信息系统审计与IT治理幻灯片

组长 从嘉琪 PPT制作 组员 张琳琳 胡红燕 IT治理 ISA基本内容 刘唯一 徐逸柠 王毓秀 COBIT案例 何诗雯 两者关系 信息系统审计IT治理 1 IT治理 2 2020 4 24 定义 企业IT治理 GEIT 指的是一个所有利益相关者 包括董事会 高级管理层 内部客户以及财务等部门 均可参与决策过程的体系 GEIT是董事会和执行管理部门的职责 国际信息系统审计与控制协会的定义 IT治理是一个由关系和过程所构成的体制 用于指导和控制企业 通过平衡信息技术与过程的风险 增加价值来确保实现企业的目标 3 2020 4 24 内涵 IT治理必须与企业战略目标一致IT治理以明确的期望值和衡量手段 确保IT按照目标交付适用的功能和期望的收益 IT治理和其他治理主体一样 是管理执行经理和利益相关者的责任IT治理不是孤立的规范和活动 而是公司治理的有机组成部分IT治理在组织内多个层面进行 4 2020 4 24 IT治理目标 价值创造 GEIT的目的是引导IT活动以确保IT执行情况足以实现IT与企业目标保持一致并实现所承诺效益等目标 GEIT涉及两个问题 一是 IT应该为业务带来价值 二是 需要对IT风险进行管理 5 2020 4 24 COBIT5治理和管理关键领域 COBIT5由ISACA开发 通过提供一个框架来确保IT与业务保持一致 IT使业务正常运转并使企业获得最大利益 以及负责任地使用IT资源和适当地管理IT风险 从而支持GEIT 6 2020 4 24 信息系统审计 7 2020 4 24 发展历程 萌芽阶段1940年代 第一台计算机诞生1950年代 计算机化的会计系统出现 绕过计算机审计 1960年代 计算机与相关的应用软件开始普及 产生了 EDP 电子数据处理 审计 发展1970年代 美国权益融资公司 的审计中 审计人员首次采用 通过计算机审计 的审计方法1977年 EDP审计师协会出版行业标准 COBIT 1978年 该协会推出了CISA 注册信息系统审计师 资格认证成熟1980年代 美国 日本等开始制定自己的标准普及1994年 EDP审计师协会更名为 信息系统审计与控制协会 ISACA 1998年 AT T公司的IT故障使全世界的商务和通讯受到了重大影响 这类事故的发生 使人们关注IT服务的可靠性问题 这些公司有了信息系统审计的需要 8 2020 4 24 定义 ISACA 我国 信息系统审计是一个获取并评价证据 以判断计算机系统是否能够保证资产安全 数据完整以及有效率低利用组织的资源并有效果地实现组织目标的过程 审计署 信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性 合法性 效益性和安全性进行检查监督的活动 中国内部审计协会 信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动 9 2020 4 24 审计内容 审计特点 审计信息系统的流程IT治理与管理信息系统的购置 开发与实施信息系统的操作 维护与服务管理信息资产的保护灾难恢复与业务连续性计划 几乎审计的所有领域都应用现代信息技术信息数据的安全 可靠更需要依靠专家支持审计覆盖面扩大对审计人员的专业性要求更高 10 2020 4 24 问题风险及对策 问题风险 对策 会计信息系统自身的缺陷电子形式的数据存储易发生的存储 窃取 破坏风险有效的审计软件欠缺专业会计信息系统审计专人才欠缺对于信息系统审计态度不端正行业之间信息沟通障碍 提高审计风险的防范能力建立统一的会计审计系统 开发会计审计软件专业人才队伍建立健全审计端正审计人员对于信息系统审计的态度跨行业的信息技术整合 11 2020 4 24 两者关系 信息系统审计是企业进行IT治理的一个重要组成部分 监督和检查 通过信息系统审计发现企业信息化存在的问题 发现自身的不足 完善IT治理的控制作用 报告和促进 通过信息系统审计 编制审计报告 提出建议 帮助企业建立起完善和细化的流程和制度 确保IT治理方向与业务目标一致 进而确保组织信息系统的发展能够始终沿着正确的方向进行 确保企业的总体战略目标的实现 12 2020 4 24 基于IT治理构建我国信息系统控制与审计体系 确定信息系统控制目标建立适用的 协同的IT标准模式制定相关管理指南完善控制与审计指南 13 2020 4 24 中国人寿信息系统审计的案例 审计框架在框架内容上 借鉴传统信息系统审计的方式和方法 针对不同风险类型 分别釆用一般控制审计 应用系统控制测试相结合 一般控制审计为主 应用系统控制测试为辅的方式开展 14 2020 4 24 一般控制审计 一般控制审计主要是针对公司各个IT流程中各类系统构成外部要素的较大范围控制审计 目的是确保系统安全运行 保护数据和程序 防止非法入侵以及系统在突发事件后的应急处理 根据COBIT原理 公司所有IT活动都可以依照进行的不同阶段进行分类 因此 对IT流程按照系统生命周标准 划分为IT治理 研发与上线 运维与支持 考核与管理 分别对应COBIT标准模式中的计划与组织 获取与实施 交付与支持 督与评价四个领域 每个领域梳理各自包含对应阶段涉及的IT标准流程 15 2020 4 24 16 2020 4 24 应用系统控制审计设计 所谓应用糸统控制 是指信息系统在发起 记录 处理以及展现业务数据时 系统自发地采取某种控制手段 确保业务数据的完整性 准确性 针对寿险行业的信息原统而言 应用系统控制功能上主要包括包含以下几个类型 计算型校验型触发型参数型 17 2020 4 24 基于COBIT理论审计框架的设计 涵盖了中国人寿中20个关键流程 覆盖了生命周期的四个阶段的活动 同时分析