教你銀行IT審計方法

2014-11-08 22:45:18 大云網　點擊量：評論 (0)

近年來，因銀行業務流程中對信息系統的依賴程度日益加大，這使得信息系統的固有風險隨著系統的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業銀行信息科技風險管理的第三道防線

《指引》確定了九大管理領域，即：信息科技治理；信息科技風險管理；信息安全；信息系統開發、測試和維護；信息科技運行；業務連續性管理；外包；內部審計；外部審計。這些領域覆蓋了信息科技管理的大多數重要活動，這些活動中存在的風險，可能會對業務產生重大影響，因此對這些領域的風險識別和管理，應當在信息科技風險管理中優先對待。

在這九大領域中，IT審計占兩個，分別是內部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標準，銀行可以參考這個標準，開展IT審計工作。

IT審計標準選擇

實踐中使用的標準遠不止上述兩個，而且，這兩個標準建立本身就參照了很多IT相關的較為成熟的標準。如，COBIT制定時參照的標準就有ISO系列的相關IT技術標準、審計行為準則等等；《指引》其中“信息安全”管理領域的內容建立就是參照信息安全管理體系的國際標準ISO27001。

另外，由于信息科技的細分領域眾多，在進行某些細分領域的專項審計或單領域審計時，可以考慮單獨使用某些國際或國內標準作為審計標準，從而達到更深入和專業的目的。比如，在進行信息安全方面的審計時，可參考ISO27001等國際標準或國內標準SSE-CMM；在審計IT運維、IT服務的交付和支持相關領域時，可以考慮采用ITIL作為審計標準；在審計IT內部控制建設相關領域時，還可以采用COSO模型中的描述來比照評估。

銀行應當依據自身特點，結合本行信息科技工作的特點以及每次IT審計的目的和范圍，有選擇地采用審計標準，同時，根據本行信息科技工作的水平分階段地來實施標準中的要求。