教你银行IT审计方法

2014-11-08 22:45:18 大云网  点击量: 评论 (0)
近年来,因银行业务流程中对信息系统的依赖程度日益加大,这使得信息系统的固有风险随着系统的复杂而增加,高度集中化的银行信息化管理也面临着更加严峻的考验。因此,作为商业银行信息科技风险管理的第三道防线
    《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
 
    在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。
 
    IT审计标准选择
 
    实践中使用的标准远不止上述两个,而且,这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如,COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等;《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。
 
    另外,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考ISO27001等国际标准或国内标准SSE-CMM;在审计IT运维、IT服务的交付和支持相关领域时,可以考虑采用ITIL作为审计标准;在审计IT内部控制建设相关领域时,还可以采用COSO模型中的描述来比照评估。
 
银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准,同时,根据本行信息科技工作的水平分阶段地来实施标准中的要求。
大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞