信息科技风险审计方法及过程.pptVIP

审计人员在进行审计时,常使用不同的审计方法,有时同时结合几种审计方法进行审计。实际操作中内部审计方法有多种，现总结整理如下（详情参考时代新威信息科技风险审计之内部审计）01询问法也称为访谈法02是指审计人员与被审计单位或有关人员03进行面对面交谈，以了解有关情况、收集审04计证据的一种方法。05询问法的使用范围包括：06在计划阶段中了解情况，实施阶段时收07集证据，报告阶段相互沟通情况等。内审人员08在实施时要注意同时要有两名审计人中在场。审核法审核法是指对会计记录和1其他书面文章进行审阅与核对，这方2面占审计工作的比重比较大。它主要3在查阅会计资料、预算、计划、会议4记录及各种规章制度等资料使用。5的审计，以及独立执行业——外部审计外的国家审计机构所进行信息科技风险审计之务会计师事务所接受委托外部审计是指独立于进行的审计。政府机关和企事业单位以01外部审计实际上是对企业内部虚假、02欺骗行为的一个重要而系统的检查，因此03起着鼓励诚实的作用：由于知道外部审计04不可避免地要进行，企业就会努力避免做05那些在审计时可能会被发现的不光彩的事。我国财政、银行、税务部门为了做好其本职工作,而对其管辖区各单位的业务(如税利上缴和信贷资金使用情况等)所进行的检查,不属于审计,更谈不上是外部审计,而只是经济监督中的财政监督、税务监督和信贷监督。外部审计包括国家审计和社会审计。国家审计是指由国家审计机关所实施的审计。国家审计的主体是审计署以及各省、市、自治区、县设立的审计机关，对被审计单位的财务财政活动、执行财经法纪情况以及经济效益性进行审计监督。社会审计是指由经政府有关部门审核批准的社会中介机构进行的审计，其主体是注册会计师。北京时代新威信息技术有限公司信息科技风险审计

方法及过程——摘自北京时代新威信息技术有限公司《信息科技风险审计战略部署》为帮助银行客户满足银监会《商业银行01添加标题信息科技风险审计管理指引》等相关监管要02添加标题求，同时进一步加强信息技术建设，全面强03添加标题化风险管理，越来越多的企业已经开始为多04添加标题家银行提供信息科技风险审计服务了，本文05添加标题就是北京时代新威信息技术有限公司（以下06添加标题简称时代新威）内部人员总结出的对于信息07添加标题科技风险审计的方法及过程。08添加标题信息科技风险审计范围：一）信息科技治理二）信息科技风险管理三）信息安全四）信息系统开发测试和维护业务连续性管理内部审计信息科技运行外包外部审计信息科技风险审计之

——信息科技治理信息科技治理是指对现代信息技术如通讯技术，信息处理技术、控制技术等的科学管理活动和过程。时代新威的审计专家指出，“它是以信息服务业务的开展与社会的实际需要作为依据，组织好各种信息技术的开发和应用，并对信息技术进行标准化、规范化管理。”信息科技治理战略必须要解决下述主要问题：（1）保证构造合理的信息系统结构并将其实现。（2）保证新系统开发方式可以满足企业长期维护的目标。（3）保证内部和外部采购的决策能得到认真的考虑。（4）决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然成本高，但是能为用户提供更好的服务。信息科技风险审计之

——信息科技风险管理信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。在风险管理方面，北京时代新威信息技术有限公司与许多商业银行都有合作成功的案例，其工作内容可总结为以下两点。信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。信息科技风险审计之

——信息安全信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至