it内部审计论文范例6篇

it内部审计论文范文1

【关键词】 IT审计； 财务共享服务模式； 大数据； 云会计

【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937（2016）24-0128-04

一、引言

财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式，目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值，其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下，集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来，统一交给财务共享中心进行处理[1]，实现了业务处理、数据存储的集中，同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”，包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险，依托大数据、云计算等信息新技术，通过对大数据进行采集、处理、分析以发现问题。

IT审计一直受到诸多学者的重视，曹立明[3]分析了IT审计本质、目标与方法，认为IT审计是会计信息化的内在要求，并对会计信息化IT审计的目标、内容和实施条件进行分析，最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例，在分析了广州地铁信息系统审计现状的基础上，构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手，对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险，并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。

综观上述文献，大多数文献都基于传统信息系统，并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代，财务共享服务模式成为大型集团企业的首要选择，其IT架构更多地运用到云计算技术，并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计，从数据的角度发现疑点，以减轻审计工作量，提高审计工作效率。有鉴于此，本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析，梳理其数据流程，在此基础上构建IT审计框架模型，并对其实施流程进行阐述。

二、大数据时代基于财务共享服务模式的IT审计框架

（一）财务共享服务模式下IT审计的特征分析

一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6]，审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征，其IT审计范围如图1所示。同时，三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。

1.组织层面的IT审计

组织层面的IT审计主要检查财务共享IT架构的设计是否合理，以及是否得到有效实施，其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰，即降低财务核算成本，其IT战略规划应当以实现该目标为前提，并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查，并对其实施的有效性进行审计。

2.一般控制层面的IT审计

一般控制层面的IT审计是为了确保IT系统运行的可持续性，能够为应用控制提供支撑，审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中，借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储，其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。

3.应用控制层面的IT审计

应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性，以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享，为财务核算系统提供数据支撑，其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。

（二）IT审计程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系统和技术控制目标，是一种用于“IT审计”的知识体系，由美国信息系统审计与控制协会（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性，因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别，在构建IT审计流程框架时应当充分考虑到这一点。

财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准，在IT审计过程中起着指导作用，包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程，如图2所示。

（三）IT审计数据流程框架

在财务共享服务模式的IT审计中，审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率，审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心，并建立IT审计知识库，帮助审计人员进行高效的IT审计。在审计过程中，审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注，通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后，可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库，形成IT审计的数据闭环，如图3所示。

三、大数据时代基于财务共享服务模式的IT审计流程

大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统，在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。

（一）制定审计目标

审计人员在进行财务共享服务模式下的IT审计时，应当充分考虑该模式下的特点，结合财务共享的IT战略规划，明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本，为了实现该目标，其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求，也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中，审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中，审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施；社会审计中，审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。

（二）风险评估

财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术，因此财务共享服务模式下IT审计的审计风险与以往所有差别，例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解，可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告，即IT审计指南中的IT技术可信评估。除了IT技术风险外，审计人员还应当充分考虑财务共享服务模式下独特的审计环境，结合财务共享服务模式下的业务流程再造，对财务共享中心内部控制制度建设情况进行评估，得出可能的其他审计风险以及风险发生的可能性，通过建立二维风险矩阵的方式对风险进行定性和定量的评估。

（三）制定审计计划

根据风险评估的结果，在考虑企业IT管理框架、人力资源配置等因素的基础上，审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点，分别制定总体审计计划和具体审计计划，包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是，财务共享服务模式下运用了大数据技术，传统审计手段很难进行有效的IT审计，应当在审计计划中明确使用大数据审计等审计手段。

（四）设计审计程序

财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用，审计人员可以通过大数据爬虫获取互联网数据，从财务共享数据中心获取集团大数据，然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析，实施审计程序。同时，审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目，辅助确定IT审计中的主要风险点。

1.IT管理层控制

审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷，向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈，以评价集团企业在财务共享服务模式下IT管理层控制的有效性。

2.IT一般控制

审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式，也可以直接通过第三方IT咨询机构获取企业IT技术评估报告，以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内，不需要整改。

3.IT应用控制

审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据，例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点，或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外，穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。

（五）执行审计程序

按照设计好的审计程序进行下一步工作，审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试，根据实际需求实施实质性程序，通过大数据审计、穿行测试等审计手段得出审计证据，并将从中得出的主要控制风险告之相关人员，记录测试和交流沟通的结果。

（六）形成审计意见，出具管理层建议

按照得到的审计证据，结合最初制定的审计目标得出最后的审计结果，并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议，在与管理层进行沟通后取得其对管理建议的相关回复。

出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识，完成审计大数据闭环。

四、结语

财务共享服务模式的建设需要大数据、云计算等技术支撑，但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析，以期对财务共享服务模式下的IT审计提供理论指导，帮助集团企业降低或规避其财务共享服务模式下的IT风险。

【参考文献】

[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学，2015（5）：160-163.

[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革，2014（2）：102-106.

[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师，2012（12）：108-113.

[4] 覃宪姬，陈瑜，佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计，2014（8）：62-69.

[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计，2013（12）：67-69.

[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计，2013（10）：63-65.

it内部审计论文范文2

［关键词］ it审计；挑战；策略

随着信息技术的兴起，信息系统已经渗透到社会生活的方方面面，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是一个不容回避的问题——我国企业如何有效地开展信息技术审计（information technology audit，以下简称it审计），保证信息系统安全，摆在我们面前。本文拟对此进行探讨。

一、it审计的定义及其特点

it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。由以上定义可知，it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到强化企业内部控制的目的。

该审计过程具有以下特点：

1.it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。

2.it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。

3.it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。

4.it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。

二、我国it审计面对的挑战

it审计和传统审计相比具有的上述特点是吸引我国众多企业引入it审计的重要原因，但是这种方法的应用又会给企业提出巨大的挑战。

1.传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸张记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。尽管许多审计机构要求已实现会计信息化的企业将所有原始凭证、记账凭证、账簿、报表打印输出，使用绕开计算机系统的审计方法，并以打印出的证、账、表作为基本审计的线索和依据。但是如果原始数据在业务发生时就被有意篡改，则其派生的记账凭证金额和账户余额及报表数据也一定会出错，打印出的数据也不能作为审计证据。因此即使打印出所有电子数据，传统审计线索也会在计算机信息系统下完全消失。

2.计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计的工作中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是企业计算机网络应用中的重大障碍和审计的首要问题。例如计算机病毒的破坏、黑客用 ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。

3.it审计专业人才匮乏，适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。

三、我国it审计应对策略

面对上述挑战，我们应当多方位、多角度制订措施，使it审计工作更好地为我国企业发展做出贡献。具体措施如下：

1.审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段，另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。

2.确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。

3.建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外我国可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训，并考虑在注册会计师的资格考试和审计师职称考试中逐步加入计算机、信息系统和网络技术等与信息系统审计有关的内容，以及加强对从事信息化咨询的it技术人员的会计与审计知识的培训。为了培养未来审计人员，应在高校会计、审计专业教学计划中增加信息技术和电子商务等内容，也可以考虑在高校中开设信息系统审计专业，直接培养信息系统审计专业人才。

当前我国it审计正处于起步阶段，和传统审计相比，it审计的显著特点决定了其势在必行，但是一种新的方法的引入和实施必定会给企业和审计人员带来巨大的挑战，面对种种挑战我们应采取积极措施，迎难而上，使it审计工作不断发展完善。

主要参考文献

［1］张茂燕． 论我国的信息系统审计［d］． 厦门:厦门大学，2005.

［2］陈朝.我国信息化建设中信息系统审计问题研究［d］．长春：东北师范大学， 2006.

［3］邓少灵． 企业it审计的框架［j］．中国审计，2002（1）.

［4］李健，朱锦淼，王晓兵． it审计——人民银行内审面临的新挑战［j］．金融理论与实践，2003（6）.

［5］李朝阳，胡昌振． 计算机审计系统的防护方法［j］．航空计算技术，2002（1）.

it内部审计论文范文3

摘 要 本文在分析商业银行实施信息技术审计的必要性的基础上，给出了信息技术审计的内涵，并结合笔者多年的银行信息技术审计工作的经验，提出了当前中国商业银行信息技术审计体系的框架，并对信息技术的一般控制审计及应用控制审计做了详尽阐述。

关键词 信息技术审计（ITA） 商业银行 审计体系

在现代金融系统中，商业银行扮演着极其重要的角色，而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用。在信息技术高速发展的今天，几乎每一个银行业务的处理都离不开信息系统，因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力，直接形成银行的核心竞争力。银行IT建设已经成为银行在市场竞争中的一项关键资源，因此对银行IT的风险控制与管理已经非常的重要，对商业银行的信息技术审计（ITA）提出新的要求。

一、商业银行IT审计的必要性

（一）IT审计是商业银行信息技术应用的必然结果

商业银行从最开始手工账务处理，到今天的信息技术覆盖到银行的方方面面。针对国内商业银行，据相关的数据统计，硬件网络平台已经实现了100%的应用，软件应用已经覆盖了80%以上的商业银行业务。从传统的手工处理，到今天的网上银行、手机银行等，商业银行对信息系统依赖性的日益增强，犯罪分子利用网络对银行信息系统攻击和破坏是益增多，必须要求对商业银行的信息基础建设及信息系统进行审计。

（二）IT审计是商业银行IT风险控制的必然要求

当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性，如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。国外相关统计数据表明，一些银行系统失效的风险损失占到总风险损失的10%-20%。如2009年1月下旬，某银行综合业务系统发生故障，造成综合业务系统故障时间约11个小时，导致整个银行不能对外营业，客户服务中断达4个小时，这种系统带来风险不仅给银行带来经济上的损失，而且直接关系到银行的声誉风险。

（三）IT审计既是银行信息化建设的必然保障，也有利于商业银行业务运营风险的防范

由于我国商业银行IT建设的起步较晚基础薄弱，同时在IT建设之初又缺乏系统、统一的规划，致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性，重复建设严重，数据不完整或难以统一，甚至系统建好后发现不能满足要求而闲置等垢病。IT审计可以从IT建设规划，IT组织架构等方面加以评价或监督，推动银行信息化建设环境的治理。另一方面，由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上，因此需要对信息系统的有效性进行评价，包括信息资产的保密性、完整性和可用性。

（四）IT审计也是商业银行审计发展的必然要求

随着信息技术在银行的应用，银行不实行IT审计，审计的内容不全面，审计风险也无法控制。而我国绝大多数银行现在IT审计都处于摸索试验的阶段，IT审计的基础相当薄弱，有些银行对IT风险监管缺乏独立性、系统性、全面性，这些都要求银行加快IT审计的步伐。

二、商业银行IT审计的内涵

到目前为止，国际上对IT审计定义也未形成统一标准的概念。一般来说国外的IT审计始于20世纪60年代的美国，从其发展历程来看，大概经历了三个阶段。最初是电子数据处理（EDP）审计，满足对财务电算化系统进行审计的需要，然后经历了以信息系统审计（ISA）为中心审计阶段，到今天逐渐形成独立的信息技术审计（ITA）。

而国内IT审计起步比较晚，还处于探索阶段，大家的认识也不统一，观念上仍存在若干模糊概念。纵观我国商业银行IT审计发展历程及做的IT审计项目，有以下几个方面特点：其一，认为IT审计就是对信息系统的审计（ISA），即对“计算机化的系统进行审计”，其审计对象、审计范围都有其局限性。其二，认为IT审计是审计人员利用计算机对财务数据进行审计，或者是等同于审计信息化，即运用IT手段或审计工具辅助传统审计或对传统审计进行深化。其三，将IT审计定义为IT运营环境的风险控制，包括IT基础环境安全、网络安全、信息安全等内容。在当前形势下，必须对IT审计形成一个统一、规范的认识，这才有利于IT审计工作的开展和IT风险的防范，也将为 IT审计形成行业规范和建立准则奠定基础。

综合众多观点以及IT审计在我国的实施情况，笔者结合多年在商业银行IT审计经验，认为IT审计（Information Technology Audit，简称ITA）是根据公认的标准和指导规范，对企业的信息技术应用和全体信息资产的安全、效率、潜在风险进行评价，从而保证整体IT资源能促进企业战略目标的实现，推动企业的可持续发展。商业银行的IT审计不仅是评价银行IT基础设施、系统稳定安全的运行，同时涵盖系统的建设、系统对业务的支持、以及IT环境建设及IT治理等方面。

三、商业银行中IT审计体系框架及主要内容

当银行业务的处理已经高度依赖于信息系统的稳定运行的今天，信息科技风险的防范，需要从一个更宏观的角度，对商业银行信息技术建立一个整体有效的监控体系。笔者结合多年商业银行IT审计的工作内容，以及对银行所面临的IT风险思考，提出商业银行IT审计体系框架应当是覆盖了银行IT的基础建设、保障、安全，信息系统整个生命周期中的全部活动和资源，以及信息系统的应用领域。与商业银行信息技术的建设不同，银行IT 审计更关注潜在可能风险、风险的规避、管理和控制等。其主要内容一般可以分为两个大的方面，即IT一般控制审计与IT应用控制审计。

（一）IT一般控制审计

IT一般控制审计主要包括以下几个方面的内容：IT环境治理的审计、IT基础建设的审计、IT系统开发建设过程的审计等。其具体的审计内容见表1：

（二）IT应用控制审计

IT应用控制审计可以分为两方面的内容：

1．信息系统审阅：审计人员参与到信息系统的整个开发过程，在系统的需求论证、系统的基本架构、系统与系统之间关系与影响、开发过程中对主要业务流程控制点、测试与交付等重大控制点发表自己独立专业的意见，为保证系统能满足业务要求和符合企业战略发展提供独立意见。

2．信息系统应用控制审计：审计人员应当对已开发的系统以第三方身份进行独立审计，尤其是对开发过程中无独立的风险部门参与实施的系统。信息系统应用控制审计的内容包括输入输出控制、计算的准确性、系统接口及数据转换的安全性与一致性、访问权限的控制与设计、系统流程对业务流程的表达与控制等，用来评价信息系统是否能准确的对业务提供支持，有效的防范操作风险，同时不产生额外的风险，并且随着业务的发展提出系统持续改进的意见。

四、结语

商业银行IT审计既是银行信息技术应用与审计发展到一定阶段的共同产物，同时也是银行控制自身风险的必然要求。中国商业银行实施IT审计任重而道远，这既有赖于中国商业银行IT治理环境与文化的建立，更有赖于中国IT审计人才的储备及成长，它不仅要求IT审计人员懂得IT技术本身，更应当懂得银行业务，同时还得有现代企业风险控制的意识。

参考文献：

[1]Ron Weber. Information Systems Control and Audit. Prentice Hall Inc. 1999.

[2]ISACA. Information System and Control Association. Review Technical Information Manual.

[3]胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考.科学管理研究.2008(9).

[4]王倩.浅谈商业银行IT审计发展对策.财经论坛.2008(3).

it内部审计论文范文4

一、引言

IT审计（Information Technology Audit）是信息技术应用于审计实务产生的新概念，人们对IT审计的理解是逐步深入的。我国国家审计中相对于IT审计的提法一般为计算机审计，自上世纪80年代以来的探索和实践过程中，也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓，国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为，结合我国国家审计的职能和特点，IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用，同时也是世界审计组织（INTOSAI）及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。

由于各国国家审计机关在IT审计的定位和侧重等方面存在差异，其组织形式和实施模式也不尽相同。世界审计组织（INTOSAI）认为IT审计是通过获得和评估证据，确定IT系统是否保护了组织的资产，有效率地使用资源，维持数据的安全性和一致性，以及有效地达到组织的业务目标的过程，这一定位得到了各国最高审计机关的普遍认同；国际信息系统审计与控制协会（ISACA）建立了普遍适用的信息系统审计标准、指南和流程，所的COBIT已经成为国际上公认最先进、最权威的信息技术控制框架；美国审计署（GAO）将信息系统审计作为IT审计的重点，在20__年2月的《联邦政府信息系统控制审计手册》中将信息系统审计的实施分为一般控制审计和应用控制审计两个部分；英国审计署（NAO）侧重于政府IT项目绩效审计，在20__年2月的绩效审计报告中对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。

二、我国现行国家IT审计架构及缺陷

随着信息技术在社会经济生活各个方面的广泛运用，为适应信息化环境的变化，我国国家IT审计从上世纪80年代末开始起步，从无到有、从单机到网络、从探索研究到逐渐普及，在多年的发展中逐步形成了一套具有本国特色的IT审计架构和工作模式。

（一）现行国家IT审计架构。

在法理基础方面，审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档，有权检查被审计单位的信息系统；《国家审计准则》也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定，在编制年度审计项目计划和审计实施方案，实施审计检查、获取审计证据，作出审计结论、出具审计报告等环节表现出鲜明的关注信息系统、突出信息技术的特色。

在组织结构方面，以审计署为例，已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设的格局，各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务，同时还要承担建设、开发、推广和维护审计信息系统，以及编制IT审计规范和组织IT培训考试等各项工作。

在工作模式方面，随着现场审计实施系统（AO）和审计管理系统（OA）的全面应用，国家IT审计逐步迈入一个新的发展阶段，初步形成了利用信息技术开展大型项目组织管理，运用审计软件实施现场审计，积极探索联网审计和信息系统审计，逐步推进审计数据资源建设的IT审计模式，审计信息化水平不断提高。

（二）国家IT审计中存在的问题。

由于组织结构和工作模式还不能完全适应工作需求，与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比，我国国家IT审计还存在以下不足：

1．审计业务与IT技术的结合不够紧密。

虽然计算机审计培训已开展多年，计算机审计技术也已在国家审计的各个行业、领域得到推广应用，但仍然较为普遍地存在审计业务部门过于依赖IT部门技术支持的现象，粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作往往过多地需要借助IT技术人员的参与，不仅不利于各行业、领域中审计业务与计算机技术的紧密结合，而且较易形成审计业务与计算机技术“两张皮”，阻碍了计算机审计技术在审计实务中的进一步深入应用。

2． IT审计部门的职能定位不够清晰。

与部分其他国家审计机关比较，目前我国审计机关还没有纯粹意义上的IT审计部门，IT部门的职能定位较为模糊。一般来说，审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能，凡是与信息技术相关的职能均由IT部门负责，因此不仅需要承担大量系统开发、维护和管理工作，还要投入精力开展计算机审计业务，IT业务需求与人力资源矛盾突出。同时，IT部门往往没有真正作为审计业务部门进行管理，在独立开展信息系统审计和IT绩效审计项目方面存在障碍，处于较为尴尬的局面。

3．信息系统审计和IT绩效审计起步较晚。

由于信息化程度的差别，美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟有效的组织方式和审计标准，同时由于掌握核心技术的IT公司为保持其垄断地位不会轻易公开其核心技术，审计人员对商业 银行、大型国企等单位所使用信息系统难以了解透彻；二是对IT项目投资的审计还仅仅停留在资金审计的层面，IT项目绩效尚未开始作为一个单独的审计类别进入国家审计的范围，也没有形成系统、科学的政府IT项目绩效评价指标体系。

三、国家IT审计架构探析

IT审计的职能来源于审计工作的实际需求。国家审计机关的法定职责是监督被审计单位财政、财务收支以及有关经济活动的真实性、合法性、效益性，保障国家经济和社会健康发展的工作目标。为了适应信息化环境下国家审计履行法定职责的需要，应当构建国家IT审计的体系架构。

（一）国家IT审计架构需求分析。

前述定义，IT审计是利用信息技术组织开展的审计。一方面，利用信息技术对以电子数据为载体的财政财务收支和相关经济活动的真实性、合法性、效益性进行审计监督;另一方面，需要对记录、处理和产生电子数据的信息系统内部控制进行检查，以确保电子数据的真实、完整和可靠。于是，总体来说IT审计架构可以划分为两大类，即：利用信息技术对记载财政财务收支和相关经济活动的电子数据的审计和利用信息技术对产生电子数据的信息系统内部控制的审计。

从国家审计履行法定职责的角度看，可先组织信息系统审计，检查信息系统内部控制对产生电子数据的真实、完整和可靠性的影响；再组织电子数据审计，检查财政财务收支和相关经济活动的真实性、合法性、效益性。通常情况下，也可交叉组织实施。

1．信息系统审计。

通常情况下，信息系统审计是实施电子数据审计的必要准备，属于结合电子数据审计的信息系统审计。但对于电子政务工程建设项目、企业ERP建设项目的审计，需要对项目建设的信息系统的规划、设计、研发、实施、运行、维护等全过程，对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分，进行全面审查。此时的信息系统审计并不结合电子数据审计，属于独立的信息系统审计。因此，信息系统审计可划分为结合式和独立式两种方式。

结合式的信息系统审计，其目标是检查信息系统内部控制对产生电子数据的数据风险，测评信息系统对数据的真实性、完整性和正确性的影响。由于数据式审计的运用一定是在信息化环境下，如同在纸质环境下一样，系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此，为了控制数据风险，保障审计目标的实现，审计人员应该首先要对信息系统的内部控制进行调查、测试和评价。

独立式的信息系统审计，其目标是检查项目建设的信息系统的安全性、可靠性和经济性。据有关统计数据，20__年我国政府行业IT应用建设投资总规模达707.5亿元，同比增长14.2%，相当于奥运全部场馆建设的3.6倍，超过三峡工程15年投入的三分之一。历年政府IT项目建设投入巨额资金后，是否存在重复建设、绩效低下的情况，以及电子政务建设在提高政府行政效能和公众服务能力方面的效果如何都亟待评估。因此，除了一般意义上对被审计单位的信息系统的安全、可靠、有效和效率等进行审计之外，对信息系统和IT项目的经济性和投资绩效也应纳入独立式信息系统审计的范畴。

2．电子数据审计。

电子数据审计是以系统内部控制测评为基础，通过对电子数据的收集、转换、整理、分析和验证，对信息系统产生的电子数据及其他相关数据所记载的经济业务的真实、合法和效益进行审计。审计人员利用信息技术对被审计单位的财务数据及其他相关数据进行检查是审计机关的一项重要职责，电子数据审计的审计目标和审计范围与传统手工审计是基本一致的，只是审计的对象、方法和技术发生了变化，主要是审计机关和被审计单位双方都利用计算机作为作业工具，即一方用计算机记录财务会计核算和经营管理数据，另一方用计算机进行审计。

电子数据审计作为传统手工审计在信息化环境下的自然演化，是目前使用最多、应用最广的IT审计形式。近年来，我国各级审计机关总结审计经验，组织开发了以现场审计实施系统（AO）为代表的一批审计软件，并注重在实践中予以修改完善。审计软件的广泛应用，改进了审计手段，提高了审计效率，加强了审计工作在信息化环境下的适应能力。

另外，作为“金审工程”重要建设成果的国家审计信息系统（GAIS）已经初具规模，随着现场审计实施系统（AO）、审计管理系统（OA）、审计数据中心、网络系统和安全系统等应用的不断深化，对审计机关所属机房、网络、网站和信息系统等基础设施的建设、运行与维护，以及为审计业务和审计管理工作提供技术支持提出了更高的要求。

（二）建立适应国家审计需求的IT审计架构。

结合我国国家IT审计的实际需求，审计机关应该具备相应的组织结构，形成有效的IT审计模式开展工作。

1．开展信息系统审计的IT架构。

无论是结合式还是独立式的信息系统审计，其审计对象是信息系统本身。信息系统审计的重点是检查信息系统对其产生数据的影响，或是信息系统自身的安全性、可靠性和经济性。结合式的信息系统审计，需要对信息系统承载的业务流、数据流的技术设计和技术路径，对数据的输入、处理和输出的内部控制和安全防护等进行检查，以测评系统内控对数据影响的风险; 独立式的信息系统审计，需要对信息系统的应用系统、信息资源、网络系统、安全系统、运行服务系统等各组成部分进行检查，以测评信息系统的安全性、可靠性和经济性。由于信息系统审计的特殊要求，需要具有一定IT审计知识和技能的IT审计部门进行检查测评。

由于结合式的信息系统审计需要对信息系统承载的业务流、数据流进行检查，对数据输入、处理和输出的业务流程进行检查，即便独立式的信息系统审计也要检查项目建设的业务目标和项目投资的经济性问题，需要审计业务部门的配合和支持。因此，信息系统审计的IT架构，需要IT审计部门和审计业务部门的共同合作。通常情况下，应该以IT审计部门为主，以审计业务部门为辅。

2．开展电子数据审计的IT架构。

电子数据审计的应用范围较为广泛，核心是通过分析被审计单位财务数据和其他相关数据并取得审计证据的技术。电子数据审计的重点应该是运用计算机技术对电子数据进行分析性复核、比较和抽样，无论是现场审计还是远程审计，无论是单机模式还是联网模式，无论是简单的比较分析还是相对复杂的数据仓库技术，无论是国内的AO还是国际上普遍使用的ACL、IDEA审计软件，共同点都是利用间接测试并从关系模型中得出审计证据。

运用计算机技术进行审计为查错纠弊带来了极大便利，很容易实现对某一类数据的查询和筛选，使手工审计条件下无法做到的详细审查成为可能，同时财务数据和业务数据的结合更便于发现被审计单位管理和经营方面的漏洞和舞弊行为。由于审计对象、环境、方法和技术的变化，一方面需要审计业务部门在掌握和运用各类审计业务的知识、技能的同时，也要掌握和运用计算机审计的知识和技能；另一方面，复杂业务的计算机审计处理依赖于信息技术的审计组织模式和管理模式的运用，需要IT审计部门的配合和支持。因此，电子数据审计的IT架构，需要审计业务部门和IT审计部门的共同合作。通常情况下，应该以审计业务部门为主，以IT审计 部门为辅。

四、进一步完善国家IT审计架构的几点建议

我国国家审计信息化建设正处于发展阶段，与先进国家的发展水平相比，IT审计架构还不够完善，审计理念还不够先进，在很多方面都需要借鉴国外的经验。但借鉴并不是原样照搬和全盘接受，而是应该根据自身的特点，对他国的先进经验进行批判地吸收。着眼于国家审计作为保障国家经济社会健康运行“免疫系统”的特殊定位，同时结合国家IT审计的现实情况和发展方向，国家IT审计架构应该根据工作需求进一步加以完善。

（一）逐步实现审计模式的转变。

随着计算机技术在审计实务中的广泛运用，国家审计环境、对象和方法的变化导致原有的审计模式已不再适应发展的要求，国家审计正在原有的基础上不断完善，逐步向高效率、高质量的方向发展。未来信息化审计模式的实现在很大程度上需要依赖信息技术，其与传统审计模式相比有如下特征：其一，它是一种以电子数据作为直接审计对象的数据式审计模式；其二，具有不间断性、循环性和实时性，这意味着审计活动将在一个更连续、更频繁和更及时的基础上实施；其三，可以经济地实现详细测试，在信息化环境下利用技术自动执行控制测试和风险评估的方法使得进行连续性测试成为可能。在这种情况下，计算机技术势必与传统审计的技术和方法高度融合，以计算机技术作为支撑的审计业务处理能力大大提高，信息化环境下审计模式的转变将是IT审计未来发展的必然趋势。

（二）逐步实现IT审计的专业化。

在IT审计部门的机构设置和职能定位方面，以美国审计署为例，不仅有专门的信息技术局开展信息系统审计业务，而且还有专门的信息系统与技术服务部门保障内部信息系统的运转，另外还设有技术工程和信息安全实验中心负责改善信息技术和促进软件工程现代化，评估联邦政府计算机系统的安全性。我国国家审计也应当根据实际需求进一步调整IT部门的职能定位，结合审计机关内设机构细分电子数据审计、信息系统审计、技术支持与服务等不同的机构和职能，进而逐步实现IT审计的专业化。

it内部审计论文范文5

内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会的内部审计第28号具体准则――信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。

关键词:内部控制 信息系统审计 信息技术一般性控制

美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。

中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。

信息技术一般性控制理论概述

(一)COBIT框架

美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯――奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。

COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。

COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。

(二)内部审计第28号具体准则――信息系统审计

“内部审计第28号具体准则――信息系统审计2”是2009年1月由中国内部审计协会实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。

(三)国内企业内部控制体系建设现状

继美国SOX法案颁布之后,财政部、证监会、审计署、银监会、保监会在此前的《企业内部控制基本规范》基础上,于今年联合了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。

国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。

信息技术一般性控制框架构建

在COBIT框架和内部审计第28号具体准则――信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:

程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。

程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。

程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。

系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。

最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。

根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。

程序和数据的访问的控制要求如表2所示。

程序变更管理的控制要求如表3所示:

程序开发的控制要求如表4所示。

系统运行的控制要求如表5所示。

最终用户计算的控制要求如表6所示。

信息技术一般性控制问题及改进措施

电信实施信息技术一般性控制以来,发现的主要问题主要有政策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。

政策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全政策、变更管理流程、信息系统开发方法与项目管理方法的政策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理政策及流程,如制定统一的信息安全政策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理政策和流程。

缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏独立于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。

缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。

异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。

总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。

参考文献:

it内部审计论文范文6

杭州帕拉迪网络科技有限公司（简称帕拉迪）从金融行业的实际信息安全需求出发，充分吸收近年来信息系统安全保障理论模型和技术架构（如IATF等），全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求，结合帕拉迪多年的攻击防护经验，为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等，为管理人员的运维和决策提供了有效的技术手段。

金融IT内部的运维风险

1. IT内部对服务器的维护和管理依赖于操作系统的口令认证，口令易被转授、窥探以及遗忘等弱点，以及授权不方便等问题造成管理困难，成本较高。

2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效地记录其操作过程和维护内容，核心机密数据容易泄露或遭到恶意破坏。

3. 研发部门在系统上线运行后，经常会通过普通的权限登录系统分析软件查看问题，从信息安全角度考虑，这些查询过程必须留有记录。

解决方案技术优势

1. 独创的数据库运维操作审计平台，覆盖主流商业数据库的企业应用和运维操作。

2. 支持RDP图形实时文字识别和文字提取功能。

3. 带来无缝应用的用户体验，所有应用均可本地化展示。

4. 提供文件传输内容审计记录。

5. 契合金融行业安全的三级会同功能（接入会同、密码会同、命令会同）。

解决方案部署收益

1. 规范运维管理。建立统一安全管理和综合审计平台，统一入口、统一认证、统一授权、统一审计；用户可以在平台上基于权限进行访问控制，提高了系统安全性，同时减轻了管理员工作压力，提高了工作效率，确保管理制度的顺利实施。