信息系统审计第11章.pptVIP

信息系统审计 信息系统审计 §11 IT内部控制 §11 IT内部控制 §11.1 内部控制的思想 §11.1 内部控制的思想 §11.1 内部控制的思想 §11.1 内部控制的思想 §11.2 COBIT模型 §11.2 COBIT模型 §11.2 COBIT模型 §11.2 COBIT模型 §11.2 COBIT模型 §11.2 COBIT模型 §11.2 COBIT模型 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 §11.3 COBIT 模型的控制框架 * 结合案例讨论： 1、法国兴业银行案件说明传统的内部风险控制体系出现了盲区，为什么？ 2、IT内部控制与传统内部控制的相互关系？ 3、IT内部控制必要性的原因分析？ 一、内部控制的思想 二、COBIT模型 三、COBIT 模型的控制框架 1、内部控制的定义 ： 美国会计师协会的定义 美国反对虚假财务报告委员会的定义 我国审计准则中的定义 2、内部控制的作用 ： 有控则强，失控则弱，无控则乱 3、内部控制框架 ： （1）目标设定 （2）内部环境 （3）风险确认 （4）风险评估 （5）风险管理策略选择 （6）控制活动 （7）信息沟通 （8）检查监督 4、内部控制的原则 ： （1）合法性原则 （2）制衡性原则 （3）有效性原则 （4）全面性原则 （5）成本效益原则 （6）重要性原则 （7）适应性原则 1、COBIT模型的由来 ： 基于信息系统环境的内部控制框架----COBIT模型。旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准, 以辅助企业管理层进行IT治理。 ◇ 质量 ◇ 信用 ◇ 安全 PO 资源 M 信息 DS AI 2、COBIT立方 ： （一）目标： （1）质量需求：质量，成本，服务； （2）信任需求：运行的效果和效率，信息的可靠性，符合法规的要求； （3）安全需求：保密性，完整性，可用性。 （二）IT资源： （1）应用系统（Applications ）：指人工和程序化的过程的总和。 （2）信息（Information）：指信息系统使用、处理、存储、输出的数字、文字、图像、影像、声音等。 （4）基础设施（Infrastructure）：指支持和保护信息系统的所有相关基础设施。 （5）人员（People）：指与信息系统设计、开发、使用、管理、维护等相关的人员。 （三）IT过程： IT过程分成三个层次，最底层是活动（activities），中间层为过程(Processes)，顶层是领域(Domains)， 3、领域与目标、资源的关系 ： “计划和组织”与目标、资源的关系 “获得和实施”与目标、资源的关系 “转移和支持”与目标、资源的关系 “监督和评价”与目标、资源的关系 COBIT 模型提出了210项“活动”（activites），反映了在企业的管理过程中对信息系统的安全、质量、信用等有重要影响的关键性活动，它们分别归属于34个“过程”（ process），这34个过程体现了信息系统生命周期的各个阶段，它们又被进一步地归入到4个不同的管理职能，COBIT称之为“领域”（domain），领域反映的是企业或组织的管理职能。 领域1：计划和组织（PO） ： COBIT 模型认为管理领域中第一个重要的职能是计划和组织职能，在企业的“计划和组织”工作中又细分为10个过程，总共有74个控制目标。 领域1：计划和组织（PO） ： 定义一个战略性的IT计划 定义信息的体系架构 决定采用技术的方向 定义IT流程、