为了提升IT
审计工作的效率和效能,实现有效的风险管理,商业
银行应当切实开展基于风险的IT审计工作。 一个基于风险的银行IT审计工作可以分为六个步骤进行,包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议。其中,“确定风险领域”和“设计审计程序”是最为关键的环节。 制定审计目标。银行IT审计委员会确定项目所采用的方法论、框架体系和审计目标,并对审计范围和资源配置进行说明,同时拟定最终的报告内容范围。 确定风险领域。IT审计人员根据银行的信息系统现状,结合银行的战略和业务目标,制定出适合的风险框架,包括风险等级的划分标准以及风险评估模型等。审计人员从信息系统本身的脆弱性和其对业务目标实现的影响两个维度出发,分析评估银行各信息系统的风险现状,从而筛选高风险的信息系统。 制定审计计划。基于前一阶段的风险评估结果和IT审计的关注领域,拟定以风险为导向的内部审计计划;内部审计计划在得到银行管理层最终批准之后,确定各项审计任务所需的资源和具体执行时间。 设计审计程序。对计划进行IT审计的信息系统和其支持的业务流程进行详细了解和记录,编制风险和控制矩阵,并针对选定的信息系统和其支持的业务流程分别制定不同层面的审计程序。 目前银行业IT审计比较典型的层面划分如图4所示:从上至下分为银行管理层面IT控制、应用控制和面向计算机环境整体控制三层。具体各层面的审计内容为: 银行管理层面IT控制审计(ELC):关注银行的IT治理,合规、IT战略和规划。 应用控制审计(AC):关注业务流程中内嵌的信息系统相关控制,以保证信息处理的完整性、准确性、有效性和访问控制。应用系统控制包括数据控制、业务流程控制、接口控制、系统外控制。 计算机环境整体控制(ITGC):关注与IT相关的管理控制,包括IT运营、基础设施和流程、信息安全、业务持续性管理和灾难恢复、IT基础设施等方面。 这三个层次的划分将有助于审计人员从多个角度审视银行的信息科技风险管理工作。 执行审计计划。IT审计人员将根据拟定的审计程序执行现场审计工作,记录测试结果,对测试结果进行复核和评估,并与相关人员沟通测试发现。在执行过程中,审计人员可以通过佐证性询问、现场观察、文件检查、重新执行和计算机辅助审计技术等五种测试方法的一种或几种对某项控制活动的运行有效性进行测试。 出具审计结果和管理建议。向银行管理层汇报各项审计发现和风险分析结果,出具最终的内部审计报告,并根据各项审计发现,提出合理的管理建议。(栏目:
财务审计报告/)
