IT審計規(guī)范體系簡介人行授課

1、china construction bank. | 1it審計分享china construction bank. | 2提綱提綱i it t審計概要審計概要cobitcobit簡介簡介itit審計的實施策略審計的實施策略建行建行itit審計的情況審計的情況建行建行itit審計規(guī)范體系審計規(guī)范體系china construction bank. | 3提綱提綱i it t審計概要審計概要cobitcobit簡介簡介itit審計的實施策略審計的實施策略建行建行itit審計的情況審計的情況建行建行itit審計規(guī)范體系審計規(guī)范體系china construction bank. | 4it審計概要

2、審計概要先從一個先從一個itit審計的實例說起：網(wǎng)上銀行審計審計的實例說起：網(wǎng)上銀行審計在提交的審計報告中，委托方期望的或我們應(yīng)該回答如下問題：在提交的審計報告中，委托方期望的或我們應(yīng)該回答如下問題：各種交易的賬務(wù)處理是否準(zhǔn)確？各種交易的賬務(wù)處理是否準(zhǔn)確？是否能夠滿足業(yè)務(wù)需求？是否能夠滿足業(yè)務(wù)需求？是否能夠?qū)I(yè)務(wù)需求的變化及時響應(yīng)，以支持公是否能夠?qū)I(yè)務(wù)需求的變化及時響應(yīng)，以支持公司的戰(zhàn)略目標(biāo)？司的戰(zhàn)略目標(biāo)？系統(tǒng)可靠嗎，是否能夠為用戶提供持續(xù)的服務(wù)？系統(tǒng)可靠嗎，是否能夠為用戶提供持續(xù)的服務(wù)？系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客的攻擊？的攻擊？系統(tǒng)

3、保密嗎，敏感信息會被非法訪問嗎？系統(tǒng)保密嗎，敏感信息會被非法訪問嗎？itit投資合理嗎，是否得到應(yīng)有的回報？投資合理嗎，是否得到應(yīng)有的回報？交易和處理方式符合相關(guān)的法律法規(guī)嗎？交易和處理方式符合相關(guān)的法律法規(guī)嗎？怎樣才可以做的更好？怎樣才可以做的更好？china construction bank. | 5it審計概要審計概要上述這些問題，對應(yīng)了上述這些問題，對應(yīng)了itit審計的三個發(fā)展階段，或?qū)徲嫷娜齻€發(fā)展階段，或itit審計三個層審計三個層面的職能面的職能edpedp審計審計電子數(shù)據(jù)處理審計，附屬于電子數(shù)據(jù)處理審計，附屬于傳統(tǒng)的財務(wù)審計，傳統(tǒng)的財務(wù)審計，關(guān)注財務(wù)信息電子化處關(guān)注財務(wù)信息電子

4、化處理過程的正確性和完整性理過程的正確性和完整性鑒證審計（鑒證審計（assurance）信息系統(tǒng)安全性信息系統(tǒng)安全性、可靠性、有效性的測試和評價、可靠性、有效性的測試和評價咨詢審計咨詢審計itit治理結(jié)構(gòu)和管理流程的改進(jìn)治理結(jié)構(gòu)和管理流程的改進(jìn)china construction bank. | 6it審計概要審計概要要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：網(wǎng)上銀行相關(guān)的設(shè)施網(wǎng)上銀行相關(guān)的設(shè)施網(wǎng)上銀行應(yīng)用系統(tǒng)網(wǎng)上銀行應(yīng)用系統(tǒng)周邊的應(yīng)用系統(tǒng)，如賬務(wù)系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)周邊的應(yīng)用系統(tǒng)，如賬務(wù)系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)信息流量

5、信息流量數(shù)據(jù)庫數(shù)據(jù)庫網(wǎng)絡(luò)網(wǎng)絡(luò)主機(jī)主機(jī)china construction bank. | 7it審計概要審計概要要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：it管理管理規(guī)劃管理規(guī)劃管理業(yè)務(wù)需求管理業(yè)務(wù)需求管理架構(gòu)管理架構(gòu)管理系統(tǒng)開發(fā)系統(tǒng)開發(fā)采購管理采購管理運(yùn)維管理運(yùn)維管理人力資源管理人力資源管理china construction bank. | 8it審計概要審計概要系統(tǒng)不是孤立的系統(tǒng)不是孤立的管理不是孤立的管理不是孤立的審計項目無法達(dá)成預(yù)期的目標(biāo)審計項目無法達(dá)成預(yù)期的目標(biāo)審計項目的延期審計項目的延期如果沒有統(tǒng)一的規(guī)劃如果沒有統(tǒng)

6、一的規(guī)劃china construction bank. | 9提綱提綱i it t審計概要審計概要cobitcobit簡介簡介itit審計的實施策略審計的實施策略建行建行itit審計的情況審計的情況建行建行itit審計規(guī)范體系審計規(guī)范體系china construction bank. | 10什么是 cobit縮略語cobit的全稱是“control objectives for information and related technology”，信息及相關(guān)技術(shù)控制目標(biāo)cobit是一個it治理和控制框架，它主要關(guān)注于“需要實現(xiàn)什么”而不是“如何實現(xiàn)”china construction

7、 bank. | 11cobit使命研究、制定、發(fā)布及促進(jìn)一個權(quán)威性的、最新的、國際公認(rèn)的it治理控制框架，該框架可用于企業(yè)的業(yè)務(wù)管理人員、it專家及質(zhì)量保證專員的日常工作。china construction bank. | 12cobit發(fā)展歷史cobit最初以手冊的形式發(fā)布，3.0版以后開始提供在線pdf免費(fèi)用于非商業(yè)目的cobit源于coso內(nèi)部控制框架、最初的isaca控制目標(biāo)和超過50個it標(biāo)準(zhǔn)及最佳實踐cobit在業(yè)務(wù)控制模型和it最佳實踐之間架起了一座橋梁，并為it治理提供模型china construction bank. | 13cobit框架的前提cobit框架是基于這樣

8、一個假定：it需要交付實現(xiàn)企業(yè)目標(biāo)所需的信息。cobit框架通過關(guān)注業(yè)務(wù)的信息需求、組織it資源來幫助it與業(yè)務(wù)保持一致cobit也為實施it治理提供框架和指南china construction bank. | 14cobit框架基本原理為提供企業(yè)實現(xiàn)其目標(biāo)所需的信息，企業(yè)需要采用一系列結(jié)構(gòu)化的流程來投資、管理和控制it資源以向企業(yè)提供服務(wù)并交付所需信息管理和控制信息是cobit框架的核心，它有助于確保it與業(yè)務(wù)保持一致china construction bank. | 15cobit 立方體cobit框架的三個基本組件：it流程、it資源和業(yè)務(wù)需求（信息標(biāo)準(zhǔn)），合在一起就構(gòu)成了cobit

9、立方體china construction bank. | 16cobit 立方體 it 流程cobit使用流程把常見的it活動組合在一個流程模型中，以幫助管理it資源來響應(yīng)業(yè)務(wù)需求共有34個it流程，分為四類定義為四個領(lǐng)域，每一個流程又可細(xì)分為組織中的活動和任務(wù)china construction bank. | 17cobit的四個領(lǐng)域cobit在四個域內(nèi)將it活動定義為過程模型，這些域映射到傳統(tǒng)it職責(zé)域：計劃、建設(shè)、運(yùn)行和監(jiān)控規(guī)劃劃與組織(po)：為提供解決方案(ai)和提供服務(wù)(ds)落實方針獲取與實施(ai)：提供解決方案并將其轉(zhuǎn)化成為服務(wù)交付與支持(ds)：接受解決方案使之為最終

10、用戶所用監(jiān)控與評價(me)：監(jiān)控所有流程確保遵循既定方針china construction bank. | 18po 計劃與組織該域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，致力于識別it為實現(xiàn)業(yè)務(wù)目標(biāo)作出最佳貢獻(xiàn)的途徑。實現(xiàn)戰(zhàn)略愿景需要計劃、溝通并管理不同的工作設(shè)想，并落實適當(dāng)?shù)慕M織結(jié)構(gòu)及技術(shù)基礎(chǔ)設(shè)施。it戰(zhàn)略與業(yè)務(wù)戰(zhàn)略是否一致?企業(yè)是否實現(xiàn)了對資源的最佳利用?組織中每一位成員是否理解it目標(biāo)?是否理解it風(fēng)險并加以妥善管理?it質(zhì)量能否滿足業(yè)務(wù)需求?china construction bank. | 19ai 獲取與實施為實現(xiàn)it戰(zhàn)略，應(yīng)識別、開發(fā)/采購、實施it解決方案并將其整合到業(yè)務(wù)流程中。此外，該域還涵

11、蓋了現(xiàn)有系統(tǒng)的變更與維護(hù)以確保持續(xù)滿足業(yè)務(wù)目標(biāo)。該域主要闡述下列管理問題：新項目所提供的解決方案是否滿足業(yè)務(wù)需求?新項目是否在預(yù)算內(nèi)按時交付?新系統(tǒng)上線后能否按預(yù)期運(yùn)行?變更實施是否未影響當(dāng)前的業(yè)務(wù)運(yùn)行?china construction bank. | 20ds 交付與支持這一領(lǐng)域主要關(guān)注所需服務(wù)的實際交付情況，包括服務(wù)交付、安全和持續(xù)性管理、用戶服務(wù)支持、數(shù)據(jù)和操作設(shè)施管理。該領(lǐng)域主要闡述下列管理問題：是否按照業(yè)務(wù)的優(yōu)先級交付it服務(wù)?是否優(yōu)化it成本?員工是否能有效和安全地使用it系統(tǒng)？是否充分落實信息安全的機(jī)密性、完整性、可用性?china construction bank. |

12、21me 監(jiān)督與評價應(yīng)定期評估所有it流程質(zhì)量以及與控制要求的符合程度。該域涉及績效管理、內(nèi)部控制監(jiān)督、合規(guī)和治理等，主要闡述下列管理問題：it績效測評能否及時檢查出問題?管理層是否確保內(nèi)部控制的效果和效率?it績效是否能回溯到業(yè)務(wù)目標(biāo)?是否對風(fēng)險、控制、符合性和績效進(jìn)行測評并報告？china construction bank. | 22cobit流程在四個領(lǐng)域內(nèi)有34個it流程，這些流程指明了實現(xiàn)企業(yè)目標(biāo)的業(yè)務(wù)需求，每一個流程都使用控制目標(biāo)來控制信息的交付每個it流程都有一個流程描述（高層控制目標(biāo)）和多個詳細(xì)控制目標(biāo)，作為一個整體是最佳管理流程的基本特征china construction

13、 bank. | 23cobit 的 34個流程計劃與組織計劃與組織po1 制定it戰(zhàn)略規(guī)劃po2 定義信息架構(gòu)po3 確定技術(shù)方針po4 定義it流程、組織和關(guān)系po5 it投資管理po6 貫徹管理目標(biāo)和方針po7 it人力資源管理po8 質(zhì)量管理po9 it風(fēng)險評估及管理po10 項目管理v獲取與實施獲取與實施ai1 識別自動化解決方案ai2 應(yīng)用系統(tǒng)開發(fā)及維護(hù)ai3 技術(shù)基礎(chǔ)設(shè)施的獲取及維護(hù)ai4 運(yùn)營知識保障ai5 it資源獲取ai6 變更管理ai7 系統(tǒng)測試與發(fā)布v交付與支持交付與支持ds1 服務(wù)水平的制定與管理ds2 第三方服務(wù)管理ds3 性能和容量管理ds4 確保持續(xù)服務(wù)ds5

14、確保系統(tǒng)安全ds6 成本確認(rèn)與分?jǐn)俤s7 教育和培訓(xùn)用戶ds8 服務(wù)臺和事件管理ds9 配置管理ds10 問題管理ds11 數(shù)據(jù)管理ds12 物理環(huán)境管理ds13 運(yùn)營管理v監(jiān)控與評價監(jiān)控與評價me1 it績效的監(jiān)督與評價me2 內(nèi)部控制的監(jiān)督與評價me3 確保遵循外部監(jiān)管要求me4 提供it治理china construction bank. | 24cobit 活動和任務(wù)活動是實現(xiàn)預(yù)期結(jié)果所要采取的行動步驟，活動具有周期性，而任務(wù)是分散的每一個流程目標(biāo)都需要一系列的活動，同時也為活動確立了目標(biāo)china construction bank. | 25cobit 立方體 業(yè)務(wù)需求為滿足業(yè)務(wù)目

15、標(biāo)的要求，信息需要遵循一定的控制標(biāo)準(zhǔn)，cobit稱之為信息的業(yè)務(wù)需求?；趶V泛的質(zhì)量、責(zé)任和安全要求，cobit定義了七個獨(dú)立又有所重疊的信息標(biāo)準(zhǔn)：效果效率保密性完整性可用性符合性可靠性china construction bank. | 26cobit 立方體 it 資源為滿足業(yè)務(wù)需求，企業(yè)需投入資源創(chuàng)建充分的技術(shù)能力以支持業(yè)務(wù)能力進(jìn)而獲得預(yù)期結(jié)果it資源由it流程來管理，以向組織交付實現(xiàn)其業(yè)務(wù)目標(biāo)的信息it資源包括：應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員china construction bank. | 27管理指南管理指南包括下述內(nèi)容：china construction bank. | 28流程輸

16、入和輸出每一個流程都與其他流程有聯(lián)系，輸入是一個流程從其他流程所獲得的內(nèi)容，輸出則是該流程提供給其他流程的內(nèi)容，在某些情況下，輸入輸出可能來自cobit外部。下例為po10：china construction bank. | 29關(guān)鍵活動與 raci圖每一個流程的關(guān)鍵活動都使用raci圖予以描述，有4種行為：a-負(fù)責(zé)，代表“責(zé)任止于此”，是為活動提供指導(dǎo)和授權(quán)的人，責(zé)任不能轉(zhuǎn)授r-執(zhí)行，具體執(zhí)行任務(wù)的人，其任務(wù)可以再分配c-商議，i-告知，對流程提供支持以及流程所涉及的每一個人raci圖明確了活動任務(wù)應(yīng)該分配給誰china construction bank. | 30目標(biāo)和指標(biāo)目標(biāo)自上而下

17、地設(shè)立，業(yè)務(wù)目標(biāo)確立支持它的若干個it目標(biāo)；一個it目標(biāo)由一個或若干個相互作用的流程來實現(xiàn)，這樣，it目標(biāo)幫助確立不同的流程目標(biāo)；每一個流程目標(biāo)都需要一系列的活動，反過來也確立了活動目標(biāo)。china construction bank. | 31成熟度模型成熟度模型采用基于組織評價的方法，將流程成熟度水平劃分為從無級別(0)到優(yōu)化級(5)六個等級成熟度等級是it流程的概括圖，可用于企業(yè)識別并記錄當(dāng)前及未來的可能狀態(tài)，這些等級并非閥值使用每個it流程的成熟度模型管理層可以找出：企業(yè)的實際績效當(dāng)前所處的位置行業(yè)的當(dāng)前狀況比較企業(yè)的改進(jìn)目標(biāo)期望達(dá)到的位置在當(dāng)前是和將達(dá)到之間所需的成長路徑china

18、construction bank. | 32cobit各組件之間關(guān)系小結(jié)china construction bank. | 33提綱提綱i it t審計概要審計概要cobitcobit簡介簡介itit審計的實施策略審計的實施策略建行建行itit審計的情況審計的情況建行建行itit審計規(guī)范體系審計規(guī)范體系china construction bank. | 341全面性全面性能夠涵蓋建行能夠涵蓋建行itit管理各項流程，管理各項流程，適用各級分支機(jī)適用各級分支機(jī)構(gòu)和各類審計對構(gòu)和各類審計對象象2融合性融合性引入國際業(yè)界標(biāo)引入國際業(yè)界標(biāo)準(zhǔn)或最佳實踐，準(zhǔn)或最佳實踐，遵循國家、監(jiān)管遵循國家、監(jiān)管部

19、門和建行部門和建行itit相相關(guān)制度關(guān)制度3操作性操作性在審計項目管理、在審計項目管理、審計流程控制、審計流程控制、審計測試方法方審計測試方法方面提供操作性很面提供操作性很強(qiáng)的指導(dǎo)強(qiáng)的指導(dǎo)it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 352006.82007.22007.82007.9l 正式批準(zhǔn)立項l 項目計劃編制l 項目預(yù)算編制與批復(fù)l 項目采購與合同簽署l 任務(wù)初步分析 l 大綱編寫l 方案建議書評審l 初稿編寫l 專題調(diào)研l(wèi) 完善及測試性審計l 試點(diǎn)審計l 推廣培訓(xùn) l 文檔整理l 驗收準(zhǔn)備l 決算準(zhǔn)備課題組人員l 審計部l 信息技術(shù)管理部l 武漢

20、開發(fā)中心it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 36it審計準(zhǔn)則it審計指南內(nèi)部審計準(zhǔn)則cobit 4.1cmmibs7799itil參考業(yè)界最佳實踐內(nèi)審協(xié)會it審計準(zhǔn)則參考依據(jù)依據(jù)it審計規(guī)范體系監(jiān)管要求行內(nèi)制度內(nèi)部審計章程依據(jù)依據(jù)it審計案例集補(bǔ)充it審計測試庫it風(fēng)險控制能力評價標(biāo)準(zhǔn)重要術(shù)語與定義it制度匯編it風(fēng)險控制水平衡量指標(biāo)it風(fēng)險評估表it審計訪談提綱it審計測試表it審計范圍表it審計方案模板參考參考依據(jù)開發(fā)中心it項目管理專項審計分行it開發(fā)項目專項審計分行運(yùn)行維護(hù)專項審計應(yīng)用具體內(nèi)容文檔樣式具體內(nèi)容抽取理解依據(jù)itit審計規(guī)范體

21、系邏輯架構(gòu)圖審計規(guī)范體系邏輯架構(gòu)圖it assurance guide using cobit參考 it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 37itit審計準(zhǔn)則審計準(zhǔn)則itit審計指南審計指南itit審計測試庫審計測試庫工具組件工具組件it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 38itit審計準(zhǔn)則審計準(zhǔn)則itit審計指南審計指南itit審計測試庫審計測試庫十大工具十大工具it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 39（1 1）itit審計準(zhǔn)則審計準(zhǔn)則已經(jīng)發(fā)布的內(nèi)部審計

22、準(zhǔn)則已經(jīng)發(fā)布的內(nèi)部審計準(zhǔn)則包括：包括：第1號：審計人員職業(yè)道德第2號：審計程序 第3號：審計計劃 第4號：審計方案 第5號：審計證據(jù)第6號：審計工作底稿 第7號：審計報告第8號：海外審計第9號：審計追蹤第10號：內(nèi)部控制評價第11號：審計檔案第12號：質(zhì)量控制 制定制定itit審計準(zhǔn)則審計準(zhǔn)則的原則：的原則：it審計準(zhǔn)則是針對信息技術(shù)審計的專項審計準(zhǔn)則，將成為內(nèi)部審計準(zhǔn)則的一個組成部分。其他內(nèi)部審計準(zhǔn)則同樣適用于it審計，it審計準(zhǔn)則僅補(bǔ)充有關(guān)it審計的特有內(nèi)容。使用it審計準(zhǔn)則時，應(yīng)同時考慮其他內(nèi)部審計準(zhǔn)則的相關(guān)要求。 it審計規(guī)范體系審計規(guī)范體系 china construction ba

23、nk. | 40itit審計準(zhǔn)則審計準(zhǔn)則itit審計指南審計指南itit審計測試庫審計測試庫十大工具十大工具it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 41（2 2）itit審計指南審計指南目的：目的：規(guī)范和指引審計人員開展信息技術(shù)審計業(yè)務(wù)促進(jìn)it審計項目的科學(xué)管理，保證審計質(zhì)量依據(jù)：依據(jù)：中國建設(shè)銀行股份有限公司內(nèi)部審計章程中國建設(shè)銀行股份有限公司內(nèi)部審計準(zhǔn)則（包括信息技術(shù)審計準(zhǔn)則） 1 1 總則總則 1.1 目的和依據(jù) 1.2 適用范圍2 2 審計計劃審計計劃3 3 審計準(zhǔn)備審計準(zhǔn)備 3.1 it風(fēng)險識別和評估 3.1.1 風(fēng)險評估的方法 3.1.2

24、 it風(fēng)險評估 3.2 確定審計范圍 3.3 制定審計方案 3.3.1 制定總體審計方案 3.3.2 制定具體審計方案4 4 審計測試審計測試 4.1 控制類型 4.2 取證方法 4.3 審計證據(jù) 4.4 審計抽樣5 5 審計報告審計報告 5.1 剩余風(fēng)險評估 5.2 審計評價 5.3 審計建議主要明確計劃、主要明確計劃、準(zhǔn)備、測試和報準(zhǔn)備、測試和報告四個階段的相告四個階段的相關(guān)事項。關(guān)事項。整個整個itit流程以風(fēng)流程以風(fēng)險為導(dǎo)向，從風(fēng)險為導(dǎo)向，從風(fēng)險評估、風(fēng)險控險評估、風(fēng)險控制有效性確認(rèn)、制有效性確認(rèn)、剩余風(fēng)險評估，剩余風(fēng)險評估，最終形成審計結(jié)最終形成審計結(jié)論和整改建議。論和整改建議。it

25、審計規(guī)范體系審計規(guī)范體系 china construction bank. | 42itit審計準(zhǔn)則審計準(zhǔn)則itit審計指南審計指南itit審計測試庫審計測試庫十大工具十大工具it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 434 4個領(lǐng)域個領(lǐng)域計劃與組織獲取與實施獲取與實施提供與支持監(jiān)督與評價領(lǐng)域流程潛在風(fēng)險控制目標(biāo)（子流程）控制要點(diǎn)控制活動控制設(shè)計/執(zhí)行有效性的測試步驟參考依據(jù)3333個流程個流程1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開發(fā)與維護(hù)3.基礎(chǔ)設(shè)施的獲取與維護(hù)4.運(yùn)營知識保障5.it資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布系統(tǒng)測試與發(fā)布評價標(biāo)準(zhǔn)衡量指

26、標(biāo)1.已達(dá)到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計在應(yīng)用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導(dǎo)致上線后重開發(fā)的次數(shù)4.由于不充分的測試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準(zhǔn)的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應(yīng)）二級（與成熟度模型中“可管理級”相對應(yīng)）三級（與成熟度模型中“定義級”相對應(yīng)）四級（與成熟度模型中“可重復(fù)級”相對應(yīng)）五級（與成熟度模型中“初始級”相對應(yīng)）（3 3）itit審計測試庫審計測試庫447447個控制點(diǎn)個控制點(diǎn)1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運(yùn)行的移交。2.新系統(tǒng)應(yīng)和

27、老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運(yùn)行狀態(tài)和結(jié)果。3.有正式的流程來確保軟件版本的批準(zhǔn)、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。3 3個層次個層次1.cobit4.1，控制目標(biāo) ai7.8 系統(tǒng)上線； 2.監(jiān)管要求監(jiān)管要求，銀監(jiān)會商業(yè)銀行信息科技風(fēng)險管理指引第十八條；3.建行制度建行制度，建設(shè)銀行信息技術(shù)項目管理辦法(試行) （建總發(fā)2007154號）第三十三、三十六條；208208個子流程個子流程1.用戶培訓(xùn)2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測試7.驗收測試8.系統(tǒng)上線系統(tǒng)上線it審計規(guī)范體系審計規(guī)范體系 china constructio

28、n bank. | 44計劃與組織獲取與實施獲取與實施提供與支持監(jiān)督與評價領(lǐng)域流程潛在風(fēng)險控制目標(biāo)（子流程）控制要點(diǎn)控制活動控制設(shè)計/執(zhí)行有效性的測試步驟參考依據(jù)1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開發(fā)與維護(hù)3.基礎(chǔ)設(shè)施的獲取與維護(hù)4.運(yùn)營知識保障5.it資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布系統(tǒng)測試與發(fā)布1.用戶培訓(xùn)2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測試7.驗收測試8.系統(tǒng)上線系統(tǒng)上線9.實施后評審1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運(yùn)行的移交。2.新系統(tǒng)應(yīng)和老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運(yùn)行狀態(tài)和結(jié)果。3.有正式的流程來確保軟件版

29、本的批準(zhǔn)、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。4.系統(tǒng)發(fā)布控制流程應(yīng)包括系統(tǒng)的完整性控制，系統(tǒng)發(fā)布控制流程應(yīng)包括系統(tǒng)的完整性控制，開發(fā)、測試、運(yùn)行職責(zé)的分離，為所有活動留開發(fā)、測試、運(yùn)行職責(zé)的分離，為所有活動留下完整的審計軌跡下完整的審計軌跡。評價標(biāo)準(zhǔn)衡量指標(biāo)1.已達(dá)到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計在應(yīng)用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導(dǎo)致上線后重開發(fā)的次數(shù)4.由于不充分的測試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準(zhǔn)的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應(yīng)）二級（與成熟度模型中“可管

30、理級”相對應(yīng)）三級（與成熟度模型中“定義級”相對應(yīng)）四級（與成熟度模型中“可重復(fù)級”相對應(yīng)）五級（與成熟度模型中“初始級”相對應(yīng)）（3 3）itit審計測試庫審計測試庫it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 45itit審計準(zhǔn)則審計準(zhǔn)則itit審計指南審計指南itit審計測試庫審計測試庫十大工具十大工具it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 46 影響等級影響因素較小中等較大重大對業(yè)務(wù)的影響僅影響內(nèi)部業(yè)務(wù)對業(yè)務(wù)有一定影響-影響顧客對業(yè)務(wù)有重大影響 嚴(yán)重?fù)p害公司為客戶服務(wù)的能力分行無法繼續(xù)經(jīng)營管理層投入精力可

31、分配至中層管理人員解決高層管理人員在中層管理人員的協(xié)助下解決需要高層管理人員的關(guān)注需要高層管理人員采取持續(xù)危機(jī)管理行動并發(fā)布指示品牌和聲譽(yù)影響較小短期內(nèi)產(chǎn)生影響嚴(yán)重受損并受到廣泛關(guān)注重大損失，未來即使投入巨大資源也難以完全恢復(fù)人身安全輕傷，需救護(hù)需住院治療重傷，部分或全部喪失勞動能力死亡事故營業(yè)利潤0%-0.1% 0.1%-0.3%0.3%-0.5%大于0.5%總資產(chǎn)0%-0.01%0.1%-0.03%0.03-0.05%大于0.05%可能性較小可能可能較大可能基本確定詳細(xì)描述可能在某時發(fā)生 發(fā)生可能性低 可能在某時發(fā)生 中等可能性 可能會在很多情況下發(fā)生 在大多數(shù)情況下通常會發(fā)生（4 4）工

32、具一：風(fēng)險評估的方法、標(biāo)準(zhǔn)）工具一：風(fēng)險評估的方法、標(biāo)準(zhǔn)影響重大較高重大重大重大較大中等較高重大重大中等較低中等較高重大較小較低較低中等較高較小可能可能較大可能基本確定可能性it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 47（4 4）工具二：）工具二：itit風(fēng)險評估表風(fēng)險評估表it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 48（4 4）工具三：）工具三：審計范圍表審計范圍表it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 49（4 4）工具四：審計方案模板）工具四：審計方案模板it審

33、計規(guī)范體系審計規(guī)范體系 china construction bank. | 50（4 4）工具五：）工具五：itit制度匯編制度匯編（監(jiān)管機(jī)構(gòu)、建行內(nèi)部監(jiān)管機(jī)構(gòu)、建行內(nèi)部itit制度制度171171個）個）it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 51（4 4）工具六：）工具六：itit審計訪談提綱審計訪談提綱it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 52（4 4）工具七：）工具七：itit審計案例審計案例集（集（257257個案例）個案例）it審計規(guī)范體系審計規(guī)范體系 china construction

34、bank. | 53（4 4）工具八：）工具八：重要術(shù)語與定義重要術(shù)語與定義it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 54（4 4）工具九：）工具九：itit風(fēng)險控制能力評價標(biāo)準(zhǔn)風(fēng)險控制能力評價標(biāo)準(zhǔn)it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 55（4 4）工具十：）工具十：itit風(fēng)險控制水平衡量指標(biāo)表風(fēng)險控制水平衡量指標(biāo)表it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 56it審計規(guī)范體系審計規(guī)范體系 china construction bank. | 57it審計規(guī)范體系

35、審計規(guī)范體系 china construction bank. | 58123是一個審計人員對是一個審計人員對itit進(jìn)行全面的理解和思考的框架進(jìn)行全面的理解和思考的框架it審計規(guī)范體系審計規(guī)范體系 4是管理是管理itit審計知識的框架審計知識的框架可以根據(jù)組織的實際情況做裁剪，并需要動態(tài)的維護(hù)可以根據(jù)組織的實際情況做裁剪，并需要動態(tài)的維護(hù) 是組織內(nèi)是組織內(nèi)itit利益相關(guān)方之間交流和溝通的平臺利益相關(guān)方之間交流和溝通的平臺 china construction bank. | 59提綱提綱i it t審計概要審計概要cobitcobit簡介簡介itit審計的策略審計的策略建行建行itit審計

36、的情況審計的情況建行建行itit審計規(guī)范體系審計規(guī)范體系china construction bank. | 60it審計的策略立項策略立項策略統(tǒng)籌規(guī)劃統(tǒng)籌規(guī)劃基于組織基于組織itit的技術(shù)架構(gòu)和管理架構(gòu)的技術(shù)架構(gòu)和管理架構(gòu)風(fēng)險導(dǎo)向風(fēng)險導(dǎo)向基于基于itit風(fēng)險的評估，確定立項的優(yōu)先級風(fēng)險的評估，確定立項的優(yōu)先級劃分相對獨(dú)立的審計單元劃分相對獨(dú)立的審計單元確保審計范圍可控確保審計范圍可控審計項目的周期覆蓋審計項目的周期覆蓋盡量與審計資源匹配盡量與審計資源匹配包括人數(shù)、知識結(jié)構(gòu)、勝任包括人數(shù)、知識結(jié)構(gòu)、勝任能力能力china construction bank. | 61it審計的策略如開始提到的

37、網(wǎng)上銀行審計，可以分解為：如開始提到的網(wǎng)上銀行審計，可以分解為：網(wǎng)上銀行應(yīng)用控制審計網(wǎng)上銀行應(yīng)用控制審計網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計項目開發(fā)審計項目開發(fā)審計運(yùn)維管理審計運(yùn)維管理審計數(shù)據(jù)中心審計數(shù)據(jù)中心審計審計項目易于管理，審計風(fēng)險相對分散審計項目易于管理，審計風(fēng)險相對分散china construction bank. | 62it審計的策略項目實施策略項目實施策略充分的審前準(zhǔn)備充分的審前準(zhǔn)備識別關(guān)鍵的識別關(guān)鍵的itit資源和管理流程。需要調(diào)閱：資源和管理流程。需要調(diào)閱：技術(shù)文檔、技術(shù)規(guī)范、操作規(guī)程、崗位職責(zé)描述、運(yùn)行報告、技術(shù)文檔、技術(shù)規(guī)范、操作規(guī)程、崗位職責(zé)描述、運(yùn)行報告、自評估報告等。自評估報告等。職能流程矩陣職能流程矩陣與與itit管理的組織架構(gòu)為線索，確定管理的組織架構(gòu)為線索，確定itit流程與職流程與職能部門的關(guān)系，最好明確關(guān)鍵的崗位和個人能部門的關(guān)系，最好明確關(guān)鍵的崗位和個人審計組成員的合理分工審計組成員的合理分工以職能流程矩陣為基礎(chǔ)，考慮工作量以職能流程矩陣為基礎(chǔ)，考慮工作量并盡量避免審計流程的交叉。并盡量避免審計流程的交叉。審計組內(nèi)部的充分溝通。審計組內(nèi)部的充分溝通。china construction bank. | 63提綱提綱i it t審計概要審計概要cobi