基于COBIT信息系统审计研究
COBIT信息系统治理流程浅析
会计信息化ACCOUNTING INFOR MATION120会计信息化ACCOUNTING INFORMATION ·我国按照行业划分标准,可以划分为工业、商业等几十个行业,且不同的行业有着不同的科目核算体系。
近年来会计准则也在不断的修订变化之中,对不同行业的会计科目名称和编码存在一定的影响。
在用友软件中,为适应这种变化,UFsystem数据库中预置了行业表(gl_btrade表)、科目类型表(gl_codeclass表)和科目模板表(GL_DPreCode表),当用户进行账套建立时,选择了具体的行业,系统首先在行业表中找到行业代码,按照此行业代码在科目类型表和科目模板表中确定此行业国家规定的有关科目代码和名称,存储到账套数据库UFDATA_***_****(前三个*表示账套号,后四个*表示年度)中的code表中,该表即为企业所使用科目的集合。
如图1所示。
新会计准则中主要的变化是增加了一个新的科目大类以及会计科目编码和名称的更改。
针对用友软件的修改,其设计的主要思路分两种情况:一种是对于已经建好账套的如何实现修改,另一种是在行业表中新增一个“2007新会计准则”大类,用户选择大类后,系统自动调用2007年新会计制度科目,即实现科目自动转换。
一、已建账套的修改总体的思路是在ufsystem数据库中找到科目类型表(Gl_clde-class),增加一个分类(共同类),使之符合新会计准则;然后对UFDATA_***_****账套库中的code表中的科目进行修改。
具体步骤新准则科目自动转换的SQL 语句运用初探武汉理工大学常剑峰内蒙古财经学院宋彪121。
COBIT背景下的审计模式研究
COBIT背景下的审计模式研究COBIT(Control Objectives for Information and Related Technologies)是一个旨在管理和监控信息技术(IT)服务和管理过程的框架。
它由国际信息系统审计与控制协会(ISACA)开发并于1996年首次发布。
COBIT主要用于帮助组织确保其IT系统的有效性、完整性、保密性和可用性,同时还能遵循各种法规和标准。
在COBIT框架下,审计是一个非常重要的环节,负责评估组织的IT管理实践是否符合COBIT的要求。
本文将就COBIT背景下的审计模式展开研究。
COBIT框架包含了一系列的控制目标(Control Objectives)和实施指南,帮助组织建立合适的IT控制体系。
审计是对这些控制措施的有效性和合规性进行评估的过程。
COBIT框架将审计划分为两个主要部分:内部审计和外部审计。
内部审计是由组织内部机构进行的审计活动,目的是评估和改进组织的运作效率和风险管理。
在COBIT框架下,内部审计主要关注以下几个方面:1.评估IT战略和目标是否与企业战略和目标保持一致。
2.评估IT资源的使用是否有效和高效。
3.评估IT系统的完整性和可靠性。
4.评估IT过程的有效性和合规性。
5.评估IT治理结构是否健全。
内部审计通过对组织内部控制措施的评估,帮助组织管理层监督和改进其IT环境。
其主要优点包括可以更好地了解组织的运作状况,及时发现问题并采取纠正措施,增强组织内部控制效果。
外部审计是由第三方审计机构或独立审计师进行的审计活动,目的是对组织的财务报表和财务信息进行审计,以确认其真实性、完整性和合规性。
在COBIT框架下,外部审计主要关注以下几个方面:1.评估财务信息和非财务信息的准确性和可靠性。
2.评估组织的风险管理和合规性。
3.评估组织的治理结构和运作情况。
4.评估组织与外部环境的关系和沟通。
外部审计通过独立的观察和评价,确保组织的财务信息和营运活动符合相关法规和标准,提高了组织的透明度和信誉度。
信息系统环境下的注册会计师审计——COBIT对注册会计师的参考价值
我国 《 注册会计师法 》 第 2 条规定 了注册会计师 的审计责 l 任 : 注册会计 师执行审计业 务 , 须按照执 行准则 、 “ 必 规则 确定 的 工作程序 出具报 告”。中国独立 审计 准则对注册会计师 的审计责
任也做了详细的规定 : 注册会计师 的审计责任是指注册会计 师按 照独立审计 准则 的要求 出具审计报告 , 并对发表 的审计意见负责。
部审计的重要 参考依据 之一 ,也是注册会计师借 助于内部审 计报 告来评估 I 制的重要证 据 ;详细控制 目标介绍 了 C BT的 I T控 OI T 过程所包括的详细控制 目标 , 是评 价 I T管理和过程 的具体参考标
准 ;审计指南从信息管理人员和审计人员 的角度说 明了如何 实施 对 I 制 的检查 , 出了具体 的审计方法 ; T控 提 实施工具集 主要包括 管 理认知 、 I T控制诊 断 、 实施指南 、 常见 问题 、 O I 例研究 等 C BT案 工具 , 为快速学 习和运用 C BT提供 丰富 的素材。 OI
由于基本会计数据及其他 管理数据 的庞 大以及审计成本 的限制 , 现代审计多采用评价 内部控制基础上 的抽样审计以获得 支持财务 报表 的证据 。在信息系统 条件下 , 审计基础数据更加 庞大和复杂 , 内部控制 的内容与方法也发生了巨大变化 , 获取基础审计数据 , 评 价新 的内部控制结构的效力与证据 之间的联 系,这些都构成了对
我 国 20 0 4年发布 的《 独立审计具体准则第 2 0号— —计算机 信息系统环境下 的审计 》明确指 出 , 注册会计 师应 当充分关 注计 算 机 信息 系统环 境对被 审计 单位会 计 信息及 内部 控 制 的影 响。 20 0 6年发布的 《 中国注册会计 师审计 准则第 13 号 电子商务对 63 财务报表审计 的影响 》 第十八条 指 出, 注册会计 师应 当关 注审计 单位是否运用适 当的安全基础架构和相关控制 ;第 3 2条也指 出,
IT审计及COBIT体系
1.IT审计介绍 2.IT治理介绍 3.COBIT概念 4.COBIT体系框架 5.Q&A
12
13
公司治理就是为所有股东创造和呈现价值的企业道 德行为
公司治理包括组织中管理层、董事会、股东和其他 利益相关法之间的一系列关系,它为制定公司目标、 确定实现目标和监督绩效的方式提供了框架。
14
信息系统调查是对被审计单位信息系统的管理体制、 总体架构、规划设计、管理水平等进行全面、深入地 了解,是进行信息系统审计的基础。
了解管理体制,从总体上把握被审计单位信息系统管 理的基本情况。
了解总体架构,完成对被审计单位有什么类型的信息 系统,每个系统有多少子系统,信息系统分布在哪些 部门,信息系统之间有什么关系的调查。
3
信息系统调查 信息系统内部控制测试 信息系统初步评价 信息系统实质性测试 信息系统综合评价
4
调查阶段
信息系统内部控制初步评审
否 内部控制可信赖吗?
内部控制的详细审查与评价
控制测试
信息系统控制测试结果的评价
内部控制可信赖吗?
否
退出审计
提出管理建议
测试和评价补偿控制
实质性测试
全面评价
编制审计报告
审计结束 计算机信息系统审计流程5
提出ValueIT等理念,与IT治理联系更紧密。
22
COBIT中定义的IT资源如下。 (1)数据:是最广泛意义上的对象(如外部和内部的)、
结构化及非结构化的、 图形、声音等。 (2)应用系统:手工的以及计算机程序的总和。 (3)技术:包括硬件、操作系统、数据库管理系统、
网络、多媒体等。 (4)设备:包括所拥有的支持信息系统的所有资源。 (5)人员:包括员工技能、意识,以及计划、组织、
cobit与itil的相关研究以及两者间的区别和联系
COBIT 与ITIL的相关研究以及两者间的区别和联系AMT咨询COBIT与ITIL的相关研究以及两者间的区别和联系提交日期:2008年7月14日拷贝份数:*1. 文档控制文档更新记录文档审核记录文档去向记录目录1.文档控制 (2)2.文档说明 (4)3.COBIT的相关研究 (5)3.1.COBIT是什么 (5)3.2.COBIT的发展历程 (5)3.3.COBIT的基本概念 (5)3.4.COBIT的控制目标 (8)3.5.COBIT的用途 (8)3.6.COBIT的主要服务对象 (8)3.7.COBIT的业务需求 (9)3.8.COBIT的优点 (9)3.8.1.从COBIT自身的特点而言,它具有以下优点: (9)3.8.2.从COBIT对企业的作用而言,COBIT的优点主要如下: (10)3.9.COBIT的不足 (10)3.10.COBIT产品的分类 (10)4.ITIL的相关研究 (12)4.1.ITIL是什么 (12)4.2.ITIL的发展历程 (12)4.3.ITIL的目标 (12)4.4.ITIL的框架体系 (12)4.5.ITIL的十大流程 (13)4.6.服务支持方面的问题 (15)4.7.ITIL的特点 (15)4.8.附录——ITIL服务支持管理的流程 (16)5.COBIT与ITIL的联系与区别 (21)5.1.COBIT与ITIL的区别 (21)5.2.COBIT与ITIL的联系 (22)2. 文档说明文档说明。
3. COBIT的相关研究3.1.COBIT是什么COBIT是Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。
COBIT是 ISACA(信息系统审计和控制联合会)制订的面向过程的信息系统审计和评价的标准。
对信息化建设成果的评价,按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等。
COBIT在央行IT技术审计中的应用
况发生。衄
C O B I T 模 型 主要 有 以下几个 部 分 组 成 : 执行 指 南、 高级控制 目标 框架 、 管 理指南 、 审计指南 、 具体 控
制目 标、 工具 集等模 块。 其中, 执行指南对各模 块之间
的关 系进行了总体说 明, 定义了信息准则。 在管理指南
专家R o n w e d e r 将它定义为 : 收集并评估证据以判断一个
计算机 系统 ( 信息系统 ) 是 否有效做 到保 护资产、 维护
数据完整 、 完成组织目标, 同时最经济地使用资源。 与一般 的审计不 同, I T 审计关注的风险主要与I T 相
C O B I T 有关过程 的控制 目标人手, 进行风险分析, 从风 险控制 目 标 中找出与该 目 标相关的风险控制点 , 并从其 中找 出所包含 的风险检查 的结果 。 这种方式 首先在 I T 岗位履 职审计 中应用 , 从而使人 民银行基层的 岗位履 职更加清晰化。 ( -) 人 民银行 省级分行将C O B I T 应 用在全省范围
指 导
三、 C O B I T 在人民银行信息 系统审计中的应用
一 .
I T 审计的内涵
对于I T 审计的定义 , 国际信息系统审计领域的权威
( 一) 对于人民银行基 层行, C O B I T 是一 个控制框 架, 不是 一个过程框架 , 它不包括具体的审计实施指南
和实施 步骤 。 在运用C O B I T 进行I T 审计时, 审计人员从
况、 运行效率等诸多 内容作 出准确的评 价, 以确保信息 化系统建设发展与总行规划的战略 目 标保持一致。 ( 三) 利用C O B I T 标准对新 系统 开发 过程进行 审
COBIT标准在基层人民银行IT审计中的应用初探
■年第期COBIT 标准在基层人民银行IT 审计中的应用初探□高鹏姜永明的影像自动添加到”支付往账历史”数据库中。
为联行柜查询查复提供快捷、高效的服务。
增加调整影像先后顺序的功能。
IM S 系统增加一项功能:当出现同一笔业务操作员扫描、上传时没有按照先凭证后附件的顺序排列的现象时,在进行凭证影像关联之前,IM S 能够提供调整上传的影像文件先后顺序的功能,节约操作员重复劳动的大量时间。
当然,系统未修改之前,必须严格按照《操作规程》办理。
网点操作员在关联完凭证影像与业务信息后发现错误时,必须全部解除关联,并删除错误关联的全部影像。
再重新扫描并上传正确顺序的凭证、附件影像,将正确的影像与业务信息进行关联。
监督主管作为事后监督的最后一道屏障,应具有权限对历史影像信息维护管理的功能。
对于错误关联的没有保存价值的属于“垃圾”的影像应当予以删除。
这个权限由监督主管或监督员在主管授权下实现。
当然,对差错类型也应区别对待,像日期错、账号户名错、金额错、印鉴错、记账串户、记账方向错、漏盖印章、缺少凭证等差错不能删除原始影像。
只有象原始凭证无误,只是与影像不符、影像多等类关联错误或影像模糊的错误,才能予以删除。
改进AAS 图像浏览功能。
一是调整AAS 里显示影像的“放大”、“缩小”的倍数,降低操作的繁琐程度。
二是改进通过拖动滚动条来查看当前窗口其余部分影像的操作。
即像IM S 一样,仅通过拖动影像即可看到在当前窗口显示不下的其余部分的影像信息。
三是修改AAS 监督界面。
建议将一个屏幕分为上下两个窗口,上半部分窗口用来显示被监督业务的录入信息,下半部分窗口用来显示被监督业务的影像信息。
两个窗口之间,两个窗口自身都可以通过调节滚动条来显示超过当前窗口的其余信息。
■作者单位:人民银行哈尔滨中心支行责任编辑:晓舟当前,基于系统风险管理的需要,存在众多IT 控制框架,如为IT 服务管理提供最佳实践标准的ITIL (IT 基础架构库);指导软件开发、系统工程、研发及其他活动中流程改进的C M M i (能力成熟模型集成模型);提供控制数据、IT 系统和相关风险所需的参数框架的COB IT (信息及相关技术的控制目标);用于业务连续性、访问控制、遵从性以及其他领域的ISO17799。
IT治理的核心模型COBIT的解读与应用
IT治理的核心模型COBIT的解读与应用COBIT的四个领域关注的是组织信息化建设的整个生命周期,因此对于我国的企业的信息化建设也具有指导意义。
一、COBIT的背景介绍从现有的控制框架来看,以COSO为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,缺少对IT控制的阐述和说明;以CICA的IT控制指南为代表的IT控制框架,侧重于对技术进行控制。
因此。
这两类模型都没有全面照顾到业务和IT。
COBIT的出现就是为了填补这个空白,它基于COSO,同时整合了全球所有主要的信息技术标准。
因此既能关注IT,又能与业务日标紧密联系,其任务就是研究、开发、出版和推动一个权威的、最新的、被国际上的企业,业务经理的日常使用、IT专业人上和鉴证专业认识所广泛接受的IT治理框架。
COBIT由ISACA开发与推广。
1976年,ISACA专门设立ISACF。
从事IT 的管理、控制和安全保证领域的研究。
同年。
ISACF发布COBIT1.0版本。
试图将它作为一种审计工具。
为了响应对IT进行控制的需要,1998年发布的COBIT2.0,在1.0版本的基础上增加了资源文件的数据,改进了高层控制目标和具体控制目标,增加了实施工具包。
1998年,ISACA 与ISACF合并设立了旨在促进IT治理原则推广和应用的ITGI,COBIT的后续的研究和更新就是由ITGI来完成的。
ITGI在2000年发布的COBIT3.0版本中增加了管理指南,还将ISACA 原始的“控制目标”修改为管理目标,同时还扩充和加强了对IT治理的关注。
使得COBIT演变为一个管理工具。
IT的日益广泛应用,增加了对IT治理的需求,ITCI于2005年在广泛调查和研究的基础上,推出了COBIT4.0版本,它站在IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理,使之成为一个真正意义上的IT治理框架。
2007年5月,ITGI推出的COBIT4.1在4.0的基础上进行了微调,并无本质更新。
COBIT标准(信息技术审计标准)
COBIT标准(2008-05-19 21:31:20)标签:杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT(Control Objectives for Information and related Technology):即信息系统和技术控制目标。
成立于1969年的美国信息系统审计与控制协会(ISACA),于1996推出了用于“IT审计”的知识体系COBIT。
“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
相应地,“注册信息系统审计师”(CISA)日益成为世界各国发展信息化过程中,争相发展的新兴职业和领域。
作为IT治理的核心模型, COBIT包含34个信息技术过程控制,并归集为四个控制域:IT规划和组织(Planning and Organization)、系统获得和实施(Acquisition and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Monitoring)。
COBIT目前已成为国际上公认的IT管理与控制标准。
COBIT目前已成为国际上公认的IT管理与控制框架,已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBIT的主要组件COBIT有6个组件:- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
基于COBIT的信息系统内部控制风险研究
、
信 息化 风 险 研 究现 状 及C I 简 介 OB T
( ) 一 信息化 风险研究现状 目前 , 理论与实务界分别从加强信 息系统内部控制 、 R 对 企业影响 以及 中小 企业实施E P EP R 风险管 理等多个角度对信息化风险进行了不 同层次的研究 ,由此得 出多
种信息化风险分类方式。 如徐春丽《 纺织企业信息化风险评估 与控 制》 一文中, 从纺织行业 的视角将企业信息化风险划分为管理 领域 风险 、 业务流程风险 、 信息及信 息技 术风险和环境 风险四部分。 王 欣在其硕十论文《 国企业信息化风险剖析——模型与案例研究》 我 中提} 了企业信息化风险“ { | 钻石模型” 将企业信息化风险 的影响 , 因素主要归为以下四类 : 自服务提供商 的风险 、 自组织及变革 来 来 的风险 、 自管理及变革的风险 、 自技术及变革的风险。 来 来 另外 , 还 包括来 自外界环境的风险 , 以及其他一些无法确定的因素 的风险。 20 年 1月 , 0 5 2 同济大学管理学博士 肖荣在其博士学位论文《 企业信 息化风险治理研究》中指 出,这些研究大多是使用传统 的风险识 “ 别方法 、 风险清单法 , 利用专家的知识 、 经验和历史的数据信息 , 找
会计信息化 l C O N I G I O MA I C U T N NF R TON A
基于 C B T的信息系统内部控制风险研究 O I
重庆理工大学 陈 旭 张艳 芳
息 系统风险作为阻碍企业信息化发展的重要 因素 ,受到多
领 域 学 者 的关 注 。 本文 拟 以 国 际上 公认 的C Br 准 为 理 论 支 柱 , O I’ I 标
参 考 文献 :
通过分析技术和可选 的信息资产进行实质性测试 ,证实控制
COBIT在信息系统风险控制中的应用
COBIT在信息系统风险控制中的应用作者:关莉莉辛一张高煜来源:《现代电子技术》2009年第10期摘要:信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统的风险管理提供了一系列详尽的控制措施和控制技术。
参照COBIT信息准则,选出相应的IT过程,能够有针对性地对目标信息系统进行有效的风险评估和控制。
关键词:信息系统;风险控制;COBIT;风险管理中图分类号:TP311文献标识码:B文章编号:1004-373X(2009)10-031-03Application of COBIT in Information Systems′ Risk ControlGUAN Lili,XIN Yi,ZHANG Gaoyu(Shanghai Finance University,Shanghai,201209,China)Abstract:An efficient operation of information systems is depending on risks control and management.COBIT standards provide a series of detailed control measures and control technologies for information systems′ risk management.Selecting a corresponding IT process based on COBIT guidelines,it can respectively conduct efficient risks assessment and control upon targeted information system.Keywords:information system;risk control;COBIT;risk management0 引言信息管理系统的高效运作离不开风险管理和控制,COBIT标准为信息系统风险管理提供了一系列详尽的控制措施和控制技术。
基于COBIT的信息系统审计框架研究
作者简介: 张文 秀(9 5 17一 ) 女 , 西汾 阳人 , , 山 南京 审 计 学 院 国 际审 计 学 院 审计 系讲 师 , 博 士, 主要研 究方 向为 信息 系统 审计 、 内部 审计 ; 齐兴 利 (93 16 一 )女, , 黑龙 江哈 尔滨人 , 南京 审 ) 男, , 黑龙 江 计 学院法 学院书记 , 教授 , 主要 研 究 方 向 为政 府 审计 、 会 审计 ; 溶 冰 (92 社 黄 17 一
制、 安全 和 I 理等 主题上 , T管 发布 了《 信息及 相关 技 术 的控 制 目标 》( ot l Bete rnom . Cnr jcvso ra oO i f I f
t na drl e eh ooy, 称 C B T … 。 国 i n ea d T c nl o t g 简 O I)
运而生。随着经济管理与信息技术的不断结合与 日 益渗透 , 跨越传统审计理论、 信息系统管理理 论 、 为科 学理 论 和计 算 机科 学 四个科 学 领 域 的 行 信息系统审计 , 作为多学科融合的交叉学科 , 已成
为 国内外 的一个研 究热 点 。
评价指南》 G i eAs s et fTRs , ( u e o h s s n o I i 简 d tt em k
《 邦政府 AT) G O) 联
信息系统控制审计手册》 Fdr o ao y ( ee I r tnSs l f a nm i . t ot l A d au , e C n o uiM na 简称 FS A 。英国、 n rs t l I M) C
张文 秀 齐兴 利 黄溶 冰 , ,
( 南京审计学院 a 国际审计学院 ;. . b 法学院 , 江苏 南京 2 02 ) 10 9
基于COBIT框架的电信企业信息技术内部控制体系研究
、
、
、
做到更有效地利用信息资源 更有效地 管理 与信息相关 的
,
有效性 缺陷整改 长效推进等 系列活动来建立 与不 断完
一
、
、
风险 从而提升内部控制水平
。
。
善 信息技术内控体系建立 的实施路径如图 2 所示
。
。
企 业 的业 务 目 标 和 治 理 目标 ▲
. ● ●
图 1
C O B IT
控 制 框 架 的 详 细 目标
一
。
,
6 月 在北 京联 合发 布 了 《 企业 内部控制基 本规 范》要 求 国
,
行情况对体系架构进行持续优化 对
。
Байду номын сангаас
一
个庞大的企业 真正
内上 市公司与大型 央企 参考构建 以 内部环 境为重要基础
、 、
、
做到有效管控
2
。
以风 险评估为重要环 节 以 控制活动为重要手段 以信息与
沟通 为重要条件 以 内部监督为重要 保证 相互 联 系 相互
、
一
、
、
、
致性 和可 靠性 为根 本
、 ,
,
以 IrI' 资源 ( 应用程序 信息 基 础架构 人 员 ) 为基础 提 出
、 、
3
信 息 技 术 内控 体 系 建 立 方 法
内部控制体系的建立 是 个长期过程
一
了 计划与组织
“ ”
”
、
“
获得与实施
。
99
、
服务和支持
”
、
“
监控和评
,
根据每年企业
价 4 大控制 目标 如图 l 所示
信息系统审计指南(COBIT-中文版)
COBIT信息技术审计指南<34个控制目标>计划和组织〔选择3/6/11〕1 定义战略性的信息技术规划〔PO1〕PO域控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用## * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责.在这一方面,高级管理层应确保IT有关事项以与机遇被适当地评估,并将结果反映到机构的长期和短期计划之中.IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合.1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责.计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制.相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构.1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法.这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题.IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险.计划编制期间,需要考虑和充分投入的方面包括:机构的模式与其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构.已做出选择的好处应被明确地确定下来.IT长期和短期计划应使绩效指标和目标合并在一起.计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划.1.4 IT 长期计划的变更IT管理层和业务过程所有者应确保与时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化.管理层应建立一个IT长期和短期计划开发和维护所需要的政策.1.5 IT 功能的短期计划编制IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划.这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配.短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进.可行性研究的与时执行应确保短期计划的实行是被充分地启动的.1.6 IT 计划的交流管理层应确保IT长期和短期计划同业务过程所有者以与跨越机构的其他相关部门人员的充分沟通.1.7 IT 计划的监控和评估管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量与有效性的反馈.获取的反馈应予以评估,并在将来的IT计划编制中加以考虑.1.8 现有系统的评估在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度.对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层和人力服务职员获得:与计划编制过程想关联的政策和程序高级管理层的指导角色和责任机构的目标和长短期的计划IT的目标和长短期的计划状况的报告和计划/指导委员会的会议纪要评估控制:考虑是否:IT或者业务的企业政策和程序选择了一种结构化的计划编制方法方法到位,以便明确地表达并能够修改计划,起码它们要包括:• 机构的使命和目的• 支持机构使命和目的的IT初始• IT初始的机遇• IT初始的可行性的研究• IT初始的风险评估• 当前和未来IT的最佳投资• 反映企业使命和目的变化的IT初始的再造• 数据应用、技术和机构可选择战略的评估机构的变化、技术的发展、规章的要求、业务过程的再造、员工的安置、自己开发和外包,等等被考虑,并在计划编制过程中充分地从事长短期的IT计划存在,是当前的,充分针对全部企业、它的使命和关键的业务职能部门IT项目由IT计划编制方法中确定的适当文档所支持确保IT目标和长短期计划持续地满足机构目标和长短期计划的检查点存在由过程所有者和高级管理层评价和结束的IT计划发生根据业务自动化程度、功能性、稳定性、复杂性、成本、优势和弱点,IT计划评估现有的信息系统对信息系统与其支持的基础设施的长期计划编制的缺乏,导致系统不能支持企业的目标和业务的过程,或者不能提供适当的完整、安全和控制评定遵从性:测试:来自反映计划编制过程的IT计划编制/指导委员会的会议纪要计划编制方法的可交付使用物的存在,作为预先的规定相关IT的初始被包括在IT长短期的计划当中〔也就是硬件的变化、容量计划编制、信息体系结构、新系统开发或获取、灾难恢复计划编制、新处理平台的安装,等等〕IT初始支持长短期计划,并要考虑调查、培训、人员安置、设施、硬件和软件的需求IT初始的技术含义已经被确定最优化当前和将来IT投资的考虑已经给出IT长短期计划与机构的长短期计划和组织的需求保持一致计划已经发生改变,以反映正在变化的条件IT长期计划定期转化成短期计划存在实现计划的任务证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的战略IT计划的基准确保IT初始反映机构的使命和目的的IT计划的详细评价决定是否机构之内已经知道的虚弱区域正在被确认为计划当中IT解决方案的一部分而加以改进的IT计划的详细评价确定:满足机构使命和目的的IT失败与长期计划相匹配的短期计划的IT失败满足短期计划的IT项目的失败满足成本和时间准则的IT失败错过的业务机遇错过的IT机遇2 定义信息体系结构〔PO2〕控制的IT过程:定义信息体系结构满足的业务需求:优化信息系统的机构实现路线:创建并维护一个业务信息模型,确保定义适当的系统,以优化信息的使用需要考虑的事项:自动化的数据存贮和字典数据语法规则数据所有权和关键性/安全性程度分类表述业务的信息模型企业信息体系结构标准信息信息规范 IT资源P 效果人员S 效率 * 应用S ##技术S 完整设施可用 * 数据遵从可靠2.1 信息体系结构模型信息应与需求保持一致,并应以某种格式和期限进行识别、获取和交流,而这些格式和期限能使人们与时、有效地履行他们的职责.相应地,围绕企业的数据模型和相关的信息系统,IT的职能应是建立并有规律地更新信息体系结构模型.信息体系结构模型应与IT长期计划保持一致.2.2 企业数据字典和数据语法规则IT的职能应确保包含机构数据语法规则的企业数据字典的建立以与持续的更新.2.3 数据分类方案在按信息类别〔如安全类〕进行分类的数据放置以与所有权分配方面,应建立一个总体的分类框架,应适当定义各类别的访问规则.2.4 安全等级对于上述确定的每一个"不需要保护"级别以上的数据分类,管理层应定义、执行和维护这些安全等级.对于每一个分类来讲,这些安全等级应描述适当的〔最小的〕一套安全和控制尺度,应定期进行再评估并做相应的修改.对于区域范围广阔的企业,应建立支持不同安全等级的标准,以适应正在发展的电子商务、移动计算和远程办公环境的需要.对高级和详细的控制目标进行审计:获得了解:访谈:首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层安全官获得:与信息体系结构相关的政策和程序信息体系结构模型支持信息体系结构模型的文档,包括企业数据模型企业数据字典数据所有者政策高级管理层指导的角色和责任IT的目标和长短期计划状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:IT政策和程序选择了数据字典的开发和维护用于修改信息体系结构模型的过程是以长短期计划为基础的,考虑了相关成本和风险,并且该模型变化之前,要确保高级管理层同意有一个过程用来保持数据字典和数据语法规则处于最新状态有一个媒介用来分发数据字典,确保开发区域的可达性并立即反映变化IT政策和过程要选择数据的分类,包括安全种类和数据所有者,数据分类的访问规则要被清晰和适当地定义要为那些不包含数据分类标识符的数据资产定义缺省的分类标准IT政策和程序要选择以下内容:• 需要数据所有者〔在数据所有者政策上定义〕的授权过程要到位,以便批准该数据的所有访问以与数据的安全属性• 每一个数据分类的安全等级要被定义• 访问等级被定义,并且对于数据分类来说是适当的• 访问敏感数据需要清楚的访问级别,数据的提供要以"需要知道"为基础评定遵从性:测试:信息体系结构模型上的变化,确定这些变化反映了IT长短期计划与其所确定的成本和风险评估数据字典的任何修改以与数据字典上变化的影响,确保它们被有效地沟通各种运作的应用系统和开发项目,以确定数据字典被用作数据定义足够的数据字典文档,以确定这些文档为每一个数据项定义了数据的属性和安全等级数据分类、安全等级、访问等级和缺省的适当性每一个数据分类都要清晰地定义:• 谁可以访问• 谁对决定适当的访问级别负责• 所需访问的明确批准• 访问的特定需求〔也就是非披露或者##性协议〕证实没有满足业务目标的风险:执行:依照类似机构或适者国际标准/公认的行业最好实践的信息体系结构模型的基准针对关键元素的完整性,数据字典的详细评价对定义为敏感数据的安全等级的详细评价,以校验访问的适当授权被获得,被许可的访问与定义在IT政策和程序中的一致确定:信息体系结构模型和企业数据模型、企业数据字典、相关信息系统以与IT长短期计划中的矛盾过时的企业数据字典项和由于数据字典变化的不良的沟通丧失了时效性的数据语法规则???所有者不清楚和/或没有适当定义的数据项没有被适当定义的数据分类与"需要才能知道"的原则不一致的数据安全等级3 决定技术方向〔PO3〕控制的IT过程:决定技术方向满足的业务需求:利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能实现路线:建立并维护技术基础设施计划,该计划,依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期需要考虑的事项:当前基础设施的容量通过可靠的来源,监测技术发展引导概念的检验风险、约束和机遇获取的计划移植战略和路线与供应商的关系独立的技术再评估硬件和软件的性能/价格比的变化信息规范 IT资源P 效果人员S 效率应用## * 技术完整 * 设施可用数据遵从可靠3.1 技术基础设施计划编制IT的职能部门应建立并有规律地更新与IT长期和短期计划保持一致的技术基础设施计划.这样的计划应围绕诸如系统体系结构、技术方向和移植策略等方面.3.2 监测未来的趋势和法规IT的职能部门应能够确保对未来趋势和法规环境的持续监测,以便这些因素能够在技术基础设施计划的开发和维护期间被考虑在内.3.3 技术基础设施的不确定事件技术基础设施计划应在偶然事件方面〔即基础设施的冗余、恢复、充足性和发展能力〕进行系统地评估.3.4 硬件和软件获取计划IT管理层应确保制定硬件和软件的获取计划,并要反映在所确定的技术基础设施计划的需求中.3.5 技术标准以技术基础设施计划为基础,IT管理层应定义技术规范以培养标准化的意识. 对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕IT计划/指导委员会成员IT高级管理层获得:与技术基础设施计划编制和监控相联系的政策和程序高级管理层指导角色和责任机构目标和长短期计划IT目标和长短期计划IT硬件和软件获取计划技术基础设施计划技术标准状况报告和计划编制/指导委员会会议纪要评估控制:考虑是否:为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认高级管理层的批准先于计划的变化被获得,有一个创造并有规律地更新的技术基础设施计划的过程技术基础设施计划与IT长短期计划相比较有一个过程来评估机构的当前技术状态,确保环绕诸如系统体系结构、技术方向和移植战略等方面IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施计划的开发和维护期间被考虑技术获取的后勤和环境影响要被计划IT政策和程序确保选择了系统地评估技术计划意外的需求〔也就是基础设施的冗余、恢复力、足够性和发展能力〕IT管理层评估正在出现的技术,并将适当的技术合并到当前的IT基础设施之中对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践在技术基础设施计划中所描述的技术组成的技术标准是到位的评定遵从性:测试:IT管理层理解并使用技术基础设施计划技术基础设施计划上的变化,以确定相关的成本和风险,这些变化要反映在IT长短期计划的变化中IT管理层要理解监控和评估正在出现技术的过程,并要将适当的技术合并到当前的IT基础设施之中IT管理层要理解系统评估技术计划意外的过程〔也就是说,基础设施的冗余、恢复力、充足性和发展能力〕为了充分地适应目前的已安装的硬件/软件以与在当前被批准的增加的新的硬件/软件,IT职能部门现有的物理环境硬件和软件获取计划遵从IT长短期计划,并要反映技术基础设施计划中所确认的需求技术基础设施计划选择利用当前和将来的技术技术标准被遵循,并作为开发过程的一部分而被合成一体被允许的访问与IT政策和程序中所定义的安全等级相一致,到位的访问要经过适当的授权证实没有满足业务目标的风险:执行:依照类似的机构或者适当的国际标准/公认的行业最好实践的技术基础设施计划编制的基准针对关键元素的完整性,数据字典的详细评价为敏感数据而定义的安全等级的详细评价确定:信息系统和IT长短期计划相关的信息体系结构模型和企业数据模型、企业数据字典的矛盾企业数据字典条款和数据语法规则的过时没有在技术基础设施计划中选择的以外方面没能反映技术基础设施计划需求的IT硬件和软件的获取计划与技术标准不一致的技术基础设施计划或IT硬件和软件获取计划数据字典中丢失的关键元素没有按照同样标准分类或者没有安全等级的敏感数据4 定义信息技术的机构与关系〔PO4〕控制的IT过程:定义IT的机构与关系满足的业务需求:提供正确的IT服务实现路线:定义一个数量上相配、具有角色和职责所要求技能的机构,与业务部门沟通、联合在一起,促进战略的实现,并规定有效的方向和适当的控制需要考虑的事项:董事会层面上的IT职责管理层对于IT的指导和监督IT与业务的结合关键决策过程中IT的参与机构的灵活性清晰的角色和职责平衡授权与监督工作岗位的描述人员级别和关键的人员在安全、质量和内部控制功能方面的机构配置职责的分离信息规范 IT资源P 效果 * 人员S 效率应用##技术完整设施可用数据遵从可靠4.1 IT 计划或指导委员会机构的高级管理层应指定一个计划或者指导委员会,来检查IT的职能与其活动.委员会的会员应包括来自高级管理层、用户管理层和IT职能方面的代表.委员会应实行例会制度,并向高级管理层报告.4.2 IT 职能的机构设置在整个机构机构设置IT职能过程中,高级管理层应确保其权力、关键时刻以与与用户部门的独立性到必要的程度,以便在执行时能够保证有效的IT解决方案和充分的进展,并要建立与顶级管理层的伙伴关系,以便在确定和解决IT问题时,能够帮助他们增强意识、理解和技能.4.3 机构绩效的评价应设置一个框架来评价机构的机构,以不断地满足目标和变化的环境.4.4 角色和责任管理层应确保机构中所有人员都具有并理解他们在相关信息系统中的角色和责任.所有的人员应具有足够的权力来行使分派给他们的角色和责任.角色的设置应考虑适当的职责分离.没有那个人能够控制一个交易或事件的所有关键环节.每个人都应认识到他们在内部控制和安全方面具有一定的责任.因此,应机构并承担起有规律的一些活动,以增强这方面的意识和纪律.4.5 质量保证的责任管理层应为IT职能部门的成员分配质量保证职能履行的责任,并确保适当的质量保证、系统、控制和存在于IT职能质量保证小组中的专家们的交流.IT职能内机构的布置以与质量保证小组的职责和规模应满足机构的需求.4.6 逻辑和物理安全的责任管理层应为信息安全经理正式地分配确保机构信息资产物理和逻辑安全的责任,并负责向高级管理层报告.最起码,安全管理职责应建立在整个机构范围的层次上,以便能够处理一个机构内的全部安全问题.如果需要,系统细节层次上的附加安全管理责任也应被分配,以应对相关的安全问题.4.7 所有者和管理者管理层应正式建立一个指定数据所有者和管理者的结构.他们的角色和责任应清楚地定义.4.8 数据和系统的所有者管理层应确保所有信息资产〔数据和系统〕都已指定了所有者,他们对信息资产的分类和访问权限具有决策的权利.典型地,系统所有者可以将日常管理委派给系统的交付/操作小组,将安全职责委派给安全管理员.然而,所有者仍然要保留对适当安全尺度维护的责任.4.9 监督高级管理层应执行适当的IT职能的监督实践,以保证角色和责任被完全地行使,评估所有的个人是否有足够的权力和资源完成他们的角色和职责,并要全面地评价关键的绩效指标.4.10 职责分离高级管理层应实施角色和职责的分离,避免单独的个人扰乱某个关键的过程.管理层还应确定每个人仅执行其工作和职位规定的各自的职责.尤其是下列职责之间责任分离的应维护.信息系统使用数据录入计算机操作网络管理系统管理系统开发和维护变更管理安全管理安全审计4.11 IT 人员配备员工需求评估应有规律地执行,以保证履行IT职能所需足够数量能胜任的IT员工.员工需求应至少每年评估一次,或根据业务、运作与IT环境的主要变化而执行.评估结果应尽快执行,以确保现在和将来员工的充足.4.12 IT 员工工作和职位的描述管理层应确保建立IT员工的职位描述,并有规律地被更新.这些职位描述应清楚地描绘权力和责任两方面,包括相关职位要求的技能和经验的详细说明,并要适合在绩效评估中使用.4.13 关键的IT 人员IT管理层应详细说明和识别关键的IT人员.4.14 与员工签约的政策和程序为了IT职能部门控制咨询和其它签约个人的活动,确保机构的信息资产处于保护之中,管理层应详细说明和执行相关的政策和程序.4.15 关系IT管理层应采取必要的行动,在IT职能部门和其它各种有利害关系的内外部IT职能部门〔即用户、供应商、安全官员、风险管理者〕之间,建立并维持一个最佳的协调、交流、联络的结构.对高级和详细的控制目标进行审计:获得了解:访谈:首席执行官〔CEO〕首席运营官〔COO〕首席财务官〔CFO〕首席信息官〔CIO〕质量保证官安全官IT计划/指导委员会成员、人力资源和高级管理层获得:高级管理层计划/指导角色和责任机构目标和长短期计划IT目标和长短期计划展示IT职能部门与与其它职能部门关系的机构机构图与IT机构和关系相关联的政策和程序与质量保证相关联的政策和程序用来决定IT人员需求的政策和程序IT职能部门的机构机构图IT职能部门的角色和责任IT关键位置〔工作〕的描述状况报告和计划/指导委员会会议纪要评估控制:考虑是否:来自高级管理层的政策声明和沟通确保IT职能部门的独立和权威IT计划/指导委员会的成员和职能部门已经被定义,责任已经被确定IT计划/指导委员会的章程使委员会的目的与机构的目标和长短期计划以与IT的目标和长短期计划联盟增强确定和解决信息管理问题的意识、理解和技能的过程到位政策选择了满足正在变化着的目标和环境的机构机构的评估和修改的要求决定IT职能部门效果和承诺的过程和绩效指标存在高级管理层要确保角色和责任被执行勾画机构内所有个人有关信息系统内部控制和安全的角色和责任的政策存在增加内部控制和安全意识以与纪律的有规律的活动存在质量保证的职能部门和政策存在质量保证职能部门要充分地独立于系统开发人员,并要有执行其责任的适当人员和专门技术确定时间资源并确保质量保证测试的完成以与系统或者系统变化被执行前的审批的质量保证之内的过程要到位为了安全官的内部控制和安全〔逻辑和物理两者〕政策和程序的明确表达,管理层应正式地分配机构范围内的责任安全官的职位的角色和责任的了解被充分地理解,并被证明与机构的信息安全政策一致机构的安全政策清晰地定义每一个信息资产的所有者〔如,用户、管理层和安全管理员〕被要求执行的信息安全的责任含盖数据和系统所有者所有主要数据源和系统的政策和程序存在有规律地评价并维护数据和系统所有者变化的程序存在描述监督实践,确保角色和责任被适当地行使,并且所有的人员有足够的权威和资源执行其角色和责任的政策和程序存在。
信息系统审计业务新亮点——COBIT标准
际上 最先进 、 最权 威 的安全 与 信 息 技术 管 理 和控 制 的标 准 , 已在 全世 界 10多个 国家 的重 要 组织 0
与企业中运用 , 指导这些组织有效利用信息资源, 有效 管理 与信息相 关 的风险 。
最新 版本 C B ' . 注重 帮助董 事会 和 员 O n 40更 工应对 不 断增 加 的职 责 。 包括 面 向公 司董 事 会 和
COBI sa d r T t n a d:A e Brl a c to n o ma in y t m d t n w i intFa e fI f r to S se Au i l
L h o—h a.Z IZ a u ENG i u Gu —h a
( a i U i rto o n r , conn oeeH rn102 ,h a H rn n e i f m le AcutgClg , a i 08 C i ) b v sy C ee i l b 5 n
j t e f n r ao n e t eho g , O e i 8 o If m t n ad rle Tcnl y C - cv r o i ad o
B ) I 是美 国信息系统审计与控制协会 ( fm tn T Io ao nr i Ss mA d dCn o As ii , A A 的信息 y e uia otl s c tn I C ) t tn r o ao S 技术 治 理 学 会 (no ao eho g oe ac Ifm tnTcnl yG vr ne r i o n I t t n I 于其原有的控制 目标体 系, ni e ) st , u 基 结合
A】 I :Atpee tte C I i hemot d ale n uhrttv tn ada otsc rt n noma o e hooyIl If ∞t rcnr1I’ o d rsn ,h OBT st s Vl da datci les d l b u euiya difr t ntc n lg I gm a c a a i l 蛐 o to.t8n t o ol a rvd dteifmmf ytm o t l8 8 n I t d l o hep o l, u lohspoie teifr t nss u i 粤d e T eC I nyh spoie h no i sse c nr 0lad T s n adfrt epe b tas a rvd h nomai yt a dt d . h OB n o o a d o m e T
Cobit审计指南+
信息技术审计指南2002年10月计划和组织1 定义战略性的信息技术规划(PO1)控制的IT过程:定义战略性的IT规划满足的业务需求:既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成实现路线:在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项:企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面,企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。
在这一方面,高级管理层应确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。
IT的长期、短期计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。
计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。
相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT长期计划编制——方法与结构对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。
这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。
IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。
计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。
关于信息系统审计发展现状的研究综述
MODERN BUSINESS现代商业156关于信息系统审计发展现状的研究综述王瑾昰玥南京审计大学金审学院 江苏南京 210046一、引言随着在线云端、大数据等信息技术的高速发展,业务应用呈现信息化平台化转型,数据之间的互通互联成几何级爆发式增长,基于信息技术发展的信息系统满足组织信息化应用的要求,成为组织日常运作,提升效率和效益,甚至赖以生存的基础。
根据2017年国际电信联盟(ITU)公布的《衡量信息社会报告2017》显示我国IDI(信息化发展指数)水平为5.60成功超越国际平均水平5.11。
在如此信息化环境急速变化,信息系统不断更新迭代和完善的情况下,审计人员就更需要运用信息化的思维模式和技术手段,根据公认的规范指南和标准,对组织信息系统及其相关资产的获取与运行过程的安全性、可靠性和效益性进行专业的判断和建议。
我国目前对于信息系统审计的相关研究尚在初步框架搭建阶段,学术界对信息系统审计的研究还主要停留在概念框架与模式构建、与传统审计的对比和集中在大型企业信息系统审计构建的探索,甚至不少学者在学术研究与实践探索中对计算机审计、信息系统审计和大数据审计等内涵产生混淆。
本文以“信息系统审计”摘要:随着云平台、大数据等信息技术的高速发展,企业信息化建设逐渐普及,组织对专业信息系统审计的需求越来越多。
本文系统地分析近几年关于信息系统审计相关文献,首先简要叙述自诞生以来信息系统审计的发展历程,对比分析我国学术界与以美国为首的发达国家在信息系统审计相关研究,发现我国近几年已经由基础概念理论研究向框架体系建设、实例研究转变,但仍主要分布于国家大型企业缺乏研究应用广泛性,提出对未来信息系统审计相关研究的探索思路。
关键词:信息系统审计;发展现状;文献综述中图分类号:F239.47 文献识别码:A 文章编号:1673-5889(2020)35-0157-04府新区成都直管区两个功能区是从有关行政区划出,虽然不是行政区,但实际拥有行政管理的权限,诸多统计中也单列,因此成都市实际拥有22个行政管理区。
信息系统功能的审计
对收集到的审计证据进行分析和整理,评估信息系统的 功能表现。
审计报告
撰写审计报告,总结审计结果,提出改进建议。
跟踪与监控
对改进建议的执行情况进行跟踪和监控,确保改进措施 的有效实施。
审计标准
根据信息系统的重要性和风险程度,选择适用的国际、 国内标准和行业规范,如ISO/IEC 20000、COBIT等, 作为审计的依据和参考。
报表生成模块
总结词
报表生成模块是信息系统的重要应用之一,用于生成各种格式的报表和数据展示 。
详细描述
报表生成模块可以根据用户的需求,快速生成各种类型的报表,如表格、图表和 图形等,提供灵活的报表定制和展示功能。此外,报表生成模块还可以与其他模 块进行集成,实现数据的动态展示和实时更新。
系统设置模块
问题复盘
对发现的问题进行复盘,总结经验教训,避免类ING
感谢您的观看
总结词
深入信息系统的运行环境,观察系统的 实际运行情况,验证系统的功能和性能 。
VS
详细描述
审计人员需要对信息系统的实际运行环境 进行实地考察,包括系统硬件设备、网络 架构、数据存储等方面,以了解系统的实 际运行状况和性能表现。同时,通过实地 考察可以发现潜在的安全风险和漏洞。
测试与验证
总结词
通过模拟实际操作场景,对信息系统的功能 进行测试和验证,确保系统功能的正确性和 可靠性。
目标
通过评估信息系统的功能完整性、准 确性、安全性和性能,发现潜在问题 ,提出改进建议,提高信息系统的可 靠性和有效性。
审计的重要性
确保信息系统功能与业务需求一致
01
通过对信息系统功能的审计,可以确保系统的功能与业务需求
相匹配,提高信息系统的使用价值。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的重要参考 依据之一 , 是注册会计师借 助于 内部审计 报告来评估 I 也 T 控制 的重要证 据 ; 详细控制 目标详细介绍 了C BT I 过程所包括 的 O I的 T 详细控制 目标 , 是评价 I 管理和过程的具体参考标准 ; 指南从信 息 T 审计 管理人员 和审计 人员的角度说 明了如何实施对 I 控制的检查 , 出了 T 提 具体 的审 计方法 ; 施工具 集主 要包 括管理 认知 ( ngme t w r— 实 ma ae n a ae
ns)、T控 制 诊 断 (T cnrl ig ot s 、 施 指 南 ( lmet in es I I o t an s c) 实 od i i e na o mp t gie 、 ud )常见 问题 ( A s 、OBT案例研究 (ae tde) F Q )C I c ̄ u i 等工具 , s s 为快速 学习和运用 C BT提供了丰富的素材。 OI 三、 COBI T信息评价标准对注册会计师的指导意义
下审计测试 、 数据文件 实质性测试 方面提供 了许 多参考性 审计方 法。
[ 关键词 ] 息系统 信 COB T I 计算机 审计 注册会计 师
随着企业信 息化建设 的不 断深入 和飞 速发展 , 息系统 已经 成为 信 企 业 日常经 营管理 、 投资 决策 、 战略规 划所依据 的重要 平 台, 企业 管理 和决策信息 越来越多地 由计算 机化 的信息 系统传递 和生成 。然而 , 信 息技术在 为企业提供 了大量 有用信息 和管理便利 的同时 , 也带来 了巨
大的业务经营 、 法律和信誉风险 。作为第三方 的外 部注册 会计师 , 面对 各 种不 同类 型和功能 的信 息系统及其 所提供的数据 内容 , 在进行 审计 时遇到了极大的挑战。 信息系统环境下注册会计 师的审计风 险 《 中华人 民共和 国注册会计师法 》 第二 十一 条规 定了注册会计师的 审计责任 :注册会计师执行审计业务 , “ 必须按照执行 准则 、 规则确定的 工作程序 出具报告 。 中国独立审计准则 对注册会计 师的审计责任也做 ” 了详细 的规 定 : 注册会计 师的审计 责任是指注册会 计师按照 独立 审计 准则的要求 出具审计报告 , 并对发表 的审计 意见 负责。事实上 , 注册会 计师 的审计责任是不断发展 的 , 0 纪7 年 代以来 注册会计师的审 自2 世 O 计 责任演 变为以验证会计报 表 的公允性 为主 , 又要揭 露重大错误 和舞 弊 。由于基本会计数据 及其他管理数 据的庞大 以及 审计成本 的限制 , 现代审计多采用评价 内部控制基础上 的抽样 审计以获得支 持财务报表 的证据。在信息系统条件下 , 审计基础数据更加庞 大和复杂 , 内部控制 的 内容和方法也发生 了巨大变化 , 注册会计 师如何 获取基础审计数据 , 如何评价新 的内部控制结构 的效力 和证据 之间 的联 系 , 这些都构 成了 对注册会计师的极大挑 战。 我国 20 年发布的《 04 独立审计具体准则第 2 号一 计算 机信息系统 o 环境下的审计》 明确指 出, 注册会计师应 当充分关 注计 算机 信息系统环 境对被审计 单位会计信 息及 内部控制 的影 响。2 0 年发布 的《 06 中国注 册会计师 审计 准则第 13 号 电子商务对 财务报表审计 的影 响》 63 第十八 条指 出注册会计 师应 当关 注审计单位是 否运 用适当的安全基础架构和 相关控制 ; 第三 十二条 也指 出: 注册 会计师应 当考虑被审计单位实施的 信息安全 政策和控制措 施 , 是否 足以防止未经授权 修改会计 系统或会 计记 录 , 或修改 向会计 系统提供数据 的系统。 国际 审计 准则 1—— 电 《 5 子数据处理环境下 的审计》 明确指 出 , 一个 电子数据处理的环境 也 当在 下进行审计 时, 审计人员应 当对约定计划 中的计 算机硬件 、 软件和处理 系统有充 分的 了解 , 并且 要 了解 电子数 据对 内部控 制的研究 与评 价和 对审计程 序的实施有 怎样的影响 , 括计算机辅助 审计技术 。但 是我 包 国的独立审计具体准 则和国际 审计准则 都没 有给出审计测试的具体评 价标准 , 显然注册会计 师在评价计算机信息 系统 的安全 、 正确及有效性 方面遇到 了很大 的困难 。按照相关 审计准则 , 审计 人员虽然 可以考虑 和利用计算 机信息系统专 家的技能 和工作 , 但是却不 能将他对财 务资 料形成重要 审计结论或 形成和表示意 见的责任委 派给别人 , 审计 人员 必 须对专家执行的有关数据处理技术 的]作 能适合 他的 目的取得合理 一 的确信。 以上情况表 明 : 虽然 注册会计师可 能无需对信 息系统和信息 活动 本 身提 出鉴 证结论和咨询意 见 , 但必须 考虑信息系统 和信息活动对 被 审计 单位的影响和重大错报 的风险 , 因此 , 注册会计 师在面对复杂的信 息 系统时必须考 虑借用 有效的 I 标准来 对被审计系统进行 评价。当前 T 国际上普遍应用 的I 相 关标准众多 , I 硬件 标准 、 T 有 T 软件实现标 准 、 网 络 通信标准 、 服务标准 、 系统安全 及安全工程标 准等 , I T I T 但有关 信息 系统 管理及 如何对 信息 系统进行 审计 的标准相对 比较少 , 其中 I0 0 1 S 90 和软件成熟度模型 C M在对信息 系统可靠性 、 M 安全性 和有效性方 面有 定 的参 考意义 , 但对 审计人员来 说, OBTX 审计人员具有更强 的针 C I  ̄ 对性 , 其执业规 范和操作指南对审计人员提供 了重要参考价值 的标准 。
基于 C I OBT信息系ห้องสมุดไป่ตู้ 审计砜奔
南京财 经 大学会 计 学院 熊耀 亮
[ 摘 要] 息系统加 大了注册会 计师的审计风险 , O I 信 而C B T可以成为注册会计 师评价信 息 系统 内部控制的重要参考标 准。本 文结 合 注册会计 师的审计介 绍 了COB T的主要 内容 和信息评价标准 , 注册会计 师在进行 符合性测试 、 I 为 业务和信息风险评价 、 网络环境