信息科技风险审计方法及过程

信息科技风险审计信息科技风险审计 方法及过程方法及过程 摘自北京时代新威信息技术有限公司摘自北京时代新威信息技术有限公司 信息科技风险审计战略部署信息科技风险审计战略部署 为帮助银行客户满足银监会为帮助银行客户满足银监会 商业银行商业银行 信息科技风险审计管理指引信息科技风险审计管理指引 等相关监管要等相关监管要 求，同时进一步加强信息技术建设，全面强求，同时进一步加强信息技术建设，全面强 化风险管理，越来越多的企业已经开始为多化风险管理，越来越多的企业已经开始为多 家银行提供信息科技风险审计服务了，本文家银行提供信息科技风险审计服务了，本文 就是北京时代新威信息技术有限公司（以下就是北京时代新威信息技术有限公司（以下 简称时代新威）内部人员总结出的对于信息简称时代新威）内部人员总结出的对于信息 科技风险审计的方法及过程。科技风险审计的方法及过程。 信息科技风险审计范围：信息科技风险审计范围： 一）信息科技治理一）信息科技治理 二）信息科技风险管理二）信息科技风险管理 三）信息安全三）信息安全 四）信息系统开发测试和维护四）信息系统开发测试和维护 五）信息科技运行五）信息科技运行 六）业务连续性管理六）业务连续性管理 七）外包七）外包 八）内部审计八）内部审计 九）外部审计九）外部审计 信息科技风险审计之信息科技风险审计之 信息科技治理信息科技治理 信息科技治理是指对现代信息技术如信息科技治理是指对现代信息技术如 通讯技术，信息处理技术、控制技术等的通讯技术，信息处理技术、控制技术等的 科学管理活动和过程。时代新威的审计专科学管理活动和过程。时代新威的审计专 家指出，家指出， “它是以信息服务业务的开展与社它是以信息服务业务的开展与社 会的实际需要作为依据，组织好各种信息会的实际需要作为依据，组织好各种信息 技术的开发和应用，并对信息技术进行标技术的开发和应用，并对信息技术进行标 准化、规范化管理。准化、规范化管理。 ” 信息科技治理战略必须要解决下述主要信息科技治理战略必须要解决下述主要 问题：问题： （ 1）保证构造合理的信息系统结构并将其实现。）保证构造合理的信息系统结构并将其实现。 （ 2）保证新系统开发方式可以满足企业长期维护的目标。）保证新系统开发方式可以满足企业长期维护的目标。 （ 3）保证内部和外部采购的决策能得到认真的考虑。）保证内部和外部采购的决策能得到认真的考虑。 （ 4）决定信息技术运行是由一个部门管理还是分成一系列）决定信息技术运行是由一个部门管理还是分成一系列 小单元管理，按照小单元进行管理虽然成本高，但是能为用小单元管理，按照小单元进行管理虽然成本高，但是能为用 户提供更好的服务。户提供更好的服务。 信息科技风险审计之信息科技风险审计之 信息科技风险管理信息科技风险管理 信息科技是指计算机、通信、微电子信息科技是指计算机、通信、微电子 和软件工程等现代信息技术，在商业银行和软件工程等现代信息技术，在商业银行 业务交易处理、经营管理和内部控制等方业务交易处理、经营管理和内部控制等方 面的应用，并包括进行信息科技治理，建面的应用，并包括进行信息科技治理，建 立完整的管理组织架构，制订完善的管理立完整的管理组织架构，制订完善的管理 制度和流程。在风险管理方面，北京时代制度和流程。在风险管理方面，北京时代 新威信息技术有限公司与许多商业银行都新威信息技术有限公司与许多商业银行都 有合作成功的案例，其工作内容可总结为有合作成功的案例，其工作内容可总结为 以下两点。以下两点。 信息科技风险，是指信息科技在商业信息科技风险，是指信息科技在商业 银行运用过程中，由于自然因素、人为因银行运用过程中，由于自然因素、人为因 素、技术漏洞和管理缺陷产生的操作、法素、技术漏洞和管理缺陷产生的操作、法 律和声誉等风险。律和声誉等风险。 信息科技风险管理的目标是通过建立有效的机信息科技风险管理的目标是通过建立有效的机 制，实现对商业银行信息科技风险的识别、计制，实现对商业银行信息科技风险的识别、计 量、监测和控制，促进商业银行安全、持续、量、监测和控制，促进商业银行安全、持续、 稳健运行，推动业务创新，提高信息技术使用稳健运行，推动业务创新，提高信息技术使用 水平，增强核心竞争力和可持续发展能力。水平，增强核心竞争力和可持续发展能力。 信息科技风险审计之信息科技风险审计之 信息安全信息安全 信息安全主要包括以下五方面的内容信息安全主要包括以下五方面的内容 ，即需保证信息的保密性、真实性、完整，即需保证信息的保密性、真实性、完整 性、未授权拷贝和所寄生系统的安全性。性、未授权拷贝和所寄生系统的安全性。 信息安全本身包括的范围很大，其中包括信息安全本身包括的范围很大，其中包括 如何防范商业企业机密泄露、防范青少年如何防范商业企业机密泄露、防范青少年 对不良信息的浏览、个人信息的泄露等。对不良信息的浏览、个人信息的泄露等。 网络环境下的信息安全体系是保证信网络环境下的信息安全体系是保证信 息安全的关键，包括计算机安全操作系统息安全的关键，包括计算机安全操作系统 、各种安全协议、安全机制（数字签名、各种安全协议、安全机制（数字签名、 消息认证、数据加密等），直至安全系统消息认证、数据加密等），直至安全系统 ，如，如 UniNAC、 DLP等，只要存在安全漏洞等，只要存在安全漏洞 便可以威胁全局安全。便可以威胁全局安全。 信息安全是指信息系统（包括硬件、信息安全是指信息系统（包括硬件、 软件、数据、人、物理环境及其基础设施软件、数据、人、物理环境及其基础设施 ）受到保护，不受偶然的或者恶意的原因）受到保护，不受偶然的或者恶意的原因 而遭到破坏、更改、泄露，系统连续可靠而遭到破坏、更改、泄露，系统连续可靠 正常地运行，信息服务不中断，最终实现正常地运行，信息服务不中断，最终实现 业务连续性。业务连续性。 信息科技风险审计之信息科技风险审计之 信息系统开发测试和维护信息系统开发测试和维护 信息系统是一个以人为主导，吸取经信息系统是一个以人为主导，吸取经 验和遵照规律并重，利用适合的信息技术验和遵照规律并重，利用适合的信息技术 以及相应设备，根据相应的业务模型和数以及相应设备，根据相应的业务模型和数 学模型，进行信息的收集、传输、加工、学模型，进行信息的收集、传输、加工、 储存、更新和维护，以提高组织的效益和储存、更新和维护，以提高组织的效益和 效率为目的，支持组织的高层决策、中层效率为目的，支持组织的高层决策、中层 控制、基层运作的集成化的人机系统。控制、基层运作的集成化的人机系统。 信息系统开发维护是为了使信息系统信息系统开发维护是为了使信息系统 处开合用状态而采取的一系列措施，目的处开合用状态而采取的一系列措施，目的 是纠正错误和改进功能，保证信息系统正是纠正错误和改进功能，保证信息系统正 常工作，有以下四种类型：改正性维护，常工作，有以下四种类型：改正性维护， 适应性维护，完善性维护，预防性维护。适应性维护，完善性维护，预防性维护。 信息科技风险审计之信息科技风险审计之 信息科技运行信息科技运行 良好的信息科技运行必须在设计阶段就良好的信息科技运行必须在设计阶段就 开始考虑。用户、负责信息科技系统运行的开始考虑。用户、负责信息科技系统运行的 人应该参与信息系统开发的设计阶段，这样人应该参与信息系统开发的设计阶段，这样 信息科技的运行问题在一开始就可以得到足信息科技的运行问题在一开始就可以得到足 够的重视。够的重视。 在工作中往往最容易忽略的就是硬件在工作中往往最容易忽略的就是硬件 失败、程序非正常退出、文档说明和支持失败、程序非正常退出、文档说明和支持 不足等问题。设计阶段要保证防止用户使不足等问题。设计阶段要保证防止用户使 用错误的快捷方式，还要考虑新、老系统用错误的快捷方式，还要考虑新、老系统 转换的细节。如果是购买其他公司提供的转换的细节。如果是购买其他公司提供的 软件包，问题就会更加复杂。时代新威的软件包，问题就会更加复杂。时代新威的 信息技术专家在工作中要求格外强调注意信息技术专家在工作中要求格外强调注意 这一系列问题，也就避免了很多不必要的这一系列问题，也就避免了很多不必要的 失误和麻烦。失误和麻烦。 信息科技运行战略必须要解决下述主要问题：信息科技运行战略必须要解决下述主要问题： （ 1）保证构造合理的信息系统结构并将其实现）保证构造合理的信息系统结构并将其实现 。 （ 2）保证新系统开发方式可以满足企业长期维）保证新系统开发方式可以满足企业长期维 护的目标。护的目标。 （ 3）保证内部和外部采购的决策能得到认真的）保证内部和外部采购的决策能得到认真的 考虑。考虑。 （ 4）决定信息技术运行是由一个部门管理还是）决定信息技术运行是由一个部门管理还是 分成一系列小单元管理，按照小单元进行管分成一系列小单元管理，按照小单元进行管 理虽然成本高，但是能为用户提供更好的服理虽然成本高，但是能为用户提供更好的服 务。务。 信息科技风险审计之信息科技风险审计之 业务连续性管理业务连续性管理 业务连续性管理（业务连续性管理（ Business Continuity Management，简称，简称 BCM），是一项综合管），是一项综合管 理流程，它使企业认识到潜在的危机和相理流程，它使企业认识到潜在的危机和相 关影响，制订响应、业务和连续性的恢复关影响，制订响应、业务和连续性的恢复 计划，其总体目标是为了提高企业的风险计划，其总体目标是为了提高企业的风险 防范能力，以有效地响应非计划的业务破防范能力，以有效地响应非计划的业务破 坏并降低不良影响。坏并降低不良影响。 业务连续性管理系统（业务连续性管理系统（ BCMS）是经常）是经常 进行的活动的集合，业务连续性管理支持企进行的活动的集合，业务连续性管理支持企 业业务连续性管理活动，也支持技术灾难恢业业务连续性管理活动，也支持技术灾难恢 复活动。这些可以包括项目规划和管理、人复活动。这些可以包括项目规划和管理、人 员配备、计划、预测、预算编制、研究和开员配备、计划、预测、预算编制、研究和开 发、资源管理、通信、会议、教育活动、宣发、资源管理、通信、会议、教育活动、宣 传和促销活动、活动网站、绩效评估活动、传和促销活动、活动网站、绩效评估活动、 按天进行处理查询和许多其他活动。按天进行处理查询和许多其他活动。 业务连续性管理也有利于多种项目性业务连续性管理也有利于多种项目性 的活动，业务连续性管理执行业务影响分的活动，业务连续性管理执行业务影响分 析和风险分析、进行评估、制定并记录析和风险分析、进行评估、制定并记录 BC/ DR计划、规划和执行计划、规划和执行 BC/ DR演练、准备和演练、准备和 进行应急队伍培训、准备记录事件响应计进行应急队伍培训、准备记录事件响应计 划，并设计划，并设计 BC/ DR策略。策略。 信息科技风险审计之信息科技风险审计之 外包外包 外包是指企业动态地配置自身和其他外包是指企业动态地配置自身和其他 企业的功能和服务，并利用企业外部的资企业的功能和服务，并利用企业外部的资 源为企业内部的生产和经营服务。外包是源为企业内部的生产和经营服务。外包是 一个战略管理模型，举例来说，一个生产一个战略管理模型，举例来说，一个生产 企业，如果为了原材料及产品运输而组织企业，如果为了原材料及产品运输而组织 一个车队，在两个方面其成本会大大增加一个车队，在两个方面其成本会大大增加 。 第一，管理成本增加，因为它在运输领域第一，管理成本增加，因为它在运输领域 不具备管理经验。不具备管理经验。 第二，因管理不善，运输环节严重影第二，因管理不善，运输环节严重影 响生产和销售环节的工作，从而导致生产响生产和销售环节的工作，从而导致生产 和销售环节的成本增加。如果把运输业务和销售环节的成本增加。如果把运输业务 外包给专业的运输企业，则可以大幅度降外包给专业的运输企业，则可以大幅度降 低上述成本。低上述成本。 这些就是时代新威的工作人员根据日这些就是时代新威的工作人员根据日 常工作的实际案例总结出的关于外包的重常工作的实际案例总结出的关于外包的重 点利弊，也是外包工作中必须引起注意的点利弊，也是外包工作中必须引起注意的 地方。地方。 另一方面，企业也因市场竞争的激烈面临巨另一方面，企业也因市场竞争的激烈面临巨 大的挑战大的挑战 。 外包方式主要有合同业务管理方式（外包方式主要有合同业务管理方式（ BMC） 和委托方式。和委托方式。 合同业务管理方式纯粹是一种外包方购买第合同业务管理方式纯粹是一种外包方购买第 三方服务模式，第三方（承包方）负责全部或大三方服务模式，第三方（承包方）负责全部或大 部分投资和业务管理工作，并承担投资风险；外部分投资和业务管理工作，并承担投资风险；外 包方只根据第三方完成业务的绩效和合同约束则包方只根据第三方完成业务的绩效和合同约束则 购买服务，不用负责第三方的投资风险；合同终购买服务，不用负责第三方的投资风险；合同终 止则合作终止。止则合作终止。 信息科技风险审计之信息科技风险审计之 内部审计内部审计 时代新威风险审计专家对于内部审计时代新威风险审计专家对于内部审计 的定义是：对组织中各类业务和控制进行的定义是：对组织中各类业务和控制进行 独立评价，以确定是否遵循公认的方针和独立评价，以确定是否遵循公认的方针和 程序，是否符合规定和标准，是否有效和程序，是否符合规定和标准，是否有效和 经济的使用了资源，是否在实现组织目标经济的使用了资源，是否在实现组织目标 。 审计人员在进行审计时审计人员在进行审计时 ,常使用不同的常使用不同的 审计方法审计方法 ,有时同时结合几种审计方法进行有时同时结合几种审计方法进行 审计。审计。 实际操作中内部审计方法有多种，现实际操作中内部审计方法有多种，现 总结整理如下总结整理如下 （详情参考时代新威信息科（详情参考时代新威信息科 技风险审计之内部审计）技风险审计之内部审计） 一、询问法也称为访谈法一、询问法也称为访谈法 是指审计人员与被审计单位或有关人员是指审计人员与被审计单位或有关人员 进行面对面交谈，以了解有关情况、收集审进行面对面交谈，以了解有关情况、收集审 计证据的一种方法。计证据的一种方法。 询问法的使用范围包括：询问法的使用范围包括： 在计划阶段中了解情况，实施阶段时收在计划阶段中了解情况，实施阶段时收 集证据，报告阶段相互沟通情况等。内审人员集证据，报告阶段相互沟通情况等。内审人员 在实施时要注意同时要有两名审计人中在场。在实施时要注意同时要有两名审计人中在场。 二、审核法审核法是指对会计记录和二、审核法审核法是指对会计记录和 其他书面文章进行审阅与核对，这方其他书面文章进行审阅与核对，这方 面占审计工作的比重比较大。它主要面占审计工作的比重比较大。它主要 在查阅会计资料、预算、计划、会议在查阅会计资料、预算、计划、会议 记录及各种规章制度等资料使用。记录及各种规章制度等资料使用。 信息科技风险审计之信息科技风险审计之 外部审计外部审计 外部审计是指独立于外部审计是指独立于 政府机关和企事业单位以政府机关和企事业单位以 外的国家审计机构所进行外的国家审计机构所进行 的审计，以及独立执行业的审计，以及独立执行业 务会计师事务所接受委托务会计师事务所接受委托 进行的审计。进行的审计。 外部审计实际上是对企业内部虚假、外部审计实际上是对企业内部虚假、 欺骗行为的一个重要而系统的检查，因此欺骗行为的一个重要而系统的检查，因此 起着鼓励诚实的作用：由于知道外部审计起着鼓励诚实的作用：由于知道外部审计 不可避免地要进行，企业就会努力避免做不可避免地要进行，企业就会努力避免做 那些在审计时可能会被发现的不光彩的事那些在审计时可能会被发现的不光彩的事 。 我国财政、银行、税务部门为了做好我国财政、银行、税务部门为了做好 其本职工作其本职工作 ,而对其管辖区各单位的业务而对其管辖区各单位的业务 (如如 税利上缴和信贷资金使用情况等税利上缴和信贷资金使用情况等 )所进行的所进行的 检查检查 ,不属于审计不属于审计 ,更谈不上是外部审计更谈不上是外部审计 ,而只而只 是经济监督中的财政监督、税务监督和信是经济监督中的财政监督、税务监督和信 贷监督。贷监督。 外部审计包括国家审计和社会审计。外部审计包括国家审计和社会审计。 国家审计是指由国家审计机关所实施的国家审计是指由国家审计机关所实施的 审计。国家审计的主体是审计署以及各审计。国家审计的主体是审计署以及各 省、省、 市、自治区、县设立的审计机关，对被审计市、自治区、县设立的审计机关，对被审计 单位的财务财政活动、执行财经法纪情况以单位的财务财政活动、执行财经法纪情况以 及经济效益性及经济效益性 进行审计监督。进行审计监督。 社会审计是指由经政府有关部门审核批社会审计是指由经政府有关部门审核批 准的社会中介机构进行的审计，其主体是注准的社会中介机构进行的审计，其主体是注 册会计师。册会计师。 内部审计和外部审计的联系：内部审计和外部审计的联系： 内部审计和外部审计总体目标是一致的内部审计和外部审计总体目标是一致的 ,两者两者 均是审均是审 计监督体系的有机组成部门。内部审计具计监督体系的有机组成部门。内部审计具 有预防性、经常性和针对性有预防性、经常性和针对性 ,是外部审计的基础是外部审计的基础 ,对对 外部审计外部审计 能起辅助和补充作用能起辅助和补充作用 ;而外部审计对内而外部审计对内 部审计又能起到支持和指导作用。由于内部审计部审计又能起到支持和指导作用。由于内部审计 机构和外部审计机机构和外部审计机 构所处的地位不同构所处的地位不同 ,它们在独立它们在独立 性、强制性、权威性和公证作用方面又有较大的性、强制性、权威性和公证作用方面又有较大的 差别。差别。 以上就是信息科技审计所包括的具以上就是信息科技审计所包括的具 体范围，既然了解了它都包括那些方面体范围，既然了解了它都包括那些方面 。 下面我们来看一下时代新威内部总下面我们来看一下时代新威内部总 结关于信息科技审计具体的方法及过结关于信息科技审计具体的方法及过 程。程。 信息科技风险审计过程简略图：信息科技风险审计过程简略图： 1.信息科技风险审计准备信息科技风险审计准备 1）审计准备）审计准备 2）审计方案）审计方案 3）审计计划）审计计划 1）审计准备：）审计准备： a.明确审计任务，确定审计重点明确审计任务，确定审计重点 b.编制审计计划编制审计计划 审计计划分为总体审计计划和具体审计计审计计划分为总体审计计划和具体审计计 划。划。 2）审计方案：）审计方案： 审计方案是对具体审计项目的审计程序及其审计方案是对具体审计项目的审计程序及其 时间等所做出的详细安排。时间等所做出的详细安排。 a、具体审计目的。、具体审计目的。 具体审计目的是对总体审计的细化，直接用以指具体审计目的是对总体审计的细化，直接用以指 导具体审计方法及程序。导具体审计方法及程序。 b、具体审计方法和程序。、具体审计方法和程序。 c、预定的执行人及执行日期。、预定的执行人及执行日期。 d、其他有关内容。、其他有关内容。 3）审计计划：）审计计划： 是指注册会计师为了完成各项审计业务，是指注册会计师为了完成各项审计业务， 达到预期