首页 / 专利库 / 企业组织 / IT治理 / 信息系统审计系统的建立方法和系统

信息系统审计系统的建立方法和系统

阅读:1016发布:2020-05-18

专利汇可以提供信息系统审计系统的建立方法和系统专利检索,专利查询,专利分析的服务。并且本 发明 公开一种信息系统审计策略的建立方法,该建立方法包含:审计对象信息系统现状评估;信息系统审计策略制定;信息化审计组织保障体系制定;实施信息化内控和审计。本发明编制了一套适合审计对象信息化特点的内控、审计管理体系及开展相关管理机制的顶层设计;完成对审计对象信息化项目需求和可行性研究报告开展包括需求、可行性、概算等的项目评估,结合审计管理体系规范要求,评估其优先级和合理性,对于提升审计对象内部管控 水 平,满足业务和管理对信息系统建设的要求以及满足外部监管的要求,促进信息系统符合外部规范的要求都具有指导意义和实用价值。,下面是信息系统审计系统的建立方法和系统专利的具体信息内容。

1.一种信息系统审计策略的建立方法,其特征在于,该建立方法包含:
S1、审计对象信息系统现状评估;
S2、信息系统审计策略制定;
S3、信息化审计组织保障体系制定;
S4、实施信息化内控和审计。
2.如权利要求1所述的信息系统审计策略的建立方法,其特征在于,所述信息系统现状评估包含:
评估分析审计对象信息技术治理机制的运行绩效;
评估分析信息系统的基本情况;
评估审计对象信息化控制情况;
识别审计涉及的区域和系统的优先级。
3.如权利要求2所述的信息系统审计策略的建立方法,其特征在于,所述评估分析审计对象信息技术治理机制的运行绩效包含:
分析审计对象现有的信息化特点,进行信息化建设的IT治理模型分析;
分析现有IT治理模型的推进的关键成功因素、IT治理成熟度模型、关键目标指标、关键绩效指标;
依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效,评估公司的信息化的规范状况和运行绩效。
4.如权利要求2所述的信息系统审计策略的建立方法,其特征在于,所述评估审计对象信息化控制情况包含:
根据审计对象的范围和环境,对信息系统内控审计的一般控制和应用控制进行评估;
通过内控制度的审计,实现对系统的预防性控制,检查性控制和纠正性控制;
预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生;
建立检查性控制的目的是发现流程中可能发生的错报,审计对象通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用;
评估审计对象的质量管理体系,若不合格则采用纠正措施消除不合格产生的原因,并审查所采取的纠正措施是否有效。
5.如权利要求3所述的信息系统审计策略的建立方法,其特征在于,所述一般控制包含组织控制、操作控制、硬件及系统软件控制和系统安全控制。
6.如权利要求1所述的信息系统审计策略的建立方法,其特征在于,所述信息系统审计策略制定方法包含:
以CobiT的IT处理过程为模版,结合审计对象的业务流程和信息系统的具体情况,建立基于审计对象要求的若干IT流程;
提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准;
建立审计对象信息化审计策略。
7.如权利要求6所述的信息系统审计策略的建立方法,其特征在于,所述信息系统审计策略指定包含:信息系统建设实施计划和信息化运维计划;
信息系统建设实施计划包含:计划工作和建设工作,结合现有的信息化建设的工作流程、工作节点和审计要点,定义各个阶段和工作节点的事前、事中、事后的审计管理操作标准;
信息化运维计划细分为对运行阶段的审计和对维护阶段的审计。
8.如权利要求1所述的信息系统审计策略的建立方法,其特征在于,所述信息化审计组织保障体系制定方法包含:
建立并形成内部单位参与审计的入围标准;
在入围标准基础上,以内部单位为主、外部资源为辅的信息化审计组织保障体系方案;
研究并参照分析现有的内部审计部结构与岗位设置,保障信息系统审计。
9.如权利要求1所述的信息系统审计策略的建立方法,其特征在于,所述实施信息化内控和审计包含:
设计信息系统建设监理机制并实施;
研究并推行险导向,设计合理的信息系统审计管理模式;
在信息化投资管理领域按照信息化审计体系进行评估工作。
10.一种信息系统审计策略的建立系统,其特征在于,该系统包含:
现状评估模,其审计对象信息系统现状评估;
审计策略指定模块,其连接现状评估模块的输出,制定信息系统审计策略;
保障体系制定模块,其连接审计策略指定模块的输出,制定信息化审计组织保障体系;
审计策略实施模块,其连接保障体系制定模块的输出,实施信息化内控和审计。

说明书全文

信息系统审计系统的建立方法和系统

技术领域

[0001] 本发明涉及信息审计技术,具体涉及一种信息系统的审计系统及建立方法和系统。

背景技术

[0002] IT审计业务在国外已经有比较成熟的发展,各大跨国企业除了内部会设置“IT审计控制”的岗位外,还会请专业机构进行独立IT审计工作,以确保IT投资、IT建设、IT运行的有效性和安全性。国内由于企业信息化起步较晚,基础较薄弱,因此IT审计开展和发展也比较缓慢。最近几年,随着企业信息化在我国的飞速发展,信息系统日益复杂化和核心化,企业对于信息系统建设和运行的有效性和安全性越来越重视,因此IT审计的业务势必成为行业的新宠,在这个领域的投入,不论对企业还是个人,都可能会有较好的前景和收益。
[0003] 随着国内企业信息技术和网络技术的广泛应用,公司信息系统的应用渗透到生产经营管理的方方面面,公司对信息系统的依赖也越来越强,公司的生产管理、经营管理、财务管理、人资源管理等各个方面都通过信息系统进行数据处理和信息传递,信息系统日渐成为企业生产、运营、管理活动中不可缺少的“基础设施”。就在信息系统为整个工作提供便利,满足企业社会服务需求的同时,信息系统自身的结构、功能复杂度越来越高,使得信息系统本身由于复杂度增大导致的系统脆弱性隐患变得越发严重。对信息系统进行错误操作、滥用、不正当使用导致的严重问题的险越来越凸显,因此,信息系统的安全性愈来愈为社会所关注,研究和开发适合国内大型企业的IT审计体系显得迫切而必要。

发明内容

[0004] 本发明提供一种信息系统的审计系统及建立方法和系统,实现电网系统的信息系统的控制与审计评估。
[0005] 为实现上述目的,本发明提供一种信息系统审计策略的建立方法,其特点是,该建立方法包含:S1、审计对象信息系统现状评估;
S2、信息系统审计策略制定;
S3、信息化审计组织保障体系制定;
S4、实施信息化内控和审计。
[0006] 上述信息系统现状评估包含:评估分析审计对象信息技术治理机制的运行绩效;
评估分析信息系统的基本情况;
评估审计对象信息化控制情况;
识别审计涉及的区域和系统的优先级。
[0007] 上述评估分析审计对象信息技术治理机制的运行绩效包含:分析审计对象现有的信息化特点,进行信息化建设的IT治理模型分析;
分析现有IT治理模型的推进的关键成功因素、IT治理成熟度模型、关键目标指标、关键绩效指标;
依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效,评估公司的信息化的规范状况和运行绩效。
[0008] 上述评估审计对象信息化控制情况包含:根据审计对象的范围和环境,对信息系统内控审计的一般控制和应用控制进行评估;
通过内控制度的审计,实现对系统的预防性控制,检查性控制和纠正性控制;
预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生;
建立检查性控制的目的是发现流程中可能发生的错报,审计对象通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用;
评估审计对象的质量管理体系,若不合格则采用纠正措施消除不合格产生的原因,并审查所采取的纠正措施是否有效。
[0009] 上述一般控制包含组织控制、操作控制、硬件及系统软件控制和系统安全控制。
[0010] 上述信息系统审计策略制定方法包含:以CobiT的IT处理过程为模版,结合审计对象的业务流程和信息系统的具体情况,建立基于审计对象要求的若干IT流程;
提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准;
建立审计对象信息化审计策略。
[0011] 上述信息系统审计策略指定包含:信息系统建设实施计划和信息化运维计划;信息系统建设实施计划包含:计划工作和建设工作,结合现有的信息化建设的工作流程、工作节点和审计要点,定义各个阶段和工作节点的事前、事中、事后的审计管理操作标准;
信息化运维计划细分为对运行阶段的审计和对维护阶段的审计。
[0012] 上述信息化审计组织保障体系制定方法包含:建立并形成内部单位参与审计的入围标准;
在入围标准基础上,以内部单位为主、外部资源为辅的信息化审计组织保障体系方案;
研究并参照分析现有的内部审计部结构与岗位设置,保障信息系统审计。
[0013] 上述实施信息化内控和审计包含:设计信息系统建设监理机制并实施;
研究并推行风险导向,设计合理的信息系统审计管理模式;
在信息化投资管理领域按照信息化审计体系进行评估工作。
[0014] 一种信息系统审计策略的建立系统,其特点是,该系统包含:现状评估模,其审计对象信息系统现状评估;
审计策略指定模块,其连接现状评估模块的输出,制定信息系统审计策略;
保障体系制定模块,其连接审计策略指定模块的输出,制定信息化审计组织保障体系;
审计策略实施模块,其连接保障体系制定模块的输出,实施信息化内控和审计。
[0015] 本发明信息系统审计系统的建立方法和系统和现有技术相比,其优点在于,本发明研究和编制了一套完整的、适合审计对象信息化特点的内控、审计管理体系及开展相关管理机制的顶层设计;完成了对审计对象信息化项目需求和可行性研究报告开展包括需求、可行性、概算等的项目评估,结合审计管理体系规范要求,评估其优先级和合理性,对于提升审计对象内部管控平,满足业务和管理对信息系统建设的要求以及满足外部监管的要求,促进信息系统符合外部规范的要求两个方面都具有指导意义和实用价值。附图说明
[0016] 图1为本发明信息系统审计系统的建立方法的流程图

具体实施方式

[0017] 以下结合附图,进一步说明本发明的具体实施例
[0018] 如图1所示,为本发明公开的一种信息系统审计策略的建立方法的实施例。该方法包含:S1、信息系统现状评估,包含:评估分析审计对象信息治理机制的运行绩效、评估分析信息系统的基本情况、评估审计对象信息化控制情况、识别审计涉及的区域和系统的优先级。
[0019] S1.1、评估分析审计对象(例如企业等)信息技术治理机制的运行绩效。
[0020] 信息技术治理最主要就是使参与信息化过程的各方利益最大化的制度措施。明确有关信息技术决策权的归属机制和有关信息技术责任的承担机制,以鼓励信息技术应用的期望行为的产生,以联接战略目标、业务目标和信息技术目标,从而使审计对象从信息技术中获得最大的价值。
[0021] 针对审计对象的特点,信息系统包含例如SAP、ERP、PMS、CMS等大规模系统,分析现有审计对象统建多系统的信息化特点,结合审计对象SG-ERP模型的具体要求,进行审计对象信息化建设的IT治理模型分析。
[0022] 研究现有信息技术(IT)治理模式的推进是否按照追截实践开展,如关键成功因素、成熟度模型、关键目标指标、关键绩效指标。依据IT治理成熟度模型评估审计对象IT治理机制的运行绩效,评估审计对象的信息化相关工作的规范状况和运行绩效。
[0023] 其中,IT治理成熟度是测量发展程度的一种方法,按照审计对象信息化管理发展需求,评估现有的IT治理成熟度等级。通过对IT治理成熟度模型等级的评估,有助于研究和分析现有IT管理存在的缺陷,并把他们组织的控制惯例与最佳惯例对照起来,从而确定组织的发展目标。
[0024] S1.2、评估分析系统的基本情况。
[0025] 调研审计对象信息在用及在建包括了自建、成熟套装软件等在内的系统基本情况,分析信息系统的主要子系统组成、运营环境、运行年限、已经采用的主要控制手段等,初步评估相应系统是否需要在后期进行必要审计和内控管理,明确开展IT审计的难度,所需时间以及人员配备情况等。
[0026] 对现有在用、在建系统的复杂性评估、评估现有管理层对审计的态度、内部控制的状况、以前内控和审计的状况、审计难点与重点。形成审计对象在用信息系统评估属性一览表,为后续的信息化控制和IT审计提供基础。
[0027] S1.3、评估审计对象信息化控制情况。
[0028] 1)控制:依据控制对象的范围和环境,通过对信息系统内控审计的一般控制和应用控制两类控制入手。
[0029] 一般控制是宏观上的说法,保护程序安全、数据安全等,都是比较常见和抽象的控制;应用控制是具体的控制。
[0030] 通常信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息系统一般控制。一般控制应包含对系统运行环境相关如指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。
[0031] 一般控制从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
[0032] 2)预防:通过内控制度的审计,实现对系统的预防性控制,检查性控制和纠正性控制。
[0033] 预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生。
[0034] 建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。
[0035] 纠正措施是消除不合格产生的原因,防止不合格再发生;是持续改进质量管理体系有效性的重要途径。在审核组织的质量管理体系时,应注意审核组织所采取的纠正措施的有效性,这是评定组织的质量管理体系持续改进的证据之一,也是提高审核有效性应注意的问题。
[0036] S1.4、识别审计涉及的区域和系统的优先级。
[0037] 鉴于信息系统的特点,对项目的特性以及投入、资源要求、对业务的风险等项目要素按照统一的评价标准进行优先级别排序,选择符合审计目标的项目,识别审计涉及的区域和系统的优先级和重要性并按照排序对系统重要性(优先级)进行适当评估。
[0038] S2、信息系统审计策略制定。
[0039] 以CobiT(Control Objectives for Information and related Technology)的34个IT处理过程为模版,结合审计对象的业务流程和信息系统的具体情况,建立基于审计对象特殊要求的IT流程,然后提出每个IT流程的控制目标,并将其细化到任务活动的控制目标,使得每一个IT活动都有具体的控制标准。形成审计对象信息系统审计管理体系。
[0040] 信息化审计管理体系运用CobiT模型和业界最佳实践,为审计对象研究提升内控管理管理水平,提升审计合规性的一系列顶层设计内容。
[0041] CobiT对IT资源进行了定义,包括以下:数据:是最广泛意义上的对象(如外部和内部的)、结构化及非结构化的、 图形、声音等。
[0042] 应用系统:手工的以及计算机程序的总和。
[0043] 技术:包括硬件、操作系统数据库管理系统、网络、多媒体等。
[0044] 设备:包括所拥有的支持信息系统的所有资源。
[0045] 人员:包括员工技能、意识,以及计划、组织、获取、交付、支持和监控信息系统及服务的能力。
[0046] CobiT定义了以下七个方面的信息标准:效果性(Effectiveness) :信息系统提供对业务处理来说“有效” 的信息。
[0047] 效率性(Efficiency) :“有效率” 地使用资源,提供信息。
[0048] 保密性(Confidentiality) : 保护敏感信息,避免泄漏信息。
[0049] 一致性(Integrity) :保证信息的“真实可信” ,即信息准确、完整,并且从业务价值和业务需要的度来说是正确有效的。
[0050] 可用性(Availability):当业务需要时,信息可随时获得。
[0051] 可靠性(Reliability):为管理层维持组织运转和履行所赋予职责提供适当的信息。
[0052] 合规性(Compliance):符合相关法律、规定、合同对业务过程的规定利用CobiT模型,在对审计对象信息化现状和内控和系统分析基础上,按照审计对象战略目标和信息化发展战略目标,结合审计对象相关审计管理要求,研究和编制信息化审计管理体系,并对相应信息化审计管理机制开展顶层设计。
[0053] 为开展信息化审计,以进一步检验审计对象IT治理各项工作的成效,控制审计对象IT相关的风险提出管理框架、蓝图和标准。并研究审计对象可对信息系统建设设计整体的专业审计规划,制定年度工作目标及三年、五年风险控制目标,并与信息化建设发展相适应,形成信息化审计标准方案和计划。
[0054] 信息化审计管理体系和信息化审计标准方案和计划主要包括如下内容:信息化审计的相关组织、部门、岗位和角色及相关职责;信息化包括计划、需求、设计、开发或获得、实施、运维全生命周期中的信息化内控管理控制点和管理流程和活动,如对一系列具有差异性的不同信息系统,定义其控制点和检查表,自查表等;编制研究信息化审计过程中的输入和输出成果及相关内容要求,相关控制原则和判断标准;研究信息化审计的相关工具和模板;研究和编制信息化审计与现有信息化管理系统(如IRS等)之间的关联关系;与审计对象审计和外部审计之间的关系;以及其他相关机制;
在监理信息系统设计体系和信息化审计标准和方案,结合了突出重点工作,主要在如下部分:
按照审计对象现有的信息化建设的工作部署,结合前期的调研和分析,研究信息化审计工作重点,提出对体系建设的重点在于信息系统建设实施阶段和信息化运维阶段两个部分,各有差异,并按照审计对象的信息化工作组织的组织模式和科室划分,划分体系区域,如计划、建设、安全、运行、维护等模块。
[0055] 建设实施阶段包括了计划、建设两个方面的工作,结合现有的信息化建设的工作流程,工作节点和审计要点,定义各个阶段和工作节点的事前、事中、事后的审计管理操作标准和相关要求。
[0056] 信息化运维审计细分为对运行阶段的审计和对维护阶段的审计。
[0057] 体系设计中,对系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。
[0058] 分别对信息系统运行过程六大部分:系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计监理对以上过程分别建立差异化的,可裁剪的关键控制点和控制原则。这些控制点必须和现有的信息化管理手册和相关操作流程能够无缝整合。其控制原则总体上不能增加现有工作量和更改现有流程。
[0059] S3、信息化审计组织保障体系制定。
[0060] 信息化审计工作和流程是信息化管理工作的核心工作之一,需要获得的材料和相关干涉会影响到审计对象信息化业务的方方面面,对保密、安全、复杂性都较高。因此在研究设计信息化审计组织保障体系时候,需要充分考虑这些因素。
[0061] 结合对审计对象现有系统内单位中有较多的单位具有信息化管理咨询的能力的特点,以及审计对象对于现有组织内参与审计工作的意愿,需要建立并形成内部单位参与审计的入围标准。在入围标准基础上,对未来的信息化审计组织提出设想,结合发挥发挥内部力量为主开展信息系统审计工作,外部资源为辅的信息化审计组织保障体系方案。研究并参照分析现有的自身传统的内部审计部门结构与岗位设置,提升重视信息系统审计的开展。
[0062] 通过组织保障体系对于审计人员和岗位的要求,标准人员能力体系,编制分析系统内的信息系统审计专业人才培养方式和模式设计。
[0063] S4、实施信息化内控和审计。
[0064] 按照前期研究和工作体系的设计,结合审计对象的信息化年度计划和管理目标,研究编制在审计对象内逐步建立信息系统审计管理体系的工作步骤和推进模式,以审计对象为部分重点领域为试点,开展信息化内控和审计的实施工作S4.1、设计信息系统建设监理机制并实施。
[0065] 在信息工程建设阶段。提出与信息系统建设监理机制对于信息系统审计体系的支撑作用,提出现有环境下开展信息系统建设监理模式的可行性和有效性评估。
[0066] 传统的信息化项目监理主要是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施监督管理。其宗旨是为业主单位把好质量、进度、成本关,为审计对象提供的系统进行公正、恰当和权威的评价。
[0067] 一、考虑到审计对象内的信息化建设现状和需求,除了传统的信息系统建设监理工作内容外,其定位上需要突出如下几点:1)对业主单位负责,居于双方中协调和推动项目,对项目的进度、质量、预算进行监理管控。
[0068] 2)以项目管理为核心,以监理方法为抓手,对项目进行规范管理。
[0069] 3)在项目管理过程中,建立、完善符合用户需要的项目管理规范。
[0070] 二、主要工作包含:1)解决问题:在项目过程中,发现并预警问题,推动问题的解决。
[0071] 2)建立规范:在项目建设过程中,通过PDCA循环,不断完善项目初期的管理规范,使之成为有效、可行的项目管理规范3)确保进度:促使项目计划更加合理,促进项目执行力度,及时解决项目问题,确保项目顺利进行。
[0072] 4)提高质量:对各个阶段工作进行及时评估总结,化解项目风险,提高项目质量。
[0073] 三、分析研究引导审计对象在信息化建设中适应外部的监督模式的工作模式的优化方案,进行试运行,主要评估工作内容包含:项目范围、交付件、范围变更、进度和计划、项目总体健康状态;组织架构评估、业务流程和需求规格书、差异分析和蓝图设计;系统架构、硬件平台、模块组件设计、开发文档、源码、集成和接口设计;初始化工具,测试方案;系统配置、开发(含客户化开发)、表单和工作流设计、权限、问题清单;初始化表单、数据收集表单和初始化程序;测试计划、测试脚本、系统测试结果、用户手册和培训效果、问题清单行动;试运行情况,数据初始化效果、切换计划;现场支持、远程支持、知识传递;每个阶段后对后续工作提出建议
S4.2、研究并推行风险导向,设计合理的信息系统审计管理模式。
[0074] 重点研究在审计对象开展信息系统审计的目标、对象、范围、方法、流程,形成全面覆盖审计对象信息系统各个部门和信息系统发展生命周期全过程的信息系统审计的技术体系。
[0075] 进行信息系统审计的技术方法主要有:面谈询问法、调查问卷法、系统文档审核法、检查流程图法、查阅文件法、实地查看法、平行模拟法以及联网审计技术等。
[0076] S4.3、在信息化投资管理领域按照信息化审计体系开展评估工作。
[0077] 基于计划与组织P05 IT投资管理审计模块,参照P03 技术决定方向(技术路线和方案),对审计对象年度重点项目的需求申请、可行性研究报告与审计对象的战略、现状需求的匹配、投资成本是否适配进行实施,开展信息化评估工作,评估优先级和合理性的审计工作实施。
[0078] S4.3.1、技术路线和方案审计。
[0079] 技术路线和方案审计,技术决定方向的审计,主要是利用目前可用的和正在出现的技术,推动业务战略的实施并使业务战略成为可能方面的有效性进行审查。主要采用手段是:建立并维护技术基础设施计划,该计划依据产品、服务和交付机制,建立并管理技术能够提供的清晰和现实的预期。
[0080] 主要审查的主要事项为:当前基础设施,尤其是对于虚拟化“池”的容量和项目立项的评估是否合适;通过可靠的来源,监测技术发展,在项目过程中,对于技术发展方面的度量是否合适;对项目的风险、约束和机遇的评估是否合适;获取的计划,审计对象的对于每个项目的硬件资源需求是否进行独立的、统一的、综合的环境估算,并基于估算评估利旧还是采购的评估;移植战略和路线,对于老版本是否评估移植,并确定路线计划;
独立的技术再评估,部分需要“预研”的内容是否进行过足够客观的评估,比如自主研发的如:数据库、应用服务器等关键核心技术。
[0081] 包括对当前计划审查和技术路线选择的过程中,是否符合如下的关键点进行参与式的审查评估。
[0082] 为确认被提议的变化首先被检查以评估相关联的成本和风险,为确认科信部或者总部信息部的批准先于计划的变化被批准后开展工作,有一个创造并有规律地更新的技术基础设施计划的过程。
[0083] 技术基础设施计划与IT长短期计划相比较,在现有的工作体系中,是否存在衔接关系。
[0084] 评估现有的流程对当前技术状态的审核,确保环绕诸如系统体系结构、技术方向和移植战略等方面。
[0085] IT政策和程序确保选择了评估和监控当前和将来的技术趋势和规章条件的要求,并且在技术基础设施计划的开发和维护期间被考虑。
[0086] 技术获取的后勤和环境影响是否已经在部分建设单位被计划。
[0087] IT政策和程序确保选择了系统地评估技术计划意外的需求(也就是基础设施的冗余、恢复力、足够性和发展能力)。
[0088] 对于硬件和软件的获取计划来讲,它是遵从技术基础设施计划中所确定的要求并被适当地批准的实践。
[0089] 在技术基础设施计划中所描述的技术组成的技术标准是到位的。
[0090] S4.3.2、IT投资管理审计。
[0091] IT投资管理审计,主要在项目的审批环节,在审计对象的2015年的项目审批中,主要是各个网省、各部门上报的项目在信息化管理部门计划部门的组织的审核审批评审工作。
[0092] 主要审查的事项如下:资金的选择和费用的概算、成本的合理性是否合适、合理;
项目的预期收益的合理性和收益实现的责任制是否明确;
技术和应用软件的生命周期,在项目可研中是否有明确的说明和定义;
与审计对象的业务战略是否相结合;
前期项目或者版本是否进行过效果的评估;
纳入整体资产管理;
包括对当前IT投资管理审计过程中,是否符合如下的关键点进行参与式的审查评估;
在证明IT年度运作计划是合理的方面,IT预算的构成结构和费用支出的构成方面是具有足够的支撑,并依据信息化管理部门下达的费用定额标准体系;
项目中所明确的IT支出的种类是全面的、适当的并进行了适当的分类;
日常记录、处理和报告与IT职能部门活动相联系的成本的系统是适当的;
用来监控成本的工具是有效的并适当地使用。
[0093] 通过本发明的实施,研究和编制了一套完整的、适合审计对象信息化特点的内控、审计管理体系及开展相关管理机制的顶层设计;完成了对审计对象信息化项目需求和可行性研究报告开展包括需求、可行性、概算等的项目评估,结合审计管理体系规范要求,评估其优先级和合理性。对于提升审计对象内部管控水平,满足业务和管理对信息系统建设的要求以及满足外部监管的要求,促进信息系统符合外部规范的要求两个方面都具有指导意义和实用价值。
[0094] 尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈