信息系統(tǒng)審計與IT治理課件

《信息系統(tǒng)審計與IT治理課件》由會員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)審計與IT治理課件（18頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,組長：,從嘉琪（,PPT,制作）,組員：,張琳琳，胡紅燕（,IT,治理，,ISA,基本內(nèi)容）,劉唯一，徐逸檸，王毓秀（,COBIT,案例）,何詩雯（兩者關(guān)系）,&,信息系統(tǒng)審計,IT,治理,組長：從嘉琪（PPT制作）&信息系統(tǒng)審計 IT治,IT,治理,IT治理,定義,企業(yè)IT治理（GEIT）指的是一個所有利益相關(guān)者（包括董事會、高級管理層、內(nèi)部客戶以及財務(wù)等部門）均可參與決策過程的體系。,GEIT是董事會和執(zhí)行管理部門的職責。,國際信息系統(tǒng)審計與控制協(xié)會的定義,:,IT,治理是一個由關(guān)系和過程所構(gòu)成的體制，

2、用于指導和控制企業(yè)，通過平衡信息技術(shù)與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標,。,定義企業(yè)IT治理（GEIT）指的是一個所有利益相關(guān)者（包括董,內(nèi)涵,IT,治理必須與企業(yè)戰(zhàn)略目標一致,IT,治理以明確的期望值和衡量手段，確保,IT,按照目標交付適用的功能和期望的收益。,IT,治理和其他治理主體一樣，是管理執(zhí)行經(jīng)理和利益相關(guān)者的責任,IT,治理不是孤立的規(guī)范和活動，而是公司治理的有機組成部分,IT,治理在組織內(nèi)多個層面進行,內(nèi)涵IT 治理必須與企業(yè)戰(zhàn)略目標一致,IT,治理目標：價值創(chuàng)造,GEIT,的目的是引導,IT,活動以確保,IT,執(zhí)行情況足以實現(xiàn),IT,與企業(yè)目標保持一致并實現(xiàn)所承諾效益等

3、目標。,GEIT,涉及兩個問題：一是，,IT,應(yīng)該為業(yè)務(wù)帶來價值；二是，需要對,IT,風險進行管理。,實現(xiàn)收益,優(yōu)化風險,優(yōu)化資源,治理目標：創(chuàng)造價值,利益相關(guān)者需要,驅(qū)動,IT治理目標：價值創(chuàng)造GEIT的目的是引導IT活動以確保IT,COBIT5,治理和管理關(guān)鍵領(lǐng)域,COBIT5,由,ISACA,開發(fā),通過提供一個框架來確保,IT,與業(yè)務(wù)保持一致、,IT,使業(yè)務(wù)正常運轉(zhuǎn)并使企業(yè)獲得最大利益,以及負責任地使用,IT,資源和適當?shù)毓芾?IT,風險,從而支持,GEIT,。,評價,指導,監(jiān)控,治理,管理,計劃,構(gòu)建,運行,監(jiān)控,管理層反饋,業(yè)務(wù)需求,COBIT5治理和管理關(guān)鍵領(lǐng)域COBIT5由 IS

4、ACA開發(fā),信息系統(tǒng)審計,信息系統(tǒng)審計,發(fā)展歷程,萌芽階段,1940,年代：第一臺計算機誕生,1950,年代：計算機化的會計系統(tǒng)出現(xiàn)，“繞過計算機審計”,1960,年代：計算機與相關(guān)的應(yīng)用軟件開始普及，產(chǎn)生了“,EDP,（電子數(shù)據(jù)處理）審計”,發(fā)展,1970,年代：“美國權(quán)益融資公司”的審計中，審計人員首次采用“通過計算機審計”的審計方法,1977,年，,EDP,審計師協(xié)會出版行業(yè)標準,COBIT,1978,年，該協(xié)會推出了,CISA,（注冊信息系統(tǒng)審計師）資格認證,成熟,1980,年代，美國、日本等開始制定自己的標準,普及,1994,年，,EDP,審計師協(xié)會更名為“信息系統(tǒng)審計與控制協(xié)會”（

5、,ISACA,）,1998,年，,AT&T,公司的,IT,故障使全世界的商務(wù)和通訊受到了重大影響。這類事故的發(fā)生，使人們關(guān)注,IT,服務(wù)的可靠性問題，這些公司有了信息系統(tǒng)審計的需要。,發(fā)展歷程萌芽階段,定義,ISACA,我國,信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整以及有效率低利用組織的資源并有效果地實現(xiàn)組織目標的過程。,審計署：,信息系統(tǒng)審計是,指國家審計機關(guān)依法對被審計單位信息系統(tǒng)的真實性、合法性、效益性和安全性進行檢查監(jiān)督的活動。,中國內(nèi)部審計協(xié)會：信息系統(tǒng)審計是指內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審

6、查與評價活動。,定義ISACA我國信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計,審計內(nèi)容,審計特點,審計信息系統(tǒng)的流程,IT,治理與管理,信息系統(tǒng)的購置，開發(fā)與實施,信息系統(tǒng)的操作，維護與服務(wù)管理,信息資產(chǎn)的保護,災(zāi)難恢復與業(yè)務(wù)連續(xù)性計劃,幾乎審計的所有領(lǐng)域都應(yīng)用現(xiàn)代信息技術(shù),信息數(shù)據(jù)的安全、可靠,更需要依靠專家支持,審計覆蓋面擴大,對審計人員的專業(yè)性要求更高,審計內(nèi)容審計特點審計信息系統(tǒng)的流程幾乎審計的所有領(lǐng)域都應(yīng)用現(xiàn),問題風險及對策,問題風險,對策,會計信息系統(tǒng)自身的缺陷,電子形式的數(shù)據(jù)存儲易發(fā)生的存儲，竊取，破壞風險,有效的審計軟件欠缺,專業(yè)會計信息系統(tǒng)審計專人才欠缺,對于信息系統(tǒng)審計態(tài)度

7、不端正,行業(yè)之間信息溝通障礙,提高審計風險的防范能力,建立統(tǒng)一的會計審計系統(tǒng)，開發(fā)會計審計軟件,專業(yè)人才隊伍建立健全,審計,端正審計人員對于信息系統(tǒng)審計的態(tài)度,跨行業(yè)的信息技術(shù)整合,問題風險及對策問題風險對策會計信息系統(tǒng)自身的缺陷提高審計風險,兩者關(guān)系,信息系統(tǒng)審計是企業(yè)進行,IT,治理的一個重要組成部分。,監(jiān)督和檢查：,通過信息系統(tǒng)審計發(fā)現(xiàn)企業(yè)信息化存在的問題，發(fā)現(xiàn)自身的不足，完善,IT,治理的控制作用。,報告和促進：,通過信息系統(tǒng)審計，編制審計報告，提出建議，幫助企業(yè)建立起完善和細化的流程和制度，確保,IT,治理方向與業(yè)務(wù)目標一致，進而確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進行，確保

8、企業(yè)的總體戰(zhàn)略目標的實現(xiàn)。,兩者關(guān)系信息系統(tǒng)審計是企業(yè)進行IT治理的一個重要組成部分。,基于,IT,治理構(gòu)建,我國信息系統(tǒng)控制與審計體系,確定信息系統(tǒng)控制目標,建立適用的、協(xié)同的,IT,標準模式,制定相關(guān)管理指南,完善控制與審計指南,基于IT治理構(gòu)建我國信息系統(tǒng)控制與審計體系確定信息系統(tǒng)控制,中國人壽信息系統(tǒng)審計的案例,審計框架,在框架內(nèi)容上，借鑒傳統(tǒng)信息系統(tǒng)審計的方式和方法，針對不同風險類型，分別釆用一般控制審計、應(yīng)用系統(tǒng)控制測試相結(jié)合，,一般控制審計為主、應(yīng)用系統(tǒng)控制測試為輔,的方式開展。,一般控制審計,應(yīng)用控制審計,整體審計框架,中國人壽信息系統(tǒng)審計的案例審計框架一般控制審計應(yīng)用控制審計

9、整,一般控制審計,一般控制審計主要是,針對公司各個,IT,流程中各類系統(tǒng)構(gòu)成外部要素,的,較大范圍控制審計,，目的是,確保系統(tǒng)安全運行、保護數(shù)據(jù)和程序、防止非法入侵以及系統(tǒng)在突發(fā)事件后的應(yīng)急處理。,根據(jù),COBIT,原理，公司所有,IT,活動都可以依照進行的不同階段進行分類，因此，對,IT,流程按照,系統(tǒng)生命周標準,，劃分為,IT,治理、研發(fā)與上線、運維與支持、考核與管理,，分別,對應(yīng),COBIT,標準模式中的,計劃與組織、獲取與實施、交付與支持、督與評價,四個領(lǐng)域。每個領(lǐng)域梳理各自包含對應(yīng)階段涉及的,IT,標準流程。,一般控制審計一般控制審計主要是針對公司各個IT流程中各類系統(tǒng),信息系統(tǒng)審計

10、與IT治理課件,應(yīng)用系統(tǒng)控制審計設(shè)計,所謂應(yīng)用糸統(tǒng)控制，是指信息系統(tǒng)在發(fā)起、記錄、處理以及展現(xiàn)業(yè)務(wù)數(shù)據(jù)時，系統(tǒng)自發(fā)地采取某種控制手段，確保業(yè)務(wù)數(shù)據(jù)的完整性、準確性。,針對壽險行業(yè)的信息原統(tǒng)而言，應(yīng)用系統(tǒng)控制功能上主要包括包含以下幾個類型：,計算型,校驗型,觸發(fā)型,參數(shù)型,應(yīng)用系統(tǒng)控制審計設(shè)計所謂應(yīng)用糸統(tǒng)控制，是指信息系統(tǒng)在發(fā)起、記,基于,COBIT,理論審計框架的設(shè)計，,涵蓋了中國人壽中,20,個關(guān)鍵流程，覆蓋了生命周期的四個階,段的活動，同時分析了每個不同流程審計應(yīng)該關(guān)注的風險控制點，并設(shè)計相應(yīng)的審計方法。,因此，與傳統(tǒng)審計方式相比而言，利用基于,COBIT,的審計框架在指導開展信息系統(tǒng)審計時，內(nèi)容上可以,覆蓋整個系統(tǒng)的生命周期,，基本,確保不存在重大審計盲區(qū)而導致的系統(tǒng)性風險,。,基于COBIT理論審計框架的設(shè)計，涵蓋了中國人壽中20個關(guān)鍵,