【正文】 IT業(yè)務審計基礎知識 隨著計算機技術的高速發(fā)展，銀行計算機應用也日新月異。目前我行計算機應用幾乎涵蓋了所有的銀行業(yè)務，并依靠計算機技術的支持，不斷創(chuàng)新銀行業(yè)務。計算機應用的方式也從過去的單點單機處理方式逐步提高為全國大集中、24小時自助銀行、核心業(yè)務系統(tǒng)處理的方式。因各種原因造成計算機應用系統(tǒng)不能正常運行從而導致銀行業(yè)務停頓和資金損失的風險已經(jīng)成為最重大的金融風險之一，因此確保銀行計算機應用系統(tǒng)的安全可靠運行已顯得尤為重要，加強對IT審計也就勢在必行。第一章 IT業(yè)務審計的職責、審計范圍和審計流程 IT審計職責 總行IT審計職責總行現(xiàn)場審計五部負責全行IT審計管理工作，其主要職責：（1）負責制訂信息系統(tǒng)安全和電子渠道業(yè)務審計制度、手冊和工作計劃；（2）負責對全行信息系統(tǒng)安全和電子渠道業(yè)務的審計，包括對總行信息技術管理部、電子銀行部、軟件開發(fā)中心和數(shù)據(jù)處理中心內(nèi)控管理及業(yè)務部門計算機安全應用方面的審計；（3）參與總行業(yè)務應用軟件的開發(fā)審核，重點是軟件程序風險控制的審核，軟件投入應用前的測試、驗收等；（4）對全行信息系統(tǒng)安全和電子渠道業(yè)務進行審計并作出評價；評估各計算機業(yè)務處理系統(tǒng)在實現(xiàn)內(nèi)部控制制度各個環(huán)節(jié)方面的控制能力及可審計性，發(fā)現(xiàn)薄弱環(huán)節(jié)及時向有關部門提出建議。（5）對地區(qū)和省直分行所在地城市審計部，信息系統(tǒng)安全審計工作進行指導，并對其報送的信息系統(tǒng)專項審計報告進行審閱，提出意見；（6）組織和實施全行性的信息系統(tǒng)和電子渠道業(yè)務審計；（7）負責省直分行及部分省轄行IT業(yè)務及電子渠道業(yè)務現(xiàn)場審計；（8）收集、分析、歸納、匯總IT業(yè)務和電子渠道業(yè)務審計信息，撰寫IT業(yè)務和電子渠道業(yè)務審計分析報告和工作總結等。（9）負責審計支持系統(tǒng)管理、運行維護工作。 地區(qū)審計部IT審計職責地區(qū)審計部分為華北、華東、華南、華西和東北審計部，作為總行審計部在各地區(qū)的延伸機構，接受總行審計部的領導和管理，對地區(qū)審計部監(jiān)管范圍城市審計部實行領導和管理。其IT審計主要職責如下：（1）地區(qū)審計部按照總行審計部的要求開展IT審計工作，代表總行審計部對所監(jiān)管機構開展IT審計監(jiān)督活動；（2）按照總行審計部制定的IT審計工作制度和工作安排，研究制訂地區(qū)審計部的具體實施細則和工作計劃,并組織實施；（3）負責對轄內(nèi)行IT審計工作的領導和管理，進行IT審計工作的考核和評價；（4）對監(jiān)管范圍內(nèi)省轄行的IT業(yè)務和電子渠道業(yè)務風險控制狀況進行審計；（5）收集、分析、歸納、匯總IT業(yè)務和電子渠道業(yè)務審計信息以及各類分析報告和工作總結等，并上報總行審計部。 IT審計范圍按照商業(yè)銀行風險導向?qū)徲嬙瓌t，IT審計包含科技應用和電子渠道業(yè)務相關風險控制內(nèi)容，其審計范圍如下： （1）信息安全策略與制度。檢查網(wǎng)絡、系統(tǒng)、應用、環(huán)境設施和電子渠道業(yè)務等方面的管理制度制訂及執(zhí)行情況。檢查安全策略合理性、完整性，檢查是否根據(jù)總行相關規(guī)定制定相應的實施細則，是否覆蓋所有相關工作。（2）安全組織。檢查信息安全機構和人員配置、職責及工作情況。檢查安全機構工作的有效性。檢查人員安全保密職責、安全培訓等內(nèi)容。（3）信息資產(chǎn)的分類與控制。檢查信息資產(chǎn)的使用與管理。檢查相應的管理辦法和管理流程。（4）物理與環(huán)境安全。檢查放置設備的物理環(huán)境建設，包含機房門禁、供電、空調(diào)、消防、監(jiān)控等方面安全管理和維護情況。（5）通信與運營管理。檢查系統(tǒng)運行、監(jiān)控、故障處理以及數(shù)據(jù)備份等方面的安全管理。（6）訪問控制。檢查生產(chǎn)系統(tǒng)、網(wǎng)絡通訊、操作系統(tǒng)、應用程序等方面的訪問控制情況。（7）系統(tǒng)的開發(fā)與維護。檢查應用系統(tǒng)開發(fā)的立項、安全需求、測試、系統(tǒng)文件安全、開發(fā)控制等方面的安全情況。（8）業(yè)務連續(xù)性計劃。檢查業(yè)務連續(xù)性計劃管理程序，包含計劃組織、管理、計劃演練和更新等方面情況。（9）符合性。檢查信息系統(tǒng)的設計、運行、使用和管理等方面是否符合現(xiàn)行的法律規(guī)定以及合同約定的安全要求。（10）電子渠道業(yè)務風險管理。檢查電子銀行風險管理體系和內(nèi)部控制體系。（11）網(wǎng)上銀行業(yè)務風險管理。檢查企業(yè)網(wǎng)上銀行、個人網(wǎng)上銀行和網(wǎng)上支付業(yè)務操作流程、崗位制約等風險控制情況。（12）自助渠道業(yè)務風險管理。檢查自助銀行、POS和電話銀行業(yè)務操作流程、風險防范等方面控制情況。（13）太平洋卡制作和使用管理情況。 IT審計流程 IT審計工作程序可劃分四個階段：審計準備階段、審計實施階段、審計總結階段和審計追蹤階段。審計準備階段工作主要包含：收集分析與現(xiàn)場審計范圍相關的各類資料和數(shù)據(jù)，查找審計的可疑點，確定審計重點，制定審計方案，召開審計前準備會議，審計方案審批，發(fā)出審計通知書等。審計實施階段工作主要包含：進入現(xiàn)場，采取與分行相關人員會談溝通、問卷調(diào)查、數(shù)據(jù)分析、資料查證、現(xiàn)場檢查等多種方式進行審計，審計完畢，根據(jù)發(fā)現(xiàn)的問題撰寫審計問題底稿，與相關部門人員溝通發(fā)現(xiàn)的問題，整理、匯總檢查發(fā)現(xiàn)的問題，并請相關人員簽字確認問題底稿，審計結束后，向分行領導和相關部門人員反饋審計中發(fā)現(xiàn)的主要問題。審計總結階段工作主要包含：根據(jù)審計標準程式，對審計對象進行評分，并作總體評價；召開審計分析會，對發(fā)現(xiàn)的問題進行剖析，并對確定問題的風險級別；撰寫審計報告，經(jīng)二級部高級經(jīng)理審核，并經(jīng)審計部領導審批后發(fā)送分行。對于風險級別較高的問題，形成專項報告，以審計情況等專報形式提交給總行高管層,同時抄送總行相關管理部門。審計追蹤階段工作主要包含：對于各級部門審計發(fā)現(xiàn)的問題整改情況進行跟蹤，定期跟蹤被審計對象的內(nèi)控管理，形成持續(xù)的監(jiān)控。 IT審計準備工作現(xiàn)場審計進場前的準備工作是現(xiàn)場審計的前提和基礎，隨著我行大集中系統(tǒng)建成和推廣，現(xiàn)場審計前需不斷地與被審計單位溝通，調(diào)閱審計期間的相關資料，進行分析；同時，通過審計分析工具對數(shù)據(jù)進行篩選、歸類、分析?，F(xiàn)場審計準備工作主要包含：收集分析與現(xiàn)場審計范圍相關的各類資料和數(shù)據(jù)，查找審計的可疑點，確定審計重點，制定審計方案，召開審計前準備會議，審計方案審批，發(fā)出審計通知書等。 現(xiàn)場審計進場前準備工作主要由主審人負責 資料收集審計前需收集被審計單位相關資料如下：（1）收集被審計單位的信息科技和電子渠道業(yè)務相關的管理制度、規(guī)定； （2）信息系統(tǒng)安全管理和電子渠道業(yè)務組織架構及其人員名單。填寫人員崗位及職責分工表（見附表）； （3）年度計劃和工作總結，安全領導小組會議記錄；（4）對內(nèi)日常監(jiān)督檢查報告，外審審計報告以及整改落實情況；（5）填寫應用系統(tǒng)調(diào)查表（見附表），對使用的應用系統(tǒng)環(huán)境進行調(diào)查；（6）網(wǎng)絡拓撲結構圖，IP地址分配規(guī)則表，VLAN劃分控制表和網(wǎng)絡安全設計說明； （7）分行自行開發(fā)的特色業(yè)務系統(tǒng)及其運行環(huán)境，與第三方網(wǎng)絡通訊和訪問控制的安全策略；（8）中心機房內(nèi)主要物理設備及附屬設施的維修保養(yǎng)資料； （9）主要業(yè)務系統(tǒng)應急方案和演練記錄。附表1應用系統(tǒng)調(diào)查表被調(diào)查單位： 填表日期：200 年 月 日 填表人： 序號應用系統(tǒng)運行環(huán)境應用系統(tǒng)維護人員備注名稱使用單位開發(fā)單位操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)中間件名稱版本名稱版本名稱版本填表說明：填表內(nèi)容包含主機系統(tǒng)、各類業(yè)務前置機和監(jiān)控系統(tǒng)上運行的所有應用系統(tǒng)。附表2人員崗位及職責分工表被調(diào)查單位： 填表日期：200 年 月 日 填表人：序號姓名崗位管理的內(nèi)容備注主管內(nèi)容兼管內(nèi)容 填表說明：該表包含電腦部門所有人員，每人信息填寫一行。 審計準備會 在現(xiàn)場審計方案草擬后，分管總經(jīng)理組織審計小組成員，召開審計準備會。會議重點是聽取現(xiàn)場審計方案的匯報，研究被審計對象的信息系統(tǒng)管理、安全和電子渠道業(yè)務等方面內(nèi)部控制、風險管理情況，并對問題疑點、線索及異常情況進行分析，討論審計方案，確定具體審計內(nèi)容。 審計通知書根據(jù)審計準備會議的討論情況和會議決定，組織現(xiàn)場審計組落實審計準備會議決定的事項，并對現(xiàn)場審計方案進行修改和完善。擬寫審計通知書，審計通知書包括：審計小組人員、審計時間、審計范圍和審計主要內(nèi)容，以及需被審計單位提供的資料清單。完成審計方案和審計通知后，按照發(fā)文程序報總經(jīng)理批準，并發(fā)送審計通知。 IT審計方案 現(xiàn)場審計組成員根據(jù)收集的資料和數(shù)據(jù)，分析資料和數(shù)據(jù)，了解被審計單位的管理和系統(tǒng)安全運行狀況，對其進行初步評估，根據(jù)風險導向原則，判斷被審計對象可能存在的風險領域、重點和可疑點，主審人根據(jù)可能存在的風險制定審計方案。IT現(xiàn)場審計方案的內(nèi)容一般包括：審計依據(jù)、審計目的、審計范圍、審計時間、審計內(nèi)容、審計重點、審計方法、審計標準，以及審計人員分工和職責等。 .1 IT審計依據(jù)審計依據(jù)包括：年度審計部工作計劃，《交通銀行內(nèi)部控制評價辦法》，《交通銀行審計標準程式》的附件7《信息系統(tǒng)安全》，電子渠道業(yè)務審計要點，國家相關部門制訂的有關信息系統(tǒng)和電子渠道業(yè)務的法規(guī)、管理制度、規(guī)定、辦法和指引，交通銀行制訂的信息系統(tǒng)和電子渠道業(yè)務的各項規(guī)章制度。 .2 IT審計方式 審計方式有多重形式，根據(jù)現(xiàn)場審計情況的不同，采取不同的審計方式，一般IT審計方式包括：與分行相關人員會談溝通、問卷調(diào)查、數(shù)據(jù)分析、資料查證、現(xiàn)場檢查等多種方式進行。 .3 IT審計內(nèi)容 IT審計內(nèi)容主要由信息系統(tǒng)安全和電子渠道業(yè)務兩大部分組成。信息系統(tǒng)安全審計內(nèi)容包括：制度制定與執(zhí)行、安全組織管理、信息資產(chǎn)管理、機房環(huán)境設施、通訊與運營維護管理、訪問控制、系統(tǒng)開發(fā)、業(yè)務連續(xù)性管理和符合性。 電子渠道業(yè)務審計內(nèi)容包括：組織與制度建設、電子渠道風險管理、企業(yè)網(wǎng)上銀行、個人網(wǎng)上銀行、自助銀行、POS系統(tǒng)、電話銀行、第三方服務管理、業(yè)務應急管理、數(shù)據(jù)備份管理等方面。根據(jù)每次審計要求與被審計對象情況，可以選擇全部或部分內(nèi)容作為本次審計內(nèi)容。第二章 IT審計的基本內(nèi)容 安全策略審計其目標是確保我行擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾。同時，保證信息安全的資金投入。信息安全的方針策略是在交通銀行策略下，由交通銀行業(yè)務策略、交通銀行安全策略、交通銀行IT策略衍生出來交通銀行IT安全策略。 安全策略的制定IT安全策略制定：制定全面、詳細、完整的信息安全策略和規(guī)范；信息安全策略應涉及以下領域：安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務連續(xù)性管理、合規(guī)性管理。信息安全策略的下發(fā)：信息安全策略和安全職能要求應以適當?shù)姆绞絺鬟_給所屬所有機構、部門和分支行。信息安全策略的執(zhí)行：銀行所有員工應充分理解信息科技風險管理制度和流程，熟悉了解信息安全策略目標和各自崗位的信息安全要求，并參照執(zhí)行。按期完成信息安全策略中制訂的安全目標或承諾（如提供人、財、物以及管理等方面的支持）；安全管理人員是否能闡明實現(xiàn)信息安全的途徑和辦法。各機構和各崗位人員應嚴格遵從信息安全策略、規(guī)范、操作流程等各項規(guī)章制度。目標的總結和評價：安全管理人員應清晰闡明實現(xiàn)信息安全目標的途徑辦法及措施。相關職能部門應定期核實并評價全行，信息技術部門及安全員等不同層面的年度工作計劃中應包含信息安全目標的預期和完成情況。監(jiān)督管理：總行信息技術管理部應對各分行、省分行對轄內(nèi)省轄分行、以及各網(wǎng)點支行應行使有效監(jiān)督管理的職能。信息安全檢查：信息技術部門及安全員應定期進行安全檢查（包含省轄行，分行技術部，各網(wǎng)點），應有詳細的檢查報告；對安全檢查的結果應進行后續(xù)風險評估，建立問題跟蹤和后評估機制，相關文檔資料應齊全詳細。對審計問題的評估和整改：根據(jù)外部獨立機構檢查、審計信息系統(tǒng)安全的報告，應對第三方信息安全的評價情況和提出的問題建議進行風險評估。針對各類信息系統(tǒng)安全的審計和檢查情況，結合自身實際情況的評估，制定相應的整改措施進行有效整改。對可接受的風險應進行進一步評估和說明。 組織與人員審計組織與人員審計其目標就是保證安全工作的人力資源要求。避免由于人員和組織上