欢乐生肖

站内搜索:
【内审之声】发挥“第三道防线”作用 保障审计报告质量
来源:欢乐生肖_欢乐生肖开奖结果【官方网站】    添加时间:2018-04-26 10:32:30   点击次数:22250 分享到:
【打印】

近年来,中信银行积极发挥内部审计作为公司治理重要手段和风险管理“第三道防线”的作用,促进内部控制体系的完善和风险防范水平的提升。本文以2016年开展的信息科技专项审计项目为例,分析通过全流程的审计质量控制,提升审计报告质量,促进审计成果转化。

  审计项目质量控制的措施

  (一)健全的审计制度体系是实行项目质量控制的基础

  2016年,中信银行审计部开展的信息科技专项审计项目依照内部审计准则,搭建完成了由审计章程、管理办法、操作规程、工作模板组成的四个层级,以及包括现场审计管理、非现场审计管理、内部控制评价管理、审计质量管理、审计中心管理以及综合管理等6大类共60余项制度的制度体系,规范了审计项目的开展,为审计项目质量控制和质量评价体系提供了坚实的制度基础。

  (二)全流程审计质量控制是实施项目质量的保障

  信息科技专项审计项目从立项开始,项目主审即开始对项目质量专门管理,在现场实施过程中,每天召开项目例会,重点关注普遍性、重大风险隐患等问题,并对现场检查过程中的质量进行控制和复核。同时,质量控制处不定期派员参与项目例会,现场抽取部分底稿、事实确认书进行质量把关,对于发现的不足及时与项目组沟通,确保了项目按质如期完成。

  中信银行审计部根据多年审计实践经验,梳理了一套较为完整的审计作业流程,保证每个环节都有明确、规范的操作步骤和质量目标要求,践行“大质控”审计管理理念,实行全流程审计质量控制。将标准审计操作流程固化在审计管理信息系统中,参与审计项目的人员均须按照规范流程操作。同时,专门设立质控处,履行质量控制监督职责,从项目立项到项目结项,全程参与。从项目立项阶段材料准备,到现场实施过程中项目信息录入的完整性、进(退)场会流程、确认书审核级别、工作底稿完整性以及证明性材料的充分性、问题描述及定性的准确性、取证的规范性及沟通的有效性,再到报告阶段报告描述的准确性和文体、格式等均由系统进行初验和质控处人员进行审核,保障了审计项目的质量。

  (三)科学的审计工作方法是提高项目质量的手段

  信息科技专项审计项目立项之初,结合监管关注重点和往年审计发现较为突出的风险领域,确定审计重点。在项目前期准备上,非现场调阅了大量相关材料,进行了扎实地分析,制订了明确的审计方案。在项目组织管理上,由10名具有丰富信息科技审计经验的人员组成审计组,并事先进行培训,熟悉审计方案,根据人员专长和审计重点,分成3个专业小组并明确分工。现场实施阶段,分组访谈、查证、现场核实相关情况,每日总结会对进度和疑点进行讨论,确保审计方案全面执行并实现重点突破。每张工作底稿经过专业小组长、主审、组长三级审核,严把质量关。对审计对象提出不同意见,除了现场小组讨论商议之外,对未能达成一致的问题专门召开相关部门领导及人员参加的会议,以达成一致意见。

  充分利用有限的审计资源,科学合理配置,提升审计质量和效率。立项准备环节,以风险为导向,聚焦监管重点和前期审计发现的风险聚集点,将有限的审计资源优先配置到高风险领域。现场审计环节,实行组长负责制,明确责任人,紧抓各环节质量控制的关键点,提高质量控制效率。建立“多级复核”机制,在项目组“三级复核”的基础上,本部各处室通过专业把关,从方案制订、进度督办、现场督导、报告审核、项目考评等环节进行矩阵式把关。构建闭环式审计工作模式,即年度审计项目计划—审计项目组织实施—审计发现问题纳入审计问题库—结合审计发现问题情况开展内部控制评价—根据内部控制评价的风险分布情况确定下一年度审计计划。建立审计复议机制,为审计异议的有效解决提供途径,在保护审计对象合法权益的同时,提升审计项目质量,保证审计的客观公正性。

  审计报告质量的亮点

  信息科技专项审计项目报告共分为审计概要、信息科技基本情况、主要审计发现、后续跟踪审计情况、审计结论五个部分。其中,审计概要介绍审计基本情况,包括审计对象、主要内容、时间人力安排、审计依据、方法及抽样情况;主要审计发现包括问题定性、问题描述、违反制度规定等;审计结论对审计对象整体情况进行评价并指出主要问题。

  信息科技专项审计项目报告整体反映了本次审计工作过程、取得的成果等情况,揭示了被审计单位的风险隐患,审计建议具体、明确、可操作性强。审计报告的亮点具体表现在:

  (一)反映高风险领域问题

  如业务连续性管理方面“灾备中心灾备能力不足,不具备在灾难时接管业务能力”的问题,外包管理方面“外包依赖度较高”的问题,信息安全方面“变更直接操作生产主机数据库风险大”问题等,对全行信息科技管理能力的提升、风险控制有着重要的作用。同时也契合银保监会对信息科技风险的监管要求。

  (二)统一规范问题定性

  按照中国人民银行《商业银行内部控制评价指南》风险点归类方法,将多种表现形式的问题抽象为问题定性,不仅使专业性较强的信息科技问题通俗易懂,便于管理层及审计对象更清楚地了解问题本质并认识到潜在风险,而且能有效推动从根源上开展整改工作,防范屡查屡犯,如“网络接入未开启准入控制、网络防火墙策略过大、访问控制未限定IP地址和端口”等均抽象成“网络隔离和访问控制手段不足”。

  (三)开展后续跟踪审计

  该项目涵盖了信息科技风险管理、业务连续性、外包管理、开发与测试、运行维护、信息安全等信息科技各个领域。开展后续跟踪审计,不仅停留在发现问题上,更注重对上一年度审计发现问题的整改情况进行后续跟踪审计,验证问题整改的彻底性,并评价整改措施是否及时、真实、有效,以实现内部控制缺陷的有效修复,持续完善内部控制。

  审计报告的运用及整改成效

  (一)监管机构充分认可,管理层高度重视

  该审计报告印发后得到了监管部门认可,对中信银行《2016年信息科技监管评级意见》指出,信息科技专项审计,审计检查具有一定深度,审计质量较好,暴露了一些突出问题,如异地灾备能力不足、生产数据变更风险较高,有效发挥了第三道防线的独立监督作用。同时,该审计报告也得到了管理层的高度重视,相关部门已全面整改,落实责任,以尽快消除安全隐患。

  (二)审计问题整改被纳入信息科技战略规划

  该审计报告对中信银行信息科技管理能力提升产生了较大的促进作用。一是提升了全行对信息科技的重视程度。部分审计发现的问题被纳入中信银行信息科技战略规划进行系统整改。如在业务连续性管理方面,针对西安灾备中心灾备能力不足问题,规划增设合肥数据中心。二是促进了信息科技部门加强内部管理。总行信息科技部针对审计报告揭示的问题,专门召开了条线会议安排部署整改工作,制定了问题整改台账,将每一项问题落实到具体责任部室和责任人。不仅从操作层面整改,而且从制度、流程等深层次的内部控制层面开展整改,包括对51项制度、流程进行重构,并利用知识图谱技术对制度进行管理。进一步加强对信息系统的管控力度,针对安全方面开展敏感数据保护项目建设,组织全行安全检查,针对系统开发与测试方面完善质量管理细则,设立了项目进度、项目质量和安全、效率、欢乐生肖等量化指标,并按季考核。三是强化了总行对分行信息科技工作的指导与培训、检查与监督,将分行运维管理工作纳入全行生产运行日常检查范围,对分行信息技术部负责人实行资质审核准入,提升了全行的信息科技管理水平。(中信银行审计部)

 

主办单位:欢乐生肖_欢乐生肖开奖结果【官方网站】
技术支持: 达州市计算机信息审计中心;联系电话: 、2281611
任何单位或个人不得以任何方式复制或变相复制本网站全部或部分信息
;蜀ICP备19014604号-1
网站标识码: 5117000025
欢乐生肖_欢乐生肖开奖结果【官方网站】 福建快三官网 内蒙古快三官网 168彩票开奖官方网站 彩票平台网址 安徽快三彩票 秒速快三平台 秒速快三注册 江苏快三平台 加拿大时时彩官网 新时时彩