信息科技风险审计方法及过程

信息科技风险审计方法及过程

为帮助银行客户满足银监会《信息科技风险审计管理指引》等相关监管要求，同时进一步加强信息技术建设，全面强化风险管理，越来越多的企业已经开始为多家银行提供信息科技风险审计服务了，本文简称时代新威）内部人员总结出的对于信息科技风险审计的方法及过程。

信息科技风险审计范围：

一）信息科技治理二）信息科技风险管理三）信息安全四）信息系统开发测试和维护五）信息科技运行六）业务连续性管理七）外包八）内部审计九）外部审计信息科技风险审计之

——信息科技治理

信息科技治理是指对现代信息技术如通讯技术，信息处理技术、控制技术等的科学管理活动和过程。时代新威的审计专家指出，“它是以信息服务业务的开展与社会的实际需要作为依据，组织好各种信息技术的开发和应用，并对信息技术进行标准化、规范化管理。”

信息科技治理战略必须要解决下述主要问题：

（1）保证构造合理的信息系统结构并将其实现。（2）保证新系统开发方式可以满足企业长期维护的目标。（3）保证内部和外部采购的决策能得到认真的考虑。（4）决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然成本高，但是能为用户提供更好的服务。

信息科技风险审计之

——信息科技风险管理

信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。在风险管理方面，北京时代新威信息技术有限公司与许多商业银行都有合作成功的案例，其工作内容可总结为以下两点。

信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。信息科技风险审计之

——信息安全

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息科技风险审计之

——信息系统开发测试和维护

信息系统是一个以人为主导，吸取经验和遵照规律并重，利用适合的信息技术以及相应设备，根据相应的业务模型和数学模型，进行信息的收集、传输、加工、储存、更新和维护，以提高组织的效益和效率为目的，支持组织的高层决策、中层控制、基层运作的集成化的人机系统。

信息系统开发维护是为了使信息系统处开合用状态而采取的一系列措施，目的是纠正错误和改进功能，保证信息系统正常工作，有以下四种类型：改正性维护，适应性维护，完善性维护，预防性维护。信息科技风险审计之

——信息科技运行

良好的信息科技运行必须在设计阶段就开始考虑。用户、负责信息科技系统运行的人应该参与信息系统开发的设计阶段，这样信息科技的运行问题在一开始就可以得到足够的重视。

在工作中往往最容易忽略的就是硬件失败、程序非正常退出、文档说明和支持不足等问题。设计阶段要保证防止用户使用错误的快捷方式，还要考虑新、老系统转换的细节。如果是购买其他公司提供的软件包，问题就会更加复杂。时代新威的信息技术专家在工作中要求格外强调注意这一系列问题，也就避免了很多不必要的失误和麻烦。信息科技运行战略必须要解决下述主要问题：（1）保证构造合理的信息系统结构并将其实现。（2）保证新系统开发方式可以满足企业长期维护的目标。（3）保证内部和外部采购的决策能得到认真的考虑。（4）决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然成本高，但是能为用户提供更好的服务。信息科技风险审计之

——业务连续性管理

业务连续性管理（BusinessContinuityManagement，简称BCM），是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

业务连续性管理系统（BCMS）是经常进行的活动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动。这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。

业务连续性管理也有利于多种项目性的活动，业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/DR计划、规划和执行BC/DR演练、准备和进行应急队伍培训、准备记录事件响应计划，并设计BC/DR策略。信息科技风险审计之

——外包

外包是指企业动态地配置自身和其他企业的功能和服务，并利用企业外部的资源为企业内部的生产和经营服务。外包是一个战略管理模型，举例来说，一个生产企业，如果为了原材料及产品运输而组织一个车队，在两个方面其成本会大大增加。

第一，管理成本增加，因为它在运输领域不具备管理经验。

第二，因管理不善，运输环节严重影响生产和销售环节的工作，从而导致生产和销售环节的成本增加。如果把运输业务外包给专业的运输企业，则可以大幅度降低上述成本。这些就是时代新威的工作人员根据日常工作的实际案例总结出的关于外包的重点利弊，也是外包工作中必须引起注意的地方。

另一方面，企业也因市场竞争的激烈面临巨大的挑战。外包方式主要有合同业务管理方式（BMC）和委托方式。合同业务管理方式纯粹是一种外包方购买第三方服务模式，第三方（承包方）负责全部或大部分投资和业务管理工作，并承担投资风险；外包方只根据第三方完成业务的绩效和合同约束则购买服务，不用负责第三方的投资风险；合同终止则合作终止。信息科技风险审计之

——内部审计

时代新威风险审计专家对于内部审计的定义是：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标。

审计人员在进行审计时,常使用不同的审计方法,有时同时结合几种审计方法进行审计。实际操作中内部审计方法有多种，现总结整理如下（详情参考时代新威信息科技风险审计之内部审计）

一、询问法也称为访谈法是指审计人员与被审计单位或有关人员进行面对面交谈，以了解有关情况、收集审计证据的一种方法。询问法的使用范围包括：在计划阶段中了解情况，实施阶段时收集证据，报告阶段相互沟通情况等。内审人员在实施时要注意同时要有两名审计人中在场。

二、审核法审核法是指对会计记录和其他书面文章进行审阅与核对，这方面占审计工作的比重比较大。它主要在查阅会计资料、预算、计划、会议记录及各种规章制度等资料使用。信息科技风险审计之

——外部审计

外部审计是指独立于政府机关和企事业单位以外的国家审计机构所进行的审计，以及独立执行业务会计师事务所接受委托进行的审计。

外部审计实际上是对企业内部虚假、欺骗行为的一个重要而系统的检查，因此起着鼓励诚实的作用：由于知道外部审计不可避免地要进行，企业就会努力避免做那些在审计时可能会被发现的不光彩的事。

我国财政、银行、税务部门为了做好其本职工作,而对其管辖区各单位的业务(如税利上缴和信贷资金使用情况等)所进行的检查,不属于审计,更谈不上是外部审计,而只是经济监督中的财政监督、税务监督和信贷监督。

外部审计包括国家审计和社会审计。

国家审计是指由国家审计机关所实施的审计。国家审计的主体是审计署以及各省、市、自治区、县设立的审计机关，对被审计单位的财务财政活动、执行财经法纪情况以及经济效益性进行审计监督。社会审计是指由经政府有关部门审核批准的社会中介机构进行的审计，其主体是注册会计师。

内部审计和外部审计的联系：

内部审计和外部审计总体目标是一致的,两者均是审计监督体系的有机组成部门。内部审计具有预防性、经常性和针对性,是外部审计的基础,对外部审计能起辅助和补充作用;而外部审计对内部审计又能起到支持和指导作用。由于内部审计机构和外部审计机构所处的地位不同,它们在独立性、强制性、权威性和公证作用方面又有较大的差别。

以上就是信息科技审计所包括的具体范围，既然了解了它都包括那些方面。

下面我们来看一下时代新威内部总结关于信息科技审计具体的方法及过程。信息科技风险审计过程简略图：1.信息科技风险审计准备

1）审计准备

2）审计方案

3）审计计划1）审计准备：a.明确审计任务，确定审计重点b.编制审计计划审计计划分为总体审计计划和具体审计计划。2）审计方案：审计方案是对具体审计项目的审计程序及其时间等所做出的详细安排。a、具体审计目的。具体审计目的是对总体审计的细化，直接用以指导具体审计方法及程序。b、具体审计方法和程序。c、预定的执行人及执行日期。d、其他有关内容。3）审计计划：是指注册会计师为了完成各项审计业务，达到预期的审计目标，在具体执行审计程序之前编制的工作计划。审计计划通常可分为总体审计计划和具体审计计划两部分。2.信息科技现场审计

1）文件评审

2）访谈走查

3）技术测试3.信息科技风险分析评价

1）风险分析

2）风险评价1）风险分析实际上就是贯穿在软件工程过程中的一系列风险管理步骤，其中包括：风险识别、风险估计、风险管理策略、风险解决和风险监督