1、12-计算机审计与信息系统审计内容内容n计算机审计计算机审计n信息系统审计信息系统审计计算机审计产生的原因计算机审计产生的原因1.审计外部环境信息化是推动计算机审计产生和审计外部环境信息化是推动计算机审计产生和发展的外部因素发展的外部因素q审计署前审计长李金华指出:审计人员不掌握计算审计署前审计长李金华指出:审计人员不掌握计算机技术,将失去审计的资格。机技术,将失去审计的资格。q信息化对审计产生了巨大影响,主要表现在:数据信息化对审计产生了巨大影响,主要表现在:数据电子化、审计线索不易识别、数据量急剧增加、数电子化、审计线索不易识别、数据量急剧增加、数据易被篡改、数据易消失、内部控制易失效、对
2、审据易被篡改、数据易消失、内部控制易失效、对审计人员的信息技术要求提高。计人员的信息技术要求提高。2.企业经营规模越来越大是推动计算机审计发展企业经营规模越来越大是推动计算机审计发展的内生动力。的内生动力。q审计目标、范围、职能不断扩大,对审计提出了更审计目标、范围、职能不断扩大,对审计提出了更高的要求。高的要求。3.计算机技术(特别是软件技术)的发展提高了计算机技术(特别是软件技术)的发展提高了计算机审计的工作效率和审计质量。计算机审计的工作效率和审计质量。q利用计算机软件系统自动发现审计问题和线索,利利用计算机软件系统自动发现审计问题和线索,利用互联网实现实时审计。用互联网实现实时审计。计
3、算机审计计算机审计n计算机审计是审计人员将计算机及网络技术等计算机审计是审计人员将计算机及网络技术等各种手段引入审计工作,建立审计信息系统,各种手段引入审计工作,建立审计信息系统,从而实现对会计信息系统的审计。从而实现对会计信息系统的审计。n计算机审计的概念有广义和狭义之分。计算机审计的概念有广义和狭义之分。n目前有三种观点:目前有三种观点:q对计算机管理的数据进行审计对计算机管理的数据进行审计q对管理数据的计算机进行审计对管理数据的计算机进行审计q即对计算机也对计算机管理的数据进行审计即对计算机也对计算机管理的数据进行审计n经过长期的实践,国际上以及我国审计署将计经过长期的实践,国际上以及我
4、国审计署将计算机审计主要定位在第一种观点,也称计算机算机审计主要定位在第一种观点,也称计算机辅助审计,或称审计信息化、数字审计等。辅助审计,或称审计信息化、数字审计等。n第二种观点演变为信息系统审计。第二种观点演变为信息系统审计。计算机审计与信息系统审计的区别计算机审计与信息系统审计的区别1.审计对象不同。审计对象不同。q计算机审计主要对象是信息系统中的电子数据。计算机审计主要对象是信息系统中的电子数据。q信息系统审计主要对象是存储电子数据的信息系统。信息系统审计主要对象是存储电子数据的信息系统。2.工作侧重点不同。工作侧重点不同。q计算机审计是通过对电子数据的采集、转换、清理、计算机审计是通
5、过对电子数据的采集、转换、清理、验证、分析,发现审计线索,收集审计证据,从而验证、分析,发现审计线索,收集审计证据,从而形成审计结论。计算机审计虽然也需要验证信息系形成审计结论。计算机审计虽然也需要验证信息系统提供的电子数据的真实性、准确性和完整性,但统提供的电子数据的真实性、准确性和完整性,但这种验证具有一定的局限性。这种验证具有一定的局限性。q信息系统审计是通过对信息系统的调查与了解,对信息系统审计是通过对信息系统的调查与了解,对系统控制及系统功能的分析与测评,综合评价一个系统控制及系统功能的分析与测评,综合评价一个信息系统是否能够满足安全性、有效性、与经济性信息系统是否能够满足安全性、有
6、效性、与经济性目标,是否能够提供真实、准确、完整的电子数据。目标,是否能够提供真实、准确、完整的电子数据。3.使用的技术方法不同。使用的技术方法不同。q计算机审计主要使用与数据采集、转换、计算机审计主要使用与数据采集、转换、清理、验证、分析的数据方法,包括审计清理、验证、分析的数据方法,包括审计数据采集转换技术、审计中间表技术、审数据采集转换技术、审计中间表技术、审计模型构建技术、数据分析方法等。计模型构建技术、数据分析方法等。q信息系统审计主要采用系统调查、系统分信息系统审计主要采用系统调查、系统分析、系统测试和系统评价的技术方法。析、系统测试和系统评价的技术方法。计算机审计与信息系统审计的
7、联系计算机审计与信息系统审计的联系n计算机审计和信息系统审计是同一事物的两个计算机审计和信息系统审计是同一事物的两个方面,两者有密切联系。方面,两者有密切联系。q信息系统中存在的问题必然会反映到电子数据中,信息系统中存在的问题必然会反映到电子数据中,计算机审计发现的问题可以作为信息系统审计的参计算机审计发现的问题可以作为信息系统审计的参考和线索。考和线索。q电子数据是信息系统功能的重要体现,信息系统审电子数据是信息系统功能的重要体现,信息系统审计通过对不同电子数据的分析、处理和测试,以评计通过对不同电子数据的分析、处理和测试,以评价信息系统的准确性。价信息系统的准确性。相关资格认证考试相关资格
8、认证考试n注册内部审计师注册内部审计师(CCIA-CHINA CERTIFIED INTERNAL AUDITOR):中国内部审计协会组织的):中国内部审计协会组织的考试。考试。n国际注册内部审计师国际注册内部审计师(CIA):国际内部审计师协会):国际内部审计师协会(INSTITUTE OF INTERNAL AUDITORS 简称简称 IIA)组织的考试。组织的考试。n国际信息系统审计师国际信息系统审计师(CISA-Certified Information Systems Auditor):信息系统审计与控制协会):信息系统审计与控制协会ISACA(Information Systems
9、 Audit and Control Association)组织的考试。)组织的考试。计算机审计的基本方法计算机审计的基本方法n计算机审计人基本方法经历了绕过计算机审计、计算机审计人基本方法经历了绕过计算机审计、利用计算机审计、穿过计算机审计和联网审计利用计算机审计、穿过计算机审计和联网审计四个阶段。四个阶段。绕过计算机审计绕过计算机审计n绕过计算机审计是指审计人员不审查计算机内部程序绕过计算机审计是指审计人员不审查计算机内部程序和数据文件,只审查输入数据和打印输出资料及管理和数据文件,只审查输入数据和打印输出资料及管理制度的方法,该方法又称制度的方法,该方法又称“黑盒黑盒”审计。审计。n主
10、要应用于主要应用于20世纪世纪50年代中期至年代中期至60年代中期。会计年代中期。会计电算化还处于起步阶段。电算化还处于起步阶段。输入数据输入数据信息系统信息系统输出数据输出数据审计审计绕过绕过绕过计算机审计的优缺点绕过计算机审计的优缺点n优点:优点:q审计技术简单,审计人员计算机水平要求不高。审计技术简单,审计人员计算机水平要求不高。q较少干扰被审系统的正常工作。较少干扰被审系统的正常工作。n缺点:缺点:q审计线索和审计证据不充分。审计线索和审计证据不充分。q审计风险较高审计风险较高n适用范围适用范围q适用于被审计业务简单,处理过程较单一,输入资料与输出适用于被审计业务简单,处理过程较单一,
11、输入资料与输出资料比较密切且内部控制制度健全。因此,该方法适用于内资料比较密切且内部控制制度健全。因此,该方法适用于内部控制比较健全的、业务简单的中小企业的审计。部控制比较健全的、业务简单的中小企业的审计。利用计算机审计利用计算机审计n利用计算机审计又称为计算机辅助审计,是指利用计算机审计又称为计算机辅助审计,是指利用计算机技术和审计软件对会计信息系统所利用计算机技术和审计软件对会计信息系统所进行的审计。进行的审计。n主要在主要在1965-1970这一阶段,会计信息系统被这一阶段,会计信息系统被广泛应用。利用计算机技术和审计软件,可以广泛应用。利用计算机技术和审计软件,可以帮助审计人员减轻负担
12、、加快审查速度、提高帮助审计人员减轻负担、加快审查速度、提高审计效率。审计效率。n审计软件一般分为两种:审计软件一般分为两种:q一种是通用审计软件,能够获取、计算、分析会计一种是通用审计软件,能够获取、计算、分析会计信息系统中的数据,适用于多种审计工作。信息系统中的数据,适用于多种审计工作。q另一种是专用审计软件,是为了某个特定的系统或另一种是专用审计软件,是为了某个特定的系统或审计项目而编写的程序。审计项目而编写的程序。利用计算机审计的过程利用计算机审计的过程原始数据原始数据信息系统信息系统输出数据输出数据计算机审计软件计算机审计软件绕过绕过审计审计利用计算机审计的优缺点利用计算机审计的优缺
13、点n优点:优点:q审计结果较为可靠,扩大了审计范围,数据收集更为齐全,审计结果较为可靠,扩大了审计范围,数据收集更为齐全,抽样审计向全面审计扩展,审计结论更加可靠;抽样审计向全面审计扩展,审计结论更加可靠;q审计独立性较强;审计独立性较强;q提高了审计效率。提高了审计效率。n缺点:缺点:q审计技术较复杂,要求审计人员掌握必备的计算机技术知识审计技术较复杂,要求审计人员掌握必备的计算机技术知识和审计软件的操作;和审计软件的操作;q审计成本较高,审计人员培养成本增加,须购置审计软件。审计成本较高,审计人员培养成本增加,须购置审计软件。n适用范围:适用范围:q适用于会计信息系统使用较为成熟,且业务处
14、理较适用于会计信息系统使用较为成熟,且业务处理较为复杂的、内部控制制度较为完善的大中型企业。为复杂的、内部控制制度较为完善的大中型企业。穿过计算机审计穿过计算机审计n1970年以后,随着会计信息系统和其它业务系统一年以后,随着会计信息系统和其它业务系统一体化集成的发展,大量的数据由其它系统自动产生,体化集成的发展,大量的数据由其它系统自动产生,业务处理日益复杂,原始数据的录入大幅度减少,被业务处理日益复杂,原始数据的录入大幅度减少,被审对象的边界越发模糊。计算机审计进入到审对象的边界越发模糊。计算机审计进入到“穿过计穿过计算机审计算机审计”发展阶段。发展阶段。财务财务-业务一体化系统:用友业务
15、一体化系统:用友ERP-U8 n穿过计算机审计又称穿过计算机审计又称“白盒白盒”审计或直接审计,这种审计或直接审计,这种审计方式不仅要求审查被审计单位的输入与输出数据,审计方式不仅要求审查被审计单位的输入与输出数据,还要审查被审计单位会计信息系统的系统程序、应用还要审查被审计单位会计信息系统的系统程序、应用程序、数据文件以及计算机硬件等系统,在对被审系程序、数据文件以及计算机硬件等系统,在对被审系统的可靠性评价的基础上来确定审计结论。统的可靠性评价的基础上来确定审计结论。输入数据输入数据信息系统信息系统输出数据输出数据审计审计穿过穿过穿过计算机审计的优缺点穿过计算机审计的优缺点n优点:优点:q
16、审计风险低,直接对会计信息系统的程序及数据进审计风险低,直接对会计信息系统的程序及数据进行审查,对系统内部控制可靠性进行科学评价。行审查,对系统内部控制可靠性进行科学评价。q增强了审计独立性、可靠性,提高了审计质量。增强了审计独立性、可靠性,提高了审计质量。n缺点:缺点:q审计技术复杂,要求对计算机技术、程序设计、数审计技术复杂,要求对计算机技术、程序设计、数据处理等知识非常熟悉;据处理等知识非常熟悉;q易干扰被审系统的正常工作,会占用被审系统较多易干扰被审系统的正常工作,会占用被审系统较多的正常工作时间。的正常工作时间。n适用范围:适用范围:q由于这一审计模式对审计人员素质提出了更高的要由于
17、这一审计模式对审计人员素质提出了更高的要求,而且审计成本很高,因此这一审计模式适用于求,而且审计成本很高,因此这一审计模式适用于大中型会计师事务所对业务处理复杂、系统集成度大中型会计师事务所对业务处理复杂、系统集成度较高的大中型企业的审计工作。较高的大中型企业的审计工作。联网审计联网审计n所谓联网审计,就是在线实时审计,是指通过所谓联网审计,就是在线实时审计,是指通过审计机关和被审计单位的网络互联,实时审查审计机关和被审计单位的网络互联,实时审查被审计单位会计信息系统的审计方式。被审计单位会计信息系统的审计方式。n1990年以来,随着互联网和电子商务的发展,现代年以来,随着互联网和电子商务的发
18、展,现代信息技术为计算机审计的发展带来前所未有的机遇。信息技术为计算机审计的发展带来前所未有的机遇。审计人员只要把自己的计算机连接到网上,并取得被审计人员只要把自己的计算机连接到网上,并取得被告审计单位的审查权限,就可以在任何地方、任何时告审计单位的审查权限,就可以在任何地方、任何时间通过网络完成除实地监盘和观察外的大部分审计工间通过网络完成除实地监盘和观察外的大部分审计工作。作。n审计项目负责人可在网上制订审计计划,给不同地点审计项目负责人可在网上制订审计计划,给不同地点的审计人员分配审计任务,并对审计人员监督与指导,的审计人员分配审计任务,并对审计人员监督与指导,随时了解审计项目的进展情况
19、,协调审计人员的工作,随时了解审计项目的进展情况,协调审计人员的工作,草拟和签发审计报告。草拟和签发审计报告。联网审计的过程联网审计的过程原始数据原始数据信息系统信息系统输出数据输出数据数据实时采集及转换数据实时采集及转换审计审计疑点信息和审计数据疑点信息和审计数据审计作业系统审计作业系统审计预警监控系统审计预警监控系统预警方案预警方案预警指标预警指标联网审计的优缺点联网审计的优缺点n优点:优点:q拓展了审计时空,加强了审计监督职能。可以实时拓展了审计时空,加强了审计监督职能。可以实时连续地抽取审计数据,进行实时远程审计。变事后连续地抽取审计数据,进行实时远程审计。变事后审计为事前、事中审计,
20、变静态审计为动态审计,审计为事前、事中审计,变静态审计为动态审计,提高了审计效率,加强了审计的监督作用。提高了审计效率,加强了审计的监督作用。n缺点:缺点:q网络安全问题是联网审计面临的固有风险以外的信网络安全问题是联网审计面临的固有风险以外的信息安全风险。会计信息系统自身设计缺陷、黑客攻息安全风险。会计信息系统自身设计缺陷、黑客攻击、操作失误、审计采集数据的管理等风险问题在击、操作失误、审计采集数据的管理等风险问题在联网审计模式中需要重点关注。联网审计模式中需要重点关注。n适用范围:适用范围:q在线实时审计模式适用于企事业单位的内部审计和在线实时审计模式适用于企事业单位的内部审计和动态审计。
21、是未来审计的发展方向。动态审计。是未来审计的发展方向。讨论讨论n我国现阶段主要的审计方式是哪些?我国现阶段主要的审计方式是哪些?n制约我国审计方式发展的主要原因有哪些?制约我国审计方式发展的主要原因有哪些?n联网审计是联网审计是金审二期规划金审二期规划中的重点建设项中的重点建设项目,根据该规划,审计署将重点建设中央部门目,根据该规划,审计署将重点建设中央部门预算执行、海关、银行、社保等四类联网审计,预算执行、海关、银行、社保等四类联网审计,并对中央财政组织预算执行、国税和大型企业并对中央财政组织预算执行、国税和大型企业等进行联网审计试点。等进行联网审计试点。n目前已成功研制了目前已成功研制了中
22、央部门预算执行联网审中央部门预算执行联网审计系统计系统,并从,并从2010年开始在中央各部门推年开始在中央各部门推广使用。广使用。n各地方政府也在逐步推广各地方政府也在逐步推广政府部门预算执行政府部门预算执行联网审计系统联网审计系统。计算机审计的步骤计算机审计的步骤n前期准备前期准备n内部控制的初步审查内部控制的初步审查n初步审查结果的评价初步审查结果的评价n内部控制测试内部控制测试n实质性程序实质性程序n全面评价和编制审计报告全面评价和编制审计报告审计软件的分类审计软件的分类(1)审计作业软件审计作业软件 审计作业软件是审计工作的主要工具。审计作业软件是审计工作的主要工具。(2)审计管理软件
23、审计管理软件 审计管理软件是用来完成审计统计、审计管理软件是用来完成审计统计、审计计划等方面功能的审计计划等方面功能的审计软件。审计软件。(3)专用审计软件专用审计软件 如海关审计软件、如海关审计软件、基建工程预决算审计软件、基建工程预决算审计软件、银行审计软件、银行审计软件、外资审计软件等。外资审计软件等。(4)审计法规软件审计法规软件 法规软件主要是为了帮助审计人员在海量的各种财经法规中快法规软件主要是为了帮助审计人员在海量的各种财经法规中快速找出所需要的法规条目及内容。速找出所需要的法规条目及内容。(5)联网审计软件联网审计软件常见的审计软件常见的审计软件n审计之星审计之星q上海博科资讯
24、有限责任公司在上海博科资讯有限责任公司在1997年发布。年发布。n审计数据采集分析系统审计数据采集分析系统q审计署驻南京办事处开发审计署驻南京办事处开发,是一个用来采集和分析被审计单是一个用来采集和分析被审计单位电子数据的通用审计软件。位电子数据的通用审计软件。n用友审易用友审易-审计作业系统(审计作业系统(V5.8)q用友开发的与用友开发的与U8配套的通用审计软件,可以很好地将配套的通用审计软件,可以很好地将U8中中的数据进行采集。的数据进行采集。n通审通审2000n中审审易中审审易n中普审计软件中普审计软件信息系统审计信息系统审计n信息系统审计的定义信息系统审计的定义 q信息系统审计是一个
25、过程,在此过程中信息系统审计是一个过程,在此过程中搜集和评估证据以确定以确定信息系统和相关资源信息系统和相关资源是否充分是否充分保护资产、资产、维持数据和系统维持数据和系统完整性、提供相关和、提供相关和可靠信息、信息、有效实现组织机构目标、有效地实现组织机构目标、有效地使用资源、包含有效资源、包含有效内部控制以提供运营和控制目标得到满足的合理保内部控制以提供运营和控制目标得到满足的合理保障。(国际障。(国际ISACA协会)协会)q又称又称IT审计。审计。信息系统审计的三大目标信息系统审计的三大目标n从以上信息系统审计的定义,可知信息系统从以上信息系统审计的定义,可知信息系统审计项目依审计项目依
26、目标不同,有三大类:不同,有三大类:q信息系统安全审计(安全性)信息系统安全审计(安全性)q信息系统可靠性审计(可靠性)信息系统可靠性审计(可靠性)q信息系统绩效审计(经济性)信息系统绩效审计(经济性)信息系统审计的内涵信息系统审计的内涵 nIT审计是独立的第三方审计是独立的第三方IT审计师采用客观的标准对审计师采用客观的标准对信息系统的规划、开发、使用维护等相关活动和产信息系统的规划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。物进行完整地、有效地检查和评估。q主体:第三方审计师主体:第三方审计师q遵循相关标准(遵循相关标准(COBIT、信息系统审计指南)、信息系统审计指南)
27、q对信息系统的规划、开发、使用维护等一系列活动及产物对信息系统的规划、开发、使用维护等一系列活动及产物进行检查和评估。进行检查和评估。n信息系统审计的要点:信息系统审计的要点:q信息系统审计的对象是计算机为核心的信息系统。信息系统审计的对象是计算机为核心的信息系统。q信息系统审计的目的是促使信息系统安全、可靠和信息系统审计的目的是促使信息系统安全、可靠和有效。有效。q信息系统审计是一个过程,需要审计师的专业评价信息系统审计是一个过程,需要审计师的专业评价与判断。与判断。管理政策管理政策组织结构组织结构服务器、工作站、打印机服务器、工作站、打印机网线网线交换机交换机/HUBWindows/UNI
28、XOracle 数据库数据库信息系统逻辑结构示意图信息系统逻辑结构示意图财务报表财务报表销售收入销售收入 1000万万会计核算系统会计核算系统销售业务系统销售业务系统灾难恢复与灾难恢复与业务持续计划业务持续计划信息资产保护信息资产保护人人n从构成要素上来看,信息系统有以下组成部分:从构成要素上来看,信息系统有以下组成部分:q硬件硬件q软件软件q网络网络q数据数据q人人q管理制度管理制度信息系统审计的两大主题内容信息系统审计的两大主题内容 审计本质是一种控制,从控制的角度来看审计本质是一种控制,从控制的角度来看信息系统,通常区分为信息系统一般控制与应信息系统,通常区分为信息系统一般控制与应用控制
29、。两者的用控制。两者的作用与范围不同。不同。q信息系统一般控制审计(信息系统一般控制审计(GC)q信息系统应用控制审计(信息系统应用控制审计(AC)n一般控制(一般控制(GC)q确认应用系统恰当开发或实施,确保程序与数据文确认应用系统恰当开发或实施,确保程序与数据文件的完整性,确保信息系统良好运作。一般控制的件的完整性,确保信息系统良好运作。一般控制的控制措施适用于所有应用系统,是一种环境上的保控制措施适用于所有应用系统,是一种环境上的保证。证。n应用控制(应用控制(AC)q与具体的应用系统有关,确保数据处理完整和正确。与具体的应用系统有关,确保数据处理完整和正确。应用控制的设计结合具体业务进
30、行。应用控制的设计结合具体业务进行。一般控制与应用控制的关系一般控制与应用控制的关系n应用控制的有效性取决于一般控制的有效性应用控制的有效性取决于一般控制的有效性n一般控制是应用控制的基础,当一般控制薄弱时,应用控制一般控制是应用控制的基础,当一般控制薄弱时,应用控制无法提供合理保障无法提供合理保障一般控制审计的内容一般控制审计的内容源自:源自:CISA Manual(国际信息系统审计协会(国际信息系统审计协会ISACA)一般控制审计的五大内容一般控制审计的五大内容1.评估评估IT治理结构的效果,确保董事会对治理结构的效果,确保董事会对IT决策、决策、IT方向和方向和IT性能的充分控制;性能的
31、充分控制;2.评估评估IT组织结构和人力资源管理;组织结构和人力资源管理;3.评估评估IT战略及其起草、批准、实施和维护程序;战略及其起草、批准、实施和维护程序;4.评估评估IT政策、标准和程序的制定、批准、实施政策、标准和程序的制定、批准、实施和维护流程;和维护流程;5.评估评估IT资源的投资、使用和配置实务;资源的投资、使用和配置实务;6.评估评估IT外包战略和政策,以及合同管理实务;外包战略和政策,以及合同管理实务;7.评估监督和审计实务;评估监督和审计实务;8.保证董事和执行层能及时、充分地获得有关的保证董事和执行层能及时、充分地获得有关的IT绩效信息绩效信息IT治理治理开发或采购审计
32、开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划一般控制审计的内容一般控制审计的内容源自:源自:CISA Manual(国际信息系统审计协会(国际信息系统审计协会ISACA)IT治理治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划信息系统审计的五大内容信息系统审计的五大内容1.评估拟定的系统开发或采购,确保其符合评估拟定的系统开发或采购,确保其符合组织发展目标;组织发展目标;2.评估项目管理框架和项目治理实务,确保评估项目管理框架和项目治理实务,确保组织在风险管
33、理基础上,以成本组织在风险管理基础上,以成本效益原效益原则达成组织的业务目标;则达成组织的业务目标;3.确保项目按项目计划进行,并有相应文档确保项目按项目计划进行,并有相应文档充分支持;充分支持;4.评估组织相关系统的控制机制,确保其符评估组织相关系统的控制机制,确保其符合组织的政策;合组织的政策;5.评估系统的开发、采购和测试流程,确保评估系统的开发、采购和测试流程,确保其交付符合目标;其交付符合目标;6.对系统实施定期检查,确保其持续满足组对系统实施定期检查,确保其持续满足组织目标,并受到有效的内部控制;织目标,并受到有效的内部控制;一般控制审计的内容一般控制审计的内容源自:源自:CISA
34、 Manual(国际信息系统审计协会(国际信息系统审计协会ISACA)信息系统审计的五大内容信息系统审计的五大内容1.评估服务管理实务,确保内部和外部服务提供评估服务管理实务,确保内部和外部服务提供商的服务等级是明确定义并受管理的;商的服务等级是明确定义并受管理的;2.评估运营管理,保证评估运营管理,保证IT支持职能有效满足了业支持职能有效满足了业务要求;务要求;3.评估数据管理实务,确保数据库的完整性和最评估数据管理实务,确保数据库的完整性和最优化;优化;4.评估能力的使用和性能监控工具与技术;评估能力的使用和性能监控工具与技术;5.评估变更、配置和发布管理实务,确保被详细评估变更、配置和发
35、布管理实务,确保被详细记录;记录;6.评估问题和事件管理实务,确保所有事件、问评估问题和事件管理实务,确保所有事件、问题和错误都被及时记录,分析和解决题和错误都被及时记录,分析和解决 7.评估评估IT基础构架(网络,软硬件)功能,确保基础构架(网络,软硬件)功能,确保其对组织目标的支持其对组织目标的支持IT治理治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划一般控制审计的内容一般控制审计的内容源自:源自:CISA Manual(国际信息系统审计协会(国际信息系统审计协会ISACA)信息系统审计的五大内容信息系统审计的五
36、大内容1.评估逻辑访问控制的设计、实施和监控,确评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和经保信息资产的机密性、完整性、有效性和经授权使用;授权使用;2.评估网络框架和信息传输的安全;评估网络框架和信息传输的安全;3.评估环境控制的设计、实施和监控,确保信评估环境控制的设计、实施和监控,确保信息资产充分安全;息资产充分安全;4.评估保密信息资产的采集、存储、使用、传评估保密信息资产的采集、存储、使用、传输和处置程序的流程。输和处置程序的流程。IT治理治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务
37、连续性计划一般控制审计的内容一般控制审计的内容源自:源自:CISA Manual(国际信息系统审计协会(国际信息系统审计协会ISACA)信息系统审计的五大内容信息系统审计的五大内容1.评估备份和恢复准备的充分性,确保恢复运营所评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性和可用性;需信息的有效性和可用性;2.评估组织的灾难恢复计划,确保一旦发生灾难,评估组织的灾难恢复计划,确保一旦发生灾难,IT处理能力可以及时恢复;处理能力可以及时恢复;3.评估组织的业务连续性计划,确保评估组织的业务连续性计划,确保IT服务中断期服务中断期间,基本业务运营不间断的能力。间,基本业务运营不间断的能力。
38、IT治理治理开发或采购审计开发或采购审计运行与维护审计运行与维护审计安全审计安全审计灾难恢复和业务连续性计划灾难恢复和业务连续性计划应用控制审计的内容应用控制审计的内容接口审计接口审计参数控制参数控制应用控制审计的内容应用控制审计的内容用户权限管理的基本原则:用户权限管理的基本原则:职责分离原则。对于同一组不相容权限,任何用户不职责分离原则。对于同一组不相容权限,任何用户不能同时具有两种(或两种以上)的权限。能同时具有两种(或两种以上)的权限。未明确允许即禁止原则:除非用户有对于权限的需求未明确允许即禁止原则:除非用户有对于权限的需求得到了相关领导的明确批准,否则不应当授予用户任得到了相关领导
39、的明确批准,否则不应当授予用户任何权限。何权限。需求导向及最小授权原则:对于用户的权限,应当以需求导向及最小授权原则:对于用户的权限,应当以其实际工作需要为依据,且仅应当授予能够完成其工其实际工作需要为依据,且仅应当授予能够完成其工作任务的最小权限。作任务的最小权限。信息中心的职责分离矩阵信息中心的职责分离矩阵人力资源系统职责分离矩阵人力资源系统职责分离矩阵人力资源系统职责分离矩阵人力资源系统职责分离矩阵123456序号序号业务活动业务活动配置工资基配置工资基本设置本设置人事工资主人事工资主数据维护数据维护考勤考勤记录记录考勤审考勤审核核工资计算工资计算及发放计算及发放计算工资奖金工资奖金发放
40、审批发放审批1配置工资基本设置配置工资基本设置XXXXX2人事工资主数据维护人事工资主数据维护XXX3考勤记录考勤记录XXX4考勤审核考勤审核XXXX5工资计算及发放计算工资计算及发放计算XXX6工资奖金发放审批工资奖金发放审批XXXX应用控制审计的内容应用控制审计的内容n输入控制输入控制应用控制审计的内容应用控制审计的内容n处理控制处理控制应用控制审计的内容应用控制审计的内容n输出控制输出控制应用控制审计的内容应用控制审计的内容应用控制审计的内容应用控制审计的内容n参数控制审计参数控制审计q参数设置的正确性(合法性)参数设置的正确性(合法性)q参数调整的审批流程与权限参数调整的审批流程与权限
41、q参数调整的轨迹参数调整的轨迹应用控制审计的内容应用控制审计的内容n接口审计接口审计q自动接口自动接口q手动接口环节手动接口环节应用控制审计的流程应用控制审计的流程IT治理治理nIT治理是董事会和最高管理层的职责,是企业治理是董事会和最高管理层的职责,是企业治理的重要组成部分。治理的重要组成部分。IT治理由领导、组织结治理由领导、组织结构以及相关流程组成,这些流程能保证组织的构以及相关流程组成,这些流程能保证组织的IT有效支持及促进组织战略目标的实现。有效支持及促进组织战略目标的实现。IT治理的使命治理的使命n保持保持IT与业务目标一致,推动业务发展,促使与业务目标一致,推动业务发展,促使收益
42、最大化,合理利用收益最大化,合理利用IT资源,适当管理与资源,适当管理与IT相关的风险。相关的风险。IT治理的目标治理的目标IT治理应着眼于以下目标:治理应着眼于以下目标:1、与业务目标一致、与业务目标一致 原则:服从于企业战略,不能背离原则:服从于企业战略,不能背离2、有效利用信息资源、有效利用信息资源 IT治理的使命:通过及时、有效的治理的使命:通过及时、有效的IT治理,促进信息的价值转化治理,促进信息的价值转化3、风险管理、风险管理 通过通过IT治理:构建风险管理制度及风险应对决策;治理:构建风险管理制度及风险应对决策;使风险透明化;使风险透明化;有效的风险投资、管理和控制;有效的风险投
43、资、管理和控制;风险的防范措施。风险的防范措施。实现:平衡信息技术与过程的风险,确保组织目标的实现。实现:平衡信息技术与过程的风险,确保组织目标的实现。IT治理的关键问题治理的关键问题IT治理的关键问题表现在:治理的关键问题表现在:1、IT投资是否与企业经营在战略目标、策略和运营层面相融合,从投资是否与企业经营在战略目标、策略和运营层面相融合,从而构筑必要的核心竞争力;而构筑必要的核心竞争力;2、IT治理是否有助于合理的制度安排真正发挥其作用;治理是否有助于合理的制度安排真正发挥其作用;3、在长期的、在长期的IT应用中,是否持续地创造商业价值;应用中,是否持续地创造商业价值;4、是否有有效的风
44、险管理机制。、是否有有效的风险管理机制。n其中最关键的问题是第一点:其中最关键的问题是第一点:IT治理应体现以治理应体现以“组织战略目标为组织战略目标为中心中心”思想。思想。IT治理框架治理框架构建构建IT治理框架包含三个方面治理框架包含三个方面:n组织机构组织机构n流程流程n沟通机制沟通机制1、组织结构、组织结构(1)IT治理最高管理层(董事会)。治理最高管理层(董事会)。n IT战略的总体制定与决策者,负责指引信息化的方向与战略制定战略的总体制定与决策者,负责指引信息化的方向与战略制定,平衡支持企业和使企业成长的投资。平衡支持企业和使企业成长的投资。(2)IT治理委员会。治理委员会。n向董
45、事会负责,解决设计标准的问题,负责确立向董事会负责,解决设计标准的问题,负责确立IT战略方向,决战略方向,决定和建立资金杠杆,批准所有主要的发展项目并监督结果。定和建立资金杠杆,批准所有主要的发展项目并监督结果。IT治理委员会责任:治理委员会责任:q政策制定;政策制定;q控制控制(预算通过,项目权限,绩效评价预算通过,项目权限,绩效评价);q绩效度量和报告。绩效度量和报告。(3)CIO(首席信息官)(首席信息官)nCIO岗位的职责岗位的职责:发起制定、组织完成企业发起制定、组织完成企业IT战略规划战略规划;开发企业开发企业应用,协调企业和部门的应用开发应用,协调企业和部门的应用开发;保障保障I
46、T基础设施和体系架构基础设施和体系架构的运行及投资的运行及投资;决定决定IT服务和技能服务;建立关键的服务和技能服务;建立关键的IT供应商和咨供应商和咨询顾问间的战略伙伴关系;提供技术支持使企业增加收入和盈利询顾问间的战略伙伴关系;提供技术支持使企业增加收入和盈利能力能力;维护客户满意度;向用户提供培训。维护客户满意度;向用户提供培训。(4)管理者)管理者(5)信息技术人员。)信息技术人员。(6)外部和内部审计人员。)外部和内部审计人员。2、流程、流程nIT投资决策是如何作出的?在决策流程中,投投资决策是如何作出的?在决策流程中,投资建议、投资评估、批准投资和区分优先级是资建议、投资评估、批准
47、投资和区分优先级是如何进行的?如何进行的?3、沟通、沟通n这些决策和流程的结果效能如果度量,如何监这些决策和流程的结果效能如果度量,如何监控风险?又如何得到沟通?在相关利益者之间控风险?又如何得到沟通?在相关利益者之间投资决策采用何种机制加以沟通?投资决策采用何种机制加以沟通?IT治理标准治理标准1、COBIT(信息及相关技术的控制目标),(信息及相关技术的控制目标),;2、IT基础架构库基础架构库ITIL(Information Technology Infrastructure Library);3、ISO/IEC17799:2000(信息安全管理实务准则)(信息安全管理实务准则)4、CO
48、SO综合性框架;综合性框架;搞好搞好IT治理必须解决的问题治理必须解决的问题1、IT关键领域谁做决策和如何决策。关键领域谁做决策和如何决策。5个个IT关键领域:关键领域:A、信息技术原则;、信息技术原则;B、信息技术结构;、信息技术结构;C、信息技术基础设施;、信息技术基础设施;D、企业应用需要;、企业应用需要;E、信息技术投资及优先顺序。、信息技术投资及优先顺序。2、信息化中的责、权、利问题;、信息化中的责、权、利问题;3、信息化建设中的风险评估和绩效评价问题;、信息化建设中的风险评估和绩效评价问题;4、信息系统控制与信息技术管理体系问题。、信息系统控制与信息技术管理体系问题。COBIT C
49、OBIT:Control Objectives for Information and related Technology,即信息和相关技术的控制目标。是由美国信息系统审,即信息和相关技术的控制目标。是由美国信息系统审计与控制学会计与控制学会ISACA提出的提出的IT治理控制框架,它是目前国际上通用的治理控制框架,它是目前国际上通用的信息系统审计的标准,是一个在国际上公认的、权威的安全与信息技信息系统审计的标准,是一个在国际上公认的、权威的安全与信息技术管理和控制的标准。术管理和控制的标准。该标准体系已在世界一百多个国家的重要组织与企业中运用,指该标准体系已在世界一百多个国家的重要组织与企业
50、中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT的发展历程的发展历程1、1996年,年,COBIT1.02、1998年,年,COBIT2.03、2000年,年,COBIT3.04、2005年,年,COBIT4.05、2007年,年,COBIT4.16、2012年,年,COBIT5.0 逐步由最初单一的审计师的内控评价工具发展到目前逐步由最初单一的审计师的内控评价工具发展到目前系统的系统的IT治理框架。治理框架。COBIT信息技术的控制目标信息技术的控制目标 COBIT将信息技术的控制目标设定为七个:将信息技术的