教你银行IT审计方法
近年来,因银行业务流程中对信息系统的依赖程度日益加大,这使得信息系统的固有风险随着系统的复杂而增加,高度集中化的银行信息化管理也面临着更加严峻的考验。因此,作为商业银行信息科技风险管理的第三道防线
银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准,同时,根据本行信息科技工作的水平分阶段地来实施标准中的要求。
银行IT审计方法
为了提升IT审计工作的效率和效能,实现有效的风险管理,笔者认为商业银行应当切实开展基于风险的IT审计工作。下面,笔者将介绍一个基于风险的银行IT审计的典型工作方法。
一个基于风险的银行IT审计工作可以分为六个步骤进行,包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议(见图2)。其中,“确定风险领域”和“设计审计程序”是最为关键的环节。
制定审计目标。银行IT审计委员会确定项目所采用的方法论、框架体系和审计目标,并对审计范围和资源配置进行说明,同时拟定最终的报告内容范围。
确定风险领域。IT审计人员根据银行的信息系统现状,结合银行的战略和业务目标,制定出适合的风险框架,包括风险等级的划分标准以及风险评估模型等。审计人员从信息系统本身的脆弱性和其对业务目标实现的影响两个维度出发,分析评估银行各信息系统的风险现状,从而筛选高风险的信息系统。筛选参考的分析因素和方法可参考图3进行。
制定审计计划。基于前一阶段的风险评估结果和IT审计的关注领域,拟定以风险为导向的内部审计计划;内部审计计划在得到银行管理层最终批准之后,确定各项审计任务所需的资源和具体执行时间。
设计审计程序。对计划进行IT审计的信息系统和其支持的业务流程
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
