COBIT信息技术审计指南(34个控制目标)
计划和组织(选择3/6/11)
1 定义战略性的信息技术规划(PO1)PO域
控制的IT过程:
定义战略性的IT规划
满足的业务需求:
既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成
实现路线:
在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划
需要考虑的事项:
企业的业务发展战略
IT如何支持业务目标的明确定义
技术解决方案和当前基础设施的详细清单
追踪技术市场
适时的可行性研究和现实性检查
已有系统的评估
在风险、进入市场的时机、质量方面,企业所处的位置
需要高级管理层出钱、支持和必不可少的检查
信息规范 IT资源
P 效果 * 人员
S 效率 * 应用
保密 * 技术
完整 * 设施
可用 * 数据
遵从
可靠
1.1 作为机构长期和短期计划一部分的IT
高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应
确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期
计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。
1.2 IT 长期计划
IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关内外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采用一种结构化的方法,并建立一个标准的计划结构。
1.3 IT 长期计划编制——方法与结构
对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三
方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。
1.4 IT 长期计划的变更
IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。
1.5 IT 功能的短期计划编制
IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划内容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。
1.6 IT 计划的交流
管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。
1.7 IT 计划的监控和评估
管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。
1.8 现有系统的评估
在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。
对高级和详细的控制目标进行审计:
获得了解:
访谈:
首席执行官(CEO)
首席运营官(COO)
首席财务官(CFO)
首席信息官(CIO)
IT计划/指导委员会成员
IT高级管理层和人力服务职员
获得:
与计划编制过程想关联的政策和程序
高级管理层的指导角色和责任
机构的目标和长短期的计划
IT的目标和长短期的计划
状况的报告和计划/指导委员会的会议纪要
评估控制:
考虑是否:
IT或者业务的企业政策和程序选择了一种结构化的计划编制方法
方法到位,以便明确地表达并能够修改计划,起码它们要包括:
涉密计算机信息系统的安全审计 来源:CIO时代网 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况,就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据资源等进行监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要改进和加强的地方。 三、涉密信息系统安全审计包括的内容 《中华人民共和国计算机信息系统安全保护条例》中定义的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。涉密计算机信息系统(以下简称“涉密信息系统”)在《计算机信息系统保密管理暂行规定》中定义为:采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。所以针对涉密信息系统的安全审计的内容就应该
信息系统审计标准 S1-审计章程 导言 01 ISACA 标准和其它相关指南包含强制性的基本原则和重要程序(以粗体标出)。 02 制定信息系统审计标准的目的是就审计章程在审计程序中的运用制定和提供指南。 标准 03 信息系统审计职能或信息系统审计任务的目的、责任、授权方和义务应在审计章程或委托书中予以正确的登载。 04 审计章程或委托书应在组织内的适当层次得到同意和通过。 注释 05 对于内部信息系统审计职能,应为所有进行中的业务活动制定一份审计章程。审计章程应通过年度审查。如果责任发生变动或变化,则应缩短审查周期。内部信息系统审计师可用委托书来进一步澄清或确认参与特定的审计或非审计任务。外部信息系统审计师参与每项审计或非审计任务通常应当准备委托书。 06 审计章程或委托书应足够详细以便能表达审计功能或审计任务的目的、责任和限制。 07 审计章程或委托书应定期审查,以确保(审计的)目的和责任已经记录在案。 08 如需有关准备审计章程或委托书进一步的信息,应参考下列指南: 信息系统审计指南G5,审计章程 COBIT 框架,监控目标M4 实施日期 09 此ISACA 标准适用于所有信息系统的审计,于2005 年1 月1 日起(之后)实施。 信息系统(IS)审计的专业性和进行这类审计所需的技术,要求制定出专门适用于信息系统审计的标准。推进全球适用的标准以 实现这个目标是信息系统审计与控制协会(ISACA?)的宗旨之一。信息系统审计标准的发展和传播是ISACA 为审计业界作出专 业贡献的基础。信息系统审计标准的框架提供了多层次的指引: 标准为信息系统审计和报告定义了强制性的要求。它们宣告: –根据ISACA 职业道德规范中关于职业责任的规定,信息系统审计师的执行绩效所应达到的最低标准。 –管理层和其他利益方对执业者在专业工作上的期待。 –认证信息系统审计师(CISA?)资格持有人的相关特定要求。CISA 资格持有人未能遵守上述标准的可能会导致ISACA 董事会或相应ISACA 委员会对其进行调查直至最终的纪律处分。 指南为信息系统审计标准的实施提供了指引。信息系统审计师在标准的实施程序中应参考指南,同时作出职业判断,对背离 标准的做法应随时提供解释。信息系统审计指南的目标是为达到信息系统审计标准提供进一步信息。 程序为信息系统审计师提供审计项目中可以遵循的步骤范例。程序文件提供信息系统审计工作开展中如何达到相关标准的 信息,但并非硬性规定。信息系统审计程序的目标是为达到信息系统审计标准提供进一步信息。COBIT?资源应被当作最佳操作实施指南的来源。COBIT 框架强调,“保护企业的所有资产是管理层的责任,为履行这一责任以及 实现企业的期望,管理层必须建立起一套完善的内部监控体系。” COBIT 为信息系统管理环境提供了详细的监控和监控方法。
关于对商业银行开展信息系统审计的思考 现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。一、商业银行信息系统的特点、架构与一般业务流程(一)商业银行信息系统的特点现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。(二)商业银行信息系统的框架结构商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统
与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。(三)商业银行核心业务系统一般流程商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
能源审计基本知识 第一节能源审计的概念和特点 一、能源审计的概念 根据《企业能源审计技术通则》(GB/T17166—1997)的规定,能源审计是指:审计单位依据国家有关的节能法规和标准,对企业和其他用能单位能源利用的物理过程和财务过程进行的检验、核查和分析评价。 能源审计是对用能单位的能源利用和损失的综合调查,也是对用能单位能源情况进行全面的审查、统计、计量、计策、计算和评审.它是审计单位按照国家的能源政策、能源法规、法令,各种能源标准、技术评价指标,并结合现场设备测试,对企业、地方或部门能源生产、转换和消费的整个物理过程和财务过程进行的检验、核查和分析评价。 根据建设部《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计是指用能单位或主管部门自己或委托专业机构,根据国家有关节能法规和标准,对能源使用的物理过程和财务过程进行检测、核查、分析和评价并提出改进建议的活动。
二、能源审计的特点 不论是《企业能源审计技术通则》(GB/T17166—1997)的定义,还是《国家机关办公建筑和大型公共建筑能源审计导则》的定义,能源审计都具有如下的特点: (1)合法性和科学性。能源审计必须是“依据国家有关的节能法规和标准”进行,以保证审计工作的合法性、科学性; (2)客观性和独立性。能源审计作为审计的一个分支,也是一种科学管理的方法,具有很强的监督和管理作用。审计单位是由节能主管部门授权的、具有合法资格的审计机构,审计单位必须保证其在审计过程中的客观性、中立性、独立性,以确保审计工作的公平、公正。 (3)分项计量和独立核算。“用能单位”是指具有必需的能源计量及进行独立核算的单位,包括能源使用经济性的独立核算。这是进行能源设计的必要条件。 (4)物理过程审计.“物理过程"是指用效率、单耗、能源密度、能力等物理量表示的能源消费指标; (5)财务过程审计。“财务过程”是专指以用能单位经营活动中能源的收入、支出的财务账目
第1页(共3页) 管理学作业答题纸 管理信息系统作业02(第5-8单元)答题纸 学籍号:姓名:分数: 学习中心:专业:____________ 本次作业满分为100分。请将每道题的答案写在对应题目下方的横线上。 题目1 [50 分] 答:内部控制制度审计:为了保证信息系统能够安全可靠地运行,严格内部控制 制度十分必要,它可以保证数据功能所产生的信息具有正确性、完整性、及时性 和有效性。 应用程序审计:计算机应用程序审计是信息系统审计的重要内容,这是因为企业 处理经济业务的目的、原则和方法都体现在计算机程序之中,他们是否执行国家 的方针政策,是否执行财经纪律和制度也往往在应用程序中体现出来。 数据文件审计:数据文件审计包括由打印机打印出来的数据文件和存储在各种介 质之上的数据文件的审计,包括会计凭证、会计帐本和会计报表,需要通过信息 技术进行测试。主要包括三个方面: 测试信息系统数据文件安全控制的有效性; 测试信息系统数据文件安全控制的可靠性; 测试信息系统数据文件安全控制的真实性和准确性。 处理系统综合审计:对信息系统中的硬件功能、输入数据、程序和文件4个因素 进行综合的审计,以确定其可靠性和准确性。 系统开发审计: 指对信息系统开发过程进行审计。包括两个目的:一是要检查开发的方法和程序 是否科学合理,是否受到恰当的控制;
第2页(共3页)二是要检查开发过程中产生的系统资料和凭证是否符合规范。 题目2 [50 分] 答:(1) 模块 通常是指用一个名字就可以调用的一段程序语句为物理模块。 在模块结构图中,用长方形框表示一个模块,长方形中间标上能反映模块处理功 能的模块名字。 模块名通常由一个动词和一个作为宾语的名词组成。 (2) 调用 模块间用箭头线联接,箭尾表示调用模块,箭头表示被调用模块。箭尾菱形表示 有条件调用,弧形箭头表示循环调用。 调用关系有:直接调用、条件调用(判断调用)和循环调用(重复调用)。(3) 数据 模块之间数据的传递,使用与调用箭头平行的带空心圆的箭头表示,并在旁边标 上数据名。箭头方向表示数据传送方向。 (4) 控制信息 为了指导程序下一步的执行,模块间有时还必须传送某些控制信息,例如,数据 输入完成后给出的结束标志。 控制信息与数据的主要区别是前者只反映数据的某种状态,不必进行处理。在模 块结构图中,用带实心圆点的箭头表示控制信息。 其中专业理论知识内容包括:保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括:岗位操作指引、勤务技能、消防技能、军事技能。 二.培训的及要求培训目的 安全生产目标责任书
COBIT信息技术审计指南(34个控制目标) 计划和组织(选择3/6/11) 1 定义战略性的信息技术规划(PO1)PO域 控制的IT过程: 定义战略性的IT规划 满足的业务需求: 既要谋求信息技术机遇和IT业务需求的最佳平衡,又要确保其进一步地完成 实现路线: 在定期从事的战略规划编制过程中,要逐渐形成长期的计划,长期的计划应定期地转化成设置清晰并具体到短期目的的操作计划 需要考虑的事项: 企业的业务发展战略 IT如何支持业务目标的明确定义 技术解决方案和当前基础设施的详细清单 追踪技术市场 适时的可行性研究和现实性检查 已有系统的评估 在风险、进入市场的时机、质量方面,企业所处的位置 需要高级管理层出钱、支持和必不可少的检查 信息规 IT资源 P 效果 * 人员 S 效率 * 应用 * 技术 完整 * 设施 可用 * 数据 遵从 可靠 1.1 作为机构长期和短期计划一部分的IT 高级管理层对开发和实施履行机构任务和目标的长期和短期的计划负责。在这一方面,高级管理层应 确保IT有关事项以及机遇被适当地评估,并将结果反映到机构的长期和短期计划之中。IT的长期、短期 计划应被开发,确保IT的运用同机构的使命与业务发展战略相结合。 1.2 IT 长期计划 IT管理层和业务过程的所有者要对有规律地开发支持机构总体使命和目的实现的IT长期计划负责。计划编制的方法应包括寻求来自受IT战略计划影响的相关外部利害关系人引入的机制。相应地,管理层应执行一个长期计划的编制过程,采
用一种结构化的方法,并建立一个标准的计划结构。 1.3 IT 长期计划编制——方法与结构 对于长期计划的编制过程来讲,IT管理层和业务过程的所有者应建立并采用一种结构化的方法。这样可以制定出高质量的计划,含盖什么、谁、怎样、什么时间和为什么等基本的问题。IT计划的编制过程应考虑风险评估的结果,包括业务、环境、技术和人力资源的风险。计划编制期间,需要考虑和充分投入的方面包括:机构的模式及其变化、地理的分布、技术的发展、成本、法律法规的要求、第三方或市场的要求、规划远景、业务过程再造、员工的安置、自行开发或者外包、数据、应用系统和技术体系结构。已做出选择的好处应被明确地确定下来。IT 长期和短期计划应使绩效指标和目标合并在一起。计划本身还应参考其它的计划,比如机构的质量计划和信息风险管理计划。 1.4 IT 长期计划的变更 IT管理层和业务过程所有者应确保及时、准确地修改IT长期计划的过程的到位,以适应机构长期计划的变化和IT环境的变化。管理层应建立一个IT长期和短期计划开发和维护所需要的政策。 1.5 IT 功能的短期计划编制 IT管理层和业务过程的所有者应确保IT长期计划有规律地转换成IT短期计划。这样的短期计划应确保适当的IT功能资源以与IT长期计划容相一致的基础上来分配。短期计划应定期地进行再评估,并被作为适应正在变化的业务和IT环境所必须的事项而改进。可行性研究的及时执行应确保短期计划的实行是被充分地启动的。 1.6 IT 计划的交流 管理层应确保IT长期和短期计划同业务过程所有者以及跨越机构的其他相关部门人员的充分沟通。 1.7 IT 计划的监控和评估 管理层应建立一个流程,获取和报告来自业务过程所有者和用户有关长期和短期计划的质量及有效性的反馈。获取的反馈应予以评估,并在将来的IT计划编制中加以考虑。 1.8 现有系统的评估 在开发或变更战略规划或长期计划、IT计划之前,IT管理层应按照业务自动化的程度、功能性、稳定性、复杂性、成本、优势和劣势,评估现有信息系统,以确定现有系统支持机构业务需求的程度。 对高级和详细的控制目标进行审计: 获得了解: 访谈:
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水
平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
认证认可基本常识 1、什么是认证? 认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 2、什么是认可? 认可是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。 3、常见的认证包括哪些? 认证通常分为产品、服务和管理体系认证。大家较为熟悉的CCC认证就是强制性产品认证。而体系认证包括:以ISO9001标准为依据开展的质量管理体系认证;以ISO14001标准为依据开展的环境管理体系认证;以GB/T28001标准为依据开展的职业健康安全管理体系认证;食品安全管理体系认证(HACCP)认证等。还有以体育场所服务标志为依据开展的体育服务认证等。 4、什么是强制性产品认证? 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制
性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。 5、管理体系认证的分类 管理体系认证又分为质量管理体系、环境管理体系,职业健康安全管理体系,测量管理体系,以及良好农业规范(GAP)、良好性规范(GMP)危害分析与关键控制点体系(HACCP)等。 6、产品认证的分类 产品认证分为自愿性产品认证和强制性产品认证两类。 强制性产品认证,又称CCC认证,是中国政府为保护广大消费者的人身健康和安全,保护环境、保护国家安全,依照法律法规实施的一种产品评价制度,它要求产品必须符合国家标准和相关技术规范。强制性产品认证,通过制定强制性产品认证的产品目录和强制性产品认证实施规则,对列入《目录》中的产品实施强制性的检测和工厂检查。凡列入强制性产品认证目录内的产品,没有获得指定认证机构颁发的认证证书,没有按规定加施认证标志,一律不得出厂、销售、进口或者在其他经营活动中使用。
信息系统安全审计管理制度 第一章工作职责安排 第一条安全审计员职责 1.制定信息安全审计的范围和曰程; 2.管理详尽的审计过程; 3.分析审计结果并提出对信息安全管理体系的改进意见; 4.召开审计启动会议和审计总结会议; 5.向主管领导汇报审计的结果及建议; 6.为相关人员提供审计培训。 第二条评审员甶审计负责人指派,协助主评审员进行评审,其职责是: 1.准备审计清单; 2.实施审计过程; 3.完成审计拫告; 4.提交纠正和预防措施建议; 5.审查纠正和预防措施的执行情况。 第三条受审员来自相关部门 1.配合评审员的审计工作; 2.落实纠正和预防措施; 3.提交纠正和预防措施的实施报告。 第二章审计计划的制订 第四条审计计划应包括以下内容:
1.审计的目的; 2.审计的范围; 3.审计的准则; 4.审计的时间; 5.主要参与人员及分工情况。 第五条制定审计计划应考虑以下因素: 1.每年应进行至少一次涵盖所有部门的审计; 2.当进行巨大变更后(如架抅、业务方向等),需要进行一次涵盖所有部门的审计。 第三草安全审计实施 第六条审计的准备 1 .评审员需事先了解审计范围相关的安全策略、标准和程序; 2.准备审计清单,其内容主要包括: (1)需要访问的人员和调查的问题; (2)需要查看的文档和记录(包括日志); (3)需要现场查看的安全控制措施。 第七条在进行实际审计前,召开启动会议,其内容主要包括: 1,评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明(例如:限制可访问的人员、可调查的系统等); 2.向受审员说明审计通过抽查的方式来进行。
《中华人民共和国节约能源法》全国知识竞赛参考答案 上海节能减排机制法律政策研究中心莫神星 《人民日报》(2008年6月16日14 版) 一、选择题 1.《中华人民共和国节约能源法》(以下简称《节约能源法》)由第十届全国人民代表大会常务委员会第三十次会议修订通过,自_______________起施行。D A.1998年1月1日 B.2007年10月28日 C.2008年1月1日 D.2008年4月1日 2.《节约能源法》所称能源,是指_______________和电力、热力以及其他直接或者通过加工、转换而取得有用能的各种资源。A A.煤炭、石油、天然气、生物质能 B.太阳能、风能 C.煤炭、水电、核能 D.可再生能源和新能源 3.《节约能源法》所指节约能源,是指加强用能管理,采取技术上可行、经济上合理以及环境和社会可以承受的措施,从能源_______________,降低消耗、减少损失和污染物排放、制止浪费,有效、合理地利用能源。 A.生产到使用的各个环节 B.开采到消费的各个环节 C.消费到回收的各个环节 D.生产到消费的各个环节D 4.国家实行有利于节能和环境保护的产业政策,_______________,发展节能环保型产业。 A.鼓励发展重化工业 B.鼓励发展第三产业 C.限制发展高耗能、资源性行业
D.限制发展高耗能、高污染行业D 5.国务院和省、自治区、直辖市人民政府应当加强节能工作,合理调整产业结构、企业结构、产品结构和能源消费结构,推动企业_______________,淘汰落后的生产能力,改进能源的开发、加工、转换、输送、储存和供应,提高能源利用效率。 A.实行节能目标责任制 B.实行节能考核评价制度 C.实行能源效率标识管理 D.降低单位产值能耗和单位产品能耗D 6.国家开展节能宣传和教育,将节能知识纳入国民教育和培训体系,普及节能科学知识,增强全民的节能意识,提倡_______________的消费方式。C A.清洁型 B.循环型 C.节约型 D.环保型 7.节约资源是我国的基本国策。国家实施_______________的能源发展战略。 A.开发为主,合理利用D B.利用为主,加强开发 C.开发与节约并举,把开发放在首位 D.节约与开发并举,把节约放在首位 8.国务院_______________主管全国的节能监督管理工作,国务院有关部门在各自的职责范围内负责节能监督管理工作,并接受国务院管理节能工作的部门的指导。 A.国家能源局 B.国家环境保护部 C.工业信息化部 D.管理节能工作的部门D 9.国务院和县级以上地方各级人民政府每年向本级_______________报告节能工作。 A.人民代表大会或者其常务委员会
基于CobiT的信息系统内部控制及审计 随着计算机技术和网络技术的迅猛发展,企业高度依赖于信息系统来加强管理、提高效率,改进服务。会计电算化、电子商务(EC)、管理信息系统(MIS)、企业资源计划(ERP)的逐步实施与普及应用,使企业面临着前所未有的信息风险,信息系统的安全、可靠、效率也日益重要。 基于信息系统的重要性及IT挑战,产生了对信息系统进行控制和审计的需求,即信息系统内部控制和信息系统审计。面对信息系统审计具有的专业性、技术性和复杂性,信息系统审计与控制协会(ISACA)的IT治理学会(ITGI)制定出了专门适用于信息系统控制和审计的标准---CobiT,即信息及相关技术控制目标。这样以CobiT为基础进行信息系统控制和审计成为了可能。 一、信息系统内部控制、审计的理论框架 企业IT控制是企业内部控制的控制环境要素在受到IT广泛应用的影响之下而逐渐形成并发展的。IT控制所关注的对象是企业IT资产的整个运维状况,它与整个企业的内部控制应该是子集与全集的关系。COSO通常作为企业的整体内部控制框架,CobiT则是通用的IT控制框架。COSO框架已广为人知,在此主要介绍CobiT理论框架。 1、CobiT简介 CobiT---信息及相关技术控制目标,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准,目前已经更新至第四版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。CobiT将IT过程、IT资源及信息准则与企业的策略与目标联系起来,形成一个三维的体系结构(图1)。其中,信息准则维集中反映了企业使用IT的战略目标,包括信息技术应用的有效性、效率性、保密性、完整性、可用性、符合性、可靠性等7方面。IT资源维描述了IT治理过程的主要对象,有人员、基础设施、信息、应用系统等4类。IT过程维是对信息及相关资源进行规划与处理的过程,从信息系统生命周期的4个域确定了3 4个信息技术处理过程,每个处理过程包括详细的控制目标(215个)和与控制目标相联系的审计指南。CobiT框架从整体上把企业对IT标准的要求和对IT资源的需求紧密地融入到各个IT过程中。从CobiT的组成成分来看,不仅有管理指南,更有审计指南和具体的控制目标。管理指南提供了管理工具,对IT业务活动进行有效控制,以使IT与业务活动保持一致,并通过传送组织所需信息而使业务活动得以进行。管理指南给出了度量信息系统全生命周期各过程安全、可
商业银行信息系统审计 [摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。 [关键词]信息系统审计;商业银行;信息化 在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。 一、信息系统审计的概念及其对商业银行审计的影响 1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。 审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。 1.对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是
广东环境保护工程职业学院Guangdong Vocational College of Environmental Protection Engineering 能源审计报告 Energy Audit Report 2014年12月31日 仲彪节能科技有限公司
目录 第一章能源审计概况...................................................................... - 1 - 1.1 审计目的............................................................................. - 1 - 1.2 审计依据............................................................................. - 2 - 1.3 审计内容............................................................................. - 3 - 1.4 审计团队............................................................................. - 4 -第二章建筑及用能系统概况 ............................................................ - 1 - 2.1建筑概况 ............................................................................. - 1 - 2.2用能系统情况 ....................................................................... - 1 - 2.3主要用能设备清单................................................................. - 1 - 2.4用电分项计量监测系统........................................................... - 2 -第三章建筑物能源管理................................................................... - 3 - 3.1建筑物能源管理机构.............................................................. - 3 - 3.2建筑物能源管理现状.............................................................. - 3 -第四章建筑能耗分析 ....................................................................... - 1 - 4.1能耗评价指标的构成简介.................................. 错误!未定义书签。 4.2基于现场巡视和文件审查的节能评价........................................ - 1 - 4.3基于能源账单数据的分析.................................. 错误!未定义书签。 4.3.1建筑能耗总量情况......................................................... - 1 - 4.3.2常规能耗、特殊区域能耗和水耗指标.......... 错误!未定义书签。 4.3.3能源费账单分析...................................... 错误!未定义书签。
目前商业银行审计需解决的几个难点问题 近年来,随着商业银行审计由财务收支审计发展到“风险、管理、效益”审计,实际工作中遇到许多难点问题,需要加以研究和解决。 一、商业银行审计需解决的难点问题 (一)商业银行案件频发,审计力量不足,审计风险不断加大 一方面,商业银行案件频发,经营风险巨大。商业银行与社会各领域联系广泛,是一个高风险的行业。近年来在审计中发现,不法分子时刻关注商业银行管理漏洞进行金融诈骗活动,或与银行员工内外勾结联手作案,如诈骗贷款、挪用客户存款和伪造票据等重大案件时有发生。在审计工作中,尽管审计人员实施了必要的审计程序和审计方法,但仍然存在较大的审计风险。另一方面,审计机关整体力量不足,审计时间有限,违规问题未能发现和披露的潜在风险较大。一般对省级分行系统审计由十几名审计人员在几个月时间内完成,面对商业银行众多的分支机构、大量数据和资料,存在应发现而未发现重大违法违纪问题或典型性、倾向性问题的情况,使商业银行审计面临较大风险。 (二)商业银行业务复杂,不断扩展和创新,给审计工作带来新的挑战 近年来,对商业银行审计采取轮流的方式进行,几年循环一次,审计人员很难全面掌握各商业银行内部经营管理等情况。加之商业银行
不断推出新业务,现有审计人员专业素质、知识结构不能完全适应审计发展的需要。目前,审计机关中既有较高的金融知识水平,又有多年金融审计工作经验的人员所占比例很小。部分从事金融审计的人员,虽然具有长期从事金融审计工作的经验,但对金融新业务了解不多,只能对商业银行财务收支或原有业务进行审计,对其不断出现的新业务无法开展审计。 (三)审计技术方法滞后于金融业信息化的步伐,难以满足审计发展的需要 商业银行审计的目标是防范风险、促进管理、提高效益,要实现这一目标,就需要审计人员对商业银行进行全面了解和审计,做出客观公正的评价。而面对商业银行庞大的金融数据,传统的审计方法已经不能适应信息化审计发展的需求。目前,虽然开展了计算机辅助审计,但审计软件技术开发很慢,同商业银行的数据接口没有实现,对后台数据的下载速度慢,影响了审计的效率。在实际工作中,由于商业银行机构庞大、点多面广,审计机关不能对其进行全面审计,只能选择部分分支机构进行抽查,且在审计中,判断抽样贯穿审计过程的始终,这样就可能以偏概全,做出错误的审计评价。如,在审计报告中,对商业银行某项业务或某一方面工作进行审计评价时,很难做出“符合”、“基本符合”、“不符合”的评价。即使是“基本符合”的评价,也存在较大的审计风险。 (四)商业银行与审计机关信息不对称,且存在向审计机关提供虚假信息的问题
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
能源管理体系基础知识 1、依据GB/T19011-2013标准中( A )的要求,应为每次审核确定审核目标、范围和准则5.1 A.审核方案 B审核计划 C审核报告 D审核实施 2、依据GB/T19011-2013标准的要求,针对向导和观察员,以下错误的是( D )6.4.5 A.他们可以陪同审核组 B.他们不应影响或干扰审核的进行 C.审核组长有权拒绝观察员参加特定的审核活动 D.他们可以代表受审核方对审核进行见证 3、根据GB/T19011-2013标准的要求,风险是指(C)3.16 A.审核不规范给认证机构可能带来的信誉和经济上的损失 B.审核过程中审核员可能受到的意外伤害 C.不确定性对目标的影响 D.审核通不过可能给申请认证的组织带来的损失 4、能源管理过程中PDCA中的“C”可以理解为(D)引言 A.实施能源评审 B.实行能源管理实施方案 C.改进能源管理体系 D.对运行的关键特性和过程继续监视和测量 5、对能源基准理解错误的是(B)3.6 A.反映的是特定时间段的能源状况 B.定量或不定量 C.采用影响能源使用、能源消耗的变量来规范 D.能源绩效改进方案实施前后的参照来计算节能量 6、能源消耗的含义是(A)3.7 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应、能源利用有关的活动及其结果 D.使用能源的方式 7、能源绩效参数的含义是(B)3.13 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应,能源利用有关的活动及其结果 D.使用能源的方式 8.能源服务的含义是(C)3.16 A.使用能源的量 B.由组织确定,可量化能源绩效的数值或量度 C.与能源供应、能源利用有关的活动及其结果 D.使用能源的方式 9.能源使用的含义是(D)3.18 A. 使用能源的量 B. 由组织确定,可量化能源绩效的数值或量度 C. 与能源供应、能源利用有关的活动及其结果 D.使用能源的方式和种类 10.(A)负责确定能源管理体系的范围和边界4.2.1 A.最高管理者 B.管理者代表 C.当地政府 D.以上都对 11.依据CNAS-CC01:2011,以下哪项不属于认证机构对客户做出的与认证有关的决定(D)5.1.3 A.授予证书 B.保持证书 C.更新、扩大、缩小、暂停和撤销证书 D.特殊审核通知 12.第三方认证,监督审核的目的(A) A.是确定体系是否持续满足要求,是否保持认证注册 B.是确定是否采取纠正措施、预防措施