建行-IT審計規(guī)范體系簡介

1、China Construction Bank. | 1IT審計分享China Construction Bank. | 2提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的實施策略審計的實施策略建行建行ITIT審計的情況審計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 3提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的實施策略審計的實施策略建行建行ITIT審計的情況審計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 4IT審計概要

2、審計概要先從一個先從一個ITIT審計的實例說起：網(wǎng)上銀行審計審計的實例說起：網(wǎng)上銀行審計在提交的審計報告中，委托方期望的或我們應該回答如下問題：在提交的審計報告中，委托方期望的或我們應該回答如下問題：各種交易的賬務處理是否準確？各種交易的賬務處理是否準確？是否能夠滿足業(yè)務需求？是否能夠滿足業(yè)務需求？是否能夠對業(yè)務需求的變化及時響應，以支持公是否能夠對業(yè)務需求的變化及時響應，以支持公司的戰(zhàn)略目標？司的戰(zhàn)略目標？系統(tǒng)可靠嗎，是否能夠為用戶提供持續(xù)的服務？系統(tǒng)可靠嗎，是否能夠為用戶提供持續(xù)的服務？系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客的攻擊？的攻擊？系統(tǒng)

3、保密嗎，敏感信息會被非法訪問嗎？系統(tǒng)保密嗎，敏感信息會被非法訪問嗎？ITIT投資合理嗎，是否得到應有的回報？投資合理嗎，是否得到應有的回報？交易和處理方式符合相關的法律法規(guī)嗎？交易和處理方式符合相關的法律法規(guī)嗎？怎樣才可以做的更好？怎樣才可以做的更好？China Construction Bank. | 5IT審計概要審計概要上述這些問題，對應了上述這些問題，對應了ITIT審計的三個發(fā)展階段，或審計的三個發(fā)展階段，或ITIT審計三個層審計三個層面的職能面的職能EDPEDP審計審計電子數(shù)據(jù)處理審計，附屬于電子數(shù)據(jù)處理審計，附屬于傳統(tǒng)的財務審計，關注財務信息電子化處傳統(tǒng)的財務審計，關注財務信息電子

4、化處理過程的正確性和完整性理過程的正確性和完整性鑒證審計（鑒證審計（ASSURANCE）信息系統(tǒng)安全性信息系統(tǒng)安全性、可靠性、有效性的測試和評價、可靠性、有效性的測試和評價咨詢審計咨詢審計ITIT治理結構和管理流程的改進治理結構和管理流程的改進China Construction Bank. | 6IT審計概要審計概要要實施網(wǎng)上銀行的審計，回答委托方關注的問題，必然涉及：要實施網(wǎng)上銀行的審計，回答委托方關注的問題，必然涉及：網(wǎng)上銀行相關的設施網(wǎng)上銀行相關的設施網(wǎng)上銀行應用系統(tǒng)網(wǎng)上銀行應用系統(tǒng)周邊的應用系統(tǒng)，如賬務系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)周邊的應用系統(tǒng)，如賬務系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)信息流量

5、信息流量數(shù)據(jù)庫數(shù)據(jù)庫網(wǎng)絡網(wǎng)絡主機主機China Construction Bank. | 7IT審計概要審計概要要實施網(wǎng)上銀行的審計，回答委托方關注的問題，必然涉及：要實施網(wǎng)上銀行的審計，回答委托方關注的問題，必然涉及：IT管理管理規(guī)劃管理規(guī)劃管理業(yè)務需求管理業(yè)務需求管理架構管理架構管理系統(tǒng)開發(fā)系統(tǒng)開發(fā)采購管理采購管理運維管理運維管理人力資源管理人力資源管理China Construction Bank. | 8IT審計概要審計概要系統(tǒng)不是孤立的系統(tǒng)不是孤立的管理不是孤立的管理不是孤立的審計項目無法達成預期的目標審計項目無法達成預期的目標審計項目的延期審計項目的延期如果沒有統(tǒng)一的規(guī)劃如果沒有統(tǒng)

6、一的規(guī)劃China Construction Bank. | 9提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的實施策略審計的實施策略建行建行ITIT審計的情況審計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 10什么是 COBIT縮略語COBIT的全稱是“Control Objectives for Information and related Technology”，信息及相關技術控制目標COBIT是一個IT治理和控制框架，它主要關注于“需要實現(xiàn)什么”而不是“如何實現(xiàn)”China Construction

7、 Bank. | 11COBIT使命研究、制定、發(fā)布及促進一個權威性的、最新的、國際公認的IT治理控制框架，該框架可用于企業(yè)的業(yè)務管理人員、IT專家及質(zhì)量保證專員的日常工作。China Construction Bank. | 12COBIT發(fā)展歷史COBIT最初以手冊的形式發(fā)布，3.0版以后開始提供在線PDF免費用于非商業(yè)目的COBIT源于COSO內(nèi)部控制框架、最初的ISACA控制目標和超過50個IT標準及最佳實踐COBIT在業(yè)務控制模型和IT最佳實踐之間架起了一座橋梁，并為IT治理提供模型China Construction Bank. | 13COBIT框架的前提COBIT框架是基于這樣

8、一個假定：IT需要交付實現(xiàn)企業(yè)目標所需的信息。COBIT框架通過關注業(yè)務的信息需求、組織IT資源來幫助IT與業(yè)務保持一致COBIT也為實施IT治理提供框架和指南China Construction Bank. | 14COBIT框架基本原理為提供企業(yè)實現(xiàn)其目標所需的信息，企業(yè)需要采用一系列結構化的流程來投資、管理和控制IT資源以向企業(yè)提供服務并交付所需信息管理和控制信息是COBIT框架的核心，它有助于確保IT與業(yè)務保持一致China Construction Bank. | 15COBIT 立方體COBIT框架的三個基本組件：IT流程、IT資源和業(yè)務需求（信息標準），合在一起就構成了COBIT

9、立方體China Construction Bank. | 16COBIT 立方體 IT 流程COBIT使用流程把常見的IT活動組合在一個流程模型中，以幫助管理IT資源來響應業(yè)務需求共有34個IT流程，分為四類定義為四個領域，每一個流程又可細分為組織中的活動和任務China Construction Bank. | 17COBIT的四個領域COBIT在四個域內(nèi)將IT活動定義為過程模型，這些域映射到傳統(tǒng)IT職責域：計劃、建設、運行和監(jiān)控規(guī)劃劃與組織(PO)：為提供解決方案(AI)和提供服務(DS)落實方針獲取與實施(AI)：提供解決方案并將其轉化成為服務交付與支持(DS)：接受解決方案使之為最終

10、用戶所用監(jiān)控與評價(ME)：監(jiān)控所有流程確保遵循既定方針China Construction Bank. | 18PO 計劃與組織該域涵蓋了戰(zhàn)略和戰(zhàn)術，致力于識別IT為實現(xiàn)業(yè)務目標作出最佳貢獻的途徑。實現(xiàn)戰(zhàn)略愿景需要計劃、溝通并管理不同的工作設想，并落實適當?shù)慕M織結構及技術基礎設施。IT戰(zhàn)略與業(yè)務戰(zhàn)略是否一致?企業(yè)是否實現(xiàn)了對資源的最佳利用?組織中每一位成員是否理解IT目標?是否理解IT風險并加以妥善管理?IT質(zhì)量能否滿足業(yè)務需求?China Construction Bank. | 19AI 獲取與實施為實現(xiàn)IT戰(zhàn)略，應識別、開發(fā)/采購、實施IT解決方案并將其整合到業(yè)務流程中。此外，該域還涵

11、蓋了現(xiàn)有系統(tǒng)的變更與維護以確保持續(xù)滿足業(yè)務目標。該域主要闡述下列管理問題：新項目所提供的解決方案是否滿足業(yè)務需求?新項目是否在預算內(nèi)按時交付?新系統(tǒng)上線后能否按預期運行?變更實施是否未影響當前的業(yè)務運行?China Construction Bank. | 20DS 交付與支持這一領域主要關注所需服務的實際交付情況，包括服務交付、安全和持續(xù)性管理、用戶服務支持、數(shù)據(jù)和操作設施管理。該領域主要闡述下列管理問題：是否按照業(yè)務的優(yōu)先級交付IT服務?是否優(yōu)化IT成本?員工是否能有效和安全地使用IT系統(tǒng)？是否充分落實信息安全的機密性、完整性、可用性?China Construction Bank. |

12、21ME 監(jiān)督與評價應定期評估所有IT流程質(zhì)量以及與控制要求的符合程度。該域涉及績效管理、內(nèi)部控制監(jiān)督、合規(guī)和治理等，主要闡述下列管理問題：IT績效測評能否及時檢查出問題?管理層是否確保內(nèi)部控制的效果和效率?IT績效是否能回溯到業(yè)務目標?是否對風險、控制、符合性和績效進行測評并報告？China Construction Bank. | 22COBIT流程在四個領域內(nèi)有34個IT流程，這些流程指明了實現(xiàn)企業(yè)目標的業(yè)務需求，每一個流程都使用控制目標來控制信息的交付每個IT流程都有一個流程描述（高層控制目標）和多個詳細控制目標，作為一個整體是最佳管理流程的基本特征China Construction

13、 Bank. | 23COBIT 的 34個流程計劃與組織計劃與組織PO1 制定IT戰(zhàn)略規(guī)劃PO2 定義信息架構PO3 確定技術方針PO4 定義IT流程、組織和關系PO5 IT投資管理PO6 貫徹管理目標和方針PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風險評估及管理PO10 項目管理v獲取與實施獲取與實施AI1 識別自動化解決方案AI2 應用系統(tǒng)開發(fā)及維護AI3 技術基礎設施的獲取及維護AI4 運營知識保障AI5 IT資源獲取AI6 變更管理AI7 系統(tǒng)測試與發(fā)布v交付與支持交付與支持DS1 服務水平的制定與管理DS2 第三方服務管理DS3 性能和容量管理DS4 確保持續(xù)服務DS5

14、確保系統(tǒng)安全DS6 成本確認與分攤DS7 教育和培訓用戶DS8 服務臺和事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理v監(jiān)控與評價監(jiān)控與評價ME1 IT績效的監(jiān)督與評價ME2 內(nèi)部控制的監(jiān)督與評價ME3 確保遵循外部監(jiān)管要求ME4 提供IT治理China Construction Bank. | 24COBIT 活動和任務活動是實現(xiàn)預期結果所要采取的行動步驟，活動具有周期性，而任務是分散的每一個流程目標都需要一系列的活動，同時也為活動確立了目標China Construction Bank. | 25COBIT 立方體 業(yè)務需求為滿足業(yè)務目

15、標的要求，信息需要遵循一定的控制標準，COBIT稱之為信息的業(yè)務需求。基于廣泛的質(zhì)量、責任和安全要求，COBIT定義了七個獨立又有所重疊的信息標準：效果效率保密性完整性可用性符合性可靠性China Construction Bank. | 26COBIT 立方體 IT 資源為滿足業(yè)務需求，企業(yè)需投入資源創(chuàng)建充分的技術能力以支持業(yè)務能力進而獲得預期結果IT資源由IT流程來管理，以向組織交付實現(xiàn)其業(yè)務目標的信息IT資源包括：應用系統(tǒng)信息基礎設施人員China Construction Bank. | 27管理指南管理指南包括下述內(nèi)容：China Construction Bank. | 28流程輸

16、入和輸出每一個流程都與其他流程有聯(lián)系，輸入是一個流程從其他流程所獲得的內(nèi)容，輸出則是該流程提供給其他流程的內(nèi)容，在某些情況下，輸入輸出可能來自COBIT外部。下例為PO10：China Construction Bank. | 29關鍵活動與 RACI圖每一個流程的關鍵活動都使用RACI圖予以描述，有4種行為：A-負責，代表“責任止于此”，是為活動提供指導和授權的人，責任不能轉授R-執(zhí)行，具體執(zhí)行任務的人，其任務可以再分配C-商議，I-告知，對流程提供支持以及流程所涉及的每一個人RACI圖明確了活動任務應該分配給誰China Construction Bank. | 30目標和指標目標自上而下

17、地設立，業(yè)務目標確立支持它的若干個IT目標；一個IT目標由一個或若干個相互作用的流程來實現(xiàn)，這樣，IT目標幫助確立不同的流程目標；每一個流程目標都需要一系列的活動，反過來也確立了活動目標。China Construction Bank. | 31成熟度模型成熟度模型采用基于組織評價的方法，將流程成熟度水平劃分為從無級別(0)到優(yōu)化級(5)六個等級成熟度等級是IT流程的概括圖，可用于企業(yè)識別并記錄當前及未來的可能狀態(tài)，這些等級并非閥值使用每個IT流程的成熟度模型管理層可以找出：企業(yè)的實際績效當前所處的位置行業(yè)的當前狀況比較企業(yè)的改進目標期望達到的位置在當前是和將達到之間所需的成長路徑China

18、Construction Bank. | 32COBIT各組件之間關系小結China Construction Bank. | 33提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的實施策略審計的實施策略建行建行ITIT審計的情況審計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 341全面性全面性能夠涵蓋建行能夠涵蓋建行ITIT管理各項流程，管理各項流程，適用各級分支機適用各級分支機構和各類審計對構和各類審計對象象2融合性融合性引入國際業(yè)界標引入國際業(yè)界標準或最佳實踐，準或最佳實踐，遵循國家、監(jiān)管遵循國家、監(jiān)管部

19、門和建行部門和建行ITIT相相關制度關制度3操作性操作性在審計項目管理、在審計項目管理、審計流程控制、審計流程控制、審計測試方法方審計測試方法方面提供操作性很面提供操作性很強的指導強的指導IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 352006.82007.22007.82007.9l 正式批準立項l 項目計劃編制l 項目預算編制與批復l 項目采購與合同簽署l 任務初步分析 l 大綱編寫l 方案建議書評審l 初稿編寫l 專題調(diào)研l(wèi) 完善及測試性審計l 試點審計l 推廣培訓 l 文檔整理l 驗收準備l 決算準備課題組人員l 審計部l 信息技術管理部l 武漢

20、開發(fā)中心IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 36IT審計準則IT審計指南內(nèi)部審計準則CobiT 4.1CMMiBS7799ITIL參考業(yè)界最佳實踐內(nèi)審協(xié)會IT審計準則參考依據(jù)依據(jù)IT審計規(guī)范體系監(jiān)管要求行內(nèi)制度內(nèi)部審計章程依據(jù)依據(jù)IT審計案例集補充IT審計測試庫IT風險控制能力評價標準重要術語與定義IT制度匯編IT風險控制水平衡量指標IT風險評估表IT審計訪談提綱IT審計測試表IT審計范圍表IT審計方案模板參考參考依據(jù)開發(fā)中心IT項目管理專項審計分行IT開發(fā)項目專項審計分行運行維護專項審計應用具體內(nèi)容文檔樣式具體內(nèi)容抽取理解依據(jù)ITIT審計規(guī)范體

21、系邏輯架構圖審計規(guī)范體系邏輯架構圖IT Assurance Guide Using Cobit參考 IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 37ITIT審計準則審計準則ITIT審計指南審計指南ITIT審計測試庫審計測試庫工具組件工具組件IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 38ITIT審計準則審計準則ITIT審計指南審計指南ITIT審計測試庫審計測試庫十大工具十大工具IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 39（1 1）ITIT審計準則審計準則已經(jīng)發(fā)布的內(nèi)部審計

22、準則已經(jīng)發(fā)布的內(nèi)部審計準則包括：包括：第1號：審計人員職業(yè)道德第2號：審計程序 第3號：審計計劃 第4號：審計方案 第5號：審計證據(jù)第6號：審計工作底稿 第7號：審計報告第8號：海外審計第9號：審計追蹤第10號：內(nèi)部控制評價第11號：審計檔案第12號：質(zhì)量控制 制定制定ITIT審計準則審計準則的原則：的原則：IT審計準則是針對信息技術審計的專項審計準則，將成為內(nèi)部審計準則的一個組成部分。其他內(nèi)部審計準則同樣適用于IT審計，IT審計準則僅補充有關IT審計的特有內(nèi)容。使用IT審計準則時，應同時考慮其他內(nèi)部審計準則的相關要求。 IT審計規(guī)范體系審計規(guī)范體系 China Construction Ba

23、nk. | 40ITIT審計準則審計準則ITIT審計指南審計指南ITIT審計測試庫審計測試庫十大工具十大工具IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 41（2 2）ITIT審計指南審計指南目的：目的：規(guī)范和指引審計人員開展信息技術審計業(yè)務促進IT審計項目的科學管理，保證審計質(zhì)量依據(jù)：依據(jù)：中國建設銀行股份有限公司內(nèi)部審計章程中國建設銀行股份有限公司內(nèi)部審計準則（包括信息技術審計準則） 1 1 總則總則 1.1 目的和依據(jù) 1.2 適用范圍2 2 審計計劃審計計劃3 3 審計準備審計準備 3.1 IT風險識別和評估 3.1.1 風險評估的方法 3.1.2

24、 IT風險評估 3.2 確定審計范圍 3.3 制定審計方案 3.3.1 制定總體審計方案 3.3.2 制定具體審計方案4 4 審計測試審計測試 4.1 控制類型 4.2 取證方法 4.3 審計證據(jù) 4.4 審計抽樣5 5 審計報告審計報告 5.1 剩余風險評估 5.2 審計評價 5.3 審計建議主要明確計劃、主要明確計劃、準備、測試和報準備、測試和報告四個階段的相告四個階段的相關事項。關事項。整個整個ITIT流程以風流程以風險為導向，從風險為導向，從風險評估、風險控險評估、風險控制有效性確認、制有效性確認、剩余風險評估，剩余風險評估，最終形成審計結最終形成審計結論和整改建議。論和整改建議。IT

25、審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 42ITIT審計準則審計準則ITIT審計指南審計指南ITIT審計測試庫審計測試庫十大工具十大工具IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 434 4個領域個領域計劃與組織獲取與實施獲取與實施提供與支持監(jiān)督與評價領域流程潛在風險控制目標（子流程）控制要點控制活動控制設計/執(zhí)行有效性的測試步驟參考依據(jù)3333個流程個流程1.可行性研究和需求分析2.應用系統(tǒng)開發(fā)與維護3.基礎設施的獲取與維護4.運營知識保障5.IT資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布系統(tǒng)測試與發(fā)布評價標準衡量指

26、標1.已達到預期收益的系統(tǒng)比率2.內(nèi)、外部審計在應用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導致上線后重開發(fā)的次數(shù)4.由于不充分的測試導致的應用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應）二級（與成熟度模型中“可管理級”相對應）三級（與成熟度模型中“定義級”相對應）四級（與成熟度模型中“可重復級”相對應）五級（與成熟度模型中“初始級”相對應）（3 3）ITIT審計測試庫審計測試庫447447個控制點個控制點1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運行的移交。2.新系統(tǒng)應和

27、老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運行狀態(tài)和結果。3.有正式的流程來確保軟件版本的批準、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。3 3個層次個層次1.CobiT4.1，控制目標 AI7.8 系統(tǒng)上線； 2.監(jiān)管要求監(jiān)管要求，銀監(jiān)會商業(yè)銀行信息科技風險管理指引第十八條；3.建行制度建行制度，建設銀行信息技術項目管理辦法(試行) （建總發(fā)2007154號）第三十三、三十六條；208208個子流程個子流程1.用戶培訓2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉換6.變更測試7.驗收測試8.系統(tǒng)上線系統(tǒng)上線IT審計規(guī)范體系審計規(guī)范體系 China Constructio

28、n Bank. | 44計劃與組織獲取與實施獲取與實施提供與支持監(jiān)督與評價領域流程潛在風險控制目標（子流程）控制要點控制活動控制設計/執(zhí)行有效性的測試步驟參考依據(jù)1.可行性研究和需求分析2.應用系統(tǒng)開發(fā)與維護3.基礎設施的獲取與維護4.運營知識保障5.IT資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布系統(tǒng)測試與發(fā)布1.用戶培訓2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉換6.變更測試7.驗收測試8.系統(tǒng)上線系統(tǒng)上線9.實施后評審1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運行的移交。2.新系統(tǒng)應和老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運行狀態(tài)和結果。3.有正式的流程來確保軟件版

29、本的批準、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。4.系統(tǒng)發(fā)布控制流程應包括系統(tǒng)的完整性控制，系統(tǒng)發(fā)布控制流程應包括系統(tǒng)的完整性控制，開發(fā)、測試、運行職責的分離，為所有活動留開發(fā)、測試、運行職責的分離，為所有活動留下完整的審計軌跡下完整的審計軌跡。評價標準衡量指標1.已達到預期收益的系統(tǒng)比率2.內(nèi)、外部審計在應用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導致上線后重開發(fā)的次數(shù)4.由于不充分的測試導致的應用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應）二級（與成熟度模型中“可管

30、理級”相對應）三級（與成熟度模型中“定義級”相對應）四級（與成熟度模型中“可重復級”相對應）五級（與成熟度模型中“初始級”相對應）（3 3）ITIT審計測試庫審計測試庫IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 45ITIT審計準則審計準則ITIT審計指南審計指南ITIT審計測試庫審計測試庫十大工具十大工具IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 46 影響等級影響因素較小中等較大重大對業(yè)務的影響僅影響內(nèi)部業(yè)務對業(yè)務有一定影響-影響顧客對業(yè)務有重大影響 嚴重損害公司為客戶服務的能力分行無法繼續(xù)經(jīng)營管理層投入精力可

31、分配至中層管理人員解決高層管理人員在中層管理人員的協(xié)助下解決需要高層管理人員的關注需要高層管理人員采取持續(xù)危機管理行動并發(fā)布指示品牌和聲譽影響較小短期內(nèi)產(chǎn)生影響嚴重受損并受到廣泛關注重大損失，未來即使投入巨大資源也難以完全恢復人身安全輕傷，需救護需住院治療重傷，部分或全部喪失勞動能力死亡事故營業(yè)利潤0%-0.1% 0.1%-0.3%0.3%-0.5%大于0.5%總資產(chǎn)0%-0.01%0.1%-0.03%0.03-0.05%大于0.05%可能性較小可能可能較大可能基本確定詳細描述可能在某時發(fā)生 發(fā)生可能性低可能在某時發(fā)生 中等可能性可能會在很多情況下發(fā)生在大多數(shù)情況下通常會發(fā)生（4 4）工具一：

32、風險評估的方法、標準）工具一：風險評估的方法、標準影響重大較高重大重大重大較大中等較高重大重大中等較低中等較高重大較小較低較低中等較高較小可能可能較大可能基本確定可能性IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 47（4 4）工具二：）工具二：ITIT風險評估表風險評估表IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 48（4 4）工具三：）工具三：審計范圍表審計范圍表IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 49（4 4）工具四：審計方案模板）工具四：審計方案模板IT審計規(guī)范

33、體系審計規(guī)范體系 China Construction Bank. | 50（4 4）工具五：）工具五：ITIT制度匯編制度匯編（監(jiān)管機構、建行內(nèi)部監(jiān)管機構、建行內(nèi)部ITIT制度制度171171個）個）IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 51（4 4）工具六：）工具六：ITIT審計訪談提綱審計訪談提綱IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 52（4 4）工具七：）工具七：ITIT審計案例審計案例集集（257257個案例）個案例）IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank

34、. | 53（4 4）工具八：）工具八：重要術語與定義重要術語與定義IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 54（4 4）工具九：）工具九：ITIT風險控制能力評價標準風險控制能力評價標準IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 55（4 4）工具十：）工具十：ITIT風險控制水平衡量指標表風險控制水平衡量指標表IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 56IT審計規(guī)范體系審計規(guī)范體系 China Construction Bank. | 57IT審計規(guī)范體系審計規(guī)范

35、體系 China Construction Bank. | 58123是一個審計人員對是一個審計人員對ITIT進行全面的理解和思考的框架進行全面的理解和思考的框架IT審計規(guī)范體系審計規(guī)范體系 4是管理是管理ITIT審計知識的框架審計知識的框架可以根據(jù)組織的實際情況做裁剪，并需要動態(tài)的維護可以根據(jù)組織的實際情況做裁剪，并需要動態(tài)的維護 是組織內(nèi)是組織內(nèi)ITIT利益相關方之間交流和溝通的平臺利益相關方之間交流和溝通的平臺 China Construction Bank. | 59提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的策略審計的策略建行建行ITIT審計的情況審

36、計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 60IT審計的策略立項策略立項策略統(tǒng)籌規(guī)劃統(tǒng)籌規(guī)劃基于組織基于組織ITIT的技術架構和管理架構的技術架構和管理架構風險導向風險導向基于基于ITIT風險的評估，確定立項的優(yōu)先級風險的評估，確定立項的優(yōu)先級劃分相對獨立的審計單元劃分相對獨立的審計單元確保審計范圍可控確保審計范圍可控審計項目的周期覆蓋審計項目的周期覆蓋盡量與審計資源匹配盡量與審計資源匹配包括人數(shù)、知識結構、勝任包括人數(shù)、知識結構、勝任能力能力China Construction Bank. | 61IT審計的策略如開始提到的網(wǎng)上銀行

37、審計，可以分解為：如開始提到的網(wǎng)上銀行審計，可以分解為：網(wǎng)上銀行應用控制審計網(wǎng)上銀行應用控制審計網(wǎng)絡安全審計網(wǎng)絡安全審計項目開發(fā)審計項目開發(fā)審計運維管理審計運維管理審計數(shù)據(jù)中心審計數(shù)據(jù)中心審計審計項目易于管理，審計風險相對分散審計項目易于管理，審計風險相對分散China Construction Bank. | 62IT審計的策略項目實施策略項目實施策略充分的審前準備充分的審前準備識別關鍵的識別關鍵的ITIT資源和管理流程。需要調(diào)閱：資源和管理流程。需要調(diào)閱：技術文檔、技術規(guī)范、操作規(guī)程、崗位職責描述、運行報告、技術文檔、技術規(guī)范、操作規(guī)程、崗位職責描述、運行報告、自評估報告等。自評估報告等。

38、職能流程矩陣職能流程矩陣與與ITIT管理的組織架構為線索，確定管理的組織架構為線索，確定ITIT流程與職流程與職能部門的關系，最好明確關鍵的崗位和個人能部門的關系，最好明確關鍵的崗位和個人審計組成員的合理分工審計組成員的合理分工以職能流程矩陣為基礎，考慮工作量以職能流程矩陣為基礎，考慮工作量并盡量避免審計流程的交叉。并盡量避免審計流程的交叉。審計組內(nèi)部的充分溝通。審計組內(nèi)部的充分溝通。China Construction Bank. | 63提綱提綱I IT T審計概要審計概要COBITCOBIT簡介簡介ITIT審計的策略審計的策略建行建行ITIT審計的情況審計的情況建行建行ITIT審計規(guī)范體系審計規(guī)范體系China Construction Bank. | 64IT審計簡介審計簡介1.1.設立了專職部門或團隊設立了專職部門或團隊 總行審計部及多數(shù)審計機構，設立專業(yè)處室，其它機構設置專業(yè)崗位2.2.培養(yǎng)培養(yǎng)ITIT審計專業(yè)隊伍審計專業(yè)隊伍 150人IT審計人員，90余名CISAChina Construction Bank. | 65IT審計簡介審計簡介3.積極學習研究積極學習研究IT審計理論和方法審計理論和方法自2002年起，建設銀行就開始著手信息系