IT审计规范体系简介PPT课件.ppt
《IT审计规范体系简介PPT课件.ppt》由会员分享,可在线阅读,更多相关《IT审计规范体系简介PPT课件.ppt(69页珍藏版)》请在咨信网上搜索。
1、IT审计1提提纲I IT T审计概要概要COBITCOBIT简介介ITIT审计的的实施策略施策略建行建行ITIT审计的情况的情况建行建行ITIT审计规范体系范体系2提提纲I IT T审计概要概要COBITCOBIT简介介ITIT审计的的实施策略施策略建行建行ITIT审计的情况的情况建行建行ITIT审计规范体系范体系3IT审计概要概要先从一个先从一个ITIT审计的的实例例说起:网上起:网上银行行审计在提交的在提交的审计报告中,委托方期望的或我告中,委托方期望的或我们应该回答如下回答如下问题:各种交易的各种交易的账务处理是否准确?理是否准确?是否能是否能够满足足业务需求?需求?是否能是否能够对业务
2、需求的需求的变化及化及时响响应,以支持公,以支持公司的司的战略目略目标?系系统可靠可靠吗,是否能,是否能够为用用户提供持提供持续的服的服务?系系统安全安全吗,是否能,是否能够抵御病毒、木抵御病毒、木马以及黑客以及黑客的攻的攻击?系系统保密保密吗,敏感信息会被非法,敏感信息会被非法访问吗?ITIT投投资合理合理吗,是否得到,是否得到应有的回有的回报?交易和交易和处理方式符合相关的法律法理方式符合相关的法律法规吗?怎怎样才可以做的更好?才可以做的更好?4IT审计概要概要上述上述这些些问题,对应了了ITIT审计的三个的三个发展展阶段,或段,或ITIT审计三个三个层面的面的职能能EDPEDP审计电子数
3、据子数据处理理审计,附属于,附属于传统的的财务审计,关注,关注财务信息信息电子化子化处理理过程的正确性和完整性程的正确性和完整性鉴证审计(ASSURANCE)信息系信息系统安全性、安全性、可靠性、有效性的可靠性、有效性的测试和和评价价咨咨询审计ITIT治理治理结构和管理流程的改构和管理流程的改进5IT审计概要概要要要实实施网上施网上银银行的行的审计审计,回答委托方关注的,回答委托方关注的问题问题,必然涉及:,必然涉及:网上网上银银行相关的行相关的设设施施网上网上银银行行应应用系用系统统周周边边的的应应用系用系统统,如,如账务账务系系统统、贷贷款系款系统统、信用卡系、信用卡系统统信息流量信息流量
4、数据数据库库网网络络主机主机 6IT审计概要概要要要实施网上施网上银行的行的审计,回答委托方关注的,回答委托方关注的问题,必然涉及:,必然涉及:IT管理管理规划管理划管理业务需求管理需求管理架构管理架构管理系系统开开发采采购管理管理运运维管理管理人力人力资源管理源管理 7IT审计概要概要系系统不是孤立的不是孤立的管理不是孤立的管理不是孤立的审计项目无法达成目无法达成预期的目期的目标审计项目的延期目的延期如果没有如果没有统一的一的规划划8提提纲I IT T审计概要概要COBITCOBIT简介介ITIT审计的的实施策略施策略建行建行ITIT审计的情况的情况建行建行ITIT审计规范体系范体系9什么是
5、 COBIT缩略语COBIT的全称是“Control Objectives for Information and related Technology”,信息及相关技术控制目标COBIT是一个IT治理和控制框架,它主要关注于“需要实现什么”而不是“如何实现”10COBIT使命研究、制定、发布及促进一个权威性的、最新的、国际公认的IT治理控制框架,该框架可用于企业的业务管理人员、IT专家及质量保证专员的日常工作。11COBIT发展历史COBIT最初以手册的形式发布,3.0版以后开始提供在线PDF免费用于非商业目的COBIT源于COSO内部控制框架、最初的ISACA控制目标和超过50个IT标准及
6、最佳实践COBIT在业务控制模型和IT最佳实践之间架起了一座桥梁,并为IT治理提供模型12COBIT框架的前提COBIT框架是基于这样一个假定:IT需要交付实现企业目标所需的信息。COBIT框架通过关注业务的信息需求、组织IT资源来帮助IT与业务保持一致COBIT也为实施IT治理提供框架和指南13COBIT框架基本原理为提供企业实现其目标所需的信息,企业需要采用一系列结构化的流程来投资、管理和控制IT资源以向企业提供服务并交付所需信息管理和控制信息是COBIT框架的核心,它有助于确保IT与业务保持一致14COBIT 立方体COBIT框架的三个基本组件:IT流程、IT资源和业务需求(信息标准),
7、合在一起就构成了COBIT立方体15COBIT 立方体 IT 流程COBIT使用流程把常见的IT活动组合在一个流程模型中,以帮助管理IT资源来响应业务需求共有34个IT流程,分为四类定义为四个领域,每一个流程又可细分为组织中的活动和任务16COBIT的四个领域COBIT在四个域内将IT活动定义为过程模型,这些域映射到传统IT职责域:计划、建设、运行和监控规划划与组织(PO):为提供解决方案(AI)和提供服务(DS)落实方针获取与实施(AI):提供解决方案并将其转化成为服务交付与支持(DS):接受解决方案使之为最终用户所用监控与评价(ME):监控所有流程确保遵循既定方针17PO 计划与组织该域涵
8、盖了战略和战术,致力于识别IT为实现业务目标作出最佳贡献的途径。实现战略愿景需要计划、沟通并管理不同的工作设想,并落实适当的组织结构及技术基础设施。IT战略与业务战略是否一致?企业是否实现了对资源的最佳利用?组织中每一位成员是否理解IT目标?是否理解IT风险并加以妥善管理?IT质量能否满足业务需求?18AI 获取与实施为实现IT战略,应识别、开发/采购、实施IT解决方案并将其整合到业务流程中。此外,该域还涵盖了现有系统的变更与维护以确保持续满足业务目标。该域主要阐述下列管理问题:新项目所提供的解决方案是否满足业务需求?新项目是否在预算内按时交付?新系统上线后能否按预期运行?变更实施是否未影响当
9、前的业务运行?19DS 交付与支持这一领域主要关注所需服务的实际交付情况,包括服务交付、安全和持续性管理、用户服务支持、数据和操作设施管理。该领域主要阐述下列管理问题:是否按照业务的优先级交付IT服务?是否优化IT成本?员工是否能有效和安全地使用IT系统?是否充分落实信息安全的机密性、完整性、可用性?20ME 监督与评价应定期评估所有IT流程质量以及与控制要求的符合程度。该域涉及绩效管理、内部控制监督、合规和治理等,主要阐述下列管理问题:IT绩效测评能否及时检查出问题?管理层是否确保内部控制的效果和效率?IT绩效是否能回溯到业务目标?是否对风险、控制、符合性和绩效进行测评并报告?21COBIT
10、流程在四个领域内有34个IT流程,这些流程指明了实现企业目标的业务需求,每一个流程都使用控制目标来控制信息的交付每个IT流程都有一个流程描述(高层控制目标)和多个详细控制目标,作为一个整体是最佳管理流程的基本特征22COBIT 的 34个流程计划与划与组织PO1 制定IT战略规划PO2 定义信息架构PO3 确定技术方针PO4 定义IT流程、组织和关系PO5 IT投资管理PO6 贯彻管理目标和方针PO7 IT人力资源管理PO8 质量管理PO9 IT风险评估及管理PO10 项目管理v获取与取与实施施AI1 识别自动化解决方案AI2 应用系统开发及维护AI3 技术基础设施的获取及维护AI4 运营知识
11、保障AI5 IT资源获取AI6 变更管理AI7 系统测试与发布v交付与支持交付与支持DS1 服务水平的制定与管理DS2 第三方服务管理DS3 性能和容量管理DS4 确保持续服务DS5 确保系统安全DS6 成本确认与分摊DS7 教育和培训用户DS8 服务台和事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理v监控与控与评价价ME1 IT绩效的监督与评价ME2 内部控制的监督与评价ME3 确保遵循外部监管要求ME4 提供IT治理23COBIT 活动和任务活动是实现预期结果所要采取的行动步骤,活动具有周期性,而任务是分散的每一个流程目标都需要一系列的
12、活动,同时也为活动确立了目标24COBIT 立方体 业务需求为满足业务目标的要求,信息需要遵循一定的控制标准,COBIT称之为信息的业务需求。基于广泛的质量、责任和安全要求,COBIT定义了七个独立又有所重叠的信息标准:效果效率保密性完整性可用性符合性可靠性25COBIT 立方体 IT 资源为满足业务需求,企业需投入资源创建充分的技术能力以支持业务能力进而获得预期结果IT资源由IT流程来管理,以向组织交付实现其业务目标的信息IT资源包括:应用系统信息基础设施人员26管理指南管理指南包括下述内容:27流程输入和输出每一个流程都与其他流程有联系,输入是一个流程从其他流程所获得的内容,输出则是该流程
13、提供给其他流程的内容,在某些情况下,输入输出可能来自COBIT外部。下例为PO10:28关键活动与 RACI图每一个流程的关键活动都使用RACI图予以描述,有4种行为:A-负责,代表“责任止于此”,是为活动提供指导和授权的人,责任不能转授R-执行,具体执行任务的人,其任务可以再分配C-商议,I-告知,对流程提供支持以及流程所涉及的每一个人RACI图明确了活动任务应该分配给谁29目标和指标目标自上而下地设立,业务目标确立支持它的若干个IT目标;一个IT目标由一个或若干个相互作用的流程来实现,这样,IT目标帮助确立不同的流程目标;每一个流程目标都需要一系列的活动,反过来也确立了活动目标。30成熟度
14、模型成熟度模型采用基于组织评价的方法,将流程成熟度水平划分为从无级别(0)到优化级(5)六个等级成熟度等级是IT流程的概括图,可用于企业识别并记录当前及未来的可能状态,这些等级并非阀值使用每个IT流程的成熟度模型管理层可以找出:企业的实际绩效当前所处的位置行业的当前状况比较企业的改进目标期望达到的位置在当前是和将达到之间所需的成长路径31COBIT各组件之间关系小结32提提纲I IT T审计概要概要COBITCOBIT简介介ITIT审计的的实施策略施策略建行建行ITIT审计的情况的情况建行建行ITIT审计规范体系范体系33目目目目标标标标1全面性全面性能能够涵盖建行涵盖建行ITIT管理各管理各
15、项流程,流程,适用各适用各级分支机分支机构和各构和各类审计对象象2融合性融合性引入国引入国际业界界标准或最佳准或最佳实践,践,遵循国家、遵循国家、监管管部部门和建行和建行ITIT相相关制度关制度3操作性操作性在在审计项目管理、目管理、审计流程控制、流程控制、审计测试方法方方法方面提供操作性很面提供操作性很强的指的指导IT审计规范体系范体系 342006.82007.22007.82007.9l 正式批准立项l 项目计划编制l 项目预算编制与批复l 项目采购与合同签署l 任务初步分析 l 大纲编写l 方案建议书评审l 初稿编写l 专题调研l 完善及测试性审计l 试点审计l 推广培训 l 文档整理
16、l 验收准备l 决算准备课题组人员l 审计部l 信息技术管理部l 武汉开发中心IT审计规范体系范体系 35IT审计准则IT审计指南内部审计准则CobiT 4.1CMMiBS7799ITIL参考业界最佳实践内审协会IT审计准则参考依据依据IT审计规范体系监管要求行内制度内部审计章程依据依据IT审计案例集补充IT审计测试库IT风险控制能力评价标准重要术语与定义IT制度汇编IT风险控制水平衡量指标IT风险评估表IT审计访谈提纲IT审计测试表IT审计范围表IT审计方案模板参考参考依据开发中心IT项目管理专项审计分行IT开发项目专项审计分行运行维护专项审计应用具体内容文档样式具体内容抽取理解依据ITIT
17、审计规范体系范体系逻辑架构架构图IT Assurance Guide Using Cobit参考 IT审计规范体系范体系 36ITIT审计准准则ITIT审计指南指南ITIT审计测试库工具工具组组件件IT审计规范体系范体系 37ITIT审计准准则ITIT审计指南指南ITIT审计测试库十大工具十大工具IT审计规范体系范体系 38(1 1)ITIT审计准准则已已经发布的内部布的内部审计准准则包括:包括:第1号:审计人员职业道德第2号:审计程序 第3号:审计计划 第4号:审计方案 第5号:审计证据第6号:审计工作底稿 第7号:审计报告第8号:海外审计第9号:审计追踪第10号:内部控制评价第11号:审计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 审计 规范 体系 简介 PPT 课件
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。