信息系统审计与IT治理课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,组长：,从嘉琪（,PPT,制作）,组员：,张琳琳，胡红燕（,IT,治理，,ISA,基本内容）,刘唯一，徐逸柠，王毓秀（,COBIT,案例）,何诗雯（两者关系）,&,信息系统审计,IT,治理,组长：从嘉琪（PPT制作）&信息系统审计 IT治,IT,治理,IT治理,定义,企业IT治理（GEIT）指的是一个所有利益相关者（包括董事会、高级管理层、内部客户以及财务等部门）均可参与决策过程的体系。,GEIT是董事会和执行管理部门的职责。,国际信息系统审计与控制协会的定义,:,IT,治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标,。,定义企业IT治理（GEIT）指的是一个所有利益相关者（包括董,内涵,IT,治理必须与企业战略目标一致,IT,治理以明确的期望值和衡量手段，确保,IT,按照目标交付适用的功能和期望的收益。,IT,治理和其他治理主体一样，是管理执行经理和利益相关者的责任,IT,治理不是孤立的规范和活动，而是公司治理的有机组成部分,IT,治理在组织内多个层面进行,内涵IT 治理必须与企业战略目标一致,IT,治理目标：价值创造,GEIT,的目的是引导,IT,活动以确保,IT,执行情况足以实现,IT,与企业目标保持一致并实现所承诺效益等目标。,GEIT,涉及两个问题：一是，,IT,应该为业务带来价值；二是，需要对,IT,风险进行管理。,实现收益,优化风险,优化资源,治理目标：创造价值,利益相关者需要,驱动,IT治理目标：价值创造GEIT的目的是引导IT活动以确保IT,COBIT5,治理和管理关键领域,COBIT5,由,ISACA,开发,通过提供一个框架来确保,IT,与业务保持一致、,IT,使业务正常运转并使企业获得最大利益,以及负责任地使用,IT,资源和适当地管理,IT,风险,从而支持,GEIT,。,评价,指导,监控,治理,管理,计划,构建,运行,监控,管理层反馈,业务需求,COBIT5治理和管理关键领域COBIT5由 ISACA开发,信息系统审计,信息系统审计,发展历程,萌芽阶段,1940,年代：第一台计算机诞生,1950,年代：计算机化的会计系统出现，“绕过计算机审计”,1960,年代：计算机与相关的应用软件开始普及，产生了“,EDP,（电子数据处理）审计”,发展,1970,年代：“美国权益融资公司”的审计中，审计人员首次采用“通过计算机审计”的审计方法,1977,年，,EDP,审计师协会出版行业标准,COBIT,1978,年，该协会推出了,CISA,（注册信息系统审计师）资格认证,成熟,1980,年代，美国、日本等开始制定自己的标准,普及,1994,年，,EDP,审计师协会更名为“信息系统审计与控制协会”（,ISACA,）,1998,年，,AT&T,公司的,IT,故障使全世界的商务和通讯受到了重大影响。这类事故的发生，使人们关注,IT,服务的可靠性问题，这些公司有了信息系统审计的需要。,发展历程萌芽阶段,定义,ISACA,我国,信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产安全、数据完整以及有效率低利用组织的资源并有效果地实现组织目标的过程。,审计署：,信息系统审计是,指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。,中国内部审计协会：信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。,定义ISACA我国信息系统审计是一个获取并评价证据，以判断计,审计内容,审计特点,审计信息系统的流程,IT,治理与管理,信息系统的购置，开发与实施,信息系统的操作，维护与服务管理,信息资产的保护,灾难恢复与业务连续性计划,几乎审计的所有领域都应用现代信息技术,信息数据的安全、可靠,更需要依靠专家支持,审计覆盖面扩大,对审计人员的专业性要求更高,审计内容审计特点审计信息系统的流程几乎审计的所有领域都应用现,问题风险及对策,问题风险,对策,会计信息系统自身的缺陷,电子形式的数据存储易发生的存储，窃取，破坏风险,有效的审计软件欠缺,专业会计信息系统审计专人才欠缺,对于信息系统审计态度不端正,行业之间信息沟通障碍,提高审计风险的防范能力,建立统一的会计审计系统，开发会计审计软件,专业人才队伍建立健全,审计,端正审计人员对于信息系统审计的态度,跨行业的信息技术整合,问题风险及对策问题风险对策会计信息系统自身的缺陷提高审计风险,两者关系,信息系统审计是企业进行,IT,治理的一个重要组成部分。,监督和检查：,通过信息系统审计发现企业信息化存在的问题，发现自身的不足，完善,IT,治理的控制作用。,报告和促进：,通过信息系统审计，编制审计报告，提出建议，帮助企业建立起完善和细化的流程和制度，确保,IT,治理方向与业务目标一致，进而确保组织信息系统的发展能够始终沿着正确的方向进行，确保企业的总体战略目标的实现。,两者关系信息系统审计是企业进行IT治理的一个重要组成部分。,基于,IT,治理构建,我国信息系统控制与审计体系,确定信息系统控制目标,建立适用的、协同的,IT,标准模式,制定相关管理指南,完善控制与审计指南,基于IT治理构建我国信息系统控制与审计体系确定信息系统控制,中国人寿信息系统审计的案例,审计框架,在框架内容上，借鉴传统信息系统审计的方式和方法，针对不同风险类型，分别釆用一般控制审计、应用系统控制测试相结合，,一般控制审计为主、应用系统控制测试为辅,的方式开展。,一般控制审计,应用控制审计,整体审计框架,中国人寿信息系统审计的案例审计框架一般控制审计应用控制审计整,一般控制审计,一般控制审计主要是,针对公司各个,IT,流程中各类系统构成外部要素,的,较大范围控制审计,，目的是,确保系统安全运行、保护数据和程序、防止非法入侵以及系统在突发事件后的应急处理。,根据,COBIT,原理，公司所有,IT,活动都可以依照进行的不同阶段进行分类，因此，对,IT,流程按照,系统生命周标准,，划分为,IT,治理、研发与上线、运维与支持、考核与管理,，分别,对应,COBIT,标准模式中的,计划与组织、获取与实施、交付与支持、督与评价,四个领域。每个领域梳理各自包含对应阶段涉及的,IT,标准流程。,一般控制审计一般控制审计主要是针对公司各个IT流程中各类系统,信息系统审计与IT治理课件,应用系统控制审计设计,所谓应用糸统控制，是指信息系统在发起、记录、处理以及展现业务数据时，系统自发地采取某种控制手段，确保业务数据的完整性、准确性。,针对寿险行业的信息原统而言，应用系统控制功能上主要包括包含以下几个类型：,计算型,校验型,触发型,参数型,应用系统控制审计设计所谓应用糸统控制，是指信息系统在发起、记,基于,COBIT,理论审计框架的设计，,涵盖了中国人寿中,20,个关键流程，覆盖了生命周期的四个阶,段的活动，同时分析了每个不同流程审计应该关注的风险控制点，并设计相应的审计方法。,因此，与传统审计方式相比而言，利用基于,COBIT,的审计框架在指导开展信息系统审计时，内容上可以,覆盖整个系统的生命周期,，基本,确保不存在重大审计盲区而导致的系统性风险,。,基于COBIT理论审计框架的设计，涵盖了中国人寿中20个关键,