工商銀行信息科技審計實踐

1、工商銀行信息科技審計實踐>>> 專題二 ,年來,銀監(jiān)會先后出臺了商 業(yè)銀行信息科技風險管理指 引,商業(yè)銀行數據中心監(jiān)管指引 等制度法規(guī)和監(jiān)管指引 ,對商業(yè)銀行 的信息科技風險管理 ,信息科技審計 提出了明確的要求 .在董事會 ,高管 層的關心和支持下 ,工商銀行的信息 科技審計工作有了長足的進步 ,在全 行信息科技風險的控制和管理中發(fā)揮 了積極的作用 ,工作成效得到了董事 會,行領導和被審計單位的充分肯定 信息科技審計基本情況 1.信息科技審計的發(fā)展歷程 .大 致可分為做準備 ,打基礎和上層次 3 個階段，其中,20022003年是”做 準備”階段,工

2、行在總行稽核監(jiān)督局 成立了信息科技審計處 ,專職負責全 行信息科技審計工作 ,并嘗試開展了些專項審計項目 .20042006年是”打基礎”階段,通過自行探索和 引入外部合作 ,工行制訂了信息科技 審計工作規(guī)范 ,風險評估流程 ,建立 了規(guī)范的信息科技審計工作程序 ,為 今后信息科技審計工作發(fā)展奠定了堅 實的基礎.2007年至今，是IT審計 工作”上層次 ”階段,對軟件開發(fā)中 心,數據中心 ,災備中心開展了全面 審計,實現了對信息科技風險領域全 覆蓋,有效地防范了信息科技風險 . 2.信息科技審計項目開展情況 .32l 岔知屯 j2o10 年 8 月 文/中國工商銀行內部審計局副局長仲安妮 近年

3、來 ,工商銀行內部審計遵循一體 化,標準化 ,專業(yè)化的發(fā)展理念 ,持 續(xù)開展了對全行 IT 治理,信息科技風 險管理和內部控制的審計評價 ,實現 了對全行信息科技總體規(guī)劃 ,科技管 理,系統(tǒng)研發(fā) ,運行維護和信息安全 的有效監(jiān)督 .在信息科技審計實踐過 程中 ,工行通過引人國際先進的 IT 審 計理念 ,遵循以風險為導向的原則 , 采用現場與非現場方式相結合 ,實施 了規(guī)范的審計工作流程 ,標準的審計 程序以及全新的審計方法 ,技術和工 具,取得了良好的成效 .2006 年以來,內部審計局組織 開展了全行信息科技風險內部審計評 價,信息系統(tǒng)開發(fā)和統(tǒng)一認證系統(tǒng)審 計評價 ,開放平臺系統(tǒng)安全管理審

4、計 , 數據中心內部控制自評估審計咨詢 , FOVA 系統(tǒng)運行管理審計等 10余個 IT 蘿,摻 i t l 審計項目 ,對總行信息科技部 ,軟件 開發(fā)中心 ,數據中心 （上海 ）,數據中 心（北京 ）,海外數據中心 ,部分分行 等機構開展了信息科技風險審計工作 , 實現了對全行信息科技風險管理和內 部控制的全面審計評價 . 信息科技審計方法體系1.信息科技審計工作規(guī)范體系 . 2006年,以 COBIT,ISO17799 等國際 標準為基礎 ,參照國外先進的 IT 審計 規(guī)范和最佳實踐 ,根據銀行業(yè)金融 機構信息系統(tǒng)風險管理指引等有關 監(jiān)管法規(guī) ,內審局制定了 IT 審計指 引 ,(rr 審

5、計工作規(guī)范 ,建立了 IT 風險控制矩陣和審計測試模板 ,構建 了 I1 '審計工作規(guī)范體系 .下面 ,具體 介紹 IT 風險控制矩陣 . 孛安妮畢業(yè)于山東大學計算機專 韭和 8 本 A07S 研修生.中國 I 商鑷行內 部審計局哥禺長 ,金標委委員曾任總行 科技部副總經理 ;天津分行行長助理長 期姒蓼技授內掌管理工作 ,專長于將 代風險管理和信息科技應用于審計實踐 , 主要成果 :設計建立 7I 行第一套 lT 竄 計 I 作規(guī)范和風鹼評估框架 ; 研發(fā)建立 7 內部審討的風險評估 ,監(jiān)溯指標方法體系 開發(fā)投產了審計業(yè)務和管理信息系統(tǒng) ;組 織完成7近30個重要審計項s.并建立 起各

6、審計頃目的實務標準 s 規(guī)范 我們把 IT 風險劃分為領域 ,控制流程和控制點三個 層次 ,將全部 IT 風險點列入風險控制矩陣 ,并對每個風 險控制點的控制目標 ,控制活動 ,控制特性以及主要風 險進行了詳盡的描述 ,使審計的范圍和內容非常明確 , 與風險點相關的信息一目了然 .利用風險控制矩陣 ,審 計人員既可以進行全面審計 ,也能夠根據需要有重點 , 有選擇地開展對部分領域或內容的專項審計 .風險控制 矩陣一旦建立 ,可以長期使用 ,即便信息系統(tǒng)日后發(fā)生 變化 ,也只需對風險控制矩陣的相應內容進行調整 . 2009年,根據內部審計標準化體系建設要求 ,IT 審 計制度體系在原有成果的基礎

7、上本著 ”查漏補缺 ,先易后 難,統(tǒng)籌兼顧 ,重點突破 ”的原則 ,重新制訂了信息科 技審計實施細則 ,重點對 IT 風險非現場持續(xù)監(jiān)測工作進 行了深入的研究 ,初步確定了 IT 風險非現場監(jiān)測的工作 思路，工作規(guī)范，工作內容等，明確了 IT機構聯系人IT 作職責 ,以指導 IT 風險非現場持續(xù)監(jiān)測工作的逐步開展 . 2.信息科技風險評估體系 .早在 2006 年,我們就制 訂了 IT 審計風險評估手冊 ,涵蓋了實施風險評估的流 程,方式,方法和評估模版等內容 ,初步建立起了適合 工行實際的 IT 風險評估指標體系 .2009年,我們在以往 工作的基礎上 ,頒布了信息科技風險評估實施細則 ,

8、對 IT 風險評估的對象 ,方法 ,程序進行了重新修訂 .同 時根據最新的銀監(jiān)會商業(yè)銀行信息科技風險管理指引 重新設計了 IT 風險評估的指標體系 ,從信息科技機構 , IT 管理流程,應用系統(tǒng)三個層面來開展 IT 風險評估.在 制訂信息科技風險評估實施細則期間 ,同步開展了 2010年度 IT 風險評估工作 ,對該細則進行了驗證 . 風險評估貫穿于 IT 審計工作的整個流程 .信息科技 風險評估實施細則對風險評估在 I,r 審計工作中的應用 進行了明確的規(guī)定 .在制訂長期的工作規(guī)劃 ,年度工作計 劃,項目實施計劃之前 ,利用已建立的風險評估體系 ,確 帝 TT 宙計的螢點墮侍 , 系統(tǒng)和螢點

9、領域 . 從機構 , 流程CoverStory>>> 專題二2009 年,內審局結合我行信息科技工作實際特性 ,以 數據中心 （北京）為試點引入了 CSA 技術,采取”點線面 i 位一體相結合的工作方法 ,傳導并推動中心全員找出自 身內部控制設計和執(zhí)行中的缺陷 ,推動改善和優(yōu)化全行的 內控程序 ,達到提高全行風險控制能力和為組織增加價值 的目的.其中, ”點”指的是優(yōu)化完善傳統(tǒng)的專題會議研討法 . 通過召開以事件 ,目標 ,風險為驅動的專題研討會 ,引導 中心各核心項目團隊深入探討分析控制流程中存在的風險 點和薄弱環(huán)節(jié) ,提出改善意見和建議 . ”線”

10、指的是使用 風險控制矩陣評估 ,是一種具有工行特色的 CSA 創(chuàng)新方法 . 項目組在評估中依據風險控制矩陣 ,將中心四大工作職能 劃分為 8 大領域 ,l4 個一級流程 ,61 個二級子流程 ,細 分了評估任務 ,通過內部審計項目組人員的指導和實干中 傳幫帶,輔以訪談 ,控制測試抽樣等方式 ,對中心各業(yè)務 流程做全面梳理與評估 . ”面”指的是設計個性化的問卷 調查法 .項目組利用中心高效的信息化辦公系統(tǒng)向全體員 >>> 專題二 工發(fā)放調查問卷 ,使 CSA 的工作理念 ,方法得到更大范 圍的傳播與推廣 .在 CSA 方法體系推廣過程中 , 通過向數據

11、中心高中層 領導 ,各崗位員工傳導內部控制理念 ,由各部門組織一線 人員輔以點 ,線 ,面三結合的評估方法 ,在對工作流程全 面梳理過程中 ,從管理者角度對中心各領域的潛在風險進 行再認識 ,再評估與再控制 ,上至各層級管理人員 ,下至 各部門的每一名員工，均達到了 CSA項目自我評估，自我 改善，自我提升的目標通過項目實踐表明,CSA可以將 風險和控制的理念滲透到中心上下的每位員工 ,使他們真 正理解 ,掌握和運用內控評估的方法論 .4.充分發(fā)揮審計管理信息系統(tǒng)（AM2009）的作用. 審計管理信息化是通過運用技術手段對內部審計的機構 人員 ,費用等資源進行科學化管理 ,逐步實現年度計劃管理

12、 項目計劃管理 ,項目實施,問題管理,工作支持以及審計 綜合管理的信息化 ,標準化和一體化 ,控制審計質量 ,提 高審計效率 ,規(guī)范審計活動 ,提高審計管理的精細化程度 . 2006 年,我行就著手啟動審計信息化工作 .2008 年 投產的審計管理信息系統(tǒng)（AM2009）,實現了審計計劃管 理,審計項目管理 ,審計綜合管理等功能 .系統(tǒng)將各類標 準化的工作流程和工作模板全面整合至統(tǒng)一的審計系統(tǒng)操 作平臺上 ,實現我行所有審計活動的全面計算機操作和控 制,充分利用信息手段和資源 ,提高審計人員對各種業(yè)務 風險的識別 ,控制和管理能力 ,使審計資源配置更趨于合理 有效提升審計工作質量和效率 .通過

13、系統(tǒng)的手段 ,實現了審計師 ,主審人 ,審計組長 對工作底稿三層復核 ,逐級把關的機制 ,同時系統(tǒng)在各種 工作模板（如風險矩陣 ,穿行測試,控制測試模板等 ）之 間建立自動鏈接和鉤稽關系 ,在模板填寫過程中進行實時 校驗,以此避免目前實務操作中審計人員要針對同一項內 容在不同模板之間重復填寫的問題 ,并確保審計證據能夠 支持審計結論的定性 ,有效提高現場審計效率和工作質量 固圈囤團回圃西囝 當前,商業(yè)銀行信息科技審計工作面臨的形勢更為復 雜,外部監(jiān)管 El 趨嚴格 ,各項業(yè)務快速發(fā)展 ,所有這些都 對信息科技審計工作提出了更高的要求 .1. 信息科技審計應當前瞻性 ,預見性地發(fā)現并報告一 些潛

14、在的風險問題 .及時提出管理建議 .這就要求我們保 34I 金電億 20108.,EJ 持高度的敏感和嗅覺 ,加強對復雜環(huán)境下風險演變趨勢的 前瞻性研究 ,盯住全行的主要業(yè)務 ,重要系統(tǒng) ,關鍵環(huán)節(jié) 和重大風險領域 ,向決策層提供支持信息 ,為全行信息科 技的健康發(fā)展提供增值服務 .2. 努力實現建設 ”國際一流 ,國內領先 ,同業(yè)標桿 . 有工行特色的內部審計體系 ”發(fā)展目標 .這就要求我們持 續(xù)完善和優(yōu)化 IT 審計的體制機制 ,提高 IT 審計團隊的履 職能力，積極開展IT內部控制自我評估，突出IT審計的 特色,實現對我行信息科技的規(guī)劃 ,管理 ,研發(fā),維護和 信息安全的合理監(jiān)督 ,建立

15、國內領先 ,國際一流 ,具有工 行特色的 IT 審計體系 ,為全行信息科技風險的防范做出應 有貢獻.3. 加快對審計方法技術快速發(fā)展的創(chuàng)新步伐 .搭建適 應全行全面風險管理要求的 lT 審計技術方法體系 .以信息 化建設為基礎 ,以非現場審計技術為突破口 ,實現對主要 風險的評估和持續(xù)監(jiān)測 ,對審計活動提供全方位的技術支 持.以健全我行信息科技風險防范體系為宗旨 ,以董事會 關注的 IT 治理 ,信息安全為重點 ,逐步建立信息科技風險 預警機制 ,為我行信息系統(tǒng)風險防范發(fā)揮重要作用 .4. 外部監(jiān)管環(huán)境的變化對信息科技審計工作提出了新 要求.近兩年,銀監(jiān)會,人民銀行等相繼發(fā)布了一系列監(jiān) 管指引和管理規(guī)范 ,這不僅是一個遵循執(zhí)行的問題 ,更要 求我們?yōu)榻⑴c完善 IT 控制和審計標準出謀劃策 ,調整充 實現有的審計和評價辦法 .今后的發(fā)展設想1. 加快專業(yè)技術方法的創(chuàng)新 .以信息化為基礎 ,以風 險和控制評估方法體系為支撐 ,以非現場技術為抓手 ,著 力構建全行風險視圖 ,力爭達到 ”遠程排查 ,精確審計 ” 的目