信息系统与内部控制.ppt

《信息系统与内部控制.ppt》由会员分享，可在线阅读，更多相关《信息系统与内部控制.ppt（60页珍藏版）》请在三一文库上搜索。

1、企业内部控制规范体系培训第三部分：内部控制体系建设实务2011年9月.南宁3.3 信息系统控制信息系统与内部控制信息系统控制的内容信息系统一般控制信息系统应用控制利用信息技术提升内控水平Page 3搭建或整合全面风险管理及内部控制体系的要点常见的ERP系统这些ERP系统通常涉及的模块包括：FIFIFinancialFinancialAccountingAccountingCOCOControllingControllingMMMMMaterialsMaterialsMgmt.Mgmt.SDSDSales&Sales&DistributionDistributionHRHRHumanHumanR

2、esourcesResourcesPPPPProductionProductionPlanningPlanningBasisBasisBasisBasisBasisBasis物料管理模块销售模块财务会计模块管理会计模块生产计划模块人力资源模块SAPOracle用友ERP系统金蝶ERP系统信息系统与内部控制信息系统与内部控制目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加深，众多企业实施了ERP系统，由于ERP系统的集成度较高，因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。Page 4搭建或整合全面风险管理及内部控制体系的要点公司

3、的所有信息、数据IT应用系统数据存储业务处理财务处理公司管理第三方/关联方外部用户/客户内部用户ITIT内部控制内部控制访问业务运行业务运行风险风险财务财务/舞弊舞弊风险风险管理风险管理风险授权访问授权访问风险风险数据安全数据安全风险风险信息系统与内部控制（续）信息系统与内部控制（续）信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。Page 5搭建或整合全面风险管理及内部控制体系的要点信息系统与内部控制（续）信息系统与内部控制（续）如果缺乏适当的信息系统内部控制，公司将面临业务、财务等方面的风险，例如：舞弊风险：信息化加快了公司的效率，提供方

4、便的业务处理同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易如果缺乏适当的IT控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞弊现象存在的可能性未授权数据修改的风险：公司最重要的资产之一就是信息和数据如果没有适当的IT内部控制，例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等，业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制，从而给公司带来巨大的损失Page 6搭建或整合全面风险管理及内部控制体系的要点根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%25%的公

5、司在IT内部控制方面存在重大缺陷：根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制信息系统与内部控制（续）信息系统与内部控制（续）2004年年2005年年2006年年2007年年2008年年存在信息系统内控缺陷公司个数存在信息系统内控缺陷公司个数1019570767当年内控无效公司个数当年内控无效公司个数43847639530928比例比例23.06%19.96%17.72%24.60%25.00%Page 7搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（续）信息系统控制的

6、内容（续）公司层面公司层面应用层面应用层面一般控制层面一般控制层面内容内容信息系统内部控制领域信息系统内部控制领域信息系统一般控制信息系统应用控制管理层控制与与ITIT公司治理相关的控制：公司治理相关的控制：ITIT组织，组织，ITIT规划规划IT IT 风险管理风险管理ITIT管理制度体系管理制度体系ITIT内部审计等内部审计等 ITIT一般控制：一般控制：系统开发与程序变更管理系统开发与程序变更管理系统访问安全管理系统访问安全管理ITIT日常操作管理日常操作管理物理安全管理等物理安全管理等 业务流程中通过系统实现的应用程序业务流程中通过系统实现的应用程序 控制：控制：输入控制输入控制验证控

7、制验证控制接口控制接口控制权限控制，职责分工等权限控制，职责分工等Page 8搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（续）信息系统控制的内容（续）公司层面的信息系统控制ITIT战略规划战略规划ITIT组织与组织与职责分工职责分工ITIT风险风险管理管理ITIT管理制度体系管理制度体系ITIT内审内审IT公公司司层层面面内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督合合 规规经经 营营战战 略略财财 务务公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部Page 9搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（

8、续）信息系统控制的内容（续）信息系统一般控制与应用控制之间的关系 应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统

9、一般控制的基础之上Page 10搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制信息系统一般控制信息系统一般信息系统一般性控制性控制控制环境系统开发程序变更系统访问权限信息系统运营应用控制应用控制 完整性准确性有效性访问控制等Page 11搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制信息系统一般控制信息系统一般信息系统一般性控制性控制控制环境系统开发程序变更系统访问权限信息系统运营有效的信息系统一般性控制增加对信息系统应用控制的信心有效的信息系统应用控制增加对系统支持处理交易的信心对信息系统的信心增加，使得管理层可以更放心的依赖系统生成的数据和报告Page 12搭建或整

10、合全面风险管理及内部控制体系的要点信息系统一般控制信息系统一般控制如果计算机环境发现了信息系统一般控制的缺陷，则会影响系统整体的可信程度例如：程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作Page 13搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制（续）信息系统一般控制所包括的范围信息系统的开发和实施：开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软

11、件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护：维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的操作和运行：对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等Page 14搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制（续）信息系统的开发和实施目标是确保系统的开

12、发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离Page 15搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制（续）信息系统的变更和维护目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保 程序实施记录和培训职责分离Page 16搭建或整合

13、全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制（续）信息系统的操作和运行目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性具体控制领域包括：计算机运行活动的总体管理批处理实时处理备份和问题管理 灾难恢复重要电子表格Page 17搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制（续）程序和数据的接触安全目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全Page 18搭建或整合全面风险管理及

14、内部控制体系的要点信息系统一般控制举例：1.1系统开发和重大变更流程:控制点：用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。管理层应在系统上线前对其进行检查和审批。信息系统一般控制（续）信息系统一般控制（续）Page 19搭建

15、或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：1.2 系统日常变更流程：控制点：一般的程序变更请求需要由用户部门管理层审批并存档保留。在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当。在程序变更过程中对相冲突的职责实施有效的分离。程序变更上线之前需要经过管理层的检查和审批。开发和测试环境在逻辑或物理上与生产环境分离。信息系统一般控制（续）信息系统一般控制（续）Page 20搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：2.1 用户账号管理用户创建/修改/删除的授权审批：控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；

16、关于删除离职或调职用户的权限，被评估机构确立了正式的流程；2.2 用户账号管理权限定期检查：控制点：用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。信息系统一般控制（续）信息系统一般控制（续）Page 21搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：3.1 备份管理-备份检查：控制点：对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检查备份完成情况。3.2问题及应急事件处理：控制点：IT运行问题或事件应该及时进行识别、解决、审核和分析。信息系统一般控制（续）信息系统一般控制（续）Page 22搭建或整合全面风险管理及内部控

17、制体系的要点信息系统应用控制信息系统应用控制应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些应用程序的访问权限至关重要，从而降低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险Page 23搭建或整合全面风险管理及内部控制体系的要点信息系信息系统应用控制用控制类型的划分型的划分 信息系统应用控制（续）信息系统应用控制（续）Page 24搭建或整合全面风险管理及内部控制体系的要点 实时校验和编辑检查也称为系统

18、录入控制，此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量垃圾数据的产生。应用程序控制用程序控制类型型实时校校验和和编辑检查 举例：会计科目维护时系统存在录入控制，对科目代码进行校验，限制过长或过短的科目代码。系统设定了录入信息模板，只能按照模板规定的格式录入信息。信息系统应用控制（续）信息系统应用控制（续）Page 25搭建或整合全面风险管理及内部控制体系的要点 登录权限/岗位分离应用系统中用户的权限设置是否合理，是否按照职责

19、需要进行授权，是否考虑到岗位分离的情况。应用程序控制用程序控制类型登型登陆权限限/岗位分离位分离 举例：会计凭证在金蝶K/3系统中的录入，一般此项操作需要一人制单，一人复核及过账。信息系统应用控制（续）信息系统应用控制（续）Page 26搭建或整合全面风险管理及内部控制体系的要点 计算机计算系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中 举例：金蝶K/3系统正确计算物料的当月采购平均单价。K/3系统每月将当月所有入库单自动汇总成本计算单_汇总显示。应用程序控制用程序控制类型型计算机算机计算算 信息系统应用控制（续）信息系统应用控制（续）P

20、age 27搭建或整合全面风险管理及内部控制体系的要点 配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制举例：财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后，K/3系统自动将对应的暂估应付账款进行冲回。系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。应用程序控制用程序控制类型配置控制型配置控制信息系统应用控制（续）信息系统应用控制（续）Page 28搭建或整合全面风险管理及内部控制体系的要点 自动系统接口/对账例行程序:主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统

21、自动控制举例：仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作，确认信息由仓库系统上传到K/3系统。应用程序控制用程序控制类型自型自动系系统接口接口/对账例行程序例行程序 信息系统应用控制（续）信息系统应用控制（续）Page 29搭建或整合全面风险管理及内部控制体系的要点信息系统应用控制（续）信息系统应用控制（续）信息系统应用控制需要考虑的因素应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接Page 30搭建或整合全面风

22、险管理及内部控制体系的要点信息系统应用控制（续）信息系统应用控制（续）每个应用系统的控制都有所区别：企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑，如监管要求等应用控制要持续有效，必需有相关的配套支持：政策、制度人员（业务和信息技术）检查和维护机制（包括信息系统一般性控制）Page 31搭建或整合全面风险管理及内部控制体系的要点应用系用系统规划划图流程编号流程编号系统名称系统名称金蝶金蝶K/3系统系统SAP系统系统是否为关键系统是否为关键系统是是流程名称流程名称1财务报表关账2生成与存货流程3销售流程应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系，以确定评估

23、范围内的系统，样例如下：信息系统应用控制（续）信息系统应用控制（续）Page 32搭建或整合全面风险管理及内部控制体系的要点通过信息技术提高内控水平通过信息技术提高内控水平手工流程手工流程手工流程是指由某个特定的人员手工所执行的步骤或程序，例如：当存在补提折旧的情况时，资产管理岗必须编制当月补提折旧的总额及明细汇总表交稽核岗进行审查，只有符合公司财务会计政策的补提折旧才能进行账务处理。由于人为操作处理错误可能性的存在，手工流程往往比自动流程更容易出错。人工业务流程与自动业务流程流程是指为了实现特定的业务目标和经营成果所实施的一系列工作、任务或活动的集合。流程从执行方式上可以分为以下三种：手工手

24、工依赖系统自动Page 33搭建或整合全面风险管理及内部控制体系的要点自动流程自动流程自动流程是完全依赖信息系统架构所支持的流程(例如：固定资产折旧额是由系统按照各项固定资产的原值、预计可使用年限、残值率及折旧方法自动计算生成的)。自动流程的一大优点在于，如果自动流程得到合理的保障，将大幅度地降低人为操作处理错误的风险。手工手工依赖系统自动通过信息技术提高内控水平通过信息技术提高内控水平（续）（续）人工业务流程与自动业务流程（续）Page 34搭建或整合全面风险管理及内部控制体系的要点手工依赖系统的流程手工依赖系统的流程一个手工依赖系统的流程是指虽然某个活动是由特定人员手工执行的，但在一定程度

25、上必须依赖于信息系统才能完成。例如，稽核岗每季度将系统中进行补提折旧操作的日志记录与经过审批的补提折旧总额及明细汇总表进行一一核对，检查该季度是否存在未经稽核却进行补提折旧操作的情况。尽管这个活动由稽核岗手工核对执行，但核对是必须基于系统自动生成的日志记录来完成的。手工手工依赖系统自动通过信息技术提高内控水平通过信息技术提高内控水平（续）（续）人工业务流程与自动业务流程（续）Page 35搭建或整合全面风险管理及内部控制体系的要点手工流程存在多方面的限制，如：判断失误执行偏差适当利用信息技术可以提升对业务的管理，如：减少人为判断增加执行的一致性固化业务规则加强对数据的分析能力加强对业务情况的掌

26、握加快对信息的掌握及分析通过信息技术提高内控水平（续）通过信息技术提高内控水平（续）但业务流程的信息化仍然存在一定的限制：人员越权合伙同谋Page 36搭建或整合全面风险管理及内部控制体系的要点通过信息技术提高内控水平（续）通过信息技术提高内控水平（续）需要注意的是：并非每个业务流程都能做到自动化，而有些业务流程也不需要做到自动化对整个企业实施技术提升的最终目的是为了促进企业经营目标的实现，并不仅仅是为了内控并不意味需要实施一个全新的系统，可能通过现有系统和管理平台的接合来实现技术的应用不一定意味着内部控制一定得到落实而不会出现缺陷信息技术的应用比会带来新的风险，需要相应的内部控制手段去进行管

27、理Page 37搭建或整合全面风险管理及内部控制体系的要点系统自动控制人工控制成本效率综合效果控制成本人工控制效率系统控制通过信息技术提高内控水平（续）通过信息技术提高内控水平（续）企业在建立内部控制时，控制类型的选择直接影响到企业的成本和控制效率的综合效果：人工控制：需要企业投入较多的人力成本，控制实施的效率较低，并且易出错系统自动控制：可以帮助企业节约更多人力成本，并提高控制的效率和可依赖程度因此，企业在内控建设过程中，必须根据自身情况，平衡成本效率和风险控制要求，选择合理的控制组合。Page 38搭建或整合全面风险管理及内部控制体系的要点总结总结两家公司不会以完全相同的方式通过实施信息系

28、统控制来强化内部控制，必须结合企业的实际情况，不存在标准的控制信息系统一般控制与保持数据完整性和财务报告内部控制中的关键应用控制是相关联的参考国际上的先进框架（如COBIT）来完善企业的信息系统一般控制由于企业往往使用多个信息系统，加上系统之间存在很多链接，因此建设和评价信息技术控制有效性时需要考虑不同控制组件之间的相互影响，而不是仅仅评价个别控制活动的有效性在确定信息系统一般控制测试的性质、时间和范围时，应考虑这些信息系统层面程序或控制的质量和有效性（结合其他因素，如固有风险和关键自动控制的范围等）第 39 页附件：附件：COBIT COBIT 简介简介Page 40搭建或整合全面风险管理及

29、内部控制体系的要点信息技术治理：信息技术治理：COBITCOBIT框架框架商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义

30、IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更计划与组织可靠性Page 41搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT简介简介COBIT的全称是：Control Objectives For Information and Related

31、 Technology（信息及相关技术的控制目标）COBIT的控制模型已得到全球一百多个国家的大型企业的实践验证，成为国际上信息及相关技术控制的实践标准COBIT的控制模型涵盖现行的有关IT 的国际性准则与规定，COBIT 4.1 版本包含了涉及 34 个和信息系统管理相关流程的 210 个控制目标，并区分为以下四个控制域：策划和组织（Planning and Organization）获取与实施（Acquisition and Implementation）交付与支持（Delivery and Support）监控与评价（Monitoring&Evaluate）Page 42搭建或整合全面风

32、险管理及内部控制体系的要点COBIT ITCOBIT IT治理框架治理框架COBIT可作为连接业务风险、控制需求和技术问题的纽带，并以控制领域和IT业务流程的形式对IT治理进行了结构化描述，使其成为可衡量的管理活动COBIT:源自业务需求IT流程导向的描述，容易被人接受识别了需要进行管理的主要IT资源定义了需要进行管理的控制目标能够与其它主流标准相对应，如COSO、ISO27000是目前主流的IT管理及控制标准IT资源需要用普遍接受的IT管理流程体系进行管理，而COBIT提供了一套具备可实施性的管理框架Page 43搭建或整合全面风险管理及内部控制体系的要点COBIT ITCOBIT IT治理

33、框架（续）治理框架（续）COBIT结合了众多IT管理模型、标准及最佳实践，可以和众多主流标准结合并保持一致COSOCOBITISO9000ISO27000ITIL/ISO20000Page 44搭建或整合全面风险管理及内部控制体系的要点ITIT治理成熟度模型治理成熟度模型IT成熟度模型制定了一个基准，企业可能根据这基准明确自己的等级，从而了解自身目前的管理成熟度：Page 45搭建或整合全面风险管理及内部控制体系的要点ITIT治理成熟度模型治理成熟度模型涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性使管理部门相对容易地依据等级制对

34、现有的管理体系定位，并确认需要改善管理的地方；企业对自身进行差距分析以确定需要做哪些工作来达到所选级别成熟度等级（0-5）体现出管理体系如何从不存在级发展到优化级的管理过程；增加成熟度意味着增强风险管理与提高管理效率IT 治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于企业的经营需求，体现各个成熟层次的典型模式，协助企业将主要精力投入到关键的管理方面 IT 治理成熟度模型等级有助于专业人员向管理层解释IT 管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定企业的发展目标Page 46搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的目的框架

35、的目的COBIT框架关注于业务需求的信息上并且合理组织企业IT资源，以帮助企业将IT与业务融合在一起COBIT提供了实施IT治理的框架指南IT资源/流程i信息业务流程业务目标提供提供为了为了以达到以达到Page 47搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的原则框架的原则框架的原则是将管理层的IT管理职责与其对IT管理的期望结合在一起，目标是为了协助IT治理实现管理风险的同时交付预期IT价值信息信息IT资源资源IT业务流程业务流程企业战略企业战略Page 48搭建或整合全面风险管理及内部控制体系的要点信息技术治理：信息技术治理：COBITCOBIT框架框架商业目标及I

36、T治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关

37、系P05 IT投资管理P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更计划与组织可靠性Page 49搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的原理：框架的原理：COBITCOBIT方块方块COBIT框架描述了IT流程如何为业务需求的实现提供相应信息，为了清晰阐述这一过程，COBIT框架提供了3个重要关键要素，构成了下面的COBIT魔方业务对

38、信息处理要求IT资源IT流程Page 50搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的原理：框架的原理：COBITCOBIT方块方块IT流程业务需求控制方式考虑因素 .信息处理要求信息处理要求有效性效率性保密性完整性可用性合规性可靠性IT流程流程控制领域4流程34活动215IT资源资源应用系统信息基础架构人员Page 51搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的组成框架的组成Page 52搭建或整合全面风险管理及内部控制体系的要点COBITCOBIT框架的组成及利用框架的组成及利用COBITCOBIT建立建立ITIT治理治理COBIT四个控制

39、域：策划和组织（Planning and Organization）获取与实施（Acquisition and Implementation）交付与支持（Delivery and Support）监控与评价（Monitoring&Evaluate）Page 53搭建或整合全面风险管理及内部控制体系的要点计划与组织计划与组织目标形成IT发展战略和策略认识如何IT才能为实现业务目标贡献力量计划、沟通并管理战略远景的实现实施组织和技术基础架构关注范围是否IT和业务能够战略性融合？是否企业达到了优化利用资源的目标？是否人们都理解企业的IT目标？是否人们都理解IT相关风险，并合理进行风险管理？是否IT系

40、统的质量符合业务需求？第 53 页Page 54搭建或整合全面风险管理及内部控制体系的要点计划与组织计划与组织流程流程P01 定义IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理Page 55搭建或整合全面风险管理及内部控制体系的要点获取与实施获取与实施目标发展、实施并集成IT解决方案已有系统的变更与维护管理关注范围是否新IT项目可以满足业务需求？是否新IT项目可以按时地并在预算范围内得以实现？新系统是否可以正常运转？是否可以不

41、中断现有业务对系统实施变更管理？第 55 页Page 56搭建或整合全面风险管理及内部控制体系的要点获取与实施获取与实施流程流程AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更第 56 页Page 57搭建或整合全面风险管理及内部控制体系的要点交付与支持交付与支持目标交付所需的IT服务管理信息安全、业务连续性、数据和运营设施用户支持服务关注范围交付的IT服务与业务需求是否一致？是否做到了优化IT开销？公司员工是否能高效安全地使用IT系统？信息是否达到了合理程度的保密性、完

42、整性及可用性？第 57 页Page 58搭建或整合全面风险管理及内部控制体系的要点交付与支持交付与支持流程流程DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理第 58 页Page 59搭建或整合全面风险管理及内部控制体系的要点监控与评价监控与评价目标绩效管理监控内部控制合规性管理公司治理关注范围是否可以及时地衡量企业IT的业绩表现？管理层是否能够确保其内部控制是有效且高效的？是否IT业绩表现可以与业务目标联系到一起？是否风险、控制、合规性及业绩表现能够得到衡量并报告给适当人员？第 59 页Page 60搭建或整合全面风险管理及内部控制体系的要点监控与评价监控与评价流程流程ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理第 60 页