淺談商業銀行ＩＴ審計發展對策

[摘要] 本文從商業銀行業務高風險性的特點以及信息系統自身的特點出發，指出商業銀行實施IT審計的必要性。并通過分析商業銀行IT審計的現狀及存在的一些問題，從IT審計制度、IT審計人才培養等方面提出了商業銀行IT審計的發展對策。

[關鍵詞] 商業銀行IT審計

隨著計算機網絡的發展，商業銀行在處理業務時對計算機信息系統的應用程度越來越高。信息系統就像一把雙刃劍，它在帶來經濟效益的同時，也使商業銀行面臨巨大的風險，因此對信息系統進行嚴格規范的控制尤為重要。為了保證信息系統的安全、可靠與有效，實施有效的IT審計成為商業銀行一項迫在眉睫的任務。

一、商業銀行實施IT審計的必要性

1.這是由商業銀行業務高風險性的特點決定的

商業銀行本身是一個高風險行業，在銀行業務中的主要風險包括：戰略性的，名譽性的，操作的，信用，貨幣兌換，利率，流動性。隨著銀行業務信息化程度的提高，特別是近年來網絡銀行和信用卡的興起，銀行的業務和信息系統之間的聯系不斷加強，信息系統需要不斷的修改和完善以適應業務發展的要求。當信息系統跟不上業務發展的需要時，就會造成系統故障，系統錯誤等情況，導致一些業務不能正常開展，這使得商業銀行面臨的戰略性，名譽性，操作性的風險越來越大。為減少這些風險，這就需要IT審計對系統進行嚴格的規范控制，對信息系統進行綜合的檢查和評價以保證信息系統適應銀行業務發展的需要。

2.這由信息系統本身的特點所決定的

信息系統的開發是一項長期而且龐大的工程，需要耗費大量的人力、物力以及財力，它具有投資大，風險高的特點，若開發不當，則可能會使信息系統無法投入使用，或即使能勉強投入使用，但在使用過程中也會錯誤不斷，需要極高的成本來維護系統，因此需要IT審計對信息系統的開發過程進行跟蹤審計，及時發現并改正錯誤，保證信息系統的質量，降低系統后期的維護成本。同時，由于并不存在十全十美的信息系統，也不可能在系統開發過程中發現全部潛在的錯誤，這使得在系統運行過程中可能會出現系統故障，系統錯誤，黑客攻擊漏洞等情況，這可能會使數據被破壞，客戶隱私被泄露，經濟效益遭受損失，對商業銀行的聲譽、經營造成影響。這就需要在信息系統運行維護階段進行IT審計找出系統的缺陷和不足，并提出改進和完善的意見，以保障系統安全、可靠以及有效的運行。

二、商業銀行IT審計的現狀及改進措施

1.建立完善的商業銀行IT審計制度

在我國制度創新還跟不上IT的發展，相關的IT審計法規、準則存在著一定的滯后現象，目前存在相關法規、準則僅有審計署于1996年頒布的《審計機關計算機輔助審計辦法》，1999年頒布的《獨立審計具體準則第20號——計算機信息系統環境下的審計》等幾個。而近年來IT發展迅速，這些法規、準則不一定能適應新的系統環境，這將會給商業銀行的IT審計的實際操作帶來一些困難和影響。為了促進商業銀行的IT審計的發展，應該完善相關的法規、準則，使之跟得上IT的發展。同時，根據國際趨同的要求，我國也應根據國際IT審計的國際標準——COBIT（信息系統和技術控制標準）建立符合中國實際、順應國際準則趨同化要求的內控、風險管理體系、IT監審機制和制度。

2.加強IT審計的連續性

由于商業銀行信息系統的開發多采用外包方式，這使得在實施IT審計時容易忽視信息系統開發階段的IT審計，使得IT審計缺乏連續性。而系統開發階段存在的一些潛在的問題可能會系統在運行維護階段逐漸暴露出來，這個時候就需要去系統本身進行修正，與在系統開發階段進行的修正相比，此時的花費的成本將更高。因此，需要加強在系統開發階段的IT審計，加強IT審計的連續性，這將有助于保障高質量的信息系統的開發，減少系統存在的潛在問題，降低運行維護階段的維護成本。

3.提高商業銀行內部IT審計的質量

商業銀行一般都擁有自己的IT部門，由于部分內審人員計算機知識與技能有限，這使得在進行內部審計時會在一定程度上依賴IT部門的人員的幫助，誠然這些IT部門的人員對于計算機知識以及相關的業務十分熟悉，有利于內部審計的實施，但是這卻讓他們擁有運動員和裁判員的雙重身份，使得內部審計的獨立性遭到質疑，內部審計的質量得不到保證。而高質量的內部審計能使信息系統安全、可靠以及有效的運行，同時也使信息系統容易通過外部審計。因此，需要在商業銀行內部設立獨立于IT部門的IT審計部門，實施有效的內部審計。

4.培養IT審計專業人員

我國商業銀行IT審計起步較晚，IT審計專業人員在數量上嚴重不足，同時在專業技能方面與國外相比也存在一定的差距，而這些因素也在一定程度上影響了商業銀行IT審計質量的提高，因此需要大力培養IT審計專業人員。對此，我們可采取專家講課、委托培訓、公派交流學習等措施來培養IT審計人員，提高IT內審人員的素質。

5.借鑒國外的一些先進經驗

我國IT審計起步較晚，雖然在近年來取得了較快的進步，但相對于一些起步較早的國家而言，總體水平并不是很高。我們可以根據自身的實際情況，借鑒一些適合我國國情的先進經驗，比如：挪威的數據獲取自動化（TOMAS）系統，它能在提高效率保證質量的同時，使審計人員可以采集存儲在財務管理會計系統中的基本數據而不增加被審計單位的安全風險；美國利用互聯網實施聯網審計，審計人員可以通過網絡獲取被審計單位的有關資料開展審計工作等。

參考文獻：

[1]胡克瑾:IT審計[M].北京:電子工業出版社，2004

[2]中國工商銀行內部審計局課題組.關于商業銀行IT審計問題的研究[J].金融論壇，2005，11

[3]王娜:IT審計對傳統審計的撞擊[J].中國審計，2001，10