IT审计培训PPT课件.pptx

《IT审计培训PPT课件.pptx》由会员分享，可在线阅读，更多相关《IT审计培训PPT课件.pptx（20页珍藏版）》请在咨信网上搜索。

1、ITITITIT审计审计LOGO主要内容主要内容v一、一、审计组织v二、二、审计安排安排v三、三、审计内容内容v四、四、审计注意注意审计部2LOGO一、一、审计组织v审计内容内容：1.内部管理内部管理2.信息信息调查3.信息科技治理与信息科技治理与组织结构构4.信息安全管理信息安全管理5.信息科技信息科技项目与开目与开发6.信息系信息系统运行和操作管理运行和操作管理7.业务持持续性性规划划现场审计采用采用“团队作作战、逐个突破、每人有、逐个突破、每人有专攻攻”的方式的方式进行，具体行，具体为：每一每一项内容我内容我们都采用都采用团队的方式共同完成，但每的方式共同完成，但每项内容我内容我们还是有

2、一个是有一个总的的负责人，具体人，具体负责该项内容的内容的总体把关、体把关、组织协调、安排等相关事宜。、安排等相关事宜。审计过程中每日召开程中每日召开项目小目小组会会议，主要，主要说明今日的工作明今日的工作进度、工作困度、工作困难等等在在执行每行每项内容的内容的审计之前，之前，项目小目小组召开会召开会议，确定，确定该项内容的主要关注内容的主要关注点、点、审计重点、重点、组织安排等。安排等。审计部3LOGO二、二、审计安排（准安排（准备阶段）段）v准准备阶段段1.安排培安排培训，了解相关，了解相关审计内容模内容模块的相关知的相关知识和和审计重点，需要熟悉的制度、重点，需要熟悉的制度、标准、准、审

3、计底稿中底稿中的相关内容等的相关内容等2.制定制定总体体实施施计划划3.发放放调查问卷（内部控制卷（内部控制调查问卷、信息卷、信息资产及及风险评估估调查问卷）卷）4.发出出审计通知通知书及及调档档资料（料（2、3步同步同时进行）行）5.召开召开进点会点会议，同，同时调档档审计部4LOGO二、二、审计安排（安排（实施施阶段）段）v审计中中1.审计前必前必须明确思路、明确思路、审计重点、重点、审计安排安排2.检查文档，了解提交的文档是否全面，文档的内文档，了解提交的文档是否全面，文档的内容是否合理，容是否合理，签字字审批是否控制到位批是否控制到位3.现场检查，根据工作底稿的相关内容，开展，根据工作

4、底稿的相关内容，开展现场检查，并形成，并形成记录。重要的。重要的证据，必据，必须注意保存注意保存4.登登录系系统进行行检查、日志、日志查询等，注意重要等，注意重要证据据的保存的保存审计部5LOGO二、二、审计安排（安排（实施施阶段）段）5.员工工访谈，由于信息技，由于信息技术审计的不同，我的不同，我们可以可以采用集中采用集中谈话和和现场了解方式了解方式6.符合性符合性测试，根据，根据员工工访谈的疑点的疑点进行相关行相关测试，注意注意测试过程中程中应该有相关信息技有相关信息技术部系部系统人人员陪同，陪同，测试结束之后束之后应有相关人有相关人员签字确字确认审计部6LOGO二、二、审计安排（安排（实

5、施施阶段）段）v审计中中应该注意的注意的1.本次本次审计我我们采用采用“团队作作战，逐个突破，每人有，逐个突破，每人有专攻攻”的方式的方式进行，在行，在审计过程中个小程中个小组成成员应该注意注意统一一思路，注意沟通、交流。如果思路，注意沟通、交流。如果发现问题可能会在其他成可能会在其他成员检查中也会中也会类似似发现，应该注意注意强调。2.实施施阶段，关于段，关于谈话，最好集中一次性，最好集中一次性谈话，项目小目小组人人员的的问话内容最好不要重复。内容最好不要重复。3.实施施阶段段应该严格按照格按照项目的目的进度度进行，力求行，力求“前前紧后后松松”。审计部7LOGO二、二、审计安排（安排（审计

6、报告告阶段）段）v审计报告告阶段段1.各模各模块的的负责人人汇总该模模块的的问题，并由主，并由主审人最后人最后汇总形成事形成事实确确认书2.对于信息技于信息技术部反部反馈回的事回的事实确确认书，主，主审人将反人将反馈分分发回各模回各模块负责人，由各模人，由各模块负责人研究决定是否接受。人研究决定是否接受。如果模如果模块负责人不能把握，可提交人不能把握，可提交项目目组长进行把握。行把握。3.召开整个小召开整个小组讨论会会议，讨论报告模板，之后各模告模板，之后各模块负责人完成自己人完成自己负责模模块的的报告撰写告撰写4.主主审人将各模人将各模块的的报告，告，统一一归并，并从并，并从总体体风格上面格

7、上面进行行调整整5.项目目组长进行复核，并最行复核，并最终形成正式的形成正式的报告，交由告，交由质控控经理理进行复核行复核审计部8LOGO三、三、审计内容内容v审计内容主要包括如下：内容主要包括如下：1.内部管理：内部管理：内部管理主要包括内部管理主要包括费用管理、部用管理、部门管理、文化建管理、文化建设、账户分析等分析等2.信息信息调查：主要包括：主要包括设备盘点、投入点、投入调查、信息、信息资产及及风险评估、估、故障故障处理理调查3.信息科技治理与信息科技治理与组织架构：主要从制度、架构：主要从制度、组织架构等方面架构等方面进行行 检查4.信息安全管理信息安全管理检查：主要：主要检查如如逻

8、辑访问、网、网络安全、数据安全、安全、数据安全、系系统安全等方面安全管理安全等方面安全管理5.信息科技信息科技项目开目开发与与变更管理：主要更管理：主要检查项目立目立项、开、开发管理、管理、变更管理的更管理的规范性、文档是否范性、文档是否齐全、全、审批是否符合批是否符合规范范6.信息科技运行与操作管理：主要信息科技运行与操作管理：主要检查信息系信息系统在运行体系建在运行体系建设、运、运行行环境保境保护、操作、操作风险控制、生控制、生产变更管理等方面的内容更管理等方面的内容7.业务持持续性性规范：主要范：主要检查我行我行对业务持持续性的采取的策略、性的采取的策略、规划划的制定与的制定与实施情况、

9、演施情况、演练情况等情况等审计部9LOGO四、四、审计注意（注意（费用管理）用管理）v费用管理用管理 由于跟由于跟营销部部门的不同，的不同，费用的使用可能会不一用的使用可能会不一样，因此，因此应该注意以下几点：注意以下几点：1.检查过程中要关注是否有乙方或者其他非法的程中要关注是否有乙方或者其他非法的资金收入金收入2.费用用资金是否挪作他用金是否挪作他用3.其他由于自己也不是很熟悉，其他由于自己也不是很熟悉，暂时没有想到没有想到审计部10LOGO四、四、审计注意（其他管理）注意（其他管理）v其他管理其他管理1.部部门人人员管理，包括新管理，包括新员工的管理、帮工的管理、帮带措施（新措施（新员工

10、工比比较多）多）2.部部门的考核机制，由于在的考核机制，由于在实习期期间了解了解现在的考核很大在的考核很大一部分都是按照一部分都是按照计划来考核，如果出划来考核，如果出现计划延划延迟是需要是需要倒扣分的，无激励。因此倒扣分的，无激励。因此导致很多部致很多部门不敢做不敢做计划，而划，而且很多老且很多老员工由于工由于负责的的项目比目比较多，因此扣的多，因此扣的钱也很也很多，底下很多声音的多，底下很多声音的3.文化建文化建设、部、部门合作情况，由于划分了三个部合作情况，由于划分了三个部门，在学，在学习期期间也了解到存在部分不和也了解到存在部分不和谐的情况的情况审计部11LOGO四、四、审计注意（注意

11、（账户分析）分析）v账户分析分析1.关注关注账户是否有异常周期性的是否有异常周期性的资金金转入、入、转出出2.利息金利息金额是否跟存款金是否跟存款金额不一致不一致3.是否存在内部是否存在内部账户资金异常金异常转入入4.关注关注账户是否有大是否有大额转入入证券、基金等行券、基金等行为5.关注信用卡是否关注信用卡是否长期取期取现6.其他异常行其他异常行为审计部12LOGO四、四、审计注意（投入注意（投入调查）v投入投入调查1.关注合同中是否有重复投关注合同中是否有重复投资，最近在，最近在查看看办公室公室的合同中也的合同中也发现数据数据仓库的采的采购中关于中关于BO软件件可能存在重复可能存在重复购买

12、的嫌疑的嫌疑2.关注关注项目的合同金目的合同金额是否跟是否跟实际的的项目不匹配情目不匹配情况况3.关注硬件的关注硬件的购买是否跟是否跟项目的目的实际需要匹配，并需要匹配，并且真正的且真正的应用到用到项目中目中4.关注合同中工关注合同中工时的估算是否跟的估算是否跟项目的目的实际情况匹情况匹配配审计部13LOGO四、四、审计注意（信息注意（信息资产及及风险评估）估）v信息信息资产及及风险评估估1.主要关注主要关注软件、硬件、网件、硬件、网络资产的状况及的状况及风险状状况况2.软件的件的风险可以采用可以采用调查报告的形式，由使用部告的形式，由使用部门反反馈3.硬件的硬件的风险可以采用可以采用员工工访

13、谈、登、登录系系统检查验证的方式的方式进行。行。4.在在对硬件硬件进行行风险评估的同估的同时，我，我们还应该关注关注硬件是否硬件是否严重重过剩，或者使用率太低情况剩，或者使用率太低情况5.网网络资产的的风险？审计部14LOGO四、四、审计注意（信息科技治理）注意（信息科技治理）v信息科技治理信息科技治理1.制度建制度建设情况，由于原来的一个部情况，由于原来的一个部门调整成了很多个部整成了很多个部门，很多部，很多部门的的岗位也重新位也重新进行了行了调整，因此需要关注整，因此需要关注制度是否也制度是否也进行行过调整整2.关注制度的制定情况，是否成体系架构，是否全面关注制度的制定情况，是否成体系架构

14、，是否全面3.关注制度的完善性，在关注制度的完善性，在实行期行期间对他他们的制度也的制度也进行行过仔仔细的的阅读和了解，和了解，发现很多制度写的太粗，没有很多制度写的太粗，没有进行行细化，缺少的化，缺少的东西也很多，西也很多，实际落地性落地性较差。差。审计部15LOGO四、四、审计注意（注意（组织结构）构）v组织结构构1.关注人关注人员的的岗位是否位是否满足足岗位分离原位分离原则2.关注关注现在的人在的人员岗位安排是否合理，是否位安排是否合理，是否导致部致部分人分人员非常忙，部分人非常忙，部分人员非常清非常清闲的情况的情况3.关注关注岗位的安排，重要的位的安排，重要的岗位是否安排有能力的位是否

15、安排有能力的人来担当人来担当审计部16LOGO四、四、审计注意（信息安全管理）注意（信息安全管理）v信息安全管理信息安全管理1.主要关注主要关注逻辑访问、网、网络、数据、系、数据、系统等方面的等方面的安全情况安全情况2.关注部关注部门在安全方面的意在安全方面的意识是否到位，是否有相是否到位，是否有相应的控制措施的控制措施3.特特别在数据的安全方面，在数据的安全方面，对数据的修改是否数据的修改是否严格格执行行审批流程，修改批流程，修改过程是否有管理人程是否有管理人员监督督执行（由于我行的行（由于我行的业务修改比修改比较多）多）4.？实在太多，不一一介在太多，不一一介绍审计部17LOGO四、四、审

16、计注意（信息科技注意（信息科技项目开目开发和和变更管理）更管理）v信息科技信息科技项目开目开发和和变更管理更管理1.关注关注项目的立目的立项是否符合是否符合规范，是否范，是否进行可行性行可行性分析等分析等2.项目开目开发过程中的文档是否程中的文档是否齐全全3.项目开目开发过程中的程中的审批是否符合批是否符合规范范4.项目的管理是否合理，目的管理是否合理，进度是否跟度是否跟总体体实施施计划划匹配、成本是否超支匹配、成本是否超支审计部18LOGO四、四、审计注意（信息系注意（信息系统运行和操作管运行和操作管理）理）v信息系信息系统运行和操作管理运行和操作管理1.关注系关注系统变更的更的风险，前期了

17、解到，前期了解到现在很多系在很多系统在在变更更时都出都出现了了这样或者那或者那样的的问题2.机房操作在手册更新、日志保存等方面是否合理机房操作在手册更新、日志保存等方面是否合理3.日常操作的日常操作的风险控制情况控制情况审计部19LOGO四、四、审计注意（注意（业务持持续性性规划）划）v业务持持续性性规划划1.风险评估估报告，告，业务影响度分析影响度分析2.事故管理小事故管理小组的的责任是否清晰，任是否清晰，联系方式是否及系方式是否及时更新，是否更新，是否进行行过培培训3.是否是否为每个每个业务制定了相制定了相应的的应急急预案案4.关注持关注持续性性计划的演划的演练和整改情况和整改情况审计部20