IT审计培训

审计部
7Βιβλιοθήκη Baidu
二、审计安排（审计报告阶段）
审计报告阶段
LOGO
1. 各模块的负责人汇总该模块的问题，并由主审人最后汇 总形成事实确认书 2. 对于信息技术部反馈回的事实确认书，主审人将反馈分 发回各模块负责人，由各模块负责人研究决定是否接受。 如果模块负责人不能把握，可提交项目组长进行把握。 3. 召开整个小组讨论会议，讨论报告模板，之后各模块负 责人完成自己负责模块的报告撰写 4. 主审人将各模块的报告，统一归并，并从总体风格上面 进行调整 5. 项目组长进行复核，并最终形成正式的报告，交由质控 经理进行复核
审计部
14
四、审计注意（信息科技治理）
信息科技治理
LOGO
1. 制度建设情况，由于原来的一个部门调整成了很多个部 门，很多部门的岗位也重新进行了调整，因此需要关注 制度是否也进行过调整 2. 关注制度的制定情况，是否成体系架构，是否全面 3. 关注制度的完善性，在实行期间对他们的制度也进行过 仔细的阅读和了解，发现很多制度写的太粗，没有进行 细化，缺少的东西也很多，实际落地性较差。
LOGO
投入调查 1. 关注合同中是否有重复投资，最近在查看办公室 的合同中也发现数据仓库的采购中关于BO软件 可能存在重复购买的嫌疑 2. 关注项目的合同金额是否跟实际的项目不匹配情 况 3. 关注硬件的购买是否跟项目的实际需要匹配，并 且真正的应用到项目中 4. 关注合同中工时的估算是否跟项目的实际情况匹 配
LOGO
1. 本次审计我们采用“团队作战，逐个突破，每人有专攻” 的方式进行，在审计过程中个小组成员应该注意统一思 路，注意沟通、交流。如果发现问题可能会在其他成员 检查中也会类似发现，应该注意强调。 2. 实施阶段，关于谈话，最好集中一次性谈话，项目小组 人员的问话内容最好不要重复。 3. 实施阶段应该严格按照项目的进度进行，力求“前紧后 松”。
LOGO
1. 部门人员管理，包括新员工的管理、帮带措施（新员工 比较多） 2. 部门的考核机制，由于在实习期间了解现在的考核很大 一部分都是按照计划来考核，如果出现计划延迟是需要 倒扣分的，无激励。因此导致很多部门不敢做计划，而 且很多老员工由于负责的项目比较多，因此扣的钱也很 多，底下很多声音的 3. 文化建设、部门合作情况，由于划分了三个部门，在学 习期间也了解到存在部分不和谐的情况
审计部
17
四、审计注意（信息科技项目开发和变 LOGO 更管理）
信息科技项目开发和变更管理 1. 关注项目的立项是否符合规范，是否进行可行性 分析等 2. 项目开发过程中的文档是否齐全 3. 项目开发过程中的审批是否符合规范 4. 项目的管理是否合理，进度是否跟总体实施计划 匹配、成本是否超支
审计部
审计部
5
二、审计安排（实施阶段）
LOGO
5. 员工访谈，由于信息技术审计的不同，我们可以 采用集中谈话和现场了解方式 6. 符合性测试，根据员工访谈的疑点进行相关测试， 注意测试过程中应该有相关信息技术部系统人员 陪同，测试结束之后应有相关人员签字确认
审计部
6
二、审计安排（实施阶段）
审计中应该注意的
审计部
13
四、审计注意（信息资产及风险评估）
LOGO
信息资产及风险评估 1. 主要关注软件、硬件、网络资产的状况及风险状 况 2. 软件的风险可以采用调查报告的形式，由使用部 门反馈 3. 硬件的风险可以采用员工访谈、登录系统检查验 证的方式进行。 4. 在对硬件进行风险评估的同时，我们还应该关注 硬件是否严重过剩，或者使用率太低情况 5. 网络资产的风险？？？
审计部
9
四、审计注意（费用管理）
LOGO
费用管理 由于跟营销部门的不同，费用的使用可能会不一 样，因此应该注意以下几点： 1. 检查过程中要关注是否有乙方或者其他非法的资 金收入 2. 费用资金是否挪作他用 3. 其他由于自己也不是很熟悉，暂时没有想到
审计部
10
四、审计注意（其他管理）
其他管理
审计部
11
四、审计注意（账户分析）
账户分析 1. 关注账户是否有异常周期性的资金转入、转出 2. 利息金额是否跟存款金额不一致 3. 是否存在内部账户资金异常转入 4. 关注账户是否有大额转入证券、基金等行为 5. 关注信用卡是否长期取现 6. 其他异常行为
LOGO
审计部
12
四、审计注意（投入调查）
审计部
15
四、审计注意（组织结构）
LOGO
组织结构 1. 关注人员的岗位是否满足岗位分离原则 2. 关注现在的人员岗位安排是否合理，是否导致部 分人员非常忙，部分人员非常清闲的情况 3. 关注岗位的安排，重要的岗位是否安排有能力的 人来担当
审计部
16
四、审计注意（信息安全管理）
LOGO
信息安全管理 1. 主要关注逻辑访问、网络、数据、系统等方面的 安全情况 2. 关注部门在安全方面的意识是否到位，是否有相 应的控制措施 3. 特别在数据的安全方面，对数据的修改是否严格 执行审批流程，修改过程是否有管理人员监督执 行（由于我行的业务修改比较多） 4. ？？？？实在太多，不一一介绍
审计部
8
三、审计内容
审计内容主要包括如下：
LOGO
1. 内部管理： 内部管理主要包括费用管理、部门管理、文化建设、账 户分析等 2. 信息调查：主要包括设备盘点、投入调查、信息资产及风险评估、 故障处理调查 3. 信息科技治理与组织架构：主要从制度、组织架构等方面进行 检查 4. 信息安全管理检查：主要检查如逻辑访问、网络安全、数据安全、 系统安全等方面安全管理 5. 信息科技项目开发与变更管理：主要检查项目立项、开发管理、变 更管理的规范性、文档是否齐全、审批是否符合规范 6. 信息科技运行与操作管理：主要检查信息系统在运行体系建设、运 行环境保护、操作风险控制、生产变更管理等方面的内容 7. 业务持续性规范：主要检查我行对业务持续性的采取的策略、规划 的制定与实施情况、演练情况等
审计部
3
二、审计安排（准备阶段）
LOGO
准备阶段 1. 安排培训，了解相关审计内容模块的相关知识和 审计重点，需要熟悉的制度、标准、审计底稿中 的相关内容等 2. 制定总体实施计划 3. 发放调查问卷（内部控制调查问卷、信息资产及 风险评估调查问卷） 4. 发出审计通知书及调档资料（2、3步同时进行） 5. 召开进点会议，同时调档
18
四、审计注意（信息系统运行和操作管 LOGO 理）
信息系统运行和操作管理
1. 关注系统变更的风险，前期了解到现在很多系统在变更 时都出现了这样或者那样的问题 2. 机房操作在手册更新、日志保存等方面是否合理 3. 日常操作的风险控制情况
审计部
19
四、审计注意（业务持续性规划）
LOGO
业务持续性规划 1. 风险评估报告，业务影响度分析 2. 事故管理小组的责任是否清晰，联系方式是否及 时更新，是否进行过培训 3. 是否为每个业务制定了相应的应急预案 4. 关注持续性计划的演练和整改情况
IT审计
主要内容
一、审计组织 二、审计安排 三、审计内容 四、审计注意
LOGO
审计部
2
一、审计组织
审计内容：
LOGO
1. 内部管理 2. 信息调查 3. 信息科技治理与组织结构 4. 信息安全管理 5. 信息科技项目与开发 6. 信息系统运行和操作管理 7. 业务持续性规划 现场审计采用“团队作战、逐个突破、每人有专攻”的方式进行，具体为：每 一项内容我们都采用团队的方式共同完成，但每项内容我们还是有一个总的 负责人，具体负责该项内容的总体把关、组织协调、安排等相关事宜。 审计过程中每日召开项目小组会议，主要说明今日的工作进度、工作困难等 在执行每项内容的审计之前，项目小组召开会议，确定该项内容的主要关注 点、审计重点、组织安排等。
审计部
4
二、审计安排（实施阶段）
LOGO
审计中 1. 审计前必须明确思路、审计重点、审计安排 2. 检查文档，了解提交的文档是否全面，文档的内 容是否合理，签字审批是否控制到位 3. 现场检查，根据工作底稿的相关内容，开展现场 检查，并形成记录。重要的证据，必须注意保存 4. 登录系统进行检查、日志查询等，注意重要证据 的保存
审计部
20