中小银行信息科技内部审计困境与风险审计方法.doc
《中小银行信息科技内部审计困境与风险审计方法.doc》由会员分享,可在线阅读,更多相关《中小银行信息科技内部审计困境与风险审计方法.doc(8页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、中小银行信息科技内部审计困境与风险审计方法中小银行信息科技内部审计困境与风险审计方法-审计论文-会计论文文章均为WORD文档,下载后可直接编辑使用亦可打印it审计论文第五篇:中小银行信息科技内部审计困境与风险审计方法摘要:IT审计可以实现对业务系统控制的再控制, 主动识别风险并分析产生的原因, 从而有效地控制商业银行业务运行以及经营过程中的各类风险。本文拟通过对IT审计和审计风险的探讨, 对中小商业银行的IT审计现状进行分析, 阐述江阴农商银行基于风险控制的IT审计的理念及方法, 并在此基础上, 以变更管理为例, 列举部分风险控制矩阵。关键词:IT审计;信息科技;风险控制;变更管理;一、引言改
2、革开放推动了中国金融业的快速发展, 信息技术被广泛应用于商业银行经营的各个方面, 并成为商业银行经营战略必须考虑的重要因素, 伴随而来的是商业银行对信息系统依赖性的不断增强。作为科技应用型人员, 发现信息系统在为商业银行提供便利、满足各种功能和服务需求、带来效益的同时, 相关风险和安全隐患也在不断增加。近年来, 银行业信息科技安全 频发。例如2021年4月12日, 某银行由于网络瘫痪, 导致无法办理现金业务;20年6月24日, 某农商行机房发生线路电气故障, 导致火灾, 机房内部分设备受损;20年5月8日, 某城商行核心数据库宕机, 造成该行柜面和渠道业务长时间中断。以上案件充分暴露出我国一些
3、商业银行信息科技管理方面存在的诸多问题以及信息系统本身的脆弱性, 信息系统的安全稳定运行对商业银行至关重要。当系统发生故障、错误而丧失其有效功能时, 银行日常的业务必定会受到重大影响, 进而引发一系列重大问题或风险, 如银行的财产损失、客户的经济损失以及不良声誉风险等。因此, 有必要引进发达国家已经比较成熟的理念IT审计, 通过系统访问控制审计和系统运行控制审计等技术方法, 及早发现商业银行内控制度漏洞和管理存在的薄弱环节, 完善控制措施, 有效地识别和规避风险, 有效地对所依赖的信息和信息系统进行安全管理, 保障信息系统的安全稳定运行。同时, 通过审计可有目的性地加强对银行内控制度的监管,
4、从而提高信息技术服务支持的质量。本文结合中小商业银行目前信息科技审计的现状, 以IT风险控制目标为核心, 提出了实施风险控制审计的理念和步骤, 构建适用于江阴农商银行 (以下简称我行) 的IT审计框架及控制目标。二、IT审计风险和重要性审计风险可定义为:审计过程中未发现信息可能存在的重大错误的风险。如果可行, IT审计师也应当考虑组织相关的其他因素:客户数据、隐私、所提供服务的可用性, 企业和公众形象。IT审计风险主要包含固有风险、控制风险、检查风险和整体审计风险1。(一) 固有风险1.固有风险的含义。固有风险是指IT活动在缺乏控制的情况下从而导致重大错误的风险。2.常见的固有风险。制度建设不
5、足或缺失, 未制定与监管要求相适应的管理办法约束信息科技实施中的各种风险, 比如:开发、测试、投产、运维、存档等, 甚至靠员工的自律行为控制风险;对所有业务是否通过系统进行刚性控制, 比如, 操作权限设置、登录密码长度及强度限制、秘钥使用管理、涉密人员管理等等;监督检查频次不够, 对员工的违规行为未能产生震慑作用, 甚至处于审计的盲区;员工技能与业务发展不匹配, 后期培训不足, 知识更新不够;IT管理人员的管理水平或IT人员的技术水平达不到要求, 易出现管理和技术方面的错误;计算机硬件故障或软件程序错误, 造成信息损坏或丢失, 导致数据在处理过程中发生偶发错误;信息系统的高度集成, 导致系统的
6、复杂性、依赖性和脆弱性, 并引发各种风险, 如数据容易被修改和盗取, 用磁介质存储数据, 其稳定性和安全性较差;计算机病毒的侵害容易造成数据丢失。(二) 控制风险1.控制风险的含义。控制风险是指与IT活动相关的内部控制体系不能及时预防或检测出存在的重大错误的风险。2.常见的控制风险。系统数据风险。数据在输入时缺乏严格的控制, 造成数据错误;数据存储高度集中, 缺乏严格的分级浏览控制;人工检查计算机日志风险很高, 大量的日志信息导致人工检查容易出错。系统环境风险。包括软件环境风险和硬件环境风险。一方面是因为计算机信息系统的复杂性以及信息系统的网络化, 另一方面是因为计算机设备的多样化, 从而导致
7、系统环境风险增大。系统控制风险。是由于信息系统的内部控制不严密造成的风险, 如审批设置不合理、不相容岗位权限互通、 用户擅用权限等。(三) 检查风险1.检查风险的含义。检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。2.常见的检查风险。审计管理风险。由于IT审计管理制度不健全、不完善而导致的风险, 主要包括缺乏相关的IT审计操作规范, 导致审计人员各行其是。审计目标、内容和手段各不相同, 审计管理风险增大。审计技术风险。指由于审计软件本身缺陷造成的风险, 主要包括计算机审计技术的开发和推广落后于信息技术的发展, 并且技术含量偏低;开发人员对审计业务不熟悉;没有经过相关
8、部门鉴定, 导致审计软件运行有风险;审计软件与信息系统软件的接口不匹配, 导致数据不能导出等。人员操作风险。指审计人员在对信息科技方面进行审计时, 由于知识不够或业务不熟, 不能有效识别其内部程序控制从而引发高风险。(四) 总体审计风险总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险, 减少或控制所检查领域的审计风险, 例如采取宜适的审计工具, 在完成审计时把总体审计风险控制在相对低的水平之内, 以达到预期的水平。重要性当与任何上述风险相结合时, 是指在问题程度上可被组织视为严重的错误。在规划被审计领域和审计任务中所需执行的具体测试时, 必须结
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小 银行 信息 科技 内部 审计 困境 风险 方法
限制150内