信息科技风险审计方法及过程.ppt

1、为了帮助银杏客户满足信息技术风险审计方法和流程、信息技术风险审计战略部署、银监会商业银行信息技术风险审计管理指南等相关监管要求，进一步加强信息技术建设，全面加强风险管理。越来越多的企业已经开始向多家银行提供信息技术风险审计服务。牙齿文档是北京市时代新委信息技术有限公司(以下时代新委)内部人员摘要的信息技术风险审计，信息技术风险审计范围：1)信息技术治理2)信息技术风险管理3)信息安全4)资讯系统开发测试和维护，5)信息技术运营6)业务连续性管理7)外判8)内部审计9 信息技术治理意味着现代信息技术(如通信)，时代新委的审计专家指出：“在信息服务业业务的展开和社会的实际需要的基础上，组织了各种信

2、息技术的开发和应用，对信息技术进行了标准化、标准化管理。” ，信息技术治理战略必须解决以下主要问题：(1)建立和实现了合理的资讯系统结构。(2)确保新的系统开发方式满足企业的器官维护目标。(3)保证内部和外部购买的决策可以认真考虑。(4)决定信息技术运营是由一个部门管理，还是作为一系列小单元管理，小单元管理成本高，但可以为用户提供更好的服务。信息技术风险审计的信息技术风险管理，信息技术是指电脑、通信、微电子学、软件工程等现代信息技术、商业银行业务交易处理、管理管理、内部控制等方面的应用节目，执行信息技术治理，构建完善的管理组织结构，制定完善的管理制度和流程。从风险管理的角度看，北京市时代的新威

3、信息技术有限公司及很多商业银行都有合作成功的例子，其工作内容可以概括为以下两个方面：信息技术风险是指商业银行运行过程中自然因素、人力因素、技术漏洞、管理缺陷导致的运营、法律、声誉等风险。信息技术风险管理的目标是建立有效的机制，促进对商业银行信息技术风险的认识、测量、监控和控制，促进商业银行安全、持续、稳定运行，推动工作创新，提高信息技术使用水平，提高核心竞争力和可持续发展能力。必须确保信息技术风险审计信息安全、信息安全，主要是以下五个茄子方面：信息的机密性、可靠性、完整性、未经授权的复制和寄生系统的安全性。信息安全本身涵盖了商业企业防止机密泄露的方法、防止青少年不良信息浏览的方法、个人信息泄露

4、等多种领域。网络环境中的信息安全系统是信息安全保证的关键，包括计算机安全操作系统、各种安全协议、安全机制(数位签章、消息认证、数据加密等)，甚至是UniNAC、DLP等安全系统。只要存在安全漏洞，就可能威胁全球安全。信息安全意味着资讯系统(包括硬件、软件、数据、人、物理环境和基础设施)由于意外或恶意原因，破坏、更改、泄漏、系统持续稳定运行、信息服务中断渡边杏，最终实现业务连续性。信息技术风险审计的资讯系统开发测试和维护，资讯系统以人为主导的经验和法规遵从性为重点，使用适当的信息技术及相应的设备，根据相应的工作模式和数学模式，收集、传输、加工、存储、更新和维护信息，以组织的效益和效率为目的，支持

5、组织的高层决策，支持、资讯系统开发和维护有四种茄子类型：纠错和功能改进、资讯系统正常运行保证、修改性维护、适应性维护、完整性维护和预防性维护。信息技术风险审计的信息技术操作，良好的信息技术操作，在设计阶段要考虑。用户、负责信息技术系统运行的人必须参与资讯系统开发的设计阶段，信息技术的运行问题从一开始就能得到充分重视。工作中最容易忽略的是硬件失败、节目异常终止、文件说明、支持不足等。设计阶段应防止用户使用错误的快捷方式，并考虑新系统和现有系统转换的详细信息。购买其他公司提供的套餐会使问题更加复杂。时代新威的信息技术专家在工作中要求特别注意一系列牙齿问题，从而避免了不必要的错误和麻烦。信息技术运营

6、战略必须解决以下主要问题：(1)建立和实现了合理的资讯系统结构。(2)确保新的系统开发方式满足企业的器官维护目标。(3)保证内部和外部购买的决策可以认真考虑。(4)决定信息技术运营是由一个部门管理，还是作为一系列小单元管理，小单元管理成本高，但可以为用户提供更好的服务。信息技术风险审核的业务连续性管理；业务连续性管理(BCM)是一个全面的管理过程，使企业能够认识到潜在危机和相关影响，并制定响应、业务和连续性的恢复计划；业务连续性管理系统(BCMS)是企业号业务连续性管理活动和技术灾难恢复活动这可能包括项目计划和管理、人员、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和

7、促销活动、活动网站、绩效评估活动、每日处理祖怀以及许多其他活动。业务连续性管理还可以帮助进行各种项目活动。业务连续性管理执行业务影响分析和风险分析，执行评估，制定和记录BC/DR计划，计划和执行BC/DR培训，准备和执行费翔团队培训，准备事件响应计划记录，以及设计BC/DR战略。信息技术风险审计的外判、外包是指企业动态配置自己和其他企业的功能和服务，利用企业外部的资源提供企业内的生产和运营服务。外包是战略管理模式。例如，如果为原材料和产品运输组建车辆组，则在两个茄子方面的成本将大大增加。第一，管理成本增加，因为在运输领域没有管理经验。第二，管理不善，运输环节严重影响生产和销售环节的工作，导致生

8、产和销售环节的费用增加。将运输业务外包给专业运输企业，可以大大降低牙齿等费用。他们是时代的新委职员根据日常工作的实际事例总结的外包的重点优点和利益，也是外判工作中必须注意的部分。与此同时，企业也因市场竞争的激烈而面临着巨大的挑战。外判方式主要包括合同业务管理方式(BMC)和委托方式。合同业务管理方式纯粹是外判当事人购买第三方服务模式，第三方(承包商)负责投资和业务管理工作的全部或大部分，承担投资风险。外判当事人仅根据第三方的工作成果和合同限制购买服务，不承担第三方投资风险的责任。合同终止，合作终止。，信息技术风险审计的内部审计，时代新委风险审计专家对内部审计的定义，确定了组织内各种业务和控制的

9、独立评价，确定了是否遵守公认的方针和程序，实现了法规和标准、有效和经济使用资源的组织目标。审计者在执行审计时经常使用不同的审计方法，有时与多种审计方法一起进行审计。实际运行中有多种茄子内部审计方法，目前概括如下(详细参考时代新委信息技术风险审计的内部审计)。咨询法也称为采访法。是指审计师与审计机关或相关人员面对面地交谈。只要了解情况并收集审计证据，这就是茄子方法。咨询法的使用范围包括在计划阶段了解情况，在实施阶段收集证据，在报告阶段徐璐沟通的情况等。内审人员在实施时，同时要注意两名监查人员中的出席情况。第二，审计法审计法是指对会计记录及其他书面文章的审查和验证，牙齿方面审计工作的比重比较大。主

10、要用于审查会计资料、预算、计划、会议记录、各种管制制度等资料。信息技术风险审计的外部审计，外部审计是指政府机关和企业事业单位以外的国家审计机关进行的审计和业务会计师事务所独立执行委托的审计。外部审计实际上是对企业内部虚假、欺诈行为的重要、系统的检查，因此起到了鼓励诚实的作用。因为知道外部审计是不可避免的，企业会努力避免审计时可能发现的不光彩的事情。我国财政、银杏、税务部门为了做好本职工作，对所辖各单位的工作(如缴纳税收和使用信贷资金等)进行检查，不能说不是审计，而是外部审计。只是经济监督中的财政监督、税务监督、信用监督。外部审计包括国家审计和社会审计。国家审计是指国家审计机关进行的审计。国家审

11、计的主体是审计局和各省、市、自治区、县设立的审计机关，对审计机关的财务财政活动、财经法器执行情况和经济效果进行审计监督。社会审计是经过政府相关部门审查批准的社会中介组织进行的审计，其主体是注册会计师。内部审计与外部审计的联系：内部审计与外部审计的总体目标一致，两者都是审计教练系统的有机组成部门。内部审计具有预防、重复、目标，是外部审计的基础，可以对外部审计起到辅助和补充作用。外部审计可以起到对内部审计的支持和地图作用。内部审计机关和外部审计机关的地位不同，因此在独立性、强制性、权威、公证作用上存在很大差异。这是信息技术审计中包含的具体范围。既然已经知道，就都包括那方面。现在，让我们总结一下时代

12、新委内部对信息技术审计的具体方法和过程。信息技术风险审计过程的简要图：1 .信息技术风险审计准备1)审计准备2)审计计划3)审计计划，1)审计准备：a .明确的审计任务，审计重点决定b .审计计划准备审计计划分为完整的审计计划和具体的审计计划。2)审计方案：审计方案是对特定审计项目审计程序和时间等的详细安排。a .特定审计目的具体审计的目的是具体化整个审计，直接指导具体的审计方法和程序。b .具体审计方法和程序C，预定执行人和执行日期。d、其他相关内容。3)审计计划：是指为了完成每项审计工作，达到预期的审计目标，在具体执行审计程序之前准备的会计师工作计划。审计计划通常可以分为两部分：整体审计计划和特定审计计划。，2 .信息技术现场审计1)文档审查2)采访调查3)技术测试，3。信息技术风险分析评估1)风险分析2)风险分析实际上是经过风险识别、风险估计、风