IT审计参考资料

1、页数 1 目录目录 内部控制定义 信息科技层面评估架构 IT公司层面控制 IT一般性控制 应用程序控制 IT审计的参考标准 页数 2 内部控制定义内部控制定义( (续）续） Basel 内部控制框架的定义 Internal control is a process effected by the board of directors, senior management and all levels of personnel. It is not solely a procedure or policy that is performed at a certain point in time,

2、 but rather it is continually operating at all levels within the bank. The board of directors and senior management are responsible for establishing the appropriate culture to facilitate an effective internal control process and for monitoring its effectiveness on an ongoing basis; however, each ind

3、ividual within an organisation must participate in the process. 页数 3 内部控制定义内部控制定义( (续）续） COSO 内部控制定义 内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施 的、旨在为实现以下各类目标提供合理保证的过程： 经营的有效性和效率 财务报告的可靠性 符合适用的法律和法规 页数 4 内部控制定义内部控制定义( (续）续） 内部控制是： 为实现经营目标的动态过程和机制 一系列的： 制度 程序 方法 对风险进行事前防范、事中控制、事后监督和纠正 高级管理层责任 需要全体职工参与的工作 需要通过监控来

4、确保有效性 页数 5 流程A 商业流程/交易类别 关键应用程序 IT基础设施服务 数据库管理系统 操作系统 网络/硬件 流程B流程C 应用程序X应用程序Y应用程序Z 流程A ITIT一般控制一般控制 控制环境 程序开发 程序变更 访问控制 系统运行 应用系统自动应用系统自动 控制控制 输入控制 校验控制 系统接口 系统计算 权限控制 信息系统控制 识别信息系统范围 商业流程/交易类别 战略风险运营风险财务风险合规风险 ITIT公司层面控制公司层面控制 信息科技层面评估架构信息科技层面评估架构 页数 6 信息科技层面评估架构（续）信息科技层面评估架构（续） 信息系统控制评估的建议构架基于国际通行

5、的评估标准。其中，IT公司层面控制 评估是基于COSO模型， IT一般性控制和应用程序控制评估是基于COBIT模型。 监控监控 信息与沟通信息与沟通 控制活动控制活动 风险评估风险评估 控制环境控制环境 合规性合规性 操作操作 财务报告财务报告 应用程序控制应用程序控制 COSOCOSO ITIT公司公司 层面控制层面控制 IT IT 一般性控制一般性控制 页数 7 信息科技层面评估架构（续）信息科技层面评估架构（续） 风险评估风险评估 信息技术风险评估目标的设信息技术风险评估目标的设 定定 技术风险的识别机制及风险技术风险的识别机制及风险 分析分析 降低风险的行动计划与预算降低风险的行动计划

6、与预算 控制活动控制活动 制定各类程序和政策制定各类程序和政策 根据风险执行相应信息系统根据风险执行相应信息系统 控制控制 信息技术职责分工信息技术职责分工 信息与沟通信息与沟通 关注战略一体化的信息系统关注战略一体化的信息系统 与信息质量与信息质量 关注内部与外部的沟通及其关注内部与外部的沟通及其 沟通方式沟通方式 控制环境控制环境 信息技术员工诚信和道德价信息技术员工诚信和道德价 值观值观 信息技术员工胜任能力信息技术员工胜任能力 管理层管理层/ /董事会对信息技术的董事会对信息技术的 关注关注 信息技术组织结构信息技术组织结构 信息技术策略与制度信息技术策略与制度 数据和应用系统的归属制

7、与数据和应用系统的归属制与 职责分离职责分离 COSO“COSO“内部控制内部控制- -整体框架整体框架” 监控监控 进行持续性信息系统监督活进行持续性信息系统监督活 动动 信息系统的独立评估体系信息系统的独立评估体系 适宜的信息技术内部审计计适宜的信息技术内部审计计 划划 信息系统缺陷报告信息系统缺陷报告 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 监控监控 合规性合规性 操作操作 财务报告财务报告 页数 8 信息科技层面评估构架（续）信息科技层面评估构架（续） COBIT 4.1包含34个信息技术过程控制， 并归集为四个控制域： 计划与组织 获取与实施 交付

8、与支持 监控与评价 COBIT (Control Objectives for Information and related Technology， 信息及相关技术的控制目标)是国际公 认的IT治理框架，为企业管理者、用 户、信息系统审计和安全从业者提供 了一个优良参考构架.。 页数 9 信息科技层面评估架构（续）信息科技层面评估架构（续） 应用程序控制简介应用程序控制简介 应用程序控制是业务流程中控制的一部分，是在应用系统中由程序自动执行的 控制，用以替代很多由人工完成的基础性检查工作。由于应用程序控制普遍适 用于各种交易的处理，所以应用程序控制是否有效对于内控的有效性有着重要 的影响。

9、应用程序控制可以分为两类： 系统自动控制 由系统自动完成的控制，无需人工干 预，在开发系统时已经考虑并嵌入到 系统中。 人工依赖系统控制 由系统完成部分的控制，需要人工干 预，且控制是否有效会受到人为因素 的影响。 控制目标控制目标 控制类型控制类型 人工人工 自动自动 预防性预防性发现性发现性 人工控制人工控制 人工依赖系统控制人工依赖系统控制 系统自动控制系统自动控制 页数 10 信息科技层面评估架构（续）信息科技层面评估架构（续） 应用程序控制类型：应用程序控制类型： 登陆权限登陆权限 / /岗位分离岗位分离 实时校验实时校验 /编辑检查编辑检查 计算机计算机 计算计算 自动系统自动系统

10、 接口接口 配置控制配置控制 应用程序应用程序 控制控制 页数 11 信息科技层面评估架构（续）信息科技层面评估架构（续） 应用程序控制类型应用程序控制类型 实时校验实时校验/ /编辑检查控制编辑检查控制：也称为系统录入控制，这类控制主要是确保录入到系统 中的数据的准确性，进行录入时系统会对重要字段的合理性、合规性和准确性进 行检查，防止一些不合适的数据被系统接受，造成系统数据的不真实和垃圾数据 的产生 登陆权限登陆权限/ /岗位分离控制岗位分离控制：系统中用户的权限设置是否合理，是否按照职责需要进 行授权，是否考虑到岗位分离的情况 计算机计算控制计算机计算控制：系统自动计算并保证计算的正确性

11、，此类控制一般在程序开发 时已嵌入到系统中 自动系统接口控制自动系统接口控制：主要关注不同应用系统之间通过接口传递的数据是否准确完 整 配置控制配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的 运行和业务处理的正确性起着重要的作用 页数 12 信息科技层面评估架构（续）信息科技层面评估架构（续） 识别关键风险及信息资产 根据贵行的特性包括现有制度、 业务需要、风险识别、组织模型 、管理、体系结构和行业标准以 及法律、法规、识别关键流程和 控制范围。 监控控制活动 贵行的控制活动得到改善和加强 后，需要建立一套监控体系来保 证控制活动的持续有效。建立一 整套完善的监控方案，

12、用以监控 控制活动的有效性。 评估现有控制 贵行需在IT管理层面以及流程层面 需建立相应的控制，使贵行的工作 模式能够有效地规范起来。在这一 阶段中，内审部将对现有 IT流程和 控制进行评估，了解内部管理和控 制情况，确认控制中存在的风险及 差异。 控制的改善与加强 基于对贵行内部管理和控制情况的 评估结果及发现的风险与差异，对 控制进行改善和加强。依照国际认 可的实践经验与标准，改善自身的 控制活动，以更好的防范风险。 信息科技评估体系信息科技评估体系 页数 13 ITIT审计的参考标准审计的参考标准CoBITCoBIT CoBITCoBIT(Control Objectives for I

13、nformation and related Technology，信息及相关技术的控 制目标)最初的用途是为企业的IT治理提供清晰的 指导策略和优良的实践范本，以帮助管理层理解 并管理有关IT的风险。 CoBIT已经被发展成为一套国际公认的、企业通用 的， 有关IT安全和控制的标准。它为企业管理者、 用户、信息系统审计和安全从业者提供了一个优 良参考构架。 CoBIT将IT过程，IT资源与企业的策略与目标（准 则）联系起来，形成一个三维的体系结构。 页数 14 ITIT审计的参考标准审计的参考标准CoBITCoBIT（续）（续） 有效性 效 率 保密性 完整性 可用性 合规性 可靠性 应应

14、用用 系系 统统 信信 息息 基基 础础 设设 施施 人人 员员 计划与组织计划与组织 采购与实施采购与实施 交付与支持交付与支持 监控与评价监控与评价 有效性（有效性（EffectivenessEffectiveness）：）：是指信息与商业过程相关，并以及时、准确、一致和可行的方式传送。 高效性（高效性（EfficiencyEfficiency）：）：关于如何最佳（最高产和最经济）利用资源来提供信息。 机密性（机密性（ConfidentialityConfidentiality）：）：涉及对敏感信息的保护，以防止未经授权的披露。 完整性（完整性（IntegrityIntegrity）：）：

15、涉及信息的精确性和完全性，以及与商业评价和期望相一致。 可用性（可用性（AvailabilityAvailability）：）：指在现在和将来的商业处理需求中，信息是可用的。还指对必要的资源 和相关性能的维护。 符合性（符合性（ComplianceCompliance）：）：遵守商业运作过程中必须遵守的法律、法规和契约条款，如外部强制商业 标准。 可靠性（可靠性（Reliability of InformationReliability of Information）：）：为管理者的日常经营管理以及履行财务报告责任提供适 当的信息。 页数 15 有效性 效 率 保密性 完整性 可用性 合规性

16、可靠性 应应 用用 系系 统统 信信 息息 基基 础础 设设 施施 人人 员员 计划与组织计划与组织 采购与实施采购与实施 交付与支持交付与支持 监控与评价监控与评价 计划与组织计划与组织(PO)(PO) 1 IT战略与业务战略是否一致 1 企业是否优化资源的使用 1 组织的成员是否能够理解IT目标 1 管理层是否意识到企业面临的IT风险并予以妥善管理 1 IT系统的质量能否满足业务需求 采购与实施采购与实施(AI)(AI) 1 新项目所提供的解决方案能否满足业务需求 1 新项目能否在既定的预算内按期交付 1 新系统能否按预期运行 1 变更是否影响当前业务的正常运行 交付与支持交付与支持(DS

17、)(DS) 1 IT服务是否根据业务的优先级交付 1 IT成本是否最优 1 工作负荷是否影响IT系统的有效使用 1 是否充分实现保密性、完整性和可用性 监控与评价监控与评价(ME)(ME) 1 IT绩效考核能否及时发现问题 1 管理层能否确保内部控制的效率和有效性 1 IT绩效能否与业务目标相关联 1 是否测量并报告风险、控制、符合性和绩效 ITIT审计的参考标准审计的参考标准CoBITCoBIT（续）（续） 页数 16 有效性 效 率 保密性 完整性 可用性 合规性 可靠性 应应 用用 系系 统统 信信 息息 基基 础础 设设 施施 人人 员员 计划与组织计划与组织 采购与实施采购与实施 交

18、付与支持交付与支持 监控与评价监控与评价 应用系统：应用系统：用户处理信息的自动化用户 系统及手册程序。 信息：信息：信息系统输入、处理和输出的所 有形式的数据，可以被业务以任何形式 所使用。 基础设施：基础设施：保障应用系统处理信息所需 的技术和设施（硬件、操作系统、数据 库管理系统、网络、多媒体等，以及放 置、支持上述技术和设施的环境）。 人员：人员：策划、组织、采购、实施、交付 、支持、监视和评价信息系统和服务所 需的人员。人员可以是内部的、外包人 员或合同人员。 ITIT审计的参考标准审计的参考标准CoBITCoBIT（续）（续） 页数 17 CoBIT 34个高层次控制目标个高层次控

19、制目标 ITIT审计的参考标准审计的参考标准CoBITCoBIT（续）（续） 监控与评价 ME1 IT绩效监控与评估 ME2 内部控制监控与评估 ME3 确保法规遵从 ME4 提供IT治理 交付与支持 DS 1 定义并管理服务水平 DS 2 管理第三方服务 DS 3 性能管理与能力管理 DS 4 确保服务的持续性 DS 5 确保系统安全 DS 6 确认与分摊成本 DS 7 教育并培训客户 DS 8 服务台与事件管理 DS 9 配置管理 DS 10 问题管理 DS 11 数据管理 DS 12 物理环境管理 DS 13 运营管理 规划与组织 PO 1 制定IT战略规划 PO 2 确定信息架构 PO

20、 3 确定技术方向 PO 4 确定IT流程、组织及相 互关系 PO 5 管理IT投资 PO 6 管理目标与方向的协调 PO 7 IT人力资源管理 PO 8 质量管理 PO 9 评估并管理IT 风险 PO 10 项目管理 获取与实施 AI 1 确定自动化解决方案 AI 2 应用软件的获取和维护 AI 3 技术基础设施的获取和 维护 AI 4 授权操作和使用 AI 5 获取IT资源 AI 6 变更管理 AI 7 实施并验收及变更管理 页数 18 ITIT审计的参考标准审计的参考标准COSOCOSO Committee of Sponsoring Organizations of The Tread

21、way Commission (COSO) 由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师 协会等7个团体共同赞助成立，专门研究内部控制问题。 内部控制整体框架的目标： 保证财务报告的可靠性 保证经营效益和效率 对相关法律法规的遵循 页数 19 根据COSO内控框架，公司层面的内部控制由以下五个部分组成： 1.控制环境 2.风险评估 3.控制活动 4.信息与沟通 5.监控 中国内部审计协会于2003年6月1日颁布实施的内部审计具体准则 （第5号） 内部控制第5条，亦明确公司的内部控制是由上述五个部分 组成的。公司要建立完善的内部控制，就要从这五方面着手，因为它们 是内控的根基，

22、它们会影响到公司风险管理每个环节的工作。 监控监控 信息与沟通信息与沟通 控制活动控制活动 风险评估风险评估 控制环境控制环境 合规性合规性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCOSO（续）（续） 页数 20 控制环境 控制环境是影响、制约企业内部控制建立与执行的各种内部因素的总 称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构 设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反 舞弊机制等。 从以下三个方面评价控制环境的有效性： 识别及评价公司业务和财务报表的风险的能力 按照公认会计准则编制高质量的财务报表 保证财务报表可靠性的基本

23、控制及监控措施 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 监控监控 合规性合规性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCOSO（续）（续） 页数 21 风险评估 风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的 各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节 。风险评估主要包括目标设定、风险识别、风险分析和风险应对。包 括： 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 监控监控 合规性合规性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCO

24、SO（续）（续） 正式建立和广泛公布公司层面的目标及 价值观、风险评估的程序 对重大问题的预计、识别以及做出反应 的机制 识别公认会计原则变更、商业惯例及内 部控制的步骤和程序等 页数 22 控制活动 控制活动是根据风险评估结果、结合风险应对策略所采取的确保企 业内部控制目标得以实现的方法和手段，是实施内部控制的具体方 式。 控制活动结合企业具体业务和事项的特 点与要求制定，主要包括职责分工控制 、授权控制、审核批准控制、预算控制 、财产保护控制、会计系统控制、内部 报告控制、经济活动分析控制、绩效考 评控制、信息技术控制等。 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信

25、息与沟通 监控监控 合规性合规性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCOSO（续）（续） 页数 23 信息与沟通 信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息 ，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效 沟通和正确应用的过程，是实施内部控制的重要条件。主要包括： 管理层有效地传达员工的岗位职责和应 负有的控制责任 建立渠道收集和处理内部投诉及不满 充分的沟通交流 指定人员或部门负责收集和处理外部的 评论和投诉 已建立上下各部门之间的汇报路线和沟 通渠道 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信

26、息与沟通 监控监控 合规性合规性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCOSO（续）（续） 页数 24 监督主要包括对建立并执行内部控制的整体情况进行持续性监督检查， 对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应 的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内 部控制监督检查的一项重要内容。 监控 监督是企业对其内部控制的健全性、 合理性和有效性进行监督检查与评估 ，形成书面报告并作出相应处理的过 程，是实施内部控制的重要保证。 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 监控监控 合规性合规

27、性 操作操作 财务报告财务报告 ITIT审计的参考标准审计的参考标准COSOCOSO（续）（续） 页数 25 ITIT审计的参考标准审计的参考标准COSOCOSO与与Basel IIBasel II的关系的关系 IT审计相关标准审计相关标准COSO与与Basel II的关系的关系 Basel II Basel II 原则原则COSOCOSO控制控制方面方面ITIT相关需求相关需求 1. 董事会应清楚的认识到银行业务的运作风险各 个方面，制定出风险管理框架，并定期审阅该框 架。框架内容需包括如何对运营风险进行定义、 评估、监控、控制。 控制环境风险管理流程需将IT整合起来。 2.董事会应确保银行

28、的运营风险管理框架能够有 效的被内审人员运用到实际工作中。内审部门并 不直接对风险管理框架的管理负责。 监控制定内部审计计划时除包括财务部门的运营风险还应考虑IT的影响；IT内 审人员应具有相应的技术背景，并受到培训，技术背景包括对Basel II协 议、风险管理原则、会计准则的理解；IT内审职责应受到财务部门管理人 员的审阅；外部专业资源应被适当的利用。 3. 管理层负责实施风险管理框架，实施范围需贯 彻整个银行组织，各个级别的职员都应该理解他 们在该框架中的职责。管理层需负责对各类业务、 活动和系统制定制度及操作流程。 控制环境 信息与沟通 IT管理层拥有与高级管理层相同的职责；制定好的风

29、险框架应满足IT的需 求，可以考虑根据风险框架制定IT控制框架；风险框架中IT部分，需与财 务部门负责人进行沟通，例如IT组织管理，IT计划，安全，系统开发，程 序变更，运行支持，内部审计职责等。 4.银行应对所有业务、产品和系统的固有风险进 行定义和评估。在新业务、产品和系统实施前， 必须完成对其固有的评估。 目标设定 事件定义 风险评估 风险评估应该与影响银行业务的IT行为一体化，例如程序变更、基础架构 变更和安全监控；风险评估应整合在系统开发和实施的流程中；对企业有 重大影响的股东需要考虑进风险评估框架中；风险评估结果需与GRC框架 保持一致。 5.银行应该建立定期监控操作风险和重大漏洞

30、的 体系，同时定期向管理层和董事会汇报相关内容， 以便管理层对风险进行控制。 事件定义 风险评估 信息与沟通 运行风险评估应包含在年度计划和战略计划中；运行风险应根据内部和外 部重大事件的变化进行再评估，例如发生灾难后需要对可持续性计划进行 重新定义；风险行为图表应该被定义并审阅，当异常的曲线被检测到，分 析原因并及时改进。 页数 26 Basel II Basel II 原则原则COSOCOSO控制控制方面方面ITIT相关需求相关需求 6.银行应该有一套完整的制度和流程凯控制或降 低重大运营风险。银行应该定期审阅自身的风险 局限性和控制战略，并根据对风险的整体考虑来 调整运营风险结果。 风险

31、响应 控制环境 信息与沟通 控制行为 存在一套完整的IT内控框架一遍降低运营风险；IT内控框架应该以准确的 制度、流程为依据；运营风险应该根据外部和内部发生的事件进行再评估， 例如另一家银行被收购，必须考虑该行为对行业的综合影响及带来的新的 运营风险；IT制度和流程必须被定期（至少一年一次）审阅、审批。 7.银行应该有一套完整的业务连续性计划，来确 保当发生重大商业干扰时，业务的能够正常运行。 风险响应IT部门应该有一套和业务连续性相关的IT连续性计划。 8.银行监管人应该要求各家银行（不论规模大小） 都有一套有效的框架来定义、评估、监控、控制 或降低运营风险，作为风险管理的一部分。 监控IT

32、部门应该实施IT风险管理框架来满足财务部门的需求。 9.主管对运营风险相关制度、流程进行评价，确 保存在一套正确的机制促进银行的发展。 监控IT高级管理层应确保IT相关的制度与公司整体的制度和流程整合在一起。 对于财务部门发现的缺陷及时调整；IT合规职能应该和财务部门合规职能 整合在一起，确保财务部门主管能够及时获得IT发展的动态。 10.银行必须充分披露以便市场参与者评估自身的 运营风险管理。 控制环境 信息与沟通 IT应该定义所有与重大运营相关的风险，并与董事会和高级管理层进行沟 通。 ITIT审计的参考标准审计的参考标准COSOCOSO与与Basel IIBasel II的关系的关系(

33、(续续) ) 页数 27 有两种方法来选择相关的IT流程和控制： 风险驱动根据风险的属性（严重、重要、有影响、无影响）来定义 控制目标和步骤 目标驱动根据Basel II定义目标，然后使用 CoBIT提供的指引 ITIT审计的参考标准审计的参考标准CoBITCoBIT与与Basel IIBasel II的关系的关系 页数 28 ITIT审计的参考标准审计的参考标准CoBITCoBIT与与Basel IIBasel II的关系的关系 风险驱动方法风险驱动方法 Basel II 风险类型IT方面CoBIT流程 内部舞弊 蓄意使用程序 未经授权的使用修改功能 蓄意使用系统指令 蓄意使用硬件 蓄意的未

34、经授权的对系统和应用数据进行修改 使用、拷贝无许可证或未授权的软件 通过欺诈手段获取他人的访问特权 PO6 沟通管理的目标和方向 DS5 确保系统安全 DS9 配置管理 DS12 物理安全管理 外部欺骗 通过黑客修改系统和应用数据 外来人员获得机密文档 通过欺诈手段获取他人的访问特权 窃取信息 密码泄露 病毒 DS5 确保系统安全 员工管理和工作场所安全 IT资源的滥用 缺乏安全响应 PO6 沟通管理的目标和方向 DS5 确保系统安全 客户、产品和商业行为 员工把敏感信息披露给外部人员 第三方提供商管理 PO6 沟通管理的目标和方向 DS2 第三方服务管理 页数 29 ITIT审计的参考标准审计的参考标准CoBITCoBIT与与Basel IIBasel II的关系的关系 风险驱动方法（续）风险驱动方法（续） Basel II Basel II 风险类型风险类型ITIT方面方面CoBITCoBIT流程流程 实物损坏 IT基础资源物理损坏 DS12 物理安全管理 商业中断和系统失败 硬件和软件故障 通信失败 员工破坏 IT职员丢失钥匙 数据文件损坏 软件或敏感数据被窃取 电脑病毒 备份失败 拒绝服务攻击 配置控制失败 AI7 安装和认证解决方案和变更 DS3 性能和容量管理 DS4 确保服务的连续 DS5 确保系统安全 DS9 配置管理 DS