IT-审计作用与趋势

IT审计作用与趋势@tlan.net.cn@tlan.net.cn目录企业中IT与IT审计的作用P2信息技术与IT审计的发展趋势P6IT审计实务与案例分享P11-IT专项审计案例简介P12-基于大数据管理的IT审计案例P22-云计算、社交网络等新环境下的IT审计案例P29甫瀚简介P34企业中IT与IT审计的作用@tlan.net.cn@tlan.net.cn现代企业运营体系与架构公司董事会与高级管理层业务战略组织架构管理流程与制度绩效体系沟通机制商品物流售后服务对外销售库存管理商品加工与生产物料采购内部物流商品价值增加与传递产品研发与技术管理人力资源管理设备管理与改进市场营销企业战略层面核心业务流程支持流程产业政策与监管要求竞争对手信息上下游供应商情报市场信息@tlan.net.cn信息技术在企业运营中的职能替代手工工作-WPS-Office-简单MIS系统…………业务操作信息化-从MRP、MRPII到ERP系统-工业控制PLC-数据仓库…………新兴利润增长点-云计算应用-移动互联网-海量数据分析-商业智能与决策支持…………信息技术在企业中发展过程信息系统在企业管理中的职能自1980年以来，IT技术在中国得到了长足的发展。在商业应用领域，IT技术从最初替代手工进行文字处理，到企业信息化、自动化、智能化作业，其已成为企业业务发展最重要的一环，是企业价值链的重要载体，也是企业在竞争中获得优势的重要手段和方式。信息技术已深刻地驱动了各个行业的产业升级和变革，颠覆性地改变了企业传统经营模式，对企业运营的方方面面产生了巨大影响。@tlan.net.cnIT审计在企业运营与IT管理中的职能核心信息系统IT基础架构网络操作系统数据库IT公司层面控制IT组织结构、IT战略规划、IT制度及流程、IT服务质量管理人力资源系统财务系统ERP系统OA系统生产系统CRM系统企业IT基础架构公共云私有云IT流程外包合规职能咨询职能系统变更(PC)访问安全(AS)日常运维(OM)系统开发(PD)IT公司级控制IT应用控制(ITAC)IT一般性控制(ITGC)计算机辅助审计(CAATs)IT治理评估与审计业务持续性(BCM)审计核心IT系统质量评估与改进数据安全有效性评估核心信息系统实施监理网络安全与渗透测试信息技术与IT审计的发展@tlan.net.cn@tlan.net.cn信息技术发展趋势：大数据管理数据清洗、标准化与集成数据存储成本优化构建基于业务需求的数据分析模型基于海量数据的商业智能分析系统建设通过数据分析与预测，实现商业决策支持数据治理在大数据时代，IT团队新的工作方向与内容建议：•大数据的定义:大数据（Bigdata）通常用来形容一个公司创造的大量非结构化和半结构化数据，这些数据在下载到关系型数据库用于分析时会花费过多时间和金钱。截止到2012年，数据量已经从TB（1024GB=1TB）级别跃升到PB（1024TB=1PB）、EB（1024PB=1EB）乃至ZB(1024EB=1ZB)级别。实时的大型数据集分析需要像MapReduce一样的框架来向数十、数百甚至数千的电脑分配工作。•大数据时代对IT管理的影响与推动:大数据时代的到来，将实现数据管理从成本中心向利润中心的转变，并实现其不可替代的竞争优势，也让IT人员从业务的旁观者迅速转变为业务的参与者和变革的主导者。大数据时代的到来，不仅改变了IT管理人员的角色与职责，更从以下几个维度，改变了IT管理实践：1)新兴IT技术的广泛应用(如虚拟化、Hadoop、框架结构)；2)对数据认知的转变；3)数据模型构建能力的提升；4)IT基础架构更加敏捷化的驱动；5)价值导向的思维模式。@tlan.net.cn信息技术发展趋势：云计算与流程外包是基于互联网的IT服务的增加、使用和交付模式，主要指通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算分为私有云和公共云。目前云计算的主要表现形式为IAAS、SAAS、PAAS等。Gartner分析报告指出：全球公共云服务支出在2012年为1103亿美元，从2011年至2016年的复合年增长率为17.7%。市场总额预计将从2010年的769亿美元增长到2016年的2100亿美元。云计算对企业IT管理造成的影响：云计算流程外包优化IT服务成本与方式拓展了企业系统、数据边界优化和改变了IT基础架构数据、系统安全风险加大有效管理和度量IT服务质量提升IT服务专业化程度降低IT服务获取成本更加专注于高附加值IT服务指将公司IT服务流程中的部分或全部的非核心流程交由专业第三方IT服务商操作。通过将客户的部分或全部管理及运营中流程转移到服务商，将公司有限的IT资源从非核心IT流程中解放出来，集中到核心、具有高附加值的IT服务和管理上来。IT服务流程外包既是IT服务专业化的必然趋势，也是企业有效平衡IT服务质量、成本与资源的必然选择。目前，IBM、埃森哲、HP等传统IT企业已实现向IT服务外包商的转型，为企业提供专业化的IT外包服务。企业可以通过建立内部IT服务中心形式实现内部IT服务外包操作，也可以引入外部第三方IT服务提供商。IT服务流程外包对企业IT管理造成的影响：@tlan.net.cn信息技术发展趋势：企业架构支持与优化基于TOGAF的EA的组件图TOGAF是一个架构框架，简而言之，是一种协助开发、验收、运行、使用和维护架构的工具。TOGAF已被80%的Forbes50（福布斯）的公司使用。企业架构(EnterpriseArchitecture，EA)，用来描述一个用构建块的集合来设计企业目标状态的方法，并显示这些构建块如何搭配在一起。有效的企业架构对企业的生存和成功具有决定性的作用，是企业通过IT获得竞争优势的不可缺少的手段。企业架构如同战略规划，可以辅助企业完成业务及IT战略规划。在业务战略方面，可使用TOGAF及其架构开发方法（ArchitectureDevelopmentMethod，ADM）来定义企业的愿景/使命、目标/目的/驱动力、组织架构、职能和角色。在IT战略方面，TOGAF及ADM详细描述了如何定义业务架构、数据架构、应用架构和技术架构，是IT战略规划最佳实践的指引。实现IT管理从业务需求驱动向IT驱动业务转型的转变敏捷地支持业务战略执行和企业运营，消除IT壁垒更好地平衡IT效率与业务创新之间的关系更加科学和经济地管理IT投资提升IT基础架构运行效率与效果，有效支持IT服务需求12354优秀的企业架构带来的价值@tlan.net.cn新环境下IT审计发展的趋势IT审计在新兴IT基础架构与实践情况下的发展趋势和方向IT审计发展第一阶段(1990s至2000s)主要目标与工作方法论•工作目标为“合规”与“差错”•以风险为导向，基于流程管理的内部审计方法论主要工作内容和流程：•IT公司级控制(ITELC)•IT一般性控制审计•系统开发•系统变更•运维管理•访问安全•IT应用控制审计•权限管理•职责分离•系统参数配置•审批流程•输入控制与数据计算•终端计算管理(EUC)IT审计发展第二阶段(2000s至2010s)主要目标与工作方法论•工作目标为支持业务运营与发展，有效控制和管理IT风险，保证IT服务质量与效率•以业务管理需求驱动的IT稽查工作主要工作内容和流程：•业务持续性管理项目审计•核心业务系统实施项目审计•IT服务管理评估与改进•IT设备专项审计(IDC、网络安全等)•数据安全与等级保护审计•渗透测试•IT投资成本收益评估•核心业务系统有效性与质量评估…………IT审计发展趋势(2010s至2020s)主要目标与工作方法论•工作目标为通过IT审计有效地发现、度量与提升IT价值和收益•以价值为导向和驱动的带有高附加值的IT审计工作方法论主要工作内容和流程：•数据分析模型设计咨询与审计•IT治理评估与改进•IT基础架构有效性评估与改进建议•信息系统与数据整合•IT组织架构效能评估和优化•IT服务质量优化与IT服务转型建议•IT外包服务遴选与质量监督•IT成本分析与改进优化…………IT审计实务与案例分享@tlan.net.cn案例1：IT专项审计案例简介@tlan.net.cnIT专项审计的介绍IT专项审计通常根据企业的需要，针对单个项目、事件或问题开展的审计，其涉及内容可能多种多样，例如：–IT系统审计–IT项目审计–业务持续性审计–信息系统安全审计–网络边界审计–网络安全审计–物理风险审计–人员风险审计–……@tlan.net.cn案例分析：核心业务系统实施专项审计•某企业计划今年实施一个新的核心业务系统，由于项目影响重大，内审部门将参与此项目，以确保项目的成功。该怎么做呢？业务需求分析业务蓝图实现最终准备上线与支持实施团队内部审计对项目组进行控制与安全的指导、培训与检查。确保在流程和系统设计阶段有足够的控制。确保数据迁移计划中包含了足够的控制。检查系统控制和安全架构，并提出改进建议。确保控制的设计、记录和部署，确保访问权限符合业务需要。确保有足够的控制保证数据迁移过程中的数据完整性。对变更管理与安全管理进行监控。对上线后发现的差异进行跟踪。对整个实施过程提供独立的鉴证与报告。项目风险监控、建议与报告•企业内部IT审计人员在核心系统实施过程中承担的角色：@tlan.net.cn核心业务系统实施专项审计的范围业务系统实施的专项审计大致可以分为上线前审计和上线后审计，不同的阶段有不同的审计重点：项目上线前的审计项目上线前的审计主要是保证项目实施的质量，根据项目的实施过程，可以着重以下几点：项目流程的审计项目文档的审计开发和控制的审计验收和测试的审计安全设计的审计职责分离和权限控制的审计系统接口部分的审计系统支持和更改流程的审计系统外包的审计项目上线后的审计系统上线后的审计主要是对系统运行一段时间以后，对系统的整体情况进行一次审计，主要有以下几点：评估系统是否实现了原来的业务需求评估系统对风险的控制是否符合法规的要求对系统的整改情况进行检查@tlan.net.cn系统上线前审计关键点项目流程的审计项目流程审计工作主要内容为：测试项目管理是否设计并实施一套完整的流程。主要通过以下控制实现项目流程管理:是否设计建立一套完整的项目组织架构对项目的不同阶段是否设计并实施一套完整的质量控制流程业务流程的设计是否合理是否存在相关的风险控制的流程是否存在文档管理的流程项目的流程控制是保证项目工期和质量的重要因素，也是做内部审计的重点内容之一.项目文档的审计项目的文档资料是保证项目质量和日后日常支持的重要因素，我们主要审计以下文档的完整性及合理性:项目可行性报告项目需求文档和实施计划系统的技术配置或开发文档项目的设计说明和总体架构产品的功能说明系统的测试文档和验收报告用户操作手册会议记录@tlan.net.cn系统上线前审计关键点开发和控制