關(guān)于商業(yè)銀行IT審計(jì)的思考

呂思杭

摘要：隨著信息技術(shù)的迅猛發(fā)展和成熟，商業(yè)銀行傳統(tǒng)的管理和服務(wù)模式發(fā)生了深刻的變化，手工模式已經(jīng)基本被取代，信息技術(shù)已經(jīng)滲透到了商業(yè)銀行經(jīng)營管理的各個(gè)層面，開展獨(dú)立的IT審計(jì)已成為發(fā)展趨勢(shì)。本文就審計(jì)和IT治理的目的，提出改進(jìn)的初步建議。

關(guān)鍵詞：IT審計(jì)；IT標(biāo)準(zhǔn)；風(fēng)險(xiǎn)控制

一、IT審計(jì)的發(fā)展歷史

（一） IT審計(jì)的歷史和發(fā)展

IT審計(jì)起源于上世紀(jì)六十年代，IT審計(jì)的雛形初步形成。八十年代，IT審計(jì)得到社會(huì)重視。九十年代，對(duì)信息技術(shù)和IT審計(jì)的深度思考，IT審計(jì)得到了前所未有的重視和空前發(fā)展，并日趨成熟。

（二）IT審計(jì)的對(duì)象、范圍

IT審計(jì)是獨(dú)立于信息系統(tǒng)本身、信息系統(tǒng)相關(guān)開發(fā)、使用人員的第三方，采用客觀的標(biāo)準(zhǔn)對(duì)信息系統(tǒng)的策劃、開發(fā)、使用維護(hù)等相關(guān)活動(dòng)和產(chǎn)物進(jìn)行完整地、有效地檢查和評(píng)估。IT審計(jì)的審計(jì)對(duì)象涵蓋整個(gè)信息系統(tǒng)所有活動(dòng)和中間產(chǎn)物，并包括信息系統(tǒng)實(shí)施相關(guān)的外部環(huán)境。

（三）IT審計(jì)的標(biāo)準(zhǔn)

目前，IT審計(jì)方面的國際標(biāo)準(zhǔn)主要有COBIT（信息及相關(guān)技術(shù)控制目標(biāo)）、COSO（內(nèi)部控制整體框架）、ITIL（基礎(chǔ)架構(gòu)服務(wù)管理最佳實(shí)踐標(biāo)準(zhǔn)）等幾種；其中最為IT審計(jì)界廣為接受的標(biāo)準(zhǔn)是COBIT（信息及相關(guān)技術(shù)控制目標(biāo)），它是當(dāng)前國際上公認(rèn)最先進(jìn)、最成熟的IT控制和審計(jì)高層框架。COBIT將IT工作分解為一系列細(xì)化的過程和目標(biāo)，為IT審計(jì)的實(shí)施提供了一個(gè)細(xì)化的系統(tǒng)化框架，使得IT審計(jì)易于操作實(shí)施。

二、我國商業(yè)銀行IT審計(jì)現(xiàn)狀和存在的主要問題

（一）國內(nèi)商業(yè)銀行IT審計(jì)現(xiàn)狀

1.從無到有發(fā)展完善中。近年來，數(shù)據(jù)大集中以后，信息科技人員在科技管理和安全控制上都做了大量的工作，取得了很好效果。在從粗放型控制轉(zhuǎn)為精細(xì)型控制的進(jìn)程中，學(xué)習(xí)國外先進(jìn)經(jīng)驗(yàn)，逐步引用國際標(biāo)準(zhǔn)，各項(xiàng)控制措施不斷完善和加強(qiáng)。

2.金融法規(guī)逐步完善。隨著大數(shù)據(jù)時(shí)代的來臨，商業(yè)銀行信息系統(tǒng)的建設(shè)規(guī)模不斷擴(kuò)大，為識(shí)別化解系統(tǒng)失效風(fēng)險(xiǎn)，完善控制措施，銀監(jiān)會(huì)對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管的一系列制度和措施日趨完善。

3.IT審計(jì)與業(yè)務(wù)緊密結(jié)合。IT審計(jì)的范圍基本覆蓋了信息系統(tǒng)建設(shè)生命周期中的所有IT活動(dòng)，包含了各種技術(shù)平臺(tái)和軟件開發(fā)，項(xiàng)目投產(chǎn)，系統(tǒng)遷移、切換、運(yùn)行維護(hù)等全過程。由于IT已經(jīng)滲透到銀行業(yè)務(wù)的各個(gè)領(lǐng)域，因此IT審計(jì)與業(yè)務(wù)審計(jì)緊密結(jié)合，利用IT技術(shù)輔助進(jìn)行業(yè)務(wù)審計(jì)以及將IT與業(yè)務(wù)緊密結(jié)合在一起進(jìn)行綜合審計(jì)，都是IT審計(jì)的重要內(nèi)容。

4.IT審計(jì)以風(fēng)險(xiǎn)為基礎(chǔ)。

IT審計(jì)以風(fēng)險(xiǎn)為基礎(chǔ)，與公司治理形成了良性互動(dòng)關(guān)系。商業(yè)銀行IT審計(jì)已從傳統(tǒng)的后臺(tái)支持轉(zhuǎn)變?yōu)闃I(yè)務(wù)競(jìng)爭(zhēng)的籌碼，IT審計(jì)功能是否健全是監(jiān)管當(dāng)局決定對(duì)金融企業(yè)監(jiān)管關(guān)注程度的重要因素。

（三）商業(yè)銀行IT審計(jì)存在的問題

1.信息系統(tǒng)審計(jì)控制措施存在問題?，F(xiàn)有的信息系統(tǒng)控制措施在連續(xù)性、一致性上存在欠缺，控制良好的生產(chǎn)運(yùn)行部門可能因上游開發(fā)部門的控制不完善而不能產(chǎn)生預(yù)期的控制效果，控制措施落實(shí)程度不夠，主動(dòng)性和積極性的發(fā)揮有待于進(jìn)一步加強(qiáng)。

2.IT審計(jì)標(biāo)準(zhǔn)流程規(guī)范有待完善。多數(shù)商業(yè)銀行還未參照國際上標(biāo)準(zhǔn)制定適合本行的IT審計(jì)標(biāo)準(zhǔn)，在實(shí)施IT審計(jì)時(shí)依賴內(nèi)審人員個(gè)人水平發(fā)揮，缺乏系統(tǒng)性、規(guī)范性。

3.審計(jì)軟件的實(shí)用性和通用性較弱。國外審計(jì)軟件件具有強(qiáng)大的數(shù)據(jù)存取、訪問和報(bào)告功能。而國內(nèi)審計(jì)軟件功能比較簡(jiǎn)單，數(shù)據(jù)分析功能則較差，通用性還很不理想，軟件的實(shí)用性不強(qiáng)。

4.IT審計(jì)專業(yè)人才匱乏。由于IT審計(jì)固有的復(fù)雜性，這項(xiàng)工作需要具備會(huì)計(jì)、審計(jì)、組織管理和計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)等綜合知識(shí)的復(fù)合型人才，專業(yè)性人才人數(shù)遠(yuǎn)遠(yuǎn)不能滿足信息系統(tǒng)審計(jì)業(yè)務(wù)的需求。

三、商業(yè)銀行IT審計(jì)的提升

（一）以商業(yè)銀行經(jīng)營需求為導(dǎo)向，完善IT治理架構(gòu)

隨著信息技術(shù)在商業(yè)銀行普遍、深人的應(yīng)用，其信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營的最基本的條件之一。IT審計(jì)在這場(chǎng)變革中，要把握方向，形成IT審計(jì)框架，促進(jìn)IT治理，推動(dòng)公司治理。

（二）借助審計(jì)平臺(tái)，提升IT審計(jì)水平。

根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及IT審計(jì)資源，構(gòu)建合適的IT審計(jì)平臺(tái)。一是引入專業(yè)審計(jì)軟件提高IT審計(jì)效能和質(zhì)量。銀行內(nèi)部的信息系統(tǒng)越來多，也越來越復(fù)雜，通過引入適用的審計(jì)工具軟件提高IT審計(jì)的效率。利用計(jì)算機(jī)輔助審計(jì)技術(shù)處理信息系統(tǒng)的配置檢查、日志檢查及安全測(cè)試，高效地篩選出IT審計(jì)所需的可疑風(fēng)險(xiǎn)點(diǎn)已是IT審計(jì)的發(fā)展趨勢(shì)。二是建設(shè)一個(gè)高起點(diǎn)的審計(jì)管理信息系統(tǒng)。充分使用現(xiàn)有審計(jì)手段和信息系統(tǒng)，構(gòu)建通用的管理信息系統(tǒng)工作平臺(tái)，為IT審計(jì)及業(yè)務(wù)審計(jì)提供強(qiáng)有力的數(shù)據(jù)挖掘、預(yù)警提示及信息管理職能，為非現(xiàn)場(chǎng)和現(xiàn)場(chǎng)審計(jì)提供一體化支持。

（三）推行風(fēng)險(xiǎn)管理，開展以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)。

現(xiàn)階段，在復(fù)雜的信息系統(tǒng)技術(shù)和管理環(huán)境下的IT審計(jì)無疑是有一定審計(jì)風(fēng)險(xiǎn)的。因此，IT審計(jì)更要重視風(fēng)險(xiǎn)管理，規(guī)避審計(jì)風(fēng)險(xiǎn)，在注重重要性的同時(shí)，要講究效益性，這也是在今后相當(dāng)長(zhǎng)的時(shí)間里要充分重視的。采用以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)方法，其前提是建立風(fēng)險(xiǎn)評(píng)估程序，即參照國際和國內(nèi)的業(yè)界標(biāo)準(zhǔn)或自身經(jīng)驗(yàn)，使用標(biāo)準(zhǔn)的方法對(duì)信息技術(shù)每個(gè)領(lǐng)域的風(fēng)險(xiǎn)重要程度進(jìn)行評(píng)估分級(jí)，根據(jù)分級(jí)結(jié)果來確定審計(jì)頻率和深度。以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)使審計(jì)人員能夠在對(duì)風(fēng)險(xiǎn)全面監(jiān)控的基礎(chǔ)上集中審計(jì)資源于高風(fēng)險(xiǎn)領(lǐng)域，確保了審計(jì)對(duì)風(fēng)險(xiǎn)的控制質(zhì)量。

（四）IT審計(jì)與非現(xiàn)場(chǎng)審計(jì)相結(jié)合，互相促進(jìn)。

在IT審計(jì)執(zhí)行過程中，通過采用靈活的、可配置的審計(jì)模型、風(fēng)險(xiǎn)指標(biāo)及數(shù)據(jù)分析工具，對(duì)銀行的信息科技風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)和預(yù)警，形成科學(xué)有效的風(fēng)險(xiǎn)分析、監(jiān)測(cè)和評(píng)價(jià)體系。及時(shí)糾正和制止危及銀行健康發(fā)展的風(fēng)險(xiǎn)因素，保障信息系統(tǒng)安全、穩(wěn)健運(yùn)行。設(shè)計(jì)的審計(jì)指標(biāo)要同時(shí)具有量化和可比性特征，能夠真實(shí)反映銀行信息科技現(xiàn)狀和風(fēng)險(xiǎn)水平。需要強(qiáng)調(diào)的是，在利用信息化手段開展IT審計(jì)、提高效率的同時(shí)，還需要保持與現(xiàn)場(chǎng)審計(jì)相結(jié)合，將獲得的客觀數(shù)據(jù)同主管判斷相結(jié)合，利用不同審計(jì)模式下獲得的成果，進(jìn)行互補(bǔ)，以求獲得最大的審計(jì)效益。

（五）加快IT人才的選拔和培養(yǎng)

擁有一批IT專業(yè)人才是做好IT審計(jì)的基礎(chǔ)，也是提升我行IT審計(jì)水平的保證。從現(xiàn)有審計(jì)人員中把具有IT工作經(jīng)驗(yàn)和IT技術(shù)知識(shí)的人員挑選出來，積極推動(dòng)審計(jì)部門與業(yè)務(wù)部門的人員流動(dòng)，吸引更多的IT專業(yè)人才進(jìn)入審計(jì)部門，充實(shí)IT審計(jì)隊(duì)伍。加強(qiáng)IT審計(jì)培訓(xùn)，提高審計(jì)人員風(fēng)險(xiǎn)識(shí)別、IT審計(jì)技巧等方面的內(nèi)容，增強(qiáng)IT審計(jì)能力。

五、結(jié)論

隨著商業(yè)銀行電子化進(jìn)程的飛速發(fā)展，IT技術(shù)在銀行業(yè)務(wù)發(fā)展中的重要性不斷增大，IT審計(jì)的發(fā)展及管理己成為廣泛的共識(shí)。IT審計(jì)必須圍繞經(jīng)營需求，以風(fēng)險(xiǎn)為導(dǎo)向，借鑒先進(jìn)的國際IT審計(jì)標(biāo)準(zhǔn)，建立國際標(biāo)準(zhǔn)框架下的具有各國有商業(yè)銀行特色的IT標(biāo)準(zhǔn)和規(guī)范體系，為商業(yè)銀行信息系統(tǒng)健康運(yùn)行保駕護(hù)航，最終降低經(jīng)營風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]胡克瑾.IT審計(jì)[M].北京：電子工業(yè)出版社，2002.

[2]徐亞非.IT審計(jì)金融行業(yè)趨勢(shì)[J].軟件世界，2009，（11）.

[3]中國工商銀行內(nèi)部審計(jì)局課題組.關(guān)于商業(yè)銀行IT審計(jì)的研究[J].金融論壇，2005，（11）.