信息系统审计与IT治理 ppt
合集下载
IT审计及COBIT体系 PPT
大家好
15
大家好
16
IT治理是一个综合术语,它包括信息系统,技术和 通讯,业务,法律相关事务,所有利益相关方,董 事会,高级管理层,流程所有人,IT供应商,用户 和审计师。IT治理有助于确保IT和企业目标保持一 致。
IT治理是组织中的一种制度安排,目的是为了提高 IT绩效、降低IT风险,有效地利用资源。
大家好
11
处理控制:对信息系统进行的内部数据处理活动的 控制措施,这些控制措施往往被写入计算机程序, 包括数据有效性检测、错误纠正控制。
输出控制:主要是保证交付给用户的数据是符合格 式要求的、可交付的,并以一致和安全的方式递交给 用户,包括输出错误处理、输出报告管理、报告接收 确认
大家好
12
内容安排
IT审计及COBIT模型
2013/12/28
DIB 中国领先内部控制和风险管理解决方案提供商
内容安排
1.IT审计介绍 2.IT治理介绍 3.COBIT概念 4.COBIT体系框架 5.Q&A
大家好
2
信息系统审计(ITA)是以企业或政府等组织的信息系统为 审计对象,通过现代的审计理论和IT管理理论,从信息资 产的安全性、数据的完整性以及系统的有效性和效率性等 方面出发,对其是否能够有效可靠的达到组织的战略目标 进行全面的监测和评估,并为改善和健全组织对信息系统 的控制提出详细的建议。
审计结束 大计家好算机信息系统审计流程6
信息系统调查是对被审计单位信息系统的管理体制、 总体架构、规划设计、管理水平等进行全面、深入地 了解,是进行信息系统审计的基础。
了解管理体制,从总体上把握被审计单位信息系统管 理的基本情况。
了解总体架构,完成对被审计单位有什么类型的信息 系统,每个系统有多少子系统,信息系统分布在哪些 部门,信息系统之间有什么关系的调查。
《信息技术审计概述》PPT课件
——信息技术审计方式和方法。利用信息技术及其系统思维方式, 逐步改变传统的审计作业手段,建立符合信息化要求的审计方式和方 法正在逐步形成。
——建设适应信息化的审计队伍。通过各类培训和实务训练,一 支政治素质好、业务能力强、技术技能高、工作作风实的审计队伍正 在逐步形成。
——法制建设和文明审计。适应信息化需要的法律制度建设,适 应科学、和谐发展的文明审计,正在逐步形成。
12
二、信息技术审计的主要形态
(二)联系 信息系统审计是计算机数据审计的必要条件。发展证明,仅对 信息系统管理的数据进行审计,极有可能是信息化环境下的“假账 真查”,极易产生审计风险。因此,计算机数据审计必须以信息系 统审计为切入点和必要条件,至少要对信息系统的管理控制和技术 控制情况进行测试检查,发现控制缺陷、非法功能和漏洞,评估数 据的完整性、可用性、可审性,为计算机数据审计奠定坚实的基础, 提升计算机数据审计的质量和实施效果。 计算机数据审计是信息系统审计的有效手段。信息系统审计除 采用受控处理法、综合测试法、平行模拟法等技术方法外,可以充 分利用计算机数据审计,对采集的信息系统底层数据进行深入分析, 推理与揭示信息系统存在的设计不足、控制缺陷和非法功能等问题。
信息技术审计是适应审计环境、审计对象发展变化的必然结 果,是内部审计工作转型的内在要求。学习和应用信息技术, 就是要以其为手段,构建审计信息化平台,拓展审计空间,提 升审计效果,为内部审计工作注入现代的气息和活力,促进审 计思维、审计方式、审计内容的转变。
3
(一)信息技术审计产生的必然性
4
(二)信息技术审计发展
信息系统审计是通过对信息系统的安全性、可靠性、完整性、效 率性和效果性等进行检查、评价和报告活动,协助企业建立完善、 可行的信息技术管理机制,平衡企业信息化过程中的风险,促进信 息技术目标与企业业务目标的协调发展。
——建设适应信息化的审计队伍。通过各类培训和实务训练,一 支政治素质好、业务能力强、技术技能高、工作作风实的审计队伍正 在逐步形成。
——法制建设和文明审计。适应信息化需要的法律制度建设,适 应科学、和谐发展的文明审计,正在逐步形成。
12
二、信息技术审计的主要形态
(二)联系 信息系统审计是计算机数据审计的必要条件。发展证明,仅对 信息系统管理的数据进行审计,极有可能是信息化环境下的“假账 真查”,极易产生审计风险。因此,计算机数据审计必须以信息系 统审计为切入点和必要条件,至少要对信息系统的管理控制和技术 控制情况进行测试检查,发现控制缺陷、非法功能和漏洞,评估数 据的完整性、可用性、可审性,为计算机数据审计奠定坚实的基础, 提升计算机数据审计的质量和实施效果。 计算机数据审计是信息系统审计的有效手段。信息系统审计除 采用受控处理法、综合测试法、平行模拟法等技术方法外,可以充 分利用计算机数据审计,对采集的信息系统底层数据进行深入分析, 推理与揭示信息系统存在的设计不足、控制缺陷和非法功能等问题。
信息技术审计是适应审计环境、审计对象发展变化的必然结 果,是内部审计工作转型的内在要求。学习和应用信息技术, 就是要以其为手段,构建审计信息化平台,拓展审计空间,提 升审计效果,为内部审计工作注入现代的气息和活力,促进审 计思维、审计方式、审计内容的转变。
3
(一)信息技术审计产生的必然性
4
(二)信息技术审计发展
信息系统审计是通过对信息系统的安全性、可靠性、完整性、效 率性和效果性等进行检查、评价和报告活动,协助企业建立完善、 可行的信息技术管理机制,平衡企业信息化过程中的风险,促进信 息技术目标与企业业务目标的协调发展。
信息系统审计概述(ppt 86页)
建立信息系统审计制度是建立信 息化“游戏规则”的重要组成部分。
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;
第十三章信息系统内部控制及其审计16页PPT
• (二)计算机会计信息系统内部控制审计 的具体实施
• A.总体要求:
• 1.保持控制程序的完备性 • 2.确保能够访问相关记录
• B.会计信息系统安全性控制风险评价
应当考虑被审计单位安全基础架构和相关控制 是否足以应对与电子商务交易的记录和处理相关的 安全风险。
C.会计信息系统交易完备性控制风险评价 包括被审计单位会计处理所依据信息的完整性、准
• B.应用控制 • 1.输入控制 • 2.处理控制 • 3.输出控制
• (三)计算机会计信息系统内部控制存在 的问题
• 1.数据的安全性差 • 2.差错的反复性和严重性 • 3.管理和监督的有效性
• (四)计算机会计信息系统内部控制的加 强和完善
• 1.强化风险意识 • 2.完善法规、准则制度的规范 • 3.加强和使用有关审批、评审和验收等的监
•
生人活生总就会像给骑你单另谢车一,个想机谢保会持,平这个衡大机就会得叫往家明前天走 6、
。2024年8月4日星期日上午3时49 分34秒 03:49:3 424.8.4
•
7、
。2024年8月上午3时49分24.8.403:49August 4, 2024
•
8、业余生活要有意义,不要越轨。20 24年8 月4日星 期日3 时49分3 4秒03: 49:344 August 2024
督机制
• 4.人员控制
第三节 计算机会计信息系统内部控制 审计
• (一)信息系统审计含义及目的
1.信息系统审计,是指由组织内部审计机构及人 员对信息系统及其相关的信息技术内部控制和流程开展 的一系列综合检查、评价与报告活动。
2.信息系统审计的目的是通过实施信息系 统审计工作,对组织是否达成信息技术管理目标进 行综合评价,并基于评价意见提出管理建议,协助 组织信息技术管理人员有效地履行其受托责任以达 成组织的信息技术管理目标。
IT审计要点(ppt 54页)
8
COBIT 模型: IT 域 (续)
获取与实施 (AI) ► 目标:
▪ 识别、制定或获取、实施并整合IT方案 ▪ 现有系统的变更与维护 ► 范围: ▪ 新项目提供的解决方案是否满足业务需求提供? ▪ 新项目是否能在预算范围内及时提供? ▪ 新项目实施后是否能正常工作? ▪ 变更是否能够不影响当前的业务运营?
提供与支持 (DS) ► 目标:
▪ 所请求服务的实际提供结果, 包括服务提供过程 ▪ 安全、连续性、数据和运营设施管理 ▪ 对用户的服务支持 ► 范围: ▪ IT服务提供是否与业务优先级相匹配? ▪ IT成本是否最优? ▪ 员工是否能安全有效的使用IT系统? ▪ 是否能保障机密性、完整性和可用性?
IT服务
业务战略
IT资源
信息标准
IT流程
2
COBIT框架
作为一个IT的控制和治理框架, COBIT关注于以下两个关键点: ► 提供所需要的信息以支持业务目标和需求 ► 根据IT流程所管理的IT相关资源及应用对信息进行处理
IT流程 业务需求
信息标准
有效性 效率 保密性 完整性 可用性 合规性 可靠性
控制方法
新项目
?
组织
9
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
监控 与评价
获取与实施
AI1 识别自动解决方案 AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 保障运营与使用 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权
10
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
COBIT 模型: IT 域 (续)
获取与实施 (AI) ► 目标:
▪ 识别、制定或获取、实施并整合IT方案 ▪ 现有系统的变更与维护 ► 范围: ▪ 新项目提供的解决方案是否满足业务需求提供? ▪ 新项目是否能在预算范围内及时提供? ▪ 新项目实施后是否能正常工作? ▪ 变更是否能够不影响当前的业务运营?
提供与支持 (DS) ► 目标:
▪ 所请求服务的实际提供结果, 包括服务提供过程 ▪ 安全、连续性、数据和运营设施管理 ▪ 对用户的服务支持 ► 范围: ▪ IT服务提供是否与业务优先级相匹配? ▪ IT成本是否最优? ▪ 员工是否能安全有效的使用IT系统? ▪ 是否能保障机密性、完整性和可用性?
IT服务
业务战略
IT资源
信息标准
IT流程
2
COBIT框架
作为一个IT的控制和治理框架, COBIT关注于以下两个关键点: ► 提供所需要的信息以支持业务目标和需求 ► 根据IT流程所管理的IT相关资源及应用对信息进行处理
IT流程 业务需求
信息标准
有效性 效率 保密性 完整性 可用性 合规性 可靠性
控制方法
新项目
?
组织
9
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
监控 与评价
获取与实施
AI1 识别自动解决方案 AI2 获取与维护应用软件 AI3 获取与维护技术架构 AI4 保障运营与使用 AI5 获取IT资源 AI6 变更管理 AI7 变更及方案的部署和授权
10
COBIT模型: IT域 (续)
计划 与组织
IT 流程
获取 与实施
提供 与支持
信息系统审计PPT课件
H 项目管理
H1.项目管理 总计
硬件
软件
第三方
单位:万元人民币
内部支持
总计
16,000 1,963 2,430
42,525 2,487 2,442
17,780 0
1,444 196 297
8,505 20,700
1,216 3,230 7,146
145 145 145 2,284 3,725
48 3,274
➢ 管理方法 数据集中、业务集成、动态监控
➢ 分析决策 统计数据、分析趋势、发现规律
➢ 内部控制 业务流程重组、自动控制增加、舞弊手段
背景介绍
信息技术的积极面
作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少
总计
17,091 4,901 101
18,372
3,871 3,063 7,121
4,455 6,784
810 35,496
5,483 13,378
2,937
6,642 6,415
729 11,497
4,838 3,367 8,560
4,228 2,715
246 7,334
2,302 3,202 3,615
信息技术覆盖的业务领域
勘勘探探与与生生产产
炼工油程与技化术工 炼销油售与销市售场 天化然工气与与销管售道 天然气贸与易管道 工国程际技贸术易
服务
服务
机装械备制制造造 生生产产服服务务 社海会外服业务务 总矿部区业服务务
勘探与生产技术 炼油与化工运 数据管理系统 行系统
客户关系 管理系统
专 业
H1.项目管理 总计
硬件
软件
第三方
单位:万元人民币
内部支持
总计
16,000 1,963 2,430
42,525 2,487 2,442
17,780 0
1,444 196 297
8,505 20,700
1,216 3,230 7,146
145 145 145 2,284 3,725
48 3,274
➢ 管理方法 数据集中、业务集成、动态监控
➢ 分析决策 统计数据、分析趋势、发现规律
➢ 内部控制 业务流程重组、自动控制增加、舞弊手段
背景介绍
信息技术的积极面
作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少
总计
17,091 4,901 101
18,372
3,871 3,063 7,121
4,455 6,784
810 35,496
5,483 13,378
2,937
6,642 6,415
729 11,497
4,838 3,367 8,560
4,228 2,715
246 7,334
2,302 3,202 3,615
信息技术覆盖的业务领域
勘勘探探与与生生产产
炼工油程与技化术工 炼销油售与销市售场 天化然工气与与销管售道 天然气贸与易管道 工国程际技贸术易
服务
服务
机装械备制制造造 生生产产服服务务 社海会外服业务务 总矿部区业服务务
勘探与生产技术 炼油与化工运 数据管理系统 行系统
客户关系 管理系统
专 业
IT治理审计和信息系统
审计电算化研习报告——IT治理
(二)IT治理与信息系统审计的关系(1)
审计电算化研习报告——IT治理
IT治理与信息系统审计的关系(2)
IT治理缺失的症状 各自为政 详细描述 针对问题采取的IS审计 缺乏统一、全局的IT战略规划,目标不 审 计 各 企 业 明确,标准不统一,处在混乱无序的状 CA(Certificate 态,形成很多在全力保护下的信息孤岛, Authority) 认 证 , 督 促 缺乏共享的、网络化的信息资源 建立行业CA认证 过去的信息化工程是技术专家主导下进 分析审计奉献中的组织 行的,而不是经济专家或管理专家主导, 机构因素,对于技术专 较少聚焦在IT战略和组织战略目标的互 家类领导者相关的风险 动上,较少考虑信息技术如何形成企业 要设定控制风险为低水 核心竞争力,如何避免风险等。 平
审计电算化研习报告——IT治理
(三)IT治理与IT管理
区别与联系?
IT管理聚焦于公司的 信息及信息系统的战 术和运营层面,通过 梳理IT对业务的支持 流程,以确保IT目标 以及为此目标实现所 采取的行动。
பைடு நூலகம்
IT治理是用于描述企 业或政府是否采用有 效的机制,使得IT的 应用能够完成组织赋 予它的使命,同时平 衡信息化过程中的风 险,确保实现组织的 战略目标的过程。
审计电算化研习报告——IT治理
(一)IT治理的概念
三种主要观点: ·IT 治理用于描述被委托治理实体的人员在监 督、检查、控制和指导实体的过程中如何看待信 息技术。 ·IT 治理是一个含义广泛的概念,。其主要任务 是保持IT 与业务目标一致, 推动业务发展, 促 使收益最大化, 合理利用IT 资源, IT 相关风险 的适当管理。 · IT 治理是一个由关系和过程所构成的体制, 用于指导和控制企业, 通过平衡信息技术与过程 的风险、增加价值来确保实现企业的目标。
(二)IT治理与信息系统审计的关系(1)
审计电算化研习报告——IT治理
IT治理与信息系统审计的关系(2)
IT治理缺失的症状 各自为政 详细描述 针对问题采取的IS审计 缺乏统一、全局的IT战略规划,目标不 审 计 各 企 业 明确,标准不统一,处在混乱无序的状 CA(Certificate 态,形成很多在全力保护下的信息孤岛, Authority) 认 证 , 督 促 缺乏共享的、网络化的信息资源 建立行业CA认证 过去的信息化工程是技术专家主导下进 分析审计奉献中的组织 行的,而不是经济专家或管理专家主导, 机构因素,对于技术专 较少聚焦在IT战略和组织战略目标的互 家类领导者相关的风险 动上,较少考虑信息技术如何形成企业 要设定控制风险为低水 核心竞争力,如何避免风险等。 平
审计电算化研习报告——IT治理
(三)IT治理与IT管理
区别与联系?
IT管理聚焦于公司的 信息及信息系统的战 术和运营层面,通过 梳理IT对业务的支持 流程,以确保IT目标 以及为此目标实现所 采取的行动。
பைடு நூலகம்
IT治理是用于描述企 业或政府是否采用有 效的机制,使得IT的 应用能够完成组织赋 予它的使命,同时平 衡信息化过程中的风 险,确保实现组织的 战略目标的过程。
审计电算化研习报告——IT治理
(一)IT治理的概念
三种主要观点: ·IT 治理用于描述被委托治理实体的人员在监 督、检查、控制和指导实体的过程中如何看待信 息技术。 ·IT 治理是一个含义广泛的概念,。其主要任务 是保持IT 与业务目标一致, 推动业务发展, 促 使收益最大化, 合理利用IT 资源, IT 相关风险 的适当管理。 · IT 治理是一个由关系和过程所构成的体制, 用于指导和控制企业, 通过平衡信息技术与过程 的风险、增加价值来确保实现企业的目标。
信息系统一般控制审计154页PPT
输时,有必要增加额外的控制以防出现错误。
五、内部审计与监测
信息系统审计
41
第三节 数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节 数据接口控制 一、接口规划与设计 二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查
五、内部审计与监测
信息系统审计
41
第三节 数据输出控制
一、数据输出报告制度
二、输出报告的生成与分发
三、在安全的地方登记和存储重要表单
四、计算机生成可流通的通知、表单和签名
42
信息系统审计
第四节 数据接口控制 一、接口规划与设计 二、接口处理程序
(一)完善数据转换机制
(3)审查是否设置了对应关系参照文件。 (4)审查信息系统中是否存在数据合理性校验。
(5)审查信息系统是否设定了平衡校验。 (6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。
十、处理控制审计
信息系统审计
49
(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。
能。
(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时
地提交。
(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。
(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。
40
信息系统审计
(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。 (6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文
(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。
(3)检查系统运行错误日志和交易日志。 (4)得出处理控制是否适当的结论。
十一、输出控制审计
(1)识别主要的输出项目。 (2)确定输出审核程序的恰当性:①审查输出信息分发前对输出信息进行审核确认的程序;②审查
信息系统审计ppt课件
14
§12.3 评价指标体系
我们采用“企业信息化核心框架研究”课 题组提出的信息化评价指标体系作为信息系统 绩效审计的主要参考依据。
讨论: 这样的评价指标体系的合理性?
该评价指标体系的特点是什么?
15
§12.3 评价指标体系
1、认知与推动(0.360) (1)企业领导对于企业信息化的认识(0.325) (2)企业信息化机构设置(0.136) (3)企业管理基础(0.153) (4)企业信息化总体规划和实施方案(0.102) (5)企业资源整合与优化(0.079) (6)企业信息化人才(0.133) (7)企业信息化基础设施建设(0.071)
24
§12.4 信息化项目的成本构成
6、系统运行维护费用 (1)日常运行维护费用 (2)修正性维护费用 (3)新功能开发维护费用 (4)配件购买费用 (5)第三方软件升级费用 (6)第三方维护费用
25
§12.4 信息化项目的成本构成
7、风险费用 8、其他费用等
26
信息系统审计
1
§12 信息系统绩效审计
国家信息化评测中心的胡建生副主任对此非常 关切,“目前国内企业每年IT投入达近万亿元,如 何将以前的、现在的以及未来的IT投入有效的管理 起来,落实有效益的信息化,这是我们目前最关心 的问题。事实上,在信息化建设初期,也确实发现 了很多问题,造成IT投资浪费。
6
§12.1 信息系统的绩效问题
3、如何评价信息化的成果 : (1)经济性 (2)效率性 (3)效果性
7
§12.1 信息系统的绩效问题
(1)经济性(Economy) 是指以最低的资源耗费获得一定数量和质
量的产出,也就是节省的程度。
8
§12.1 信息系统的绩效问题
§12.3 评价指标体系
我们采用“企业信息化核心框架研究”课 题组提出的信息化评价指标体系作为信息系统 绩效审计的主要参考依据。
讨论: 这样的评价指标体系的合理性?
该评价指标体系的特点是什么?
15
§12.3 评价指标体系
1、认知与推动(0.360) (1)企业领导对于企业信息化的认识(0.325) (2)企业信息化机构设置(0.136) (3)企业管理基础(0.153) (4)企业信息化总体规划和实施方案(0.102) (5)企业资源整合与优化(0.079) (6)企业信息化人才(0.133) (7)企业信息化基础设施建设(0.071)
24
§12.4 信息化项目的成本构成
6、系统运行维护费用 (1)日常运行维护费用 (2)修正性维护费用 (3)新功能开发维护费用 (4)配件购买费用 (5)第三方软件升级费用 (6)第三方维护费用
25
§12.4 信息化项目的成本构成
7、风险费用 8、其他费用等
26
信息系统审计
1
§12 信息系统绩效审计
国家信息化评测中心的胡建生副主任对此非常 关切,“目前国内企业每年IT投入达近万亿元,如 何将以前的、现在的以及未来的IT投入有效的管理 起来,落实有效益的信息化,这是我们目前最关心 的问题。事实上,在信息化建设初期,也确实发现 了很多问题,造成IT投资浪费。
6
§12.1 信息系统的绩效问题
3、如何评价信息化的成果 : (1)经济性 (2)效率性 (3)效果性
7
§12.1 信息系统的绩效问题
(1)经济性(Economy) 是指以最低的资源耗费获得一定数量和质
量的产出,也就是节省的程度。
8
§12.1 信息系统的绩效问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
利益相关者需要
驱 动
实现 收益
治理目标: 创造价值
优化 风险
优化 资源
-
5
COBIT5治理和管理关键领域
• COBIT5由 ISACA开发,通过提供一个框架来确保IT与业务保持一致、IT 使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源和适 当地管理IT风险,从而支持GEIT。
业 务 需 求
• 根据COBIT原理,公司所有IT活动都可以依照进行的不同 阶段进行分类,因此,对IT流程按照系统生命周标准,划 分为IT治理、研发与上线、运维与支持、考核与管理,分 别对应COBIT标准模式中的计划与组织、获取与实施、交 付与支持、督与评价四个领域。每个领域梳理各自包含对 应阶段涉及的IT标准流程。
-
13
中国人寿信息系统审计的案例
• 审计框架
• 在框架内容上,借鉴传统 信息系统审计的方式和方 法,针对不同风险类型, 分别釆用一般控制审计、 应用系统控制测试相结合, 一般控制审计为主、应用 系统控制测试为辅的方式 开展。
一般控 制审计
应用 控制 审计
整体审计 框架
-
14
一般控制审计
• 一般控制审计主要是针对公司各个IT流程中各类系统构成 外部要素的较大范围控制审计,目的是确保系统安全运行、 保护数据和程序、防止非法入侵以及系统在突发事件后的 应急处理。
者的责任 • IT 治理不是孤立的规范和活动,而是公司治理的有机组成
部分 • IT 治理在组织内多个层面进行
-
4
IT治理目标:价值创造
• GEIT的目的是引导IT活动 以确保IT执行情况足以实 现IT与企业目标保持一致 并实现所承诺效益等目标。
• GEIT涉及两个问题:一是, IT应该为业务带来价值; 二是,需要对IT风险进行 管理。
• 成熟
o 1980年代,美国、日本等开始制定自己的标准
• 普及
o 1994年, EDP审计师协会更名为“信息系统审计与控制协会”(ISACA) o 1998年,AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的
发生,使人们关注IT服务的可靠性问题,这些公司有了信息系统审计的需要。治理Βιβλιοθήκη 评价管理-
管
指导
理
层
反
馈
监控
计划
构建
运行
监控
6
信息系统审计
-
7
发展历程
• 萌芽阶段
o 1940年代:第一台计算机诞生 o 1950年代:计算机化的会计系统出现,“绕过计算机审计” o 1960年代:计算机与相关的应用软件开始普及,产生了“EDP(电子数据处理)
审计”
• 发展
o 1970年代: “美国权益融资公司”的审计中,审计人员首次采用“通过计算机审 计”的审计方法 • 1977年,EDP审计师协会出版行业标准《COBIT 》 • 1978年,该协会推出了CISA(注册信息系统审计师)资格认证
信息系统审计 IT治理
组长: 从嘉琪(PPT制作) 组员: 张琳琳,胡红燕(IT治理,ISA基本内容)
刘唯一,徐逸柠,王毓秀(COBIT案例) 何诗雯(两者关系)
-
1
IT治理
-
2
定义
• 国际信息系统审计与控制 协会的定义:
• IT 治理是一个由关系和过 程所构成的体制,用于指 导和控制企业,通过平衡 信息技术与过程的风险、 增加价值来确保实现企业 的目标 。
-
8
定义
• ISACA
• 我国
• 信息系统审计是一个获取 并评价证据,以判断计算 机系统是否能够保证资产 安全、数据完整以及有效 率低利用组织的资源并有 效果地实现组织目标的过 程。
-
• 审计署:信息系统审计是 指国家审计机关依法对被 审计单位信息系统的真实 性、合法性、效益性和安 全性进行检查监督的活动。
• 报告和促进:通过信息系统审计,编制审计报告,提出建 议,帮助企业建立起完善和细化的流程和制度,确保IT治 理方向与业务目标一致,进而确保组织信息系统的发展能 够始终沿着正确的方向进行,确保企业的总体战略目标的 实现。
-
12
基于IT治理构建 我国信息系统控制与审计体系
• 确定信息系统控制目标 • 建立适用的、协同的IT标准模式 • 制定相关管理指南 • 完善控制与审计指南
-
15
-
16
应用系统控制审计设计
• 所谓应用糸统控制,是指信息系统在发起、记录、处理以 及展现业务数据时,系统自发地采取某种控制手段,确保 业务数据的完整性、准确性。
• 针对寿险行业的信息原统而言,应用系统控制功能上主要 包括包含以下几个类型:
o 计算型 o 校验型 o 触发型 o 参数型
• 企业IT治理(GEIT)指 的是一个所有利益相 关者(包括董事会、 高级管理层、内部客 户以及财务等部门) 均可参与决策过程的 体系。
• GEIT是董事会和执行 管理部门的职责。
-
3
内涵
• IT 治理必须与企业战略目标一致 • IT 治理以明确的期望值和衡量手段,确保 IT 按照目标交付
适用的功能和期望的收益。 • IT 治理和其他治理主体一样,是管理执行经理和利益相关
• 中国内部审计协会:信息 系统审计是指内部审计机 构和内部审计人员对组织 的信息系统及其相关的信 息技术内部控制和流程所 进行的审查与评价活动。
9
• 审计内容
• 审计信息系统的流程 • IT治理与管理 • 信息系统的购置,开发与
实施 • 信息系统的操作,维护与
服务管理 • 信息资产的保护 • 灾难恢复与业务连续性计
-
• 提高审计风险的防范能力 • 建立统一的会计审计系统,
开发会计审计软件 • 专业人才队伍建立健全 • 审计 • 端正审计人员对于信息系
统审计的态度 • 跨行业的信息技术整合
11
两者关系
• 信息系统审计是企业进行IT治理的一个重要组成部分。
• 监督和检查:通过信息系统审计发现企业信息化存在的问 题,发现自身的不足,完善IT治理的控制作用。
划
• 审计特点
• 几乎审计的所有领域都应 用现代信息技术
• 信息数据的安全、可靠 • 更需要依靠专家支持 • 审计覆盖面扩大 • 对审计人员的专业性要求
更高
-
10
问题风险及对策
• 问题风险
• 对策
• 会计信息系统自身的缺陷 • 电子形式的数据存储易发
生的存储,窃取,破坏风 险 • 有效的审计软件欠缺 • 专业会计信息系统审计专 人才欠缺 • 对于信息系统审计态度不 端正 • 行业之间信息沟通障碍