建行-IT审计规范体系简介案例.ppt

这些工具均可根据审计项目的不同按需定制 可用于审前的固有风险评估和审后的剩余风险评估，真正实现风险导向审计 审计范围表明确了具体的审计事项和审计对象，并支持多种审计项目实施方式 可以制订出非常详细的审计方案 归集了监管机构及建行内部IT制度171个，并定期进行更新，方便审计人员查阅审计依据 方便审计人员准备访谈提纲 方便审计人员学习审计方法及技术 能够对审计对象的风险控制能力进行比较客观的评价，并提出有针对性的改进建议和努力方向。 可以进行定量的评价 课题成果已通过审计知识库的方式进行正式发布，目前建行审计系统共2000多人可以利用我们的课题成果。同时，还可以根据审计人员的意见和建议进行维护更新 一是，充分借鉴国际先进理论和经验，有机结合建设银行实际情况，使规范体系具有先进性和实用性。建设银行IT审计规范体系，是站在企业的IT治理的至高点，梳理国内监管机构的相关要求以及行内规章制度的基础上，对IT管理现状进行了深入研究。该规范体系吸收了国际上通行的IT控制管理理论和经验，在架构上参考了COBIT框架，具体内容方面参考了BS7799、CMMI、ITIL等国际标准。建设银行IT审计规范体系在紧跟国际水平的同时，很好地解决了“国际标准落地难”的问题，其操作性强，不仅适合于建设银行内部审计部门，而且对信息技术部门提升管理水平也有很好的参考作用。 二是，建立了建设银行IT审计的标准化流程，体系完整，内容丰富细化。该体系遵循以风险为导向的审计理念，在借鉴ISACA有关IT审计标准、指引、程序以及业界最佳实践的基础上，对IT审计程序中涉及的重要环节，包括审计计划、审计准备、审计测试和审计报告等提供了完备的、操作性极强的指引。体系明确了IT审计制度、流程、方法以及依据，提供了大量的典型案例。该体系内容丰富、详细，既有具有约束力的《IT审计准则》，又有指导实际操作的《IT审计指南》；既有明确的IT审计工作流程，又有针对447个测试点的详细审计测试步骤。同时，还编篡了《IT审计制度汇编》，收集了监管机构及建设银行内部与IT相关的制度171个，方便审计人员查阅制度的详细内容；收集整理了257个与信息安全、IT审计相关的案例，形成《IT审计案例集》，以便于审计人员对IT测试点的理解。 三是，采用二维矩阵式结构设计，确保其具有广泛的适用性。建设银行IT审计规范体系在内容上涵盖了IT管理、项目开发、运行服务、基础设施、IT安全等各个方面。适用的审计对象包括总行、分行、二级分行、支行、网点。在体系中针对不同级别的审计对象，提出了不同的审计标准和要求。 四是，采用组件式架构，具有较强的可扩展性和可维护性。按照系统化思路，构建开放式结构。体系以IT审计准则为纲，IT审计指南为核心，覆盖了组织内部IT治理的34个流程，充分体现了IT治理的系统化。体系采用组件式模块结构，重要核心组件为层次性树状结构，具有开放性和可扩展性，可维护性较强，可以根据实际的测试验证情况进行更新完善，同时以此为基础建立了IT审计知识库，促进全行IT审计经验的共享。 主要从四个方面进行介绍 IT审计简介，包括IT审计基本概念、国内外IT审计的发展情况，我行开展IT审计的基本情况等。 IT审计规范体系，主要但要我行IT审计规范体系建设的基本情况，包括背景、实施过程、主要成果以及应用情况。 IT审计策略，主要介绍我行以往及今年在IT审计方面的一些想法。 分行IT审计，主要介绍以往对分行开展IT审计所发现的主要问题（补充今年银监会信息科技风险检查发现的主要问题），近期对分行开展IT审计的主要关注点。 统筹规划一般是较长的时期，比如三年。这种规划可以你的上级你在干什么，以及将来你要干什么，尽量避免临时的任务或要求超出资源的承受能力。这也是向上管理的一种手段。 主要从四个方面进行介绍 IT审计简介，包括IT审计基本概念、国内外IT审计的发展情况，我行开展IT审计的基本情况等。 IT审计规范体系，主要但要我行IT审计规范体系建设的基本情况，包括背景、实施过程、主要成果以及应用情况。 IT审计策略，主要介绍我行以往及今年在IT审计方面的一些想法。 分行IT审计，主要介绍以往对分行开展IT审计所发现的主要问题（补充今年银监会信息科技风险检查发现的主要问题），近期对分行开展IT审计的主要关注点。 2005年以前由总行审计部非现场审计处负责信息系统审计。2005年，总行审计部增设IT审计处，专门负责全行信息系统审计工作的组织和开展。到目前为止，下辖39个审计分部和总审计室中，有21个设立了非现场与IT审计处，其它审计分支机构也设置了专司IT审计的岗位 。 在建设银行2200余名内部审计人员中，专司IT审计的从业人员已经达到150人，其中，有近90余人具有注册信息系统审计师（CISA）资格，多