1、 IT 审计是什么。,
IT 审计相当于董事长和科技之间的缓冲带,将极端的技术和极端的管理,融合翻译成董事长更容易理解的、更容易操作的问题和建议。在这个过程中, IT 审计既不能抛弃 IT 专业性,也不能缺失服务行领导意识,难点也在于此,行领导更懂管理,但又听过技术,怎样在巩固服务意识的基础上,把握专业性的度,是这项工作的核心难点。要解决这个问题,就需要比行领导更懂科技,可能的话,可以调阅科技的各项汇报材料,且增加调研频率,了解行领导看到的内容和没看到的内容,看董事长的用词,看科技汇报的用词,只有充分了解,才能从管理角度提出建议。同时,加强专业性学习,长期专注于服务意识,专业性也会逐渐流失,直至失去专业性,这也是行领导不愿意看到的。」
2、 IT 审计的未来。。
我认为 IT 审计是紧跟 IT 发展的,可以以数字化的水平为依据,分为三个发展阶段,我们可能会一直留在第二阶段,理想的话可以升到第三个阶段。
第一阶段是在数字化转型之前,当时我行 IT 是传统 IT , IT 审计也随之是传统 IT 审计,传统的 IT 对于农行来说是可插拔式的插件,对于经营来说, IT 除了基础的网络运行,其他作用不大,像插件一样可随时与主营业务脱钩, IT 审计也随之就科技言科技,没有动力和资源支持去触及业务;.
第二阶段是数字化转型开始到形成数字化经营模式期间,也就是现在, IT 逐渐模糊了与主营业务之间的界限,二者从泾渭分明逐渐走向融合,业务部门中逐渐有了科技力量,但是当前其他审计条线不像 IT 审计"春江水暖鸭先知", IT 审计乘着数字化转型这一最新战略的东风,领先于其他审计,可以从全行数字化转型的这一全局角度去看待问题,不像业务目前还局限在一个条线内,那么 IT 审计在审 IT 的同时,目前也强调过多次,一是紧跟数字化脚步,主动触及业务,在 CISA 理论中也要求 IT 审计应突出对业务的影响,同时在当前局面下, IT 虽然没有以前那么像插件,但也并未完全融入业务,在审计中也可以看到即便是精准应用,也仍有很多专家规则在发挥作用,并未充分利用数据要素,这就导致 IT 审计也无法过于深入业务,当然这已经是很大的进步,二是处在转型期这个阶段,应牢牢把握数字化也是 IT 范畴这个认识, IT 审计要自然而然从协同转型这个大目标下,发现 IT 融入业务过程中存在的问题,包括管理问题、机制问题等。查什么管理问题?我对现在的审计成果比较迷惑,有些审计成果是管理问题,有些是浮于问题,且这些问题明明可以深挖管理原因。我觉得 IT 审计就应该是对各种风险点控制措施的审计,而不是像一二道防线那样直接审问题表象;
第三阶段是数字化经营阶段,这个阶段 IT 与主营业务完全融合,但并不是说像互金一样由科技主导,人行新任行长公开表明,金融科技仍是金融,科技只是实现金融目标的手段。在业技完全融合的时候,那时 IT 审计还能做什么呢?从这一两年其他审计条线的项目或多或少都涉及 IT 就能看出来,其他条线可以业务为主,科技为辅,更容易让各级领导理解, IT 审计科技为主,业务为辅的模式,在全行业技数融合更深入的时候, IT 审计如何开展。可能还得走专业化路线,查 IT ,甚至不能查部门间协同问题,因为那会这已经被解决或者是老生常谈的问题了,当然那时与现在以及以前都是不同的,就科技而言科技可能是一个更大的概念,假设到时没有 IT 条线,只有业技融合后的条线, IT 方面除了运维就是敏捷开发,做业务的人员可以在 IT 和业务间随时切换, IT 审计将在网安、连续性、新技术等专业性、基础性领域发挥作用,其他如服务发展质量、优化工作机制、基层减负等方面,其他审计条线也会查,甚至因领域不同而查的更好,但并不是说回归了第一阶段,相较于第一阶段,此时 IT 的底座作用变得举足轻重,牵一发动全身,网安、连续性等审计领域也全然不同, IT 审计还是能发现更深层次的 IT 方面的问题及原因。。
面对上述的发展路径, IT 审计以后怎么办呢?一是和其他审计条线联动,及时互通所发现的问题,业务审计发现的科技问题要在 IT 审计中有深层体现, IT 审计影响的业务问题也要在业务审计中有深层体现,这样对于 IT 审计来说,至少不丢分。二是抓分行,总行科技管理相对来说比较完善严格且更专业,审计只会吃力不讨好,查分行简单,大家都知道分行问题更多,数字化转型上冷下热的现象有很多原因在分行,转型的实施也要靠分行,但每次只能以偏概全说样本分行存在的问题,行领导应该也很想知道分行整体存在的问题,我们当前还在做三年全覆盖,这其实还是传统的抽样审计思路,觉得一年审不完,现在分局的技术水平问题不大,叠加非现场监测、风险排查评估,大数据审计重点更明确,效率更高,底稿转化率也会提升,还会把分局拽住,审计品牌,信科管理审计也可以,数字化转型进行到一定程度时,二者甚至可以融合开展。三是数字化相当成熟时, IT 审计除了专业化的审计项目,也可以像研发的风险部一样,搞 IT 风险排查和评估,与非现场监测一道,形成与信息科技管理审计同等的项目,拓宽加分面,有些工作大家都会做,但是在 IT 方面专业化的内容只能 IT 审计做,深挖 IT 方面可做的事半功倍的工作。
3、需不需要和被审单位搞开门审计。
需要搞,现在的大数据审计和传统的抽查日志不同,可以全量查找问题,也能避免重复发现同类问题,倒逼 IT 审计进步,但是也容易把 IT 审计逼上绝路,被审单位会充分了解审计的思路,并内化为自身的手段, IT 审计可能会失去查问题的功能,只剩独立性了。即便如此,还要开展的原因是,需要和数字化一样,保持开放态度,大家共同进步才是进步,当然,分局水平有高有低,全面开放不太现实,可以定期评选打造一两个标杆分局实施开门审计,当作向其他分局、被审单位和行领导宣传审计思路的"对外窗口",提升各相干人对审计服务发展的认识。
标签:审计,数字化,业务,问题,科技,随想,条线 From: https://www.cnblogs.com/dretrtg/p/18305734