信息安全和科技风险审计正由传统的管理审计与风险审计为重点的风险导向审计转变。如何突破传统审计障碍，精准把握审计脉搏，练就高超实战技巧，是摆在信息安全和科技风险审计人员面前的一道难题，您是否经常会碰到以下问题：

　　1、信息安全和科技风险审计工作涉及到方方面面，到底该如何抓重点，更能凸显信息安全和科技风险审计价值呢?

　　2、领导不重视信息安全和科技风险审计，认为审计是成本中心，如何才能获得领导支持呢?

　　3、业务部门对信息安全和科技风险审计人员颇多敌视，如何与被审单位沟通和化解冲突呢?

　　4、目前审计方式仍是现场事后审计，程序繁琐、效率不高，是否有更好的方式和技术呢?

　　5、如何说服领导和被审单位，接受我们的审计建议呢?

【把握核心重点】把握信息安全和科技风险审计职能发展方向，清晰信息安全和科技风险审计角色定位

【建立高效团队】了解如何打造一支与时俱进、高绩效的信息安全和科技风险审计队伍

【掌握实战技巧】掌握信息安全和科技风险审计先进技术、方法，学会实施风险导向审计

【项目实务指导】指导风险导向审计在不同类型审计项目重点的具体应用

课程对象：审计人员，科技人员和信息安全业务管理人员和业务人员

培训方式：

   专题演讲、案例分析、情景演练、互动研讨 短片观看

培训时间：1--2天

一、金融形势对科技和信息安全的要求

信息安全和科技风险防范的底线

一级法人机制是**重要的机制

案例

所有的文件和行为必须合法

因为没有诉讼的文件准备

印章管理

与客户要内外有别

重控文件管理

二、审计所坚持的风险理念

什么是风险？

什么是利润RVA?

   银行是经营风险的机器

要    点：

 你能控制风险吗？

 你能承担风险吗?

要    点：

 风险偏好是风险管理的核心  

审计管理的三大原则：

 风险分散化和控制原则。

 对事不对人的原则

 不相信任何人的原则

要    点：

要营造银行的“纠错文化”

让坏事传千里

先知先觉是管理风险

后知后觉是控制损失

审计公开

反腐给我们的启示

规范\过程\环节\文书

要有强大的纠错机制

风险监控无缝隙原理

 巴塞尔协议要求，对风险：

 充分揭露

 准确计量

 有效监控

 适度控制

三、信息安全和科技风险审计的理念

 审计的洞察力?

  短板--高层与信息安全和科技风险审计人员目标的失衡

      --没有商业头脑-审计**重要的技能

      --忽略相关利益者的重要远景

审计的十有十无

有数字无客户，有销售无关系

有结果无过程，有人员无团队

有规模无系统，有岗位无说明

有信息无共享，有授权无制衡

有程序无流程，有计划无延续

有领导无智库，有静态无动态

风险评估  risk quantification

风险监控  Risk messaging

风险报告  Risk decision  making

怎样体现审计的作用？

五、信息安全和科技风险审计方法

      审计是比较

      审计是问为什么

      审计必须从利益着手

      乱枪打鸟

      审计与反审计

      抓大放小

      问题都可以从会计语言讲出来

      数字**有发言权

      逆向思维

      业务要串联

      要学会芝麻开花的秘诀

六、信息安全和科技风险审计报告详解

信息科技存在的主要风险

信息安全

网络安全

开发测试管理

外包管理

业务连续性

信息资产管理

**部分，科技风险审计

科技风险面临的四大挑战

监管对科技风险的要求

监管对审计评级的定量和定性标准

信息科技外包的概念和类型

外包风险案例

案例1 科技创新能力丧失的的风险

案例2 外包集中度的风险

案例3 信息泄露风险

案例4 重要外包服务商的风险

第二部分，支付信息风险审计

支付敏感信息安全审计

支付敏感信息分类 4项内容

强化银行卡信息安全管理   6项内容

加大银行卡互联网交易风险防范力度 5项内容  

防范磁条卡伪卡欺诈交易风险  5项内容

支付敏感信息排查

案例1 终端设备敏感信息管理

案例2 系统中敏感信息安全管理

第三部分，系统安全审计

应用控制审计四项内容

系统控制  四项内容

系统安全  三项内容

数据质量  三项内容

案例1 变更测试不到位

案例2 相关要素未进行效验控制

案例3 贷记卡额度被篡改

案例4 系统对结算账户未进行有效控制