信息科技風險審計方法及過程概述

2024/4/2信息科技風險審計方法及過程概述2024/4/1信息科技風險審計方法及過程概述1為幫助銀行客戶滿足銀監(jiān)會《商業(yè)銀行信息科技風險審計管理指引》等相關監(jiān)管要求，同時進一步加強信息技術建設，全面強化風險管理，越來越多的企業(yè)已經(jīng)開始為多家銀行提供信息科技風險審計服務了，本文就是北京時代新威信息技術有限公司（以下簡稱時代新威）內(nèi)部人員總結(jié)出的對于信息科技風險審計的方法及過程。

為幫助銀行客戶滿足銀監(jiān)會《商業(yè)銀行2信息科技風險審計范圍：

一）信息科技治理二）信息科技風險管理三）信息安全四）信息系統(tǒng)開發(fā)測試和維護信息科技風險審計范圍：3五）信息科技運行六）業(yè)務連續(xù)性管理七）外包八）內(nèi)部審計九）外部審計五）信息科技運行4信息科技風險審計之

——信息科技治理

信息科技治理是指對現(xiàn)代信息技術如通訊技術，信息處理技術、控制技術等的科學管理活動和過程。時代新威的審計專家指出，“它是以信息服務業(yè)務的開展與社會的實際需要作為依據(jù)，組織好各種信息技術的開發(fā)和應用，并對信息技術進行標準化、規(guī)范化管理?！?/p>

信息科技風險審計之

5信息科技風險審計方法及過程概述6信息科技治理戰(zhàn)略必須要解決下述主要問題：

（1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實現(xiàn)。（2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護的目標。（3）保證內(nèi)部和外部采購的決策能得到認真的考慮。（4）決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然成本高，但是能為用戶提供更好的服務。信息科技治理戰(zhàn)略必須要解決下述主要7

信息科技風險審計之

——信息科技風險管理信息科技是指計算機、通信、微電子和軟件工程等現(xiàn)代信息技術，在商業(yè)銀行業(yè)務交易處理、經(jīng)營管理和內(nèi)部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。在風險管理方面，北京時代新威信息技術有限公司與許多商業(yè)銀行都有合作成功的案例，其工作內(nèi)容可總結(jié)為以下兩點。

信息科技風險審計之

8信息科技風險，是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

信息科技風險，是指信息科技在商業(yè)銀行運用9信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。信息科技風險管理的目標是通過建立有效的機制，實現(xiàn)對商業(yè)銀行信10信息科技風險審計之

——信息安全信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。信息科技風險審計之

11信息科技風險審計方法及過程概述12網(wǎng)絡環(huán)境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制（數(shù)字簽名、消息認證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。網(wǎng)絡環(huán)境下的信息安全體系是保證信息安全的13信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷，最終實現(xiàn)業(yè)務連續(xù)性。信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)14信息科技風險審計之

——信息系統(tǒng)開發(fā)測試和維護信息系統(tǒng)是一個以人為主導，吸取經(jīng)驗和遵照規(guī)律并重，利用適合的信息技術以及相應設備，根據(jù)相應的業(yè)務模型和數(shù)學模型，進行信息的收集、傳輸、加工、儲存、更新和維護，以提高組織的效益和效率為目的，支持組織的高層決策、中層控制、基層運作的集成化的人機系統(tǒng)。信息科技風險審計之

——信息15信息系統(tǒng)開發(fā)維護是為了使信息系統(tǒng)處開合用狀態(tài)而采取的一系列措施，目的是糾正錯誤和改進功能，保證信息系統(tǒng)正常工作，有以下四種類型：改正性維護，適應性維護，完善性維護，預防性維護。信息系統(tǒng)開發(fā)維護是為了使信息系統(tǒng)16信息科技風險審計之

——信息科技運行良好的信息科技運行必須在設計階段就開始考慮。用戶、負責信息科技系統(tǒng)運行的人應該參與信息系統(tǒng)開發(fā)的設計階段，這樣信息科技的運行問題在一開始就可以得到足夠的重視。信息科技風險審計之

17在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持不足等問題。設計階段要保證防止用戶使用錯誤的快捷方式，還要考慮新、老系統(tǒng)轉(zhuǎn)換的細節(jié)。如果是購買其他公司提供的軟件包，問題就會更加復雜。時代新威的信息技術專家在工作中要求格外強調(diào)注意這一系列問題，也就避免了很多不必要的失誤和麻煩。在工作中往往最容易忽略的就是硬件失敗、程序18信息科技運行戰(zhàn)略必須要解決下述主要問題：（1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實現(xiàn)。（2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護的目標。（3）保證內(nèi)部和外部采購的決策能得到認真的考慮。（4）決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然成本高，但是能為用戶提供更好的服務。信息科技運行戰(zhàn)略必須要解決下述主要問題：（1）保證構(gòu)造合理的19信息科技風險審計之

——業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理（BusinessContinuityManagement，簡稱BCM），是一項綜合管理流程，它使企業(yè)認識到潛在的危機和相關影響，制訂響應、業(yè)務和連續(xù)性的恢復計劃，其總體目標是為了提高企業(yè)的風險防范能力，以有效地響應非計劃的業(yè)務破壞并降低不良影響。信息科技風險審計之

20業(yè)務連續(xù)性管理系統(tǒng)（BCMS）是經(jīng)常進行的活動的集合，業(yè)務連續(xù)性管理支持企業(yè)業(yè)務連續(xù)性管理活動，也支持技術災難恢復活動。這些可以包括項目規(guī)劃和管理、人員配備、計劃、預測、預算編制、研究和開發(fā)、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網(wǎng)站、績效評估活動、按天進行處理查詢和許多其他活動。

業(yè)務連續(xù)性管理系統(tǒng)（BCMS）是經(jīng)常進行21信息科技風險審計方法及過程概述22業(yè)務連續(xù)性管理也有利于多種項目性的活動，業(yè)務連續(xù)性管理執(zhí)行業(yè)務影響分析和風險分析、進行評估、制定并記錄BC/DR計劃、規(guī)劃和執(zhí)行BC/DR演練、準備和進行應急隊伍培訓、準備記錄事件響應計劃，并設計BC/DR策略。業(yè)務連續(xù)性管理也有利于多種項目性23信息科技風險審計方法及過程概述24信息科技風險審計之

——外包外包是指企業(yè)動態(tài)地配置自身和其他企業(yè)的功能和服務，并利用企業(yè)外部的資源為企業(yè)內(nèi)部的生產(chǎn)和經(jīng)營服務。外包是一個戰(zhàn)略管理模型，舉例來說，一個生產(chǎn)企業(yè)，如果為了原材料及產(chǎn)品運輸而組織一個車隊，在兩個方面其成本會大大增加。信息科技風險審計之

25

第一，管理成本增加，因為它在運輸領域不具備管理經(jīng)驗。第一，管理成本增加，因為它在運輸領域不具備管理經(jīng)驗。26第二，因管理不善，運輸環(huán)節(jié)嚴重影響生產(chǎn)和銷售環(huán)節(jié)的工作，從而導致生產(chǎn)和銷售環(huán)節(jié)的成本增加。如果把運輸業(yè)務外包給專業(yè)的運輸企業(yè)，則可以大幅度降低上述成本。這些就是時代新威的工作人員根據(jù)日常工作的實際案例總結(jié)出的關于外包的重點利弊，也是外包工作中必須引起注意的地方。第二，因管理不善，運輸環(huán)節(jié)嚴重影27另一方面，企業(yè)也因市場競爭的激烈面臨巨大的挑戰(zhàn)。外包方式主要有合同業(yè)務管理方式（BMC）和委托方式。合同業(yè)務管理方式純粹是一種外包方購買第三方服務模式，第三方（承包方）負責全部或大部分投資和業(yè)務管理工作，并承擔投資風險；外包方只根據(jù)第三方完成業(yè)務的績效和合同約束則購買服務，不用負責第三方的投資風險；合同終止則合作終止。另一方面，企業(yè)也因市場競爭的激烈面臨巨大28信息科技風險審計之

——內(nèi)部審計時代新威風險審計專家對于內(nèi)部審計的定義是：對組織中各類業(yè)務和控制進行獨立評價，以確定是否遵循公認的方針和程序，是否符合規(guī)定和標準，是否有效和經(jīng)濟的使用了資源，是否在實現(xiàn)組織目標。信息科技風險審計之

29審計人員在進行審計時,常使用不同的審計方法,有時同時結(jié)合幾種審計方法進行審計。實際操作中內(nèi)部審計方法有多種，現(xiàn)總結(jié)整理如下（詳情參考時代新威信息科技風險審計之內(nèi)部審計）

審計人員在進行審計時,常使用不同的30信息科技風險審計方法及過程概述31一、詢問法也稱為訪談法是指審計人員與被審計單位或有關人員進行面對面交談，以了解有關情況、收集審計證據(jù)的一種方法。詢問法的使用范圍包括：在計劃階段中了解情況，實施階段時收集證據(jù)，報告階段相互溝通情況等。內(nèi)審人員在實施時要注意同時要有兩名審計人中在場。一、詢問法也稱為訪談法32二、審核法審核法是指對會計記錄和其他書面文章進行審閱與核對，這方面占審計工作的比重比較大。它主要在查閱會計資料、預算、計劃、會議記錄及各種規(guī)章制度等資料使用。二、審核法審核法是指對會計記錄和33信息科技風險審計之

——外部審計外部審計是指獨立于政府機關和企事業(yè)單位以外的國家審計機構(gòu)所進行的審計，以及獨立執(zhí)行業(yè)務會計師事務所接受委托進行的審計。信息科技風險審計之

34外部審計實際上是對企業(yè)內(nèi)部虛假、欺騙行為的一個重要而系統(tǒng)的檢查，因此起著鼓勵誠實的作用：由于知道外部審計不可避免地要進行，企業(yè)就會努力避免做那些在審計時可能會被發(fā)現(xiàn)的不光彩的事。外部審計實際上是對企業(yè)內(nèi)部虛假、35我國財政、銀行、稅務部門為了做好其本職工作,而對其管轄區(qū)各單位的業(yè)務(如稅利上繳和信貸資金使用情況等)所進行的檢查,不屬于審計,更談不上是外部審計,而只是經(jīng)濟監(jiān)督中的財政監(jiān)督、稅務監(jiān)督和信貸監(jiān)督。我國財政、銀行、稅務部門為了做好其本職工作36外部審計包括國家審計和社會審計。國家審計是指由國家審計機關所實施的審計。國家審計的主體是審計署以及各省、市、自治區(qū)、縣設立的審計機關，對被審計單位的財務財政活動、執(zhí)行財經(jīng)法紀情況以及經(jīng)濟效益性進行審計監(jiān)督。社會審計是指由經(jīng)政府有關部門審核批準的社會中介機構(gòu)進行的審計，其主體是注冊會計師。外部審計包括國家審計和社會審計。國家37內(nèi)部審計和外部審計的聯(lián)系：內(nèi)部審計和外部審計總體目標是一致的,兩者均是審計監(jiān)督體系的有機組成部門。內(nèi)部審計具有預防性、經(jīng)常性和針對性,是外部審計的基礎,對外部審計能起輔助和補充作用;而外部審計對內(nèi)部審計又能起到支持和指導作用。由于內(nèi)部審計機構(gòu)和外部審計機構(gòu)所處的地位不同,它們在獨立性、強制性、權(quán)威性和公證作用方面又有較大的差別。內(nèi)部審計和外部審計的聯(lián)系：38以上就是信息科技審計所包括的具體范圍，既然了解了它都包括那些方面。

下面我們來看一下時代新威內(nèi)部總結(jié)關于信息科技審計具體的方法及過程。以上就是信息科技審計所包括的具39信息科技風險審計過程簡略圖：信息科技風險審計過程簡略圖：401.信息科技風險審計準備

1）審計準備

2）審計方案

3）審計計劃1.信息科技風險審計準備411）審計準備：a.明確審計任務，確定審計重點b.編制審計計劃審計計劃分為總體審計計劃和具體審計計劃。1）審計準備：422）審計方案：審計方案是對具體審計項目的審計程序及其時間等所做出的詳細安排。a、具體審計目的。具體審計目的是對總體審計的細化，直接用以指導具體審計方法及程序。b、具體審計方法和程序。c、