CMB培训-IT系统审计实务介绍

1、IT系统审计实务介绍招商银行信息系统内部审计培训页数1招商银行信息系统内部审计培训招商银行信息系统内部审计培训信息系统审计实务介绍信息系统审计实务介绍20092009年年3 3月月IT系统审计实务介绍招商银行信息系统内部审计培训页数2声声 明明本培训资料中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司正式书面允诺，不得部分或全部复制，不得使用于非法目的，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。保密内容 安永（中国）企业咨询有限公司，二九年，保留所有权利IT系统审计实务介绍招商银行信息系统内部审计培训页数31 12 23 3第第一一 ITIT审计介绍审计介绍第二第二

2、ITIT审计程序审计程序第三第三 ITIT审计一般架构及范围审计一般架构及范围目录目录IT系统审计实务介绍招商银行信息系统内部审计培训页数4ITIT审计历史背景审计历史背景IT审计的出处源自60年代IBM出版的Audit encounters Electronic Data Processing等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现， IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审

3、计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了IT审计标准并根据美国劳工部的Skill Start和Northwest Center for Emerging Technologies（NCET）对IT信息人员的从业技能的要求制订了IT审计师（系统监查员）的技能标准并以之作为新的IT审计师（系统监查员）级考试的参考标准。九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了

4、前所未有的重视。 萌芽阶段初步发展蓬勃发展IT系统审计实务介绍招商银行信息系统内部审计培训页数5IT审计的定义和对象审计的定义和对象IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。 IT审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师外部IT审计事务所委托审计师国家审计机构IT审计定义审计定义IT审计对象审计对象IT系统审计实务介绍招商银行信息系统内部审计培训

5、页数6IT审计现状审计现状计算机审计在发展的初期，还只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供服务。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围，在很多大型会计公司内部，信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起，更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，这一观点

6、已经逐渐成为国外会计、审计界的一个共识。会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长，信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA。 随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，大型跨国公司都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统安全和稳定性的控制。IT系统审计实务介绍招商银行信息系统内部审计培训页数7IT审计现状审计现状银行业银行业当前，随着各银

7、行数据大集中的完成，IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。我国银行业的IT审计尚处于摸索阶段，尚缺乏成熟的经验和案例可供参考，尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。随着信息技术在银行普遍、深入的应用，银行信息系统的正常运行

8、已经成为银行业务正常运营的最基本的条件之一，IT运营与公司运营紧密相关，IT治理也与公司治理紧密相连，因此IT审计越来越得到银行管理层的高度重视。目前，IT审计在国际上是一个相当成熟的领域，发达国家的银行均建立了完善的信息系统审计体系，而我国正在快速发展阶段。 IT系统审计实务介绍招商银行信息系统内部审计培训页数8IT审计差异分析审计差异分析IT审计部门的独立性IT治理中审计人员的角色国外银行国外银行ITIT审计的审计的特点特点国外银行IT审计的技术和组织框架IT审计人员的比例国外银行IT审计的特点IT系统审计实务介绍招商银行信息系统内部审计培训页数9国内外银行国内外银行ITIT审计的差异审计

9、的差异组织结构的组织结构的差异差异从新加坡发展银行的IT审计组织框架上看，IT审计由于涵盖了软件开发和项目投产、运行维护的全过程，包含了各种技术平台、系统生命周期的所有阶段，因此IT审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式。由于目前内审部门的信息技术审计组织结构不尽完善，无法进一步细分审计职能、明确专业审计方向。审计覆盖面审计覆盖面上的差异上的差异国际上比较先进的商业银行无一例外全部开展了IT公司层面、IT一般控制和应用程序控制的全方位IT审计;我国由于信息技术审计工作开展不长，并且人员有限，还未能全面开展IT公司层面、IT一般控制和应用程序控制的IT审计工作1 12

10、2人员上的差人员上的差异异从美国大通银行的IT审计人员配备上看，人员专业化分工明确，技术水平要求也较高，懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少，在人员数量和质量上与国际先进水平还是有不小的差距。另外，在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大，需要加强力量研究解决。 3 3IT审计差异分析审计差异分析IT系统审计实务介绍招商银行信息系统内部审计培训页数10ITIT审计专业要求审计专业要求需要知识和技能需要知识和技能IT审计师深入领会会计、经济、管理、商法、税务、金融、审计和信息技术知识；IT审计师通晓信息系统的软件、

11、硬件、开发、运营、维护、管理和安全；IT审计师能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造，以降低组织日益面临的信息系统风险，有效率使用资源，使到组织IT目标与业务目标保持一致。 需要知识和技能需要知识和技能信息系统审计是一门边缘性学科，跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。 IT系统审计实务介绍招商银行信息系统内部审计培训页数11ITIT审计专业要求审计专业要求 认证认证专业专业资质资质认证认证认证机认证机构构简要介绍简要介绍考试费用考试费用报名方式报名方式获取认证方式获取认证方式CISA CISA 认证认证信

12、息系统审计与控制协会注册信息系统审计师CISA资格由信息系统审计与控制协会ISACA授予，是信息系统审计领域的惟一的职业资格，受到全世界的广泛认可。 优惠价：4041元；正常报名价：4041元网址：/examreg 凡通过CISA考试，在信息系统审计、控制或安全领域有5年的工作经验（在校生考试后5年内完成以上领域相关工作经验亦可申请：本科毕业折算为2年工作经验，研究生毕业折算为6年工作经验），遵守ISACA的职业道德，提出CISA资格申请、并得到批准，即可取得CISA资格。 CIA CIA 认证认证国际注册内部审计师协会CIA考试是IIA举办的一种全球性考试，这项考试

13、由IIA考试委员会命题和阅卷，考试合格者由IIA颁发注册内部审计师（CIA）资格证书。此证书是内部审计职业在国际范围内认可的证书。 报名费 ：50(元/次)考务费：150 (元/科目)报名信息、考试时间及相关安排请关注 具有本科及本科以上学历； 具有中级及中级以上专业技术资格； 持有注册会计师证书或非执业注册会计师证书； CIA考试期间本科院校的审计、会计及相关专业四年级学生； CISP CISP 认证认证中国信息安全产品测评认证中心中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作，对信息安全服务和

14、人员的资质进行审核与评价考试费1000元及注册费500元http:/ 硕士研究生以上，具有1年工作经历；本科毕业，具有2年工作经历；大专毕业，具有4年工作经历。 2.专业工作经历 至少具备1年从事信息安全有关的工作经历。 IT系统审计实务介绍招商银行信息系统内部审计培训页数12ITIT审计专业要求审计专业要求 认证认证( (续续) )专业专业资质资质认证认证认证认证机构机构简要介绍简要介绍考试费考试费用用报名报名方式方式获取认证方式获取认证方式CISSCISSP P 认认证证国际信息系统安全认证协会CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力，提升其专业可信度

15、，并为企业和组织提供寻找专业人员的凭证依据，450美元报考者必须具备至少4年的工作经验，若拥有大学本科学历，需要3年工作经验即可。工作经验应为CBK规定的10个知识域中的一个或多个范畴 签署并承诺遵守(ISC)2制定的职业守则（Code of Ethics）CCNA CCNA 认证认证思科认证Cisco认证网络支持工程师 不参加培训直接考试需要1150元http:/ CCNP 认证认证思科认证网络高级工程师四门500美元考取CCNP认证的前提是必须首先通过CCNA认证。PMP PMP 认证认证美国项目管理协会严格评估项目管理人员知识技能是否具有高品质的资格认

16、证考试。其目的是为了给项目管理人员提供统一的行业标准。3300元/人http:/ 第二类：申请者不具备学士学位或以下者：要求申请者在申请之日前8年内，至少具有7500小时的项目管理经验，其包括五大项目管理过程组（启动过程、计划过程、实施过程、控制过程和收尾过程），累计参与项目管理月数至少达到60个月IT系统审计实务介绍招商银行信息系统内部审计培训页数131 12 23 3目录目录第第一一 ITIT审计介绍审计介绍第二第二 ITIT审计程序审计程序第三第三 ITIT审计一般架构及范围审计一般架构及范围IT系统审计实务介绍招商银行信息系统内部审计培训页数14信息系统审计程序信息系统审计程序 审计目

17、标和计划审计目标和计划审计中法律和法规影响审计中法律和法规影响ISACA 信息系统审计标准和指南信息系统审计标准和指南风险分析风险分析内部控制内部控制实施信息系统审计实施信息系统审计控制自我评估控制自我评估IT系统审计实务介绍招商银行信息系统内部审计培训页数15信息系统审计流程：信息系统审计流程：依据信息依据信息系统审计标准，指导方针和最系统审计标准，指导方针和最佳实践，提供信息系统审计服佳实践，提供信息系统审计服务。确保组织的务。确保组织的IT和业务系统和业务系统得到保护和控制。得到保护和控制。信息系统审计程序信息系统审计程序 IT系统审计实务介绍招商银行信息系统内部审计培训页数16审计目标

18、和计划审计目标和计划审计计划获得对业务使命、目标、目的和流程了解找出规定的内容评价管理层所实施的风险评估和隐私保护影响分析实施风险分析执行内部控制检查确定审计范围、审计目标制定审计方法或审计战略为审计任务和其后勤支援分配人力资源法律和法规对信息系统审计计划影响IT系统审计实务介绍招商银行信息系统内部审计培训页数17审计目标和计划（续）审计目标和计划（续）审计成功条件在实施有效的信息系统审计中，首先要制定完善的审计计划。制定审计计划时，信息系统审计师必须了解执业的整体环境，包括与之相关的各种业务和控制风险。在审计计划中，信息系统审计师要评估运营和控制风险，同时识别控制目标。IT系统审计实务介绍招

19、商银行信息系统内部审计培训页数18审计中法律和法规影响审计中法律和法规影响法律和法规要求对实施IT审计的法律要求对IT审计组织的要求IT审计过程中相关实体的责任与财务、业务及IT审计职能之间的相互关系信息系统审计师一般通过以下步骤确定组织对法律和法规符合性状况：识别外部需求记录相关法律与法规的要求评估组织在制定IT审计职能时是否考虑来自外部法律法规的要求检查内部信息系统相关部门是否在正式文件中落实了遵守法律法规的要求检查组织已建立的程序是否符合法律法规我国与IT审计相关的法律和法规审计法实施条例国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知IT系统审计实务介绍招商银行信息系统内部

20、审计培训页数19信息系统审计标准和指南信息系统审计标准和指南信息系统审计准则信息系统审计准则信息系统审计指南信息系统审计指南信息系统审计人员职业道德信息系统审计人员职业道德IT系统审计实务介绍招商银行信息系统内部审计培训页数20信息系统审计标准和指南信息系统审计标准和指南信息系统审计准则框架信息系统审计准则框架信息系统审计准则目标信息系统审计准则目标告知管理层和其他利益相关者审计相关的专业职责告知信息系统审计师根据ISACA准则所必需遵守的相关审计规定以满足专业审计要求。审计指南审计指南审计审计准则准则审计程序审计程序审计准则：信息系统审计准则是整个审计准则体系的总纲，是信息系统审计师的资格条

21、件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。审计指南：审计指南是依据审计准则制定的，是审计准则的具体化，它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南，为审计师在执行审计业务中如何遵守审计准则提供指导。审计程序：信息系统审计程序是依据审计准则和审计指南制定的。它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指南的一些通用审计程序.审计程序为审计师提供了很好的工作范例。IT系统审计实务介绍招商银行信息系统内部审计培训页数21信息系统审计标准和指南信息系统审计标准和指南ISACA 信息系统审计准则和审计指南审计章程独立性职业道德和标准专业胜任能力审

22、计计划实施审计工作报告后续审计IT系统审计实务介绍招商银行信息系统内部审计培训页数22信息系统审计标准和指南信息系统审计标准和指南审计章程审计章程中载明信息系统审计的目的、责任、权限和职责独立性独立性是指内部审计活动独立与他们所审查的活动之外，可以理解为内部审计部门的独立性和内部审计人员独立性。内审部门是否获得独立性应考虑因素内审部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定内审部门向谁负责和报告工作首席执行官能否与董事会、审计委员会或其他相关治理机构直接交流和沟通信息，能否参加有关审计、财务报告、机构治理和控制监控的监督职责的会议首席审计执行官的任

23、免有何种层次的领导层决定审计委员会由何种人员组成职业道德和标准职业道德和准则职业审慎态度IT系统审计实务介绍招商银行信息系统内部审计培训页数23信息系统审计标准和指南信息系统审计标准和指南审计师的知识、技能和专业胜任能力出色的口头和书面表达能力，以便清楚有效地表达审计目的、审计评价工作、审计结论和审计建议拥有良好的人际交流技能 接受后续专业教育，以保持专业技术的适应性其他必备的技能包括对组织所在行业的深入了解，实施和改进财务和运营方面所涉及流程的知识和技能审计师的知识、技能和专业胜任能力熟练应用内部审计实务标准、程序和技术，理解管理原则，深入领会会计学、经济学、商法、税收、金融和信息技术。IT

24、系统审计实务介绍招商银行信息系统内部审计培训页数24信息系统审计标准和指南信息系统审计标准和指南计划以相应的法律和审计准则为基础基于风险审计方法制定详细的审计计划制定审计程序和步骤审计工作的实施审计人员受到适当监督获取证据审计底稿IT系统审计实务介绍招商银行信息系统内部审计培训页数25信息系统审计标准和指南信息系统审计标准和指南报告信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。审计报告应当说明审计人员执行审计工作中所发

25、现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。审计报告签发时，信息系统审计人员应该依据审计章程或审计业务约定书中的规定签名、签署日期再对外发放。后续审计检查之间的审计结论和建议检查之间的审计发现的问题被审计单位是否及时妥善的处理了相关问题IT系统审计实务介绍招商银行信息系统内部审计培训页数26信息系统审计标准和指南信息系统审计标准和指南使用ISACA 指南考虑审计指南，以决定怎样实施审计准则在应用审计指南时，审计师必须有自己专业判断有能力调整出现的偏离IT系统审计实务介绍招商银行信息系统内部审计培训页数27风险分

26、析风险分析风险定义：风险是特定的威胁利用资产的脆弱性从而造成对资产的一种潜在的损害，风险的严重程度与资产价值的损害程度及威胁发生的频度成正比。影响风险的因素：业务流程及资产的脆弱性及其面临的威胁，包括物理资产和信息资产威胁和脆弱性对资产的影响威胁发生的可能性（包括可能性和频率）IT系统审计实务介绍招商银行信息系统内部审计培训页数28风险分析风险分析信息系统审计人员常常关注高风险问题，如敏感和重要信息的保密性、可用性、完整性以及生成、存储和处理这些信息的重要的信息系统和流程等。风险分析有以下用途：帮助审计人员识别风险，识别由管理层所建立的IT环境和IS系统的威胁及系统专有的内部控制，审计人员根据

27、风险水平选择拟检查的区域。帮助审计人员在制定审计计划时对控制的评估。帮助审计人员确定审计目标。支持基于风险的审计决策。IT系统审计实务介绍招商银行信息系统内部审计培训页数29内部控制内部控制内部控制的定义企业管理层、高级经理和所有人员为了保证业务活动的有效进行，保护资产的安全和完整；防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。 内部控制内容：控制分类信息系统控制目标总体控制程序信息系统控制程序IT系统审计实务介绍招商银行信息系统内部审计培训页数30控制分类控制分类预防性控制预防性控制检查性控制检查性控制纠正性控制纠正性控制职能职能在事情发生前检测问题监控

28、运营和输入在问题发生前预测潜在问题，并做出纠正避免错误、疏忽或蓄意行为的发生 使用控制检查和报告发生的错误、疏忽或蓄意行为减少危害影响修复检查性控制发现的问题找出问题原因和纠正问题衍生出的错误修改处理系统以减少未来问题发生的可能性 作用作用仅雇佣胜任的人员和职责分工控制访问物理设备使用良好设计的文档(避免错误)建立交易授权的配套流程完成程序化的编辑检查使用访问控制软件，只允许授权用户访问敏感文件哈希汇总(Hash totals)生产作业中的检查点电信领域的回显Echo)控制磁带标签上的错误信息重复计算检查和定期汇报性能差异过期账款报告和内部审计 意外处理计划备份流程恢复运营流程 IT系统审计实

29、务介绍招商银行信息系统内部审计培训页数31信息系统控制目标信息系统控制目标信息系统控制目标可以运用在所有人工及自动化控制部分，所以对信息系统的控制目标不变，但控制的性质可能有所不同。因此应该根据具体的相关流程来制定具体的内部控制目标。常见的控制目标有：保护信息系统以防止不当存取，并确保及时更新保护计算机操作系统及网络操作系统的完整性通过以下方法保护敏感的、重要的应用系统(如财务及管理应用系统)的机密性和完整性:保证信息系统的运营效率与效果符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求.制定业务持续计划及灾难恢复计划制定应急响应及处理程序IT系统审计实务介绍招商银行信息系统内部审计

30、培训页数32总体控制程序总体控制程序总体控制适用于组织的各个方面，控制程序包含由管理者建立的政策及方法，目的在于合理地确保控制目标实现。总体内部控制程序包括：内部会计控制主要针对会计操作，关注资产安全、财务资料准确可靠日常经营控制保证日常业务操作、功能及活动能满足业务目标需要.组织管理控制关注职能部门的运作效率及运营控制符合管理政策的程度，以提高经营效率和保证管理方针、政策的实施为目标IT系统审计实务介绍招商银行信息系统内部审计培训页数33信息系统控制程序信息系统控制程序总体内部控制程序可以被转换为信息系统控制程序.设计良好的信息系统应该对全部的敏感或重要功能进行控制。信息系统内部控制程序可分

31、为以下几类:信息系统战略与方向信息系统组织与管理对数据与计算机程序的访问限制系统开发方法与变更控制数据处理作业系统编程及技术支持数据处理质量保证程序物理访问控制业务持续计划与灾难恢复网络和通讯数据库管理IT系统审计实务介绍招商银行信息系统内部审计培训页数34审计是指有胜任能力的独立机构或人员接受委托或授权，对特定经济实体的可计量的信息证据进行客观收集和评价，已确定这些信息预计定标准的符合程度，并向利益相关者报告的一个系统过程。实施信息系统审计实施信息系统审计审计分类财务审计：是指审计人员对被单位的会计报表的合法性、公允性发表审计意见。经营审计：对企业经营活动的内部控制构成进行评估综合审计：是指

32、财务审计与经营审计的结合。综合审计的目的既包括对财务报表发表审计意见，即财务信息的正确性、资产的安全性:也包括对内部控制的审计，即内部控制的效率与效果的审计。管理审计：是一种评价组织内与经营效率相关的问题的审计。信息系统审计：接下页IT系统审计实务介绍招商银行信息系统内部审计培训页数35信息系统审计定义：信息系统审计时收集并评价审计证据，以判断与被审计单位信息系统有关的资源与资产的保全、资料与系统的完整性维护等；判断信息系统是否可以提供值得信赖的资料，并有效实现组织的目标；信息系统的内部控制是否有效的实现控制目标和经营目标，并能及时的预防、发现和纠正不良事件的发生。实施信息系统审计实施信息系统

33、审计IT系统审计实务介绍招商银行信息系统内部审计培训页数36审计程序的步骤获取并记录对审计对象的了解风险评估和总体审计计划和安排详细审计计划初步检查审计对象评估审计对象符合性测试（控制测试）实质性测试报告（沟通结果）后续审计实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数37审计方法审计范围审计目标审计工作计划典型的审计阶段确定审计目标确定审计范围初步审计计划审计方法和采集数据评价测试和检查结果与管理人员沟通准备审计报告实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数38审计风险和重要性审计风险可定义为“信息或财务报表可能

34、有重要错误，但信息系统审计人员未发现已发生的错误，并做出了错误结论的风险”。 “重要性”一词，是指错误的严重程度，这一程度是从被审计信息系统的利益相关者的角度来判断，如果影响到利益相关者的判断与决策，那么这一错误就是重要的。重要性的确定是信息系统审计师的一项职业判断，需要从整体上考虑由于控制薄弱而造成的过失、疏忽、违规和非法行为对组织的影响。审计师使用基于风险的审计方法来评估审计过程本身所具有的风险，并决定在审计过程中是否采用及如何采用符合性测试和实质性测试。实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数39实施信息系统审计实施信息系统审计风险分类固有风险

35、：是指“假设不存在相关的内部控制的情况下，发生重大错误的风险”。控制风险：是指有内部控制制度，但无法预防、及时发现或纠正重要错误的风险。检查风险：是指信息系统审计人员由于采用了不恰当的测试程序.未能发现已存在的重大错误的风险。整体审计风险：整体审计风险是对个别控制目标所评估出的各类审计风险的综合。IT系统审计实务介绍招商银行信息系统内部审计培训页数40在采用基于风险的审计方法时，信息系统审计师不仅仅是依赖于对风险的认识，而且还依赖于对组织的内部控制和运营控制的分析。这种类型的风险评估就是把风险意识贯穿到审计的全过程，从而在审计过程中把重点放在审计风险的评估上，并有助于把对控制所做的成本效益分析

36、与已知的风险结合起来，作出最佳控制选择。基于风险的审计方法有以下优点：强调商业和业务知识强调评估整体控制的有效性根据控制目标将风险评估和测试方法有机结合起来重点是从管理角度来看企业运营实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数41在决定应审计哪些功能区域时，信息系统审计师将面临大量不同类型的审计对象，信息系统审计师应根据被审计对象的复杂性和具体情况来选择最适合组织需要的风险评估技术。利用风险评估技术来确定审计范围时.要注意以下问题：管理层能有效的分配审计资源保证从组织的各级管理层能收集到足够的信息能为有效管理审计部门并提高审计工作绩效奠定基础总结出单独

37、审计对象与整个组织及业务计划是如何相关的实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数42控制目标和审计目标控制目标指出内部控制应如何发挥作用，而审计目标则给出明确的审计目的。一项审计可以包含几个审计目的。审计目标通常专注于证实内部控制存在并能有效地降低业务风险。审计目标包括鉴证信息资产的机密性、完整性、可靠性、可用性及与法律法规的符合性。当实施具体的审计任务时，被审计方管理层负责人会提供一个总的控制目标，让审计师去检查及鉴证。实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数43符合性测试：符合性测试确定控制的执行符合管

38、理层制定的方针政策的程度。例如，通过测试抽取的程序样本的原版本与目标版本的一致性。实质性测试：实质性测试验证实际处理的完整性.通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性。实质性测试和符合性测试关系如果符合性测试(也叫控制测试)结果表明被审计单位内部控制充分，信息系统审计师就会减少实质性测试程序。反之，如果控制测试的结果表明被审计单位控制薄弱，在账户的完整性、正确性和有效性都不可信时，信息系统审计师则要实施大量的实质性测试程序.实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数44实施信息系统审计实施信息系统审计审计证据 是按照审计

39、标准及目标要求，在对某实体进行审计时所采用信息，审计结论必须基于充分、相关、可靠的证据。评估审计证据的可靠性，取决于以下因素:提供审计证据人员独立性提供审计证据人员的资格审计证据客观性审计证据时效性IT系统审计实务介绍招商银行信息系统内部审计培训页数45获取审计证据的技术检查信息系统组织架构：在信息系统环境下，组织结构提供了充分的职责分工，是重要的一般控制。检查信息系统方针政策：信息系统审计师应该检查组织是否存在适当的方针和政策，确定员工是否理解方针政策并在工作中得到遵循。检查信息系统文件：检查信息系统文件先要了解组织内的现行文件，信息系统审计师至少要找到关键信息系统文件。约见相关人员进行会谈

40、：约见应事先安排，按事先拟好的提纲进行，井记录会谈纪要。观察处理过程和员工实际表现：观察是各种检查方法中一种重要技巧。信息系统审计师在观察过程中应纪录下充分详细的记录作为以后的审计证据。实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数46抽样是应用在成本及时间都不允许对所有交易或事件的对象总体作100%审计时，可以从审计总体中选取一定数量的样本进行测试，并根据侧试结果，推断审计对象总体特征的一种方法。根据总体特征不同分为：统计抽样：审计人员在计算正式抽样结果时采用统计推断技术的一种抽样方法，统计抽样采用客观的方法来决定样本量大小及抽样方式。非统计抽样：审计人

41、员全凭主观标准和个人经验来评价样本结果并对总体做出结论。二者最根本的区别在于非统计抽样不能量化抽样风险，而统计抽样可以量化抽样风险。实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数47实施信息系统审计实施信息系统审计根据抽样方法分为：属性抽样：估计一个控制或一组相关控制属性的发生概率。例如，使用电脑中请表中的核准签名就是一种控制属性。变量抽样：根据总体的抽样来估计总体的金额数或其他衡量单位，如重量。属性抽样有以下常用方法：停-走抽样：它从预计总体误差为零开始，通过边抽样边审查评价来完成抽样审计工作。发现抽样：发现抽样是属性抽样的一种特殊形式，主要用于查找重大

42、非法事件。变量抽样有以下常用方法：分层单位平均估计抽样： 先对样本总体进行分层，在不同分层中进行抽样检查确定样本的平均值。根据样本平均值推断总休的平均值和总值的方法。分层方法可以缩小样本量。不分层单位平均估计抽样：通过抽样检查确定样本的平均值，根据样本平均值推断总体的平均值和总值的方法。差额估计抽样：差额估计抽样是以样本实际价值与账面价值的平均差额来估计总体实际价值与账面价值的平均差额，然后再以这个平均差额乘以总体项目个数，从而求出总体的实际价值与账面价值差额的一种抽样方法。IT系统审计实务介绍招商银行信息系统内部审计培训页数48实施信息系统审计实施信息系统审计统计抽样术语置信系数：也称为信赖

43、(置信)水平、可信度(可信赖程度)或可信赖因子，是以百分率(90%, 95%, 99%等)表示的抽样结果能够代表总体的概率。风险水平：等于1减去置信系数，是样本结果不能代表总体的概率。精度：也称为精确度。由审计师设定，并能代表样本与总体之间的可接受误差范围。预期总体误差：即预期差错发生率，以百分率表示，是估计总体可能存在的错误。样本均值：是将所有抽样样本值合计再除以样本数，用来衡量样本指标的乎均大小。样本标准差：是利用抽样平均值计算样木值的差异，用来衡量样本值分布的情况。可容忍误差：是审计师认为抽样结果可以达到审计目的而愿意接受的与审计对象总体的最大误差。总体标准差：是衡量总体中个别单位偏离总

44、体平均值的离散程度的指标。IT系统审计实务介绍招商银行信息系统内部审计培训页数49计算机辅助审计技术（CAATs）计算机辅助审计技术成为信息系统审计师获得独立信息的重要工具。计算机辅助审计技术可以使信息系统审计师独立收集审计信息、按照预定审计目标访问和分析数据、报告系统产生和维护的纪录的可靠性等审计发现。所用信息来源的可靠性为得出审计结果提供了再保证.CAATs 包括:通用审计软件公共软件测试数据整体测试快照审计专家系统实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数50计算机辅助审计技术计算机辅助审计技术的优点 降低审计风险 不太需要依赖被审计单位的人员

45、比较广泛并一致的审计范围 可以更快速利用资料 执行时间较有弹性 更有机会量化内部控制的弱点 加强抽样 节省成本计算机辅助审计技术的成本和效益容易使用，包括对现有及未来的审计工作人员对于培训的要求编写及维护的复杂度使用的灵活性对于安装的要求处理的效率，特别是用于个人电脑上的计算机辅助审计技术实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数51在审计实施阶段，完成一个审计程序并收集审计证据之后，下一步就是评估所收集的信息，评估需要注意以下几点：控制需求：审计证据是否符合审计计划阶段制定的控制需求和目标。相关及周边信息：审计师在审计时收集各种审计证据，其中有些可能

46、与审计目标有关，有些则是辅助的。考虑补偿性与重叠性控制:进行信息系统审计时，审计师可能发现一些健全的控制以及控制缺陷。在评估整体控制结构时，信息系统审计师要考虑到，在某些情况下，一个健全的控制在其他地方可能补偿另一个控制的缺陷。这些在证据评价过程中都需要被考虑。考虑控制的相关性：由于一个适当的控制并不一定会实现控制目标，因此审计师需要执行一些测试程序，并评估控制与控制目标的相关性，审计师应在报告控制缺陷之前.先审计补偿性控制.实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数52在审计实施阶段，完成一个审计程序并收集审计证据之后，下一步就是评估所收集的信息，评

47、估需要注意以下几点（续）：判断控制是否有效率和效果： 审计师应检查在审计过程中收集到的证据，以决定被检查的作业是否有良好的控制而且有效，这也需要审计师的判断与经验.分析证据的技术：审计师应了解分析审计证据的技术，例如.审计师可能希望按统计趋势分析问题.使用审计时的整体比率或将不同期间相比。判断审计发现的重要性水平(Materiality of Findings)：重要性水平是一个重要的考虑指标。决定审计发现重要性的关键，是评估那些对相关层次的主管有意义的事件。在审计发现的缺陷未被纠正前，进行评估时，需要判断其潜在的影响。例如。在远程分散式电脑作业中，其电脑的物理存取控制缺陷可能只对当地主管有意

48、义，但对总公司的主管就不一定重要.然而，在远程的作业端，仍有一些事项对总公司的主管是重要的.实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数53正式发布审计报告前与有关管理人员的沟通，沟通目的：确保报告中的事实是准确的；信息系统审计师应在报告发布之前，就重要发现及时和合适的人员进行交流.但提前交流不应该改变报告的内容；确保所推荐的改进措施是可行的并符合成本效益原则，否则可通过协商方式找出替代方法，并制订出执行日期；在报告最后发布之前，信息系统审计师应注意到组织或者环境的重大改变。如果所发生的变化会影响到信息系统审计的发现与结论.信息系统审计师有责任采取恰当的

49、措施，将这些改变及其潜在影响告知报告的收件人。与被审计单位沟通审计师与被审计单位进行沟通，是独立审计工作不可缺少的一部分，沟通不只限于完成审计工作时，它与审计的所有阶段相关，是贯穿整个审计过程的一项重要工作。实施信息系统审计实施信息系统审计IT系统审计实务介绍招商银行信息系统内部审计培训页数54审计跟踪：管理层对审计发现采取的改进措施；审计师不断的对所发现问题进行跟进实施信息系统审计实施信息系统审计项目管理技术开发一个详细的计划按照审计计划报告项目活动调整计划及采取纠正行动审计限制因素最近的员工更替或缺席违反约定的项目结束日期及更新处理日期相关知识与文档的缺乏IT系统审计实务介绍招商银行信息系

50、统内部审计培训页数55控制自我评估的目标增强审计职责培训一线经理监督控制的职责集中关注高风险的业务控制自我评估的优点及早发现风险问题更有效的改进内部控制通过员工参与创造和谐的团队气氛增强运营层与高层管理人员的沟通高度激发员工工作热情改善审计定级过程减少控制成本向股东和消费者做出内部控制有效的保证高级管理层能够做出内部控制充分性的保证，满足各法律机构和法规对内部控制的要求控制自我评估控制自我评估(CSA)(CSA)用来对关键业务目标、实现目标所面临的风险及管理业务风险的内部控制进行检查的一系列正式的、程序化的过程。IT系统审计实务介绍招商银行信息系统内部审计培训页数56控制自我评估控制自我评估(

51、CSA)(CSA)审计师在CSA中的角色 如果在CSA项目中包括了审计师。审计师应当作为内部控制专家及评估推动者的角色而出现。项目中的技术手段 综合应用硬件及软件功能来支持CSA的选择，以及使用视频会议及计算机辅助决策方式来支持CSA人员作出集体决策。传统审计方法与CSA的对比区别内容传统审计方法CSA方法授权方式对审计师分配责任/监督管理 授权/承担责任的内部员工推动方式 策略/规则驱动 持续完善/学习曲线 参与程度有限的员工参与 广泛的员工参与和培训利益相关者关注程度利益相关者关注程度低 利益相关者关注程度高审计参与者审计师和其他专业人员所有员工都是控制分析者IT系统审计实务介绍招商银行信息系统内部审计培训页数571 12 23 3目录目录第第一一 ITIT审计介绍审计介绍第二第二 ITIT审计程序审计程序第三第三 ITIT审计一般架构及范围审计一般架构及范围IT系统审计实务介绍招商银行信息系统内部审计培训页数58业务流程与业务流程与ITIT环境的关系环境的关系 业务流程业务流程IT IT 环境环境信息技术是整体过程的主要部分信息技术是整体过程的主要部分物理安全网络安全硬件平台数据/数据库应用系统流程应用程序和应用程序和人工人工控制控制ITIT