CMB培训-IT系统审计实务介绍.ppt

招商银行信息系统内部审计培训

信息系统审计实务介绍

2009年3月

声明本培训资料中所包含之内容属保密内容，未经安永〔中国〕企业咨询正式书面允诺，不得局部或全部复制，不得使用于非法目的，不得以任何形式交予任何第三方或与任何第三方讨论其中之内容。保密内容–安永〔中国〕企业咨询，二○○九年，保存所有权利

123第一IT审计介绍第二IT审计程序第三IT审计一般架构及范围目录

IT审计历史背景IT审计的出处源自60年代IBM出版的《AuditencountersElectronicDataProcessing》等有关在EDI环境下进行审核和组织的论述。不久后有关该方面的研究结果不断涌现，IT审计的雏形初步形成。但是由于信息系统在社会上尚未得到较为广泛的应用，因此IT审计并未在社会上形成意识。

七十年代中后期到八十年代初由于计算机在兴旺国家的企业初步普及，利用计算机犯罪和计算机系统失效的事件频频出现，使得IT审计日益得到社会重视，美国、日本先后成立了IT审计方面的协会组织。从事对IT审计规那么的制定和实施指导。值得注意的是1985年日本政府出台了《IT审计标准》并根据美国劳工部的《SkillStart》和NorthwestCenterforEmergingTechnologies〔NCET〕对IT信息人员的从业技能的要求制订了IT审计师〔系统监查员〕的技能标准并以之作为新的IT审计师〔系统监查员〕级考试的参考标准。

九十年代是IT审计的普及期，这主要归功于互联网的普及。互联网的普及是利用计算机犯罪的人员温床，此外日益严重的软件工程失败问题引发了是否要对信息系统的投资和开发进行审计的深思。IT审计得到了前所未有的重视。萌芽阶段初步开展蓬勃开展

IT审计的定义和对象IT审计就是信息系统审计，也称IT监查，是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的筹划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。IT审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。一般来说，对企业实施IT审计的对象有：本企业内的IT审计师外部IT审计事务所委托审计师国家审计机构IT审计定义IT审计对象

IT审计现状计算机审计在开展的初期，还只是传统财务审计业务的一种辅助工具，对客户的电子化会计数据进行处理和分析，为财务报表审计人员提供效劳。如今的信息系统审计的业务已经超出了为财务报表审计提供效劳的范围，在很多大型会计公司内部，信息系统审计部门已经成为一个独立的对外提供多种效劳的部门。尤其是互联网和电子商务的兴起，更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供效劳只占信息系统审计部门业务内容很小的一局部。与信息平安相关的防火墙审计、平安诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的开展动力将主要来自于信息系统审计的开展”，这一观点已经逐渐成为国外会计、审计界的一个共识。会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长，信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人，他们持有的专业资格就是CISA。随着计算机技术在管理中的广泛运用，传统的控制、管理、检查和审计技术都受到巨大的挑战，大型跨国公司都将控制风险，特别是控制计算机环境风险和信息系统运行风险作为管理咨询和效劳的重点。几乎所有的大型跨国公司，由于普遍使用大型管理信息系统，都非常重视对信息系统平安和稳定性的控制。

IT审计现状——银行业当前，随着各银行数据大集中的完成，IT风险也越来越集中。控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统平安的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。我国银行业的IT审计尚处于摸索阶段，尚缺乏成熟的经验和案例可供参考，尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。随着信息技术在银行普遍、深入的应用，银行信息系统的正常运行已经成为银行业务正常运营的最根本的条件之一，IT运营与公司运营紧密相关，IT治理也与公司治理紧密相连，因此IT审计越来越得到银行管理层的高度重视。目前，IT审计在国际上是一个相当成熟的领域，兴旺国家的银行均建立了完善的信息系统审计体系，而我国正在快速开展阶段。

IT审计差异分析IT审计部门的独立性IT治理中审计人员的角色国外银行IT审计的特点