90年代末期至今,国内商业银行一直在持续的进行信息系统建设,90%以上的商业银行都已经应用信息系统来实现对客户的服务。根据相关统计数据,针对国内商业银行,硬件网络平台已经实现了100%的应用;软件应用已经覆盖了80%以上的商业银行业务;部分商业银行在管理信息化方面也陆续的完成信贷管理、财务管理等管理信息系统的建设。随着商业银行信息化建设的进一步完善,商业银行对IT系统的依赖也越来越强。
但是,在商业银行IT建设的背后,也应该看到一个事实,商业银行的经营业务的本身蕴藏着巨大的风险。在实现由手工操作到电子化过程中,降低了人为的风险,但同时也带来了巨大的IT风险。根据《巴塞尔协议》的相关规定,系统失效是银行风险重要组成部分。国外相关统计数据表明,一些银行系统失效风险损失占到总风险损失的10%-20%.国内商业银行必须看到面临的IT系统相关风险在逐渐增大。
以上只是从银行业方面反应出来的问题,其他行业如保险,电信也存在着同样的问题:谁来管理流程E化之后的风险?为了解决这一问题,通过IT审计,及时识别IT风险,完善控制措施势在必行。
IT审计又称信息系统审计,是指独立的IT审计师或审计机构采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整地、有效地检查和评估,以追求系统的有效利用和故障排除,使系统更加健全。
随着计算机技术的迅速发展,人类社会的信息化程度越来越高,整个社会的政治、经济、军事、文化以及其他领域对计算机信息系统的依赖程度也越来越高。在这种状况下,计算机信息系统的安全性、稳定性、有效性得到了人们越来越多关注。进行独立的、有效的IT审计成为了检验信息系统的一个必要手段。IT审计就是在这种背景下开始发展、成熟,并走向了普及。
一般来说,IT审计的任务与使命可以概括为三个方面:
