IT审计规范体系简介

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,China Construction Bank. |,*,China Construction Bank. |,1,IT,审计,China Construction Bank. |,2,提纲,I,T,审计概要,COBIT,简介,IT,审计的实施策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,3,提纲,I,T,审计概要,COBIT,简介,IT,审计的实施策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,4,IT,审计概要,先从一个,IT,审计的实例说起：网上银行审计,在提交的审计报告中，委托方期望的或我们应该回答如下问题：,各种交易的账务处理是否准确？,是否能够满足业务需求？,是否能够对业务需求的变化及时响应，以支持公司的战略目标？,系统可靠吗，是否能够为用户提供持续的服务？,系统安全吗，是否能够抵御病毒、木马以及黑客的攻击？,系统保密吗，敏感信息会被非法访问吗？,IT,投资合理吗，是否得到应有的回报？,交易和处理方式符合相关的法律法规吗？,怎样才可以做的更好？,China Construction Bank. |,5,IT,审计概要,上述这些问题，对应了,IT,审计的三个发展阶段，或,IT,审计三个层面的职能,EDP,审计,电子数据处理审计，附属于传统的财务审计，关注财务信息电子化处理过程的正确性和完整性,鉴证审计（,ASSURANCE,）,信息系统安全性、可靠性、有效性的测试和评价,咨询审计,IT,治理结构和管理流程的改进,China Construction Bank. |,6,IT,审计概要,要实施网上银行的审计，回答委托方关注的问题，必然涉及：,网上银行相关的设施,网上银行应用系统,周边的应用系统，如账务系统、贷款系统、信用卡系统,信息流量,数据库,网络,主机,China Construction Bank. |,7,IT,审计概要,要实施网上银行的审计，回答委托方关注的问题，必然涉及：,IT,管理,规划管理,业务需求管理,架构管理,系统开发,采购管理,运维管理,人力资源管理,China Construction Bank. |,8,IT,审计概要,系统不是孤立的,管理不是孤立的,审计项目无法达成预期的目标,审计项目的延期,如果没有统一的规划,China Construction Bank. |,9,提纲,I,T,审计概要,COBIT,简介,IT,审计的实施策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,10,什么是,COBIT,缩略语,COBIT,的全称是,“,Control Objectives for Information and related Technology,”,，信息及相关技术控制目标,COBIT,是一个,IT,治理和控制框架，它主要关注于,“,需要实现什么,”,而不是,“,如何实现,”,China Construction Bank. |,11,COBIT,使命,研究、制定、发布及促进一个权威性的、最新的、国际公认的,IT,治理控制框架，该框架可用于企业的业务管理人员、,IT,专家及质量保证专员的日常工作。,China Construction Bank. |,12,COBIT,发展历史,COBIT,最初以手册的形式发布，,3.0,版以后开始提供在线,PDF,免费用于非商业目的,COBIT,源于,COSO,内部控制框架、最初的,ISACA,控制目标和超过,50,个,IT,标准及最佳实践,COBIT,在业务控制模型和,IT,最佳实践之间架起了一座桥梁，并为,IT,治理提供模型,China Construction Bank. |,13,COBIT,框架的前提,COBIT,框架是基于这样一个假定：,IT,需要交付实现企业目标所需的信息。,COBIT,框架通过关注业务的信息需求、组织,IT,资源来帮助,IT,与业务保持一致,COBIT,也为实施,IT,治理提供框架和指南,China Construction Bank. |,14,COBIT,框架基本原理,为提供企业实现其目标所需的信息，企业需要采用一系列结构化的流程来投资、管理和控制,IT,资源以向企业提供服务并交付所需信息,管理和控制信息是,COBIT,框架的核心，它有助于确保,IT,与业务保持一致,China Construction Bank. |,15,COBIT,立方体,COBIT,框架的三个基本组件：,IT,流程、,IT,资源和业务需求（信息标准），,合在一起就构成了,COBIT,立方体,China Construction Bank. |,16,COBIT,立方体, IT,流程,COBIT,使用流程把常见的,IT,活动组合在一个流程模型中，以帮助管理,IT,资源来响应业务需求,共有,34,个,IT,流程，分为四类定义为四个领域，每一个流程又可细分为组织中的活动和任务,China Construction Bank. |,17,COBIT,的四个领域,COBIT,在四个域内将,IT,活动定义为过程模型，这些域映射到传统,IT,职责域：计划、建设、运行和监控,规划划与组织,(PO),：为提供解决方案,(AI),和提供服务,(DS),落实方针,获取与实施,(AI),：提供解决方案并将其转化成为服务,交付与支持,(DS),：接受解决方案使之为最终用户所用,监控与评价,(ME),：监控所有流程确保遵循既定方针,China Construction Bank. |,18,PO,计划与组织,该域涵盖了战略和战术，致力于识别,IT,为实现业务目标作出最佳贡献的途径。实现战略愿景需要计划、沟通并管理不同的工作设想，并落实适当的组织结构及技术基础设施。,IT,战略与业务战略是否一致,?,企业是否实现了对资源的最佳利用,?,组织中每一位成员是否理解,IT,目标,?,是否理解,IT,风险并加以妥善管理,?,IT,质量能否满足业务需求,?,China Construction Bank. |,19,AI,获取与实施,为实现,IT,战略，应识别、开发,/,采购、实施,IT,解决方案并将其整合到业务流程中。此外，该域还涵盖了现有系统的变更与维护以确保持续满足业务目标。该域主要阐述下列管理问题：,新项目所提供的解决方案是否满足业务需求,?,新项目是否在预算内按时交付,?,新系统上线后能否按预期运行,?,变更实施是否未影响当前的业务运行,?,China Construction Bank. |,20,DS,交付与支持,这一领域主要关注所需服务的实际交付情况，包括服务交付、安全和持续性管理、用户服务支持、数据和操作设施管理。该领域主要阐述下列管理问题：,是否按照业务的优先级交付,IT,服务,?,是否优化,IT,成本,?,员工是否能有效和安全地使用,IT,系统？,是否充分落实信息安全的机密性、完整性、可用性,?,China Construction Bank. |,21,ME,监督与评价,应定期评估所有,IT,流程质量以及与控制要求的符合程度。该域涉及绩效管理、内部控制监督、合规和治理等，主要阐述下列管理问题：,IT,绩效测评能否及时检查出问题,?,管理层是否确保内部控制的效果和效率,?,IT,绩效是否能回溯到业务目标,?,是否对风险、控制、符合性和绩效进行测评并报告？,China Construction Bank. |,22,COBIT,流程,在四个领域内有,34,个,IT,流程，这些流程指明了实现企业目标的业务需求，每一个流程都使用控制目标来控制信息的交付,每个,IT,流程都有一个流程描述（高层控制目标）和多个详细控制目标，作为一个整体是最佳管理流程的基本特征,China Construction Bank. |,23,COBIT,的,34,个流程,计划与组织,PO1,制定,IT,战略规划,PO2,定义信息架构,PO3,确定技术方针,PO4,定义,IT,流程、组织和关系,PO5 IT,投资管理,PO6,贯彻管理目标和方针,PO7 IT,人力资源管理,PO8,质量管理,PO9 IT,风险评估及管理,PO10,项目管理,获取与实施,AI1,识别自动化解决方案,AI2,应用系统开发及维护,AI3,技术基础设施的获取及维护,AI4,运营知识保障,AI5 IT,资源获取,AI6,变更管理,AI7,系统测试与发布,交付与支持,DS1,服务水平的制定与管理,DS2,第三方服务管理,DS3,性能和容量管理,DS4,确保持续服务,DS5,确保系统安全,DS6,成本确认与分摊,DS7,教育和培训用户,DS8,服务台和事件管理,DS9,配置管理,DS10,问题管理,DS11,数据管理,DS12,物理环境管理,DS13,运营管理,监控与评价,ME1 IT,绩效的监督与评价,ME2,内部控制的监督与评价,ME3,确保遵循外部监管要求,ME4,提供,IT,治理,China Construction Bank. |,24,COBIT,活动和任务,活动是实现预期结果所要采取的行动步骤，活动具有周期性，而任务是分散的,每一个流程目标都需要一系列的活动，同时也为活动确立了目标,China Construction Bank. |,25,COBIT,立方体,业务需求,为满足业务目标的要求，信息需要遵循一定的控制标准，,COBIT,称之为信息的业务需求。基于广泛的质量、责任和安全要求，,COBIT,定义了七个独立又有所重叠的信息标准：,效果,效率,保密性,完整性,可用性,符合性,可靠性,China Construction Bank. |,26,COBIT,立方体, IT,资源,为满足业务需求，企业需投入资源创建充分的技术能力以支持业务能力进而获得预期结果,IT,资源由,IT,流程来管理，以向组织交付实现其业务目标的信息,IT,资源包括：,应用系统,信息,基础设施,人员,China Construction Bank. |,27,管理指南,管理指南包括下述内容：,China Construction Bank. |,28,流程输入和输出,每一个流程都与其他流程有联系，输入是一个流程从其他流程所获得的内容，输出则是该流程提供给其他流程的内容，在某些情况下，输入输出可能来自,COBIT,外部。下例为,PO10,：,China Construction Bank. |,29,关键活动与,RACI,图,每一个流程的关键活动都使用,RACI,图予以描述，有,4,种行为：,A-,负责，代表,“,责任止于此,”,，是为活动提供指导和授权的人，责任不能转授,R-,执行，具体执行任务的人，其任务可以再分配,C-,商议，,I-,告知，对流程提供支持以及流程所涉及的每一个人,RACI,图明确了活动任务应该分配给谁,China Construction Bank. |,30,目标和指标,目标自上而下地设立，业务目标确立支持它的若干个,IT,目标；一个,IT,目标由一个或若干个相互作用的流程来实现，这样，,IT,目标帮助确立不同的流程目标；每一个流程目标都需要一系列的活动，反过来也确立了活动目标。,China Construction Bank. |,31,成熟度模型,成熟度模型采用基于组织评价的方法，将流程成熟度水平划分为从无级别,(0),到优化级,(5),六个等级,成熟度等级是,IT,流程的概括图，可用于企业识别并记录当前及未来的可能状态，这些等级并非阀值,使用每个,IT,流程的成熟度模型管理层可以找出：,企业的实际绩效,当前所处的位置,行业的当前状况,比较,企业的改进目标,期望达到的位置,在,当前是,和,将达到,之间所需的成长路径,China Construction Bank. |,32,COBIT,各组件之间关系小结,China Construction Bank. |,33,提纲,I,T,审计概要,COBIT,简介,IT,审计的实施策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,34,目标,1,全面性,能够涵盖建行,IT,管理各项流程，适用各级分支机构和各类审计对象,2,融合性,引入国际业界标准或最佳实践，遵循国家、监管部门和建行,IT,相关制度,3,操作性,在审计项目管理、审计流程控制、审计测试方法方面提供操作性很强的指导,IT,审计规范体系,China Construction Bank. |,35,2006.8,2007.2,2007.8,2007.9,正式批准立项,项目计划编制,项目预算编制与批复,项目采购与合同签署,任务初步分析,大纲编写,方案建议书评审,初稿编写,专题调研,完善及测试性审计,试点审计,推广培训,文档整理,验收准备,决算准备,课题组人员,审计部,信息技术管理部,武汉开发中心,IT,审计规范体系,China Construction Bank. |,36,IT,审计准则,IT,审计指南,内部审计准则,CobiT 4.1,CMMi,BS7799,ITIL,参考,业界最佳实践,内审协会,IT,审计准则,参考,依据,依据,IT,审计规范体系,监管要求,行内制度,内部审计章程,依据,依据,IT,审计案例集,补充,IT,审计,测试库,IT,风险控制,能力评价标准,重要术语,与定义,IT,制度汇编,IT,风险控制,水平衡量,指标,IT,风险,评估表,IT,审计,访谈提纲,IT,审计,测试表,IT,审计,范围表,IT,审计方案模板,参考,参考,依据,开发中心,IT,项目,管理专项审计,分行,IT,开发,项目专项审计,分行运行维护,专项审计,应用,具体内容,文档样式,具体内容,抽取,理解,依据,IT,审计规范体系逻辑架构图,IT Assurance,Guide Using Cobit,参考, ,IT,审计规范体系,China Construction Bank. |,37,IT,审计准则,IT,审计指南,IT,审计测试库,工具组件,IT,审计规范体系,China Construction Bank. |,38,IT,审计准则,IT,审计指南,IT,审计测试库,十大工具,IT,审计规范体系,China Construction Bank. |,39,（,1,）,IT,审计准则,已经发布的内部审计准则包括：,第,1,号：审计人员职业道德,第,2,号：审计程序,第,3,号：审计计划,第,4,号：审计方案,第,5,号：审计证据,第,6,号：审计工作底稿,第,7,号：审计报告,第,8,号：海外审计,第,9,号：审计追踪,第,10,号：内部控制评价,第,11,号：审计档案,第,12,号：质量控制,制定,IT,审计准则,的原则：,IT,审计准则,是针对信息技术审计的专项审计准则，将成为内部审计准则的一个组成部分。,其他内部审计准则同样适用于,IT,审计，,IT,审计准则,仅补充有关,IT,审计的特有内容。,使用,IT,审计准则,时，应同时考虑其他内部审计准则的相关要求。,IT,审计规范体系,China Construction Bank. |,40,IT,审计准则,IT,审计指南,IT,审计测试库,十大工具,IT,审计规范体系,China Construction Bank. |,41,（,2,）,IT,审计指南,目的：,规范和指引审计人员开展信息技术审计业务,促进,IT,审计项目的科学管理，保证审计质量,依据：,中国建设银行股份有限公司内部审计章程,中国建设银行股份有限公司内部审计准则,（包括,信息技术审计准则,）,1,总则,1.1,目的和依据,1.2,适用范围,2,审计计划,3,审计准备,3.1 IT,风险识别和评估,3.1.1,风险评估的方法,3.1.2 IT,风险评估,3.2,确定审计范围,3.3,制定审计方案,3.3.1,制定总体审计方案,3.3.2,制定具体审计方案,4,审计测试,4.1,控制类型,4.2,取证方法,4.3,审计证据,4.4,审计抽样,5,审计报告,5.1,剩余风险评估,5.2,审计评价,5.3,审计建议,主要明确计划、准备、测试和报告四个阶段的相关事项。,整个,IT,流程以风险为导向，从风险评估、风险控制有效性确认、剩余风险评估，最终形成审计结论和整改建议。,IT,审计规范体系,China Construction Bank. |,42,IT,审计准则,IT,审计指南,IT,审计测试库,十大工具,IT,审计规范体系,China Construction Bank. |,43,4,个领域,计划与组织,获取与实施,提供与支持,监督与评价,领域,流程,潜在风险,控制目标,（子流程）,控制要点,控制活动,控制设计,/,执行有效性的测试步骤,参考依据,33,个流程,1.,可行性研究和需求分析,2.,应用系统开发与维护,3.,基础设施的获取与维护,4.,运营知识保障,5.,IT资源获取,6.,变更管理,7.,系统测试与发布,评价标准,衡量指标,1.,已达到预期收益的系统比率,2.,内、外部审计在应用系统上线和验收流程所发现错误的数量,3.,由于不充分的最终验收导致上线后重开发的次数,4.,由于不充分的测试导致的应用系统中断或数据修正数量,5.,开发项目已制定测试计划率,6.,上线前未经需求部门管理层批准的变更的数量,一级（与成熟度模型中“优化级”相对应）,二级（与成熟度模型中“可管理级”相对应）,三级（与成熟度模型中“定义级”相对应）,四级（与成熟度模型中“可重复级”相对应）,五级（与成熟度模型中“初始级”相对应）,（,3,）,IT,审计测试库,447,个控制点,1.,按照实施计划，执行正式的流程来控制系统从开发到测试再到运行的移交。,2.,新系统应和老系统并行一段时间，以比较两个系统的运行状态和结果。,3.,有正式的流程来确保软件版本的批准、封装、回归测试、发布、交接、状态跟踪、撤销程序和用户通知。,3,个层次,1.CobiT4.1,，控制目标,AI7.8,系统上线；,2.,监管要求,，银监会,商业银行信息科技风险管理指引,第十八条,；,3.,建行制度,，建设银行信息技术项目管理办法,(,试行,) ,（建总发,2007154,号）第三十三、三十六条；,208,个子流程,1.,用户培训,2.,测试方案,3.,实施方案,4.,测试环境,5.,系统切换和数据转换,6.,变更测试,7.,验收测试,8.,系统上线,IT,审计规范体系,China Construction Bank. |,44,计划与组织,获取与实施,提供与支持,监督与评价,领域,流程,潜在风险,控制目标,（子流程）,控制要点,控制活动,控制设计,/,执行有效性的测试步骤,参考依据,1.,可行性研究和需求分析,2.,应用系统开发与维护,3.,基础设施的获取与维护,4.,运营知识保障,5.,IT资源获取,6.,变更管理,7.,系统测试与发布,1.,用户培训,2.,测试方案,3.,实施方案,4.,测试环境,5.,系统切换和数据转换,6.,变更测试,7.,验收测试,8.,系统上线,9.,实施后评审,1.,按照实施计划，执行正式的流程来控制系统从开发到测试再到运行的移交。,2.,新系统应和老系统并行一段时间，以比较两个系统的运行状态和结果。,3.,有正式的流程来确保软件版本的批准、封装、回归测试、发布、交接、状态跟踪、撤销程序和用户通知。,4.,系统发布控制流程应包括系统的完整性控制，开发、测试、运行职责的分离，为所有活动留下完整的审计轨迹,。,评价标准,衡量指标,1.,已达到预期收益的系统比率,2.,内、外部审计在应用系统上线和验收流程所发现错误的数量,3.,由于不充分的最终验收导致上线后重开发的次数,4.,由于不充分的测试导致的应用系统中断或数据修正数量,5.,开发项目已制定测试计划率,6.,上线前未经需求部门管理层批准的变更的数量,一级（与成熟度模型中“优化级”相对应）,二级（与成熟度模型中“可管理级”相对应）,三级（与成熟度模型中“定义级”相对应）,四级（与成熟度模型中“可重复级”相对应）,五级（与成熟度模型中“初始级”相对应）,（,3,）,IT,审计测试库,IT,审计规范体系,China Construction Bank. |,45,IT,审计准则,IT,审计指南,IT,审计测试库,十大工具,IT,审计规范体系,China Construction Bank. |,46,影响等级,影响因素,较小,中等,较大,重大,对业务的影响,仅影响内部业务,对业务有一定影响,-,影响顾客,对业务有重大影响,严重损害公司为客户服务的能力,分行无法继续经营,管理层投入精力,可分配至中层管理人员解决,高层管理人员在中层管理人员的协助下解决,需要高层管理人员的关注,需要高层管理人员采取持续危机管理行动并发布指示,品牌和声誉,影响较小,短期内产生影响,严重受损并受到广泛关注,重大损失，未来即使投入巨大资源也难以完全恢复,人身安全,轻伤，需救护,需住院治疗,重伤，部分或全部丧失劳动能力,死亡事故,营业利润,0%-0.1%,0.1%-0.3%,0.3%-0.5%,大于,0.5%,总资产,0%-0.01%,0.1%-0.03%,0.03-0.05%,大于,0.05%,可能性,较小可能,可能,较大可能,基本确定,详细描述,可能在某时发生,发生可能性低,可能在某时发生,中等可能性,可能会在很多情况下发生,在大多数情况下通常会发生,（,4,）工具一：风险评估的方法、标准,影响,重大,较高,重大,重大,重大,较大,中等,较高,重大,重大,中等,较低,中等,较高,重大,较小,较低,较低,中等,较高,较小可能,可能,较大可能,基本确定,可能性,IT,审计规范体系,China Construction Bank. |,47,（,4,）工具二：,IT,风险评估表,IT,审计规范体系,China Construction Bank. |,48,（,4,）工具三：,审计范围表,IT,审计规范体系,China Construction Bank. |,49,（,4,）工具四：审计方案模板,IT,审计规范体系,China Construction Bank. |,50,（,4,）工具五：,IT,制度汇编,（,监管机构、建行内部,IT,制度,171,个）,IT,审计规范体系,China Construction Bank. |,51,（,4,）工具六：,IT,审计访谈提纲,IT,审计规范体系,China Construction Bank. |,52,（,4,）工具七：,：,IT,审计案例集,（,257,个案例）,IT,审计规范体系,China Construction Bank. |,53,（,4,）工具八：,重要术语与定义,IT,审计规范体系,China Construction Bank. |,54,（,4,）工具九：,IT,风险控制能力评价标准,IT,审计规范体系,China Construction Bank. |,55,（,4,）工具十：,IT,风险控制水平衡量指标表,IT,审计规范体系,China Construction Bank. |,56,IT,审计规范体系,China Construction Bank. |,57,IT,审计规范体系,China Construction Bank. |,58,1,2,3,总结,是一个审计人员对,IT,进行全面的理解和思考的框架,IT,审计规范体系,4,是管理,IT,审计知识的框架,可以根据组织的实际情况做裁剪，并需要动态的维护,是组织内,IT,利益相关方之间交流和沟通的平台,China Construction Bank. |,59,提纲,I,T,审计概要,COBIT,简介,IT,审计的策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,60,IT,审计的策略,立项策略,统筹规划,基于组织,IT,的技术架构和管理架构,风险导向,基于,IT,风险的评估，确定立项的优先级,划分相对独立的审计单元,确保审计范围可控,审计项目的周期覆盖,尽量与审计资源匹配,包括人数、知识结构、胜任能力,China Construction Bank. |,61,IT,审计的策略,如开始提到的网上银行审计，可以分解为：,网上银行应用控制审计,网络安全审计,项目开发审计,运维管理审计,数据中心审计,审计项目易于管理，审计风险相对分散,China Construction Bank. |,62,IT,审计的策略,项目实施策略,充分的审前准备,识别关键的,IT,资源和管理流程。需要调阅：,技术文档、技术规范、操作规程、岗位职责描述、运行报告、自评估报告等。,职能流程矩阵,与,IT,管理的组织架构为线索，确定,IT,流程与职能部门的关系，最好明确关键的岗位和个人,审计组成员的合理分工,以职能流程矩阵为基础，考虑工作量并尽量避免审计流程的交叉。,审计组内部的充分沟通。,China Construction Bank. |,63,提纲,I,T,审计概要,COBIT,简介,IT,审计的策略,建行,IT,审计的情况,建行,IT,审计规范体系,China Construction Bank. |,64,IT,审计简介,我行,IT,审计的总体情况,1.,设立了专职部门或团队,总行审计部及多数审计机构，设立专业处室，其它机构设置专业岗位,2.,培养,IT,审计专业队伍,150,人,IT,审计人员，,90,余名,CISA,总行专业小组,专家咨询组,湖南、成都、天津、沈阳、山东、,河南、山西、吉林、新疆、河北,1,2,名研究型带头人,42,名专业型主审人,93,名,CISA,更多的审计人员,I,T,审计团队,专业审计人才库,1,0,个专业机构,China Construction Bank. |,65,IT,审计简介,我行,IT,审计的总体情况,3.,积极学习研究,IT,审计理论和方法,自,2002,年起，建设银行就开始着手信息系统审计理论、方法的学习和研究，组织翻译了,ISACA,当时新发布的,COBIT3.0,（信息及相关技术控制目标）及,Audit GuideLines,（审计指南）,2007,年，,COBIT4.1,发布后，建设银行组织人员及时跟进研究，并将,COBIT4.1,及同步推出的,IT Assurance Guide,（,IT,鉴证指南）进行了完整翻译，得到,ISACA,的高度评价。,4.,建立了适合建设银行实际的,IT,审计规范体系,China Construction Bank. |,66,IT,审计简介,我行,IT,审计的总体情况,5.,采取多种方式、实施了多个层面的,IT,审计项目,2002,年 一级分行,IT,试点审计,2004,年,23,个一级分行,IT,审计,2005,年 总行数据中心核心系统运行审计,2006,年 贷记卡系统审计、电子银行系统审计,2007,年 信息技术风险评价审计（总行、开发中心、运行中心）,38,个一级分行,IT,运行审计,15,个分行,IT,项目管理专项审计,广州开发中心项目管理专项审计,China Construction Bank. |,67,IT,审计简介,我行,IT,审计的总体情况,5.,采取多种方式、实施了多个层面的,IT,审计项目,2008,年,ERPF,系统数据完整性、准确性审计,信贷业务系统审计调查,一级分行特色业务平台审计,一级分行基础设施整合项目审计,2009,年 一级分行,IT,运行审计,成都、上海开发中心项目管理审计,北京、上海数据中心,IT,运行专项审计,年度例行内控评价审计项目中，,IT,作为一个专门的审计分项,日常业务审计项目，相关系统的应用控制逐渐开始作为一个专门的审计分项,China Construction Bank. |,68,我行,IT,审计的总体情况,与国内同业相比，建行在,IT,审计方面起步相对较早，无论是对,IT,支持业务，还是对,IT,本身，都做了一些审计尝试和探索。,IT,审计简介,China Construction Bank. |,69,谢谢,Thank You,201,4,年,1,月,