信息系统审计第11章.pptVIP

信息系统审计 * 信息系统审计 信息系统审计   主讲： 陈耿  * 信息系统审计 §11 IT内部控制 结合案例讨论： 1、法国兴业银行案件说明传统的内部风险控制体系出现了盲区，为什么？ 2、IT内部控制与传统内部控制的相互关系？ 3、IT内部控制必要性的原因分析？ * 信息系统审计 §11 IT内部控制 一、内部控制的思想 二、COBIT模型 三、COBIT 模型的控制框架 * 信息系统审计 §11.1 内部控制的思想 1、内部控制的定义 ： 美国会计师协会的定义 美国反对虚假财务报告委员会的定义 我国审计准则中的定义 * 信息系统审计 §11.1 内部控制的思想 2、内部控制的作用 ： 有控则强，失控则弱，无控则乱 * 信息系统审计 §11.1 内部控制的思想 3、内部控制框架 ： （1）目标设定 （2）内部环境 （3）风险确认 （4）风险评估 （5）风险管理策略选择 （6）控制活动 （7）信息沟通 （8）检查监督 * 信息系统审计 §11.1 内部控制的思想 4、内部控制的原则 ： （1）合法性原则 （2）制衡性原则 （3）有效性原则 （4）全面性原则 （5）成本效益原则 （6）重要性原则 （7）适应性原则 * 信息系统审计 §11.2 COBIT模型 1、COBIT模型的由来 ： 基于信息系统环境的内部控制框架----COBIT模型。旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准, 以辅助企业管理层进行IT治理。 * 信息系统审计 §11.2 COBIT模型 ◇ 质量 ◇ 信用 ◇ 安全 PO 资源 M 信息 DS AI * 信息系统审计 §11.2 COBIT模型 2、COBIT立方 ： * 信息系统审计 §11.2 COBIT模型 （一）目标： （1）质量需求：质量，成本，服务； （2）信任需求：运行的效果和效率，信息的可靠性，符合法规的要求； （3）安全需求：保密性，完整性，可用性。 * 信息系统审计 §11.2 COBIT模型 （二）IT资源： （1）应用系统（Applications ）：指人工和程序化的过程的总和。 （2）信息（Information）：指信息系统使用、处理、存储、输出的数字、文字、图像、影像、声音等。 （4）基础设施（Infrastructure）：指支持和保护信息系统的所有相关基础设施。 （5）人员（People）：指与信息系统设计、开发、使用、管理、维护等相关的人员。 * 信息系统审计 §11.2 COBIT模型 （三）IT过程： IT过程分成三个层次，最底层是活动（activities），中间层为过程(Processes)，顶层是领域(Domains)， * 信息系统审计 §11.2 COBIT模型 3、领域与目标、资源的关系 ： “计划和组织”与目标、资源的关系 “获得和实施”与目标、资源的关系 “转移和支持”与目标、资源的关系 “监督和评价”与目标、资源的关系 * 信息系统审计 §11.3 COBIT 模型的控制框架 COBIT 模型提出了210项“活动”（activites），反映了在企业的管理过程中对信息系统的安全、质量、信用等有重要影响的关键性活动，它们分别归属于34个“过程”（ process），这34个过程体现了信息系统生命周期的各个阶段，它们又被进一步地归入到4个不同的管理职能，COBIT称之为“领域”（domain），领域反映的是企业或组织的管理职能。 * 信息系统审计 §11.3 COBIT 模型的控制框架 领域1：计划和组织（PO） ： COBIT 模型认为管理领域中第一个重要的职能是计划和组织职能，在企业的“计划和组织”工作中又细分为10个过程，总共有74个控制目标。 * 信息系统审计 §11.3 COBIT 模型的控制框架 领域1：计划和组织（PO） ： 定义一个战略性的IT计划 定义信息的体系架构 决定采用技术的方向 定义IT流程、机构和关系