IT審計參考資料課件

內(nèi)部控制定義(續(xù)）Basel內(nèi)部控制框架的定義Internalcontrolisaprocesseffectedbytheboardofdirectors,seniormanagementandalllevelsofpersonnel.Itisnotsolelyaprocedureorpolicythatisperformedatacertainpointintime,butratheritiscontinuallyoperatingatalllevelswithinthebank.Theboardofdirectorsandseniormanagementareresponsibleforestablishingtheappropriateculturetofacilitateaneffectiveinternalcontrolprocessandformonitoringitseffectivenessonanongoingbasis;however,eachindividualwithinanorganisationmustparticipateintheprocess.內(nèi)部控制定義(續(xù)）COSO內(nèi)部控制定義內(nèi)部控制被寬泛地定義為一個由主體的董事會、管理層和其他人員實施的、旨在為實現(xiàn)以下各類目標提供合理保證的過程：經(jīng)營的有效性和效率財務報告的可靠性符合適用的法律和法規(guī)內(nèi)部控制定義(續(xù)）內(nèi)部控制是：為實現(xiàn)經(jīng)營目標的動態(tài)過程和機制一系列的：制度程序方法對風險進行事前防范、事中控制、事后監(jiān)督和糾正高級管理層責任需要全體職工參與的工作需要通過監(jiān)控來確保有效性流程A商業(yè)流程/交易類別關(guān)鍵應用程序IT基礎(chǔ)設(shè)施服務數(shù)據(jù)庫管理系統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)/硬件流程B流程C應用程序X應用程序Y應用程序Z流程AIT一般控制控制環(huán)境程序開發(fā)程序變更訪問控制系統(tǒng)運行應用系統(tǒng)自動控制輸入控制校驗控制系統(tǒng)接口系統(tǒng)計算權(quán)限控制信息系統(tǒng)控制識別信息系統(tǒng)范圍商業(yè)流程/交易類別戰(zhàn)略風險運營風險財務風險合規(guī)風險IT公司層面控制信息科技層面評估架構(gòu)信息科技層面評估架構(gòu)（續(xù)）信息系統(tǒng)控制評估的建議構(gòu)架基于國際通行的評估標準。其中，IT公司層面控制評估是基于COSO模型，IT一般性控制和應用程序控制評估是基于COBIT?模型。監(jiān)控信息與溝通控制活動風險評估控制環(huán)境合規(guī)性操作財務報告應用程序控制COSOIT公司層面控制IT一般性控制信息科技層面評估架構(gòu)（續(xù)）風險評估信息技術(shù)風險評估目標的設(shè)定技術(shù)風險的識別機制及風險分析降低風險的行動計劃與預算控制活動制定各類程序和政策根據(jù)風險執(zhí)行相應信息系統(tǒng)控制信息技術(shù)職責分工信息與溝通關(guān)注戰(zhàn)略一體化的信息系統(tǒng)與信息質(zhì)量關(guān)注內(nèi)部與外部的溝通及其溝通方式控制環(huán)境信息技術(shù)員工誠信和道德價值觀信息技術(shù)員工勝任能力管理層/董事會對信息技術(shù)的關(guān)注信息技術(shù)組織結(jié)構(gòu)信息技術(shù)策略與制度數(shù)據(jù)和應用系統(tǒng)的歸屬制與職責分離COSO“內(nèi)部控制-整體框架”監(jiān)控進行持續(xù)性信息系統(tǒng)監(jiān)督活動信息系統(tǒng)的獨立評估體系適宜的信息技術(shù)內(nèi)部審計計劃信息系統(tǒng)缺陷報告控制環(huán)境風險評估控制活動信息與溝通監(jiān)控合規(guī)性操作財務報告信息科技層面評估構(gòu)架（續(xù)）COBIT4.1包含34個信息技術(shù)過程控制，并歸集為四個控制域：計劃與組織獲取與實施交付與支持監(jiān)控與評價COBIT

(ControlObjectivesforInformationandrelatedTechnology，信息及相關(guān)技術(shù)的控制目標)是國際公認的IT治理框架，為企業(yè)管理者、用戶、信息系統(tǒng)審計和安全從業(yè)者提供了一個優(yōu)良參考構(gòu)架.。信息科技層面評估架構(gòu)（續(xù)）應用程序控制簡介 應用程序控制是業(yè)務流程中控制的一部分，是在應用系統(tǒng)中由程序自動執(zhí)行的控制，用以替代很多由人工完成的基礎(chǔ)性檢查工作。由于應用程序控制普遍適用于各種交易的處理，所以應用程序控制是否有效對于內(nèi)控的有效性有著重要的影響。應用程序控制可以分為兩類：

系統(tǒng)自動控制由系統(tǒng)自動完成的控制，無需人工干預，在開發(fā)系統(tǒng)時已經(jīng)考慮并嵌入到系統(tǒng)中。人工依賴系統(tǒng)控制由系統(tǒng)完成部分的控制，需要人工干預，且控制是否有效會受到人為因素的影響。控制目標控制類型人工自動預防性發(fā)現(xiàn)性人工控制人工依賴系統(tǒng)控制系統(tǒng)自動控制信息科技層面評估架構(gòu)（續(xù)）應用程序控制類型： 登陸權(quán)限/崗位分離實時校驗/編輯檢查計算機計算自動系統(tǒng)接口配置控制應用程序控制信息科技層面評估架構(gòu)（續(xù)）應用程序控制類型 實時校驗/編輯檢查控制：也稱為系統(tǒng)錄入控制，這類控制主要是確保錄入到系統(tǒng)中的數(shù)據(jù)的準確性，進行錄入時系統(tǒng)會對重要字段的合理性、合規(guī)性和準確性進行檢查，防止一些不合適的數(shù)據(jù)被系統(tǒng)接受，造成系統(tǒng)數(shù)據(jù)的不真實和垃圾數(shù)據(jù)的產(chǎn)生登陸權(quán)限/崗位分離控制：系統(tǒng)中用戶的權(quán)限設(shè)置是否合理，是否按照職責需要進行授權(quán)，是否考慮到崗位分離的情況計算機計算控制：系統(tǒng)自動計算并保證計算的正確性，此類控制一般在程序開發(fā)時已嵌入到系統(tǒng)中自動系統(tǒng)接口控制：主要關(guān)注不同應用系統(tǒng)之間通過接口傳遞的數(shù)據(jù)是否準確完整配置控制：主要關(guān)注的是系統(tǒng)中維護的重要參數(shù)是否準確，這些參數(shù)對于系統(tǒng)的運行和業(yè)務處理的正確性起著重要的作用信息科技層面評估架構(gòu)（續(xù)）識別關(guān)鍵風險及信息資產(chǎn)根據(jù)貴行的特性包括現(xiàn)有制度、業(yè)務需要、風險識別、組織模型、管理、體系結(jié)構(gòu)和行業(yè)標準以及法律、法規(guī)、識別關(guān)鍵流程和控制范圍。監(jiān)控控制活動貴行的控制活動得到改善和加強后，需要建立一套監(jiān)控體系來保證控制活動的持續(xù)有效。建立一整套完善的監(jiān)控方案，用以監(jiān)控控制活動的有效性。評估現(xiàn)有控制貴行需在IT管理層面以及流程層面需建立相應的控制，使貴行的工作模式能夠有效地規(guī)范起來。在這一階段中，內(nèi)審部將對現(xiàn)有IT流程和控制進行評估，了解內(nèi)部管理和控制情況，確認控制中存在的風險及差異。控制的改善與加強基于對貴行內(nèi)部管理和控制情況的評估結(jié)果及發(fā)現(xiàn)的風險與差異，對控制進行改善和加強。依照國際認可的實踐經(jīng)驗與標準，改善自身的控制活動，以更好的防范風險。信息科技評估體系IT審計的參考標準－CoBITCoBIT(ControlObjectivesforInformationandrelatedTechnology，信息及相關(guān)技術(shù)的控制目標)最初的用途是為企業(yè)的IT治理提供清晰的指導策略和優(yōu)良的實踐范本，以幫助管理層理解并管理有關(guān)IT的風險。CoBIT已經(jīng)被發(fā)展成為一套國際公認的、企業(yè)通用的，有關(guān)IT安全和控制的標準。它為企業(yè)管理者、用戶、信息系統(tǒng)審計和安全從業(yè)者提供了一個優(yōu)良參考構(gòu)架。CoBIT將IT過程，IT資源與企業(yè)的策略與目標（準則）聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。IT審計的參考標準－CoBIT（續(xù)）有效性效率保密性完整性可用性合規(guī)性可靠性應用系統(tǒng)信息基礎(chǔ)設(shè)施人員計劃與組織采購與實施交付與支持監(jiān)控與評價有效性（Effectiveness）：是指信息與商業(yè)過程相關(guān)，并以及時、準確、一致和可行的方式傳送。高效性（Efficiency）：關(guān)于如何最佳（最高產(chǎn)和最經(jīng)濟）利用資源來提供信息。機密性（Confidentiality）：涉及對敏感信息的保護，以防止未經(jīng)授權(quán)的披露。完整性（Integrity）：涉及信息的精確性和完全性，以及與商業(yè)評價和期望相一致?？捎眯裕ˋvailability）：指在現(xiàn)在和將來的商業(yè)處理需求中，信息是可用的。還指對必要的資源和相關(guān)性能的維護。符合性（Compliance）：遵守商業(yè)運作過程中必須遵守的法律、法規(guī)和契約條款，如外部強制商業(yè)標準?？煽啃裕≧eliabilityofInformation）：為管理者的日常經(jīng)營管理以及履行財務報告責任提供適當?shù)男畔?。有效性效率保密性完整性可用性合?guī)性可靠性應用系統(tǒng)信息基礎(chǔ)設(shè)施人員計劃與組織采購與實施交付與支持監(jiān)控與評價計劃與組織(PO)IT戰(zhàn)略與業(yè)務戰(zhàn)略是否一致企業(yè)是否優(yōu)化資源的使用組織的成員是否能夠理解IT目標管理層是否意識到企業(yè)面臨的IT風險并予以妥善管理IT系統(tǒng)的質(zhì)量能否滿足業(yè)務需求采購與實施(AI)新項目所提供的解決方案能否滿足業(yè)務需求新項目能否在既定的預算內(nèi)按期交付新系統(tǒng)能否按預期運行變更是否影響當前業(yè)務的正常運行交付與支持(DS)IT服務是否根據(jù)業(yè)務的優(yōu)先級交付IT成本是否最優(yōu)工作負荷是否影響IT系統(tǒng)的有效使用是否充分實現(xiàn)保密性、完整性和可用性監(jiān)控與評價(ME)IT績效考核能否及時發(fā)現(xiàn)問題管理層能否確保內(nèi)部控制的效率和有效性IT績效能否與業(yè)務目標相關(guān)聯(lián)是否測量并報告風險、控制、符合性和績效IT審計的參考標準－CoBIT（續(xù)）有效性效率保密性完整性可用性合規(guī)性可靠性應用系統(tǒng)信息基礎(chǔ)設(shè)施人員計劃與組織采購與實施交付與支持監(jiān)控與評價應用系統(tǒng)：用戶處理信息的自動化用戶系統(tǒng)及手冊程序。

信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務以任何形式所使用。

基礎(chǔ)設(shè)施：保障應用系統(tǒng)處理信息所需的技術(shù)和設(shè)施（硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等，以及放置、支持上述技術(shù)和設(shè)施的環(huán)境）。

人員：策劃、組織、采購、實施、交付、支持、監(jiān)視和評價信息系統(tǒng)和服務所需的人員。人員可以是內(nèi)部的、外包人員或合同人員。IT審計的參考標準－CoBIT（續(xù)）CoBIT34個高層次控制目標IT審計的參考標準－CoBIT（續(xù)）監(jiān)控與評價

ME1IT績效監(jiān)控與評估

ME2內(nèi)部控制監(jiān)控與評估ME3確保法規(guī)遵從

ME4提供IT治理交付與支持DS1定義并管理服務水平DS2管理第三方服務DS3性能管理與能力管理DS4確保服務的持續(xù)性DS5確保系統(tǒng)安全DS6確認與分攤成本DS7教育并培訓客戶DS8服務臺與事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運營管理規(guī)劃與組織PO1制定IT戰(zhàn)略規(guī)劃PO2確定信息架構(gòu)PO3確定技術(shù)方向PO4確定IT流程、組織及相互關(guān)系PO5管理IT投資PO6管理目標與方向的協(xié)調(diào)PO7IT人力資源管理PO8質(zhì)量管理PO9評估并管理IT風險PO10項目管理獲取與實施

AI1確定自動化解決方案

AI2應用軟件的獲取和維護

AI3技術(shù)基礎(chǔ)設(shè)施的獲取和維護

AI4授權(quán)操作和使用

AI5獲取IT資源

AI6變更管理

AI7實施并驗收及變更管理IT審計的參考標準－COSOCommitteeofSponsoringOrganizationsofTheTreadwayCommission(COSO)由美國會計師協(xié)會、美國審計總署、美國內(nèi)部審計師協(xié)會和管理會計師協(xié)會等7個團體共同贊助成立，專門研究內(nèi)部控制問題。內(nèi)部控制—整體框架的目標：保證財務報告的可靠性保證經(jīng)營效益和效率對相關(guān)法律法規(guī)的遵循根據(jù)COSO內(nèi)控框架，公司層面的內(nèi)部控制由以下五個部分組成：1.控制環(huán)境2.風險評估3.控制活動4.信息與溝通5.監(jiān)控

中國內(nèi)部審計協(xié)會于2003年6月1日頒布實施的《內(nèi)部審計具體準則》（第5號）—

內(nèi)部控制第5條，亦明確公司的內(nèi)部控制是由上述五個部分組成的。公司要建立完善的內(nèi)部控制，就要從這五方面著手，因為它們是內(nèi)控的根基，它們會影響到公司風險管理每個環(huán)節(jié)的工作。監(jiān)控信息與溝通控制活動風險評估控制環(huán)境合規(guī)性操作財務報告IT審計的參考標準－COSO（續(xù)）控制環(huán)境控制環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱，是實施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機構(gòu)設(shè)置與權(quán)責分配、企業(yè)文化、人力資源政策、內(nèi)部審計機構(gòu)設(shè)置、反舞弊機制等。從以下三個方面評價控制環(huán)境的有效性：識別及評價公司業(yè)務和財務報表的風險的能力按照公認會計準則編制高質(zhì)量的財務報表保證財務報表可靠性的基本控制及監(jiān)控措施控制環(huán)境風險評估控制活動信息與溝通監(jiān)控合規(guī)性操作財務報告IT審計的參考標準－COSO（續(xù)）風險評估風險評估是及時識別、科學分析和評價影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程，是實施內(nèi)部控制的重要環(huán)節(jié)。風險評估主要包括目標設(shè)定、風險識別、風險分析和風險應對。包括：控制環(huán)境風險評估控制活動信息與溝通監(jiān)控合規(guī)性操作財務報告IT審計的參考標準－COSO（續(xù)）正式建立和廣泛公布公司層面的目標及價值觀、風險評估的程序?qū)χ卮髥栴}的預計、識別以及做出反應的機制識別公認會計原則變更、商業(yè)慣例及內(nèi)部控制的步驟和程序等控制活動控制活動是根據(jù)風險評估結(jié)果、結(jié)合風險應對策略所采取的確保企業(yè)內(nèi)部控制目標得以實現(xiàn)的方法和手段，是實施內(nèi)部控制的具體方式?？刂苹顒咏Y(jié)合企業(yè)具體業(yè)務和事項的特點與要求制定，主要包括職責分工控制、授權(quán)控制、審核批準控制、預算控制、財產(chǎn)保護控制、會計系統(tǒng)控制、內(nèi)部報告控制、經(jīng)濟活動分析控制、績效考評控制、信息技術(shù)控制等。控制環(huán)境風險評估控制活動信息與溝通監(jiān)控合規(guī)性操作財務報告IT審計的參考標準－COSO（續(xù)）信息與溝通信息與溝通是及時、準確、完整地收集與企業(yè)經(jīng)營管理相關(guān)的各種信息，并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關(guān)層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內(nèi)部控制的重要條件。主要包括：管理層有效地傳達員工的崗位職責和應負有的控制責任建立渠道收集和處理內(nèi)部投訴及不滿充分的溝通交流指定人員或部門負責收集和處理外部的評論和投訴已建立上下各部門之間的匯報路線和溝通渠道控制環(huán)境風險評估控制活動信息與溝通監(jiān)控合規(guī)性操作財務報告IT審計的參考標準－COSO（續(xù)）監(jiān)督主要包括對建立并執(zhí)行內(nèi)部控制的整體情況進行持續(xù)性監(jiān)督檢查，對內(nèi)部控制的某一方面或者某些方面進行專項監(jiān)督檢查，以及提交相應的檢查報告、提出有針對性的改進措施等。企業(yè)內(nèi)部控制自我評估是內(nèi)部控制監(jiān)督檢查的一項重