1、如何做好銀行業IT審計如何做好銀行業IT審計近年來，因銀行業務流程中對信息系統的依賴程度日益加大，這使得信息系統的固有風險隨著系統的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業銀行信息科技風險管理的第三道防線——信息系統審計（簡稱IT審計）在銀行內部控制建設過程中扮演了更為重要的角色。銀行IT審計意義目前，信息系統的正常運行已經成為銀行業務正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風險也愈發突出和集中，信息科技風險控制已成為銀行業風險管理的重要內容，而IT審計作為銀行業風險管理體系的重要組成

2、部分，其重要性和必要性已經日益得到銀行業管理層的關注。同時，國家相關部門對信息系統的管控也越來越重視，自2006年8月發布銀行業金融機構信息系統風險管理指引開始，銀監會正式對銀行科技風險進行監管，近年來推出一系列制度和措施（見表1），監管工作逐步走向規范化。通過IT審計來保證和監控全行的信息科技論文聯盟管控對各級監管政策法規的合規性，也成為銀行業實施IT審計的重要目的之一。因此，銀行業加強和規范IT審計，既是自身發展和獲取競爭優勢的內在需要，也是監管當局的外部要求。論文代寫銀行IT審計標準準確地運用標準和參照，成為順利開展IT審計工作的重要前提之一。COBITCOBIT(ControlObje

3、ctivesforInformationandrelatedTechnology)是由信息系統審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準，也是目前國際上通用的信息系統審計的標準之一。COBIT是一個基于控制的IT治理模型，具制定的宗旨是跨越業務控制和IT控制之間的鴻溝，從而建立一個面向業務目標的IT控制框架。COBIT本身并非針對IT審計的專門論述，其面向的使用者可以是企業中想通過改善IT過程實現經營目標的管理者，也可以是業務過程的所有者，即用戶，也可以為IT審計師。它在商業風險、控制需要和技術問題之間架起了一座橋梁，以滿足

4、管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經被稱作一個治理和管理企業IT的業務框架。COBIT4.1版本中經典的體系框架一直為眾多使用者參考使用，它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔(見圖1)。管理指南為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等，并根據這些指標對每個過程進行了成熟度模型的劃分；而審計指南，則就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。簡歷大全 /html/jianli/COBIT4.1版本中的流程參考模型將所有與信息系統相關的活動進行了劃分，主要包括3

5、4個流程，分屬4個域。而COBIT5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風險IT價值IT流程模型。COBI硒廣泛通用性也造就了它在應用上的弱點和難點，即COBI用對相關流程和控制目標的描述過于籠統普適，需要使用者結合企業的實際情況和專業經驗進行較大的定制化方可實施。因此，COBIT模型的最大作用是將IT過程、IT資源與企業的策略弱目標聯系了起來，保障了企業的IT戰略目標弱其業務發展目標的一致性，也在IT管理層、IT技術人員/用戶和IT審計師之間搭建了橋梁。商業銀行信息科技風險管理指引近年

6、來，隨著銀監會信用風險、商業風險弱操作風險管理指引的發布，以及巴塞爾協議II在銀行業內的逐步實施，推動了銀行內部風險管理機制的建立弱健全。但是，在全面風險管理的框架下，目前銀行的信息科技風險管理機制滯后于業務風險管理體系的發展，并未建立體系化的風險管控機制，成為了銀行風險管理體系中的短板。這主要體現在，信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規劃依據不充分以及風險監控指標不明確等方面。論文代寫2009年發布的商業銀行信息科技風險管理指引（以下簡稱指引），定義了商業銀行信息科技風險的總體框架，即在當前商業銀行普遍的信息科技現狀下，可能存在的重大信息科技風險的范圍，使商業銀行的風險管理過程，能夠