建行-IT审计规范体系简介

1、China Construction Bank. | 1 IT审计分享 China Construction Bank. | 2 提纲提纲 I IT T审计概要审计概要 COBITCOBIT简介简介 ITIT审计的实施策略审计的实施策略 建行建行ITIT审计的情况审计的情况 建行建行ITIT审计规范体系审计规范体系 China Construction Bank. | 3 提纲提纲 I IT T审计概要审计概要 COBITCOBIT简介简介 ITIT审计的实施策略审计的实施策略 建行建行ITIT审计的情况审计的情况 建行建行ITIT审计规范体系审计规范体系 China Construction

2、 Bank. | 4 IT审计概要审计概要 先从一个先从一个ITIT审计的实例说起：网上银行审计审计的实例说起：网上银行审计 在提交的审计报告中，委托方期望的或我们应该回答如下问题：在提交的审计报告中，委托方期望的或我们应该回答如下问题： 各种交易的账务处理是否准确？各种交易的账务处理是否准确？ 是否能够满足业务需求？是否能够满足业务需求？ 是否能够对业务需求的变化及时响应，以支持公是否能够对业务需求的变化及时响应，以支持公 司的战略目标？司的战略目标？ 系统可靠吗，是否能够为用户提供持续的服务？系统可靠吗，是否能够为用户提供持续的服务？ 系统安全吗，是否能够抵御病毒、木马以及黑客系统安全吗，

3、是否能够抵御病毒、木马以及黑客 的攻击？的攻击？ 系统保密吗，敏感信息会被非法访问吗？系统保密吗，敏感信息会被非法访问吗？ ITIT投资合理吗，是否得到应有的回报？投资合理吗，是否得到应有的回报？ 交易和处理方式符合相关的法律法规吗？交易和处理方式符合相关的法律法规吗？ 怎样才可以做的更好？怎样才可以做的更好？ China Construction Bank. | 5 IT审计概要审计概要 上述这些问题，对应了上述这些问题，对应了ITIT审计的三个发展阶段，或审计的三个发展阶段，或ITIT审计三个层审计三个层 面的职能面的职能 EDPEDP审计审计电子数据处理审计，附属于电子数据处理审计，附属

4、于 传统的财务审计，关注财务信息电子化处传统的财务审计，关注财务信息电子化处 理过程的正确性和完整性理过程的正确性和完整性 鉴证审计（鉴证审计（ASSURANCE）信息系统安全性信息系统安全性 、可靠性、有效性的测试和评价、可靠性、有效性的测试和评价 咨询审计咨询审计ITIT治理结构和管理流程的改进治理结构和管理流程的改进 China Construction Bank. | 6 IT审计概要审计概要 要实施网上银行的审计，回答委托方关注的问题，必然涉及：要实施网上银行的审计，回答委托方关注的问题，必然涉及： 网上银行相关的设施网上银行相关的设施 网上银行应用系统网上银行应用系统 周边的应用系

5、统，如账务系统、贷款系统、信用卡系统周边的应用系统，如账务系统、贷款系统、信用卡系统 信息流量信息流量 数据库数据库 网络网络 主机主机 China Construction Bank. | 7 IT审计概要审计概要 要实施网上银行的审计，回答委托方关注的问题，必然涉及：要实施网上银行的审计，回答委托方关注的问题，必然涉及： IT管理管理 规划管理规划管理 业务需求管理业务需求管理 架构管理架构管理 系统开发系统开发 采购管理采购管理 运维管理运维管理 人力资源管理人力资源管理 China Construction Bank. | 8 IT审计概要审计概要 系统不是孤立的系统不是孤立的 管理不

6、是孤立的管理不是孤立的 审计项目无法达成预期的目标审计项目无法达成预期的目标 审计项目的延期审计项目的延期 如果没有统一的规划如果没有统一的规划 China Construction Bank. | 9 提纲提纲 I IT T审计概要审计概要 COBITCOBIT简介简介 ITIT审计的实施策略审计的实施策略 建行建行ITIT审计的情况审计的情况 建行建行ITIT审计规范体系审计规范体系 China Construction Bank. | 10 什么是 COBIT 缩略语COBIT的全称是“Control Objectives for Information and related Tech

7、nology”，信息及相关技术控制目标 COBIT是一个IT治理和控制框架，它主要关注于“需要实现什 么”而不是“如何实现” China Construction Bank. | 11 COBIT使命 研究、制定、发布及促进一个权威性的、最新的、国际公认的 IT治理控制框架，该框架可用于企业的业务管理人员、IT专家 及质量保证专员的日常工作。 China Construction Bank. | 12 COBIT发展历史 COBIT最初以手册的形式发布，3.0版以后开始提供在线PDF免 费用于非商业目的 COBIT源于COSO内部控制框架、最初的ISACA控制目标和超过 50个IT标准及最佳实

8、践 COBIT在业务控制模型和IT最佳实践之间架起了一座桥梁，并为 IT治理提供模型 China Construction Bank. | 13 COBIT框架的前提 COBIT框架是基于这样一个假定：IT需要交付实现企业目标所 需的信息。 COBIT框架通过关注业务的信息需求、组织IT资源来帮助IT与 业务保持一致 COBIT也为实施IT治理提供框架和指南 China Construction Bank. | 14 COBIT框架基本原理 为提供企业实现其目标所需的信息，企业需要采用一系列结构 化的流程来投资、管理和控制IT资源以向企业提供服务并交付 所需信息 管理和控制信息是COBIT框架

9、的核心，它有助于确保IT与业务 保持一致 China Construction Bank. | 15 COBIT 立方体 COBIT框架的三个基本组件：IT流程、IT资源和业务需 求（信息标准），合在一起就构成了COBIT立方体 China Construction Bank. | 16 COBIT 立方体 IT 流程 COBIT使用流程把常见的IT活动组合在一个流程模型中，以帮 助管理IT资源来响应业务需求 共有34个IT流程，分为四类定义为四个领域，每一个流程又可 细分为组织中的活动和任务 China Construction Bank. | 17 COBIT的四个领域 COBIT在四个域

10、内将IT活动定义为过程模型，这些域映射到传统 IT职责域：计划、建设、运行和监控 规划划与组织(PO)：为提供解决方案(AI)和提供服务(DS)落实方针 获取与实施(AI)：提供解决方案并将其转化成为服务 交付与支持(DS)：接受解决方案使之为最终用户所用 监控与评价(ME)：监控所有流程确保遵循既定方针 China Construction Bank. | 18 PO 计划与组织 该域涵盖了战略和战术，致力于识别IT为实现业务目标作出最 佳贡献的途径。实现战略愿景需要计划、沟通并管理不同的工 作设想，并落实适当的组织结构及技术基础设施。 IT战略与业务战略是否一致? 企业是否实现了对资源的最

11、佳利用? 组织中每一位成员是否理解IT目标? 是否理解IT风险并加以妥善管理? IT质量能否满足业务需求? China Construction Bank. | 19 AI 获取与实施 为实现IT战略，应识别、开发/采购、实施IT解决方案并将其整 合到业务流程中。此外，该域还涵盖了现有系统的变更与维护 以确保持续满足业务目标。该域主要阐述下列管理问题： 新项目所提供的解决方案是否满足业务需求? 新项目是否在预算内按时交付? 新系统上线后能否按预期运行? 变更实施是否未影响当前的业务运行? China Construction Bank. | 20 DS 交付与支持 这一领域主要关注所需服务的实

12、际交付情况，包括服务交付、 安全和持续性管理、用户服务支持、数据和操作设施管理。该 领域主要阐述下列管理问题： 是否按照业务的优先级交付IT服务? 是否优化IT成本? 员工是否能有效和安全地使用IT系统？ 是否充分落实信息安全的机密性、完整性、可用性? China Construction Bank. | 21 ME 监督与评价 应定期评估所有IT流程质量以及与控制要求的符合程度。该域 涉及绩效管理、内部控制监督、合规和治理等，主要阐述下列 管理问题： IT绩效测评能否及时检查出问题? 管理层是否确保内部控制的效果和效率? IT绩效是否能回溯到业务目标? 是否对风险、控制、符合性和绩效进行测评

13、并报告？ China Construction Bank. | 22 COBIT流程 在四个领域内有34个IT流程，这些流程指明了实现企业目标的 业务需求，每一个流程都使用控制目标来控制信息的交付 每个IT流程都有一个流程描述（高层控制目标）和多个详细控 制目标，作为一个整体是最佳管理流程的基本特征 China Construction Bank. | 23 COBIT 的 34个流程 计划与组织计划与组织 PO1 制定IT战略规划 PO2 定义信息架构 PO3 确定技术方针 PO4 定义IT流程、组织和关系 PO5 IT投资管理 PO6 贯彻管理目标和方针 PO7 IT人力资源管理 PO8

14、质量管理 PO9 IT风险评估及管理 PO10 项目管理 v获取与实施获取与实施 AI1 识别自动化解决方案 AI2 应用系统开发及维护 AI3 技术基础设施的获取及维护 AI4 运营知识保障 AI5 IT资源获取 AI6 变更管理 AI7 系统测试与发布 v交付与支持交付与支持 DS1 服务水平的制定与管理 DS2 第三方服务管理 DS3 性能和容量管理 DS4 确保持续服务 DS5 确保系统安全 DS6 成本确认与分摊 DS7 教育和培训用户 DS8 服务台和事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理 v监控与评价监控与评

15、价 ME1 IT绩效的监督与评价 ME2 内部控制的监督与评价 ME3 确保遵循外部监管要求 ME4 提供IT治理 China Construction Bank. | 24 COBIT 活动和任务 活动是实现预期结果所要采取的行动步骤，活动具有周期性， 而任务是分散的 每一个流程目标都需要一系列的活动，同时也为活动确立了目 标 China Construction Bank. | 25 COBIT 立方体 业务需求 为满足业务目标的要求，信息需要遵循一定的控制标准， COBIT称之为信息的业务需求。基于广泛的质量、责任和安全 要求，COBIT定义了七个独立又有所重叠的信息标准： 效果 效率

16、保密性 完整性 可用性 符合性 可靠性 China Construction Bank. | 26 COBIT 立方体 IT 资源 为满足业务需求，企业需投入资源创建充分的技术能力以支持 业务能力进而获得预期结果 IT资源由IT流程来管理，以向组织交付实现其业务目标的信息 IT资源包括： 应用系统 信息 基础设施 人员 China Construction Bank. | 27 管理指南 管理指南包括下述内容： China Construction Bank. | 28 流程输入和输出 每一个流程都与其他流程有联系，输入是一个流程从其他流程 所获得的内容，输出则是该流程提供给其他流程的内容，在

17、某 些情况下，输入输出可能来自COBIT外部。下例为PO10： China Construction Bank. | 29 关键活动与 RACI图 每一个流程的关键活动都使用RACI图予以描述，有4种行为： A-负责，代表“责任止于此”，是为活动提供指导和授权的人，责任不能转授 R-执行，具体执行任务的人，其任务可以再分配 C-商议，I-告知，对流程提供支持以及流程所涉及的每一个人 RACI图明确了活动任务应该分配给谁 China Construction Bank. | 30 目标和指标 目标自上而下地设立，业务目标确立支持它的若干个IT目标； 一个IT目标由一个或若干个相互作用的流程来实现

18、，这样，IT 目标帮助确立不同的流程目标；每一个流程目标都需要一系列 的活动，反过来也确立了活动目标。 China Construction Bank. | 31 成熟度模型 成熟度模型采用基于组织评价的方法，将流程成熟度水平划分为 从无级别(0)到优化级(5)六个等级 成熟度等级是IT流程的概括图，可用于企业识别并记录当前及未 来的可能状态，这些等级并非阀值 使用每个IT流程的成熟度模型管理层可以找出： 企业的实际绩效当前所处的位置 行业的当前状况比较 企业的改进目标期望达到的位置 在当前是和将达到之间所需的成长路径 China Construction Bank. | 32 COBIT各组

19、件之间关系小结 China Construction Bank. | 33 提纲提纲 I IT T审计概要审计概要 COBITCOBIT简介简介 ITIT审计的实施策略审计的实施策略 建行建行ITIT审计的情况审计的情况 建行建行ITIT审计规范体系审计规范体系 China Construction Bank. | 34 1 全面性全面性 能够涵盖建行能够涵盖建行ITIT 管理各项流程，管理各项流程， 适用各级分支机适用各级分支机 构和各类审计对构和各类审计对 象象 2 融合性融合性 引入国际业界标引入国际业界标 准或最佳实践，准或最佳实践， 遵循国家、监管遵循国家、监管 部门和建行部门和建行

20、ITIT相相 关制度关制度 3 操作性操作性 在审计项目管理、在审计项目管理、 审计流程控制、审计流程控制、 审计测试方法方审计测试方法方 面提供操作性很面提供操作性很 强的指导强的指导 IT审计规范体系审计规范体系 China Construction Bank. | 35 2006.8 2007.2 2007.8 2007.9 l 正式批准立项 l 项目计划编制 l 项目预算编制与批复 l 项目采购与合同签署 l 任务初步分析 l 大纲编写 l 方案建议书评审 l 初稿编写 l 专题调研 l 完善及测试性审计 l 试点审计 l 推广培训 l 文档整理 l 验收准备 l 决算准备 课题组人员

21、 l 审计部 l 信息技术管理部 l 武汉开发中心 IT审计规范体系审计规范体系 China Construction Bank. | 36 IT审计准则 IT审计指南 内部审计准则 CobiT 4.1 CMMi BS7799 ITIL 参 考 业界最佳实践 内审协会 IT审计准则 参 考 依据 依据 IT审计规范 体系 监管要求 行内制度 内部审计章程 依据 依据 IT审计案例集 补充 IT审计 测试库 IT风险控制 能力评价标准 重要术语 与定义 IT制度汇编 IT风险控制 水平衡量指标 IT风险 评估表 IT审计 访谈提纲 IT审计 测试表 IT审计 范围表 IT审计方案模板 参 考 参

22、 考 依 据 开发中心IT项目 管理专项审计 分行IT开发 项目专项审计 分行运行维护 专项审计 应用 具体内容文档样式 具体内容 抽取 理解 依据 ITIT审计规范体系逻辑架构图审计规范体系逻辑架构图 IT Assurance Guide Using Cobit 参 考 IT审计规范体系审计规范体系 China Construction Bank. | 37 ITIT审计准则审计准则 ITIT审计指南审计指南 ITIT审计测试库审计测试库工具组件工具组件 IT审计规范体系审计规范体系 China Construction Bank. | 38 ITIT审计准则审计准则 ITIT审计指南审计指

23、南 ITIT审计测试库审计测试库十大工具十大工具 IT审计规范体系审计规范体系 China Construction Bank. | 39 （1 1）ITIT审计准则审计准则 已经发布的内部审计准则已经发布的内部审计准则 包括：包括： 第1号：审计人员职业道德 第2号：审计程序 第3号：审计计划 第4号：审计方案 第5号：审计证据 第6号：审计工作底稿 第7号：审计报告 第8号：海外审计 第9号：审计追踪 第10号：内部控制评价 第11号：审计档案 第12号：质量控制 制定制定ITIT审计准则审计准则的原则：的原则： IT审计准则是针对信息技术 审计的专项审计准则，将成为内 部审计准则的一个组

24、成部分。 其他内部审计准则同样适用于IT 审计，IT审计准则仅补充有 关IT审计的特有内容。 使用IT审计准则时，应同时 考虑其他内部审计准则的相关要 求。 IT审计规范体系审计规范体系 China Construction Bank. | 40 ITIT审计准则审计准则 ITIT审计指南审计指南 ITIT审计测试库审计测试库十大工具十大工具 IT审计规范体系审计规范体系 China Construction Bank. | 41 （2 2）ITIT审计指南审计指南 目的：目的： 规范和指引审计 人员开展信息技术 审计业务 促进IT审计项目 的科学管理，保证 审计质量 依据：依据： 中国建设银

25、行 股份有限公司内部 审计章程 中国建设银行 股份有限公司内部 审计准则（包括 信息技术审计准 则） 1 1 总则总则 1.1 目的和依据 1.2 适用范围 2 2 审计计划审计计划 3 3 审计准备审计准备 3.1 IT风险识别和评估 3.1.1 风险评估的方法 3.1.2 IT风险评估 3.2 确定审计范围 3.3 制定审计方案 3.3.1 制定总体审计方案 3.3.2 制定具体审计方案 4 4 审计测试审计测试 4.1 控制类型 4.2 取证方法 4.3 审计证据 4.4 审计抽样 5 5 审计报告审计报告 5.1 剩余风险评估 5.2 审计评价 5.3 审计建议 主要明确计划、主要明确

26、计划、 准备、测试和报准备、测试和报 告四个阶段的相告四个阶段的相 关事项。关事项。 整个整个ITIT流程以风流程以风 险为导向，从风险为导向，从风 险评估、风险控险评估、风险控 制有效性确认、制有效性确认、 剩余风险评估，剩余风险评估， 最终形成审计结最终形成审计结 论和整改建议。论和整改建议。 IT审计规范体系审计规范体系 China Construction Bank. | 42 ITIT审计准则审计准则 ITIT审计指南审计指南 ITIT审计测试库审计测试库十大工具十大工具 IT审计规范体系审计规范体系 China Construction Bank. | 43 4 4个领域个领域 计

27、划与组织 获取与实施获取与实施 提供与支持 监督与评价 领域流程 潜在 风险 控制目标 （子流程） 控制要点控制活动 控制设计/执行有效性 的测试步骤 参考依据 3333个流程个流程 1.可行性研究和需求分析 2.应用系统开发与维护 3.基础设施的获取与维护 4.运营知识保障 5.IT资源获取 6.变更管理 7.系统测试与发布系统测试与发布 评价 标准 衡量 指标 1.已达到预期收益的系统比率 2.内、外部审计在应用系统上线和验收流程所发现错误的数量 3.由于不充分的最终验收导致上线后重开发的次数 4.由于不充分的测试导致的应用系统中断或数据修正数量 5.开发项目已制定测试计划率 6.上线前未

28、经需求部门管理层批准的变更的数量 一级（与成熟度模型中“优化级”相对应） 二级（与成熟度模型中“可管理级”相对应） 三级（与成熟度模型中“定义级”相对应） 四级（与成熟度模型中“可重复级”相对应） 五级（与成熟度模型中“初始级”相对应） （3 3）ITIT审计测试库审计测试库 447447个控制点个控制点 1.按照实施计划，执行正式 的流程来控制系统从开发到 测试再到运行的移交。 2.新系统应和老系统并行一 段时间，以比较两个系统的 运行状态和结果。 3.有正式的流程来确保软件 版本的批准、封装、回归测 试、发布、交接、状态跟踪、 撤销程序和用户通知。 3 3个层次个层次 1.CobiT4.1

29、，控制目标 AI7.8 系统上线； 2.监管要求监管要求，银监会商 业银行信息科技风险管理指 引第十八条； 3.建行制度建行制度，建设银行信息 技术项目管理办法(试行) （建总发2007154号） 第三十三、三十六条； 208208个子流程个子流程 1.用户培训 2.测试方案 3.实施方案 4.测试环境 5.系统切换和数据转换 6.变更测试 7.验收测试 8.系统上线系统上线 IT审计规范体系审计规范体系 China Construction Bank. | 44 计划与组织 获取与实施获取与实施 提供与支持 监督与评价 领域流程 潜在 风险 控制目标 （子流程） 控制要点控制活动 控制设计/

30、执行有效性 的测试步骤 参考依据 1.可行性研究和需求 分析 2.应用系统开发与维 护 3.基础设施的获取与 维护 4.运营知识保障 5.IT资源获取 6.变更管理 7.系统测试与发布系统测试与发布 1.用户培训 2.测试方案 3.实施方案 4.测试环境 5.系统切换和数 据转换 6.变更测试 7.验收测试 8.系统上线系统上线 9.实施后评审 1.按照实施计划，执行正式的流程来控制系统 从开发到测试再到运行的移交。 2.新系统应和老系统并行一段时间，以比较两 个系统的运行状态和结果。 3.有正式的流程来确保软件版本的批准、封装、 回归测试、发布、交接、状态跟踪、撤销程序 和用户通知。 4.系

31、统发布控制流程应包括系统的完整性控制，系统发布控制流程应包括系统的完整性控制， 开发、测试、运行职责的分离，为所有活动留开发、测试、运行职责的分离，为所有活动留 下完整的审计轨迹下完整的审计轨迹。 评价 标准 衡量 指标 1.已达到预期收益的系统比率 2.内、外部审计在应用系统上线和验收流程所发现错误的数量 3.由于不充分的最终验收导致上线后重开发的次数 4.由于不充分的测试导致的应用系统中断或数据修正数量 5.开发项目已制定测试计划率 6.上线前未经需求部门管理层批准的变更的数量 一级（与成熟度模型中“优化级”相对应） 二级（与成熟度模型中“可管理级”相对应） 三级（与成熟度模型中“定义级”

32、相对应） 四级（与成熟度模型中“可重复级”相对应） 五级（与成熟度模型中“初始级”相对应） （3 3）ITIT审计测试库审计测试库 IT审计规范体系审计规范体系 China Construction Bank. | 45 ITIT审计准则审计准则 ITIT审计指南审计指南 ITIT审计测试库审计测试库十大工具十大工具 IT审计规范体系审计规范体系 China Construction Bank. | 46 影响等级 影响因素 较小中等较大重大 对业务的影响仅影响内部业务对业务有一定影响-影响顾客 对业务有重大影响 严重 损害公司为客户服务的能力 分行无法继续经营 管理层投入精力可分配至中层管理

33、人员解决 高层管理人员在中层管理人员 的协助下解决 需要高层管理人员的关注 需要高层管理人员采取持续危 机管理行动并发布指示 品牌和声誉影响较小短期内产生影响严重受损并受到广泛关注 重大损失，未来即使投入巨大 资源也难以完全恢复 人身安全轻伤，需救护需住院治疗 重伤，部分或全部丧失劳动 能力 死亡事故 营业利润0%-0.1% 0.1%-0.3%0.3%-0.5%大于0.5% 总资产0%-0.01%0.1%-0.03%0.03-0.05%大于0.05% 可能性较小可能可能较大可能基本确定 详细描述 可能在某时发生 发生可能 性低 可能在某时发生 中等可能 性 可能会在很多情况下发生在大多数情况下

34、通常会发生 （4 4）工具一：风险评估的方法、标准）工具一：风险评估的方法、标准 影响 重大较高重大重大重大 较大中等较高重大重大 中等较低中等较高重大 较小较低较低中等较高 较小可能可能较大可能基本确定 可能性 IT审计规范体系审计规范体系 China Construction Bank. | 47 （4 4）工具二：）工具二：ITIT风险评估表风险评估表 IT审计规范体系审计规范体系 China Construction Bank. | 48 （4 4）工具三：）工具三：审计范围表审计范围表 IT审计规范体系审计规范体系 China Construction Bank. | 49 （4 4

35、）工具四：审计方案模板）工具四：审计方案模板 IT审计规范体系审计规范体系 China Construction Bank. | 50 （4 4）工具五：）工具五：ITIT制度汇编制度汇编（监管机构、建行内部监管机构、建行内部ITIT制度制度171171个）个） IT审计规范体系审计规范体系 China Construction Bank. | 51 （4 4）工具六：）工具六：ITIT审计访谈提纲审计访谈提纲 IT审计规范体系审计规范体系 China Construction Bank. | 52 （4 4）工具七：）工具七：ITIT审计案例审计案例 集集（257257个案例）个案例） IT

36、审计规范体系审计规范体系 China Construction Bank. | 53 （4 4）工具八：）工具八：重要术语与定义重要术语与定义 IT审计规范体系审计规范体系 China Construction Bank. | 54 （4 4）工具九：）工具九：ITIT风险控制能力评价标准风险控制能力评价标准 IT审计规范体系审计规范体系 China Construction Bank. | 55 （4 4）工具十：）工具十：ITIT风险控制水平衡量指标表风险控制水平衡量指标表 IT审计规范体系审计规范体系 China Construction Bank. | 56 IT审计规范体系审计规范体

37、系 China Construction Bank. | 57 IT审计规范体系审计规范体系 China Construction Bank. | 58 1 2 3 是一个审计人员对是一个审计人员对ITIT进行全面的理解和思考的框架进行全面的理解和思考的框架 IT审计规范体系审计规范体系 4 是管理是管理ITIT审计知识的框架审计知识的框架 可以根据组织的实际情况做裁剪，并需要动态的维护可以根据组织的实际情况做裁剪，并需要动态的维护 是组织内是组织内ITIT利益相关方之间交流和沟通的平台利益相关方之间交流和沟通的平台 China Construction Bank. | 59 提纲提纲 I I

38、T T审计概要审计概要 COBITCOBIT简介简介 ITIT审计的策略审计的策略 建行建行ITIT审计的情况审计的情况 建行建行ITIT审计规范体系审计规范体系 China Construction Bank. | 60 IT审计的策略 立项策略立项策略 统筹规划统筹规划基于组织基于组织ITIT的技术架构和管理架构的技术架构和管理架构 风险导向风险导向基于基于ITIT风险的评估，确定立项的优先级风险的评估，确定立项的优先级 划分相对独立的审计单元划分相对独立的审计单元确保审计范围可控确保审计范围可控 审计项目的周期覆盖审计项目的周期覆盖 尽量与审计资源匹配尽量与审计资源匹配包括人数、知识结构

39、、胜任包括人数、知识结构、胜任 能力能力 China Construction Bank. | 61 IT审计的策略 如开始提到的网上银行审计，可以分解为：如开始提到的网上银行审计，可以分解为： 网上银行应用控制审计网上银行应用控制审计 网络安全审计网络安全审计 项目开发审计项目开发审计 运维管理审计运维管理审计 数据中心审计数据中心审计 审计项目易于管理，审计风险相对分散审计项目易于管理，审计风险相对分散 China Construction Bank. | 62 IT审计的策略 项目实施策略项目实施策略 充分的审前准备充分的审前准备识别关键的识别关键的ITIT资源和管理流程。需要调阅：资源和管理流程。需要调阅： 技术文档、技术规范、操作规程、岗位职责描述、运行报告、技术文档、技术规范、操作规程、岗位职责描述、运行报告、 自评估报告等。自评估报告等。 职能流程矩阵职能流程矩阵与与ITIT管理的组织架构为线索，确定管理的组织架构为线索，确定ITIT流程与职流程与职 能部门的关系，最好明确关键的岗位和个人能部门的关系，最好明确关键的岗位和个人 审计组成员的合理分工审计组成员的合理分工以职能流程矩阵为基础，考虑工作量以职能流程矩阵为基础，考虑工作量 并尽量避免审计流程的交叉。并尽量避免审计流程的交叉。 审计组内部的充分沟通。审计组内部的充分沟通。 China Con