针对金融创新的IT审计方法,审计论文.docx

针对金融创新的IT审计方法,审计论文内容摘要：随着金融创新的不断发展,IT审计已经成为金融机构日常审计工作中的重要组成部分。本文首先阐述里在金融创新形势下IT审计工作的重要性。随后具体阐述了COBIT框架为基础的IT审计方式方法,COBIT将IT经过、IT资源与信息准则联络起来构成一个三维的体系构造,使得信息技术目的和企业战略目的之间实现了互动。利用COBIT框架提供的经过控制目的能够有效的定制针对金融机构的IT审计方案。 本文关键词语：金融创新;IT审计;COBIT; 一、金融创新的发展形势与IT审计的重要性 近年来,金融业务和形式不断创新,一方面,以网上银行、手机银行、电子银行以及多种第三方支付方式为代表的新金融业务和形式快速发展,另一方面,金融机构将信息技术与金融业务严密结合,也推出了一系列富有特色的金融服务。信息科技对金融创新作用已经不仅仅仅是支撑,而是开场发挥一定的引领作用。能够讲,随着金融创新不断地发展,金融体制和金融工具都发生着深入而有意义的变化,伴随着这种变化而来的是无限的潜在利润。然而,快速发展的金融创新对信息科技的高度依靠带来的一系列风险也渐渐凸显出来,也就是金融行业的信息科技风险。 IT审计作为信息科技风险的一道防线,其是对以计算机为核心的信息系统进行的审计,详细而言就是指IT审计人员从独立的第三方的角度,对信息系统从规划、开发、测试、施行到运行维护的经过进行审查与评价的活动。IT审计活动的范围跨越信息系统整个生命周期,要求IT审计人员具备计算机专业知识、审计知识与管理学知识,同时需要对信息安全有较高的敏感性,对管理和内部控制有深入的理解。 随着金融创新的快速发展,切实做好金融机构的IT审计工作是金融机构降低运营风险,获得可持续发展的重要保证。加强对金融IT策略、安全、效益的审查与评估,为管理层战略规划、投资决策、化解风险提供重要根据,就显得尤为迫切和重要。IT审计工作在金融行业风险管理中的必要性和重要性也随之不断提升。 二、针对金融创新的IT审计方式方法 (一)金融创新大环境下IT审计的工作内容 当代金融行业的IT审计,是基于风险的审计。一般而言,信息科技在金融领域的广泛应用所带来的风险至少有投资风险、管理风险、信息系统基础运维风险三个方面,这也是IT审计的三个领域: 1、IT治理和管理领域。此领域主要是针对投资风险,在近两年迅猛发展的金融业务创新的强大需求下,信息技术应用的投入是非常宏大的,但是大的投入能否恰当、及时、有效,能否真正带来相应的效益或实现相应的目的,失败也并不鲜见。而作为IT审计部门,会关注金融业的IT治理、合规、IT战略和规划,应当并且能够在华而不实发挥积极作用。 2、应用控制领域。运用信息技术进行管理和管理信息技术,是一个组织机构的决策部门、管理部门和运营部门的共同任务。应用控制领域关注业务流程中内嵌的信息系统相关控制,以保证信息处理的完好性、准确性、有效性和访问控制。应用系统控制包括数据控制、业务流程控制、接口控制、系统外控制等。怎样让不断的创新金融业务与IT互相促进,做好业务应用系统的开发和维护是不可回避的,这同时也对IT运维人员提出了更高层次的业务要求。 3、一般控制领域。此领域针对的是信息科技基础运维风险。在这个领域,IT审计人员关注整个计算机环境,包括IT物理环境、IT基础设施、信息安全和业务连续性管理等方面,为金融创新打好科技基础。 (二)基于COBIT审计框架的审计方式方法 当前,COBIT是国际上最为广泛接受的IT审计标准,美国信息系统审计与控制协会(ISACA)于2020年6月发行了COBIT 5,COBIT 5稳固并集合了COBIT 4.1,Val IT 2.0和RISK IT框架,同时从BMIS和ITAF中汲取了部分内容。COBIT将IT经过、IT资源与信息准则联络起来,构成一个三维的体系构造,使得信息技术目的和企业战略目的之间实现了互动。因而鉴于COBTI的通用性、简易性及所出具审计报告的明确性,利用COBIT框架针对金融系统开展审计工作是极为适宜的。 COBIT将信息系统的业务经过根据生命周期划分为计划组织(PO)、获取施行(AI)、交付支持(DS)及监控(M)四个域。以某第三方支付机构为例,根据其业务流程,该第三方支付机构的IT管控体系能够划分为IT规划阶段、IT施行阶段、运行阶段和后评估阶段,如此图1所示。 图1 下载原图 COBIT框架中的四个域下定义了34个经过控制目的,例如PO1,每个经过控制目的又定义了若干经过控制子目的,例如PO11,经过控制子目的为318个。同时COBIT框架把信息标准定义为7种:有效性、效率性、机密性、完好性、可用性、一致性和可靠性;将IT资源定义为5类:人员、应用、技术、设备和数据。金融机构IT评价指标的选择能够借鉴COBIT的经过控制目的,由于COBIT的普遍适用性,不管哪类企业的信息化评价,都能够从中找出能够参考的指南,但也注定了它广泛但缺乏针对性。由于金融机构的IT状况以及IT需求不同,所以评价的重点也有所不同。IT工作人员应能够根据金融机构本身的实际情况,对照COBIT经过,选取合适本身的基本控制指标。在选取控制指标时,IT审计人员能够通过行业与管理环境的比拟,或对照正在发展的国际标准和规章,确定金融机构本身的信息化经过,这些经过能够作为金融机构快速自我评定的参考指标。首先参考COBIT控制目的选择基本的评价指标体系并根据金融机构的实际需要选取扩展其他评价指标,然后将金融机构选取的指标与COBIT控制目的构成映射关系。这样,既能够知足评价在基本的标准体系中进行,保证评价指标的科学合理性,同时又能够知足信息化评价的个性化需求,保证评价的灵敏性。例如,某第三方支付机构的评价指标体系能够设计为如此图2所示。 图2 下载原图 在上述控制目的的基础上,结合金融机构的IT管理工作,确定每个阶段的分等级成熟度指标;各阶段关键成功要素;各阶段关键目的指标;各阶段关键绩效指标。在这里基础上构成各阶段的管控流程,明确流程之间的接口,并进一步进行角色的划分,确定IT部门以及相关职能部门的工作范围和职责。这里仅以规划阶段的IT战略规划为例,建立管控模型,如下页表1所示。 三、IT审计工作发展的探寻求索 在金融业务创新的需求导向下,IT审计工作面临很多挑战,同时也具有很大的发展空间。在大数据时代,随着数据分析和数据挖掘技术的应用,敏感信息界定已经特别困难了,多种非敏感信息的有效组合可以以得出高度敏感的商业数据,这种情况下,到底什么是真正敏感的信息,怎样去保卫它,这是信息安全面临的新挑战,同时也需要IT审计工作者进行进一步的深度考虑。 而计算机 辅助审计 技术(CAATs)的应用也越来越向深层发展。一方面,数据分析技术对金融行业的持续监控与审计的支持,用于持续探寻求索与深切进入了解以往业务经过,通经过序或软件构建一个持续的、实时的审计证据收集系统,以获取和提取有价值的信息并推进业务的发展。另一方面,通过广泛地使用数据、统计与定量分析、解释与预测模型,并通过基于事实的管理,能够推动整体的决策。结论是,计算机辅助审计技术的深层次应用将为金融行业IT审计工作带来新的发展空间。 以下为参考文献 1 .戴荣,引入IT审计提高央行内审工作水平,华南金融电脑J,2008年第10期。 2 .王光石,网上银行审计指引,金融电子化J,2018年第3期。 3 .刘亚莉,基于风险的IT审计的研究,中国外资J,2020年第6期。