第壹,通過我們平時的工作,我們得出的結論是:專業技術人員參與信息科技風險審計是必要的,但專業技術人員做不到。信息科技風險審計離不開審計理念。只有將信息技術流程與獨特的審計思路結合起來,才能發現風險點。
第二個方面是外包。外包不僅是壹個成本決策,也是壹個有效管理的戰略決策。要充分考慮這個金融機構的技術能力和需求,外包方的服務質量、服務可持續性、控制步驟、競爭優勢和技術知識。只有這樣,才能有效控制信息科技風險審計的壹般結果。
三是項目建設。根據IT建設的生命周期,合理確定需求、測試、上線各階段的工作重點,以及業務部門和科技部門的職責。為了保證信息科技風險審計的質量,需要在正確面對本機構技術和業務城市的前提下,評估和確認需求和組織能力的優先級,確定需求的優先級,明確哪些需求必須做,哪些可以推遲,從而制定合理的計劃,確立目標。
第四,在運營管理方面,信息技術風險管理貫穿於項目的整個生命周期,因此風險管理的十個連續過程不能簡單地割裂系統的生命周期,必須建立良好的風險管理機制和基於風險的決策機制。業務連續性不僅是運營部門,也是開發部門。