工商銀行信息科技審計(jì)實(shí)踐

1、工商銀行信息科技審計(jì)實(shí)踐>>> 專(zhuān)題二 ,年來(lái),銀監(jiān)會(huì)先后出臺(tái)了商 業(yè)銀行信息科技風(fēng)險(xiǎn)管理指 引,商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 等制度法規(guī)和監(jiān)管指引 ,對(duì)商業(yè)銀行 的信息科技風(fēng)險(xiǎn)管理 ,信息科技審計(jì) 提出了明確的要求 .在董事會(huì) ,高管 層的關(guān)心和支持下 ,工商銀行的信息 科技審計(jì)工作有了長(zhǎng)足的進(jìn)步 ,在全 行信息科技風(fēng)險(xiǎn)的控制和管理中發(fā)揮 了積極的作用 ,工作成效得到了董事 會(huì),行領(lǐng)導(dǎo)和被審計(jì)單位的充分肯定 信息科技審計(jì)基本情況 1.信息科技審計(jì)的發(fā)展歷程 .大 致可分為做準(zhǔn)備 ,打基礎(chǔ)和上層次 3 個(gè)階段，其中,20022003年是”做 準(zhǔn)備”階段,工行在總行稽核監(jiān)督局 成立

2、了信息科技審計(jì)處 ,專(zhuān)職負(fù)責(zé)全 行信息科技審計(jì)工作 ,并嘗試開(kāi)展了些專(zhuān)項(xiàng)審計(jì)項(xiàng)目 .20042006年是”打基礎(chǔ)”階段,通過(guò)自行探索和 引入外部合作 ,工行制訂了信息科技 審計(jì)工作規(guī)范 ,風(fēng)險(xiǎn)評(píng)估流程 ,建立 了規(guī)范的信息科技審計(jì)工作程序 ,為 今后信息科技審計(jì)工作發(fā)展奠定了堅(jiān) 實(shí)的基礎(chǔ) .2007年至今 ,是 IT 審計(jì) 工作”上層次 ”階段,對(duì)軟件開(kāi)發(fā)中 心 ,數(shù)據(jù)中心 ,災(zāi)備中心開(kāi)展了全面 審計(jì),實(shí)現(xiàn)了對(duì)信息科技風(fēng)險(xiǎn)領(lǐng)域全 覆蓋 ,有效地防范了信息科技風(fēng)險(xiǎn) . 2.信息科技審計(jì)項(xiàng)目開(kāi)展情況 . 32l 岔知屯 j2o10 年 8 月 文/中國(guó)工商銀行內(nèi)部審計(jì)局副局長(zhǎng)仲安妮 近年來(lái) ,工商

3、銀行內(nèi)部審計(jì)遵循一體 化,標(biāo)準(zhǔn)化 ,專(zhuān)業(yè)化的發(fā)展理念 ,持 續(xù)開(kāi)展了對(duì)全行 IT 治理 ,信息科技風(fēng) 險(xiǎn)管理和內(nèi)部控制的審計(jì)評(píng)價(jià) ,實(shí)現(xiàn) 了對(duì)全行信息科技總體規(guī)劃 ,科技管 理,系統(tǒng)研發(fā) ,運(yùn)行維護(hù)和信息安全 的有效監(jiān)督 .在信息科技審計(jì)實(shí)踐過(guò) 程中 ,工行通過(guò)引人國(guó)際先進(jìn)的 IT 審 計(jì)理念 ,遵循以風(fēng)險(xiǎn)為導(dǎo)向的原則 , 采用現(xiàn)場(chǎng)與非現(xiàn)場(chǎng)方式相結(jié)合 ,實(shí)施 了規(guī)范的審計(jì)工作流程 ,標(biāo)準(zhǔn)的審計(jì) 程序以及全新的審計(jì)方法 ,技術(shù)和工 具,取得了良好的成效 .2006 年以來(lái),內(nèi)部審計(jì)局組織 開(kāi)展了全行信息科技風(fēng)險(xiǎn)內(nèi)部審計(jì)評(píng) 價(jià),信息系統(tǒng)開(kāi)發(fā)和統(tǒng)一認(rèn)證系統(tǒng)審 計(jì)評(píng)價(jià) ,開(kāi)放平臺(tái)系統(tǒng)安全管理審計(jì) ,

4、數(shù)據(jù)中心內(nèi)部控制自評(píng)估審計(jì)咨詢 , FOVA 系統(tǒng)運(yùn)行管理審計(jì)等 10余個(gè) IT 蘿,摻 i t l 審計(jì)項(xiàng)目 ,對(duì)總行信息科技部 ,軟件 開(kāi)發(fā)中心 ,數(shù)據(jù)中心 （上海 ）,數(shù)據(jù)中 心（北京 ）,海外數(shù)據(jù)中心 ,部分分行 等機(jī)構(gòu)開(kāi)展了信息科技風(fēng)險(xiǎn)審計(jì)工作 , 實(shí)現(xiàn)了對(duì)全行信息科技風(fēng)險(xiǎn)管理和內(nèi) 部控制的全面審計(jì)評(píng)價(jià) . 信息科技審計(jì)方法體系1.信息科技審計(jì)工作規(guī)范體系 . 2006年,以 COBIT,ISO17799 等國(guó)際 標(biāo)準(zhǔn)為基礎(chǔ) ,參照國(guó)外先進(jìn)的 IT 審計(jì) 規(guī)范和最佳實(shí)踐 ,根據(jù)銀行業(yè)金融 機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引等有關(guān) 監(jiān)管法規(guī) ,內(nèi)審局制定了 IT 審計(jì)指 引 ,(rr 審計(jì)工作規(guī)

5、范 ,建立了 IT 風(fēng)險(xiǎn)控制矩陣和審計(jì)測(cè)試模板 ,構(gòu)建 了 I1 審計(jì)工作規(guī)范體系 .下面 ,具體 介紹 IT 風(fēng)險(xiǎn)控制矩陣 . 孛安妮畢業(yè)于山東大學(xué)計(jì)算機(jī)專(zhuān) 韭和 8 本 A07S 研修生.中國(guó) I 商鑷行內(nèi) 部審計(jì)局哥禺長(zhǎng) ,金標(biāo)委委員曾任總行 科技部副總經(jīng)理 ;天津分行行長(zhǎng)助理長(zhǎng) 期姒蓼技授內(nèi)掌管理工作 ,專(zhuān)長(zhǎng)于將 代風(fēng)險(xiǎn)管理和信息科技應(yīng)用于審計(jì)實(shí)踐 , 主要成果 :設(shè)計(jì)建立 7I 行第一套 lT 竄 計(jì) I 作規(guī)范和風(fēng)鹼評(píng)估框架 ; 研發(fā)建立 7 內(nèi)部審討的風(fēng)險(xiǎn)評(píng)估 ,監(jiān)溯指標(biāo)方法體系 開(kāi)發(fā)投產(chǎn)了審計(jì)業(yè)務(wù)和管理信息系統(tǒng) ;組 織完成7近30個(gè)重要審計(jì)項(xiàng)s.并建立 起各審計(jì)頃目的實(shí)務(wù)標(biāo)準(zhǔn)

6、 s 規(guī)范 我們把 IT 風(fēng)險(xiǎn)劃分為領(lǐng)域 ,控制流程和控制點(diǎn)三個(gè) 層次 ,將全部 IT 風(fēng)險(xiǎn)點(diǎn)列入風(fēng)險(xiǎn)控制矩陣 ,并對(duì)每個(gè)風(fēng) 險(xiǎn)控制點(diǎn)的控制目標(biāo) ,控制活動(dòng) ,控制特性以及主要風(fēng) 險(xiǎn)進(jìn)行了詳盡的描述 ,使審計(jì)的范圍和內(nèi)容非常明確 , 與風(fēng)險(xiǎn)點(diǎn)相關(guān)的信息一目了然 .利用風(fēng)險(xiǎn)控制矩陣 ,審 計(jì)人員既可以進(jìn)行全面審計(jì) ,也能夠根據(jù)需要有重點(diǎn) , 有選擇地開(kāi)展對(duì)部分領(lǐng)域或內(nèi)容的專(zhuān)項(xiàng)審計(jì) .風(fēng)險(xiǎn)控制 矩陣一旦建立 ,可以長(zhǎng)期使用 ,即便信息系統(tǒng)日后發(fā)生 變化 ,也只需對(duì)風(fēng)險(xiǎn)控制矩陣的相應(yīng)內(nèi)容進(jìn)行調(diào)整 . 2009年,根據(jù)內(nèi)部審計(jì)標(biāo)準(zhǔn)化體系建設(shè)要求 ,IT 審 計(jì)制度體系在原有成果的基礎(chǔ)上本著 ”查漏補(bǔ)缺

7、 ,先易后 難,統(tǒng)籌兼顧 ,重點(diǎn)突破 ”的原則 ,重新制訂了信息科 技審計(jì)實(shí)施細(xì)則 ,重點(diǎn)對(duì) IT 風(fēng)險(xiǎn)非現(xiàn)場(chǎng)持續(xù)監(jiān)測(cè)工作進(jìn) 行了深入的研究 ,初步確定了 IT 風(fēng)險(xiǎn)非現(xiàn)場(chǎng)監(jiān)測(cè)的工作 思路,工作規(guī)范,工作內(nèi)容等 ,明確了 IT 機(jī)構(gòu)聯(lián)系人 lT 作職責(zé),以指導(dǎo) IT 風(fēng)險(xiǎn)非現(xiàn)場(chǎng)持續(xù)監(jiān)測(cè)工作的逐步開(kāi)展 . 2.信息科技風(fēng)險(xiǎn)評(píng)估體系 .早在 2006 年,我們就制 訂了IT審計(jì)風(fēng)險(xiǎn)評(píng)估手冊(cè)，涵蓋了實(shí)施風(fēng)險(xiǎn)評(píng)估的流 程,方式,方法和評(píng)估模版等內(nèi)容 ,初步建立起了適合 工行實(shí)際的 IT 風(fēng)險(xiǎn)評(píng)估指標(biāo)體系 .2009年,我們?cè)谝酝?工作的基礎(chǔ)上 ,頒布了信息科技風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則 , 對(duì) IT 風(fēng)險(xiǎn)評(píng)估的

8、對(duì)象 ,方法 ,程序進(jìn)行了重新修訂 .同 時(shí)根據(jù)最新的銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引 重新設(shè)計(jì)了 IT 風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系 ,從信息科技機(jī)構(gòu) , IT 管理流程,應(yīng)用系統(tǒng)三個(gè)層面來(lái)開(kāi)展 IT 風(fēng)險(xiǎn)評(píng)估.在 制訂信息科技風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則期間 ,同步開(kāi)展了 2010年度 IT 風(fēng)險(xiǎn)評(píng)估工作 ,對(duì)該細(xì)則進(jìn)行了驗(yàn)證 . 風(fēng)險(xiǎn)評(píng)估貫穿于 IT 審計(jì)工作的整個(gè)流程 .信息科技 風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則對(duì)風(fēng)險(xiǎn)評(píng)估在 I,r 審計(jì)工作中的應(yīng)用 進(jìn)行了明確的規(guī)定 .在制訂長(zhǎng)期的工作規(guī)劃 ,年度工作計(jì) 劃,項(xiàng)目實(shí)施計(jì)劃之前 ,利用已建立的風(fēng)險(xiǎn)評(píng)估體系 ,確 帝 TT 宙計(jì)的螢點(diǎn)墮侍 , 系統(tǒng)和螢點(diǎn)領(lǐng)域 . 從機(jī)構(gòu) ,

9、 流程CoverStory>>> 專(zhuān)題二2009 年,內(nèi)審局結(jié)合我行信息科技工作實(shí)際特性 ,以 數(shù)據(jù)中心 （北京）為試點(diǎn)引入了 CSA 技術(shù),采取”點(diǎn)線面 i 位一體相結(jié)合的工作方法 ,傳導(dǎo)并推動(dòng)中心全員找出自 身內(nèi)部控制設(shè)計(jì)和執(zhí)行中的缺陷 ,推動(dòng)改善和優(yōu)化全行的 內(nèi)控程序 ,達(dá)到提高全行風(fēng)險(xiǎn)控制能力和為組織增加價(jià)值 的目的.其中, ”點(diǎn)”指的是優(yōu)化完善傳統(tǒng)的專(zhuān)題會(huì)議研討法 . 通過(guò)召開(kāi)以事件 ,目標(biāo) ,風(fēng)險(xiǎn)為驅(qū)動(dòng)的專(zhuān)題研討會(huì) ,引導(dǎo) 中心各核心項(xiàng)目團(tuán)隊(duì)深入探討分析控制流程中存在的風(fēng)險(xiǎn) 點(diǎn)和薄弱環(huán)節(jié) ,提出改善意見(jiàn)和建議 . ”線”指的是使用 風(fēng)險(xiǎn)控制矩陣評(píng)估 ,是一種具有工

10、行特色的 CSA 創(chuàng)新方法 . 項(xiàng)目組在評(píng)估中依據(jù)風(fēng)險(xiǎn)控制矩陣 ,將中心四大工作職能 劃分為 8 大領(lǐng)域 ,l4 個(gè)一級(jí)流程 ,61 個(gè)二級(jí)子流程 ,細(xì) 分了評(píng)估任務(wù) ,通過(guò)內(nèi)部審計(jì)項(xiàng)目組人員的指導(dǎo)和實(shí)干中 傳幫帶,輔以訪談 ,控制測(cè)試抽樣等方式 ,對(duì)中心各業(yè)務(wù) 流程做全面梳理與評(píng)估 . ”面”指的是設(shè)計(jì)個(gè)性化的問(wèn)卷 調(diào)查法 .項(xiàng)目組利用中心高效的信息化辦公系統(tǒng)向全體員 >>> 專(zhuān)題二 工發(fā)放調(diào)查問(wèn)卷 ,使 CSA 的工作理念 ,方法得到更大范 圍的傳播與推廣 .在 CSA 方法體系推廣過(guò)程中 , 通過(guò)向數(shù)據(jù)中心高中層 領(lǐng)導(dǎo) ,各崗位員工傳導(dǎo)內(nèi)部控制理念 ,由各部門(mén)組織一線

11、人員輔以點(diǎn) ,線 ,面三結(jié)合的評(píng)估方法 ,在對(duì)工作流程全 面梳理過(guò)程中 ,從管理者角度對(duì)中心各領(lǐng)域的潛在風(fēng)險(xiǎn)進(jìn) 行再認(rèn)識(shí) ,再評(píng)估與再控制 ,上至各層級(jí)管理人員 ,下至 各部門(mén)的每一名員工 ,均達(dá)到了 CSA 項(xiàng)目自我評(píng)估 ,自我 改善,自我提升的目標(biāo) .通過(guò)項(xiàng)目實(shí)踐表明 ,CSA 可以將 風(fēng)險(xiǎn)和控制的理念滲透到中心上下的每位員工 ,使他們真 正理解 ,掌握和運(yùn)用內(nèi)控評(píng)估的方法論 .4.充分發(fā)揮審計(jì)管理信息系統(tǒng)（AM2009）的作用. 審計(jì)管理信息化是通過(guò)運(yùn)用技術(shù)手段對(duì)內(nèi)部審計(jì)的機(jī)構(gòu) 人員,費(fèi)用等資源進(jìn)行科學(xué)化管理 ,逐步實(shí)現(xiàn)年度計(jì)劃管理 項(xiàng)目計(jì)劃管理 ,項(xiàng)目實(shí)施 ,問(wèn)題管理 ,工作支持以及審

12、計(jì) 綜合管理的信息化 ,標(biāo)準(zhǔn)化和一體化 ,控制審計(jì)質(zhì)量 ,提 高審計(jì)效率 ,規(guī)范審計(jì)活動(dòng) ,提高審計(jì)管理的精細(xì)化程度 . 2006 年,我行就著手啟動(dòng)審計(jì)信息化工作 .2008 年 投產(chǎn)的審計(jì)管理信息系統(tǒng)（AM2009）,實(shí)現(xiàn)了審計(jì)計(jì)劃管 理,審計(jì)項(xiàng)目管理 ,審計(jì)綜合管理等功能 .系統(tǒng)將各類(lèi)標(biāo) 準(zhǔn)化的工作流程和工作模板全面整合至統(tǒng)一的審計(jì)系統(tǒng)操 作平臺(tái)上 ,實(shí)現(xiàn)我行所有審計(jì)活動(dòng)的全面計(jì)算機(jī)操作和控 制,充分利用信息手段和資源 ,提高審計(jì)人員對(duì)各種業(yè)務(wù) 風(fēng)險(xiǎn)的識(shí)別 ,控制和管理能力 ,使審計(jì)資源配置更趨于合理 有效提升審計(jì)工作質(zhì)量和效率 .通過(guò)系統(tǒng)的手段 ,實(shí)現(xiàn)了審計(jì)師 ,主審人 ,審計(jì)組長(zhǎng) 對(duì)

13、工作底稿三層復(fù)核 ,逐級(jí)把關(guān)的機(jī)制 ,同時(shí)系統(tǒng)在各種 工作模板 （如風(fēng)險(xiǎn)矩陣 ,穿行測(cè)試 ,控制測(cè)試模板等 ）之 間建立自動(dòng)鏈接和鉤稽關(guān)系 ,在模板填寫(xiě)過(guò)程中進(jìn)行實(shí)時(shí) 校驗(yàn),以此避免目前實(shí)務(wù)操作中審計(jì)人員要針對(duì)同一項(xiàng)內(nèi) 容在不同模板之間重復(fù)填寫(xiě)的問(wèn)題 ,并確保審計(jì)證據(jù)能夠 支持審計(jì)結(jié)論的定性 ,有效提高現(xiàn)場(chǎng)審計(jì)效率和工作質(zhì)量 固圈囤團(tuán)回圃西囝 當(dāng)前,商業(yè)銀行信息科技審計(jì)工作面臨的形勢(shì)更為復(fù) 雜,外部監(jiān)管 El 趨嚴(yán)格 ,各項(xiàng)業(yè)務(wù)快速發(fā)展 ,所有這些都 對(duì)信息科技審計(jì)工作提出了更高的要求 .1. 信息科技審計(jì)應(yīng)當(dāng)前瞻性 ,預(yù)見(jiàn)性地發(fā)現(xiàn)并報(bào)告一 些潛在的風(fēng)險(xiǎn)問(wèn)題 .及時(shí)提出管理建議 .這就要求我們

14、保 34I 金電億 20108.,EJ 持高度的敏感和嗅覺(jué) ,加強(qiáng)對(duì)復(fù)雜環(huán)境下風(fēng)險(xiǎn)演變趨勢(shì)的 前瞻性研究 ,盯住全行的主要業(yè)務(wù) ,重要系統(tǒng) ,關(guān)鍵環(huán)節(jié) 和重大風(fēng)險(xiǎn)領(lǐng)域 ,向決策層提供支持信息 ,為全行信息科 技的健康發(fā)展提供增值服務(wù) .2. 努力實(shí)現(xiàn)建設(shè) ”國(guó)際一流 ,國(guó)內(nèi)領(lǐng)先 ,同業(yè)標(biāo)桿 . 有工行特色的內(nèi)部審計(jì)體系 ”發(fā)展目標(biāo) .這就要求我們持 續(xù)完善和優(yōu)化 IT 審計(jì)的體制機(jī)制 ,提高 IT 審計(jì)團(tuán)隊(duì)的履 職能力，積極開(kāi)展IT內(nèi)部控制自我評(píng)估，突出IT審計(jì)的 特色,實(shí)現(xiàn)對(duì)我行信息科技的規(guī)劃 ,管理 ,研發(fā),維護(hù)和 信息安全的合理監(jiān)督 ,建立國(guó)內(nèi)領(lǐng)先 ,國(guó)際一流 ,具有工 行特色的 IT

15、審計(jì)體系 ,為全行信息科技風(fēng)險(xiǎn)的防范做出應(yīng) 有貢獻(xiàn).3. 加快對(duì)審計(jì)方法技術(shù)快速發(fā)展的創(chuàng)新步伐 .搭建適 應(yīng)全行全面風(fēng)險(xiǎn)管理要求的 lT 審計(jì)技術(shù)方法體系 .以信息 化建設(shè)為基礎(chǔ) ,以非現(xiàn)場(chǎng)審計(jì)技術(shù)為突破口 ,實(shí)現(xiàn)對(duì)主要 風(fēng)險(xiǎn)的評(píng)估和持續(xù)監(jiān)測(cè) ,對(duì)審計(jì)活動(dòng)提供全方位的技術(shù)支 持.以健全我行信息科技風(fēng)險(xiǎn)防范體系為宗旨 ,以董事會(huì) 關(guān)注的 IT 治理 ,信息安全為重點(diǎn) ,逐步建立信息科技風(fēng)險(xiǎn) 預(yù)警機(jī)制 ,為我行信息系統(tǒng)風(fēng)險(xiǎn)防范發(fā)揮重要作用 .4. 外部監(jiān)管環(huán)境的變化對(duì)信息科技審計(jì)工作提出了新 要求.近兩年,銀監(jiān)會(huì),人民銀行等相繼發(fā)布了一系列監(jiān) 管指引和管理規(guī)范 ,這不僅是一個(gè)遵循執(zhí)行的問(wèn)題 ,更要 求我們?yōu)榻⑴c完善 IT 控制和審計(jì)標(biāo)準(zhǔn)出謀劃策 ,調(diào)整充 實(shí)現(xiàn)有的審計(jì)和評(píng)價(jià)辦法 .今后的發(fā)展設(shè)想1. 加快專(zhuān)業(yè)技術(shù)方法的創(chuàng)新 .以信息化為基礎(chǔ) ,以風(fēng) 險(xiǎn)和控制評(píng)估方法體系為支撐 ,以非現(xiàn)場(chǎng)技術(shù)為抓手 ,著 力構(gòu)建全行風(fēng)險(xiǎn)視圖 ,力爭(zhēng)達(dá)到 ”遠(yuǎn)程排查 ,精確審計(jì) ” 的目的