【word】 工商银行信息科技审计实践.doc

工商银行信息科技审计实践>>>专题二,年来,银监会先后出台了商业银行信息科技风险管理指引,商业银行数据中心监管指引等制度法规和监管指引,对商业银行的信息科技风险管理,信息科技审计提出了明确的要求.在董事会,高管层的关心和支持下,工商银行的信息科技审计工作有了长足的进步,在全行信息科技风险的控制和管理中发挥了积极的作用,工作成效得到了董事会,行领导和被审计单位的充分肯定.信息科技审计基本情况1.信息科技审计的发展历程.大致可分为做准备,打基础和上层次3个阶段,其中,20022003年是”做准备”阶段,工行在总行稽核监督局成立了信息科技审计处,专职负责全行信息科技审计工作,并尝试开展了一些专项审计项目.20042006年是”打基础”阶段,通过自行探索和引入外部合作,工行制订了信息科技审计工作规范,风险评估流程,建立了规范的信息科技审计工作程序,为今后信息科技审计工作发展奠定了坚实的基础.2007年至今,是it审计工作”上层次”阶段,对软件开发中心,数据中心,灾备中心开展了全面审计,实现了对信息科技风险领域全覆盖,有效地防范了信息科技风险.2.信息科技审计项目开展情况.32l岔知屯j2o10年8月文/中国工商银行内部审计局副局长仲安妮近年来,工商银行内部审计遵循一体化,标准化,专业化的发展理念,持续开展了对全行it治理,信息科技风险管理和内部控制的审计评价,实现了对全行信息科技总体规划,科技管理,系统研发,运行维护和信息安全的有效监督.在信息科技审计实践过程中,工行通过引人国际先进的it审计理念,遵循以风险为导向的原则,采用现场与非现场方式相结合,实施了规范的审计工作流程,标准的审计程序以及全新的审计方法,技术和工具,取得了良好的成效.2006年以来,内部审计局组织开展了全行信息科技风险内部审计评价,信息系统开发和统一认证系统审计评价,开放平台系统安全管理审计,数据中心内部控制自评估审计咨询,fova系统运行管理审计等10余个it萝,掺itl审计项目,对总行信息科技部,软件开发中心,数据中心(上海),数据中心(北京),海外数据中心,部分分行等机构开展了信息科技风险审计工作,实现了对全行信息科技风险管理和内部控制的全面审计评价.信息科技审计方法体系1.信息科技审计工作规范体系.2006年,以cobit,iso17799等国际标准为基础,参照国外先进的it审计规范和最佳实践,根据银行业金融机构信息系统风险管理指引等有关监管法规,内审局制定了it审计指引,(rr审计工作规范,建立了it风险控制矩阵和审计测试模板,构建了i1审计工作规范体系.下面,具体介绍it风险控制矩阵.孛安妮.毕业于山东大学计算机专韭和8本a07s研修生.中国i商镊行内部审计局哥禺长,金标委委员曾任总行科技部副总经理;天津分行行长助理长期姒蓼技授内掌管理工作,专长于将代风险管理和信息科技应用于审计实践,主要成果:设计建立7i行第一套lt窜计i作规范和风硷评估框架;研发建立7内部审讨的风险评估,监溯指标方法体系;开发投产了审计业务和管理信息系统;组织完成7近30个重要审计项s.并建立起各审计顷目的实务标准s规范我们把it风险划分为领域,控制流程和控制点三个层次,将全部it风险点列入风险控制矩阵,并对每个风险控制点的控制目标,控制活动,控制特性以及主要风险进行了详尽的描述,使审计的范围和内容非常明确,与风险点相关的信息一目了然.利用风险控制矩阵,审计人员既可以进行全面审计,也能够根据需要有重点,有选择地开展对部分领域或内容的专项审计.风险控制矩阵一旦建立,可以长期使用,即便信息系统日后发生变化,也只需对风险控制矩阵的相应内容进行调整.2009年,根据内部审计标准化体系建设要求,it审计制度体系在原有成果的基础上本着”查漏补缺,先易后难,统筹兼顾,重点突破”的原则,重新制订了信息科技审计实施细则,重点对it风险非现场持续监测工作进行了深入的研究,初步确定了it风险非现场监测的工作思路,工作规范,工作内容等,明确了it机构联系人lt作职责,以指导it风险非现场持续监测工作的逐步开展.2.信息科技风险评估体系.早在2006年,我们就制订了it审计风险评估手册,涵盖了实施风险评估的流程,方式,方法和评估模版等内容,初步建立起了适合工行实际的it风险评估指标体系.2009年,我们在以往工作的基础上,颁布了信息科技风险评估实施细则,对it风险评估的对象,方法,程序进行了重新修订.同时根据最新的银监会商业银行信息科技风险管理指引,重新设计了it风险评估的指标体系,从信息科技机构,it管理流程,应用系统三个层面来开展it风险评估.在制订信息科技风险评估实施细则期间,同步开展了2010年度it风险评估工作,对该细则进行了验证.风险评估贯穿于it审计工作的整个流程.信息科技风险评估实施细则对风险评估在i,r审计工作中的应用进行了明确的规定.在制订长期的工作规划,年度工作计划,项目实施计划之前,利用已建立的风险评估体系,确帝tt宙计的萤点堕侍,系统和萤点领域.从机构,流程coverstory>>>专题二2009年,内审局结合我行信息科技工作实际特性,以数据中心(北京)为试点引入了csa技术,采取”点线面”i位一体相结合的工作方法,传导并推动中心全员找出自身内部控制设计和执行中的缺陷,推动改善和优化全行的内控程序,达到提高全行风险控制能力和为组织增加价值的目的.其中,”点”指的是优化完善传统的专题会议研讨法.通过召开以事件,目标,风险为驱动的专题研讨会,引导中心各核心项目团队深入探讨分析控制流程中存在的风险点和薄弱环节,提出改善意见和建议.”线”指的是使用风险控制矩阵评估,是一种具有工行特色的csa创新方法.项目组在评估中依据风险控制矩阵,将中心四大工作职能划分为8大领域,l4个一级流程,61个二级子流程,细分了评估任务,通过内部审计项目组人员的指导和实干中传帮带,辅以访谈,控制测试抽样等方式,对中心各业务流程做全面梳理与评估.”面”指的是设计个性化的问卷调查法.项目组利用中心高效的信息化办公系统向全体员>>>专题二工发放调查问卷,使csa的工作理念,方法得到更大范围的传播与推广.在csa方法体系推广过程中,通过向数据中心高中层领导,各岗位员工传导内部控制理念,由各部门组织一线人员辅以点,线,面三结合的评估方法,在对工作流程全面梳理过程中,从管理者角度对中心各领域的潜在风险进行再认识,再评估与再控制,上至各层级管理人员,下至各部门的每一名员工,均达到了csa项目自我评估,自我改善,自我提升的目标.通过项目实践表明,csa可以将风险和控制的理念渗透到中心上下的每位员工,使他们真正理解,掌握和运用内控评估的方法论.4.充分发挥审计管理信息系统(am2009)的作用.审计管理信息化是通过运用技术手段对内部审计的机构,人员,费用等资源进行科学化管理,逐步实现年度计划管理,项目计划管理,项目实施,问题管理,工作支持以及审计综合管理的信息化,标准化和一体化,控制审计质量,提高审计效率,规范审计活动,提高审计管理的精细化程度.2006年,我行就着手启动审计信息化工作.2008年投产的审计管理信息系统(am2009),实现了审计计划管理,审计项目管理,审计综合管理等功能.系统将各类标准化的工作流程和工作模板全面整合至统一的审计系统操作平台上,实现我行所有审计活动的全面计算机操作和控制,充分利用信息手段和资源,提高审计人员对各种业务风险的识别,控制和管理能力,使审计资源配置更趋于合理,有效提升审计工作质量和效率.通过系统的手段,实现了审计师,主审人,审计组长对工作底稿三层复核,逐级把关的机制,同时系统在各种工作模板(如风险矩阵,穿行测试,控制测试模板等)之间建立自动链接和钩稽关系,在模板填写过程中进行实时校验,以此避免目前实务操作中审计人员要针对同一项内容在不同模板之间重复填写的问题,并确保审计证据能够支持审计结论的定性,有效提高现场审计效率和工作质量.固圈囤团回圃西囝当前,商业银行信息科技审计工作面临的形势更为复杂,外部监管el趋严格,各项业务快速发展,所有这些都对信息科技审计工作提出了更高的要求.1.信息科技审计应当前瞻性,预见性地发现并报告一些潜在的风险问题.及时提出管理建议.这就要求我们保34i金电亿20108.,ej持高度的敏感和嗅觉,加强对复杂环境下风险演变趋势的前瞻性研究,盯住全行的主要业务,重要系统,关键环节和重大风险领域,向决策层提供支持信息,为全行信息科技的健康发展提供增值服务.2.努力实现建设”国际一流,国内领先,同业标杆.有工行特色的内部审计体系”发展目标.这就要求我们持续完善和优化it审计的体制机制,提高it审计团队的履职能力,积极开展it内部控制自我评估,突出it审计的特色,实现对我行信息科技的规划,管理,研发,维护和信息安全的合理监督,建立国内领先,国际一流,具有工行特色的it审计体系,为全行信息科技风险的防范做出应有贡献.3.加快对审计方法技术快速发展的创新步伐.搭建适应全行全面风险管理要求的lt审计技术方法体系.以信息化建设为基础,以非现场审计技术为突破口,实现对主要风险的评估和持续监测,对审计活动提供全方位的技术支持.以健全我行信息科技风险防范体系为宗旨,以董事会关注的it治理,信息安全为重点,逐步建立信息科技风险预警机制,为我行信息系统风险防范发挥重要作用.4.外部监管环境的变化对信息科技审计工作提出了新要求.近两年,银监会,人民银行等相继发布了一系列监管指引和管理规范,这不仅是一个遵循执行的问题,更要求我们为建立与完善it控制和审计标准出谋划策,调整充实现有的审计和评价办法.今后的发展设想1.加快专业技术方法的创新.以信息化为基础,以风险和控制评估方法体系为支撑,以非现场技术为抓手,着力构建全行风险视图,力争达到”远程排查,精确审计”的目的.2