CMB培訓(xùn)-IT系統(tǒng)審計(jì)實(shí)務(wù)介紹

1、IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)1招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)信息系統(tǒng)審計(jì)實(shí)務(wù)介紹信息系統(tǒng)審計(jì)實(shí)務(wù)介紹20092009年年3 3月月IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)2聲聲 明明本培訓(xùn)資料中所包含之內(nèi)容屬保密內(nèi)容，未經(jīng)安永（中國(guó)）企業(yè)咨詢有限公司正式書(shū)面允諾，不得部分或全部復(fù)制，不得使用于非法目的，不得以任何形式交予任何第三方或與任何第三方討論其中之內(nèi)容。保密內(nèi)容 安永（中國(guó)）企業(yè)咨詢有限公司，二九年，保留所有權(quán)利IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)31 12 23 3第第一一 ITIT審計(jì)介紹審計(jì)介紹第二第二

2、ITIT審計(jì)程序?qū)徲?jì)程序第三第三 ITIT審計(jì)一般架構(gòu)及范圍審計(jì)一般架構(gòu)及范圍目錄目錄IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)4ITIT審計(jì)歷史背景審計(jì)歷史背景IT審計(jì)的出處源自60年代IBM出版的Audit encounters Electronic Data Processing等有關(guān)在EDI環(huán)境下進(jìn)行審核和組織的論述。不久后有關(guān)該方面的研究結(jié)果不斷涌現(xiàn)， IT審計(jì)的雛形初步形成。但是由于信息系統(tǒng)在社會(huì)上尚未得到較為廣泛的應(yīng)用，因此IT審計(jì)并未在社會(huì)上形成意識(shí)。七十年代中后期到八十年代初由于計(jì)算機(jī)在發(fā)達(dá)國(guó)家的企業(yè)初步普及，利用計(jì)算機(jī)犯罪和計(jì)算機(jī)系統(tǒng)失效的事件頻頻出現(xiàn)，使得IT審

3、計(jì)日益得到社會(huì)重視，美國(guó)、日本先后成立了IT審計(jì)方面的協(xié)會(huì)組織。從事對(duì)IT審計(jì)規(guī)則的制定和實(shí)施指導(dǎo)。值得注意的是1985年日本政府出臺(tái)了IT審計(jì)標(biāo)準(zhǔn)并根據(jù)美國(guó)勞工部的Skill Start和Northwest Center for Emerging Technologies（NCET）對(duì)IT信息人員的從業(yè)技能的要求制訂了IT審計(jì)師（系統(tǒng)監(jiān)查員）的技能標(biāo)準(zhǔn)并以之作為新的IT審計(jì)師（系統(tǒng)監(jiān)查員）級(jí)考試的參考標(biāo)準(zhǔn)。九十年代是IT審計(jì)的普及期，這主要?dú)w功于互聯(lián)網(wǎng)的普及?；ヂ?lián)網(wǎng)的普及是利用計(jì)算機(jī)犯罪的人員溫床，此外日益嚴(yán)重的軟件項(xiàng)目失敗問(wèn)題引發(fā)了是否要對(duì)信息系統(tǒng)的投資和開(kāi)發(fā)進(jìn)行審計(jì)的深思。IT審計(jì)得到了

4、前所未有的重視。 萌芽階段初步發(fā)展蓬勃發(fā)展IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)5IT審計(jì)的定義和對(duì)象審計(jì)的定義和對(duì)象IT審計(jì)就是信息系統(tǒng)審計(jì)，也稱IT監(jiān)查，是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開(kāi)發(fā)、使用人員的第三方IT審計(jì)師采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開(kāi)發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。 IT審計(jì)對(duì)象涵蓋整個(gè)信息系統(tǒng)所有活動(dòng)和中間產(chǎn)物，并包括信息系統(tǒng)實(shí)施相關(guān)的外部環(huán)境。一般來(lái)說(shuō)，對(duì)企業(yè)實(shí)施IT審計(jì)的對(duì)象有：本企業(yè)內(nèi)的IT審計(jì)師外部IT審計(jì)事務(wù)所委托審計(jì)師國(guó)家審計(jì)機(jī)構(gòu)IT審計(jì)定義審計(jì)定義IT審計(jì)對(duì)象審計(jì)對(duì)象IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

5、頁(yè)數(shù)6IT審計(jì)現(xiàn)狀審計(jì)現(xiàn)狀計(jì)算機(jī)審計(jì)在發(fā)展的初期，還只是傳統(tǒng)財(cái)務(wù)審計(jì)業(yè)務(wù)的一種輔助工具，對(duì)客戶的電子化會(huì)計(jì)數(shù)據(jù)進(jìn)行處理和分析，為財(cái)務(wù)報(bào)表審計(jì)人員提供服務(wù)。如今的信息系統(tǒng)審計(jì)的業(yè)務(wù)已經(jīng)超出了為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)的范圍，在很多大型會(huì)計(jì)公司內(nèi)部，信息系統(tǒng)審計(jì)部門(mén)已經(jīng)成為一個(gè)獨(dú)立的對(duì)外提供多種服務(wù)的部門(mén)。尤其是互聯(lián)網(wǎng)和電子商務(wù)的興起，更是為信息系統(tǒng)審計(jì)業(yè)務(wù)帶來(lái)了無(wú)盡的商機(jī)。為財(cái)務(wù)報(bào)表審計(jì)提供服務(wù)只占信息系統(tǒng)審計(jì)部門(mén)業(yè)務(wù)內(nèi)容很小的一部分。與信息安全相關(guān)的防火墻審計(jì)、安全診斷、信息技術(shù)認(rèn)證以及ERP相關(guān)的新型咨詢業(yè)務(wù)也不斷涌現(xiàn)。“未來(lái)審計(jì)行業(yè)和審計(jì)技術(shù)的發(fā)展動(dòng)力將主要來(lái)自于信息系統(tǒng)審計(jì)的發(fā)展”，這一觀點(diǎn)

6、已經(jīng)逐漸成為國(guó)外會(huì)計(jì)、審計(jì)界的一個(gè)共識(shí)。會(huì)計(jì)公司以及整個(gè)社會(huì)對(duì)信息系統(tǒng)審計(jì)師需求量將隨之成倍地增長(zhǎng)，信息系統(tǒng)審計(jì)師的地位也在不斷提高。在國(guó)外的一些大型會(huì)計(jì)公司中已經(jīng)出現(xiàn)了沒(méi)有CPA資格的合伙人，他們持有的專業(yè)資格就是CISA。 隨著計(jì)算機(jī)技術(shù)在管理中的廣泛運(yùn)用，傳統(tǒng)的控制、管理、檢查和審計(jì)技術(shù)都受到巨大的挑戰(zhàn)，大型跨國(guó)公司都將控制風(fēng)險(xiǎn)，特別是控制計(jì)算機(jī)環(huán)境風(fēng)險(xiǎn)和信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)作為管理咨詢和服務(wù)的重點(diǎn)。幾乎所有的大型跨國(guó)公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對(duì)信息系統(tǒng)安全和穩(wěn)定性的控制。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)7IT審計(jì)現(xiàn)狀審計(jì)現(xiàn)狀銀行業(yè)銀行業(yè)當(dāng)前，隨著各銀

7、行數(shù)據(jù)大集中的完成，IT風(fēng)險(xiǎn)也越來(lái)越集中?？刂艻T風(fēng)險(xiǎn)、保證信息系統(tǒng)穩(wěn)定運(yùn)行已成為銀行最緊迫的任務(wù)。此外，隨著金融監(jiān)管力度的加大，銀行信息披露制的實(shí)施也是當(dāng)務(wù)之急。這些都要求銀行加大對(duì)信息系統(tǒng)的審計(jì)力度。只有建立IT審計(jì)機(jī)制，由獨(dú)立的IT審計(jì)師進(jìn)行信息系統(tǒng)審計(jì)，才能形成對(duì)信息系統(tǒng)安全的客觀評(píng)價(jià)。由于信息技術(shù)在銀行經(jīng)營(yíng)管理領(lǐng)域各個(gè)層面的廣泛運(yùn)用，IT審計(jì)也已貫穿在各種審計(jì)之中，成為時(shí)下銀行業(yè)最關(guān)注的重要課題。我國(guó)銀行業(yè)的IT審計(jì)尚處于摸索階段，尚缺乏成熟的經(jīng)驗(yàn)和案例可供參考，尤其是沒(méi)有針對(duì)大型數(shù)據(jù)處理和大型軟件開(kāi)發(fā)的IT審計(jì)經(jīng)驗(yàn)可以借鑒。隨著信息技術(shù)在銀行普遍、深入的應(yīng)用，銀行信息系統(tǒng)的正常運(yùn)行

8、已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最基本的條件之一，IT運(yùn)營(yíng)與公司運(yùn)營(yíng)緊密相關(guān)，IT治理也與公司治理緊密相連，因此IT審計(jì)越來(lái)越得到銀行管理層的高度重視。目前，IT審計(jì)在國(guó)際上是一個(gè)相當(dāng)成熟的領(lǐng)域，發(fā)達(dá)國(guó)家的銀行均建立了完善的信息系統(tǒng)審計(jì)體系，而我國(guó)正在快速發(fā)展階段。 IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)8IT審計(jì)差異分析審計(jì)差異分析IT審計(jì)部門(mén)的獨(dú)立性IT治理中審計(jì)人員的角色國(guó)外銀行國(guó)外銀行ITIT審計(jì)的審計(jì)的特點(diǎn)特點(diǎn)國(guó)外銀行IT審計(jì)的技術(shù)和組織框架IT審計(jì)人員的比例國(guó)外銀行IT審計(jì)的特點(diǎn)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)9國(guó)內(nèi)外銀行國(guó)內(nèi)外銀行ITIT審計(jì)的差異審計(jì)

9、的差異組織結(jié)構(gòu)的組織結(jié)構(gòu)的差異差異從新加坡發(fā)展銀行的IT審計(jì)組織框架上看，IT審計(jì)由于涵蓋了軟件開(kāi)發(fā)和項(xiàng)目投產(chǎn)、運(yùn)行維護(hù)的全過(guò)程，包含了各種技術(shù)平臺(tái)、系統(tǒng)生命周期的所有階段，因此IT審計(jì)機(jī)構(gòu)設(shè)置基本采用在總審計(jì)師領(lǐng)導(dǎo)下，與業(yè)務(wù)審計(jì)兩條線并列的模式。由于目前內(nèi)審部門(mén)的信息技術(shù)審計(jì)組織結(jié)構(gòu)不盡完善，無(wú)法進(jìn)一步細(xì)分審計(jì)職能、明確專業(yè)審計(jì)方向。審計(jì)覆蓋面審計(jì)覆蓋面上的差異上的差異國(guó)際上比較先進(jìn)的商業(yè)銀行無(wú)一例外全部開(kāi)展了IT公司層面、IT一般控制和應(yīng)用程序控制的全方位IT審計(jì);我國(guó)由于信息技術(shù)審計(jì)工作開(kāi)展不長(zhǎng)，并且人員有限，還未能全面開(kāi)展IT公司層面、IT一般控制和應(yīng)用程序控制的IT審計(jì)工作1 12

10、2人員上的差人員上的差異異從美國(guó)大通銀行的IT審計(jì)人員配備上看，人員專業(yè)化分工明確，技術(shù)水平要求也較高，懂IT技術(shù)人員的比例一般占內(nèi)部審計(jì)人員的30%-50%左右。而我國(guó)銀行從事信息技術(shù)審計(jì)工作的員工較少，在人員數(shù)量和質(zhì)量上與國(guó)際先進(jìn)水平還是有不小的差距。另外，在審計(jì)手段、輔助工具以及系統(tǒng)接口、技術(shù)支持等方面的差距更大，需要加強(qiáng)力量研究解決。 3 3IT審計(jì)差異分析審計(jì)差異分析IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)10ITIT審計(jì)專業(yè)要求審計(jì)專業(yè)要求需要知識(shí)和技能需要知識(shí)和技能IT審計(jì)師深入領(lǐng)會(huì)會(huì)計(jì)、經(jīng)濟(jì)、管理、商法、稅務(wù)、金融、審計(jì)和信息技術(shù)知識(shí)；IT審計(jì)師通曉信息系統(tǒng)的軟件、

11、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全；IT審計(jì)師能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造，以降低組織日益面臨的信息系統(tǒng)風(fēng)險(xiǎn)，有效率使用資源，使到組織IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致。 需要知識(shí)和技能需要知識(shí)和技能信息系統(tǒng)審計(jì)是一門(mén)邊緣性學(xué)科，跨越傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)科學(xué)領(lǐng)域。 IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)11ITIT審計(jì)專業(yè)要求審計(jì)專業(yè)要求 認(rèn)證認(rèn)證專業(yè)專業(yè)資質(zhì)資質(zhì)認(rèn)證認(rèn)證認(rèn)證機(jī)認(rèn)證機(jī)構(gòu)構(gòu)簡(jiǎn)要介紹簡(jiǎn)要介紹考試費(fèi)用考試費(fèi)用報(bào)名方式報(bào)名方式獲取認(rèn)證方式獲取認(rèn)證方式CISA CISA 認(rèn)證認(rèn)證信

12、息系統(tǒng)審計(jì)與控制協(xié)會(huì)注冊(cè)信息系統(tǒng)審計(jì)師CISA資格由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA授予，是信息系統(tǒng)審計(jì)領(lǐng)域的惟一的職業(yè)資格，受到全世界的廣泛認(rèn)可。 優(yōu)惠價(jià)：4041元；正常報(bào)名價(jià)：4041元網(wǎng)址：/examreg 凡通過(guò)CISA考試，在信息系統(tǒng)審計(jì)、控制或安全領(lǐng)域有5年的工作經(jīng)驗(yàn)（在校生考試后5年內(nèi)完成以上領(lǐng)域相關(guān)工作經(jīng)驗(yàn)亦可申請(qǐng)：本科畢業(yè)折算為2年工作經(jīng)驗(yàn)，研究生畢業(yè)折算為6年工作經(jīng)驗(yàn)），遵守ISACA的職業(yè)道德，提出CISA資格申請(qǐng)、并得到批準(zhǔn)，即可取得CISA資格。 CIA CIA 認(rèn)證認(rèn)證國(guó)際注冊(cè)內(nèi)部審計(jì)師協(xié)會(huì)CIA考試是IIA舉辦的一種全球性考試，這項(xiàng)考試

13、由IIA考試委員會(huì)命題和閱卷，考試合格者由IIA頒發(fā)注冊(cè)內(nèi)部審計(jì)師（CIA）資格證書(shū)。此證書(shū)是內(nèi)部審計(jì)職業(yè)在國(guó)際范圍內(nèi)認(rèn)可的證書(shū)。 報(bào)名費(fèi) ：50(元/次)考務(wù)費(fèi)：150 (元/科目)報(bào)名信息、考試時(shí)間及相關(guān)安排請(qǐng)關(guān)注 具有本科及本科以上學(xué)歷； 具有中級(jí)及中級(jí)以上專業(yè)技術(shù)資格； 持有注冊(cè)會(huì)計(jì)師證書(shū)或非執(zhí)業(yè)注冊(cè)會(huì)計(jì)師證書(shū)； CIA考試期間本科院校的審計(jì)、會(huì)計(jì)及相關(guān)專業(yè)四年級(jí)學(xué)生； CISP CISP 認(rèn)證認(rèn)證中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心中國(guó)信息安全測(cè)評(píng)中心是經(jīng)中央批準(zhǔn)成立的國(guó)家信息安全權(quán)威測(cè)評(píng)機(jī)構(gòu)，職能是開(kāi)展信息安全漏洞分析和風(fēng)險(xiǎn)評(píng)估工作，對(duì)信息安全服務(wù)和

14、人員的資質(zhì)進(jìn)行審核與評(píng)價(jià)考試費(fèi)1000元及注冊(cè)費(fèi)500元http:/ 碩士研究生以上，具有1年工作經(jīng)歷；本科畢業(yè)，具有2年工作經(jīng)歷；大專畢業(yè)，具有4年工作經(jīng)歷。 2.專業(yè)工作經(jīng)歷 至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。 IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)12ITIT審計(jì)專業(yè)要求審計(jì)專業(yè)要求 認(rèn)證認(rèn)證( (續(xù)續(xù)) )專業(yè)專業(yè)資質(zhì)資質(zhì)認(rèn)證認(rèn)證認(rèn)證認(rèn)證機(jī)構(gòu)機(jī)構(gòu)簡(jiǎn)要介紹簡(jiǎn)要介紹考試費(fèi)考試費(fèi)用用報(bào)名報(bào)名方式方式獲取認(rèn)證方式獲取認(rèn)證方式CISSCISSP P 認(rèn)認(rèn)證證國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)CISSP可以證明證書(shū)持有者具備了符合國(guó)際標(biāo)準(zhǔn)要求的信息安全知識(shí)水平和經(jīng)驗(yàn)?zāi)芰?，提升其專業(yè)可信度

15、，并為企業(yè)和組織提供尋找專業(yè)人員的憑證依據(jù)，450美元報(bào)考者必須具備至少4年的工作經(jīng)驗(yàn)，若擁有大學(xué)本科學(xué)歷，需要3年工作經(jīng)驗(yàn)即可。工作經(jīng)驗(yàn)應(yīng)為CBK規(guī)定的10個(gè)知識(shí)域中的一個(gè)或多個(gè)范疇 簽署并承諾遵守(ISC)2制定的職業(yè)守則（Code of Ethics）CCNA CCNA 認(rèn)證認(rèn)證思科認(rèn)證Cisco認(rèn)證網(wǎng)絡(luò)支持工程師 不參加培訓(xùn)直接考試需要1150元http:/ CCNP 認(rèn)證認(rèn)證思科認(rèn)證網(wǎng)絡(luò)高級(jí)工程師四門(mén)500美元考取CCNP認(rèn)證的前提是必須首先通過(guò)CCNA認(rèn)證。PMP PMP 認(rèn)證認(rèn)證美國(guó)項(xiàng)目管理協(xié)會(huì)嚴(yán)格評(píng)估項(xiàng)目管理人員知識(shí)技能是否具有高品質(zhì)的資格認(rèn)

16、證考試。其目的是為了給項(xiàng)目管理人員提供統(tǒng)一的行業(yè)標(biāo)準(zhǔn)。3300元/人http:/ 第二類：申請(qǐng)者不具備學(xué)士學(xué)位或以下者：要求申請(qǐng)者在申請(qǐng)之日前8年內(nèi)，至少具有7500小時(shí)的項(xiàng)目管理經(jīng)驗(yàn)，其包括五大項(xiàng)目管理過(guò)程組（啟動(dòng)過(guò)程、計(jì)劃過(guò)程、實(shí)施過(guò)程、控制過(guò)程和收尾過(guò)程），累計(jì)參與項(xiàng)目管理月數(shù)至少達(dá)到60個(gè)月IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)131 12 23 3目錄目錄第第一一 ITIT審計(jì)介紹審計(jì)介紹第二第二 ITIT審計(jì)程序?qū)徲?jì)程序第三第三 ITIT審計(jì)一般架構(gòu)及范圍審計(jì)一般架構(gòu)及范圍IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)14信息系統(tǒng)審計(jì)程序信息系統(tǒng)審計(jì)程序 審計(jì)目

17、標(biāo)和計(jì)劃審計(jì)目標(biāo)和計(jì)劃審計(jì)中法律和法規(guī)影響審計(jì)中法律和法規(guī)影響ISACA 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析內(nèi)部控制內(nèi)部控制實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)控制自我評(píng)估控制自我評(píng)估IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)15信息系統(tǒng)審計(jì)流程：信息系統(tǒng)審計(jì)流程：依據(jù)信息依據(jù)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，指導(dǎo)方針和最系統(tǒng)審計(jì)標(biāo)準(zhǔn)，指導(dǎo)方針和最佳實(shí)踐，提供信息系統(tǒng)審計(jì)服佳實(shí)踐，提供信息系統(tǒng)審計(jì)服務(wù)。確保組織的務(wù)。確保組織的IT和業(yè)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)得到保護(hù)和控制。得到保護(hù)和控制。信息系統(tǒng)審計(jì)程序信息系統(tǒng)審計(jì)程序 IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)16審計(jì)目標(biāo)

18、和計(jì)劃審計(jì)目標(biāo)和計(jì)劃審計(jì)計(jì)劃獲得對(duì)業(yè)務(wù)使命、目標(biāo)、目的和流程了解找出規(guī)定的內(nèi)容評(píng)價(jià)管理層所實(shí)施的風(fēng)險(xiǎn)評(píng)估和隱私保護(hù)影響分析實(shí)施風(fēng)險(xiǎn)分析執(zhí)行內(nèi)部控制檢查確定審計(jì)范圍、審計(jì)目標(biāo)制定審計(jì)方法或?qū)徲?jì)戰(zhàn)略為審計(jì)任務(wù)和其后勤支援分配人力資源法律和法規(guī)對(duì)信息系統(tǒng)審計(jì)計(jì)劃影響IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)17審計(jì)目標(biāo)和計(jì)劃（續(xù)）審計(jì)目標(biāo)和計(jì)劃（續(xù)）審計(jì)成功條件在實(shí)施有效的信息系統(tǒng)審計(jì)中，首先要制定完善的審計(jì)計(jì)劃。制定審計(jì)計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師必須了解執(zhí)業(yè)的整體環(huán)境，包括與之相關(guān)的各種業(yè)務(wù)和控制風(fēng)險(xiǎn)。在審計(jì)計(jì)劃中，信息系統(tǒng)審計(jì)師要評(píng)估運(yùn)營(yíng)和控制風(fēng)險(xiǎn)，同時(shí)識(shí)別控制目標(biāo)。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招

19、商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)18審計(jì)中法律和法規(guī)影響審計(jì)中法律和法規(guī)影響法律和法規(guī)要求對(duì)實(shí)施IT審計(jì)的法律要求對(duì)IT審計(jì)組織的要求IT審計(jì)過(guò)程中相關(guān)實(shí)體的責(zé)任與財(cái)務(wù)、業(yè)務(wù)及IT審計(jì)職能之間的相互關(guān)系信息系統(tǒng)審計(jì)師一般通過(guò)以下步驟確定組織對(duì)法律和法規(guī)符合性狀況：識(shí)別外部需求記錄相關(guān)法律與法規(guī)的要求評(píng)估組織在制定IT審計(jì)職能時(shí)是否考慮來(lái)自外部法律法規(guī)的要求檢查內(nèi)部信息系統(tǒng)相關(guān)部門(mén)是否在正式文件中落實(shí)了遵守法律法規(guī)的要求檢查組織已建立的程序是否符合法律法規(guī)我國(guó)與IT審計(jì)相關(guān)的法律和法規(guī)審計(jì)法實(shí)施條例國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開(kāi)展審計(jì)工作有關(guān)問(wèn)題的通知IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部

20、審計(jì)培訓(xùn)頁(yè)數(shù)19信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)準(zhǔn)則信息系統(tǒng)審計(jì)指南信息系統(tǒng)審計(jì)指南信息系統(tǒng)審計(jì)人員職業(yè)道德信息系統(tǒng)審計(jì)人員職業(yè)道德IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)20信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則框架信息系統(tǒng)審計(jì)準(zhǔn)則目標(biāo)信息系統(tǒng)審計(jì)準(zhǔn)則目標(biāo)告知管理層和其他利益相關(guān)者審計(jì)相關(guān)的專業(yè)職責(zé)告知信息系統(tǒng)審計(jì)師根據(jù)ISACA準(zhǔn)則所必需遵守的相關(guān)審計(jì)規(guī)定以滿足專業(yè)審計(jì)要求。審計(jì)指南審計(jì)指南審計(jì)審計(jì)準(zhǔn)則準(zhǔn)則審計(jì)程序?qū)徲?jì)程序?qū)徲?jì)準(zhǔn)則：信息系統(tǒng)審計(jì)準(zhǔn)則是整個(gè)審計(jì)準(zhǔn)則體系的總綱，是信息系統(tǒng)審計(jì)師的資格條

21、件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計(jì)指南和審計(jì)程序的基礎(chǔ)依據(jù)。審計(jì)指南：審計(jì)指南是依據(jù)審計(jì)準(zhǔn)則制定的，是審計(jì)準(zhǔn)則的具體化，它詳細(xì)規(guī)定了信息系統(tǒng)審計(jì)師執(zhí)行各項(xiàng)審計(jì)業(yè)務(wù)、出具審計(jì)報(bào)告的具體指南，為審計(jì)師在執(zhí)行審計(jì)業(yè)務(wù)中如何遵守審計(jì)準(zhǔn)則提供指導(dǎo)。審計(jì)程序：信息系統(tǒng)審計(jì)程序是依據(jù)審計(jì)準(zhǔn)則和審計(jì)指南制定的。它為審計(jì)師提供了一般審計(jì)業(yè)務(wù)的程序和步驟，是遵守審計(jì)準(zhǔn)則和審計(jì)指南的一些通用審計(jì)程序.審計(jì)程序?yàn)閷徲?jì)師提供了很好的工作范例。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)21信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南ISACA 信息系統(tǒng)審計(jì)準(zhǔn)則和審計(jì)指南審計(jì)章程獨(dú)立性職業(yè)道德和標(biāo)準(zhǔn)專業(yè)勝任能力審

22、計(jì)計(jì)劃實(shí)施審計(jì)工作報(bào)告后續(xù)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)22信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)章程審計(jì)章程中載明信息系統(tǒng)審計(jì)的目的、責(zé)任、權(quán)限和職責(zé)獨(dú)立性獨(dú)立性是指內(nèi)部審計(jì)活動(dòng)獨(dú)立與他們所審查的活動(dòng)之外，可以理解為內(nèi)部審計(jì)部門(mén)的獨(dú)立性和內(nèi)部審計(jì)人員獨(dú)立性。內(nèi)審部門(mén)是否獲得獨(dú)立性應(yīng)考慮因素內(nèi)審部門(mén)設(shè)置是否在經(jīng)董事會(huì)、審計(jì)委員會(huì)、相關(guān)治理機(jī)構(gòu)和高級(jí)管理層批準(zhǔn)或認(rèn)可的內(nèi)審章程中做出規(guī)定內(nèi)審部門(mén)向誰(shuí)負(fù)責(zé)和報(bào)告工作首席執(zhí)行官能否與董事會(huì)、審計(jì)委員會(huì)或其他相關(guān)治理機(jī)構(gòu)直接交流和溝通信息，能否參加有關(guān)審計(jì)、財(cái)務(wù)報(bào)告、機(jī)構(gòu)治理和控制監(jiān)控的監(jiān)督職責(zé)的會(huì)議首席審計(jì)執(zhí)行官的任

23、免有何種層次的領(lǐng)導(dǎo)層決定審計(jì)委員會(huì)由何種人員組成職業(yè)道德和標(biāo)準(zhǔn)職業(yè)道德和準(zhǔn)則職業(yè)審慎態(tài)度IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)23信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南審計(jì)師的知識(shí)、技能和專業(yè)勝任能力出色的口頭和書(shū)面表達(dá)能力，以便清楚有效地表達(dá)審計(jì)目的、審計(jì)評(píng)價(jià)工作、審計(jì)結(jié)論和審計(jì)建議擁有良好的人際交流技能 接受后續(xù)專業(yè)教育，以保持專業(yè)技術(shù)的適應(yīng)性其他必備的技能包括對(duì)組織所在行業(yè)的深入了解，實(shí)施和改進(jìn)財(cái)務(wù)和運(yùn)營(yíng)方面所涉及流程的知識(shí)和技能審計(jì)師的知識(shí)、技能和專業(yè)勝任能力熟練應(yīng)用內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)、程序和技術(shù)，理解管理原則，深入領(lǐng)會(huì)會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、商法、稅收、金融和信息技術(shù)。IT

24、系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)24信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南計(jì)劃以相應(yīng)的法律和審計(jì)準(zhǔn)則為基礎(chǔ)基于風(fēng)險(xiǎn)審計(jì)方法制定詳細(xì)的審計(jì)計(jì)劃制定審計(jì)程序和步驟審計(jì)工作的實(shí)施審計(jì)人員受到適當(dāng)監(jiān)督獲取證據(jù)審計(jì)底稿IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)25信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南報(bào)告信息系統(tǒng)審計(jì)人員在完成審計(jì)工作后，應(yīng)向委托者出具按照適當(dāng)?shù)母袷骄幹频膶徲?jì)報(bào)告。審計(jì)報(bào)告應(yīng)當(dāng)標(biāo)明機(jī)構(gòu)名稱、審計(jì)報(bào)告報(bào)送對(duì)象以及報(bào)告使用限制。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)范圍、審計(jì)目標(biāo)、審計(jì)工作所涵蓋的期間及所執(zhí)行審計(jì)工作的性質(zhì)和內(nèi)容。審計(jì)報(bào)告應(yīng)當(dāng)說(shuō)明審計(jì)人員執(zhí)行審計(jì)工作中所發(fā)

25、現(xiàn)的問(wèn)題、形成的結(jié)論和建議以及審計(jì)師關(guān)于審計(jì)的任何保留意見(jiàn)。信息系統(tǒng)審計(jì)人員應(yīng)該有充分的、適當(dāng)?shù)膶徲?jì)證據(jù)來(lái)支持所報(bào)告的審計(jì)結(jié)論。審計(jì)報(bào)告簽發(fā)時(shí)，信息系統(tǒng)審計(jì)人員應(yīng)該依據(jù)審計(jì)章程或?qū)徲?jì)業(yè)務(wù)約定書(shū)中的規(guī)定簽名、簽署日期再對(duì)外發(fā)放。后續(xù)審計(jì)檢查之間的審計(jì)結(jié)論和建議檢查之間的審計(jì)發(fā)現(xiàn)的問(wèn)題被審計(jì)單位是否及時(shí)妥善的處理了相關(guān)問(wèn)題IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)26信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)和指南使用ISACA 指南考慮審計(jì)指南，以決定怎樣實(shí)施審計(jì)準(zhǔn)則在應(yīng)用審計(jì)指南時(shí)，審計(jì)師必須有自己專業(yè)判斷有能力調(diào)整出現(xiàn)的偏離IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)27風(fēng)險(xiǎn)分

26、析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)定義：風(fēng)險(xiǎn)是特定的威脅利用資產(chǎn)的脆弱性從而造成對(duì)資產(chǎn)的一種潛在的損害，風(fēng)險(xiǎn)的嚴(yán)重程度與資產(chǎn)價(jià)值的損害程度及威脅發(fā)生的頻度成正比。影響風(fēng)險(xiǎn)的因素：業(yè)務(wù)流程及資產(chǎn)的脆弱性及其面臨的威脅，包括物理資產(chǎn)和信息資產(chǎn)威脅和脆弱性對(duì)資產(chǎn)的影響威脅發(fā)生的可能性（包括可能性和頻率）IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)28風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析信息系統(tǒng)審計(jì)人員常常關(guān)注高風(fēng)險(xiǎn)問(wèn)題，如敏感和重要信息的保密性、可用性、完整性以及生成、存儲(chǔ)和處理這些信息的重要的信息系統(tǒng)和流程等。風(fēng)險(xiǎn)分析有以下用途：幫助審計(jì)人員識(shí)別風(fēng)險(xiǎn)，識(shí)別由管理層所建立的IT環(huán)境和IS系統(tǒng)的威脅及系統(tǒng)專有的內(nèi)部控制，審計(jì)人員根據(jù)

27、風(fēng)險(xiǎn)水平選擇擬檢查的區(qū)域。幫助審計(jì)人員在制定審計(jì)計(jì)劃時(shí)對(duì)控制的評(píng)估。幫助審計(jì)人員確定審計(jì)目標(biāo)。支持基于風(fēng)險(xiǎn)的審計(jì)決策。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)29內(nèi)部控制內(nèi)部控制內(nèi)部控制的定義企業(yè)管理層、高級(jí)經(jīng)理和所有人員為了保證業(yè)務(wù)活動(dòng)的有效進(jìn)行，保護(hù)資產(chǎn)的安全和完整；防止、發(fā)現(xiàn)、糾正錯(cuò)誤與舞弊，保證會(huì)計(jì)資料的真實(shí)、合法、完整而制定和實(shí)施的政策與程序。 內(nèi)部控制內(nèi)容：控制分類信息系統(tǒng)控制目標(biāo)總體控制程序信息系統(tǒng)控制程序IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)30控制分類控制分類預(yù)防性控制預(yù)防性控制檢查性控制檢查性控制糾正性控制糾正性控制職能職能在事情發(fā)生前檢測(cè)問(wèn)題監(jiān)控

28、運(yùn)營(yíng)和輸入在問(wèn)題發(fā)生前預(yù)測(cè)潛在問(wèn)題，并做出糾正避免錯(cuò)誤、疏忽或蓄意行為的發(fā)生 使用控制檢查和報(bào)告發(fā)生的錯(cuò)誤、疏忽或蓄意行為減少危害影響修復(fù)檢查性控制發(fā)現(xiàn)的問(wèn)題找出問(wèn)題原因和糾正問(wèn)題衍生出的錯(cuò)誤修改處理系統(tǒng)以減少未來(lái)問(wèn)題發(fā)生的可能性 作用作用僅雇傭勝任的人員和職責(zé)分工控制訪問(wèn)物理設(shè)備使用良好設(shè)計(jì)的文檔(避免錯(cuò)誤)建立交易授權(quán)的配套流程完成程序化的編輯檢查使用訪問(wèn)控制軟件，只允許授權(quán)用戶訪問(wèn)敏感文件哈希匯總(Hash totals)生產(chǎn)作業(yè)中的檢查點(diǎn)電信領(lǐng)域的回顯Echo)控制磁帶標(biāo)簽上的錯(cuò)誤信息重復(fù)計(jì)算檢查和定期匯報(bào)性能差異過(guò)期賬款報(bào)告和內(nèi)部審計(jì) 意外處理計(jì)劃備份流程恢復(fù)運(yùn)營(yíng)流程 IT系統(tǒng)審計(jì)實(shí)

29、務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)31信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)信息系統(tǒng)控制目標(biāo)可以運(yùn)用在所有人工及自動(dòng)化控制部分，所以對(duì)信息系統(tǒng)的控制目標(biāo)不變，但控制的性質(zhì)可能有所不同。因此應(yīng)該根據(jù)具體的相關(guān)流程來(lái)制定具體的內(nèi)部控制目標(biāo)。常見(jiàn)的控制目標(biāo)有：保護(hù)信息系統(tǒng)以防止不當(dāng)存取，并確保及時(shí)更新保護(hù)計(jì)算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性通過(guò)以下方法保護(hù)敏感的、重要的應(yīng)用系統(tǒng)(如財(cái)務(wù)及管理應(yīng)用系統(tǒng))的機(jī)密性和完整性:保證信息系統(tǒng)的運(yùn)營(yíng)效率與效果符合用戶的需求、組織的方針、策略與程序，并遵守法律法規(guī)的要求.制定業(yè)務(wù)持續(xù)計(jì)劃及災(zāi)難恢復(fù)計(jì)劃制定應(yīng)急響應(yīng)及處理程序IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)

30、培訓(xùn)頁(yè)數(shù)32總體控制程序總體控制程序總體控制適用于組織的各個(gè)方面，控制程序包含由管理者建立的政策及方法，目的在于合理地確保控制目標(biāo)實(shí)現(xiàn)?？傮w內(nèi)部控制程序包括：內(nèi)部會(huì)計(jì)控制主要針對(duì)會(huì)計(jì)操作，關(guān)注資產(chǎn)安全、財(cái)務(wù)資料準(zhǔn)確可靠日常經(jīng)營(yíng)控制保證日常業(yè)務(wù)操作、功能及活動(dòng)能滿足業(yè)務(wù)目標(biāo)需要.組織管理控制關(guān)注職能部門(mén)的運(yùn)作效率及運(yùn)營(yíng)控制符合管理政策的程度，以提高經(jīng)營(yíng)效率和保證管理方針、政策的實(shí)施為目標(biāo)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)33信息系統(tǒng)控制程序信息系統(tǒng)控制程序總體內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序.設(shè)計(jì)良好的信息系統(tǒng)應(yīng)該對(duì)全部的敏感或重要功能進(jìn)行控制。信息系統(tǒng)內(nèi)部控制程序可分

31、為以下幾類:信息系統(tǒng)戰(zhàn)略與方向信息系統(tǒng)組織與管理對(duì)數(shù)據(jù)與計(jì)算機(jī)程序的訪問(wèn)限制系統(tǒng)開(kāi)發(fā)方法與變更控制數(shù)據(jù)處理作業(yè)系統(tǒng)編程及技術(shù)支持?jǐn)?shù)據(jù)處理質(zhì)量保證程序物理訪問(wèn)控制業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)網(wǎng)絡(luò)和通訊數(shù)據(jù)庫(kù)管理IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)34審計(jì)是指有勝任能力的獨(dú)立機(jī)構(gòu)或人員接受委托或授權(quán)，對(duì)特定經(jīng)濟(jì)實(shí)體的可計(jì)量的信息證據(jù)進(jìn)行客觀收集和評(píng)價(jià)，已確定這些信息預(yù)計(jì)定標(biāo)準(zhǔn)的符合程度，并向利益相關(guān)者報(bào)告的一個(gè)系統(tǒng)過(guò)程。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)審計(jì)分類財(cái)務(wù)審計(jì)：是指審計(jì)人員對(duì)被單位的會(huì)計(jì)報(bào)表的合法性、公允性發(fā)表審計(jì)意見(jiàn)。經(jīng)營(yíng)審計(jì)：對(duì)企業(yè)經(jīng)營(yíng)活動(dòng)的內(nèi)部控制構(gòu)成進(jìn)行評(píng)估綜合審計(jì)：是指

32、財(cái)務(wù)審計(jì)與經(jīng)營(yíng)審計(jì)的結(jié)合。綜合審計(jì)的目的既包括對(duì)財(cái)務(wù)報(bào)表發(fā)表審計(jì)意見(jiàn)，即財(cái)務(wù)信息的正確性、資產(chǎn)的安全性:也包括對(duì)內(nèi)部控制的審計(jì)，即內(nèi)部控制的效率與效果的審計(jì)。管理審計(jì)：是一種評(píng)價(jià)組織內(nèi)與經(jīng)營(yíng)效率相關(guān)的問(wèn)題的審計(jì)。信息系統(tǒng)審計(jì)：接下頁(yè)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)35信息系統(tǒng)審計(jì)定義：信息系統(tǒng)審計(jì)時(shí)收集并評(píng)價(jià)審計(jì)證據(jù)，以判斷與被審計(jì)單位信息系統(tǒng)有關(guān)的資源與資產(chǎn)的保全、資料與系統(tǒng)的完整性維護(hù)等；判斷信息系統(tǒng)是否可以提供值得信賴的資料，并有效實(shí)現(xiàn)組織的目標(biāo)；信息系統(tǒng)的內(nèi)部控制是否有效的實(shí)現(xiàn)控制目標(biāo)和經(jīng)營(yíng)目標(biāo)，并能及時(shí)的預(yù)防、發(fā)現(xiàn)和糾正不良事件的發(fā)生。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)

33、審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)36審計(jì)程序的步驟獲取并記錄對(duì)審計(jì)對(duì)象的了解風(fēng)險(xiǎn)評(píng)估和總體審計(jì)計(jì)劃和安排詳細(xì)審計(jì)計(jì)劃初步檢查審計(jì)對(duì)象評(píng)估審計(jì)對(duì)象符合性測(cè)試（控制測(cè)試）實(shí)質(zhì)性測(cè)試報(bào)告（溝通結(jié)果）后續(xù)審計(jì)實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)37審計(jì)方法審計(jì)范圍審計(jì)目標(biāo)審計(jì)工作計(jì)劃典型的審計(jì)階段確定審計(jì)目標(biāo)確定審計(jì)范圍初步審計(jì)計(jì)劃審計(jì)方法和采集數(shù)據(jù)評(píng)價(jià)測(cè)試和檢查結(jié)果與管理人員溝通準(zhǔn)備審計(jì)報(bào)告實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)38審計(jì)風(fēng)險(xiǎn)和重要性審計(jì)風(fēng)險(xiǎn)可定義為“信息或財(cái)務(wù)報(bào)表可能

34、有重要錯(cuò)誤，但信息系統(tǒng)審計(jì)人員未發(fā)現(xiàn)已發(fā)生的錯(cuò)誤，并做出了錯(cuò)誤結(jié)論的風(fēng)險(xiǎn)”。 “重要性”一詞，是指錯(cuò)誤的嚴(yán)重程度，這一程度是從被審計(jì)信息系統(tǒng)的利益相關(guān)者的角度來(lái)判斷，如果影響到利益相關(guān)者的判斷與決策，那么這一錯(cuò)誤就是重要的。重要性的確定是信息系統(tǒng)審計(jì)師的一項(xiàng)職業(yè)判斷，需要從整體上考慮由于控制薄弱而造成的過(guò)失、疏忽、違規(guī)和非法行為對(duì)組織的影響。審計(jì)師使用基于風(fēng)險(xiǎn)的審計(jì)方法來(lái)評(píng)估審計(jì)過(guò)程本身所具有的風(fēng)險(xiǎn)，并決定在審計(jì)過(guò)程中是否采用及如何采用符合性測(cè)試和實(shí)質(zhì)性測(cè)試。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)39實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)分類固有風(fēng)險(xiǎn)

35、：是指“假設(shè)不存在相關(guān)的內(nèi)部控制的情況下，發(fā)生重大錯(cuò)誤的風(fēng)險(xiǎn)”?？刂骑L(fēng)險(xiǎn)：是指有內(nèi)部控制制度，但無(wú)法預(yù)防、及時(shí)發(fā)現(xiàn)或糾正重要錯(cuò)誤的風(fēng)險(xiǎn)。檢查風(fēng)險(xiǎn)：是指信息系統(tǒng)審計(jì)人員由于采用了不恰當(dāng)?shù)臏y(cè)試程序.未能發(fā)現(xiàn)已存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。整體審計(jì)風(fēng)險(xiǎn)：整體審計(jì)風(fēng)險(xiǎn)是對(duì)個(gè)別控制目標(biāo)所評(píng)估出的各類審計(jì)風(fēng)險(xiǎn)的綜合。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)40在采用基于風(fēng)險(xiǎn)的審計(jì)方法時(shí)，信息系統(tǒng)審計(jì)師不僅僅是依賴于對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)，而且還依賴于對(duì)組織的內(nèi)部控制和運(yùn)營(yíng)控制的分析。這種類型的風(fēng)險(xiǎn)評(píng)估就是把風(fēng)險(xiǎn)意識(shí)貫穿到審計(jì)的全過(guò)程，從而在審計(jì)過(guò)程中把重點(diǎn)放在審計(jì)風(fēng)險(xiǎn)的評(píng)估上，并有助于把對(duì)控制所做的成本效益分析

36、與已知的風(fēng)險(xiǎn)結(jié)合起來(lái)，作出最佳控制選擇?；陲L(fēng)險(xiǎn)的審計(jì)方法有以下優(yōu)點(diǎn)：強(qiáng)調(diào)商業(yè)和業(yè)務(wù)知識(shí)強(qiáng)調(diào)評(píng)估整體控制的有效性根據(jù)控制目標(biāo)將風(fēng)險(xiǎn)評(píng)估和測(cè)試方法有機(jī)結(jié)合起來(lái)重點(diǎn)是從管理角度來(lái)看企業(yè)運(yùn)營(yíng)實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)41在決定應(yīng)審計(jì)哪些功能區(qū)域時(shí)，信息系統(tǒng)審計(jì)師將面臨大量不同類型的審計(jì)對(duì)象，信息系統(tǒng)審計(jì)師應(yīng)根據(jù)被審計(jì)對(duì)象的復(fù)雜性和具體情況來(lái)選擇最適合組織需要的風(fēng)險(xiǎn)評(píng)估技術(shù)。利用風(fēng)險(xiǎn)評(píng)估技術(shù)來(lái)確定審計(jì)范圍時(shí).要注意以下問(wèn)題：管理層能有效的分配審計(jì)資源保證從組織的各級(jí)管理層能收集到足夠的信息能為有效管理審計(jì)部門(mén)并提高審計(jì)工作績(jī)效奠定基礎(chǔ)總結(jié)出單獨(dú)

37、審計(jì)對(duì)象與整個(gè)組織及業(yè)務(wù)計(jì)劃是如何相關(guān)的實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)42控制目標(biāo)和審計(jì)目標(biāo)控制目標(biāo)指出內(nèi)部控制應(yīng)如何發(fā)揮作用，而審計(jì)目標(biāo)則給出明確的審計(jì)目的。一項(xiàng)審計(jì)可以包含幾個(gè)審計(jì)目的。審計(jì)目標(biāo)通常專注于證實(shí)內(nèi)部控制存在并能有效地降低業(yè)務(wù)風(fēng)險(xiǎn)。審計(jì)目標(biāo)包括鑒證信息資產(chǎn)的機(jī)密性、完整性、可靠性、可用性及與法律法規(guī)的符合性。當(dāng)實(shí)施具體的審計(jì)任務(wù)時(shí)，被審計(jì)方管理層負(fù)責(zé)人會(huì)提供一個(gè)總的控制目標(biāo)，讓審計(jì)師去檢查及鑒證。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)43符合性測(cè)試：符合性測(cè)試確定控制的執(zhí)行符合管

38、理層制定的方針政策的程度。例如，通過(guò)測(cè)試抽取的程序樣本的原版本與目標(biāo)版本的一致性。實(shí)質(zhì)性測(cè)試：實(shí)質(zhì)性測(cè)試驗(yàn)證實(shí)際處理的完整性.通過(guò)實(shí)質(zhì)性測(cè)試可以確定財(cái)務(wù)報(bào)表和財(cái)務(wù)信息所反映的業(yè)務(wù)活動(dòng)的正確性和完整性。實(shí)質(zhì)性測(cè)試和符合性測(cè)試關(guān)系如果符合性測(cè)試(也叫控制測(cè)試)結(jié)果表明被審計(jì)單位內(nèi)部控制充分，信息系統(tǒng)審計(jì)師就會(huì)減少實(shí)質(zhì)性測(cè)試程序。反之，如果控制測(cè)試的結(jié)果表明被審計(jì)單位控制薄弱，在賬戶的完整性、正確性和有效性都不可信時(shí)，信息系統(tǒng)審計(jì)師則要實(shí)施大量的實(shí)質(zhì)性測(cè)試程序.實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)44實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)審計(jì)證據(jù) 是按照審計(jì)

39、標(biāo)準(zhǔn)及目標(biāo)要求，在對(duì)某實(shí)體進(jìn)行審計(jì)時(shí)所采用信息，審計(jì)結(jié)論必須基于充分、相關(guān)、可靠的證據(jù)。評(píng)估審計(jì)證據(jù)的可靠性，取決于以下因素:提供審計(jì)證據(jù)人員獨(dú)立性提供審計(jì)證據(jù)人員的資格審計(jì)證據(jù)客觀性審計(jì)證據(jù)時(shí)效性IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)45獲取審計(jì)證據(jù)的技術(shù)檢查信息系統(tǒng)組織架構(gòu)：在信息系統(tǒng)環(huán)境下，組織結(jié)構(gòu)提供了充分的職責(zé)分工，是重要的一般控制。檢查信息系統(tǒng)方針政策：信息系統(tǒng)審計(jì)師應(yīng)該檢查組織是否存在適當(dāng)?shù)姆结樅驼?，確定員工是否理解方針政策并在工作中得到遵循。檢查信息系統(tǒng)文件：檢查信息系統(tǒng)文件先要了解組織內(nèi)的現(xiàn)行文件，信息系統(tǒng)審計(jì)師至少要找到關(guān)鍵信息系統(tǒng)文件。約見(jiàn)相關(guān)人員進(jìn)行會(huì)談

40、：約見(jiàn)應(yīng)事先安排，按事先擬好的提綱進(jìn)行，井記錄會(huì)談紀(jì)要。觀察處理過(guò)程和員工實(shí)際表現(xiàn)：觀察是各種檢查方法中一種重要技巧。信息系統(tǒng)審計(jì)師在觀察過(guò)程中應(yīng)紀(jì)錄下充分詳細(xì)的記錄作為以后的審計(jì)證據(jù)。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)46抽樣是應(yīng)用在成本及時(shí)間都不允許對(duì)所有交易或事件的對(duì)象總體作100%審計(jì)時(shí)，可以從審計(jì)總體中選取一定數(shù)量的樣本進(jìn)行測(cè)試，并根據(jù)側(cè)試結(jié)果，推斷審計(jì)對(duì)象總體特征的一種方法。根據(jù)總體特征不同分為：統(tǒng)計(jì)抽樣：審計(jì)人員在計(jì)算正式抽樣結(jié)果時(shí)采用統(tǒng)計(jì)推斷技術(shù)的一種抽樣方法，統(tǒng)計(jì)抽樣采用客觀的方法來(lái)決定樣本量大小及抽樣方式。非統(tǒng)計(jì)抽樣：審計(jì)人

41、員全憑主觀標(biāo)準(zhǔn)和個(gè)人經(jīng)驗(yàn)來(lái)評(píng)價(jià)樣本結(jié)果并對(duì)總體做出結(jié)論。二者最根本的區(qū)別在于非統(tǒng)計(jì)抽樣不能量化抽樣風(fēng)險(xiǎn)，而統(tǒng)計(jì)抽樣可以量化抽樣風(fēng)險(xiǎn)。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)47實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)根據(jù)抽樣方法分為：屬性抽樣：估計(jì)一個(gè)控制或一組相關(guān)控制屬性的發(fā)生概率。例如，使用電腦中請(qǐng)表中的核準(zhǔn)簽名就是一種控制屬性。變量抽樣：根據(jù)總體的抽樣來(lái)估計(jì)總體的金額數(shù)或其他衡量單位，如重量。屬性抽樣有以下常用方法：停-走抽樣：它從預(yù)計(jì)總體誤差為零開(kāi)始，通過(guò)邊抽樣邊審查評(píng)價(jià)來(lái)完成抽樣審計(jì)工作。發(fā)現(xiàn)抽樣：發(fā)現(xiàn)抽樣是屬性抽樣的一種特殊形式，主要用于查找重大

42、非法事件。變量抽樣有以下常用方法：分層單位平均估計(jì)抽樣： 先對(duì)樣本總體進(jìn)行分層，在不同分層中進(jìn)行抽樣檢查確定樣本的平均值。根據(jù)樣本平均值推斷總休的平均值和總值的方法。分層方法可以縮小樣本量。不分層單位平均估計(jì)抽樣：通過(guò)抽樣檢查確定樣本的平均值，根據(jù)樣本平均值推斷總體的平均值和總值的方法。差額估計(jì)抽樣：差額估計(jì)抽樣是以樣本實(shí)際價(jià)值與賬面價(jià)值的平均差額來(lái)估計(jì)總體實(shí)際價(jià)值與賬面價(jià)值的平均差額，然后再以這個(gè)平均差額乘以總體項(xiàng)目個(gè)數(shù)，從而求出總體的實(shí)際價(jià)值與賬面價(jià)值差額的一種抽樣方法。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)48實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)統(tǒng)計(jì)抽樣術(shù)語(yǔ)置信系數(shù)：也稱為信賴

43、(置信)水平、可信度(可信賴程度)或可信賴因子，是以百分率(90%, 95%, 99%等)表示的抽樣結(jié)果能夠代表總體的概率。風(fēng)險(xiǎn)水平：等于1減去置信系數(shù)，是樣本結(jié)果不能代表總體的概率。精度：也稱為精確度。由審計(jì)師設(shè)定，并能代表樣本與總體之間的可接受誤差范圍。預(yù)期總體誤差：即預(yù)期差錯(cuò)發(fā)生率，以百分率表示，是估計(jì)總體可能存在的錯(cuò)誤。樣本均值：是將所有抽樣樣本值合計(jì)再除以樣本數(shù)，用來(lái)衡量樣本指標(biāo)的乎均大小。樣本標(biāo)準(zhǔn)差：是利用抽樣平均值計(jì)算樣木值的差異，用來(lái)衡量樣本值分布的情況?？扇萑陶`差：是審計(jì)師認(rèn)為抽樣結(jié)果可以達(dá)到審計(jì)目的而愿意接受的與審計(jì)對(duì)象總體的最大誤差。總體標(biāo)準(zhǔn)差：是衡量總體中個(gè)別單位偏離總

44、體平均值的離散程度的指標(biāo)。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)49計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）計(jì)算機(jī)輔助審計(jì)技術(shù)成為信息系統(tǒng)審計(jì)師獲得獨(dú)立信息的重要工具。計(jì)算機(jī)輔助審計(jì)技術(shù)可以使信息系統(tǒng)審計(jì)師獨(dú)立收集審計(jì)信息、按照預(yù)定審計(jì)目標(biāo)訪問(wèn)和分析數(shù)據(jù)、報(bào)告系統(tǒng)產(chǎn)生和維護(hù)的紀(jì)錄的可靠性等審計(jì)發(fā)現(xiàn)。所用信息來(lái)源的可靠性為得出審計(jì)結(jié)果提供了再保證.CAATs 包括:通用審計(jì)軟件公共軟件測(cè)試數(shù)據(jù)整體測(cè)試快照審計(jì)專家系統(tǒng)實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)50計(jì)算機(jī)輔助審計(jì)技術(shù)計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)點(diǎn) 降低審計(jì)風(fēng)險(xiǎn) 不太需要依賴被審計(jì)單位的人員

45、比較廣泛并一致的審計(jì)范圍 可以更快速利用資料 執(zhí)行時(shí)間較有彈性 更有機(jī)會(huì)量化內(nèi)部控制的弱點(diǎn) 加強(qiáng)抽樣 節(jié)省成本計(jì)算機(jī)輔助審計(jì)技術(shù)的成本和效益容易使用，包括對(duì)現(xiàn)有及未來(lái)的審計(jì)工作人員對(duì)于培訓(xùn)的要求編寫(xiě)及維護(hù)的復(fù)雜度使用的靈活性對(duì)于安裝的要求處理的效率，特別是用于個(gè)人電腦上的計(jì)算機(jī)輔助審計(jì)技術(shù)實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)51在審計(jì)實(shí)施階段，完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后，下一步就是評(píng)估所收集的信息，評(píng)估需要注意以下幾點(diǎn)：控制需求：審計(jì)證據(jù)是否符合審計(jì)計(jì)劃階段制定的控制需求和目標(biāo)。相關(guān)及周邊信息：審計(jì)師在審計(jì)時(shí)收集各種審計(jì)證據(jù)，其中有些可能

46、與審計(jì)目標(biāo)有關(guān)，有些則是輔助的。考慮補(bǔ)償性與重疊性控制:進(jìn)行信息系統(tǒng)審計(jì)時(shí)，審計(jì)師可能發(fā)現(xiàn)一些健全的控制以及控制缺陷。在評(píng)估整體控制結(jié)構(gòu)時(shí)，信息系統(tǒng)審計(jì)師要考慮到，在某些情況下，一個(gè)健全的控制在其他地方可能補(bǔ)償另一個(gè)控制的缺陷。這些在證據(jù)評(píng)價(jià)過(guò)程中都需要被考慮?？紤]控制的相關(guān)性：由于一個(gè)適當(dāng)?shù)目刂撇⒉灰欢〞?huì)實(shí)現(xiàn)控制目標(biāo)，因此審計(jì)師需要執(zhí)行一些測(cè)試程序，并評(píng)估控制與控制目標(biāo)的相關(guān)性，審計(jì)師應(yīng)在報(bào)告控制缺陷之前.先審計(jì)補(bǔ)償性控制.實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)52在審計(jì)實(shí)施階段，完成一個(gè)審計(jì)程序并收集審計(jì)證據(jù)之后，下一步就是評(píng)估所收集的信息，評(píng)

47、估需要注意以下幾點(diǎn)（續(xù)）：判斷控制是否有效率和效果： 審計(jì)師應(yīng)檢查在審計(jì)過(guò)程中收集到的證據(jù)，以決定被檢查的作業(yè)是否有良好的控制而且有效，這也需要審計(jì)師的判斷與經(jīng)驗(yàn).分析證據(jù)的技術(shù)：審計(jì)師應(yīng)了解分析審計(jì)證據(jù)的技術(shù)，例如.審計(jì)師可能希望按統(tǒng)計(jì)趨勢(shì)分析問(wèn)題.使用審計(jì)時(shí)的整體比率或?qū)⒉煌陂g相比。判斷審計(jì)發(fā)現(xiàn)的重要性水平(Materiality of Findings)：重要性水平是一個(gè)重要的考慮指標(biāo)。決定審計(jì)發(fā)現(xiàn)重要性的關(guān)鍵，是評(píng)估那些對(duì)相關(guān)層次的主管有意義的事件。在審計(jì)發(fā)現(xiàn)的缺陷未被糾正前，進(jìn)行評(píng)估時(shí)，需要判斷其潛在的影響。例如。在遠(yuǎn)程分散式電腦作業(yè)中，其電腦的物理存取控制缺陷可能只對(duì)當(dāng)?shù)刂鞴苡幸?/p>

48、義，但對(duì)總公司的主管就不一定重要.然而，在遠(yuǎn)程的作業(yè)端，仍有一些事項(xiàng)對(duì)總公司的主管是重要的.實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)53正式發(fā)布審計(jì)報(bào)告前與有關(guān)管理人員的溝通，溝通目的：確保報(bào)告中的事實(shí)是準(zhǔn)確的；信息系統(tǒng)審計(jì)師應(yīng)在報(bào)告發(fā)布之前，就重要發(fā)現(xiàn)及時(shí)和合適的人員進(jìn)行交流.但提前交流不應(yīng)該改變報(bào)告的內(nèi)容；確保所推薦的改進(jìn)措施是可行的并符合成本效益原則，否則可通過(guò)協(xié)商方式找出替代方法，并制訂出執(zhí)行日期；在報(bào)告最后發(fā)布之前，信息系統(tǒng)審計(jì)師應(yīng)注意到組織或者環(huán)境的重大改變。如果所發(fā)生的變化會(huì)影響到信息系統(tǒng)審計(jì)的發(fā)現(xiàn)與結(jié)論.信息系統(tǒng)審計(jì)師有責(zé)任采取恰當(dāng)?shù)?/p>

49、措施，將這些改變及其潛在影響告知報(bào)告的收件人。與被審計(jì)單位溝通審計(jì)師與被審計(jì)單位進(jìn)行溝通，是獨(dú)立審計(jì)工作不可缺少的一部分，溝通不只限于完成審計(jì)工作時(shí)，它與審計(jì)的所有階段相關(guān)，是貫穿整個(gè)審計(jì)過(guò)程的一項(xiàng)重要工作。實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)54審計(jì)跟蹤：管理層對(duì)審計(jì)發(fā)現(xiàn)采取的改進(jìn)措施；審計(jì)師不斷的對(duì)所發(fā)現(xiàn)問(wèn)題進(jìn)行跟進(jìn)實(shí)施信息系統(tǒng)審計(jì)實(shí)施信息系統(tǒng)審計(jì)項(xiàng)目管理技術(shù)開(kāi)發(fā)一個(gè)詳細(xì)的計(jì)劃按照審計(jì)計(jì)劃報(bào)告項(xiàng)目活動(dòng)調(diào)整計(jì)劃及采取糾正行動(dòng)審計(jì)限制因素最近的員工更替或缺席違反約定的項(xiàng)目結(jié)束日期及更新處理日期相關(guān)知識(shí)與文檔的缺乏IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系

50、統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)55控制自我評(píng)估的目標(biāo)增強(qiáng)審計(jì)職責(zé)培訓(xùn)一線經(jīng)理監(jiān)督控制的職責(zé)集中關(guān)注高風(fēng)險(xiǎn)的業(yè)務(wù)控制自我評(píng)估的優(yōu)點(diǎn)及早發(fā)現(xiàn)風(fēng)險(xiǎn)問(wèn)題更有效的改進(jìn)內(nèi)部控制通過(guò)員工參與創(chuàng)造和諧的團(tuán)隊(duì)氣氛增強(qiáng)運(yùn)營(yíng)層與高層管理人員的溝通高度激發(fā)員工工作熱情改善審計(jì)定級(jí)過(guò)程減少控制成本向股東和消費(fèi)者做出內(nèi)部控制有效的保證高級(jí)管理層能夠做出內(nèi)部控制充分性的保證，滿足各法律機(jī)構(gòu)和法規(guī)對(duì)內(nèi)部控制的要求控制自我評(píng)估控制自我評(píng)估(CSA)(CSA)用來(lái)對(duì)關(guān)鍵業(yè)務(wù)目標(biāo)、實(shí)現(xiàn)目標(biāo)所面臨的風(fēng)險(xiǎn)及管理業(yè)務(wù)風(fēng)險(xiǎn)的內(nèi)部控制進(jìn)行檢查的一系列正式的、程序化的過(guò)程。IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)56控制自我評(píng)估控制自我評(píng)估(

51、CSA)(CSA)審計(jì)師在CSA中的角色 如果在CSA項(xiàng)目中包括了審計(jì)師。審計(jì)師應(yīng)當(dāng)作為內(nèi)部控制專家及評(píng)估推動(dòng)者的角色而出現(xiàn)。項(xiàng)目中的技術(shù)手段 綜合應(yīng)用硬件及軟件功能來(lái)支持CSA的選擇，以及使用視頻會(huì)議及計(jì)算機(jī)輔助決策方式來(lái)支持CSA人員作出集體決策。傳統(tǒng)審計(jì)方法與CSA的對(duì)比區(qū)別內(nèi)容傳統(tǒng)審計(jì)方法CSA方法授權(quán)方式對(duì)審計(jì)師分配責(zé)任/監(jiān)督管理 授權(quán)/承擔(dān)責(zé)任的內(nèi)部員工推動(dòng)方式 策略/規(guī)則驅(qū)動(dòng) 持續(xù)完善/學(xué)習(xí)曲線 參與程度有限的員工參與 廣泛的員工參與和培訓(xùn)利益相關(guān)者關(guān)注程度利益相關(guān)者關(guān)注程度低 利益相關(guān)者關(guān)注程度高審計(jì)參與者審計(jì)師和其他專業(yè)人員所有員工都是控制分析者IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)571 12 23 3目錄目錄第第一一 ITIT審計(jì)介紹審計(jì)介紹第二第二 ITIT審計(jì)程序?qū)徲?jì)程序第三第三 ITIT審計(jì)一般架構(gòu)及范圍審計(jì)一般架構(gòu)及范圍IT系統(tǒng)審計(jì)實(shí)務(wù)介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)頁(yè)數(shù)58業(yè)務(wù)流程與業(yè)務(wù)流程與ITIT環(huán)境的關(guān)系環(huán)境的關(guān)系 業(yè)務(wù)流程業(yè)務(wù)流程IT IT 環(huán)境環(huán)境信息技術(shù)是整體過(guò)程的主要部分信息技術(shù)是整體過(guò)程的主要部分物理安全網(wǎng)絡(luò)安全硬件平臺(tái)數(shù)據(jù)/數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)流程應(yīng)用程序和應(yīng)用程序和人工人工控制控制ITIT