教你銀行IT審計方法

2014-11-08 22:45:18 大云網(wǎng)　點擊量：評論 (0)

近年來，因銀行業(yè)務(wù)流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風(fēng)險隨著系統(tǒng)的復(fù)雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業(yè)銀行信息科技風(fēng)險管理的第三道防線

《指引》確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風(fēng)險管理；信息安全；信息系統(tǒng)開發(fā)、測試和維護；信息科技運行；業(yè)務(wù)連續(xù)性管理；外包；內(nèi)部審計；外部審計。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動，這些活動中存在的風(fēng)險，可能會對業(yè)務(wù)產(chǎn)生重大影響，因此對這些領(lǐng)域的風(fēng)險識別和管理，應(yīng)當(dāng)在信息科技風(fēng)險管理中優(yōu)先對待。

在這九大領(lǐng)域中，IT審計占兩個，分別是內(nèi)部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標(biāo)準(zhǔn)，銀行可以參考這個標(biāo)準(zhǔn)，開展IT審計工作。

IT審計標(biāo)準(zhǔn)選擇

實踐中使用的標(biāo)準(zhǔn)遠不止上述兩個，而且，這兩個標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如，COBIT制定時參照的標(biāo)準(zhǔn)就有ISO系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計行為準(zhǔn)則等等；《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國際標(biāo)準(zhǔn)ISO27001。

另外，由于信息科技的細分領(lǐng)域眾多，在進行某些細分領(lǐng)域的專項審計或單領(lǐng)域?qū)徲嫊r，可以考慮單獨使用某些國際或國內(nèi)標(biāo)準(zhǔn)作為審計標(biāo)準(zhǔn)，從而達到更深入和專業(yè)的目的。比如，在進行信息安全方面的審計時，可參考ISO27001等國際標(biāo)準(zhǔn)或國內(nèi)標(biāo)準(zhǔn)SSE-CMM；在審計IT運維、IT服務(wù)的交付和支持相關(guān)領(lǐng)域時，可以考慮采用ITIL作為審計標(biāo)準(zhǔn)；在審計IT內(nèi)部控制建設(shè)相關(guān)領(lǐng)域時，還可以采用COSO模型中的描述來比照評估。

銀行應(yīng)當(dāng)依據(jù)自身特點，結(jié)合本行信息科技工作的特點以及每次IT審計的目的和范圍，有選擇地采用審計標(biāo)準(zhǔn)，同時，根據(jù)本行信息科技工作的水平分階段地來實施標(biāo)準(zhǔn)中的要求。

上一頁 1 2 3 4 5 6 7 8 9 下一頁

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊