中小銀行信息科技審計體系探討

馮一娜

摘要：長期以來，由于專業(yè)人才匱乏、資源投入不足等諸多原因，中小銀行在信息科技審計體系建設上效果并不理想，存在實質性審查和控制措施落地的不少短板。本文結合某區(qū)域性中小銀行信息科技風險“三道防線”中的信息科技審計實務，探討信息科技審計體系建設，為致力于加強該項工作的中小銀行提供參考。

關鍵詞：信息科技審計;信息科技風險;“三道防線”

一、IT治理架構中的信息科技審計

按照中國銀監(jiān)會《銀行業(yè)金融機構內部審計指引》（簡稱《審計指引》）、《風險管理指引》要求，商業(yè)銀行IT治理架構應在董事會下設審計委員會，建立單獨的內部審計部門并在該部門行下設信息科技風險審計崗位“負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計”。

對于區(qū)域性中小銀行，除建立審計委員會以外，通常在內部審計部門設置信息科技審計科室。信息科技審計科室工作不應受到阻礙，內部審計部門各業(yè)務科室和銀行業(yè)務部門、分支機構應為信息科技審計管理工作提供支持，必要時該科室可通過內部審計部門向審計委員會申請，在銀行領導的授權下調動全行人力、物力、財力資源，對全行分配相關工作任務并跟蹤、匯報工作進展。

二、信息科技審計管理機制

（一）縱向機制。主要包括合規(guī)管理、信息安全保障和連續(xù)性管理三大機制：合規(guī)管理機制對信息科技工作符合相關法律、法規(guī)和監(jiān)管指引、規(guī)范要求等進行審計;信息安全保障機制對信息系統(tǒng)的整個生命周期的各個關鍵環(huán)節(jié)進行審計;業(yè)務連續(xù)性管理機制：對業(yè)務連續(xù)性關鍵指標分析、業(yè)務連續(xù)性計劃和實施指導等進行審計。

（二）橫向機制。橫向方面，信息科技審計科室與監(jiān)管單位、行內相關部門、部門內各業(yè)務科室有密切的聯(lián)系，主要機制包括對監(jiān)管單位的報告機制;與行內相關部門的定期溝通機制、協(xié)同機制;對內部審計部門各業(yè)務科室的風險監(jiān)控、咨詢、協(xié)同機制和對部門領導的報告機制;與合作單位的溝通機制。

（三）對外機制。對外方面，信息科技審計管理機制包括對監(jiān)管單位、政府部門的溝通、報告機制;與合作單位的溝通機制。

（四）對內機制。對內方面，信息科技審計管理機制包括科室內部報告考核機制、考核和激勵機制;對內部審計部門領導的報告機制;與科技信息部門、風險管理部門、合規(guī)管理部門的定期溝通機制、協(xié)同機制;對內部審計部門各業(yè)務科室的內部控制、風險監(jiān)控、咨詢、協(xié)同機制等。

以某區(qū)域性中小銀行為例，該行信息科技審計科室重點審計信息科技合規(guī)、業(yè)務連續(xù)性、信息安全保障，直接向內部審計部門負責人匯報工作，通過內部審計部門向行內董事會下設的審計委員會報告工作;對外通過內部審計部門與屬地銀監(jiān)部門的審計處室、信息科技監(jiān)管處室、人民銀行屬地分行信息科技處室建立了報告機制;對行內信息科技部門信息安全科室、風險管理部門信息科技風險管理科室建立了直接溝通機制，定期參加信息科技風險“三道防線”工作會議;對行內運營管理部門、會計結算部門、電子銀行部門、互金業(yè)務部門、個金業(yè)務部門、公司業(yè)務部門、投資銀行部門、金融市場部門等主要業(yè)務部門通過內部審計部門建立了橫向溝通機制。

三、信息科技審計的主要領域

（一）IT治理。包括對IT與業(yè)務融合（IT滿足業(yè)務需求、引領業(yè)務發(fā)展的實際情況開展）的審計，對IT投資管理（IT投資符合企業(yè)的投資回報預期）的審計，對IT決策機制（IT決策流程、參與決策的各角色、決策執(zhí)行過程）的審計，對IT規(guī)劃與架構（IT規(guī)劃與架構的設計能否滿足業(yè)務發(fā)展需要和IT治理需要）的審計，對IT組織架構與職責分離的審計;

（二）信息科技風險管理。審計要點包括信息科技風險識別與評估范圍、風險量化模型、風險偏好、風險處置策略、風險監(jiān)測體系、風險信息溝通機制;

（三）IT基礎架構。包括對機房、主機、網絡設備、終端設備、數(shù)據(jù)庫、中間件、云計算環(huán)境等基礎設施及架構的審計。機房審計要點包括供電、供水、防水、防火、防雷、制冷、承重等方面是否符合機房相關規(guī)范要求，網絡設備審計要點包括網路拓撲、地址分配規(guī)則、網絡分級分層、網絡分區(qū)、防火墻和物理隔離策略是否符合全行業(yè)務和安全策略，主機、終端、數(shù)據(jù)庫審計要點包括密碼策略、日志保護、開放的端口和服務、安全漏洞等，云計算環(huán)境審計要點包括用戶隔離措施、賬戶與權限管理、數(shù)據(jù)丟失與泄露、發(fā)布管理流程、公有云的跨境法律要求、退出流程等;

（四）信息安全。審計要點包括組織架構、制度、流程、體系，邏輯訪問審計要點包括系統(tǒng)安全配置、網絡安全設置、特權用戶權限、訪問控制等，網絡安全審計要點包括內網安全、外網接入、網絡隔離等方面，數(shù)據(jù)泄露審計要點包括靜態(tài)數(shù)據(jù)、移動中的數(shù)據(jù)、使用中的數(shù)據(jù)、工作流管理、備份與還原等;

（五）應用系統(tǒng)開發(fā)投產。審計要點包括對應用系統(tǒng)開發(fā)方法、開發(fā)流程、開發(fā)過程、項目管理的審計，對應用系統(tǒng)開發(fā)項目的開發(fā)、測試、項目管理文檔的齊備性、規(guī)范性進行審計，對應用系統(tǒng)開發(fā)項目的設計安全、編碼安全、數(shù)據(jù)安全、應用安全進行審計等;

四、結語

銀行業(yè)數(shù)字化轉型帶來的挑戰(zhàn)與機遇并存，隨著以云計算、大數(shù)據(jù)、人工智能為代表的新興信息技術在金融行業(yè)的普及應用，中小銀行面臨的風險日益復雜。在信息科技審計資源配置上中小銀行與大型金融機構相比存在天然短板，既要在體系構建上全面覆蓋，又要在重點風險領域多方突破、有所創(chuàng)新，同時降低審計工作本身引入的風險，有效整合內外部審計資源，以全新的思維理念、靈活的機制、先進的方法提升工作能效，快速識別和有效應對的各種新型信息科技風險，才能充分體現(xiàn)出審計在中小銀行信息科技風險防控中的價值和作用。

參考文獻：

[1]孫曉，馬鵬飛.人民銀行信息技術應用的風險管理研究——基于審計視角的分析[J].金融會計，2011（12）：30-32.

[2]闞京華.信息技術環(huán)境下連續(xù)審計技術實現(xiàn)模型分析比較[J].科技管理研究，2009（10）：285-287.