杨洋_IT审计与Cobit模型

  • 格式:pdf
  • 大小:114.86 KB
  • 文档页数:23

COBIT之应用利器
管理指南(Management Guideline)
针对每个IT过程均为管理者详细定义了下列分析工具:
关键成功因素(CSF):管理者“应该作什么?”,即在每一个过 程中最重要的因素或控制活动,可以作为IT投资的指导之一。 关键目标指标(KGI):IT过程“执行后的结果应该作到怎样”。 若想实现业务目标,该过程执行后必须达到哪些指标。 关键执行指标或关键性能指标(KPI):怎样判断正在执行的IT 过程当前的状态是否良好、是否需要调整。 成熟度模型(CMM):为每一个过程定义了六种成熟度级别,使 管理者可以评价本组织在该过程控制上所处的级别,然后通过与 同行业标竿企业相比较,判断自身所处的先进程度、竞争优势和 改进方向。
IT审计的四个目标
Asset Security(资产安全性) Effectivity(系统有效性) Efficiency(系统效率性) Data Integrity(数据完整性)
实施IT审计可以……
评价企业目前的IT情况、长/短期IT战略是否能够满足企业总体目 标的实现。 评价和监控系统开发和实施是否符合规范、合同、需求 评价外包服务商提供的产品及服务质量是否与合同相符 评价主要数据中心、网络通讯设施的结构审计,财务系统和非财 务系统是否建立并实施了足够的业务流程控制与安全控制 评价企业门户系统是否为企业带来足够的信誉 支持其他审计人员工作,为财务审计人员与经营审计人员提供技 术支持和培训 为企业提供针对性的咨询服务 指导组织推广实施IT控制自评程序,随时进行自我诊断
IT审计的春天
由于企业内部控制导致的案件愈发频繁,针对企业内 控进行定期审查和专项审查的呼声越来越高 现代企业的业务流程基本依赖于信息系统,因此对信 息系统内部控制的审计格外重要 SOX法案颁布以来,对于任何一家在美上市的公司而 言,符合SOX法案都是前所未有的巨大挑战。但这同时 对CIO来讲,却是“利好”,因为对已经开始实施法案符 合性阶段的公司来讲,IT在其内部控制中所扮演的重 要角色立即凸显出来,而实施IT审计正是解决之道!
与其他IT标准有合不同?
与IT审计的关系
COBIT包含而不限于IT审计的模块(Audit Guidline),但并非 是针对IT审计的专门论述
与BS7799、ITIL的关系
侧重不同。COBIT主要侧重于处理企业治理中不同方面的需 求,使信息管理、控制目标、IT审计等围绕信息系统管理控 制的工作能够在一个统一的平台上协调开展。
五、COBIT实施案例——澳洲科尔顿大学
在寻找综合的IT治理方法论过程中,澳大利亚科尔顿 工业大学,引入了COBIT。 在检查了COBIT的框架之后,该大学的信息系统部门 的总经理意识到COBIT将会极大提高接受程度,减少 实施IT治理规划所需要的时间。 COBIT是该大学成功取得IT治理主要目标的一个重要 因素,即实现组织的转型,寻求改善的过程。
反思
1. 2. 3. 4. 5. 6. 为什么巨额挪用持续6年而未被发现? 为什么银行帐务数据可以轻易销毁? 计算机输入员岗位的权限到底有多大? 对于风险岗位是否存在有效牵制? 职员是否有效保护了自己的登录信息? 银行业务流程是否存在重大漏洞?
少一些反思,多一些控制!
IT审计
信息系统审计(Information System Audit),又称IT 审计,是指根据公认的标准和指导规范对信息系统及 其业务应用的效能、效率、安全性进行监测、评估和 控制的过程,以确认预定的业务目标得以实现。具体 而言,信息系统审计以企业或政府等组织的信息系统 为审计对象,通过现代的审计理论和IT管理理论,从 信息资产的安全性、数据的完整性以及系统的有效性 和效率性等方面出发,对其是否能够有效可靠的达到 组织的战略目标进行全面的监测和评估,并为改善和 健全组织对信息系统的控制提出详细的建议。
1994年该协会更名为信息系统审计与控制协会即ISACA,总部设在美国芝加哥。目前 该组织在世界上100多个国家设有160多个分会,现有会员两万多人,是从事信息系统审 计的专业人员唯一的国际性组织,CISA也是这一领域的唯一职业资格。
成为注册信息系统审计师(CISA)的要求
具备前述条件 通过CISA考试 每年一次,100分/70分,英文/中文 具有5年相关工作经验 相关大学学历可减免两年 遵守执业规范,参加后续教育
SOX404专案实施团队的专业组成
来源:
调查报告
什么是COBIT
COBIT(Control Objectives for Information and Related
Technology) 是由信息系统审计和控制基金会ISACF(Information Systems Audit and Control Foundation)最早于1996年制定的IT治理 模型,目前已经更新至第三版。 COBIT的制订宗旨是跨越业务控制(business control)和IT控 制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。 COBIT是IT治理的模型 COBIT是基于控制的模型
COBIT的基本思想
控制过程的具体划分
COBIT的体系构成
COBIT之应用利器
控制目标(Control Objectives)
在34个高层控制目标的基础上,为每个IT过程定义 了更为详细的控制目标(detail objectives,共计 318个),用以指导IT控制工作、保证该过程的成 功实施。
五、COBIT实施案采纳COBIT作为其方针及流程手册的一部分,并且命令在所 有IT审计中都采用COBIT作为其控制及审计原则。 将COBIT也应用于IT审计计划,IT审计技巧评估及培训。 将COBIT作为总检察官报告的整体内容。
效果:
提出了200多条建议,许多建议认为在操作中需要建立治理原则,政 策,步骤的管理。于是,总检察官办公室用COBIT作为框架,建立了 符合所需的IT治理规划。
COBIT之应用利器
审计指南(Audit Guideline)
针对每个IT过程分别提出了审计方法,通过对照审查相应的 控制目标实现对IT过程的评价和建议。 内容:
如何了解该过程相关内控,包括应面询的对象、问题、应查阅的 文档 如何评价该过程的控制,包括具体要核查的项目 该过程中常规的符合性测试项目 该过程中常规的实质性测试项目
COBIT对谁有用?
管理人员
“是否应该进行IT投资?”、“如何进行IT投资” “IT投资是否得到了期望的回报?” “业务需求是否得到了IT的支持和满足?”
用户(业务过程所有者)
“IT的安全和服务是否和怎样得到足够的保证?” “信息系统是否和怎样有效的运行?”
IT审计师
“怎样对具体企业制定审计计划?” “对具体IT过程要审计哪些项目?” “怎样使将审计过程与用户日常系统控制统一协调?”
IT审计与COBIT模型
——基本概念与应用
杨洋
信息系统可靠吗?
中行大连分行营业部计算机输入员崔昌平6年挪用 800万美元,销毁个人电脑中帐务数据后潜逃,于2005 年3月21日被捕归案。 针对此一系列案件,银监会3月27日发布消息,针 对银行机构对操作风险的识别与控制能力不能适应业务 发展的突出问题,发布了《关于加大防范操作风险工作 力度的通知》
IT审计可以这样开展
独立的外部审计
独立执业的信息系统审计师
企业内部审计
企业内审部门的成员
作为财务审计的支撑
注册会计师事务所的IT审计机构,财务审计小组的IT控制专家
信息系统审计的发展历史
EDP审计阶段——为财务审计的数据获取提供帮助
1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA)
内控系统审计阶段——为财务审计的符合性测试提供帮助 独立的信息系统审计——完全超出财务报表范围,直接为企业信 息系统的各方面情况进行审计
五、COBIT实施案例——美国参议院
1993年起,美国参议院的总检察官在寻求改进IT运作的方法。总 检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺 陷,例如:
缺乏指导方针和过程规定(如系统开发生命周期) 不理想的系统设计和开发 缺乏规划及绩效度量标准 大型机的混乱管理,缺乏足够的信息安全措施 为控制这种情况,并建立清晰的责任制度,需要采纳一种IT监管框架。
谢谢大家,欢迎交流!
杨洋 (yy.ok.2000@)