【正文】 IT業(yè)務(wù)審計(jì)基礎(chǔ)知識(shí) 隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，銀行計(jì)算機(jī)應(yīng)用也日新月異。目前我行計(jì)算機(jī)應(yīng)用幾乎涵蓋了所有的銀行業(yè)務(wù)，并依靠計(jì)算機(jī)技術(shù)的支持，不斷創(chuàng)新銀行業(yè)務(wù)。計(jì)算機(jī)應(yīng)用的方式也從過(guò)去的單點(diǎn)單機(jī)處理方式逐步提高為全國(guó)大集中、24小時(shí)自助銀行、核心業(yè)務(wù)系統(tǒng)處理的方式。因各種原因造成計(jì)算機(jī)應(yīng)用系統(tǒng)不能正常運(yùn)行從而導(dǎo)致銀行業(yè)務(wù)停頓和資金損失的風(fēng)險(xiǎn)已經(jīng)成為最重大的金融風(fēng)險(xiǎn)之一，因此確保銀行計(jì)算機(jī)應(yīng)用系統(tǒng)的安全可靠運(yùn)行已顯得尤為重要，加強(qiáng)對(duì)IT審計(jì)也就勢(shì)在必行。第一章 IT業(yè)務(wù)審計(jì)的職責(zé)、審計(jì)范圍和審計(jì)流程 IT審計(jì)職責(zé) 總行IT審計(jì)職責(zé)總行現(xiàn)場(chǎng)審計(jì)五部負(fù)責(zé)全行IT審計(jì)管理工作，其主要職責(zé)：（1）負(fù)責(zé)制訂信息系統(tǒng)安全和電子渠道業(yè)務(wù)審計(jì)制度、手冊(cè)和工作計(jì)劃；（2）負(fù)責(zé)對(duì)全行信息系統(tǒng)安全和電子渠道業(yè)務(wù)的審計(jì)，包括對(duì)總行信息技術(shù)管理部、電子銀行部、軟件開(kāi)發(fā)中心和數(shù)據(jù)處理中心內(nèi)控管理及業(yè)務(wù)部門(mén)計(jì)算機(jī)安全應(yīng)用方面的審計(jì)；（3）參與總行業(yè)務(wù)應(yīng)用軟件的開(kāi)發(fā)審核，重點(diǎn)是軟件程序風(fēng)險(xiǎn)控制的審核，軟件投入應(yīng)用前的測(cè)試、驗(yàn)收等；（4）對(duì)全行信息系統(tǒng)安全和電子渠道業(yè)務(wù)進(jìn)行審計(jì)并作出評(píng)價(jià)；評(píng)估各計(jì)算機(jī)業(yè)務(wù)處理系統(tǒng)在實(shí)現(xiàn)內(nèi)部控制制度各個(gè)環(huán)節(jié)方面的控制能力及可審計(jì)性，發(fā)現(xiàn)薄弱環(huán)節(jié)及時(shí)向有關(guān)部門(mén)提出建議。（5）對(duì)地區(qū)和省直分行所在地城市審計(jì)部，信息系統(tǒng)安全審計(jì)工作進(jìn)行指導(dǎo)，并對(duì)其報(bào)送的信息系統(tǒng)專(zhuān)項(xiàng)審計(jì)報(bào)告進(jìn)行審閱，提出意見(jiàn)；（6）組織和實(shí)施全行性的信息系統(tǒng)和電子渠道業(yè)務(wù)審計(jì)；（7）負(fù)責(zé)省直分行及部分省轄行IT業(yè)務(wù)及電子渠道業(yè)務(wù)現(xiàn)場(chǎng)審計(jì)；（8）收集、分析、歸納、匯總IT業(yè)務(wù)和電子渠道業(yè)務(wù)審計(jì)信息，撰寫(xiě)IT業(yè)務(wù)和電子渠道業(yè)務(wù)審計(jì)分析報(bào)告和工作總結(jié)等。（9）負(fù)責(zé)審計(jì)支持系統(tǒng)管理、運(yùn)行維護(hù)工作。 地區(qū)審計(jì)部IT審計(jì)職責(zé)地區(qū)審計(jì)部分為華北、華東、華南、華西和東北審計(jì)部，作為總行審計(jì)部在各地區(qū)的延伸機(jī)構(gòu)，接受總行審計(jì)部的領(lǐng)導(dǎo)和管理，對(duì)地區(qū)審計(jì)部監(jiān)管范圍城市審計(jì)部實(shí)行領(lǐng)導(dǎo)和管理。其IT審計(jì)主要職責(zé)如下：（1）地區(qū)審計(jì)部按照總行審計(jì)部的要求開(kāi)展IT審計(jì)工作，代表總行審計(jì)部對(duì)所監(jiān)管機(jī)構(gòu)開(kāi)展IT審計(jì)監(jiān)督活動(dòng)；（2）按照總行審計(jì)部制定的IT審計(jì)工作制度和工作安排，研究制訂地區(qū)審計(jì)部的具體實(shí)施細(xì)則和工作計(jì)劃,并組織實(shí)施；（3）負(fù)責(zé)對(duì)轄內(nèi)行IT審計(jì)工作的領(lǐng)導(dǎo)和管理，進(jìn)行IT審計(jì)工作的考核和評(píng)價(jià)；（4）對(duì)監(jiān)管范圍內(nèi)省轄行的IT業(yè)務(wù)和電子渠道業(yè)務(wù)風(fēng)險(xiǎn)控制狀況進(jìn)行審計(jì)；（5）收集、分析、歸納、匯總IT業(yè)務(wù)和電子渠道業(yè)務(wù)審計(jì)信息以及各類(lèi)分析報(bào)告和工作總結(jié)等，并上報(bào)總行審計(jì)部。 IT審計(jì)范圍按照商業(yè)銀行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)原則，IT審計(jì)包含科技應(yīng)用和電子渠道業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)控制內(nèi)容，其審計(jì)范圍如下： （1）信息安全策略與制度。檢查網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、環(huán)境設(shè)施和電子渠道業(yè)務(wù)等方面的管理制度制訂及執(zhí)行情況。檢查安全策略合理性、完整性，檢查是否根據(jù)總行相關(guān)規(guī)定制定相應(yīng)的實(shí)施細(xì)則，是否覆蓋所有相關(guān)工作。（2）安全組織。檢查信息安全機(jī)構(gòu)和人員配置、職責(zé)及工作情況。檢查安全機(jī)構(gòu)工作的有效性。檢查人員安全保密職責(zé)、安全培訓(xùn)等內(nèi)容。（3）信息資產(chǎn)的分類(lèi)與控制。檢查信息資產(chǎn)的使用與管理。檢查相應(yīng)的管理辦法和管理流程。（4）物理與環(huán)境安全。檢查放置設(shè)備的物理環(huán)境建設(shè)，包含機(jī)房門(mén)禁、供電、空調(diào)、消防、監(jiān)控等方面安全管理和維護(hù)情況。（5）通信與運(yùn)營(yíng)管理。檢查系統(tǒng)運(yùn)行、監(jiān)控、故障處理以及數(shù)據(jù)備份等方面的安全管理。（6）訪問(wèn)控制。檢查生產(chǎn)系統(tǒng)、網(wǎng)絡(luò)通訊、操作系統(tǒng)、應(yīng)用程序等方面的訪問(wèn)控制情況。（7）系統(tǒng)的開(kāi)發(fā)與維護(hù)。檢查應(yīng)用系統(tǒng)開(kāi)發(fā)的立項(xiàng)、安全需求、測(cè)試、系統(tǒng)文件安全、開(kāi)發(fā)控制等方面的安全情況。（8）業(yè)務(wù)連續(xù)性計(jì)劃。檢查業(yè)務(wù)連續(xù)性計(jì)劃管理程序，包含計(jì)劃組織、管理、計(jì)劃演練和更新等方面情況。（9）符合性。檢查信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理等方面是否符合現(xiàn)行的法律規(guī)定以及合同約定的安全要求。（10）電子渠道業(yè)務(wù)風(fēng)險(xiǎn)管理。檢查電子銀行風(fēng)險(xiǎn)管理體系和內(nèi)部控制體系。（11）網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理。檢查企業(yè)網(wǎng)上銀行、個(gè)人網(wǎng)上銀行和網(wǎng)上支付業(yè)務(wù)操作流程、崗位制約等風(fēng)險(xiǎn)控制情況。（12）自助渠道業(yè)務(wù)風(fēng)險(xiǎn)管理。檢查自助銀行、POS和電話銀行業(yè)務(wù)操作流程、風(fēng)險(xiǎn)防范等方面控制情況。（13）太平洋卡制作和使用管理情況。 IT審計(jì)流程 IT審計(jì)工作程序可劃分四個(gè)階段：審計(jì)準(zhǔn)備階段、審計(jì)實(shí)施階段、審計(jì)總結(jié)階段和審計(jì)追蹤階段。審計(jì)準(zhǔn)備階段工作主要包含：收集分析與現(xiàn)場(chǎng)審計(jì)范圍相關(guān)的各類(lèi)資料和數(shù)據(jù)，查找審計(jì)的可疑點(diǎn)，確定審計(jì)重點(diǎn)，制定審計(jì)方案，召開(kāi)審計(jì)前準(zhǔn)備會(huì)議，審計(jì)方案審批，發(fā)出審計(jì)通知書(shū)等。審計(jì)實(shí)施階段工作主要包含：進(jìn)入現(xiàn)場(chǎng)，采取與分行相關(guān)人員會(huì)談溝通、問(wèn)卷調(diào)查、數(shù)據(jù)分析、資料查證、現(xiàn)場(chǎng)檢查等多種方式進(jìn)行審計(jì)，審計(jì)完畢，根據(jù)發(fā)現(xiàn)的問(wèn)題撰寫(xiě)審計(jì)問(wèn)題底稿，與相關(guān)部門(mén)人員溝通發(fā)現(xiàn)的問(wèn)題，整理、匯總檢查發(fā)現(xiàn)的問(wèn)題，并請(qǐng)相關(guān)人員簽字確認(rèn)問(wèn)題底稿，審計(jì)結(jié)束后，向分行領(lǐng)導(dǎo)和相關(guān)部門(mén)人員反饋審計(jì)中發(fā)現(xiàn)的主要問(wèn)題。審計(jì)總結(jié)階段工作主要包含：根據(jù)審計(jì)標(biāo)準(zhǔn)程式，對(duì)審計(jì)對(duì)象進(jìn)行評(píng)分，并作總體評(píng)價(jià)；召開(kāi)審計(jì)分析會(huì)，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行剖析，并對(duì)確定問(wèn)題的風(fēng)險(xiǎn)級(jí)別；撰寫(xiě)審計(jì)報(bào)告，經(jīng)二級(jí)部高級(jí)經(jīng)理審核，并經(jīng)審計(jì)部領(lǐng)導(dǎo)審批后發(fā)送分行。對(duì)于風(fēng)險(xiǎn)級(jí)別較高的問(wèn)題，形成專(zhuān)項(xiàng)報(bào)告，以審計(jì)情況等專(zhuān)報(bào)形式提交給總行高管層,同時(shí)抄送總行相關(guān)管理部門(mén)。審計(jì)追蹤階段工作主要包含：對(duì)于各級(jí)部門(mén)審計(jì)發(fā)現(xiàn)的問(wèn)題整改情況進(jìn)行跟蹤，定期跟蹤被審計(jì)對(duì)象的內(nèi)控管理，形成持續(xù)的監(jiān)控。 IT審計(jì)準(zhǔn)備工作現(xiàn)場(chǎng)審計(jì)進(jìn)場(chǎng)前的準(zhǔn)備工作是現(xiàn)場(chǎng)審計(jì)的前提和基礎(chǔ)，隨著我行大集中系統(tǒng)建成和推廣，現(xiàn)場(chǎng)審計(jì)前需不斷地與被審計(jì)單位溝通，調(diào)閱審計(jì)期間的相關(guān)資料，進(jìn)行分析；同時(shí)，通過(guò)審計(jì)分析工具對(duì)數(shù)據(jù)進(jìn)行篩選、歸類(lèi)、分析?，F(xiàn)場(chǎng)審計(jì)準(zhǔn)備工作主要包含：收集分析與現(xiàn)場(chǎng)審計(jì)范圍相關(guān)的各類(lèi)資料和數(shù)據(jù)，查找審計(jì)的可疑點(diǎn)，確定審計(jì)重點(diǎn)，制定審計(jì)方案，召開(kāi)審計(jì)前準(zhǔn)備會(huì)議，審計(jì)方案審批，發(fā)出審計(jì)通知書(shū)等。 現(xiàn)場(chǎng)審計(jì)進(jìn)場(chǎng)前準(zhǔn)備工作主要由主審人負(fù)責(zé) 資料收集審計(jì)前需收集被審計(jì)單位相關(guān)資料如下：（1）收集被審計(jì)單位的信息科技和電子渠道業(yè)務(wù)相關(guān)的管理制度、規(guī)定； （2）信息系統(tǒng)安全管理和電子渠道業(yè)務(wù)組織架構(gòu)及其人員名單。填寫(xiě)人員崗位及職責(zé)分工表（見(jiàn)附表）； （3）年度計(jì)劃和工作總結(jié)，安全領(lǐng)導(dǎo)小組會(huì)議記錄；（4）對(duì)內(nèi)日常監(jiān)督檢查報(bào)告，外審審計(jì)報(bào)告以及整改落實(shí)情況；（5）填寫(xiě)應(yīng)用系統(tǒng)調(diào)查表（見(jiàn)附表），對(duì)使用的應(yīng)用系統(tǒng)環(huán)境進(jìn)行調(diào)查；（6）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，IP地址分配規(guī)則表，VLAN劃分控制表和網(wǎng)絡(luò)安全設(shè)計(jì)說(shuō)明； （7）分行自行開(kāi)發(fā)的特色業(yè)務(wù)系統(tǒng)及其運(yùn)行環(huán)境，與第三方網(wǎng)絡(luò)通訊和訪問(wèn)控制的安全策略；（8）中心機(jī)房?jī)?nèi)主要物理設(shè)備及附屬設(shè)施的維修保養(yǎng)資料； （9）主要業(yè)務(wù)系統(tǒng)應(yīng)急方案和演練記錄。附表1應(yīng)用系統(tǒng)調(diào)查表被調(diào)查單位： 填表日期：200 年 月 日 填表人： 序號(hào)應(yīng)用系統(tǒng)運(yùn)行環(huán)境應(yīng)用系統(tǒng)維護(hù)人員備注名稱(chēng)使用單位開(kāi)發(fā)單位操作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)中間件名稱(chēng)版本名稱(chēng)版本名稱(chēng)版本填表說(shuō)明：填表內(nèi)容包含主機(jī)系統(tǒng)、各類(lèi)業(yè)務(wù)前置機(jī)和監(jiān)控系統(tǒng)上運(yùn)行的所有應(yīng)用系統(tǒng)。附表2人員崗位及職責(zé)分工表被調(diào)查單位： 填表日期：200 年 月 日 填表人：序號(hào)姓名崗位管理的內(nèi)容備注主管內(nèi)容兼管內(nèi)容 填表說(shuō)明：該表包含電腦部門(mén)所有人員，每人信息填寫(xiě)一行。 審計(jì)準(zhǔn)備會(huì) 在現(xiàn)場(chǎng)審計(jì)方案草擬后，分管總經(jīng)理組織審計(jì)小組成員，召開(kāi)審計(jì)準(zhǔn)備會(huì)。會(huì)議重點(diǎn)是聽(tīng)取現(xiàn)場(chǎng)審計(jì)方案的匯報(bào)，研究被審計(jì)對(duì)象的信息系統(tǒng)管理、安全和電子渠道業(yè)務(wù)等方面內(nèi)部控制、風(fēng)險(xiǎn)管理情況，并對(duì)問(wèn)題疑點(diǎn)、線索及異常情況進(jìn)行分析，討論審計(jì)方案，確定具體審計(jì)內(nèi)容。 審計(jì)通知書(shū)根據(jù)審計(jì)準(zhǔn)備會(huì)議的討論情況和會(huì)議決定，組織現(xiàn)場(chǎng)審計(jì)組落實(shí)審計(jì)準(zhǔn)備會(huì)議決定的事項(xiàng)，并對(duì)現(xiàn)場(chǎng)審計(jì)方案進(jìn)行修改和完善。擬寫(xiě)審計(jì)通知書(shū)，審計(jì)通知書(shū)包括：審計(jì)小組人員、審計(jì)時(shí)間、審計(jì)范圍和審計(jì)主要內(nèi)容，以及需被審計(jì)單位提供的資料清單。完成審計(jì)方案和審計(jì)通知后，按照發(fā)文程序報(bào)總經(jīng)理批準(zhǔn)，并發(fā)送審計(jì)通知。 IT審計(jì)方案 現(xiàn)場(chǎng)審計(jì)組成員根據(jù)收集的資料和數(shù)據(jù)，分析資料和數(shù)據(jù)，了解被審計(jì)單位的管理和系統(tǒng)安全運(yùn)行狀況，對(duì)其進(jìn)行初步評(píng)估，根據(jù)風(fēng)險(xiǎn)導(dǎo)向原則，判斷被審計(jì)對(duì)象可能存在的風(fēng)險(xiǎn)領(lǐng)域、重點(diǎn)和可疑點(diǎn)，主審人根據(jù)可能存在的風(fēng)險(xiǎn)制定審計(jì)方案。IT現(xiàn)場(chǎng)審計(jì)方案的內(nèi)容一般包括：審計(jì)依據(jù)、審計(jì)目的、審計(jì)范圍、審計(jì)時(shí)間、審計(jì)內(nèi)容、審計(jì)重點(diǎn)、審計(jì)方法、審計(jì)標(biāo)準(zhǔn)，以及審計(jì)人員分工和職責(zé)等。 .1 IT審計(jì)依據(jù)審計(jì)依據(jù)包括：年度審計(jì)部工作計(jì)劃，《交通銀行內(nèi)部控制評(píng)價(jià)辦法》，《交通銀行審計(jì)標(biāo)準(zhǔn)程式》的附件7《信息系統(tǒng)安全》，電子渠道業(yè)務(wù)審計(jì)要點(diǎn)，國(guó)家相關(guān)部門(mén)制訂的有關(guān)信息系統(tǒng)和電子渠道業(yè)務(wù)的法規(guī)、管理制度、規(guī)定、辦法和指引，交通銀行制訂的信息系統(tǒng)和電子渠道業(yè)務(wù)的各項(xiàng)規(guī)章制度。 .2 IT審計(jì)方式 審計(jì)方式有多重形式，根據(jù)現(xiàn)場(chǎng)審計(jì)情況的不同，采取不同的審計(jì)方式，一般IT審計(jì)方式包括：與分行相關(guān)人員會(huì)談溝通、問(wèn)卷調(diào)查、數(shù)據(jù)分析、資料查證、現(xiàn)場(chǎng)檢查等多種方式進(jìn)行。 .3 IT審計(jì)內(nèi)容 IT審計(jì)內(nèi)容主要由信息系統(tǒng)安全和電子渠道業(yè)務(wù)兩大部分組成。信息系統(tǒng)安全審計(jì)內(nèi)容包括：制度制定與執(zhí)行、安全組織管理、信息資產(chǎn)管理、機(jī)房環(huán)境設(shè)施、通訊與運(yùn)營(yíng)維護(hù)管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)、業(yè)務(wù)連續(xù)性管理和符合性。 電子渠道業(yè)務(wù)審計(jì)內(nèi)容包括：組織與制度建設(shè)、電子渠道風(fēng)險(xiǎn)管理、企業(yè)網(wǎng)上銀行、個(gè)人網(wǎng)上銀行、自助銀行、POS系統(tǒng)、電話銀行、第三方服務(wù)管理、業(yè)務(wù)應(yīng)急管理、數(shù)據(jù)備份管理等方面。根據(jù)每次審計(jì)要求與被審計(jì)對(duì)象情況，可以選擇全部或部分內(nèi)容作為本次審計(jì)內(nèi)容。第二章 IT審計(jì)的基本內(nèi)容 安全策略審計(jì)其目標(biāo)是確保我行擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾。同時(shí)，保證信息安全的資金投入。信息安全的方針策略是在交通銀行策略下，由交通銀行業(yè)務(wù)策略、交通銀行安全策略、交通銀行IT策略衍生出來(lái)交通銀行IT安全策略。 安全策略的制定IT安全策略制定：制定全面、詳細(xì)、完整的信息安全策略和規(guī)范；信息安全策略應(yīng)涉及以下領(lǐng)域：安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理。信息安全策略的下發(fā)：信息安全策略和安全職能要求應(yīng)以適當(dāng)?shù)姆绞絺鬟_(dá)給所屬所有機(jī)構(gòu)、部門(mén)和分支行。信息安全策略的執(zhí)行：銀行所有員工應(yīng)充分理解信息科技風(fēng)險(xiǎn)管理制度和流程，熟悉了解信息安全策略目標(biāo)和各自崗位的信息安全要求，并參照?qǐng)?zhí)行。按期完成信息安全策略中制訂的安全目標(biāo)或承諾（如提供人、財(cái)、物以及管理等方面的支持）；安全管理人員是否能闡明實(shí)現(xiàn)信息安全的途徑和辦法。各機(jī)構(gòu)和各崗位人員應(yīng)嚴(yán)格遵從信息安全策略、規(guī)范、操作流程等各項(xiàng)規(guī)章制度。目標(biāo)的總結(jié)和評(píng)價(jià)：安全管理人員應(yīng)清晰闡明實(shí)現(xiàn)信息安全目標(biāo)的途徑辦法及措施。相關(guān)職能部門(mén)應(yīng)定期核實(shí)并評(píng)價(jià)全行，信息技術(shù)部門(mén)及安全員等不同層面的年度工作計(jì)劃中應(yīng)包含信息安全目標(biāo)的預(yù)期和完成情況。監(jiān)督管理：總行信息技術(shù)管理部應(yīng)對(duì)各分行、省分行對(duì)轄內(nèi)省轄分行、以及各網(wǎng)點(diǎn)支行應(yīng)行使有效監(jiān)督管理的職能。信息安全檢查：信息技術(shù)部門(mén)及安全員應(yīng)定期進(jìn)行安全檢查（包含省轄行，分行技術(shù)部，各網(wǎng)點(diǎn)），應(yīng)有詳細(xì)的檢查報(bào)告；對(duì)安全檢查的結(jié)果應(yīng)進(jìn)行后續(xù)風(fēng)險(xiǎn)評(píng)估，建立問(wèn)題跟蹤和后評(píng)估機(jī)制，相關(guān)文檔資料應(yīng)齊全詳細(xì)。對(duì)審計(jì)問(wèn)題的評(píng)估和整改：根據(jù)外部獨(dú)立機(jī)構(gòu)檢查、審計(jì)信息系統(tǒng)安全的報(bào)告，應(yīng)對(duì)第三方信息安全的評(píng)價(jià)情況和提出的問(wèn)題建議進(jìn)行風(fēng)險(xiǎn)評(píng)估。針對(duì)各類(lèi)信息系統(tǒng)安全的審計(jì)和檢查情況，結(jié)合自身實(shí)際情況的評(píng)估，制定相應(yīng)的整改措施進(jìn)行有效整改。對(duì)可接受的風(fēng)險(xiǎn)應(yīng)進(jìn)行進(jìn)一步評(píng)估和說(shuō)明。 組織與人員審計(jì)組織與人員審計(jì)其目標(biāo)就是保證安全工作的人力資源要求。避免由于人員和組織上