教你银行IT审计方法
近年来,因银行业务流程中对信息系统的依赖程度日益加大,这使得信息系统的固有风险随着系统的复杂而增加,高度集中化的银行信息化管理也面临着更加严峻的考验。因此,作为商业银行信息科技风险管理的第三道防线
设计审计程序。对计划进行IT审计的信息系统和其支持的业务流程进行详细了解和记录,编制风险和控制矩阵,并针对选定的信息系统和其支持的业务流程分别制定不同层面的审计程序。
目前银行业IT审计比较典型的层面划分如图4所示:从上至下分为银行管理层面IT控制、应用控制和面向计算机环境整体控制三层。具体各层面的审计内容为:
银行管理层面IT控制审计(ELC):关注银行的IT治理,合规、IT战略和规划。
应用控制审计(AC):关注业务流程中内嵌的信息系统相关控制,以保证信息处理的完整性、准确性、有效性和访问控制。应用系统控制包括数据控制、业务流程控制、接口控制、系统外控制。
计算机环境整体控制(ITGC):关注与IT相关的管理控制,包括IT运营、基础设施和流程、信息安全、业务持续性管理和灾难恢复、IT基础设施等方面。
这三个层次的划分将有助于审计人员从多个角度审视银行的信息科技风险管理工作。
执行审计计划。IT审计人员将根据拟定的审计程序执行现场审计工作,记录测试结果,对测试结果进行复核和评估,并与相关人员沟通测试发现。在执行过程中,审计人员可以通过佐证性询问、现场观察、文件检查、重新执行和计算机辅助审计技术等五种测试方法的一种或几种对某项控制活动的运行有效性进行测试。
出具审计结果和管理建议。向银行管理层汇报各项审计发现和风险分析结果,出具最终的内部审计报告,并根据各项审计发现,提出合理的管理建议。
银行业IT审计展望
以风险为导向的IT审计
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
