建行-IT審計(jì)規(guī)范體系簡(jiǎn)介

1、China Construction Bank. | 1IT審計(jì)分享China Construction Bank. | 2提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的實(shí)施策略審計(jì)的實(shí)施策略建行建行ITIT審計(jì)的情況審計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 3提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的實(shí)施策略審計(jì)的實(shí)施策略建行建行ITIT審計(jì)的情況審計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 4IT審計(jì)概要

2、審計(jì)概要先從一個(gè)先從一個(gè)ITIT審計(jì)的實(shí)例說(shuō)起：網(wǎng)上銀行審計(jì)審計(jì)的實(shí)例說(shuō)起：網(wǎng)上銀行審計(jì)在提交的審計(jì)報(bào)告中，委托方期望的或我們應(yīng)該回答如下問(wèn)題：在提交的審計(jì)報(bào)告中，委托方期望的或我們應(yīng)該回答如下問(wèn)題：各種交易的賬務(wù)處理是否準(zhǔn)確？各種交易的賬務(wù)處理是否準(zhǔn)確？是否能夠滿(mǎn)足業(yè)務(wù)需求？是否能夠滿(mǎn)足業(yè)務(wù)需求？是否能夠?qū)I(yè)務(wù)需求的變化及時(shí)響應(yīng)，以支持公是否能夠?qū)I(yè)務(wù)需求的變化及時(shí)響應(yīng)，以支持公司的戰(zhàn)略目標(biāo)？司的戰(zhàn)略目標(biāo)？系統(tǒng)可靠嗎，是否能夠?yàn)橛脩?hù)提供持續(xù)的服務(wù)？系統(tǒng)可靠嗎，是否能夠?yàn)橛脩?hù)提供持續(xù)的服務(wù)？系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客的攻擊？的攻擊？系統(tǒng)

3、保密嗎，敏感信息會(huì)被非法訪(fǎng)問(wèn)嗎？系統(tǒng)保密嗎，敏感信息會(huì)被非法訪(fǎng)問(wèn)嗎？ITIT投資合理嗎，是否得到應(yīng)有的回報(bào)？投資合理嗎，是否得到應(yīng)有的回報(bào)？交易和處理方式符合相關(guān)的法律法規(guī)嗎？交易和處理方式符合相關(guān)的法律法規(guī)嗎？怎樣才可以做的更好？怎樣才可以做的更好？China Construction Bank. | 5IT審計(jì)概要審計(jì)概要上述這些問(wèn)題，對(duì)應(yīng)了上述這些問(wèn)題，對(duì)應(yīng)了ITIT審計(jì)的三個(gè)發(fā)展階段，或?qū)徲?jì)的三個(gè)發(fā)展階段，或ITIT審計(jì)三個(gè)層審計(jì)三個(gè)層面的職能面的職能EDPEDP審計(jì)審計(jì)電子數(shù)據(jù)處理審計(jì)，附屬于電子數(shù)據(jù)處理審計(jì)，附屬于傳統(tǒng)的財(cái)務(wù)審計(jì)，關(guān)注財(cái)務(wù)信息電子化處傳統(tǒng)的財(cái)務(wù)審計(jì)，關(guān)注財(cái)務(wù)信息電子

4、化處理過(guò)程的正確性和完整性理過(guò)程的正確性和完整性鑒證審計(jì)（鑒證審計(jì)（ASSURANCE）信息系統(tǒng)安全性信息系統(tǒng)安全性、可靠性、有效性的測(cè)試和評(píng)價(jià)、可靠性、有效性的測(cè)試和評(píng)價(jià)咨詢(xún)審計(jì)咨詢(xún)審計(jì)ITIT治理結(jié)構(gòu)和管理流程的改進(jìn)治理結(jié)構(gòu)和管理流程的改進(jìn)China Construction Bank. | 6IT審計(jì)概要審計(jì)概要要實(shí)施網(wǎng)上銀行的審計(jì)，回答委托方關(guān)注的問(wèn)題，必然涉及：要實(shí)施網(wǎng)上銀行的審計(jì)，回答委托方關(guān)注的問(wèn)題，必然涉及：網(wǎng)上銀行相關(guān)的設(shè)施網(wǎng)上銀行相關(guān)的設(shè)施網(wǎng)上銀行應(yīng)用系統(tǒng)網(wǎng)上銀行應(yīng)用系統(tǒng)周邊的應(yīng)用系統(tǒng)，如賬務(wù)系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)周邊的應(yīng)用系統(tǒng)，如賬務(wù)系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng)信息流量

5、信息流量數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)網(wǎng)絡(luò)主機(jī)主機(jī)China Construction Bank. | 7IT審計(jì)概要審計(jì)概要要實(shí)施網(wǎng)上銀行的審計(jì)，回答委托方關(guān)注的問(wèn)題，必然涉及：要實(shí)施網(wǎng)上銀行的審計(jì)，回答委托方關(guān)注的問(wèn)題，必然涉及：IT管理管理規(guī)劃管理規(guī)劃管理業(yè)務(wù)需求管理業(yè)務(wù)需求管理架構(gòu)管理架構(gòu)管理系統(tǒng)開(kāi)發(fā)系統(tǒng)開(kāi)發(fā)采購(gòu)管理采購(gòu)管理運(yùn)維管理運(yùn)維管理人力資源管理人力資源管理China Construction Bank. | 8IT審計(jì)概要審計(jì)概要系統(tǒng)不是孤立的系統(tǒng)不是孤立的管理不是孤立的管理不是孤立的審計(jì)項(xiàng)目無(wú)法達(dá)成預(yù)期的目標(biāo)審計(jì)項(xiàng)目無(wú)法達(dá)成預(yù)期的目標(biāo)審計(jì)項(xiàng)目的延期審計(jì)項(xiàng)目的延期如果沒(méi)有統(tǒng)一的規(guī)劃如果沒(méi)有統(tǒng)

6、一的規(guī)劃China Construction Bank. | 9提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的實(shí)施策略審計(jì)的實(shí)施策略建行建行ITIT審計(jì)的情況審計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 10什么是 COBIT縮略語(yǔ)COBIT的全稱(chēng)是“Control Objectives for Information and related Technology”，信息及相關(guān)技術(shù)控制目標(biāo)COBIT是一個(gè)IT治理和控制框架，它主要關(guān)注于“需要實(shí)現(xiàn)什么”而不是“如何實(shí)現(xiàn)”China Construction

7、 Bank. | 11COBIT使命研究、制定、發(fā)布及促進(jìn)一個(gè)權(quán)威性的、最新的、國(guó)際公認(rèn)的IT治理控制框架，該框架可用于企業(yè)的業(yè)務(wù)管理人員、IT專(zhuān)家及質(zhì)量保證專(zhuān)員的日常工作。China Construction Bank. | 12COBIT發(fā)展歷史COBIT最初以手冊(cè)的形式發(fā)布，3.0版以后開(kāi)始提供在線(xiàn)PDF免費(fèi)用于非商業(yè)目的COBIT源于COSO內(nèi)部控制框架、最初的ISACA控制目標(biāo)和超過(guò)50個(gè)IT標(biāo)準(zhǔn)及最佳實(shí)踐COBIT在業(yè)務(wù)控制模型和IT最佳實(shí)踐之間架起了一座橋梁，并為IT治理提供模型China Construction Bank. | 13COBIT框架的前提COBIT框架是基于這樣

8、一個(gè)假定：IT需要交付實(shí)現(xiàn)企業(yè)目標(biāo)所需的信息。COBIT框架通過(guò)關(guān)注業(yè)務(wù)的信息需求、組織IT資源來(lái)幫助IT與業(yè)務(wù)保持一致COBIT也為實(shí)施IT治理提供框架和指南China Construction Bank. | 14COBIT框架基本原理為提供企業(yè)實(shí)現(xiàn)其目標(biāo)所需的信息，企業(yè)需要采用一系列結(jié)構(gòu)化的流程來(lái)投資、管理和控制IT資源以向企業(yè)提供服務(wù)并交付所需信息管理和控制信息是COBIT框架的核心，它有助于確保IT與業(yè)務(wù)保持一致China Construction Bank. | 15COBIT 立方體COBIT框架的三個(gè)基本組件：IT流程、IT資源和業(yè)務(wù)需求（信息標(biāo)準(zhǔn)），合在一起就構(gòu)成了COBIT

9、立方體China Construction Bank. | 16COBIT 立方體 IT 流程COBIT使用流程把常見(jiàn)的IT活動(dòng)組合在一個(gè)流程模型中，以幫助管理IT資源來(lái)響應(yīng)業(yè)務(wù)需求共有34個(gè)IT流程，分為四類(lèi)定義為四個(gè)領(lǐng)域，每一個(gè)流程又可細(xì)分為組織中的活動(dòng)和任務(wù)China Construction Bank. | 17COBIT的四個(gè)領(lǐng)域COBIT在四個(gè)域內(nèi)將IT活動(dòng)定義為過(guò)程模型，這些域映射到傳統(tǒng)IT職責(zé)域：計(jì)劃、建設(shè)、運(yùn)行和監(jiān)控規(guī)劃劃與組織(PO)：為提供解決方案(AI)和提供服務(wù)(DS)落實(shí)方針獲取與實(shí)施(AI)：提供解決方案并將其轉(zhuǎn)化成為服務(wù)交付與支持(DS)：接受解決方案使之為最終

10、用戶(hù)所用監(jiān)控與評(píng)價(jià)(ME)：監(jiān)控所有流程確保遵循既定方針China Construction Bank. | 18PO 計(jì)劃與組織該域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，致力于識(shí)別IT為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)作出最佳貢獻(xiàn)的途徑。實(shí)現(xiàn)戰(zhàn)略愿景需要計(jì)劃、溝通并管理不同的工作設(shè)想，并落實(shí)適當(dāng)?shù)慕M織結(jié)構(gòu)及技術(shù)基礎(chǔ)設(shè)施。IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略是否一致?企業(yè)是否實(shí)現(xiàn)了對(duì)資源的最佳利用?組織中每一位成員是否理解IT目標(biāo)?是否理解IT風(fēng)險(xiǎn)并加以妥善管理?IT質(zhì)量能否滿(mǎn)足業(yè)務(wù)需求?China Construction Bank. | 19AI 獲取與實(shí)施為實(shí)現(xiàn)IT戰(zhàn)略，應(yīng)識(shí)別、開(kāi)發(fā)/采購(gòu)、實(shí)施IT解決方案并將其整合到業(yè)務(wù)流程中。此外，該域還涵

11、蓋了現(xiàn)有系統(tǒng)的變更與維護(hù)以確保持續(xù)滿(mǎn)足業(yè)務(wù)目標(biāo)。該域主要闡述下列管理問(wèn)題：新項(xiàng)目所提供的解決方案是否滿(mǎn)足業(yè)務(wù)需求?新項(xiàng)目是否在預(yù)算內(nèi)按時(shí)交付?新系統(tǒng)上線(xiàn)后能否按預(yù)期運(yùn)行?變更實(shí)施是否未影響當(dāng)前的業(yè)務(wù)運(yùn)行?China Construction Bank. | 20DS 交付與支持這一領(lǐng)域主要關(guān)注所需服務(wù)的實(shí)際交付情況，包括服務(wù)交付、安全和持續(xù)性管理、用戶(hù)服務(wù)支持、數(shù)據(jù)和操作設(shè)施管理。該領(lǐng)域主要闡述下列管理問(wèn)題：是否按照業(yè)務(wù)的優(yōu)先級(jí)交付IT服務(wù)?是否優(yōu)化IT成本?員工是否能有效和安全地使用IT系統(tǒng)？是否充分落實(shí)信息安全的機(jī)密性、完整性、可用性?China Construction Bank. |

12、21ME 監(jiān)督與評(píng)價(jià)應(yīng)定期評(píng)估所有IT流程質(zhì)量以及與控制要求的符合程度。該域涉及績(jī)效管理、內(nèi)部控制監(jiān)督、合規(guī)和治理等，主要闡述下列管理問(wèn)題：IT績(jī)效測(cè)評(píng)能否及時(shí)檢查出問(wèn)題?管理層是否確保內(nèi)部控制的效果和效率?IT績(jī)效是否能回溯到業(yè)務(wù)目標(biāo)?是否對(duì)風(fēng)險(xiǎn)、控制、符合性和績(jī)效進(jìn)行測(cè)評(píng)并報(bào)告？China Construction Bank. | 22COBIT流程在四個(gè)領(lǐng)域內(nèi)有34個(gè)IT流程，這些流程指明了實(shí)現(xiàn)企業(yè)目標(biāo)的業(yè)務(wù)需求，每一個(gè)流程都使用控制目標(biāo)來(lái)控制信息的交付每個(gè)IT流程都有一個(gè)流程描述（高層控制目標(biāo)）和多個(gè)詳細(xì)控制目標(biāo)，作為一個(gè)整體是最佳管理流程的基本特征China Construction

13、 Bank. | 23COBIT 的 34個(gè)流程計(jì)劃與組織計(jì)劃與組織PO1 制定IT戰(zhàn)略規(guī)劃PO2 定義信息架構(gòu)PO3 確定技術(shù)方針PO4 定義IT流程、組織和關(guān)系PO5 IT投資管理PO6 貫徹管理目標(biāo)和方針PO7 IT人力資源管理PO8 質(zhì)量管理PO9 IT風(fēng)險(xiǎn)評(píng)估及管理PO10 項(xiàng)目管理v獲取與實(shí)施獲取與實(shí)施AI1 識(shí)別自動(dòng)化解決方案AI2 應(yīng)用系統(tǒng)開(kāi)發(fā)及維護(hù)AI3 技術(shù)基礎(chǔ)設(shè)施的獲取及維護(hù)AI4 運(yùn)營(yíng)知識(shí)保障AI5 IT資源獲取AI6 變更管理AI7 系統(tǒng)測(cè)試與發(fā)布v交付與支持交付與支持DS1 服務(wù)水平的制定與管理DS2 第三方服務(wù)管理DS3 性能和容量管理DS4 確保持續(xù)服務(wù)DS5

14、確保系統(tǒng)安全DS6 成本確認(rèn)與分?jǐn)侱S7 教育和培訓(xùn)用戶(hù)DS8 服務(wù)臺(tái)和事件管理DS9 配置管理DS10 問(wèn)題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運(yùn)營(yíng)管理v監(jiān)控與評(píng)價(jià)監(jiān)控與評(píng)價(jià)ME1 IT績(jī)效的監(jiān)督與評(píng)價(jià)ME2 內(nèi)部控制的監(jiān)督與評(píng)價(jià)ME3 確保遵循外部監(jiān)管要求ME4 提供IT治理China Construction Bank. | 24COBIT 活動(dòng)和任務(wù)活動(dòng)是實(shí)現(xiàn)預(yù)期結(jié)果所要采取的行動(dòng)步驟，活動(dòng)具有周期性，而任務(wù)是分散的每一個(gè)流程目標(biāo)都需要一系列的活動(dòng)，同時(shí)也為活動(dòng)確立了目標(biāo)China Construction Bank. | 25COBIT 立方體 業(yè)務(wù)需求為滿(mǎn)足業(yè)務(wù)目

15、標(biāo)的要求，信息需要遵循一定的控制標(biāo)準(zhǔn)，COBIT稱(chēng)之為信息的業(yè)務(wù)需求?；趶V泛的質(zhì)量、責(zé)任和安全要求，COBIT定義了七個(gè)獨(dú)立又有所重疊的信息標(biāo)準(zhǔn)：效果效率保密性完整性可用性符合性可靠性China Construction Bank. | 26COBIT 立方體 IT 資源為滿(mǎn)足業(yè)務(wù)需求，企業(yè)需投入資源創(chuàng)建充分的技術(shù)能力以支持業(yè)務(wù)能力進(jìn)而獲得預(yù)期結(jié)果IT資源由IT流程來(lái)管理，以向組織交付實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的信息IT資源包括：應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員China Construction Bank. | 27管理指南管理指南包括下述內(nèi)容：China Construction Bank. | 28流程輸

16、入和輸出每一個(gè)流程都與其他流程有聯(lián)系，輸入是一個(gè)流程從其他流程所獲得的內(nèi)容，輸出則是該流程提供給其他流程的內(nèi)容，在某些情況下，輸入輸出可能來(lái)自COBIT外部。下例為PO10：China Construction Bank. | 29關(guān)鍵活動(dòng)與 RACI圖每一個(gè)流程的關(guān)鍵活動(dòng)都使用RACI圖予以描述，有4種行為：A-負(fù)責(zé)，代表“責(zé)任止于此”，是為活動(dòng)提供指導(dǎo)和授權(quán)的人，責(zé)任不能轉(zhuǎn)授R-執(zhí)行，具體執(zhí)行任務(wù)的人，其任務(wù)可以再分配C-商議，I-告知，對(duì)流程提供支持以及流程所涉及的每一個(gè)人RACI圖明確了活動(dòng)任務(wù)應(yīng)該分配給誰(shuí)China Construction Bank. | 30目標(biāo)和指標(biāo)目標(biāo)自上而下

17、地設(shè)立，業(yè)務(wù)目標(biāo)確立支持它的若干個(gè)IT目標(biāo)；一個(gè)IT目標(biāo)由一個(gè)或若干個(gè)相互作用的流程來(lái)實(shí)現(xiàn)，這樣，IT目標(biāo)幫助確立不同的流程目標(biāo)；每一個(gè)流程目標(biāo)都需要一系列的活動(dòng)，反過(guò)來(lái)也確立了活動(dòng)目標(biāo)。China Construction Bank. | 31成熟度模型成熟度模型采用基于組織評(píng)價(jià)的方法，將流程成熟度水平劃分為從無(wú)級(jí)別(0)到優(yōu)化級(jí)(5)六個(gè)等級(jí)成熟度等級(jí)是IT流程的概括圖，可用于企業(yè)識(shí)別并記錄當(dāng)前及未來(lái)的可能狀態(tài)，這些等級(jí)并非閥值使用每個(gè)IT流程的成熟度模型管理層可以找出：企業(yè)的實(shí)際績(jī)效當(dāng)前所處的位置行業(yè)的當(dāng)前狀況比較企業(yè)的改進(jìn)目標(biāo)期望達(dá)到的位置在當(dāng)前是和將達(dá)到之間所需的成長(zhǎng)路徑China

18、Construction Bank. | 32COBIT各組件之間關(guān)系小結(jié)China Construction Bank. | 33提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的實(shí)施策略審計(jì)的實(shí)施策略建行建行ITIT審計(jì)的情況審計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 341全面性全面性能夠涵蓋建行能夠涵蓋建行ITIT管理各項(xiàng)流程，管理各項(xiàng)流程，適用各級(jí)分支機(jī)適用各級(jí)分支機(jī)構(gòu)和各類(lèi)審計(jì)對(duì)構(gòu)和各類(lèi)審計(jì)對(duì)象象2融合性融合性引入國(guó)際業(yè)界標(biāo)引入國(guó)際業(yè)界標(biāo)準(zhǔn)或最佳實(shí)踐，準(zhǔn)或最佳實(shí)踐，遵循國(guó)家、監(jiān)管遵循國(guó)家、監(jiān)管部

19、門(mén)和建行部門(mén)和建行ITIT相相關(guān)制度關(guān)制度3操作性操作性在審計(jì)項(xiàng)目管理、在審計(jì)項(xiàng)目管理、審計(jì)流程控制、審計(jì)流程控制、審計(jì)測(cè)試方法方審計(jì)測(cè)試方法方面提供操作性很面提供操作性很強(qiáng)的指導(dǎo)強(qiáng)的指導(dǎo)IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 352006.82007.22007.82007.9l 正式批準(zhǔn)立項(xiàng)l 項(xiàng)目計(jì)劃編制l 項(xiàng)目預(yù)算編制與批復(fù)l 項(xiàng)目采購(gòu)與合同簽署l 任務(wù)初步分析 l 大綱編寫(xiě)l 方案建議書(shū)評(píng)審l 初稿編寫(xiě)l 專(zhuān)題調(diào)研l(wèi) 完善及測(cè)試性審計(jì)l 試點(diǎn)審計(jì)l 推廣培訓(xùn) l 文檔整理l 驗(yàn)收準(zhǔn)備l 決算準(zhǔn)備課題組人員l 審計(jì)部l 信息技術(shù)管理部l 武漢

20、開(kāi)發(fā)中心IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 36IT審計(jì)準(zhǔn)則IT審計(jì)指南內(nèi)部審計(jì)準(zhǔn)則CobiT 4.1CMMiBS7799ITIL參考業(yè)界最佳實(shí)踐內(nèi)審協(xié)會(huì)IT審計(jì)準(zhǔn)則參考依據(jù)依據(jù)IT審計(jì)規(guī)范體系監(jiān)管要求行內(nèi)制度內(nèi)部審計(jì)章程依據(jù)依據(jù)IT審計(jì)案例集補(bǔ)充IT審計(jì)測(cè)試庫(kù)IT風(fēng)險(xiǎn)控制能力評(píng)價(jià)標(biāo)準(zhǔn)重要術(shù)語(yǔ)與定義IT制度匯編IT風(fēng)險(xiǎn)控制水平衡量指標(biāo)IT風(fēng)險(xiǎn)評(píng)估表IT審計(jì)訪(fǎng)談提綱IT審計(jì)測(cè)試表IT審計(jì)范圍表IT審計(jì)方案模板參考參考依據(jù)開(kāi)發(fā)中心IT項(xiàng)目管理專(zhuān)項(xiàng)審計(jì)分行IT開(kāi)發(fā)項(xiàng)目專(zhuān)項(xiàng)審計(jì)分行運(yùn)行維護(hù)專(zhuān)項(xiàng)審計(jì)應(yīng)用具體內(nèi)容文檔樣式具體內(nèi)容抽取理解依據(jù)ITIT審計(jì)規(guī)范體

21、系邏輯架構(gòu)圖審計(jì)規(guī)范體系邏輯架構(gòu)圖IT Assurance Guide Using Cobit參考 IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 37ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則ITIT審計(jì)指南審計(jì)指南ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)工具組件工具組件IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 38ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則ITIT審計(jì)指南審計(jì)指南ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)十大工具十大工具IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 39（1 1）ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則已經(jīng)發(fā)布的內(nèi)部審計(jì)

22、準(zhǔn)則已經(jīng)發(fā)布的內(nèi)部審計(jì)準(zhǔn)則包括：包括：第1號(hào)：審計(jì)人員職業(yè)道德第2號(hào)：審計(jì)程序 第3號(hào)：審計(jì)計(jì)劃 第4號(hào)：審計(jì)方案 第5號(hào)：審計(jì)證據(jù)第6號(hào)：審計(jì)工作底稿 第7號(hào)：審計(jì)報(bào)告第8號(hào)：海外審計(jì)第9號(hào)：審計(jì)追蹤第10號(hào)：內(nèi)部控制評(píng)價(jià)第11號(hào)：審計(jì)檔案第12號(hào)：質(zhì)量控制 制定制定ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則的原則：的原則：IT審計(jì)準(zhǔn)則是針對(duì)信息技術(shù)審計(jì)的專(zhuān)項(xiàng)審計(jì)準(zhǔn)則，將成為內(nèi)部審計(jì)準(zhǔn)則的一個(gè)組成部分。其他內(nèi)部審計(jì)準(zhǔn)則同樣適用于IT審計(jì)，IT審計(jì)準(zhǔn)則僅補(bǔ)充有關(guān)IT審計(jì)的特有內(nèi)容。使用IT審計(jì)準(zhǔn)則時(shí)，應(yīng)同時(shí)考慮其他內(nèi)部審計(jì)準(zhǔn)則的相關(guān)要求。 IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Ba

23、nk. | 40ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則ITIT審計(jì)指南審計(jì)指南ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)十大工具十大工具IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 41（2 2）ITIT審計(jì)指南審計(jì)指南目的：目的：規(guī)范和指引審計(jì)人員開(kāi)展信息技術(shù)審計(jì)業(yè)務(wù)促進(jìn)IT審計(jì)項(xiàng)目的科學(xué)管理，保證審計(jì)質(zhì)量依據(jù)：依據(jù)：中國(guó)建設(shè)銀行股份有限公司內(nèi)部審計(jì)章程中國(guó)建設(shè)銀行股份有限公司內(nèi)部審計(jì)準(zhǔn)則（包括信息技術(shù)審計(jì)準(zhǔn)則） 1 1 總則總則 1.1 目的和依據(jù) 1.2 適用范圍2 2 審計(jì)計(jì)劃審計(jì)計(jì)劃3 3 審計(jì)準(zhǔn)備審計(jì)準(zhǔn)備 3.1 IT風(fēng)險(xiǎn)識(shí)別和評(píng)估 3.1.1 風(fēng)險(xiǎn)評(píng)估的方法 3.1.2

24、 IT風(fēng)險(xiǎn)評(píng)估 3.2 確定審計(jì)范圍 3.3 制定審計(jì)方案 3.3.1 制定總體審計(jì)方案 3.3.2 制定具體審計(jì)方案4 4 審計(jì)測(cè)試審計(jì)測(cè)試 4.1 控制類(lèi)型 4.2 取證方法 4.3 審計(jì)證據(jù) 4.4 審計(jì)抽樣5 5 審計(jì)報(bào)告審計(jì)報(bào)告 5.1 剩余風(fēng)險(xiǎn)評(píng)估 5.2 審計(jì)評(píng)價(jià) 5.3 審計(jì)建議主要明確計(jì)劃、主要明確計(jì)劃、準(zhǔn)備、測(cè)試和報(bào)準(zhǔn)備、測(cè)試和報(bào)告四個(gè)階段的相告四個(gè)階段的相關(guān)事項(xiàng)。關(guān)事項(xiàng)。整個(gè)整個(gè)ITIT流程以風(fēng)流程以風(fēng)險(xiǎn)為導(dǎo)向，從風(fēng)險(xiǎn)為導(dǎo)向，從風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制有效性確認(rèn)、制有效性確認(rèn)、剩余風(fēng)險(xiǎn)評(píng)估，剩余風(fēng)險(xiǎn)評(píng)估，最終形成審計(jì)結(jié)最終形成審計(jì)結(jié)論和整改建議。論和整改建議。IT

25、審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 42ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則ITIT審計(jì)指南審計(jì)指南ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)十大工具十大工具IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 434 4個(gè)領(lǐng)域個(gè)領(lǐng)域計(jì)劃與組織獲取與實(shí)施獲取與實(shí)施提供與支持監(jiān)督與評(píng)價(jià)領(lǐng)域流程潛在風(fēng)險(xiǎn)控制目標(biāo)（子流程）控制要點(diǎn)控制活動(dòng)控制設(shè)計(jì)/執(zhí)行有效性的測(cè)試步驟參考依據(jù)3333個(gè)流程個(gè)流程1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)3.基礎(chǔ)設(shè)施的獲取與維護(hù)4.運(yùn)營(yíng)知識(shí)保障5.IT資源獲取6.變更管理7.系統(tǒng)測(cè)試與發(fā)布系統(tǒng)測(cè)試與發(fā)布評(píng)價(jià)標(biāo)準(zhǔn)衡量指

26、標(biāo)1.已達(dá)到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計(jì)在應(yīng)用系統(tǒng)上線(xiàn)和驗(yàn)收流程所發(fā)現(xiàn)錯(cuò)誤的數(shù)量3.由于不充分的最終驗(yàn)收導(dǎo)致上線(xiàn)后重開(kāi)發(fā)的次數(shù)4.由于不充分的測(cè)試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開(kāi)發(fā)項(xiàng)目已制定測(cè)試計(jì)劃率6.上線(xiàn)前未經(jīng)需求部門(mén)管理層批準(zhǔn)的變更的數(shù)量一級(jí)（與成熟度模型中“優(yōu)化級(jí)”相對(duì)應(yīng)）二級(jí)（與成熟度模型中“可管理級(jí)”相對(duì)應(yīng)）三級(jí)（與成熟度模型中“定義級(jí)”相對(duì)應(yīng)）四級(jí)（與成熟度模型中“可重復(fù)級(jí)”相對(duì)應(yīng)）五級(jí)（與成熟度模型中“初始級(jí)”相對(duì)應(yīng)）（3 3）ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)447447個(gè)控制點(diǎn)個(gè)控制點(diǎn)1.按照實(shí)施計(jì)劃，執(zhí)行正式的流程來(lái)控制系統(tǒng)從開(kāi)發(fā)到測(cè)試再到運(yùn)行的移交。2.新系統(tǒng)應(yīng)和

27、老系統(tǒng)并行一段時(shí)間，以比較兩個(gè)系統(tǒng)的運(yùn)行狀態(tài)和結(jié)果。3.有正式的流程來(lái)確保軟件版本的批準(zhǔn)、封裝、回歸測(cè)試、發(fā)布、交接、狀態(tài)跟蹤、撤銷(xiāo)程序和用戶(hù)通知。3 3個(gè)層次個(gè)層次1.CobiT4.1，控制目標(biāo) AI7.8 系統(tǒng)上線(xiàn)； 2.監(jiān)管要求監(jiān)管要求，銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引第十八條；3.建行制度建行制度，建設(shè)銀行信息技術(shù)項(xiàng)目管理辦法(試行) （建總發(fā)2007154號(hào)）第三十三、三十六條；208208個(gè)子流程個(gè)子流程1.用戶(hù)培訓(xùn)2.測(cè)試方案3.實(shí)施方案4.測(cè)試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測(cè)試7.驗(yàn)收測(cè)試8.系統(tǒng)上線(xiàn)系統(tǒng)上線(xiàn)IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Constructio

28、n Bank. | 44計(jì)劃與組織獲取與實(shí)施獲取與實(shí)施提供與支持監(jiān)督與評(píng)價(jià)領(lǐng)域流程潛在風(fēng)險(xiǎn)控制目標(biāo)（子流程）控制要點(diǎn)控制活動(dòng)控制設(shè)計(jì)/執(zhí)行有效性的測(cè)試步驟參考依據(jù)1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)3.基礎(chǔ)設(shè)施的獲取與維護(hù)4.運(yùn)營(yíng)知識(shí)保障5.IT資源獲取6.變更管理7.系統(tǒng)測(cè)試與發(fā)布系統(tǒng)測(cè)試與發(fā)布1.用戶(hù)培訓(xùn)2.測(cè)試方案3.實(shí)施方案4.測(cè)試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測(cè)試7.驗(yàn)收測(cè)試8.系統(tǒng)上線(xiàn)系統(tǒng)上線(xiàn)9.實(shí)施后評(píng)審1.按照實(shí)施計(jì)劃，執(zhí)行正式的流程來(lái)控制系統(tǒng)從開(kāi)發(fā)到測(cè)試再到運(yùn)行的移交。2.新系統(tǒng)應(yīng)和老系統(tǒng)并行一段時(shí)間，以比較兩個(gè)系統(tǒng)的運(yùn)行狀態(tài)和結(jié)果。3.有正式的流程來(lái)確保軟件版

29、本的批準(zhǔn)、封裝、回歸測(cè)試、發(fā)布、交接、狀態(tài)跟蹤、撤銷(xiāo)程序和用戶(hù)通知。4.系統(tǒng)發(fā)布控制流程應(yīng)包括系統(tǒng)的完整性控制，系統(tǒng)發(fā)布控制流程應(yīng)包括系統(tǒng)的完整性控制，開(kāi)發(fā)、測(cè)試、運(yùn)行職責(zé)的分離，為所有活動(dòng)留開(kāi)發(fā)、測(cè)試、運(yùn)行職責(zé)的分離，為所有活動(dòng)留下完整的審計(jì)軌跡下完整的審計(jì)軌跡。評(píng)價(jià)標(biāo)準(zhǔn)衡量指標(biāo)1.已達(dá)到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計(jì)在應(yīng)用系統(tǒng)上線(xiàn)和驗(yàn)收流程所發(fā)現(xiàn)錯(cuò)誤的數(shù)量3.由于不充分的最終驗(yàn)收導(dǎo)致上線(xiàn)后重開(kāi)發(fā)的次數(shù)4.由于不充分的測(cè)試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開(kāi)發(fā)項(xiàng)目已制定測(cè)試計(jì)劃率6.上線(xiàn)前未經(jīng)需求部門(mén)管理層批準(zhǔn)的變更的數(shù)量一級(jí)（與成熟度模型中“優(yōu)化級(jí)”相對(duì)應(yīng)）二級(jí)（與成熟度模型中“可管

30、理級(jí)”相對(duì)應(yīng)）三級(jí)（與成熟度模型中“定義級(jí)”相對(duì)應(yīng)）四級(jí)（與成熟度模型中“可重復(fù)級(jí)”相對(duì)應(yīng)）五級(jí)（與成熟度模型中“初始級(jí)”相對(duì)應(yīng)）（3 3）ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 45ITIT審計(jì)準(zhǔn)則審計(jì)準(zhǔn)則ITIT審計(jì)指南審計(jì)指南ITIT審計(jì)測(cè)試庫(kù)審計(jì)測(cè)試庫(kù)十大工具十大工具IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 46 影響等級(jí)影響因素較小中等較大重大對(duì)業(yè)務(wù)的影響僅影響內(nèi)部業(yè)務(wù)對(duì)業(yè)務(wù)有一定影響-影響顧客對(duì)業(yè)務(wù)有重大影響 嚴(yán)重?fù)p害公司為客戶(hù)服務(wù)的能力分行無(wú)法繼續(xù)經(jīng)營(yíng)管理層投入精力可

31、分配至中層管理人員解決高層管理人員在中層管理人員的協(xié)助下解決需要高層管理人員的關(guān)注需要高層管理人員采取持續(xù)危機(jī)管理行動(dòng)并發(fā)布指示品牌和聲譽(yù)影響較小短期內(nèi)產(chǎn)生影響嚴(yán)重受損并受到廣泛關(guān)注重大損失，未來(lái)即使投入巨大資源也難以完全恢復(fù)人身安全輕傷，需救護(hù)需住院治療重傷，部分或全部喪失勞動(dòng)能力死亡事故營(yíng)業(yè)利潤(rùn)0%-0.1% 0.1%-0.3%0.3%-0.5%大于0.5%總資產(chǎn)0%-0.01%0.1%-0.03%0.03-0.05%大于0.05%可能性較小可能可能較大可能基本確定詳細(xì)描述可能在某時(shí)發(fā)生 發(fā)生可能性低可能在某時(shí)發(fā)生 中等可能性可能會(huì)在很多情況下發(fā)生在大多數(shù)情況下通常會(huì)發(fā)生（4 4）工具一：

32、風(fēng)險(xiǎn)評(píng)估的方法、標(biāo)準(zhǔn)）工具一：風(fēng)險(xiǎn)評(píng)估的方法、標(biāo)準(zhǔn)影響重大較高重大重大重大較大中等較高重大重大中等較低中等較高重大較小較低較低中等較高較小可能可能較大可能基本確定可能性IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 47（4 4）工具二：）工具二：ITIT風(fēng)險(xiǎn)評(píng)估表風(fēng)險(xiǎn)評(píng)估表IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 48（4 4）工具三：）工具三：審計(jì)范圍表審計(jì)范圍表IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 49（4 4）工具四：審計(jì)方案模板）工具四：審計(jì)方案模板IT審計(jì)規(guī)范

33、體系審計(jì)規(guī)范體系 China Construction Bank. | 50（4 4）工具五：）工具五：ITIT制度匯編制度匯編（監(jiān)管機(jī)構(gòu)、建行內(nèi)部監(jiān)管機(jī)構(gòu)、建行內(nèi)部ITIT制度制度171171個(gè)）個(gè)）IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 51（4 4）工具六：）工具六：ITIT審計(jì)訪(fǎng)談提綱審計(jì)訪(fǎng)談提綱IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 52（4 4）工具七：）工具七：ITIT審計(jì)案例審計(jì)案例集集（257257個(gè)案例）個(gè)案例）IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank

34、. | 53（4 4）工具八：）工具八：重要術(shù)語(yǔ)與定義重要術(shù)語(yǔ)與定義IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 54（4 4）工具九：）工具九：ITIT風(fēng)險(xiǎn)控制能力評(píng)價(jià)標(biāo)準(zhǔn)風(fēng)險(xiǎn)控制能力評(píng)價(jià)標(biāo)準(zhǔn)IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 55（4 4）工具十：）工具十：ITIT風(fēng)險(xiǎn)控制水平衡量指標(biāo)表風(fēng)險(xiǎn)控制水平衡量指標(biāo)表IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 56IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 China Construction Bank. | 57IT審計(jì)規(guī)范體系審計(jì)規(guī)范

35、體系 China Construction Bank. | 58123是一個(gè)審計(jì)人員對(duì)是一個(gè)審計(jì)人員對(duì)ITIT進(jìn)行全面的理解和思考的框架進(jìn)行全面的理解和思考的框架IT審計(jì)規(guī)范體系審計(jì)規(guī)范體系 4是管理是管理ITIT審計(jì)知識(shí)的框架審計(jì)知識(shí)的框架可以根據(jù)組織的實(shí)際情況做裁剪，并需要?jiǎng)討B(tài)的維護(hù)可以根據(jù)組織的實(shí)際情況做裁剪，并需要?jiǎng)討B(tài)的維護(hù) 是組織內(nèi)是組織內(nèi)ITIT利益相關(guān)方之間交流和溝通的平臺(tái)利益相關(guān)方之間交流和溝通的平臺(tái) China Construction Bank. | 59提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的策略審計(jì)的策略建行建行ITIT審計(jì)的情況審

36、計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 60IT審計(jì)的策略立項(xiàng)策略立項(xiàng)策略統(tǒng)籌規(guī)劃統(tǒng)籌規(guī)劃基于組織基于組織ITIT的技術(shù)架構(gòu)和管理架構(gòu)的技術(shù)架構(gòu)和管理架構(gòu)風(fēng)險(xiǎn)導(dǎo)向風(fēng)險(xiǎn)導(dǎo)向基于基于ITIT風(fēng)險(xiǎn)的評(píng)估，確定立項(xiàng)的優(yōu)先級(jí)風(fēng)險(xiǎn)的評(píng)估，確定立項(xiàng)的優(yōu)先級(jí)劃分相對(duì)獨(dú)立的審計(jì)單元?jiǎng)澐窒鄬?duì)獨(dú)立的審計(jì)單元確保審計(jì)范圍可控確保審計(jì)范圍可控審計(jì)項(xiàng)目的周期覆蓋審計(jì)項(xiàng)目的周期覆蓋盡量與審計(jì)資源匹配盡量與審計(jì)資源匹配包括人數(shù)、知識(shí)結(jié)構(gòu)、勝任包括人數(shù)、知識(shí)結(jié)構(gòu)、勝任能力能力China Construction Bank. | 61IT審計(jì)的策略如開(kāi)始提到的網(wǎng)上銀行

37、審計(jì)，可以分解為：如開(kāi)始提到的網(wǎng)上銀行審計(jì)，可以分解為：網(wǎng)上銀行應(yīng)用控制審計(jì)網(wǎng)上銀行應(yīng)用控制審計(jì)網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)項(xiàng)目開(kāi)發(fā)審計(jì)項(xiàng)目開(kāi)發(fā)審計(jì)運(yùn)維管理審計(jì)運(yùn)維管理審計(jì)數(shù)據(jù)中心審計(jì)數(shù)據(jù)中心審計(jì)審計(jì)項(xiàng)目易于管理，審計(jì)風(fēng)險(xiǎn)相對(duì)分散審計(jì)項(xiàng)目易于管理，審計(jì)風(fēng)險(xiǎn)相對(duì)分散China Construction Bank. | 62IT審計(jì)的策略項(xiàng)目實(shí)施策略項(xiàng)目實(shí)施策略充分的審前準(zhǔn)備充分的審前準(zhǔn)備識(shí)別關(guān)鍵的識(shí)別關(guān)鍵的ITIT資源和管理流程。需要調(diào)閱：資源和管理流程。需要調(diào)閱：技術(shù)文檔、技術(shù)規(guī)范、操作規(guī)程、崗位職責(zé)描述、運(yùn)行報(bào)告、技術(shù)文檔、技術(shù)規(guī)范、操作規(guī)程、崗位職責(zé)描述、運(yùn)行報(bào)告、自評(píng)估報(bào)告等。自評(píng)估報(bào)告等。

38、職能流程矩陣職能流程矩陣與與ITIT管理的組織架構(gòu)為線(xiàn)索，確定管理的組織架構(gòu)為線(xiàn)索，確定ITIT流程與職流程與職能部門(mén)的關(guān)系，最好明確關(guān)鍵的崗位和個(gè)人能部門(mén)的關(guān)系，最好明確關(guān)鍵的崗位和個(gè)人審計(jì)組成員的合理分工審計(jì)組成員的合理分工以職能流程矩陣為基礎(chǔ)，考慮工作量以職能流程矩陣為基礎(chǔ)，考慮工作量并盡量避免審計(jì)流程的交叉。并盡量避免審計(jì)流程的交叉。審計(jì)組內(nèi)部的充分溝通。審計(jì)組內(nèi)部的充分溝通。China Construction Bank. | 63提綱提綱I IT T審計(jì)概要審計(jì)概要COBITCOBIT簡(jiǎn)介簡(jiǎn)介ITIT審計(jì)的策略審計(jì)的策略建行建行ITIT審計(jì)的情況審計(jì)的情況建行建行ITIT審計(jì)規(guī)范體系審計(jì)規(guī)范體系China Construction Bank. | 64IT審計(jì)簡(jiǎn)介審計(jì)簡(jiǎn)介1.1.設(shè)立了專(zhuān)職部門(mén)或團(tuán)隊(duì)設(shè)立了專(zhuān)職部門(mén)或團(tuán)隊(duì) 總行審計(jì)部及多數(shù)審計(jì)機(jī)構(gòu)，設(shè)立專(zhuān)業(yè)處室，其它機(jī)構(gòu)設(shè)置專(zhuān)業(yè)崗位2.2.培養(yǎng)培養(yǎng)ITIT審計(jì)專(zhuān)業(yè)隊(duì)伍審計(jì)專(zhuān)業(yè)隊(duì)伍 150人IT審計(jì)人員，90余名CISAChina Construction Bank. | 65IT審計(jì)簡(jiǎn)介審計(jì)簡(jiǎn)介3.積極學(xué)習(xí)研究積極學(xué)習(xí)研究IT審計(jì)理論和方法審計(jì)理論和方法自2002年起，建設(shè)銀行就開(kāi)始著手信息系