返回
商业银行信息科技内部审计初步探讨.doc

商业银行信息科技内部审计初步探讨.doc

ID:59444613

大小:50.50 KB

页数:5页

时间:2020-05-24

商业银行信息科技内部审计初步探讨.doc_第1页
商业银行信息科技内部审计初步探讨.doc_第2页
商业银行信息科技内部审计初步探讨.doc_第3页
商业银行信息科技内部审计初步探讨.doc_第4页
商业银行信息科技内部审计初步探讨.doc_第5页
资源描述:

《商业银行信息科技内部审计初步探讨.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、商业银行信息科技内部审计初步探讨【摘要】中国银监会不断细化深入信息科技风险监管工作,信息科技内部审计作为商业银行重要的信息科技风险审计手段,应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。本文分析了当前商业银行在信息科技内部审计方面存在的困难,并提出了相应的应对措施与建议。【关键词】信息科技内部审计信息化2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展

2、,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。继2006年中国银监会发布《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式发布《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息

3、科技风险管理的口趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。一、信息科技内部审计范围《指引》提出了商业银行IT风险管理的“三道防线",即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:(一)专项审计专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要

4、的特殊事件都有必要展开TT专项审计。(二)全面审计应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的TT内部审计计划。(三)重要项目审计在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖

5、了银行IT的方方面面。二、信息科技内部审计面临的困难内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。(一)缺乏IT审计人才银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。(二)缺

6、乏IT审计方法及规范缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。(三)缺乏TT审计方向现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务兆动的角度,缺少为“科技引领”提供保驾护航的力度。三、商业银行如何加强IT内部审计面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。1.管理层及信息科

7、技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬。它可以积极发现TT潜在的管理疏漏,有效降低TT风险发生概率,提高IT全员的风险意识和认知。1.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试

8、。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类TT事件的分析、TT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。2.银行应当加强TT审计队伍的建设。在内部审计部内设专门的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。