1、组长:从嘉琪(PPT制作)组员:张琳琳,胡红燕(IT治理,ISA基本内容)刘唯一,徐逸柠,王毓秀(COBIT案例)何诗雯(两者关系)信息系统审计 IT治理IT治理治理定义 企业IT治理(GEIT)指的是一个所有利益相关者(包括董事会、高级管理层、内部客户以及财务等部门)均可参与决策过程的体系。GEIT是董事会和执行管理部门的职责。国际信息系统审计与控制协会的定义:IT 治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。内涵 IT 治理必须与企业战略目标一致 IT 治理以明确的期望值和衡量手段,确保 IT 按照目标交付适用的功能和
2、期望的收益。IT 治理和其他治理主体一样,是管理执行经理和利益相关者的责任 IT 治理不是孤立的规范和活动,而是公司治理的有机组成部分 IT 治理在组织内多个层面进行IT治理目标:价值创造 GEIT的目的是引导IT活动以确保IT执行情况足以实现IT与企业目标保持一致并实现所承诺效益等目标。GEIT涉及两个问题:一是,IT应该为业务带来价值;二是,需要对IT风险进行管理。实现收益优化风险优化资源治理目标:创造价值利益相关者需要驱动COBIT5治理和管理关键领域COBIT5由 ISACA开发,通过提供一个框架来确保IT与业务保持一致、IT使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源
3、和适当地管理IT风险,从而支持GEIT。评价指导监控治理管理计划构建运行监控管理层反馈业务需求信息系统审计信息系统审计发展历程 萌芽阶段 1940年代:第一台计算机诞生 1950年代:计算机化的会计系统出现,“绕过计算机审计”1960年代:计算机与相关的应用软件开始普及,产生了“EDP(电子数据处理)审计”发展 1970年代:“美国权益融资公司”的审计中,审计人员首次采用“通过计算机审计”的审计方法 1977年,EDP审计师协会出版行业标准COBIT 1978年,该协会推出了CISA(注册信息系统审计师)资格认证 成熟 1980年代,美国、日本等开始制定自己的标准 普及 1994年,EDP审计
4、师协会更名为“信息系统审计与控制协会”(ISACA)1998年,AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的发生,使人们关注IT服务的可靠性问题,这些公司有了信息系统审计的需要。定义ISACA我国我国 信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产安全、数据完整以及有效率低利用组织的资源并有效果地实现组织目标的过程。审计署:信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。中国内部审计协会:信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价
5、活动。审计内容审计内容审计特点审计特点 审计信息系统的流程 IT治理与管理 信息系统的购置,开发与实施 信息系统的操作,维护与服务管理 信息资产的保护 灾难恢复与业务连续性计划 几乎审计的所有领域都应用现代信息技术 信息数据的安全、可靠 更需要依靠专家支持 审计覆盖面扩大 对审计人员的专业性要求更高问题风险及对策问题风险问题风险对策对策 会计信息系统自身的缺陷 电子形式的数据存储易发生的存储,窃取,破坏风险 有效的审计软件欠缺 专业会计信息系统审计专人才欠缺 对于信息系统审计态度不端正 行业之间信息沟通障碍 提高审计风险的防范能力 建立统一的会计审计系统,开发会计审计软件 专业人才队伍建立健全
6、 审计 端正审计人员对于信息系统审计的态度 跨行业的信息技术整合两者关系 信息系统审计是企业进行信息系统审计是企业进行IT治理的一个重治理的一个重要组成部分。要组成部分。监督和检查:监督和检查:通过信息系统审计发现企业信息化存在的问题,发现自身的不足,完善IT治理的控制作用。报告和促进:报告和促进:通过信息系统审计,编制审计报告,提出建议,帮助企业建立起完善和细化的流程和制度,确保IT治理方向与业务目标一致,进而确保组织信息系统的发展能够始终沿着正确的方向进行,确保企业的总体战略目标的实现。基于基于IT治理构建治理构建我国信息系统控制与审计体系我国信息系统控制与审计体系 确定信息系统控制目标确
7、定信息系统控制目标 建立适用的、协同的建立适用的、协同的IT标准模式标准模式 制定相关管理指南制定相关管理指南 完善控制与审计指南完善控制与审计指南中国人寿信息系统审计的案例 审计框架 在框架内容上,借鉴传统信息系统审计的方式和方法,针对不同风险类型,分别釆用一般控制审计、应用系统控制测试相结合,一般控制审计为主一般控制审计为主、应用系统控制测、应用系统控制测试为辅试为辅的方式开展。一般控制审计应用控制审计整体审计框架一般控制审计 一般控制审计主要是针对公司各个针对公司各个IT流程中流程中各类系统构成外部要素各类系统构成外部要素的较大范围控制审较大范围控制审计计,目的是确保系统安全运行、保护数
8、据和程序、防止非法入侵以及系统在突发事件后的应急处理。根据COBIT原理,公司所有IT活动都可以依照进行的不同阶段进行分类,因此,对IT流程按照系统生命周标准系统生命周标准,划分为IT治理、研治理、研发与上线、运维与支持、考核与管理发与上线、运维与支持、考核与管理,分别对应对应COBIT标准模式中的计划与组织、计划与组织、获取与实施、交付与支持、督与评价获取与实施、交付与支持、督与评价四个领域。每个领域梳理各自包含对应阶段涉及的IT标准流程。应用系统控制审计设计 所谓应用糸统控制,是指信息系统在发起、记录、处理以及展现业务数据时,系统自发地采取某种控制手段,确保业务数据的完整性、准确性。针对寿险行业的信息原统而言,应用系统控制功能上主要包括包含以下几个类型:计算型 校验型 触发型 参数型 基于COBIT理论审计框架的设计,涵盖了中国人寿中20个关键流程,覆盖了生命周期的四个阶段的活动,同时分析了每个不同流程审计应该关注的风险控制点,并设计相应的审计方法。因此,与传统审计方式相比而言,利用基于COBIT的审计框架在指导开展信息系统审计时,内容上可以覆盖整个系统的生命覆盖整个系统的生命周期周期,基本确保不存在重大审计盲区而导确保不存在重大审计盲区而导致的系统性风险致的系统性风险。