信息系统审计在商业银行中的应用
信息系统审计在商业银行中的应用
[摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。
[关键词]信息系统审计;商业银行;信息化
Application of information system audit in
commercial banks
[Abstract]The "core principles for effective banking supervision" that the Basel Committee specifies pointed that: "the banking supervision system should include some kind of scene and non spot supervision". Therefore, to rely on information system audit implementation of on-site and off-site audit system, is the inevitable choice that the commercial banks could improve the internal audit, internal control quality and efficiency.
[Keywords] information system audit;commercial bank,;information
在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。
一、信息系统审计的概念及其对商业银行审计的影响
1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为
核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。
1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是会计凭证、账簿、报表和其他各种经营资料,都是可见性的文字、数字记录,并且要求严格按照统一规程来填写和登记。但在计算机信息系统下,除了部分原始凭证和打印出来的账表外,大量会计数据都是以电、磁信号的形式被存录在计算机中的。若不经显示或输出是看不见、摸不着的,它们既容易销毁也容易伪造,而且可以不留痕迹。审计中及时发现可疑之处,要想进一步追查也是有困难的。
2.对审计线索的影响。审计师必须跟踪审计线索来审核有关经济业务,以搜索审计证据。会计核算电算化使审计线索发生了很大的变化。在手工操作下,从原始凭证到记账凭证再到财务会计报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。审计时进行审查时,完全可以根据需要进行顺查、逆查或采用抽样的方法进行审查。但在计算机信息系统环境下,制作凭证、登账及报表编制,全部由计算机系统按一定的程序指令完成,存有会计资料的大多是磁带和磁盘,这些磁性介质上的信息是以机器可读的形式存在的。除了制定一些规章制度外,还必须在会计软件系统的设计和开发中提出审计要求,以便这些系统在会计核算中能留下新的审计线索。
3.对审计技术和审计方法的影响。计算机信息系统的特点决定了审计技术应当相应改变,手工审计技术仍是有效和必要的,但是,计算机辅助审计技术效率则更高,有时甚至是必不可少的审计技术。计算机信息系统环境下被审计商业银行内部控制的变化,是审计方法也产生较大变化。对会计资料所进行的实质性测
试包括:(1)不处理数据文件的实质性测试方法;(2)处理实际数据文件的实质性测试方法;(3)处理模拟数据文件的实质性测试方法。
二、商业银行实施信息系统审计的必要性
1.商业银行自身的信息化程度日益加剧,审计资源有限的矛盾日益突出
随着国民经济的快速发展,商业银行近年来资产规模增长迅速,业务量急剧膨胀,特别是在沿海发达地区,日交易量达数十万笔;同业竞争日趋激烈,新的金融产品和服务不断推出,银行业务的复杂程度大大提高;商业银行具有机构地区跨度广、网点众多的特点。因而,在现有的资源下,依靠传统的审计方式已难以保证内部审计的质量和全面性。商业银行信息化就是全面发展和应用现代信息技术, 以创新智能技术工具, 改造更新和装备商业银行各个部门和业务领域, 从而极大地提高商业银行的运作效率和创新能力, 最终实现由商业银行向信息银行的转变。随着商业银行业务信息化程度的提高, 银行的业务和信息系统之间的联系不断加强, 信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时, 就会造成一系列系统故障、错误, 使得商业银行面临的战略性、名誉性、操作性的风险越来越大。为减少这些风险, 这就需要信息系统审计对系统进行严格的规范控制, 对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。同时需要对信息系统的开发过程进行跟踪审计, 及时发现并改正错误, 保证信息系统的质量, 降低系统后期的维护成本。
2. 金融审计方式的局限性
审计机关目前对商业银行的主要金融审计模式是数据式审计, 从审计实践来看, 这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性, 无法对商业银行的会计报表与原始电子数据的一致性做出准确地判断, 无法核实商业银行整体经营成果的真实性。从发展趋势来看, 数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析, 难以控制总体审计风险, 其局限性正逐渐显露出来。由于审计机关人员少、时间短等因素影响, 目前金融审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等, 并在此基础上有选择地进行重点抽查审计。在执行具体审计实施方案时, 因侧重点不同也缺乏统一性,审计范围和内容均比较狭窄。总之, 现有审计技术与
术的特色。即针对商业银行的信息系统, 基于风险导向的审计思路, 信息系统审计的具体内容包括审查软件开发、设计、发行、维护过程; 审查软件使用、运行情况; 审查系统与其它系统的接口情况及系统的可扩展性; 在审计实施中应特别关注技术风险(包括集中化风险、数据风险、生产运行风险、通讯风险、交易量的峰值冲击风险等)、系统风险(包括规划与设计风险、安全产品的可信度风险)等。目前,国有商业银行主要通过各类现场和非现场的审计管理信息系统的运用,来实现内部审计的信息化。
(一)非现场审计管理信息系统的运用
针对内部审计的管理模式和业务流程,国有商业银行通过使用不同的审计管理信息系统来实现一定的工作目标。在开展远程审计或进行现场审计的前期准备阶段时,运用的是非现场审计系统。该系统是一个针对业务数据的调集和分析系统,它获取业务数据的方式主要是通过审计接口从银行的总账传输系统中卸载总账、从历史数据服务系统中卸载明细账和登记簿数据、从信贷信息系统中卸载信贷数据。审计人员根据审计目标在非现场审计系统中设定合理的监控指标,建立问题查找模型,然后对模型筛选出来的业务数据运用Excel、Access 等应用软件进行连续、全面的分析,发现审计对象业务经营过程中存在的问题、疑点和异常,评估审计对象的风险状况,为现场审计提供数据资料和线索。
非现场审计系统的运用,加大了审计覆盖面,使1 0 0 %抽样审计成为现实,减少了审计抽样风险;经非现场分析,为现场审计提供可靠、详实的依据,使现场审计针对性强,纠正违规、违法的效果明显,提高了现场审计的质量;依据非现场分析掌握的情况,能对现场审计的人员多少、时间长短进行科学、合理地安排,提高了审计工作效率,降低了审计成本。对于国有商业银行内部的重要风险点,非现场审计也可以进行连续监控,发挥动态监控、预警作用。但需要强调的是,对有些问题,通过非现场审计并不能直接定性,还须结合现场审计,依靠审计人员的职业判断来完成。
(二)现场审计管理信息系统的运用
对于日常各个审计项目的信息管理工作,则是通过审计项目管理系统来完成,它能实现全行审计业务信息和管理信息的有效归集和利用。为分别适应审计
项目实施和审计工作管理这两个方式、内容截然不同的任务,审计项目管理系统一般分为相对独立的前后台系统两部分,前后台的数据以专用数据文件形式进行导出导入。前台系统为单机版的应用程序,审计人员可在该系统中进行工作底稿、问题台账和审计报告初稿的编制,以及审计发现统计分析等工作。从数据流角度看,前台系统可以视为后台系统的审计项目数据采集器。后台系统则将诸如审计机构、被审单位、审计项目和审计发现问题等审计管理和业务信息进行全行集中存储,各审计机构用户可对存储的信息进行多角度的查询、分析和统计,为全面掌握各业务和机构存在的问题和风险状况提供支持。
与传统的手工状态下的审计项目信息管理模式相比,审计人员能利用审计项目管理系统调集被审单位以往的审计资料进行相应的风险状况分析,借用已有同质的审计项目资料并在其基础上修改生成新的工作底稿,对审计发现进行自动汇总和统计并形成审计报告初稿,提高实施审计项目的工作效率;审计机构能利用审计管理信息系统保持上下级审计信息的通畅,及时跟踪审计发现问题的整改情况,实现审计项目的定量化考核,提升审计工作的规范化水平。
总之, 与传统的商业银行审计方法相比, 信息系统审计( IS audit)是一个获取并评价证据, 以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。信息系统审计因为对应用过程能够进行有效控制而能够更广泛、更有效地发现和防范金融风险。同时, 随着审计技术水平的提高, 甚至可以通过系统审计软件对商业银行的异常交易进行实时监控审计, 最大限度地降低审计风险。因此, 针对数据大集中后, 商业银行技术风险倍增的情况, 系统审计尤为必要。
[参考文献]
[1]孙强. 信息系统审计[M ] . 上海: 机械工业出版社, 2003.
[2]王娜. IT审计对传统审计的撞击[ J]. 中国审计, 2001, ( 10): 11- 13.
[3]李辉.商业银行IT审计的策略和方法[J]。信息空间,2004,(7).
信息系统一般控制审计上
信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12) 编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险
中国注册会计师审计准则第1611号—商业银行财务报表审计(doc 14)
中国注册会计师审计准则第1611号 ——商业银行财务报表审计 第一章总则 第一条为了规范注册会计师执行商业银行财务报表审计业务,制定本准则。 第二条注册会计师在执行商业银行财务报表审计业务时,应当将本准则与相关审计准则结合使用。 第三条本准则所称商业银行,是指依照《中华人民共和国公司法》和《中华人民共和国商业银行法》设立的从事吸收公众存款、发放贷款、办理结算等业务的企业法人。 第四条商业银行通常具有下列主要特征: (一)经营大量货币性项目,要求建立健全严格的内部控制; (二)从事的交易种类繁多、次数频繁、金额巨大,要求建立严密的会计信息系统,并广泛使用计算机信息系统及电子资金转账系统; (三)分支机构众多、分布区域广、会计处理和控制职能分散,要求保持统一的操作规程和会计信息系统; (四)存在大量不涉及资金流动的资产负债表表外业务,要求采取控制程序进行记录和监控; (五)高负债经营,债权人众多,与社会公众利益密切相关,受到银行监管法规的严格约束和政府有关部门的严格监管。 第五条商业银行具有下列主要风险:
(一)信用风险; (二)国家风险和转移风险; (三)市场风险; (四)利率风险; (五)流动性风险; (六)操作风险; (七)法律风险; (八)声誉风险。 第六条由于商业银行具有的特征和风险,注册会计师应当保持应有的职业谨慎,以将审计风险降至可接受的低水平。 第二章接受业务委托 第七条注册会计师应当初步了解商业银行的基本情况,评价自身独立性和专业胜任能力,初步评估审计风险,以确定是否接受业务委托。 第八条在评价自身专业胜任能力时,注册会计师应当考虑: (一)是否具备商业银行审计所需要的专门知识和技能; (二)是否熟悉商业银行计算机信息系统及电子资金转账系统; (三)是否具有对商业银行国内外分支机构实施审计的充足人力资源。 第九条注册会计师在接受业务委托时,应当就审计目标和范围、双方的责任、审计报告的用途等事项与商业银行达成一致意见。 第三章计划审计工作
会计报表审计报告
针对小企业资产负债表和利润表(损益表)出具的审计报告的参考格式 【以下红字系提示性内容,报告仅作格式参考,但不限于此,项目负责人应根据实际情 况、包括审计意见类型及相关事项进行调整,并删除提示性内容】 审计报告 文号 abc公司全体股东: 我们审计了后附的abc 公司(以下简称abc公司)财务报表,包括2013年12 月31日的资产负债表、2013年度的利润及利润分配表和现金流量表以及财务报表附注。 一、管理层对财务报表的责任 编制和公允列报财务报表是abc公司管理层的责任,这种责任包括:(1)按照《小 企业会计准则》的规定编制财务报表,并使其实现公允反映;(2)设计、执行和维护必 要的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。 二、注册会计师的责任 我们的责任是在执行审计工作的基础上对财务报表发表审计意见。我们按照中国注 册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求我们遵守中国 注册会计师职业道德守则,计划和执行审计工作以对财务报表是否不存在重大错报获取合理 保证。 审计工作涉及实施审计程序,以获取有关财务报表金额和披露的审计证据。选择的 审计程序取决于注册会计师的判断,包括对由于舞弊或错误导致的财务报表重大错报风 险的评估。在进行风险评估时,注册会计师考虑与财务报表编制和公允列报相关的内部控制, 以设计恰当的审计程序,但目的并非对内部控制的有效性发表意见。审计工作还包括评价管 理层选用会计政策的恰当性和作出会计估计的合理性,以及评价财务报表的总体列报。 我们相信,我们获取的审计证据是充分、适当的,为发表审计意见【或发表保留意 见】提供了基础。 三、导致保留意见的事项 ?? 四、审计意见【或保留意见】 我们认为,【除“三、导致保留意见的事项”段所述事项产生的影响外,】abc公 司财务报表在所有重大方面按照《小企业会计准则》的规定编制,公允反映了abc公司 2013年12月31日的财务状况以及2013年度的经营成果和现金流量。 五、强调事项 我们提醒财务报表使用者关注,如财务报表附注[]所述,[]。本段内容不影响已发 表的审计意见。 1、 []公司2013年度财务报表 2、 []公司2013年度财务报表附注 [本页无正文] 会计师事务所有限公司 (盖章) 中国·苏州 (签名)(盖章)(签名)(盖章)二零一四年月日中国注册会计 师:×××中国注册会计师:××× 财务报表附注 二零一三年度 人民币元
关于对商业银行开展信息系统审计的思考
关于对商业银行开展信息系统审计的思考 现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。一、商业银行信息系统的特点、架构与一般业务流程(一)商业银行信息系统的特点现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。(二)商业银行信息系统的框架结构商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统
与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。(三)商业银行核心业务系统一般流程商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和
信息系统安全审计管理制度
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员的职责是: 1.制定信息安全审计的范围和日程; 2.管理具体的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计报告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门,其职责是: 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订
第四条审计计划应包括以下内容: 1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行重大变更后(如架构、业务方向等),需要进行一次涵盖所有部门的审计。 第三章安全审计实施 第六条审计的准备: 1.评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: 1)需要访问的人员和调查的问题; 2)需要查看的文档和记录(包括日志); 3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等);
2.向受审员说明审计通过抽查的方式来进行。 第八条审计方式包括面谈、现场检查、文档的审查、记录(包括日志)的审查。 第九条评审员应详细记录审计过程的所有相关信息。在审计记录中应包含下列信息: 1.审计的时间; 2.被审计的部门和人员; 3.审计的主题; 4.观察到的违规现象; 5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等; 6.审计参考的文档,比如策略、标准和程序等; 7.参考所涉及的标准条款; 8.审计结果的初步总结。 第十条如怀疑与相关安全标准有不符合项的情况, 审计员应记录所观察到的详细信息(如在何处、何时,所涉及的人员、事项,和具体的情况等)并描述其为什么不符合。关于不符合的情况应与受审员达成共识。 第十一条在每项审计结束时应准备审计报告,审计报告应包括: 1.审计的范围; 2.审计所覆盖的安全领域;
银监发201919商业银行信息科技风险管理指引word精品文档23页
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
信息系统审计重点及应对措施
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。随着计算机及网络技术的迅速发展,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须加快信息系统审计的步伐。为此,笔者认为,审计机关要开展好信息系统审计,就必须把握重点,加强组织,制定措施,积极推进。 一、开展信息系统审计应把握的重点 1、信息系统审计的目标和内容 信息系统审计目标:信息系统审计不仅要对系统信息的合法性、公允性进行审计,还要对信息系统的硬件和软件,以及整个信息系统的安全性、稳定性、内部控制的健全性与有效性等方面进行审计,指出被审计单位信息系统内部管理和控制上的薄弱环节,提高其信息系统的可靠性和真实性,有效地防止利用信息技术随意篡改系统信息或破坏磁介质上的数据等舞弊行为的发生。因此,信息系统审计目标不仅仅在于应用计算机进行审计(即传统EDI 审计或计算机辅助审计),更重要的是要对信息系统本身的安全性、稳定性及其实现组织目标的有效性进行实时的检查、评价和改造。 信息系统审计内容:主要包括信息系统开发过程审计、一般控制审计和应用控制审计三个方面。 2、信息系统审计的职能和方式 为了实现审计目标,保证和咨询应成为对信息系统进行审计的两大基本职能。“保证”即“系统可靠性保证”,就是通过对信息系统运行过程、商业连续性能力、维护状况进行评价,合理保证信息系统安全、稳定、有效,它是信息系统审计最基本的职能。“咨询”是指审计人员能够向信息系统的高层管理者以及使用者提供解决问题的方案,以达到改善经营和为组织增加价值的目的。 信息系统审计组织方式:一种是将信息系统审计作为常规项目审计的一部分,是为整个审计项目的总体目标服务的。检查信息系统本身及其内部控制的可靠性和有效性,为数据审计服务,最终通过审计数据得出审计结论,即数据审计、信息系统审计和系统内控审计“三位一体”的结合方式。另一种是独立立项的信息系统审计,直接针对信息系统进行审计,将信息系统本身的安全性、可靠性和有效性作为审计目标。现阶段开展的信息系统审计以第一种方式为主。 3、信息系统审计的依据和原则
网络安全审计系统(数据库审计)解决方案
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计....................... 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计........................... 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
C15002S IT审计实务100分
IT审计实务 倒计时:00:31:55 单选题(共2题,每题10分) 1 . 以下属于对信息系统一般控制审计的是()。 ? A.对IT治理工作机制进行审计 ? B.对IT基础设施及运维的审计 ? C.对全面的IT风险管理框架的审计 ? D.对IT组织结构、管理制度的审计 2 . COBIT(Control Objectives for Information and Related Technology)是目前国际 上通用的IT管理标准之一,属于()。 ? A.IT服务管理体系标准 ? B.信息安全管理体系标准 ? C.IT控制标准 ? D.软件开发过程标准 多选题(共4题,每题10分) 1 . 国资委于2014年对央企提出了信息安全“三同步”的工作原则,即信息安全保障与信息 化建设应保持()。 ? A.同步设计 ? B.同步建设 ? C.同步运行 ? D.同步管理 2 . 关于IT审计的作用,下列说法正确的是()。
? A.IT审计具有鉴证价值、促进价值、咨询价值 ? B.通过IT审计发现控制缺陷或漏洞、提出解决问题的建议,可促进被审计单位提高管理水平、提高经济效益 ? C.通过IT审计,可以合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一致性 ? D.通过IT审计,审计师对被审计单位信息系统进行诊断咨询,客观中立地帮助其降低信息化建设过程中的风险 3 . 关于我国IT审计的现状,下列说法正确的是()。 ? A.近年来,审计署在对中央企业开展的审计项目中逐步加大了对信息系统的审计,向企业的核心业务系统进行延伸 ? B.目前我国一些领先的商业银行已经开始实施IT审计与业务审计紧密结合的应用控制审计 ? C.电信运营商的IT审计一般侧重于信息安全审计 ? D.IT审计工作开展的程度已经成为银行风险评价指标之一 4 . IT综合管控包括()等。 ? A.IT决策机制 ? B.IT架构规划 ? C.IT价值管理 ? D.信息安全与IT风险管理 判断题(共4题,每题10分) 1 . 随着国内企业对IT审计的重视程度的日益提高,国内已形成了强大的从事IT控制与IT 审计的专业人才队伍,对IT审计理解达到了一定的深度和广度。() 对错 2 . IT审计的内容从控制层的角度可分为对信息系统高层控制的审计、对信息系统一般控制 的审计和对信息系统应用控制的审计。() 对错
会计报表各科目审计
会计报表各科目审计
————————————————————————————————作者:————————————————————————————————日期: ?
会计报表各科目审计时主要应索取的资料 一、资产类 1、货币资金 <1>获取或编制货币资金明细表; <2>获取被审计单位银行存款所有账户加盖银行印章的对账单(并对所有账户实施函证程序,包括金额较小的、零余额帐户、已结清的银行帐户及发生额频繁的帐户); <3>存在未达账项的,索取银行存款或其他货币资金余额调节表,需要调整会计报表相关科目的,编制调整分录并调整相应科目; <4>现金监盘表,并对资产负债表日至盘点日现金收支金额进行核对; <5>被审计单位有定期存款的,索取定期存单复印件并与原件核对,已质押的,获取质押合同复印件并与原件核对。 <6>存在银行承兑保证金的,索取银行承兑保证金单据复印件并与原件核对,并与应付票据等核对。 2、短期投资 <1>获取或编制短期投资明细表; <2>有价证券投资的,获取有价证券复印件并与原件核对; <3>获取股票、债权、期货(加盖银行印章)帐户的对账单; <4>存在委托贷款的,获取委托贷款合同复印件并与原件核对并进行函证; <5>在外保管的有价证券,获取有关保管证明文件,必要时进行函证。 3、应收票据 <1>获取或编制应收票据明细表; <2>获取有关票据复印件并与原件核对; <3>对存在质押的票据,获取有关质押合同; 4、应收股利 <1>获取或编制应收股利明细表; <2>获取被审计单位投资协议; <3>获取被投资单位股利分配方案、股东会决议等相关资料。
商业银行信息系统审计
商业银行信息系统审计 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。 1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是
涉密计算机信息系统的安全审计
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计工作制度
信息系统审计工作 今天,信息系统已成为企业业务处理的中枢,信息系统的可靠、安全、效率左右着企业的命运。企业不仅要在内部设立信息系统审计部门,实施内部审计,还必须委托外部信息系统审计师站在第三方的客观立场对信息系统进行全面的检查与评价。要实施独立的信息系统审计,确立信息系统审计制度是十分重要的。 因此,为了规范部门内部工作流程和质量控制,协助其他部门了解信息系统审计部门的业务支持范围、工作内容及工作流程,促进部门间就项目中设计的信息系统审计业务范围进行有效沟通,协调项目工作计划的界定和质量管理,避免因项目中工作职责和工作范围界定不明确而降低审计工作的效率和效果,特制订此信息系统审计制度。 本制度主要内容包括信息系统审计部门应何时介入企业进行信息系统审计工作,为财务审计团队提供信息系统审计业务支持的工作范围及本部门其他的工作职责范围,信息系统审计的工作程序及方法,以及信息系统审计对客户能够达成的效果等,特作以下介绍说明。 一、信息系统审计何时介入 信息系统审计(IT Audit)是信息系统鉴证业务中的一种。信息系统审计是根据业务和信息控制目标,针对信息系统环境内设定的控制,通过搜集和评估审计证据,对信息系统控制的有效性发表结论或意见的过程。 信息系统审计有四个层面: 1.它的目的是对信息系统控制的有效性发表评估结论或审计意见。有效性包括控制设计的有效性和执行有效性; 2.它的对象是信息系统环境中的各种控制流程或机制,包括IT 一般控制和应用控制;3) 3.它的内容是搜集和评估审计证据; 4.它的依据是业务控制目标,比如系统是否有效实施控制保证财务软件计算的固定资产折旧程序是否准确。通过执行信息系统审计,可以协助财务审计团队了解和评价信息系统的可靠性和安全性及财务数据的完整性和准确性。 财务审计团队在财务审计业务计划阶段,需对客户的信息系统环境进行调查,若客户的信息系统环境评估结果为复杂时,需邀请信息系统审计人员介入共同探讨审计计划,根据业务系统的复杂度、实体业务性质、财务审计团队人员的技能和知识、业务处理本质(如:是否为高度自动化)、交易数量及信息系统的管理方式(如:若信息系统由第三方管理,则需考虑是否需要SAS70或者相关的报告)确定信息系统审计业务支持服务范围,并在信息系统审计计划中以书面的形式记录业务约定。若客户的信息系统环境评估结果为不复杂时,信息系统审计工作可由审计团队完成,必要时信息系统审计团队可以提供知识和技术的支持和咨询服务。 其中,若在计划审计程序阶段或者审计过程中了解到客户业务处理过程高度自动化(如:银行,保险,电信,和零售业等高度依赖电算化的企业环境和特定行业高度依赖信息系统处理业务),仅仅执行实质性程序无法提供足够的审计证据时,在约定信息系统审计业务服务范围时,需考虑同时包括应用控制审计及其他可以辅助财务审计团队确认交易的真实性、完整性、准确性、截止性的审计程序。 在约定信息系统审计是否介入时,需要考虑如下因素: ?系统的复杂性; ?业务的本质; ?财务审计团队的技能和知识; ?系统的位置(例如,如果包含一个服务组织,SAS70或相关的报告能否被使用);
中国商业银行会计和审计的现状与未来
中国商业银行会计和审计的现状与未来 ;内容提要: 本文分析了当前中国商业和的主要特点,认为中国上市银行现有业务的会计标准已基本与国际会计标准接轨,上市银行境内外审计差异分析主要表现为会计标准的运行差异,提出了“会计标准与国际会计标准越接轨,会计审计职业判断越重要”之观点。并认为,会计和审计标准的国际化、会计大集中、会计的广泛应用、会计核算和管理手段现代化以及银行内审大稽核、监管审计化和专业化、上市银行报表审计单一化是我国商业银行会计和审计的必然发展趋势。 【关键词】中国商业银行会计和审计现状发展趋势 一、当前中国商业银行会计和审计的特点 1 政府是会计审计标准的供给主体。任何国家的会计审计都是由国家制定的,因而都具有国家的性质。然而作为会计审计标准,在不同国家和地区其供给主体却有很大的不同,国际上主要有政府供给、民间职业团体供给、由政府与民间职业团体共同供给三种模式。美国、英国等是民间职业团体供给模式的代表,法国等则是政府供给模式的代表。我国会计审计标准历来以政府为供给主体。考虑到会计审计标准涉及许多技术性问题,会计审计方法和会计关系到相关利益主体的利益,尽管在我国会计审计标准制定过程中成立了
国内外咨询专家组,并在正式颁布之前广泛征求各方面的意见,但实质上我国会计审计标准的供给主体仍然是政府,即属于政府供给模式的典型代表。 我国坚持以政府为主体供给会计审计标准的原因主要有三:一是会计传统,通过立法来规范会计行为是中国会计的重要特征。二是政府作为会计审计标准的供给主体,既可以保证标准的权威性,又可以减少标准制定过程中的交易费用、缩短制定过程和实施推广过程,提高标准制定和实施的时效性。三是在大型企业尤其是银行业及中,国有及国有控股企业所具有的主体地位也是政府制定会计审计标准的重要原因。 2 会计审计标准的实施具有强制性。根据我国家林毅夫的研究成果,制度变迁有诱致性制度变迁和强制性制度变迁两种基本类型。前者是指一群(个)人在响应制度不均衡所引起的获利机会而自发倡导、组织和实行的制度创新;后者是指政府命令或法律的引入、实施而引起的现行制度的变迁或替代。由于我国会计审计标准制定方面的传统,加之我国快节奏的经济体制改革和对外开放,尤其是资本的迅速发展,迫切要求会计审计标准以最短的时间和最快的速度变迁。强制性会计审计标准变迁的优点在于,能利用政府的强制力和“暴力潜能”等方面的优势降低制度变迁的。从实践来看,为保障商业银行会计审计标准的实施,政府专门设立有
财务报表审计工作底稿范文
财务报表审计工作底稿模板 (天职国际业规207号) 编制说明: 1.适用范围 本模板适用于在业规102号《业务项目分级控制》中列为A、B、C类的审计项目。 2.索引号及页次、交叉索引号 (1)本所对基本底稿均确定了如底稿目录表所示的索引号,除在工作底稿模板中另有规定外,要求将索引号用红色笔统一设置于当页审计工作底稿的右上角。索引号应能体现审计工作底稿的层次,又须避免索引编号过于冗长。 (2)页次是在同一索引号下不同的审计工作底稿的顺序编号,业务人员应在该索引号下的首页上注明共几页,然后依次按分数编号法编上页次(如2/5)。 (3)审计工作底稿的交叉索引以“左来右去”“上来下去”(即为某一数据提供证据的底稿索引号列该数据的左或上边,该数据或底稿为其他底稿提供证据的,其他底稿索引号列该数据或底稿的右或下边)为基本原则编制,具体审计工作底稿模板中另有规定的除外。 3.底稿签名 (1)编制者姓名及编制日期,签名可用简签、电子签名(可以采用打印的形式),但应以适当方式加以说明。 (2)复核者姓名及复核日期,必须在其复核过的审计工作底稿上手工签名和签署日期,签名时可用简签,但应以适当方式加以说明。各级复核人在复核工作底稿时,应作出必要的复核记录,书面表示复核意见,并在其复核过的审计工作底稿上签名和签署日期。如同一索引号下有若干页审计工作底稿,复核人可仅在第一页审计工作底稿上签名和签署日期。通常,第一级复核人签署在审计工作底稿“复核人”栏处;第二级和第三级复核人签署在其所复核的审计工作底稿的右下角或底稿设计的位置。 4.被审计单位提供的资料的处理 (1)对于程序表中规定应当获取的被审计单位、其他第三者提供或代为编制的资料,应注明资料来源,在实施必要的审计程序后,将审计轨迹连同其专业判断记录在该资料上,形成审计工作底稿。
目前商业银行审计需解决的几个难点问题
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行
不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题
简述信息系统审计的主要内容--(出自第七单元)
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
信息系统审计(IT审计)操作流程(精)资料
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计