信息科技风险审计方法及过程

单击此处编辑母版标题样式,,,,*,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,,,*,信息科技风险审计方法及过程,,,,,——摘自北京时代新威信息技术 ?信息科技风险审计战略部署?,为帮助银行客户满足银监会?商业银行,,信息科技风险审计管理指引?等相关监管要,,求，同时进一步加强信息技术建设，全面强,,化风险管理，越来越多的企业已经开始为多,,家银行提供信息科技风险审计效劳了，本文,,就是北京时代新威信息技术〔以下,,简称时代新威〕内部人员总结出的对于信息,,科技风险审计的方法及过程信息科技风险审计范围：,,,一〕信息科技治理,,,二〕信息科技风险管理,,,三〕信息平安,,,四〕信息系统开发测试和维护,五〕信息科技运行,,,六〕业务连续性管理,,,七〕外包,,,八〕内部审计,,,九〕外部审计,信息科技风险审计之,——,信息科技治理,,,信息科技治理是指对现代信息技术如通讯技术，信息处理技术、控制技术等的科学管理活动和过程。

时代新威的审计专家指出，“它是以信息效劳业务的开展与社会的实际需要作为依据，组织好各种信息技术的开发和应用，并对信息技术进行标准化、标准化管理〞,,信息科技治理战略必须要解决下述主要 问题：,,,〔1〕保证构造合理的信息系统结构并将其实现〔2〕保证新系统开发方式可以满足企业长期维护的目标〔3〕保证内部和外部采购的决策能得到认真的考虑〔4〕决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然本钱高，但是能为用户提供更好的效劳信息科技风险审计之,——,信息科技风险管理,信息科技是指计算机、通信、微电子 和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程在风险管理方面，北京时代新威信息技术与许多商业银行都有合作成功的案例，其工作内容可总结为以下两点信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行平安、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续开展能力。

信息科技风险审计之 ——信息平安,信息平安主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的平安性信息平安本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等网络环境下的信息平安体系是保证信息平安的关键，包括计算机平安操作系统、各种平安协议、平安机制〔数字签名、消息认证、数据加密等〕，直至平安系统，如UniNAC、DLP等，只要存在平安漏洞便可以威胁全局平安信息平安是指信息系统〔包括硬件、软件、数据、人、物理环境及其根底设施〕受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息效劳不中断，最终实现业务连续性信息科技风险审计之,——,信息系统开发测试和维护,,信息系统是一个以人为主导，吸取经,,验和遵照规律并重，利用适合的信息技术,,以及相应设备，根据相应的业务模型和数,,学模型，进行信息的收集、传输、加工、,,储存、更新和维护，以提高组织的效益和,,效率为目的，支持组织的高层决策、中层,,控制、基层运作的集成化的人机系统。

信息系统开发维护是为了使信息系统,,处开合用状态而采取的一系列措施，目的,,是纠正错误和改进功能，保证信息系统正,,常工作，有以下四种类型：改正性维护，,,适应性维护，完善性维护，预防性维护信息科技风险审计之,——,信息科技运行,,良好的信息科技运行必须在设计阶段就,,开始考虑用户、负责信息科技系统运行的,,人应该参与信息系统开发的设计阶段，这样,,信息科技的运行问题在一开始就可以得到足,,够的重视在工作中往往最容易忽略的就是硬件失败、程序非正常退出、文档说明和支持缺乏等问题设计阶段要保证防止用户使用错误的快捷方式，还要考虑新、老系统转换的细节如果是购置其他公司提供的软件包，问题就会更加复杂时代新威的信息技术专家在工作中要求格外强调注意这一系列问题，也就防止了很多不必要的失误和麻烦信息科技运行战略必须要解决下述主要问题：,〔1〕保证构造合理的信息系统结构并将其实现〔2〕保证新系统开发方式可以满足企业长期维护的目标〔3〕保证内部和外部采购的决策能得到认真的考虑〔4〕决定信息技术运行是由一个部门管理还是分成一系列小单元管理，按照小单元进行管理虽然本钱高，但是能为用户提供更好的效劳信息科技风险审计之,——,业务连续性管理,业务连续性管理〔Business Continuity Management，简称BCM〕，是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复方案，其总体目标是为了提高企业的风险防范能力，以有效地响应非方案的业务破坏并降低不良影响。

业务连续性管理系统〔BCMS〕是经常进行的活动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动这些可以包括工程规划和管理、人员配备、方案、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动业务连续性管理也有利于多种工程性,,的活动，业务连续性管理执行业务影响分,,析和风险分析、进行评估、制定并记录BC/,,DR方案、规划和执行BC/ DR演练、准备和,,进行应急队伍培训、准备记录事件响应计,,划，并设计BC/ DR策略信息科技风险审计之,——,外包,外包是指企业动态地配置自身和其他,,企业的功能和效劳，并利用企业外部的资,,源为企业内部的生产和经营效劳外包是,,一个战略管理模型，举例来说，一个生产,,企业，如果为了原材料及产品运输而组织,,一个车队，在两个方面其本钱会大大增加第一，管理本钱增加，因为它在运输领域不具备管理经验第二，因管理不善，运输环节严重影,,响生产和销售环节的工作，从而导致生产,,和销售环节的本钱增加如果把运输业务,,外包给专业的运输企业，那么可以大幅度降,,低上述本钱。

这些就是时代新威的工作人员根据日常工作的实际案例总结出的关于外包的重点利弊，也是外包工作中必须引起注意的地方另一方面，企业也因市场竞争的剧烈面临巨大的挑战 外包方式主要有合同业务管理方式〔BMC〕和委托方式合同业务管理方式纯粹是一种外包方购置第三方效劳模式，第三方〔承包方〕负责全部或大局部投资和业务管理工作，并承担投资风险；外包方只根据第三方完成业务的绩效和合同约束那么购置效劳，不用负责第三方的投资风险；合同终止那么合作终止信息科技风险审计之,——,内部审计,,时代新威风险审计专家对于内部审计的定义是：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标审计人员在进行审计时,常使用不同的,,审计方法,有时同时结合几种审计方法进行,,审计实际操作中内部审计方法有多种，现总结整理如下〔详情参考时代新威信息科技风险审计之内部审计〕,,,一、询问法也称为访谈法,,,是指审计人员与被审计单位或有关人员,,进行面对面交谈，以了解有关情况、收集审,,计证据的一种方法询问法的使用范围包括：,,,在方案阶段中了解情况，实施阶段时收,,集证据，报告阶段相互沟通情况等。

内审人员,,在实施时要注意同时要有两名审计人中在场二、审核法审核法是指对会计记录和,,其他书面文章进行审阅与核对，这方,,面占审计工作的比重比较大它主要,,在查阅会计资料、预算、方案、会议,,记录及各种规章制度等资料使用信息科技风险审计之,——,外部审计,,外部审计是指独立于,,政府机关和企事业单位以,,外的国家审计机构所进行,,的审计，以及独立执行业,,务会计师事务所接受委托,,进行的审计外部审计实际上是对企业内部虚假、,,欺骗行为的一个重要而系统的检查，因此,,起着鼓励老实的作用：由于知道外部审计,,不可防止地要进行，企业就会努力防止做,,那些在审计时可能会被发现的不荣耀的事我国财政、银行、税务部门为了做好其本职工作,,,而对其管辖区各单位的业务,(,如税利上缴和信贷资金使用情况等,),所进行的检查,,,不属于审计,,,更谈不上是外部审计,,,而只是经济监督中的财政监督、税务监督和信贷监督外部审计包括国家审计和社会审计国家审计是指由国家审计机关所实施的审计国家审计的主体是审计署以及各 省、市、自治区、县设立的审计机关，对被审计单位的财务财政活动、执行财经法纪情况以及经济效益性 进行审计监督。

社会审计是指由经政府有关部门审核批准的社会中介机构进行的审计，其主体是注册会计师内部审计和外部审计的联系：,,内部审计和外部审计总体目标是一致的,两者均是审 计监督体系的有机组成部门内部审计具有预防性、经常性和针对性,是外部审计的根底,对外部审计 能起辅助和补充作用;而外部审计对内部审计又能起到支持和指导作用由于内部审计机构和外部审计机 构所处的地位不同,它们在独立性、强制性、权威性和公证作用方面又有较大的差异以上就是信息科技审计所包括的具,,体范围，既然了解了它都包括那些方面下面我们来看一下时代新威内部总结关于信息科技审计具体的方法及过程信息科技风险审计过程简略图：,1.信息科技风险审计准备,,,1〕审计准备,,,2〕审计方案,,,3〕审计方案,1〕审计准备：,,,a.明确审计任务，确定审计重点,,,b.编制审计方案,,,审计方案分为总体审计方案和具体审计计,,,划2〕审计方案：,,审计方案是对具体审计工程的审计程序及其时间等所做出的详细安排a、具体审计目的具体审计目的是对总体审计的细化，直接用以指导具体审计方法及程序b、具体审计方法和程序c、预定的执行人及执行日期d、其他有关内容3〕审计方案：,,,是指注册会计师为了完成各项审计业务，,,到达预期的审计目标，在具体执行审计程,,序之前编制的工作方案。

审计方案通常可,,分为总体审计方案和具体审计方案两局部2.信息科技现场审计,,,1〕文件评审,,,2〕访谈走查,,,3〕技术测试,3.信息科技风险分析评价,,,1〕风险分析,,,2〕风险评价,1〕风险分析实际上就是贯穿在软件工程过程,,中的一系列风险管理步骤，其中包括：风险识,,别、风险估计、风险管理策略、风险解决和风,,险监督等2〕风险评价是 在风险识别和风险估测的根底上，对风险发生的概率，损失程度，结合其他因素进行全面考虑，评估发生风险的可能性及危害程度，并与公认的平安指标相比较，以衡量风险的程度，并决定是否需要采取相应的措施的过程．,,财务风险评价，主要是通过资产负债表、利润表、现金流量表，分析企业财务状况的变动趋势及资产、负债、收益之间的关系，从财务报表的会计信息中挖掘企业内在的财务关系4.信息科技审计报告,,,1〕审计发现确认,,2〕审计报告,,3〕改进建议,此文谨代表北京时代新威信息技术对于信息科技风险审计的局部意见和看法，仅供参考，希望对大家有所帮助宝山壁画,,宝山壁画是引人注目的昂贵文物此壁画发现于阿鲁科尔沁旗东沙布乡境内1994年列为“全国十大考古新发现〞之一宝山壁画中最引人注目的是?杨贵妃教鹦鹉图?。

该画高米、宽米，用于笔重彩绘制，最突出的表现了 晚唐风格唐代擅长绘贵妇仕女的大师周昉绘制了?杨贵妃教鹦鹉图?，不仅享誉中原，而且还影响全国各地发现于阿旗宝山古墓里的这幅画，就是契丹人聘请中原画家按照周氏风格绘制的， 技法深得周氏画风的真传在唐人真迹稀如星风的今天，能够从中完整了解唐代人物画的杰出成就，堪称美术史研究的辛事这幅壁画现今保存在阿鲁科尔沁旗博物馆，历经千年，恍如新绘，是该馆的镇馆之宝欢送大家观看！,,。