《{财务管理内部审计}业务审计基础知识课程讲义.》由会员分享,可在线阅读,更多相关《{财务管理内部审计}业务审计基础知识课程讲义.(42页珍藏版)》请在金锄头文库上搜索。
1、交通银行IT业务审计 IT业务审计基础知识 随着计算机技术的高速发展,银行计算机应用也日新月异。目前我行计算机应用几乎涵盖了所有的银行业务,并依靠计算机技术的支持,不断创新银行业务。计算机应用的方式也从过去的单点单机处理方式逐步提高为全国大集中、24小时自助银行、核心业务系统处理的方式。因各种原因造成计算机应用系统不能正常运行从而导致银行业务停顿和资金损失的风险已经成为最重大的金融风险之一,因此确保银行计算机应用系统的安全可靠运行已显得尤为重要,加强对IT审计也就势在必行。第一章 IT业务审计的职责、审计范围和审计流程1.1 IT审计职责 1.1.1 总行IT审计职责总行现场审计五部负责全行I
2、T审计管理工作,其主要职责:(1)负责制订信息系统安全和电子渠道业务审计制度、手册和工作计划;(2)负责对全行信息系统安全和电子渠道业务的审计,包括对总行信息技术管理部、电子银行部、软件开发中心和数据处理中心内控管理及业务部门计算机安全应用方面的审计;(3)参与总行业务应用软件的开发审核,重点是软件程序风险控制的审核,软件投入应用前的测试、验收等;(4)对全行信息系统安全和电子渠道业务进行审计并作出评价;评估各计算机业务处理系统在实现内部控制制度各个环节方面的控制能力及可审计性,发现薄弱环节及时向有关部门提出建议。(5)对地区和省直分行所在地城市审计部,信息系统安全审计工作进行指导,并对其报送
3、的信息系统专项审计报告进行审阅,提出意见;(6)组织和实施全行性的信息系统和电子渠道业务审计;(7)负责省直分行及部分省辖行IT业务及电子渠道业务现场审计;(8)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息,撰写IT业务和电子渠道业务审计分析报告和工作总结等。(9)负责审计支持系统管理、运行维护工作。1.1.2 地区审计部IT审计职责地区审计部分为华北、华东、华南、华西和东北审计部,作为总行审计部在各地区的延伸机构,接受总行审计部的领导和管理,对地区审计部监管范围城市审计部实行领导和管理。其IT审计主要职责如下:(1)地区审计部按照总行审计部的要求开展IT审计工作,代表总行审计部对所监
4、管机构开展IT审计监督活动;(2)按照总行审计部制定的IT审计工作制度和工作安排,研究制订地区审计部的具体实施细则和工作计划,并组织实施;(3)负责对辖内行IT审计工作的领导和管理,进行IT审计工作的考核和评价;(4)对监管范围内省辖行的IT业务和电子渠道业务风险控制状况进行审计;(5)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息以及各类分析报告和工作总结等,并上报总行审计部。1.2 IT审计范围按照商业银行风险导向审计原则,IT审计包含科技应用和电子渠道业务相关风险控制内容,其审计范围如下: (1)信息安全策略与制度。检查网络、系统、应用、环境设施和电子渠道业务等方面的管理制度制订及
5、执行情况。检查安全策略合理性、完整性,检查是否根据总行相关规定制定相应的实施细则,是否覆盖所有相关工作。(2)安全组织。检查信息安全机构和人员配置、职责及工作情况。检查安全机构工作的有效性。检查人员安全保密职责、安全培训等内容。(3)信息资产的分类与控制。检查信息资产的使用与管理。检查相应的管理办法和管理流程。(4)物理与环境安全。检查放置设备的物理环境建设,包含机房门禁、供电、空调、消防、监控等方面安全管理和维护情况。(5)通信与运营管理。检查系统运行、监控、故障处理以及数据备份等方面的安全管理。(6)访问控制。检查生产系统、网络通讯、操作系统、应用程序等方面的访问控制情况。(7)系统的开发
6、与维护。检查应用系统开发的立项、安全需求、测试、系统文件安全、开发控制等方面的安全情况。(8)业务连续性计划。检查业务连续性计划管理程序,包含计划组织、管理、计划演练和更新等方面情况。(9)符合性。检查信息系统的设计、运行、使用和管理等方面是否符合现行的法律规定以及合同约定的安全要求。(10)电子渠道业务风险管理。检查电子银行风险管理体系和内部控制体系。(11)网上银行业务风险管理。检查企业网上银行、个人网上银行和网上支付业务操作流程、岗位制约等风险控制情况。(12)自助渠道业务风险管理。检查自助银行、POS和电话银行业务操作流程、风险防范等方面控制情况。(13)太平洋卡制作和使用管理情况。1
7、.3 IT审计流程 IT审计工作程序可划分四个阶段:审计准备阶段、审计实施阶段、审计总结阶段和审计追踪阶段。审计准备阶段工作主要包含:收集分析与现场审计范围相关的各类资料和数据,查找审计的可疑点,确定审计重点,制定审计方案,召开审计前准备会议,审计方案审批,发出审计通知书等。审计实施阶段工作主要包含:进入现场,采取与分行相关人员会谈沟通、问卷调查、数据分析、资料查证、现场检查等多种方式进行审计,审计完毕,根据发现的问题撰写审计问题底稿,与相关部门人员沟通发现的问题,整理、汇总检查发现的问题,并请相关人员签字确认问题底稿,审计结束后,向分行领导和相关部门人员反馈审计中发现的主要问题。审计总结阶段
8、工作主要包含:根据审计标准程式,对审计对象进行评分,并作总体评价;召开审计分析会,对发现的问题进行剖析,并对确定问题的风险级别;撰写审计报告,经二级部高级经理审核,并经审计部领导审批后发送分行。对于风险级别较高的问题,形成专项报告,以审计情况等专报形式提交给总行高管层,同时抄送总行相关管理部门。审计追踪阶段工作主要包含:对于各级部门审计发现的问题整改情况进行跟踪,定期跟踪被审计对象的内控管理,形成持续的监控。1.4 IT审计准备工作现场审计进场前的准备工作是现场审计的前提和基础,随着我行大集中系统建成和推广,现场审计前需不断地与被审计单位沟通,调阅审计期间的相关资料,进行分析;同时,通过审计分
9、析工具对数据进行筛选、归类、分析。现场审计准备工作主要包含:收集分析与现场审计范围相关的各类资料和数据,查找审计的可疑点,确定审计重点,制定审计方案,召开审计前准备会议,审计方案审批,发出审计通知书等。 现场审计进场前准备工作主要由主审人负责 1.4.1 资料收集审计前需收集被审计单位相关资料如下:(1)收集被审计单位的信息科技和电子渠道业务相关的管理制度、规定; (2)信息系统安全管理和电子渠道业务组织架构及其人员名单。填写人员岗位及职责分工表(见附表); (3)年度计划和工作总结,安全领导小组会议记录;(4)对内日常监督检查报告,外审审计报告以及整改落实情况;(5)填写应用系统调查表(见附
10、表),对使用的应用系统环境进行调查;(6)网络拓扑结构图,IP地址分配规则表,VLAN划分控制表和网络安全设计说明; (7)分行自行开发的特色业务系统及其运行环境,与第三方网络通讯和访问控制的安全策略;(8)中心机房内主要物理设备及附属设施的维修保养资料; (9)主要业务系统应急方案和演练记录。附表1应用系统调查表被调查单位: 填表日期:200 年 月 日 填表人: 序号应用系统运行环境应用系统维护人员备注名称使用单位开发单位操作系统数据库系统中间件名称版本名称版本名称版本填表说明:填表内容包含主机系统、各类业务前置机和监控系统上运行的所有应用系统。附表2人员岗位及职责分工表被调查单位: 填表
11、日期:200 年 月 日 填表人:序号姓名岗位管理的内容备注主管内容兼管内容 填表说明:该表包含电脑部门所有人员,每人信息填写一行。 1.4.2 审计准备会 在现场审计方案草拟后,分管总经理组织审计小组成员,召开审计准备会。会议重点是听取现场审计方案的汇报,研究被审计对象的信息系统管理、安全和电子渠道业务等方面内部控制、风险管理情况,并对问题疑点、线索及异常情况进行分析,讨论审计方案,确定具体审计内容。 1.4.3 审计通知书根据审计准备会议的讨论情况和会议决定,组织现场审计组落实审计准备会议决定的事项,并对现场审计方案进行修改和完善。拟写审计通知书,审计通知书包括:审计小组人员、审计时间、审
12、计范围和审计主要内容,以及需被审计单位提供的资料清单。完成审计方案和审计通知后,按照发文程序报总经理批准,并发送审计通知。 1.5 IT审计方案 现场审计组成员根据收集的资料和数据,分析资料和数据,了解被审计单位的管理和系统安全运行状况,对其进行初步评估,根据风险导向原则,判断被审计对象可能存在的风险领域、重点和可疑点,主审人根据可能存在的风险制定审计方案。IT现场审计方案的内容一般包括:审计依据、审计目的、审计范围、审计时间、审计内容、审计重点、审计方法、审计标准,以及审计人员分工和职责等。1.5 .1 IT审计依据审计依据包括:年度审计部工作计划,交通银行内部控制评价办法,交通银行审计标准
13、程式的附件7信息系统安全,电子渠道业务审计要点,国家相关部门制订的有关信息系统和电子渠道业务的法规、管理制度、规定、办法和指引,交通银行制订的信息系统和电子渠道业务的各项规章制度。1.5 .2 IT审计方式 审计方式有多重形式,根据现场审计情况的不同,采取不同的审计方式,一般IT审计方式包括:与分行相关人员会谈沟通、问卷调查、数据分析、资料查证、现场检查等多种方式进行。1.5 .3 IT审计内容 IT审计内容主要由信息系统安全和电子渠道业务两大部分组成。信息系统安全审计内容包括:制度制定与执行、安全组织管理、信息资产管理、机房环境设施、通讯与运营维护管理、访问控制、系统开发、业务连续性管理和符合性。 电子渠道业务审计内容包括:组织与制度建设、电子渠道风险管
