12計算機審計與信息系統(tǒng)審計PPT課件

1、2021/3/9112-計算機審計與信息系統(tǒng)審計2021/3/92內(nèi)容內(nèi)容n計算機審計計算機審計n信息系統(tǒng)審計信息系統(tǒng)審計2021/3/93計算機審計產(chǎn)生的原因計算機審計產(chǎn)生的原因1.審計外部環(huán)境信息化是推動計算機審計產(chǎn)生和審計外部環(huán)境信息化是推動計算機審計產(chǎn)生和發(fā)展的外部因素發(fā)展的外部因素q審計署前審計長李金華指出：審計人員不掌握計算審計署前審計長李金華指出：審計人員不掌握計算機技術(shù)，將失去審計的資格。機技術(shù)，將失去審計的資格。q信息化對審計產(chǎn)生了巨大影響，主要表現(xiàn)在：數(shù)據(jù)信息化對審計產(chǎn)生了巨大影響，主要表現(xiàn)在：數(shù)據(jù)電子化、審計線索不易識別、數(shù)據(jù)量急劇增加、數(shù)電子化、審計線索不易識別、數(shù)據(jù)量

2、急劇增加、數(shù)據(jù)易被篡改、數(shù)據(jù)易消失、內(nèi)部控制易失效、對審據(jù)易被篡改、數(shù)據(jù)易消失、內(nèi)部控制易失效、對審計人員的信息技術(shù)要求提高。計人員的信息技術(shù)要求提高。2021/3/942.企業(yè)經(jīng)營規(guī)模越來越大是推動計算機審計發(fā)展企業(yè)經(jīng)營規(guī)模越來越大是推動計算機審計發(fā)展的內(nèi)生動力。的內(nèi)生動力。q審計目標(biāo)、范圍、職能不斷擴大，對審計提出了更審計目標(biāo)、范圍、職能不斷擴大，對審計提出了更高的要求。高的要求。3.計算機技術(shù)（特別是軟件技術(shù)）的發(fā)展提高了計算機技術(shù)（特別是軟件技術(shù)）的發(fā)展提高了計算機審計的工作效率和審計質(zhì)量。計算機審計的工作效率和審計質(zhì)量。q利用計算機軟件系統(tǒng)自動發(fā)現(xiàn)審計問題和線索，利利用計算機軟件系統(tǒng)

3、自動發(fā)現(xiàn)審計問題和線索，利用互聯(lián)網(wǎng)實現(xiàn)實時審計。用互聯(lián)網(wǎng)實現(xiàn)實時審計。2021/3/95計算機審計計算機審計n計算機審計是審計人員將計算機及網(wǎng)絡(luò)技術(shù)等計算機審計是審計人員將計算機及網(wǎng)絡(luò)技術(shù)等各種手段引入審計工作，建立審計信息系統(tǒng)，各種手段引入審計工作，建立審計信息系統(tǒng)，從而實現(xiàn)對會計信息系統(tǒng)的審計。從而實現(xiàn)對會計信息系統(tǒng)的審計。n計算機審計的概念有廣義和狹義之分。計算機審計的概念有廣義和狹義之分。2021/3/96n目前有三種觀點：目前有三種觀點：q對計算機管理的數(shù)據(jù)進行審計對計算機管理的數(shù)據(jù)進行審計q對管理數(shù)據(jù)的計算機進行審計對管理數(shù)據(jù)的計算機進行審計q即對計算機也對計算機管理的數(shù)據(jù)進行審計

4、即對計算機也對計算機管理的數(shù)據(jù)進行審計2021/3/97n經(jīng)過長期的實踐，國際上以及我國審計署將計經(jīng)過長期的實踐，國際上以及我國審計署將計算機審計主要定位在第一種觀點，也稱計算機算機審計主要定位在第一種觀點，也稱計算機輔助審計，或稱審計信息化、數(shù)字審計等。輔助審計，或稱審計信息化、數(shù)字審計等。n第二種觀點演變?yōu)樾畔⑾到y(tǒng)審計。第二種觀點演變?yōu)樾畔⑾到y(tǒng)審計。2021/3/98計算機審計與信息系統(tǒng)審計的區(qū)別計算機審計與信息系統(tǒng)審計的區(qū)別1.審計對象不同。審計對象不同。q計算機審計主要對象是信息系統(tǒng)中的電子數(shù)據(jù)。計算機審計主要對象是信息系統(tǒng)中的電子數(shù)據(jù)。q信息系統(tǒng)審計主要對象是存儲電子數(shù)據(jù)的信息系統(tǒng)。

5、信息系統(tǒng)審計主要對象是存儲電子數(shù)據(jù)的信息系統(tǒng)。2021/3/992.工作側(cè)重點不同。工作側(cè)重點不同。q計算機審計是通過對電子數(shù)據(jù)的采集、轉(zhuǎn)換、清理、計算機審計是通過對電子數(shù)據(jù)的采集、轉(zhuǎn)換、清理、驗證、分析，發(fā)現(xiàn)審計線索，收集審計證據(jù)，從而驗證、分析，發(fā)現(xiàn)審計線索，收集審計證據(jù)，從而形成審計結(jié)論。計算機審計雖然也需要驗證信息系形成審計結(jié)論。計算機審計雖然也需要驗證信息系統(tǒng)提供的電子數(shù)據(jù)的真實性、準(zhǔn)確性和完整性，但統(tǒng)提供的電子數(shù)據(jù)的真實性、準(zhǔn)確性和完整性，但這種驗證具有一定的局限性。這種驗證具有一定的局限性。q信息系統(tǒng)審計是通過對信息系統(tǒng)的調(diào)查與了解，對信息系統(tǒng)審計是通過對信息系統(tǒng)的調(diào)查與了解，對

6、系統(tǒng)控制及系統(tǒng)功能的分析與測評，綜合評價一個系統(tǒng)控制及系統(tǒng)功能的分析與測評，綜合評價一個信息系統(tǒng)是否能夠滿足安全性、有效性、與經(jīng)濟性信息系統(tǒng)是否能夠滿足安全性、有效性、與經(jīng)濟性目標(biāo)，是否能夠提供真實、準(zhǔn)確、完整的電子數(shù)據(jù)。目標(biāo)，是否能夠提供真實、準(zhǔn)確、完整的電子數(shù)據(jù)。2021/3/9103.使用的技術(shù)方法不同。使用的技術(shù)方法不同。q計算機審計主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、計算機審計主要使用與數(shù)據(jù)采集、轉(zhuǎn)換、清理、驗證、分析的數(shù)據(jù)方法，包括審計清理、驗證、分析的數(shù)據(jù)方法，包括審計數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計中間表技術(shù)、審數(shù)據(jù)采集轉(zhuǎn)換技術(shù)、審計中間表技術(shù)、審計模型構(gòu)建技術(shù)、數(shù)據(jù)分析方法等。計模型構(gòu)建技術(shù)、數(shù)

7、據(jù)分析方法等。q信息系統(tǒng)審計主要采用系統(tǒng)調(diào)查、系統(tǒng)分信息系統(tǒng)審計主要采用系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)測試和系統(tǒng)評價的技術(shù)方法。析、系統(tǒng)測試和系統(tǒng)評價的技術(shù)方法。2021/3/911計算機審計與信息系統(tǒng)審計的聯(lián)系計算機審計與信息系統(tǒng)審計的聯(lián)系n計算機審計和信息系統(tǒng)審計是同一事物的兩個計算機審計和信息系統(tǒng)審計是同一事物的兩個方面，兩者有密切聯(lián)系。方面，兩者有密切聯(lián)系。q信息系統(tǒng)中存在的問題必然會反映到電子數(shù)據(jù)中，信息系統(tǒng)中存在的問題必然會反映到電子數(shù)據(jù)中，計算機審計發(fā)現(xiàn)的問題可以作為信息系統(tǒng)審計的參計算機審計發(fā)現(xiàn)的問題可以作為信息系統(tǒng)審計的參考和線索。考和線索。q電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)，信息

8、系統(tǒng)審電子數(shù)據(jù)是信息系統(tǒng)功能的重要體現(xiàn)，信息系統(tǒng)審計通過對不同電子數(shù)據(jù)的分析、處理和測試，以評計通過對不同電子數(shù)據(jù)的分析、處理和測試，以評價信息系統(tǒng)的準(zhǔn)確性。價信息系統(tǒng)的準(zhǔn)確性。2021/3/912相關(guān)資格認證考試相關(guān)資格認證考試n注冊內(nèi)部審計師注冊內(nèi)部審計師 （CCIA-CHINA CERTIFIED INTERNAL AUDITOR）：中國內(nèi)部審計協(xié)會組織的）：中國內(nèi)部審計協(xié)會組織的考試?？荚?。n國際注冊內(nèi)部審計師國際注冊內(nèi)部審計師 （CIA）：國際內(nèi)部審計師協(xié)會）：國際內(nèi)部審計師協(xié)會（INSTITUTE OF INTERNAL AUDITORS 簡稱簡稱 IIA）組織的考試。組織的考試。

9、n國際信息系統(tǒng)審計師國際信息系統(tǒng)審計師 （CISA-Certified Information Systems Auditor）：信息系統(tǒng)審計與控制協(xié)會）：信息系統(tǒng)審計與控制協(xié)會ISACA（Information Systems Audit and Control Association ）組織的考試。）組織的考試。2021/3/913計算機審計的基本方法計算機審計的基本方法n計算機審計人基本方法經(jīng)歷了繞過計算機審計、計算機審計人基本方法經(jīng)歷了繞過計算機審計、利用計算機審計、穿過計算機審計和聯(lián)網(wǎng)審計利用計算機審計、穿過計算機審計和聯(lián)網(wǎng)審計四個階段。四個階段。2021/3/914繞過計算機審計繞

10、過計算機審計n繞過計算機審計是指審計人員不審查計算機內(nèi)部程序繞過計算機審計是指審計人員不審查計算機內(nèi)部程序和數(shù)據(jù)文件，只審查輸入數(shù)據(jù)和打印輸出資料及管理和數(shù)據(jù)文件，只審查輸入數(shù)據(jù)和打印輸出資料及管理制度的方法，該方法又稱制度的方法，該方法又稱“黑盒黑盒”審計。審計。n主要應(yīng)用于主要應(yīng)用于20世紀(jì)世紀(jì)50年代中期至年代中期至60年代中期。會計年代中期。會計電算化還處于起步階段。電算化還處于起步階段。輸入數(shù)據(jù)輸入數(shù)據(jù)信息系統(tǒng)信息系統(tǒng)輸出數(shù)據(jù)輸出數(shù)據(jù)審計審計繞過繞過2021/3/915繞過計算機審計的優(yōu)缺點繞過計算機審計的優(yōu)缺點n優(yōu)點：優(yōu)點：q審計技術(shù)簡單，審計人員計算機水平要求不高。審計技術(shù)簡單，

11、審計人員計算機水平要求不高。q較少干擾被審系統(tǒng)的正常工作。較少干擾被審系統(tǒng)的正常工作。n缺點：缺點：q審計線索和審計證據(jù)不充分。審計線索和審計證據(jù)不充分。q審計風(fēng)險較高審計風(fēng)險較高n適用范圍適用范圍q適用于被審計業(yè)務(wù)簡單，處理過程較單一，輸入資料與輸出適用于被審計業(yè)務(wù)簡單，處理過程較單一，輸入資料與輸出資料比較密切且內(nèi)部控制制度健全。因此，該方法適用于內(nèi)資料比較密切且內(nèi)部控制制度健全。因此，該方法適用于內(nèi)部控制比較健全的、業(yè)務(wù)簡單的中小企業(yè)的審計。部控制比較健全的、業(yè)務(wù)簡單的中小企業(yè)的審計。2021/3/916利用計算機審計利用計算機審計n利用計算機審計又稱為計算機輔助審計，是指利用計算機審計

12、又稱為計算機輔助審計，是指利用計算機技術(shù)和審計軟件對會計信息系統(tǒng)所利用計算機技術(shù)和審計軟件對會計信息系統(tǒng)所進行的審計。進行的審計。n主要在主要在1965-1970這一階段，會計信息系統(tǒng)被這一階段，會計信息系統(tǒng)被廣泛應(yīng)用。利用計算機技術(shù)和審計軟件，可以廣泛應(yīng)用。利用計算機技術(shù)和審計軟件，可以幫助審計人員減輕負擔(dān)、加快審查速度、提高幫助審計人員減輕負擔(dān)、加快審查速度、提高審計效率。審計效率。2021/3/917n審計軟件一般分為兩種：審計軟件一般分為兩種：q一種是通用審計軟件，能夠獲取、計算、分析會計一種是通用審計軟件，能夠獲取、計算、分析會計信息系統(tǒng)中的數(shù)據(jù)，適用于多種審計工作。信息系統(tǒng)中的數(shù)據(jù)

13、，適用于多種審計工作。q另一種是專用審計軟件，是為了某個特定的系統(tǒng)或另一種是專用審計軟件，是為了某個特定的系統(tǒng)或?qū)徲嬳椖慷帉懙某绦颉徲嬳椖慷帉懙某绦颉?021/3/918利用計算機審計的過程利用計算機審計的過程原始數(shù)據(jù)原始數(shù)據(jù)信息系統(tǒng)信息系統(tǒng)輸出數(shù)據(jù)輸出數(shù)據(jù)計算機審計軟件計算機審計軟件繞過繞過審計審計2021/3/919利用計算機審計的優(yōu)缺點利用計算機審計的優(yōu)缺點n優(yōu)點：優(yōu)點：q審計結(jié)果較為可靠，擴大了審計范圍，數(shù)據(jù)收集更為齊全，審計結(jié)果較為可靠，擴大了審計范圍，數(shù)據(jù)收集更為齊全，抽樣審計向全面審計擴展，審計結(jié)論更加可靠；抽樣審計向全面審計擴展，審計結(jié)論更加可靠；q審計獨立性較強；審計獨

14、立性較強；q提高了審計效率。提高了審計效率。n缺點：缺點：q審計技術(shù)較復(fù)雜，要求審計人員掌握必備的計算機技術(shù)知識審計技術(shù)較復(fù)雜，要求審計人員掌握必備的計算機技術(shù)知識和審計軟件的操作；和審計軟件的操作；q審計成本較高，審計人員培養(yǎng)成本增加，須購置審計軟件。審計成本較高，審計人員培養(yǎng)成本增加，須購置審計軟件。2021/3/920n適用范圍：適用范圍：q適用于會計信息系統(tǒng)使用較為成熟，且業(yè)務(wù)處理較適用于會計信息系統(tǒng)使用較為成熟，且業(yè)務(wù)處理較為復(fù)雜的、內(nèi)部控制制度較為完善的大中型企業(yè)。為復(fù)雜的、內(nèi)部控制制度較為完善的大中型企業(yè)。2021/3/921穿過計算機審計穿過計算機審計n1970年以后，隨著會計

15、信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)一年以后，隨著會計信息系統(tǒng)和其它業(yè)務(wù)系統(tǒng)一體化集成的發(fā)展，大量的數(shù)據(jù)由其它系統(tǒng)自動產(chǎn)生，體化集成的發(fā)展，大量的數(shù)據(jù)由其它系統(tǒng)自動產(chǎn)生，業(yè)務(wù)處理日益復(fù)雜，原始數(shù)據(jù)的錄入大幅度減少，被業(yè)務(wù)處理日益復(fù)雜，原始數(shù)據(jù)的錄入大幅度減少，被審對象的邊界越發(fā)模糊。計算機審計進入到審對象的邊界越發(fā)模糊。計算機審計進入到“穿過計穿過計算機審計算機審計”發(fā)展階段。發(fā)展階段。2021/3/922財務(wù)財務(wù)-業(yè)務(wù)一體化系統(tǒng)：用友業(yè)務(wù)一體化系統(tǒng)：用友ERP-U8 2021/3/923n穿過計算機審計又稱穿過計算機審計又稱“白盒白盒”審計或直接審計，這種審計或直接審計，這種審計方式不僅要求審查被審計單位

16、的輸入與輸出數(shù)據(jù)，審計方式不僅要求審查被審計單位的輸入與輸出數(shù)據(jù)，還要審查被審計單位會計信息系統(tǒng)的系統(tǒng)程序、應(yīng)用還要審查被審計單位會計信息系統(tǒng)的系統(tǒng)程序、應(yīng)用程序、數(shù)據(jù)文件以及計算機硬件等系統(tǒng)，在對被審系程序、數(shù)據(jù)文件以及計算機硬件等系統(tǒng)，在對被審系統(tǒng)的可靠性評價的基礎(chǔ)上來確定審計結(jié)論。統(tǒng)的可靠性評價的基礎(chǔ)上來確定審計結(jié)論。輸入數(shù)據(jù)輸入數(shù)據(jù)信息系統(tǒng)信息系統(tǒng)輸出數(shù)據(jù)輸出數(shù)據(jù)審計審計穿過穿過2021/3/924穿過計算機審計的優(yōu)缺點穿過計算機審計的優(yōu)缺點n優(yōu)點：優(yōu)點：q審計風(fēng)險低，直接對會計信息系統(tǒng)的程序及數(shù)據(jù)進審計風(fēng)險低，直接對會計信息系統(tǒng)的程序及數(shù)據(jù)進行審查，對系統(tǒng)內(nèi)部控制可靠性進行科學(xué)評價。

17、行審查，對系統(tǒng)內(nèi)部控制可靠性進行科學(xué)評價。q增強了審計獨立性、可靠性，提高了審計質(zhì)量。增強了審計獨立性、可靠性，提高了審計質(zhì)量。n缺點：缺點：q審計技術(shù)復(fù)雜，要求對計算機技術(shù)、程序設(shè)計、數(shù)審計技術(shù)復(fù)雜，要求對計算機技術(shù)、程序設(shè)計、數(shù)據(jù)處理等知識非常熟悉；據(jù)處理等知識非常熟悉；q易干擾被審系統(tǒng)的正常工作，會占用被審系統(tǒng)較多易干擾被審系統(tǒng)的正常工作，會占用被審系統(tǒng)較多的正常工作時間。的正常工作時間。2021/3/925n適用范圍：適用范圍：q由于這一審計模式對審計人員素質(zhì)提出了更高的要由于這一審計模式對審計人員素質(zhì)提出了更高的要求，而且審計成本很高，因此這一審計模式適用于求，而且審計成本很高，因此

18、這一審計模式適用于大中型會計師事務(wù)所對業(yè)務(wù)處理復(fù)雜、系統(tǒng)集成度大中型會計師事務(wù)所對業(yè)務(wù)處理復(fù)雜、系統(tǒng)集成度較高的大中型企業(yè)的審計工作。較高的大中型企業(yè)的審計工作。2021/3/926聯(lián)網(wǎng)審計聯(lián)網(wǎng)審計n所謂聯(lián)網(wǎng)審計，就是在線實時審計，是指通過所謂聯(lián)網(wǎng)審計，就是在線實時審計，是指通過審計機關(guān)和被審計單位的網(wǎng)絡(luò)互聯(lián)，實時審查審計機關(guān)和被審計單位的網(wǎng)絡(luò)互聯(lián)，實時審查被審計單位會計信息系統(tǒng)的審計方式。被審計單位會計信息系統(tǒng)的審計方式。2021/3/927n1990年以來，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代年以來，隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展，現(xiàn)代信息技術(shù)為計算機審計的發(fā)展帶來前所未有的機遇。信息技術(shù)為計算機

19、審計的發(fā)展帶來前所未有的機遇。審計人員只要把自己的計算機連接到網(wǎng)上，并取得被審計人員只要把自己的計算機連接到網(wǎng)上，并取得被告審計單位的審查權(quán)限，就可以在任何地方、任何時告審計單位的審查權(quán)限，就可以在任何地方、任何時間通過網(wǎng)絡(luò)完成除實地監(jiān)盤和觀察外的大部分審計工間通過網(wǎng)絡(luò)完成除實地監(jiān)盤和觀察外的大部分審計工作。作。n審計項目負責(zé)人可在網(wǎng)上制訂審計計劃，給不同地點審計項目負責(zé)人可在網(wǎng)上制訂審計計劃，給不同地點的審計人員分配審計任務(wù)，并對審計人員監(jiān)督與指導(dǎo)，的審計人員分配審計任務(wù)，并對審計人員監(jiān)督與指導(dǎo)，隨時了解審計項目的進展情況，協(xié)調(diào)審計人員的工作，隨時了解審計項目的進展情況，協(xié)調(diào)審計人員的工作，

20、草擬和簽發(fā)審計報告。草擬和簽發(fā)審計報告。2021/3/928聯(lián)網(wǎng)審計的過程聯(lián)網(wǎng)審計的過程原始數(shù)據(jù)原始數(shù)據(jù)信息系統(tǒng)信息系統(tǒng)輸出數(shù)據(jù)輸出數(shù)據(jù)數(shù)據(jù)實時采集及轉(zhuǎn)換數(shù)據(jù)實時采集及轉(zhuǎn)換審計審計疑點信息和審計數(shù)據(jù)疑點信息和審計數(shù)據(jù)審計作業(yè)系統(tǒng)審計作業(yè)系統(tǒng)審計預(yù)警監(jiān)控系統(tǒng)審計預(yù)警監(jiān)控系統(tǒng)預(yù)警方案預(yù)警方案預(yù)警指標(biāo)預(yù)警指標(biāo)2021/3/929聯(lián)網(wǎng)審計的優(yōu)缺點聯(lián)網(wǎng)審計的優(yōu)缺點n優(yōu)點：優(yōu)點：q拓展了審計時空，加強了審計監(jiān)督職能?？梢詫崟r拓展了審計時空，加強了審計監(jiān)督職能?？梢詫崟r連續(xù)地抽取審計數(shù)據(jù)，進行實時遠程審計。變事后連續(xù)地抽取審計數(shù)據(jù)，進行實時遠程審計。變事后審計為事前、事中審計，變靜態(tài)審計為動態(tài)審計，審計為事

21、前、事中審計，變靜態(tài)審計為動態(tài)審計，提高了審計效率，加強了審計的監(jiān)督作用。提高了審計效率，加強了審計的監(jiān)督作用。n缺點：缺點：q網(wǎng)絡(luò)安全問題是聯(lián)網(wǎng)審計面臨的固有風(fēng)險以外的信網(wǎng)絡(luò)安全問題是聯(lián)網(wǎng)審計面臨的固有風(fēng)險以外的信息安全風(fēng)險。會計信息系統(tǒng)自身設(shè)計缺陷、黑客攻息安全風(fēng)險。會計信息系統(tǒng)自身設(shè)計缺陷、黑客攻擊、操作失誤、審計采集數(shù)據(jù)的管理等風(fēng)險問題在擊、操作失誤、審計采集數(shù)據(jù)的管理等風(fēng)險問題在聯(lián)網(wǎng)審計模式中需要重點關(guān)注。聯(lián)網(wǎng)審計模式中需要重點關(guān)注。2021/3/930n適用范圍：適用范圍：q在線實時審計模式適用于企事業(yè)單位的內(nèi)部審計和在線實時審計模式適用于企事業(yè)單位的內(nèi)部審計和動態(tài)審計。是未來審計

22、的發(fā)展方向。動態(tài)審計。是未來審計的發(fā)展方向。2021/3/931討論討論n我國現(xiàn)階段主要的審計方式是哪些？我國現(xiàn)階段主要的審計方式是哪些？n制約我國審計方式發(fā)展的主要原因有哪些？制約我國審計方式發(fā)展的主要原因有哪些？2021/3/932n聯(lián)網(wǎng)審計是聯(lián)網(wǎng)審計是金審二期規(guī)劃金審二期規(guī)劃中的重點建設(shè)項中的重點建設(shè)項目，根據(jù)該規(guī)劃，審計署將重點建設(shè)中央部門目，根據(jù)該規(guī)劃，審計署將重點建設(shè)中央部門預(yù)算執(zhí)行、海關(guān)、銀行、社保等四類聯(lián)網(wǎng)審計，預(yù)算執(zhí)行、海關(guān)、銀行、社保等四類聯(lián)網(wǎng)審計，并對中央財政組織預(yù)算執(zhí)行、國稅和大型企業(yè)并對中央財政組織預(yù)算執(zhí)行、國稅和大型企業(yè)等進行聯(lián)網(wǎng)審計試點。等進行聯(lián)網(wǎng)審計試點。n目前

23、已成功研制了目前已成功研制了中央部門預(yù)算執(zhí)行聯(lián)網(wǎng)審中央部門預(yù)算執(zhí)行聯(lián)網(wǎng)審計系統(tǒng)計系統(tǒng)，并從，并從2010年開始在中央各部門推年開始在中央各部門推廣使用。廣使用。n各地方政府也在逐步推廣各地方政府也在逐步推廣政府部門預(yù)算執(zhí)行政府部門預(yù)算執(zhí)行聯(lián)網(wǎng)審計系統(tǒng)聯(lián)網(wǎng)審計系統(tǒng)。2021/3/933計算機審計的步驟計算機審計的步驟n前期準(zhǔn)備前期準(zhǔn)備n內(nèi)部控制的初步審查內(nèi)部控制的初步審查n初步審查結(jié)果的評價初步審查結(jié)果的評價n內(nèi)部控制測試內(nèi)部控制測試n實質(zhì)性程序?qū)嵸|(zhì)性程序n全面評價和編制審計報告全面評價和編制審計報告2021/3/934審計軟件的分類審計軟件的分類 (1)審計作業(yè)軟件審計作業(yè)軟件 審計作業(yè)軟件是

24、審計工作的主要工具。審計作業(yè)軟件是審計工作的主要工具。 (2)審計管理軟件審計管理軟件 審計管理軟件是用來完成審計統(tǒng)計、審計管理軟件是用來完成審計統(tǒng)計、 審計計劃等方面功能的審計計劃等方面功能的審計軟件。審計軟件。(3)專用審計軟件專用審計軟件 如海關(guān)審計軟件、如海關(guān)審計軟件、 基建工程預(yù)決算審計軟件、基建工程預(yù)決算審計軟件、 銀行審計軟件、銀行審計軟件、 外資審計軟件等。外資審計軟件等。 (4)審計法規(guī)軟件審計法規(guī)軟件 法規(guī)軟件主要是為了幫助審計人員在海量的各種財經(jīng)法規(guī)中快法規(guī)軟件主要是為了幫助審計人員在海量的各種財經(jīng)法規(guī)中快速找出所需要的法規(guī)條目及內(nèi)容。速找出所需要的法規(guī)條目及內(nèi)容。 (5

25、)聯(lián)網(wǎng)審計軟件聯(lián)網(wǎng)審計軟件2021/3/935常見的審計軟件常見的審計軟件n審計之星審計之星q上海博科資訊有限責(zé)任公司在上海博科資訊有限責(zé)任公司在1997年發(fā)布。年發(fā)布。n審計數(shù)據(jù)采集分析系統(tǒng)審計數(shù)據(jù)采集分析系統(tǒng)q審計署駐南京辦事處開發(fā)審計署駐南京辦事處開發(fā) ,是一個用來采集和分析被審計單是一個用來采集和分析被審計單位電子數(shù)據(jù)的通用審計軟件。位電子數(shù)據(jù)的通用審計軟件。 n用友審易用友審易-審計作業(yè)系統(tǒng)（審計作業(yè)系統(tǒng)（V5.8）q用友開發(fā)的與用友開發(fā)的與U8配套的通用審計軟件，可以很好地將配套的通用審計軟件，可以很好地將U8中中的數(shù)據(jù)進行采集。的數(shù)據(jù)進行采集。n通審?fù)▽?000n中審審易中審審易

26、n中普審計軟件中普審計軟件2021/3/936信息系統(tǒng)審計信息系統(tǒng)審計n信息系統(tǒng)審計的定義信息系統(tǒng)審計的定義 q信息系統(tǒng)審計是一個過程，在此過程中信息系統(tǒng)審計是一個過程，在此過程中搜集和評估證據(jù)以確定以確定信息系統(tǒng)和相關(guān)資源信息系統(tǒng)和相關(guān)資源是否充分是否充分保護資產(chǎn)、資產(chǎn)、維持數(shù)據(jù)和系統(tǒng)維持數(shù)據(jù)和系統(tǒng)完整性、提供相關(guān)和、提供相關(guān)和可靠信息、信息、有效實現(xiàn)組織機構(gòu)目標(biāo)、有效地實現(xiàn)組織機構(gòu)目標(biāo)、有效地使用資源、包含有效資源、包含有效內(nèi)部控制以提供運營和控制目標(biāo)得到滿足的合理保內(nèi)部控制以提供運營和控制目標(biāo)得到滿足的合理保障。（國際障。（國際ISACA協(xié)會）協(xié)會）q又稱又稱IT審計。審計。2021/3

27、/937信息系統(tǒng)審計的三大目標(biāo)信息系統(tǒng)審計的三大目標(biāo)n從以上信息系統(tǒng)審計的定義，可知信息系統(tǒng)從以上信息系統(tǒng)審計的定義，可知信息系統(tǒng)審計項目依審計項目依目標(biāo)不同，有三大類：不同，有三大類： q信息系統(tǒng)安全審計（安全性）信息系統(tǒng)安全審計（安全性）q信息系統(tǒng)可靠性審計（可靠性）信息系統(tǒng)可靠性審計（可靠性）q信息系統(tǒng)績效審計（經(jīng)濟性）信息系統(tǒng)績效審計（經(jīng)濟性）2021/3/938信息系統(tǒng)審計的內(nèi)涵信息系統(tǒng)審計的內(nèi)涵 nIT審計是獨立的第三方審計是獨立的第三方IT審計師采用客觀的標(biāo)準(zhǔn)對審計師采用客觀的標(biāo)準(zhǔn)對信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護等相關(guān)活動和產(chǎn)信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護等相關(guān)活動和產(chǎn)物進行完整

28、地、有效地檢查和評估。物進行完整地、有效地檢查和評估。 q主體：第三方審計師主體：第三方審計師q遵循相關(guān)標(biāo)準(zhǔn)（遵循相關(guān)標(biāo)準(zhǔn)（COBIT、信息系統(tǒng)審計指南）、信息系統(tǒng)審計指南）q對信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護等一系列活動及產(chǎn)物對信息系統(tǒng)的規(guī)劃、開發(fā)、使用維護等一系列活動及產(chǎn)物進行檢查和評估。進行檢查和評估。2021/3/939n信息系統(tǒng)審計的要點：信息系統(tǒng)審計的要點：q信息系統(tǒng)審計的對象是計算機為核心的信息系統(tǒng)。信息系統(tǒng)審計的對象是計算機為核心的信息系統(tǒng)。q信息系統(tǒng)審計的目的是促使信息系統(tǒng)安全、可靠和信息系統(tǒng)審計的目的是促使信息系統(tǒng)安全、可靠和有效。有效。q信息系統(tǒng)審計是一個過程，需要審計師的

29、專業(yè)評價信息系統(tǒng)審計是一個過程，需要審計師的專業(yè)評價與判斷。與判斷。 2021/3/940管理政策管理政策組織結(jié)構(gòu)組織結(jié)構(gòu)服務(wù)器、工作站、打印機服務(wù)器、工作站、打印機網(wǎng)線網(wǎng)線交換機交換機/HUBWindows /UNIXOracle 數(shù)據(jù)庫數(shù)據(jù)庫信息系統(tǒng)邏輯結(jié)構(gòu)示意圖信息系統(tǒng)邏輯結(jié)構(gòu)示意圖財務(wù)報表財務(wù)報表銷售收入銷售收入 1000萬萬會計核算系統(tǒng)會計核算系統(tǒng)銷售業(yè)務(wù)系統(tǒng)銷售業(yè)務(wù)系統(tǒng)災(zāi)難恢復(fù)與災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃業(yè)務(wù)持續(xù)計劃信息資產(chǎn)保護信息資產(chǎn)保護人人2021/3/941n從構(gòu)成要素上來看，信息系統(tǒng)有以下組成部分：從構(gòu)成要素上來看，信息系統(tǒng)有以下組成部分：q硬件硬件q軟件軟件q網(wǎng)絡(luò)網(wǎng)絡(luò)q數(shù)據(jù)數(shù)

30、據(jù)q人人q管理制度管理制度2021/3/942信息系統(tǒng)審計的兩大主題內(nèi)容信息系統(tǒng)審計的兩大主題內(nèi)容 審計本質(zhì)是一種控制，從控制的角度來看審計本質(zhì)是一種控制，從控制的角度來看信息系統(tǒng)，通常區(qū)分為信息系統(tǒng)一般控制與應(yīng)信息系統(tǒng)，通常區(qū)分為信息系統(tǒng)一般控制與應(yīng)用控制。兩者的用控制。兩者的作用與范圍不同。不同。q信息系統(tǒng)一般控制審計（信息系統(tǒng)一般控制審計（GC）q信息系統(tǒng)應(yīng)用控制審計（信息系統(tǒng)應(yīng)用控制審計（AC）2021/3/943n一般控制（一般控制（GC）q確認應(yīng)用系統(tǒng)恰當(dāng)開發(fā)或?qū)嵤_保程序與數(shù)據(jù)文確認應(yīng)用系統(tǒng)恰當(dāng)開發(fā)或?qū)嵤?，確保程序與數(shù)據(jù)文件的完整性，確保信息系統(tǒng)良好運作。一般控制的件的完整性，

31、確保信息系統(tǒng)良好運作。一般控制的控制措施適用于所有應(yīng)用系統(tǒng)，是一種環(huán)境上的?？刂拼胧┻m用于所有應(yīng)用系統(tǒng)，是一種環(huán)境上的保證。證。n應(yīng)用控制（應(yīng)用控制（AC）q與具體的應(yīng)用系統(tǒng)有關(guān)，確保數(shù)據(jù)處理完整和正確。與具體的應(yīng)用系統(tǒng)有關(guān)，確保數(shù)據(jù)處理完整和正確。應(yīng)用控制的設(shè)計結(jié)合具體業(yè)務(wù)進行。應(yīng)用控制的設(shè)計結(jié)合具體業(yè)務(wù)進行。2021/3/944一般控制與應(yīng)用控制的關(guān)系一般控制與應(yīng)用控制的關(guān)系n應(yīng)用控制的有效性取決于一般控制的有效性應(yīng)用控制的有效性取決于一般控制的有效性n一般控制是應(yīng)用控制的基礎(chǔ)，當(dāng)一般控制薄弱時，應(yīng)用控制一般控制是應(yīng)用控制的基礎(chǔ)，當(dāng)一般控制薄弱時，應(yīng)用控制無法提供合理保障無法提供合理保障2

32、021/3/945一般控制審計的內(nèi)容一般控制審計的內(nèi)容源自：源自：CISA Manual（國際信息系統(tǒng)審計協(xié)會（國際信息系統(tǒng)審計協(xié)會ISACA）一般控制審計的五大內(nèi)容一般控制審計的五大內(nèi)容o評估評估IT治理結(jié)構(gòu)的效果，確保董事會對治理結(jié)構(gòu)的效果，確保董事會對IT決策、決策、IT方向和方向和IT性能的充分控制；性能的充分控制；o評估評估IT組織結(jié)構(gòu)和人力資源管理；組織結(jié)構(gòu)和人力資源管理；o評估評估IT戰(zhàn)略及其起草、批準(zhǔn)、實施和維護程序；戰(zhàn)略及其起草、批準(zhǔn)、實施和維護程序；o評估評估IT政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實施政策、標(biāo)準(zhǔn)和程序的制定、批準(zhǔn)、實施和維護流程；和維護流程；o評估評估IT資源的

33、投資、使用和配置實務(wù)；資源的投資、使用和配置實務(wù)；o評估評估IT外包戰(zhàn)略和政策，以及合同管理實務(wù)；外包戰(zhàn)略和政策，以及合同管理實務(wù)；o評估監(jiān)督和審計實務(wù)；評估監(jiān)督和審計實務(wù)；o保證董事和執(zhí)行層能及時、充分地獲得有關(guān)的保證董事和執(zhí)行層能及時、充分地獲得有關(guān)的IT績效信息績效信息IT治理治理開發(fā)或采購審計開發(fā)或采購審計運行與維護審計運行與維護審計安全審計安全審計災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃2021/3/946一般控制審計的內(nèi)容一般控制審計的內(nèi)容源自：源自：CISA Manual（國際信息系統(tǒng)審計協(xié)會（國際信息系統(tǒng)審計協(xié)會ISACA）IT治理治理開發(fā)或采購審計開發(fā)或采購審計運行與

34、維護審計運行與維護審計安全審計安全審計災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃信息系統(tǒng)審計的五大內(nèi)容信息系統(tǒng)審計的五大內(nèi)容o評估擬定的系統(tǒng)開發(fā)或采購，確保其符合評估擬定的系統(tǒng)開發(fā)或采購，確保其符合組織發(fā)展目標(biāo)；組織發(fā)展目標(biāo)；o評估項目管理框架和項目治理實務(wù)，確保評估項目管理框架和項目治理實務(wù)，確保組織在風(fēng)險管理基礎(chǔ)上，以成本組織在風(fēng)險管理基礎(chǔ)上，以成本效益原效益原則達成組織的業(yè)務(wù)目標(biāo)；則達成組織的業(yè)務(wù)目標(biāo)；o確保項目按項目計劃進行，并有相應(yīng)文檔確保項目按項目計劃進行，并有相應(yīng)文檔充分支持；充分支持；o評估組織相關(guān)系統(tǒng)的控制機制，確保其符評估組織相關(guān)系統(tǒng)的控制機制，確保其符合組織的政策；

35、合組織的政策；o評估系統(tǒng)的開發(fā)、采購和測試流程，確保評估系統(tǒng)的開發(fā)、采購和測試流程，確保其交付符合目標(biāo)；其交付符合目標(biāo)；o對系統(tǒng)實施定期檢查，確保其持續(xù)滿足組對系統(tǒng)實施定期檢查，確保其持續(xù)滿足組織目標(biāo)，并受到有效的內(nèi)部控制；織目標(biāo)，并受到有效的內(nèi)部控制；2021/3/947一般控制審計的內(nèi)容一般控制審計的內(nèi)容源自：源自：CISA Manual（國際信息系統(tǒng)審計協(xié)會（國際信息系統(tǒng)審計協(xié)會ISACA）信息系統(tǒng)審計的五大內(nèi)容信息系統(tǒng)審計的五大內(nèi)容o評估服務(wù)管理實務(wù)，確保內(nèi)部和外部服務(wù)提供評估服務(wù)管理實務(wù)，確保內(nèi)部和外部服務(wù)提供商的服務(wù)等級是明確定義并受管理的；商的服務(wù)等級是明確定義并受管理的；o評估

36、運營管理，保證評估運營管理，保證IT支持職能有效滿足了業(yè)支持職能有效滿足了業(yè)務(wù)要求；務(wù)要求；o評估數(shù)據(jù)管理實務(wù)，確保數(shù)據(jù)庫的完整性和最評估數(shù)據(jù)管理實務(wù)，確保數(shù)據(jù)庫的完整性和最優(yōu)化；優(yōu)化；o評估能力的使用和性能監(jiān)控工具與技術(shù)；評估能力的使用和性能監(jiān)控工具與技術(shù)；o評估變更、配置和發(fā)布管理實務(wù)，確保被詳細評估變更、配置和發(fā)布管理實務(wù)，確保被詳細記錄；記錄；o評估問題和事件管理實務(wù)，確保所有事件、問評估問題和事件管理實務(wù)，確保所有事件、問題和錯誤都被及時記錄，分析和解決題和錯誤都被及時記錄，分析和解決 o評估評估IT基礎(chǔ)構(gòu)架（網(wǎng)絡(luò)，軟硬件）功能，確保基礎(chǔ)構(gòu)架（網(wǎng)絡(luò)，軟硬件）功能，確保其對組織目標(biāo)的支

37、持其對組織目標(biāo)的支持IT治理治理開發(fā)或采購審計開發(fā)或采購審計運行與維護審計運行與維護審計安全審計安全審計災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃2021/3/948一般控制審計的內(nèi)容一般控制審計的內(nèi)容源自：源自：CISA Manual（國際信息系統(tǒng)審計協(xié)會（國際信息系統(tǒng)審計協(xié)會ISACA）信息系統(tǒng)審計的五大內(nèi)容信息系統(tǒng)審計的五大內(nèi)容o評估邏輯訪問控制的設(shè)計、實施和監(jiān)控，確評估邏輯訪問控制的設(shè)計、實施和監(jiān)控，確保信息資產(chǎn)的機密性、完整性、有效性和經(jīng)保信息資產(chǎn)的機密性、完整性、有效性和經(jīng)授權(quán)使用；授權(quán)使用；o評估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩?；評估網(wǎng)絡(luò)框架和信息傳輸?shù)陌踩籵評估環(huán)境控制的設(shè)計、

38、實施和監(jiān)控，確保信評估環(huán)境控制的設(shè)計、實施和監(jiān)控，確保信息資產(chǎn)充分安全；息資產(chǎn)充分安全；o評估保密信息資產(chǎn)的采集、存儲、使用、傳評估保密信息資產(chǎn)的采集、存儲、使用、傳輸和處置程序的流程。輸和處置程序的流程。IT治理治理開發(fā)或采購審計開發(fā)或采購審計運行與維護審計運行與維護審計安全審計安全審計災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃2021/3/949一般控制審計的內(nèi)容一般控制審計的內(nèi)容源自：源自：CISA Manual（國際信息系統(tǒng)審計協(xié)會（國際信息系統(tǒng)審計協(xié)會ISACA）信息系統(tǒng)審計的五大內(nèi)容信息系統(tǒng)審計的五大內(nèi)容o評估備份和恢復(fù)準(zhǔn)備的充分性，確保恢復(fù)運營所評估備份和恢復(fù)準(zhǔn)備的充分性，

39、確?；謴?fù)運營所需信息的有效性和可用性；需信息的有效性和可用性；o評估組織的災(zāi)難恢復(fù)計劃，確保一旦發(fā)生災(zāi)難，評估組織的災(zāi)難恢復(fù)計劃，確保一旦發(fā)生災(zāi)難，IT處理能力可以及時恢復(fù)；處理能力可以及時恢復(fù)；o評估組織的業(yè)務(wù)連續(xù)性計劃，確保評估組織的業(yè)務(wù)連續(xù)性計劃，確保IT服務(wù)中斷期服務(wù)中斷期間，基本業(yè)務(wù)運營不間斷的能力。間，基本業(yè)務(wù)運營不間斷的能力。 IT治理治理開發(fā)或采購審計開發(fā)或采購審計運行與維護審計運行與維護審計安全審計安全審計災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃2021/3/950應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容接口審計接口審計參數(shù)控制參數(shù)控制2021/3/951應(yīng)用控制審計的內(nèi)

40、容應(yīng)用控制審計的內(nèi)容用戶權(quán)限管理的基本原則：用戶權(quán)限管理的基本原則： 職責(zé)分離原則。對于同一組不相容權(quán)限，任何用戶不職責(zé)分離原則。對于同一組不相容權(quán)限，任何用戶不能同時具有兩種（或兩種以上）的權(quán)限。能同時具有兩種（或兩種以上）的權(quán)限。 未明確允許即禁止原則：除非用戶有對于權(quán)限的需求未明確允許即禁止原則：除非用戶有對于權(quán)限的需求得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn)，否則不應(yīng)當(dāng)授予用戶任得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn)，否則不應(yīng)當(dāng)授予用戶任何權(quán)限。何權(quán)限。 需求導(dǎo)向及最小授權(quán)原則：對于用戶的權(quán)限，應(yīng)當(dāng)以需求導(dǎo)向及最小授權(quán)原則：對于用戶的權(quán)限，應(yīng)當(dāng)以其實際工作需要為依據(jù)，且僅應(yīng)當(dāng)授予能夠完成其工其實際工作需要為依據(jù)，且

41、僅應(yīng)當(dāng)授予能夠完成其工作任務(wù)的最小權(quán)限。作任務(wù)的最小權(quán)限。2021/3/952信息中心的職責(zé)分離矩陣信息中心的職責(zé)分離矩陣2021/3/953人力資源系統(tǒng)職責(zé)分離矩陣人力資源系統(tǒng)職責(zé)分離矩陣人力資源系統(tǒng)職責(zé)分離矩陣人力資源系統(tǒng)職責(zé)分離矩陣123456序號序號業(yè)務(wù)活動業(yè)務(wù)活動配置工資基配置工資基本設(shè)置本設(shè)置人事工資主人事工資主數(shù)據(jù)維護數(shù)據(jù)維護考勤考勤記錄記錄考勤審考勤審核核工資計算工資計算及發(fā)放計算及發(fā)放計算工資獎金工資獎金發(fā)放審批發(fā)放審批1配置工資基本設(shè)置配置工資基本設(shè)置XXXXX2人事工資主數(shù)據(jù)維護人事工資主數(shù)據(jù)維護XXX3考勤記錄考勤記錄XXX4考勤審核考勤審核XXXX5工資計算及發(fā)放計算

42、工資計算及發(fā)放計算XXX6工資獎金發(fā)放審批工資獎金發(fā)放審批XXXX2021/3/954應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容n輸入控制輸入控制2021/3/955應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容n處理控制處理控制2021/3/956應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容n輸出控制輸出控制2021/3/957應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容2021/3/958應(yīng)用控制審計的內(nèi)容應(yīng)用控制審計的內(nèi)容n參數(shù)控制審計參數(shù)控制審計q參數(shù)設(shè)置的正確性（合法性）參數(shù)設(shè)置的正確性（合法性）q參數(shù)調(diào)整的審批流程與權(quán)限參數(shù)調(diào)整的審批流程與權(quán)限q參數(shù)調(diào)整的軌跡參數(shù)調(diào)整的軌跡2021/3/959應(yīng)用控制審計的內(nèi)容應(yīng)

43、用控制審計的內(nèi)容n接口審計接口審計q自動接口自動接口q手動接口環(huán)節(jié)手動接口環(huán)節(jié)2021/3/960應(yīng)用控制審計的流程應(yīng)用控制審計的流程2021/3/961IT治理治理nIT治理是董事會和最高管理層的職責(zé)，是企業(yè)治理是董事會和最高管理層的職責(zé)，是企業(yè)治理的重要組成部分。治理的重要組成部分。IT治理由領(lǐng)導(dǎo)、組織結(jié)治理由領(lǐng)導(dǎo)、組織結(jié)構(gòu)以及相關(guān)流程組成，這些流程能保證組織的構(gòu)以及相關(guān)流程組成，這些流程能保證組織的IT有效支持及促進組織戰(zhàn)略目標(biāo)的實現(xiàn)。有效支持及促進組織戰(zhàn)略目標(biāo)的實現(xiàn)。2021/3/962IT治理的使命治理的使命n保持保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展

44、，促使收益最大化，合理利用收益最大化，合理利用IT資源，適當(dāng)管理與資源，適當(dāng)管理與IT相關(guān)的風(fēng)險。相關(guān)的風(fēng)險。 2021/3/963IT治理的目標(biāo)治理的目標(biāo)IT治理應(yīng)著眼于以下目標(biāo)：治理應(yīng)著眼于以下目標(biāo)：1、與業(yè)務(wù)目標(biāo)一致、與業(yè)務(wù)目標(biāo)一致 原則：服從于企業(yè)戰(zhàn)略，不能背離原則：服從于企業(yè)戰(zhàn)略，不能背離2、有效利用信息資源、有效利用信息資源 IT治理的使命：通過及時、有效的治理的使命：通過及時、有效的IT治理，促進信息的價值轉(zhuǎn)化治理，促進信息的價值轉(zhuǎn)化3、風(fēng)險管理、風(fēng)險管理 通過通過IT治理：構(gòu)建風(fēng)險管理制度及風(fēng)險應(yīng)對決策；治理：構(gòu)建風(fēng)險管理制度及風(fēng)險應(yīng)對決策； 使風(fēng)險透明化；使風(fēng)險透明化； 有效

45、的風(fēng)險投資、管理和控制；有效的風(fēng)險投資、管理和控制； 風(fēng)險的防范措施。風(fēng)險的防范措施。 實現(xiàn)：平衡信息技術(shù)與過程的風(fēng)險，確保組織目標(biāo)的實現(xiàn)。實現(xiàn)：平衡信息技術(shù)與過程的風(fēng)險，確保組織目標(biāo)的實現(xiàn)。2021/3/964IT治理的關(guān)鍵問題治理的關(guān)鍵問題IT治理的關(guān)鍵問題表現(xiàn)在：治理的關(guān)鍵問題表現(xiàn)在：1、IT投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)、策略和運營層面相融合，從投資是否與企業(yè)經(jīng)營在戰(zhàn)略目標(biāo)、策略和運營層面相融合，從而構(gòu)筑必要的核心競爭力；而構(gòu)筑必要的核心競爭力；2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用；治理是否有助于合理的制度安排真正發(fā)揮其作用；3、在長期的、在長期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造

46、商業(yè)價值；應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價值；4、是否有有效的風(fēng)險管理機制。、是否有有效的風(fēng)險管理機制。 n其中最關(guān)鍵的問題是第一點：其中最關(guān)鍵的問題是第一點：IT治理應(yīng)體現(xiàn)以治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為組織戰(zhàn)略目標(biāo)為中心中心”思想。思想。2021/3/965IT治理框架治理框架構(gòu)建構(gòu)建IT治理框架包含三個方面治理框架包含三個方面:n組織機構(gòu)組織機構(gòu)n流程流程n溝通機制溝通機制2021/3/9661、組織結(jié)構(gòu)、組織結(jié)構(gòu)（1）IT治理最高管理層（董事會）。治理最高管理層（董事會）。n IT戰(zhàn)略的總體制定與決策者，負責(zé)指引信息化的方向與戰(zhàn)略制定戰(zhàn)略的總體制定與決策者，負責(zé)指引信息化的方向與戰(zhàn)略制定 ，

47、平衡支持企業(yè)和使企業(yè)成長的投資。平衡支持企業(yè)和使企業(yè)成長的投資。（2）IT治理委員會。治理委員會。n向董事會負責(zé)，解決設(shè)計標(biāo)準(zhǔn)的問題，負責(zé)確立向董事會負責(zé)，解決設(shè)計標(biāo)準(zhǔn)的問題，負責(zé)確立IT戰(zhàn)略方向，決戰(zhàn)略方向，決定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項目并監(jiān)督結(jié)果。定和建立資金杠桿，批準(zhǔn)所有主要的發(fā)展項目并監(jiān)督結(jié)果。 IT治理委員會責(zé)任：治理委員會責(zé)任：q政策制定；政策制定；q控制控制(預(yù)算通過，項目權(quán)限，績效評價預(yù)算通過，項目權(quán)限，績效評價)；q績效度量和報告?？冃Ф攘亢蛨蟾妗?2021/3/967（3）CIO（首席信息官）（首席信息官）nCIO崗位的職責(zé)崗位的職責(zé): 發(fā)起制定、組織完成企業(yè)發(fā)

48、起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃; 開發(fā)企業(yè)開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā); 保障保障IT基礎(chǔ)設(shè)施和體系架構(gòu)基礎(chǔ)設(shè)施和體系架構(gòu)的運行及投資的運行及投資; 決定決定IT服務(wù)和技能服務(wù)；建立關(guān)鍵的服務(wù)和技能服務(wù)；建立關(guān)鍵的IT供應(yīng)商和咨供應(yīng)商和咨詢顧問間的戰(zhàn)略伙伴關(guān)系；提供技術(shù)支持使企業(yè)增加收入和盈利詢顧問間的戰(zhàn)略伙伴關(guān)系；提供技術(shù)支持使企業(yè)增加收入和盈利能力能力; 維護客戶滿意度；向用戶提供培訓(xùn)。維護客戶滿意度；向用戶提供培訓(xùn)。（4）管理者）管理者（5）信息技術(shù)人員。）信息技術(shù)人員。（6）外部和內(nèi)部審計人員。）外部和內(nèi)部審計人員。2021/3/968

49、2、流程、流程nIT投資決策是如何作出的？在決策流程中，投投資決策是如何作出的？在決策流程中，投資建議、投資評估、批準(zhǔn)投資和區(qū)分優(yōu)先級是資建議、投資評估、批準(zhǔn)投資和區(qū)分優(yōu)先級是如何進行的？如何進行的？2021/3/9693、溝通、溝通n這些決策和流程的結(jié)果效能如果度量，如何監(jiān)這些決策和流程的結(jié)果效能如果度量，如何監(jiān)控風(fēng)險？又如何得到溝通？在相關(guān)利益者之間控風(fēng)險？又如何得到溝通？在相關(guān)利益者之間投資決策采用何種機制加以溝通？投資決策采用何種機制加以溝通？2021/3/970IT治理標(biāo)準(zhǔn)治理標(biāo)準(zhǔn)1、COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），（信息及相關(guān)技術(shù)的控制目標(biāo)）， ；2、IT基礎(chǔ)架構(gòu)庫基礎(chǔ)架構(gòu)

50、庫ITIL（Information Technology Infrastructure Library） ；3、ISO/IEC17799:2000（信息安全管理實務(wù)準(zhǔn)則）（信息安全管理實務(wù)準(zhǔn)則）4、COSO綜合性框架；綜合性框架；2021/3/971搞好搞好IT治理必須解決的問題治理必須解決的問題1、IT關(guān)鍵領(lǐng)域誰做決策和如何決策。關(guān)鍵領(lǐng)域誰做決策和如何決策。 5個個IT關(guān)鍵領(lǐng)域：關(guān)鍵領(lǐng)域： A、信息技術(shù)原則；、信息技術(shù)原則； B、信息技術(shù)結(jié)構(gòu)；、信息技術(shù)結(jié)構(gòu)； C、信息技術(shù)基礎(chǔ)設(shè)施；、信息技術(shù)基礎(chǔ)設(shè)施； D、企業(yè)應(yīng)用需要；、企業(yè)應(yīng)用需要； E、信息技術(shù)投資及優(yōu)先順序。、信息技術(shù)投資及優(yōu)先順序

51、。2、信息化中的責(zé)、權(quán)、利問題；、信息化中的責(zé)、權(quán)、利問題；3、信息化建設(shè)中的風(fēng)險評估和績效評價問題；、信息化建設(shè)中的風(fēng)險評估和績效評價問題；4、信息系統(tǒng)控制與信息技術(shù)管理體系問題。、信息系統(tǒng)控制與信息技術(shù)管理體系問題。2021/3/972COBIT COBIT：Control Objectives for Information and related Technology ，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國信息系統(tǒng)審，即信息和相關(guān)技術(shù)的控制目標(biāo)。是由美國信息系統(tǒng)審計與控制學(xué)會計與控制學(xué)會ISACA提出的提出的IT治理控制框架，它是目前國際上通用的治理控制框架，它是目前國際上通用的信息系

52、統(tǒng)審計的標(biāo)準(zhǔn)，是一個在國際上公認的、權(quán)威的安全與信息技信息系統(tǒng)審計的標(biāo)準(zhǔn)，是一個在國際上公認的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。術(shù)管理和控制的標(biāo)準(zhǔn)。 該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運用，指該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。2021/3/973COBIT的發(fā)展歷程的發(fā)展歷程1、1996年，年，COBIT1.02、1998年，年， COBIT2.03、2000年，年， COBIT3.04、2005年，年， COBIT4.05、2007年，年， COBIT4.16、2012年，年， COBIT5.0 逐步由最初單一的審計師的內(nèi)控評價工具發(fā)展到目前逐步由最初單一的審計師的內(nèi)控評價工具發(fā)展到目前系統(tǒng)的系統(tǒng)的IT治理