IT审计培训.pptx

IT审计培训.pptx

《IT审计培训.pptx》由会员分享，可在线阅读，更多相关《IT审计培训.pptx（20页珍藏版）》请在冰点文库上搜索。

IT审计,主要内容,一、审计组织二、审计安排三、审计内容四、审计注意,审计部,2,一、审计组织,审计内容：

内部管理信息调查信息科技治理与组织结构信息安全管理信息科技项目与开发信息系统运行和操作管理业务持续性规划现场审计采用“团队作战、逐个突破、每人有专攻”的方式进行，具体为：

每一项内容我们都采用团队的方式共同完成，但每项内容我们还是有一个总的负责人，具体负责该项内容的总体把关、组织协调、安排等相关事宜。

审计过程中每日召开项目小组会议，主要说明今日的工作进度、工作困难等在执行每项内容的审计之前，项目小组召开会议，确定该项内容的主要关注点、审计重点、组织安排等。

审计部,3,二、审计安排（准备阶段）,准备阶段安排培训，了解相关审计内容模块的相关知识和审计重点，需要熟悉的制度、标准、审计底稿中的相关内容等制定总体实施计划发放调查问卷（内部控制调查问卷、信息资产及风险评估调查问卷）发出审计通知书及调档资料（2、3步同时进行）召开进点会议，同时调档,审计部,4,二、审计安排（实施阶段）,审计中审计前必须明确思路、审计重点、审计安排检查文档，了解提交的文档是否全面，文档的内容是否合理，签字审批是否控制到位现场检查，根据工作底稿的相关内容，开展现场检查，并形成记录。

重要的证据，必须注意保存登录系统进行检查、日志查询等，注意重要证据的保存,审计部,5,二、审计安排（实施阶段）,员工访谈，由于信息技术审计的不同，我们可以采用集中谈话和现场了解方式符合性测试，根据员工访谈的疑点进行相关测试，注意测试过程中应该有相关信息技术部系统人员陪同，测试结束之后应有相关人员签字确认,审计部,6,二、审计安排（实施阶段）,审计中应该注意的本次审计我们采用“团队作战，逐个突破，每人有专攻”的方式进行，在审计过程中个小组成员应该注意统一思路，注意沟通、交流。

如果发现问题可能会在其他成员检查中也会类似发现，应该注意强调。

实施阶段，关于谈话，最好集中一次性谈话，项目小组人员的问话内容最好不要重复。

实施阶段应该严格按照项目的进度进行，力求“前紧后松”。

审计部,7,二、审计安排（审计报告阶段）,审计报告阶段各模块的负责人汇总该模块的问题，并由主审人最后汇总形成事实确认书对于信息技术部反馈回的事实确认书，主审人将反馈分发回各模块负责人，由各模块负责人研究决定是否接受。

如果模块负责人不能把握，可提交项目组长进行把握。

召开整个小组讨论会议，讨论报告模板，之后各模块负责人完成自己负责模块的报告撰写主审人将各模块的报告，统一归并，并从总体风格上面进行调整项目组长进行复核，并最终形成正式的报告，交由质控经理进行复核,审计部,8,三、审计内容,审计内容主要包括如下：

内部管理：

内部管理主要包括费用管理、部门管理、文化建设、账户分析等信息调查：

主要包括设备盘点、投入调查、信息资产及风险评估、故障处理调查信息科技治理与组织架构：

主要从制度、组织架构等方面进行检查信息安全管理检查：

主要检查如逻辑访问、网络安全、数据安全、系统安全等方面安全管理信息科技项目开发与变更管理：

主要检查项目立项、开发管理、变更管理的规范性、文档是否齐全、审批是否符合规范信息科技运行与操作管理：

主要检查信息系统在运行体系建设、运行环境保护、操作风险控制、生产变更管理等方面的内容业务持续性规范：

主要检查我行对业务持续性的采取的策略、规划的制定与实施情况、演练情况等,审计部,9,四、审计注意（费用管理）,费用管理由于跟营销部门的不同，费用的使用可能会不一样，因此应该注意以下几点：

检查过程中要关注是否有乙方或者其他非法的资金收入费用资金是否挪作他用其他由于自己也不是很熟悉，暂时没有想到,审计部,10,四、审计注意（其他管理）,其他管理部门人员管理，包括新员工的管理、帮带措施（新员工比较多）部门的考核机制，由于在实习期间了解现在的考核很大一部分都是按照计划来考核，如果出现计划延迟是需要倒扣分的，无激励。

因此导致很多部门不敢做计划，而且很多老员工由于负责的项目比较多，因此扣的钱也很多，底下很多声音的文化建设、部门合作情况，由于划分了三个部门，在学习期间也了解到存在部分不和谐的情况,审计部,11,四、审计注意（账户分析）,账户分析关注账户是否有异常周期性的资金转入、转出利息金额是否跟存款金额不一致是否存在内部账户资金异常转入关注账户是否有大额转入证券、基金等行为关注信用卡是否长期取现其他异常行为,审计部,12,四、审计注意（投入调查）,投入调查关注合同中是否有重复投资，最近在查看办公室的合同中也发现数据仓库的采购中关于BO软件可能存在重复购买的嫌疑关注项目的合同金额是否跟实际的项目不匹配情况关注硬件的购买是否跟项目的实际需要匹配，并且真正的应用到项目中关注合同中工时的估算是否跟项目的实际情况匹配,审计部,13,四、审计注意（信息资产及风险评估）,信息资产及风险评估主要关注软件、硬件、网络资产的状况及风险状况软件的风险可以采用调查报告的形式，由使用部门反馈硬件的风险可以采用员工访谈、登录系统检查验证的方式进行。

在对硬件进行风险评估的同时，我们还应该关注硬件是否严重过剩，或者使用率太低情况网络资产的风险？

审计部,14,四、审计注意（信息科技治理）,信息科技治理制度建设情况，由于原来的一个部门调整成了很多个部门，很多部门的岗位也重新进行了调整，因此需要关注制度是否也进行过调整关注制度的制定情况，是否成体系架构，是否全面关注制度的完善性，在实行期间对他们的制度也进行过仔细的阅读和了解，发现很多制度写的太粗，没有进行细化，缺少的东西也很多，实际落地性较差。

审计部,15,四、审计注意（组织结构）,组织结构关注人员的岗位是否满足岗位分离原则关注现在的人员岗位安排是否合理，是否导致部分人员非常忙，部分人员非常清闲的情况关注岗位的安排，重要的岗位是否安排有能力的人来担当,审计部,16,四、审计注意（信息安全管理）,信息安全管理主要关注逻辑访问、网络、数据、系统等方面的安全情况关注部门在安全方面的意识是否到位，是否有相应的控制措施特别在数据的安全方面，对数据的修改是否严格执行审批流程，修改过程是否有管理人员监督执行（由于我行的业务修改比较多）？

实在太多，不一一介绍,审计部,17,四、审计注意（信息科技项目开发和变更管理）,信息科技项目开发和变更管理关注项目的立项是否符合规范，是否进行可行性分析等项目开发过程中的文档是否齐全项目开发过程中的审批是否符合规范项目的管理是否合理，进度是否跟总体实施计划匹配、成本是否超支,审计部,18,四、审计注意（信息系统运行和操作管理）,信息系统运行和操作管理关注系统变更的风险，前期了解到现在很多系统在变更时都出现了这样或者那样的问题机房操作在手册更新、日志保存等方面是否合理日常操作的风险控制情况,审计部,19,四、审计注意（业务持续性规划）,业务持续性规划风险评估报告，业务影响度分析事故管理小组的责任是否清晰，联系方式是否及时更新，是否进行过培训是否为每个业务制定了相应的应急预案关注持续性计划的演练和整改情况,审计部,20,