工商银行应用控制审计探索与实践.pdfVIP

信息化优秀成果 工商银行应用控制审计探索与实践 ◆ 工商银行天津分行 成果简介 内部风险评级管理体系的审计，重 规性，并在相关应用、系统、网络、 点关注数据流和信息流的控制有效 数据库等方面寻找可能存在的漏洞 （一）应用系统控制审计的 性，关注数据质量管理的有效性， 和脆弱性，深入挖掘电子银行业务 技术基础 即数据的准确性、完整性和适当性。 在信息、资金、运行等方面存在的 在信息科技风险治理领域， 2012 年开展的 FOVA 核心银 安全隐患。 工商银行已构建形成由信息科技管 行系统审计，是针对境外机构主机 2015年开展的全球信贷与代理 理、信息科技风险管理和信息科技 综合业务系统及其 12 个外围系统 投资管理系统控制审计，是针对开 风险审计组成的“三道防线”，其 的全面审计，重点关注系统对业务 放平台综合业务管理系统开展的审 信息科技审计体系日趋完善，总分 流和处理流控制的有效性，包括授 计，从系统控制和流程控制两条主 局一体化、专业化的审计运作模式 权管理、职责分离、数据采集和录 线揭示信贷管理系统存在的风险隐 逐渐形成。总行内部审计局成立了 入、数据准确性和完整性、处理逻 患，发现系统在关键业务流程风险 信息科技审计处，统一组织开展全 辑正确性以及输出检查和错误处理 控制上的缺失，确认系统控制的有 行信息科技审计工作。各分局建立 完善性等。 效性，评价系统对业务的支持能力。 了 IT 审计专业团队，在总局统一 2013年开展的第三方支付管理 领导下，以风险评估为导向，以年 审计是工商银行首次涉足互联网金 主要特点 度审计计划为统领，以非现场和现 融领域的审计，重点关注第三方支 场审计相结合的高效工作模式，在 付业务资金和信息安全控制的有效 （一）以合作项目引进国际 信息科技治理审计、信息技术一般 性，包括：备付金账户控制、可疑 先进审计理论和技术 控制审计和信息系统应用控制审计 交易监控、支付限额控制、清算与 工商银行通过与外部第三方 方面，进行了卓有成效的审计实践， 对账控制、系统接入安全、第三方 审计机构合作项目，深入学习了解 逐渐形成了一套科学、系统的信息 系统安全等。 国际先进 ITAC 应用控制审计程 科技审计方法体系。 2014 年和 2016 年开展的电子 序和方法论，为建立工商银行应用 银行安全审计 , 作为常规化审计项 控制审计方法体系奠定基础，如 （二）应用系统控制审计的 目每两年开展一次，是针对整个电 2012 年工商银行与毕马威合作开展 发展历程 子银行系统开展的综合性审计，重 FOVA 核心银行系统审计。项目采 工商银行基于业务功能视角， 点关注网上银行、移动银行、微信 用毕马威 ITAC 应用控制审计方法 逐步开展电子银行、信贷管理等重 银行与电话银行系统的安全性和合 论，以服务国际化战略为目标，结 要信息系统的应用控制审计工作， 揭示应用系统存在的风险隐患，促 进业务规范管理和快速发展，实现 IT 与业务的紧密结合。工商银行应 用控制审计覆盖了多种类型的信息 系统，其审计目标和内容各有侧重， 见图1。 2012 年开展的新资本协议信 息系统