cmb培训-it系统审计实务介绍资料.ppt

IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 31 信息系统控制目标 信息系统控制目标可以运用在所有人工及自动化控制部分， 所以对信息系统的控制目标不变，但控制的性质可能有所 不同。因此应该根据具体的相关流程来制定具体的内部控 制目标。常见的控制目标有： ? 保护信息系统以防止不当存取，并确保及时更新 ? 保护计算机操作系统及网络操作系统的完整性 ? 通过以下方法保护敏感的、重要的应用系统 ( 如财务及管理应用系统 ) 的 机密性和完整性 : ? 保证信息系统的运营效率与效果 ? 符合用户的需求、组织的方针、策略与程序，并遵守法律法规的要求 . ? 制定业务持续计划及灾难恢复计划 ? 制定应急响应及处理程序 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 32 总体控制程序 总体控制适用于组织的各个方面，控制程序包含由管理者 建立的政策及方法，目的在于合理地确保控制目标实现。 总体内部控制程序包括： ? 内部会计控制 — 主要针对会计操作，关注资产安全、财务资料准确可靠 ? 日常经营控制 — 保证日常业务操作、功能及活动能满足业务目标需要 . ? 组织管理控制 — 关注职能部门的运作效率及运营控制符合管理政策的程 度，以提高经营效率和保证管理方针、政策的实施为目标 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 33 信息系统控制程序 总体内部控制程序可以被转换为信息系统控制程序 . 设计良 好的信息系统应该对全部的敏感或重要功能进行控制。信 息系统内部控制程序可分为以下几类 : ? 信息系统战略与方向 ? 信息系统组织与管理 ? 对数据与计算机程序的访问限制 ? 系统开发方法与变更控制 ? 数据处理作业 ? 系统编程及技术支持 ? 数据处理质量保证程序 ? 物理访问控制 ? 业务持续计划与灾难恢复 ? 网络和通讯 ? 数据库管理 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 34 审计定义： 审计是指有胜任能力的独立机构或人员接受委 托或授权，对特定经济实体的可计量的信息证据进行客观 收集和评价，已确定这些信息预计定标准的符合程度，并 向利益相关者报告的一个系统过程。 实施信息系统审计 审计分类 ? 财务审计：是指审计人员对被单位的会计报表的合法性、公允性发 表审计意见。 ? 经营审计：对企业经营活动的内部控制构成进行评估 ? 综合审计：是指财务审计与经营审计的结合。综合审计的目的既包 括对财务报表发表审计意见，即财务信息的正确性、资产的安全性 : 也包括对内部控制的审计，即内部控制的效率与效果的审计。 ? 管理审计：是一种评价组织内与经营效率相关的问题的审计。 ? 信息系统审计：接下页 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 35 信息系统审计定义：信息系统审计时收集并评价审计证 据，以判断与被审计单位信息系统有关的资源与资产的 保全、资料与系统的完整性维护等；判断信息系统是否 可以提供值得信赖的资料，并有效实现组织的目标；信 息系统的内部控制是否有效的实现控制目标和经营目标， 并能及时的预防、发现和纠正不良事件的发生。 实施信息系统审计 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 36 ? 审计程序的步骤 ? 获取并记录对审计对象的了解 ? 风险评估和总体审计计划和安排 ? 详细审计计划 ? 初步检查审计对象 ? 评估审计对象 ? 符合性测试（控制测试） ? 实质性测试 ? 报告（沟通结果） ? 后续审计 实施信息系统审计 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 37 ? 审计方法 ? 审计范围 ? 审计目标 ? 审计工作计划 ? 典型的审计阶段 ? 确定审计目标 ? 确定审计范围 ? 初步审计计划 ? 审计方法和采集数据 ? 评价测试和检查结果 ? 与管理人员沟通 ? 准备审计报告 实施信息系统审计 IT 系统审计实务介绍 招商银行信息系统内部审计培训 页数 38 审计风险和重要性 审计风险可定义为“信息或财务报表可能有重要错误，但信息系统审计人员 未发现已发生的错误，并做出了错误结论的风险”。 “重要性”一词，是指错误的严重程度，这一程度是从被审计信息系统的 利益相关者的角度来判断，如果影响到利益相关者的判断与决策，那么这一 错误就是重要的。重要性的确定是信息系统审计师