信息系统审计的指南(COBIT中文版)

COBIT-2019治理和管理目标中文COBIT，全称Control Objectives for Information and Related Technologies，中文意为“信息及相关技术的控制目标”，是一个由信息系统审计与控制协会（ISACA）制定的国际标准框架，旨在帮助企业实现有效的信息技术治理和管理。

COBIT框架提供了一套综合的治理和管理目标，涵盖了组织内部的商业需求、IT资源和技术。

在2019年发布的新版COBIT框架中，更新了许多原有的治理和管理目标，并对现代企业面临的挑战和机遇做出了充分的考虑。

COBIT-2019的核心理念是通过定义一套可操作的框架，帮助企业建立、维护和优化IT治理和管理的能力，从而实现业务目标。

本文将针对COBIT-2019框架中的治理和管理目标进行详细解读和分析，探讨其在现代企业中的应用和意义。

一、治理目标1. 治理目标的概念和原则COBIT-2019框架中的治理目标主要包括了企业治理、治理框架和治理决策。

其中，企业治理旨在确保企业长期可持续发展，治理框架旨在实现治理的有效实施，治理决策则关注在业务和技术层面上的决策过程。

这些治理目标的核心原则包括透明性、责任性、公正性和合规性，通过遵循这些原则，企业可以建立起健全的治理体系，保证企业的持续发展和稳定运行。

2. 治理目标的重要性和适用范围在当今日益复杂和多变的商业环境下，企业对于治理的需求愈发迫切。

有效的治理可以保障企业资源的合理利用，降低风险和成本，提升竞争力和市场价值。

COBIT-2019框架中的治理目标适用于各类规模和性质的企业，不仅可以帮助大型企业建立健全的治理架构，也可以为中小型企业提供简明实用的治理指南。

3. 治理目标的实施方法和工具COBIT-2019框架为企业提供了一整套治理实施的方法和工具，包括了治理目标的识别和规划、组织结构的建立和分工、治理流程的设计和优化等方面。

企业可以根据自身的需求和情况，制定适合自己的治理实施计划，运用COBIT提供的工具和方法，提升治理水平和效果。

COBIT 标准对我国开展信息系统审计有很好的启示和指导作用[摘要]COBIT标准是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。

COBIT标准不仅为人们提供了信息系统控制目标和信息技术标准,而且提供了信息系统的审计指南。

COBIT 标准对我国开展信息系统审计有很好的启示和指导作用。

在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。

然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准COBIT 上的研究和实践缺乏。

为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。

一、问题的提出信息及相关技术控制目标标准(Control Ob2jectives for Information and related Technology , CO2BIT) 是美国信息系统审计与控制协会( InformationSystem Audit and Control Association , ISACA) 的信息技术治理学会( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为IT 的治理、安全与控制提供了一个一般适用的公认标准。

自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。

最新版本COBIT 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。

COBIT信息技术审计指南(34个控制目标)计划和组织（选择3/6/11）1 定义战略性的信息技术规划（PO1）PO域控制的IT过程：定义战略性的IT规划满足的业务需求：既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成实现路线：在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项：企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面，企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。

在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。

IT的长期、短期计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。

1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。

计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。

相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。

1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。

这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。

IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。

计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。

信息系统运行审计操作手册一、前言随着信息技术的快速发展，信息系统在企业和组织中的应用日益广泛，其运行的稳定性、安全性和有效性对于业务的正常开展至关重要。

信息系统运行审计作为一种重要的监督和评估手段，能够帮助企业和组织发现信息系统运行中存在的问题和风险，保障信息系统的可靠运行。

本操作手册旨在为审计人员提供一套全面、系统的信息系统运行审计方法和流程，帮助其有效地开展审计工作。

二、审计目标和范围（一）审计目标1、评估信息系统的运行状况，包括系统的稳定性、可靠性、性能和可用性。

2、检查信息系统的内部控制措施是否有效，以保障系统的安全性和数据的完整性、准确性。

3、发现信息系统运行中存在的问题和风险，并提出改进建议，以提高系统的运行效率和效益。

（二）审计范围1、涵盖企业或组织内部使用的各类信息系统，包括业务应用系统、操作系统、数据库管理系统、网络系统等。

2、涉及信息系统的硬件设备、软件程序、数据资源、人员操作等方面。

三、审计准备（一）组建审计团队审计团队应包括具有信息技术知识和审计经验的人员，必要时可邀请外部专家参与。

（二）收集相关资料1、信息系统的规划、设计、开发和实施文档。

2、系统的操作手册、维护记录、故障报告等运行文档。

3、相关的法律法规、行业标准和企业内部规章制度。

（三）确定审计重点根据企业或组织的业务特点、信息系统的重要性和以往的审计情况，确定本次审计的重点领域和关键环节。

（四）制定审计计划明确审计的目标、范围、程序、时间安排和人员分工等。

四、审计流程（一）系统评估1、对信息系统的硬件设备进行检查，包括服务器、存储设备、网络设备等，评估其性能和稳定性。

2、审查软件系统，包括操作系统、应用程序、数据库管理系统等，检查其版本更新、补丁安装和授权使用情况。

（二）内部控制审查1、访问控制检查用户账号的创建、修改和删除是否经过授权，用户权限的分配是否合理。

测试用户身份验证机制的有效性，如密码强度、验证码等。

COBIT标准(2008-05-19 21:31:20)标签：杂谈目录• 什么是COBIT• COBIT的主要组件• COBIT对企业的作用• COBIT的优点• COBIT标准的应用原则什么是COBITCOBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。

成立于1969年的美国信息系统审计与控制协会(ISACA)，于1996推出了用于“IT审计”的知识体系COBIT。

“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。

相应地，“注册信息系统审计师”（CISA）日益成为世界各国发展信息化过程中，争相发展的新兴职业和领域。

作为IT治理的核心模型， COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring）。

COBIT目前已成为国际上公认的IT管理与控制标准。

COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。

COBIT的主要组件COBIT有6个组件：- Executive Summary- Management Guidelines- Framework- Control Objectives- Implemenation Toolset- Audit GuidelinesCOBIT对企业的作用COBIT型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

COBIT信息技术审计指南COBIT（Control Objectives for Information and Related Technologies）是一种国际上广泛接受的信息技术（IT）治理和管理框架。

COBIT提供了一个可用于审计的综合的IT服务管理工具，可帮助企业实现其目标，并确保IT系统的有效性和合规性。

COBIT信息技术审计指南是基于COBIT框架的一个重要组成部分，为审计人员提供了一个全面的指南，以评估和审计企业的IT系统。

该指南涵盖了审计过程的所有关键方面，以帮助审计人员有效地管理和执行审计计划，确保IT系统的安全性、完整性和可靠性。

1.IT治理和管理目标：提供了IT治理和管理的目标，以确保IT系统与业务目标的一致性。

2.测量目标：定义了评估IT服务管理过程和实施COBIT框架的效果的指标和目标。

3.实施指南：提供了一系列实施COBIT框架的最佳实践和指导方针。

4.控制目标：定义了需要在IT环境中实施的控制措施，以确保IT系统的安全和有效性。

5.成熟度模型：提供了一个评估IT服务管理过程成熟度的框架，以帮助企业确定改进的重点和优先级。

6.过程参考模型：定义了IT服务管理过程的详细步骤和流程。

7.成功因素：定义了实施和管理COBIT框架的关键成功因素，以确保系统的可持续发展和改进。

8.监控和评估框架：提供了一套用于监控和评估IT系统的指标和工具，以确保其持续符合业务需求和要求。

COBIT信息技术审计指南可帮助审计人员了解企业的IT系统，识别主要风险和安全漏洞，并提供相应的控制和改进建议。

通过审计过程，企业可以评估其IT系统的风险和弱点，并采取适当的措施加以改进。

同时，COBIT框架提供的指导方针和最佳实践可以帮助企业建立一个安全、稳定和高效的IT环境。

总而言之，COBIT信息技术审计指南是一套可靠和全面的工具，用于评估企业的IT系统，并提供控制和改进建议。

它为企业提供了一个基于最佳实践和指导方针的框架，以管理和优化其IT服务管理过程。

会计信息系统审计中Cobi t模型的运用在会计信息系统审计屮，内部控制长久以来都是这个领域屮的探讨热点。

20 世纪90年代，COS O委员会发布的《内部控制一一一整合框架》或COSO内部控制框架①，一直以来成为多数发达国家企业内部控制构建和规范的参照标准。

随着信息技术的日益更新，尤其是电子商务的广泛应用，信息技术已成为现代企业重点资源之一。

未来企业的生存与发展，都将以信息系统的使用和发展作为基础和依靠。

信息技术的日趋成熟使会计信息系统得以广泛应用，会计信息系统的安全及风险管理也因此受到关注。

C obit②框架作为更侧重于IT 治理和控制的框架，不仅囊括COSO内控框架屮的所有内控标准，其以IT系统为研究对象的特点，使其能为会计信息系统的审计和内控管理提供更具体、更有针对性的指导和启发。

丿一、C o bit框架概念199丿6年，信息系统审计和控制协会（简称ISA C A）③首次公布了C ob i ｛框架，我国将其定义为信息及相关技术控制目标,是一种最新的信息技术管理模型。

通过不断地发展与完善, 当前这一模型已经广泛应用于信息化领域，并渐渐了"C obit治理”理念，成为基于IT 治理概念的，面向信息系统建设过程的治理实现指南和审计标准。

丿Cobit把IT资源、业务要求和IT过程同企业的目标与战略发展策略紧密结合起来，构成一个三维的体系结构（1所示）.其中IT 资源一般包含了应用系统、信息、基础设施及人在内的有关资源，这是IT治理过程中的主要对象；业务要求则全面反映企业的战略目标,也可理解为企业为完成业务目标对IT资源和IT过程的要求标准.一般从有效性、高效性、保密性、完整性、可获取性、符合性及可靠性七个方面来衡量对象的质量。

IT过程则是在业务要求相适应的COB I T 的IT总体控制目标的导向下，科学合理地规划和处理信息及有关资源。

其为企业管理的成功提供了集成的IT管理模型和信息处理高效改进的对策，更好地符合企业的发展需求。

COBIT信息技术审计指南(34个控制目标)计划和组织（选择3/6/11）1 定义战略性的信息技术规划（PO1）PO域控制的IT过程：定义战略性的IT规划满足的业务需求：既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成实现路线：在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项：企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面，企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。

在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。

IT的长期、短期计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。

1.2 IT 长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。

计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。

相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。

1.3 IT 长期计划编制——方法与结构对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。

这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。

IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。

计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。

信息系统控制评价指南的简称信息系统控制评价指南（ISACA）简称COBIT（Control Objectives for Information and Related Technologies），是一种国际上广泛使用的信息系统控制评价框架。

它为企业和组织提供了一套完整的信息系统控制标准，以帮助其管理和控制信息系统的运作，确保信息系统的安全性和合规性。

COBIT框架由ISACA组织于1996年首次发布，目的是为企业提供一个可行的、可量化的信息系统控制评价方法。

该框架基于业务目标，并与企业的战略目标相一致，通过制定控制目标、控制实施指南和评价方法，帮助企业建立和维护有效的信息系统控制机制。

COBIT框架的设计理念包含了五个基本原则：满足企业需求、覆盖企业所有关键过程、应用资源驱动、分级控制、建立适应性管理机制。

这些原则确保了COBIT框架的实用性和适应性，使其能够适用于各种规模和类型的企业和组织。

COBIT框架由五个核心组件组成：控制目标、管理实施指南、管理目标、控制实施工具和评价指南。

控制目标提供了一套独立于技术和业务的信息系统控制目标，帮助企业建立和维护信息系统的安全性和合规性。

管理实施指南提供了一种实施COBIT框架的方法，包括流程、组织结构和职责等方面的指导。

管理目标则帮助企业建立和维护有效的信息系统管理机制，确保信息系统能够支持业务目标的实现。

控制实施工具为企业提供了一套实施COBIT框架的工具和技术，帮助其有效地控制信息系统的运作。

评价指南提供了一种评估COBIT框架实施效果的方法，帮助企业监控和改进信息系统控制机制。

COBIT框架的特点包括：全面性、适应性、可量化性和可管理性。

全面性指COBIT框架覆盖了企业信息系统控制的各个方面，并提供了一套完整的控制标准。

适应性指COBIT框架能够适应不同规模和类型的企业和组织的需求，并根据其特定情况进行定制。

可量化性指COBIT框架提供了一套可量化的控制目标和评估方法，帮助企业进行信息系统控制的量化分析和评价。

信息技术审计指南2002年10月计划和组织1 定义战略性的信息技术规划（PO1）控制的IT过程：定义战略性的IT规划满足的业务需求：既要谋求信息技术机遇和IT业务需求的最佳平衡，又要确保其进一步地完成实现路线：在定期从事的战略规划编制过程中，要逐渐形成长期的计划，长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划需要考虑的事项：企业的业务发展战略IT如何支持业务目标的明确定义技术解决方案和当前基础设施的详细清单追踪技术市场适时的可行性研究和现实性检查已有系统的评估在风险、进入市场的时机、质量方面，企业所处的位置需要高级管理层出钱、支持和必不可少的检查信息规范 IT资源P 效果 * 人员S 效率 * 应用保密 * 技术完整 * 设施可用 * 数据遵从可靠1.1 作为机构长期和短期计划一部分的IT高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。

在这一方面，高级管理层应确保IT有关事项以及机遇被适当地评估，并将结果反映到机构的长期和短期计划之中。

IT的长期、短期计划应被开发，确保IT的运用同机构的使命与业务发展战略相结合。

1.2 IT长期计划IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。

计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。

相应地，管理层应执行一个长期计划的编制过程，采用一种结构化的方法，并建立一个标准的计划结构。

1.3 IT长期计划编制——方法与结构对于长期计划的编制过程来讲，IT管理层和业务过程的所有者应建立并采用一种结构化的方法。

这样可以制定出高质量的计划，含盖什么、谁、怎样、什么时间和为什么等基本的问题。

IT计划的编制过程应考虑风险评估的结果，包括业务、环境、技术和人力资源的风险。

计划编制期间，需要考虑和充分投入的方面包括：机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。

信息系统审计标准S1-审计章程导言01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序（以粗体标出）。

02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。

标准03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。

04 审计章程或委托书应在组织内的适当层次得到同意和通过。

注释05 对于内部信息系统审计职能，应为所有进行中的业务活动制定一份审计章程。

审计章程应通过年度审查。

如果责任发生变动或变化，则应缩短审查周期。

内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。

外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。

06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。

07 审计章程或委托书应定期审查，以确保（审计的）目的和责任已经记录在案。

08 如需有关准备审计章程或委托书进一步的信息，应参考下列指南：信息系统审计指南G5，审计章程COBIT 框架，监控目标M4实施日期09 此ISACA 标准适用于所有信息系统的审计，于2005 年1 月1 日起（之后）实施。

信息系统（IS）审计的专业性和进行这类审计所需的技术，要求制定出专门适用于信息系统审计的标准。

推进全球适用的标准以实现这个目标是信息系统审计与控制协会（ISACA®）的宗旨之一。

信息系统审计标准的发展和传播是ISACA 为审计业界作出专业贡献的基础。

信息系统审计标准的框架提供了多层次的指引：标准为信息系统审计和报告定义了强制性的要求。

它们宣告：–根据ISACA 职业道德规范中关于职业责任的规定，信息系统审计师的执行绩效所应达到的最低标准。

–管理层和其他利益方对执业者在专业工作上的期待。

–认证信息系统审计师（CISA®）资格持有人的相关特定要求。

CISA 资格持有人未能遵守上述标准的可能会导致ISACA董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。

企业信息化审计与治理管控（COBIT认证）
关于举办企业信息化审计与治理管控（COBIT认证）最佳实践
培训班的通知
一、培训收益
通过此次课程培训，可使学习者获得如下收益：
从信息系统审计角度，掌握审计职能的管理；掌握IT审计过程及方法；了解IT治理与管理的区别；理解IT治理框架构成；掌握审计IT 治理结构与实施方法；掌握对IT基础设施及IT服务管理的审计方法；深入理解并掌握对信息安全的审计；理解并掌握对业务连续性计划的审计；使学员能够在实际IT治理与审计工作中有思路、有方法。

从信息化治理管控角度，帮助企业掌握如何体系化建设信息化服务运营体系，如何持续建设与变革信息化服务运营体系；另外，在提高信息化战略投资成效、提高信息化敏捷研发能力、提高企业互联网服务与内部协调响应关系、提高企业信息服务维护保障能力等四个方面给出了明确指导策略，有利改进和提高；第三，给出了信息化服务运营能力体系的等级成长模型，给出了一个渐进提高信息化服务运营能力的阶梯参考。

二、培训特色
本次培训特色定位方法与实践相结合。

第一、能够做到理论与实践相结合、案例分析与行业应用穿插进行；专家精彩内容解析、学员专题讨论、分组研究；通过全面知识理解、专题技能演示和实践引导学员掌握课程内容；强调互动式教学、强化团队讨论。

第二、本课程将针对以上内容，结合当前信息化设计框架和COBIT信息化价值链建设框架，探讨企业信息化有效推进的方法。

实践方面，授课专家组是由近年来IT治理管控体系设计与信息化审计实施经验的咨询顾问亲自担任授课专家。