教你银行IT审计方法

2014-11-08 22:45:18 大云网　点击量：评论 (0)

近年来，因银行业务流程中对信息系统的依赖程度日益加大，这使得信息系统的固有风险随着系统的复杂而增加，高度集中化的银行信息化管理也面临着更加严峻的考验。因此，作为商业银行信息科技风险管理的第三道防线

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个，而且，这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如，COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等；《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

另外，由于信息科技的细分领域众多，在进行某些细分领域的专项审计或单领域审计时，可以考虑单独使用某些国际或国内标准作为审计标准，从而达到更深入和专业的目的。比如，在进行信息安全方面的审计时，可参考ISO27001等国际标准或国内标准SSE-CMM；在审计IT运维、IT服务的交付和支持相关领域时，可以考虑采用ITIL作为审计标准；在审计IT内部控制建设相关领域时，还可以采用COSO模型中的描述来比照评估。

银行应当依据自身特点，结合本行信息科技工作的特点以及每次IT审计的目的和范围，有选择地采用审计标准，同时，根据本行信息科技工作的水平分阶段地来实施标准中的要求。