信息科技風(fēng)險(xiǎn)審計(jì)方法及過程

信息科技風(fēng)險(xiǎn)審計(jì)

方法及過程

——摘自北京時(shí)代新威信息技術(shù)?信息科技風(fēng)險(xiǎn)審計(jì)戰(zhàn)略部署?為幫助銀行客戶滿足銀監(jiān)會(huì)?商業(yè)銀行信息科技風(fēng)險(xiǎn)審計(jì)管理指引?等相關(guān)監(jiān)管要求，同時(shí)進(jìn)一步加強(qiáng)信息技術(shù)建設(shè)，全面強(qiáng)化風(fēng)險(xiǎn)管理，越來越多的企業(yè)已經(jīng)開始為多家銀行提供信息科技風(fēng)險(xiǎn)審計(jì)效勞了，本文就是北京時(shí)代新威信息技術(shù)〔以下簡(jiǎn)稱時(shí)代新威〕內(nèi)部人員總結(jié)出的對(duì)于信息科技風(fēng)險(xiǎn)審計(jì)的方法及過程。

信息科技風(fēng)險(xiǎn)審計(jì)范圍：

一〕信息科技治理二〕信息科技風(fēng)險(xiǎn)管理三〕信息平安四〕信息系統(tǒng)開發(fā)測(cè)試和維護(hù)五〕信息科技運(yùn)行六〕業(yè)務(wù)連續(xù)性管理七〕外包八〕內(nèi)部審計(jì)九〕外部審計(jì)信息科技風(fēng)險(xiǎn)審計(jì)之

——信息科技治理

信息科技治理是指對(duì)現(xiàn)代信息技術(shù)如通訊技術(shù)，信息處理技術(shù)、控制技術(shù)等的科學(xué)管理活動(dòng)和過程。時(shí)代新威的審計(jì)專家指出，“它是以信息效勞業(yè)務(wù)的開展與社會(huì)的實(shí)際需要作為依據(jù)，組織好各種信息技術(shù)的開發(fā)和應(yīng)用，并對(duì)信息技術(shù)進(jìn)行標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)化管理。〞

信息科技治理戰(zhàn)略必須要解決下述主要問題：

〔1〕保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)?！?〕保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長(zhǎng)期維護(hù)的目標(biāo)?！?〕保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮?！?〕決定信息技術(shù)運(yùn)行是由一個(gè)部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然本錢高，但是能為用戶提供更好的效勞。

信息科技風(fēng)險(xiǎn)審計(jì)之

——信息科技風(fēng)險(xiǎn)管理信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。在風(fēng)險(xiǎn)管理方面，北京時(shí)代新威信息技術(shù)與許多商業(yè)銀行都有合作成功的案例，其工作內(nèi)容可總結(jié)為以下兩點(diǎn)。

信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)商業(yè)銀行平安、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)開展能力。信息科技風(fēng)險(xiǎn)審計(jì)之

——信息平安信息平安主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的平安性。信息平安本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息平安體系是保證信息平安的關(guān)鍵，包括計(jì)算機(jī)平安操作系統(tǒng)、各種平安協(xié)議、平安機(jī)制〔數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等〕，直至平安系統(tǒng)，如UniNAC、DLP等，只要存在平安漏洞便可以威脅全局平安。信息平安是指信息系統(tǒng)〔包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其根底設(shè)施〕受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息效勞不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息科技風(fēng)險(xiǎn)審計(jì)之

——信息系統(tǒng)開發(fā)測(cè)試和維護(hù)

信息系統(tǒng)是一個(gè)以人為主導(dǎo)，吸取經(jīng)驗(yàn)和遵照規(guī)律并重，利用適合的信息技術(shù)以及相應(yīng)設(shè)備，根據(jù)相應(yīng)的業(yè)務(wù)模型和數(shù)學(xué)模型，進(jìn)行信息的收集、傳輸、加工、儲(chǔ)存、更新和維護(hù)，以提高組織的效益和效率為目的，支持組織的高層決策、中層控制、基層運(yùn)作的集成化的人機(jī)系統(tǒng)。信息系統(tǒng)開發(fā)維護(hù)是為了使信息系統(tǒng)處開合用狀態(tài)而采取的一系列措施，目的是糾正錯(cuò)誤和改進(jìn)功能，保證信息系統(tǒng)正常工作，有以下四種類型：改正性維護(hù)，適應(yīng)性維護(hù)，完善性維護(hù)，預(yù)防性維護(hù)。信息科技風(fēng)險(xiǎn)審計(jì)之

——信息科技運(yùn)行

良好的信息科技運(yùn)行必須在設(shè)計(jì)階段就開始考慮。用戶、負(fù)責(zé)信息科技系統(tǒng)運(yùn)行的人應(yīng)該參與信息系統(tǒng)開發(fā)的設(shè)計(jì)階段，這樣信息科技的運(yùn)行問題在一開始就可以得到足夠的重視。在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持缺乏等問題。設(shè)計(jì)階段要保證防止用戶使用錯(cuò)誤的快捷方式，還要考慮新、老系統(tǒng)轉(zhuǎn)換的細(xì)節(jié)。如果是購置其他公司提供的軟件包，問題就會(huì)更加復(fù)雜。時(shí)代新威的信息技術(shù)專家在工作中要求格外強(qiáng)調(diào)注意這一系列問題，也就防止了很多不必要的失誤和麻煩。信息科技運(yùn)行戰(zhàn)略必須要解決下述主要問題：〔1〕保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)?！?〕保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長(zhǎng)期維護(hù)的目標(biāo)?！?〕保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮?！?〕決定信息技術(shù)運(yùn)行是由一個(gè)部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然本錢高，但是能為用戶提供更好的效勞。信息科技風(fēng)險(xiǎn)審計(jì)之

——業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理〔BusinessContinuityManagement，簡(jiǎn)稱BCM〕，是一項(xiàng)綜合管理流程，它使企業(yè)認(rèn)識(shí)到潛在的危機(jī)和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)方案，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險(xiǎn)防范能力，以有效地響應(yīng)非方案的業(yè)務(wù)破壞并降低不良影響。業(yè)務(wù)連續(xù)性管理系統(tǒng)〔BCMS〕是經(jīng)常進(jìn)行的活動(dòng)的集合，業(yè)務(wù)連續(xù)性管理支持企業(yè)業(yè)務(wù)連續(xù)性管理活動(dòng)，也支持技術(shù)災(zāi)難恢復(fù)活動(dòng)。這些可以包括工程規(guī)劃和管理、人員配備、方案、預(yù)測(cè)、預(yù)算編制、研究和開發(fā)、資源管理、通信、會(huì)議、教育活動(dòng)、宣傳和促銷活動(dòng)、活動(dòng)網(wǎng)站、績(jī)效評(píng)估活動(dòng)、按天進(jìn)行處理查詢和許多其他活動(dòng)。

業(yè)務(wù)連續(xù)性管理也有利于多種工程性的活動(dòng)，業(yè)務(wù)連續(xù)性管理執(zhí)行業(yè)務(wù)影響分析和風(fēng)險(xiǎn)分析、進(jìn)行評(píng)估、制定并記錄BC/DR方案、規(guī)劃和執(zhí)行BC/DR演練、準(zhǔn)備和進(jìn)行應(yīng)急隊(duì)伍培訓(xùn)、準(zhǔn)備記錄事件響應(yīng)計(jì)劃，并設(shè)計(jì)BC/DR策略。信息科技風(fēng)險(xiǎn)審計(jì)之

——外包外包是指企業(yè)動(dòng)態(tài)地配置自身和其他企業(yè)的功能和效勞，并利用企業(yè)外部的資源為企業(yè)內(nèi)部的生產(chǎn)和經(jīng)營效勞。外包是一個(gè)戰(zhàn)略管理模型，舉例來說，一個(gè)生產(chǎn)企業(yè)，如果為了原材料及產(chǎn)品運(yùn)輸而組織一個(gè)車隊(duì)，在兩個(gè)方面其本錢會(huì)大大增加。第一，管理本錢增加，因?yàn)樗谶\(yùn)輸領(lǐng)域不具備管理經(jīng)驗(yàn)。第二，因管理不善，運(yùn)輸環(huán)節(jié)嚴(yán)重影響生產(chǎn)和銷售環(huán)節(jié)的工作，從而導(dǎo)致生產(chǎn)和銷售環(huán)節(jié)的本錢增加。如果把運(yùn)輸業(yè)務(wù)外包給專業(yè)的運(yùn)輸企業(yè)，那么可以大幅度降低上述本錢。這些就是時(shí)代新威的工作人員根據(jù)日常工作的實(shí)際案例總結(jié)出的關(guān)于外包的重點(diǎn)利弊，也是外包工作中必須引起注意的地方。另一方面，企業(yè)也因市場(chǎng)競(jìng)爭(zhēng)的劇烈面臨巨大的挑戰(zhàn)。外包方式主要有合同業(yè)務(wù)管理方式〔BMC〕和委托方式。合同業(yè)務(wù)管理方式純粹是一種外包方購置第三方效勞模式，第三方〔承包方〕負(fù)責(zé)全部或大局部投資和業(yè)務(wù)管理工作，并承擔(dān)投資風(fēng)險(xiǎn)；外包方只根據(jù)第三方完成業(yè)務(wù)的績(jī)效和合同約束那么購置效勞，不用負(fù)責(zé)第三方的投資風(fēng)險(xiǎn)；合同終止那么合作終止。信息科技風(fēng)險(xiǎn)審計(jì)之

——內(nèi)部審計(jì)

時(shí)代新威風(fēng)險(xiǎn)審計(jì)專家對(duì)于內(nèi)部審計(jì)的定義是：對(duì)組織中各類業(yè)務(wù)和控制進(jìn)行獨(dú)立評(píng)價(jià)，以確定是否遵循公認(rèn)的方針和程序，是否符合規(guī)定和標(biāo)準(zhǔn)，是否有效和經(jīng)濟(jì)的使用了資源，是否在實(shí)現(xiàn)組織目標(biāo)。審計(jì)人員在進(jìn)行審計(jì)時(shí),常使用不同的審計(jì)方法,有時(shí)同時(shí)結(jié)合幾種審計(jì)方法進(jìn)行審計(jì)。實(shí)際操作中內(nèi)部審計(jì)方法有多種，現(xiàn)總結(jié)整理如下〔詳情參考時(shí)代新威信息科技風(fēng)險(xiǎn)審計(jì)之內(nèi)部審計(jì)〕

一、詢問法也稱為訪談法是指審計(jì)人員與被審計(jì)單位或有關(guān)人員進(jìn)行面對(duì)面交談，以了解有關(guān)情況、收集審計(jì)證據(jù)的一種方法。詢問法的使用范圍包括：在方案階段中了解情況，實(shí)施階段時(shí)收集證據(jù)，報(bào)告階段相互溝通情況等。內(nèi)審人員在實(shí)施時(shí)要注意同時(shí)要有兩名審計(jì)人中在場(chǎng)。二、審核法審核法是指對(duì)會(huì)計(jì)記錄和其他書面文章進(jìn)行審閱與核對(duì)，這方面占審計(jì)工作的比重比較大。它主要在查閱會(huì)計(jì)資料、預(yù)算、方案、會(huì)議記錄及各種規(guī)章制度等資料使用。信息科技風(fēng)險(xiǎn)審計(jì)之

——外部審計(jì)

外部審計(jì)是指獨(dú)立于政府機(jī)關(guān)和企事業(yè)單位以外的國家審計(jì)機(jī)構(gòu)所進(jìn)行的審計(jì)，以及獨(dú)立執(zhí)行業(yè)務(wù)會(huì)計(jì)師事務(wù)所接受委托進(jìn)行的審計(jì)。外部審計(jì)實(shí)際上是對(duì)企業(yè)內(nèi)部虛假、欺騙行為的一個(gè)重要而系統(tǒng)的檢查，因此起著鼓勵(lì)老實(shí)的作用：由于知道外部審計(jì)不可防止地要進(jìn)行，企業(yè)就會(huì)努力防止做那些在審計(jì)時(shí)可能會(huì)被發(fā)現(xiàn)的不榮耀的事。

我國財(cái)政、銀行、稅務(wù)部門為了做好其本職工作,而對(duì)其管轄區(qū)各單位的業(yè)務(wù)(如稅利上繳和信貸資金使用情況等)所進(jìn)行的檢查,不屬于審計(jì),更談不上是外部審計(jì),而只是經(jīng)濟(jì)監(jiān)督中的財(cái)政監(jiān)督、稅務(wù)監(jiān)督和信貸監(jiān)督。

外部審計(jì)包括國家審計(jì)和社會(huì)審計(jì)。

國家審計(jì)是指由國家審計(jì)機(jī)關(guān)所實(shí)施的審計(jì)。國家審計(jì)的主體是審計(jì)署以及各省、市、自治區(qū)、縣設(shè)立的審計(jì)機(jī)關(guān)，對(duì)被審計(jì)單位的財(cái)務(wù)財(cái)政活動(dòng)、執(zhí)行財(cái)經(jīng)法紀(jì)情況以及經(jīng)濟(jì)效益性進(jìn)行審計(jì)監(jiān)督。社會(huì)審計(jì)是指由經(jīng)政府有關(guān)部門審核批準(zhǔn)的社會(huì)中介機(jī)構(gòu)進(jìn)行的審計(jì)，其主體是注冊(cè)會(huì)計(jì)師。

內(nèi)部審計(jì)和外部審計(jì)的聯(lián)系：內(nèi)部審計(jì)和外部審計(jì)總體目標(biāo)是一致的,兩者均是審計(jì)監(jiān)督體系的有機(jī)組成部門。內(nèi)部審計(jì)具有預(yù)防性、經(jīng)常性和針對(duì)性,是外部審計(jì)的根底,對(duì)外部審計(jì)能起輔助和補(bǔ)充作用;而外部審計(jì)對(duì)內(nèi)部審計(jì)又能起到支持和指導(dǎo)作用。由于內(nèi)部審計(jì)機(jī)構(gòu)和外部審計(jì)機(jī)構(gòu)所處的地位不同,它們?cè)讵?dú)立性、強(qiáng)制性、權(quán)威性和公證作用方面又有較大的差異。

以上就是信息科技審計(jì)所包括的具體范圍，既然了解了它都包括那些方面。

下面我們來看一下時(shí)代新威內(nèi)部總結(jié)關(guān)于信息科技審計(jì)具體的方法及過程。信息科技風(fēng)險(xiǎn)審計(jì)過程簡(jiǎn)略圖：1.信息科技風(fēng)險(xiǎn)審計(jì)準(zhǔn)備

1〕審計(jì)準(zhǔn)備

2〕審計(jì)方案

3〕審計(jì)方案1〕審計(jì)準(zhǔn)備：a.明確審計(jì)任務(wù)，確定審計(jì)重點(diǎn)b.編制審計(jì)方案審計(jì)方案分為總體審計(jì)方案和具體審計(jì)計(jì)劃。2〕審計(jì)方案：審計(jì)方案是對(duì)具體審計(jì)工程的審計(jì)程序及其時(shí)間等所做出的詳細(xì)安排。a、具體審計(jì)目的。具體審計(jì)目的是對(duì)總體審計(jì)的細(xì)化，直接用以指導(dǎo)具體審計(jì)方法及程序。b、具體審計(jì)方法和程序。c、預(yù)定的執(zhí)行人及執(zhí)行日期。d、其他有關(guān)內(nèi)容。3〕審計(jì)方案：是指注冊(cè)會(huì)計(jì)師為了完成各項(xiàng)審計(jì)業(yè)務(wù)，到達(dá)預(yù)期的審計(jì)目標(biāo)，在具體執(zhí)行審計(jì)程序之前編制的工作方案。審計(jì)方案通?？煞譃榭傮w審計(jì)方案和具體審計(jì)方案兩局部。2.信息科技現(xiàn)場(chǎng)審計(jì)

1〕文件評(píng)審

2〕訪談走查

3〕技術(shù)測(cè)試3.信息科技風(fēng)險(xiǎn)分析評(píng)價(jià)

1〕風(fēng)險(xiǎn)分析

2〕風(fēng)險(xiǎn)評(píng)價(jià)1〕風(fēng)險(xiǎn)分析實(shí)際上就是貫穿在軟件工程過程中的一系列風(fēng)險(xiǎn)管理步驟，其中包括：風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)估計(jì)、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)解決和風(fēng)險(xiǎn)監(jiān)督等。2〕風(fēng)險(xiǎn)評(píng)價(jià)是在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)估測(cè)的根底上，對(duì)風(fēng)險(xiǎn)發(fā)生的概率，損失程度，結(jié)合其他因素進(jìn)行全面考慮，評(píng)估發(fā)生風(fēng)險(xiǎn)的可能性及危害程度，并與公認(rèn)的平安指標(biāo)相比較，以衡量風(fēng)險(xiǎn)的程度，并決定是否需要采取相應(yīng)的措施的過程．財(cái)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)，主要是通過資產(chǎn)負(fù)債表、利潤表、現(xiàn)金流量表，分析企業(yè)財(cái)務(wù)狀況的變動(dòng)趨勢(shì)及資產(chǎn)、負(fù)債、收益之間的關(guān)系，從財(cái)務(wù)報(bào)表的會(huì)計(jì)信息中挖掘企業(yè)內(nèi)在的財(cái)務(wù)關(guān)系。4.信息科技審計(jì)報(bào)告

1〕審計(jì)發(fā)現(xiàn)確認(rèn)

2〕審計(jì)報(bào)告

3〕改進(jìn)建議

此文謹(jǐn)代表北京時(shí)代新威信息技術(shù)對(duì)于信息科技風(fēng)險(xiǎn)審計(jì)的局部意見和看法，僅供參考，希望對(duì)大家有所幫助。寶山壁畫寶山壁畫是引人注目