《{财务管理内部审计}银行信息系统内部审计培训信息系统审计实务介绍》由会员分享,可在线阅读,更多相关《{财务管理内部审计}银行信息系统内部审计培训信息系统审计实务介绍(62页珍藏版)》请在金锄头文库上搜索。
1、招商银行信息系统内部审计培训信息系统审计实务介绍2009年3月,声 明 本培训资料中所包含之内容属保密内容,未经安永(中国)企业咨询有限公司正式书面允诺,不得部分或全部复制,不得使用于非法目的,不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。,保密内容 安永(中国)企业咨询有限公司,二九年,保留所有权利,1,2,3,第一 IT审计介绍,第二 IT审计程序,第三 IT审计一般架构及范围,目录,IT审计历史背景,IT审计的出处源自60年代IBM出版的Audit encounters Electronic Data Processing等有关在EDI环境下进行审核和组织的论述。不久后有关该
2、方面的研究结果不断涌现, IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用,因此IT审计并未在社会上形成意识。七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及,利用计算机犯罪和计算机系统失效的事件频频出现,使得IT审计日益得到社会重视,美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了IT审计标准并根据美国劳工部的Skill Start和Northwest Center for Emerging Technologies(NCET)对IT信息人员的从业技能的要求制订了IT审计师(系统监查员)的技
3、能标准并以之作为新的IT审计师(系统监查员)级考试的参考标准。九十年代是IT审计的普及期,这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床,此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。,萌芽阶段,初步发展,蓬勃发展,IT审计的定义和对象,IT审计就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。,IT审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境
4、。一般来说,对企业实施IT审计的对象有: 本企业内的IT审计师 外部IT审计事务所委托审计师 国家审计机构,IT审计定义,IT审计对象,IT审计现状,计算机审计在发展的初期,还只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息
5、技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。 会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA。 随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,大型跨国公司都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信
6、息系统安全和稳定性的控制。,IT审计现状银行业,当前,随着各银行数据大集中的完成,IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外,随着金融监管力度的加大,银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要课题。 我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的经验和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以
7、借鉴。 随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一,IT运营与公司运营紧密相关,IT治理也与公司治理紧密相连,因此IT审计越来越得到银行管理层的高度重视。目前,IT审计在国际上是一个相当成熟的领域,发达国家的银行均建立了完善的信息系统审计体系,而我国正在快速发展阶段。,IT审计差异分析,IT审计部门的独立性,IT治理中审计人员的角色,国外银行IT审计的 特点,国外银行IT审计的技术和组织框架,IT审计人员的比例,国外银行IT审计的特点,国内外银行IT审计的差异,组织结构的差异,从新加坡发展银行的IT审计组织框架上看,IT审计由于涵盖了软
8、件开发和项目投产、运行维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式。由于目前内审部门的信息技术审计组织结构不尽完善,无法进一步细分审计职能、明确专业审计方向。,审计覆盖面上的差异,国际上比较先进的商业银行无一例外全部开展了IT公司层面、IT一般控制和应用程序控制的全方位IT审计;我国由于信息技术审计工作开展不长,并且人员有限,还未能全面开展IT公司层面、IT一般控制和应用程序控制的IT审计工作,1,2,人员上的差异,从美国大通银行的IT审计人员配备上看,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的
9、比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上与国际先进水平还是有不小的差距。另外,在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大,需要加强力量研究解决。,3,IT审计差异分析,IT审计专业要求需要知识和技能,IT审计师深入领会会计、经济、管理、商法、税务、金融、审计和信息技术知识; IT审计师通晓信息系统的软件、硬件、开发、运营、维护、管理和安全; IT审计师能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造,以降低组织日益面临的信息系统风险,有效率使用资源,使到组织IT目标与业务目
10、标保持一致。,需要知识和技能,信息系统审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。,IT审计专业要求 认证,IT审计专业要求 认证(续),1,2,3,目录,第一 IT审计介绍,第二 IT审计程序,第三 IT审计一般架构及范围,信息系统审计程序,审计目标和计划 审计中法律和法规影响 ISACA 信息系统审计标准和指南 风险分析 内部控制 实施信息系统审计 控制自我评估,信息系统审计流程:依据信息系统审计标准,指导方针和最佳实践,提供信息系统审计服务。确保组织的IT和业务系统得到保护和控制。,信息系统审计程序,审计目标和计划,审计计划 获得对业务
11、使命、目标、目的和流程了解 找出规定的内容 评价管理层所实施的风险评估和隐私保护影响分析 实施风险分析 执行内部控制检查 确定审计范围、审计目标 制定审计方法或审计战略 为审计任务和其后勤支援分配人力资源,法律和法规对信息系统审计计划影响,审计目标和计划(续),审计成功条件 在实施有效的信息系统审计中,首先要制定完善的审计计划。 制定审计计划时,信息系统审计师必须了解执业的整体环境,包括与之相关的各种业务和控制风险。 在审计计划中,信息系统审计师要评估运营和控制风险,同时识别控制目标。,审计中法律和法规影响,法律和法规要求 对实施IT审计的法律要求 对IT审计组织的要求 IT审计过程中相关实体
12、的责任 与财务、业务及IT审计职能之间的相互关系,信息系统审计师一般通过以下步骤确定组织对法律和法规符合性状况: 识别外部需求 记录相关法律与法规的要求 评估组织在制定IT审计职能时是否考虑来自外部法律法规的要求 检查内部信息系统相关部门是否在正式文件中落实了遵守法律法规的要求 检查组织已建立的程序是否符合法律法规,我国与IT审计相关的法律和法规 审计法实施条例 国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知,信息系统审计标准和指南,信息系统审计准则 信息系统审计指南 信息系统审计人员职业道德,信息系统审计标准和指南,信息系统审计准则框架,信息系统审计准则目标 告知管理层和其他利
13、益相关者审计相关的专业职责 告知信息系统审计师根据ISACA准则所必需遵守的相关审计规定以满足专业审计要求。,审计指南,审计准则,审计程序,审计准则:信息系统审计准则是整个审计准则体系的总纲,是信息系统审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。 审计指南:审计指南是依据审计准则制定的,是审计准则的具体化,它详细规定了信息系统审计师执行各项审计业务、出具审计报告的具体指南,为审计师在执行审计业务中如何遵守审计准则提供指导。 审计程序:信息系统审计程序是依据审计准则和审计指南制定的。它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指南的一些通用审计程序
14、.审计程序为审计师提供了很好的工作范例。,信息系统审计标准和指南,ISACA 信息系统审计准则和审计指南 审计章程 独立性 职业道德和标准 专业胜任能力 审计计划 实施审计工作 报告 后续审计,信息系统审计标准和指南,审计章程 审计章程中载明信息系统审计的目的、责任、权限和职责,独立性 独立性是指内部审计活动独立与他们所审查的活动之外,可以理解为内部审计部门的独立性和内部审计人员独立性。 内审部门是否获得独立性应考虑因素 内审部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定 内审部门向谁负责和报告工作 首席执行官能否与董事会、审计委员会或其他相关治理机
15、构直接交流和沟通信息,能否参加有关审计、财务报告、机构治理和控制监控的监督职责的会议 首席审计执行官的任免有何种层次的领导层决定 审计委员会由何种人员组成,职业道德和标准 职业道德和准则 职业审慎态度,信息系统审计标准和指南,审计师的知识、技能和专业胜任能力,出色的口头和书面表达能力,以便清楚有效地表达审计目的、审计评价工作、审计结论和审计建议,拥有良好的人际交流技能,接受后续专业教育,以保持专业技术的适应性,其他必备的技能包括对组织所在行业的深入了解,实施和改进财务和运营方面所涉及流程的知识和技能,审计师的知识、技能和专业胜任能力,熟练应用内部审计实务标准、程序和技术,理解管理原则,深入领会
16、会计学、经济学、商法、税收、金融和信息技术。,信息系统审计标准和指南,计划 以相应的法律和审计准则为基础 基于风险审计方法 制定详细的审计计划 制定审计程序和步骤,审计工作的实施 审计人员受到适当监督 获取证据 审计底稿,信息系统审计标准和指南,报告 信息系统审计人员在完成审计工作后,应向委托者出具按照适当的格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。 审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。 审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。 信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。 审计报告签发时,信息系统审计人员应该依据审计章程或审计业务约定书中的规定签名、签署日期再对外发放。,后续审计 检查之间的审计结论和建议 检查之间的审计发现的问题 被审计单位是否及时妥善的处理了相关问题,信息系统审计标准和指南,使用ISACA 指南 考虑审计指南,以决定怎样实施审计准则 在应用审计
