信息系统审计第11章.ppt

1、2020/7/27,信息系统审计,11 IT内部控制,结合案例讨论： 1、法国兴业银行案件说明传统的内部风险控制体系出现了盲区，为什么？ 2、IT内部控制与传统内部控制的相互关系？ 3、IT内部控制必要性的原因分析？,2020/7/27,信息系统审计,11 IT内部控制,一、内部控制的思想,二、COBIT模型,三、COBIT 模型的控制框架,2020/7/27,信息系统审计,11.1 内部控制的思想,1、内部控制的定义 ： 美国会计师协会的定义 美国反对虚假财务报告委员会的定义 我国审计准则中的定义,2020/7/27,信息系统审计,11.1 内部控制的思想,2、内部控制的作用 ： 有控则强，

2、失控则弱，无控则乱,2020/7/27,信息系统审计,11.1 内部控制的思想,3、内部控制框架 ： （1）目标设定 （2）内部环境 （3）风险确认 （4）风险评估 （5）风险管理策略选择 （6）控制活动 （7）信息沟通 （8）检查监督,2020/7/27,信息系统审计,11.1 内部控制的思想,4、内部控制的原则 ： （1）合法性原则 （2）制衡性原则 （3）有效性原则 （4）全面性原则 （5）成本效益原则 （6）重要性原则 （7）适应性原则,2020/7/27,信息系统审计,11.2 COBIT模型,1、COBIT模型的由来 ： 基于信息系统环境的内部控制框架-COBIT模型。旨在为IT

3、的治理、安全和控制提供一个普遍适用的公认的标准, 以辅助企业管理层进行IT治理。,2020/7/27,信息系统审计,11.2 COBIT模型, 质量 信用 安全,PO,资源,2020/7/27,信息系统审计,11.2 COBIT模型,2、COBIT立方 ：,2020/7/27,信息系统审计,11.2 COBIT模型,（一）目标： （1）质量需求：质量，成本，服务； （2）信任需求：运行的效果和效率，信息的可靠性，符合法规的要求； （3）安全需求：保密性，完整性，可用性。,2020/7/27,信息系统审计,11.2 COBIT模型,（二）IT资源： （1）应用系统（Applications ）：

4、指人工和程序化的过程的总和。 （2）信息（Information）：指信息系统使用、处理、存储、输出的数字、文字、图像、影像、声音等。 （4）基础设施（Infrastructure）：指支持和保护信息系统的所有相关基础设施。 （5）人员（People）：指与信息系统设计、开发、使用、管理、维护等相关的人员。,2020/7/27,信息系统审计,11.2 COBIT模型,（三）IT过程： IT过程分成三个层次，最底层是活动（activities），中间层为过程(Processes)，顶层是领域(Domains)，,2020/7/27,信息系统审计,11.2 COBIT模型,3、领域与目标、资源的关

5、系 ： “计划和组织”与目标、资源的关系 “获得和实施”与目标、资源的关系 “转移和支持”与目标、资源的关系 “监督和评价”与目标、资源的关系,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,COBIT 模型提出了210项“活动”（activites），反映了在企业的管理过程中对信息系统的安全、质量、信用等有重要影响的关键性活动，它们分别归属于34个“过程”（ process），这34个过程体现了信息系统生命周期的各个阶段，它们又被进一步地归入到4个不同的管理职能，COBIT称之为“领域”（domain），领域反映的是企业或组织的管理职能。,2020/7/27,信息系统

6、审计,11.3 COBIT 模型的控制框架,领域1：计划和组织（PO） ： COBIT 模型认为管理领域中第一个重要的职能是计划和组织职能，在企业的“计划和组织”工作中又细分为10个过程，总共有74个控制目标。,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域1：计划和组织（PO） ： 定义一个战略性的IT计划 定义信息的体系架构 决定采用技术的方向 定义IT流程、机构和关系,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域1：计划和组织（PO） ： IT投资的管理 管理目标和方向的沟通 IT人力资源的管理 质量管理 IT风险的评估和管理

7、 项目管理,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域2：获得和实施（AI）： 信息系统的获得与实施对企业而言是非常重要的工作之一。COBIT 模型在“获得和实施”职能中又细分为7个过程，总共40个活动。,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域2：获得和实施（AI）： 自动识别解决方案 应用软件的取得与维护 技术基础的取得与维护 操作和使用的可行性 处理IT资源 更新管理 安装和授权的解决方案和更新,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域3：转移和支持（DS）： COBIT 模型认为信

8、息系统的转移和技术支持等工作也是非常重要的管理职能。COBIT把“转移和支持”职能又细分为13个过程，总共有71个活动。,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域3：转移和支持（DS）： 服务层级的定义和管理 第三方服务的管理 性能和容量的管理 持续服务的确保 系统安全的确保 成本的确认和分摊,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域3：转移和支持（DS）： 使用者的教育和训练 服务台和事件管理 配置管理 问题管理 数据管理 物理环境管理 运行管理,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域4：监督和评价(ME) 监督是企业管理中不可或缺的职能。所以COBIT 模型把“监督和评价”领域细分为4个过程，总共有25个活动。,2020/7/27,信息系统审计,11.3 COBIT 模型的控制框架,领域4：监督和评价(ME) IT实施的监督和评价 内部控制的监督与评价 确保与外部需求一致 IT治理的提供,使用时，直接删除本页！,精品课件，你值得拥有！,精品课件，你值得拥有！,使用时，直接删除本页