中外银行IT审计的差距比较

【前言】中外银行IT审计的差距比较由文秘帮小编整理而成，但愿对你的学习工作带来帮助。IT审计队伍不够充足。国外先进银行IT审计的人才比较充足，不少银行内部审计人员中IT审计人员占比达到20%以上。与国外相比，我国银行业IT审计人才仍较为缺乏，且人员素质有待提升。2011年信息科技非现场监管年报显示，全国各类银行中，IT内审人员总数接近800人，占所有...

近年来，银行业信息科技风险日益增大。通过有效的IT审计，强化信息科技风险管控，具有重要的现实意义。在监管部门的推动下，目前国内银行的IT审计取得了一定进展，但与国外先进银行相比，其规范体系、组织架构和方法论仍存在不小的差距，审计在信息科技内部控制中的作用亟待进一步发挥。

中外银行IT审计的差距

IT审计规范体系尚待建立健全。国外先进银行一般都建立了较为成熟的IT审计规范体系，而国内大多数银行尚处于学习和模仿阶段，其中部分大型银行初步建立了IT审计专业领域的制度和标准，如下表所示：

但是，绝大部分的中小银行和少部分大型银行仍未建立IT审计领域的规范体系，缺乏具体的IT审计指南。

IT审计组织架构尚不完善。国外先进银行大多拥有独立、集中、权威的内部监督体系，非常重视IT审计工作。据调查，IT审计的工作量往往能占全部内审工作的1/3。国内大型银行大多在总行内审部门下设置IT审计职能处室，一些中小银行在总行内审部门下设置IT审计岗位，大多数中小银行的IT审计意识较为薄弱，未成立IT审计部门，有的机构甚至完全未开展IT审计工作。

IT审计队伍不够充足。国外先进银行IT审计的人才比较充足，不少银行内部审计人员中IT审计人员占比达到20%以上。与国外相比，我国银行业IT审计人才仍较为缺乏，且人员素质有待提升。2011年信息科技非现场监管年报显示，全国各类银行中，IT内审人员总数接近800人，占所有内审人员的比例不到5%。

IT审计范围比较有限。国外先进银行几乎全部开展了一般控制（GCR）和应用控制（ACR）的全方位IT审计，还重视IT审计与业务审计结合起来的综合审计、对IT外包服务提供商的审计。国内银行大多只开展了一般控制审计，仅涵盖银监会《商业银行信息科技风险管理指引》中的有关领域，只有少数银行开展了IT与业务结合的综合审计。

IT审计方法比较简单。国外先进银行一般采用以风险为基础的审计方法，同时注重非现场审计，强调利用计算机手段与专业安全审计软件。而国内大多数银行只采取一些传统的审计方法。

IT外审开展不充分。国外先进银行开展IT外部审计比较常见，在新系统投产、IT事故的相关调查、银行内审部门尚无专业人员和资源、对外包服务提供商进行审计等情况下，会开展专项IT外审。相比而言，国内银行IT外审开展较少，一般将IT外审作为财务报表审计的一部分，于年度审计时进行，每年开展一次。

缺乏对IT外审的风险管控手段。国外先进银行的IT外审风险管控体系较为完善，分为事前预防、事中控制和事后监督三个方面。而国内银行大多缺乏IT外审风险管控手段。

强化银行业IT审计的政策建议

出台银行业金融机构IT审计指引。对IT审计规范体系、组织架构、审计队伍、审计范围、审计方法和手段、外部审计及其风险控制机制等方面做出具体规定。通过IT审计指引，督促银行建立和完善IT审计机制，推动银行重视并切实推进IT审计工作，同时为银行开展IT审计工作提供指导和依据。

在监管工作中加大对IT审计的关注。一是将IT审计与业务准入相结合。如银行在申请开展网上银行、手机银行等与IT风险密切相关的新业务时，要求银行提前开展内部专项审计或提请第三方开展IT外部审计。二是敦促银行加强应用控制审计，逐步开展IT绩效审计，重视IT审计与业务审计结合起来的综合审计，特别是加强对重要外包服务提供商的审计。三是在银行IT监管评级中，加大IT审计的权重，增强对银行IT审计的硬约束。建立常态化的监审联动工作机制。建立与银行IT内外审部门的定期沟通机制，及时了解银行IT风险情况，并结合银行内外部IT审计结果，合理安排有限的监管资源。

搭建银行业IT审计沟通交流平台。建立银行业IT审计的沟通机制，加强对IT审计标准和规范、审计方法和手段的学习研究，促进银行取长补短，提升银行业整体IT审计水平。