CMB培训-IT系统审计实务介绍.pptxVIP

招商银行信息系统内部审计培训信息系统审计实务介绍2009年3月;声 明 本培训资料中所包含之内容属保密内容，未经安永（中国）企业咨询有限公司正式书面允诺，不得部分或全部复制，不得使用于非法目的，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。;;;;;;;国内外银行IT审计的差异;;;;;;;;;;;;;;;;;;;;;;;;;审计定义：审计是指有胜任能力的独立机构或人员接受委托或授权，对特定经济实体的可计量的信息证据进行客观收集和评价，已确定这些信息预计定标准的符合程度，并向利益相关者报告的一个系统过程。;信息系统审计定义：信息系统审计时收集并评价审计证据，以判断与被审计单位信息系统有关的资源与资产的保全、资料与系统的完整性维护等；判断信息系统是否可以提供值得信赖的资料，并有效实现组织的目标；信息系统的内部控制是否有效的实现控制目标和经营目标，并能及时的预防、发现和纠正不良事件的发生。;审计程序的步骤 获取并记录对审计对象的了解 风险评估和总体审计计划和安排 详细审计计划 初步检查审计对象 评估审计对象 符合性测试（控制测试） 实质性测试 报告（沟通结果） 后续审计;审计方法 审计范围 审计目标 审计工作计划 典型的审计阶段 确定审计目标 确定审计范围 初步审计计划 审计方法和采集数据 评价测试和检查结果 与管理人员沟通 准备审计报告 ;审计风险和重要性 审计风险可定义为“信息或财务报表可能有重要错误，但信息系统审计人员未发现已发生的错误，并做出了错误结论的风险”。 “重要性”一词，是指错误的严重程度，这一程度是从被审计信息系统的利益相关者的角度来判断，如果影响到利益相关者的判断与决策，那么这一错误就是重要的。重要性的确定是信息系统审计师的一项职业判断，需要从整体上考虑由于控制薄弱而造成的过失、疏忽、违规和非法行为对组织的影响。 审计师使用基于风险的审计方法来评估审计过程本身所具有的风险，并决定在审计过程中是否采用及如何采用符合性测试和实质性测试。 ;;在采用基于风险的审计方法时，信息系统审计师不仅仅是依赖??对风险的认识，而且还依赖于对组织的内部控制和运营控制的分析。这种类型的风险评估就是把风险意识贯穿到审计的全过程，从而在审计过程中把重点放在审计风险的评估上，并有助于把对控制所做的成本效益分析与已知的风险结合起来，作出最佳控制选择。基于风险的审计方法有以下优点： 强调商业和业务知识 强调评估整体控制的有效性 根据控制目标将风险评估和测试方法有机结合起来 重点是从管理角度来看企业运营;在决定应审计哪些功能区域时，信息系统审计师将面临大量不同类型的审计对象，信息系统审计师应根据被审计对象的复杂性和具体情况来选择最适合组织需要的风险评估技术。利用风险评估技术来确定审计范围时.要注意以下问题： 管理层能有效的分配审计资源 保证从组织的各级管理层能收集到足够的信息 能为有效管理审计部门并提高审计工作绩效奠定基础 总结出单独审计对象与整个组织及业务计划是如何相关的 ;控制目标和审计目标 控制目标指出内部控制应如何发挥作用，而审计目标则给出明确的审计目的。一项审计可以包含几个审计目的。 审计目标通常专注于证实内部控制存在并能有效地降低业务风险。审计目标包括鉴证信息资产的机密性、完整性、可靠性、可用性及与法律法规的符合性。当实施具体的审计任务时，被审计方管理层负责人会提供一个总的控制目标，让审计师去检查及鉴证。;符合性测试：符合性测试确定控制的执行符合管理层制定的方针政策的程度。例如，通过测试抽取的程序样本的原版本与目标版本的一致性。 实质性测试：实质性测试验证实际处理的完整性.通过实质性测试可以确定财务报表和财务信息所反映的业务活动的正确性和完整性。 实质性测试和符合性测试关系 如果符合性测试(也叫控制测试)结果表明被审计单位内部控制充分，信息系统审计师就会减少实质性测试程序。反之，如果控制测试的结果表明被审计单位控制薄弱，在账户的完整性、正确性和有效性都不可信时，信息系统审计师则要实施大量的实质性测试程序.;;获取审计证据的技术 检查信息系统组织架构：在信息系统环境下，组织结构提供了充分的职责分工，是重要的一般控制。 检查信息系统方针政策：信息系统审计师应该检查组织是否存在适当的方针和政策，确定员工是否理解方针政策并在工作中得到遵循。 检查信息系统文件：检查信息系统文件先要了解组织内的现行文件，信息系统审计师至少要找到关键信息系统文件。 约见相关人员进行会谈：约见应事先安排，按事先拟好的提纲进行，井记录会谈纪要。 观察处理过程和员工实际表现：观察是各种检查方法中一种重要技巧。信息系统审计师在观察过程中应纪录下充分详细的记录作为以后的审计证据。;抽样是应用在成本及时间都不允许对所有交易或事件的对象总体作100%审