it审计工作总结(共2020汇总)
时间:2020-09-07 16:14:49 来源:勤学考试网 本文已影响 人 
第1篇IT审计知识总结
IT审计知识总结
IT审计的出处源自60年代IBM出版的《Audit encounters Electronic Data Proceing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现, IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用,因此IT审计并未在社会上形成意识。
七十年代中后期到八十年代初由于计算机在发达国家的企业初步普及,利用计算机犯罪和计算机系统失效的事件频频出现,使得IT审计日益得到社会重视,美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规则的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《Skill Start》和Northwest Center for Emerging Technologies(NCET)对IT信息人员的从业技能的要求制订了IT审计师(系统监查员)的技能标准并以之作为新的"IT审计师(系统监查员)"级考试的参考标准。
九十年代是IT审计的普及期,这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床,此外日益严重的软件项目失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。
IT审计知识概括如下
一、什么是IT审计
IT审计就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方。IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
二、IT审计的对象和范围
IT审计涉及整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。一般来说,对企业实施IT审计的对象有本企业内的IT审计师、外部IT审计事务所委托审计师和国家审计机构。IT审计按照信息系统的生命周期分为业务计划审计,业务开发审计、业务执行审计和业务维护审计以及涵盖整个信息系统周期的共通业务审计。
1)业务计划审计主要面向信息系统的企划,对信息系统的投资可行性,系统规划与公司战略的相关性,系统开发计划的可行性以及系统需求的完整性和正确性进行审核和验证。
2)业务开发审计对信息系统开发的各个阶段的相关人员的活动、信息、中间产物进行审核,确认这些活动、信息和中间产物的规范性、有效性和对于信息系统目标的针对性。
3)业务执行审计确认与信息系统运行相关的数据、软硬件、安装环境等是否符合信息系统的运营要求,同时对信息系统的功能、性能、易用度、可操作性等进行评估。
4)业务维护审计对信息系统的维护活动和维护结果实施审核和评价。发现在维护中可能出现的各种漏洞和信息系统维护中急待改善的问题。
5)共通业务审计涉及文档管理、进度管理、人员管理、采购管理、风险管理等,检查这些过程的规范性和有效性,并提出改良建议。
三、IT审计计划
IT审计的实施需要制定相应的计划,明确IT审计的任务、采用的方法和预期应当达到的效果。该计划在提交经营层确认后得以实施。
IT审计的审计计划分为两种类型基本计划和详细计划(又称分期计划)。
1)基本计划是一个审计年度内相关IT审计活动的计划,确认年度内IT审计的各项任务及其大致时间安排。基本计划需要提交经营层批准。它是对整个IT审计年度的活动指引方针。内容包括审计对象、审计场所、审计原则、日程安排等。
2)详细计划(分期计划)针对具体项目(系统)或任务,得到IT审计部门领导的许可即可,详细计划需要告知被审计对象。详细计划的内容包括审计对象、目的、审计流程、审计要点、审计时间、相关人员、审计报告提交事项等内容。
四、IT审计的任务
IT审计的任务在于站在客观公正的角度上,收集审计信息,生成审计报告,通过审计报告促成信息系统生命周期活动和成果物的改善。
五、IT审计制度的建立需要注意三点
作为企业,建立一个完善的IT审计制度需要做到以下几点
1)IT审计师是跨信息技术和审计技术的复合型人才,要实施企业的IT审计制度,必须重视和培养合格的IT审计师;
2)企业应该建立相应的IT审计部门或审计岗位,确定其部门和岗位职责,并将之置于企业经营者的直接管理之内;
3)企业应该制定相应的IT审计准则、实施报表、报告等进行IT审计所必须的凭据;
企业在建立IT审计制度时应当遵循国家相关IT审计的法规并结合本企业的业务实际进行。企业的IT审计制度不是一成不变的,根据具体企业的营运情况可以在每个审计年度终结后新的审计年度开始前做相应的修改和增删。
六、IT审计的意义
实施IT审计能够强化IT投资效果,提高信息系统的安全性,能够客观评价信息系统及信息系统开发,从社会经济和企业、国家信息化投资、安全等方面都具有极大的意义。
七、从IT审计看审计学科的发展
1、IT审计是技术审计的一个典型,IT审计师标志着一个新的审计时代——“技术审计时代”的到来
随着经济管理与科学技术的不断结合与日益渗透,现代审计已经远远超出了仅对财务会计进行审查的狭窄范围,不断向管理领域和技术领域渗透。IT审计是技术审计的一个典型。IT审计实质上是对计算机软件和硬件及整个信息系统的审计,否则,就不能称为IT审计。由于计算机的广泛普及,审计环境发生了巨大变化。假如审计人员只懂传统审计,不懂对计算机软硬件的审计,必然面临可怕的潜在审计风险。在无纸办公条件下,会计及其他信息资料被存入计算机信息系统,审计人员如不考虑被审单位计算机软件和硬件的安全程度,对被审单位的系统与设备盲目信任,即使懂得计算机的简单应用,也极有可能误入计算机陷讲,后果相当危险。只有对计算机审计风险进行正确估计,根据实际情况决定是否采取相应的信息系统审计对策,并能够在风险较大的情况下针对计算机信息系统(包括硬件与软件)实施必要的技术性审计,才能最终保证审计结果的正确性,防止和降低信息技术条件下的审计风险。IT审计的重要程度由此可以想见。显然,网络时代的到来已对审计人员提出了掌握过硬信息技术的要求。IT审计师不仅从事对财务会计、经济管理活动的审计,更重要更关键的是对被审单位信息系统进行技术审计。IT审计师的产生是审计领域进一步扩大化的重要标志,代表着新的审计时代——技术审计时代的到来。
实际上IT审计并不是最早的技术审计。早在IT审计之前,就已经出现了各种各样的技术性审计,只不过这些技术审计的技术性不如IT审计那样与科学技术紧密相关。例如,质量管理中的技术性审计——质量审计(包括产品质量审计、工序质量审计与体系质量审计等),要求对产品质量进行抽查试验;清洁生产中的技术性审计——清洁生产审计,要求揭示生产技术的缺陷并提出预防和消减污染的机会与对策;能源管理中的技术性审计——能源审计,要求进行能源监测,提出能源技术改造方案;环境管理中的技术性审计——环境审计,要求实施环境质量监测,提出环境改进建议与降低污染方案;如此等等,都是具有不同技术程度的审计类型,从它们的技术性特点归类,可以与IT审计并称“技术审计”。
技术审计的产生是科学技术日益渗透、审计范围进一步向技术领域拓展的必然结果。随着科学技术如日新月异和现代审计的不断发展,审计的技术领域将不断延伸,未来的技术审计形式将更加丰富多彩。
2、从IT审计看现代审计学科的发展
王光远教授在其名著《管理审计理论》中将审计学科划分为“财务审计”与“管理审计”两大分支,倡导发展管理审计,并认为管理审计以财务审计为基础,前者是后者的发展与延伸。
技术审计是当代科技发展与审计发展相互融合的产物。当代社会是科学技术飞跃发展的社会,科技的迅猛发展已经给整个社会的经济管理活动造成了巨大影响。正是在科技迅速发展的大背景下才产生了形形色色的技术性审计。技术性审计是在原来的财务审计和管理审计基础上,由于科学技术向经济管理领域的渗透而产生的。然而,到目前为止,技术审计在本质上并不是独立于财务审计和管理审计的第三大审计分支,而是融于财务审计、管理审计之中的一类审计形态。即在财务审计与管理审计两大分支当中都包含某些技术审计。比如,进行计算机财务审计,主要的或本质上是实施财务审计,但由于计算机软件和硬件对财务信息的巨大影响,也往往不得不对使用的硬件和软件进行审计,这又是技术审计;清洁生产审计实质上属于环境(管理)审计中针对生产过程所实施的技术审计,但这种技术审计又是为进行管理审计服务的,依附于管理审计。
从受托责任理论分析,可以提出“受托技术责任”的概念。在财务审计分支中的技术审计,其受托技术责任属于受托财务责任的二级责任,比如IT审计中,保证会计报表真实可靠,就必须要求信息系统的软件系统和硬件系统同时可靠,后者从属于前者,被审单位承担的受托信息技术责任就是其所负受托财务责任的二级责任。在管理审计分支中的技术审计,其受托技术责任属于受托管理责任的二级责任。例如,环境审计实质是对环境管理的审计,因此属于管理审计。但进行企业环境审计,需要审查企业的生产工艺与生产技术,甚至审查产品的环保技术性能,此类技术方面的审计都是为了证实企业环境保护方面的受托管理责任。
总之,对财务会计的审计称为财务审计;对管理进行的审计称为管理审计;对技术方面的审计就应当称为技术审计。从这个意义上说,技术审计应是现代审计的第三大领域。20世纪30年代以前财务审计一统天下,30年代以后80年代以前管理审计异军突起,与财务审计并驾齐驱,80年代以来技术审计不断涌现,90年代IT审计初视端倪,21世纪将是IT审计师独领风骚的时代。
勿庸讳言,技术审计至今未能脱离财务审计和管理审计而单独存在。然而,尽管技术审计尚未独立为现代审计的第三分支,但“技术审计”概念的提出仍然极具积极意义。技术审计反映了科技与审计、科技与经济管理相互融合与渗透的时代特点,要求审计人员既要掌握经济管理知识,又要掌握科学技术。现代审计向管理领域和技术领域渗透,是不以人的意志为转移的必然趋势。也许将来技术审计会成为与财务审计和管理审计相并列的第三大分支。
在不久的将来,无论是国家审计、内部审计还是注册会计师审计,不懂IT技术必然遭遇灾难性风险,离开IT审计将寸步难行。国际著名会计公司德勤会计师行的高级合伙人鲍威尔先生指出,全世界即将迎来管理领域信息化的高潮。信息技术对传统管理和控制的挑战是空前的,主要表现在三个方面一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理的风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息技术风险日益增长;三是对复合性高级人才的需求骤增,要求管理者、审计师和咨询人员必须在精通管理和专业的同时熟悉信息系统和网络技术。
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统的财务审计服务所占收入比例正在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入增长的部分往往又和IT环境审计、信息系统安全审计服务等技术性审计有关。可以断言在整个社会信息化程度迅速提高的今天,如果我国的会计师事务所不及早作好IT技术方面的人才准备,不仅谈不上和五大著名的国际会计师事务所竞争,而且连国内的市场也会丧失殆尽。
第2篇保险业IT内部审计
保险业IT内部审计保险行业上市公司不仅需要接受保监会的监督管理,而且还要面对公司发展和风险控制的内部需求。信息技术已经融入公司管理活动的各个方面,是保险行业各项管理职能的依托。
一、IT内部审计同IT治理和内部控制的关系
信息技术的重要性和复杂性使之影响到公司的决策及执行,IT管理也表现出越来越严重的问题,主要表现在IT投资变得无法控制;风险控制与服务质量不能令其他部门满意;由于IT的专业性,IT战略规划常常同公司总体战略难以协调,可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念,现在IT治理已经在很多企业内实施,IT治理是公司治理的一个关键部分,它能使企业合理利用IT资源,促使IT投资收益最大化,使得IT在复杂的管理环境下有效进行相关风险管理,从而保障IT服务质量,推动企业整体目标的实现。IT内部审计是IT治理的重要组成部分,对IT治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评,确定系统信息的可依赖程度,评估控制风险的水平,减少审计工作量,节约审计成本,从而保障审计质量。内部审计是现代企业法人治理结构的内在需求,尤其是对于以经营风险为主的保险公司来讲,有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本,提高审计效率,外部审计也会使用内部审计工作成果。当然,两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门,内部审计是公司内部的一种独立、客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程,从整体上把握企业的经营管理。
二、现阶段保险行业IT内部审计特点
顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外,其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款,《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。
技术标准的选择一般监管部门会就IT内部控制提出基本准则和指导原则,选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题,现在有关IT内部控制和IT审计的国际标准很多,这些标准各具特点。一般保险公司的做法都是按照COBIT标准,根据自身特点,结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型,COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性;IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
IT审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。
有效控制IT内部审计把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险,由于IT系统复杂性,检查风险是客观存在的,为避免检查风险的出现需要对IT内部审计进行有效控制。
采用非现场审计的方式依靠强大的信息技术的平台,IT内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析,把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。
三、保险业IT内部审计需要关注的问题
业务与IT联合审计IT内部审计与其他内部审计相比在技术上有其独特之处,如今IT和业务的融合越来越紧密,IT在支撑业务同时,也利用新的技术手段引领业务发展。因而IT和业务也需要进行联合审计,交付给公司管理层一个统一、全面的审计结论,使得审计结果更好地服务于公司稳定发展的总体目标。
从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点,现在很多保险公司IT内部审计独立性从组织结构上来说还没有得到彻底解决,成立有公司决策层参加的审计委员会、有独立于IT研发和运维IT内部审计机构以保障IT内控审计和实质性审计的客观公正,是IT内部审计独立性的必然要求。
提高IT内部审计人员比例和素质IT审计是IT技术和审计技术相结合的边缘学科,IT审计人才是复合型人才,需要原来的IT技术人员和内部审计人员彼此钻研对方的学科,同时掌握财务、运营、商务等管理知识,在通过CISA认证的同时还需要有CFA、CIA、CISP等认证。人员素质的提高也是通过需求拉动的,只要公司有相应的需求和激励措施,人员素质的提高是指日可待的。
新技术和IT审计新理念、新技术的吸收运用新技术、IT审计新理念、新技术层出不穷,新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解,迅速做出应对,才能适应时代的发展变化。
处理好IT内部审计的关系一是IT内部审计与IT研发、运维、管理关系;二是调整好内部审计与社会审计、国家审计的关系;三是摆正IT内部审计在公司内部审计中的位置。
成本效益原则IT内部审计同样需要遵从成本效益原则,不能进行不计成本的投入,服务公司追求股东利益最大化的整体目标,在兼顾效益的原则下进行适度审计。
拓宽IT内部审计的范围IT内部审计经历了EDP审计,正处在信息系统安全性、可靠性、有效性的测试和评价的审计阶段,IT内部审计需要向咨询审计的方向发展,致力于IT治理结构和管理流程的改进,告诉公司管理层应该如何做才能符合公司总体发展的利益,改变IT内部审计在公司相对弱势的地位,依靠工作成果来加强巩固IT内部审计在公司的地位。
规范IT内部审计体系参照监管部门提出的监管要求、IT内部控制和IT审计的国际标准,编写发布更适应各保险公司自身情况的《IT内部审计准则》和具体指导IT内部审计工作的《IT内部审计指南》等IT内部审计规范性文件,开发IT内部审计工具和IT内部审计MIS系统,通过规范自身的IT内部审计体系来规范IT内部审计行为、保障IT内部审计的质量和效果。如今,观念和技术的创新是发展的主旋律,IT在保险公司的广泛应用更需要IT内部审计的保驾护航,IT内部审计在保险行业处于曙光乍现、借力待发的阶段,必将促进保险公司按照既定目标健康有序的发展,也并将随着保险这个朝阳产业在中国的发展一样有光明的未来。
第3篇公司层面IT审计
1、ITELC介绍 IT控制环境 IT风险评估 IT信息与沟通 IT监控
? 公司的IT组织架构是如何设定的? ? 公司的IT战略规划是如何设定的?
? 公司的IT组织架构及战略规划是否与企业整体相适应? ?公司是否对IT风险进行评估?
?公司是否对IT风险进行了有效的管理? ?公司是否制定了适当的IT政策及制度? ?IT政策及制度是否被定期审阅并更新? ?IT政策及制度是否与员工进行了沟通? ?管理层如何对IT活动进行监控与评估? ?内审部门是否拥有进行IT审计的资源? ?内审计划中是否包括IT审计的内容?
1、ITELC介绍 ELC-E1 控制目标
企业的IT战略规划、计划及预算等与企业的整体战略规划及业务目标相一致。
标准控制活动
企业相关职能部门制定了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度 计划及预算,并且得到了管理层的批准。
测试步骤
1、询问IT部门领导,了解公司IT 战略规划、IT 年度计划和IT 年度预算的制定、审批及 下发流程。
2、获取并检查公司IT战略规划、IT年度工作计划及IT年度工作预算,确认公司是否制定 了与企业整体战略规划及业务目标相一致的IT战略规划、IT年度计划及预算;
3、获取IT战略规划、IT年度工作计划及IT年度工作预算的审批文档(可能是由公司IT治 理委员会审批记录,也可能是公司董事长或总经理的签批文件),确认上述文档是否经 过管理层的审批。
证据示例 战略规划 工作计划 3.预算 审批文件 审批文件 审批文件
ELC-E1 控制目标
IT部门机构设置合理,并配备具有适当技能和经验的人员。
标准控制活动
企业建立了IT指导委员会及独立的信息技术部门,并根据职责分工情况设置了合理的科室和人
员岗位,对各岗位人员职责、能力明确定义和说明,并确保职责分离。
测试步骤
1、询问IT部门领导,了解公司IT指导委员会(其他叫法包括IT治理委员会、IT科技委员会、
IT战略管理委员会等)及IT部门的职能设置和人员配备情况。
2、获取并查看IT指导委员会的组织架构和职能说明,确认公司IT指导委员会设置是否合理; 获取并检查IT指导委员会会议纪要,确认IT指导委员会是否按照公司要求履行其职能。(如果
公司IT环境比较简单,没有成立IT指导委员会,可以直接对IT部门的设置进行测试。) 3、获取并查看IT部门的组织架构图以及岗位说明书,确认公司是否合理设置了IT 部门和员工
岗位 ,并对岗位人员的职责进行了明确定义和说明,且确保职责分离。
ELC-E1 控制目标
企业对IT风险进行有效评估及管理。
标准控制活动
企业建立了合乎规范的IT风险评估机制,包括评估方法、评估机构人员安排、评估报告等 ,并针对不同的风险设计了必要的应对措施。
测试步骤
1、询问IT部门领导,了解公司是否积极进行持续性的风险评估,并将其作为设计和执行内 部控制,定义IT策略以及监控评价机制的一个重要手段;
2、获取并检查IT风险评估体系文档及审计年度内的IT风险评估报告, 确认公司是否制定了
合乎规范的 IT 风险评估机制并定期开展IT风险评估工作。
ELC-E1 控制目标
IT部门与其他部门有效沟通,满足其业务需求。
标准控制活动
企业设立了专门委员会或专门的协调机制保证业务部门与IT部门就具体业务需求充分沟通,保证各部门 行动协调一致。
测试步骤
1、询问IT部门领导,了解公司是否建立了专门的协调机制以确保业务部门与IT 部门就具体业务需求进
行充分沟通(如是否建立了专门的管理委员会、是否定期召开跨部门会议等)。
2、根据IT部门与业务部门的实际沟通机制,按照财务审计/ITA抽样原则确认样本量,获取并检查其沟
通交流的相关证据资料(如会议纪要,来往邮件等),确认公司是否建立了专门的协调机制以确保业
务部门与IT 部门就具体业务需求进行充分沟通。
ELC-E1 控制目标
IT制度被及时下发并遵照执行,避免IT资产及信息损失。
标准控制活动 IT部门订立了信息系统使用规范,并使用适当的渠道下发至有关业务部门,同时举办相关培训,以确保
业务部门了解并执行信息系统使用规范 。
测试步骤
1、询问IT部门领导,了解公司是否制定了信息系统使用规范,是否使用适当的渠道下发至有关业务部
门并举办相关培训。
2、获取并检查相关信息系统使用规范,确认公司是否制定了信息系统使用规范。
3、按照询问得知的下发渠道,获取并检查信息系统使用规范下发平台截图或其他证据(如内网、员工 手册、OA系统等),确认公司是否通过适当的渠道将信息系统使用规范下发至有关业务部门; 4、获取并检查信息系统使用规范培训相关证据(如培训计划、培训通知、培训资料、签到表等),
确认公司是否对员工进行信息系统使用规范的相关培训。
ELC-E1 控制目标
IT部门内部管理制度完善,IT人员受到必要的专业培训。
标准控制活动
企业建立了针对IT部门及IT人员的各项管理制度,并安排必要的培训,使IT人员了解这些制度,并具备
履行其职能的专业知识及技能。
测试步骤
1、询问IT部门领导,了解公司IT部门是否制定了IT管理与IT内部控制相关的管理制度和细则,通过适当
渠道下发至IT部门人员并安排了必要的培训。
2、获取并检查IT制度,确认公司是否制定了全面和完善的IT管理制度。
3、按照询问得知的制度下发渠道,获取并检查IT管理制度下发平台截图或其他证据(如内网、员工手
册、OA系统等),确认公司是否通过适当的渠道下发各项IT管理制度;
4、获取并检查IT人员年度培训计划,按照财务审计/ITA抽样原则确认样本量,获取并查看IT人员培训相
关证据(如培训通知、培训资料、签到表等),确认公司是否为IT人员安排了必要的培训。
ELC-E1 控制目标
IT部门的各项职能得到适当的监控。
标准控制活动
企业建立了IT服务内部标准,并由IT部门及相关业务部门定期评价,IT部门据此相应调整、改进服务,并
定期向企业管理层会汇报IT服务评价结果及完善措施。
测试步骤
1、询问IT部门领导,了解公司是否建立了IT部门服务内部标准和IT人员考核制度;
2、获取并检查IT部门服务内部标准和IT人员考核制度,确认公司是否制定了完善的IT部门
服务考核机制。
3、获取并检查IT部门服务评价报告或相关记录,确认公司是否定期对IT部门服务质量进行 评价,并将评价结果及完善措施上报公司管理层审阅。
4、获取并检查IT人员考核记录,确认公司是否按照制度要求定期对IT人员进行考核。
第4篇IT审计经理岗位职责
任职条件:
1、大学本科及以上学历;
2、从事IT行业工作7年以上;
3、正直、诚实,原则性强,具有深度分析能力和较强语言文字能力;
4、善于学习,具有较强的独立思考、解决问题的能力;
5、熟练使用计算机和办公软件;
6、能适应经常出差;
7、具备较强的业务风险和安全管理意识,具备CISA证书者优先;
岗位职责:
1、负责对公司IT业务的审计,保证公司IT系统的安全性、高效性、效益性;
2、负责OA审计专栏的日常维护及审计公告、项目信息等编辑发布;
3、协助开展进行信息系统相关的风险管理和内部控制相关的培训和宣传,提供信息系统相关的咨询服务;
4、负责起草部门年度工作总结、风控规划; 5、参与实施常规和专项审计项目工作;
6、参与公司内部控制的健全性和有效性的审计; 7、审计需要的各种数据提取;
8、完成董事会及审计总监交办的其他有关事项。
第5篇IT项目管理审计初探
IT项目管理审计初探
来源CIO时代网
一.IT项目的现状
IT项目是指应用计算机软、硬件以及通信网络技术在管理上帮助组织节约成本、提高效率、增强竞争力以适应当今经济环境为目的的项目,它具有高风险高回报的特点。20世纪90年代以来随着网络经济的发展电子商务的普及,组织面临的商业环境日益复杂,新技术特别是信息技术在许多组织已经成为一个获得竞争优势、培养核心能力,甚至继续生存的极为重要的因素。因此,各种对IT项目的重要性日渐重视,对IT项目的投资日益增长。虽然很多组织已经意识到IT技术的重要性,但IT项目投资巨大,且IT项目长期以来成功率一直很低。于是,企业信息化的投资似乎成了无底黑洞。
在IT业的迅速发展中,其项目的出现往往以单一形式出现。对其进行管理的方法和内容非常具有项目管理的特征。项目管理的内部契约式管理形式在整合内外部人力资源,实施全过程监控,为用户提供信任等方面,特别适合IT行业高动态、高风险的特点。在IT业中,有效的项目管理是非常重要的,它和项目开发本身具有同等重要的地位。为了提高IT项目的成功率,项目管理被广泛应用于IT项目的开发中。随着学习型组织的逐渐兴起,企业越来越重视开发过程中知识的积累。因此,IT项目审计在IT项目管理中的地位将会越来越受到重视。
二.IT项目审计的作用
对于IT企业而言,项目审计是完成已有项目并执行好下一个项目的重要环节。项目审计可以分为项目中审计和项目后审计。项目后审计是项目完成并验收后,根据该项目带来的综合收益,对项目的立项、管理、验收等全部环节进行系统的评价过程。项目中审计的内容与项目后审计基本相同,但项目中审计关注项目的进程与绩效,并检查项目的变化情况。一般项目进行项目后审计,但由于IT 项目具有高风险性的特点,因此,此类项目宜尽早进行项目中审计。
项目审计提供了一个独立评估项目所处的状况以及项目管理的有效性和效率的机会。审计过程与形成的审计报告是保证持续发展和组织自我学习的工具。IT项目审计报告的主要目标是为了推进组织未来的项目管理方式,提高IT项目管理的水平,以确保项目的持续成功。以审计报告的建议和经验建立起来的项目管理知识库,对组织今后进行新的项目是极为有用的。项目审计和总结的经验教训,大大缩短了当项目团队开始一个新项目时所要经历的长长的学习曲线。更重要的是,研究表明,由于各项目团队之间缺少沟通,使系统的分界面成为系统开发中难度最大的部分,审计报告经过一段时间的积累与分析,会促使组织在原本缺少沟通的各团队间设立接收团队,使得问题在传到下一组之前就能被及时发现并得到纠正。IT项目审计报告作为知识积累应用于开发其他IT项目中,经过两三年,它将产生巨大的作用,不但对新的IT项目提供了宝贵的经验,而且对组织的有效运行和每个人的专业发展都有着强大的正面影响。
三.IT项目审计的过程及成果
项目审计是对于项目管理有效性的正式的独立的评估。一个典型的审计,要评估所使用的项目管理系统的适当性,项目计划和实施的有效性,以及项目指导方针、政策与程序的适当性。它的目的,是对项目管理的方法和通过使用项目资源可能达到的结果做出客观和公正的评估。要使一项审计有效,必须拥有有效的项目审计过程,并在审计的结果上准备和提交一个最终的审计报告和项目干系人的详情报告。
由于审计在保证IT 项目成功及经验积累上的作用越来越明显,IT 项目经理应该主动安排对项目进行审计,并对审计的结果保持客观接受的态度,配合以下审计过程的完成。
审计小组的建立
审计小组的规模主要由组织与项目的规模和项目的重要性决定。在确定要进行项目审计后,就必须花一段时间认真地挑选审计小组成员。项目审计小组的领导者必须是有软件开发经验的,并且参与过项目管理审计的管理者。而审计组的成员也是曾经有过类似的IT项目开发经历的人员。
制定审计时间表
审计组组建后,审计组成员开始共同制定项目的审计时间进度表。目的是保证使项目审计成为一个正常的规范的过程,有利于项目组对审计活动的配合。
首先,项目经理要向审计组提交项目资料,包括项目经理与项目的核心成员共同界定的项目范围和项目计划,项目的进度情况及项目组关注的问题等资料。项目经理与审计组领导合作,根据项目的范围及项目计划,共同明确审计的范围和目标,并对项目成功的标准达成一致意见。
其次,根据项目组提供的资料,审计组对项目组关注的问题进行重要程度排序,确定项目优先关注的问题。
最后,根据以上的材料,制定出审计的时间进度表。进度表中明确当审计进行时,审计组与项目组成员的工作。
审计进度表在表面上与CMM评估进度表或是ISO9001审计相似,主要的区别在于,它关注的是特定IT项目本身的管理及其风险因素,而不是关注项目进行的过程。
信息与数据的收集与分析
项目审计是一个信息与数据收集与分析的过程。这一过程有赖于审计双方的共同配合实现。
从项目组的角度,应当确保将充分的文件提供给审计组,确保给予审计组以适当的介绍以使审计组可以协作制定补救计划,以及对审计组建议的全面利用。
同时,从审计组的角度,对信息的收集与分析的主要内容包括严格审查项目有关文件;与项目团队和其他项目干系人会谈以获得他们对项目事务的看法;并参与足够多的项目活动,以判断项目中正在进行的工作内容并发现项目的问题和机遇。
在审计过程中,重点要围绕项目成功的标准进行信息与数据的收集和分析,对项目成功程度进行衡量。经过研究所制定的项目实施大纲(PIP),列出度量项目成功的10个关键因素是项目任务;高层管理者的支持;项目进度/计划;顾客咨询;人事;技术任务;顾客接受度;监督和反馈;沟通;困难解决。围绕这10个关键因素进行项目审计,可以在项目的执行过程中,定期地评估项目的当前状况,以及与项目有关的重要因素的当前状况。同时能帮助项目团队勾勒出项目当前状况的完整图像。
形成审计报告
虽然审计报告是根据具体的项目和组织环境做出的,其情况各异。但是,对于IT项目企业而言,如果为所有的审计设定一类格式,有利于建立审计数据库,为准备报告和阅读报告,并且按报告行事的管理人员提供了一份共同的提纲。
在实际工作中,审计报告通常分为五个部分,即项目分类、对采集到的信息进行分析、提出的建议、经验教训以及附录。有的还包括一本摘要小册子。
四.结束语
在我国,随着信息技术的普及,企业信息化的需求越来越高。作为IT项目的开发组织,为提高其IT项目开发的成功率,项目审计在项目管理中的作用越来越明显,它将成为项目管理的有机组成部分。组织也逐步将建立完善的项目审计体系,对项目进行有计划地过程审计,确保满意的项目进度和必要的改正措施。今后的IT项目管理,将非常依赖以审计获得的信息与建议进行项目管理流程的改进。由不同项目的审计报告为基础形成的知识库,将成为帮助IT企业向学习型组织转变,并不断实现自我提高的重要财富。
第6篇国内外银行IT审计比较
国内外银行IT审计比较
当前,随着各银行数据大集中的完成,IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外,随着金融监管力度的加大,银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要课题。
我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的经验和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。有鉴于此,本期我们特别邀请工行及人行IT审计方面的专业人士,对国内外银行IT审计的具体案例进行剖析研究,就二者的差别及内在成因作深入分析,以此促进IT审计在我国银行业更健康有序的开展。
随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一,IT运营与公司运营紧密相关,IT治理也与公司治理紧密相连,因此IT审计越来越得到银行管理层的高度重视。目前,IT审计在国际上是一个相当成熟的领域,发达国家的银行均建立了完善的信息系统审计体系,而我国才刚刚开始起步。因此,很有必要研究发达国家银行业的IT审计组织结构和技术架构,解析国内银行IT审计的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业IT审计的准确定位,由此,实现IT审计在国内银行业质的飞跃。
国外银行IT审计的特点 IT审计部门的独立性
在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计,第三方审计则提供独立的外部审计。国外发达银行大都设有内部的IT审计部门,IT审计部门独立于IT部门,由公司控股层直接管理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会,审计委员会下设企业中心,集团审计是在控股公司层面的企业中心内,直接由审计委员会管理,IT审计则隶属于集团审计,独立于IT部门。
国外银行IT审计的技术和组织框架
国外银行界在IT审计部门基本都根据银行自身的特点,确定了相应的技术框架。各银行的IT审计普遍有以下特点
各银行均根据自己的IT形势,明确了不同的IT审计的技术领域、范围。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动,包含了各种技术平台和软件开发,项目投产,系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面,力图将风险控制在过程中。由于IT已经渗透到银行业务的各个领域,因此IT审计与业务审计紧密结合,利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计,都是IT审计的重要内容。
新加坡发展银行设有专门的IT审计机构,其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构,其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进行风险审计。花旗集团还根据特殊事件或法规要求的需要,开展专项审计,对项目风险进行评估,如采用新的计算机技术、IT系统转换及系统发生停运等问题,都要进行审计评价。
IT审计人员的比例
目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行,由于信息科技已渗透于银行的各个领域,信息技术已与业务紧密结合在一起,无论作为内部审计的对象,还是内部审计的手段,内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下,花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。
IT治理中审计人员的角色
IT审计员在IT治理的过程中,他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中,在此过程中始终承担着评估与评价的职责。计划和组织域中,内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估,技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持,保证服从外部要求,风险和管理质量的评估等。
在获得和实施域中,内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价,获得和维护应用软件的评价和支持,获得和维护技术架构,开发和维护过程、安装和认证系统的评价,管理变化的评价和支持等。
在交付和支持领域,审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用,教育、培训和支持用户,管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估,保证系统安全的检查、评估和支持。
在监控领域,审计师的角色是监控过程,评价内部控制,获得独立保证,提供独立审计的检查、评估和支持。
国内外银行IT审计的差异
面对我国银行数据大集中的形势,银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步,与国外发达银行比较还存在很大的差异性,主要体现在以下几个方面
审计覆盖面上的差异
目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处,股改后直接向董事会负责,这与国际惯例基本是一致的,体现了银行最高领导层充分重视IT在银行中的地位,并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR(一般控制)和ACR(应用控制)的全方位IT审计。但我国由于信息技术审计工作开展不长,并且人员有限,还未能全面开展一般控制和应用控制的IT审计工作,基本处于一般控制的摸索阶段,距国际先进水平还有较大的差距。
组织结构和人员上的差异
从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看,IT审计由于涵盖了软件开发和项目投产、运行维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上无论与国际先进水平还是银行的IT架构相比,均有不小的差距。同时,由于目前内审部门的信息技术审计组织结构不尽完善且人员不足,无法进一步细分审计职能、明确专业审计方向。另外,在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大,需要加强力量研究解决。
国外IT审计先进经验的启示
重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。
加强IT审计是国内银行建设国际一流商业银行的内在需要。近年,工商银行信息科技优势在提升银行核心竞争力的同时,其系统风险也更加集中,更加突出,任何一点管理上的疏漏或控制上的缺陷,都可能引发巨大的系统灾难,给全行带来无法估量的经济损失和声誉损失。因此,进一步加强IT审计就更具有重大的现实意义。
加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大,国家相关部门对信息系统的安全问题越来越重视,银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此,工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。
我国银行要尽快建立健全IT审计架构和规范,从IT治理与公司治理相结合的角度,对银行的信息系统建设的重大决策,提供评估与评价并进行相关的风险分析,力图将IT风险控制在过程中,并推进和促进科技管理,预防IT风险。要达到这一目标,可按照国际通用的IT审计标准CO鄄BIT,结合我国银行的具体实际情况,建立适合我国银行的IT审计标准和框架。
对我国银行的IT审计应紧紧围绕银行的IT技术架构进行,使银行的IT审计能涵盖主要的IT活动范围,因此应建立审计的技术领域框架。该领域至少应包含以下内容系统运行、操作管理及风险防范,软件开发生命周期的过程管理和风险评估,新系统投产、切换、迁移、合并的过程管理和风险评估,各种技术平台的审计,电子银行等与IT紧密结合的新业务的审计,为业务审计提供IT技术手段和辅助功能,业务与IT紧密结合的综合审计,各种专项审计及事故评估。
我国银行IT审计的关注点
鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足,远不能达到对IT进行全面审计的要求,因此,当前我国银行IT审计工作的重点可定位在以下几个方面防范对操作运行风险,具体应针对数据中心整合工程后的生产运行和操作情况,进行专项审计;尽快按照国际标准开展我国银行IT审计工作标准的制定;加强组织机构建设,充实技术人员并加强培训;加强IT审计的队伍建设,IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面,同时又具备审计知识和经验,能将IT技术与审计手段结合运用,这样才能审计出IT风险。(作者为中国工商银行内部审计局课题组成员)
相关链接 国内外银行业IT审计的相关依据 人民银行IT审计的相关规章制度
《中国人民银行计算机信息系统内审监督检查工作暂行规定》奠定了人行内审部门开展信息系统审计工作的基础,对信息系统审计工作的目的、范围、内容、方式、方法、要求进行了明确规定。
《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》为人行各分支机构重视、加强和保障信息系统审计的开展提出了要求,同时对如何开展信息系统审计和开展信息系统审计需要关注的问题作了重点说明。
《中国人民银行计算机信息系统内部审计规程》明确了人行信息系统审计的具体内容和方法。
国外银行信息系统审计的依据
COBIT这是信息系统审计与控制协会于1996年公布的,是国际上通用的信息系统审计的标准,目前已经更新至第三版。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保证信息的安全性、有效性;IT资源包括以人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
ISO17799按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。BS7799-1已于2000年12月被国际标准化组织采纳,成为ISO17799。它包含100多个安全控制措施,来帮助组织识别在运做过程中对信息安全有影响的元素。这些控制措施被分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等10个方面,成为组织实施信
审计员工作总结
