銀行IT審計(jì)：找準(zhǔn)定位完成跨躍

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

當(dāng)前，隨著各銀行數(shù)據(jù)大集中的完成，IT風(fēng)險(xiǎn)也越來(lái)越集中?？刂艻T風(fēng)險(xiǎn)、保證信息系統(tǒng)穩(wěn)定運(yùn)行已成為銀行最緊迫的任務(wù)。此外，隨著金融監(jiān)管力度的加大，銀行信息披露制的實(shí)施也是當(dāng)務(wù)之急。這些都要求銀行加大對(duì)信息系統(tǒng)的審計(jì)力度。只有建立IT審計(jì)機(jī)制，由獨(dú)立的IT審計(jì)師進(jìn)行信息系統(tǒng)審計(jì)，才能形成對(duì)信息系統(tǒng)安全的客觀(guān)評(píng)價(jià)。由于信息技術(shù)在銀行經(jīng)營(yíng)管理領(lǐng)域各個(gè)層面的廣泛運(yùn)用，IT審計(jì)也已貫穿在各種審計(jì)之中，成為時(shí)下銀行業(yè)最關(guān)注的重要課題。

我國(guó)銀行業(yè)的IT審計(jì)尚處于摸索階段，尚缺乏成熟的經(jīng)驗(yàn)和案例可供參考，尤其是沒(méi)有針對(duì)大型數(shù)據(jù)處理和大型軟件開(kāi)發(fā)的IT審計(jì)經(jīng)驗(yàn)可以借鑒。有鑒于此，本期我們特別邀請(qǐng)工行及人行IT審計(jì)方面的專(zhuān)業(yè)人士，對(duì)國(guó)內(nèi)外銀行IT審計(jì)的具體案例進(jìn)行剖析研究，就二者的差別及內(nèi)在成因作深入分析，以此促進(jìn)IT審計(jì)在我國(guó)銀行業(yè)更健康有序的開(kāi)展。

隨著信息技術(shù)在銀行普遍、深入的應(yīng)用，銀行信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最基本的條件之一，IT運(yùn)營(yíng)與公司運(yùn)營(yíng)緊密相關(guān)，IT治理也與公司治理緊密相連，因此IT審計(jì)越來(lái)越得到銀行管理層的高度重視。目前，IT審計(jì)在國(guó)際上是一個(gè)相當(dāng)成熟的領(lǐng)域，發(fā)達(dá)國(guó)家的銀行均建立了完善的信息系統(tǒng)審計(jì)體系，而我國(guó)才剛剛開(kāi)始起步。因此，很有必要研究發(fā)達(dá)國(guó)家銀行業(yè)的IT審計(jì)組織結(jié)構(gòu)和技術(shù)架構(gòu)，解析國(guó)內(nèi)銀行IT審計(jì)的現(xiàn)狀及存在的問(wèn)題，并根據(jù)國(guó)際經(jīng)驗(yàn)與我國(guó)實(shí)際情況進(jìn)行差異性分析，最后，找到我國(guó)銀行業(yè)IT審計(jì)的準(zhǔn)確定位，由此，實(shí)現(xiàn)IT審計(jì)在國(guó)內(nèi)銀行業(yè)質(zhì)的飛躍。

國(guó)外銀行IT審計(jì)的特點(diǎn)

IT審計(jì)部門(mén)的獨(dú)立性

在國(guó)際上IT審計(jì)部門(mén)分為內(nèi)審與第三方獨(dú)立審計(jì)兩種。內(nèi)審由企業(yè)內(nèi)部專(zhuān)設(shè)的IT審計(jì)機(jī)構(gòu)實(shí)施審計(jì)，第三方審計(jì)則提供獨(dú)立的外部審計(jì)。國(guó)外發(fā)達(dá)銀行大都設(shè)有內(nèi)部的IT審計(jì)部門(mén)，IT審計(jì)部門(mén)獨(dú)立于IT部門(mén)，由公司控股層直接管理。例如荷蘭銀行和瑞士銀行都在控股公司層面設(shè)立了一個(gè)審計(jì)委員會(huì)，審計(jì)委員會(huì)下設(shè)企業(yè)中心，集團(tuán)審計(jì)是在控股公司層面的企業(yè)中心內(nèi)，直接由審計(jì)委員會(huì)管理，IT審計(jì)則隸屬于集團(tuán)審計(jì)，獨(dú)立于IT部門(mén)。

國(guó)外銀行IT審計(jì)的技術(shù)和組織框架?chē)?guó)外銀行界在IT審計(jì)部門(mén)基本都根據(jù)銀行自身的特點(diǎn)，確定了相應(yīng)的技術(shù)框架。各銀行的IT審計(jì)普遍有以下特點(diǎn)：

各銀行均根據(jù)自己的IT形勢(shì)，明確了不同的IT審計(jì)的技術(shù)領(lǐng)域、范圍。IT審計(jì)的范圍基本覆蓋了信息系統(tǒng)建設(shè)生命周期中的所有IT活動(dòng)，包含了各種技術(shù)平臺(tái)和軟件開(kāi)發(fā)，項(xiàng)目投產(chǎn)，系統(tǒng)遷移、切換、運(yùn)行維護(hù)等全過(guò)程。IT審計(jì)重點(diǎn)審計(jì)IT活動(dòng)過(guò)程中的各個(gè)方面，力圖將風(fēng)險(xiǎn)控制在過(guò)程中。由于IT已經(jīng)滲透到銀行業(yè)務(wù)的各個(gè)領(lǐng)域，因此IT審計(jì)與業(yè)務(wù)審計(jì)緊密結(jié)合，利用IT技術(shù)輔助進(jìn)行業(yè)務(wù)審計(jì)以及將IT與業(yè)務(wù)緊密結(jié)合在一起進(jìn)行綜合審計(jì)，都是IT審計(jì)的重要內(nèi)容。

新加坡發(fā)展銀行設(shè)有專(zhuān)門(mén)的IT審計(jì)機(jī)構(gòu)，其IT審計(jì)包括綜合、技術(shù)框架和軟件系統(tǒng)生命周期三個(gè)方面。美國(guó)大通銀行同樣設(shè)有專(zhuān)職的IT審計(jì)機(jī)構(gòu)，其IT審計(jì)包括系統(tǒng)開(kāi)發(fā)審計(jì)、系統(tǒng)切換審計(jì)和技術(shù)框架審計(jì)?；ㄆ阢y行對(duì)新系統(tǒng)的起用、遷移、轉(zhuǎn)換、合并均由內(nèi)審部門(mén)進(jìn)行風(fēng)險(xiǎn)審計(jì)。花旗集團(tuán)還根據(jù)特殊事件或法規(guī)要求的需要，開(kāi)展專(zhuān)項(xiàng)審計(jì)，對(duì)項(xiàng)目風(fēng)險(xiǎn)進(jìn)行評(píng)估，如采用新的計(jì)算機(jī)技術(shù)、IT系統(tǒng)轉(zhuǎn)換及系統(tǒng)發(fā)生停運(yùn)等問(wèn)題，都要進(jìn)行審計(jì)評(píng)價(jià)。

IT審計(jì)人員的比例

目前美國(guó)商業(yè)銀行內(nèi)部審計(jì)人員當(dāng)中約有30%-50%是IT審計(jì)人員。匯豐銀行僅香港分行就配備了30多名IT審計(jì)人員。在花旗銀行，由于信息科技已滲透于銀行的各個(gè)領(lǐng)域，信息技術(shù)已與業(yè)務(wù)緊密結(jié)合在一起，無(wú)論作為內(nèi)部審計(jì)的對(duì)象，還是內(nèi)部審計(jì)的手段，內(nèi)部審計(jì)人員的工作已難以離開(kāi)計(jì)算機(jī)技術(shù)支持。即使在這種情況下，花旗銀行專(zhuān)職從事信息科技和計(jì)算機(jī)輔助審計(jì)的人員占全部審計(jì)人員的比例也超過(guò)20%。

IT治理中審計(jì)人員的角色

IT審計(jì)員在IT治理的過(guò)程中，他們的活動(dòng)貫穿在計(jì)劃和組織、獲得和實(shí)施、交付和支持、監(jiān)控這幾個(gè)領(lǐng)域中，在此過(guò)程中始終承擔(dān)著評(píng)估與評(píng)價(jià)的職責(zé)。計(jì)劃和組織域中，內(nèi)部審計(jì)師的關(guān)鍵處理是質(zhì)量管理。它包括對(duì)戰(zhàn)略性IT計(jì)劃和信息架構(gòu)的評(píng)估，技術(shù)方向、IT組織和關(guān)系、項(xiàng)目管理和IT投資管理的評(píng)價(jià)、通知、支持，保證服從外部要求，風(fēng)險(xiǎn)和管理質(zhì)量的評(píng)估等。

在獲得和實(shí)施域中，內(nèi)部審計(jì)師的角色仍然是評(píng)估過(guò)程。如對(duì)自動(dòng)化解決辦法的鑒定和評(píng)價(jià)，獲得和維護(hù)應(yīng)用軟件的評(píng)價(jià)和支持，獲得和維護(hù)技術(shù)架構(gòu)，開(kāi)發(fā)和維護(hù)過(guò)程、安裝和認(rèn)證系統(tǒng)的評(píng)價(jià)，管理變化的評(píng)價(jià)和支持等。

在交付和支持領(lǐng)域，審計(jì)要對(duì)以下方面進(jìn)行評(píng)估和支持。如定義和管理服務(wù)級(jí)別、管理第三方服務(wù)、管理性能和能力、保證連續(xù)性服務(wù)、鑒定和分配費(fèi)用，教育、培訓(xùn)和支持用戶(hù)，管理配置、管理問(wèn)題和事件、管理數(shù)據(jù)、管理設(shè)備、管理行動(dòng)等的檢查和評(píng)估，保證系統(tǒng)安全的檢查、評(píng)估和支持。

在監(jiān)控領(lǐng)域，審計(jì)師的角色是監(jiān)控過(guò)程，評(píng)價(jià)內(nèi)部控制，獲得獨(dú)立保證，提供獨(dú)立審計(jì)的檢查、評(píng)估和支持。

國(guó)內(nèi)外銀行IT審計(jì)的差異

面對(duì)我國(guó)銀行數(shù)據(jù)大集中的形勢(shì)，銀行已將IT風(fēng)險(xiǎn)作為內(nèi)部的重要風(fēng)險(xiǎn)之一進(jìn)行控制。但由于IT審計(jì)在我國(guó)還剛剛起步，與國(guó)外發(fā)達(dá)銀行比較還存在很大的差異性，主要體現(xiàn)在以下幾個(gè)方面：

審計(jì)覆蓋面上的差異

目前我國(guó)各大商業(yè)銀行在總行內(nèi)審部門(mén)基本上都設(shè)立了信息技術(shù)審計(jì)處，股改后直接向董事會(huì)負(fù)責(zé)，這與國(guó)際慣例基本是一致的，體現(xiàn)了銀行最高領(lǐng)導(dǎo)層充分重視IT在銀行中的地位，并將IT風(fēng)險(xiǎn)防范和控制納入到銀行風(fēng)險(xiǎn)控制的戰(zhàn)略高度。目前國(guó)際上比較先進(jìn)的商業(yè)銀行無(wú)一例外全部開(kāi)展了GCR(一般控制)和ACR(應(yīng)用控制)的全方位IT審計(jì)。但我國(guó)由于信息技術(shù)審計(jì)工作開(kāi)展不長(zhǎng)，并且人員有限，還未能全面開(kāi)展一般控制和應(yīng)用控制的IT審計(jì)工作，基本處于一般控制的摸索階段，距國(guó)際先進(jìn)水平還有較大的差距。

組織結(jié)構(gòu)和人員上的差異

從新加坡發(fā)展銀行和美國(guó)大通銀行的IT審計(jì)組織框架和人員配備上看，IT審計(jì)由于涵蓋了軟件開(kāi)發(fā)和項(xiàng)目投產(chǎn)、運(yùn)行維護(hù)的全過(guò)程，包含了各種技術(shù)平臺(tái)、系統(tǒng)生命周期的所有階段，因此IT審計(jì)機(jī)構(gòu)設(shè)置基本采用在總審計(jì)師領(lǐng)導(dǎo)下，與業(yè)務(wù)審計(jì)兩條線(xiàn)并列的模式，人員專(zhuān)業(yè)化分工明確，技術(shù)水平要求也較高，懂IT技術(shù)人員的比例一般占內(nèi)部審計(jì)人員的30%-50%左右。而我國(guó)銀行從事信息技術(shù)審計(jì)工作的員工較少，在人員數(shù)量和質(zhì)量上無(wú)論與國(guó)際先進(jìn)水平還是銀行的IT架構(gòu)相比，均有不小的差距。同時(shí)，由于目前內(nèi)審部門(mén)的信息技術(shù)審計(jì)組織結(jié)構(gòu)不盡完善且人員不足，無(wú)法進(jìn)一步細(xì)分審計(jì)職能、明確專(zhuān)業(yè)審計(jì)方向。另外，在審計(jì)手段、輔助工具以及系統(tǒng)接口、技術(shù)支持等方面的差距更大，需要加強(qiáng)力量研究解決。

國(guó)外IT審計(jì)先進(jìn)經(jīng)驗(yàn)的啟示

重視信息科技審計(jì)是國(guó)際普遍趨勢(shì)。隨著商業(yè)銀行經(jīng)營(yíng)管理活動(dòng)對(duì)信息技術(shù)的高度依存，信息科技風(fēng)險(xiǎn)控制已成為商業(yè)銀行風(fēng)險(xiǎn)管理的重要內(nèi)容，并從戰(zhàn)略的角度將IT審計(jì)與實(shí)現(xiàn)公司治理的總體目標(biāo)緊密聯(lián)系在一起。

加強(qiáng)IT審計(jì)是國(guó)內(nèi)銀行建設(shè)國(guó)際一流商業(yè)銀行的內(nèi)在需要。近年，工商銀行信息科技優(yōu)勢(shì)在提升銀行核心競(jìng)爭(zhēng)力的同時(shí)，其系統(tǒng)風(fēng)險(xiǎn)也更加集中，更加突出，任何一點(diǎn)管理上的疏漏或控制上的缺陷，都可能引發(fā)巨大的系統(tǒng)災(zāi)難，給全行帶來(lái)無(wú)法估量的經(jīng)濟(jì)損失和聲譽(yù)損失。因此，進(jìn)一步加強(qiáng)IT審計(jì)就更具有重大的現(xiàn)實(shí)意義。

加強(qiáng)IT審計(jì)是監(jiān)管當(dāng)局的外部要求。隨著國(guó)內(nèi)經(jīng)濟(jì)的快速發(fā)展和對(duì)外開(kāi)放的逐步擴(kuò)大，國(guó)家相關(guān)部門(mén)對(duì)信息系統(tǒng)的安全問(wèn)題越來(lái)越重視，銀監(jiān)會(huì)、人民銀行、審計(jì)署、公安部等國(guó)家行政管理部門(mén)和外部監(jiān)管部門(mén)對(duì)企業(yè)內(nèi)部的信息系統(tǒng)風(fēng)險(xiǎn)控制都提出了一系列要求。因此，工行必須通過(guò)加強(qiáng)IT審計(jì)來(lái)保證全行的信息技術(shù)應(yīng)用對(duì)各級(jí)監(jiān)管政策、法規(guī)的遵從性。

我國(guó)銀行要盡快建立健全I(xiàn)T審計(jì)架構(gòu)和規(guī)范，從IT治理與公司治理相結(jié)合的角度，對(duì)銀行的信息系統(tǒng)建設(shè)的重大決策，提供評(píng)估與評(píng)價(jià)并進(jìn)行相關(guān)的風(fēng)險(xiǎn)分析，力圖將IT風(fēng)險(xiǎn)控制在過(guò)程中，并推進(jìn)和促進(jìn)科技管理，預(yù)防IT風(fēng)險(xiǎn)。要達(dá)到這一目標(biāo)，可按照國(guó)際通用的IT審計(jì)標(biāo)準(zhǔn)CO鄄BIT，結(jié)合我國(guó)銀行的具體實(shí)際情況，建立適合我國(guó)銀行的IT審計(jì)標(biāo)準(zhǔn)和框架。

對(duì)我國(guó)銀行的IT審計(jì)應(yīng)緊緊圍繞銀行的IT技術(shù)架構(gòu)進(jìn)行，使銀行的IT審計(jì)能涵蓋主要的IT活動(dòng)范圍，因此應(yīng)建立審計(jì)的技術(shù)領(lǐng)域框架。該領(lǐng)域至少應(yīng)包含以下內(nèi)容：系統(tǒng)運(yùn)行、操作管理及風(fēng)險(xiǎn)防范，軟件開(kāi)發(fā)生命周期的過(guò)程管理和風(fēng)險(xiǎn)評(píng)估，新系統(tǒng)投產(chǎn)、切換、遷移、合并的過(guò)程管理和風(fēng)險(xiǎn)評(píng)估，各種技術(shù)平臺(tái)的審計(jì)，電子銀行等與IT緊密結(jié)合的新業(yè)務(wù)的審計(jì)，為業(yè)務(wù)審計(jì)提供IT技術(shù)手段和輔助功能，業(yè)務(wù)與IT緊密結(jié)合的綜合審計(jì)，各種專(zhuān)項(xiàng)審計(jì)及事故評(píng)估。

我國(guó)銀行IT審計(jì)的關(guān)注點(diǎn)

鑒于目前我國(guó)銀行信息技術(shù)審計(jì)組織結(jié)構(gòu)不盡完善和人員數(shù)量、質(zhì)量嚴(yán)重不足，遠(yuǎn)不能達(dá)到對(duì)IT進(jìn)行全面審計(jì)的要求，因此，當(dāng)前我國(guó)銀行IT審計(jì)工作的重點(diǎn)可定位在以下幾個(gè)方面：防范對(duì)操作運(yùn)行風(fēng)險(xiǎn)，具體應(yīng)針對(duì)數(shù)據(jù)中心整合工程后的生產(chǎn)運(yùn)行和操作情況，進(jìn)行專(zhuān)項(xiàng)審計(jì)；盡快按照國(guó)際標(biāo)準(zhǔn)開(kāi)展我國(guó)銀行IT審計(jì)工作標(biāo)準(zhǔn)的制定；加強(qiáng)組織機(jī)構(gòu)建設(shè)，充實(shí)技術(shù)人員并加強(qiáng)培訓(xùn)；加強(qiáng)IT審計(jì)的隊(duì)伍建設(shè)，IT審計(jì)人員的技術(shù)背景應(yīng)覆蓋系統(tǒng)、硬件、網(wǎng)絡(luò)、應(yīng)用等多個(gè)方面，同時(shí)又具備審計(jì)知識(shí)和經(jīng)驗(yàn)，能將IT技術(shù)與審計(jì)手段結(jié)合運(yùn)用，這樣才能審計(jì)出IT風(fēng)險(xiǎn)。（CIO時(shí)代網(wǎng)）