it审计论文（精选8篇）

　　IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方－IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。下面是搜索整理的it审计论文8篇，供大家参考阅读。

it审计论文第一篇：农商行IT审计困境与加强建议

　　摘要：随着信息科技的蓬勃发展以及交易数据大集中的实现，农商行对信息系统的依赖性越来越强，面临的IT风险也越来越大，而农商行IT审计发展则相对滞后。本文总结了省级联社管理模式下农商行IT审计的现状，全面分析了当前农商行IT审计面临的困难与瓶颈，在此基础上从理念、体系、队伍、平台以及模式等方面提出了未来发展路径，以期推动农商行IT审计更加有序开展。

　　关键词：IT审计;农商行;内部审计;

　　1 引言

　　近年来，随着信息技术的快速发展，尤其是大数据、云技术、移动互联等新技术在农商行的广泛应用，极大地拓展了业务空间和服务手段，为农商行的经营发展提供了强大动力，带来了巨大经济效益。但与此同时，伴随新技术应用而来的IT风险却更加多样化、复杂化和难以管控，其可能造成的损失和影响也更加巨大。

　　早在2009年，原银监会就颁布了《商业银行信息科技风险管理指引》，提出要构建信息科技风险管理的“三道防线”，并要求审计贯穿信息科技的整个生命周期和重大事件，反映了IT审计在信息科技风险管理中的重要地位。2018年6月中国银保监会通报多起利用银行系统漏洞或安全机制缺陷盗取资金的案件，情节令人震惊。在此背景下，农商行内部审计工作必须切实履行信息科技风险管控的“第三道防线”职责，主动应对挑战，有效开展IT审计项目，发挥自身价值，服务农商行高质量发展。

　　2 农商行IT审计在实践当中的做法

　　当前，绝大多数省份在对农商行（包含农合行）的管理上，采取了省级联社和农商行两级法人的管理模式。省级联社承担了管理、指导、协调和服务的职能。与其他银行相比，省级联社管理模式下的农商行在科技建设方面有着更为独特的模式，一般都采用了“大平台、小法人”的科技管理模式，省级联社层面均设置科技相关部门，大部分市县农商行由于受到资金、人员等条件限制，科技研发基本依托于省级联社统一的、集约化的系统建设，自身只负责简单的软硬件管理和维护，也有部分省份赋予农商行自主研发非核心软件系统的权限。

　　对信息科技风险开展独立有效的评价是农商行内部审计的主要职责之一。科技建设的“二元管理模式”决定了农商行的IT审计具有其不同于其他银行的独特性。笔者通过查阅大量资料并实地走访，总结出当前省级联社管理模式下农商行IT审计实践可概况为以下几点：

　　(1）从治理结构上看，按照监管部门要求，目前各农商行内审部门基本都直接向董事会报告。部分农商行能够在部门内设立专职IT审计岗，专门负责全行IT审计，少数有条件的农商行还单独成立了IT审计中心，独立于IT部门，体现了管理层对IT风险控制的高度重视。

　　(2）从团队建设上看，农商行一方面通过内部选拔机制从科技部门调入具有IT从业背景、熟知银行相关业务的专业人才，组建IT审计团队；另一方面加强专业培训，聘请外部专家开展商业银行IT审计入门培训、在专项审计时采取跟班培训、以老带新等方式提高IT审计团队整体素质，达到IT审计资源储备的目的，以应对越来越高的IT审计需求。

　　(3）从项目实施上看，农村商业银行IT审计起步较晚，总体水平并不是很高。能开展监管部门要求的所有信息科技相关类别审计项目的农商行占比极低，仅有少部分农商行开展过针对信息科技风险的全面审计，一些在省联社层面独立开展了部分信息科技的专项审计项目。

　　(4）从系统建设上看，农商行能够在实践中积极推进内部审计的信息化建设，绝大部分省级联社统一开发上线了审计系统，实现了对全部交易数据的存储、查询、分析和管理，通过创建开发一系列审计模型，及时发现审计线索，锁定审计重点，为提高现场审计效率和质量提供了有力支撑，促进了审计模式的转变。

　　3 农商行IT审计面临的瓶颈与困境

　　当前，大多数农商行管理层能够认识到，IT审计对于促进信息科技风险防范责任重大，必须在多方面有所突破、有所创新、有所提升，但要进一步推进，却面临着诸多的困难，如对IT治理没有明晰的认识，缺少IT审计方法与规范，审计力量薄弱，上下联动不够等等，这些问题严重阻碍了IT审计工作的进一步推进，也导致出现了“第三道防线”的履职瓶颈。

　　3.1 对IT审计的定位认识模糊

　　业内对IT审计的认识，经过了技术导向、控制导向、风险导向三个阶段，先后产生了BS7799、SP800、ISO27005、COBIT等代表性框架。目前普遍认为信息科技风险应融入企业全面风险管理中，成为整个企业治理框架的重要组成部分，其代表性框架为ISACA（国际信息系统审计协会）发布的Risk IT。

　　但是目前农商行对IT审计的认识不足，大部分仅限于应付监管部门要求，有的认为IT审计必须完全依赖于专业技术人员，有的认为IT风险的第三道防线根本就是空谈，有的仅关注科技管理或业务连续性，只有少数单位意识到系统控制应与业务风险防范相结合。认识上的不足，导致大多数农商行目前投入的人力物力，与快速发展的业务相比存在不小的差距，制约了IT审计的工作质量。

　　3.2 审计的广度和频率不够

　　按照人民银行及银保监会相关要求，农商行审计部门必须开展的信息科技审计至少包括信息科技全面审计、业务连续性专项审计等9项，并规定了开展审计的最低频率，见表1。

　　表1 监管部门对信息科技审计要求    下载原表

　　与监管要求相比，绝大部分农商行不能满足监管要求，距离监管要求有很大差距。从信息科技监管评级方面看，大多数农商行都存在信息科技审计未开展、审计覆盖面不足等问题，影响了农商行信息科技评价总体评分。

　　3.3 缺乏足够的IT审计专业人才

　　IT审计专业性强、技术门槛高，充分履行“第三道防线”职责需要既懂得信息技术、了解银行业务又具备一定审计经验的专门人才。一方面，内审部门具有IT背景的审计人员少之又少，相当一部分农商行尚未配备具备信息科技背景的审计人员，缺少独立开展IT审计的必要条件。同时，独立开展农商行IT审计，特别是全面审计对IT审计人员配备的要求很高，而单家农商行由于审计队伍总人数限制、IT审计人员专业较为单一、培养成本高等因素，造成不具备招募维持大量IT审计人员的条件，导致专业人才紧缺成为制约审计部门履行IT审计相关职责的瓶颈。另一方面，大部分农商行开展IT审计的时间较短，IT审计人员多来自科技部门，虽然有较丰富的信息系统开发或运维经验，但审计技能还有待提高，也影响了内部审计的成效。

　　3.4 缺少规范的IT审计技术方法

　　当前，农商行IT审计工作缺乏基本的系统性和规范性，各农商行对于信息科技的审计缺少规范有效的方法、措施和数据模型，大多尚停留在制度的完整性遵循性检查层面，发现的也通常是表面合规问题，不知道审什么、怎么审，难以把握IT内部审计的重点，很少触及深层次业务风险和IT技术问题，无法揭示信息系统开发、运行中存在的重大风险或缺陷，审计工作的效果大打折扣。

　　与之相应的是日益庞大的银行信息系统、日趋复杂的运行环境及互联网金融等新的应用大规模上线，银行系统架构发生深刻变化，新的信息安全风险不断产生。例如，一些农商行自主开发的软件系统，越来越多地采用迭代式敏捷开发模型，以快速响应满足业务部门需求，导致传统基于瀑布开发模型的安全控制机制难以奏效，系统漏洞难以被及时发现，形成隐患。

　　3.5 整体性和联动性还不强

　　当前，省级联社与农商行信息科技系统是一个整体，但在实际工作中，省级联社与各农商行对信息科技的审计存在相互割裂，各自为战的现象，比如业务连续性等一些审计过程尚不能涵盖系统的所有环节，难以全面反映信息科技存在的重要风险，省级联社行业审计与内部审计的联动效应发挥不够。

　　4 加强农商行IT审计的几点建议

　　展望未来，农商行在实施IT审计项目时，需要立足实际情况，紧密联系信息科技与业务发展的新形式、新特点，遵循先进的审计标准，突出技术优势和风险导向，找准IT审计在农商行的准确定位，促进IT审计更健康有序地开展。

　　4.1 明确方向，坚持一种理念

　　理念决定思路，思路决定出路。做好IT审计工作，首先要解决审计方向的问题。农商行审计部门从原本以合规审计、制度遵循性检查为主，逐步转为“以风险为导向”组织开展IT审计项目。在此前提下，需要明确“以业务为核心，业务与技术相结合”的IT审计思路，即从系统到业务审计、从业务再到系统审计、再从系统到系统审计。同时结合当前农商行的实际情况，在以业务为核心的指导思想下，将有限的审计资源重点投入到应用控制审计中。

　　4.2 制度先行，建设一套体系

　　一是建立规范的IT审计工作规范。建议在省级联社层面根据监管法规和实际情况，制定IT审计规范、指引等制度办法，并指导各农商行制定实施细则，明确IT审计的职能定位、审计内容、工作流程、运作模式以及相关的管理要求，逐步形成一套贯穿审计全周期的质量控制体系。二是建立实用的IT审计技术方法。遵循标准化、专业化的原则，适时启动研究编写农商行IT审计操作指南，制定穿行测试、代码审查等专门工具方法，逐步构建IT审计实务标准。此外，还要定期总结IT审计项目经验，收集先进银行相关审计案例，建立IT审计知识库。

　　4.3 人才为本，打造一支队伍

　　拥有一支高素质、专业化的人才队伍，是IT审计工作顺利开展的重要前提。一是多渠道、多层次、多结构地引进、选拔人才，逐步充实、壮大IT审计力量，抓紧组建一支以核心人才为引领、骨干人才为支撑、应用人员为基础的人才队伍体系。二是强化持续教育，通过每年组织集中专题培训、鼓励参加CISA认证学习等，促进及时更新理论与知识，掌握先进技术和方法，持续提升综合素质和专业能力。三是注重审计项目中的实战锻炼，省级联社可以通过IT审计人才的一体化管理，轮流抽调全行业IT审计人员参与省联社统一组织的IT审计项目，以老带新、以干代培、共享经验，不断升级IT审计能力。

　　4.4 科技支撑，搭建一个平台

　　在大数据时代，充分依托省级联社层面的科技优势，构建支持IT审计活动信息化、自动化、综合化的审计信息系统平台，能够极大地促进提升IT审计工作效率和效果。一方面，利用现有的审计系统，实现对全行业IT审计计划、项目实施、资源配置以及质量控制的科学管理，也可以消除地域割裂的制约，使IT审计工作更加规范、高效。另一方面，要大力开展“数据式”审计，获取信息系统开发、运行相关数据，包括重要操作系统、数据库和核心网络设备的日志、安全参数文件等等，自主研发关键指标和审计模型，对全量数据开展深度挖掘，监测系统的运行管理、信息安全和生产事件，及时提示、预防IT风险。

　　4.5 统筹规划，创新一套模式

　　当前，针对农商行IT审计人才储备不足、审计经验缺乏以及系统架构特点，有必要因地制宜创新变革审计模式，建立一套“分级实施、上下联动”的IT审计组织管理模式。根据监管要求和业务需要，在省级联社层面可每年确定1至2个专题，按照全系统集中组织、统一方案、同步实施、汇总报告的组织方式，由省级联社审计部门统一组织审计省级联社“大平台”建设、管理、维护等情况，各相关农商行负责审计前端应用、本行自建系统和相关业务领域。通过上下联动，分工协作，实现省级联社行业审计与农商行内部审计的弹性互动，促进提升IT审计项目质量，有利于充分发挥整体合力，同时对解决农商行自行审计“无从下手”、重要问题“无法追溯”的难题具有现实意义。

　　参考文献

　　[1]审计署审计科研所．信息系统审计内容与方法[M]．北京：中国时代经济出版社，2009.
　　[2]吴桂英．信息系统审计理论与实务[M]．北京：清华大学出版社，2012.
　　[3]俞文平，周平．IT审计之道[M]．北京：清华大学出版社，2016.
　　[4]高卓，吴婷．建设银行IT审计发展策略[J]．金融电子化，2011 (10) .
　　[5]陈伟，SMIELIAUSKAS, Wally．大数据环境下的电子数据审计：机遇、挑战与方法[J]．计算机科学，2016, 43 (1) :8-13.
　　[6]王小山．基于COBIT 5.0的商业银行信息系统审计研究———以A银行为例[D]．杭州：浙江工商大学，2017.

it审计论文第二篇：国内银行IT审计体系建设必要性与途径

　　摘要：新世纪以来，国内银行业信息化水平不断提升，信息化为银行业务运行和创新提供了重要支撑，也由此带来了信息技术风险。为适应信息化时代的业务特点、降低IT系统的风险隐患，银行亟需构建科学完善的IT审计体系。本文探讨了银行业IT审计体系建设的必要性，并提出了IT审计体系建设的思路和方法。

　　一、国内银行IT审计体系建设的必要性

　　（一）IT审计是银行防范信息系统风险的必然保障。

　　商业银行作为经营风险的企业，风险防控工作无疑是重中之重。巴塞尔协议实施以来，银行业对业务风险的防控水平已经显著提升，但信息安全风险防控水平相对落后。与此同时信息化已经渗透至银行经营工作的方方面面，IT技术风险正不断暴露。具体来看，当前银行面临的IT风险主要有以下三个方面：首先，信息化所采用的各类技术、软硬件和架构等本身存在着可靠性和稳定性不足的问题，软硬件故障、程序漏洞、人为操作失误和灾难等因素都会直接影响信息系统运行。其次，在银行业务线上化趋势下，银行核心业务系统和互联网不可避免地产生联系，银行信息系统正直接面临来自互联网的技术攻击。最后，银行多年累积的海量客户信息存放在银行的各个信息系统上，如不加以严密保护，极有可能被恶意窃取。近年来，国内银行业多次出现系统异常导致银行业务中断的事故，这些事故给银行带来巨大的经济损失和声誉风险。据国外研究测算，IT风险平均占银行整体经营风险的20%，因此建立完善的IT审计体系来保障信息系统安全稳定运行是商业银行的迫切需要。

　　（二）IT审计是应对外部监管的必然要求。

　　为应对来自互联网巨头的挑战，最近几年银行的金融科技发展进入井喷时期，随之而来的信息技术风险也已经被监管机构重视起来，相关监管制度正不断出台。监管机构先后发布了《银行业金融机构信息系统风险管理指引》和《商业银行信息科技风险管理指引》等关注金融行业信息系统安全的文件，其中都明确指出了开展IT审计的工作要求。2019年以来，中美贸易战导致国内经济环境中的不确定性因素增加，信息安全局势更加不容乐观。为此，公安部于2019年6月份开展“网安2019”行动，以实战形式从企业的互联网入口发起攻击，以此来检验国内企业应对网络攻击的真实防护水平。人民银行近期也多次开展金融行业信息系统风险和对国外产品的依赖情况调研，以评估贸易战对金融企业信息安全的真实影响。由此可见，监管机构对信息系统安全的重视程度与日俱增，未来对银行信息系统的审计力度也将显著加强。因此，做好IT审计工作在应对监管方面也是势在必行的。

　　（三）IT审计是信息化时代银行审计发展的必然趋势。

　　银行审计工作旨在监督银行贯彻落实国家经济金融领域各项规章制度，促进银行建立业务风险可控、内控制度规范的公司治理架构，因而银行审计是一项全面的系统性工作，银行审计框架中应当覆盖银行所有条线工作。金融科技在极短的时间内为银行经营带来了众多新技术和新产品，也因此形成了许多审计上的盲点，有必要及时完善审计制度来防患潜在科技风险。不仅如此，商业银行正在不断推进业务无纸化和线上化，绝大部分业务凭证会以电子信息形式存储，未来的银行审计工作将基于信息系统采集和储存的电子原始数据。在这种情况下做好IT审计是确保其他审计资料完整和有效的必要手段，是整体审计结果可靠的前提条件。综上所述，银行审计体系包含并重点突出IT审计将是信息化时代银行审计发展的大趋势。

　　二、银行构建IT审计体系建议

　　（一）构建IT审计体系，夯实人才培养是基础。

　　与传统审计人员不同，IT审计人员不仅要熟悉信息技术工作中从研发、测试、投产、维护等全流程工作，还需具备审计工作要求的各项技能。从实际情况来看，国内银行业兼备这些素质的从业者少之又少，只能通过自身培养来解决人才难题。笔者认为打造银行IT审计人才队伍可以从以下三方面入手。首先，总行层面要制定IT审计人才培养计划，从源头招聘开始遴选计算机和管理类复合型专业背景人才作为培养对象。二是在培养方式上，通过轮岗工作方式让候选者到科技、审计和业务等相关岗位工作，便于他们对照审计要求了解本行信息系统架构、信息安全相关规章制度等，跨多部门的工作经历有助于他们在未来的审计工作中快速准确地定位和诊断问题。最后，可以通过外部培训和考试提升来审计人才的专业素养，例如参加注册信息系统审计师（CISA）、注册内部审计师（CIA）和注册信息安全专业人员（CISP）等培训考试，通过工学结合的方式帮助审计人员获取最新专业知识、了解行业最新形势，切实提升自身专业素养。人才培养是个长期性、持续性工作，商业银行应当及早认识到培养IT审计人才的重要性，尽快建立起人才培养计划，有了专业人才的基础支撑，才能促使IT审计工作快速发挥实效。

　　（二）构建IT审计体系，健全IT审计制度是保障。

　　IT审计制度建设必须要避免一个误区，即IT审计是仅针对科技部门的。银行现有的信息系统本身已经非常复杂，不仅有规模庞大的核心业务系统，还存在着数量可观的行内管理系统，这些系统几乎涉及行内所有部门，且存放着大量的客户隐私和商业机密，因此IT审计制度设计需首要注重全面性，既要制定针对科技部门审计条款，还要制定针对信息系统使用部门的审计规范，让IT审计制度覆盖到涉及信息安全的各个领域。其次，IT审计制度建设要注重适用性。就实际情况来看，几乎没有一家银行的系统架构是完全相同的，因此IT审计制度涉及的审计对象、审计逻辑和审计方式均要根据银行的实际情况去制定，不能盲目照搬照抄。同时，IT技术发展日新月异，IT审计制度要及时更新、补充，以便更好地为新技术和新产品审计提供指导。最后，IT审计制度中不能缺失对人的审计。员工是信息系统的操作者，其性格和经历等因素会影响他们的工作表现，而其工作表现与银行IT系统的运行直接相关。通过对相关人员的性格调查和行为排查，可以提早发现IT工作中潜在的人为风险隐患。

　　（三）构建IT审计体系，研发IT审计工具是抓手。

　　依托软件进行审计即计算机辅助审计技术（CAATs）已经在审计领域得到广泛应用，IT审计也需要有效的软件工具支持。我国银行业IT审计工作开展较晚，且缺少具备完整审计功能的审计软件支持，因此国内银行主要的IT审计手段还停留在访谈和登录查看上。随着近年来的技术迭代，原本各行开发的审计软件无论从功能还是效率方面都已无法满足当前IT审计工作要求，亟需在最新审计制度的基础上研发新型IT审计工具。笔者认为新型IT审计软件须满足以下两个要求。首先，审计软件必须保证单一入口，即所有的IT操作必须通过该软件入口进行，防止有人通过其他方式进行操作，确保审计原始数据的完整、可靠。二是审计软件要尽量做到全流程监控，IT工作中很多操作看上去是独立的，但在逻辑上是紧密相关的，例如变更的申请和变更的实施分属两套不同的系统，以往审计人员需要分别对两个流程进行审计，并比对二者的关联关系，这给审计工作开展带来极大的不便。新型审计软件要从多维度监控业务的全流程，将申请到实施自动关联起来，将系统的“研发-测试-上线-退出”全部生命周期监控起来，确保审计要素的完整性。除此以外，对相关性工作自动进行关联也可以有效降低审计人员的工作复杂度。

　　参考文献

　　[1]郭烈，《浅议中小商业银行基于风险控制的IT审计》，《时代金融》，2018年第12期.
　　[2]李强，《商业银行信息科技内部审计初步探讨》，《时代金融》，2013年第10期.
　　[3]李岩，《针对商业银行业务部门的IT审计》，《中国内部审计》，2018年第11期.
　　[4]乔哲，《关于商业银行IT审计的思考——以业务为核心、风险为导向开展信息系统审计》，《农银学刊》，2015年第5期.
　　[5]田亚恒，《商业银行IT审计探讨》，《全国流通经济》，2018年第6期.