IT业务审计基础知识课程讲义doc.doc

IT业务审计基础知识 随着计算机技术的高速发展，银行计算机应用也日新月异。目前我行计算机应用几乎涵盖了所有的银行业务，并依靠计算机技术的支持，不断创新银行业务。计算机应用的方式也从过去的单点单机处理方式逐步提高为全国大集中、24小时自助银行、核心业务系统处理的方式。因各种原因造成计算机应用系统不能正常运行从而导致银行业务停顿和资金损失的风险已经成为最重大的金融风险之一，因此确保银行计算机应用系统的安全可靠运行已显得尤为重要，加强对IT审计也就势在必行。 第一章 IT业务审计的职责、审计范围和审计流程 1.1 IT审计职责 1.1.1 总行IT审计职责 总行现场五主要负责对全行的，包括对信息技术管理部、电子银行部、软件开发中心和数据处理中心内控管理及业务部门方面的；参与总行业务应用软件的开发，重点是软件程序风险控制的审核，软件投入应用前的测试、验收等；对组织和实施全行性的IP地址分配规则表，VLAN划分控制表和网络安全设计说明； （7）分行自行开发的特色业务系统及其运行环境，与第三方网络通讯和访问控制的安全策略； （8）中心机房内主要物理设备及附属设施的维修保养资料； （9）主要业务系统应急方案和演练记录。 附表1 应用系统调查表 被调查单位： 填表日期：200 年 月 日 填表人： 序号 应用系统 运行环境 应用系统 维护人员 备注 名称 使用单位 开发单位 操作系统 数据库系统 中间件 名称 版本 名称 版本 名称 版本 填表说明：填表内容包含主机系统、各类业务前置机和监控系统上运行的所有应用系统。 附表2 人员岗位及职责分工表 被调查单位： 填表日期：200 年 月 日 填表人： 序号 姓名 岗位 管理的内容 备注 主管内容 兼管内容 填表说明：该表包含电脑部门所有人员，每人信息填写一行。 1.4.2 审计准备会 在现场审计方案草拟后，分管总经理组织审计小组成员，召开审计准备会。会议重点是听取现场审计方案的汇报，研究被审计对象的信息系统管理、安全和电子渠道业务等方面内部控制、风险管理情况，并对问题疑点、线索及异常情况进行分析，讨论审计方案，确定具体审计内容。 1.4.3 审计通知书 根据审计准备会议的讨论情况和会议决定，组织现场审计组落实审计准备会议决定的事项，并对现场审计方案进行修改和完善。拟写审计通知书，审计通知书包括：审计小组人员、审计时间、审计范围和审计主要内容，以及需被审计单位提供的资料清单。完成审计方案和审计通知后，按照发文程序报总经理批准，并发送审计通知。 1.5 IT审计方案 现场审计组成员根据收集的资料和数据，分析资料和数据，了解被审计单位的管理和系统安全运行状况，对其进行初步评估，根据风险导向原则，判断被审计对象可能存在的风险领域、重点和可疑点，主审人根据可能存在的风险制定审计方案。IT现场审计方案的内容一般包括：审计依据、审计目的、审计范围、审计时间、审计内容、审计重点、审计方法、审计标准，以及审计人员分工和职责等。 1.5 .1 IT审计依据 审计依据包括：年度审计部工作计划，《交通银行内部控制评价办法》，《交通银行审计标准程式》的附件7《信息系统安全》，电子渠道业务审计要点，国家相关部门制订的有关信息系统和电子渠道业务的法规、管理制度、规定、办法和指引，交通银行制订的信息系统和电子渠道业务的各项规章制度。 1.5 .2 IT审计方式 审计方式有多重形式，根据现场审计情况的不同，采取不同的审计方式，一般IT审计方式包括：与分行相关人员会谈沟通、问卷调查、数据分析、资料查证、现场检查等多种方式进行。