信息系统审计与IT治理教案资料.ppt

《信息系统审计与IT治理教案资料.ppt》由会员分享，可在线阅读，更多相关《信息系统审计与IT治理教案资料.ppt（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统审计与IT治理IT治理COBIT5治理和管理关键领域COBIT5由 ISACA开发,通过提供一个框架来确保IT与业务保持一致、IT使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源和适当地管理IT风险,从而支持GEIT。评价指导监控治理管理计划构建运行监控管理层反馈业务需求信息系统审计发展历程萌芽阶段o1940年代：第一台计算机诞生o1950年代：计算机化的会计系统出现，“绕过计算机审计”o1960年代：计算机与相关的应用软件开始普及，产生了“EDP（电子数据处理）审计”发展o1970年代：“美国权益融资公司”的审计中，审计人员首次采用“通过计算机审计”的审计方法1977年，

2、EDP审计师协会出版行业标准COBIT 1978年，该协会推出了CISA（注册信息系统审计师）资格认证成熟o1980年代，美国、日本等开始制定自己的标准普及o1994年，EDP审计师协会更名为“信息系统审计与控制协会”（ISACA）o1998年，AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的发生，使人们关注IT服务的可靠性问题，这些公司有了信息系统审计的需要。定义ISACA我国信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产安全、数据完整以及有效率低利用组织的资源并有效果地实现组织目标的过程。审计署：信息系统审计是指国家审计机关依法对被审计单位信息系统的

3、真实性、合法性、效益性和安全性进行检查监督的活动。中国内部审计协会：信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。审计内容审计特点审计信息系统的流程IT治理与管理信息系统的购置，开发与实施信息系统的操作，维护与服务管理信息资产的保护灾难恢复与业务连续性计划几乎审计的所有领域都应用现代信息技术信息数据的安全、可靠更需要依靠专家支持审计覆盖面扩大对审计人员的专业性要求更高问题风险及对策问题风险对策会计信息系统自身的缺陷电子形式的数据存储易发生的存储，窃取，破坏风险有效的审计软件欠缺 专业会计信息系统审计专人才欠缺对于信息系统审计态

4、度不端正行业之间信息沟通障碍 提高审计风险的防范能力建立统一的会计审计系统，开发会计审计软件专业人才队伍建立健全审计端正审计人员对于信息系统审计的态度跨行业的信息技术整合两者关系信息系信息系统审计是企是企业进行行IT治理的一个重要治理的一个重要组成部分。成部分。监督和督和检查：通过信息系统审计发现企业信息化存在的问题，发现自身的不足，完善IT治理的控制作用。报告和促告和促进：通过信息系统审计，编制审计报告，提出建议，帮助企业建立起完善和细化的流程和制度，确保IT治理方向与业务目标一致，进而确保组织信息系统的发展能够始终沿着正确的方向进行，确保企业的总体战略目标的实现。基于基于IT治理构建治理构

5、建我国信息系我国信息系统控制与控制与审计体系体系确定信息系确定信息系统控制目控制目标建立适用的、建立适用的、协同的同的IT标准模式准模式制定相关管理指南制定相关管理指南完善控制与完善控制与审计指南指南中国人寿信息系统审计的案例审计框架在框架内容上，借鉴传统信息系统审计的方式和方法，针对不同风险类型，分别釆用一般控制审计、应用系统控制测试相结合，一般控制一般控制审计为主、主、应用用系系统控制控制测试为辅的方式开展。一般控制审计应用控制审计整体审计框架一般控制审计一般控制审计主要是针对公司各个公司各个IT流程中各流程中各类系系统构成构成外部要素外部要素的较大范大范围控制控制审计，目的是确保系统安全

6、运行、保护数据和程序、防止非法入侵以及系统在突发事件后的应急处理。根据COBIT原理，公司所有IT活动都可以依照进行的不同阶段进行分类，因此，对IT流程按照系系统生命周生命周标准准，划分为IT治理、研治理、研发与上与上线、运、运维与支持、考核与管理与支持、考核与管理，分别对应COBIT标准模式中的计划与划与组织、获取与取与实施、交施、交付与支持、督与付与支持、督与评价价四个领域。每个领域梳理各自包含对应阶段涉及的IT标准流程。应用系统控制审计设计所谓应用糸统控制，是指信息系统在发起、记录、处理以及展现业务数据时，系统自发地采取某种控制手段，确保业务数据的完整性、准确性。针对寿险行业的信息原统而言，应用系统控制功能上主要包括包含以下几个类型：o计算型o校验型o触发型o参数型基于COBIT理论审计框架的设计，涵盖了中国人寿中20个关键流程，覆盖了生命周期的四个阶段的活动，同时分析了每个不同流程审计应该关注的风险控制点，并设计相应的审计方法。因此，与传统审计方式相比而言，利用基于COBIT的审计框架在指导开展信息系统审计时，内容上可以覆盖整个系覆盖整个系统的生命周期的生命周期，基本确保不存在重大确保不存在重大审计盲区而盲区而导致的系致的系统性性风险。