信息科技风险审计方法及过程.pptVIP

第三十一页，共五十一页。 一、询问法也称为访谈法 是指审计人员与被审计单位或有关人员 进行面对面交谈，以了解有关情况、收集审 计证据的一种方法。 询问法的使用范围包括： 在计划阶段中了解情况，实施阶段时收 集证据，报告阶段相互沟通情况等。内审人员 在实施时要注意同时要有两名审计人中在场。 第三十二页，共五十一页。 二、审核法审核法是指对会计记录和 其他书面文章进行审阅与核对，这方 面占审计工作的比重比较大。它主要 在查阅会计资料、预算、计划、会议 记录及各种规章制度等资料使用。 第三十三页，共五十一页。 信息科技风险审计之 ——外部审计 外部审计是指独立于 政府机关和企事业单位以 外的国家审计机构所进行 的审计，以及独立执行业 务会计师事务所接受委托 进行的审计。 第三十四页，共五十一页。 外部审计实际上是对企业内部虚假、 欺骗行为的一个重要而系统的检查，因此 起着鼓励诚实的作用：由于知道外部审计 不可避免地要进行，企业就会努力避免做 那些在审计时可能会被发现的不光彩的事。 第三十五页，共五十一页。 我国财政、银行、税务部门为了做好其本职工作,而对其管辖区各单位的业务(如税利上缴和信贷资金使用情况等)所进行的检查,不属于审计,更谈不上是外部审计,而只是经济监督中的财政监督、税务监督和信贷监督。 第三十六页，共五十一页。 外部审计包括国家审计和社会审计。 国家审计是指由国家审计机关所实施的审计。国家审计的主体是审计署以及各 省、市、自治区、县设立的审计机关，对被审计单位的财务财政活动、执行财经法纪情况以及经济效益性 进行审计监督。 社会审计是指由经政府有关部门审核批准的社会中介机构进行的审计，其主体是注册会计师。 第三十七页，共五十一页。 信息科技风险审计方法及过程 ——摘自北京时代新威信息技术有限公司 《信息科技风险审计战略部署》 第一页，共五十一页。 为帮助银行客户满足银监会《商业银行 信息科技风险审计管理指引》等相关监管要 求，同时进一步加强信息技术建设，全面强 化风险管理，越来越多的企业已经开始为多 家银行提供信息科技风险审计服务了，本文 就是北京时代新威信息技术有限公司（以下 简称时代新威）内部人员总结出的对于信息 科技风险审计的方法及过程。 第二页，共五十一页。 信息科技风险审计范围： 一）信息科技治理 二）信息科技风险管理 三）信息安全 四）信息系统开发测试和维护 第三页，共五十一页。 五）信息科技运行 六）业务连续性管理 七）外包 八）内部审计 九）外部审计 第四页，共五十一页。 信息科技风险审计之 ——信息科技治理 信息科技治理是指对现代信息技术如通讯技术，信息处理技术、控制技术等的科学管理活动和过程。时代新威的审计专家指出，“它是以信息服务业务的开展与社会的实际需要作为依据，组织好各种信息技术的开发和应用，并对信息技术进行标准化、规范化管理。” 第五页，共五十一页。 第六页，共五十一页。 信息科技治理战略必须要解决下述主要 问题： （1）保证构造合理的信息系统结构并将其实现。 （2）保证新系统开发方式可以满足企业长期维护的目标。 （3）保证内部和外部采购的决策能得到认真的考虑。 （4）决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然成本高，但是能为用户提供更好的服务。 第七页，共五十一页。 信息科技风险审计之 ——信息科技风险管理 信息科技是指计算机、通信、微电子 和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。在风险管理方面，北京时代新威信息技术有限公司与许多商业银行都有合作成功的案例，其工作内容可总结为以下两点。　　 第八页，共五十一页。 信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷