IT審計規(guī)范體系簡介

IT審計1提綱IT審計概要COBIT簡介IT審計的實施策略建行IT審計的情況建行IT審計規(guī)范體系2提綱IT審計概要COBIT簡介IT審計的實施策略建行IT審計的情況建行IT審計規(guī)范體系3IT審計概要先從一個IT審計的實例說起：網(wǎng)上銀行審計在提交的審計報告中，委托方期望的或我們應(yīng)該回答如下問題：各種交易的賬務(wù)處理是否準(zhǔn)確？是否能夠滿足業(yè)務(wù)需求？是否能夠?qū)I(yè)務(wù)需求的變化及時響應(yīng)，以支持公司的戰(zhàn)略目標(biāo)？系統(tǒng)可靠嗎，是否能夠為用戶提供持續(xù)的服務(wù)？系統(tǒng)安全嗎，是否能夠抵御病毒、木馬以及黑客的攻擊？系統(tǒng)保密嗎，敏感信息會被非法訪問嗎？IT投資合理嗎，是否得到應(yīng)有的回報？交易和處理方式符合相關(guān)的法律法規(guī)嗎？怎樣才可以做的更好？4IT審計概要上述這些問題，對應(yīng)了IT審計的三個發(fā)展階段，或IT審計三個層面的職能EDP審計——電子數(shù)據(jù)處理審計，附屬于傳統(tǒng)的財務(wù)審計，關(guān)注財務(wù)信息電子化處理過程的正確性和完整性鑒證審計（ASSURANCE）——信息系統(tǒng)安全性、可靠性、有效性的測試和評價咨詢審計——IT治理結(jié)構(gòu)和管理流程的改進5IT審計概要要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：網(wǎng)上銀行相關(guān)的設(shè)施 網(wǎng)上銀行應(yīng)用系統(tǒng) 周邊的應(yīng)用系統(tǒng)，如賬務(wù)系統(tǒng)、貸款系統(tǒng)、信用卡系統(tǒng) 信息流量 數(shù)據(jù)庫 網(wǎng)絡(luò) 主機

6IT審計概要要實施網(wǎng)上銀行的審計，回答委托方關(guān)注的問題，必然涉及：IT管理 規(guī)劃管理 業(yè)務(wù)需求管理 架構(gòu)管理 系統(tǒng)開發(fā) 采購管理 運維管理 人力資源管理

7IT審計概要系統(tǒng)不是孤立的管理不是孤立的審計項目無法達成預(yù)期的目標(biāo)審計項目的延期如果沒有統(tǒng)一的規(guī)劃8提綱IT審計概要COBIT簡介IT審計的實施策略建行IT審計的情況建行IT審計規(guī)范體系9什么是COBIT縮略語COBIT的全稱是“ControlObjectivesforInformationandrelatedTechnology”，信息及相關(guān)技術(shù)控制目標(biāo)COBIT是一個IT治理和控制框架，它主要關(guān)注于“需要實現(xiàn)什么”而不是“如何實現(xiàn)”10COBIT使命研究、制定、發(fā)布及促進一個權(quán)威性的、最新的、國際公認(rèn)的IT治理控制框架，該框架可用于企業(yè)的業(yè)務(wù)管理人員、IT專家及質(zhì)量保證專員的日常工作。11COBIT發(fā)展歷史COBIT最初以手冊的形式發(fā)布，3.0版以后開始提供在線PDF免費用于非商業(yè)目的COBIT源于COSO內(nèi)部控制框架、最初的ISACA控制目標(biāo)和超過50個IT標(biāo)準(zhǔn)及最佳實踐COBIT在業(yè)務(wù)控制模型和IT最佳實踐之間架起了一座橋梁，并為IT治理提供模型12COBIT框架的前提COBIT框架是基于這樣一個假定：IT需要交付實現(xiàn)企業(yè)目標(biāo)所需的信息。COBIT框架通過關(guān)注業(yè)務(wù)的信息需求、組織IT資源來幫助IT與業(yè)務(wù)保持一致COBIT也為實施IT治理提供框架和指南13COBIT框架基本原理為提供企業(yè)實現(xiàn)其目標(biāo)所需的信息，企業(yè)需要采用一系列結(jié)構(gòu)化的流程來投資、管理和控制IT資源以向企業(yè)提供服務(wù)并交付所需信息管理和控制信息是COBIT框架的核心，它有助于確保IT與業(yè)務(wù)保持一致14COBIT立方體COBIT框架的三個基本組件：IT流程、IT資源和業(yè)務(wù)需求（信息標(biāo)準(zhǔn)），合在一起就構(gòu)成了COBIT立方體15COBIT立方體–IT流程COBIT使用流程把常見的IT活動組合在一個流程模型中，以幫助管理IT資源來響應(yīng)業(yè)務(wù)需求共有34個IT流程，分為四類定義為四個領(lǐng)域，每一個流程又可細分為組織中的活動和任務(wù)16COBIT的四個領(lǐng)域COBIT在四個域內(nèi)將IT活動定義為過程模型，這些域映射到傳統(tǒng)IT職責(zé)域：計劃、建設(shè)、運行和監(jiān)控規(guī)劃劃與組織(PO)：為提供解決方案(AI)和提供服務(wù)(DS)落實方針獲取與實施(AI)：提供解決方案并將其轉(zhuǎn)化成為服務(wù)交付與支持(DS)：接受解決方案使之為最終用戶所用監(jiān)控與評價(ME)：監(jiān)控所有流程確保遵循既定方針17PO計劃與組織該域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，致力于識別IT為實現(xiàn)業(yè)務(wù)目標(biāo)作出最佳貢獻的途徑。實現(xiàn)戰(zhàn)略愿景需要計劃、溝通并管理不同的工作設(shè)想，并落實適當(dāng)?shù)慕M織結(jié)構(gòu)及技術(shù)基礎(chǔ)設(shè)施。IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略是否一致?企業(yè)是否實現(xiàn)了對資源的最佳利用?組織中每一位成員是否理解IT目標(biāo)?是否理解IT風(fēng)險并加以妥善管理?IT質(zhì)量能否滿足業(yè)務(wù)需求?18AI獲取與實施為實現(xiàn)IT戰(zhàn)略，應(yīng)識別、開發(fā)/采購、實施IT解決方案并將其整合到業(yè)務(wù)流程中。此外，該域還涵蓋了現(xiàn)有系統(tǒng)的變更與維護以確保持續(xù)滿足業(yè)務(wù)目標(biāo)。該域主要闡述下列管理問題：新項目所提供的解決方案是否滿足業(yè)務(wù)需求?新項目是否在預(yù)算內(nèi)按時交付?新系統(tǒng)上線后能否按預(yù)期運行?變更實施是否未影響當(dāng)前的業(yè)務(wù)運行?19DS交付與支持這一領(lǐng)域主要關(guān)注所需服務(wù)的實際交付情況，包括服務(wù)交付、安全和持續(xù)性管理、用戶服務(wù)支持、數(shù)據(jù)和操作設(shè)施管理。該領(lǐng)域主要闡述下列管理問題：是否按照業(yè)務(wù)的優(yōu)先級交付IT服務(wù)?是否優(yōu)化IT成本?員工是否能有效和安全地使用IT系統(tǒng)？是否充分落實信息安全的機密性、完整性、可用性?20ME監(jiān)督與評價應(yīng)定期評估所有IT流程質(zhì)量以及與控制要求的符合程度。該域涉及績效管理、內(nèi)部控制監(jiān)督、合規(guī)和治理等，主要闡述下列管理問題：IT績效測評能否及時檢查出問題?管理層是否確保內(nèi)部控制的效果和效率?IT績效是否能回溯到業(yè)務(wù)目標(biāo)?是否對風(fēng)險、控制、符合性和績效進行測評并報告？21COBIT流程在四個領(lǐng)域內(nèi)有34個IT流程，這些流程指明了實現(xiàn)企業(yè)目標(biāo)的業(yè)務(wù)需求，每一個流程都使用控制目標(biāo)來控制信息的交付每個IT流程都有一個流程描述（高層控制目標(biāo)）和多個詳細控制目標(biāo)，作為一個整體是最佳管理流程的基本特征22COBIT的34個流程計劃與組織PO1制定IT戰(zhàn)略規(guī)劃PO2定義信息架構(gòu)PO3確定技術(shù)方針PO4定義IT流程、組織和關(guān)系PO5IT投資管理PO6貫徹管理目標(biāo)和方針PO7IT人力資源管理PO8質(zhì)量管理PO9IT風(fēng)險評估及管理PO10項目管理獲取與實施AI1識別自動化解決方案AI2應(yīng)用系統(tǒng)開發(fā)及維護AI3技術(shù)基礎(chǔ)設(shè)施的獲取及維護AI4運營知識保障AI5IT資源獲取AI6變更管理AI7系統(tǒng)測試與發(fā)布交付與支持DS1服務(wù)水平的制定與管理DS2第三方服務(wù)管理DS3性能和容量管理DS4確保持續(xù)服務(wù)DS5確保系統(tǒng)安全DS6成本確認(rèn)與分?jǐn)侱S7教育和培訓(xùn)用戶DS8服務(wù)臺和事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運營管理監(jiān)控與評價ME1IT績效的監(jiān)督與評價ME2內(nèi)部控制的監(jiān)督與評價ME3確保遵循外部監(jiān)管要求ME4提供IT治理23COBIT活動和任務(wù)活動是實現(xiàn)預(yù)期結(jié)果所要采取的行動步驟，活動具有周期性，而任務(wù)是分散的每一個流程目標(biāo)都需要一系列的活動，同時也為活動確立了目標(biāo)24COBIT立方體–業(yè)務(wù)需求為滿足業(yè)務(wù)目標(biāo)的要求，信息需要遵循一定的控制標(biāo)準(zhǔn)，COBIT稱之為信息的業(yè)務(wù)需求?；趶V泛的質(zhì)量、責(zé)任和安全要求，COBIT定義了七個獨立又有所重疊的信息標(biāo)準(zhǔn)：效果效率保密性完整性可用性符合性可靠性25COBIT立方體–IT資源為滿足業(yè)務(wù)需求，企業(yè)需投入資源創(chuàng)建充分的技術(shù)能力以支持業(yè)務(wù)能力進而獲得預(yù)期結(jié)果IT資源由IT流程來管理，以向組織交付實現(xiàn)其業(yè)務(wù)目標(biāo)的信息IT資源包括：應(yīng)用系統(tǒng)信息基礎(chǔ)設(shè)施人員26《管理指南》管理指南包括下述內(nèi)容：27流程輸入和輸出每一個流程都與其他流程有聯(lián)系，輸入是一個流程從其他流程所獲得的內(nèi)容，輸出則是該流程提供給其他流程的內(nèi)容，在某些情況下，輸入輸出可能來自COBIT外部。下例為PO10：28關(guān)鍵活動與RACI圖每一個流程的關(guān)鍵活動都使用RACI圖予以描述，有4種行為：A-負責(zé)，代表“責(zé)任止于此”，是為活動提供指導(dǎo)和授權(quán)的人，責(zé)任不能轉(zhuǎn)授R-執(zhí)行，具體執(zhí)行任務(wù)的人，其任務(wù)可以再分配C-商議，I-告知，對流程提供支持以及流程所涉及的每一個人RACI圖明確了活動任務(wù)應(yīng)該分配給誰29目標(biāo)和指標(biāo)目標(biāo)自上而下地設(shè)立，業(yè)務(wù)目標(biāo)確立支持它的若干個IT目標(biāo)；一個IT目標(biāo)由一個或若干個相互作用的流程來實現(xiàn)，這樣，IT目標(biāo)幫助確立不同的流程目標(biāo)；每一個流程目標(biāo)都需要一系列的活動，反過來也確立了活動目標(biāo)。30成熟度模型成熟度模型采用基于組織評價的方法，將流程成熟度水平劃分為從無級別(0)到優(yōu)化級(5)六個等級成熟度等級是IT流程的概括圖，可用于企業(yè)識別并記錄當(dāng)前及未來的可能狀態(tài)，這些等級并非閥值使用每個IT流程的成熟度模型管理層可以找出：企業(yè)的實際績效—當(dāng)前所處的位置行業(yè)的當(dāng)前狀況—比較企業(yè)的改進目標(biāo)—期望達到的位置在‘當(dāng)前是’和‘將達到’之間所需的成長路徑31COBIT各組件之間關(guān)系小結(jié)32提綱IT審計概要COBIT簡介IT審計的實施策略建行IT審計的情況建行IT審計規(guī)范體系33目標(biāo)1全面性能夠涵蓋建行IT管理各項流程，適用各級分支機構(gòu)和各類審計對象2融合性引入國際業(yè)界標(biāo)準(zhǔn)或最佳實踐，遵循國家、監(jiān)管部門和建行IT相關(guān)制度3操作性在審計項目管理、審計流程控制、審計測試方法方面提供操作性很強的指導(dǎo)IT審計規(guī)范體系342006.82007.22007.82007.9正式批準(zhǔn)立項項目計劃編制項目預(yù)算編制與批復(fù)項目采購與合同簽署任務(wù)初步分析大綱編寫方案建議書評審初稿編寫專題調(diào)研完善及測試性審計試點審計推廣培訓(xùn)文檔整理驗收準(zhǔn)備決算準(zhǔn)備課題組人員審計部信息技術(shù)管理部武漢開發(fā)中心IT審計規(guī)范體系35IT審計準(zhǔn)則IT審計指南內(nèi)部審計準(zhǔn)則CobiT4.1CMMiBS7799ITIL參考業(yè)界最佳實踐內(nèi)審協(xié)會IT審計準(zhǔn)則參考依據(jù)依據(jù)IT審計規(guī)范體系監(jiān)管要求行內(nèi)制度內(nèi)部審計章程依據(jù)依據(jù)IT審計案例集補充IT審計測試庫IT風(fēng)險控制能力評價標(biāo)準(zhǔn)重要術(shù)語與定義IT制度匯編IT風(fēng)險控制水平衡量指標(biāo)IT風(fēng)險評估表IT審計訪談提綱IT審計測試表IT審計范圍表IT審計方案模板參考參考依據(jù)開發(fā)中心IT項目管理專項審計分行IT開發(fā)項目專項審計分行運行維護專項審計應(yīng)用具體內(nèi)容文檔樣式具體內(nèi)容抽取理解依據(jù)IT審計規(guī)范體系邏輯架構(gòu)圖ITAssuranceGuideUsingCobit參考……IT審計規(guī)范體系36IT審計準(zhǔn)則IT審計指南IT審計測試庫工具組件IT審計規(guī)范體系37IT審計準(zhǔn)則IT審計指南IT審計測試庫十大工具IT審計規(guī)范體系38（1）IT審計準(zhǔn)則已經(jīng)發(fā)布的內(nèi)部審計準(zhǔn)則包括：第1號：審計人員職業(yè)道德第2號：審計程序第3號：審計計劃第4號：審計方案第5號：審計證據(jù)第6號：審計工作底稿

第7號：審計報告第8號：海外審計第9號：審計追蹤第10號：內(nèi)部控制評價第11號：審計檔案第12號：質(zhì)量控制

制定《IT審計準(zhǔn)則》的原則：《IT審計準(zhǔn)則》是針對信息技術(shù)審計的專項審計準(zhǔn)則，將成為內(nèi)部審計準(zhǔn)則的一個組成部分。其他內(nèi)部審計準(zhǔn)則同樣適用于IT審計，《IT審計準(zhǔn)則》僅補充有關(guān)IT審計的特有內(nèi)容。使用《IT審計準(zhǔn)則》時，應(yīng)同時考慮其他內(nèi)部審計準(zhǔn)則的相關(guān)要求。

IT審計規(guī)范體系39IT審計準(zhǔn)則IT審計指南IT審計測試庫十大工具IT審計規(guī)范體系40（2）IT審計指南目的：規(guī)范和指引審計人員開展信息技術(shù)審計業(yè)務(wù)促進IT審計項目的科學(xué)管理，保證審計質(zhì)量依據(jù)：《中國建設(shè)銀行股份有限公司內(nèi)部審計章程》《中國建設(shè)銀行股份有限公司內(nèi)部審計準(zhǔn)則》（包括《信息技術(shù)審計準(zhǔn)則》）

1總則

1.1目的和依據(jù)

1.2適用范圍 2審計計劃 3審計準(zhǔn)備

3.1IT風(fēng)險識別和評估

3.1.1風(fēng)險評估的方法

3.1.2IT風(fēng)險評估

3.2確定審計范圍

3.3制定審計方案

3.3.1制定總體審計方案

3.3.2制定具體審計方案4審計測試

4.1控制類型

4.2取證方法

4.3審計證據(jù)

4.4審計抽樣 5審計報告

5.1剩余風(fēng)險評估

5.2審計評價

5.3審計建議主要明確計劃、準(zhǔn)備、測試和報告四個階段的相關(guān)事項。整個IT流程以風(fēng)險為導(dǎo)向，從風(fēng)險評估、風(fēng)險控制有效性確認(rèn)、剩余風(fēng)險評估，最終形成審計結(jié)論和整改建議。IT審計規(guī)范體系41IT審計準(zhǔn)則IT審計指南IT審計測試庫十大工具IT審計規(guī)范體系424個領(lǐng)域計劃與組織獲取與實施提供與支持監(jiān)督與評價領(lǐng)域流程潛在風(fēng)險控制目標(biāo)（子流程）控制要點控制活動控制設(shè)計/執(zhí)行有效性的測試步驟參考依據(jù)33個流程1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開發(fā)與維護3.基礎(chǔ)設(shè)施的獲取與維護4.運營知識保障5.IT資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布評價標(biāo)準(zhǔn)衡量指標(biāo)1.已達到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計在應(yīng)用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導(dǎo)致上線后重開發(fā)的次數(shù)4.由于不充分的測試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準(zhǔn)的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應(yīng)）二級（與成熟度模型中“可管理級”相對應(yīng)）三級（與成熟度模型中“定義級”相對應(yīng)）四級（與成熟度模型中“可重復(fù)級”相對應(yīng)）五級（與成熟度模型中“初始級”相對應(yīng)）（3）IT審計測試庫447個控制點1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運行的移交。2.新系統(tǒng)應(yīng)和老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運行狀態(tài)和結(jié)果。3.有正式的流程來確保軟件版本的批準(zhǔn)、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。3個層次1.CobiT4.1，控制目標(biāo)AI7.8系統(tǒng)上線；2.監(jiān)管要求，銀監(jiān)會▲《商業(yè)銀行信息科技風(fēng)險管理指引》第十八條；3.建行制度，建設(shè)銀行信息技術(shù)項目管理辦法(試行)》（建總發(fā)〔2007〕154號）第三十三、三十六條；208個子流程1.用戶培訓(xùn)2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測試7.驗收測試8.系統(tǒng)上線IT審計規(guī)范體系43計劃與組織獲取與實施提供與支持監(jiān)督與評價領(lǐng)域流程潛在風(fēng)險控制目標(biāo)（子流程）控制要點控制活動控制設(shè)計/執(zhí)行有效性的測試步驟參考依據(jù)1.可行性研究和需求分析2.應(yīng)用系統(tǒng)開發(fā)與維護3.基礎(chǔ)設(shè)施的獲取與維護4.運營知識保障5.IT資源獲取6.變更管理7.系統(tǒng)測試與發(fā)布1.用戶培訓(xùn)2.測試方案3.實施方案4.測試環(huán)境5.系統(tǒng)切換和數(shù)據(jù)轉(zhuǎn)換6.變更測試7.驗收測試8.系統(tǒng)上線9.實施后評審1.按照實施計劃，執(zhí)行正式的流程來控制系統(tǒng)從開發(fā)到測試再到運行的移交。2.新系統(tǒng)應(yīng)和老系統(tǒng)并行一段時間，以比較兩個系統(tǒng)的運行狀態(tài)和結(jié)果。3.有正式的流程來確保軟件版本的批準(zhǔn)、封裝、回歸測試、發(fā)布、交接、狀態(tài)跟蹤、撤銷程序和用戶通知。4.系統(tǒng)發(fā)布控制流程應(yīng)包括系統(tǒng)的完整性控制，開發(fā)、測試、運行職責(zé)的分離，為所有活動留下完整的審計軌跡。評價標(biāo)準(zhǔn)衡量指標(biāo)1.已達到預(yù)期收益的系統(tǒng)比率2.內(nèi)、外部審計在應(yīng)用系統(tǒng)上線和驗收流程所發(fā)現(xiàn)錯誤的數(shù)量3.由于不充分的最終驗收導(dǎo)致上線后重開發(fā)的次數(shù)4.由于不充分的測試導(dǎo)致的應(yīng)用系統(tǒng)中斷或數(shù)據(jù)修正數(shù)量5.開發(fā)項目已制定測試計劃率6.上線前未經(jīng)需求部門管理層批準(zhǔn)的變更的數(shù)量一級（與成熟度模型中“優(yōu)化級”相對應(yīng)）二級（與成熟度模型中“可管理級”相對應(yīng)）三級（與成熟度模型中“定義級”相對應(yīng)）四級（與成熟度模型中“可重復(fù)級”相對應(yīng)）五級（與成熟度模型中“初始級”相對應(yīng)）（3）IT審計測試庫IT審計規(guī)范體系44IT審計準(zhǔn)則IT審計指南IT審計測試庫十大工具IT審計規(guī)范體系45影響等級影響因素較小中等較大重大對業(yè)務(wù)的影響僅影響內(nèi)部業(yè)務(wù)對業(yè)務(wù)有一定影響-影響顧客對業(yè)務(wù)有重大影響–

嚴(yán)重損害公司為客戶服務(wù)的能力分行無法繼續(xù)經(jīng)營管理層投入精力可分配至中層管理人員解決高層管理人員在中層管理人員的協(xié)助下解決需要高層管理人員的關(guān)注需要高層管理人員采取持續(xù)危機管理行動并發(fā)布指示品牌和聲譽影響較小短期內(nèi)產(chǎn)生影響嚴(yán)重受損并受到廣泛關(guān)注重大損失，未來即使投入巨大資源也難以完全恢復(fù)人身安全輕傷，需救護需住院治療重傷，部分或全部喪失勞動能力死亡事故營業(yè)利潤0%-0.1%0.1%-0.3%0.3%-0.5%大于0.5%總資產(chǎn)0%-0.01%0.1%-0.03%0.03-0.05%大于0.05%可能性較小可能可能較大可能基本確定詳細描述可能在某時發(fā)生—

發(fā)生可能性低

可能在某時發(fā)生—

中等可能性

可能會在很多情況下發(fā)生

在大多數(shù)情況下通常會發(fā)生（4）工具一：風(fēng)險評估的方法、標(biāo)準(zhǔn)影響重大較高重大重大重大較大中等較高重大重大中等較低中等較高重大較小較低較低中等較高

較小可能可能較大可能基本確定可能性IT審計規(guī)范體系46（4）工具二：《IT風(fēng)險評估表》IT審計規(guī)范體系47（4）工具三：《審計范圍表》IT審計規(guī)范體系48（4）工具四：審計方案模板IT審計規(guī)范體系49（4）工具五：《IT制度匯編》（監(jiān)管機構(gòu)、建行內(nèi)部IT制度171個）IT審計規(guī)范體系50（4）工具六：《IT審計訪談提綱》IT審計規(guī)范體系51（4）工具七：：《IT審計案例集》（257個案例）IT審計規(guī)范體系52（4）工具八：《重要術(shù)語與定義》IT審計規(guī)范體系53（4）工具九：《IT風(fēng)險控制能力評價標(biāo)準(zhǔn)》IT審計規(guī)范體系54（4）工具十：《IT風(fēng)險控制水平衡量指標(biāo)表》IT審計規(guī)范體系55IT審計規(guī)范體系56IT審計規(guī)范體系57123總結(jié)是一個審計人員對IT進行全面的理解和思考的框架IT審計規(guī)范體系4是管理IT審計知識的框架可以根據(jù)組織的實際情況做裁剪，并需要動態(tài)的維護是組織內(nèi)IT利益相關(guān)方之間交流和溝通的平臺58提綱IT審計概要COBIT簡介IT審計的策略建行IT審計的情況建行IT審計規(guī)范體系59IT審計的策略立項策略統(tǒng)籌規(guī)劃——基于組織IT的技術(shù)架構(gòu)和管理架構(gòu)風(fēng)險導(dǎo)向——基于IT風(fēng)險的評估，確定立項的優(yōu)先級劃分相對獨立的審計單元——確保審計范圍可控審計項目的周期覆蓋盡量與審計資源匹配——包括人數(shù)、知識結(jié)構(gòu)、勝任能力60IT審計的策略如開始提到的網(wǎng)上銀行審計，可以分解為：網(wǎng)上銀行應(yīng)用控制審計網(wǎng)絡(luò)安全審計項目開發(fā)審計運維管理審計數(shù)據(jù)中心審計審計項目易于管理，審計風(fēng)險相對分散 61IT審計的策略項目實施策略充分的審前準(zhǔn)備——識別關(guān)鍵的IT資源和管理流程。需要調(diào)閱：技術(shù)文檔、技術(shù)規(guī)范、操作規(guī)程、崗位職責(zé)描述、運行報告、自評估報告等。職能流程矩陣——與IT管理的組織架構(gòu)為線索，確定IT流程與職能部門的關(guān)系，最好明確關(guān)鍵的崗位和個人審計組成員的合理分工——以職能流程矩陣為基礎(chǔ)，考慮工作量并盡量避免審計流程的交叉。審計組內(nèi)部的充分溝通。62提綱IT審計概要COBIT簡介IT審計的策略建行IT審計的情況建行IT審計規(guī)范體系63IT審計簡介我行IT審計的總體情況1.設(shè)立了專職部門或團隊總行審計部及多數(shù)審計機構(gòu)，設(shè)立專業(yè)處室，其它機構(gòu)設(shè)置專業(yè)崗位2.培養(yǎng)IT審計專業(yè)隊伍150人IT審計人員，90余名CISA總行專業(yè)小組專家咨詢組湖南、成都、天津、沈陽、山東、河南、山西、吉