教你銀行IT審計方法

2014-11-08 22:45:18 大云網　點擊量：評論 (0)

近年來，因銀行業(yè)務流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風險隨著系統(tǒng)的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業(yè)銀行信息科技風險管理的第三道防線

設計審計程序。對計劃進行IT審計的信息系統(tǒng)和其支持的業(yè)務流程進行詳細了解和記錄，編制風險和控制矩陣，并針對選定的信息系統(tǒng)和其支持的業(yè)務流程分別制定不同層面的審計程序。

目前銀行業(yè)IT審計比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應用控制和面向計算機環(huán)境整體控制三層。具體各層面的審計內容為：

銀行管理層面IT控制審計（ELC）：關注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃。

應用控制審計（AC）：關注業(yè)務流程中內嵌的信息系統(tǒng)相關控制，以保證信息處理的完整性、準確性、有效性和訪問控制。應用系統(tǒng)控制包括數據控制、業(yè)務流程控制、接口控制、系統(tǒng)外控制。

計算機環(huán)境整體控制（ITGC）：關注與IT相關的管理控制，包括IT運營、基礎設施和流程、信息安全、業(yè)務持續(xù)性管理和災難恢復、IT基礎設施等方面。

這三個層次的劃分將有助于審計人員從多個角度審視銀行的信息科技風險管理工作。

執(zhí)行審計計劃。IT審計人員將根據擬定的審計程序執(zhí)行現(xiàn)場審計工作，記錄測試結果，對測試結果進行復核和評估，并與相關人員溝通測試發(fā)現(xiàn)。在執(zhí)行過程中，審計人員可以通過佐證性詢問、現(xiàn)場觀察、文件檢查、重新執(zhí)行和計算機輔助審計技術等五種測試方法的一種或幾種對某項控制活動的運行有效性進行測試。

出具審計結果和管理建議。向銀行管理層匯報各項審計發(fā)現(xiàn)和風險分析結果，出具最終的內部審計報告，并根據各項審計發(fā)現(xiàn)，提出合理的管理建議。

銀行業(yè)IT審計展望

以風險為導向的IT審計