IT治理、IT审计与COBIT

信息系统审计(ITA)是以企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发，对其是否能够有效可靠的达到组织的战略目标进行全面的监测和评估，并为改善和健全组织对信息系统的控制提出详细的建议。IT审计对象是信息系统，审计内容是计算机资源管理、硬件、软件获取、系统软件、数据库、网络、应用系统开发、系统维护、操作、安全等审计1AssetSecurity（资产安全性）Effectivity（系统有效性）Efficiency（系统效率性）DataIntegrity（数据完整性）2信息系统调查信息系统内部控制测试信息系统初步评价信息系统实质性测试信息系统综合评价34调查阶段信息系统内部控制初步评审内部控制可信赖吗？控制测试信息系统控制测试结果的评价内部控制可信赖吗？测试和评价补偿控制实质性测试全面评价编制审计报告退出审计提出管理建议审计结束否否内部控制的详细审查与评价计算机信息系统审计流程信息系统调查是对被审计单位信息系统的管理体制、总体架构、规划设计、管理水平等进行全面、深入地了解，是进行信息系统审计的基础。了解管理体制，从总体上把握被审计单位信息系统管理的基本情况。了解总体架构，完成对被审计单位有什么类型的信息系统，每个系统有多少子系统，信息系统分布在哪些部门，信息系统之间有什么关系的调查。了解规划管理，对信息系统建设、使用、管理情况的调查。5IT内部控制的类型：根据控制的范围，信息系统内部控制分为一般控制应用控制6是指对整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。划分成五类控制：组织控制：为实现组织的目标而进行的组织结构设计、权责安排和制度设计。包括职责分离、授权、监督、人事管理等系统开发与维护控制：包括需求定义、开发规划、系统设计、编程实现、测试、运行维护、文档管理等控制DIB中国领先内部控制和风险管理解决方案提供商7安全控制：保持良好的运行环境，包括访问接触、环境安全、防病毒、安全保密、安全教育等控制硬件及系统软件控制（1）硬件控制（2）软件控制5、操作控制信息系统的使用操作应有一套完整的管理制度，包括上机守则与操作规程、上级日志记录、保密制度和操作工作计划等。8应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。分成三类控制输入控制：保证只有经过授权批准的业务才能输入计算机信息系统；保证经批准的数据没有丢失、遗漏和篡改；保证被计算机拒绝的错误数据能改正后重新提交。包括数据采集、数据输入控制9处理控制：对信息系统进行的内部数据处理活动的控制措施，这些控制措施往往被写入计算机程序，包括数据有效性检测、错误纠正控制。输出控制：主要是保证交付给用户的数据是符合格式要求的、可交付的，并以一致和安全的方式递交给用户，包括输出错误处理、输出报告管理、报告接收确认1011公司治理就是为所有股东创造和呈现价值的企业道德行为公司治理包括组织中管理层、董事会、股东和其他利益相关法之间的一系列关系，它为制定公司目标、确定实现目标和监督绩效的方式提供了框架。1213IT治理是一个综合术语，它包括信息系统，技术和通讯，业务，法律相关事务，所有利益相关方，董事会，高级管理层，流程所有人，IT供应商，用户和审计师。IT治理有助于确保IT和企业目标保持一致。IT治理是组织中的一种制度安排，目的是为了提高IT绩效、降低IT风险，有效地利用资源。IT治理采用最佳实践来确保组织信息及相关技术支持其业务目标和价值交付，确保资源得到合理使用，风险得到适当管理、绩效得到测评。14IT治理在根本上关注以下两方面的问题：IT向业务交付价值：由IT和业务的战略一致驱动IT风险得到管理：通过向企业分配责任来驱动15ControlObjectivesforInformationandrelatedTechnologyCOBIT是一个在国际上得到公认的、先进的和权威的安全与信息技术管理和控制标准，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。面向业务是COBIT的主题，它不仅是为用户和审计师而设计，而且更重要的是它可以作为管理者及业务过程的所有者的综合指南。COBIT真正关注的问题是，企业是否具备适当的控制力，以确保符合相关的管理规定。它帮助企业确定他们是否正在做他们表示要做的事，以及他们是否可以证明这一点16COBIT第一版由信息系统审计与控制基金会（ISACF）于1996年发布。COBIT第二版于1998年出版，修订了高层控制目标与详细控制目标，增加了实施工具集（ImplementationToolSet）信息系统审计与控制协会（ISACA）及其相关的基金会在1998年创立IT治理研究院(ITGI)，由ITGI制定并发布了COBIT第三版，加入了管理指南，以及扩展和加强了对IT治理的关注；COBIT基于ISACF的建立的IT控制目标，参照了其他控制框架、行业标准；ITGI于2005年底发布了COBIT第四版，这一版对IT某些过程进行了调整，强调了IT控制与IT治理五个领域的对应关系。17早期第1、2版以控制目标和审计指南为主。2000年推出第3版，重点突出了“管理指南”。2006年推出第4版，精简了控制目标，并完善了管理指南2007年推出第4.1版，将审计指南改为“签证指南”，并提出ValueIT等理念，与IT治理联系更紧密。18COBIT中定义的IT资源如下。(1)数据：是最广泛意义上的对象(如外部和内部的)、结构化及非结构化的、图形、声音等。(2)应用系统：手工的以及计算机程序的总和。(3)技术：包括硬件、操作系统、数据库管理系统、网络、多媒体等。(4)设备：包括所拥有的支持信息系统的所有资源。(5)人员：包括员工技能、意识，以及计划、组织、获取、交付、支持和监控信息系统及服务的能力。19COBIT定义了7方面的信息标准：效果性（Effectiveness）：信息系统提供对业务处理来说“有效”的信息效率性（Efficiency）：“有效率”地使用资源，提供信息保密性（Confidentiality）：保护敏感信息，避免泄漏信息一致性（Integrity）：保证信息的“真实可信”，即信息准确、完整，并且从业务价值和业务需要的角度来说是正确有效的可用性（Availablity）：当业务需要时，信息可随时获得可靠性（Reliability）：为管理层维持组织运转和履行所赋予职责提供适当的信息合规性（Compliance）：符合相关法律、规定、合同对业务过程的规定20活动：企业的信息系统是由一个个功能组成的，它们对应于企业经营领域的一个个活动。过程：这些活动可以按照彼此之间关系的紧密程度或者目标的一致程度归结为一些过程，例如，定义IT战略规划、定义信息体系结构、管理IT投资、风险评估，等等。域：过程之间的自然组合形成企业的域，与企业结构的职责域相对应。212223242526业务目标和治理目标效率应用信息基础架构人提供和支持监控和评估获取和实施信息IT资源COBIT框架有效性保密性完整性可用性合规性DS1服务级别定义及管理DS2第三方服务管理DS3性能和能力管理DS4连续服务保障DS5系统安全保障DS6成本识别及分配DS7用户教育及培训.DS8服务台和突发事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13操作管理ME1监控与评价IT性能ME2监控与评价内部控制ME3确保与法律的符合性ME4提供IT治理PO1制定IT战略计划PO2确定信息架构.PO3确定技术方向.PO4定义IT流程、组织和关系.PO5IT投资管理.PO6沟通管理目标和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估和管理.PO10项目管理AI1识别解决方案.AI2获取与维护应用软件AI3获取与维护技术架构AI4运营与使用能力保障AI5获取IT资源AI6变更管理AI7变更及方案的部署和授权计划和组织可靠性COBIT框架27COBIT模型:IT域计划与组织(PO)►目标:指明战略和战术识别如何使IT为业务目标的达成作出最大的贡献计划、沟通和管理战略目标的实现实施组织和技术架构►范围:IT与业务在战略上是否一致?企业对资源的利用是否合理?是否所有的员工都理解IT目标?是否所有的风险都被理解并管理?IT系统质量是否满足业务需求?IT和业务28让我们来看一下COBIT流程模型,它由4个IT域共34个IT流程组成。PO1制定IT战略计划PO2确定信息架构PO3确定技术导向PO4定义IT流程、组织和关系PO5IT投资管理PO6沟通管理目标和方向PO7IT人力资源管理PO8质量管理PO9IT风险评估和管理PO10项目管理计划与组织COBIT模型:IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程29COBIT模型:IT域(续)获取与实施(AI)►目标:识别、制定或获取、实施并整合IT方案现有系统的变更与维护►范围:新项目提供的解决方案是否满足业务需求提供?新项目是否能在预算范围内及时提供?新项目实施后是否能正常工作?变更是否能够不影响当前的业务运营?新项目组织?30COBIT模型:IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程AI1识别自动解决方案AI2获取与维护应用软件AI3获取与维护技术架构AI4保障运营与使用AI5获取IT资源AI6变更管理AI7变更及方案的部署和授权获取与实施31COBIT模型:IT域(续)提供与支持(DS)►目标:所请求服务的实际提供结果,包括服务提供过程安全、连续性、数据和运营设施管理对用户的服务支持►范围:IT服务提供是否与业务优先级相匹配?IT成本是否最优?员工是否能安全有效的使用IT系统?是否能保障机密性、完整性和可用性?IT服务业务优先级32COBIT模型:IT域(续)DS1服务级别定义与管理DS2第三方服务管理DS3性能和能力管理DS4连续服务保障DS5系统安全保障DS6成本识别与分配DS7用户教育与培训DS8服务台和突发事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理提供与支持计划与组织提供与支持获取与实施监控与评价IT流程33COBIT模型:IT域(续)监控与评价(ME)►目标:性能管理监控内部控制调整一致治理►范围:IT性能是否被衡量，从而使问题在造成影响前被监测出来?管理是否能保证内部控制的有效和高效?IT性能是否与业务目标相关联?风险、控制、一致性和绩效是否被衡量并报告?IT性能34ME1监控与评价IT性能ME2监控与评价内部控制ME3确保与法律的符合性ME4提供IT治理监控与评价COBIT模型:IT域(续)计划与组织提供与支持获取与实施监控与评价IT流程