銀行開展信息技術(shù)審計(jì)的現(xiàn)狀、難點(diǎn)及策略思考

摘 要：銀行信息技術(shù)審計(jì)是由其相對(duì)獨(dú)立的內(nèi)審部門，通過(guò)對(duì)信息系統(tǒng)及信息科技內(nèi)部控制和流程的審查，揭示信息科技管理和操作中存在的問(wèn)題，并評(píng)價(jià)信息科技管理目標(biāo)實(shí)現(xiàn)情況，從而判斷信息系統(tǒng)能否保證組織的資產(chǎn)安全、數(shù)據(jù)完整、支撐業(yè)務(wù)發(fā)展且風(fēng)險(xiǎn)可控，進(jìn)而采取措施促進(jìn)信息科技符合組織戰(zhàn)略目標(biāo)。從目前已開展的信息技術(shù)審計(jì)項(xiàng)目實(shí)施情況看，其中存在一系列制約信息技術(shù)審計(jì)有效實(shí)施的難點(diǎn)和問(wèn)題，因此，需要在實(shí)踐中不斷提升應(yīng)對(duì)策略以對(duì)其進(jìn)行改進(jìn)和完善。本文在分析銀行信息技術(shù)審計(jì)實(shí)踐的現(xiàn)狀和難點(diǎn)的基礎(chǔ)上，對(duì)有助于提升審計(jì)質(zhì)量的信息技術(shù)審計(jì)策略做了較為深入細(xì)致的探討。

關(guān)鍵詞：信息技術(shù)風(fēng)險(xiǎn)管理；信息技術(shù)審計(jì)；審計(jì)策略

中圖分類號(hào)：F239.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）02-0194-03

Abstract：Information technology audit of banks is a relatively independent internal audit department. Through reviewing the internal control and process of information system and information technology，it reveals the problems existing in the management and operation of information technology，and evaluates the achievement of information technology management objectives，so as to judge whether information system can guarantee the safety and number of assets of an organization. According to the integrity，support business development and risk control，and then take measures to promote information technology in line with organizational strategic objectives. From the current implementation of information technology audit projects，there are a series of difficulties and problems that restrict the effective implementation of information technology audit. Therefore，we need to constantly improve the response strategies in practice to improve and perfect them. Based on the analysis of the current situation and difficulties of bank information technology audit practice，this paper makes a thorough and detailed discussion on the information technology audit strategy which can help to improve the audit quality.

Keywords：information technology risk management；information technology audit；audit strategy

1 審計(jì)現(xiàn)狀

隨著互聯(lián)網(wǎng)金融時(shí)代的到來(lái)，近年來(lái)，銀行重要業(yè)務(wù)運(yùn)行及管理均納入信息系統(tǒng)的管控之下。為保證這種管控符合組織目標(biāo)，各銀行內(nèi)部都組織開展了信息技術(shù)審計(jì)，其主要圍繞領(lǐng)域、機(jī)構(gòu)、系統(tǒng)三個(gè)維度，穩(wěn)步開展信息技術(shù)一般控制審計(jì)、信息技術(shù)應(yīng)用控制審計(jì)以及信息安全審計(jì)等項(xiàng)目，其審計(jì)對(duì)象和范圍主要涉及以下幾個(gè)方面。

1.1 從管理維度看

信息技術(shù)審計(jì)主要關(guān)注信息科技治理、風(fēng)險(xiǎn)管理、信息安全、信息系統(tǒng)開發(fā)測(cè)試、信息系統(tǒng)運(yùn)行維護(hù)、業(yè)務(wù)連續(xù)性、信息技術(shù)外包等七個(gè)領(lǐng)域，并基本履蓋系統(tǒng)整個(gè)生命周期。

1.2 從機(jī)構(gòu)維度看

信息技術(shù)審計(jì)主要關(guān)注信息科技風(fēng)險(xiǎn)管理的第一道防線和第二道防線，包括總行級(jí)科技管理部門、軟件開發(fā)中心、數(shù)據(jù)中心、風(fēng)險(xiǎn)管理部、內(nèi)控與法律合規(guī)部以及各一級(jí)分行等。

1.3 從系統(tǒng)維度看

信息技術(shù)審計(jì)主要關(guān)注會(huì)計(jì)核算系統(tǒng)、信貸管理系統(tǒng)、報(bào)表系統(tǒng)等基礎(chǔ)系統(tǒng)。近年來(lái)，各銀行根據(jù)業(yè)務(wù)發(fā)展和國(guó)家政策導(dǎo)向，對(duì)大數(shù)據(jù)平臺(tái)、互聯(lián)網(wǎng)金融、信用卡等業(yè)務(wù)系統(tǒng)也逐步開展了專項(xiàng)審計(jì)。

在上述審計(jì)中，銀行內(nèi)審部門以風(fēng)險(xiǎn)為導(dǎo)向，圍繞“審什么”和“怎么審”，制定了審計(jì)操作模板，覆蓋審計(jì)控制域與控制點(diǎn)兩個(gè)層面，明確審計(jì)內(nèi)容、審計(jì)方法和審計(jì)依據(jù)，可以實(shí)現(xiàn)審計(jì)過(guò)程的標(biāo)準(zhǔn)化和規(guī)范化；在審計(jì)實(shí)踐中，銀行能夠根據(jù)業(yè)務(wù)反饋的風(fēng)險(xiǎn)點(diǎn)，初步判斷應(yīng)用系統(tǒng)控制效果，并通過(guò)訪問(wèn)測(cè)試和系統(tǒng)輸入輸出驗(yàn)證權(quán)限控制的合理性、數(shù)據(jù)處理的準(zhǔn)確性。與此同時(shí)，銀行信息技術(shù)審計(jì)在專業(yè)能力、審計(jì)視角、日常監(jiān)測(cè)及整改落實(shí)等方面仍存在嚴(yán)重不足，這在一定程度上限制了信息技術(shù)審計(jì)工作質(zhì)量的提升和審計(jì)成果的價(jià)值實(shí)現(xiàn)。銀行信息技術(shù)審計(jì)的不足主要體現(xiàn)在以下方面：一是專業(yè)能力不足導(dǎo)致重點(diǎn)審計(jì)域?qū)ｍ?xiàng)審計(jì)缺失。近年來(lái)開展的信息科技審計(jì)工作尚未觸及互聯(lián)網(wǎng)金融、零售及中間業(yè)務(wù)等新型業(yè)務(wù)領(lǐng)域的管理盲區(qū)，同時(shí)，由于審計(jì)能力不足，信息科技審計(jì)對(duì)上述業(yè)務(wù)領(lǐng)域的信息系統(tǒng)的代碼質(zhì)量、壓力測(cè)試、投產(chǎn)變更、開源軟件、影子信息技術(shù)等控制點(diǎn)也未涉足。二是信息科技審計(jì)僅局限于技術(shù)細(xì)節(jié)而缺乏管理視角。其對(duì)重要信息系統(tǒng)，管理體系層面，第一、二道防線的履職關(guān)注不夠，溝通不足，缺乏管理視角和全行視角，僅局限于技術(shù)細(xì)節(jié)，“就事論事”，未能將具體風(fēng)險(xiǎn)事項(xiàng)與信息技術(shù)管理活動(dòng)結(jié)合來(lái)揭示戰(zhàn)略規(guī)劃落實(shí)、體制機(jī)制、制度流程等背后的深層次問(wèn)題和風(fēng)險(xiǎn)。三是日常風(fēng)險(xiǎn)監(jiān)測(cè)及后續(xù)整改措施落實(shí)不到位。信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)測(cè)團(tuán)隊(duì)配備不足，系統(tǒng)風(fēng)險(xiǎn)日常監(jiān)測(cè)缺位。受知識(shí)水平限制，銀行內(nèi)審團(tuán)隊(duì)與審計(jì)對(duì)象信息科技部門和風(fēng)險(xiǎn)管理部門缺乏溝通，對(duì)信息科技自評(píng)估報(bào)告和風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)告利用不足，無(wú)法及時(shí)獲取被查行系統(tǒng)風(fēng)險(xiǎn)及相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施。對(duì)信息科技審計(jì)項(xiàng)目后續(xù)整改跟蹤機(jī)制落實(shí)不足，未有效開展后續(xù)整改與跟蹤工作。

2 審計(jì)難點(diǎn)

2.1 項(xiàng)目規(guī)劃方面

系統(tǒng)失效是銀行風(fēng)險(xiǎn)的重要組成部分。相關(guān)統(tǒng)計(jì)數(shù)據(jù)表明，銀行信息系統(tǒng)失效風(fēng)險(xiǎn)占銀行總風(fēng)險(xiǎn)的10%-20%，并且這個(gè)數(shù)字還會(huì)隨著銀行信息化的深入而逐步增大。但目前，銀行內(nèi)部審計(jì)人員普遍沒有掌握信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估技術(shù)，風(fēng)險(xiǎn)有多大、影響有多深、預(yù)估損失有多大，都無(wú)法從客觀上估量，其評(píng)估存在主觀取舍的成份。在制定審計(jì)規(guī)劃、計(jì)劃及方案時(shí)缺乏科學(xué)依據(jù)，對(duì)重點(diǎn)審計(jì)域、風(fēng)險(xiǎn)控制點(diǎn)無(wú)法準(zhǔn)確界定。

2.2 數(shù)據(jù)獲取方面

除信息技術(shù)服務(wù)臺(tái)外，現(xiàn)有信息技術(shù)管理系統(tǒng)較少，且服務(wù)臺(tái)數(shù)據(jù)結(jié)構(gòu)化不強(qiáng)，無(wú)法導(dǎo)入內(nèi)部審計(jì)系統(tǒng)，致使審前分析無(wú)數(shù)據(jù)可用。在現(xiàn)場(chǎng)審計(jì)中，審計(jì)人員往往只能根據(jù)被審計(jì)單位提供的統(tǒng)計(jì)數(shù)據(jù)、書面文件或會(huì)計(jì)核算資料等進(jìn)行查證。這種審前及審中數(shù)據(jù)分析的缺失，一方面無(wú)法保證審計(jì)數(shù)據(jù)的真實(shí)性和準(zhǔn)確性，致使審計(jì)人員陷入了反復(fù)核實(shí)數(shù)據(jù)正確性的困境，另一方面又使得內(nèi)審人員始終無(wú)法跳出會(huì)計(jì)核算的局限，無(wú)法在信息技術(shù)審計(jì)更高的層次和更深的領(lǐng)域發(fā)揮作用。

2.3 技術(shù)手段方面

信息技術(shù)自動(dòng)化監(jiān)控工具、系統(tǒng)測(cè)試工具、源代碼掃描工具等專業(yè)性較強(qiáng)，現(xiàn)有審計(jì)人員相關(guān)知識(shí)水平尚不能達(dá)到熟練應(yīng)用的程度，更無(wú)法從中獲取信息進(jìn)行分析查證。信息系統(tǒng)知識(shí)的儲(chǔ)備嚴(yán)重不足，技術(shù)手段的掌握嚴(yán)重滯后，使得審計(jì)人員對(duì)信息技術(shù)風(fēng)險(xiǎn)的存在及影響范圍界定不夠準(zhǔn)確，因而不能從整體和全局層面揭示風(fēng)險(xiǎn)。

2.4 問(wèn)題整改方面

開展信息系統(tǒng)審計(jì)的基本目標(biāo)是揭示信息科技管理和操作中存在的問(wèn)題，評(píng)價(jià)信息科技管理目標(biāo)實(shí)現(xiàn)情況，督促被審方采取強(qiáng)有力的審計(jì)整改措施和手段來(lái)提升信息科技管理水平。但相對(duì)于財(cái)務(wù)、信貸等大型業(yè)務(wù)審計(jì)項(xiàng)目，被審計(jì)單位對(duì)信息技術(shù)審計(jì)的整改不夠重視，往往將審計(jì)查出的問(wèn)題歸咎于技術(shù)處理不當(dāng)，沒有真正理解“現(xiàn)象在下面，根子在上面”的信息技術(shù)特點(diǎn)，沒有將技術(shù)問(wèn)題與背后的管理活動(dòng)相結(jié)合，導(dǎo)致問(wèn)題整改治標(biāo)不治本，屢查屢犯，信息科技管理始終停留在低水平層面，從根本上違背了開展信息系統(tǒng)審計(jì)的初衷和目的。

3 應(yīng)對(duì)策略

3.1 緊抓信息技術(shù)審計(jì)數(shù)據(jù)建設(shè)，逐漸形成完備的審計(jì)方法體系

針對(duì)目前銀行內(nèi)部信息技術(shù)審計(jì)缺乏相關(guān)數(shù)據(jù)的問(wèn)題，筆者建議將科技本身的管理系統(tǒng)信息如信息技術(shù)服務(wù)臺(tái)的監(jiān)測(cè)數(shù)據(jù)進(jìn)行結(jié)構(gòu)化處理后完整納入到內(nèi)部審計(jì)系統(tǒng)，通過(guò)全量數(shù)據(jù)分析發(fā)現(xiàn)審計(jì)線索。同時(shí)，突出問(wèn)題導(dǎo)向，持續(xù)開發(fā)信息技術(shù)審計(jì)方法查勘型，成熟一個(gè)推廣一個(gè)，螺旋上升，逐漸形成信息技術(shù)審計(jì)方法體系。在信貸、財(cái)務(wù)等業(yè)務(wù)非現(xiàn)場(chǎng)審計(jì)中發(fā)現(xiàn)的數(shù)據(jù)異常問(wèn)題，可以作為線索移交給信息技術(shù)審計(jì)部門，以進(jìn)一步確定是系統(tǒng)架構(gòu)、業(yè)務(wù)邏輯問(wèn)題，還是運(yùn)維操作問(wèn)題。

3.2 追溯應(yīng)用系統(tǒng)規(guī)劃、實(shí)現(xiàn)，從源頭防范和化解風(fēng)險(xiǎn)

在“就事論事”的基礎(chǔ)上，追溯上游規(guī)劃和開發(fā)，不僅可以促進(jìn)信息技術(shù)風(fēng)險(xiǎn)的標(biāo)本兼治，還可以使信息科技資源得到充分利用，實(shí)現(xiàn)風(fēng)險(xiǎn)與績(jī)效同行。信息技術(shù)活動(dòng)的主體是信息系統(tǒng)，除系統(tǒng)、網(wǎng)絡(luò)等固有風(fēng)險(xiǎn)外，下游運(yùn)維階段的數(shù)據(jù)安全、人工干預(yù)、控制薄弱等問(wèn)題也源于上游的系統(tǒng)架構(gòu)。因此，追溯應(yīng)用系統(tǒng)規(guī)劃、實(shí)現(xiàn)，從源頭防范和化解風(fēng)險(xiǎn)，十分必要。而普遍存在的科技人員不足問(wèn)題可以通過(guò)信息系統(tǒng)的整合、優(yōu)化得以有效緩解。

3.3 完善信息技術(shù)審計(jì)技術(shù)手段

完善信息技術(shù)審計(jì)技術(shù)手段主要是完善系統(tǒng)穿透測(cè)試工具、源代碼掃描工具、信息技術(shù)審計(jì)鉤等專用審計(jì)工具的操作使用模板。信息技術(shù)審計(jì)技術(shù)手段是信息技術(shù)審計(jì)中獨(dú)有的技術(shù)手段，包括源代碼審計(jì)、日志審查、滲透測(cè)試及測(cè)試數(shù)據(jù)等，而大多數(shù)審計(jì)人員的相關(guān)知識(shí)儲(chǔ)備都遠(yuǎn)遠(yuǎn)不足，迫切需要完備的、專業(yè)的、簡(jiǎn)明易懂的操作手冊(cè)來(lái)指導(dǎo)信息技術(shù)審計(jì)實(shí)踐。通過(guò)依托上述專業(yè)化工具，對(duì)系統(tǒng)日志、安全性日志、應(yīng)用程序日志、數(shù)據(jù)庫(kù)日志等進(jìn)行專業(yè)分析，可以發(fā)現(xiàn)審計(jì)線索，追溯信息技術(shù)風(fēng)險(xiǎn)事件及事故產(chǎn)生原因，最終查實(shí)系統(tǒng)控制缺陷，從而占領(lǐng)信息系統(tǒng)風(fēng)險(xiǎn)控制的制高點(diǎn)。

3.4 做實(shí)與科技部門、風(fēng)險(xiǎn)部門第一道和二道防線的溝通

銀行可采取定時(shí)或不定時(shí)方式，例如會(huì)議、材料以及科技管理監(jiān)控系統(tǒng)交流等，與科技部門、風(fēng)險(xiǎn)部門第一道和二道防線進(jìn)行溝通，從而了解情況，監(jiān)測(cè)風(fēng)險(xiǎn)。從業(yè)務(wù)驅(qū)動(dòng)到系統(tǒng)開發(fā)、運(yùn)行維護(hù)、災(zāi)備管理等整個(gè)系統(tǒng)生命周期來(lái)理解信息系統(tǒng)，科學(xué)制定審計(jì)計(jì)劃和方案，防范管理盲區(qū)，著力提高審計(jì)質(zhì)量；同時(shí)與被審計(jì)對(duì)象一道，落實(shí)整改督導(dǎo)和跟蹤措施，完善整改后的評(píng)估機(jī)制，促成審計(jì)成果的價(jià)值實(shí)現(xiàn)。

4 結(jié) 論

信息技術(shù)審計(jì)作為風(fēng)險(xiǎn)管理體系的第三道防線，在銀行全面風(fēng)險(xiǎn)管控中發(fā)揮著越來(lái)越重要的作用。對(duì)信息技術(shù)審計(jì)現(xiàn)狀、問(wèn)題以及策略進(jìn)行分析，進(jìn)一步規(guī)范和加強(qiáng)信息技術(shù)審計(jì)，既是銀行自身為保障全行信息科技水平符合業(yè)務(wù)發(fā)展目標(biāo)的需要，也是內(nèi)外部監(jiān)管當(dāng)局對(duì)銀行各項(xiàng)信息科技活動(dòng)合規(guī)性的要求。

參考文獻(xiàn)：

[1] 吳晶.等級(jí)保護(hù)“安全審計(jì)”應(yīng)用實(shí)現(xiàn) [J].信息網(wǎng)絡(luò)安全，2013（8）：6.

[2] 林樂(lè)宇，劉磊，王石，等.MUIS：一種新型的多領(lǐng)域信息共享聯(lián)盟系統(tǒng)及其應(yīng)用 [J].計(jì)算機(jī)研究與發(fā)展，2008（4）：684-694.

[3] 陶星，李衛(wèi)華，汪中飛.基于知網(wǎng)的可拓領(lǐng)域信息元庫(kù)的構(gòu)建方法 [J].智能系統(tǒng)學(xué)報(bào)，2015，10（5）：790-796.

[4] 李勇.跨領(lǐng)域信息共享實(shí)施過(guò)程管理分析 [J].電子技術(shù)與軟件工程，2015（4）：13.

[5] 師新宇.開展信息系統(tǒng)審計(jì)的思路及應(yīng)用 [J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2015，5（12）：82-84.

作者簡(jiǎn)介：王翎艷（1970.09-），女，重慶人，高級(jí)會(huì)計(jì)師，研究生，研究方向：IT。