国内外银行IT审计存在哪些差异？

面对我国银行数据大集中的形势，银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步，与国外发达银行比较还存在很大的差异性，主要体现在以下几个方面：

审计覆盖面上的差异

目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处，股改后直接向董事会负责，这与国际惯例基本是一致的，体现了银行最高领导层充分重视IT在银行中的地位，并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR（一般控制）和ACR（应用控制）的全方位IT审计。但我国由于信息技术审计工作开展不长，并且人员有限，还未能全面开展一般控制和应用控制的IT审计工作，基本处于一般控制的摸索阶段，距国际先进水平还有较大的差距。

组织结构和人员上的差异

从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看，IT审计由于涵盖了软件开发和项目投产、运行维护的全过程，包含了各种技术平台、系统生命周期的所有阶段，因此IT审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少，在人员数量和质量上无论与国际先进水平还是银行的IT架构相比，均有不小的差距。同时，由于目前内审部门的信息技术审计组织结构不尽完善且人员不足，无法进一步细分审计职能、明确专业审计方向。另外，在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大，需要加强力量研究解决。

国外IT审计先进经验的启示

重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存，信息科技风险控制已成为商业银行风险管理的重要内容，并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。

加强IT审计是国内银行建设国际一流商业银行的内在需要。近年，工商银行信息科技优势在提升银行核心竞争力的同时，其系统风险也更加集中，更加突出，任何一点管理上的疏漏或控制上的缺陷，都可能引发巨大的系统灾难，给全行带来无法估量的经济损失和声誉损失。因此，进一步加强IT审计就更具有重大的现实意义。

加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大，国家相关部门对信息系统的安全问题越来越重视，银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此，工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。

我国银行要尽快建立健全IT审计架构和规范，从IT治理与公司治理相结合的角度，对银行的信息系统建设的重大决策，提供评估与评价并进行相关的风险分析，力图将IT风险控制在过程中，并推进和促进科技管理，预防IT风险。要达到这一目标，可按照国际通用的IT审计标准CO鄄BIT，结合我国银行的具体实际情况，建立适合我国银行的IT审计标准和框架。

对我国银行的IT审计应紧紧围绕银行的IT技术架构进行，使银行的IT审计能涵盖主要的IT活动范围，因此应建立审计的技术领域框架。该领域至少应包含以下内容：系统运行、操作管理及风险防范，软件开发生命周期的过程管理和风险评估，新系统投产、切换、迁移、合并的过程管理和风险评估，各种技术平台的审计，电子银行等与IT紧密结合的新业务的审计，为业务审计提供IT技术手段和辅助功能，业务与IT紧密结合的综合审计，各种专项审计及事故评估。

我国银行IT审计的关注点

鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足，远不能达到对IT进行全面审计的要求，因此，当前我国银行IT审计工作的重点可定位在以下几个方面：防范对操作运行风险，具体应针对数据中心整合工程后的生产运行和操作情况，进行专项审计；尽快按照国际标准开展我国银行IT审计工作标准的制定；加强组织机构建设，充实技术人员并加强培训；加强IT审计的队伍建设，IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面，同时又具备审计知识和经验，能将IT技术与审计手段结合运用，这样才能审计出IT风险。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。