商業銀行IT審計的國際經驗及借鑒

當前，信息技術已經滲透到商業銀行經營的各個層面，其在為業務提供技術支撐和保障的同時，相關風險也在急劇加大。近年來，隨著越來越多的金融舞弊與犯罪案件發生在IT相關領域，國內各商業銀行逐步認識到IT審計的重要性，并開始加強IT審計力度;但相對于傳統審計和國外情況，目前我國商業銀行的IT審計仍處于初級階段，本文通過介紹國外IT審計的先進經驗，對國內商業銀行的IT審計提出改進的初步建議。

國際IT審計已有公認標準

商業銀行是IT應用最廣泛和深入的行業，鑒于信息系統對業務及運營管理的支撐作用，發達國家的商業銀行非常重視IT審計，多數在內審部門設立專門的IT審計機構，其工作量約占內審工作的1/3。在審計內容安排上，其范圍基本覆蓋了信息系統生命周期中的所有IT活動，包括基礎設施和應用軟件的開發、上線、運行、維護等過程;將IT審計與業務審計結合起來開展綜合審計;一些大型銀行還針對系統特殊事件開展專項審計，評價IT項目風險。

目前，國際上最為IT審計界廣為接受的標準是“信息及相關技術控制目標”(COBIT)，它是美國信息系統審計與控制協會(ISACA)發布的IT治理及審計標準。COBIT從體系化、標準化的高度，構建了關于信息系統投資、建設、控制、評價、審計的知識體系和方法論，在業務風險、控制需求和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。COBIT是當前國際上公認最先進、最成熟的IT控制和審計高層框架，已在100多個國家的重要組織與企業中得到應用。

COBIT的主要目標是面向業務，其框架設計基于以下原理:提供實現業務目標所需的企業信息，企業需要采用一系列結構化的IT流程來投資、管理和控制IT資源，提供服務以交付所需的企業信息。管理并控制信息是COBIT框架的核心，這有助于確保IT與業務需求保持一致。COBIT將IT流程、IT資源和業務需求(信息標準)聯系起來，構成一個三維體系結構。其中，“信息標準”維集中反映了企業的戰略目標，包括信息及信息系統的質量、安全性和可用(信)性;“IT資源”維主要包括人、應用系統、技術、設施及數據在內的信息相關資源，這是IT治理過程的主要對象;“IT流程”維則是對信息及相關資源進行運作的一系列IT活動，涵蓋了信息技術規劃與組織、獲取與實施、交付與支持、監控4個領域、34個過程、318個活動及其控制目標。該標準之所以廣受認可是基于如下四個特點:

—COBIT為美國信息系統控制與審計協會(ISACA協會，下同)所推出，而ISACA本身就是一個審計師和控制師的組織，其主要目的和動機就是評估IT控制和實施IT審計。依托COBIT實施審計，有其先天的合理性。

—COBIT實現了組織的總體戰略與IT戰略之間的互動，依據COBIT實施審計，有利于IT審計工作保持與組織戰略目標的高度一致而不至于發生審計目標的偏離。

—COBIT可以幫助審計部門與管理層、IT部門達成共識，并提供了彼此之間有效溝通的共同語言。

—COBIT將IT工作分解為一系列細化的過程和目標，使得IT管理工作簡易并量化，減輕對信息系統管理工作的復雜性，同時，也為IT審計的實施提供了一個細化的系統化框架，使得IT審計易于操作實施。另外，還可以利用COBIT提供的責任矩陣分解框架，做到基于角色的IT審計。

我國商業銀行IT審計任重道遠

相較于以上公認的IT審計國際標準，當前國內多數商業銀行的IT審計尚有較大差距，尤其是在以下幾個方面還存在明顯不足。

專業人力資源匱乏。各銀行雖然近年來引入了一些IT人員。但受多年以來慣性和存量的影響，內審人員絕大多數都是財會、經濟專業出身，IT技術專業出身的審計人員數量很少，一般占比在4%以下，與需要承擔的IT審計工作量和工作難度相比，數量和專業能力缺口很大。

經驗不足。多年來我們對財會、信貸等傳統業務審計已積累了豐富經驗，基本有成例可循，而IT審計剛剛起步，處處都需要研究、探索。而且，作為被審計對象的財會、信貸等傳統業務本身已經相對成熟穩定，而IT技術進步日新月異，新產品層出不窮，銀行應用系統更迭頻繁，即便是已有的審計經驗也往往不過兩年就會過時。

工作負荷和工作難度大。大型商業銀行在用系統往往達近百個，且新系統上線不斷，加之銀行應用系統規模龐大、技術架構復雜，IT專業分工又日趨細致，要對其實施全面、深入、定期的審計困難極大。

審計規范體系有待建立。雖然個別銀行制定了IT審計規程、IT審計方案，但是或者比較粗略，或者尚不夠全面，完備、細致的IT審計規范體系有待建立。

審計內容有待深化和擴充。目前國內銀行內審部門所實施的IT審計一般都局限于系統開發、系統運行的操作控制和流程控制層面，而缺少從IT治理高度針對銀行IT組織架構、運行機制的高層次的審計，缺少對信息系統績效的審計，缺乏更復雜、更為專業的信息系統應用控制審計等。

我國IT審計改進要點

對照上述國際IT審計標準，目前國內商業銀行IT審計工作的重點應當是圍繞業務這個中心，制訂一套開放的IT審計規范體系，明確審計領域及目標，確定業務、IT和審計人員共同接受的審計標準，并遵從一致的方法和程序組織實施。建議主要采用以下步驟來實現。

以業務為中心規劃IT審計領域

商業銀行的IT因業務而存在，離開業務需求IT也就失去了在商業銀行的存在價值。IT技術能力在使用IT資源的同時也創造了新的IT資源，作為一個資源整體為運營能力提供支持，通過提高業務能力實現業務收益。業務對IT的需求是自上而下的，始于增加銀行收益的業務目標，終于技術能力的實現;反之，IT價值的實現則是自下而上的。因此，IT審計的首要目標是確保IT能合理保證業務目標的實現，以業務為中心，以風險為導向規劃IT審計領域，確定IT審計內容。主要包括規劃與組織、獲取與實施、交付與支持、監督與評價是IT審計的四大領域。

以流程為組件確定IT審計范圍

審計領域為IT審計指明了方向，確立了以業務為中心的總體審計目標，在具體實施中，還應進一步細分，以識別相對獨立的IT流程，歸納出4個領域的33個流程，主要包括:在規劃與組織領域分為戰略規劃、信息架構、技術方針、組織架構、財務管理、管理目標貫徹、人力資源管理、質量管理、風險評估與管理和項目管理等流程。在獲取與實施領域分為可行性研究和需求分析、應用系統開發與維護、基礎設施、運營知識保障、IT資源采購、變更管理、系統測試與發布等流程。在交付與支持領域分為服務水平管理、供應商管理、容量和性能管理、業務持續性計劃、信息安全管理、IT成本確認與分攤、用戶培訓、服務臺管理、配置管理、問題管理、數據管理、物理環境管理和運營管理等流程。在監督與評價領域分為IT業績評價、內部控制評價和IT合規性等環節。

在不同審計項目中，可根據流程相關性及風險評估結果選擇關鍵IT流程作為具體審計內容;每個流程又細分為若干項活動，對應于IT流程內的工作階段或子流程，每項活動在流程內按順序編號，審計人員可據此確定詳細的審計范圍及審計程序。

以控制為基礎設計IT審計程序

控制是指為合理保證IT目標的實現，預防、檢查和糾正非預期事件的發生所制定的一系列政策、規程、實務和組織架構。一旦設定了流程的控制目標，內部控制系統應持續檢查流程結果等控制信息，并在出現偏差時及時采取糾正措施。控制目標為IT流程提供了一系列完整的高層需求，在用于管理層對流程進行有效控制的同時，也可用于審計人員檢查流程的運行效果及效率。商業銀行的內部控制系統在以下三個層次上影響IT:首先，高級管理層設定銀行業務目標、制定政策，對如何部署和管理資源做出戰略決策。IT控制環境受控于這些高層目標和政策。其次，業務流程層控制具體的業務活動。許多業務流程與IT應用系統進行了整合，這些流程中的控制也多數嵌入到業務應用系統中，稱為應用控制，如:信息完整性、準確性、有效性、授權、職責分離等。雖然應用控制需要IT職能予以支持進行設計和開發，但其建立和管理都是業務部門的職責。再次，為支持業務流程，IT通常采用共享服務的方式為多個業務流程提供IT服務。這些嵌入IT流程、應用于所有IT服務的控制措施稱為一般控制，如:系統開發、變更管理、信息安全、計算機運行等。一般控制的可靠運行是應用控制可靠性的必備條件。

以風險為導向組織IT審計實施

以風險為導向的審計方法，就是把風險意識貫穿到審計的全過程，該方法同樣適用于IT審計。采用這種方法實施審計，依賴于審計師對風險的認識和對IT內部控制的分析，有助于審計師把對控制所做的成本效益分析與已知風險相結合，做出最佳判斷。換句話說，審計中不能只考慮固有風險、控制風險和檢查風險的大小，還要看這些風險是否對業務有真正影響，而且要考慮控制成本是否低于風險危害可能造成的損失，并通過審計程序把審計風險降低到可接受水平。

(作者單位:中國建設銀行審計部中國建設銀行山東總審計室)