CISAIT审计实务培训0课程导言.pptxVIP

Feb, 2008 金融企业IT审计实务培训 —— 0. 课程导言 杨洋 （yycisa@263.net） 杨洋，yycisa@263.net Feb, 2008 主讲人简介 杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术 杨洋，yycisa@263.net Feb, 2008 中行大连分行营业部计算机输入员翟昌平6年挪用800万美元，销毁个人电脑中帐务数据后潜逃，于2005年3月21日被捕归案。 针对此一系列案件，银监会针对银行机构对操作风险的识别与控制能力不能适应业务发展的突出问题，发布了《关于加大防范操作风险工作力度的通知》（2005） 业务系统可靠吗？ 杨洋，yycisa@263.net Feb, 2008 1. 为什么巨额挪用持续6年而未被发现？ 2. 为什么银行帐务数据可以被个人轻易销毁？ 3. 计算机输入员岗位的权限到底有多大？ 4. 对于风险岗位是否存在有效牵制？ 5. 其他职员是否有效保护了自己的登录信息？ 6. 银行业务流程和管理控制到底存在多少重大漏洞？ 反思 杨洋，yycisa@263.net Feb, 2008 许霆案回顾： 1. 2006年4月21日下午5时，广电运通公司为广州商业银行进行ATM机系统升级后，位于广电运通集团楼下的离行式ATM机发生了异常（推测）。 2. 晚上许霆拿着存有175元的银行卡，在该ATM机准备取款100元时，由于多按了一个零，变成了取1000元。 3、当他看到ATM机如数吐出1000元，并只扣1元的漏洞后，先后171次共取走17.5万元。 据悉，该漏洞是4月24日早上由广州商业银行恒福支行ATM机管理中心的工作人员翻查监控记录时发现的。随后，该部门立刻通知广州商业银行总行并报案。 交易设备可靠吗？ 杨洋，yycisa@263.net Feb, 2008 1. 为什么只有许霆发现了这一秘密？ 2. 同一错误为什么能够重现171次？ 3. 为什么误差恰好是十进制整数？ 4. 服务器错误还是终端错误？ 5.如果是批量升级，是否仅此一台出错？ 6. 为何3天后才发现异常？ 7. 升级前后是否进行了充分测试？ 8. ATM机是否可配置？由谁配置？ 9. …… …… 反思 杨洋，yycisa@263.net Feb, 2008 少一点反思，多一点控制！ 杨洋，yycisa@263.net Feb, 2008 IT审计 信息系统审计（Information System Audit），又称IT审计，是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现。具体而言，信息系统审计以企业或政府等组织的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的有效性和效率性等方面出发，对其是否能够有效可靠的达到组织的战略目标进行全面的监测和评估，并为改善和健全组织对信息系统的控制提出详细的建议。 杨洋，yycisa@263.net Feb, 2008 社会经济对IT审计的需求 由于企业内部控制导致的案件愈发频繁，针对企业内控进行定期审查和专项审查的呼声越来越高 现代企业的业务流程基本依赖于信息系统，因此对信息系统内部控制的审计格外重要 SOX法案颁布以来，对于任何一家在美上市的公司而言，符合SOX法案都是前所未有的巨大挑战。但这同时对CIO来讲，却是“利好”，因为对已经开始实施法案符合性阶段的公司来讲，IT在其内部控制中所扮演的重要角色立即凸显出来，而实施IT审计正是解决之道！ 杨洋，yycisa@263.net Feb, 2008 SOX404专案实施团队的专业组成 来源：Ernst Young 调查报告 杨洋，yycisa@263.net Feb, 2008 中国金融业监管机构对IT审计的要求 2003年12月15日中国证监会发布《证券公司内部控制指引》。 2004年9月30日中国银监会发布《商业银行内部控制评价办法》。 2006年3月银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》 。 上海证券交易所7月发布《上海证券交易所上市公司内部控制指引》 。 深圳证券交易所9月发布《深圳证券交易所上市公司内部控制指引》 。 2006年11月银监会发布《银行业金融机构信息系统风险管理指引》 ,开展银行业金融机构2006年度信息科技风险内部和外部评价审计工作。 杨洋，yy