信息科技風險審計方法及過程

為幫助銀行客戶滿足銀監會《信息科技風險審計管理指引》等相關監管要求，同時進一步加強信息技術建設，全面強化風險管理，越來越多的企業已經開始為多家銀行提供信息科技風險審計服務了，本文簡稱時代新威）內部人員總結出的對于信息科技風險審計的方法及過程。

信息科技風險審計范圍：

一）信息科技治理二）信息科技風險管理三）信息安全四）信息系統開發測試和維護五）信息科技運行六）業務連續性管理七）外包八）內部審計九）外部審計信息科技風險審計之

——信息科技治理

信息科技治理是指對現代信息技術如通訊技術，信息處理技術、控制技術等的科學管理活動和過程。時代新威的審計專家指出，“它是以信息服務業務的開展與社會的實際需要作為依據，組織好各種信息技術的開發和應用，并對信息技術進行標準化、規范化管理。”

信息科技治理戰略必須要解決下述主要問題：

（1）保證構造合理的信息系統結構并將其實現。（2）保證新系統開發方式可以滿足企業長期維護的目標。（3）保證內部和外部采購的決策能得到認真的考慮。（4）決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然成本高，但是能為用戶提供更好的服務。

信息科技風險審計之

——信息科技風險管理

信息科技是指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行信息科技治理，建立完整的管理組織架構，制訂完善的管理制度和流程。在風險管理方面，北京時代新威信息技術有限公司與許多商業銀行都有合作成功的案例，其工作內容可總結為以下兩點。

信息科技風險，是指信息科技在商業銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

信息科技風險管理的目標是通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。信息科技風險審計之

——信息安全

信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。

網絡環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制（數字簽名、消息認證、數據加密等），直至安全系統，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。

信息安全是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。信息科技風險審計之

——信息系統開發測試和維護

信息系統是一個以人為主導，吸取經驗和遵照規律并重，利用適合的信息技術以及相應設備，根據相應的業務模型和數學模型，進行信息的收集、傳輸、加工、儲存、更新和維護，以提高組織的效益和效率為目的，支持組織的高層決策、中層控制、基層運作的集成化的人機系統。

信息系統開發維護是為了使信息系統處開合用狀態而采取的一系列措施，目的是糾正錯誤和改進功能，保證信息系統正常工作，有以下四種類型：改正性維護，適應性維護，完善性維護，預防性維護。信息科技風險審計之

——信息科技運行

良好的信息科技運行必須在設計階段就開始考慮。用戶、負責信息科技系統運行的人應該參與信息系統開發的設計階段，這樣信息科技的運行問題在一開始就可以得到足夠的重視。

在工作中往往最容易忽略的就是硬件失敗、程序非正常退出、文檔說明和支持不足等問題。設計階段要保證防止用戶使用錯誤的快捷方式，還要考慮新、老系統轉換的細節。如果是購買其他公司提供的軟件包，問題就會更加復雜。時代新威的信息技術專家在工作中要求格外強調注意這一系列問題，也就避免了很多不必要的失誤和麻煩。信息科技運行戰略必須要解決下述主要問題：（1）保證構造合理的信息系統結構并將其實現。（2）保證新系統開發方式可以滿足企業長期維護的目標。（3）保證內部和外部采購的決策能得到認真的考慮。（4）決定信息技術運行是由一個部門管理還是分成一系列小單元管理，按照小單元進行管理雖然成本高，但是能為用戶提供更好的服務。信息科技風險審計之

——業務連續性管理

業務連續性管理（BusinessContinuityManagement，簡稱BCM），是一項綜合管理流程，它使企業認識到潛在的危機和相關影響，制訂響應、業務和連續性的恢復計劃，其總體目標是為了提高企業的風險防范能力，以有效地響應非計劃的業務破壞并降低不良影響。

業務連續性管理系統（BCMS）是經常進行的活動的集合，業務連續性管理支持企業業務連續性管理活動，也支持技術災難恢復活動。這些可以包括項目規劃和管理、人員配備、計劃、預測、預算編制、研究和開發、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網站、績效評估活動、按天進行處理查詢和許多其他活動。

業務連續性管理也有利于多種項目性的活動，業務連續性管理執行業務影響分析和風險分析、進行評估、制定并記錄BC/DR計劃、規劃和執行BC/DR演練、準備和進行應急隊伍培訓、準備記錄事件響應計劃，并設計BC/DR策略。信息科技風險審計之

——外包

外包是指企業動態地配置自身和其他企業的功能和服務，并利用企業外部的資源為企業內部的生產和經營服務。外包是一個戰略管理模型，舉例來說，一個生產企業，如果為了原材料及產品運輸而組織一個車隊，在兩個方面其成本會大大增加。

第一，管理成本增加，因為它在運輸領域不具備管理經驗。

第二，因管理不善，運輸環節嚴重影響生產和銷售環節的工作，從而導致生產和銷售環節的成本增加。如果把運輸業務外包給專業的運輸企業，則可以大幅度降低上述成本。這些就是時代新威的工作人員根據日常工作的實際案例總結出的關于外包的重點利弊，也是外包工作中必須引起注意的地方。

另一方面，企業也因市場競爭的激烈面臨巨大的挑戰。外包方式主要有合同業務管理方式（BMC）和委托方式。合同業務管理方式純粹是一種外包方購買第三方服務模式，第三方（承包方）負責全部或大部分投資和業務管理工作，并承擔投資風險；外包方只根據第三方完成業務的績效和合同約束則購買服務，不用負責第三方的投資風險；合同終止則合作終止。信息科技風險審計之

——內部審計

時代新威風險審計專家對于內部審計的定義是：對組織中各類業務和控制進行獨立評價，以確定是否遵循公認的方針和程序，是否符合規定和標準，是否有效和經濟的使用了資源，是否在實現組織目標。

審計人員在進行審計時,常使用不同的審計方法,有時同時結合幾種審計方法進行審計。實際操作中內部審計方法有多種，現總結整理如下（詳情參考時代新威信息科技風險審計之內部審計）

一、詢問法也稱為訪談法是指審計人員與被審計單位或有關人員進行面對面交談，以了解有關情況、收集審計證據的一種方法。詢問法的使用范圍包括：在計劃階段中了解情況，實施階段時收集證據，報告階段相互溝通情況等。內審人員在實施時要注意同時要有兩名審計人中在場。

二、審核法審核法是指對會計記錄和其他書面文章進行審閱與核對，這方面占審計工作的比重比較大。它主要在查閱會計資料、預算、計劃、會議記錄及各種規章制度等資料使用。信息科技風險審計之

——外部審計

外部審計是指獨立于政府機關和企事業單位以外的國家審計機構所進行的審計，以及獨立執行業務會計師事務所接受委托進行的審計。

外部審計實際上是對企業內部虛假、欺騙行為的一個重要而系統的檢查，因此起著鼓勵誠實的作用：由于知道外部審計不可避免地要進行，企業就會努力避免做那些在審計時可能會被發現的不光彩的事。

我國財政、銀行、稅務部門為了做好其本職工作,而對其管轄區各單位的業務(如稅利上繳和信貸資金使用情況等)所進行的檢查,不屬于審計,更談不上是外部審計,而只是經濟監督中的財政監督、稅務監督和信貸監督。

外部審計包括國家審計和社會審計。

國家審計是指由國家審計機關所實施的審計。國家審計的主體是審計署以及各省、市、自治區、縣設立的審計機關，對被審計單位的財務財政活動、執行財經法紀情況以及經濟效益性進行審計監督。社會審計是指由經政府有關部門審核批準的社會中介機構進行的審計，其主體是注冊會計師。

內部審計和外部審計的聯系：

內部審計和外部審計總體目標是一致的,兩者均是審計監督體系的有機組成部門。內部審計具有預防性、經常性和針對性,是外部審計的基礎,對外部審計能起輔助和補充作用;而外部審計對內部審計又能起到支持和指導作用。由于內部審計機構和外部審計機構所處的地位不同,它們在獨立性、強制性、權威性和公證作用方面又有較大的差別。

以上就是信息科技審計所包括的具體范圍，既然了解了它都包括那些方面。

下面我們來看一下時代新威內部總結關于信息科技審計具體的方法及過程。信息科技風險審計過程簡略圖：1.信息科技風險審計準備

1）審計準備

2）審計方案

3）審計計劃1）審計準備：a.明確審計任務，確定審計重點b.編制審計計劃審計計劃分為總體審計計劃和具體審計計劃。2）審計方案：審計方案是對具體審計項目的審計程序及其時間等所做出的詳細安排。a、具體審計目的。具體審計目的是對總體審計的細化，直接用以指導具體審計方法及程序。b、具體審計方法和程序。c、預定的執行人及執行日期。d、其他有關內容。3）審計計劃：是指注冊會計師為了完成各項審計業務，達到預期的審計目標，在具體執行審計程序之前編制的工作計劃。審計計劃通常可分為總體審計計劃和具體審計計劃兩部分。2.信息科技現場審計

1）文件評審

2）訪談走查

3）技術測試3.信息科技風險分析評價

1）風險分析

2）風險評價1）風險分析實際上就是貫穿在軟件工程過程中的一系列風險管理步驟，其中包括：風險識別、風險估計、風險管理策略、風險解決和風險監督