内控审计参考.pptVIP

IT审计的参考标准－CoBIT与Basel II的关系－目标驱动方法（续） IT审计的参考标准——IIA应用控制审计 国际内部审计师协会(Institute of Internal Auditors?IIA)是由内部审计人员组成的国际性审计职业团体。成立于1941年。其前身美国内部审计师协会。 2007年IIA颁布了《应用控制审计》(Auditing Application Controls)用于指导应用控制的审计。 Bye Bye 页数 * 目录 内部控制定义 信息科技层面评估架构 IT IT一般性控制 应用程序控制 IT审计的参考标准 内部控制定义(续） Basel 内部控制框架的定义 Internal control is a process effected by the board of directors, senior management and all levels of personnel. It is not solely a procedure or policy that is performed at a certain point in time, but rather it is continually operating at all levels within the bank. The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis; however, each individual within an organisation must participate in the process. 内部控制定义(续） COSO 内部控制定义 内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程： 经营的有效性和效率 财务报告的可靠性 符合适用的法律和法规 内部控制定义(续） 内部控制是： 为实现经营目标的动态过程和机制 一系列的： 制度 程序 方法 对风险进行事前防范、事中控制、事后监督和纠正 高级管理层责任 需要全体职工参与的工作 需要通过监控来确保有效性 流程A 商业流程/交易类别 关键应用程序 IT基础设施服务 数据库管理系统 操作系统 网络/硬件 流程B 流程C 应用程序X 应用程序Y 应用程序Z 流程A IT一般控制 控制环境 程序开发 程序变更 访问控制 系统运行 应用系统自动控制 输入控制 校验控制 系统接口 系统计算 权限控制 信息系统控制 识别信息系统范围 商业流程/交易类别 战略风险 运营风险 财务风险 合规风险 IT公司层面控制 信息科技层面评估架构 信息科技层面评估架构（续） 信息系统控制评估的建议构架基于国际通行的评估标准。其中，IT公司层面控制评估是基于COSO模型， IT一般性控制和应用程序控制评估是基于COBIT?模型。 监控 信息与沟通 控制活动 风险评估 控制环境 合规性 操作 财务报告 应用程序控制 COSO IT公司 层面控制 IT 一般性控制 信息科技层面评估架构（续） 风险评估 信息技术风险评估目标的设定 技术风险的识别机制及风险分析 降低风险的行动计划与预算 控制活动 制定各类程序和政策 根据风险执行相应信息系统控制 信息技术职责分工 信息与沟通 关注战略一体化的信息系统与信息质量 关注内部与外部的沟通及其沟通方式 控制环境 信息技术员工诚信和道德价值观 信息技术员工胜任能力 管理层/董事会对信息技术的关注 信息技术组织结构 信息技术策略与制度 数据和应用系统的归属制与职责分离 COSO“内部控制-整体框架” 监控 进行持续性信息系统监督活动 信息系统的独立评估体系 适宜的信息技术内部审计计划 信息系统缺陷报告 控制环境 风险评估 控制活动 信息与沟通 监控 合规性 操作 财务报告 信息科技层面评估构架（续） COBIT 4.1包含34个信息技术过程控制，并归集为四个控制域： 计划与组织 获取与实施 交付与支持 监控与评价 COBIT (Control Objectives for Information and related Technology，信息及相关技术的控制目标)是国际公认的IT治理框架，为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架.。 信息科技