商业银行it审计的策略与方法.docxVIP

一、国内商业银行 IT 审计势在必行 90 年代末期至今，国内商业银行一直在持续的进行信息系统建设， 90%以上 的商业银行都已经开始应用信息系统来实现对客户的服务。从相关统计数据看， 对国内商业银行来说，硬件网络平台已经实现了 100%的应用；国内的大型商业 银行软件应用已经覆盖了 80%以上的商业银行业务， 部分商业银行在管理信息化 方面也陆续的完成信贷管理、 财务管理等管理信息系统的建设。 随着商业银行信 息化建设的进一步完善，商业银行对 IT 系统的依赖也越来越强。 但是，在商业银行 IT 建设的背后，也应该看到一个事实，商业银行的经营 业务的本身蕴藏着巨大的风险， 或者说， 商业银行经营的是风险。 在实现由手工 操作到电子化过程中，降低了人为的风险，但同时也带来了巨大的 IT 风险。根 据《巴塞尔协议》的相关规定，系统失效是操作风险重要组成部分。相关统计表 明，一些银行系统失效风险损失占到总风险损失的 10%-20%。国内商业银行必须 看到面临的 IT 系统相关风险在逐渐增大。因此，通过 IT 审计，及时识别 IT 风 险，完善控制措施就势在必行。 二、国内商业银行 IT 审计目标与内容 国内商业银行 IT 审计的目标与内容： 商业银行的 IT 审计的目标是通过对商 业银行所有 IT 规划、建设、应用、服务、安全等全方位的审计，充分识别与评 估 IT 风险，完善控制措施，实现 IT 系统的可用性、安全性、完整性、有效性， 最终达到强化商业银行内部控制的目的。 对商业银行的 IT 审计内容至少包括以下方面： 硬件与环境：包括商业银行的硬件网络、电源、机房环境控制等； 应用软件：针对综合业务系统、国际结算系统等业务系统，对系统的 访问控制、授权、确认、错误与特例处理，以及系统相关流程，包括对 系统的开发生命周期的审计； IT 管理与服务：包括商业银行 IT 管理与服务的工具、制度、以及方 法等有效性的审计； 信息安全：对商业银行信息安全措施的完整性与有效性进行审计； 商业连续性：为了保护银行业务持续运做，对银行在容错、备份、存 储、灾难恢复等方面的完整性与合规性方面进行审计 信息完整性：审计在确保信息正确、可信、及时等方面的的控制情况； IT 策划与项目管理：对 IT 整体规划、系统策划、项目管理等方面进 行审计。 三、商业银行 IT 审计进程与策略 国内商业银行IT建设起步晚，对IT审计了解比较少，因此如何有效的控制 一个 IT 审计项目缺乏相关的经验。针对国内商业银行的现状，提出商业银行 IT 审计工作进程以及进程与相关策略如下： 确定 IT 审计单位 根据国际通用的信息系统审计准则，要求 IT 审计工作必须独立性。因此， 商业银行在确定内外部 IT 审计单位，除了要求符合相关的资质要求，必须保证 IT 审计工作的独立性。 建议国内商业银行 IT 审计工作的开展尽可能的考虑外部 IT 审计单位，保证 IT 审计的效果。如果确定内部单位进行 IT 审计，必须保证 审计单位组织的独立性。 确定独立 IT 审计组 对商业银行的 IT 审计，即包括了软硬件系统，也包括对商业银行的业务符 合性的审计，以及 IT 项目组织、策划、服务管理等方面。因此，构成 IT 审计组 的成员应由 IT 系统专家、银行业务专家、咨询专家等多方面人员构成，主要的 审计师必须具有 IT 审计的资格。 IT 审计方案与计划 制订恰当的 IT 审计方案与计划是 IT 审计工作的核心基础，是保证审计目 标 实现，以及达到相关审计效果的关键。商业银行 IT 审计方案与计划应包括：商 业银行的信息系统现状分析；商业银行的内部控制现状初步评价； IT 审计的性 质与范围；审计工作的组织安排；审计风险评估；审计费用与成本；实施时间计 划； IT 审计方法；审计协调与沟通机制等。 IT 审计实施 IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容， 进行取证、测试与评价，最终形成 IT 审计报告。工作的方法主要包括对商业银 行 IT 系统内部控制的建立与遵守情况进行符合性与实质性测试， 分析 IT 审计差 异，逐步 IT 审计报告的相关依据。 商业银行 IT 审计内容应包括软硬件系统、 信 息安全、项目策划与管理、 IT 服务与管理等内容。针对国内商业银行信息系统 建设现状，多个系统运行，信息存储分散的实际情况，要重点审计系统的接口， 以及数据的完整性和一致性。 IT 审计报告 商业银行的 IT 审计报告应包括：审计证据汇总、审计原始底稿、与审计准 则之间的审计差异、 调整与建议内容、 审计总体意见等方面的内容。 各块内容的 汇总可以按照硬件系统、软件系统、信息安全管理、 IT 管理与服务、 IT 项目策 划与管理的结构进行组织。 持续改进 与