信息科技風(fēng)險審計方法及過程

信息科技風(fēng)險審計方法及過程

為幫助銀行客戶滿足銀監(jiān)會《信息科技風(fēng)險審計管理指引》等相關(guān)監(jiān)管要求，同時進(jìn)一步加強(qiáng)信息技術(shù)建設(shè)，全面強(qiáng)化風(fēng)險管理，越來越多的企業(yè)已經(jīng)開始為多家銀行提供信息科技風(fēng)險審計服務(wù)了，本文簡稱時代新威）內(nèi)部人員總結(jié)出的對于信息科技風(fēng)險審計的方法及過程。

信息科技風(fēng)險審計范圍：

一）信息科技治理二）信息科技風(fēng)險管理三）信息安全四）信息系統(tǒng)開發(fā)測試和維護(hù)五）信息科技運(yùn)行六）業(yè)務(wù)連續(xù)性管理七）外包八）內(nèi)部審計九）外部審計信息科技風(fēng)險審計之

——信息科技治理

信息科技治理是指對現(xiàn)代信息技術(shù)如通訊技術(shù)，信息處理技術(shù)、控制技術(shù)等的科學(xué)管理活動和過程。時代新威的審計專家指出，“它是以信息服務(wù)業(yè)務(wù)的開展與社會的實(shí)際需要作為依據(jù)，組織好各種信息技術(shù)的開發(fā)和應(yīng)用，并對信息技術(shù)進(jìn)行標(biāo)準(zhǔn)化、規(guī)范化管理?！?/p>

信息科技治理戰(zhàn)略必須要解決下述主要問題：

（1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)。（2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護(hù)的目標(biāo)。（3）保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮。（4）決定信息技術(shù)運(yùn)行是由一個部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然成本高，但是能為用戶提供更好的服務(wù)。

信息科技風(fēng)險審計之

——信息科技風(fēng)險管理

信息科技是指計算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。在風(fēng)險管理方面，北京時代新威信息技術(shù)有限公司與許多商業(yè)銀行都有合作成功的案例，其工作內(nèi)容可總結(jié)為以下兩點(diǎn)。

信息科技風(fēng)險，是指信息科技在商業(yè)銀行運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險。

信息科技風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對商業(yè)銀行信息科技風(fēng)險的識別、計量、監(jiān)測和控制，促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。信息科技風(fēng)險審計之

——信息安全

信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。

網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。

信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息科技風(fēng)險審計之

——信息系統(tǒng)開發(fā)測試和維護(hù)

信息系統(tǒng)是一個以人為主導(dǎo)，吸取經(jīng)驗和遵照規(guī)律并重，利用適合的信息技術(shù)以及相應(yīng)設(shè)備，根據(jù)相應(yīng)的業(yè)務(wù)模型和數(shù)學(xué)模型，進(jìn)行信息的收集、傳輸、加工、儲存、更新和維護(hù)，以提高組織的效益和效率為目的，支持組織的高層決策、中層控制、基層運(yùn)作的集成化的人機(jī)系統(tǒng)。

信息系統(tǒng)開發(fā)維護(hù)是為了使信息系統(tǒng)處開合用狀態(tài)而采取的一系列措施，目的是糾正錯誤和改進(jìn)功能，保證信息系統(tǒng)正常工作，有以下四種類型：改正性維護(hù)，適應(yīng)性維護(hù)，完善性維護(hù)，預(yù)防性維護(hù)。信息科技風(fēng)險審計之

——信息科技運(yùn)行

良好的信息科技運(yùn)行必須在設(shè)計階段就開始考慮。用戶、負(fù)責(zé)信息科技系統(tǒng)運(yùn)行的人應(yīng)該參與信息系統(tǒng)開發(fā)的設(shè)計階段，這樣信息科技的運(yùn)行問題在一開始就可以得到足夠的重視。

在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持不足等問題。設(shè)計階段要保證防止用戶使用錯誤的快捷方式，還要考慮新、老系統(tǒng)轉(zhuǎn)換的細(xì)節(jié)。如果是購買其他公司提供的軟件包，問題就會更加復(fù)雜。時代新威的信息技術(shù)專家在工作中要求格外強(qiáng)調(diào)注意這一系列問題，也就避免了很多不必要的失誤和麻煩。信息科技運(yùn)行戰(zhàn)略必須要解決下述主要問題：（1）保證構(gòu)造合理的信息系統(tǒng)結(jié)構(gòu)并將其實(shí)現(xiàn)。（2）保證新系統(tǒng)開發(fā)方式可以滿足企業(yè)長期維護(hù)的目標(biāo)。（3）保證內(nèi)部和外部采購的決策能得到認(rèn)真的考慮。（4）決定信息技術(shù)運(yùn)行是由一個部門管理還是分成一系列小單元管理，按照小單元進(jìn)行管理雖然成本高，但是能為用戶提供更好的服務(wù)。信息科技風(fēng)險審計之

——業(yè)務(wù)連續(xù)性管理

業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement，簡稱BCM），是一項綜合管理流程，它使企業(yè)認(rèn)識到潛在的危機(jī)和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)計劃，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險防范能力，以有效地響應(yīng)非計劃的業(yè)務(wù)破壞并降低不良影響。

業(yè)務(wù)連續(xù)性管理系統(tǒng)（BCMS）是經(jīng)常進(jìn)行的活動的集合，業(yè)務(wù)連續(xù)性管理支持企業(yè)業(yè)務(wù)連續(xù)性管理活動，也支持技術(shù)災(zāi)難恢復(fù)活動。這些可以包括項目規(guī)劃和管理、人員配備、計劃、預(yù)測、預(yù)算編制、研究和開發(fā)、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網(wǎng)站、績效評估活動、按天進(jìn)行處理查詢和許多其他活動。

業(yè)務(wù)連續(xù)性管理也有利于多種項目性的活動，業(yè)務(wù)連續(xù)性管理執(zhí)行業(yè)務(wù)影響分析和風(fēng)險分析、進(jìn)行評估、制定并記錄BC/DR計劃、規(guī)劃和執(zhí)行BC/DR演練、準(zhǔn)備和進(jìn)行應(yīng)急隊伍培訓(xùn)、準(zhǔn)備記錄事件響應(yīng)計劃，并設(shè)計BC/DR策略。信息科技風(fēng)險審計之

——外包

外包是指企業(yè)動態(tài)地配置自身和其他企業(yè)的功能和服務(wù)，并利用企業(yè)外部的資源為企業(yè)內(nèi)部的生產(chǎn)和經(jīng)營服務(wù)。外包是一個戰(zhàn)略管理模型，舉例來說，一個生產(chǎn)企業(yè)，如果為了原材料及產(chǎn)品運(yùn)輸而組織一個車隊，在兩個方面其成本會大大增加。

第一，管理成本增加，因為它在運(yùn)輸領(lǐng)域不具備管理經(jīng)驗。

第二，因管理不善，運(yùn)輸環(huán)節(jié)嚴(yán)重影響生產(chǎn)和銷售環(huán)節(jié)的工作，從而導(dǎo)致生產(chǎn)和銷售環(huán)節(jié)的成本增加。如果把運(yùn)輸業(yè)務(wù)外包給專業(yè)的運(yùn)輸企業(yè)，則可以大幅度降低上述成本。這些就是時代新威的工作人員根據(jù)日常工作的實(shí)際案例總結(jié)出的關(guān)于外包的重點(diǎn)利弊，也是外包工作中必須引起注意的地方。

另一方面，企業(yè)也因市場競爭的激烈面臨巨大的挑戰(zhàn)。外包方式主要有合同業(yè)務(wù)管理方式（BMC）和委托方式。合同業(yè)務(wù)管理方式純粹是一種外包方購買第三方服務(wù)模式，第三方（承包方）負(fù)責(zé)全部或大部分投資和業(yè)務(wù)管理工作，并承擔(dān)投資風(fēng)險；外包方只根據(jù)第三方完成業(yè)務(wù)的績效和合同約束則購買服務(wù)，不用負(fù)責(zé)第三方的投資風(fēng)險；合同終止則合作終止。信息科技風(fēng)險審計之

——內(nèi)部審計

時代新威風(fēng)險審計專家對于內(nèi)部審計的定義是：對組織中各類業(yè)務(wù)和控制進(jìn)行獨(dú)立評價，以確定是否遵循公認(rèn)的方針和程序，是否符合規(guī)定和標(biāo)準(zhǔn)，是否有效和經(jīng)濟(jì)的使用了資源，是否在實(shí)現(xiàn)組織目標(biāo)。

審計人員在進(jìn)行審計時,常使用不同的審計方法,有時同時結(jié)合幾種審計方法進(jìn)行審計。實(shí)際操作中內(nèi)部審計方法有多種，現(xiàn)總結(jié)整理如下（詳情參考時代新威信息科技風(fēng)險審計之內(nèi)部審計）

一、詢問法也稱為訪談法是指審計人員與被審計單位或有關(guān)人員進(jìn)行面對面交談，以了解有關(guān)情況、收集審計證據(jù)的一種方法。詢問法的使用范圍包括：在計劃階段中了解情況，實(shí)施階段時收集證據(jù)，報告階段相互溝通情況等。內(nèi)審人員在實(shí)施時要注意同時要有兩名審計人中在場。

二、審核法審核法是指對會計記錄和其他書面文章進(jìn)行審閱與核對，這方面占審計工作的比重比較大。它主要在查閱會計資料、預(yù)算、計劃、會議記錄及各種規(guī)章制度等資料使用。信息科技風(fēng)險審計之

——外部審計

外部審計是指獨(dú)立于政府機(jī)關(guān)和企事業(yè)單位以外的國家審計機(jī)構(gòu)所進(jìn)行的審計，以及獨(dú)立執(zhí)行業(yè)務(wù)會計師事務(wù)所接受委托進(jìn)行的審計。

外部審計實(shí)際上是對企業(yè)內(nèi)部虛假、欺騙行為的一個重要而系統(tǒng)的檢查，因此起著鼓勵誠實(shí)的作用：由于知道外部審計不可避免地要進(jìn)行，企業(yè)就會努力避免做那些在審計時可能會被發(fā)現(xiàn)的不光彩的事。

我國財政、銀行、稅務(wù)部門為了做好其本職工作,而對其管轄區(qū)各單位的業(yè)務(wù)(如稅利上繳和信貸資金使用情況等)所進(jìn)行的檢查,不屬于審計,更談不上是外部審計,而只是經(jīng)濟(jì)監(jiān)督中的財政監(jiān)督、稅務(wù)監(jiān)督和信貸監(jiān)督。

外部審計包括國家審計和社會審計。

國家審計是指由國家審計機(jī)關(guān)所實(shí)施的審計。國家審計的主體是審計署以及各省、市、自治區(qū)、縣設(shè)立的審計機(jī)關(guān)，對被審計單位的財務(wù)財政活動、執(zhí)行財經(jīng)法紀(jì)情況以及經(jīng)濟(jì)效益性進(jìn)行審計監(jiān)督。社會審計是指由經(jīng)政府有關(guān)部門審核批準(zhǔn)的社會中介機(jī)構(gòu)進(jìn)行的審計，其主體是注冊會計師。

內(nèi)部審計和外部審計的聯(lián)系：

內(nèi)部審計和外部審計總體目標(biāo)是一致的,兩者均是審計監(jiān)督體系的有機(jī)組成部門。內(nèi)部審計具有預(yù)防性、經(jīng)常性和針對性,是外部審計的基礎(chǔ),對外部審計能起輔助和補(bǔ)充作用;而外部審計對內(nèi)部審計又能起到支持和指導(dǎo)作用。由于內(nèi)部審計機(jī)構(gòu)和外部審計機(jī)構(gòu)所處的地位不同,它們在獨(dú)立性、強(qiáng)制性、權(quán)威性和公證作用方面又有較大的差別。

以上就是信息科技審計所包括的具體范圍，既然了解了它都包括那些方面。

下面我們來看一下時代新威內(nèi)部總結(jié)關(guān)于信息科技審計具體的方法及過程。信息科技風(fēng)險審計過程簡略圖：1.信息科技風(fēng)險審計準(zhǔn)備

1）審計準(zhǔn)備

2）審計方案

3）審計計劃1）審計準(zhǔn)備：a.明確審計任務(wù)，確定審計重點(diǎn)b.編制審計計劃審計計劃分為總體審計計劃和具體審計計劃。2）審計方案：審計方案是對具體審計項目的審計程序及其時間等所做出的詳細(xì)安排。a、具體審計目的。具體審計目的是對總體審計的細(xì)化，直接用以指導(dǎo)具體審計方法及程序。b、具體審計方法和程序。c、預(yù)定的執(zhí)行人及執(zhí)行日期。d、其他有關(guān)內(nèi)容。3）審計計劃：是指注冊會計師為了完成各項審計業(yè)務(wù)，達(dá)到預(yù)期的審計目標(biāo)，在具體執(zhí)行審計程序之前編制的工作計劃。審計計劃通?？煞譃榭傮w審計計劃和具體審計計劃兩部分。2.信息科技現(xiàn)場審計

1）文件評審

2）訪談走查

3）技術(shù)測試3.信息科技風(fēng)險分析評價

1）風(fēng)險分析

2）風(fēng)險評價1）風(fēng)險分析實(shí)際上就是貫穿在軟件工程過程中的一系列風(fēng)險管理步驟，其中包括：風(fēng)險識別、風(fēng)險估計、風(fēng)險管理策略、風(fēng)險解決和風(fēng)險監(jiān)督