教你銀行IT審計方法
近年來,因銀行業務流程中對信息系統的依賴程度日益加大,這使得信息系統的固有風險隨著系統的復雜而增加,高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此,作為商業銀行信息科技風險管理的第三道防線
《指引》確定了九大管理領域,即:信息科技治理;信息科技風險管理;信息安全;信息系統開發、測試和維護;信息科技運行;業務連續性管理;外包;內部審計;外部審計。這些領域覆蓋了信息科技管理的大多數重要活動,這些活動中存在的風險,可能會對業務產生重大影響,因此對這些領域的風險識別和管理,應當在信息科技風險管理中優先對待。
在這九大領域中,IT審計占兩個,分別是內部審計和外部審計。而《指引》本身,就是一個針對銀行的框架完整的IT審計標準,銀行可以參考這個標準,開展IT審計工作。
IT審計標準選擇
實踐中使用的標準遠不止上述兩個,而且,這兩個標準建立本身就參照了很多IT相關的較為成熟的標準。如,COBIT制定時參照的標準就有ISO系列的相關IT技術標準、審計行為準則等等;《指引》其中“信息安全”管理領域的內容建立就是參照信息安全管理體系的國際標準ISO27001。
另外,由于信息科技的細分領域眾多,在進行某些細分領域的專項審計或單領域審計時,可以考慮單獨使用某些國際或國內標準作為審計標準,從而達到更深入和專業的目的。比如,在進行信息安全方面的審計時,可參考ISO27001等國際標準或國內標準SSE-CMM;在審計IT運維、IT服務的交付和支持相關領域時,可以考慮采用ITIL作為審計標準;在審計IT內部控制建設相關領域時,還可以采用COSO模型中的描述來比照評估。
銀行應當依據自身特點,結合本行信息科技工作的特點以及每次IT審計的目的和范圍,有選擇地采用審計標準,同時,根據本行信息科技工作的水平分階段地來實施標準中的要求。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
