教你銀行IT審計方法
近年來,因銀行業務流程中對信息系統的依賴程度日益加大,這使得信息系統的固有風險隨著系統的復雜而增加,高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此,作為商業銀行信息科技風險管理的第三道防線
設計審計程序。對計劃進行IT審計的信息系統和其支持的業務流程進行詳細了解和記錄,編制風險和控制矩陣,并針對選定的信息系統和其支持的業務流程分別制定不同層面的審計程序。
目前銀行業IT審計比較典型的層面劃分如圖4所示:從上至下分為銀行管理層面IT控制、應用控制和面向計算機環境整體控制三層。具體各層面的審計內容為:
銀行管理層面IT控制審計(ELC):關注銀行的IT治理,合規、IT戰略和規劃。
應用控制審計(AC):關注業務流程中內嵌的信息系統相關控制,以保證信息處理的完整性、準確性、有效性和訪問控制。應用系統控制包括數據控制、業務流程控制、接口控制、系統外控制。
計算機環境整體控制(ITGC):關注與IT相關的管理控制,包括IT運營、基礎設施和流程、信息安全、業務持續性管理和災難恢復、IT基礎設施等方面。
這三個層次的劃分將有助于審計人員從多個角度審視銀行的信息科技風險管理工作。
執行審計計劃。IT審計人員將根據擬定的審計程序執行現場審計工作,記錄測試結果,對測試結果進行復核和評估,并與相關人員溝通測試發現。在執行過程中,審計人員可以通過佐證性詢問、現場觀察、文件檢查、重新執行和計算機輔助審計技術等五種測試方法的一種或幾種對某項控制活動的運行有效性進行測試。
出具審計結果和管理建議。向銀行管理層匯報各項審計發現和風險分析結果,出具最終的內部審計報告,并根據各項審計發現,提出合理的管理建議。
銀行業IT審計展望
以風險為導向的IT審計
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
