信息科技風(fēng)險(xiǎn)審計(jì)方法及過程課件

1、信息科技風(fēng)險(xiǎn)審計(jì)方法及過程 摘自北京時(shí)代新威信息技術(shù)有限公司 信息科技風(fēng)險(xiǎn)審計(jì)戰(zhàn)略部署信息科技風(fēng)險(xiǎn)審計(jì)方法及過程 摘自北京時(shí)代新威信 為幫助銀行客戶滿足銀監(jiān)會商業(yè)銀行 信息科技風(fēng)險(xiǎn)審計(jì)管理指引等相關(guān)監(jiān)管要 求，同時(shí)進(jìn)一步加強(qiáng)信息技術(shù)建設(shè)，全面強(qiáng) 化風(fēng)險(xiǎn)管理，越來越多的企業(yè)已經(jīng)開始為多 家銀行提供信息科技風(fēng)險(xiǎn)審計(jì)服務(wù)了，本文 就是北京時(shí)代新威信息技術(shù)有限公司（以下 簡稱時(shí)代新威）內(nèi)部人員總結(jié)出的對于信息 科技風(fēng)險(xiǎn)審計(jì)的方法及過程。 為幫助銀行客戶滿足銀監(jiān)會商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)范圍： 一）信息科技治理二）信息科技風(fēng)險(xiǎn)管理三）信息安全四）信息系統(tǒng)開發(fā)測試和維護(hù)信息科技風(fēng)險(xiǎn)審計(jì)范圍： 五）信息科技

2、運(yùn)行六）業(yè)務(wù)連續(xù)性管理七）外包八）內(nèi)部審計(jì)九）外部審計(jì)五）信息科技運(yùn)行信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技治理 信息科技治理是指對現(xiàn)代信息技術(shù)如通訊技術(shù)，信息處理技術(shù)、控制技術(shù)等的科學(xué)管理活動和過程。時(shí)代新威的審計(jì)專家指出，“它是以信息服務(wù)業(yè)務(wù)的開展與社會的實(shí)際需要作為依據(jù)，組織好各種信息技術(shù)的開發(fā)和應(yīng)用，并對信息技術(shù)進(jìn)行標(biāo)準(zhǔn)化、規(guī)范化管理?！?信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技風(fēng)險(xiǎn)審計(jì)方法及過程課件 信息科技治理戰(zhàn)略必須要解決下述主要 問題： （1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)。 （2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護(hù)的目標(biāo)。 （3）保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮。 （4）決定信息

3、技術(shù)運(yùn)行是由一個(gè)部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然成本高，但是能為用戶提供更好的服務(wù)。 信息科技治理戰(zhàn)略必須要解決下述主要 信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技風(fēng)險(xiǎn)管理 信息科技是指計(jì)算機(jī)、通信、微電子 和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。在風(fēng)險(xiǎn)管理方面，北京時(shí)代新威信息技術(shù)有限公司與許多商業(yè)銀行都有合作成功的案例，其工作內(nèi)容可總結(jié)為以下兩點(diǎn)。信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作

4、、法律和聲譽(yù)等風(fēng)險(xiǎn)。 信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。 信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信信息科技風(fēng)險(xiǎn)審計(jì)之 信息安全 信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對不良信息的瀏覽、個(gè)人信息的泄露等。信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技風(fēng)險(xiǎn)審計(jì)

5、方法及過程課件 網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。 網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的 信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。 信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)信息科技風(fēng)險(xiǎn)審計(jì)之 信息系統(tǒng)開發(fā)測試和維護(hù) 信息系統(tǒng)是一個(gè)以人為主導(dǎo)，吸取經(jīng) 驗(yàn)和遵照規(guī)律并重，利用適合

6、的信息技術(shù) 以及相應(yīng)設(shè)備，根據(jù)相應(yīng)的業(yè)務(wù)模型和數(shù) 學(xué)模型，進(jìn)行信息的收集、傳輸、加工、 儲存、更新和維護(hù)，以提高組織的效益和 效率為目的，支持組織的高層決策、中層 控制、基層運(yùn)作的集成化的人機(jī)系統(tǒng)。信息科技風(fēng)險(xiǎn)審計(jì)之 信息 信息系統(tǒng)開發(fā)維護(hù)是為了使信息系統(tǒng) 處開合用狀態(tài)而采取的一系列措施，目的 是糾正錯誤和改進(jìn)功能，保證信息系統(tǒng)正 常工作，有以下四種類型：改正性維護(hù)， 適應(yīng)性維護(hù)，完善性維護(hù)，預(yù)防性維護(hù)。 信息系統(tǒng)開發(fā)維護(hù)是為了使信息系統(tǒng)信息科技風(fēng)險(xiǎn)審計(jì)之 信息科技運(yùn)行 良好的信息科技運(yùn)行必須在設(shè)計(jì)階段就開始考慮。用戶、負(fù)責(zé)信息科技系統(tǒng)運(yùn)行的人應(yīng)該參與信息系統(tǒng)開發(fā)的設(shè)計(jì)階段，這樣信息科技的運(yùn)行

7、問題在一開始就可以得到足夠的重視。信息科技風(fēng)險(xiǎn)審計(jì)之 在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持不足等問題。設(shè)計(jì)階段要保證防止用戶使用錯誤的快捷方式，還要考慮新、老系統(tǒng)轉(zhuǎn)換的細(xì)節(jié)。如果是購買其他公司提供的軟件包，問題就會更加復(fù)雜。時(shí)代新威的信息技術(shù)專家在工作中要求格外強(qiáng)調(diào)注意這一系列問題，也就避免了很多不必要的失誤和麻煩。 在工作中往往最容易忽略的就是硬件失敗、程序信息科技運(yùn)行戰(zhàn)略必須要解決下述主要問題：（1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)。（2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護(hù)的目標(biāo)。（3）保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮。（4）決定信息技術(shù)運(yùn)行

8、是由一個(gè)部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然成本高，但是能為用戶提供更好的服務(wù)。信息科技運(yùn)行戰(zhàn)略必須要解決下述主要問題：（1）保證構(gòu)造合理的信息科技風(fēng)險(xiǎn)審計(jì)之 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理（Business Continuity Management，簡稱BCM），是一項(xiàng)綜合管理流程，它使企業(yè)認(rèn)識到潛在的危機(jī)和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)計(jì)劃，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險(xiǎn)防范能力，以有效地響應(yīng)非計(jì)劃的業(yè)務(wù)破壞并降低不良影響。 信息科技風(fēng)險(xiǎn)審計(jì)之 業(yè)務(wù)連續(xù)性管理系統(tǒng)（BCMS）是經(jīng)常進(jìn)行的活動的集合，業(yè)務(wù)連續(xù)性管理支持企業(yè)業(yè)務(wù)連續(xù)性管理活動，也支持技術(shù)災(zāi)難恢復(fù)活

9、動。這些可以包括項(xiàng)目規(guī)劃和管理、人員配備、計(jì)劃、預(yù)測、預(yù)算編制、研究和開發(fā)、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網(wǎng)站、績效評估活動、按天進(jìn)行處理查詢和許多其他活動。 業(yè)務(wù)連續(xù)性管理系統(tǒng)（BCMS）是經(jīng)常進(jìn)行信息科技風(fēng)險(xiǎn)審計(jì)方法及過程課件 業(yè)務(wù)連續(xù)性管理也有利于多種項(xiàng)目性 的活動，業(yè)務(wù)連續(xù)性管理執(zhí)行業(yè)務(wù)影響分 析和風(fēng)險(xiǎn)分析、進(jìn)行評估、制定并記錄BC/ DR計(jì)劃、規(guī)劃和執(zhí)行BC/ DR演練、準(zhǔn)備和 進(jìn)行應(yīng)急隊(duì)伍培訓(xùn)、準(zhǔn)備記錄事件響應(yīng)計(jì) 劃，并設(shè)計(jì)BC/ DR策略。 業(yè)務(wù)連續(xù)性管理也有利于多種項(xiàng)目性信息科技風(fēng)險(xiǎn)審計(jì)方法及過程課件信息科技風(fēng)險(xiǎn)審計(jì)之 外包 外包是指企業(yè)動態(tài)地配置自身和其

10、他 企業(yè)的功能和服務(wù)，并利用企業(yè)外部的資 源為企業(yè)內(nèi)部的生產(chǎn)和經(jīng)營服務(wù)。外包是 一個(gè)戰(zhàn)略管理模型，舉例來說，一個(gè)生產(chǎn) 企業(yè)，如果為了原材料及產(chǎn)品運(yùn)輸而組織 一個(gè)車隊(duì)，在兩個(gè)方面其成本會大大增加。信息科技風(fēng)險(xiǎn)審計(jì)之 第一，管理成本增加，因?yàn)樗谶\(yùn)輸領(lǐng)域不具備管理經(jīng)驗(yàn)。 第一，管理成本增加，因?yàn)樗谶\(yùn)輸領(lǐng)域不具備管理經(jīng)驗(yàn)。 第二，因管理不善，運(yùn)輸環(huán)節(jié)嚴(yán)重影 響生產(chǎn)和銷售環(huán)節(jié)的工作，從而導(dǎo)致生產(chǎn) 和銷售環(huán)節(jié)的成本增加。如果把運(yùn)輸業(yè)務(wù) 外包給專業(yè)的運(yùn)輸企業(yè)，則可以大幅度降 低上述成本。 這些就是時(shí)代新威的工作人員根據(jù)日常工作的實(shí)際案例總結(jié)出的關(guān)于外包的重點(diǎn)利弊，也是外包工作中必須引起注意的地方。 第二

11、，因管理不善，運(yùn)輸環(huán)節(jié)嚴(yán)重影 另一方面，企業(yè)也因市場競爭的激烈面臨巨大的挑戰(zhàn) 。 外包方式主要有合同業(yè)務(wù)管理方式（BMC）和委托方式。 合同業(yè)務(wù)管理方式純粹是一種外包方購買第三方服務(wù)模式，第三方（承包方）負(fù)責(zé)全部或大部分投資和業(yè)務(wù)管理工作，并承擔(dān)投資風(fēng)險(xiǎn)；外包方只根據(jù)第三方完成業(yè)務(wù)的績效和合同約束則購買服務(wù)，不用負(fù)責(zé)第三方的投資風(fēng)險(xiǎn)；合同終止則合作終止。 另一方面，企業(yè)也因市場競爭的激烈面臨巨大信息科技風(fēng)險(xiǎn)審計(jì)之 內(nèi)部審計(jì) 時(shí)代新威風(fēng)險(xiǎn)審計(jì)專家對于內(nèi)部審計(jì)的定義是：對組織中各類業(yè)務(wù)和控制進(jìn)行獨(dú)立評價(jià)，以確定是否遵循公認(rèn)的方針和程序，是否符合規(guī)定和標(biāo)準(zhǔn)，是否有效和經(jīng)濟(jì)的使用了資源，是否在實(shí)現(xiàn)組織

12、目標(biāo)。 信息科技風(fēng)險(xiǎn)審計(jì)之 審計(jì)人員在進(jìn)行審計(jì)時(shí),常使用不同的 審計(jì)方法,有時(shí)同時(shí)結(jié)合幾種審計(jì)方法進(jìn)行 審計(jì)。 實(shí)際操作中內(nèi)部審計(jì)方法有多種，現(xiàn)總結(jié)整理如下（詳情參考時(shí)代新威信息科技風(fēng)險(xiǎn)審計(jì)之內(nèi)部審計(jì)） 審計(jì)人員在進(jìn)行審計(jì)時(shí),常使用不同的信息科技風(fēng)險(xiǎn)審計(jì)方法及過程課件 一、詢問法也稱為訪談法 是指審計(jì)人員與被審計(jì)單位或有關(guān)人員進(jìn)行面對面交談，以了解有關(guān)情況、收集審計(jì)證據(jù)的一種方法。 詢問法的使用范圍包括： 在計(jì)劃階段中了解情況，實(shí)施階段時(shí)收集證據(jù)，報(bào)告階段相互溝通情況等。內(nèi)審人員在實(shí)施時(shí)要注意同時(shí)要有兩名審計(jì)人中在場。 一、詢問法也稱為訪談法 二、審核法審核法是指對會計(jì)記錄和 其他書面文章進(jìn)行

13、審閱與核對，這方 面占審計(jì)工作的比重比較大。它主要 在查閱會計(jì)資料、預(yù)算、計(jì)劃、會議 記錄及各種規(guī)章制度等資料使用。 二、審核法審核法是指對會計(jì)記錄和信息科技風(fēng)險(xiǎn)審計(jì)之 外部審計(jì) 外部審計(jì)是指獨(dú)立于 政府機(jī)關(guān)和企事業(yè)單位以 外的國家審計(jì)機(jī)構(gòu)所進(jìn)行 的審計(jì)，以及獨(dú)立執(zhí)行業(yè) 務(wù)會計(jì)師事務(wù)所接受委托 進(jìn)行的審計(jì)。信息科技風(fēng)險(xiǎn)審計(jì)之 外部審計(jì)實(shí)際上是對企業(yè)內(nèi)部虛假、 欺騙行為的一個(gè)重要而系統(tǒng)的檢查，因此 起著鼓勵誠實(shí)的作用：由于知道外部審計(jì) 不可避免地要進(jìn)行，企業(yè)就會努力避免做 那些在審計(jì)時(shí)可能會被發(fā)現(xiàn)的不光彩的事。 外部審計(jì)實(shí)際上是對企業(yè)內(nèi)部虛假、 我國財(cái)政、銀行、稅務(wù)部門為了做好其本職工作,而對其

14、管轄區(qū)各單位的業(yè)務(wù)(如稅利上繳和信貸資金使用情況等)所進(jìn)行的檢查,不屬于審計(jì),更談不上是外部審計(jì),而只是經(jīng)濟(jì)監(jiān)督中的財(cái)政監(jiān)督、稅務(wù)監(jiān)督和信貸監(jiān)督。 我國財(cái)政、銀行、稅務(wù)部門為了做好其本職工作 外部審計(jì)包括國家審計(jì)和社會審計(jì)。 國家審計(jì)是指由國家審計(jì)機(jī)關(guān)所實(shí)施的審計(jì)。國家審計(jì)的主體是審計(jì)署以及各 省、市、自治區(qū)、縣設(shè)立的審計(jì)機(jī)關(guān)，對被審計(jì)單位的財(cái)務(wù)財(cái)政活動、執(zhí)行財(cái)經(jīng)法紀(jì)情況以及經(jīng)濟(jì)效益性 進(jìn)行審計(jì)監(jiān)督。 社會審計(jì)是指由經(jīng)政府有關(guān)部門審核批準(zhǔn)的社會中介機(jī)構(gòu)進(jìn)行的審計(jì)，其主體是注冊會計(jì)師。 外部審計(jì)包括國家審計(jì)和社會審計(jì)。 國家 內(nèi)部審計(jì)和外部審計(jì)的聯(lián)系： 內(nèi)部審計(jì)和外部審計(jì)總體目標(biāo)是一致的,兩者均

15、是審 計(jì)監(jiān)督體系的有機(jī)組成部門。內(nèi)部審計(jì)具有預(yù)防性、經(jīng)常性和針對性,是外部審計(jì)的基礎(chǔ),對外部審計(jì) 能起輔助和補(bǔ)充作用;而外部審計(jì)對內(nèi)部審計(jì)又能起到支持和指導(dǎo)作用。由于內(nèi)部審計(jì)機(jī)構(gòu)和外部審計(jì)機(jī) 構(gòu)所處的地位不同,它們在獨(dú)立性、強(qiáng)制性、權(quán)威性和公證作用方面又有較大的差別。 內(nèi)部審計(jì)和外部審計(jì)的聯(lián)系： 以上就是信息科技審計(jì)所包括的具 體范圍，既然了解了它都包括那些方面。 下面我們來看一下時(shí)代新威內(nèi)部總結(jié)關(guān)于信息科技審計(jì)具體的方法及過程。 以上就是信息科技審計(jì)所包括的具信息科技風(fēng)險(xiǎn)審計(jì)過程簡略圖：信息科技風(fēng)險(xiǎn)審計(jì)過程簡略圖：1.信息科技風(fēng)險(xiǎn)審計(jì)準(zhǔn)備 1）審計(jì)準(zhǔn)備 2）審計(jì)方案 3）審計(jì)計(jì)劃1.信息科技

16、風(fēng)險(xiǎn)審計(jì)準(zhǔn)備1）審計(jì)準(zhǔn)備：a.明確審計(jì)任務(wù)，確定審計(jì)重點(diǎn)b.編制審計(jì)計(jì)劃 審計(jì)計(jì)劃分為總體審計(jì)計(jì)劃和具體審計(jì)計(jì) 劃。 1）審計(jì)準(zhǔn)備：2）審計(jì)方案： 審計(jì)方案是對具體審計(jì)項(xiàng)目的審計(jì)程序及其時(shí)間等所做出的詳細(xì)安排。 a、具體審計(jì)目的。 具體審計(jì)目的是對總體審計(jì)的細(xì)化，直接用以指導(dǎo)具體審計(jì)方法及程序。 b、具體審計(jì)方法和程序。c、預(yù)定的執(zhí)行人及執(zhí)行日期。 d、其他有關(guān)內(nèi)容。 2）審計(jì)方案：3）審計(jì)計(jì)劃： 是指注冊會計(jì)師為了完成各項(xiàng)審計(jì)業(yè)務(wù)， 達(dá)到預(yù)期的審計(jì)目標(biāo)，在具體執(zhí)行審計(jì)程 序之前編制的工作計(jì)劃。審計(jì)計(jì)劃通?？?分為總體審計(jì)計(jì)劃和具體審計(jì)計(jì)劃兩部分。3）審計(jì)計(jì)劃：2.信息科技現(xiàn)場審計(jì) 1）文件評審 2）訪談走查 3）技術(shù)測試2.信息科技現(xiàn)場審計(jì)3.信息科技風(fēng)險(xiǎn)分析評價(jià) 1）風(fēng)險(xiǎn)分析 2）風(fēng)險(xiǎn)評價(jià)3.信息科技風(fēng)險(xiǎn)分析評價(jià) 1）風(fēng)險(xiǎn)分析實(shí)際上就是貫穿在軟件工程過程中的一系列風(fēng)險(xiǎn)管理步驟，其中包括：風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)估計(jì)、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)解決和風(fēng)險(xiǎn)監(jiān)督等。 1）風(fēng)險(xiǎn)分析實(shí)際上就是貫穿在軟件工程過程 2）風(fēng)險(xiǎn)評價(jià)是 在風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)估測的基礎(chǔ)上，對風(fēng)險(xiǎn)發(fā)生的概率，損失程度，結(jié)合其他因素進(jìn)行全面考慮，評估發(fā)生風(fēng)險(xiǎn)的可能性及危害