IT审计参考资料课件

,页数,1,目录,内部控制定义,信息科技层面评估架构,IT,公司层面控制,IT,一般性控制,应用程序控制,IT,审计的参考标准,目录内部控制定义,内部控制定义,(,续）,Basel,内部控制框架的定义,Internal control is a process effected by the board of directors,senior management and all levels of personnel.It is not solely a procedure or policy that is performed at a certain point in time,but rather it is continually operating at all levels within the bank.The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis;however,each individual within an organisation must participate in the process.,内部控制定义(续）Basel 内部控制框架的定义,内部控制定义,(,续）,COSO,内部控制定义,内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程：,经营的有效性和效率,财务报告的可靠性,符合适用的法律和法规,内部控制定义(续）COSO 内部控制定义,内部控制定义,(,续）,内部控制是：,为实现经营目标的动态过程和机制,一系列的：,制度,程序,方法,对风险进行事前防范、事中控制、事后监督和纠正,高级管理层责任,需要全体职工参与的工作,需要通过监控来确保有效性,内部控制定义(续）内部控制是：,流程,A,商业流程,/,交易类别,关键应用程序,IT,基础设施服务,数据库管理系统,操作系统,网络,/,硬件,流程,B,流程,C,应用程序,X,应用程序,Y,应用程序,Z,流程,A,IT,一般控制,控制环境,程序开发,程序变更,访问控制,系统运行,应用系统自动控制,输入控制,校验控制,系统接口,系统计算,权限控制,信息系统控制,识别信息系统范围,商业流程,/,交易类别,战略风险,运营风险,财务风险,合规风险,IT,公司层面控制,信息科技层面评估架构,流程A商业流程/交易类别关键应用程序IT基础设施服务数据库管,信息科技层面评估架构（续）,信息系统控制评估的建议构架基于国际通行的评估标准。其中，,IT,公司层面控制评估是基于,COSO,模型，,IT,一般性控制和应用程序控制评估是基于,COBIT,模型。,监控,信息与沟通,控制活动,风险评估,控制环境,合规性,操作,财务报告,应用程序控制,COSO,IT,公司,层面控制,IT,一般性控制,信息科技层面评估架构（续）信息系统控制评估的建议构架基于国际,信息科技层面评估架构（续）,风险评估,信息技术风险评估目标的设定,技术风险的识别机制及风险分析,降低风险的行动计划与预算,控制活动,制定各类程序和政策,根据风险执行相应信息系统控制,信息技术职责分工,信息与沟通,关注战略一体化的信息系统与信息质量,关注内部与外部的沟通及其沟通方式,控制环境,信息技术员工诚信和道德价值观,信息技术员工胜任能力,管理层,/,董事会对信息技术的关注,信息技术组织结构,信息技术策略与制度,数据和应用系统的归属制与职责分离,COSO“,内部控制,-,整体框架”,监控,进行持续性信息系统监督活动,信息系统的独立评估体系,适宜的信息技术内部审计计划,信息系统缺陷报告,控制环境,风险评估,控制活动,信息与沟通,监控,合规性,操作,财务报告,信息科技层面评估架构（续）风险评估控制活动信息与沟通控制环境,信息科技层面评估构架（续）,C,OBI,T 4.1,包含,34,个信息技术过程控制，并归集为四个控制域：,计划与组织,获取与实施,交付与支持,监控与评价,C,O,BI,T,(Control Objectives for Information and related Technology，,信息及相关技术的控制目标),是国际公认的,IT,治理框架，为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架,.,。,信息科技层面评估构架（续）COBIT 4.1包含34个信息技,信息科技层面评估架构（续）,应用程序控制简介,应用程序控制是业务流程中控制的一部分，是在应用系统中由程序自动执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适用于各种交易的处理，所以应用程序控制是否有效对于内控的有效性有着重要的影响。,应用程序控制可以分为两类：,系统自动控制,由系统自动完成的控制，无需人工干预，在开发系统时已经考虑并嵌入到系统中。,人工依赖系统控制,由系统完成部分的控制，需要人工干预，且控制是否有效会受到人为因素的影响。,控制目标,控制类型,人工,自动,预防性,发现性,人工控制,人工依赖系统控制,系统自动控制,信息科技层面评估架构（续）应用程序控制简介 应用程,信息科技层面评估架构（续）,应用程序控制类型：,登陆权限,/,岗位分离,实时校验,/,编辑检查,计算机,计算,自动系统,接口,配置控制,应用程序,控制,信息科技层面评估架构（续）应用程序控制类型：,信息科技层面评估架构（续）,应用程序控制类型,实时校验,/,编辑检查控制,：也称为系统录入控制，这类控制主要是确保录入到系统中的数据的准确性，进行录入时系统会对重要字段的合理性、合规性和准确性进行检查，防止一些不合适的数据被系统接受，造成系统数据的不真实和垃圾数据的产生,登陆权限,/,岗位分离控制,：系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况,计算机计算控制,：系统自动计算并保证计算的正确性，此类控制一般在程序开发时已嵌入到系统中,自动系统接口控制,：主要关注不同应用系统之间通过接口传递的数据是否准确完整,配置控制,：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着重要的作用,信息科技层面评估架构（续）应用程序控制类型,信息科技层面评估架构（续）,识别关键风险及信息资产,根据贵行的特性包括现有制度、业务需要、风险识别、组织模型、管理、体系结构和行业标准以及法律、法规、识别关键流程和控制范围。,监控控制活动,贵行的控制活动得到改善和加强后，需要建立一套监控体系来保证控制活动的持续有效。建立一整套完善的监控方案，用以监控控制活动的有效性。,评估现有控制,贵行需在,IT,管理层面以及流程层面需建立相应的控制，使贵行的工作模式能够有效地规范起来。在这一阶段中，内审部将对现有,IT,流程和控制进行评估，了解内部管理和控制情况，确认控制中存在的风险及差异。,控制的改善与加强,基于对贵行内部管理和控制情况的评估结果及发现的风险与差异，对控制进行改善和加强。依照国际认可的实践经验与标准，改善自身的控制活动，以更好的防范风险。,信息科技评估体系,信息科技层面评估架构（续）识别关键风险及信息资产监控控制活动,IT,审计的参考标准,CoBIT,CoBIT,(Control Objectives for Information and related Technology,，信息及相关技术的控制目标,),最初的用途是为企业的,IT,治理提供清晰的指导策略和优良的实践范本，以帮助管理层理解并管理有关,IT,的风险。,CoBIT,已经被发展成为一套国际公认的、企业通用的，有关,IT,安全和控制的标准。它为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架。,CoBIT,将,IT,过程，,IT,资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。,IT审计的参考标准CoBITCoBIT(Control O,IT,审计的参考标准,CoBIT,（续）,有效性,效 率,保密性,完整性,可用性,合规性,可靠性,应,用,系,统,信,息,基,础,设,施,人,员,计划与组织,采购与实施,交付与支持,监控与评价,有效性（,Effectiveness,）：,是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。,高效性（,Efficiency,）：,关于如何最佳（最高产和最经济）利用资源来提供信息。,机密性（,Confidentiality,）：,涉及对敏感信息的保护，以防止未经授权的披露。,完整性（,Integrity,）：,涉及信息的精确性和完全性，以及与商业评价和期望相一致。,可用性（,Availability,）：,指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。,符合性（,Compliance,）：,遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业标准。,可靠性（,Reliability of Information,）：,为管理者的日常经营管理以及履行财务报告责任提供适当的信息。,IT审计的参考标准CoBIT（续）有效性效 率保密性完整,有效性,效 率,保密性,完整性,可用性,合规性,可靠性,应,用,系,统,信,息,基,础,设,施,人,员,计划与组织,采购与实施,交付与支持,监控与评价,计划与组织,(PO),IT,战略与业务战略是否一致,企业是否优化资源的使用,组织的成员是否能够理解,IT,目标,管理层是否意识到企业面临的,IT,风险并予以妥善管理,IT,系统的质量能否满足业务需求,采购与实施,(AI),新项目所提供的解决方案能否满足业务需求,新项目能否在既定的预算内按期交付,新系统能否按预期运行,变更是否影响当前业务的正常运行,交付与支持,(DS),IT,服务是否根据业务的优先级交付,IT,成本是否最优,工作负荷是否影响,IT,系统的有效使用,是否充分实现保密性、完整性和可用性,监控与评价,(ME),IT,绩效考核能否及时发现问题,管理层能否确保内部控制的效率和有效性,IT,绩效能否与业务目标相关联,是否测量并报告风险、控制、符合性和绩效,IT,审计的参考标准,CoBIT,（续）,有效性效 率保密性完整性可用性合规性可靠性应信基人计划与组,有效性,效 率,保密性,完整性,可用性,合规性,可靠性,应,用,系,统,信,息,基,础,设,施,人,员,计划与组织,采购与实施,交付与支持,监控与评价,应用系统：,用户处理信息的自动化用户系统及手册程序。,信息：,信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式所使用。,基础设施：,保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）。,人员：,策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。人员可以是内部的、外包人员或合同人员。,IT,审计的参考标准,CoBIT,（续）,有效性效 率保密性完整性可用性合规性可靠性应信基人计划与组,CoBIT 34,个高层次控制目标,IT,审计的参考标准,CoBIT,（续）,监控与评价,ME1,IT,绩效监控与评估,ME2,内部控制监控与评估,ME3,确保法规遵从,ME4,提供,IT,治理,交付与支持,DS 1 定义并管理服务水平,DS 2 管理第三方服务,DS 3 性能管理与能力管理,DS 4 确保服务的持续性,DS 5 确保系统安全,DS 6 确认与分摊成本,DS 7 教育并培训客户,DS 8 服务台与事件管理,DS 9 配置管理,DS 10 问题管理,DS 11 数据管理,DS 12 物理环境管理,D