招商证券IT审计及审计信息化建设介绍

IT审计及审计信息化建设介绍招商证券稽核监察部李艳201208192IT审计及审计信息化建设介绍稽核部审计业务经纪业务审计线综合审计线IT审计线监察业务3IT审计概念4IT审计定义`定义：`信息系统审计，是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。（内审具体准则第28号）`目标:`搜集并评估证据，以判断信息系统是否有效做到保护资产、维护数据完整、完成组织目标、同时最经济的使用资源：效率、效果、机密、完整、可用、可靠、合规`范围：`公司及分支机构的信息系统及其管理环境信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标的过程。（ISACA信息系统审计与控制协会）5与计算机辅助审计的区别IT审计独立的审计过程、活动以信息系统为审计对象审计过程中可以应用计算机辅助审计技术进行符合性测试或实质性测试计算机辅助审计辅助的审计技术、工具利用计算机技术实施对审计对象的测试和验证可以应用于所有审计项目，包括传统审计项目和信息系统审计项目6IT审计的历史及发展情况1960-1970’s1970’s-1980’s1990’s-起步阶段EDP审计《会计审计与计算机》发展阶段ISACA开始运作《IT审计标准》、CMM、ITIL普及阶段BS7799、COBIT、CMM、ITIL广泛应用计算机辅助审计IT审计标准初步形成IT审计标准不断细化7证券业IT审计的发展情况1991-20032004-20072008-电子信息核对•信息系统安全性、可靠性由信息技术部门自查•无IT审计的监管要求系统安全审计•《证券期货业信息安全保障管理暂行办法》•《证券公司集中交易安全管理技术指引》•对IT审计的实施频率无要求信息系统审计•《证券期货业信息技术治理工作指引》•《证券期货业信息系统安全检查贯彻落实指引》•明确规定IT审计每两年实施一次，开始出台明细的检查指引计算机辅助审计IT审计起步阶段IT审计发展阶段8IT审计及审计信息化建设介绍IT审计定义IT审计标准IT审计计划IT审计类型IT审计方法9招商证券稽核监察部业务组织架构企业业务目标•绩效考核指标IT目标•绩效考核指标IT流程•绩效考核指标IT控制活动10IT审计线与其他审计业务关系谁批准(A)谁执行（R)咨询谁（C)通知谁（I)RACI11IT审计业务线主要职责`职责的历年变化2000-20032004-20082009-2011经纪业务监控•IT审计•经纪业务监控•计算机辅助审计•IT审计•计算机辅助审计•审计信息系统建设与维护2012-•IT审计•审计信息系统建设与维护•远程审计12IT审计实务交流审计系统审计管理信息系统审计分析系统13IT审计类型关注信息系统规划的合理性、计划完成情况和实施有效性。例：信息系统规划评估信息系统规划审计关注对信息系统建设过程中的预算控制、需求分析、系统设计、开发测试、验收上线、配置管理、外包管理的效率和效果。例：信息系统开发控制审计、信息系统预算管理审计信息系统开发实施审计关注系统运营实施的上线管理、变更管理、日常维护、应急处理、灾备建设的效率和效果。例：总部机房运维季度审计，营业部机房运维审计信息系统运维审计关注业务应用系统的输入输出控制，关注数据的可靠性和系统功能的合规性。例：集中交易功能合规审计信息系统应用控制审计关注信息系统的机密性、完整性、可用性。例：网络安全审计，桌面终端管理安全审计信息系统安全审计14IT审计标准`行业信息技术标准：序号名称发布机构文号1互联网信息服务管理办法中华人民共和国国务院国务院令（第292号）2证券期货业信息安全保障管理暂行办法中国证券监督管理委员会证监信息字[2005]5号3互联网电子邮件服务管理办法中华人民共和国信息产业部信息产业部令第38号4证券公司集中交易安全管理技术指引中国证券业协会　5证券公司客户交易结算资金商业银行第三方存管技术指引中国证监会、中国银监会证监信息字[2007]10号6深圳证券交易所会员交易及相关系统管理指引深圳证券交易所深证会〔2007〕16号7信息安全等级保护管理办法公安部国家保密局国家密码管理局国务院信息工作办公室公通字[2007]43号8证券投资基金销售业务信息管理平台管理规定中国证券监督管理委员会证监基金字[2007]76号15IT审计标准序号名称发布机构文号9证券期货经营机构信息技术治理工作指引（试行）中国证券业协会中国期货业协会中证协发[2008]113号10上海证券交易所会员交易及相关系统技术管理实施细则上海证券交易所上证会字〔2008〕43号11证券期货业信息系统安全检查贯彻落实指引中国证券监督管理委员会12关于加强对投资者网上交易安全保护的通知中国证券监督管理委员会证监办发[2008]136号13证券营业部信息技术指引中国证券业协会中证协发[2009]154号14证券公司网上证券信息系统技术指引中国证券业协会　15网上基金销售信息系统技术指引中国证券业协会　16证券期货经营机构信息系统备份能力标准中国证券监督管理委员会证监会公告〔2011〕10号17证券期货业信息系统安全等级保护评测要求（试行）中国证券监督管理委员会证监会公告[2011]39号18内审具体准则-28号中国内部审计协会……16IT审计标准`公司内部标准序号制度名称1信息技术管理总则2信息技术管理委员会议事规则3信息系统变更管理规定4软件系统外包维护管理规定5电脑终端安全管理办法6机房运行环境管理作业指导书7营业部电脑维护岗管理办法……序号制度名称21网络建设和管理规定22机房建设和管理规定23中心机房出入管理规定24计算机系统数据备份管理规定……33电脑设备管理办法34手提电脑私有化管理办法35黑莓办公业务管理办法17IT审计标准`国标：`电子信息系统机房设计规范GB50174-2008`信息安全技术相关的国标（GB/T25058-2010信息系统安全等级保护实施指南等）`软件生存周期过程(GB/T8566-2007)`信息安全管理实用规则GB/T22081-2008`国际标准：`COBIT`COSO`SOX信息审计`ISACA信息系统审计准则`ISO27001/2`ITIL`CMM信息系统内控信息系统审计信息系统安全信息系统服务IT治理信息系统开发18COBIT简介`COBIT(ControlObjectivesforInformationandRelatedTechnology信息及相关技术控制目标)是由美国IT治理研究院最早于1996年制定的IT治理模型，目前已经更新至第4.1版。是信息风险控制方面公认的国际标准,也是SOX遵从工具。`COBIT的制订宗旨是跨越业务控制（businesscontrol）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。`COBIT以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动`适用于管理层，用户及审计人员`关注：效率、效果、机密、完整、可用、可靠、合规计划管理项目管理跟踪整改档案管理19COBIT简介（二）`计划与组织(PO)___计划`获取与实施(AI);——建设`交付与支持(DS):——运营`监控与评价(ME)——监控`4个管理域，34个管理目标，`200多个管理活动20COBIT简介（三）21COBIT的RACI关系（一）`RACI关系风险管理稽核矩阵管理知识库A-Accountable负责人批准者、审核人、失败后最终负责者R-Responsible责任人实际执行者C-Consulted被咨询者在采取决定行动之前，必须咨询或征询意见者I-Informed被通知者在采取决定/行动之后，被告知者COBIT中对企业通常的200多种IT活动定义了RACI关系参考。A、R岗位必须不能空A的岗位应该是非空且唯一的C是受影响人，是需要双向沟通的22COBIT的RACI关系（二）23COBIT在IT审计中的应用举例-RACI　　序号关键活动控制点负责人（A）责任人（R）PO1定义IT战略规划2建立IT战略规划CEOCIO3建立IT战术计划CIO项目管理官首席规划师4分析项目群投资组合，并管理项目和服务的投资组合CIO业务流程所有者IT开发总监IT运营总监DS8问题故障管理98解决、复原和关闭事件服务台和事件管理者IT运营总监IT开发总监服务台和事件管理者常见的问题是决策执行前未对必要的咨询者进行沟通。24COBIT在IT审计中的应用举例-成熟度PO1定义IT战略规划0级无级别*未实施IT战略规划*管理层未意识到IT战略规划需要支持业务目标在确保收益、成本和风险透明的同时，支持或扩大业务战略和治理需求1级初始级*IT管理层认识到IT战略规划需求*在响应特定业务需求时进行必要的IT规划。*IT战略规划偶尔在IT管理层的会议上讨论…2级可重复级*业务管理层在必要时才与IT管理层共同制定IT战略规划*IT规划在管理层要求下才做更新*战略决策依据逐个项目来驱动，且与企业的整体战略不一致*依靠直觉认定重点战略决策的风险及用户收益3级定义级*制定了何时及如何实施IT战略规划的政策*IT战略遵循员工都知晓的书面的结构化方法*IT战略规划的流程是合理的，也能保证规划工作的实施，但在具体实施过程中需要个别管理经理的判断力，且缺乏检查这些流程的方法*整个IT战略包括组织想作为创新者或追随者对风险的一致定义*IT财务、技术及HR策略对新产品和新技术获取的影响日益增加*在业务管理层的会议上讨论IT战略规划4级可管理级*IT战略规划的制定成为标准化活动，管理层可以注意到IT战略规划的例外情况*IT战略规划工作成为高层的明确职责*管理层可以监控IT战略规划流程，依据战略规划做决策并测量其有效性*制定长、短期IT计划并逐层向下分解，同时及时更新….5级优化级*IT战略已成为正式文件，而且是一个可以调整的过程*IT战略规划在业务目标的实现中得到持续重视，并通过对IT的投资来实现业务价值*在IT战略规划过程中，不断更新对IT风险和增加价值的考虑…25IT审计标准的选择选择原则：`监管部门的制度要求优先`监管部门未做明确要求或要求不具体的，选择国标做标准`国标的选择以其在行业内和国际上的应用程度和先进性为依据，并与被审计单位达成共识IT审计类型参照的主要审计标准信息系统规划审计COBIT信息系统开发实施审计《深圳辖区证券公司信息技术治理工作指引》、软件生存周期过程(GB/T8566-2007)、CMM信息系统运维审计《证券营业部信息技术指引》、《证券公司集中交易安全管理技术指引》、《证券期货经营机构信息系统备份能力标准》…信息系统应用控制审计《关于加强经纪业务管理的规定》、《证券公司信息隔离墙制度指引》等业务层面的监管规定信息系统安全审计《证券公司集中交易安全管理技术指引》、《证券公司网上证券信息系统技术指引》、《证券期货业信息系统安全检查贯彻落实指引》、《证券期货业信息系统安全等级保护评测要求（试行）》…26IT审计实施方式自做联合AB外包D咨询C27IT审计实施方式通用控制及管理知识信息技术知识信息系统规划审计信息系统开发审计应用系统控制审计信息系统安全审计信息系统运维审计高中低高中外包联合自做外包咨询28IT审计实施方式非信息技术人员也能开展信息系统审计工作`营业部信息系统运维审计主要为执行情况审计，依据《证券营业部信息技术指引》和公司内部IT运维制度开展符合性检查，简单培训即可上岗检查项目检查点检查内容检查资料检查方法基础设施与物理环境机房环境防水、防雷、防静电、防鼠、温湿度、违禁品……现场查看供电应急照明、专用供电线路、UPS配备和定期养护情况、UPS容量……机房建设图纸UPS养护记录现场查看、检查相关文档资料……………………安全保障网络通讯安全安全域划分、网络隔离、互联网接入、无线上网……现场查看应用系统安全服务器备份、应用软件安装、第三方接入第三方接入审批文件、测试记录现场查看、检查相关文档资料……………………系统运维运维操作数据备份、机房