在进行海外建设时,需要综合考虑其他国家针对信息系统建设的审计要求,主要包括对于IT系统的健壮性、运行性能、运维资质、供应商等方面进行专项审计,采用国际标准进行IT审计。
IT审计可以有以下几种开展方式:
(1)按审计方式分
1)内部审计:通常由企业内部审计负责部门牵头组织内审。稽核检查:稽核部门开展的IT稽核专项检查,包含IT审计各项内容。
2)外部审计:由外部审计机构进行审计,包括国家审计机关的审计,审计公司、国际著名的会计师事务所的审计,ISO认证审计等。IT审计可以作为财务审计的支撑。
发达国家监管一般要求金融机构每年进行一次外部审计,由具有资质的独立的会计事务所进行全面审计,通常事务所在年度审计时都会覆盖IT审计内容。
(2)按审计是否现场工作分
1)现场审计:审计人员进驻信息部门现场,对信息系统、信息档案审阅,与IT人员面谈等方式进行。(www.xing528.com)
2)非现场审计:信息部门为审计人员提供审计所需的数据、技术文档、管理制度文档等,由审计人员进行分析。
审计人员分析检查审计文档、数据之间匹配关系的一致性和完整性,结果会出具审计报告和整改通知单。
在国际化过程中,需要考虑各国特殊IT审计要点(向各海外行收集分析)。如IT系统符合当地监管合规要求,某些国家要求在银行投产的系统需要获取审计公司的资格认定或者监管报备,未得到认可的系统贸然投产属于违规行为,可能会受到监管处罚。如涉及跨国审计,通常以非现场审计为主。
(3)按系统的开发和投产分
1)开发审计:主要是对信息系统开发过程的制度、规范、文档、提交物、流程、组织架构、人员资质、项目开发过程进行审计。
2)运维审计:主要是对生产运维中心进行IT审计,包括物理环境、网络安全、数据保护、维护流程、人员能力、生产风险防范、灾备等方面的IT审计。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。