《IT审计:直面差距找准定位促跨跃.docx》由会员分享,可在线阅读,更多相关《IT审计:直面差距找准定位促跨跃.docx(7页珍藏版)》请在金锄头文库上搜索。
1、 IT审计:直面差距找准定位促跨跃我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的阅历和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计阅历可以借鉴。有鉴于此,本期我们特殊邀请工行及人行IT审计方面的专业人士,对国内外银行IT审计的详细案例进展剖析讨论,就二者的差异及内在成因作深入分析,以此促进IT审计在我国银行业更安康有序的开展。随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最根本的条件之一,IT运营与公司运营严密相关,IT治理也与公司治理严密相连,因此IT审计越来越得到银行治理层的高度重视。目前,IT审计在国际上是一个相当成熟的领域,兴
2、旺国家的银行均建立了完善的信息系统审计体系,而我国才刚刚开头起步。因此,很有必要讨论兴旺国家银行业的IT审计组织构造和技术架构,解析国内银行IT审计的现状及存在的问题,并依据国际阅历与我国实际状况进展差异性分析,最终,找到我国银行业IT审计的精确定位,由此,实现IT审计在国内银行业质的飞跃。国外银行IT审计的特点IT审计部门的独立性在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计,第三方审计则供应独立的外部审计。国外兴旺银行大都设有内部的IT审计部门,IT审计部门独立于IT部门,由公司控股层直接收理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计
3、委员会,审计委员会下设企业中心,集团审计是在控股公司层面的企业中心内,直接由审计委员会治理,IT审计则隶属于集团审计,独立于IT部门。国外银行IT审计的技术和组织框架国外银行界在IT审计部门根本都依据银行自身的特点,确定了相应的技术框架。各银行的IT审计普遍有以下特点:各银行均依据自己的IT形势,明确了不同的IT审计的技术领域、范围。IT审计的范围根本掩盖了信息系统建立生命周期中的全部IT活动,包含了各种技术平台和软件开发,工程投产,系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面,力图将风险掌握在过程中。由于IT已经渗透到银行业务的各个领域,因此IT审计与业务审计严
4、密结合,利用IT技术帮助进展业务审计以及将IT与业务严密结合在一起进展综合审计,都是IT审计的重要内容。新加坡进展银行设有特地的IT审计机构,其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构,其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进展风险审计。花旗集团还依据特别大事或法规要求的需要,开展专项审计,对工程风险进展评估,如采纳新的计算机技术、IT系统转换及系统发生停运等问题,都要进展审计评价。IT审计人员的比例目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行
5、仅香港分行就配备了30多名IT审计人员。在花旗银行,由于信息科技已渗透于银行的各个领域,信息技术已与业务严密结合在一起,无论作为内部审计的对象,还是内部审计的手段,内部审计人员的工作已难以离开计算机技术支持。即使在这种状况下,花旗银行专职从事信息科技和计算机帮助审计的人员占全部审计人员的比例也超过20%。IT治理中审计人员的角色IT审计员在IT治理的过程中,他们的活动贯穿在打算和组织、获得和实施、交付和支持、监控这几个领域中,在此过程中始终担当着评估与评价的职责。打算和组织域中,内部审计师的关键处理是质量治理。它包括对战略性IT打算和信息架构的评估,技术方向、IT组织和关系、工程治理和IT投资
6、治理的评价、通知、支持,保证听从外部要求,风险和治理质量的评估等。在获得和实施域中,内部审计师的角色仍旧是评估过程。如对自动化解决方法的鉴定和评价,获得和维护应用软件的评价和支持,获得和维护技术架构,开发和维护过程、安装和认证系统的评价,治理变化的评价和支持等。在交付和支持领域,审计要对以下方面进展评估和支持。如定义和治理效劳级别、治理第三方效劳、治理性能和力量、保证连续性效劳、鉴定和安排费用,训练、培训和支持用户,治理配置、治理问题和大事、治理数据、治理设备、治理行动等的检查和评估,保证系统安全的检查、评估和支持。在监控领域,审计师的角色是监控过程,评价内部掌握,获得独立保证,供应独立审计的
7、检查、评估和支持。国内外银行IT审计的差异面对我国银行数据大集中的形势,银行已将IT风险作为内部的重要风险之一进展掌握。但由于IT审计在我国还刚刚起步,与国外兴旺银行比拟还存在很大的差异性,主要表达在以下几个方面:审计掩盖面上的差异目前我国各大商业银行在总行内审部门根本上都设立了信息技术审计处,股改后直接向董事会负责,这与国际惯例根本是全都的,表达了银行领导层充分重视IT在银行中的地位,并将IT风险防范和掌握纳入到银行风险掌握的战略高度。目前国际上比拟先进的商业银行无一例外全部开展了GCR(一般掌握)和ACR(应用掌握)的全方位IT审计。但我国由于信息技术审计工作开展不长,并且人员有限,还未能
8、全面开展一般掌握和应用掌握的IT审计工作,根本处于一般掌握的摸索阶段,距国际先进水平还有较大的差距。组织构造和人员上的差异从新加坡进展银行和美国大通银行的IT审计组织框架和人员配备上看,IT审计由于涵盖了软件开发和工程投产、运行维护的全过程,包含了各种技术平台、系统生命周期的全部阶段,因此IT审计机构设置根本采纳在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上无论与国际先进水平还是银行的IT架构相比,均有不小的差距。同时,由于目前内审部门
9、的信息技术审计组织构造不尽完善且人员缺乏,无法进一步细分审计职能、明确专业审计方向。另外,在审计手段、帮助工具以及系统接口、技术支持等方面的差距更大,需要加强力气讨论解决。国外IT审计先进阅历的启发重视信息科技审计是国际普遍趋势。随着商业银行经营治理活动对信息技术的高度依存,信息科技风险掌握已成为商业银行风险治理的重要内容,并从战略的角度将IT审计与实现公司治理的总体目标严密联系在一起。加强IT审计是国内银行建立国际一流商业银行的内在需要。近年,工商银行信息科技优势在提升银行核心竞争力的同时,其系统风险也更加集中,更加突出,任何一点治理上的疏漏或掌握上的缺陷,都可能引发巨大的系统灾难,给全行带
10、来无法估量的经济损失和声誉损失。因此,进一步加强IT审计就更具有重大的现实意义。加强IT审计是监管*的外部要求。随着国内经济的快速进展和对外开放的逐步扩大,国家相关部门对信息系统的安全问题越来越重视,银监会、人民银行、审计署、公安部等国家行政治理部门和外部监管部门对企业内部的信息系统风险掌握都提出了一系列要求。因此,工行必需通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。我国银行要尽快建立健全IT审计架构和标准,从IT治理与公司治理相结合的角度,对银行的信息系统建立的重大决策,供应评估与评价并进展相关的风险分析,力图将IT风险掌握在过程中,并推动和促进科技治理,预防IT风
11、险。要到达这一目标,可根据国际通用的IT审计标准CO鄄BIT,结合我国银行的详细实际状况,建立适合我国银行的IT审计标准和框架。对我国银行的IT审计应紧紧围绕银行的IT技术架构进展,使银行的IT审计能涵盖主要的IT活动范围,因此应建立审计的技术领域框架。该领域至少应包含以下内容:系统运行、操作治理及风险防范,软件开发生命周期的过程治理和风险评估,新系统投产、切换、迁移、合并的过程治理和风险评估,各种技术平台的审计,电子银行等与IT严密结合的新业务的审计,为业务审计供应IT技术手段和帮助功能,业务与IT严密结合的综合审计,各种专项审计及事故评估。我国银行IT审计的关注点鉴于目前我国银行信息技术审计组织构造不尽完善和人员数量、质量严峻缺乏,远不能到达对IT进展全面审计的要求,因此,当前我国银行IT审计工作的重点可定位在以下几个方面:防范对操作运行风险,详细应针对数据中心整合工程后的生产运行和操作状况,进展专项审计;尽快根据国际标准开展我国银行IT审计工作标准的制定;加强组织机构建立,充实技术人员并加强培训;加强IT审计的队伍建立,IT审计人员的技术背景应掩盖系统、硬件、网络、应用等多个方面,同时又具备审计学问和阅历,能将IT技术与审计手段结合运用,这样才能审计出IT风险。
