為了提升IT審計(jì)工作的效率和效能，實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理，商業(yè)銀行應(yīng)當(dāng)切實(shí)開(kāi)展基于風(fēng)險(xiǎn)的IT審計(jì)工作�！　∫粋�(gè)基于風(fēng)險(xiǎn)的銀行IT審計(jì)工作可以分為六個(gè)步驟進(jìn)行，包括制定審計(jì)目標(biāo)、確定風(fēng)險(xiǎn)領(lǐng)域、制定審計(jì)計(jì)劃、設(shè)計(jì)審計(jì)程序、執(zhí)行審計(jì)計(jì)劃以及出具審計(jì)結(jié)果和管理建議。其中，“確定風(fēng)險(xiǎn)領(lǐng)域”和“設(shè)計(jì)審計(jì)程序”是最為關(guān)鍵的環(huán)節(jié)�！　≈贫▽徲�(jì)目標(biāo)。銀行IT審計(jì)委員會(huì)確定項(xiàng)目所采用的方法論、框架體系和審計(jì)目標(biāo)，并對(duì)審計(jì)范圍和資源配置進(jìn)行說(shuō)明，同時(shí)擬定最終的報(bào)告內(nèi)容范圍。　　確定風(fēng)險(xiǎn)領(lǐng)域。IT審計(jì)人員根據(jù)銀行的信息系統(tǒng)現(xiàn)狀，結(jié)合銀行的戰(zhàn)略和業(yè)務(wù)目標(biāo)，制定出適合的風(fēng)險(xiǎn)框架，包括風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)評(píng)估模型等。審計(jì)人員從信息系統(tǒng)本身的脆弱性和其對(duì)業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的影響兩個(gè)維度出發(fā)，分析評(píng)估銀行各信息系統(tǒng)的風(fēng)險(xiǎn)現(xiàn)狀，從而篩選高風(fēng)險(xiǎn)的信息系統(tǒng)。　　制定審計(jì)計(jì)劃。基于前一階段的風(fēng)險(xiǎn)評(píng)估結(jié)果和IT審計(jì)的關(guān)注領(lǐng)域，擬定以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部審計(jì)計(jì)劃;內(nèi)部審計(jì)計(jì)劃在得到銀行管理層最終批準(zhǔn)之后，確定各項(xiàng)審計(jì)任務(wù)所需的資源和具體執(zhí)行時(shí)間�！　≡O(shè)計(jì)審計(jì)程序。對(duì)計(jì)劃進(jìn)行IT審計(jì)的信息系統(tǒng)和其支持的業(yè)務(wù)流程進(jìn)行詳細(xì)了解和記錄，編制風(fēng)險(xiǎn)和控制矩陣，并針對(duì)選定的信息系統(tǒng)和其支持的業(yè)務(wù)流程分別制定不同層面的審計(jì)程序�！　∧壳般y行業(yè)IT審計(jì)比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應(yīng)用控制和面向計(jì)算機(jī)環(huán)境整體控制三層。具體各層面的審計(jì)內(nèi)容為：　　銀行管理層面IT控制審計(jì)(ELC)：關(guān)注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃�！　�應(yīng)用控制審計(jì)(AC)：關(guān)注業(yè)務(wù)流程中內(nèi)嵌的信息系統(tǒng)相關(guān)控制，以保證信息處理的完整性、準(zhǔn)確性、有效性和訪問(wèn)控制。應(yīng)用系統(tǒng)控制包括數(shù)據(jù)控制、業(yè)務(wù)流程控制、接口控制、系統(tǒng)外控制�！　∮�(jì)算機(jī)環(huán)境整體控制(ITGC)：關(guān)注與IT相關(guān)的管理控制，包括IT運(yùn)營(yíng)、基礎(chǔ)設(shè)施和流程、信息安全、業(yè)務(wù)持續(xù)性管理和災(zāi)難恢復(fù)、IT基礎(chǔ)設(shè)施等方面�！　∵@三個(gè)層次的劃分將有助于審計(jì)人員從多個(gè)角度審視銀行的信息科技風(fēng)險(xiǎn)管理工作�！　�執(zhí)行審計(jì)計(jì)劃。IT審計(jì)人員將根據(jù)擬定的審計(jì)程序執(zhí)行現(xiàn)場(chǎng)審計(jì)工作，記錄測(cè)試結(jié)果，對(duì)測(cè)試結(jié)果進(jìn)行復(fù)核和評(píng)估，并與相關(guān)人員溝通測(cè)試發(fā)現(xiàn)。在執(zhí)行過(guò)程中，審計(jì)人員可以通過(guò)佐證性詢問(wèn)、現(xiàn)場(chǎng)觀察、文件檢查、重新執(zhí)行和計(jì)算機(jī)輔助審計(jì)技術(shù)等五種測(cè)試方法的一種或幾種對(duì)某項(xiàng)控制活動(dòng)的運(yùn)行有效性進(jìn)行測(cè)試�！　〕鼍邔徲�(jì)結(jié)果和管理建議。向銀行管理層匯報(bào)各項(xiàng)審計(jì)發(fā)現(xiàn)和風(fēng)險(xiǎn)分析結(jié)果，出具最終的內(nèi)部審計(jì)報(bào)告，并根據(jù)各項(xiàng)審計(jì)發(fā)現(xiàn)，提出合理的管理建議。