当前,随着商业银行信息化建设的进一步完善,商业银行对IT系统的依赖也越来越强,与IT系统相关的风险正在在逐渐增大。最近,某国有商业银行就发生了一起范围较大的信息系统事故,对银行业务和银行信誉造成较大损害。对IT风险的识别、计量、管理和转移,已经成为商业银行必须及时解决的重大问题。IT审计,作为强化内部控制和风险管理的重要手段,也因此而受到更多的关注。现在,国内商业银行需要重视IT审计工作,通过IT审计的开展,完善内部控制,降低商业银行经营风险。
何为IT审计
IT审计是伴随着IT的飞速发展而产生的。IT应用的进步导致了需要有专门的内部控制措施才能控制新的风险。这就需要新的技术来评估控制的有效性。
目前还没有相对统一的IT审计定义。国际信息系统审计领域的专家Ron Weber将T审计定义为:收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。德勤华永会计师事务所有限公司合伙人PeterKoo将它描述为:审计人员接受委托或授权,收集并评估证据以判断计算机系统(信息系统)是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。
一般而言,IT审计指对信息系统的规划、开发、实施、运行和维护等各个环节进行评价,确保与IT相关的风险控制在可接受水平的过程。对于商业银行来说,IT审计的目标就是通过对IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估IT风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,最终达到强化商业银行内部控制的目的。
对商业银行的IT审计至少包括以下方面。硬件与环境:包括商业银行的硬件网络、电源、机房环境控制等;应用软件:对系统的访问控制、授权、确认、错误与特例处理,以及系统相关流程,包括对系统的开发生命周期的审计;IT管理与服务:包括商业银行IT管理与服务的工具、制度,以及方法等有效性的审计;信息安全:对商业银行信息安全措施的完整性与有效性进行审计;业务连续性:对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性进行审计;信息完整性:审计在确保信息正确、可信、及时等方面的的控制情况;IT策划与项目管理:对IT整体规划、系统策划、项目管理等方面进行审计。
需要特别指出的是,IT审计并不能代替IT管理的责任,IT审计应当是独立于IT管理的一种监督过程。
IT审计的实施
对商业银行的IT审计,既包括软硬件系统,也包括对商业银行的业务符合性的审计,以及IT项目组织、策划、服务管理等方面。因此,构成IT审计组的成员应由IT系统专家、银行业务专家、咨询专家等多方面人员构成,主要的审计师必须具有IT审计的资格。
恰当的IT审计方案与计划是IT审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。商业银行IT审计方案与计划应包括:商业银行的信息系统现状分析;商业银行的内部控制现状初步评价;IT审计的性质与范围;审计工作的组织安排;审计风险评估;审计费用与成本;实施时间计划;IT审计方法;审计协调与沟通机制等。
IT审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成IT审计报告。
IT审计方法的应用
对于商业银行,充分识别IT风险,是IT审计过程中的关键。商业银行的IT风险主要包括:软件体系风险、软件过程风险、项目管理风险、应用风险、用户使用风险、硬件平台风险等。在风险识别的过程中要形成风险识别底稿,对风险发生的部位、影响范围、发生原因等方面进行标识。
在IT风险充分识别与评估后,要进行IT风险控制,应用现有的控制措施或设计新的控制方法将风险降低到可接受的水平。IT审计必须符合科学、独立、审慎的精神。商业银行要从审计的实际目标出发,选择实用的方法,依据相关的国际IT审计准则开展相关工作,通过长期、持续的改进,强化IT风险控制能力,最终降低经营风险。
阅读关于 IT审计 银行 信息化 的全部文章
