为了加强银行应对信息技术风险的防范能力,提高银行信息科技的内部控制水平,提升信息科技在银行战略中的价值,需要银行在培育核心信息科技时有一个切实可行的管理工具来发挥信息科技的战略价值,而借助应用系统和计算机技术来实现过程控制和实物控制,可以改善银行运营风险的控制水平。因此,建立健全IT应用控制体系对于商业银行的稳健发展有着重要的现实意义。本文从IT风险方面入手,通过分析国内外商业银行面临的信息技术风险,了解商业银行目前所面临的风险现状,总结国内外IT内部控制的研究成果,结合商业银行信息系统的特性,对商业银行IT风险形成的原因、商业银行IT风险与内部控制之间关系进行分析。本文基于COSO内部控制框架构建了商业银行IT应用的风险和控制评价体系,根据银行业监管要求和IT风险的特点识别出关键的控制目标,并对关键控制目标做逐个分解,分解成具有实际应用价值的控制目标。针对细化的控制目标进行分析和归类,实现应用控制目标到具体应用系统控制的转换。最后本文以一个商业银行的实践进行了案例分析,依据关键控制目标确定应用系统控制的内容和范围,然后对比IT应用控制目标找出这些系统的差异和不足,并结合行业最佳实践对差异点加以改进和完善。