IT审计及COBIT模型培训课件.pptx

IT审计及COBIT模型;内容安排;信息系统审计(ITA)是以企业或政府等组织信息系统为审计对象，经过当代审计理论和IT管理理论，从信息资产安全性、数据完整性以及系统有效性和效率性等方面出发，对其是否能够有效可靠到达组织战略目标进行全方面监测和评定，并为改进和健全组织对信息系统控制提出详细提议。 IT审计对象是信息系统，审计内容是计算机资源管理、硬件、软件获取、系统软件、数据库、网络、应用系统开发、系统维护、操作、安全等审计; Asset Security（资产安全性） Effectivity（系统有效性） Efficiency（系统效率性） Data Integrity（数据完整性）;信息系统调查 信息系统内部控制测试 信息系统初步评价 信息系统实质性测试 信息系统综合评价 ;调查阶段;信息系统调查是对被审计单位信息系统管理体制、总体架构、规划设计、管理水平等进行全方面、深入地了解，是进行信息系统审计基础。 了解管理体制，从总体上把握被审计单位信息系统管理基本情况。 了解总体架构，完成对被审计单位有什么类型信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系调查。 了解规划管理，对信息系统建设、使用、管理情况调查。 ;IT内部控制类型：依据控制范围，信息系统内部控制分为 普通控制 应用控制;是指对整个计算机信息系统及环境要素实施，对系统全部应用或功效模块含有普遍影响控制办法。划分成五类控制： 组织控制：为实现组织目标而进行组织结构设计、权责安排和制度设计。包含职责分离、授权、监督、人事管理等 系统开发与维护控制：包含需求定义、开发规划、系统设计、编程实现、测试、运行维护、文档管理等控制 ;安全控制：保持良好运行环境，包含访问接触、环境安全、防病毒、安全保密、安全教育等控制 硬件及系统软件控制 （1）硬件控制 （2）软件控制 5、操作控制 信息系统使用操作应有一套完整管理制度，包含上机 守则与操作规程、上级日志统计、保密制度和操作工作计 划等。 ;应用控制是为适应各种数据处理特殊控制要求，确保数据处理完整、准确地完成而建立内部控制。 分成三类控??? 输入控制：确保只有经过授权同意业务才能输入计算机信息系统；确保经同意数据没有丢失、遗漏和篡改；确保被计算机拒绝错误数据能更正后重新提交。包含数据采集、数据输入控制;处理控制：对信息系统进行内部数据处理活动控制办法，这些控制办法往往被写入计算机程序，包含数据有效性检测、错误纠正控制。 输出控制：主要是确保交付给用户数据是符合格式要求、可交付，并以一致和安全方式递交给用户，包含输犯错误处理、输出汇报管理、汇报接收确认 ;内容安排;IT治理提出背景;企业治理就是为全部股东创造和展现价值企业道德行为 企业治理包含组织中管理层、董事会、股东和其它利益相关法之间一系列关系，它为制订企业目标、确定实现目标和监督绩效方式提供了框架。 ;IT治理;IT治理是一个综合术语，它包含信息系统，技术和通讯，业务，法律相关事务，全部利益相关方，董事会，高级管理层，流程全部些人，IT供给商，用户和审计师。IT治理有利于确保IT和企业目标保持一致。 IT治理是组织中一个制度安排，目标是为了提升IT绩效、降低IT风险，有效地利用资源。 IT治理采取最正确实践来确保组织信息及相关技术支持其业务目标和价值交付，确保资源得到合理使用，风险得到适当管理、绩效得到测评。 ;IT治理在根本上关注以下两方面问题： IT向业务交付价值 ：由IT和业务战略一致驱动 IT风险得到管理：经过向企业分配责任来驱动;IT治理领域;内容安排;Control Objectives for Information and related Technology COBIT是一个在国际上得到公认、先进和权威安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它能够辅助管理层进行IT 治理，指导组织有效利用信息资源，有效地管理与信息相关风险。 面向业务是COBIT主题，它不但是为用户和审计师而设计，而且更主要是它能够作为管理者及业务过程全部者综合指南。 COBIT真正关注问题是，企业是否具备适当控制力，以确保符合相关管理要求。它帮助企业确定他们是否正在做他们表示要做事，以及他们是否能够证实这一点 ;COBIT第一版由信息系统审计与控制基金会（ISACF）于1996年公布。 COBIT第二版于1998年出版，修订了高层控制目标与详细控制目标，增加了实施工具集（Implementation Tool Set） 信息系统审计与控制协会（ISACA）及其相关基金会在1998年创建 IT治理研究院(ITGI)，由ITGI制订并公布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理关注； C