教你銀行IT審計方法

2014-11-08 22:45:18 大云網(wǎng)　點擊量：評論 (0)

近年來，因銀行業(yè)務(wù)流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風險隨著系統(tǒng)的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業(yè)銀行信息科技風險管理的第三道防線

COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動進行了劃分，主要包括34個流程，分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點和難點，即COBIT中對相關(guān)流程和控制目標的描述過于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實際情況和專業(yè)經(jīng)驗進行較大的定制化方可實施。

因此，COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略和目標聯(lián)系了起來，保障了企業(yè)的IT戰(zhàn)略目標和其業(yè)務(wù)發(fā)展目標的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計師之間搭建了橋梁。

《商業(yè)銀行信息科技風險管理指引》

近年來，隨著銀監(jiān)會信用風險、商業(yè)風險和操作風險管理指引的發(fā)布，以及“巴塞爾協(xié)議II”在銀行業(yè)內(nèi)的逐步實施，推動了銀行內(nèi)部風險管理機制的建立和健全。但是，在全面風險管理的框架下，目前銀行的信息科技風險管理機制滯后于業(yè)務(wù)風險管理體系的發(fā)展，并未建立體系化的風險管控機制，成為了銀行風險管理體系中的短板。這主要體現(xiàn)在，信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規(guī)劃依據(jù)不充分以及風險監(jiān)控指標不明確等方面。

2009年發(fā)布的《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》），定義了商業(yè)銀行信息科技風險的總體框架，即在當前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風險的范圍，使商業(yè)銀行的風險管理過程，能夠集中精力在相關(guān)領(lǐng)域中。

《指引》確定了