教你銀行IT審計方法

2014-11-08 22:45:18 大云網(wǎng)　點擊量：評論 (0)

近年來，因銀行業(yè)務流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風險隨著系統(tǒng)的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業(yè)銀行信息科技風險管理的第三道防線

《指引》確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風險管理；信息安全；信息系統(tǒng)開發(fā)、測試和維護；信息科技運行；業(yè)務連續(xù)性管理；外包；內(nèi)部審計；外部審計。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動，這些活動中存在的風險，可能會對業(yè)務產(chǎn)生重大影響，因此對這些領(lǐng)域的風險識別和管理，應當在信息科技風險管理中優(yōu)先對待。

在這九大領(lǐng)域中，IT審計占兩個，分別是內(nèi)部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標準，銀行可以參考這個標準，開展IT審計工作。

IT審計標準選擇

實踐中使用的標準遠不止上述兩個，而且，這兩個標準建立本身就參照了很多IT相關(guān)的較為成熟的標準。如，COBIT制定時參照的標準就有ISO系列的相關(guān)IT技術(shù)標準、審計行為準則等等；《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國際標準ISO27001。

另外，由于信息科技的細分領(lǐng)域眾多，在進行某些細分領(lǐng)域的專項審計或單領(lǐng)域?qū)徲嫊r，可以考慮單獨使用某些國際或國內(nèi)標準作為審計標準，從而達到更深入和專業(yè)的目的。比如，在進行信息安全方面的審計時，可參考ISO27001等國際標準或國內(nèi)標準SSE-CMM；在審計IT運維、IT服務的交付和支持相關(guān)領(lǐng)域時，可以考慮采用ITIL作為審計標準；在審計IT內(nèi)部控制建設相關(guān)領(lǐng)域時，還可以采用COSO模型中的描述來比照評估。

銀行應當依據(jù)自身特點，結(jié)合本行信息科技工作的特點以及每次IT審計的目的和范圍，有選擇地采用審計標準，同時，根據(jù)本行信息科技工作的水平分階段地來實施標準中的要求。