（二）缺乏IT審計方法及規範

缺少規範的IT審計方法論，缺乏對整個銀行信息係統的全局認識，在IT內部審計中會存在不知道審什麼、不知道怎麼審，不容易把握IT內部審計的重點，無法觸及部分風險隱患。

（三）缺乏IT審計方向

現階段銀行的IT內部審計都是為了滿足監管要求，沒有站在業務驅動的角度，缺少為“科技引領”提供保駕護航的力度。

三、商業銀行如何加強IT內部審計

麵對上述困難與挑戰，銀行應當充分認識IT內部審計對銀行的重要作用，內部審計部門主動加強與信息科技部門的共同協作，加強IT審計專業隊伍的建設。

1.管理層及信息科技部應當認識到，IT內部審計作為IT風險審計的重要一環，是IT風險管理的重要組成部分，應當重視內部IT審計部門及崗位的建立，充分發揮其積極作用。對IT內部審計的有效管理，可及時評價IT整體風險管理的水平，可對開發項目進行事中控製，分析IT事件原因、提出整改意見並監督落實。信息科技部應該認識到，IT內部審計不是故意“挑錯找茬”，它可以積極發現IT潛在的管理疏漏，有效降低IT風險發生概率，提高IT全員的風險意識和認知。

2.內部審計部門應當加強與信息科技部的溝通與協助，可以進行各種形式的、有益的探索與嚐試。比如，在IT風險源的製定與風險庫的建立方麵充分發揮信息科技的能動性，甚至以信息科技部的意見為主。在此基礎上，內部審計部通過各類IT事件的分析、IT專項審計等手段不斷來豐富完善風險源。比如，加強與信息科技部的溝通，由其講解IT最新技術發展、整體架構、變更管理與運行維護等，提高自身的專業技術水平及對本行IT工作的了解。比如，加強與信息科技部的溝通，從審計及監管的角度向管理層反映IT發展中亟待解決的難題，解決信息科技的實際困難。

3.銀行應當加強IT審計隊伍的建設。在內部審計部內設專門的IT審計崗，有條件的銀行可以設立獨立的IT審計部門。不僅要學習審計的方法論、溝通技巧，還要積極學習相關的信息技術，專業的IT審計人才應當掌握較為全麵的信息技術，對銀行IT的各方麵都要有所涉獵。加強IT審計人才的培養和儲備。

展望未來，銀行信息科技內部審計不能局限於應對監管需求，而應立足於銀行戰略與業務需求，立足於解決信息科技的各種困難。銀行應當將信息科技內部審計當成信息科技風險審計最重要的一環，建立完善的信息科技內部審計管理體係，並將之納入銀行整體風險管理體係中。銀行應當充分認識信息科技內部審計的重要作用，有意識地引導與加強信息科技部門與內部審計部門的合作共贏，加強信息科技審計專業隊伍建設，確保信息科技內部審計真正實現價值，為信息科技的發展提供保障，為銀行的發展保駕護航。

參考文獻

[1]徐秀麗.商業銀行內部審計對策探討[J].現代商貿工業，2009（18）.

（編輯：陳岑）