学习资料: 艾拓先锋论坛专家讲堂直播 300期视频回放
IT审计人员的比例
目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行,由于信息科技已渗透于银行的各个领域,信息技术已与业务紧密结合在一起,无论作为内部审计的对象,还是内部审计的手段,内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下,花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。
IT治理中审计人员的角色
IT审计员在IT治理的过程中,他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中,在此过程中始终承担着评估与评价的职责。计划和组织域中,内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估,技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持,保证服从外部要求,风险和管理质量的评估等。
在获得和实施域中,内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价,获得和维护应用软件的评价和支持,获得和维护技术架构,开发和维护过程、安装和认证系统的评价,管理变化的评价和支持等。
在交付和支持领域,审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用,教育、培训和支持用户,管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估,保证系统安全的检查、评估和支持。
在监控领域,审计师的角色是监控过程,评价内部控制,获得独立保证,提供独立审计的检查、评估和支持。
国内外银行IT审计的差异
面对我国银行数据大集中的形势,银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步,与国外发达银行比较还存在很大的差异性,主要体现在以下几个方面:
审计覆盖面上的差异
目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处,股改后直接向董事会负责,这与国际惯例基本是一致的,体现了银行最高领导层充分重视IT在银行中的地位,并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR(一般控制)和ACR(应用控制)的全方位IT审计。但我国由于信息技术审计工作开展不长,并且人员有限,还未能全面开展一般控制和应用控制的IT审计工作,基本处于一般控制的摸索阶段,距国际先进水平还有较大的差距。
组织结构和人员上的差异
从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看,IT审计由于涵盖了软件开发和项目投产、运行维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上无论与国际先进水平还是银行的IT架构相比,均有不小的差距。同时,由于目前内审部门的信息技术审计组织结构不尽完善且人员不足,无法进一步细分审计职能、明确专业审计方向。另外,在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大,需要加强力量研究解决。
|
转播
分享
淘帖
()
