1、信息系統審計(ITA)是以企業或政府等組織的信息系統為審計對象，通過現代的審計理論和IT管理理論，從信息資產的安全性、數據的完整性以及系統的有效性和效率性等方面出發，對其是否能夠有效可靠的達到組織的戰略目標進行全面的監測和評估，并為改善和健全組織對信息系統的控制提出詳細的建議。IT審計對象是信息系統，審計內容是計算機資源管理、硬件、軟件獲取、系統軟件、數據庫、網絡、應用系統開發、系統維護、操作、安全等審計1Asset Security（資產安全性）Effectivity（系統有效性）Efficiency（系統效率性）Data Integrity（數據完整性）2n信息系統調查n信息系統內部控制測

2、試n信息系統初步評價n信息系統實質性測試n信息系統綜合評價34調查階段調查階段信息系統內部控制初步評審信息系統內部控制初步評審內部控制可信賴嗎？內部控制可信賴嗎？控制測試控制測試信息系統控制測試結果的評價信息系統控制測試結果的評價內部控制可信賴嗎？內部控制可信賴嗎？測試和評價補償控制測試和評價補償控制實質性測試實質性測試全面評價全面評價編制審計報告編制審計報告退出審計退出審計提出管理建議提出管理建議審計結束審計結束否否否否內部控制的詳細審查與評價內部控制的詳細審查與評價計算機信息系統審計流程計算機信息系統審計流程信息系統調查是對被審計單位信息系統的管理體制、總體架構、規劃設計、管理水平等進行全

3、面、深入地了解，是進行信息系統審計的基礎。p了解管理體制，從總體上把握被審計單位信息系統管理的基本情況。p了解總體架構，完成對被審計單位有什么類型的信息系統，每個系統有多少子系統，信息系統分布在哪些部門，信息系統之間有什么關系的調查。p了解規劃管理，對信息系統建設、使用、管理情況的調查。5IT內部控制的類型：根據控制的范圍，信息系統內部控制分為p一般控制p應用控制6是指對整個計算機信息系統及環境要素實施的，對系統所有的應用或功能模塊具有普遍影響的控制措施。劃分成五類控制：p組織控制：為實現組織的目標而進行的組織結構設計、權責安排和制度設計。包括職責分離、授權、監督、人事管理等p系統開發與維護控

4、制：包括需求定義、開發規劃、系統設計、編程實現、測試、運行維護、文檔管理等控制DIB 中國領先內部控制和風險管理解決方案提供商7p安全控制：保持良好的運行環境，包括訪問接觸、環境安全、防病毒、安全保密、安全教育等控制p硬件及系統軟件控制（1）硬件控制（2）軟件控制p5、操作控制信息系統的使用操作應有一套完整的管理制度，包括上機守則與操作規程、上級日志記錄、保密制度和操作工作計劃等。8應用控制是為適應各種數據處理的特殊控制要求，保證數據處理完整、準確地完成而建立的內部控制。分成三類控制u輸入控制：保證只有經過授權批準的業務才能輸入計算機信息系統；保證經批準的數據沒有丟失、遺漏和篡改；保證被計算機

5、拒絕的錯誤數據能改正后重新提交。包括數據采集、數據輸入控制9u處理控制：對信息系統進行的內部數據處理活動的控制措施，這些控制措施往往被寫入計算機程序，包括數據有效性檢測、錯誤糾正控制。u輸出控制：主要是保證交付給用戶的數據是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認1011公司治理就是為所有股東創造和呈現價值的企業道德行為公司治理包括組織中管理層、董事會、股東和其他利益相關法之間的一系列關系，它為制定公司目標、確定實現目標和監督績效的方式提供了框架。1213IT治理是一個綜合術語，它包括信息系統，技術和通訊，業務，法律相關事務，所有利

6、益相關方，董事會，高級管理層，流程所有人，IT供應商，用戶和審計師。IT治理有助于確保IT和企業目標保持一致。IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風險，有效地利用資源。IT治理采用最佳實踐來確保組織信息及相關技術支持其業務目標和價值交付，確保資源得到合理使用，風險得到適當管理、績效得到測評。14IT治理在根本上關注以下兩方面的問題：pIT向業務交付價值 ：由IT和業務的戰略一致驅動pIT風險得到管理：通過向企業分配責任來驅動15Control Objectives for Information and related TechnologyCOBIT是一個在國際上得

7、到公認的、先進的和權威的安全與信息技術管理和控制標準，它在業務風險、控制需要和技術問題之間架起了一座橋梁，它可以輔助管理層進行IT 治理，指導組織有效利用信息資源，有效地管理與信息相關的風險。面向業務是COBIT的主題，它不僅是為用戶和審計師而設計，而且更重要的是它可以作為管理者及業務過程的所有者的綜合指南。 COBIT真正關注的問題是，企業是否具備適當的控制力，以確保符合相關的管理規定。它幫助企業確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點 16COBIT第一版由信息系統審計與控制基金會（ISACF）于1996年發布。COBIT第二版于1998年出版，修訂了高層控制目標與詳

8、細控制目標，增加了實施工具集（Implementation Tool Set）信息系統審計與控制協會（ISACA）及其相關的基金會在1998年創立 IT治理研究院(ITGI)，由ITGI制定并發布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關注；COBIT基于ISACF的建立的IT控制目標，參照了其他控制框架、行業標準；ITGI于2005年底發布了COBIT第四版，這一版對IT某些過程進行了調整，強調了IT控制與IT治理五個領域的對應關系。17u早期第1、2版以控制目標和審計指南為主。u2000年推出第3版，重點突出了“管理指南”。u2006年推出第4版，精簡了控制目標，并

9、完善了管理指南u2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯系更緊密。18COBIT中定義的IT資源如下。 (1)數據：是最廣泛意義上的對象(如外部和內部的)、結構化及非結構化的、 圖形、聲音等。 (2)應用系統：手工的以及計算機程序的總和。 (3)技術：包括硬件、操作系統、數據庫管理系統、網絡、多媒體等。 (4)設備：包括所擁有的支持信息系統的所有資源。 (5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監控信息系統及服務的能力。19COBITCOBIT定義了定義了7 7方面的信息標準：方面的信息標準：u效果性（效果性（Eff

10、ectivenessEffectiveness） ：信息系統提供對業務處理來說：信息系統提供對業務處理來說“有效有效” 的信息的信息u效率性（效率性（EfficiencyEfficiency） ：“有效率有效率” 地使用資源，提供信息地使用資源，提供信息u保密性（保密性（ConfidentialityConfidentiality） ： 保護敏感信息，避免泄漏信保護敏感信息，避免泄漏信息息u一致性（一致性（IntegrityIntegrity） ：保證信息的：保證信息的“真實可信真實可信” ，即信息，即信息準確、完整，并且從業務價值和業務需要的角度來說是正確準確、完整，并且從業務價值和業務需要

11、的角度來說是正確有效的有效的u可用性（可用性（AvailablityAvailablity）：當業務需要時，信息可隨時獲得）：當業務需要時，信息可隨時獲得u可靠性（可靠性（ReliabilityReliability）：為管理層維持組織運轉和履行所賦）：為管理層維持組織運轉和履行所賦予職責提供適當的信息予職責提供適當的信息u合規性（合規性（ComplianceCompliance）：符合相關法律、規定、合同對業）：符合相關法律、規定、合同對業務過程的規定務過程的規定20活動：企業的信息系統是由一個個功能組成的，它們對應于企業經營領域的一個個活動。過程：這些活動可以按照彼此之間關系的緊密程度或者

12、目標的一致程度歸結為一些過程，例如，定義IT戰略規劃、定義信息體系結構、管理IT投資、風險評估，等等。域：過程之間的自然組合形成企業的域，與企業結構的職責域相對應。212223242526業務目標和治理目標效率應用信息基礎架構人提供和支持監控和評估獲取和實施信息IT資源C O B I T框架有效性保密性完整性可用性合規性DS1 服務級別定義及管理DS2 第三方服務管理DS3 性能和能力管理DS4 連續服務保障DS5 系統安全保障DS6 成本識別及分配DS7 用戶教育及培訓.DS8 服務臺和突發事件管理DS9 配置管理DS10 問題管理DS11 數據管理DS12 物理環境管理DS13操作管理ME

13、1 監控與評價IT性能ME2 監控與評價內部控制ME3 確保與法律的符合性ME4 提供IT治理PO1 制定IT戰略計劃PO2 確定信息架構.PO3 確定技術方向.PO4 定義IT流程、組織和關系.PO5 IT投資管理.PO6 溝通管理目標和方向PO7 IT人力資源管理PO8 質量管理PO9 IT風險評估和管理.PO10 項目管理AI1 識別解決方案.AI2 獲取與維護應用軟件AI3 獲取與維護技術架構AI4 運營與使用能力保障AI5 獲取IT資源AI6 變更管理AI7 變更及方案的部署和授權計劃和組織可靠性COBIT框架27COBIT 模型: IT 域 計劃與組織 (PO)目標: 指明戰略和戰

14、術 識別如何使IT為業務目標的達成作出最大的貢獻 計劃、溝通和管理戰略目標的實現 實施組織和技術架構范圍: IT與業務在戰略上是否一致? 企業對資源的利用是否合理? 是否所有的員工都理解IT目標? 是否所有的風險都被理解并管理? IT系統質量是否滿足業務需求?IT 和業務28讓我們來看一下COBIT流程模型, 它由4個IT域共34個IT流程組成。 PO1 制定IT戰略計劃PO2 確定信息架構PO3 確定技術導向PO4 定義IT流程、組織和關系PO5 IT投資管理PO6 溝通管理目標和方向PO7 IT人力資源管理PO8 質量管理PO9 IT風險評估和管理PO10 項目管理計劃與組織COBIT 模

15、型: IT 域 (續)計劃與組織提供與支持獲取與實施監控與評價IT 流程29COBIT 模型: IT 域 (續) 獲取與實施 (AI)目標: 識別、制定或獲取、實施并整合IT方案 現有系統的變更與維護范圍: 新項目提供的解決方案是否滿足業務需求提供? 新項目是否能在預算范圍內及時提供? 新項目實施后是否能正常工作? 變更是否能夠不影響當前的業務運營?新項目組織?30COBIT模型: IT域 (續)計劃與組織提供與支持獲取與實施監控與評價IT 流程AI1 識別自動解決方案AI2 獲取與維護應用軟件AI3 獲取與維護技術架構AI4 保障運營與使用AI5 獲取IT資源AI6 變更管理AI7 變更及方

16、案的部署和授權獲取與實施31COBIT模型: IT域 (續) 提供與支持 (DS)目標: 所請求服務的實際提供結果, 包括服務提供過程 安全、連續性、數據和運營設施管理 對用戶的服務支持范圍: IT服務提供是否與業務優先級相匹配? IT成本是否最優? 員工是否能安全有效的使用IT系統? 是否能保障機密性、完整性和可用性?IT服務業務優先級32COBIT模型: IT域 (續)DS1 服務級別定義與管理DS2 第三方服務管理DS3 性能和能力管理DS4 連續服務保障DS5 系統安全保障DS6 成本識別與分配DS7 用戶教育與培訓DS8 服務臺和突發事件管理DS9 配置管理DS10 問題管理DS11 數據管理DS12 物理環境管理DS13 運營管理提供與支持計劃與組織提供與支持獲取與