信息系统审计第11章课件

2023/1/14信息系统审计信息系统审计

2023/1/14信息系统审计§11IT内部控制

结合案例讨论：

1、法国兴业银行案件说明传统的内部风险控制体系出现了盲区，为什么？

2、IT内部控制与传统内部控制的相互关系？

3、IT内部控制必要性的原因分析？

2023/1/14信息系统审计§11IT内部控制

一、内部控制的思想

二、COBIT模型

三、COBIT模型的控制框架

2023/1/14信息系统审计§11.1内部控制的思想

2、内部控制的作用

：有控则强，失控则弱，无控则乱

2023/1/14信息系统审计§11.1内部控制的思想

3、内部控制框架：（1）目标设定（2）内部环境（3）风险确认 （4）风险评估 （5）风险管理策略选择 （6）控制活动 （7）信息沟通 （8）检查监督2023/1/14信息系统审计§11.1内部控制的思想

4、内部控制的原则： （1）合法性原则 （2）制衡性原则 （3）有效性原则 （4）全面性原则 （5）成本效益原则 （6）重要性原则 （7）适应性原则2023/1/14信息系统审计§11.2COBIT模型

质量

信用

安全PO资源M信息DSAI2023/1/14信息系统审计§11.2COBIT模型

2、COBIT立方

：2023/1/14信息系统审计§11.2COBIT模型

（一）目标：（1）质量需求：质量，成本，服务；（2）信任需求：运行的效果和效率，信息的可靠性，符合法规的要求；（3）安全需求：保密性，完整性，可用性。

2023/1/14信息系统审计§11.2COBIT模型

（三）IT过程：

IT过程分成三个层次，最底层是活动（activities），中间层为过程(Processes)，顶层是领域(Domains)，2023/1/14信息系统审计§11.2COBIT模型

3、领域与目标、资源的关系：“计划和组织”与目标、资源的关系“获得和实施”与目标、资源的关系“转移和支持”与目标、资源的关系“监督和评价”与目标、资源的关系2023/1/14信息系统审计§11.3COBIT模型的控制框架

COBIT模型提出了210项“活动”（activites），反映了在企业的管理过程中对信息系统的安全、质量、信用等有重要影响的关键性活动，它们分别归属于34个“过程”（process），这34个过程体现了信息系统生命周期的各个阶段，它们又被进一步地归入到4个不同的管理职能，COBIT称之为“领域”（domain），领域反映的是企业或组织的管理职能。2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域1：计划和组织（PO）：定义一个战略性的IT计划定义信息的体系架构决定采用技术的方向定义IT流程、机构和关系2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域1：计划和组织（PO）：IT投资的管理管理目标和方向的沟通IT人力资源的管理质量管理IT风险的评估和管理项目管理2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域2：获得和实施（AI）：信息系统的获得与实施对企业而言是非常重要的工作之一。COBIT模型在“获得和实施”职能中又细分为7个过程，总共40个活动。2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域3：转移和支持（DS）：

COBIT模型认为信息系统的转移和技术支持等工作也是非常重要的管理职能。COBIT把“转移和支持”职能又细分为13个过程，总共有71个活动。2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域3：转移和支持（DS）：服务层级的定义和管理第三方服务的管理性能和容量的管理持续服务的确保系统安全的确保成本的确认和分摊2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域3：转移和支持（DS）：使用者的教育和训练服务台和事件管理配置管理问题管理数据管理物理环境管理运行管理2023/1/14信息系统审计§11.3COBIT模型的控制框架

领域4：监督和评价(ME)IT实施的监督和评价内部控制