论商业银行的IT审计-资料

1、论商业银行的 IT 审计 一、商业银行进行信息系统审计的意义 （一）商业银行日益依赖信息系统。商业银行信息系统一般 可分为信息管理类系统、渠道类系统和外部清算结算类系统。 1. 信息管理类系统与决策、 管理和业务相关， 以提高效率和 规避风险为目的，主要有贷款系统、征信系统、客户管理系统、 资产负债管理系统、办公自动化系统、档案系统（票据影像缩微 系统和光学字符识别 OCR、数字终端录像系统、数字视频监控 系统等。 2. 渠道类系统是商业银行面向市场和客户的窗口， 也是对外 服务使用的载体，包括人工渠道、电子渠道和第三方渠道。人工 渠道有柜面服务和职能部门的业务终端（例如会计账查询系统 等）；

2、电子渠道分为自助服务系统（电话银行、手机银行和网上 银行）和自助服务终端（ATM和P0S ;第三方渠道包括银联交 易、区域性通存通兑和同城跨行通存通兑等。 外部清算类系统是 指有外部接口的系统，包括行间资金转账系统SHFT主要有大 额清算系统、 同城交换系统、 同业往来清算系统和第三方存管清 算系统。 （二）大数据时代将到来。随着信息系统的大力发展，商业 银行信息系统出现了爆发式的增长， 银行业务越来越依赖信息系 统，商业银行的竟争很大一部分是靠信息战。目前，各大银行都 实现了数据的总行大集中， 信息数据己经成为银行的核心竟争力 之一，大数据时代即将到来。 (三) 监管当局的外部要求。随着金融

3、业对信息系统的依赖 度越来越高， 国家相关部门对信息系统的管控也越来越重视， 自 2006年 8月发布银行业金融机构信息系统风险管理指引开 始，银监会正式对银行科技风险进行监管， 近年来推出一系列制 度和措施，监管工作逐步走向规范化。通过 IT 审计来保证和监 控全行的信息科技管控对各级监管政策法规的合规性， 也成为银 行业实施 IT 审计的重要目的之一。 二、商业银行 IT 审计标准 商业银行 IT 审计，以国际最佳实践及相应的规则做为审计 依据。主要有： 1.COBIT 最佳实践模型 COBIT(Control Objectives for Information and related

4、Technology )是由信息系统审计与控制基金会最早在 1996 年制 定的 IT 治理模型。这是一个在国际上公认的、权威的安全与信 息技术管理和控制的标准，其最大的作用是将 IT 过程、 IT 资源 与企业的策略和目标联系起来，保障企业的 IT 战略目标和其业 务发展目标的一致性。 C0BIT4.1版本中经典的体系框架包括了实施简介、实施工 具集、高层控制目标框架、管理指南、具体控制目标、审计指南 等一系列文档。 2.监管部门颁发的商业银行信息科技风险管理指引 2009年发布的商业银行信息科技风险管理指引（以下 简称指引），定义了商业银行信息科技风险的总体框架，即 在当前商业银行普遍的信

5、息科技现状下， 可能存在的重大信息科 技风险的范围， 使商业银行的风险管理过程， 能够集中精力在相 关领域。 指引确定了九大管理领域，即：信息科技治理；信息科 技风险管理；信息安全；信息系统开发、测试和维护；信息科技 运行；业务连续性管理；外包；内部审计；外部审计。这些领域 覆盖了信息科技管理的大多数重要活动，这些活动中存在的风 险，可能会对业务产生重大影响， 因此对这些领域的风险识别和 管理，应当在信息科技风险管理中优先对待。 在这九大领域中， IT 审计占两个，分别是内部审计和外部 审计。而指引本身，就是一个针对银行的框架完整的 IT 审 计标准，银行可以参考这个标准，开展 IT 审计工作

6、。 3. 其他 IT 审计标准 除了以上两个标准，实践中还可使用其他标准，如，由于信 息科技的细分领域众多， 在进行某些细分领域的专项审计或单领 域审计时，可以考虑单独使用某些国际或国内标准作为审计标 准，从而达到更深入和专业的目的。比如，在进行信息安全方面 的审计时，可参考 ISO27001 等国际标准或国内标准 SSE-CM；M 在审计 IT 运维、 IT 服务的交付和支持相关领域时，可以考虑采 用 ITIL 作为审计标准；银行应当依据自身特点，结合本行信息 科技工作的特点以及每次 IT 审计的目的和范围，有选择地采用 审计标准。 三、银行业 IT 审计展望 （一）加强以风险为导向的 IT

7、 审计 银行 IT 审计职能和角色也在过去这些年发生了不少变化， 从以合规审计为主的工作， 逐渐变成了活跃的内部或外部业务顾 问。如前文所述， 基于风险的银行 IT 审计工作将成为银行 IT 审 计的主流工作方法。 （二）计算机辅助审计技术（CAATS会在IT审计中得以广 泛应用 计算机辅助审计技术是指审计人员在审计过程和审计管理 活动中，以计算机为工具，来执行和完成某些审计程序和任务。 计算机辅助审计包含两个层次的内容： 第一个层次是指在审 计业务中利用电子表格、 数据库、字处理常规软件中的一些功能， 或审计人员自编的一些小程序，帮助审计人员计算、复核、分析 审计数据。第二个层次是指利用专门的辅助审计软件进行项目审 计。在开展行业审计时，根据审计工作方案，编制专门的审计汇 总软件，自下而上， 从审计底稿开始， 对审计情况进行逐级汇总。 对于银行业来说，实施成熟、适用的审计辅助软件，也成为 IT 审计的一个发展方向。 （三）数据分析（DA将支持银行的持续监控与审计 数据分析指的是一整套技术、 流程与应用工具，