工商银行信息科技审计实践.docx

工商银行信息科技审计实践& gt;>>专题二，年来，银监会先后出台了《商业银行信息科技风险管理指弓I》，《商业银行数据中心监管指引》 等制度法规和监管指引，对商业银行 的信息科技风险管理，信息科技审计 提岀了明确的耍求•在董事会，高管 层的关心和支持下，工商银行的信息 科技审计工作有了长足的进步，在全 行信息科技风险的控制和管理中发挥 了积极的作用，工作成效得到了董事 会,行领导和被审计单位的充分肯定.信息科技审计基本情况1•信息科技审计的发展历程.大致可分为做准备，打基础和上层次3 个阶段，其中,2002〜2003年是”做 准备”阶段，工行在总行稽核监督局 成立了信息科技审计处，专职负责全 行信息科技审计工作，并尝试开展了 些专项审计项目.20042006年 是芍丁基础邙介段，通过自行探索和 引入外部合作，工行制订了信息科技 审计工作规范，风险评估流程，建立 了规范的信息科技审计工作程序，为 今后信息科技审计工作发展奠定了坚 实的基础.2007年至今，是IT审计 工作”上层次”阶段，对软件开发中 心，数据中心,灾备中心开展了全面 审计，实现了对信息科技风险领域全 覆盖，有效地防范了信息科技风险.2•信息科技审计项目开展情况.321岔知屯j2ol0年8月•文/中国工商银行内部审计局副局长仲安妮 近年来，工商银行内部审计遵循-体 化,标准化，专业化的发展理念，持 续开展了对全行IT治理，信息科技风 险管理和内部控制的审计评价，实现 了对全行信息科技总体规划，科技管 理，系统研发,运行维护和信息安全 的有效监督•在信息科技审计实践过 程中，工行通过引人国际先进的IT审 计理念，遵循以风险为导向的原则， 采用现场与非现场方式相结合，实施 了规范的审计工作流程，标准的审计 程序以及全新的审计方法，技术和工 具,取得了良好的成效.2006年以来，内部审计局组织开展了全行信息科技风险内部审计评 价，信息系统开发和统一认证系统审 计评价，开放平台系统安全管理审计， 数据中心内部控制自评估审计咨询， FOVA系统运行管理审计等10余个IT 萝，掺i—t1审计项目，对总行信息科技部，软件 开发中心，数据中心（上海）,数据中 心（北京）,海外数据中心，部分分行 等机构开展了信息科技风险审计工作, 实现了对全行信息科技风险管理和内 部控制的全面审计评价.信息科技审计方法体系1 •信息科技审计工作规范体系.2006 年，以 COBITJSO17799 等国际 标准为基础，参照国外先进的IT审计 规范和最佳实践，根据《银行业金融 机构信息系统风险管理指引》等有关 监管法规,内审局制定了《IT审计指 引》，（it审计工作规范》，建立了《IT 风险控制矩阵和审计测试模板》，构建 了 If审计工作规范体系•下面，具体 介绍IT风险控制矩阵.♦ ｛学安妮•毕业于山东大学计算机专 韭和8本A07S研修生•中国I商镀行内 部审计局哥禺长,金标委委员曾任总行 科技部副总经理;天津分行行长助理长 期姒蓼技授内掌管理工作，专长于将 代风险管理和信息科技应用于审计实践, 主要成果:设计建立71行第一套1T窜 计I作规范和风殓评估框架;研发建立7 内部审讨的风险评估，监溯指标方法体系; 开发投产了审计业务和管理信息系统;组 织完成7近30个重要审计项s・并建立 起各审计顷目的实务标准s规范 我们把IT风险划分为领域，控制流程和控制点三个 层次,将全部IT风险点列入风险控制矩阵，并对每个风 险控制点的控制目标，控制活动,控制特性以及主要风 险进行了详尽的描述，使审计的范围和内容非常明确， 与风险点相关的信息一冃了然•利用风险控制矩阵，审 计人员既可以进行全而审计，也能够根据需要有重点， 有选择地开展对部分领域或内容的专项审计•风险控制 矩阵一旦建立，可以长期使用,即便信息系统FI后发牛. 变化，也只需对风险控制矩阵的相应内容进行调整.2009年，根据内部审计标准化体系建设要求,IT审 计制度体系在原有成果的基础上本着查漏补缺,先易后 难，统筹兼顾，重点突破”的原则，重新制订了《信息科 技审计实施细则》，重点对IT风险非现场持续监测工作进 行了深入的研究，初步确定了 IT风险非现场监测的工作 思路，工作规范，工作内容等，明确了 IT机构联系人1T 作职责，以指导IT风险非现场持续监测工作的逐步开展.2•信息科技风险评估体系•早在2006年，我们就制 订了《IT审计风险评估手册》，涵盖了实施风险评估的流 程，方式，方法和评估模版等内容，初步建立起了适合 工行实际的IT风险评估指标体系.2009年，我们在以往 工作的基础上，颁布了《信息科技风险评估实施细则》， 对IT风险评估的对象，方法，程序进行了重新修订•同 时根据最新的银监会《商业银行信息科技风险管理指引》， 重新设计了 IT风险评估的指标体系，从信息科技机构， IT管理流程，应用系统三个层面来开展IT风险评估•在 制订《信息科技风险评估实施细则》期间，同步开展了 2010年度IT风险评估工作，对该细则进行了验证.风险评估贯穿于IT审计工作的整个流程.《信息科技 风险评估实施细则》对风险评估在I,r审计工作中的应用 进行了明确的规加•在制订长期的工作规划，年度工作计 划，项目实施计划之前，利用已建立的风险评估体系，确 帝TT宙计的萤点堕侍，系统和萤点领域•从机构，流程Cov Story>>>专题二2009年，内审局结合我行信息科技工作实际特性，以 数据中心（北京）为试点引入了 CSA技术，采取"点线面" i位一体相结合的工作方法,传导并推动中心全员找出自 身内部控制设计和执行中的缺陷，推动改善和优化全行的 内控程序，达到提高全行风险控制能力和为组织增加价值 的目的.其中,”点”指的是优化完善传统的专题会议研讨法. 通过召开以事件，目标，风险为驱动的专题研讨会，引导 中心各核心项目团队深入探讨分析控制流程中存在的风险 点和薄弱环节，提出改善意见和建议•”线”指的是使用 风险控制矩阵评估，是一种具有工行特色的CSA创新方法. 项目组在评估中依据风险控制矩阵，将中心四大工作职能 划分为8大领域,14个一级流程,61个二级子流程，细 分了评估任务，通过内部审计项目组人员的指导和实干中 传帮带，辅以访谈，控制测试抽样等方式,对中心各业务 流程做全面梳理与评估•”面”指的是设计个性化的问卷 调查法•项目组利用中心高效的信息化办公系统向全体员 >>>专题二工发放调查问卷，使CSA的工作理念，方法得到更大范 围的传播与推广.在CSA方法体系推广过程中，通过向数据中心高中层 领导，各岗位员工传导内部控制理念,由各部门组织一线 人员辅以点，线,面三结合的评估方法，在对工作流程全 面梳理过程中，从管理者角度对中心各领域的潜在风险进 行再认识，再评估与再控制,上至各层级管理人员，下至 各部门的每一名员工，均达到了 CSA项目自我评估，自我 改善,自我提升的目标.通过项目实践表明,CSA可以将 风险和控制的理念渗透到中心上下的每位员工，使他们真 正理解，掌握和运用内控评估的方法论.4 •充分发挥审计管理信息系统(AM2009)的作用.审计管理信息化是通过运用技术手段对内部审计的机构， 人员,费用等资源进行科学化管理，逐步实现年度计划管理, 项目计划管理，项目实施，问题管理，工作支持以及审计 综合管理的信息化，标准化和一体化,控制审计质量，提 高审计效率,规范审计活动，提高审计管理的精细化程度. 2006年，我行就着手启动审计信息化工作.2008年 投产的审计管理信息系统(AM2009),实现了审计计划管 理,审计项目管理，审计综合管理等功能.系统将各类标 准化的工作流程和工作模板全面整合至统一的审计系统操 作平台上，实现我行所有审计活动的全面计算机操作和控 制，充分利用信息手段和资源，提高审计人员对各种业务 风险的识别，控制和管理能力，使审计资源配置更趋于合理, 有效提升审计工作质量和效率.通过系统的手段，实现了审计师,主审人，审计组长 对工作底稿三层复核，逐级把关的机制，同时系统在各种 工作模板(如风险矩阵，穿行测试，控制测试模板等)之 间建立自动链接和钩稽关系，在模板填写过程中进行实时 校验，以此避免目前实务操作中审计人员要针对同一项内 容在不同模板之间重复填写的问题，并确保审计证据能够 支持审计结论的定性，有效提高现场审计效率和工作质量. 固圈囤团回圃西国当前，商业银行信息科技审计工作面临的形势更为复 杂，外部监管E1趋严格，各项业务快速发展，所有这些都 对信息科技审计工作提出了更高的要求.1•信息科技审计应当前瞻性，预见性地发现并报告一 些潜在的风险问题•及时提出管理建议•这就要求我们保 341 金电亿 2010-8.,EJ持高度的敏感和嗅觉，加强对复杂环境下风险演变趋势的 前瞻性研究,盯住全行的主要业务，重要系统，关键环节 和重大风险领域，向决策层提供支持信息,为全行信息科 技的健康发展提供增值服务.2 •努力实现建设国际一流，国内领先，同业标杆.有工行特色的内部审计体系"发展目标•这就要求我们持 续完善和优化IT审计的体制机制，提高IT审计团队的履 职能力，积极开展IT内部控制自我评估，突出IT审计的 特色,实现对我行信息科技的规划，管理，研发，维护和 信息安全的合理监督，建立国内领先，国际一流,具有工 行特色的IT审计体系,为全行信息科技风险的防范做出应 有贡献.3 •加快对审计方法技术快速发展的创新步伐•搭建适 应全行全面风险管理要求的1T审计技术方法体系•以信息 化建设为基础，以非现场审计技术为突破口，实现对主要 风险的评估和持续监测，对审计活动提供全方位的技术支 持•以健全我行信息科技风险防范体系为宗旨，以董事会 关注的IT治理，信息安全为重点，逐步建立信息科技风险 预警机制,为我行信息系统风险防范发挥重要作用.4•外部监管环境的变化对信息科技审计工作提出了新 要求•近两年,银监会，人民银行等相继发布了一系列监 管指引和管理规范，这不仅是一个遵循执行的问题，更要 求我们为建立与完善IT控制和审计标准出谋划策,调整充 实现有的审计和评价办法.今后的发展设想1 •加快专业技术方法的创新•以信息化为基础，以风 险和控制评估方法体系为支撑,以非现场技术为抓手，着 力构建全行风险视图，力争达到^远程排查，精确审计" 的目的.2 •加强协调配合境内外监管要求和检查工作的能力.信息科技审计不仅要完整准确提供相关情况，还要发挥监 管检查内外交流窗口和内外联动平台的作用.3•继续推动IT审计标准化工作•结合新任务和要求， 在内审章程的指导下，有针对性地整理，提炼我行的rr审计标准和依据，力争将工行的rr审计的实践做成同行业标杆.4•加强IT审计组织体系及专业团队的建设•结合未来的工作要求，加大现有人员的培训力度，建设一支能胜任日益复杂审计工作要求的专业化团队•⑥。