IT治理、IT審計與COBIT

1、信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、安全等審計1Asset Security（資產(chǎn)安全性）Effectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）Data Integrity（數(shù)據(jù)完整性）2n信息系統(tǒng)調(diào)查n信息系統(tǒng)內(nèi)部控制測

2、試n信息系統(tǒng)初步評價n信息系統(tǒng)實質(zhì)性測試n信息系統(tǒng)綜合評價34調(diào)查階段調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？內(nèi)部控制可信賴嗎？控制測試控制測試信息系統(tǒng)控制測試結(jié)果的評價信息系統(tǒng)控制測試結(jié)果的評價內(nèi)部控制可信賴嗎？內(nèi)部控制可信賴嗎？測試和評價補償控制測試和評價補償控制實質(zhì)性測試實質(zhì)性測試全面評價全面評價編制審計報告編制審計報告退出審計退出審計提出管理建議提出管理建議審計結(jié)束審計結(jié)束否否否否內(nèi)部控制的詳細審查與評價內(nèi)部控制的詳細審查與評價計算機信息系統(tǒng)審計流程計算機信息系統(tǒng)審計流程信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進行全

3、面、深入地了解，是進行信息系統(tǒng)審計的基礎(chǔ)。p了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。p了解總體架構(gòu)，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系的調(diào)查。p了解規(guī)劃管理，對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。5IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為p一般控制p應(yīng)用控制6是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制：p組織控制：為實現(xiàn)組織的目標而進行的組織結(jié)構(gòu)設(shè)計、權(quán)責安排和制度設(shè)計。包括職責分離、授權(quán)、監(jiān)督、人事管理等p系統(tǒng)開發(fā)與維護控

4、制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計、編程實現(xiàn)、測試、運行維護、文檔管理等控制DIB 中國領(lǐng)先內(nèi)部控制和風險管理解決方案提供商7p安全控制：保持良好的運行環(huán)境，包括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制p硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制p5、操作控制信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計劃等。8應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準確地完成而建立的內(nèi)部控制。分成三類控制u輸入控制：保證只有經(jīng)過授權(quán)批準的業(yè)務(wù)才能輸入計算機信息系統(tǒng)；保證經(jīng)批準的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機

5、拒絕的錯誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制9u處理控制：對信息系統(tǒng)進行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些控制措施往往被寫入計算機程序，包括數(shù)據(jù)有效性檢測、錯誤糾正控制。u輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認1011公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標、確定實現(xiàn)目標和監(jiān)督績效的方式提供了框架。1213IT治理是一個綜合術(shù)語，它包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利

6、益相關(guān)方，董事會，高級管理層，流程所有人，IT供應(yīng)商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標和價值交付，確保資源得到合理使用，風險得到適當管理、績效得到測評。14IT治理在根本上關(guān)注以下兩方面的問題：pIT向業(yè)務(wù)交付價值 ：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動pIT風險得到管理：通過向企業(yè)分配責任來驅(qū)動15Control Objectives for Information and related TechnologyCOBIT是一個在國際上得

7、到公認的、先進的和權(quán)威的安全與信息技術(shù)管理和控制標準，它在業(yè)務(wù)風險、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進行IT 治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風險。面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計師而設(shè)計，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。 COBIT真正關(guān)注的問題是，企業(yè)是否具備適當?shù)目刂屏?，以確保符合相關(guān)的管理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點 16COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。COBIT第二版于1998年出版，修訂了高層控制目標與詳

8、細控制目標，增加了實施工具集（Implementation Tool Set）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關(guān)的基金會在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關(guān)注；COBIT基于ISACF的建立的IT控制目標，參照了其他控制框架、行業(yè)標準；ITGI于2005年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調(diào)整，強調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系。17u早期第1、2版以控制目標和審計指南為主。u2000年推出第3版，重點突出了“管理指南”。u2006年推出第4版，精簡了控制目標，并

9、完善了管理指南u2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。18COBIT中定義的IT資源如下。 (1)數(shù)據(jù)：是最廣泛意義上的對象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、 圖形、聲音等。 (2)應(yīng)用系統(tǒng)：手工的以及計算機程序的總和。 (3)技術(shù)：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 (4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。 (5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。19COBITCOBIT定義了定義了7 7方面的信息標準：方面的信息標準：u效果性（效果性（Eff

10、ectivenessEffectiveness） ：信息系統(tǒng)提供對業(yè)務(wù)處理來說：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效有效” 的信息的信息u效率性（效率性（EfficiencyEfficiency） ：“有效率有效率” 地使用資源，提供信息地使用資源，提供信息u保密性（保密性（ConfidentialityConfidentiality） ： 保護敏感信息，避免泄漏信保護敏感信息，避免泄漏信息息u一致性（一致性（IntegrityIntegrity） ：保證信息的：保證信息的“真實可信真實可信” ，即信息，即信息準確、完整，并且從業(yè)務(wù)價值和業(yè)務(wù)需要的角度來說是正確準確、完整，并且從業(yè)務(wù)價值和業(yè)務(wù)需要

11、的角度來說是正確有效的有效的u可用性（可用性（AvailablityAvailablity）：當業(yè)務(wù)需要時，信息可隨時獲得）：當業(yè)務(wù)需要時，信息可隨時獲得u可靠性（可靠性（ReliabilityReliability）：為管理層維持組織運轉(zhuǎn)和履行所賦）：為管理層維持組織運轉(zhuǎn)和履行所賦予職責提供適當?shù)男畔⒂杪氊熖峁┻m當?shù)男畔合規(guī)性（合規(guī)性（ComplianceCompliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定務(wù)過程的規(guī)定20活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個個活動。過程：這些活動可以按照彼此之間關(guān)系的緊密程度或者

12、目標的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風險評估，等等。域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責域相對應(yīng)。212223242526業(yè)務(wù)目標和治理目標效率應(yīng)用信息基礎(chǔ)架構(gòu)人提供和支持監(jiān)控和評估獲取和實施信息IT資源C O B I T框架有效性保密性完整性可用性合規(guī)性DS1 服務(wù)級別定義及管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識別及分配DS7 用戶教育及培訓(xùn).DS8 服務(wù)臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13操作管理ME

13、1 監(jiān)控與評價IT性能ME2 監(jiān)控與評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰(zhàn)略計劃PO2 確定信息架構(gòu).PO3 確定技術(shù)方向.PO4 定義IT流程、組織和關(guān)系.PO5 IT投資管理.PO6 溝通管理目標和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風險評估和管理.PO10 項目管理AI1 識別解決方案.AI2 獲取與維護應(yīng)用軟件AI3 獲取與維護技術(shù)架構(gòu)AI4 運營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權(quán)計劃和組織可靠性COBIT框架27COBIT 模型: IT 域 計劃與組織 (PO)目標: 指明戰(zhàn)略和戰(zhàn)

14、術(shù) 識別如何使IT為業(yè)務(wù)目標的達成作出最大的貢獻 計劃、溝通和管理戰(zhàn)略目標的實現(xiàn) 實施組織和技術(shù)架構(gòu)范圍: IT與業(yè)務(wù)在戰(zhàn)略上是否一致? 企業(yè)對資源的利用是否合理? 是否所有的員工都理解IT目標? 是否所有的風險都被理解并管理? IT系統(tǒng)質(zhì)量是否滿足業(yè)務(wù)需求?IT 和業(yè)務(wù)28讓我們來看一下COBIT流程模型, 它由4個IT域共34個IT流程組成。 PO1 制定IT戰(zhàn)略計劃PO2 確定信息架構(gòu)PO3 確定技術(shù)導(dǎo)向PO4 定義IT流程、組織和關(guān)系PO5 IT投資管理PO6 溝通管理目標和方向PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風險評估和管理PO10 項目管理計劃與組織COBIT 模

15、型: IT 域 (續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價IT 流程29COBIT 模型: IT 域 (續(xù)) 獲取與實施 (AI)目標: 識別、制定或獲取、實施并整合IT方案 現(xiàn)有系統(tǒng)的變更與維護范圍: 新項目提供的解決方案是否滿足業(yè)務(wù)需求提供? 新項目是否能在預(yù)算范圍內(nèi)及時提供? 新項目實施后是否能正常工作? 變更是否能夠不影響當前的業(yè)務(wù)運營?新項目組織?30COBIT模型: IT域 (續(xù))計劃與組織提供與支持獲取與實施監(jiān)控與評價IT 流程AI1 識別自動解決方案AI2 獲取與維護應(yīng)用軟件AI3 獲取與維護技術(shù)架構(gòu)AI4 保障運營與使用AI5 獲取IT資源AI6 變更管理AI7 變更及方

16、案的部署和授權(quán)獲取與實施31COBIT模型: IT域 (續(xù)) 提供與支持 (DS)目標: 所請求服務(wù)的實際提供結(jié)果, 包括服務(wù)提供過程 安全、連續(xù)性、數(shù)據(jù)和運營設(shè)施管理 對用戶的服務(wù)支持范圍: IT服務(wù)提供是否與業(yè)務(wù)優(yōu)先級相匹配? IT成本是否最優(yōu)? 員工是否能安全有效的使用IT系統(tǒng)? 是否能保障機密性、完整性和可用性?IT服務(wù)業(yè)務(wù)優(yōu)先級32COBIT模型: IT域 (續(xù))DS1 服務(wù)級別定義與管理DS2 第三方服務(wù)管理DS3 性能和能力管理DS4 連續(xù)服務(wù)保障DS5 系統(tǒng)安全保障DS6 成本識別與分配DS7 用戶教育與培訓(xùn)DS8 服務(wù)臺和突發(fā)事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理提供與支持計劃與組織提供與支持獲取與