信息系统审计与IT治理幻灯片.pptx

1、组长：从嘉琪（PPT制作）组员：张琳琳，胡红燕（IT治理，ISA基本内容）刘唯一，徐逸柠，王毓秀（COBIT案例）何诗雯（两者关系）&信息系统审计 IT治理1 IT治理22024/6/17 周一定义企业IT治理（GEIT）指的是一个所有利益相关者（包括董事会、高级管理层、内部客户以及财务等部门）均可参与决策过程的体系。GEIT是董事会和执行管理部门的职责。国际信息系统审计与控制协会的定义:IT 治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。32024/6/17 周一内涵IT 治理必须与企业战略目标一致IT 治理以明确的期望值

2、和衡量手段，确保 IT 按照目标交付适用的功能和期望的收益。IT 治理和其他治理主体一样，是管理执行经理和利益相关者的责任IT 治理不是孤立的规范和活动，而是公司治理的有机组成部分IT 治理在组织内多个层面进行42024/6/17 周一IT治理目标：价值创造GEIT的目的是引导IT活动以确保IT执行情况足以实现IT与企业目标保持一致并实现所承诺效益等目标。GEIT涉及两个问题：一是，IT应该为业务带来价值；二是，需要对IT风险进行管理。实现收益优化风险优化资源治理目标：创造价值利益相关者需要驱动52024/6/17 周一COBIT5治理和管理关键领域COBIT5由 ISACA开发,通过提供一个

3、框架来确保IT与业务保持一致、IT使业务正常运转并使企业获得最大利益,以及负责任地使用IT资源和适当地管理IT风险,从而支持GEIT。评价指导监控治理管理计划构建运行监控管理层反馈业务需求62024/6/17 周一信息系统审计72024/6/17 周一发展历程萌芽阶段o1940年代：第一台计算机诞生o1950年代：计算机化的会计系统出现，“绕过计算机审计”o1960年代：计算机与相关的应用软件开始普及，产生了“EDP（电子数据处理）审计”发展o1970年代：“美国权益融资公司”的审计中，审计人员首次采用“通过计算机审计”的审计方法1977年，EDP审计师协会出版行业标准COBIT 1978年，

4、该协会推出了CISA（注册信息系统审计师）资格认证成熟o1980年代，美国、日本等开始制定自己的标准普及o1994年，EDP审计师协会更名为“信息系统审计与控制协会”（ISACA）o1998年，AT&T公司的IT故障使全世界的商务和通讯受到了重大影响。这类事故的发生，使人们关注IT服务的可靠性问题，这些公司有了信息系统审计的需要。82024/6/17 周一定义ISACA我国信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产安全、数据完整以及有效率低利用组织的资源并有效果地实现组织目标的过程。审计署：信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安

5、全性进行检查监督的活动。中国内部审计协会：信息系统审计是指内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。92024/6/17 周一审计内容审计特点审计信息系统的流程IT治理与管理信息系统的购置，开发与实施信息系统的操作，维护与服务管理信息资产的保护灾难恢复与业务连续性计划几乎审计的所有领域都应用现代信息技术信息数据的安全、可靠更需要依靠专家支持审计覆盖面扩大对审计人员的专业性要求更高102024/6/17 周一问题风险及对策问题风险对策会计信息系统自身的缺陷电子形式的数据存储易发生的存储，窃取，破坏风险有效的审计软件欠缺 专业会计信息系统审计

6、专人才欠缺对于信息系统审计态度不端正行业之间信息沟通障碍 提高审计风险的防范能力建立统一的会计审计系统，开发会计审计软件专业人才队伍建立健全审计端正审计人员对于信息系统审计的态度跨行业的信息技术整合112024/6/17 周一两者关系信息系统审计是企业进行信息系统审计是企业进行IT治理的一个重要组成部分。治理的一个重要组成部分。监督和检查：监督和检查：通过信息系统审计发现企业信息化存在的问题，发现自身的不足，完善IT治理的控制作用。报告和促进：报告和促进：通过信息系统审计，编制审计报告，提出建议，帮助企业建立起完善和细化的流程和制度，确保IT治理方向与业务目标一致，进而确保组织信息系统的发展能

7、够始终沿着正确的方向进行，确保企业的总体战略目标的实现。122024/6/17 周一基于基于IT治理构建治理构建我国信息系统控制与审计体系我国信息系统控制与审计体系确定信息系统控制目标确定信息系统控制目标建立适用的、协同的建立适用的、协同的IT标准模式标准模式制定相关管理指南制定相关管理指南完善控制与审计指南完善控制与审计指南132024/6/17 周一中国人寿信息系统审计的案例审计框架在框架内容上，借鉴传统信息系统审计的方式和方法，针对不同风险类型，分别釆用一般控制审计、应用系统控制测试相结合，一般控制审计为主、应用一般控制审计为主、应用系统控制测试为辅系统控制测试为辅的方式开展。一般控制审

8、计应用控制审计整体审计框架142024/6/17 周一一般控制审计一般控制审计主要是针对公司各个针对公司各个IT流程中各类系统构成流程中各类系统构成外部要素外部要素的较大范围控制审计较大范围控制审计，目的是确保系统安全运行、保护数据和程序、防止非法入侵以及系统在突发事件后的应急处理。根据COBIT原理，公司所有IT活动都可以依照进行的不同阶段进行分类，因此，对IT流程按照系统生命周标准系统生命周标准，划分为IT治理、研发与上线、运维与支持、考核与管理治理、研发与上线、运维与支持、考核与管理，分别对应对应COBIT标准模式中的计划与组织、获取与实施、交计划与组织、获取与实施、交付与支持、督与评价

9、付与支持、督与评价四个领域。每个领域梳理各自包含对应阶段涉及的IT标准流程。152024/6/17 周一162024/6/17 周一应用系统控制审计设计所谓应用糸统控制，是指信息系统在发起、记录、处理以及展现业务数据时，系统自发地采取某种控制手段，确保业务数据的完整性、准确性。针对寿险行业的信息原统而言，应用系统控制功能上主要包括包含以下几个类型：o计算型o校验型o触发型o参数型172024/6/17 周一基于COBIT理论审计框架的设计，涵盖了中国人寿中20个关键流程，覆盖了生命周期的四个阶段的活动，同时分析了每个不同流程审计应该关注的风险控制点，并设计相应的审计方法。因此，与传统审计方式相比而言，利用基于COBIT的审计框架在指导开展信息系统审计时，内容上可以覆盖整个系覆盖整个系统的生命周期统的生命周期，基本确保不存在重大审计盲区而导致的系确保不存在重大审计盲区而导致的系统性风险统性风险。182024/6/17 周一