信息系统审计与IT治理 ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 中国内部审计协会:信息 系统审计是指内部审计机 构和内部审计人员对组织 的信息系统及其相关的信 息技术内部控制和流程所 进行的审查与评价活动。
9
• 审计内容
• 审计信息系统的流程 • IT治理与管理 • 信息系统的购置,开发与
实施 • 信息系统的操作,维护与
服务管理 • 信息资产的保护 • 灾难恢复与业务连续性计
利益相关者需要
驱 动
实现 收益
治理目标: 创造价值
优化 风险
优化 资源
-
5
COBIT5治理和管理关键领域
• COBIT5由 ISACA开发,通过提供一个框架来确保IT与业务保持一致、IT 使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源和适 当地管理IT风险,从而支持GEIT。
业 务 需 求
• 根据COBIT原理,公司所有IT活动都可以依照进行的不同 阶段进行分类,因此,对IT流程按照系统生命周标准,划 分为IT治理、研发与上线、运维与支持、考核与管理,分 别对应COBIT标准模式中的计划与组织、获取与实施、交 付与支持、督与评价四个领域。每个领域梳理各自包含对 应阶段涉及的IT标准流程。
-
• 提高审计风险的防范能力 • 建立统一的会计审计系统,
开发会计审计软件 • 专业人才队伍建立健全 • 审计 • 端正审计人员对于信息系
统审计的态度 • 跨行业的信息技术整合
11
两者关系
• 信息系统审计是企业进行IT治理的一个重要组成部分。
• 监督和检查:通过信息系统审计发现企业信息化存在的问 题,发现自身的不足,完善IT治理的控制作用。
• 成熟
o 1980年代,美国、日本等开始制定自己的标准
• 普及
o 1994年, EDP审计师协会更名为“信息系统审计与控制协会”(ISACA) o 1998年,AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的
发生,使人们关注IT服务的可靠性问题,这些公司有了信息系统审计的需要。
-
8
定义
• ISACA
• 我国
• 信息系统审计是一个获取 并评价证据,以判断计算 机系统是否能够保证资产 安全、数据完整以及有效 率低利用组织的资源并有 效果地实现组织目标的过 程。
-
• 审计署:信息系统审计是 指国家审计机关依法对被 审计单位信息系统的真实 性、合法性、效益性和安 全性进行检查监督的活动。
信息系统审计 IT治理
组长: 从嘉琪(PPT制作) 组员: 张琳琳,胡红燕(IT治理,ISA基本内容)
刘唯一,徐逸柠,王毓秀(COBIT案例) 何诗雯(两者关系)
-
1
IT治理
-
2
定义
• 国际信息系统审计与控制 协会的定义:
• IT 治理是一个由关系和过 程所构成的体制,用于指 导和控制企业,通过平衡 信息技术与过程的风险、 增加价值来确保实现企业 的目标 。
• 企业IT治理(GEIT)指 的是一个所有利益相 关者(包括董事会、 高级管理层、内部客 户以及财务等部门) 均可参与决策过程的 体系。
• GEIT是董事会和执行 管理部门的职责。
-
3
内涵
• IT 治理必须与企业战略目标一致 • IT 治理以明确的期望值和衡量手段,确保 IT 按照目标交付
适用的功能和期望的收益。 • IT 治理和其他治理主体一样,是管理执行经理和利益相关
-
15
-
16
应用系统控制审计设计
• 所谓应用糸统控制,是指信息系统在发起、记录、处理以 及展现业务数据时,系统自发地采取某种控制手段,确保 业务数据的完整性、准确性。
• 针对寿险行业的信息原统而言,应用系统控制功能上主要 包括包含以下几个类型:
o 计算型 o 校验型 o 触发型 o 参数型
-
13
中国人寿信息系统审计的案例
• 审计框架
• 在框架内容上,借鉴传统 信息系统审计的方式和方 法,针对不同风险类型, 分别釆用一般控制审计、 应用系统控制测试相结合, 一般控制审计为主、应用 系统控制测试为辅的方式 开展。
一般控 制审计
应用 控制 审计
整体审计 框架
-
14
一般控制审计
• 一般控制审计主要是针对公司各个IT流程中各类系统构成 外部要素的较大范围控制审计,目的是确保系统安全运行、 保护数据和程序、防止非法入侵以及系统在突发事件后的 应急处理。
治理
评价
管理
-
管
指导
理
层
反
馈
监控
计划
构建
运行
监控
6
信息系统审计
-
7
发展历程
• 萌芽阶段
o 1940年代:第一台计算机诞生 o 1950年代:计算机化的会计系统出现,“绕过计算机审计” o 1960年代:计算机与相关的应用软件开始普及,产生了“EDP(电子数据处理)
审计”
• 发展
o 1970年代: “美国权益融资公司”的审计中,审计人员首次采用“通过计算机审 计”的审计方法 • 1977年,EDP审计师协会出版行业标准《COBIT 》 • 1978年,该协会推出了CISA(注册信息系统审计师)资格认证
• 报告和促进:通过信息系统审计,编制审计报告,提出建 议,帮助企业建立起完善和细化的流程和制度,确保IT治 理方向与业务目标一致,进而确保组织信息系统的发展能 够始终沿着正确的方向进行,确保企业的总体战略目标的 实现。
-
12
基于IT治理构建 我国信息系统控制与审计体系
• 确定信息系统控制目标 • 建立适用的、协同的IT标准模式 • 制定相关管理指南 • 完善控制与审计指南
者的责任 • IT 治理不是孤立的规范和活动,而是公司治理的有机组成
部分 • IT 治理在组织内多个层面进行
-
4
IT治理目标:价值创造
• GEIT的目的是引导IT活动 以确保IT执行情况足以实 现IT与企业目标保持一致 并实现所承诺效益等目标。
• GEIT涉及两个问题:一是, IT应该为业务带来价值; 二是,需要对IT风险进行 管理。
划
• 审计特点
• 几乎审计的所有领域都应 用现代信息技术
• 信息数据的安全、可靠 • 更需要依靠专家支持 • 审计覆盖面扩大 • 对审计人员的专业性要求
更高
-
10
问题风险及对策
• 问题风险
• 对策
源自文库
• 会计信息系统自身的缺陷 • 电子形式的数据存储易发
生的存储,窃取,破坏风 险 • 有效的审计软件欠缺 • 专业会计信息系统审计专 人才欠缺 • 对于信息系统审计态度不 端正 • 行业之间信息沟通障碍
9
• 审计内容
• 审计信息系统的流程 • IT治理与管理 • 信息系统的购置,开发与
实施 • 信息系统的操作,维护与
服务管理 • 信息资产的保护 • 灾难恢复与业务连续性计
利益相关者需要
驱 动
实现 收益
治理目标: 创造价值
优化 风险
优化 资源
-
5
COBIT5治理和管理关键领域
• COBIT5由 ISACA开发,通过提供一个框架来确保IT与业务保持一致、IT 使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源和适 当地管理IT风险,从而支持GEIT。
业 务 需 求
• 根据COBIT原理,公司所有IT活动都可以依照进行的不同 阶段进行分类,因此,对IT流程按照系统生命周标准,划 分为IT治理、研发与上线、运维与支持、考核与管理,分 别对应COBIT标准模式中的计划与组织、获取与实施、交 付与支持、督与评价四个领域。每个领域梳理各自包含对 应阶段涉及的IT标准流程。
-
• 提高审计风险的防范能力 • 建立统一的会计审计系统,
开发会计审计软件 • 专业人才队伍建立健全 • 审计 • 端正审计人员对于信息系
统审计的态度 • 跨行业的信息技术整合
11
两者关系
• 信息系统审计是企业进行IT治理的一个重要组成部分。
• 监督和检查:通过信息系统审计发现企业信息化存在的问 题,发现自身的不足,完善IT治理的控制作用。
• 成熟
o 1980年代,美国、日本等开始制定自己的标准
• 普及
o 1994年, EDP审计师协会更名为“信息系统审计与控制协会”(ISACA) o 1998年,AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的
发生,使人们关注IT服务的可靠性问题,这些公司有了信息系统审计的需要。
-
8
定义
• ISACA
• 我国
• 信息系统审计是一个获取 并评价证据,以判断计算 机系统是否能够保证资产 安全、数据完整以及有效 率低利用组织的资源并有 效果地实现组织目标的过 程。
-
• 审计署:信息系统审计是 指国家审计机关依法对被 审计单位信息系统的真实 性、合法性、效益性和安 全性进行检查监督的活动。
信息系统审计 IT治理
组长: 从嘉琪(PPT制作) 组员: 张琳琳,胡红燕(IT治理,ISA基本内容)
刘唯一,徐逸柠,王毓秀(COBIT案例) 何诗雯(两者关系)
-
1
IT治理
-
2
定义
• 国际信息系统审计与控制 协会的定义:
• IT 治理是一个由关系和过 程所构成的体制,用于指 导和控制企业,通过平衡 信息技术与过程的风险、 增加价值来确保实现企业 的目标 。
• 企业IT治理(GEIT)指 的是一个所有利益相 关者(包括董事会、 高级管理层、内部客 户以及财务等部门) 均可参与决策过程的 体系。
• GEIT是董事会和执行 管理部门的职责。
-
3
内涵
• IT 治理必须与企业战略目标一致 • IT 治理以明确的期望值和衡量手段,确保 IT 按照目标交付
适用的功能和期望的收益。 • IT 治理和其他治理主体一样,是管理执行经理和利益相关
-
15
-
16
应用系统控制审计设计
• 所谓应用糸统控制,是指信息系统在发起、记录、处理以 及展现业务数据时,系统自发地采取某种控制手段,确保 业务数据的完整性、准确性。
• 针对寿险行业的信息原统而言,应用系统控制功能上主要 包括包含以下几个类型:
o 计算型 o 校验型 o 触发型 o 参数型
-
13
中国人寿信息系统审计的案例
• 审计框架
• 在框架内容上,借鉴传统 信息系统审计的方式和方 法,针对不同风险类型, 分别釆用一般控制审计、 应用系统控制测试相结合, 一般控制审计为主、应用 系统控制测试为辅的方式 开展。
一般控 制审计
应用 控制 审计
整体审计 框架
-
14
一般控制审计
• 一般控制审计主要是针对公司各个IT流程中各类系统构成 外部要素的较大范围控制审计,目的是确保系统安全运行、 保护数据和程序、防止非法入侵以及系统在突发事件后的 应急处理。
治理
评价
管理
-
管
指导
理
层
反
馈
监控
计划
构建
运行
监控
6
信息系统审计
-
7
发展历程
• 萌芽阶段
o 1940年代:第一台计算机诞生 o 1950年代:计算机化的会计系统出现,“绕过计算机审计” o 1960年代:计算机与相关的应用软件开始普及,产生了“EDP(电子数据处理)
审计”
• 发展
o 1970年代: “美国权益融资公司”的审计中,审计人员首次采用“通过计算机审 计”的审计方法 • 1977年,EDP审计师协会出版行业标准《COBIT 》 • 1978年,该协会推出了CISA(注册信息系统审计师)资格认证
• 报告和促进:通过信息系统审计,编制审计报告,提出建 议,帮助企业建立起完善和细化的流程和制度,确保IT治 理方向与业务目标一致,进而确保组织信息系统的发展能 够始终沿着正确的方向进行,确保企业的总体战略目标的 实现。
-
12
基于IT治理构建 我国信息系统控制与审计体系
• 确定信息系统控制目标 • 建立适用的、协同的IT标准模式 • 制定相关管理指南 • 完善控制与审计指南
者的责任 • IT 治理不是孤立的规范和活动,而是公司治理的有机组成
部分 • IT 治理在组织内多个层面进行
-
4
IT治理目标:价值创造
• GEIT的目的是引导IT活动 以确保IT执行情况足以实 现IT与企业目标保持一致 并实现所承诺效益等目标。
• GEIT涉及两个问题:一是, IT应该为业务带来价值; 二是,需要对IT风险进行 管理。
划
• 审计特点
• 几乎审计的所有领域都应 用现代信息技术
• 信息数据的安全、可靠 • 更需要依靠专家支持 • 审计覆盖面扩大 • 对审计人员的专业性要求
更高
-
10
问题风险及对策
• 问题风险
• 对策
源自文库
• 会计信息系统自身的缺陷 • 电子形式的数据存储易发
生的存储,窃取,破坏风 险 • 有效的审计软件欠缺 • 专业会计信息系统审计专 人才欠缺 • 对于信息系统审计态度不 端正 • 行业之间信息沟通障碍