内部审计论文关于商业银行信息科技内部审计初步论文范文参考资料VIP

内部审计论文关于商业银行信息科技内部审计初步论文范文参考资料 【摘要】中国银监会不断细化深入信息科技风险监管工作，信息科技内部审计作为商业银行重要的信息科技风险审计手段，应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。本文分析了当前商业银行在信息科技内部审计方面存在的困难，并提出了相应的应对措施与倡议。 【关键词】信息科技 内部审计 信息化 2000年以来，继四大行成功完成数据大集中后，各股份制商业银行纷纷加入数据大集中的行列，“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识，电子银行渠道持续拓展，商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显，另一方面也使得商业银行的信息科技风险进一步放大。 继xx年中国银监会发布银行业金融机构信息系统风险管理指引将信息科技风险纳入商业银行风险管理范畴后，xx年银监会又正式发布商业银行信息科技风险管理指引（下文简称指引），进一步加强商业银行信息科技风险管理。xx年银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范，信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视，客观上提高了商业银行信息科技风险管理工作的重视程度。 指引提出了商业银行IT风险管理的“三道防线”，即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照指引要求，银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员，并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面： 专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。 应定期实施全行范围内的IT内部审计，应充分考虑业务性质、规模及复杂度，区分总行信息部门（数据中心）、分行、支行等各个层级，制定全覆盖的IT内部审计计划。 在进行大规模系统开发时，内部审计部应对系统开发的整个生命周期进行制约。包括项目前期的可行性研究、需求分析，项目开发，项目正式上线后的业务及运维。实际操作中，可以根据项目情况，对各项目里程碑展开相应的审计工作。 可以看出，IT内部审计既有全面审计，也有专项审计，还包括重大项目审计，涵盖了银行IT的方方面面。 内部审计部门应当从上述三个方面入手，检查评估商业银行信息科技系统和内控机制的充分性和有效性，提出整改意见并检查整改意见的落实情况。近年来，商业银行根据指引做了大量工作，但是在信息科技内部审计方面仍然存在诸多困难。 银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱，极大地影响了IT内部审计的成效，甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。 缺少规范的IT审计策略论，缺乏对整个银行信息系统的全局认识，在IT内部审计中会存在不知道审什么、不知道怎么审，不容易把握IT内部审计的重点，无法触及部分风险隐患。 现阶段银行的IT内部审计都是为了满足监管要求，没有站在业务驱动的角度，缺少为“科技引领”提供保驾护航的力度。 面对上述困难与挑战，银行应当充分认识IT内部审计对银行的重要作用，内部审计部门主动加强与信息科技部门的共同协作，加强IT审计专业队伍的建设。 1.管理层及信息科技部应当认识到，IT内部审计作为IT风险审计的重要一环，是IT风险管理的重要组成部分，应当重视内部IT审计部门及岗位的建立，充分发挥其积极作用。对IT内部审计的有效管理，可及时评价IT整体风险管理的水平，可对开发项目进行事中制约，分析IT事件理由、提出整改意见并监督落实。信息科技部应该认识到，IT内部审计不是故意“挑错找茬”，它可以积极发现IT潜在的管理疏漏，有效降低IT风险发生概率，提高IT全员的风险意识和认知。 3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗，有条件的银行可以设立独立的IT审计部门。不仅要学习审计的策略论、沟通技巧，还要积极学习相关的信息技术，专业的IT审计人才应当掌握较为全面的信息技术，对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。 展望未来，银行信息科技内部审计不能局限于应对监管需求，而应立足于银行战略与业务需求，立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环，建立完善的信息科技内部审计管理体系，并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用，有意识地引导与加强信息科技部门与内部审计部门的合作共赢，加强信息科技审计专业队伍建设，确保信息科技内部审计真正实现价值，为信