银行信息系统内部审计培训信息系统审计实务介绍

招商银行信息系统内部审计培训

信息系统审计实务介绍

3月银行信息系统内部审计培训信息系统审计实务介绍第1页声明本培训资料中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司正式书面允诺，不得部分或全部复制，不得使用于非法目，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。保密内容–安永（中国）企业咨询有限企业，二○○九年，保留全部权利银行信息系统内部审计培训信息系统审计实务介绍第2页

123第一IT审计介绍第二IT审计程序第三IT审计普通架构及范围目录银行信息系统内部审计培训信息系统审计实务介绍第3页IT审计历史背景IT审计出处源自60年代IBM出版《AuditencountersElectronicDataProcessing》等相关在EDI环境下进行审核和组织叙述。很快后相关该方面研究结果不停涌现，IT审计雏形初步形成。不过因为信息系统在社会上还未得到较为广泛应用，所以IT审计并未在社会上形成意识。

七十年代中后期到八十年代初因为计算机在发达国家企业初步普及，利用计算机犯罪和计算机系统失效事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面协会组织。从事对IT审计规则制订和实施指导。值得注意是1985年日本政府出台了《IT审计标准》并依据美国劳工部《SkillStart》和NorthwestCenterforEmergingTechnologies（NCET）对IT信息人员从业技能要求制订了IT审计师（系统监查员）技能标准并以之作为新"IT审计师（系统监查员）"级考试参考标准。

九十年代是IT审计普及期，这主要归功于互联网普及。互联网普及是利用计算机犯罪人员温床，另外日益严重软件项目失败问题引发了是否要对信息系统投资和开发进行审计深思。IT审计得到了前所未有重视。萌芽阶段初步发展蓬勃发展银行信息系统内部审计培训信息系统审计实务介绍第4页IT审计定义和对象IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员第三方－IT审计师采取客观标准对信息系统策划、开发、使用维护等相关活动和产物进行完整地、有效地检验和评定。IT审计对象涵盖整个信息系统全部活动和中间产物，并包含信息系统实施相关外部环境。普通来说，对企业实施IT审计对象有：本企业内IT审计师外部IT审计事务所委托审计师国家审计机构IT审计定义IT审计对象银行信息系统内部审计培训信息系统审计实务介绍第5页IT审计现实状况计算机审计在发展早期，还只是传统财务审计业务一个辅助工具，对客户电子化会计数据进行处理和分析，为财务报表审计人员提供服务。如今信息系统审计业务已经超出了为财务报表审计提供服务范围，在很多大型会计企业内部，信息系统审计部门已经成为一个独立对外提供各种服务部门。尤其是互联网和电子商务兴起，更是为信息系统审计业务带来了无尽商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小一部分。与信息安全相关防火墙审计、安全诊疗、信息技术认证以及ERP相关新型咨询业务也不停涌现。“未来审计行业和审计技术发展动力将主要来自于信息系统审计发展”，这一观点已经逐步成为国外会计、审计界一个共识。会计企业以及整个社会对信息系统审计师需求量将随之成倍地增加，信息系统审计师地位也在不停提升。在国外一些大型会计企业中已经出现了没有CPA资格合作人，他们持有专业资格就是CISA。伴随计算机技术在管理中广泛利用，传统控制、管理、检验和审计技术都受到巨大挑战，大型跨国企业都将控制风险，尤其是控制计算机环境风险和信息系统运行风险作为管理咨询和服务重点。几乎全部大型跨国企业，因为普遍使用大型管理信息系统，都非常重视对信息系统安全和稳定性控制。银行信息系统内部审计培训信息系统审计实务介绍第6页IT审计现实状况——银行业当前，伴随各银行数据大集中完成，IT风险也越来越集中。控制IT风险、确保信息系统稳定运行已成为银行最紧迫任务。另外，伴随金融监管力度加大，银行信息披露制实施也是当务之急。这些都要求银行加大对信息系统审计力度。只有建立IT审计机制，由独立IT审计师进行信息系统审计，才能形成对信息系统安全客观评价。因为信息技术在银行经营管理领域各个层面广泛利用，IT审计也已贯通在各种审计之中，成为时下银行业最关注主要课题。我国银行业IT审计尚处于探索阶段，尚缺乏成熟经验和案例可供参考，尤其是没有针对大型数据处理和大型软件开发IT审计经验能够借鉴。伴随信息技术在银行普遍、深入应用，银行信息系统正常运行已经成为银行业务正常运行最基本条件之一，IT运行与企业运行紧密相关，IT治理也与企业治理紧密相连，所以IT审计越来越得到银行管理层高度重视。当前，IT审计在国际上是一个相当成熟领域，发达国家银行均建立了完善信息系统审计体系，而我国正在快速发展阶段。银行信息系统内部审计培训信息系统审计实务介绍第7页IT审计差异分析IT审计部门独立性IT治理中审计人员角色国外银行IT审计特点国外银行IT审计技术和组织框架IT审计人员百分比国外银行IT审计特点银行信息系统内部审计培训信息系统审计实务介绍第8页国内外银行IT审计差异组织结构差异从新加坡发展银行IT审计组织框架上看，IT审计因为涵盖了软件开发和项目投产、运行维护全过程，包含了各种技术平台、系统生命周期全部阶段，所以IT审计机构设置基本采取在总审计师领导下，与业务审计两条线并列模式。因为当前内审部门信息技术审计组织结构不尽完善，无法深入细分审计职能、明确专业审计方向。审计覆盖面上差异国际上比较先进商业银行无一例外全部开展了IT企业层面、IT普通控制和应用程序控制全方位IT审计;我国因为信息技术审计工作开展不长，而且人员有限，还未能全方面开展IT企业层面、IT普通控制和应用程序控制IT审计工作12人员上差异从美国大通银行IT审计人员配置上看，人员专业化分工明确，技术水平要求也较高，懂IT技术人员百分比普通占内部审计人员30%-50%左右。而我国银行从事信息技术审计工作员工较少，在人员数量和质量上与国际先进水平还是有不小差距。另外，在审计伎俩、辅助工具以及系统接口、技术支持等方面差距更大，需要加强力量研究处理。3IT审计差异分析银行信息系统内部审计培训信息系统审计实务介绍第9页IT审计专业要求—需要知识和技能IT审计师深入领会会计、经济、管理、商法、税务、金融、审计和信息技术知识；IT审计师通晓信息系统软件、硬件、开发、运行、维护、管理和安全；；IT审计师能够利用规范和先进审计技术，对信息系统安全性、稳定性和有效性进行审计、检验、评价和改造，以降低组织日益面临信息系统风险，有效率使用资源，使到组织IT目标与业务目标保持一致。

需要知识和技能信息系统审计是一门边缘性学科，跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。银行信息系统内部审计培训信息系统审计实务介绍第10页IT审计专业要求–

认证专业资质认证认证机构简明介绍考试费用报名方式获取认证方式CISA认证信息系统审计与控制协会注册信息系统审计师CISA资格由信息系统审计与控制协会ISACA授予，是信息系统审计领域惟一职业资格，受到全世界广泛认可。优惠价：4041元；正常报名价：4041元网址：

凡经过CISA考试，在信息系统审计、控制或安全领域有5年工作经验（在校生考试后5年内完成以上领域相关工作经验亦可申请：本科毕业折算为2年工作经验，硕士毕业折算为6年工作经验），恪守ISACA职业道德，提出CISA资格申请、并得到同意，即可取得CISA资格。CIA认证国际注册内部审计师协会CIA考试是IIA举行一个全球性考试，这项考试由IIA考试委员会命题和阅卷，考试合格者由IIA颁发注册内部审计师（CIA）资格证书。此证书是内部审计职业在国际范围内认可证书。报名费：50(元/次)考务费：150(元/科目)报名信息、考试时间及相关安排请关注含有本科及本科以上学历；含有中级及中级以上专业技术资格；持有注册会计师证书或非执业注册会计师证书；CIA考试期间本科院校审计、会计及相关专业四年级学生；CISP认证中国信息安全产品测评认证中心中国信息安全测评中心是经中央同意成立国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评定工作，对信息安全服务和人员资质进行审核与评价考试费1000元及注册费500元1.教育与工作经历

硕士硕士以上，含有1年工作经历；本科毕业，含有2年工作经历；大专毕业，含有4年工作经历。2.专业工作经历

最少具备1年从事信息安全相关工作经历。银行信息系统内部审计培训信息系统审计实务介绍第11页IT审计专业要求–

认证(续)专业资质认证认证机构简明介绍考试费用报名方式获取认证方式CISSP认证国际信息系统安全认证协会CISSP能够证实证书持有者具备了符合国际标准要求信息安全知识水平和经验能力，提升其专业可信度，并为企业和组织提供寻找专业人员凭证依据，450美元报考者必须具备最少4年工作经验，若拥有大学本科学历，需要3年工作经验即可。工作经验应为CBK要求10个知识域中一个或多个范围

签署并承诺恪守(ISC)2制订职业守则（CodeofEthics）CCNA认证思科认证Cisco认证网络支持工程师不参加培训直接考试需要1150元不需要考生持有任何证书即可报考CCNA，同时对考生年纪、学历、外语水平均没有硬性要求CCNP认证思科认证网络高级工程师四门500美元考取CCNP认证前提是必须首先经过CCNA认证。PMP认证美国项目管理协会严格评定项目管理人员知识技能是否含有高品质资格认证考试。其目标是为了给项目管理人员提供统一行业标准。3300元/人第一类：申请者需具备学士学位或以上者：要求申请者在申请之日前6年内，最少含有4500小时项目管理经验，其包含五大项目管理过程组（开启过程、计划过程、实施过程、控制过程和收尾过程），累计参加项目管理月数最少抵达36个月。第二类：申请者不具备学士学位或以下者：要求申请者在申请之日前8年内，最少含有7500小时项目管理经验，其包含五大项目管理过程组（开启过程、计划过程、实施过程、控制过程和收尾过程），累计参加项目管理月数最少抵达60个月银行信息系统内部审计培训信息系统审计实务介绍第12页

123目录第一IT审计介绍第二IT审计程序第三IT审计普通架构及范围银行信息系统内部审计培训信息系统审计实务介绍第13页信息系统审计程序审计目标和计划审计中法律和法规影响ISACA信息系统审计标准和指南风险分析内部控制实施信息系统审计控制自我评定银行信息系统内部审计培训信息系统审计实务介绍第14页信息系统审计流程：依据信息系统审计标准，指导方针和最正确实践，提供信息系统审计服务。确保组织IT和业务系统得到保护和控制。信息系统审计程序银行信息系统内部审计培训信息系统审计实务介绍第15页审计目标和计划审计计划取得对业务使命、目标、目标和流程了解找出要求内容评价管理层所实施风险评定和隐私保护影响分析实施风险分析执行内部控制检验确定审计范围、审计目标制订审计方法或审计战略为审计任务和其后勤支援分配人力资源法律和法规对信息系统审计计划影响银行信息系统内部审计培训信息系统审计实务介绍第16页审计目标和计划（续）审计成功条件在实施有效信息系统审计中，首先要制订完善审计计划。制订审计计划时，信息系统审计师必须了解执业整体环境，包含与之相关各种业务和控制风险。在审计计划中，信息系统审计师要评定运行和控制风险，同时识别控制目标。银行信息系统内部审计培训信息系统审计实务介绍第17页审计中法律和法规影响法律和法规要求对实施IT审计法律要求对IT审计组织要求IT审计过程中相关实体责任与财务、业务及IT审计职能之间相互关系信息系统审计师普通经过以下步骤确定组织对法律和法规符合性情况：识别外部需求统计相关法律与法规要求评定组织在制订IT审计职能时是否考虑来自外部法律法规要求检验内部信息系统相关部门是否在正式文件中落实了恪遵法律法规要求检验组织已建立程序是否符正当律法规我国与IT审计相关法律和法规《审计法实施条例》《国务院办公厅关于利用计算机信息系统开展审计工作相关问题通知》银行信息系统内部审计培训信息系统审计实务介绍第18页信息系统审计标准和指南信息系统审计准则信息系统审计指南信息系统审计人员职业道德银行信息系统内部审计培训信息系统审计实务介绍第19页信息系统审计标准和指南信息系统审计准则框架信息系统审计准则目标通知管理层和其它利益相关者审计相关专业职责通知信息系统审计师依据ISACA准则所必需恪守相关审计要求以满足专业审计要求。审计指南审计准则审计程序审计准则：信息系统审计准则是整个审计准则体系总纲，是信息系统审计师资格条件、执业行为基本规范，是制订审计指南和审计程序基础依据。审计指南：审计指南是依据审计准则制订，是审计准则详细化，它详细要求了信息系统审计师执行各项审计业务、出具审计汇报详细指南，为审计师在执行审计业务中怎样恪守审计准则提供指导。审计程序：信息系统审计程序是依据审计准则和审计指南制订。它为审计师提供了普通审计业务程序和步骤，是恪守审计准则和审计指南一些通用审计程序.审计程序为审计师提供了很好工作范例。银行信息系统内部审计培训信息系统审计实务介绍第20页信息系统审计标准和指南ISACA信息系统审计准则和审计指南审计章程 独立性职业道德和标准专业胜任能力审计计划实施审计工作汇报后续审计银行信息系统内部审计培训信息系统审计实务介绍第21页信息系统审计标准和指南审计章程 审计章程中载明信息系统审计目标、责任、权限和职责独立性

独立性是指内部审计活动独立与他们所审查活动之外，能够了解为内部审计部门独立性和内部审计人员独立性。内审部门是否取得独立性应考虑原因内审部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层同意或认可内审章程中做出要求内审部门向谁负责和汇报工作首席执行官能否与董事会、审计委员会或其它相关治理机构直接交流和沟通信息，能否参加相关审计、财务汇报、机构治理和控制监控监督职责会议首席审计执行官任免有何种层次领导层决定审计委员会由何种人员组成职业道德和标准

职业道德和准则职业审慎态度银行信息系统内部审计培训信息系统审计实务介绍第22页信息系统审计标准和指南审计师知识、技能和专业胜任能力出众口头和书面表示能力，方便清楚有效地表示审计目标、审计评价工作、审计结论和审计提议拥有良好人际交流技能接收后续专业教育，以保持专业技术适应性其它必备技能包含对组织所在行业深入了解，实施和改进财务和运行方面所包括流程知识和技能审计师知识、技能和专业胜任能力熟练应用内部审计实务标准、程序和技术，了解管理标准，深入领会会计学、经济学、商法、税收、金融和信息技术。银行信息系统内部审计培训信息系统审计实务介绍第23页信息系统审计标准和指南计划

以对应法律和审计准则为基础基于风险审计方法制订详细审计计划制订审计程序和步骤审计工作实施

审计人员受到适当监督获取证据审计底稿银行信息系统内部审计培训信息系统审计实务介绍第24页信息系统审计标准和指南汇报

信息系统审计人员在完成审计工作后，应向委托者出具按照适当格式编制审计汇报。审计汇报应该标明机构名称、审计汇报报送对象以及汇报使用限制。审计汇报应该说明审计范围、审计目标、审计工作所涵盖期间及所执行审计工作性质和内容。审计汇报应该说明审计人员执行审计工作中所发觉问题、形成结论和提议以及审计师关于审计任何保留心见。信息系统审计人员应该有充分、适当审计证据来支持所汇报审计结论。审计汇报签发时，信息系统审计人员应该依据审计章程或审计业务约定书中要求署名、签署日期再对外发放。后续审计

检验之间审计结论和提议检验之间审计发觉问题被审计单位是否及时妥善处理了相关问题银行信息系统内部审计培训信息系统审计实务介绍第25页信息系统审计标准和指南使用ISACA指南

考虑审计指南，以决定怎样实施审计准则在应用审计指南时，审计师必须有自己专业判断有能力调整出现偏离银行信息系统内部审计培训信息系统审计实务介绍第26页风险分析风险定义：风险是特定威胁利用资产脆弱性从而造成对资产一个潜在损害，风险严重程度与资产价值损害程度及威胁发生频度成正比。影响风险原因：业务流程及资产脆弱性及其面临威胁，包含物理资产和信息资产威胁和脆弱性对资产影响威胁发生可能性（包含可能性和频率）银行信息系统内部审计培训信息系统审计实务介绍第27页风险分析信息系统审计人员经常关注高风险问题，如敏感和主要信息保密性、可用性、完整性以及生成、存放和处理这些信息主要信息系统和流程等。风险分析有以下用途：帮助审计人员识别风险，识别由管理层所建立IT环境和IS系统威胁及系统专有内部控制，审计人员依据风险水平选择拟检验区域。帮助审计人员在制订审计计划时对控制评定。帮助审计人员确定审计目标。支持基于风险审计决议。银行信息系统内部审计培训信息系统审计实务介绍第28页内部控制内部控制定义企业管理层、高级经理和全部些人员为了确保业务活动有效进行，保护资产安全和完整；预防、发觉、纠正错误与舞弊，确保会计资料真实、正当、完整而制订和实施政策与程序。内部控制内容：控制分类信息系统控制目标总体控制程序信息系统控制程序银行信息系统内部审计培训信息系统审计实务介绍第29页控制分类预防性控制检验性控制纠正性控制职能在事情发生前检测问题监控运行和输入在问题发生前预测潜在问题，并做出纠正防止错误、疏忽或蓄意行为发生使用控制检验和汇报发生错误、疏忽或蓄意行为降低危害影响修复检验性控制发觉问题找出问题原因和纠正问题衍生出错误修改处理系统以降低未来问题发生可能性

作用仅雇佣胜任人员和职责分工控制访问物理设备使用良好设计文档(防止错误)建立交易授权配套流程完成程序化编辑检验使用访问控制软件，只允许授权用户访问敏感文件哈希汇总(Hashtotals)生产作业中检验点电信领域回显〔Echo)控制磁带标签上错误信息重复计算检验和定时汇报性能差异过期账款汇报和内部审计

意外处理计划备份流程恢复运行流程

银行信息系统内部审计培训信息系统审计实务介绍第30页信息系统控制目标信息系统控制目标能够利用在全部些人工及自动化控制部分，所以对信息系统控制目标不变，但控制性质可能有所不一样。所以应该依据详细相关流程来制订详细内部控制目标。常见控制目标有：保护信息系统以预防不妥存取，并确保及时更新保护计算机操作系统及网络操作系统完整性经过以下方法保护敏感、主要应用系统(如财务及管理应用系统)机密性和完整性:确保信息系统运行效率与效果符适用户需求、组织方针、策略与程序，并恪遵法律法规要求.制订业务连续计划及灾难恢复计划制订应急响应及处理程序银行信息系统内部审计培训信息系统审计实务介绍第31页总体控制程序总体控制适合用于组织各个方面，控制程序包含由管理者建立政策及方法，目标在于合理地确保控制目标实现。总体内部控制程序包含：内部会计控制—主要针对会计操作，关注资产安全、财务资料准确可靠日常经营控制—确保日常业务操作、功效及活动能满足业务目标需要.组织管理控制—关注职能部门运作效率及运行控制符合管理政策程度，以提升经营效率和确保管理方针、政策实施为目标银行信息系统内部审计培训信息系统审计实务介绍第32页信息系统控制程序总体内部控制程序能够被转换为信息系统控制程序.设计良好信息系统应该对全部敏感或主要功效进行控制。信息系统内部控制程序可分为以下几类:信息系统战略与方向信息系统组织与管理对数据与计算机程序访问限制系统开发方法与变更控制数据处理作业系统编程及技术支持数据处理质量确保程序物理访问控制业务连续计划与灾难恢复网络和通讯数据库管理银行信息系统内部审计培训信息系统审计实务介绍第33页审计定义：审计是指有胜任能力独立机构或人员接收委托或授权，对特定经济实体可计量信息证据进行客观搜集和评价，已确定这些信息预计定标准符合程度，并向利益相关者汇报一个系统过程。实施信息系统审计审计分类财务审计：是指审计人员对被单位会计报表正当性、公允性发表审计意见。经营审计：对企业经营活动内部控制组成进行评定综合审计：是指财务审计与经营审计结合。综合审计目标既包含对财务报表发表审计意见，即财务信息正确性、资产安全性:也包含对内部控制审计，即内部控制效率与效果审计。管理审计：是一个评价组织内与经营效率相关问题审计。信息系统审计：接下页银行信息系统内部审计培训信息系统审计实务介绍第34页信息系统审计定义：信息系统审计时搜集并评价审计证据，以判断与被审计单位信息系统相关资源与资产保全、资料与系统完整性维护等；判断信息系统是否能够提供值得信赖资料，并有效实现组织目标；信息系统内部控制是否有效实现控制目标和经营目标，并能及时预防、发觉和纠正不良事件发生。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第35页审计程序步骤获取并统计对审计对象了解风险评定和总体审计计划和安排详细审计计划初步检验审计对象评定审计对象符合性测试（控制测试）实质性测试汇报（沟通结果）后续审计实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第36页审计方法审计范围审计目标审计工作计划经典审计阶段确定审计目标确定审计范围初步审计计划审计方法和采集数据评价测试和检验结果与管理人员沟通准备审计汇报实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第37页审计风险和主要性审计风险可定义为“信息或财务报表可能有主要错误，但信息系统审计人员未发觉已发生错误，并做出了错误结论风险”。

“主要性”一词，是指错误严重程度，这一程度是从被审计信息系统利益相关者角度来判断，假如影响到利益相关者判断与决议，那么这一错误就是主要。主要性确实定是信息系统审计师一项职业判断，需要从整体上考虑因为控制微弱而造成过失、疏忽、违规和非法行为对组织影响。审计师使用基于风险审计方法来评定审计过程本身所含有风险，并决定在审计过程中是否采取及怎样采取符合性测试和实质性测试。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第38页实施信息系统审计风险分类固有风险：是指“假设不存在相关内部控制情况下，发生重大错误风险”。控制风险：是指有内部控制制度，但无法预防、及时发觉或纠正主要错误风险。检验风险：是指信息系统审计人员因为采取了不恰当测试程序.未能发觉已存在重大错误风险。整体审计风险：整体审计风险是对个别控制目标所评定出各类审计风险综合。银行信息系统内部审计培训信息系统审计实务介绍第39页在采取基于风险审计方法时，信息系统审计师不但仅是依赖于对风险认识，而且还依赖于对组织内部控制和运行控制分析。这种类型风险评定就是把风险意识贯通到审计全过程，从而在审计过程中把重点放在审计风险评定上，并有利于把对控制所做成本效益分析与已知风险结合起来，作出最正确控制选择。基于风险审计方法有以下优点：强调商业和业务知识强调评定整体控制有效性依据控制目标将风险评定和测试方法有机结合起来重点是从管理角度来看企业运行实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第40页在决定应审计哪些功效区域时，信息系统审计师将面临大量不一样类型审计对象，信息系统审计师应依据被审计对象复杂性和详细情况来选择最适合组织需要风险评定技术。利用风险评定技术来确定审计范围时.要注意以下问题：管理层能有效分配审计资源确保从组织各级管理层能搜集到足够信息能为有效管理审计部门并提升审计工作绩效奠定基础总结出单独审计对象与整个组织及业务计划是怎样相关实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第41页控制目标和审计目标控制目标指出内部控制应怎样发挥作用，而审计目标则给出明确审计目标。一项审计能够包含几个审计目标。审计目标通常专注于证实内部控制存在并能有效地降低业务风险。审计目标包含鉴证信息资产机密性、完整性、可靠性、可用性及与法律法规符合性。当实施详细审计任务时，被审计方管理层责任人会提供一个总控制目标，让审计师去检验及鉴证。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第42页符合性测试：符合性测试确定控制执行符合管理层制订方针政策程度。比如，经过测试抽取程序样本原版本与目标版本一致性。实质性测试：实质性测试验证实际处理完整性.经过实质性测试能够确定财务报表和财务信息所反应业务活动正确性和完整性。实质性测试和符合性测试关系假如符合性测试(也叫控制测试)结果表明被审计单位内部控制充分，信息系统审计师就会降低实质性测试程序。反之，假如控制测试结果表明被审计单位控制微弱，在账户完整性、正确性和有效性都不可信时，信息系统审计师则要实施大量实质性测试程序.实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第43页实施信息系统审计审计证据是按照审计标准及目标要求，在对某实体进行审计时所采取信息，审计结论必须基于充分、相关、可靠证据。评定审计证据可靠性，取决于以下原因:提供审计证据人员独立性提供审计证据人员资格审计证据客观性审计证据时效性银行信息系统内部审计培训信息系统审计实务介绍第44页获取审计证据技术检验信息系统组织架构：在信息系统环境下，组织结构提供了充分职责分工，是主要普通控制。检验信息系统方针政策：信息系统审计师应该检验组织是否存在适当方针和政策，确定员工是否了解方针政策并在工作中得到遵照。检验信息系统文件：检验信息系统文件先要了解组织内现行文件，信息系统审计师最少要找到关键信息系统文件。约见相关人员进行会谈：约见应事先安排，按事先拟好提要进行，井统计会谈纪要。观察处理过程和员工实际表现：观察是各种检验方法中一个主要技巧。信息系统审计师在观察过程中应纪录下充分详细统计作为以后审计证据。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第45页抽样是应用在成本及时间都不允许对全部交易或事件对象总体作100%审计时，能够从审计总体中选取一定数量样本进行测试，并依据侧试结果，推断审计对象总体特征一个方法。依据总体特征不一样分为：统计抽样：审计人员在计算正式抽样结果时采取统计推断技术一个抽样方法，统计抽样采取客观方法来决定样本量大小及抽样方式。非统计抽样：审计人员全凭主观标准和个人经验来评价样本结果并对总体做出结论。二者最根本区分在于非统计抽样不能量化抽样风险，而统计抽样能够量化抽样风险。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第46页实施信息系统审计依据抽样方法分为：属性抽样：预计一个控制或一组相关控制属性发生概率。比如，使用电脑中请表中核准署名就是一个控制属性。变量抽样：依据总体抽样来预计总体金额数或其它衡量单位，如重量。属性抽样有以下惯用方法：停-走抽样：它从预计总体误差为零开始，经过边抽样边审查评价来完成抽样审计工作。发觉抽样：发觉抽样是属性抽样一个特殊形式，主要用于查找重大非法事件。变量抽样有以下惯用方法：分层单位平均预计抽样：先对样本总体进行分层，在不一样分层中进行抽样检验确定样本平均值。依据样本平均值推断总休平均值和总值方法。分层方法能够缩小样本量。不分层单位平均预计抽样：经过抽样检验确定样本平均值，依据样本平均值推断总体平均值和总值方法。差额预计抽样：差额预计抽样是以样本实际价值与账面价值平均差额来预计总体实际价值与账面价值平均差额，然后再以这个平均差额乘以总体项目个数，从而求出总体实际价值与账面价值差额一个抽样方法。银行信息系统内部审计培训信息系统审计实务介绍第47页实施信息系统审计统计抽样术语置信系数：也称为信赖(置信)水平、可信度(可信赖程度)或可信赖因子，是以百分率(90%,95%,99%等)表示抽样结果能够代表总体概率。风险水平：等于1减去置信系数，是样本结果不能代表总体概率。精度：也称为准确度。由审计师设定，并能代表样本与总体之间可接收误差范围。预期总体误差：即预期差错发生率，以百分率表示，是预计总体可能存在错误。样本均值：是将全部抽样样本值累计再除以样本数，用来衡量样本指标乎均大小。样本标准差：是利用抽样平均值计算样木值差异，用来衡量样本值分布情况。可容忍误差：是审计师认为抽样结果能够到达审计目标而愿意接收与审计对象总体最大误差。总体标准差：是衡量总体中个别单位偏离总体平均值离散程度指标。银行信息系统内部审计培训信息系统审计实务介绍第48页计算机辅助审计技术（CAATs）计算机辅助审计技术成为信息系统审计师取得独立信息主要工具。计算机辅助审计技术能够使信息系统审计师独立搜集审计信息、按照预定审计目标访问和分析数据、汇报系统产生和维护纪录可靠性等审计发觉。所用信息起源可靠性为得出审计结果提供了再确保.CAATs包含:通用审计软件公共软件测试数据整体测试快照审计教授系统……实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第49页计算机辅助审计技术计算机辅助审计技术优点

降低审计风险

不太需要依赖被审计单位人员

比较广泛并一致审计范围

能够更加快速利用资料

执行时间较有弹性

更有机会量化内部控制弱点

加强抽样

节约成本计算机辅助审计技术成本和效益轻易使用，包含对现有及未来审计工作人员对于培训要求编写及维护复杂度使用灵活性对于安装要求处理效率，尤其是用于个人电脑上计算机辅助审计技术实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第50页在审计实施阶段，完成一个审计程序并搜集审计证据之后，下一步就是评定所搜集信息，评定需要注意以下几点：控制需求：审计证据是否符合审计计划阶段制订控制需求和目标。相关及周围信息：审计师在审计时搜集各种审计证据，其中有些可能与审计目标相关，有些则是辅助。考虑赔偿性与重合性控制:进行信息系统审计时，审计师可能发觉一些健全控制以及控制缺点。在评定整体控制结构时，信息系统审计师要考虑到，在一些情况下，一个健全控制在其它地方可能赔偿另一个控制缺点。这些在证据评价过程中都需要被考虑。考虑控制相关性：因为一个适当控制并不一定会实现控制目标，所以审计师需要执行一些测试程序，并评定控制与控制目标相关性，审计师应在汇报控制缺点之前.先审计赔偿性控制.实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第51页在审计实施阶段，完成一个审计程序并搜集审计证据之后，下一步就是评定所搜集信息，评定需要注意以下几点（续）：判断控制是否有效率和效果：审计师应检验在审计过程中搜集到证据，以决定被检验作业是否有良好控制而且有效，这也需要审计师判断与经验.分析证据技术：审计师应了解分析审计证据技术，比如.审计师可能希望按统计趋势分析问题.使用审计时整体比率或将不一样期间相比。判断审计发觉主要性水平(MaterialityofFindings)：主要性水平是一个主要考虑指标。决定审计发觉主要性关键，是评定那些对相关层次主管有意义事件。在审计发觉缺点未被纠正前，进行评定时，需要判断其潜在影响。比如。在远程分散式电脑作业中，其电脑物理存取控制缺点可能只对当地主管有意义，但对总企业主管就不一定主要.然而，在远程作业端，仍有一些事项对总企业主管是主要.实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第52页正式公布审计汇报前与相关管理人员沟通，沟通目标：确保汇报中事实是准确；信息系统审计师应在汇报公布之前，就主要发觉及时和适当人员进行交流.但提前交流不应该改变汇报内容；确保所推荐改进办法是可行并符合成本效益标准，不然可经过协商方式找出替换方法，并制订出执行日期；在汇报最终公布之前，信息系统审计师应注意到组织或者环境重大改变。假如所发生改变会影响到信息系统审计发觉与结论.信息系统审计师有责任采取恰当办法，将这些改变及其潜在影响通知汇报收件人。与被审计单位沟通审计师与被审计单位进行沟通，是独立审计工作不可缺乏一部分，沟通不只限于完成审计工作时，它与审计全部阶段相关，是贯通整个审计过程一项主要工作。实施信息系统审计银行信息系统内部审计培训信息系统审计实务介绍第53页审计跟踪：管理层对审计发觉采取改进办法；审计师不停对所发觉问题进行跟进实施信息系统审计项目管理技术开发一个详细计划按照审计计划汇报项目活动调整计划及采取纠正行动审计限制原因最近员工更替或缺席违反约定项目结束日期及更新处理日期相关知识与文档缺乏银行信息系统内部审计培训信息系统审计实务介绍第54页控制自我评定目标增强审计职责培训一线经理监督控制职责集中关注高风险业务控制自我评定优点及早发觉风险问题更有效改进内部控制经过员工参加创造友好团体气氛增强运行层与高层管理人员沟通高度激发员工工作热情改进审计定级过程降低控制成本向股东和消费者做出内部控制有效确保高级管理层能够做出内部控制充分性确保，满足各法律机构和法规对内部控制要求控制自我评定(CSA)用来对关键业务目标、实现目标所面临风险及管理业务风险内部控制进行检验一系列正式、程序化过程。银行信息系统内部审计培训信息系统审计实务介绍第55页控制自我评定(CSA)审计师在CSA中角色如果在CSA项目中包括了审计师。审计师应看成为内部控制专家及评估推动者角色而出现。项目中技术伎俩综合应用硬件及软件功能来支持CSA选择，以及使用视频会议及计算机辅助决策方式来支持CSA人员作出集体决策。传统审计方法与CSA对比区分内容传统审计方法CSA方法授权方式对审计师分配责任/监督管理授权/负担责任内部员工推进方式策略/规则驱动连续完善/学习曲线参加程度有限员工参加广泛员工参加和培训利益相关者关注程度利益相关者关注程度低利益相关者关注程度高审计参加者审计师和其它专业人员全部员工都是控制分析者银行信息系统内部审计培训信息系统审计实务介绍第56页

123目录第一IT审计介绍第二IT审计程序第三IT审计普通架构及范围银行信息系统内部审计