǒng)審計(jì)是指內(nèi)部審計(jì)機(jī)構(gòu)和內(nèi)部審計(jì)人員對(duì)組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進(jìn)行的審

6、查與評(píng)價(jià)活動(dòng)。,定義ISACA我國(guó)信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì),審計(jì)內(nèi)容,審計(jì)特點(diǎn),審計(jì)信息系統(tǒng)的流程,IT,治理與管理,信息系統(tǒng)的購(gòu)置，開發(fā)與實(shí)施,信息系統(tǒng)的操作，維護(hù)與服務(wù)管理,信息資產(chǎn)的保護(hù),災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性計(jì)劃,幾乎審計(jì)的所有領(lǐng)域都應(yīng)用現(xiàn)代信息技術(shù),信息數(shù)據(jù)的安全、可靠,更需要依靠專家支持,審計(jì)覆蓋面擴(kuò)大,對(duì)審計(jì)人員的專業(yè)性要求更高,審計(jì)內(nèi)容審計(jì)特點(diǎn)審計(jì)信息系統(tǒng)的流程幾乎審計(jì)的所有領(lǐng)域都應(yīng)用現(xiàn),問(wèn)題風(fēng)險(xiǎn)及對(duì)策,問(wèn)題風(fēng)險(xiǎn),對(duì)策,會(huì)計(jì)信息系統(tǒng)自身的缺陷,電子形式的數(shù)據(jù)存儲(chǔ)易發(fā)生的存儲(chǔ)，竊取，破壞風(fēng)險(xiǎn),有效的審計(jì)軟件欠缺,專業(yè)會(huì)計(jì)信息系統(tǒng)審計(jì)專人才欠缺,對(duì)于信息系統(tǒng)審計(jì)態(tài)度

7、不端正,行業(yè)之間信息溝通障礙,提高審計(jì)風(fēng)險(xiǎn)的防范能力,建立統(tǒng)一的會(huì)計(jì)審計(jì)系統(tǒng)，開發(fā)會(huì)計(jì)審計(jì)軟件,專業(yè)人才隊(duì)伍建立健全,審計(jì),端正審計(jì)人員對(duì)于信息系統(tǒng)審計(jì)的態(tài)度,跨行業(yè)的信息技術(shù)整合,問(wèn)題風(fēng)險(xiǎn)及對(duì)策問(wèn)題風(fēng)險(xiǎn)對(duì)策會(huì)計(jì)信息系統(tǒng)自身的缺陷提高審計(jì)風(fēng)險(xiǎn),兩者關(guān)系,信息系統(tǒng)審計(jì)是企業(yè)進(jìn)行,IT,治理的一個(gè)重要組成部分。,監(jiān)督和檢查：,通過(guò)信息系統(tǒng)審計(jì)發(fā)現(xiàn)企業(yè)信息化存在的問(wèn)題，發(fā)現(xiàn)自身的不足，完善,IT,治理的控制作用。,報(bào)告和促進(jìn)：,通過(guò)信息系統(tǒng)審計(jì)，編制審計(jì)報(bào)告，提出建議，幫助企業(yè)建立起完善和細(xì)化的流程和制度，確保,IT,治理方向與業(yè)務(wù)目標(biāo)一致，進(jìn)而確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進(jìn)行，確保

8、企業(yè)的總體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。,兩者關(guān)系信息系統(tǒng)審計(jì)是企業(yè)進(jìn)行IT治理的一個(gè)重要組成部分。,基于,IT,治理構(gòu)建,我國(guó)信息系統(tǒng)控制與審計(jì)體系,確定信息系統(tǒng)控制目標(biāo),建立適用的、協(xié)同的,IT,標(biāo)準(zhǔn)模式,制定相關(guān)管理指南,完善控制與審計(jì)指南,基于IT治理構(gòu)建我國(guó)信息系統(tǒng)控制與審計(jì)體系確定信息系統(tǒng)控制,中國(guó)人壽信息系統(tǒng)審計(jì)的案例,審計(jì)框架,在框架內(nèi)容上，借鑒傳統(tǒng)信息系統(tǒng)審計(jì)的方式和方法，針對(duì)不同風(fēng)險(xiǎn)類型，分別釆用一般控制審計(jì)、應(yīng)用系統(tǒng)控制測(cè)試相結(jié)合，,一般控制審計(jì)為主、應(yīng)用系統(tǒng)控制測(cè)試為輔,的方式開展。,一般控制審計(jì),應(yīng)用控制審計(jì),整體審計(jì)框架,中國(guó)人壽信息系統(tǒng)審計(jì)的案例審計(jì)框架一般控制審計(jì)應(yīng)用控制審計(jì)

9、整,一般控制審計(jì),一般控制審計(jì)主要是,針對(duì)公司各個(gè),IT,流程中各類系統(tǒng)構(gòu)成外部要素,的,較大范圍控制審計(jì),，目的是,確保系統(tǒng)安全運(yùn)行、保護(hù)數(shù)據(jù)和程序、防止非法入侵以及系統(tǒng)在突發(fā)事件后的應(yīng)急處理。,根據(jù),COBIT,原理，公司所有,IT,活動(dòng)都可以依照進(jìn)行的不同階段進(jìn)行分類，因此，對(duì),IT,流程按照,系統(tǒng)生命周標(biāo)準(zhǔn),，劃分為,IT,治理、研發(fā)與上線、運(yùn)維與支持、考核與管理,，分別,對(duì)應(yīng),COBIT,標(biāo)準(zhǔn)模式中的,計(jì)劃與組織、獲取與實(shí)施、交付與支持、督與評(píng)價(jià),四個(gè)領(lǐng)域。每個(gè)領(lǐng)域梳理各自包含對(duì)應(yīng)階段涉及的,IT,標(biāo)準(zhǔn)流程。,一般控制審計(jì)一般控制審計(jì)主要是針對(duì)公司各個(gè)IT流程中各類系統(tǒng),信息系統(tǒng)審計(jì)

10、與IT治理課件,應(yīng)用系統(tǒng)控制審計(jì)設(shè)計(jì),所謂應(yīng)用糸統(tǒng)控制，是指信息系統(tǒng)在發(fā)起、記錄、處理以及展現(xiàn)業(yè)務(wù)數(shù)據(jù)時(shí)，系統(tǒng)自發(fā)地采取某種控制手段，確保業(yè)務(wù)數(shù)據(jù)的完整性、準(zhǔn)確性。,針對(duì)壽險(xiǎn)行業(yè)的信息原統(tǒng)而言，應(yīng)用系統(tǒng)控制功能上主要包括包含以下幾個(gè)類型：,計(jì)算型,校驗(yàn)型,觸發(fā)型,參數(shù)型,應(yīng)用系統(tǒng)控制審計(jì)設(shè)計(jì)所謂應(yīng)用糸統(tǒng)控制，是指信息系統(tǒng)在發(fā)起、記,基于,COBIT,理論審計(jì)框架的設(shè)計(jì)，,涵蓋了中國(guó)人壽中,20,個(gè)關(guān)鍵流程，覆蓋了生命周期的四個(gè)階,段的活動(dòng)，同時(shí)分析了每個(gè)不同流程審計(jì)應(yīng)該關(guān)注的風(fēng)險(xiǎn)控制點(diǎn)，并設(shè)計(jì)相應(yīng)的審計(jì)方法。,因此，與傳統(tǒng)審計(jì)方式相比而言，利用基于,COBIT,的審計(jì)框架在指導(dǎo)開展信息系統(tǒng)審計(jì)時(shí)，內(nèi)容上可以,覆蓋整個(gè)系統(tǒng)的生命周期,，基本,確保不存在重大審計(jì)盲區(qū)而導(dǎo)致的系統(tǒng)性風(fēng)險(xiǎn),。,基于COBIT理論審計(jì)框架的設(shè)計(jì)，涵蓋了中國(guó)人壽中20個(gè)關(guān)鍵,