IT审计方案

1演讲人：黄旭普华永道--风险管理部IT审计的企业发展的重要性解读—如何更好地解决审计死角PwC目录1.IT审计的必要性解读22.IT审计的内容介绍123.CISA21保密材料，未经普华永道书面授权，请勿外传2IT审计的必要性解读1PwC大数据管理时代对审计提出新的要求4大数据时代对IT管理的推动：大数据管理的实施，让数据管理从成本中心转变为企业利润中心，也让IT人员从业务的旁观者迅速转变为业务的参与者和变革的主导者。示例：大数据管理下的市场偏好分析历年销量均值固定成本值上一年度单价变动成本均值消费者网上痕迹宏观经济数据市场最有效单价竞争对手偏好传统分析模式大数据管理分析新的IT审计要求数据清洗与集成数据存储成本优化数据治理构建大数据分析模型基于大数据下商业智能分析子集建设商业决策支持4PwC组织管理与规划基础环境与信息系统建设安全保障与风险控制发展环境保监发[2009]133号保险公司信息化工作管理指引信息科技治理信息科技风险管理信息安全、开发测试与维护、运行，业务连续性等外包、内审与外审的审计体系银监发[2009]19号商业银行信息科技风险管理指引监管法规的要求5安全管理总体要求基础设施与网络环境设备应用系统与数据安全信息化工作外包与采购服务保监发[2011]68号保险公司信息系统安全管理指引信息技术治理机房、网络、运维管理信息系统安全等级保护软件正版化网上信息系统、重要信息系统安全信息系统托管证监发[2016]25号证券期货业信息系统审计指南PwC第四部分其他核心机构•审计依据•审计步骤•规范审计的实施第五部分证券公司•审计依据•审计步骤•规范审计的实施第六部分基金管理公司•审计依据•审计步骤•规范审计的实施第七部分期货公司•审计依据•审计步骤•规范审计的实施第一部分证券交易所•审计依据•审计步骤•规范审计的实施第二部分期货交易所•审计依据•审计步骤•规范审计的实施第三部分证券登记结算机构•审计依据•审计步骤•规范审计的实施2016年11月8日，证监会发布实施《证券期货业信息系统审计指南》行业标准（证监发[2016]25号），旨在持续推进资本市场信息化建设工作，降低行业信息系统运行风险，提高行业运行效率，提升行业标准化水平。该指南包含7个卷宗，基金公司隶属于第六卷宗。证监发[2016]25号6PwCIT审计的挑战与主要风险新兴的信息技术与应用可以让企业用廉价的成本获得以往无法想象的高计算能力、高可用性、随随机应变的动态资源分配特性、更快的市场响应服务等技术价值。但是IT技术在企业管理中的广泛应用也给企业带来了新的技术风险。常见的风险与挑战外部数据存储风险核心业务流程外包合规风险移动数据与设备物理风险未经授权数据访问信息泄密风险云服务管理风险7PwCIT审计缺失下的风险案例8序号时间案例案例详述风险点12016年6月工银瑞信基金“老鼠仓”曝光据检方指控，2011年11月至2015年1月间，王勇担任基金的基金经理期间，利用掌握的有关投资决策、交易等方面的信息，违反规定，使用其实际控制的“王某”和“马某”的证券账户，先于或同期于基金账户组买入或卖出相同股票49只，买入金额共计1.48亿余元，卖出金额共计1.45亿余元，获利共计249万余元。前后四年时间，私自交易资金累计上亿元，这自然引发人们对工银瑞信基金公司风控疏漏的质疑。应用系统用户权限设置不当，致使业务人员权限和职责不相容。22016年6月上海晋兴资产陷4亿兑付危机于2015年初开始，总裁王某将公司的资金逐渐划转至其控制的其他公司及个人银行账户。合计资金约1.5亿元，造成公司资金链断裂，资产投资管理无法经营，理财产品无法兑现。目前，尚未兑付投资人有2000余人，未兑付金额达4亿余元。晋兴公司实际控制人王某不正常划转公司资金及将公司资金划至其控制的公司和个人银行账户的行为，已涉嫌违法犯罪。应用系统用户权限设置不当，致使管理人员权限和职责不相容。32016年6月东北特钢信用风险事件继续发酵，截至目前公司已有5只债券未能按期足额兑付6月6日，东北特殊钢集团有限责任公司公告称，公司2014年第一期非公开定向债务融资工具（债券简称：“14东特钢PPN001”）应于2016年6月6日兑付本息。截至到期兑付日日终，公司未能筹措足额偿债资金，“14东特钢PPN001”不能按期足额偿付本期利息，已构成实质性违约。在此之前，东北特钢已经连续曝出4次债券违约。据公开公告统计，自3月28日起，东北特钢先后已有“15东特钢CP001”、“15东特钢SCP001”、“13东特钢MTN2”、“15东特钢CP002”、“14东特钢PPN001”5只债券未能按期足额偿付，这5只债券发行规模分别为8亿元、10亿元、8亿元、7亿元、3亿元，共计36亿元。系统整合程度对业务支持不够，可能发生遗漏、不完整，无法对债券投资交易形成闭环式及时、全面的信息掌握，影响风控监督、投资评价甚至决策。PwCIT审计缺失下的风险案例9序号时间案例案例详述风险点92016年6月华协农业2000万私募债违约2015年5月，华协农业（834140）在甘肃股权交易中心发行2000万元私募债券（债券代码515013），发行期限为12个月，债券共分4期，每期500万元。按照约定，华协农业2015年私募债的到期日分别为2016年5月23日、5月30日、6月10日、6月20日。债券陆续到期后，华协农业不仅未能按时偿还，而且对此私募债相关信息亦未予及时披露。该笔私募债第一期于今年5月23日到期，但华协农业直至6月1日才对外披露相关信息。信息系统并未作出兑付危机预警，产品重复申购导致产品到期时，现金流不足，陷入兑付危机。102016年2月人人贷客户风险识别人人贷无法了解用户在P2P网络借贷公司是否申请了贷款，许多客户获得较高的贷款额度，就会在不同的平台上进行贷款，导致违约风险激增。IT系统无法实现信息共享，无法同其他平台以及银行的信息系统接轨，获取客户的风险信息。122015年6月亚泰国际应收账款的大幅增加不仅导致企业资金被大量占用，流动资金出现匮乏，甚至还引发了一系列诉讼案件财经报曾对亚泰国际优势业务占比不高、经营业绩下滑、出现资金困局、涉嫌粉饰业绩等问题进行了相应分析,而除了这些已分析过的问题，外界专家还发现公司应收账款也存在疑点,近年来持续大增导致资金紧张现象已成为公司不可回避的问题。作为即将上市的公司，亚泰国际应收账款增速变化反映出该公司很可能放宽了信用政策，通过刺激营业收入快速增加来“增肥”公司业绩。应收账款引发的一系列按键大多集中在要求亚泰国际支付材料款、货款的诉讼请求上，这说明亚泰国际存在着非常明显的财务危机。信息系统并未作出兑付危机预警，产品重复申购导致产品到期时，现金流不足，陷入兑付危机。IT审计的实施内容解读2PwCIT审计在企业运营管理中的职能企业IT基础架构IT公司层面控制IT 组织结构 公司企业组织结构新部门组织结构组织结构部门职能华为公司的组织结构组织结构部门职能 、IT战略规划、IT 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 和管理流程核心信息系统财务系统ERP系统生产系统人力资源系统OA系统CRM系统IT基础架构数据库操作系统网络IT审计职能：IT公司级控制IT应用控制(ITAC)IT一般性控制(ITGC)系统开发系统变更访问安全日常运维计算辅助审计(CAATs)11PwCIT审计内容介绍IT专项审计通常根据企业的需要，针对单个项目、事件或问题开展的审计，其涉及内容可能多种多样，主要包括：IT系统审计IT项目审计信息系统安全审计业务持续性审计网络边界审计物理风险审计网络安全审计12PwC决策支持系统实施项目专项审计数据分析模型专项审计与质量评估公司治理专项审计IT审计工作范围数据接口设计运行质量测试数据治理专项审计数据安全审计商业决策支持商业智能系统数据分析数据清洗与处理IT管理流程：IT审计人员工作范围：13PwCIT审计工作效用管理收益与价值IT审计人员承担的工作责任强化商业洞察力优化数据质量改善大数据存储成本降低数据风险建立复杂的数据分析模型支持商业决策获得竞争优势提升数据和信息价值数据接口审阅数据安全性审计数据治理专项审计分析模型评估决策支持系统审计公司治理专项审计14PwC审计人员的角色转变PWC审计人员角色转变与自身服务重新定位提供数据安全性支持企业治理和绩效管理为决策支持系统实施提供质量保证为数据质量提供鉴证优化数据 管理体系 怎么建立质量管理体系环保管理体系it运维服务管理体系质量体系程序文件项目安全生产管理体系 保证数据分析模型质量针对海量数据的安全分级与等保机制有效性进行审核，并对其运行作业合规性进行测试。对公司治理中涉及的数据管理机制运行有效性进行评估，协助管理层评测公司层对大数据时代响应策略有效性；基于数据分析和管理结果，从多个维度支持公司绩效评价体系科学性。协助IT部门、数据管理部门、管理层进行系统选型；执行核心信息系统实施专项审计，确保系统实施过程、结果满足公司需求。对数据模型与业务需求匹配程度进行评估，鉴别其是否满足公司业务作业对数据分析模型的需求和期望。对数据存储、计算成本支出有效性、合理性进行审核，提出改进意见，优化公司数据管理成本。对数据收集、清洗、归集各环节进行监控，确保数据完整性、准确性。15PwCIT审计案例说明—业务持续性系统（BCM）审计BCM系统审计项目开始系统风险评估业务影响分析业务持续性策略方案完善业务持续性流程测试培训合规业务跟踪PWC审计人员根据BCM系统的生命周期和实施方法，提供的审阅服务有：I.BCM系统流程梳理II.业务影响分析和风险测算III.BCM制定IV.BCM测试和演练V. 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 维护和更新VI.BCM培训16PwC业务持续性系统（BCM）审计中常见问题举例只针对重要业务系统制订了IT灾难恢复计划，没有制订业务恢复计划。一旦发生灾难事件，可能无法保证业务的及时恢复。灾难恢复计划和业务恢复计划已制订，但在制订过程中并未进行业务影响分析和风险评估，因而制订的计划可能无法满足业务恢复的需要。在选择恢复策略时未经过适当的成本效益分析，导致投资过多或不足。业务持续性计划没有经过测试，无法确保其在发生灾难事件时起作用有关流程负责人不清楚自己在BCM中的职责，或是在发生人员变更后，尚未进行适当的培训。企业在上次制定业务持续性计划后已经发生了业务变化或扩张（例如设立了新分支机构，实施了新的业务系统），而业务持续性计划并未得到及时更新。没有从战略角度建立BCM的制度和流程，使BCM融入企业的管理和文化之中，以便能够持续地完善。17CISA3PwCCISA-注册信息系统审计师自1978年以來，注册信息系统审计师（CISA）认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。CISAIT审计的专业标志企业追求的人才全球性的认证19PwCCISA在企业的角色信息系统的管理、规划和组织信息资产的保护技术构架和运营实务信息系统审计程序商业运营评估和风险管理灾难恢复和持续运营环境控制及物理访问的设计、实施和监控，保护信息资产的完整、机密和可用性，避免和/或减少潜在的损失，确保资产和设备的保护程度满足组织的商业目标。信息资产的保护确定备份和恢复规定的充分性，评估正常信息遇到短期中断和/或需要重运行或重处理时的再恢复的能力、商业连续性的能力，确保满足组织持续运营的目标。灾难恢复和持续运营评估组织风险管理和治理的程度，识别组织的重大风险，评估控制的设计和实施，确保风险在可接受的水平。商业运营评估和风险管理提供全面的IT审计支持评估信息系统的组织架构、战略及其开发、布置、维护的过程，确保符合机构的商业的目标；信息系统的管理、规划和组织确保系统软件和工具的开发/采购、实施和维护，硬件的采购、安装和维护，能够有效地支持组织的的商业需求并符合组织战略；确保IT资源的有效地利用，充分支持机构的运营目标。技术构架和运营实务依照公认的规范，制定和实施基于风险的审计战略和目标，以确保机构的信息技术和商业系统得到充分控制、监察和评估，并与机构的商业目标保持一致.；推动机构内的风险管理和控制实践的工作。信息系统审计程序20PwC解决企业IT审计的隐忧合规要求信息安全业务支持持续运营事先预防·滴水不漏21谢谢！