IT审计参考资料PPT课件.ppt

1、页数 1目目录内部控制定义信息科技层面评估架构1IT公司层面控制1IT一般性控制1应用程序控制IT审计的参考标准页数 2内部控制定内部控制定义(续）Basel 内部控制框架的定义Internal control is a process effected by the board of directors,senior management and all levels of personnel.It is not solely a procedure or policy that is performed at a certain point in time,but rather it is

2、 continually operating at all levels within the bank.The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis;however,each individual within an or

3、ganisation must participate in the process.页数 3内部控制定内部控制定义(续）COSO 内部控制定义内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程：经营的有效性和效率 财务报告的可靠性 符合适用的法律和法规页数 4内部控制定内部控制定义(续）内部控制是：为实现经营目标的动态过程和机制一系列的：制度程序方法对风险进行事前防范、事中控制、事后监督和纠正高级管理层责任需要全体职工参与的工作需要通过监控来确保有效性页数 5流程A商业流程/交易类别关键应用程序IT基础设施服务数据库管理系统操作系统网络

4、/硬件流程B流程C应用程序X应用程序Y应用程序Z流程AITIT一般控制一般控制 控制环境 程序开发 程序变更 访问控制 系统运行应用系用系统自自动控制控制 输入控制 校验控制 系统接口 系统计算 权限控制信息系统控制识别信息系统范围商业流程/交易类别战略风险运营风险财务风险合规风险ITIT公司公司层面控制面控制信息科技信息科技层面面评估架构估架构页数 6信息科技信息科技层面面评估架构（估架构（续）信息系统控制评估的建议构架基于国际通行的评估标准。其中，IT公司层面控制评估是基于COSO模型，IT一般性控制和应用程序控制评估是基于COBIT模型。监控控信息与沟通信息与沟通控制活控制活动风险评估估

5、控制控制环境境合合规性性操作操作财务报告告应用程序控制用程序控制COSOCOSOITIT公司公司层面控制面控制IT IT 一般性控制一般性控制页数 7信息科技信息科技层面面评估架构（估架构（续）风险评估估信息技信息技术风险评估目估目标的的设定定技技术风险的的识别机制及机制及风险分析分析降低降低风险的行的行动计划与划与预算算控制活控制活动制定各制定各类程序和政策程序和政策根据根据风险执行相行相应信息系信息系统控制控制信息技信息技术职责分工分工信息与沟通信息与沟通关注关注战略一体化的信息系略一体化的信息系统与信息与信息质量量关注内部与外部的沟通及其关注内部与外部的沟通及其沟通方式沟通方式控制控制环

6、境境信息技信息技术员工工诚信和道德价信和道德价值观信息技信息技术员工工胜任能力任能力管理管理层/董事会董事会对信息技信息技术的的关注关注信息技信息技术组织结构构信息技信息技术策略与制度策略与制度数据和数据和应用系用系统的的归属制与属制与职责分离分离COSO“COSO“内部控制内部控制-整体框架整体框架”监控控进行持行持续性信息系性信息系统监督活督活动信息系信息系统的独立的独立评估体系估体系适宜的信息技适宜的信息技术内部内部审计计划划信息系信息系统缺陷缺陷报告告控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告页数 8信息科技信息科技层面面评估构架（估构

7、架（续）COBIT 4.1包含34个信息技术过程控制，并归集为四个控制域：计划与组织 获取与实施 交付与支持 监控与评价COBIT(Control Objectives for Information and related Technology，信息及相关技术的控制目标)是国际公认的IT治理框架，为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架.。页数 9信息科技信息科技层面面评估架构（估架构（续）应用程序控制用程序控制简介介 应用程序控制是业务流程中控制的一部分，是在应用系统中由程序自动执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适用于各种交易

8、的处理，所以应用程序控制是否有效对于内控的有效性有着重要的影响。应用程序控制可以分为两类：系统自动控制由系统自动完成的控制，无需人工干预，在开发系统时已经考虑并嵌入到系统中。人工依赖系统控制由系统完成部分的控制，需要人工干预，且控制是否有效会受到人为因素的影响。控制目控制目标控制控制类型型人工人工 自自动预防性防性发现性性人工控制人工控制人工依人工依赖系系统控制控制系系统自自动控制控制页数 10信息科技信息科技层层面面评评估架构（估架构（续续）应用程序控制用程序控制类型：型：登登陆权限限/岗位分离位分离实时校校验/编辑检查计算机算机计算算自自动系系统接口接口配置控制配置控制应用程序用程序控制控

9、制页数 11信息科技信息科技层面面评估架构（估架构（续）应用程序控制用程序控制类型型 实时校校验/编辑检查控制控制：也称为系统录入控制，这类控制主要是确保录入到系统中的数据的准确性，进行录入时系统会对重要字段的合理性、合规性和准确性进行检查，防止一些不合适的数据被系统接受，造成系统数据的不真实和垃圾数据的产生登登陆权限限/岗位分离控制位分离控制：系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况计算机算机计算控制算控制：系统自动计算并保证计算的正确性，此类控制一般在程序开发时已嵌入到系统中自自动系系统接口控制接口控制：主要关注不同应用系统之间通过接口传递的数据是否

10、准确完整配置控制配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着重要的作用页数 12信息科技信息科技层面面评估架构（估架构（续）识别关键风险及信息资产根据贵行的特性包括现有制度、业务需要、风险识别、组织模型、管理、体系结构和行业标准以及法律、法规、识别关键流程和控制范围。监控控制活动贵行的控制活动得到改善和加强后，需要建立一套监控体系来保证控制活动的持续有效。建立一整套完善的监控方案，用以监控控制活动的有效性。评估现有控制贵行需在IT管理层面以及流程层面需建立相应的控制，使贵行的工作模式能够有效地规范起来。在这一阶段中，内审部将对现有 IT流程和

11、控制进行评估，了解内部管理和控制情况，确认控制中存在的风险及差异。控制的改善与加强基于对贵行内部管理和控制情况的评估结果及发现的风险与差异，对控制进行改善和加强。依照国际认可的实践经验与标准，改善自身的控制活动，以更好的防范风险。信息科技信息科技评估体系估体系页数 13ITIT审计的参考的参考标准准CoBITCoBITCoBITCoBIT(Control Objectives for Information and related Technology，信息及相关技术的控制目标)最初的用途是为企业的IT治理提供清晰的指导策略和优良的实践范本，以帮助管理层理解并管理有关IT的风险。CoBIT已经

12、被发展成为一套国际公认的、企业通用的，有关IT安全和控制的标准。它为企业管理者、用户、信息系统审计和安全从业者提供了一个优良参考构架。CoBIT将IT过程，IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。页数 14ITIT审计的参考的参考标准准CoBITCoBIT（续）有效性效 率保密性完整性可用性合规性可靠性应用用系系统信信息息基基础设施施人人员计划与划与组织采采购与与实施施交付与支持交付与支持监控与控与评价价有效性（有效性（EffectivenessEffectiveness）：）：是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。高效性（高效性（Effic

13、iencyEfficiency）：）：关于如何最佳（最高产和最经济）利用资源来提供信息。机密性（机密性（ConfidentialityConfidentiality）：）：涉及对敏感信息的保护，以防止未经授权的披露。完整性（完整性（IntegrityIntegrity）：）：涉及信息的精确性和完全性，以及与商业评价和期望相一致。可用性（可用性（AvailabilityAvailability）：）：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源和相关性能的维护。符合性（符合性（ComplianceCompliance）：）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外

14、部强制商业标准。可靠性（可靠性（Reliability of InformationReliability of Information）：）：为管理者的日常经营管理以及履行财务报告责任提供适当的信息。页数 15有效性效 率保密性完整性可用性合规性可靠性应用用系系统信信息息基基础设施施人人员计划与划与组织采采购与与实施施交付与支持交付与支持监控与控与评价价计划与划与组织(PO)(PO)1IT战略与业务战略是否一致1企业是否优化资源的使用1组织的成员是否能够理解IT目标1管理层是否意识到企业面临的IT风险并予以妥善管理1IT系统的质量能否满足业务需求采采购与与实施施(AI)(AI)1新项目所提供

15、的解决方案能否满足业务需求1新项目能否在既定的预算内按期交付1新系统能否按预期运行1变更是否影响当前业务的正常运行交付与支持交付与支持(DS)(DS)1IT服务是否根据业务的优先级交付1IT成本是否最优1工作负荷是否影响IT系统的有效使用1是否充分实现保密性、完整性和可用性监控与控与评价价(ME)(ME)1IT绩效考核能否及时发现问题1管理层能否确保内部控制的效率和有效性1IT绩效能否与业务目标相关联1是否测量并报告风险、控制、符合性和绩效ITIT审计的参考的参考标准准CoBITCoBIT（续）页数 16有效性效 率保密性完整性可用性合规性可靠性应用用系系统信信息息基基础设施施人人员计划与划与

16、组织采采购与与实施施交付与支持交付与支持监控与控与评价价应用系用系统：用户处理信息的自动化用户系统及手册程序。信息：信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式所使用。基基础设施：施：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体等，以及放置、支持上述技术和设施的环境）。人人员：策划、组织、采购、实施、交付、支持、监视和评价信息系统和服务所需的人员。人员可以是内部的、外包人员或合同人员。ITIT审计的参考的参考标准准CoBITCoBIT（续）页数 17CoBIT 34个高个高层次控制目次控制目标ITIT审计的参考的参考标准准CoBIT

17、CoBIT（续）监控与评价 ME1 IT绩效监控与评估 ME2 内部控制监控与评估 ME3 确保法规遵从 ME4 提供IT治理交付与支持 DS 1 定义并管理服务水平 DS 2 管理第三方服务 DS 3 性能管理与能力管理 DS 4 确保服务的持续性 DS 5 确保系统安全 DS 6 确认与分摊成本 DS 7 教育并培训客户 DS 8 服务台与事件管理 DS 9 配置管理 DS 10 问题管理 DS 11 数据管理 DS 12 物理环境管理 DS 13 运营管理规划与组织 PO 1 制定IT战略规划 PO 2 确定信息架构 PO 3 确定技术方向 PO 4 确定IT流程、组织及相互关系 PO

18、5 管理IT投资 PO 6 管理目标与方向的协调 PO 7 IT人力资源管理 PO 8 质量管理 PO 9 评估并管理IT 风险 PO 10 项目管理获取与实施 AI 1 确定自动化解决方案 AI 2 应用软件的获取和维护 AI 3 技术基础设施的获取和维护 AI 4 授权操作和使用 AI 5 获取IT资源 AI 6 变更管理 AI 7 实施并验收及变更管理页数 18ITIT审计的参考的参考标准准COSOCOSOCommittee of Sponsoring Organizations of The Treadway Commission(COSO)由美国会计师协会、美国审计总署、美国内部审计

19、师协会和管理会计师协会等7个团体共同赞助成立，专门研究内部控制问题。内部控制整体框架的目标：保证财务报告的可靠性保证经营效益和效率对相关法律法规的遵循页数 19根据COSO内控框架，公司层面的内部控制由以下五个部分组成：1.控制环境2.风险评估3.控制活动4.信息与沟通5.监控中国内部审计协会于2003年6月1日颁布实施的内部审计具体准则（第5号）内部控制第5条，亦明确公司的内部控制是由上述五个部分组成的。公司要建立完善的内部控制，就要从这五方面着手，因为它们是内控的根基，它们会影响到公司风险管理每个环节的工作。监控控信息与沟通信息与沟通控制活控制活动风险评估估控制控制环境境合合规性性操作操作

20、财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）页数 20控制环境控制环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。从以下三个方面评价控制环境的有效性：识别及评价公司业务和财务报表的风险的能力按照公认会计准则编制高质量的财务报表保证财务报表可靠性的基本控制及监控措施控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）页数 21风险评估风险评估是及时识

21、别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。包括：控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）正式建立和广泛公布公司层面的目标及价值观、风险评估的程序对重大问题的预计、识别以及做出反应的机制识别公认会计原则变更、商业惯例及内部控制的步骤和程序等页数 22控制活动控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。

22、控制活动结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）页数 23信息与沟通信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。主要包括：管理层有效地传达员工的岗位职责和应负有的控制责任建立渠道收集

23、和处理内部投诉及不满充分的沟通交流指定人员或部门负责收集和处理外部的评论和投诉已建立上下各部门之间的汇报路线和沟通渠道控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）页数 24监督主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。监控监督是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内

24、部控制的重要保证。控制控制环境境风险评估估控制活控制活动信息与沟通信息与沟通监控控合合规性性操作操作财务报告告ITIT审计的参考的参考标准准COSOCOSO（续）页数 25ITIT审计的参考的参考标准准COSOCOSO与与Basel IIBasel II的关系的关系IT审计相关相关标准准COSO与与Basel II的关系的关系Basel II Basel II 原原则COSOCOSO控制控制方面方面ITIT相关需求相关需求1.董事会应清楚的认识到银行业务的运作风险各个方面，制定出风险管理框架，并定期审阅该框架。框架内容需包括如何对运营风险进行定义、评估、监控、控制。控制环境风险管理流程需将IT

25、整合起来。2.董事会应确保银行的运营风险管理框架能够有效的被内审人员运用到实际工作中。内审部门并不直接对风险管理框架的管理负责。监控制定内部审计计划时除包括财务部门的运营风险还应考虑IT的影响；IT内审人员应具有相应的技术背景，并受到培训，技术背景包括对Basel II协议、风险管理原则、会计准则的理解；IT内审职责应受到财务部门管理人员的审阅；外部专业资源应被适当的利用。3.管理层负责实施风险管理框架，实施范围需贯彻整个银行组织，各个级别的职员都应该理解他们在该框架中的职责。管理层需负责对各类业务、活动和系统制定制度及操作流程。控制环境信息与沟通IT管理层拥有与高级管理层相同的职责；制定好的

26、风险框架应满足IT的需求，可以考虑根据风险框架制定IT控制框架；风险框架中IT部分，需与财务部门负责人进行沟通，例如IT组织管理，IT计划，安全，系统开发，程序变更，运行支持，内部审计职责等。4.银行应对所有业务、产品和系统的固有风险进行定义和评估。在新业务、产品和系统实施前，必须完成对其固有的评估。目标设定事件定义风险评估风险评估应该与影响银行业务的IT行为一体化，例如程序变更、基础架构变更和安全监控；风险评估应整合在系统开发和实施的流程中；对企业有重大影响的股东需要考虑进风险评估框架中；风险评估结果需与GRC框架保持一致。5.银行应该建立定期监控操作风险和重大漏洞的体系，同时定期向管理层和

27、董事会汇报相关内容，以便管理层对风险进行控制。事件定义风险评估信息与沟通运行风险评估应包含在年度计划和战略计划中；运行风险应根据内部和外部重大事件的变化进行再评估，例如发生灾难后需要对可持续性计划进行重新定义；风险行为图表应该被定义并审阅，当异常的曲线被检测到，分析原因并及时改进。页数 26Basel II Basel II 原原则COSOCOSO控制控制方面方面ITIT相关需求相关需求6.银行应该有一套完整的制度和流程凯控制或降低重大运营风险。银行应该定期审阅自身的风险局限性和控制战略，并根据对风险的整体考虑来调整运营风险结果。风险响应控制环境信息与沟通控制行为存在一套完整的IT内控框架一遍

28、降低运营风险；IT内控框架应该以准确的制度、流程为依据；运营风险应该根据外部和内部发生的事件进行再评估，例如另一家银行被收购，必须考虑该行为对行业的综合影响及带来的新的运营风险；IT制度和流程必须被定期（至少一年一次）审阅、审批。7.银行应该有一套完整的业务连续性计划，来确保当发生重大商业干扰时，业务的能够正常运行。风险响应IT部门应该有一套和业务连续性相关的IT连续性计划。8.银行监管人应该要求各家银行（不论规模大小）都有一套有效的框架来定义、评估、监控、控制或降低运营风险，作为风险管理的一部分。监控IT部门应该实施IT风险管理框架来满足财务部门的需求。9.主管对运营风险相关制度、流程进行评

29、价，确保存在一套正确的机制促进银行的发展。监控IT高级管理层应确保IT相关的制度与公司整体的制度和流程整合在一起。对于财务部门发现的缺陷及时调整；IT合规职能应该和财务部门合规职能整合在一起，确保财务部门主管能够及时获得IT发展的动态。10.银行必须充分披露以便市场参与者评估自身的运营风险管理。控制环境信息与沟通IT应该定义所有与重大运营相关的风险，并与董事会和高级管理层进行沟通。ITIT审计的参考的参考标准准COSOCOSO与与Basel IIBasel II的关系的关系(续)页数 27有两种方法来选择相关的IT流程和控制：风险驱动根据风险的属性（严重、重要、有影响、无影响）来定义控制目标和

30、步骤目标驱动根据Basel II定义目标，然后使用 CoBIT提供的指引ITIT审计的参考的参考标准准CoBITCoBIT与与Basel IIBasel II的关系的关系页数 28ITIT审计的参考的参考标准准CoBITCoBIT与与Basel IIBasel II的关系的关系风险驱动方法方法Basel II 风险类型IT方面CoBIT流程内部舞弊 蓄意使用程序 未经授权的使用修改功能 蓄意使用系统指令 蓄意使用硬件 蓄意的未经授权的对系统和应用数据进行修改 使用、拷贝无许可证或未授权的软件 通过欺诈手段获取他人的访问特权 PO6 沟通管理的目标和方向 DS5 确保系统安全 DS9 配置管理

31、DS12 物理安全管理外部欺骗 通过黑客修改系统和应用数据 外来人员获得机密文档 通过欺诈手段获取他人的访问特权 窃取信息 密码泄露 病毒 DS5 确保系统安全员工管理和工作场所安全 IT资源的滥用 缺乏安全响应 PO6 沟通管理的目标和方向 DS5 确保系统安全客户、产品和商业行为 员工把敏感信息披露给外部人员 第三方提供商管理 PO6 沟通管理的目标和方向 DS2 第三方服务管理页数 29ITIT审计的参考的参考标准准CoBITCoBIT与与Basel IIBasel II的关系的关系风险驱动方法（方法（续）Basel II Basel II 风险类型型ITIT方面方面CoBITCoBIT

32、流程流程实物损坏 IT基础资源物理损坏 DS12 物理安全管理商业中断和系统失败 硬件和软件故障 通信失败 员工破坏 IT职员丢失钥匙 数据文件损坏 软件或敏感数据被窃取 电脑病毒 备份失败 拒绝服务攻击 配置控制失败 AI7 安装和认证解决方案和变更 DS3 性能和容量管理 DS4 确保服务的连续 DS5 确保系统安全 DS9 配置管理 DS10 问题管理执行，交付和流程管理 处理电子介质时发生错误 无人管理的工作站 变更控制错误 交易录入不完整 数据录入/导出发生错误 程序开发/测试发生错误 操作错误，如恢复过程时发生错误 AI3 获得和维护技术基础架构 AI6 变更管理 AI7 安装和认

33、证解决方案和变更 DS5 确保系统安全 DS10 问题管理页数 30ITIT审计的参考的参考标准准CoBITCoBIT与与Basel IIBasel II的关系的关系目目标驱动方法方法序号序号CoBITCoBIT设定的目定的目标是否与是否与BaselBasel有关有关联1对商业需求的响应要服从企业战略2对管理需求的响应要服从于董事会导向3为终端用户提供令其满意的服务4使信息使用最优化5保持IT的灵活性6定义业务功能和控制的需求如何转化成有效自动的解决方案7获取和维护整合的标准的应用系统8获取和维护整合的IT基础架构9获取和维护符合IT战略的IT技术10与第三方服务商保持良好关系11确保IT应用

34、与业务流程的有效结合12正确理解IT成本、利益、战略、制度和服务等级13确保应用系统和技术方案的使用和性能14统计和保护所有IT资产页数 31序号序号CoBITCoBIT设定的目定的目标是否与是否与BaselBasel有关有关联15优化IT架构、资源和性能16尽量避免IT解决方案和服务过程中的不足，以减少重复工作17保护IT目标的成就18使业务对IT目标、资源的影响透明化19确保只有授权人员才能访问重要和机密信息20确保业务较易的自动处理和信息交互是可信赖的21确保IT架构和服务可以防御和修复因系统错误、恶意攻击或灾难带来的影响22确保IT系统中断或变更对业务的影响降到最低23确保IT服务满足

35、需求24提高IT的成本效益和IT对企业收益的贡献25在预算范围内及时、高效、高质量的完成项目26维护信息和流程架构的完整性27确保IT符合相关法律、制度和合同的要求28确保IT提供符合成本效益的服务质量，提高连续性，并为将来的变更做好准备ITIT审计的参考的参考标准准CoBITCoBIT与与Basel IIBasel II的关系的关系目目标驱动方法（方法（续）页数 32ITIT审计的参考的参考标准准IIAIIA应用控制用控制审计国际内部审计师协会(Institute of Internal AuditorsIIA)是由内部审计人员组成的国际性审计职业团体。成立于1941年。其前身美国内部审计师协会。2007年IIA颁布了应用控制审计(Auditing Application Controls)用于指导应用控制的审计。