中国工商银行IT审计和审计信息化建设

作者简介:

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 06 期

关 键 词:

字号:

      一、IT审计

      1、建立IT审计规范体系。为了使IT审计活动更加科学、规范,有效覆盖主要IT风险领域,并且能够及时、准确地发现重大科技风险,中国工商银行(以下简称工行)在参考一系列国际标准的基础上,结合自身实际,建立了一套较为科学、完整的IT审计规范。《IT审计指引》确立了IT审计的总体目标、原则、职能以及工作方式和范围,《IT审计工作规范》、《IT审计风险评估手册》明确了IT审计的规范化要求,《IT审计风险控制矩阵》和《IT审计电子工作模版》构成了IT审计的标准工作程序。这一体系的建立,进一步规范了IT审计行为和标准,使IT审计职能得到更好地履行。

      2、引入风险评估方法。IT审计项目实施前,根据重要性原则和风险导向原则,对被审计单位进行风险评估,确定应该关注的重点,并按照风险分布情况,在确保覆盖主要风险的基础上,合理调配审计资源,实现审计资源效用的最大化。风险评估分为总体风险评估和局部风险评估二个层面。总体风险评估主要是对总体风险进行评估,局部风险评估主要用于对应用系统或控制流程的风险评估。风险评估为审计人员准确把握风险状况和审计重点起到了积极的引领作用,同时又优化了资源配置,提高了审计效率。

      3、制定审计标准操作程序。以风险控制矩阵和电子工作模版为基础,建立IT审计标准操作程序,包括5大领域、22个控制管理流程、1000多个风险控制点。风险控制矩阵包括全部的IT风险控制点,并对每个风险点的控制目标、控制活动、控制特性以及主要风险进行描述,使审计的范围和内容更加明确,与风险点相关的信息一目了然。电子工作模版描述了现场审计的具体步骤和审计操作的相关要求,主要用来规范现场审计操作和审计工作底稿,审计人员只需按照模版的要求进行审计。审计操作标准程序明确了审计要求,统一了审计标准,提高了审计效率,规范了审计行为,保证了审计质量,提升了IT审计的层次。

      4、实行IT审计项目“四统一”。即:统一计划方案,明确审计的范围、内容、方法、流程和进度等要求,使得审计活动在统一的框架下实施;统一资源调配,把有限的IT审计资源集中调配使用,确保主要力量用于高风险的领域以及专业人才放在最合适的岗位;统一组织实施,统一组织审前培训,集中开展非现场排查,统筹协调现场进度,保证审计全过程的步调统一;统一质量控制,利用电子工作模版和网络技术平台,实行审计师、主审人、审计组长三个层次的质量控制,确保审计活动的完整性、有效性和审计发现的准确性。

      5、运用多种审计方法。在审计过程中,注重推广科学的审计方法和实用的审计技巧,如审计抽样方法以及询问、观察、检查、执行等审计测试技巧的广泛运用,进一步提高审计的效果。此外,还要注重发挥“第三道防线”的作用,监督指导信息科技部门不断加强自身管理和自我检查,使IT领域的风险管理和内部控制更加严密有效。

      几年来,工行对全行的信息系统开展了数十次常规或专项审计,提出了许多有价值的审计建议,取得了很好的效果,审计发现的问题逐年减少,IT领域的内部控制和风险管理不断加强,审计作用逐步显现。

      二、审计信息化建设

      工行审计信息化的发展道路与工行内部审计自身特点紧密相关。一是组织架构与职能定位。2004年,工行对稽核监督体制进行改革,分设内部审计局和内部控制合规部。内部审计局下设10个分局,主要向董事会负责,重点关注全行公司治理、内部控制和风险管理等高层次问题以及战略性、系统性、全行性的重大风险。内部控制合规部隶属于高级管理层,主要负责对全行操作风险的检查与评价。二是指导思想和发展理念。以风险为导向,关注影响企业战略目标实现的主要风险,将主要精力放在高风险的业务与管理领域。以标准化为统领,坚持“国际标准本土化,本土做法标准化”,建立一套包括规章制度、流程管理、操作实务、信息平台等内容的内部审计标准化体系,实现“计划统一管理、项目统一运作、资源统一配置、流程统一规范、过程统一控制与结果统一报告”的项目运行模式,实施“项目分级、方案审批、团队实施、专家支持、质量控制、报告评定”的项目控制办法。以信息化为基础,坚持“科技是第一生产力”的主导思想,始终把信息技术作为内部审计创新发展的主要动力和实现审计标准化的重要保障,如图1所示。三是信息技术基础。各种信息技术已经在全行各项经营管理活动中得到广泛应用,业务数据集中,技术工具统一,为内部审计信息化的发展创造了条件,奠定了基础。

      图1 工行内部审计的指导思想和发展理念

      

      目前,工行的审计信息系统有风险评估系统、风险监测系统、审计业务系统和审计管理系统,各个系统相互联系,互为补充,使信息技术在审计工作的各个领域、每个环节都得到充分运用,极大地提高了审计工作的质量和效率。具体表现如下:

      1、信息技术在风险评估中的应用。风险评估是识别、计量风险的重要手段,是制定年度审计计划和开展审计活动的主要依据,其目的在于了解全行机构和产品的风险水平,并根据风险等级排序情况来确定应该重点关注的风险,为制定审计计划、审计方案提供参考,为开展内部控制评价、风险监测提供方向。风险评估主要应用于两个层面。一是面向全行总体的风险评估,目的在于确定应重点关注的机构、业务或产品,以便科学制定审计计划,合理配置审计资源和确定审计频率;二是针对审计项目的风险评估,目的在于确定应重点关注的流程、部位或环节,以指导审计方案的制订和审计活动的具体实施。风险评估体系包括风险评估的内容、方法、标准以及指标模型。工行通过技术开发,实现了评估资源配置、评估信息处理、评估流程控制、评估档案管理以及评估信息共享的自动化,并且在实际运用中取得了很好的效果。风险评估框架见图2。

相关文章: