IT治理审计和信息系统

审计电算化研习报告

IT治理第二小组：张昊天吴与伦陈頔王雨晴研习思路IT治理简介IT治理目标IT治理的主要内容IT治理的运行机制IT治理与信息系统审计IT功能外包现实中的困难与对策审计电算化研习报告——IT治理一、IT治理简介IT治理的产生2IT治理与IT管理3IT治理的概念1审计电算化研习报告——IT治理〔一〕IT治理的概念三种主要观点：·IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。·IT治理是一个含义广泛的概念,。其主要任务是保持IT与业务目标一致,推动业务开展,促使收益最大化,合理利用IT资源,IT相关风险的适当管理。·IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。审计电算化研习报告——IT治理〔二〕IT治理的产生·IT治理最初的雏形，是2002年过后，美国证监会开始对企业的内控系统提出严格的要求，塞班斯法案的制定者与研究者开始觉得，IT是天然的内控专员。也从这个时候起，IT治理的思想开始产生与开展，企业内控体系开始出现对信息系统的内容与要求，并且分量越来越重。审计电算化研习报告——IT治理〔三〕IT治理与IT管理区别与联系？IT治理是用于描述企业或政府是否采用有效的机制，使得IT的应用能够完成组织赋予它的使命，同时平衡信息化过程中的风险，确保实现组织的战略目标的过程。IT管理聚焦于公司的信息及信息系统的战术和运营层面，通过梳理IT对业务的支持流程，以确保IT目标以及为此目标实现所采取的行动。审计电算化研习报告——IT治理可以说IT治理包涵IT效劳管理，IT治理更多的是从战略高度来阐述IT与业务战略的有机融合，而IT效劳管理是在战术和运营层面具体实现IT治理。二、IT治理目标整合信息技术与业务目标有效利用信息资源风险管理价值交付资源管理绩效度量审计电算化研习报告——IT治理三、IT治理的主要内容〔重点〕IT职能结构计算机中心灾难恢复方案审计电算化研习报告——IT治理〔一〕IT职能结构1、集中数据处理模式〔centralizeddataprocessingmode〕2、分散数据处理模式〔distributeddataprocessingmode〕

集中数据处理模式

数据库管理〔databaseadministration〕数据加工〔dataprocessing〕系统开发〔systemdevelopment〕系统数据数据使用者分散数据处理模式分散数据处理的优势：运营本钱较低改善本钱控制责任备份具有灵活性分散数据处理的劣势：数据利用不充分职责分配不明确缺少统一的标准〔二〕计算机中心地理位置构造路径通气状况防火设施容错审计目标审计过程地理位置远离危险区域远离公共交通繁华的区域不能放在地下室构造计算机中心应当单独占巩固建筑物的单独一层计算机的线路应当埋在地下放置计算机中心的房间的窗户不能翻开，但是有空气过滤设备。路径通往计算机中心的通道仅供计算机管理员和其他相关人员使用。通道中安装门禁系统安装闭路监控系统登陆认证措施精确的访问记录通气状况华氏70~75，摄氏21~24湿度50%防火措施安装人工报警器和自动报警器自动灭火系统，喷洒特定的溶剂来灭火重要的地点要放置灭火器放置计算机中心的建筑物能够承受放火系统的破坏明确的标识应急通道容错使用磁盘阵列不间断的电源供给审计目标计算机中心有合理的保护措施保险的范围包括计算机中心的损毁或消灭审计过程测试物理构造测试火灾警报和放火系统测试通道控制测试磁盘阵列测试应急电源供给测试保险的范围〔三〕灾难恢复方案起源种类这些领域的其中一些

1、人为错误

2、恶意的行为

3、病毒

4、软件故障

5、意外的结果

灾难恢复方案主要注意的四点〔1〕1、识别重要的应用灾难恢复方案的最根本的步骤是识别重要的应用和有关的数据文件。2、建立灾难恢复方案团队

灾难恢复方案主要注意的四点〔2〕3、提供备用地点的支持灾难恢复方案中的一个要素是提供在灾难发生之后复制数据处理的功能设施。在所有可能有效的选择中，最常见的是以下四个〔1〕互助协定〔2〕空壳〔也称为冷备援计算机中心〕〔3〕恢复操作中心〔也称为热备援计算机中心〕〔4〕内部提供的后援灾难恢复方案主要注意的四点〔3〕4、备份及离线存储过程的详细阐述〔1〕操作系统备份〔2〕审计目标〔3〕审计程序四、IT治理的运行机制审计电算化研习报告——IT治理五、IT治理与信息系统审计〔重点〕信息系统审计的定义IT治理与信息系统审计的关系信息系统审计的职能信息系统的内部控制信息与相关技术的控制目标〔CobiT〕审计电算化研习报告——IT治理〔一〕信息系统审计的定义信息系统审计(InformationSystemAuditing)，简称IS审计，目前还没有固定通用的定义。定义一：信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的平安、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。定义二：为了信息系统的平安、可靠与有效，由独立于审计对象的IS审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向IS审计对象的最高领导提出问题与建议的一连串的活动。审计电算化研习报告——IT治理审计对象：审计对象存在于信息系统的整个生命周期之中，是指各类以计算机为核心的信息系统及其相关的技术和管理活动。责任与义务：信息系统审计应该由审计方与委托方签署审计合同，合同应阐述信息系统审计的义务、权利、责任和绩效度量，信息系统审计实现委托方的组织目标，提供反响、保证及建议。信息系统审计师的独立性。审计过程：信息系统审计师应获得充分、可靠、相关和有用的证据，以有效地实现审计目标，审计结论应当建立在对证据合理的分析和解释的根底之上。审计结果：信息系统审计师应提交一份按要求格式书写的审计报告。审计电算化研习报告——IT治理信息系统审计要点〔二〕IT治理与信息系统审计的关系〔1〕审计电算化研习报告——IT治理IT治理与信息系统审计的关系〔2〕审计电算化研习报告——IT治理IT治理缺失的症状详细描述针对问题采取的IS审计各自为政缺乏统一、全局的IT战略规划，目标不明确，标准不统一，处在混乱无序的状态，形成很多在全力保护下的信息孤岛，缺乏共享的、网络化的信息资源审计各企业CA(CertificateAuthority)认证，督促建立行业CA认证信息化假设领导者错位，IT应用方案和企业业务需求之间逻辑错位过去的信息化工程是技术专家主导下进行的，而不是经济专家或管理专家主导，较少聚焦在IT战略和组织战略目标的互动上，较少考虑信息技术如何形成企业核心竞争力，如何避免风险等。分析审计奉献中的组织机构因素，对于技术专家类领导者相关的风险要设定控制风险为低水平信息资源的合理应用信息处理环境建设滞后于物理环境建设，许多企业数据库混乱状况与其先进的计算机环境和网络环境不相称，使信息化建设无法取得实收，造成浪费加强信息化应用绩效评价IT治理与信息系统审计的关系〔3〕审计电算化研习报告——IT治理利益冲突和信息不透明在任何一个IT战略决策当中都会不可避免地发生利益相关者之间的利益冲突；某些厂商利用信息不对称欺骗客户对IT管理系统进行评价IT安全治理和风险管理缺位突出表现为重视安全技术，轻视安全管理，没有形成合理的信息安全方针来知道组织的信息安全管理工作，在安全规划、风险管理、应急计划等许多方面总是出现问题才想补救办法，是一种静态管理进行风险评估，确定风险评估范围、程序以及具体方法非技术性的障碍信息技术不仅仅是一种工具，一些非技术性的问题往往是导致企业信息化不成功的根源对公司管理层经营理念进行评价，根据非技术障碍的深层原因对IT领导力水平作出评价和提出建议〔三〕信息系统审计的职能审计电算化研习报告——IT治理“保证”即“系统可靠性保证”，指通过对信息系统运行过程、商业连续性能力、维护状况进行评价，合理保证信息系统平安、稳定、有效，它是信息系统审计最根本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案，以到达改善经营和为组织增加价值的目的。〔四〕信息系统的内部控制信息系统控制是企业为了保证信息系统的效率、平安性和完整一致性而采取的控制措施。可分为一般控制和应用控制两类。一般控制是对信息系统的开发、实施、维护和运行进行的控制，其目的是确保应用系统的有效运行。应用控制是对信息系统的某一处理的过程实施的控制，随着业务的不同而不同，一般按照处理的环节把应用控制分为输入控制、处理控制和输出控制。审计电算化研习报告——IT治理一般控制测试例如〔1〕审计电算化研习报告——IT治理控制领域常用的控制测试组织控制1、检查员工的分工情况，确定是否贯彻了不相容职责分离2、查明重要员工休假时，其工作是如何安排的，是否违背了不相容原则3、现场观察和询问与组织相关的操作系统开发控制1、检查系统开发过程是否有内审人员参与，在每个开发阶段结束时，内审人员是否进行了评价2、检查系统开发周期的文档是否准确完整，确认系统开发活动是否符合既定的规划与政策3、检查系统开发各个阶段的报告是否获得使用者以及企业高层的签字认可操作控制1、检查各种操作手册2、检查操作日志，并对于出现的事件询问有关操作人员3、观察IT人员的具体操作4、观察IT部分的活动，包括日常备份、上传下载数据文件的行为5、通过手动日志查看服务器何时瘫痪过，并检查服务器的自动日志，对手动的工作与服务器日志进行对比，并确认系统是否恢复到原来的安全环境一般控制测试例如一般控制测试例如〔2〕审计电算化研习报告——IT治理备份与恢复控制1、向首席信息官以及基础设施部经理了解和讨论有关备份的政策2、观察某日的备份程序，见证备份磁盘被带离现场，并立刻妥善保管3、询问在何种时刻需要进行恢复系统，检查何时进行过这样的操作，检查所有的工作日志，并确认恢复成功访问控制1、获取用户的访问权和文件的打印权限控制表，并对其中的一些向系统管理员进一步了解2、询问操作系统和数据库管理系统的配置情况，并同系统管理员一起进行查看一些重要参数3、访问与检查系统的日志，了解什么人何时多少对它进行监控。统计其频率是否满足公司系统安全的要求系统维护控制1、向基础设施部经理与应用开发部经理询问有关系统的维护政策和程序2、检查应用开发部经理对程序的变更审批情况，确定是否所有的程序变更都有更新报告，并出现在基础设施部的日志中灾难恢复控制1、向首席信息官以及基础设施部经理了解灾难恢复计划2、检查灾难恢复计划，并检查与测试文件〔五〕信息与相关技术的控制目标〔CobiT〕CobiT对IT流程定义了四个主要的域：方案和组织、获取与实施、交付和支持、监控这四个领域都明确了控制目标和进程，它可以采用最正确做法设计一个有效的框架。具体来说，CobiT为控制IT过程提供成熟度模型，使管理层能够映射本组织当前的成熟度水平，使组织能够明确当前与行业一流组织之间的差距，以及组织希望到达的预期水平。审计电算化研习报告——IT治理六、IT功能外包〔重点〕IT外包的含义IT外包的相关理论研究IT外包的作用典型的外包价值链IT外包的风险IT外包的审计准那么审计电算化研习报告——IT治理〔一〕IT外包的含义信息技术外包〔IToutsourcing〕是指企业专注于自己的核心业务，而聘用效劳提供商或者供给商来建立、维持或重新设计公司的IT架构和系统。深入的讲还包括高技术含量高附加值的应用系统和业务流程外包效劳，协助企业用较低的投入获得较高的信息化建设和应用水平。审计电算化研习报告——IT治理〔二〕IT外包的相关理论研究目前比较主流的IT外包理论有两种核心竞争力理论〔CoreCompetencyTheory〕交易本钱经济理论〔TransactionCostEconomics〕在辨析两个理论的核心观点之前，有必要介绍两个概念：作为商品的IT资产〔CommodityITassets〕和特定的IT资产〔SpecificITassets〕审计电算化研习报告——IT治理两个概念审计电算化研习报告——IT治理作为商品的IT资产这类资产没有很强的独特性，可以容易地从从市场上活得。这类IT资产包括网络管理、系统运行、效劳器维护和帮助台运营。对于企业和组织来说往往是独特的，多用于支持其战略目标。这也就决定了特定的IT资产对于某一个企业来说有很大作用，但是对于其他企业来说却没有同等大的作用。特定的IT资产包括系统优化、应用维护、数据仓库和相关专业人员的培训。外包理论之一：核心竞争力理论核心竞争力理论认为，企业和组织应该专注于其具有核心竞争力的业务，把非核心的一些领域——例如IT功能部门——外包给其他有效率的公司。听上去确实是合理的，但是非常重要的是，这个前提忽略了作为商品的IT资产和特定的IT资产这个两个不同的概念。审计电算化研习报告——IT治理外包理论之二：交易本钱经济理论交易本钱经济理论认为企业和组织应该保存某些核心IT资产在其内部，比方特定的IT资产。由于特定的IT资产具有一定的机密性，因此当已经建立的外包合同被撤销以后，如何做好保密工作，让此类IT资产在发包的企业和组织内部发挥和原来同等的效力，是个棘手的问题。但是对于作为商品的IT资产，TCE理论还是支持对其进行外包以减少本钱的。审计电算化研习报告——IT治理〔三〕IT外包的作用1、减轻内部IT工作负担。这样公司就可以把重点放在关键的活动，例如IT战略开展以及IT目标与业务战略的融合。2、在提高流程效率水平方面实现重大改进。外包的概念上包括流程再造，有由此使IT的功能更有效率、更积极。3、提供一个IT技能的共享，否那么可能在组织内部难以长期保存。因此，供给商提供了一系列IT能力和技能，这些技能可以作为IT部门的骨干力量。审计电算化研习报告——IT治理〔四〕典型的外包价值链企业的价值创造是通过一系列活动构成的，这些活动可分为根本活动和辅助活动两类，这些互不相同但又相互关联的生产经营活动，构成了一个创造价值的动态过程，即价值链。一个典型的外包价值链包括六个环节，依次为：联盟、可行性分析、交易、转换、最优化、终止与重新谈判。审计电算化研习报告——IT治理审计电算化研习报告——IT治理〔五〕IT外包的风险不能履行的义务：发包企业的状况就和承包企业的工作成果相关联，如果由于某些原因发包企业无法按期完成外包任务，那么显然客户会受到严重影响。来自承包方的剥削：作为承包方，它通常是从客户那里取得特殊资产，而且很难将特殊资产再转卖，因此它承担了很大的风险。显然客户要为特殊资产的转移支付很大的费用。一旦发生转移，特殊资产的所有权就归属于承包企业，因此承包企业就有时机利用对特殊资产的升级和维护等增值效劳向客户收取高额的费用。而且随着客户IT方面需求的不断增加，掌握特殊资产、处于主动地位的承包方可以向客户收取更多的额外费用。审计电算化研习报告——IT治理外包的本钱超过收益：客户没有充分考虑到在挑选承包方、签订合同和IT承包方替换等方面带来的本钱减少的信息平安：如果一家美国公司将其IT业务外包给了巴基斯坦的一家公司进行处理，那么如果外包公司的员工由于某些问题而导致不满，他们就可能将客户的资料公开到网上。失去战略上的优势：IT外包可能导致客户公司的战略方案与承包公司的实际运营不协调。审计电算化研习报告——IT治理〔六〕IT外包的审计准那么萨班斯(SOX)第二号审计准那么中写道，“管理人员对公司外部效劳的使用并不能减少其在保持内控有效性的根底上对公司财务业绩的报告。”相反地，管理人员应该对提供效劳的公司提供适当的控制。如果一个外包公司的工作人员掌握着客户公司的关键数据和交易资料，或者承担了其他重要的工作，那么审计师就需要进一步对外包公司的内控进行评估，或者从外包公司出获得SAS第70号〔StatementonAuditingStandardNo.70〕审计师报告。审计电算化研习报告——IT治理SAS70与SAS70报告SAS70是美国注册会计师协会〔AICPA〕制定的审计标准。这个标准效劳提供商取得关于他们的控制目标和控制过程的独立保证。SAS70报告是最知名的效劳审计师报告，它是由独立审计师总结SAS70，签发给效劳组织的，提供了效劳提供商控制的描述。有两种类型的效劳审计师报告：I型和II型审计电算化研习报告——IT治理SAS70报告与公司的联系审计电算化研习报告——IT治理七、现实中的困难与对策IT治理的困难信息系统审计主要存在的问题几点建议审计电算化研习报告——IT治理〔一〕IT治理的困难〔1〕国内外对信息资产的监管目