2013/12/281.IT1.IT审计介绍审计介绍2.IT2.IT治理介绍治理介绍3.COBIT3.COBIT概念概念4.COBIT4.COBIT体系框架体系框架5.Q&A5.Q&A2信息系统审计(ITA)是以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠的达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。IT审计对象是信息系统,审计内容是计算机资源管理、硬件、软件获取、系统软件、数据库、网络、应用系统开发、系统维护、操作、安全等审计3AssetSecurity(资产安全性)Effectivity(系统有效性)Efficiency(系统效率性)DataIntegrity(数据完整性)4信息系统调查信息系统内部控制测试信息系统初步评价信息系统实质性测试信息系统综合评价56调查阶段信息系统内部控制初步评审内部控制可信赖吗?控制测试信息系统控制测试结果的评价内部控制可信赖吗?测试和评价补偿控制实质性测试全面评价编制审计报告退出审计提出管理建议审计结束否否内部控制的详细审查与评价计算机信息系统审计流程信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解,是进行信息系统审计的基础。了解管理体制,从总体上把握被审计单位信息系统管理的基本情况。了解总体架构,完成对被审计单位有什么类型的信息系统,每个系统有多少子系统,信息系统分布在哪些部门,信息系统之间有什么关系的调查。了解规划管理,对信息系统建设、使用、管理情况的调查。7IT内部控制的类型:根据控制的范围,信息系统内部控制分为一般控制应用控制8是指对整个计算机信息系统及环境要素实施的,对系统所有的应用或功能模块具有普遍影响的控制措施。划分成五类控制:组织控制:为实现组织的目标而进行的组织结构设计、权责安排和制度设计。包括职责分离、授权、监督、人事管理等系统开发与维护控制:包括需求定义、开发规划、系统设计、编程实现、测试、运行维护、文档管理等控制DIB中国领先内部控制和风险管理解决方案提供商9安全控制:保持良好的运行环境,包括访问接触、环境安全、防病毒、安全保密、安全教育等控制硬件及系统软件控制(1)硬件控制(2)软件控制5、操作控制信息系统的使用操作应有一套完整的管理制度,包括上机守则与操作规程、上级日志记录、保密制度和操作工作计划等。10应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。分成三类控制输入控制:保证只有经过授权批准的业务才能输入计算机信息系统;保证经批准的数据没有丢失、遗漏和篡改;保证被计算机拒绝的错误数据能改正后重新提交。包括数据采集、数据输入控制11处理控制:对信息系统进行的内部数据处理活动的控制措施,这些控制措施往往被写入计算机程序,包括数据有效性检测、错误纠正控制。输出控制:主要是保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户,包括输出错误处理、输出报告管理、报告接收确认121.IT1.IT审计介绍审计介绍2.IT2.IT治理介绍治理介绍3.COBIT3.COBIT概念概念4.COBIT4.COBIT体系框架体系框架5.Q&A5.Q&A1314公司治理就是为所有股东创造和呈现价值的企业道德行为公司治理包括组织中管理层、董事会、股东和其他利益相关法之间的一系列关系,它为制定公司目标、确定实现目标和监督绩效的方式提供了框架。1516IT治理是一个综合术语,它包括信息系统,技术和通讯,业务,法律相关事务,所有利益相关方,董事会,高级管理层,流程所有人,IT供应商,用户和审计师。IT治理有助于确保IT和企业目标保持一致。IT治理是组织中的一种制度安排,目的是为了提高IT绩效、降低IT风险,有效地利用资源。IT治理采用最佳实践来确保组织信息及相关技术支持其业务目标和价值交付,确保资源得到合理使用,风险得到适当管理、绩效得到测评。17IT治理在根本上关注以下两方面的问题:IT向业务交付价值:由IT和业务的战略一致...
