【正文】 工作 ? 評價 ? 符合性測試 ? 實質(zhì)性測試 96 ? 審計指南三層結(jié)構(gòu) 第一層 通用 IT審計方法 ?COBIT框架 ?審計前的準備 ?對控制的觀察 ?一般性審計指南 第二層 過程審計指南 ?詳細審計指南 第三層 補充詳細的控制目標的審計關(guān)注點 ?當?shù)貤l件 ?地區(qū)特定標準 ?行業(yè)標準 ?與特定平臺相關(guān)的因素 ?所使用的詳細控制技術(shù) 97 ? 審計前的準備 定義審計范圍 ?相關(guān)的業(yè)務(wù)過程 ?支持業(yè)務(wù)過程的平臺、系統(tǒng)及系統(tǒng)間的互聯(lián) ?角色、責任及組織結(jié)構(gòu) 識別與業(yè)務(wù)過程相關(guān)的信息需求 ?與業(yè)務(wù)過程的相關(guān)性 識別固有的 IT風險和各種級別的控制 ?最近在業(yè)務(wù)與技術(shù)環(huán)境中發(fā)生的變量與事件 ?有關(guān)審計、鑒定和自我評估的結(jié)果 ?管理層使用的 IT監(jiān)督措施 選擇要審計的 IT過程和平臺 ?IT過程 ?資源 設(shè)定審計策略 ?控制與風險 ?步驟與任務(wù) ?決策點 審計過程詳述 98 ? 審計的一般過程 獲得 對業(yè)務(wù)需求有關(guān)的風險、和相應(yīng)的控制方法的理解 。 一般性審計指南 99 ? COBIT推薦的 IT審計方法 審計指南示例 100 ? 案例研究 ?A公司利用 COBIT建立控制框架 ?B銀行的信息系統(tǒng)審計 101 演講完畢，謝謝觀看！ 。 評估 符合性，通過測試規(guī)定的控制是否按規(guī)定、一致的、持續(xù)的起作用 。 實施具體方案 第四階段詳述 94 ? COBIT審計指南 ?審計指南是 COBIT提供的一個補充工具，以方便審計師在審計和評估活動中使用 COBIT 框架與控制目標； ?由于審計指南與 COBIT 框架和詳細控制目標集成在一起，因此審計指南為審計師準備審計計劃、審計方案提供了指引； ? COBIT為 IT的安全與控制提供了明確的政策和良好的實踐，因此扎根于控制目標的審計指南使審計師可以從審計結(jié)論中得出合理的審計建議，并參照權(quán)威的標準來完善控制過程。 規(guī)劃解決方案 第二階段詳述 92 ? 第三階段：規(guī)劃具體方案 ?主要過程 ? 對所有可行的改進方案進行比較與識別，并轉(zhuǎn)換成合理的、具體可實施的項目計劃； ? 在得到管理層的批準后，這些所有這些項目應(yīng)當集成為一個總的改進策略，并制定相應(yīng)的行動計劃為具體實施作好準備。 確定需求 90 ?如何利用 COBIT？ ? COBIT管理指南提供了關(guān)鍵目標指標（ KGI），關(guān)鍵成功因素（ CSF），這兩者可用來定義 IT目標。例如： – 信息系統(tǒng)及服務(wù)的可用性； – 完整性缺失和機密性風險； – 信息處理和系統(tǒng)運行的成本有效性； – 對可靠性、有效性和符合性的確認。 79 C o n t ro l S t a t e m e n t s C o n t ro l P ra c t ic e si s e n a b l e d b y a n d c o n s i d e r s IT P ro c e s s e sT h e c o n t r o l o f B u s in e s s R e q u ire m e n t sw h i c h s a t i s f y 過程描述 e f f ec ti ve n es se f f ic i e nc yc o nf i d en t ial it yi n t eg r i tya v ail a bi li t yc o mp l ian c er e lia b ili t yS Pp eo plea p plic a tio n stec hno lo gyfa ci li ti esd a ta????關(guān)鍵成功因素 (CSFs) ? ? ? ? ? ? 關(guān)鍵目標指標 KGIs ? ? ? 關(guān)鍵績效指標KPIs ? ? ? 信息標準 資源 0 Management processes are not applied at all 1 Processes are ad hoc and disanised 2 Processes follow a regular pattern 3 Processes are documented and municated 4 Processes are monitored and measured 5 Best practices are followed and automated 成熟度模型 8 10 6 8 5 7 34 1 ? 管理指南的組成結(jié)構(gòu) 某個 IT過程的管理指南舉例 80 ? 管理指南的組成要素之間的關(guān)系 81 012345成熟度模型 對建立、計劃和追蹤當前的及未來 的所需的成熟度進行詳細描述 RACI 表 角色與責任 (R=職責 , A=問責 , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： 屬性 參照 KPIs ?戰(zhàn)略方向 ?資源 ?能力 ?意識 ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績效指標 對目標的測量 KGIs ?關(guān)鍵實務(wù) ? ? ? ?……. 輸入 IT過程 輸出 角色與職責 評估 82 012345成熟度模型 對建立、計劃和追蹤當前的及未來 的所需的成熟度進行詳細描述 RACI 表 角色與責任 (R=職責 , A=問責 , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： 屬性 參照 KPIs ?戰(zhàn)略方向 ?資源 ?能力 ?意識 ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績效指標 對目標的測量 KGIs ?關(guān)鍵實務(wù) ? ? ? ?……. 用于詳細評估的可測量的屬性與組件 評估時可參照的業(yè)務(wù)標準及行業(yè)最佳實踐 可用于快速評估的初始標準 基于通用的組織流程圖 對 CSF的分解 對 IT過程的分解 對 IT過程目標的描述 對 IT過程績效的描述 83 012345成熟度模型 對建立、計劃和追蹤當前的及未來 的所需的成熟度進行詳細描述 RACI 表 角色與責任 (R=職責 , A=問責 , C=咨詢 , I=通知 ) 關(guān)鍵角色 主要屬性： ?戰(zhàn)略方向 ?資源 ?能力 ?意識 ?支持 ?政策 ?其他 … 關(guān)鍵成功因素 目標與范圍 IT過程綜述 因果關(guān)系圖 ?……. ?……. ?……. ?……. ?……. ?……. ?……. ?……. 績效指標 對目標的測量 KGIs KPIs 屬性 參照 ?關(guān)鍵實務(wù) ? ? ? ?……. 我需要 什么 ？ 我必須 做什么？ 我需要提供什么？ 如何測量工作績效？ 如何 委派 工作？ 由誰來執(zhí)行？ 如何評估？ 84 ? IT過程成熟度模型 (CMM) ?定義 ? CMM制定了一個基準，組織可以確定自己的等級，從而了解自身目前的狀況； ? 在確定 CMM基礎(chǔ)上確定組織的關(guān)鍵成功因素 (CSF)，通過關(guān)鍵績效指 (KPI) 進行監(jiān)控 (事中控制 )，并衡量組織是否能達到關(guān)鍵目標指標 (KGI)中所設(shè)定的目標 (事后控制 )； ? 34個 IT過程的每一項都有一個遞增的測量尺度，基于“ 0”到“ 5”等級。 示例： 控制的屬性 77 ? 定義： ? COBIT管理指南 (Management Guidelines)是一種通用的、面向行動的指南； ?用于回答下述類型的管理問題： ? 我們該控制 IT到什么程度，成本和收益是否相符 ? ? 有沒有一個測量標準用于判斷何時肯定會出現(xiàn)失敗 ? ? 怎樣才算是好的性能 ? ? 關(guān)鍵成功因素是什么 ? ? 哪些是影響我們實現(xiàn)組織目標的風險，其他的組織在做什么 ?我們應(yīng)該怎樣進行測量與比較 ? ?搭建了貫通業(yè)務(wù)風險、控制需要和技術(shù)問題這三者之間的橋梁 利益 風險 （二） COBIT管理指南 78 ? 管理指南的組成要素 ?針對 COBIT中的每一個 IT過程，管理指南提供了以下內(nèi)容： ? 對此過程的定義及對此過程目標的描述 。 ?識別長期計劃與短期計劃制定與執(zhí)行過程中的偏離現(xiàn)象，以促進管理層采取恰當?shù)募m正行動。 IT過程 … 的控制 業(yè)務(wù)需求 以滿足 控制描述 通過 … 實現(xiàn) 控制實踐 要考慮 73 ?導(dǎo)航標志 ? 為便于有效地使用具有不同優(yōu)勢點的控制目標，提供了一些導(dǎo)航標志作為高層控制目標的組成部分， COBIT 三維框架中的（過程、 IT 資源和信息標準）中的每一維，都提供了一個導(dǎo)航指示標志。另外，這個域還包括應(yīng)用系統(tǒng)對實際數(shù)據(jù)的處理過程，應(yīng)用系統(tǒng)中對數(shù)據(jù)一般是按敏感性進行分級的。 ? 【主題】 – 戰(zhàn)略和戰(zhàn)術(shù) – 遠景規(guī)劃 – 組織及其基礎(chǔ)設(shè)施 ? 【問題】 – IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致嗎 ? – 組織的資源是否被優(yōu)化使用 ? – 組織中的每個人理解 IT目標嗎 ? – IT風險是否已被識別并有效管理 ? – IT系統(tǒng)的質(zhì)量滿足業(yè)務(wù)的需求嗎 ? 65 ? 【控制目標】 – PO1制定 IT戰(zhàn)略規(guī)劃 – PO2確定