IT业务审计基础知识课程讲义.doc

IT业务审计基础知识课程讲义 IT业务审计基础知识 随着计算机技术的高速发展，银行计算机应用也日新月异。目前我行计算机应用几乎涵盖了所有的银行业务，并依靠计算机技术的支持，不断创新银行业务。计算机应用的方式也从过去的单点单机处理方式逐步提高为全国大集中、24小时自助银行、核心业务系统处理的方式。因各种原因造成计算机应用系统不能正常运行从而导致银行业务停顿和资金损失的风险已经成为最重大的金融风险之一，因此确保银行计算机应用系统的安全可靠运行已显得尤为重要，加强对IT审计也就势在必行。 第一章 IT业务审计的职责、审计范围和审计流程 1.1 IT审计职责 1.1.1 总行IT审计职责 总行现场审计五部负责全行IT审计管理工作，其主要职责: (1)负责制订信息系统安全和电子渠道业务审计制度、手册和工作计划; (2)负责对全行信息系统安全和电子渠道业务的审计，包括对总行信息技术管理部、电子银行部、软件开发中心和数据处理中心内控管理及业务部门计算机安全应用方面的审计; (3)参与总行业务应用软件的开发审核，重点是软件程序风险控制的审核，软件投入应用前的测试、验收等; (4)对全行信息系统安全和电子渠道业务进行审计并作出评价;评估各计算机业务处理系统在实现内部控制制度各个环节方面的控制能力及可审计性，发现薄弱环节及时向有关部门提出建议。 (5)对地区和省直分行所在地城市审计部，信息系统安全审计工作进行指导，并对其报送的信息系统专项审计报告进行审阅，提出意见; (6)组织和实施全行性的信息系统和电子渠道业务审计; (7)负责省直分行及部分省辖行IT业务及电子渠道业务现场审计; strengthen the concept of organization, subordinate to the Organization to decide about organizing principles, the "four obedience" placed in the higher position, resolutely overcome liberalism, Anarchist, populist and other unhealthy tendencies, and does not allow for arbitrary and "my house, my rules" do not allow bargaining in the duty of due 交通银行IT业务审计 (8)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息，撰写IT业务和电子渠道业务审计分析报告和工作总结等。 (9)负责审计支持系统管理、运行维护工作。 1.1.2 地区审计部IT审计职责 地区审计部分为华北、华东、华南、华西和东北审计部，作为总行审计部在各地区的延伸机构，接受总行审计部的领导和管理，对地区审计部监管范围城市审计部实行领导和管理。其IT审计主要职责如下: (1)地区审计部按照总行审计部的要求开展IT审计工作，代表总行审计部对所监管机构开展IT审计监督活动; (2)按照总行审计部制定的IT审计工作制度和工作安排，研究制订地区审计部的具体实施细则和工作计划,并组织实施; (3)负责对辖内行IT审计工作的领导和管理，进行IT审计工作的考核和评价; (4)对监管范围内省辖行的IT业务和电子渠道业务风险控制状况进行审计; (5)收集、分析、归纳、汇总IT业务和电子渠道业务审计信息以及各类分析报告和工 作总结等，并上报总行审计部。 1.2 IT审计范围 按照商业银行风险导向审计原则，IT审计包含科技应用和电子渠道业务相关风险控制内容，其审计范围如下: (1)信息安全策略与制度。检查网络、系统、应用、环境设施和电子渠道业务等方面的管理制度制订及执行情况。检查安全策略合理性、完整性，检查是否根据总行相关规定制定相应的实施细则，是否覆盖所有相关工作。 (2)安全组织。检查信息安全机构和人员配置、职责及工作情况。检查安全机构工作的有效性。检查人员安全保密职责、安全培训等内容。 (3)信息资产的分类与控制。检查信息资产的使用与管理。检查相应的管理办法和管理流程。 (4)物理与环境安全。检查放置设备的物理环境建设，包含机房门禁、供电、空调、消防、监控等方面安全管理和维护情况。。 (5)通信与运营管理。检查系统运行、监控、故障处理以及数据备份等方面的安 arbitrary and "my house, my rules" do not allow bargaining in the duty of due w forin the higher position, resolutely overcome liber