《商业银行IT审计的策略与方法》由会员分享,可在线阅读,更多相关《商业银行IT审计的策略与方法(5页珍藏版)》请在金锄头文库上搜索。
1、一、国内商业银行 IT 审计势在必行90 年代末期至今,国内商业银行一直在持续的进行信息系统建设,90%以上的商业银行都已经开始应用信息系统来实现对客户的服务。从相关统计数据看,对国内商业银行来说,硬件网络平台已经实现了 100%的应用;国内的大型商业银行软件应用已经覆盖了 80%以上的商业银行业务,部分商业银行在管理信息化方面也陆续的完成信贷管理、财务管理等管理信息系统的建设。随着商业银行信息化建设的进一步完善,商业银行对 IT 系统的依赖也越来越强。但是,在商业银行 IT 建设的背后,也应该看到一个事实,商业银行的经营业务的本身蕴藏着巨大的风险,或者说,商业银行经营的是风险。在实现由手工操
2、作到电子化过程中,降低了人为的风险,但同时也带来了巨大的 IT 风险。根据巴塞尔协议的相关规定,系统失效是操作风险重要组成部分。相关统计表明,一些银行系统失效风险损失占到总风险损失的 10%-20%。国内商业银行必须看到面临的 IT 系统相关风险在逐渐增大。因此,通过 IT 审计,及时识别 IT 风险,完善控制措施就势在必行。二、国内商业银行 IT 审计目标与内容国内商业银行 IT 审计的目标与内容:商业银行的 IT 审计的目标是通过对商业银行所有 IT 规划、建设、应用、服务、安全等全方位的审计,充分识别与评估 IT 风险,完善控制措施,实现 IT 系统的可用性、安全性、完整性、有效性,最终
3、达到强化商业银行内部控制的目的。对商业银行的 IT 审计内容至少包括以下方面:1) 硬件与环境:包括商业银行的硬件网络、电源、机房环境控制等;2) 应用软件:针对综合业务系统、国际结算系统等业务系统,对系统的访问控制、授权、确认、错误与特例处理,以及系统相关流程,包括对系统的开发生命周期的审计;3) IT 管理与服务:包括商业银行 IT 管理与服务的工具、制度、以及方法等有效性的审计;4) 信息安全:对商业银行信息安全措施的完整性与有效性进行审计;5) 商业连续性:为了保护银行业务持续运做,对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性方面进行审计6) 信息完整性:审计在确保信息正确
4、、可信、及时等方面的的控制情况;7) IT 策划与项目管理:对 IT 整体规划、系统策划、项目管理等方面进行审计。三、商业银行 IT 审计进程与策略国内商业银行 IT 建设起步晚,对 IT 审计了解比较少,因此如何有效的控制一个 IT 审计项目缺乏相关的经验。针对国内商业银行的现状,提出商业银行IT 审计工作进程以及进程与相关策略如下:1) 确定 IT 审计单位根据国际通用的信息系统审计准则,要求 IT 审计工作必须独立性。因此,商业银行在确定内外部 IT 审计单位,除了要求符合相关的资质要求,必须保证IT 审计工作的独立性。建议国内商业银行 IT 审计工作的开展尽可能的考虑外部 IT 审计单
5、位,保证 IT 审计的效果。如果确定内部单位进行 IT 审计,必须保证审计单位组织的独立性。2) 确定独立 IT 审计组对商业银行的 IT 审计,即包括了软硬件系统,也包括对商业银行的业务符合性的审计,以及 IT 项目组织、策划、服务管理等方面。因此,构成 IT 审计组的成员应由 IT 系统专家、银行业务专家、咨询专家等多方面人员构成,主要的审计师必须具有 IT 审计的资格。3) IT 审计方案与计划制订恰当的 IT 审计方案与计划是 IT 审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。商业银行 IT 审计方案与计划应包括:商业银行的信息系统现状分析;商业银行的内部控制现
6、状初步评价;IT 审计的性质与范围;审计工作的组织安排;审计风险评估;审计费用与成本;实施时间计划;IT 审计方法;审计协调与沟通机制等。4) IT 审计实施IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成 IT 审计报告。工作的方法主要包括对商业银行 IT 系统内部控制的建立与遵守情况进行符合性与实质性测试,分析 IT 审计差异,逐步 IT 审计报告的相关依据。商业银行 IT 审计内容应包括软硬件系统、信息安全、项目策划与管理、IT 服务与管理等内容。针对国内商业银行信息系统建设现状,多个系统运行,信息存储分散的实际情况,要重点审计系统的接
7、口,以及数据的完整性和一致性。5) IT 审计报告商业银行的 IT 审计报告应包括:审计证据汇总、审计原始底稿、与审计准则之间的审计差异、调整与建议内容、审计总体意见等方面的内容。各块内容的汇总可以按照硬件系统、软件系统、信息安全管理、IT 管理与服务、IT 项目策划与管理的结构进行组织。6) 持续改进与信息系统建设的持续改进相对应,商业银行的 IT 审计工作也是长期,持续改进的工作。商业银行需要从实际情况出发,制订长期的 IT 审计计划与方案,不断促进商业银行 IT 应用的成熟与完善。四、商业银行 IT 审计方法的综合应用商业银行 IT 审计实施过程中应用的关键方法主要包括以下几个方面:1)
8、 IT 风险识别对于商业银行,充分识别 IT 风险,是 IT 审计过程中的关键。商业银行的IT 风险主要包括:软件体系风险、软件过程风险、项目管理风险、应用风险、用户使用风险、硬件平台风险等。识别 IT 系统风险的方法主要包括:故障树法、专家意见法、流程图法等。在风险识别的过程中要形成风险识别底稿,对风险发生的部位、影响范围、发生原因等方面进行标识。2) IT 风险评估对 IT 风险后果的评估符合一个简单的数学模型:风险=后果 X 可能性。评估的方法包括:定性评价法(风险等级矩阵)、定量分析法(失效模型计算)。3) IT 风险控制IT 风险控制是指在 IT 风险充分识别与评估后,考虑应用现有的
9、控制措施或设计新的控制方法降低风险到可接受水平的一套方法。IT 控制策略主要针对以下三种情况:如果评估最终导致的风险损失非常小,商业银行可以接受,可以不考虑新增控制方案;其次,评估最终损失较小,需要考虑一般性控制措施,将风险降低到可接受程度;第三,评估最终风险损失比较大,影响到系统正常运行,需要计算风险额与控制成本,比较选择经济可行的控制方案,将风险降低。4) IT 审计测试审计测试的方法主要包括符合性测试方法与实质性测试方法。符合性测试就是通过商业银行 IT 系统内部控制的有效性、存在性、合规性进行核实并形成审计结论的方法。实质性测试指对商业银行 IT 系统处理的业务信息、管理信息进行合法性
10、、合理性、真实性进行直接检查和分析性复核,最终形成审计结论的方法。五、总结与建议本文重点对国内商业银行开展 IT 审计的必要性、IT 审计进程与策略、IT审计的方法进行了分析,主要阐述了以下观点: 国内商业银行需要重视 IT 审计工作,通过 IT 审计的开展,完善内部控制,降低商业银行经营风险; IT 审计必须符合独立、审慎的精神。要求进行认真细致的工作安排,依据相关的国际 IT 审计准则开展相关工作; IT 审计是一项长期的、持续改进工作,商业银行通过 IT 审计,持续强化 IT 风险控制能力,最终降低商业银行经营风险; IT 审计必须采用科学、严谨的方法,从审计的实际目标出发,选择实用的方法是实现 IT 审计目标的关键。
