IT审计要点PPT学习课件.ppt

Header text,*,0,前提,COBIT,框架所基于的前提是,IT,需要为企业达成其目标提供所需要的信息。,i,资源和流程,信息,业务流程,业务目标,提供,给,达成,COBIT,框架专注于业务对信息的需求并组织,IT,资源，以此来帮助,IT,与业务保持一致。,COBIT,为实施,IT,治理提供了一个框架及指南。,1,C,OBI,T:,原则,COBIT,框架的原则是将管理层对,IT,的期望与,IT,职责联系在一起。其目标是协助,IT,治理在提供,IT,价值的同时管理,IT,风险。,业务战略,信息标准,IT,资源,IT,流程,2,C,OBI,T,框架,作为一个,IT,的控制和治理框架，,C,OBI,T,关注于以下两个关键点：,提供所需要的信息以支持业务目标和需求,根据,IT,流程所管理的,IT,相关资源及应用对信息进行处理,流程,活动,域,IT,流程,有效性,效率,保密性,完整性,可用性,合规性,可靠性,IT,资源,应用,信息,基础架构,人员,IT,流程,业务需求,控制方法,考虑事项,.,信息标准,3,组织会考虑并使用多种,IT,模型、标准，以及最佳实践，此外需要对它们进行认真理解，以考虑如何将其与,C,OBI,T,进行无缝连接。,C,OBI,T,ISO 9000,ISO 17799,ITIL,COSO,做什么,怎么做,C,OBI,T,及其他,IT,管理框架,覆盖范围,4,绩效,:,业务目标,合规性：,Basel II,Sarbanes-,Oxley Act,etc.,企业治理,IT,治理,ISO,9001:2000,ISO,17799,ISO,20000,最佳实践标准,质量保证步骤,流程和步骤,驱动,C,OBI,T,COSO,安全原则,ITIL,平衡计分卡,C,OBI,T,适用于何处？,5,业务目标和治理目标,效率,应用,信息,基础架构,人,提供和支持,监控和评估,获取和实施,信息,IT,资源,C,O B I,T,框架,有效性,保密性,完整性,可用性,合规性,DS1,服务级别定义及管理,DS2,第三方服务管理,DS3,性能和能力管理,DS4,连续服务保障,DS5,系统安全保障,DS6,成本识别及分配,DS7,用户教育及培训,.,DS8,服务台和突发事件管理,DS9,配置管理,DS10,问题管理,DS11,数据管理,DS12,物理环境管理,DS13,操作管理,ME1,监控与评价,IT,性能,ME2,监控与评价内部控制,ME3,确保与法律的符合性,ME4,提供,IT,治理,PO1,制定,IT,战略计划,PO2,确定信息架构,.,PO3,确定技术方向,.,PO4,定义,IT,流程、组织和关系,.,PO5,IT,投资管理,.,PO6,沟通管理目标和方向,PO7,IT,人力资源管理,PO8,质量管理,PO9,IT,风险评估和管理,.,PO10,项目管理,AI1,识别解决方案,.,AI2,获取与维护应用软件,AI3,获取与维护技术架构,AI4,运营与使用能力保障,AI5,获取,IT,资源,AI6,变更管理,AI7,变更及方案的部署和授权,计划和组织,可靠性,C,OBI,T,框架,6,C,OBI,T,模型,:,IT,域,计划与组织,(PO),目标,:,指明战略和战术,识别如何使,IT,为业务目标的达成作出最大的贡献,计划、沟通和管理战略目标的实现,实施组织和技术架构,范围,:,IT,与业务在战略上是否一致,?,企业对资源的利用是否合理,?,是否所有的员工都理解,IT,目标,?,是否所有的风险都被理解并管理,?,IT,系统质量是否满足业务需求,?,IT,和业务,7,让我们来看一下,C,OBI,T,流程模型,它由,4,个,IT,域共,34,个,IT,流程组成。,PO1,制定,IT,战略计划,PO2,确定信息架构,PO3,确定技术导向,PO4,定义,IT,流程、组织和关系,PO5,IT,投资管理,PO6,沟通管理目标和方向,PO7,IT,人力资源管理,PO8,质量管理,PO9,IT,风险评估和管理,PO10,项目管理,计划与组织,C,OBI,T,模型,:,IT,域,(,续,),计划,与组织,提供,与支持,获取,与实施,监控,与评价,IT,流程,8,C,OBI,T,模型,:,IT,域,(,续,),获取与实施,(AI),目标,:,识别、制定或获取、实施并整合,IT,方案,现有系统的变更与维护,范围,:,新项目提供的解决方案是否满足业务需求提供,?,新项目是否能在预算范围内及时提供,?,新项目实施后是否能正常工作,?,变更是否能够不影响当前的业务运营,?,新项目,组织,?,9,C,OBI,T,模型,:,IT,域,(,续,),计划,与组织,提供,与支持,获取,与实施,监控,与评价,IT,流程,AI1,识别自动解决方案,AI2,获取与维护应用软件,AI3,获取与维护技术架构,AI4,保障运营与使用,AI5,获取,IT,资源,AI6,变更管理,AI7,变更及方案的部署和授权,获取与实施,10,C,OBI,T,模型,:,IT,域,(,续,),提供与支持,(DS),目标,:,所请求服务的实际提供结果,包括服务提供过程,安全、连续性、数据和运营设施管理,对用户的服务支持,范围,:,IT,服务提供是否与业务优先级相匹配,?,IT,成本是否最优,?,员工是否能安全有效的使用,IT,系统,?,是否能保障机密性、完整性和可用性,?,IT,服务,业务优先级,11,C,OBI,T,模型,:,IT,域,(,续,),DS1,服务级别定义与管理,DS2,第三方服务管理,DS3,性能和能力管理,DS4,连续服务保障,DS5,系统安全保障,DS6,成本识别与分配,DS7,用户教育与培训,DS8,服务台和突发事件管理,DS9,配置管理,DS10,问题管理,DS11,数据管理,DS12,物理环境管理,DS13,运营管理,提供与支持,计划,与组织,提供,与支持,获取,与实施,监控与评价,IT,流程,12,C,OBI,T,模型,:,IT,域,(,续,),监控与评价,(ME),目标,:,性能管理,监控内部控制,调整一致,治理,范围,:,IT,性能是否被衡量，从而使问题在造成影响前被监测出来,?,管理是否能保证内部控制的有效和高效,?,IT,性能是否与业务目标相关联,?,风险、控制、一致性和绩效是否被衡量并报告,?,IT,性能,13,ME1,监控与评价,IT,性能,ME2,监控与评价内部控制,ME3,确保与法律的符合性,ME4,提供,IT,治理,监控与评价,C,OBI,T,模型,:,IT,域,(,续,),计划,与组织,提供与支持,获取,与实施,监控,与评价,IT,流程,14,IT,治理路线图,15,最佳实践,关注目标,IT,与业务目标,IT,核心竞争力,业务与技术发展,衡量,性能,衡量,结果,活动,关键成功因素,谁,怎么做,V,=IT,价值传递,A,=IT,战略匹配,R,=,风险管理,P,=,性能衡量,IT,治理工具,16,COBIT,架构,1,2,3,4,PO,计划与组织,AI,获取和实施,DS,提供与支持,ME,监控与评价,4,个域,17,计划与组织,制定,IT,战略计划,PO1,确定信息架构,PO2,确定技术导向,PO3,定义,IT,流程、组织和关系,PO4,IT,投资管理,PO5,沟通管理目标和方向,PO6,IT,人力资源管理,PO7,质量管理,PO8,IT,风险评估和管理,PO9,项目管理,PO10,PO,18,PO1,制定,IT,战略计划,IT,战略计划用于管理并指导所有的,IT,资源与业务战略及优先级一致，,IT,职能部门和业务利益相关者负责保证通过项目和服务投资组合实现价值最大化。战略计划有助于主要利益相关者理解,IT,优势和限制、评估当前性能、识别能力和人力资源需求，并说明所需要的投资水平。业务战略和优先级反映于投资组合中并在,IT,战术计划中执行,描述了同时符合业务和,IT,需求的总体目标、行动计划和任务。,19,PO2,确定信息架构,信息系统职能部门负责建立并定期更新业务信息模式和定义合适的系统以使信息利用最优化。它包括根据组织的数据语法规则、数据分类规则和安全等级定义相应的数据字典。该流程通过确保提供可靠、安全的信息以提高管理决策质量，同时它能够合理地匹配系统资源与业务战略。该,IT,流程增强了数据完整性和安全性保障，并加强了对应用和实体的信息共享的控制及有效性。,20,PO3,确定技术导向,信息服务职能部门负责确定支持业务的技术导向。这要求建立一个技术架构计划和架构委,员会，用于确立与管理明确的并可实现的技术期望，这种技术期望可以从产品、服务和交付机制三个方面来考虑。技术架构计划应包括系统架构、技术导向、获取计划、标准、转移策略以及意外，并需要定期更新。这能够保证对竞争环境的变化及时作出响应，形成信息系统人员及投资的规模经济，并改善应用和平台的交互性。,21,PO4,定义,IT,流程、组织和关系,IT,组织的建立必须考虑人员、技能、职能、问责性、职权、角色及职责、监管的需求。应将组织嵌入,IT,流程框架中，以确保透明度和控制，该框架也包含组织高层和业务管理。战略委员会负责关注,IT,整体概况，由业务部门和,IT,人员构成的一个或多个指导委员会负责根据业务需求确定,IT,资源优先级。应为所有的职能部门建立流程、管理策略和步骤，尤其需要关注控制、质量保障、风险管理、信息安全、数据和系统所有权，以及职责分离。为了保证能够及时支持业务需求，,IT,应包括在相关的决策流程中。,22,PO5 IT,投资管理,应建立并维护一个管理,IT,投资项目的框架，这个框架包括成本、收益、预算优先级、正式的预算流程以及预算管理。利益相关者要结合,IT,战略和战术计划识别和控制总成本和收益，并根据需要采取合适的行动。这个流程关注,IT,与业务利益相关者之间的关系，使,IT,资源使用有效且高效，并提供整体拥有成本的透明度以及相应的权责，实现商业利益和,IT,投资的投资回报率。,23,PO6,沟通管理目标和方向,管理者应制定企业的,IT,控制框架并定义、沟通策略。应实施持续的沟通来传达管理者批准并支持的使命、服务目标、策略和步骤等。沟通可以支持,IT,目标的实现，并确保员工熟悉并理解业务和,IT,风险、目标以及方向。该流程应保证与相关的法律法规一致。,24,PO7 IT,人力资源管理,为业务进行,IT,服务的创建和交付需要人员的保障。为实现上述目标，应制定并遵循相关的流程，包括招聘、培训、绩效评估、晋升和离职。这个流程很重要，因为人是重要的资产，企业治理和内部环境控制在很大程度上依赖于人员的激励和能力。,25,PO8 Manage Quality,PO8,质量管理,应建立并维护质量管理体系（,QMS,），,QMS,包括流程和标准的开发和获取。质量管理是通过提供明确的质量需求、步骤和策略来策划、实施和维护,QMS,进而实现保障。质量需求应以量化的和可达到的指标存在和沟通。通过持续的监控、分析和纠正偏差来实现持续改进，并将结果报告给利益相关者。质量管理本质上是保证,IT,为业务提供价值、持续改进，并为利益相关者实现透明化。,26,PO9 IT,风险评估和管理,应创建并维护风险管理框架，该框架描述了一个通用并约定的,IT,风险等级、缓释策略和剩余风险。应识别、分析并评估意外事故对组织目标的潜在影响，采用风险缓释策略来最小化剩余风险使将其降低到可接受的水平。风险评估结果应被利益相关者理解，并采用财务术语来表达，以使利益相关者能够对风险进行调控至可接受的水平。,27,PO10,项目管理,为了协调项目并合理安排项目优先级，需要建立项目群和项目管理框架对所有,IT,项目进行管理。为确保项目风险管理的实施并为业务提供价值，该框架应包括：总体规划、资源分配、交付物定义、用户批准、阶段性交付方法、质量保证、正式测试计划、测试及实施后评审。该方法减少了非预期的费用支出和项目取消的风险，改善了业务部门和最终用户的交流和参与，确保项目交付物的价值和质量，同时也使,IT,投资项目的回报最大化。,28,获取与实施,定义软件解决方案,AI1,获取与维护应用软件,AI2,获取与维护技术架构,AI3,保障运营与使用,AI4,获取,IT,资源,AI5,变更管理,AI6,变更及方案的部署和授权,AI7,AI,29,AI1,定义软件解决方案,为了有效并高效地满足业务需求，在获取或开发新应用或新功能之前，需要对新的应用或者新的需求功能进行分析。该流程包括需求定义、备选资源的考虑、技术和经济可行性评估、风险分析和成本收益分析，最后作出,“,生产,”,或,“,购买,”,决定。所有这些步骤都是为了确保组织在达到业务目标的同时，使获取和实施解决方案的费用最小。,30,AI2,获取与维护应用软件,应用必须在与业务需求一致的情况下可用。该流程包括应用设计、应用控制和安全要求的相关内容，以及根据标准进行开发和配置。合理地使用自动化应用系统使组织有能力支持业务的正常运营。,31,AI3,获取与维护技术架构,组织应建立对技术架构进行获取、实施和升级的流程。这就需要一种方法来获取、维护和保护技术架构与定义的技术策略、测试环境相一致。它确保能够为业务应用提供持续的技术支持。,32,AI4,保障运营与使用,新系统的相关知识必须可用。该流程要求为客户和,IT,人员制定文件和手册，并提供培训，以确保应用和基础设施的正确使用和运营。,33,AI5,获取,IT,资源,为获取包括人员、硬件、软件和服务在内的,IT,资源，需要定义并执行采购、供应商选择、合同管理以及实施本身，确保组织获取所需的,IT,资源及时并最具成本效益。,34,AI6,变更管理,所有变更，包括生产环境中设施和应用的应急维护及打补丁，必须以受控的方式管理。在实施变更及根据预期结果回顾变更之前，必须对变更（包括程序、流程、系统和服务参数）进行记录、评估和授权，以降低对存在对生产环境稳定性、完整性的负面影响的风险。,35,AI7,变更及方案的部署和授权,要确保新系统开发完成后可运营，需要使用相关的测试数据在专门的测试环境中进行测试、定义上线和移植指令、计划发布、运行以及实施后回顾，确保运营系统与期望及预期结果相一致。,36,Deliver And Support,提供与支持,服务级别定义及管理,DS1,第三方服务管理,DS2,性能和能力管理,DS3,连续服务,保障,DS4,系统安全保障,DS5,成本识别及分配,DS6,用,户教育及培训,DS7,服务台和突发事件管理,DS8,配置管理,DS9,问题管理,DS10,DS,数据管理,DS11,物理环境管理,DS12,运营管理,DS13,37,DS1,服务级别定义及管理,IT,管理者和业务客户之间关于所需服务的有效沟通是能够通过书面的定义和,IT,服务及服务水平的协议来约束的。此流程也包括对所达到的服务水平进行监控并及时向利益相关者报告。此流程也能够保证,IT,服务可以满足相关业务需求。,38,DS2,第三方服务管理,为了保证由第三方提供的服务符合业务需求，组织需要建立有效的第三者管理流程。这个流程包括在第三方协议中清楚地定义角色、职责和期望，同时还包括保证有效性和一致性定期检查和监控。有效的管理第三方服务能够使与不履行职责的供应商相关的业务风险降到最低。,39,DS3,性能及能力管理,为了管理,IT,资源的性能和能力，组织需要建立一个流程周期性地检查现有的,IT,资源的性能和能力。此流程包括基于工作量、存储和应急需求对未来需求的预测。此流程保证了支持业务需求的信息资源持续可用。,40,DS4,连续服务保证,为了提供连续的,IT,服务，组织需要开发、维护和测试,IT,连续性计划，异地备份存储，并定期进行连续性计划培训。一个有效的连续的服务流程能够减少主要,IT,服务中断的可能性和对关键业务和处理的影响。,41,DS5,系统安全保证,为了维护信息的完整性和保护,IT,资产，组织需要建立一个完全管理流程。这个流程包括建立和维护,IT,安全角色和职责、策略、标准和步骤。安全管理也包括进行安全监控、定期测试，以及对已明确的安全缺陷或事件采取纠正措施。有效的安全管理通过最小化安全弱点和安全事件对业务影响以保护所有,IT,资产。,42,DS6,识别分配成本,为业务部门公平和公正地分配,IT,成本，需要精确地计算,IT,成本并且和业务用户达成一致。此流程包括建立和运营一个系统，该系统可用来向用户获取、分配和报告,IT,成本。一个公平的分配系统能够帮助业务部门就,IT,服务的使用做出更为明智的决定。,43,DS7,用户教育及培训,在,IT,系统中，有效的教育必须明确各个用户组（包括,IT,系统内部用户）各自的培训需求。除了明确需求之外，此流程还包括定义和执行有效的培训战略，检查培训结果。一个有效的培训计划将提高技术的使用效率，减少用户的错误，增加生产率和关键控制的负荷，例如用户的安全措施。,44,DS8,服务台及突发事件管理,及时有效地响应,IT,用户的请求和提出的问题需要一个设计合理和执行良好的服务台和突发事件管理流程。此流程包括设定服务台的功能，用来登记、逐步升级事件、分析引起事件的根本原因，并解决问题。业务的收益包括通过快速的响应用户请求提高效率；另外，业务可以通过有效的报告找到问题的根源，例如缺乏用户培训。,45,DS9,配置管理,确保硬件和软件配置的完整性需要建立和维护一个准确的和完整的配置库，此流程包括收集初始的配置信息、建立基线、校验和审计配置信息、必要的时候更新配置库。有效的配置管理促进更高的系统利用率，将使用中的问题减小到最小，并以更快地速度解决问题。,46,DS10,问题管理,有效的问题管理需要对问题进行识别和分类，并且分析根源和解决问题。问题管理流程包括识别改进建议、维护问题记录、检查纠正措施的状态。一个有效的问题管理流程可以提高服务水平、减少成本，并提高用户满意度。,47,DS11,数据管理,有效的数据管理需要识别数据需求。数据管理流程也应该包括建立有效的管理步骤来管理介质库、数据的备份和恢复，以及介质的恰当处理。有效的数据管理可以帮助确保业务数据的质量、高效性和有效性。,48,DS12,物理环境管理,为了保护计算机设备和人员需要设计良好且管理完善的物理设施。物理环境管理流程包括定义物理场所的要求，选择合适的设施，设计监控环境因素的有效步骤，管理物理访问。有效的物理环境管理流程将降低业务中断对计算机设备和人员的损害。,49,DS13,运营管理,完整、准确的数据处理需要有效的数据处理管理和硬件的维护。此流程包括定义运营策略和步骤，以此对安排好的处理过程进行有效管理，对敏感输出信息进行保护，并监控基础设施，对硬件进行预防性维护。有效的运营管理能够帮助维护数据的完整性，减少业务进度推迟的发生，降低,IT,运营成本。,50,Monitor and Evaluate,监控与评价,监控与评价,IT,性能,ME1,监控与评价内部控制,ME2,确保与法律的符合性,ME3,提供IT治理,ME4,ME,51,ME1,监控与评价,IT,性能,有效的,IT,绩效管理需要一个监控流程。此流程包括定义相关绩效指标、对绩效进行系统及时地报告，以及对异常情况采取行动。为了确保所有活动被正确地执行，监控活动非常必要。,52,ME2,监控与评价内部控制,由于,IT,需要一个完善的监控流程，在组织中需要建立一个有效的内部控制流程。此流程包括违规情况的监控和报告，以及自我评估和第三方审核结果。内部控制监控的关键收益是确保内部控制能够有效且高效地运行，并且符合相关法律法规要求。,53,ME3,确保与法律的符合性,为了对符合性进行有效的监控，需要建立一个回顾流程，以确保符合相关法律法规要求。此流程包括识别符合性需求，对反馈进行优化和评估，获得合规保障，并将,IT,合规报告与业务进行整合。,54,ME4,提供,IT,治理,建立有效的治理框架要包括定义组织架构、流程、领导层、角色和职责，以确保企业,IT,投资与企业战略目标保持一致，并按照要求提供,IT,服务。,