1、IT審計及COBIT模型/12/281/49內(nèi)容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A22/49信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織信息系統(tǒng)為審計對象，經(jīng)過當(dāng)代審計理論和IT管理理論，從信息資產(chǎn)安全性、數(shù)據(jù)完整性以及系統(tǒng)有效性和效率性等方面出發(fā)，對其是否能夠有效可靠到達組織戰(zhàn)略目標進行全方面監(jiān)測和評定，并為改進和健全組織對信息系統(tǒng)控制提出詳細提議。IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、安全等審計IT審計介紹33/49Asset Security（資產(chǎn)安全性）E

2、ffectivity（系統(tǒng)有效性）Efficiency（系統(tǒng)效率性）Data Integrity（數(shù)據(jù)完整性）IT審計目標44/49信息系統(tǒng)調(diào)查信息系統(tǒng)內(nèi)部控制測試信息系統(tǒng)初步評價信息系統(tǒng)實質(zhì)性測試信息系統(tǒng)綜合評價IT審計流程55/49調(diào)查階段信息系統(tǒng)內(nèi)部控制初步評審內(nèi)部控制可信賴嗎？控制測試信息系統(tǒng)控制測試結(jié)果評價內(nèi)部控制可信賴嗎？測試和評價賠償控制實質(zhì)性測試全方面評價編制審計匯報退出審計提出管理提議審計結(jié)束否否內(nèi)部控制詳細審查與評價計算機信息系統(tǒng)審計流程66/49信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進行全方面、深入地了解，是進行信息系統(tǒng)審計基礎(chǔ)。了解管

3、理體制，從總體上把握被審計單位信息系統(tǒng)管理基本情況。了解總體架構(gòu)，完成對被審計單位有什么類型信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)之間有什么關(guān)系調(diào)查。了解規(guī)劃管理，對信息系統(tǒng)建設(shè)、使用、管理情況調(diào)查。信息系統(tǒng)調(diào)查77/49IT內(nèi)部控制類型：依據(jù)控制范圍，信息系統(tǒng)內(nèi)部控制分為普通控制應(yīng)用控制IT內(nèi)部控制88/49是指對整個計算機信息系統(tǒng)及環(huán)境要素實施，對系統(tǒng)全部應(yīng)用或功效模塊含有普遍影響控制辦法。劃分成五類控制：組織控制：為實現(xiàn)組織目標而進行組織結(jié)構(gòu)設(shè)計、權(quán)責(zé)安排和制度設(shè)計。包含職責(zé)分離、授權(quán)、監(jiān)督、人事管理等系統(tǒng)開發(fā)與維護控制：包含需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計、編程實

4、現(xiàn)、測試、運行維護、文檔管理等控制DIB 中國領(lǐng)先內(nèi)部控制和風(fēng)險管了解決方案提供商9普通控制9/49安全控制：保持良好運行環(huán)境，包含訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制硬件及系統(tǒng)軟件控制（1）硬件控制（2）軟件控制5、操作控制信息系統(tǒng)使用操作應(yīng)有一套完整管理制度，包含上機守則與操作規(guī)程、上級日志統(tǒng)計、保密制度和操作工作計劃等。普通控制1010/49應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理特殊控制要求，確保數(shù)據(jù)處理完整、準確地完成而建立內(nèi)部控制。分成三類控制輸入控制：確保只有經(jīng)過授權(quán)同意業(yè)務(wù)才能輸入計算機信息系統(tǒng)；確保經(jīng)同意數(shù)據(jù)沒有丟失、遺漏和篡改；確保被計算機拒絕錯誤數(shù)據(jù)能更正后重新提交。

5、包含數(shù)據(jù)采集、數(shù)據(jù)輸入控制應(yīng)用控制1111/49處理控制：對信息系統(tǒng)進行內(nèi)部數(shù)據(jù)處理活動控制辦法，這些控制辦法往往被寫入計算機程序，包含數(shù)據(jù)有效性檢測、錯誤糾正控制。輸出控制：主要是確保交付給用戶數(shù)據(jù)是符合格式要求、可交付，并以一致和安全方式遞交給用戶，包含輸犯錯誤處理、輸出匯報管理、匯報接收確認應(yīng)用控制1212/49內(nèi)容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A1313/49IT治理提出背景1414/49企業(yè)治理就是為全部股東創(chuàng)造和展現(xiàn)價值企業(yè)道德行為企業(yè)治理包含組織中管理層、董事會、股東和其它利益相關(guān)法之間一系列關(guān)系，它為制訂企業(yè)目標、確定實現(xiàn)目

6、標和監(jiān)督績效方式提供了框架。IT治理1515/49IT治理1616/49IT治理是一個綜合術(shù)語，它包含信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，全部利益相關(guān)方，董事會，高級管理層，流程全部些人，IT供給商，用戶和審計師。IT治理有利于確保IT和企業(yè)目標保持一致。IT治理是組織中一個制度安排，目標是為了提升IT績效、降低IT風(fēng)險，有效地利用資源。IT治理采取最正確實踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標和價值交付，確保資源得到合理使用，風(fēng)險得到適當(dāng)管理、績效得到測評。IT治理1717/49IT治理在根本上關(guān)注以下兩方面問題：IT向業(yè)務(wù)交付價值 ：由IT和業(yè)務(wù)戰(zhàn)略一致驅(qū)動IT風(fēng)險得到管理：經(jīng)過向

7、企業(yè)分配責(zé)任來驅(qū)動IT治理1818/49IT治理領(lǐng)域1919/49內(nèi)容安排1.IT審計介紹2.IT治理介紹3.COBIT概念4.COBIT體系框架5.Q&A2020/49Control Objectives for Information and related TechnologyCOBIT是一個在國際上得到公認、先進和權(quán)威安全與信息技術(shù)管理和控制標準，它在業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，它能夠輔助管理層進行IT 治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)風(fēng)險。面向業(yè)務(wù)是COBIT主題，它不但是為用戶和審計師而設(shè)計，而且更主要是它能夠作為管理者及業(yè)務(wù)過程全部者綜合指

8、南。 COBIT真正關(guān)注問題是，企業(yè)是否具備適當(dāng)控制力，以確保符合相關(guān)管理要求。它幫助企業(yè)確定他們是否正在做他們表示要做事，以及他們是否能夠證實這一點 COBIT是什么？2121/49COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年公布。COBIT第二版于1998年出版，修訂了高層控制目標與詳細控制目標，增加了實施工具集（Implementation Tool Set）信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關(guān)基金會在1998年創(chuàng)建 IT治理研究院(ITGI)，由ITGI制訂并公布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理關(guān)注；COBIT基于ISACF

9、建立IT控制目標，參考了其它控制框架、行業(yè)標準；ITGI于底公布了COBIT第四版，這一版對IT一些過程進行了調(diào)整，強調(diào)了IT控制與IT治理五個領(lǐng)域?qū)?yīng)關(guān)系。COBIT 發(fā)展歷程2222/49早期第1、2版以控制目標和審計指南為主。推出第3版，重點突出了“管理指南”。年推出第4版，精簡了控制目標，并完善了管理指南20推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)絡(luò)更緊密。COBIT 發(fā)展歷程2323/49COBIT中定義IT資源以下。 (1)數(shù)據(jù)：是最廣泛意義上對象(如外部和內(nèi)部)、結(jié)構(gòu)化及非結(jié)構(gòu)化、 圖形、聲音等。 (2)應(yīng)用系統(tǒng)：手工以及計算機程序總和

10、。 (3)技術(shù)：包含硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 (4)設(shè)備：包含所擁有支持信息系統(tǒng)全部資源。 (5)人員：包含員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)能力。IT資源2424/49COBIT定義了7方面信息標準：效果性（Effectiveness） ：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效” 信息效率性（Efficiency） ：“有效率” 地使用資源，提供信息保密性（Confidentiality） ： 保護敏感信息，防止泄漏信息一致性（Integrity） ：確保信息“真實可信” ，即信息準確、完整，而且從業(yè)務(wù)價值和業(yè)務(wù)需要角度來說是正確有效可用性

11、（Availablity）：當(dāng)業(yè)務(wù)需要時，信息可隨時取得可靠性（Reliability）：為管理層維持組織運轉(zhuǎn)和推行所賦予職責(zé)提供適當(dāng)信息合規(guī)性（Compliance）：符合相關(guān)法律、要求、協(xié)議對業(yè)務(wù)過程要求IT準則2525/49活動：企業(yè)信息系統(tǒng)是由一個個功效組成，它們對應(yīng)于企業(yè)經(jīng)營領(lǐng)域一個個活動。過程：這些活動能夠按照彼此之間關(guān)系緊密程度或者目標一致程度歸結(jié)為一些過程，比如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險評定，等等。域：過程之間自然組合形成企業(yè)域，與企業(yè)結(jié)構(gòu)職責(zé)域相對應(yīng)?；顒印⑦^程、域2626/49活動、過程、域2727/49內(nèi)容安排1.IT審計介紹2.IT治理介紹

12、3.COBIT概念4.COBIT體系框架5.Q&A2828/49COBIT框架模型2929/49CoBit框架模型Cobit可細化為34項高層控制目標，318個細化控制目標。每個目標都針對特定IT過程；這些高層控制目標又可組合為策劃與組織、采購與實施、交付與支持、監(jiān)控四大領(lǐng)域。3030/49COBIT體系結(jié)構(gòu)3131/49COBIT產(chǎn)品簇3232/49控制目標（Control Objectives）在34個高層控制目標基礎(chǔ)上，為每個IT過程定義了更為詳細控制目標（detail objectives，共計318個），用以指導(dǎo)IT控制工作、確保該過程成功實施。COBIT體系結(jié)構(gòu)3333/49審計指

13、南（Audit Guideline）針對每個IT過程分別提出了審計方法，經(jīng)過對照審查對應(yīng)控制目標實現(xiàn)對IT過程評價和提議。內(nèi)容：怎樣了解該過程相關(guān)內(nèi)控，包含應(yīng)面詢對象、問題、應(yīng)查閱文檔怎樣評價該過程控制，包含詳細要核查項目該過程中常規(guī)符合性測試項目該過程中常規(guī)實質(zhì)性測試項目COBIT體系結(jié)構(gòu)3434/49管理指南（Management Guideline）針對每個IT過程均為管理者詳細定義了以下分析工具：關(guān)鍵成功原因（CSF）：管理者“應(yīng)該作什么？”，即在每一個過程中最主要原因或控制活動，能夠作為IT投資指導(dǎo)之一。關(guān)鍵目標指標（KGI）：IT過程“執(zhí)行后結(jié)果應(yīng)該作到怎樣”。若想實現(xiàn)業(yè)務(wù)目標，該過程執(zhí)行后必須到達哪些指標。關(guān)鍵執(zhí)行指標或關(guān)鍵性能指標（KPI）：怎樣判斷正在執(zhí)行IT過程當(dāng)前狀態(tài)是否良好、是否需要調(diào)整。成熟度模型（CMM）：為每一個過程定義了六種成熟度級別，使管理者能夠評價本組織在該過程控制上所處級別，然后經(jīng)過與同行業(yè)標竿企業(yè)相比較，判斷本身所處先進程度、競爭優(yōu)勢和改進方向。COBIT體系結(jié)構(gòu)3535/49COBIT各組件之間關(guān)系3636/49集大成者3737/49COBIT 特點3838/49Business-focused3939/49Bu