如何做好銀行業(yè)IT審計(jì)

1、如何做好銀行業(yè)IT審計(jì)如何做好銀行業(yè)IT審計(jì)近年來，因銀行業(yè)務(wù)流程中對(duì)信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風(fēng)險(xiǎn)隨著系統(tǒng)的復(fù)雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴(yán)峻的考驗(yàn)。因此，作為商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的第三道防線——信息系統(tǒng)審計(jì)（簡稱IT審計(jì)）在銀行內(nèi)部控制建設(shè)過程中扮演了更為重要的角色。銀行IT審計(jì)意義目前，信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營的最基本條件之一，信息科技在有力提升銀行核心競(jìng)爭力的同時(shí)，信息科技風(fēng)險(xiǎn)也愈發(fā)突出和集中，信息科技風(fēng)險(xiǎn)控制已成為銀行業(yè)風(fēng)險(xiǎn)管理的重要內(nèi)容，而IT審計(jì)作為銀行業(yè)風(fēng)險(xiǎn)管理體系的重要組成

2、部分，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。同時(shí)，國家相關(guān)部門對(duì)信息系統(tǒng)的管控也越來越重視，自2006年8月發(fā)布銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引開始，銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管，近年來推出一系列制度和措施（見表1），監(jiān)管工作逐步走向規(guī)范化。通過IT審計(jì)來保證和監(jiān)控全行的信息科技論文聯(lián)盟管控對(duì)各級(jí)監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)實(shí)施IT審計(jì)的重要目的之一。因此，銀行業(yè)加強(qiáng)和規(guī)范IT審計(jì)，既是自身發(fā)展和獲取競(jìng)爭優(yōu)勢(shì)的內(nèi)在需要，也是監(jiān)管當(dāng)局的外部要求。論文代寫銀行IT審計(jì)標(biāo)準(zhǔn)準(zhǔn)確地運(yùn)用標(biāo)準(zhǔn)和參照，成為順利開展IT審計(jì)工作的重要前提之一。COBITCOBIT(ControlObje

3、ctivesforInformationandrelatedTechnology)是由信息系統(tǒng)審計(jì)與控制基金會(huì)最早在1996年制定的IT治理模型。這是一個(gè)在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，也是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)之一。COBIT是一個(gè)基于控制的IT治理模型，具制定的宗旨是跨越業(yè)務(wù)控制和IT控制之間的鴻溝，從而建立一個(gè)面向業(yè)務(wù)目標(biāo)的IT控制框架。COBIT本身并非針對(duì)IT審計(jì)的專門論述，其面向的使用者可以是企業(yè)中想通過改善IT過程實(shí)現(xiàn)經(jīng)營目標(biāo)的管理者，也可以是業(yè)務(wù)過程的所有者，即用戶，也可以為IT審計(jì)師。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足

4、管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經(jīng)被稱作一個(gè)治理和管理企業(yè)IT的業(yè)務(wù)框架。COBIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用，它包括了實(shí)施簡介、實(shí)施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計(jì)指南等一系列文檔(見圖1)。管理指南為每個(gè)過程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績效指標(biāo)等，并根據(jù)這些指標(biāo)對(duì)每個(gè)過程進(jìn)行了成熟度模型的劃分；而審計(jì)指南，則就審計(jì)的控制目標(biāo)、調(diào)查對(duì)象、需要掌握的證據(jù)及如何進(jìn)行測(cè)試和評(píng)估做出了詳細(xì)的說明。簡歷大全 /html/jianli/COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動(dòng)進(jìn)行了劃分，主要包括3

5、4個(gè)流程，分屬4個(gè)域。而COBIT5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個(gè)流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時(shí)也融合了風(fēng)險(xiǎn)IT價(jià)值IT流程模型。COBI硒廣泛通用性也造就了它在應(yīng)用上的弱點(diǎn)和難點(diǎn)，即COBI用對(duì)相關(guān)流程和控制目標(biāo)的描述過于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實(shí)際情況和專業(yè)經(jīng)驗(yàn)進(jìn)行較大的定制化方可實(shí)施。因此，COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略弱目標(biāo)聯(lián)系了起來，保障了企業(yè)的IT戰(zhàn)略目標(biāo)弱其業(yè)務(wù)發(fā)展目標(biāo)的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計(jì)師之間搭建了橋梁。商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引近年

6、來，隨著銀監(jiān)會(huì)信用風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)弱操作風(fēng)險(xiǎn)管理指引的發(fā)布，以及巴塞爾協(xié)議II在銀行業(yè)內(nèi)的逐步實(shí)施，推動(dòng)了銀行內(nèi)部風(fēng)險(xiǎn)管理機(jī)制的建立弱健全。但是，在全面風(fēng)險(xiǎn)管理的框架下，目前銀行的信息科技風(fēng)險(xiǎn)管理機(jī)制滯后于業(yè)務(wù)風(fēng)險(xiǎn)管理體系的發(fā)展，并未建立體系化的風(fēng)險(xiǎn)管控機(jī)制，成為了銀行風(fēng)險(xiǎn)管理體系中的短板。這主要體現(xiàn)在，信息科技風(fēng)險(xiǎn)治理組織不健全、風(fēng)險(xiǎn)管理制度不完善、風(fēng)險(xiǎn)處理過程規(guī)劃依據(jù)不充分以及風(fēng)險(xiǎn)監(jiān)控指標(biāo)不明確等方面。論文代寫2009年發(fā)布的商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引（以下簡稱指引），定義了商業(yè)銀行信息科技風(fēng)險(xiǎn)的總體框架，即在當(dāng)前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風(fēng)險(xiǎn)的范圍，使商業(yè)銀行的風(fēng)險(xiǎn)管理過程，能夠