《指引》確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風(fēng)險(xiǎn)管理；信息安全；信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)；信息科技運(yùn)行；業(yè)務(wù)連續(xù)性管理；外包；內(nèi)部審計(jì)；外部審計(jì)。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動(dòng)，這些活動(dòng)中存在的風(fēng)險(xiǎn)，可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生重大影響，因此對(duì)這些領(lǐng)域的風(fēng)險(xiǎn)識(shí)別和管理，應(yīng)當(dāng)在信息科技風(fēng)險(xiǎn)管理中優(yōu)先對(duì)待。

 

    在這九大領(lǐng)域中，IT審計(jì)占兩個(gè)，分別是內(nèi)部審計(jì)和外部審計(jì)。而《指引》本身，就是一個(gè)針對(duì)銀行的框架完整的IT審計(jì)標(biāo)準(zhǔn)，銀行可以參考這個(gè)標(biāo)準(zhǔn)，開展IT審計(jì)工作。

 

    IT審計(jì)標(biāo)準(zhǔn)選擇

 

    實(shí)踐中使用的標(biāo)準(zhǔn)遠(yuǎn)不止上述兩個(gè)，而且，這兩個(gè)標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如，COBIT制定時(shí)參照的標(biāo)準(zhǔn)就有ISO系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計(jì)行為準(zhǔn)則等等；《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國(guó)際標(biāo)準(zhǔn)ISO27001。

 

    另外，由于信息科技的細(xì)分領(lǐng)域眾多，在進(jìn)行某些細(xì)分領(lǐng)域的專項(xiàng)審計(jì)或單領(lǐng)域?qū)徲?jì)時(shí)，可以考慮單獨(dú)使用某些國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)作為審計(jì)標(biāo)準(zhǔn)，從而達(dá)到更深入和專業(yè)的目的。比如，在進(jìn)行信息安全方面的審計(jì)時(shí)，可參考ISO27001等國(guó)際標(biāo)準(zhǔn)或國(guó)內(nèi)標(biāo)準(zhǔn)SSE-CMM；在審計(jì)IT運(yùn)維、IT服務(wù)的交付和支持相關(guān)領(lǐng)域時(shí)，可以考慮采用ITIL作為審計(jì)標(biāo)準(zhǔn)；在審計(jì)IT內(nèi)部控制建設(shè)相關(guān)領(lǐng)域時(shí)，還可以采用COSO模型中的描述來(lái)比照評(píng)估。

 

銀行應(yīng)當(dāng)依據(jù)自身特點(diǎn)，結(jié)合本行信息科技工作的特點(diǎn)以及每次IT審計(jì)的目的和范圍，有選擇地采用審計(jì)標(biāo)準(zhǔn)，同時(shí)，根據(jù)本行信息科技工作的水平分階段地來(lái)實(shí)施標(biāo)準(zhǔn)中的要求。