文档介绍：COBIT模型培训
叶佑林
2011/10/21
内容安排

&A
2
信息系统审计(ITA)是以企业或政府等组织的信息系统为审计对象,通过现代的审计理论和IT管理理论,从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠的达到组织的战略目标进行全面的监测和评估,并为改善和健全组织对信息系统的控制提出详细的建议。
IT审计对象是信息系统,审计内容是计算机资源管理、硬件、软件获取、系统软件、数据库、网络、应用系统开发、系统维护、操作、安全等审计
3
IT审计介绍
Asset Security(资产安全性)
Effectivity(系统有效性)
Efficiency(系统效率性)
Data Integrity(数据完整性)
4
IT审计目标
信息系统调查
信息系统内部控制测试
信息系统初步评价
信息系统实质性测试
信息系统综合评价
5
IT审计流程
6
调查阶段
信息系统内部控制初步评审
内部控制可信赖吗?
控制测试
信息系统控制测试结果的评价
内部控制可信赖吗?
测试和评价补偿控制
实质性测试
全面评价
编制审计报告
退出审计
提出管理建议
审计结束
否
否
内部控制的详细审查与评价
计算机信息系统审计流程
信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解,是进行信息系统审计的基础。
了解管理体制,从总体上把握被审计单位信息系统管理的基本情况。
了解总体架构,完成对被审计单位有什么类型的信息系统,每个系统有多少子系统,信息系统分布在哪些部门,信息系统之间有什么关系的调查。
了解规划管理,对信息系统建设、使用、管理情况的调查。
7
信息系统调查
IT内部控制的类型:根据控制的范围,信息系统内部控制分为
一般控制
应用控制
8
IT内部控制
是指对整个计算机信息系统及环境要素实施的,对系统所有的应用或功能模块具有普遍影响的控制措施。划分成五类控制:
组织控制:为实现组织的目标而进行的组织结构设计、权责安排和制度设计。包括职责分离、授权、监督、人事管理等
系统开发与维护控制:包括需求定义、开发规划、系统设计、编程实现、测试、运行维护、文档管理等控制
DIB 中国领先内部控制和风险管理解决方案提供商
9
一般控制
安全控制:保持良好的运行环境,包括访问接触、环境安全、防病毒、安全保密、安全教育等控制
硬件及系统软件控制
(1)硬件控制
(2)软件控制
5、操作控制
信息系统的使用操作应有一套完整的管理制度,包括上机
守则与操作规程、上级日志记录、保密制度和操作工作计
划等。
10
一般控制