这名受害者收到了PayPal发来的约50份回单，每份回单的金额都是99.99美元。回单显示，这些钱被用于购买CastleCraft的游戏道 具，卖家是Freeverse。在银行向PayPal转款前，他及时终止了这些交易。有一位名叫乔伊·布鲁斯(Joey Bruce)的用户通过Twitter表示：“有人黑了我的iTunes/PayPal账户，并且偷走了账户里所有的钱。在我倒下时，命运还在无情地打击 着我。”在Twitter和Facebook上进行搜索便会发现大量相关信息。”

剑桥大学当天发布公告说，这个漏洞相当于在银行卡和刷卡终端之间打入了一个“楔子”，无论输入的密码是什么，都可以让刷卡终端相信密码是正确的。公告并没有透露太多的技术信息，但提醒说，犯罪分子很有可能利用这一漏洞进行欺诈。

此外，这一漏洞还会给受害者索赔造成困难，因为银行系统会显示校验了正确的密码，银行会因此认为是客户自己没有妥善保管密码而拒绝赔偿。研究人员提醒说，鉴此，各大银行有必要采取措施改进自己的刷卡系统。

公诉人Luke Dembosky推荐法庭判处13年徒刑，因为Vision的合作态度较好，还称他是个“性格讨喜的人”，“看待世界的态度可以说是天真、过于乐观”。 Vision在90年代后期曾当过电脑安全顾问，但同时还是个黑客。他在2001年因试图攻击美国防部系统而服刑一段时间，其间他结识了一些情节更为严重的罪犯，包括一名加州银行劫匪，此人日后成为了Vision的同伙。 二人销售非法获得的信用卡号码，

新闻来源:大洋网(广州)
网上购物已成为一种潮流，但网上银行账户资金被盗事件时有发生。记者昨日获悉，国内第一款“个人网上银行账户盗窃保险”和“个人手机银行账户盗窃保险”已开发成功，有需要的人只要交5元保费，便可给自己的网上银行或者手机银行购买一份总金额达5万元的盗窃保障。

根据保险条款规定，个人必须是在以实名身份与银行签订个人网上银行服务协议，且在使用动态密码、数字证书等安全保障工具之后，方可投保“个人网上银行账户盗窃保险”；“个人手机银行账户盗窃保险”的投保程序也类似。两款产品每份保险保费5元，保额为5万元，保险期限1年。在保险期限内，个人如果网银或者手机银行资金被盗窃，那么保险公司将在最高5万元限额内进行赔偿。

四种情况网银被盗不能索赔

第一，个人未用动态密码、数字证书等工具时账户遭窃；

第二，个人发现网银账户、密码被他人知悉，或丢失数字证书、接收动态密码的手机后，未在24小时内变更账号、密码或通知银行冻结网银账户；

第三，个人遭受诈骗主动将资金转入他人账户；

第四，他人用银行卡（折）盗取网上银行账户内的资金。

The lending surge from Chinese banks has been used to finance such projects as the purchase of airplanes, retail store expansions and the construction of copper mines, The Washington Post reported Saturday.

The newspaper said international corporations have come to depend on Chinese lenders during the recession, during which U.S. and European banks scaled back on loans. The Post cited People’s Bank of China statistics showing that during the first nine months of 2009, Chinese lenders have injected $1.3 trillion into the world economy, benefiting such recipients as Southwest Airlines, Dubai’s Civil Aviation Authority and Australia’s Foster’s brewery and Woolworths supermarket chain.

 ”China’s banking industry is operating well, without being affected by the crisis. In contrast, the banks in the West lost a lot, and therefore their capacity to make loans was influenced and became lower,” Guo Tianyong, director of the Chinese Banking Research Center at the Central University of Finance and Economics in Beijing, told the newspaper.

Copyright 2009 by United Press International. All rights reserved.

美国政府官员近日表示，联邦调查局(FBI)目前正在调查一桩针对花旗集团(Citigroup)的网络安全攻击案件，该集团怀疑电脑黑客通过网络安全漏洞窃取了巨额资金。
在声明中，政府方面表示，黑客袭击了花旗银行的北美零售银行和其他业务，目前尚不清楚黑客是直接进入花旗银行系统还是通过第三方进行犯罪的。据 悉，FBI、美国国家安全局(NSA)、美国国土安全部(DHS)以及花旗集团互相交流了相关信息以抵御攻击，但上述机构和部门尚未对此事做出回应。

针对沸沸扬扬的猜测，花旗集团安全和调查部门董事总经理Joe Petro出面表示，关于FBI正在调查花旗集团遭受数千万美元损失的报道是不真实的。

对于此类黑客行为，美国网络安全专家表示，这类网络袭击通常通过攻破银行的内部系统进行，黑客也有可能借道那些为金融企业处理交易业务的第三方公司获得银行内部数据，或者让客户的电脑染毒，然后在客户登录银行网站时进入银行内部系统。

据FBI统计，去年美国因为各种网络犯罪造成的损失总计超过2.6亿美元。美国银行家协会副会长Steve Kenneally表示，银行业一直在努力加强安全防范，他呼吁银行采取向网上银行客户免费提供杀毒软件以遏制类似网络犯罪。

　　但是，在商业银行IT建设的背后，也应该看到一个事实，商业银行的经营业务的本身蕴藏着巨大的风险。在实现由手工操作到电子化过程中，降低了人为的风险，但同时也带来了巨大的IT风险。根据《巴塞尔协议》的相关规定，系统失效是银行风险重要组成部分。国外相关统计数据表明，一些银行系统失效风险损失占到总风险损失的10%-20%。国内商业银行必须看到面临的IT系统相关风险在逐渐增大。因此，通过IT审计，及时识别IT风险，完善控制措施就势在必行。

国内商业银行IT审计目标与内容

　　商业银行的IT审计的目标是通过对商业银行所有IT规划、建设、应用、服务、安全等全方位的审计，充分识别与评估IT风险，完善控制措施，实现IT系统的可用性、安全性、完整性、有效性，最终达到强化商业银行内部控制的目的。

　　对商业银行的IT审计至少包括以下方面：
　　1) 硬件与环境：包括商业银行的硬件网络、电源、机房环境控制等；
　　2) 应用软件：针对综合业务系统、国际结算系统等业务系统，对系统的访问控制、授权、确认、错误与特例处理，以及系统相关流程，包括对系统的开发生命周期的审计；
　　3) IT管理与服务：包括商业银行IT管理与服务的工具、制度、以及方法等有效性的审计；
　　4) 信息安全：对商业银行信息安全措施的完整性与有效性进行审计；
　　5) 商业连续性：为了保护银行业务持续运做，对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性方面进行审计；
　　6) 信息完整性：审计在确保信息正确、可信、及时等方面的的控制情况；
　　7) IT策划与项目管理：对IT整体规划、系统策划、项目管理等方面进行审计。

商业银行IT审计进程与策略

　　国内商业银行IT建设起步晚，对IT审计了解比较少，因此如何有效的控制一个IT审计项目缺乏相关的经验。根据对国内商业银行的IT应用现状的研究，提出如下商业银行IT审计工作进程方案与相关策略：

　　1) 确定IT审计单位
　　根据国际通用的信息系统审计准则，要求IT审计工作必须独立性。因此商业银行在确定内外部IT审计单位，除了要求符合相关的资质要求，必须保证IT审计工作的独立性。建议国内商业银行IT审计工作的开展尽可能的考虑外部IT审计单位，保证IT审计的效果。如果确定内部单位进行IT审计，必须保证审计单位组织的独立性。

　　2) 确定独立IT审计组
　　对商业银行的IT审计，即包括了软硬件系统，也包括对商业银行的业务符合性的审计，以及IT项目组织、策划、服务管理等方面。因此，构成IT审计组的成员应由IT系统专家、银行业务专家、咨询专家等多方面人员构成，主要的审计师必须具有IT审计的资格。

　　3) IT审计方案与计划
　　制订恰当的IT审计方案与计划是IT审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键。商业银行IT审计方案与计划应包括：商业银行的信息系统现状分析；商业银行的内部控制现状初步评价；IT审计的性质与范围；审计工作的组织安排；审计风险评估；审计费用与成本；实施时间计划；IT审计方法；审计协调与沟通机制等。

　　4) IT审计实施
　　IT审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容，进行取证、测试与评价，最终形成IT审计报告。工作的方法主要包括对商业银行IT系统内部控制的建立与遵守情况进行符合性与实质性测试，分析IT审计差异，逐步IT审计报告的相关依据。商业银行IT审计内容应包括软硬件系统、信息安全、项目策划与管理、IT服务与管理等内容。针对国内商业银行信息系统建设现状，多个系统运行，信息存储分散的实际情况，要重点审计系统的接口，以及数据的完整性和一致性。

　　5) IT审计报告
　　商业银行的IT审计报告应包括：审计证据汇总、审计原始底稿、与审计准则之间的审计差异、调整与建议内容、审计总体意见等方面的内容。各块内容的汇总可以按照硬件系统、软件系统、信息安全管理、IT管理与服务、IT项目策划与管理的结构进行组织。

　　6) 持续改进
　　与信息系统建设的持续改进相对应，商业银行的IT审计工作也是长期，持续改进的工作。商业银行需要从实际情况出发，制订长期的IT审计计划与方案，不断促进商业银行IT应用的成熟与完善。

商业银行IT审计方法的综合应用

　　商业银行IT审计实施过程中应用的关键方法主要包括以下几个方面：

　　1) IT风险识别
　　对于商业银行，充分识别IT风险，是IT审计过程中的关键。商业银行的IT风险主要包括：软件体系风险、软件过程风险、项目管理风险、应用风险、用户使用风险、硬件平台风险等。识别IT系统风险的方法主要包括：故障树法、专家意见法、流程图法等。在风险识别的过程中要形成风险识别底稿，对风险发生的部位、影响范围、发生原因等方面进行标识。

　　2) IT风险评估
　　对IT风险后果的评估符合一个简单的数学模型：风险=后果X可能性。评估的方法包括：定性评价法（风险等级矩阵）、定量分析法（失效模型计算）。

　　3) IT风险控制
　　IT风险控制是指在IT风险充分识别与评估后，考虑应用现有的控制措施或设计新的控制方法降低风险到可接受水平的一套方法。IT控制策略主要针对以下三种情况：如果评估最终导致的风险损失非常小，商业银行可以接受，可以不考虑新增控制方案；其次，评估最终损失较小，需要考虑一般性控制措施，将风险降低到可接受程度；第三，评估最终风险损失比较大，影响到系统正常运行，需要计算风险额与控制成本，比较选择经济可行的控制方案，将风险降低。

　　4) IT审计测试
　　审计测试的方法主要包括符合性测试方法与实质性测试方法。符合性测试就是通过商业银行IT系统内部控制的有效性、存在性、合规性进行核实并形成审计结论的方法。实质性测试指对商业银行IT系统处理的业务信息、管理信息进行合法性、合理性、真实性进行直接检查和分析性复核，最终形成审计结论的方法。

总结与建议

　　国内商业银行需要重视IT审计工作，通过IT审计的开展，完善内部控制，降低商业银行经营风险。

　　IT审计必须符合科学、独立、审慎的精神。商业银行要进行认真细致的工作安排，从审计的实际目标出发，选择实用的方法，依据相关的国际IT审计准则开展相关工作，通过长期的、持续的改进，强化IT风险控制能力，最终降低经营风险。

　　我国银行业的IT审计尚处于摸索阶段，尚缺乏成熟的经验和案例可供参考，尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。有鉴于此，本期我们特别邀请工行及人行IT审计方面的专业人士，对国内外银行IT审计的具体案例进行剖析研究，就二者的差别及内在成因作深入分析，以此促进IT审计在我国银行业更健康有序的开展。
　　
　　随着信息技术在银行普遍、深入的应用，银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一，IT运营与公司运营紧密相关，IT治理也与公司治理紧密相连，因此IT审计越来越得到银行管理层的高度重视。目前，IT审计在国际上是一个相当成熟的领域，发达国家的银行均建立了完善的信息系统审计体系，而我国才刚刚开始起步。因此，很有必要研究发达国家银行业的IT审计组织结构和技术架构，解析国内银行IT审计的现状及存在的问题，并根据国际经验与我国实际情况进行差异性分析，最后，找到我国银行业IT审计的准确定位，由此，实现IT审计在国内银行业质的飞跃。

　　国外银行IT审计的特点

　　IT审计部门的独立性
　　在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计，第三方审计则提供独立的外部审计。国外发达银行大都设有内部的IT审计部门，IT审计部门独立于IT部门，由公司控股层直接管理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会，审计委员会下设企业中心，集团审计是在控股公司层面的企业中心内，直接由审计委员会管理，IT审计则隶属于集团审计，独立于IT部门。

　　国外银行IT审计的技术和组织框架
　　国外银行界在IT审计部门基本都根据银行自身的特点，确定了相应的技术框架。各银行的IT审计普遍有以下特点：
　　各银行均根据自己的IT形势，明确了不同的IT审计的技术领域、范围。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动，包含了各种技术平台和软件开发，项目投产，系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面，力图将风险控制在过程中。由于IT已经渗透到银行业务的各个领域，因此IT审计与业务审计紧密结合，利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计，都是IT审计的重要内容。
　　新加坡发展银行设有专门的IT审计机构，其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构，其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进行风险审计。花旗集团还根据特殊事件或法规要求的需要，开展专项审计，对项目风险进行评估，如采用新的计算机技术、IT系统转换及系统发生停运等问题，都要进行审计评价。

　　IT审计人员的比例
　　目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行，由于信息科技已渗透于银行的各个领域，信息技术已与业务紧密结合在一起，无论作为内部审计的对象，还是内部审计的手段，内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下，花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。

　　IT治理中审计人员的角色
　　IT审计员在IT治理的过程中，他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中，在此过程中始终承担着评估与评价的职责。计划和组织域中，内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估，技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持，保证服从外部要求，风险和管理质量的评估等。
　　在获得和实施域中，内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价，获得和维护应用软件的评价和支持，获得和维护技术架构，开发和维护过程、安装和认证系统的评价，管理变化的评价和支持等。
　　在交付和支持领域，审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用，教育、培训和支持用户，管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估，保证系统安全的检查、评估和支持。
　　在监控领域，审计师的角色是监控过程，评价内部控制，获得独立保证，提供独立审计的检查、评估和支持。

　　国内外银行IT审计的差异

　　面对我国银行数据大集中的形势，银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步，与国外发达银行比较还存在很大的差异性，主要体现在以下几个方面：

　　审计覆盖面上的差异
　　目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处，股改后直接向董事会负责，这与国际惯例基本是一致的，体现了银行最高领导层充分重视IT在银行中的地位，并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR（一般控制）和ACR（应用控制）的全方位IT审计。但我国由于信息技术审计工作开展不长，并且人员有限，还未能全面开展一般控制和应用控制的IT审计工作，基本处于一般控制的摸索阶段，距国际先进水平还有较大的差距。

　　组织结构和人员上的差异
　　从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看，IT审计由于涵盖了软件开发和项目投产、运行维护的全过程，包含了各种技术平台、系统生命周期的所有阶段，因此IT审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少，在人员数量和质量上无论与国际先进水平还是银行的IT架构相比，均有不小的差距。同时，由于目前内审部门的信息技术审计组织结构不尽完善且人员不足，无法进一步细分审计职能、明确专业审计方向。另外，在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大，需要加强力量研究解决。

　　国外IT审计先进经验的启示

　　重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存，信息科技风险控制已成为商业银行风险管理的重要内容，并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。
　　加强IT审计是国内银行建设国际一流商业银行的内在需要。近年，工商银行信息科技优势在提升银行核心竞争力的同时，其系统风险也更加集中，更加突出，任何一点管理上的疏漏或控制上的缺陷，都可能引发巨大的系统灾难，给全行带来无法估量的经济损失和声誉损失。因此，进一步加强IT审计就更具有重大的现实意义。
　　加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大，国家相关部门对信息系统的安全问题越来越重视，银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此，工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。
　　我国银行要尽快建立健全IT审计架构和规范，从IT治理与公司治理相结合的角度，对银行的信息系统建设的重大决策，提供评估与评价并进行相关的风险分析，力图将IT风险控制在过程中，并推进和促进科技管理，预防IT风险。要达到这一目标，可按照国际通用的IT审计标准CO鄄BIT，结合我国银行的具体实际情况，建立适合我国银行的IT审计标准和框架。
　　对我国银行的IT审计应紧紧围绕银行的IT技术架构进行，使银行的IT审计能涵盖主要的IT活动范围，因此应建立审计的技术领域框架。该领域至少应包含以下内容：系统运行、操作管理及风险防范，软件开发生命周期的过程管理和风险评估，新系统投产、切换、迁移、合并的过程管理和风险评估，各种技术平台的审计，电子银行等与IT紧密结合的新业务的审计，为业务审计提供IT技术手段和辅助功能，业务与IT紧密结合的综合审计，各种专项审计及事故评估。

　　我国银行IT审计的关注点

　　鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足，远不能达到对IT进行全面审计的要求，因此，当前我国银行IT审计工作的重点可定位在以下几个方面：防范对操作运行风险，具体应针对数据中心整合工程后的生产运行和操作情况，进行专项审计；尽快按照国际标准开展我国银行IT审计工作标准的制定；加强组织机构建设，充实技术人员并加强培训；加强IT审计的队伍建设，IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面，同时又具备审计知识和经验，能将IT技术与审计手段结合运用，这样才能审计出IT风险。（作者为中国工商银行内部审计局课题组成员）

　　相关链接　国内外银行业IT审计的相关依据

　　人民银行IT审计的相关规章制度

　　《中国人民银行计算机信息系统内审监督检查工作暂行规定》奠定了人行内审部门开展信息系统审计工作的基础，对信息系统审计工作的目的、范围、内容、方式、方法、要求进行了明确规定。
　　《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》为人行各分支机构重视、加强和保障信息系统审计的开展提出了要求，同时对如何开展信息系统审计和开展信息系统审计需要关注的问题作了重点说明。
　　《中国人民银行计算机信息系统内部审计规程》明确了人行信息系统审计的具体内容和方法。

　　国外银行信息系统审计的依据

　　COBIT：这是信息系统审计与控制协会于1996年公布的，是国际上通用的信息系统审计的标准，目前已经更新至第三版。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保证信息的安全性、有效性；IT资源包括以人、应用系统、技术、设施及数据在内的信息相关的资源；IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面，确定了34个信息技术处理过程。
　　ISO17799：按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》，可以帮助在组织中建立一个初步的、易于实施和维护的管理框架，在框架内通过安全管理标准，提供组织在信息安全管理的各环节上一个最佳的实践指导。BS7799－1已于2000年12月被国际标准化组织采纳，成为ISO17799。它包含100多个安全控制措施，来帮助组织识别在运做过程中对信息安全有影响的元素。这些控制措施被分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等10个方面，成为组织实施信息安全管理的实用指南。

 在商业银行数据大集中的形势下，银行信息系统面临着两种威胁：一是利用计算机舞弊，二是灾难性破坏。计算机舞弊现象不仅存在于系统开发阶段，更容易发生在维护阶段。总行数据中心一旦发生灾难性破坏，受到影响的将是全行范围的所有分支机构和所有业务，经济%信誉和法律的损失将无法估量。为此，工商银行的行领导非常重视，除了进一步加强信息科技部门自身的内部控制和采取必要的措施之外， 还于2002年在内审部门成立了专职的IT 审计处， 重点对IT风险进行检查和控制，在IT审计方面做了一些有益的探索，取得了一些经验。

商业银行在应用COBIT的具体过程中，要注意以下几点：

1．         从审计目的看，IT审计不仅包含对信息系统安全运行的状况提出评价， 规避操作风险， 更应该使组织中的IT战略符合企业的战略目标， 规避由于信息技术发展给企业带来的战略风险。在这一方面，COBIT的审计范围几乎涵盖了所有与IT相关的活动。而其他几个国际标准则各有不同，BS7799 侧重于与信息系统安全相关的活动，COSO 则侧重于企业自身内部控制，ITIL则是着重IT系统的交付和支持。更为重要的是，COBIT就如何进行IT审计，给出了详尽的指导性建议。就其适用的对象而言， 只有COBIT的适用用户包含审计师，是从审计人员的角度来全面阐述了如何对企业面临的IT战略风险和操作运行风险进行审计和规避。因此，应该按照COBIT要求的控制目标，尽早对银行相关的IT过程进行审计。

2．         在应用COBIT标准时，应以COBIT为主，还要参照其他国际标准。COBIT作为一个IT治理的通用标准和信息系统审计的框架体系，与其他的国际IT标准并不冲突。审计师在以COBIT作为主要参照标准的同时，针对信息系统审计的不同方面，可以借鉴不同的国际标准。如在对商业银行数据中心安全方面进行审计时， 可以参照BS7799中的相应内容， 也可以参照SSE—CMM的标准来进行; 在涉及信息系统的交付和支持时，则可以采用ITIL 中的内容来对数据中心的相关活动进行评价和审计;在对数据中心内控机制的建设情况进行评价时，就可参照COSO中的相应条款来比照评估。

3．         对COBIT标准的采用，应结合商业银行自身的实际情况有选择地实施。COBIT作为一个国际标准，比较强调其通用性，而对企业的具体情况有所忽视。在具体运用过程中，可依据自身特点，结合信息系统生命周期各个阶段的不同特点，有选择分阶段地来实施COBIT中所要求的内容。

4．         在运用COBIT实施IT审计时，可从COBIT有关过程中的控制目标入手，进行风险分析， 得出与该过程相关的风险控制目标，再从风险控制目标中导出与该目标相关的风险控制点。针对每个风险控制点，结合商业银行自身的技术特色，找出其所包含的风险检查点，风险检查点又可以组成对相关部分的检查表。针对检查的结果，与COBIT相关部分中的要求相比照，找出相关的薄弱点，并就此提出相应的改进意见。风险控制目标和风险检查点之间的推导方式主要有两种，一种是自下而上，即从具体的管理过程或技术实施措施入手，从中得出相应的风险控制点，对相应的风险控制点进行提炼，最后得到风险控制目标; 一种是自上而下，从风险控制目标出发，将其进行分解，得到相应的风险控制点并对其进行细分，直到能够直接得出检查点为止。最后将得到的风险控制目标与COBIT相关过程的控制目标相比较，以确保整个信息系统审计目标的完整性。

七、我国商业银行IT审计发展的几点思考

商业银行IT 审计应审时度势, 紧密联系经营的新形势、新特点, 遵循先进的国际审计标准, 突出技术特色和风险导向, 大力开展非现场IT 审计。

1. 紧密围绕银行的经营需求, 推动银行的公司治理及IT 治理。目前金融市场的竞争进一步加剧, 需要进行全面的风险管理, 对内部控制和内部治理也应进行彻底性的变革。IT 审计在这场变革中, 要把握方向, 加快体系建设, 提高审计层次, 促进IT 治理, 推动公司治理。因此，一方面，商业银行要切实落实《金融机构计算机安全保护工作暂行规定》要求，合理安排基础设施和安全防范措施。要充分重视IT内部审计的作用，发挥审计对安全管理的内控作用，在引入IT 审计后，加快完善公司治理机制，并保证内审的独立性。成立信息系统风险控制委员会，定期对信息系统风险管理情况进行研究，推进IT审计中的故障发现、评估和风险控制措施的落实，督促指导IT 审计组的工作。另一方面，监管部门应加强对金融企业的IT 审计的监管，将IT 安全作为监管的重要内容，将IT 审计作为评价其安全性的重要因素，通过现场及非现场检查对商业银行等金融企业进行督促。同时，国家审计在金融计算机审计方面发展迅速，电子数据的采集分析等方面已有相当高的水平，但在对针对金融企业信息技术本身的审计方面，还应予以加强。

2. 建立商业银行IT 审计规划。恰当的IT 审计方案与规划是IT 审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键。商业银行在引入IT 审计后，应对全系统信息系统建设设计整体的专业审计规划，制定年度工作目标及三年、五年风险控制目标，并与信息化建设发展相适应，形成IT 审计标准方案和计划。商业银行IT 审计方案与计划应包括：商业银行的信息系统现状分析、商业银行的内部控制现状初步评价、IT 审计的性质与范围、审计工作的组织安排、审计风险评估、审计费用与成本、实施时间计划、IT 审计方法、审计协调与沟通机制等。IT 审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容，进行取证、测试与评价，最终形成IT 审计报告。

3. 遵循国际通行准则, 建立国际标准框架下具有各行特色的标准和规范体系。从国际同业的实践看, 国际大型商业银行大多都在自己的IT 审计体系下, 遵循国际标准或规范, 按照国际通行的做法, 结合实际情况, 确立自己的IT 审计标准和规范。因而, 我国商业银行也可应把目前国际上公认的最先进、最权威的IT 审计标准———COBIT 作为核心标准, 同时借鉴《巴塞尔协议》、BS7799、COSO (Committee of Sponsoring Organizations of the Treadway Commision)、《萨班斯—奥克斯利法案》等其他国际标准和原则, 进而确立适合各行的IT 审计目标、对象、范围、方法、流程等, 具体指导IT 审计工作。同时，应进一步明确IT 审计的技术角色，突出IT 审计的技术特色，根据商业银行信息系统的技术架构和特点，结合审计资源条件，确立IT 审计对应的技术角色架构。可以考虑将IT 审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高商业银行IT 审计的专业化水平。

4.建立合理的IT 审计管理模式。现阶段，商业银行开展IT 审计应将现场审计与非现场审计有效结合，并利用好不同审计模式下取得的成果，形成互补。通过考察国际银行业界的IT 审计技术和手段，可以断定，借助先进技术实施非现场审计已是大势所趋。IT 审计可以通过采用灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，进一步加强商业银行IT 审计的非现场审计，推动商业银行的审计信息化建设。但在审计开展过程中，要注意加强风险管理，规避IT 审计风险。在关注重要性的同时，要力求效益性，防止因审计不当导致银行新的风险发生。

5.加强注册信息系统审计师（Certified Information System Auditor，简称CISA）和IT 审计专业人才的培养。从当前商业银行审计人员素质来看，还不大适应IT 审计的要求。这主要归结于在IT 环境下商业银行内部审计人员工作发生的一系列重大变化，对内部审计人员素质要求进一步提高。首先，内部审计人员需要以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动。其次，内部审计人员应及早参与到计算机系统的实施过程，提出宝贵意见和建议。因此，内部审计人员必须不断地注视信息技术的发展，掌握新方法与新技能，了解现代信息技术的用途及其对企业管理与信息处理的影响，使信息技术成为实施审计监督和加强控制的有力工具，并在现有的基础上掌握经营方面的重要知识和技能，以增强在经营领域的运作。目前虽然外包IT 内审的条件不成熟，但IT 业务外包是社会化分工的趋势，从长远来看，商业银行应增加IT技术尤其是通用技术的外包，将各系统行大批内部IT 开发人员适当转化为固定的IT 内部审计人员，从而进一步提高内审质量。

6. 进行IT 审计人员的技术角色划分, 突出IT 审计的技术特色。根据各商业银行自己的信息系统技术体系及IT 审计资源, 划分不同的IT 审计技术角色, 突出IT审计的技术特色, 提升IT 审计层次。首先应分析掌握信息系统的技术和管理架构的特点, 然后结合现有的审计资源, 根据一般控制、应用控制和信息安全审计的要求,确立IT 审计对应的技术角色架构。可以初步将技术角色划分为三个大类, 即应用类技术角色、系统类技术角色、信息和网络安全类技术角色。不同角色审计人员负责对信息系统中不同技术领域进行审计, 建立各自的控

制风险分布和重点的模型, 并制定相应的风险评估指标, 确定有效的风险控制检查表和检查点。形成以三大技术分类为主线, 全面覆盖全行信息系统各个部门和信息系统发展生命周期全过程的IT 审计的技术体系。

7. 推行风险管理, 突出IT 审计的风险导向。现阶段, 在复杂的信息系统技术和管理环境下的IT 审计无疑是有一定审计风险的。因此, IT 审计更要重视风险管理, 规避审计风险, 在注重重要性的同时, 要讲究效益性, 这也是在今后相当长的时间里要充分重视的。

在目前商业银行的环境下, 信息系统的审计应该是以风险管理为基础, 按照重要性原则, 对信息系统进行的一般控制审计和应用控制审计,并且贯穿了信息系统生命周期的全过程。商业银行IT审计工作应该按照先进的国际标准的要求, 本着科学、独立、审慎的精神, 依据各商业银行的实际情况来进行,只有这样, 才能达到IT 审计真正目的。通过信息系统审计（IT 审计），及时识别风险，完善控制措施，是商业银行构建全面风险管理体系的现实需求.实施IT 审计有力于商业银行信息系统项目的风险控制。加强对商业银行业务运营风险的防范。促进商业银行业务流程再造BPR（Business Process Reengineering,）。总之，在银行系统开展信息系统审计工作，是银行控制风险的的重要手段，在新形势下，银行要健康发展，就要积极迎接挑战、应对不断出现的新风险，防患于未然，才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。