IT審計(jì)及COBIT體系ppt課件.ppt

1、IT審計(jì)及COBIT模型,2013/12/28,1,內(nèi)容安排,1.IT審計(jì)介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,2,信息系統(tǒng)審計(jì)(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計(jì)對(duì)象，通過(guò)現(xiàn)代的審計(jì)理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對(duì)其是否能夠有效可靠的達(dá)到組織的戰(zhàn)略目標(biāo)進(jìn)行全面的監(jiān)測(cè)和評(píng)估，并為改善和健全組織對(duì)信息系統(tǒng)的控制提出詳細(xì)的建議。 IT審計(jì)對(duì)象是信息系統(tǒng)，審計(jì)內(nèi)容是計(jì)算機(jī)資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開(kāi)發(fā)、系統(tǒng)維護(hù)、操作、安全等審計(jì),3,IT審計(jì)介紹,Asset

2、Security（資產(chǎn)安全性） Effectivity（系統(tǒng)有效性） Efficiency（系統(tǒng)效率性） Data Integrity（數(shù)據(jù)完整性）,4,IT審計(jì)目標(biāo),信息系統(tǒng)調(diào)查 信息系統(tǒng)內(nèi)部控制測(cè)試 信息系統(tǒng)初步評(píng)價(jià) 信息系統(tǒng)實(shí)質(zhì)性測(cè)試 信息系統(tǒng)綜合評(píng)價(jià),5,IT審計(jì)流程,6,計(jì)算機(jī)信息系統(tǒng)審計(jì)流程,信息系統(tǒng)調(diào)查是對(duì)被審計(jì)單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計(jì)、管理水平等進(jìn)行全面、深入地了解，是進(jìn)行信息系統(tǒng)審計(jì)的基礎(chǔ)。 了解管理體制，從總體上把握被審計(jì)單位信息系統(tǒng)管理的基本情況。 了解總體架構(gòu)，完成對(duì)被審計(jì)單位有什么類(lèi)型的信息系統(tǒng)，每個(gè)系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門(mén)，信息系統(tǒng)

3、之間有什么關(guān)系的調(diào)查。 了解規(guī)劃管理，對(duì)信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。,7,信息系統(tǒng)調(diào)查,IT內(nèi)部控制的類(lèi)型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為 一般控制 應(yīng)用控制,8,IT內(nèi)部控制,是指對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)及環(huán)境要素實(shí)施的，對(duì)系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類(lèi)控制： 組織控制：為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等 系統(tǒng)開(kāi)發(fā)與維護(hù)控制：包括需求定義、開(kāi)發(fā)規(guī)劃、系統(tǒng)設(shè)計(jì)、編程實(shí)現(xiàn)、測(cè)試、運(yùn)行維護(hù)、文檔管理等控制,DIB 中國(guó)領(lǐng)先內(nèi)部控制和風(fēng)險(xiǎn)管理解決方案提供商,9,一般控制,安全控制：保持良好的運(yùn)行環(huán)境，包

4、括訪問(wèn)接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制 硬件及系統(tǒng)軟件控制 （1）硬件控制 （2）軟件控制 5、操作控制 信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機(jī) 守則與操作規(guī)程、上級(jí)日志記錄、保密制度和操作工作計(jì) 劃等。,10,一般控制,應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。 分成三類(lèi)控制 輸入控制：保證只有經(jīng)過(guò)授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計(jì)算機(jī)信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒(méi)有丟失、遺漏和篡改；保證被計(jì)算機(jī)拒絕的錯(cuò)誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制,11,應(yīng)用控制,處理控制：對(duì)信息系統(tǒng)進(jìn)行的內(nèi)部數(shù)據(jù)處理活動(dòng)的控制措施，這些

5、控制措施往往被寫(xiě)入計(jì)算機(jī)程序，包括數(shù)據(jù)有效性檢測(cè)、錯(cuò)誤糾正控制。 輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯(cuò)誤處理、輸出報(bào)告管理、報(bào)告接收確認(rèn),12,應(yīng)用控制,內(nèi)容安排,1.IT審計(jì)介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,13,14,IT治理提出的背景,公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價(jià)值的企業(yè)道德行為 公司治理包括組織中管理層、董事會(huì)、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實(shí)現(xiàn)目標(biāo)和監(jiān)督績(jī)效的方式提供了框架。,15,IT治理,16,IT治理,IT治理是一個(gè)綜合術(shù)語(yǔ)，它

6、包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會(huì)，高級(jí)管理層，流程所有人，IT供應(yīng)商，用戶和審計(jì)師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。 IT治理是組織中的一種制度安排，目的是為了提高IT績(jī)效、降低IT風(fēng)險(xiǎn)，有效地利用資源。 IT治理采用最佳實(shí)踐來(lái)確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價(jià)值交付，確保資源得到合理使用，風(fēng)險(xiǎn)得到適當(dāng)管理、績(jī)效得到測(cè)評(píng)。,17,IT治理,IT治理在根本上關(guān)注以下兩方面的問(wèn)題： IT向業(yè)務(wù)交付價(jià)值 ：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動(dòng) IT風(fēng)險(xiǎn)得到管理：通過(guò)向企業(yè)分配責(zé)任來(lái)驅(qū)動(dòng),18,IT治理,19,IT治理領(lǐng)域,內(nèi)容安排,1.IT審計(jì)介紹,2.IT

7、治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,20,Control Objectives for Information and related Technology COBIT是一個(gè)在國(guó)際上得到公認(rèn)的、先進(jìn)的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，它可以輔助管理層進(jìn)行IT 治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。 面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計(jì)師而設(shè)計(jì)，而且更重要的是它可以作為管理者及業(yè)務(wù)過(guò)程的所有者的綜合指南。 COBIT真正關(guān)注的問(wèn)題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管

8、理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點(diǎn),21,COBIT是什么？,COBIT第一版由信息系統(tǒng)審計(jì)與控制基金會(huì)（ISACF）于1996年發(fā)布。 COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細(xì)控制目標(biāo)，增加了實(shí)施工具集（Implementation Tool Set） 信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）及其相關(guān)的基金會(huì)在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴(kuò)展和加強(qiáng)了對(duì)IT治理的關(guān)注； COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ITGI于2

9、005年底發(fā)布了COBIT第四版，這一版對(duì)IT某些過(guò)程進(jìn)行了調(diào)整，強(qiáng)調(diào)了IT控制與IT治理五個(gè)領(lǐng)域的對(duì)應(yīng)關(guān)系。,22,COBIT 發(fā)展歷程,早期第1、2版以控制目標(biāo)和審計(jì)指南為主。 2000年推出第3版，重點(diǎn)突出了“管理指南”。 2006年推出第4版，精簡(jiǎn)了控制目標(biāo)，并完善了管理指南 2007年推出第4.1版，將審計(jì)指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。,23,COBIT 發(fā)展歷程,COBIT中定義的IT資源如下。 (1)數(shù)據(jù)：是最廣泛意義上的對(duì)象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、 圖形、聲音等。 (2)應(yīng)用系統(tǒng)：手工的以及計(jì)算機(jī)程序的總和。 (3)技術(shù)

10、：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 (4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。 (5)人員：包括員工技能、意識(shí)，以及計(jì)劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。,24,IT資源,COBIT定義了7方面的信息標(biāo)準(zhǔn)： 效果性（Effectiveness） ：信息系統(tǒng)提供對(duì)業(yè)務(wù)處理來(lái)說(shuō)“有效” 的信息 效率性（Efficiency） ：“有效率” 地使用資源，提供信息 保密性（Confidentiality） ： 保護(hù)敏感信息，避免泄漏信息 一致性（Integrity） ：保證信息的“真實(shí)可信” ，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價(jià)值和業(yè)務(wù)需要的角度來(lái)說(shuō)是正確有效的

11、 可用性（Availablity）：當(dāng)業(yè)務(wù)需要時(shí)，信息可隨時(shí)獲得 可靠性（Reliability）：為管理層維持組織運(yùn)轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔?合規(guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對(duì)業(yè)務(wù)過(guò)程的規(guī)定,25,IT準(zhǔn)則,活動(dòng)：企業(yè)的信息系統(tǒng)是由一個(gè)個(gè)功能組成的，它們對(duì)應(yīng)于企業(yè)經(jīng)營(yíng)領(lǐng)域的一個(gè)個(gè)活動(dòng)。 過(guò)程：這些活動(dòng)可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過(guò)程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險(xiǎn)評(píng)估，等等。 域：過(guò)程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對(duì)應(yīng)。,26,活動(dòng)、過(guò)程、域,27,活動(dòng)、過(guò)程、域,內(nèi)容安排,1.IT

12、審計(jì)介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,28,29,COBIT框架模型,30,CoBit框架模型,Cobit可細(xì)化為34項(xiàng)高層控制目標(biāo)，318個(gè)細(xì)化控制目標(biāo) 。每個(gè)目標(biāo)都針對(duì)特定的IT過(guò)程；這些高層控制目標(biāo)又可組合為策劃與組織、采購(gòu)與實(shí)施、交付與支持、監(jiān)控四大領(lǐng)域。,31,COBIT體系結(jié)構(gòu),32,COBIT產(chǎn)品簇,控制目標(biāo)（Control Objectives） 在34個(gè)高層控制目標(biāo)的基礎(chǔ)上，為每個(gè)IT過(guò)程定義了更為詳細(xì)的控制目標(biāo)（detail objectives，共計(jì)318個(gè)），用以指導(dǎo)IT控制工作、保證該過(guò)程的成功實(shí)施。,33,COBIT體系

13、結(jié)構(gòu),審計(jì)指南（Audit Guideline） 針對(duì)每個(gè)IT過(guò)程分別提出了審計(jì)方法，通過(guò)對(duì)照審查相應(yīng)的控制目標(biāo)實(shí)現(xiàn)對(duì)IT過(guò)程的評(píng)價(jià)和建議。 內(nèi)容： 如何了解該過(guò)程相關(guān)內(nèi)控，包括應(yīng)面詢的對(duì)象、問(wèn)題、應(yīng)查閱的文檔 如何評(píng)價(jià)該過(guò)程的控制，包括具體要核查的項(xiàng)目 該過(guò)程中常規(guī)的符合性測(cè)試項(xiàng)目 該過(guò)程中常規(guī)的實(shí)質(zhì)性測(cè)試項(xiàng)目,34,COBIT體系結(jié)構(gòu),管理指南（Management Guideline） 針對(duì)每個(gè)IT過(guò)程均為管理者詳細(xì)定義了下列分析工具： 關(guān)鍵成功因素（CSF）：管理者“應(yīng)該作什么？”，即在每一個(gè)過(guò)程中最重要的因素或控制活動(dòng)，可以作為IT投資的指導(dǎo)之一。 關(guān)鍵目標(biāo)指標(biāo)（KGI）：IT過(guò)程“執(zhí)行后的結(jié)果應(yīng)該作到怎樣”。若想實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，該過(guò)程執(zhí)行后必須達(dá)到哪些指標(biāo)。 關(guān)鍵執(zhí)行指標(biāo)或關(guān)鍵性能指標(biāo)（KPI）：怎樣判斷正在執(zhí)行的IT過(guò)程當(dāng)前的狀態(tài)是否良好、是否需要調(diào)整。 成熟度模型（CMM）：為每一個(gè)過(guò)程定義了六種成熟度級(jí)別，使管理者可以評(píng)價(jià)本組織在該過(guò)程控制上所處的級(jí)別，然后通過(guò)與同行業(yè)標(biāo)竿企業(yè)相比較，判斷自身所處的先進(jìn)程度、競(jìng)爭(zhēng)優(yōu)勢(shì)和改進(jìn)方向。,35,COBIT體系結(jié)構(gòu),36,COBIT各組件之間的關(guān)系,37,集大成者,38,COBIT