




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、12-計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì),內(nèi)容,計(jì)算機(jī)審計(jì) 信息系統(tǒng)審計(jì),計(jì)算機(jī)審計(jì)產(chǎn)生的原因,1.審計(jì)外部環(huán)境信息化是推動(dòng)計(jì)算機(jī)審計(jì)產(chǎn)生和發(fā)展的外部因素 審計(jì)署前審計(jì)長李金華指出:審計(jì)人員不掌握計(jì)算機(jī)技術(shù),將失去審計(jì)的資格。 信息化對(duì)審計(jì)產(chǎn)生了巨大影響,主要表現(xiàn)在:數(shù)據(jù)電子化、審計(jì)線索不易識(shí)別、數(shù)據(jù)量急劇增加、數(shù)據(jù)易被篡改、數(shù)據(jù)易消失、內(nèi)部控制易失效、對(duì)審計(jì)人員的信息技術(shù)要求提高。,2.企業(yè)經(jīng)營規(guī)模越來越大是推動(dòng)計(jì)算機(jī)審計(jì)發(fā)展的內(nèi)生動(dòng)力。 審計(jì)目標(biāo)、范圍、職能不斷擴(kuò)大,對(duì)審計(jì)提出了更高的要求。 3.計(jì)算機(jī)技術(shù)(特別是軟件技術(shù))的發(fā)展提高了計(jì)算機(jī)審計(jì)的工作效率和審計(jì)質(zhì)量。 利用計(jì)算機(jī)軟件系統(tǒng)自動(dòng)發(fā)現(xiàn)審計(jì)
2、問題和線索,利用互聯(lián)網(wǎng)實(shí)現(xiàn)實(shí)時(shí)審計(jì)。,計(jì)算機(jī)審計(jì),計(jì)算機(jī)審計(jì)是審計(jì)人員將計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)等各種手段引入審計(jì)工作,建立審計(jì)信息系統(tǒng),從而實(shí)現(xiàn)對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)。 計(jì)算機(jī)審計(jì)的概念有廣義和狹義之分。,目前有三種觀點(diǎn): 對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì) 對(duì)管理數(shù)據(jù)的計(jì)算機(jī)進(jìn)行審計(jì) 即對(duì)計(jì)算機(jī)也對(duì)計(jì)算機(jī)管理的數(shù)據(jù)進(jìn)行審計(jì),經(jīng)過長期的實(shí)踐,國際上以及我國審計(jì)署將計(jì)算機(jī)審計(jì)主要定位在第一種觀點(diǎn),也稱計(jì)算機(jī)輔助審計(jì),或稱審計(jì)信息化、數(shù)字審計(jì)等。 第二種觀點(diǎn)演變?yōu)樾畔⑾到y(tǒng)審計(jì)。,計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別,1.審計(jì)對(duì)象不同。 計(jì)算機(jī)審計(jì)主要對(duì)象是信息系統(tǒng)中的電子數(shù)據(jù)。 信息系統(tǒng)審計(jì)主要對(duì)象是存儲(chǔ)電子數(shù)據(jù)的信息
3、系統(tǒng)。,2.工作側(cè)重點(diǎn)不同。 計(jì)算機(jī)審計(jì)是通過對(duì)電子數(shù)據(jù)的采集、轉(zhuǎn)換、清理、驗(yàn)證、分析,發(fā)現(xiàn)審計(jì)線索,收集審計(jì)證據(jù),從而形成審計(jì)結(jié)論。計(jì)算機(jī)審計(jì)雖然也需要驗(yàn)證信息系統(tǒng)提供的電子數(shù)據(jù)的真實(shí)性、準(zhǔn)確性和完整性,但這種驗(yàn)證具有一定的局限性。 信息系統(tǒng)審計(jì)是通過對(duì)信息系統(tǒng)的調(diào)查與了解,對(duì)系統(tǒng)控制及系統(tǒng)功能的分析與測評(píng),綜合評(píng)價(jià)一個(gè)信息系統(tǒng)是否能夠滿足安全性、有效性、與經(jīng)濟(jì)性目標(biāo),是否能夠提供真實(shí)、準(zhǔn)確、完整的電子數(shù)據(jù)。,3.使用的技術(shù)方法不同。 計(jì)算機(jī)審計(jì)主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、清理、驗(yàn)證、分析的數(shù)據(jù)方法,包括審計(jì)數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計(jì)中間表技術(shù)、審計(jì)模型構(gòu)建技術(shù)、數(shù)據(jù)分析方法等。 信息系統(tǒng)審計(jì)主要
4、采用系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)測試和系統(tǒng)評(píng)價(jià)的技術(shù)方法。,計(jì)算機(jī)審計(jì)與信息系統(tǒng)審計(jì)的聯(lián)系,計(jì)算機(jī)審計(jì)和信息系統(tǒng)審計(jì)是同一事物的兩個(gè)方面,兩者有密切聯(lián)系。 信息系統(tǒng)中存在的問題必然會(huì)反映到電子數(shù)據(jù)中,計(jì)算機(jī)審計(jì)發(fā)現(xiàn)的問題可以作為信息系統(tǒng)審計(jì)的參考和線索。 電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn),信息系統(tǒng)審計(jì)通過對(duì)不同電子數(shù)據(jù)的分析、處理和測試,以評(píng)價(jià)信息系統(tǒng)的準(zhǔn)確性。,相關(guān)資格認(rèn)證考試,注冊(cè)內(nèi)部審計(jì)師 (CCIA-CHINA CERTIFIED INTERNAL AUDITOR):中國內(nèi)部審計(jì)協(xié)會(huì)組織的考試。 國際注冊(cè)內(nèi)部審計(jì)師 (CIA):國際內(nèi)部審計(jì)師協(xié)會(huì)(INSTITUTE OF INTERNAL
5、 AUDITORS 簡稱 IIA)組織的考試。 國際信息系統(tǒng)審計(jì)師 (CISA-Certified Information Systems Auditor):信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA(Information Systems Audit and Control Association )組織的考試。,計(jì)算機(jī)審計(jì)的基本方法,計(jì)算機(jī)審計(jì)人基本方法經(jīng)歷了繞過計(jì)算機(jī)審計(jì)、利用計(jì)算機(jī)審計(jì)、穿過計(jì)算機(jī)審計(jì)和聯(lián)網(wǎng)審計(jì)四個(gè)階段。,繞過計(jì)算機(jī)審計(jì),繞過計(jì)算機(jī)審計(jì)是指審計(jì)人員不審查計(jì)算機(jī)內(nèi)部程序和數(shù)據(jù)文件,只審查輸入數(shù)據(jù)和打印輸出資料及管理制度的方法,該方法又稱“黑盒”審計(jì)。 主要應(yīng)用于20世紀(jì)50年代中期
6、至60年代中期。會(huì)計(jì)電算化還處于起步階段。,繞過計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn),優(yōu)點(diǎn): 審計(jì)技術(shù)簡單,審計(jì)人員計(jì)算機(jī)水平要求不高。 較少干擾被審系統(tǒng)的正常工作。 缺點(diǎn): 審計(jì)線索和審計(jì)證據(jù)不充分。 審計(jì)風(fēng)險(xiǎn)較高 適用范圍 適用于被審計(jì)業(yè)務(wù)簡單,處理過程較單一,輸入資料與輸出資料比較密切且內(nèi)部控制制度健全。因此,該方法適用于內(nèi)部控制比較健全的、業(yè)務(wù)簡單的中小企業(yè)的審計(jì)。,利用計(jì)算機(jī)審計(jì),利用計(jì)算機(jī)審計(jì)又稱為計(jì)算機(jī)輔助審計(jì),是指利用計(jì)算機(jī)技術(shù)和審計(jì)軟件對(duì)會(huì)計(jì)信息系統(tǒng)所進(jìn)行的審計(jì)。 主要在1965-1970這一階段,會(huì)計(jì)信息系統(tǒng)被廣泛應(yīng)用。利用計(jì)算機(jī)技術(shù)和審計(jì)軟件,可以幫助審計(jì)人員減輕負(fù)擔(dān)、加快審查速度、提高審
7、計(jì)效率。,審計(jì)軟件一般分為兩種: 一種是通用審計(jì)軟件,能夠獲取、計(jì)算、分析會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù),適用于多種審計(jì)工作。 另一種是專用審計(jì)軟件,是為了某個(gè)特定的系統(tǒng)或?qū)徲?jì)項(xiàng)目而編寫的程序。,利用計(jì)算機(jī)審計(jì)的過程,原始數(shù)據(jù),信息系統(tǒng),輸出數(shù)據(jù),計(jì)算機(jī)審計(jì)軟件,繞過,利用計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn),優(yōu)點(diǎn): 審計(jì)結(jié)果較為可靠,擴(kuò)大了審計(jì)范圍,數(shù)據(jù)收集更為齊全,抽樣審計(jì)向全面審計(jì)擴(kuò)展,審計(jì)結(jié)論更加可靠; 審計(jì)獨(dú)立性較強(qiáng); 提高了審計(jì)效率。 缺點(diǎn): 審計(jì)技術(shù)較復(fù)雜,要求審計(jì)人員掌握必備的計(jì)算機(jī)技術(shù)知識(shí)和審計(jì)軟件的操作; 審計(jì)成本較高,審計(jì)人員培養(yǎng)成本增加,須購置審計(jì)軟件。,適用范圍: 適用于會(huì)計(jì)信息系統(tǒng)使用較為成熟
8、,且業(yè)務(wù)處理較為復(fù)雜的、內(nèi)部控制制度較為完善的大中型企業(yè)。,穿過計(jì)算機(jī)審計(jì),1970年以后,隨著會(huì)計(jì)信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)一體化集成的發(fā)展,大量的數(shù)據(jù)由其它系統(tǒng)自動(dòng)產(chǎn)生,業(yè)務(wù)處理日益復(fù)雜,原始數(shù)據(jù)的錄入大幅度減少,被審對(duì)象的邊界越發(fā)模糊。計(jì)算機(jī)審計(jì)進(jìn)入到“穿過計(jì)算機(jī)審計(jì)”發(fā)展階段。,財(cái)務(wù)-業(yè)務(wù)一體化系統(tǒng):用友ERP-U8,穿過計(jì)算機(jī)審計(jì)又稱“白盒”審計(jì)或直接審計(jì),這種審計(jì)方式不僅要求審查被審計(jì)單位的輸入與輸出數(shù)據(jù),還要審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的系統(tǒng)程序、應(yīng)用程序、數(shù)據(jù)文件以及計(jì)算機(jī)硬件等系統(tǒng),在對(duì)被審系統(tǒng)的可靠性評(píng)價(jià)的基礎(chǔ)上來確定審計(jì)結(jié)論。,穿過計(jì)算機(jī)審計(jì)的優(yōu)缺點(diǎn),優(yōu)點(diǎn): 審計(jì)風(fēng)險(xiǎn)低,直接對(duì)
9、會(huì)計(jì)信息系統(tǒng)的程序及數(shù)據(jù)進(jìn)行審查,對(duì)系統(tǒng)內(nèi)部控制可靠性進(jìn)行科學(xué)評(píng)價(jià)。 增強(qiáng)了審計(jì)獨(dú)立性、可靠性,提高了審計(jì)質(zhì)量。 缺點(diǎn): 審計(jì)技術(shù)復(fù)雜,要求對(duì)計(jì)算機(jī)技術(shù)、程序設(shè)計(jì)、數(shù)據(jù)處理等知識(shí)非常熟悉; 易干擾被審系統(tǒng)的正常工作,會(huì)占用被審系統(tǒng)較多的正常工作時(shí)間。,適用范圍: 由于這一審計(jì)模式對(duì)審計(jì)人員素質(zhì)提出了更高的要求,而且審計(jì)成本很高,因此這一審計(jì)模式適用于大中型會(huì)計(jì)師事務(wù)所對(duì)業(yè)務(wù)處理復(fù)雜、系統(tǒng)集成度較高的大中型企業(yè)的審計(jì)工作。,聯(lián)網(wǎng)審計(jì),所謂聯(lián)網(wǎng)審計(jì),就是在線實(shí)時(shí)審計(jì),是指通過審計(jì)機(jī)關(guān)和被審計(jì)單位的網(wǎng)絡(luò)互聯(lián),實(shí)時(shí)審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)的審計(jì)方式。,1990年以來,隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展,現(xiàn)代
10、信息技術(shù)為計(jì)算機(jī)審計(jì)的發(fā)展帶來前所未有的機(jī)遇。審計(jì)人員只要把自己的計(jì)算機(jī)連接到網(wǎng)上,并取得被告審計(jì)單位的審查權(quán)限,就可以在任何地方、任何時(shí)間通過網(wǎng)絡(luò)完成除實(shí)地監(jiān)盤和觀察外的大部分審計(jì)工作。 審計(jì)項(xiàng)目負(fù)責(zé)人可在網(wǎng)上制訂審計(jì)計(jì)劃,給不同地點(diǎn)的審計(jì)人員分配審計(jì)任務(wù),并對(duì)審計(jì)人員監(jiān)督與指導(dǎo),隨時(shí)了解審計(jì)項(xiàng)目的進(jìn)展情況,協(xié)調(diào)審計(jì)人員的工作,草擬和簽發(fā)審計(jì)報(bào)告。,聯(lián)網(wǎng)審計(jì)的過程,原始數(shù)據(jù),信息系統(tǒng),輸出數(shù)據(jù),疑點(diǎn)信息和審計(jì)數(shù)據(jù),預(yù)警方案,預(yù)警指標(biāo),聯(lián)網(wǎng)審計(jì)的優(yōu)缺點(diǎn),優(yōu)點(diǎn): 拓展了審計(jì)時(shí)空,加強(qiáng)了審計(jì)監(jiān)督職能??梢詫?shí)時(shí)連續(xù)地抽取審計(jì)數(shù)據(jù),進(jìn)行實(shí)時(shí)遠(yuǎn)程審計(jì)。變事后審計(jì)為事前、事中審計(jì),變靜態(tài)審計(jì)為動(dòng)態(tài)審計(jì),提
11、高了審計(jì)效率,加強(qiáng)了審計(jì)的監(jiān)督作用。 缺點(diǎn): 網(wǎng)絡(luò)安全問題是聯(lián)網(wǎng)審計(jì)面臨的固有風(fēng)險(xiǎn)以外的信息安全風(fēng)險(xiǎn)。會(huì)計(jì)信息系統(tǒng)自身設(shè)計(jì)缺陷、黑客攻擊、操作失誤、審計(jì)采集數(shù)據(jù)的管理等風(fēng)險(xiǎn)問題在聯(lián)網(wǎng)審計(jì)模式中需要重點(diǎn)關(guān)注。,適用范圍: 在線實(shí)時(shí)審計(jì)模式適用于企事業(yè)單位的內(nèi)部審計(jì)和動(dòng)態(tài)審計(jì)。是未來審計(jì)的發(fā)展方向。,討論,我國現(xiàn)階段主要的審計(jì)方式是哪些? 制約我國審計(jì)方式發(fā)展的主要原因有哪些?,聯(lián)網(wǎng)審計(jì)是金審二期規(guī)劃中的重點(diǎn)建設(shè)項(xiàng)目,根據(jù)該規(guī)劃,審計(jì)署將重點(diǎn)建設(shè)中央部門預(yù)算執(zhí)行、海關(guān)、銀行、社保等四類聯(lián)網(wǎng)審計(jì),并對(duì)中央財(cái)政組織預(yù)算執(zhí)行、國稅和大型企業(yè)等進(jìn)行聯(lián)網(wǎng)審計(jì)試點(diǎn)。 目前已成功研制了中央部門預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系
12、統(tǒng),并從2010年開始在中央各部門推廣使用。 各地方政府也在逐步推廣政府部門預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)。,計(jì)算機(jī)審計(jì)的步驟,前期準(zhǔn)備 內(nèi)部控制的初步審查 初步審查結(jié)果的評(píng)價(jià) 內(nèi)部控制測試 實(shí)質(zhì)性程序 全面評(píng)價(jià)和編制審計(jì)報(bào)告,審計(jì)軟件的分類,(1)審計(jì)作業(yè)軟件 審計(jì)作業(yè)軟件是審計(jì)工作的主要工具。 (2)審計(jì)管理軟件 審計(jì)管理軟件是用來完成審計(jì)統(tǒng)計(jì)、 審計(jì)計(jì)劃等方面功能的審計(jì)軟件。 (3)專用審計(jì)軟件 如海關(guān)審計(jì)軟件、 基建工程預(yù)決算審計(jì)軟件、 銀行審計(jì)軟件、 外資審計(jì)軟件等。 (4)審計(jì)法規(guī)軟件 法規(guī)軟件主要是為了幫助審計(jì)人員在海量的各種財(cái)經(jīng)法規(guī)中快速找出所需要的法規(guī)條目及內(nèi)容。 (5)聯(lián)網(wǎng)審計(jì)軟件,
13、常見的審計(jì)軟件,審計(jì)之星 上海博科資訊有限責(zé)任公司在1997年發(fā)布。 審計(jì)數(shù)據(jù)采集分析系統(tǒng) 審計(jì)署駐南京辦事處開發(fā) ,是一個(gè)用來采集和分析被審計(jì)單位電子數(shù)據(jù)的通用審計(jì)軟件。 用友審易-審計(jì)作業(yè)系統(tǒng)(V5.8) 用友開發(fā)的與U8配套的通用審計(jì)軟件,可以很好地將U8中的數(shù)據(jù)進(jìn)行采集。 通審2000 中審審易 中普審計(jì)軟件,信息系統(tǒng)審計(jì),信息系統(tǒng)審計(jì)的定義 信息系統(tǒng)審計(jì)是一個(gè)過程,在此過程中搜集和評(píng)估證據(jù)以確定信息系統(tǒng)和相關(guān)資源是否充分保護(hù)資產(chǎn)、維持?jǐn)?shù)據(jù)和系統(tǒng)完整性、提供相關(guān)和可靠信息、有效實(shí)現(xiàn)組織機(jī)構(gòu)目標(biāo)、有效地使用資源、包含有效內(nèi)部控制以提供運(yùn)營和控制目標(biāo)得到滿足的合理保障。(國際ISACA協(xié)會(huì)
14、) 又稱IT審計(jì)。,信息系統(tǒng)審計(jì)的三大目標(biāo),從以上信息系統(tǒng)審計(jì)的定義,可知信息系統(tǒng)審計(jì)項(xiàng)目依目標(biāo)不同,有三大類: 信息系統(tǒng)安全審計(jì)(安全性) 信息系統(tǒng)可靠性審計(jì)(可靠性) 信息系統(tǒng)績效審計(jì)(經(jīng)濟(jì)性),信息系統(tǒng)審計(jì)的內(nèi)涵,IT審計(jì)是獨(dú)立的第三方IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。 主體:第三方審計(jì)師 遵循相關(guān)標(biāo)準(zhǔn)(COBIT、信息系統(tǒng)審計(jì)指南) 對(duì)信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護(hù)等一系列活動(dòng)及產(chǎn)物進(jìn)行檢查和評(píng)估。,信息系統(tǒng)審計(jì)的要點(diǎn): 信息系統(tǒng)審計(jì)的對(duì)象是計(jì)算機(jī)為核心的信息系統(tǒng)。 信息系統(tǒng)審計(jì)的目的是促使信息系統(tǒng)安全、可靠和有效。
15、信息系統(tǒng)審計(jì)是一個(gè)過程,需要審計(jì)師的專業(yè)評(píng)價(jià)與判斷。,網(wǎng)線,交換機(jī)/HUB,信息系統(tǒng)邏輯結(jié)構(gòu)示意圖,財(cái)務(wù)報(bào)表 銷售收入 1000萬 ,會(huì)計(jì)核算系統(tǒng),銷售業(yè)務(wù)系統(tǒng),信息資產(chǎn)保護(hù),人,從構(gòu)成要素上來看,信息系統(tǒng)有以下組成部分: 硬件 軟件 網(wǎng)絡(luò) 數(shù)據(jù) 人 管理制度,信息系統(tǒng)審計(jì)的兩大主題內(nèi)容,審計(jì)本質(zhì)是一種控制,從控制的角度來看信息系統(tǒng),通常區(qū)分為信息系統(tǒng)一般控制與應(yīng)用控制。兩者的作用與范圍不同。 信息系統(tǒng)一般控制審計(jì)(GC) 信息系統(tǒng)應(yīng)用控制審計(jì)(AC),一般控制(GC) 確認(rèn)應(yīng)用系統(tǒng)恰當(dāng)開發(fā)或?qū)嵤_保程序與數(shù)據(jù)文件的完整性,確保信息系統(tǒng)良好運(yùn)作。一般控制的控制措施適用于所有應(yīng)用系統(tǒng),是一種環(huán)
16、境上的保證。 應(yīng)用控制(AC) 與具體的應(yīng)用系統(tǒng)有關(guān),確保數(shù)據(jù)處理完整和正確。應(yīng)用控制的設(shè)計(jì)結(jié)合具體業(yè)務(wù)進(jìn)行。,一般控制與應(yīng)用控制的關(guān)系,應(yīng)用控制的有效性取決于一般控制的有效性 一般控制是應(yīng)用控制的基礎(chǔ),當(dāng)一般控制薄弱時(shí),應(yīng)用控制無法提供合理保障,一般控制審計(jì)的內(nèi)容,源自:CISA Manual(國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA),一般控制審計(jì)的五大內(nèi)容,評(píng)估IT治理結(jié)構(gòu)的效果,確保董事會(huì)對(duì)IT決策、IT方向和IT性能的充分控制; 評(píng)估IT組織結(jié)構(gòu)和人力資源管理; 評(píng)估IT戰(zhàn)略及其起草、批準(zhǔn)、實(shí)施和維護(hù)程序; 評(píng)估IT政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實(shí)施和維護(hù)流程; 評(píng)估IT資源的投資、使用和配置
17、實(shí)務(wù); 評(píng)估IT外包戰(zhàn)略和政策,以及合同管理實(shí)務(wù); 評(píng)估監(jiān)督和審計(jì)實(shí)務(wù); 保證董事和執(zhí)行層能及時(shí)、充分地獲得有關(guān)的IT績效信息,一般控制審計(jì)的內(nèi)容,源自:CISA Manual(國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA),信息系統(tǒng)審計(jì)的五大內(nèi)容,評(píng)估擬定的系統(tǒng)開發(fā)或采購,確保其符合組織發(fā)展目標(biāo); 評(píng)估項(xiàng)目管理框架和項(xiàng)目治理實(shí)務(wù),確保組織在風(fēng)險(xiǎn)管理基礎(chǔ)上,以成本效益原則達(dá)成組織的業(yè)務(wù)目標(biāo); 確保項(xiàng)目按項(xiàng)目計(jì)劃進(jìn)行,并有相應(yīng)文檔充分支持; 評(píng)估組織相關(guān)系統(tǒng)的控制機(jī)制,確保其符合組織的政策; 評(píng)估系統(tǒng)的開發(fā)、采購和測試流程,確保其交付符合目標(biāo); 對(duì)系統(tǒng)實(shí)施定期檢查,確保其持續(xù)滿足組織目標(biāo),并受到有效的內(nèi)部控制
18、;,一般控制審計(jì)的內(nèi)容,源自:CISA Manual(國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA),信息系統(tǒng)審計(jì)的五大內(nèi)容,評(píng)估服務(wù)管理實(shí)務(wù),確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級(jí)是明確定義并受管理的; 評(píng)估運(yùn)營管理,保證IT支持職能有效滿足了業(yè)務(wù)要求; 評(píng)估數(shù)據(jù)管理實(shí)務(wù),確保數(shù)據(jù)庫的完整性和最優(yōu)化; 評(píng)估能力的使用和性能監(jiān)控工具與技術(shù); 評(píng)估變更、配置和發(fā)布管理實(shí)務(wù),確保被詳細(xì)記錄; 評(píng)估問題和事件管理實(shí)務(wù),確保所有事件、問題和錯(cuò)誤都被及時(shí)記錄,分析和解決 評(píng)估IT基礎(chǔ)構(gòu)架(網(wǎng)絡(luò),軟硬件)功能,確保其對(duì)組織目標(biāo)的支持,一般控制審計(jì)的內(nèi)容,源自:CISA Manual(國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA),信息系
19、統(tǒng)審計(jì)的五大內(nèi)容,評(píng)估邏輯訪問控制的設(shè)計(jì)、實(shí)施和監(jiān)控,確保信息資產(chǎn)的機(jī)密性、完整性、有效性和經(jīng)授權(quán)使用; 評(píng)估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?評(píng)估環(huán)境控制的設(shè)計(jì)、實(shí)施和監(jiān)控,確保信息資產(chǎn)充分安全; 評(píng)估保密信息資產(chǎn)的采集、存儲(chǔ)、使用、傳輸和處置程序的流程。,一般控制審計(jì)的內(nèi)容,源自:CISA Manual(國際信息系統(tǒng)審計(jì)協(xié)會(huì)ISACA),信息系統(tǒng)審計(jì)的五大內(nèi)容,評(píng)估備份和恢復(fù)準(zhǔn)備的充分性,確保恢復(fù)運(yùn)營所需信息的有效性和可用性; 評(píng)估組織的災(zāi)難恢復(fù)計(jì)劃,確保一旦發(fā)生災(zāi)難,IT處理能力可以及時(shí)恢復(fù); 評(píng)估組織的業(yè)務(wù)連續(xù)性計(jì)劃,確保IT服務(wù)中斷期間,基本業(yè)務(wù)運(yùn)營不間斷的能力。,應(yīng)用控制審計(jì)的內(nèi)容,接口
20、審計(jì),參數(shù)控制,應(yīng)用控制審計(jì)的內(nèi)容,用戶權(quán)限管理的基本原則: 職責(zé)分離原則。對(duì)于同一組不相容權(quán)限,任何用戶不能同時(shí)具有兩種(或兩種以上)的權(quán)限。 未明確允許即禁止原則:除非用戶有對(duì)于權(quán)限的需求得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn),否則不應(yīng)當(dāng)授予用戶任何權(quán)限。 需求導(dǎo)向及最小授權(quán)原則:對(duì)于用戶的權(quán)限,應(yīng)當(dāng)以其實(shí)際工作需要為依據(jù),且僅應(yīng)當(dāng)授予能夠完成其工作任務(wù)的最小權(quán)限。,信息中心的職責(zé)分離矩陣,人力資源系統(tǒng)職責(zé)分離矩陣,應(yīng)用控制審計(jì)的內(nèi)容,輸入控制,應(yīng)用控制審計(jì)的內(nèi)容,處理控制,應(yīng)用控制審計(jì)的內(nèi)容,輸出控制,應(yīng)用控制審計(jì)的內(nèi)容,應(yīng)用控制審計(jì)的內(nèi)容,參數(shù)控制審計(jì) 參數(shù)設(shè)置的正確性(合法性) 參數(shù)調(diào)整的審批流程
21、與權(quán)限 參數(shù)調(diào)整的軌跡,應(yīng)用控制審計(jì)的內(nèi)容,接口審計(jì) 自動(dòng)接口 手動(dòng)接口環(huán)節(jié),應(yīng)用控制審計(jì)的流程,IT治理,IT治理是董事會(huì)和最高管理層的職責(zé),是企業(yè)治理的重要組成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成,這些流程能保證組織的IT有效支持及促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。,IT治理的使命,保持IT與業(yè)務(wù)目標(biāo)一致,推動(dòng)業(yè)務(wù)發(fā)展,促使收益最大化,合理利用IT資源,適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。,IT治理的目標(biāo),IT治理應(yīng)著眼于以下目標(biāo): 1、與業(yè)務(wù)目標(biāo)一致 原則:服從于企業(yè)戰(zhàn)略,不能背離 2、有效利用信息資源 IT治理的使命:通過及時(shí)、有效的IT治理,促進(jìn)信息的價(jià)值轉(zhuǎn)化 3、風(fēng)險(xiǎn)管理 通過IT治理:構(gòu)建
22、風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策; 使風(fēng)險(xiǎn)透明化; 有效的風(fēng)險(xiǎn)投資、管理和控制; 風(fēng)險(xiǎn)的防范措施。 實(shí)現(xiàn):平衡信息技術(shù)與過程的風(fēng)險(xiǎn),確保組織目標(biāo)的實(shí)現(xiàn)。,IT治理的關(guān)鍵問題,IT治理的關(guān)鍵問題表現(xiàn)在: 1、IT投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)、策略和運(yùn)營層面相融合,從而構(gòu)筑必要的核心競爭力; 2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用; 3、在長期的IT應(yīng)用中,是否持續(xù)地創(chuàng)造商業(yè)價(jià)值; 4、是否有有效的風(fēng)險(xiǎn)管理機(jī)制。 其中最關(guān)鍵的問題是第一點(diǎn):IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。,IT治理框架,構(gòu)建IT治理框架包含三個(gè)方面: 組織機(jī)構(gòu) 流程 溝通機(jī)制,1、組織結(jié)構(gòu),(1)IT治理最高管理
23、層(董事會(huì))。 IT戰(zhàn)略的總體制定與決策者,負(fù)責(zé)指引信息化的方向與戰(zhàn)略制定 ,平衡支持企業(yè)和使企業(yè)成長的投資。 (2)IT治理委員會(huì)。 向董事會(huì)負(fù)責(zé),解決設(shè)計(jì)標(biāo)準(zhǔn)的問題,負(fù)責(zé)確立IT戰(zhàn)略方向,決定和建立資金杠桿,批準(zhǔn)所有主要的發(fā)展項(xiàng)目并監(jiān)督結(jié)果。 IT治理委員會(huì)責(zé)任: 政策制定; 控制(預(yù)算通過,項(xiàng)目權(quán)限,績效評(píng)價(jià)); 績效度量和報(bào)告。,(3)CIO(首席信息官) CIO崗位的職責(zé): 發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃; 開發(fā)企業(yè)應(yīng)用,協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā); 保障IT基礎(chǔ)設(shè)施和體系架構(gòu)的運(yùn)行及投資; 決定IT服務(wù)和技能服務(wù);建立關(guān)鍵的IT供應(yīng)商和咨詢顧問間的戰(zhàn)略伙伴關(guān)系;提供技術(shù)支持使企業(yè)
24、增加收入和盈利能力; 維護(hù)客戶滿意度;向用戶提供培訓(xùn)。 (4)管理者 (5)信息技術(shù)人員。 (6)外部和內(nèi)部審計(jì)人員。,2、流程,IT投資決策是如何作出的?在決策流程中,投資建議、投資評(píng)估、批準(zhǔn)投資和區(qū)分優(yōu)先級(jí)是如何進(jìn)行的?,3、溝通,這些決策和流程的結(jié)果效能如果度量,如何監(jiān)控風(fēng)險(xiǎn)?又如何得到溝通?在相關(guān)利益者之間投資決策采用何種機(jī)制加以溝通?,IT治理標(biāo)準(zhǔn),1、COBIT(信息及相關(guān)技術(shù)的控制目標(biāo)), ; 2、IT基礎(chǔ)架構(gòu)庫ITIL(Information Technology Infrastructure Library) ; 3、ISO/IEC17799:2000(信息安全管理實(shí)務(wù)準(zhǔn)則)
25、 4、COSO綜合性框架;,搞好IT治理必須解決的問題,1、IT關(guān)鍵領(lǐng)域誰做決策和如何決策。 5個(gè)IT關(guān)鍵領(lǐng)域: A、信息技術(shù)原則; B、信息技術(shù)結(jié)構(gòu); C、信息技術(shù)基礎(chǔ)設(shè)施; D、企業(yè)應(yīng)用需要; E、信息技術(shù)投資及優(yōu)先順序。 2、信息化中的責(zé)、權(quán)、利問題; 3、信息化建設(shè)中的風(fēng)險(xiǎn)評(píng)估和績效評(píng)價(jià)問題; 4、信息系統(tǒng)控制與信息技術(shù)管理體系問題。,COBIT,COBIT:Control Objectives for Information and related Technology ,即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA提出的IT治理控制框架,它是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn),是一個(gè)在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用,指導(dǎo)這些組織有效利用信息資源,有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。,COBIT的發(fā)展歷程 1、1996年,COBIT1.0 2、1998年, COBIT2.0 3、2000年, COBIT3.0 4、2005年, COBIT4.0 5、2007年, COBIT4.1 6、2012年, COBIT5.0 逐步由最初單一的審計(jì)師的內(nèi)控評(píng)價(jià)工具發(fā)展到目前系統(tǒng)的IT治理框架。,COBIT信息技術(shù)的控制目標(biāo) COBIT將信息技術(shù)的控制目標(biāo)設(shè)定為七個(gè): (1)有效性(Ef
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 智慧城市公共設(shè)施的節(jié)水型智能水網(wǎng)建設(shè)
- 醫(yī)療信息培訓(xùn)中的互動(dòng)游戲化教學(xué)方法研究
- 整合技術(shù)于教學(xué)提升教育質(zhì)量的關(guān)鍵
- 以科技教育為導(dǎo)向的教育政策的反思及未來走向探索
- 教育數(shù)據(jù)挖掘技術(shù)助力教學(xué)質(zhì)量飛躍
- 基于數(shù)據(jù)的教學(xué)行為優(yōu)化及實(shí)踐探索
- 提升學(xué)習(xí)效果教育心理學(xué)的方法論
- 培訓(xùn)機(jī)構(gòu)怎樣做課件
- 抖音商戶IT設(shè)備借用歸還登記管理辦法
- 公交優(yōu)先視角下2025年城市交通擁堵治理的優(yōu)化策略研究報(bào)告
- 全國中小學(xué)教師職業(yè)道德知識(shí)競賽80題及答案
- 有機(jī)化學(xué)(上)(中國藥科大學(xué))知到智慧樹期末考試答案題庫2025年中國藥科大學(xué)
- 2023CSCO食管癌診療指南
- 重癥肌無力課件
- 2024年四川省資中縣事業(yè)單位公開招聘教師崗筆試題帶答案
- 成人女性壓力性尿失禁護(hù)理干預(yù)護(hù)理團(tuán)標(biāo)解讀
- 某律師事務(wù)所內(nèi)部規(guī)章管理制度大全
- GB 29743.2-2025機(jī)動(dòng)車?yán)鋮s液第2部分:電動(dòng)汽車?yán)鋮s液
- 廣州外語學(xué)校小升初數(shù)學(xué)試題
- 2024內(nèi)蒙古煤炭地質(zhì)勘查(集團(tuán))一一七有限公司招聘筆試參考題庫附帶答案詳解
- 信訪工作法治化培訓(xùn)講座
評(píng)論
0/150
提交評(píng)論