《内部审计:信息系统内部控制与审计》由会员分享,可在线阅读,更多相关《内部审计:信息系统内部控制与审计(90页珍藏版)》请在金锄头文库上搜索。
1、信息化环境下的内部控制与内部审计信息化环境下的内部控制与内部审计 一般控制与应用控制一般控制与应用控制 COBIT(信息及相关技术控制目标)(信息及相关技术控制目标) 信息系统审计信息系统审计萨拉米舞弊萨拉米舞弊邮政储蓄张少强案例邮政储蓄张少强案例萨拉米舞弊萨拉米舞弊 银行用来计算客户存款利息的程序会出现四舍五入错误,这是因为银行用来计算客户存款利息的程序会出现四舍五入错误,这是因为利率计算的精度要大于报告的精度。为了报告的缘故,计算到一美分利率计算的精度要大于报告的精度。为了报告的缘故,计算到一美分的利息数字要记为整数。银行负担的利息总额等于各个储户贷方的总的利息数字要记为整数。银行负担的利
2、息总额等于各个储户贷方的总和,这需要暂时将每次计算的小数部分保存在一个内部存储累加器中。和,这需要暂时将每次计算的小数部分保存在一个内部存储累加器中。当累加器中的数量到一美分时,这一分钱将被记入到储户的账户中。当累加器中的数量到一美分时,这一分钱将被记入到储户的账户中。萨拉米舞弊的方法修改了程序的逻辑,使得那一分钱不再加入到客户萨拉米舞弊的方法修改了程序的逻辑,使得那一分钱不再加入到客户的账户中,而是被加到舞弊者的户头上,这样为舞弊者收集一笔可观的账户中,而是被加到舞弊者的户头上,这样为舞弊者收集一笔可观的现金,但是会计记录还是保持平衡以遮盖罪行。的现金,但是会计记录还是保持平衡以遮盖罪行。
3、20032003年年1010月月5 5日日1313时时1212分,定西地区临洮县太石镇邮政储蓄所分,定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏,随即死机。的营业电脑一阵黑屏,随即死机。1717日,电脑经过修复重新日,电脑经过修复重新安装之后,工作人员发现打印出的报表储蓄余额与实际不符。安装之后,工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现,经过对账发现,5 5日日1313时发生了时发生了1111笔交易、总计金额达笔交易、总计金额达83835 5万元的异地账户系虚存(有交易记录但无实际现金)。当储万元的异地账户系虚存(有交易记录但无实际现金)。当储蓄所几天之后进一步与开户行联系
4、时,发现存款已经分别于蓄所几天之后进一步与开户行联系时,发现存款已经分别于6 6日、日、1111日被人从兰州、西安两地取走日被人从兰州、西安两地取走37378181万元。专案组首万元。专案组首先对有异常情况的先对有异常情况的8 8个活期账户进行了调查,发现都属假身份个活期账户进行了调查,发现都属假身份证储户。经过大量网络数据资料的分析,发现作案人首先是证储户。经过大量网络数据资料的分析,发现作案人首先是以会宁邮政局的身份登录到了永登邮政局,然后再以永登邮以会宁邮政局的身份登录到了永登邮政局,然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。政局的名义登入了临洮太石邮政储蓄所。 1.一般控制一般
5、控制组织控制组织控制系统开发与维护控制系统开发与维护控制系统安全控制系统安全控制硬件控制硬件控制系统软件控制系统软件控制操作控制操作控制 为系统的安全可靠而对系统构成及环境实施的为系统的安全可靠而对系统构成及环境实施的控制,包括:控制,包括: (一)一般控制和应用控制(一)一般控制和应用控制组织控制组织控制不相容职务的职责分离不相容职务的职责分离业务的授权业务的授权人事控制人事控制 系统开发与维护控制系统开发与维护控制开发计划控制开发计划控制 开发过程的人员控制开发过程的人员控制 系统设计控制系统设计控制 编程控制编程控制 程序变动控制程序变动控制 系统维护控制系统维护控制 文档控制文档控制
6、系统安全控制系统安全控制 接触控制、环境安全控制、安全保密控制、病毒防治接触控制、环境安全控制、安全保密控制、病毒防治 硬件控制硬件控制 保证硬件的正常运行而采取的控制措施保证硬件的正常运行而采取的控制措施 系统软件控制系统软件控制 系统软件包括操作系统、数据库管理系统等,它具有管理系统软件包括操作系统、数据库管理系统等,它具有管理功能、应用程序支持功能等功能、应用程序支持功能等 操作控制操作控制 上机守则与操作规范、上机日志记录、保密制度和操作工上机守则与操作规范、上机日志记录、保密制度和操作工作计划作计划 输入控制输入控制处理控制处理控制输出控制输出控制 对信息化系统中具体的数据处理活动对
7、信息化系统中具体的数据处理活动进行的控制,包括:进行的控制,包括: 2.应用控制应用控制输入控制输入控制 输入控制的目的是要保证只有经过授权批准的业务才能输入控制的目的是要保证只有经过授权批准的业务才能输入计算机信息系统;保证经批准的业务数据没有丢失、输入计算机信息系统;保证经批准的业务数据没有丢失、遗漏,也没有增加、重复或被做了不恰当的修改。遗漏,也没有增加、重复或被做了不恰当的修改。处理控制处理控制 对计算机信息系统进行的内部数据处理活动的控制措施对计算机信息系统进行的内部数据处理活动的控制措施输出控制输出控制 保证输出资料的准确、可靠,并能按要求及时送达到指保证输出资料的准确、可靠,并能
8、按要求及时送达到指定的人手中,而未经批准的人不能接触系统的输出材料定的人手中,而未经批准的人不能接触系统的输出材料 COBIT (Control Objectives For Information and Related Technology ),目前国际上公认的最先进权威的安全和信息技术管理和目前国际上公认的最先进权威的安全和信息技术管理和控制的标准控制的标准,美国信息系统审计与控制协会美国信息系统审计与控制协会( (ISACA) )出版,出版,1996年发布第年发布第一版,一版,2007年年5月发布了月发布了4.1版,版,20122012年年4 4月发布月发布5.05.0版。版。 u C
9、OBIT原理原理 COBIT由框架、控制目标、管理指南和成熟度模型四部分组成它由框架、控制目标、管理指南和成熟度模型四部分组成它们的组成关系如下图所示:们的组成关系如下图所示:COBIT 职责和职责和 可说明性图可说明性图业务目标业务目标IT目标目标IT过程过程要求要求信息信息分分解解关键活动关键活动执执行行业绩业绩指标指标业业绩绩结果结果度量度量结结果果成成熟熟度度成熟度成熟度模型模型控制结果测试控制结果测试审审计计控制目标控制目标控控 制制审审计计控制设计控制设计测试测试控制实践控制实践做法做法实实施施图图1 COBIT组成部分相互关系图组成部分相互关系图 一、一、COBIT框架框架框架(
10、框架(Framework) COBIT将将IT过程、过程、IT资源与业务要求相适应的资源与业务要求相适应的IT目标结合起来,目标结合起来,形成一个形成一个三维的体系结构三维的体系结构。l 与业务要求相适应的总体控制目标与业务要求相适应的总体控制目标l IT资源资源l IT过程过程业业 务务 要要 求求领域领域过程过程活动活动 有有 高高 机机 完完 可可 符符 可可效效 效效 密密 整整 用用 合合 靠靠性性 性性 性性 性性 性性 性性 性性应应 用用 系系 统统 信信 息息基基 础础 设设 施施人人 员员IT 过过 程程IT 资资 源源COBIT立体体系结构图立体体系结构图有效性有效性:应
11、以及时、正确、一致和可用的方式来交应以及时、正确、一致和可用的方式来交付与业务过程有关的信息付与业务过程有关的信息;效率效率:通过优化通过优化(生产率最高且经济合理生产率最高且经济合理)资源使用来资源使用来交付信息交付信息;保密性保密性:保护敏感信息免受未授权泄漏保护敏感信息免受未授权泄漏;完整性完整性:信息的正确和完整,并根据业务价值和期信息的正确和完整,并根据业务价值和期望进行验证望进行验证;可用性可用性:若业务过程现在或将来需要时,信息是若业务过程现在或将来需要时,信息是可用的。可关注于保护所需的资源及相关的能可用的。可关注于保护所需的资源及相关的能力力;符合性符合性:符合业务过程必须遵
12、循的法律法规要求符合业务过程必须遵循的法律法规要求和合同约定,即外部的强制性要求和内部策略和合同约定,即外部的强制性要求和内部策略;可靠性可靠性:为管理者提供适当的信息,以管理组织为管理者提供适当的信息,以管理组织并检验其可信和治理职责并检验其可信和治理职责控制目标控制目标 根据领域、过程和活动三个层面对总体目标进行分解,通过对特定根据领域、过程和活动三个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。的活动实施控制,以实现预定的系统目标。业务目标业务目标治理目标治理目标信息标准信息标准监控与评价监控与评价计划与组织计划与组织交付支持交付支持获取与实施获取与实施IT资源
13、资源管理指南管理指南 管理指南是控制目标在企业的具体应用准则管理指南是控制目标在企业的具体应用准则 ,目的,目的是对是对IT业务活动进行有效控制业务活动进行有效控制 成熟度模型成熟度模型 成熟度模型是评价组织的一种方法。它通过划定成熟度模型是评价组织的一种方法。它通过划定6个成个成熟等级,用以界定出本企业的当前状态。熟等级,用以界定出本企业的当前状态。 如下图:如下图:组织组织规划域规划域u COBIT的四个域的四个域 该域涵盖了战略和策略,致力于寻找该域涵盖了战略和策略,致力于寻找IT如何为实现业务目标作出最佳贡献的途径。如何为实现业务目标作出最佳贡献的途径。此外,战略远景的实现需要策划、沟
14、通并管此外,战略远景的实现需要策划、沟通并管理不同的方面。最后,应建立适当的组织及理不同的方面。最后,应建立适当的组织及技术性基础设施。这一领域主要阐述以下管技术性基础设施。这一领域主要阐述以下管理问题理问题:规划与组织域规划与组织域IT战略与业务战略是否一致?战略与业务战略是否一致?企业是否优化资源的使用?企业是否优化资源的使用?组织的成员是否能够理解组织的成员是否能够理解IT目标?目标?是否意识到了企业所面临的是否意识到了企业所面临的IT风险并予以妥风险并予以妥善管理?善管理?IT系统的质量能否满足业务需求?系统的质量能否满足业务需求?许继集团许继集团ERPERP失败案例分析失败案例分析
15、背景背景 许继在机械行业100强排名中,许继排名第29位 ERP选型选型 许继最终选择了Symix,一家面向中型企业的美国管理软件厂商ERP实施实施 到同年7月份,许继实施ERP的进展都很顺利。8月份,重大机构调整诊断诊断 规划和组织域规划和组织域的的10大流程大流程定定义义信信息息结结构构确确定定技技术术导导向向定定义义I IT T流流程程、组组织织和和关关系系I IT T投投资资管管理理沟沟通通管管理理目目的的和和方方向向 I IT T人人力力资资源源管管理理 质质量量管管理理 I IT T风风险险评评估估及及管管理理项项目目管管理理 涵盖的战略和战涵盖的战略和战术能使信息技术术能使信息技
16、术更好地满足组织更好地满足组织的经营目标的经营目标 定定义义I IT T战战略略计计划划 IT战略应根据战略应根据业务战略业务战略和和优先级优先级来管理和指来管理和指导导IT资源。资源。IT职能和业务相关方负责确保项目和服职能和业务相关方负责确保项目和服务投资组合获取最大价值。务投资组合获取最大价值。IT战略计划应提高关键战略计划应提高关键相关方对于相关方对于IT机会和限制、评估当前绩效以及所需机会和限制、评估当前绩效以及所需投资的水平的投资的水平的理解理解。投资组合应反映业务战略和。投资组合应反映业务战略和优先级,并通过优先级,并通过IT策略计划实施。策略计划实施。IT策略计划建立策略计划建
17、立了简明的目标、计划和任务。了简明的目标、计划和任务。PO1定义定义ITIT战略计划战略计划 信息系统职能部门应建立并定期更新业务信信息系统职能部门应建立并定期更新业务信息模型。定义最优化使用这些信息的适当系统。息模型。定义最优化使用这些信息的适当系统。包括开发组织的包括开发组织的数据字典数据字典和和数据语法规则数据语法规则、数据数据分类指引分类指引和和安全等级安全等级。这一过程通过提供可靠和。这一过程通过提供可靠和安全的信息来提高管理决策的质量,并保障了适安全的信息来提高管理决策的质量,并保障了适当满足业务战略所需的合理信息资源。此外,这当满足业务战略所需的合理信息资源。此外,这一过程对于提
18、高数据完整性和安全的可问责性,一过程对于提高数据完整性和安全的可问责性,提高在应用程序和实体之间分享信息的有效性和提高在应用程序和实体之间分享信息的有效性和控制而言是必需的。控制而言是必需的。PO2定义信息架构定义信息架构 信息服务职能部门应确定支持业务的技术导信息服务职能部门应确定支持业务的技术导向。这要求建立一个向。这要求建立一个技术性基础设施计划和架构技术性基础设施计划和架构委员会委员会,确定并管理明确的、可实现的技术期望,确定并管理明确的、可实现的技术期望,此类期望可以从产品、服务和交付机制三个方面此类期望可以从产品、服务和交付机制三个方面来考虑。应定期更新计划,使其包括完善的系统来考
19、虑。应定期更新计划,使其包括完善的系统架构、技术导向、获取计划、标准、迁移战略和架构、技术导向、获取计划、标准、迁移战略和意外事件。这将有利于确保对竞争环境变化的及意外事件。这将有利于确保对竞争环境变化的及时响应、信息系统人员和投资的规模经济并提高时响应、信息系统人员和投资的规模经济并提高平台和应用系统的互用性。平台和应用系统的互用性。PO3确定技术导向确定技术导向 IT组织必须考虑并定义人员、技能、职能、组织必须考虑并定义人员、技能、职能、可问责性、职权、角色、责任和监管的要求,并可问责性、职权、角色、责任和监管的要求,并将将组织架构嵌入到组织架构嵌入到IT过程框架过程框架之中,以确保透明度
20、之中,以确保透明度和控制的实现,完善所涉及的高层管理和业务管和控制的实现,完善所涉及的高层管理和业务管理。战略委员会应广泛关注理。战略委员会应广泛关注IT执行委员会和其他委执行委员会和其他委员会(这些委员会负责业务和员会(这些委员会负责业务和IT管理),并根据业管理),并根据业务需求确定务需求确定IT资源分配的优先顺序,为所有的职能资源分配的优先顺序,为所有的职能部门建立流程、管理策略和程序。尤其要关注控部门建立流程、管理策略和程序。尤其要关注控制、质量保障、风险管理、信息安全、数据和系制、质量保障、风险管理、信息安全、数据和系统的所有者关系及职责分配等方面。统的所有者关系及职责分配等方面。P
21、O4定义定义ITIT过程、组织和关系过程、组织和关系 高级控制目标:高级控制目标: 建立和维护一个管理建立和维护一个管理IT相关投资程序的框架相关投资程序的框架,这个,这个框架包括成本、收益、投资的优先次序、一个正框架包括成本、收益、投资的优先次序、一个正式的预算过程和与管理相关的预算。利益相关人式的预算过程和与管理相关的预算。利益相关人员需要在员需要在IT战略和战术计划的背景范围内识别和战略和战术计划的背景范围内识别和控控制总成本和收益制总成本和收益,并在需要的地方实施正确的行,并在需要的地方实施正确的行动。培养动。培养IT和业务利益相关人员的伙伴关系的过程,和业务利益相关人员的伙伴关系的过
22、程,可以促使可以促使IT资源的有效使用,提供透明的和可说明资源的有效使用,提供透明的和可说明的总成本关系,实现商业利益和的总成本关系,实现商业利益和IT投资回报。投资回报。PO5ITIT投资管理投资管理通过关注于通过关注于:根据根据IT战略和投资决策,通过设定并追踪战略和投资决策,通过设定并追踪IT预算,来有预算,来有效决策效决策IT投资和投资组合投资和投资组合通过下列实现通过下列实现:预测并分配预算预测并分配预算定义正式的投资组合(定义正式的投资组合(ROI,回收期和,回收期和NPY)根据预测,测量并评价业务价值根据预测,测量并评价业务价值通过下列测量:通过下列测量:交付的交付的IT服务的单
23、位成本的削减比例服务的单位成本的削减比例与成本比较,预算偏离价值的比例与成本比较,预算偏离价值的比例用业务价值驱动因子来表达的用业务价值驱动因子来表达的IT费用比例费用比例(如,因链接增如,因链接增加导致的销售加导致的销售/服务增加服务增加)战略协调战略协调关注于:确保业务计划与关注于:确保业务计划与IT计划的联系;规计划的联系;规定、保持并验证定、保持并验证IT价值建议;协调价值建议;协调IT运营与企业运营。运营与企业运营。价值交付价值交付:在全部交付周期内实施价值建议。确保:在全部交付周期内实施价值建议。确保IT交付预期的战略价值,关注于成本优化并提供交付预期的战略价值,关注于成本优化并提
24、供IT固有固有价值。价值。资源管理资源管理:对关键:对关键IT资源(应用系统、信息、基础设资源(应用系统、信息、基础设施和人员)的优化投资并适当管理。关键的问题在于施和人员)的优化投资并适当管理。关键的问题在于知识和基础设施的优化。知识和基础设施的优化。风险管理:风险管理:要求企业的高层管理者具备良好的风要求企业的高层管理者具备良好的风险意识,清晰了解企业对风险的态度,了解符合险意识,清晰了解企业对风险的态度,了解符合性要求,企业所面临的显著风险的透明化,并将性要求,企业所面临的显著风险的透明化,并将风险管理的职责嵌入组织之中。风险管理的职责嵌入组织之中。绩效测量:绩效测量:追踪并监视战略实施
25、、项目终结、资追踪并监视战略实施、项目终结、资源适用、过程绩效、服务的交付与适用,例如,源适用、过程绩效、服务的交付与适用,例如,平衡计分卡将战略转化为措施,这些措施可以实平衡计分卡将战略转化为措施,这些措施可以实现传统财务管理方面无法测量的目标。现传统财务管理方面无法测量的目标。详细控制目标:详细控制目标:PO5.1财务管理框架财务管理框架建立建立IT财务管理框架,该框架根据投资、服务和资财务管理框架,该框架根据投资、服务和资产的投资组合来产的投资组合来编制预算、分析成本编制预算、分析成本/收益收益。保持。保持IT保障投资方案、保障投资方案、IT服务和服务和IT资产的投资组合,上述资产的投资
26、组合,上述三者构成了当前三者构成了当前IT预算的基础。在充分考虑当前预算的基础。在充分考虑当前IT资产和服务投资组合的基础上,为业务所需的新投资产和服务投资组合的基础上,为业务所需的新投资提供输入。新的投资和维护服务及资产投资组合资提供输入。新的投资和维护服务及资产投资组合将影响到今后的将影响到今后的IT预算。应与预算优先级、成本管预算。应与预算优先级、成本管理和收益管理等过程沟通这些投资组合的成本及收理和收益管理等过程沟通这些投资组合的成本及收益方面的信息。益方面的信息。 PO5.2 IT预算内的优先级预算内的优先级 实现市场决策过程,以确定运营、项目和维护实现市场决策过程,以确定运营、项目
27、和维护等方面所需的等方面所需的IT资源分配的优先级资源分配的优先级。其目的是为。其目的是为了尽量提高了尽量提高IT对于优化对于优化IT保障投资方案以及其他保障投资方案以及其他的工的工T服务和资产的企业投资组合收益的贡献。服务和资产的企业投资组合收益的贡献。 P05.3编制编制IT预算预算 建立建立IT预算和管理过程。预算应反应企业预算和管理过程。预算应反应企业IT保障投保障投资方案的投资组合方案所确定的优先级,并包括持续资方案的投资组合方案所确定的优先级,并包括持续运营并维护当前基础设施所需的成本。该过程应支持运营并维护当前基础设施所需的成本。该过程应支持IT整体预算的开发,以及单个方案预算的
28、开发,应特整体预算的开发,以及单个方案预算的开发,应特别强调这些方案中的别强调这些方案中的IT组件。过程应考虑对整体预算组件。过程应考虑对整体预算和单个方案预算的不断评审、优化和批准。和单个方案预算的不断评审、优化和批准。 PO5.4成本管理成本管理 实施成本管理,实施成本管理,比较实际成本与预算比较实际成本与预算。应监控并报。应监控并报告成本。如出现偏差,应及时识别偏差,并与这些方告成本。如出现偏差,应及时识别偏差,并与这些方案的业务发起者共同评估这些偏差对方案的影响,如案的业务发起者共同评估这些偏差对方案的影响,如果需要,应采取是定拿过的整改措施,并更新方案。果需要,应采取是定拿过的整改措
29、施,并更新方案。 PO5.5收益管理收益管理 实施收益监控过程。无论是作为实施收益监控过程。无论是作为IT保障投资方案的保障投资方案的一个组件或者是作为定期的运营支持的一部分,都应一个组件或者是作为定期的运营支持的一部分,都应识别、商定、监控并报告识别、商定、监控并报告IT对业务结果的预期贡献对业务结果的预期贡献。应评审报告,需要时应采取适当的整改措施来提高应评审报告,需要时应采取适当的整改措施来提高IT贡献。若贡献。若IT贡献影响方案或其他相关项目的变更影响贡献影响方案或其他相关项目的变更影响方案,则应更新业务方案。方案,则应更新业务方案。管理指南管理指南成熟度模型成熟度模型 IT投资管理致
30、力于满足业务对于投资管理致力于满足业务对于IT的下列要求的下列要求:持续改进持续改进IT的成本效率,通过提供整合的、的成本效率,通过提供整合的、标准化的服务来满足最终要户要求,进而为提标准化的服务来满足最终要户要求,进而为提高业务盈利能力作出更大贡献。高业务盈利能力作出更大贡献。 0没有级别没有级别未意识到未意识到IT投资组合和预算的重要性。没有追踪或监控投资组合和预算的重要性。没有追踪或监控IT投投资和费用。资和费用。1初始级初始级 组织组织意识到了需要管理意识到了需要管理IT投资投资,但是这一需求未能通过,但是这一需求未能通过沟通达到一致。初步分配了沟通达到一致。初步分配了IT投资选择和预
31、算开发的职责。投资选择和预算开发的职责。IT投资选择和预算没有形成正式的文件,并独立的实施。投资选择和预算没有形成正式的文件,并独立的实施。只是对只是对IT投资进行基本判断。对于预算决策的制定只是反投资进行基本判断。对于预算决策的制定只是反应式的。应式的。2可重复级可重复级明确了解明确了解需要选择需要选择IT投资和预算投资和预算。选择和预算过程的需。选择和预算过程的需要已经得到沟通。符合性主要依要已经得到沟通。符合性主要依赖于组织内赖于组织内个体的自觉性个体的自觉性。采用通用的方法来开发。采用通用的方法来开发IT预预算的组件。响应式和策略性的制定预算的组件。响应式和策略性的制定预算决策。算决策
32、。 3已定义级已定义级 规定投资和预算的策略和程序,并形成文件予以规定投资和预算的策略和程序,并形成文件予以传达。该策略和程序涵盖了关键的业务和技术问题。传达。该策略和程序涵盖了关键的业务和技术问题。IT预算与预算与IT战略计划和业务计划相一致。将编制预战略计划和业务计划相一致。将编制预算和算和IT投资选择过程投资选择过程形成正式的文件并得到沟通形成正式的文件并得到沟通。存在正式的培训,但仍旧主要基于存在正式的培训,但仍旧主要基于个人的自觉性个人的自觉性。正式批准正式批准IT投资选择和预算。投资选择和预算。IT人员具备开发人员具备开发IT预预算并推荐适当算并推荐适当IT投资所需的技能和经验。投
33、资所需的技能和经验。 4可管理级可管理级 将投资选择和预算的将投资选择和预算的职责和责任分配给职责和责任分配给特定个特定个体。体。识别并解决预算偏差识别并解决预算偏差。实施正式的。实施正式的成本分析成本分析,分析的内容涵盖了现有运营的直接和间接成本以分析的内容涵盖了现有运营的直接和间接成本以及建议的投资,应考虑整个生命周期的全部成本。及建议的投资,应考虑整个生命周期的全部成本。使用预先规定的标准化的预算过程。在投资计划使用预先规定的标准化的预算过程。在投资计划中考虑了,硬件、软件、系统集成和中考虑了,硬件、软件、系统集成和IT人力资源人力资源的开发和运营成本变更的影响。采用财务和非财的开发和运
34、营成本变更的影响。采用财务和非财务指标来计算收益。务指标来计算收益。 5优化级优化级 应用最佳惯例进行应用最佳惯例进行成本标杆管理成本标杆管理,并识别提高投,并识别提高投资有效性的方法。在投资选择和制定预算过程中,资有效性的方法。在投资选择和制定预算过程中,应用技术性开发分析应用技术性开发分析。根据实际投资绩效分析中所。根据实际投资绩效分析中所获取的经验持续改进投资管理过程。投资决策包括获取的经验持续改进投资管理过程。投资决策包括价格价格/绩效改进趋势。在组织现有资金结构的框架,绩效改进趋势。在组织现有资金结构的框架,使用正式的评价方法来正式调研和评价现金替代方使用正式的评价方法来正式调研和评
35、价现金替代方案。在投资决策过程中包括整个生命周期的案。在投资决策过程中包括整个生命周期的长期成长期成本和收益分析本和收益分析。 管理者应开发企业的管理者应开发企业的IT控制框架并规定控制框架并规定沟通沟通策略策略,并通过实施持续的沟通方案来清晰地传达,并通过实施持续的沟通方案来清晰地传达管理者支持的管理者支持的宗旨、服务目标、策略和程序宗旨、服务目标、策略和程序等。等。而且沟通可以支持而且沟通可以支持IT目标的实现,确保员工意识并目标的实现,确保员工意识并理解相关业务和理解相关业务和IT的风险、目标及导向。该过程应的风险、目标及导向。该过程应确保与相关法律法规的符合性。确保与相关法律法规的符合
36、性。PO6沟通管理目的和方向沟通管理目的和方向获取、保持并激励具备能力的人员获取、保持并激励具备能力的人员为业务需要创为业务需要创造并交付造并交付IT服务。为实现上述目标,应制定并遵循服务。为实现上述目标,应制定并遵循惯例。这些惯例支持招聘、培训、绩效评估、晋惯例。这些惯例支持招聘、培训、绩效评估、晋升和终止。这一过程很重要,因为升和终止。这一过程很重要,因为人是重要的资人是重要的资产产,治理和内部控制环境非常依赖于人员的动机,治理和内部控制环境非常依赖于人员的动机和能力和能力。PO7IT人力资源管理人力资源管理应建立并保持应建立并保持质量管理体系质量管理体系(QMS)。)。QMS应包应包括经
37、批准的开发及获取的过程和标准。通过建立括经批准的开发及获取的过程和标准。通过建立清晰的质量要求,程序和策略来策划、实施和保清晰的质量要求,程序和策略来策划、实施和保持持QMS进而实现质量保障。对于质量要求应陈述进而实现质量保障。对于质量要求应陈述并传达并传达定量的、可实现的指标定量的、可实现的指标。通过持续的监视、。通过持续的监视、分析和响应偏差来实现持续改进,并将结果传达分析和响应偏差来实现持续改进,并将结果传达给利益相关方。质量管理对于保障给利益相关方。质量管理对于保障IT为业务交付价为业务交付价值、持续改进及利益相关方的透明化方面至关重值、持续改进及利益相关方的透明化方面至关重要。要。P
38、O8质量管理质量管理创建并保持创建并保持风险管理框架风险管理框架。该框架用文件化的方。该框架用文件化的方式陈述了一个通用约定的式陈述了一个通用约定的IT风险等级、削减战略和风险等级、削减战略和约定的参与风险。约定的参与风险。应识别、分析并评估任何不期应识别、分析并评估任何不期望事件对组织目标的潜在影响望事件对组织目标的潜在影响。应采用风险削减。应采用风险削减策略来最小化残余风险将其降低到可接受的水平。策略来最小化残余风险将其降低到可接受的水平。风险评估的结果应易于利益相关方理解并采用财风险评估的结果应易于利益相关方理解并采用财务数据来表达,以保障利益相关方能够调节风险务数据来表达,以保障利益相
39、关方能够调节风险至可容忍的程度。至可容忍的程度。PO9IT风险评估及管理风险评估及管理为了管理所有的为了管理所有的IT项目,组织需要建立规模较大项目,组织需要建立规模较大的的项目以及项目管理框架和方案。这个框架应当确项目以及项目管理框架和方案。这个框架应当确保所有项目具有正确的优先级并相互协调。为了保所有项目具有正确的优先级并相互协调。为了确保项目风险管理的实施以及为业务交付价值,确保项目风险管理的实施以及为业务交付价值,框架应包括:框架应包括:主计划、资源分配、交付物的定义、主计划、资源分配、交付物的定义、经过用户的批准、交付的阶段性方法、质量保证,经过用户的批准、交付的阶段性方法、质量保证
40、,正式的测试计划,测试以及实施后的评审正式的测试计划,测试以及实施后的评审。这个。这个方法减少了非预期的费用超支和项目被取消的风方法减少了非预期的费用超支和项目被取消的风险,提高了业务部门和最终用户的交流和参与,险,提高了业务部门和最终用户的交流和参与,确保项目交付产品的价值和质量,同时能够最大确保项目交付产品的价值和质量,同时能够最大化它们对化它们对IT投资项目的回报。投资项目的回报。PO10项目管理项目管理为实现为实现IT战略,应识别、开发战略,应识别、开发/采购、实施采购、实施IT解解决方案并将其整合到业务过程中。此外,该域决方案并将其整合到业务过程中。此外,该域还涵盖了现有系统的变更与
41、保持以确保解决方还涵盖了现有系统的变更与保持以确保解决方案持续满足业务目标。这一领域主要阐述下列案持续满足业务目标。这一领域主要阐述下列管理问题管理问题:获取与实施域获取与实施域新项目提供的解决方案新项目提供的解决方案能否满足业务需求能否满足业务需求?新项目能否在既定的新项目能否在既定的预算内按期交付预算内按期交付?新系统能否新系统能否按期运行按期运行?变更变更能否不干扰当前的业务运行?能否不干扰当前的业务运行?中海油一网打尽中海油一网打尽2323个油气田设备管理个油气田设备管理 EAMEAM而不是而不是ERP ERP ERP当时在中国大热,但是中海油出于谨慎做了调查,觉得国企的管理水平和运营
42、机制尚不适合上ERP;公司内部条件不成熟效果效果 识别自动化解决方案识别自动化解决方案获得并维护应用软件获得并维护应用软件获取并维护技术基础设施获取并维护技术基础设施保障运营和使用保障运营和使用 获得获得ITIT资源资源变更管理变更管理安装、授权解决方案和变更安装、授权解决方案和变更 IT解决方案需要得到确认、制定或采购,并在业务流程中得到执行和整合解决方案需要得到确认、制定或采购,并在业务流程中得到执行和整合 获取和获取和实施的实施的7大流程大流程为了确保快速有效地满足业务需求,在新的应用为了确保快速有效地满足业务需求,在新的应用或者新的功能获得或者生产之前,需要对新的应或者新的功能获得或者
43、生产之前,需要对新的应用或者新的用或者新的需求需求功能进行分析功能进行分析。这个分析过程包。这个分析过程包括需求定义、其他资源的考虑、技术和经济可行括需求定义、其他资源的考虑、技术和经济可行性审查、执行风险分析和投资回报分析、性审查、执行风险分析和投资回报分析、“生产生产”还是还是“外购外购”的最终决定。所有这些步骤都是的最终决定。所有这些步骤都是为了组织在确保达到业务目标的同时,使获得和为了组织在确保达到业务目标的同时,使获得和执行这些解决方案的费用最小。执行这些解决方案的费用最小。AI1识别自动化解决方案识别自动化解决方案企业必须提供应用系统以满足业务的需求。这个企业必须提供应用系统以满足
44、业务的需求。这个过程包括过程包括应用系统的设计应用系统的设计、适当的、适当的包含应用控制包含应用控制和安全要求和安全要求、根据标准进行实际的、根据标准进行实际的开发和配置开发和配置。正确的自动化应用系统能够很好地支持组织的业正确的自动化应用系统能够很好地支持组织的业务正常运行。务正常运行。AI2获得并维护应用软件获得并维护应用软件组织应当组织应当建立获得、执行和升级技术基础设施建立获得、执行和升级技术基础设施的的过程。这要求一个已经计划好的能够获得、维护、过程。这要求一个已经计划好的能够获得、维护、和保护基础设施的方法并且这个方法应该与已获和保护基础设施的方法并且这个方法应该与已获批准的技术战
45、略和管理规定的开发与测试环境保批准的技术战略和管理规定的开发与测试环境保持一致,从而确保为业务应用提供持续的技术支持一致,从而确保为业务应用提供持续的技术支持。持。AI3获取并维护技术基础设施获取并维护技术基础设施新系统的知识体系需要被有效的建立。本流程需新系统的知识体系需要被有效的建立。本流程需要为用户和要为用户和IT制定文件和手册制定文件和手册,并提供培训,以确,并提供培训,以确保应用程序和基础设施的正确使用和运营。保应用程序和基础设施的正确使用和运营。AI4保障运营和使用保障运营和使用获取所需的获取所需的IT资源,包括资源,包括人员、硬件、软件和服务人员、硬件、软件和服务,并需要通过定义
46、及执行获取程序、供应商选择、并需要通过定义及执行获取程序、供应商选择、合同管理及实际获取过程本身,以确保组织能及合同管理及实际获取过程本身,以确保组织能及时的、节省成本的方式获取所需的时的、节省成本的方式获取所需的IT资源。资源。AI5获得获得IT资源资源所有变更,包括所有变更,包括应急维护和补丁应急维护和补丁,如果生产环境,如果生产环境中的基础设施和应用程序相关,则必需以受控的中的基础设施和应用程序相关,则必需以受控的方式进行正式管理。在实施变更和评审变更(包方式进行正式管理。在实施变更和评审变更(包括程序、流程、体系和服务参数)结束之前,必括程序、流程、体系和服务参数)结束之前,必需进行记
47、录、评估和授权。确保减少对生产环境需进行记录、评估和授权。确保减少对生产环境的稳定性、完整性的消极影响。的稳定性、完整性的消极影响。AI6变更管理变更管理新系统在开发完成后,需要进行运营。在专用环新系统在开发完成后,需要进行运营。在专用环境下,应对相应测试数据、新产品试用和迁移说境下,应对相应测试数据、新产品试用和迁移说明的定义、发布产品预期和实现的提高、实施前明的定义、发布产品预期和实现的提高、实施前评审等进行适当的测试,确保运营系统达到协商评审等进行适当的测试,确保运营系统达到协商的期望和成果。的期望和成果。AI7安装、授权解决方案和变更安装、授权解决方案和变更交付与支持域交付与支持域这一
48、领域主要关注所需服务的实际交付情况,这一领域主要关注所需服务的实际交付情况,包括服务交付、安全和连续性管理、用户支持包括服务交付、安全和连续性管理、用户支持服务、数据和操作设施管理。该领域主要阐述服务、数据和操作设施管理。该领域主要阐述下列管理问题下列管理问题:IT服务是否按照服务是否按照业务的优先级交付业务的优先级交付?IT成本是否最优成本是否最优?工作负荷工作负荷能否保障能否保障IT系统的有效和可靠实用系统的有效和可靠实用?是否实现充分的是否实现充分的保密性、完整性和可用性保密性、完整性和可用性?哈药哈药ERPERP的启示的启示 软件采用软件采用 2000年,Oracle成为哈药ERP的软
49、件提供商 利玛成为哈药ERP项目实施服务的提供商 问题出现问题出现 利玛在哈药ERP项目的实施团队集体离职交付和支持域的交付和支持域的13大流程大流程l 定义和管理服务水平定义和管理服务水平l 第三方服务管理第三方服务管理 l 性能管理和容量管理性能管理和容量管理 l 确保持续服务确保持续服务 l 确保系统安全确保系统安全l 确定并分配成本确定并分配成本 l 教育和培训用户教育和培训用户 l 服务台和事故管理服务台和事故管理l 配置管理配置管理 l 问题管理问题管理l 数据管理数据管理l 物理环境的管理物理环境的管理 l 运营管理运营管理 IT管理者和业务客户之间关于管理者和业务客户之间关于所
50、需服务的有效沟通所需服务的有效沟通是能够通过书面的定义和是能够通过书面的定义和IT服务及服务水平的协议服务及服务水平的协议来实现的,这个流程包括对所达到的服务水平进来实现的,这个流程包括对所达到的服务水平进行监控并及时向股东报告,保证行监控并及时向股东报告,保证IT业务可以满足相业务可以满足相关业务需求。关业务需求。DS1定义和管理服务水平定义和管理服务水平为了保证由第三者提供的服务符合业务需求,组为了保证由第三者提供的服务符合业务需求,组织需要建立有效的织需要建立有效的第三者管理程序第三者管理程序。这个程序包。这个程序包括在括在第三方协议中清楚地定义角色、责任和期望第三方协议中清楚地定义角色
51、、责任和期望,同时还包括为保证有效性和一致性所做的同时还包括为保证有效性和一致性所做的定期检定期检查和监控查和监控。有效的管理第三方服务能使与不履行。有效的管理第三方服务能使与不履行责任的供应商相关的业务风险降到最低。责任的供应商相关的业务风险降到最低。DS2第三方服务管理第三方服务管理为了管理为了管理IT资源的性能和容量,组织需要建立一个资源的性能和容量,组织需要建立一个流程,周期性的检查现有的流程,周期性的检查现有的IT资源的性能和容量。资源的性能和容量。这个流程包括基于这个流程包括基于流量、存储和应急需求流量、存储和应急需求对未来对未来需求的预测。这个流程提供了信息资源支持业务需求的预测
52、。这个流程提供了信息资源支持业务需求持续发展的保证。需求持续发展的保证。DS3性能管理与容量管理性能管理与容量管理12306网站网站为了提供为了提供IT服务的持续性,组织需要服务的持续性,组织需要开发、维护和开发、维护和测试测试IT持续性计划,异地备份存储,定期的持续的持续性计划,异地备份存储,定期的持续的培训。培训。一个有效的持续的服务程序能够减少主要一个有效的持续的服务程序能够减少主要IT服务中断的可能性和对关键业务和处理的影响。服务中断的可能性和对关键业务和处理的影响。DS4确保服务的连续性确保服务的连续性为了维护信息的完整性和保护为了维护信息的完整性和保护IT资产,组织需要建资产,组织
53、需要建立一个立一个安全管理程序安全管理程序。这个程序包括建立和维护。这个程序包括建立和维护IT安全的角色、责任、策略、标准和程序。安全管安全的角色、责任、策略、标准和程序。安全管理包括进行安全监控、定期测试、对已明确的理包括进行安全监控、定期测试、对已明确的安安全脆弱性或事故进行纠正全脆弱性或事故进行纠正。有效的安全管理通过。有效的安全管理通过最小化安全脆弱性和安全事件对业务的影响,从最小化安全脆弱性和安全事件对业务的影响,从而保护所有而保护所有IT资产。资产。DS5确保系统安全确保系统安全为业务部门公平和公正地分配为业务部门公平和公正地分配IT费用,需要精确的费用,需要精确的计算计算IT成本
54、成本并与业务使用者在公平的分配上达成一并与业务使用者在公平的分配上达成一致。这个过程包括给服务的使用者建立和运营一致。这个过程包括给服务的使用者建立和运营一个系统用于个系统用于捕获、分配和报告捕获、分配和报告IT成本成本。一个公平的。一个公平的分配系统能够使业务部门对分配系统能够使业务部门对IT服务的使用做出更多服务的使用做出更多信息的决定。信息的决定。DS6识别并分配费用识别并分配费用IT系统的所有用户的有效教育是指系统的所有用户的有效教育是指IT系统的内部用系统的内部用户,必须明确户,必须明确各个用户组培训的需求各个用户组培训的需求,定义和执,定义和执行有效的培训战略并检查培训结果。一个有
55、效的行有效的培训战略并检查培训结果。一个有效的培训计划可以提高技术的使用效率,减少用户的培训计划可以提高技术的使用效率,减少用户的错误,增加生产率和关键控制的负荷性。错误,增加生产率和关键控制的负荷性。DS7教育和培训用户教育和培训用户及时有效地响应及时有效地响应IT用户的用户的查询和问题查询和问题需要一个很好需要一个很好的设计和执行服务台和紧急事件管理程序,这个的设计和执行服务台和紧急事件管理程序,这个程序包括设定服务台的功能,用来登记、逐步升程序包括设定服务台的功能,用来登记、逐步升级事件、分析引起的根本原因和解决问题。企业级事件、分析引起的根本原因和解决问题。企业利益包括通过快速的响应用
56、户的查询提高生产率。利益包括通过快速的响应用户的查询提高生产率。DS8服务台和紧急事件管理服务台和紧急事件管理确保硬件和软件配置的完整性需要建立和维护一确保硬件和软件配置的完整性需要建立和维护一个个准确的和完整的配置库准确的和完整的配置库,这个过程包括收集初,这个过程包括收集初始的配置信息、建立基线、校验和审计配置信息、始的配置信息、建立基线、校验和审计配置信息、需要的时候更新配置库。有效的配置管理促进更需要的时候更新配置库。有效的配置管理促进更高的系统利用率,使使用中的问题减小到最小化高的系统利用率,使使用中的问题减小到最小化并能快速地解决问题。并能快速地解决问题。DS9配置管理配置管理配置
57、项,就一个项目整个的生命周期过程中,所产生的一切文档、程序以及需要进行配置项,就一个项目整个的生命周期过程中,所产生的一切文档、程序以及需要进行控制的项目。那么这些配置项所保存、管理的一个地方,就叫配置库。控制的项目。那么这些配置项所保存、管理的一个地方,就叫配置库。基线是软件文档或源码基线是软件文档或源码(或其它产出物或其它产出物)的一个稳定版本的一个稳定版本,它是进一步开发的基础它是进一步开发的基础.所以所以,当当基线形成后基线形成后,项目负责项目负责SCM的人需要通知相关人员基线已经形成的人需要通知相关人员基线已经形成,并且哪儿可以找到这并且哪儿可以找到这基线了的版本基线了的版本有效的问
58、题管理需要明确问题、分类问题、分析有效的问题管理需要明确问题、分类问题、分析问题起因、解决问题问题起因、解决问题,还包括识别改善的建议、,还包括识别改善的建议、问题记录的维护、审查纠正行为的状态。一个有问题记录的维护、审查纠正行为的状态。一个有效的问题管理程序能够改善服务水平、减少成本、效的问题管理程序能够改善服务水平、减少成本、为客户提供便利、提高客户的满意度。为客户提供便利、提高客户的满意度。DS10问题管理问题管理软件工程师用木马篡改彩票数据诈骗软件工程师用木马篡改彩票数据诈骗3305万万有效的数据管理需要识别数据需求,数据管理程有效的数据管理需要识别数据需求,数据管理程序应该包括建立有
59、效的管理程序,序应该包括建立有效的管理程序,管理介质库、管理介质库、数据的备份和恢复、介质的恰当处理数据的备份和恢复、介质的恰当处理等。高效的等。高效的数据管理可以帮助组织确保业务数据的质量、时数据管理可以帮助组织确保业务数据的质量、时间性和有效性。间性和有效性。DS11数据管理数据管理计算机设备和人员的保护需要良好设计和良好管计算机设备和人员的保护需要良好设计和良好管理的物理设施,管理物理环境的程序包括定义物理的物理设施,管理物理环境的程序包括定义物理场所的需求、选择恰当的设施、设计监控环境理场所的需求、选择恰当的设施、设计监控环境因素的有效程序和管理物理访问、物理过程的有因素的有效程序和管
60、理物理访问、物理过程的有效管理、计算机设备和人员受到损害引起的业务效管理、计算机设备和人员受到损害引起的业务的中断。的中断。DS12物理环境管理物理环境管理完整、准确的数据处理需要有效的完整、准确的数据处理需要有效的数据处理管理数据处理管理和硬件维护和硬件维护,这个过程包括定义预处理的有效管,这个过程包括定义预处理的有效管理、理、敏感信息输出的保护敏感信息输出的保护、基础设施的监控和预、基础设施的监控和预防性的硬件维护等的运营规则和程序。有效的运防性的硬件维护等的运营规则和程序。有效的运营管理能够帮助维护数据的完整性,减少业务的营管理能够帮助维护数据的完整性,减少业务的延期和延期和IT的运营成
61、本。的运营成本。DS13运营管理运营管理监控与评价域监控与评价域 应定期评估应定期评估IT过程的质量及与控制要求的符合过程的质量及与控制要求的符合程度。该领域阐述了绩效管理、内部控制的监程度。该领域阐述了绩效管理、内部控制的监视、法律法规符合性并提供治理等内容。该领视、法律法规符合性并提供治理等内容。该领域主要阐述下列管理问题:域主要阐述下列管理问题:IT绩效测量能否及时查出问题?绩效测量能否及时查出问题?管理者是否确保内部控制的效率和有效性?管理者是否确保内部控制的效率和有效性?IT绩效如何回溯到业务目标?绩效如何回溯到业务目标?是否测量并报告风险、控制、符合性和绩效?是否测量并报告风险、控
62、制、符合性和绩效?监控和评价领域的监控和评价领域的4领域:领域:l 监控与评价监控与评价ITIT绩效绩效l 监控与评价内部控制监控与评价内部控制l 确保与法律的符合性确保与法律的符合性 l 提供提供ITIT治理治理有效的有效的IT绩效管理需要一个监控过程。此过程要定绩效管理需要一个监控过程。此过程要定义义相关绩效指标相关绩效指标、一个系统的、一个系统的适时绩效报告适时绩效报告和和异异常提示行动常提示行动。监控必须以正确执行和在好的方向。监控必须以正确执行和在好的方向和策略中执行为前提。和策略中执行为前提。ME1监控与评价监控与评价IT绩效绩效为为IT需要的良好定义的监控过程建立有效的内部控需要
63、的良好定义的监控过程建立有效的内部控制程序,此过程包括制程序,此过程包括例外控制的监控例外控制的监控和报告及和报告及自自我评估我评估和和第三方审核结果第三方审核结果。一个内部控制监控的。一个内部控制监控的关键利益是为有效率和效果的运行及为符合适当关键利益是为有效率和效果的运行及为符合适当的法律法规提供保障。的法律法规提供保障。ME2监控与评价内部控制监控与评价内部控制在确保与法律的符合性的控制过程中,业务对信在确保与法律的符合性的控制过程中,业务对信息的要求主要强调遵循息的要求主要强调遵循COBIT信息准则中的符合信息准则中的符合性,次要强调可靠性。这一过程关注的性,次要强调可靠性。这一过程关
64、注的IT治理领域治理领域主要是战略协调领域。同时管理和指导的主要是战略协调领域。同时管理和指导的IT资源包资源包括应用系统、基础设施、信息和人员。括应用系统、基础设施、信息和人员。ME3确保与法律的符合性确保与法律的符合性番茄花园作者被警方逮捕番茄花园作者被警方逮捕 有网友在论坛中报料称,有网友在论坛中报料称,“番茄花园站长已经番茄花园站长已经被苏州市虎丘区派出所,以利用互联网侵犯知识产被苏州市虎丘区派出所,以利用互联网侵犯知识产权牟利罪刑事拘留,主犯从犯都已经落网。权牟利罪刑事拘留,主犯从犯都已经落网。”这条传言还称,这条传言还称,“番茄花园的老大被抓后,警番茄花园的老大被抓后,警方查处其帐
65、户有方查处其帐户有200多万元存款。多万元存款。”这一消息未获证这一消息未获证实。通过搜索发现,实。通过搜索发现,“番茄花园番茄花园 被抓被抓”这一关键词,这一关键词,已有近已有近3000个网页,几天之内,这一消息已经传遍个网页,几天之内,这一消息已经传遍整个互联网圈。整个互联网圈。建立有效的治理框架,包括定义组织结构,过程,建立有效的治理框架,包括定义组织结构,过程,领导力,角色和职责,以确保企业领导力,角色和职责,以确保企业IT投资保持与企投资保持与企业战略和目标一致下交付。业战略和目标一致下交付。ME4提供提供IT治理治理u COBIT与与COSO以及以及SOX的关系的关系1、COBIT
66、不是不是COSO框架的替代品,而是框架的替代品,而是COSO框架的有力补充框架的有力补充 。2、COBIT的全部控制目标为审计人员寻求实施萨班斯法案的全部控制目标为审计人员寻求实施萨班斯法案404条款条款内部控制评审提供了强大的支持。内部控制评审提供了强大的支持。三者关系如下图所示:三者关系如下图所示: SOX内控条款内控条款规划和组织规划和组织获取和实施获取和实施支付和支持支付和支持监督和评价监督和评价控制控制 环境环境风险风险 评估评估控制控制 活动活动信息和沟通信息和沟通监监 督督4 40 04 4 条条 款款3 30 02 2 条条 款款COBIT控制目标控制目标COSO五五层层内内控
67、控框框架架 COBIT与与COSO以及以及SOX的关系图的关系图业务持续计划与灾难恢复审业务持续计划与灾难恢复审计计信息资产安全审信息资产安全审计计IT服务的交付与支持审计服务的交付与支持审计信息系统信息系统开发开发生命周期管理审生命周期管理审计计IT治理审治理审计计信息系统审计信息系统审计项目管项目管理审计理审计软件获软件获取过程取过程审计审计详细设详细设计和编计和编码阶段码阶段审计审计测试阶测试阶段审计段审计安装阶安装阶段审计段审计 需求定需求定义阶段义阶段审计审计 安装后审计安装后审计和系统变更和系统变更流程与迁移流程与迁移程序审计程序审计 七大部分七大部分操作系统操作系统 审查审查调度调度审核审核问题管理报告问题管理报告 审核审核数据库数据库 审核审核 硬件硬件 审查审查 ITIT服务的交付与支持审计服务的交付与支持审计
