如何做好銀行業IT審計

　　近年來，因銀行業務流程中對信息系統的依賴程度日益加大，這使得信息系統的固有風險隨著系統的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業銀行信息科技風險管理的第三道防線——信息系統審計（簡稱“IT審計”）在銀行內部控制建設過程中扮演了更為重要的角色。
　　銀行IT審計意義
　　目前，信息系統的正常運行已經成為銀行業務正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風險也愈發突出和集中，信息科技風險控制已成為銀行業風險管理的重要內容，而IT審計作為銀行業風險管理體系的重要組成部分，其重要性和必要性已經日益得到銀行業管理層的關注。同時，國家相關部門對信息系統的管控也越來越重視，自2006年8月發布《銀行業金融機構信息系統風險管理指引》開始，銀監會正式對銀行科技風險進行監管，近年來推出一系列制度和措施（見表1），監管工作逐步走向規范化。通過IT審計來保證和監控全行的信息科技管控對各級監管政策法規的合規性，也成為銀行業實施IT審計的重要目的之一。
　　因此，銀行業加強和規范IT審計，既是自身發展和獲取競爭優勢的內在需要，也是監管當局的外部要求。
　　銀行IT審計標準
　　準確地運用標準和參照，成為順利開展IT審計工作的重要前提之一。
　　COBIT
　　COBIT(Control Objectives for Information and related Technology) 是由信息系統審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權威的安全與信息技術管理和控制的標準，也是目前國際上通用的信息系統審計的標準之一。COBIT是一個基于控制的IT治理模型，其制定的宗旨是跨越業務控制和IT控制之間的鴻溝，從而建立一個面向業務目標的IT控制框架。
　　COBIT本身并非針對IT審計的專門論述，其面向的使用者可以是企業中想通過改善IT過程實現經營目標的管理者，也可以是業務過程的所有者，即用戶，也可以為IT審計師。它在商業風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經被稱作“一個治理和管理企業IT的業務框架”。
　　COBIT4.1版本中經典的體系框架一直為眾多使用者參考使用，它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔（見圖1）。管理指南為每個過程提供了關鍵成功因素、關鍵目標指標和關鍵績效指標等，并根據這些指標對每個過程進行了成熟度模型的劃分；而審計指南，則就審計的控制目標、調查對象、需要掌握的證據及如何進行測試和評估做出了詳細的說明。
　　COBIT4.1版本中的流程參考模型將所有與信息系統相關的活動進行了劃分，主要包括34個流程，分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點和難點，即COBIT中對相關流程和控制目標的描述過于籠統普適，需要使用者結合企業的實際情況和專業經驗進行較大的定制化方可實施。
　　因此，COBIT模型的最大作用是將IT過程、IT資源與企業的策略和目標聯系了起來，保障了企業的IT戰略目標和其業務發展目標的一致性，也在IT管理層、IT技術人員/用戶和IT審計師之間搭建了橋梁。
　　《商業銀行信息科技風險管理指引》
　　近年來，隨著銀監會信用風險、商業風險和操作風險管理指引的發布，以及“巴塞爾協議II”在銀行業內的逐步實施，推動了銀行內部風險管理機制的建立和健全。但是，在全面風險管理的框架下，目前銀行的信息科技風險管理機制滯后于業務風險管理體系的發展，并未建立體系化的風險管控機制，成為了銀行風險管理體系中的短板。這主要體現在，信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規劃依據不充分以及風險監控指標不明確等方面。
　　2009年發布的《商業銀行信息科技風險管理指引》(以下簡稱《指引》)，定義了商業銀行信息科技風險的總體框架，即在當前商業銀行普遍的信息科技現狀下，可能存在的重大信息科技風險的范圍，使商業銀行的風險管理過程，能夠集中精力在相關領域中。
　　《指引》確定了九大管理領域，即：信息科技治理；信息科技風險管理；信息安全；信息系統開發、測試和維護；信息科技運行；業務連續性管理；外包；內部審計；外部審計。這些領域覆蓋了信息科技管理的大多數重要活動，這些活動中存在的風險，可能會對業務產生重大影響，因此對這些領域的風險識別和管理，應當在信息科技風險管理中優先對待。
　　在這九大領域中，IT審計占兩個，分別是內部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標準，銀行可以參考這個標準，開展IT審計工作。
　　IT審計標準選擇
　　實踐中使用的標準遠不止上述兩個，而且，這兩個標準建立本身就參照了很多IT相關的較為成熟的標準。如，COBIT制定時參照的標準就有ISO系列的相關IT技術標準、審計行為準則等等；《指引》其中“信息安全”管理領域的內容建立就是參照信息安全管理體系的國際標準ISO27001。
　　另外，由于信息科技的細分領域眾多，在進行某些細分領域的專項審計或單領域審計時，可以考慮單獨使用某些國際或國內標準作為審計標準，從而達到更深入和專業的目的。比如，在進行信息安全方面的審計時，可參考ISO27001等國際標準或國內標準SSE-CMM；在審計IT運維、IT服務的交付和支持相關領域時，可以考慮采用ITIL作為審計標準；在審計IT內部控制建設相關領域時，還可以采用COSO模型中的描述來比照評估。
　　銀行應當依據自身特點，結合本行信息科技工作的特點以及每次IT審計的目的和范圍，有選擇地采用審計標準，同時，根據本行信息科技工作的水平分階段地來實施標準中的要求。
　　銀行IT審計方法
　　為了提升IT審計工作的效率和效能，實現有效的風險管理，筆者認為商業銀行應當切實開展基于風險的IT審計工作。下面，筆者將介紹一個基于風險的銀行IT審計的典型工作方法。
　　一個基于風險的銀行IT審計工作可以分為六個步驟進行，包括制定審計目標、確定風險領域、制定審計計劃、設計審計程序、執行審計計劃以及出具審計結果和管理建議（見圖2）。其中，“確定風險領域”和“設計審計程序”是最為關鍵的環節。
　　制定審計目標。銀行IT審計委員會確定項目所采用的方法論、框架體系和審計目標，并對審計范圍和資源配置進行說明，同時擬定最終的報告內容范圍。
　　確定風險領域。IT審計人員根據銀行的信息系統現狀，結合銀行的戰略和業務目標，制定出適合的風險框架，包括風險等級的劃分標準以及風險評估模型等。審計人員從信息系統本身的脆弱性和其對業務目標實現的影響兩個維度出發，分析評估銀行各信息系統的風險現狀，從而篩選高風險的信息系統。篩選參考的分析因素和方法可參考圖3進行。
　　制定審計計劃。基于前一階段的風險評估結果和IT審計的關注領域，擬定以風險為導向的內部審計計劃；內部審計計劃在得到銀行管理層最終批準之后，確定各項審計任務所需的資源和具體執行時間。
　　設計審計程序。對計劃進行IT審計的信息系統和其支持的業務流程進行詳細了解和記錄，編制風險和控制矩陣，并針對選定的信息系統和其支持的業務流程分別制定不同層面的審計程序。
　　目前銀行業IT審計比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應用控制和面向計算機環境整體控制三層。具體各層面的審計內容為：
　　銀行管理層面IT控制審計（ELC）：關注銀行的IT治理，合規、IT戰略和規劃。
　　應用控制審計（AC）：關注業務流程中內嵌的信息系統相關控制，以保證信息處理的完整性、準確性、有效性和訪問控制。應用系統控制包括數據控制、業務流程控制、接口控制、系統外控制。
　　計算機環境整體控制（ITGC）：關注與IT相關的管理控制，包括IT運營、基礎設施和流程、信息安全、業務持續性管理和災難恢復、IT基礎設施等方面。
　　這三個層次的劃分將有助于審計人員從多個角度審視銀行的信息科技風險管理工作。
　　執行審計計劃。IT審計人員將根據擬定的審計程序執行現場審計工作，記錄測試結果，對測試結果進行復核和評估，并與相關人員溝通測試發現。在執行過程中，審計人員可以通過佐證性詢問、現場觀察、文件檢查、重新執行和計算機輔助審計技術等五種測試方法的一種或幾種對某項控制活動的運行有效性進行測試。
　　出具審計結果和管理建議。向銀行管理層匯報各項審計發現和風險分析結果，出具最終的內部審計報告，并根據各項審計發現，提出合理的管理建議。
　　銀行業IT審計展望
　　以風險為導向的IT審計
　　在《指引》中，多次提到應基于風險評估結果指導IT審計活動。這反映了銀行業IT審計的發展導向：從原本以合規審計為主，逐步轉變為以風險導向的審計方法；銀行IT審計職能和角色也在過去這些年發生了不少變化，從以合規審計為主的工作，逐漸變成了活躍的內部或外部業務顧問。如前文所述，基于風險的銀行IT審計工作將成為銀行IT審計的主流工作方法。
　　計算機輔助審計技術（CAATs）的廣泛應用
　　計算機輔助審計技術是指審計人員在審計過程和審計管理活動中，以計算機為工具，來執行和完成某些審計程序和任務。它本身并非IT審計師的專利，但筆者認為，它的深層次運用，對于IT審計，尤其是對于海量數據集中管控的銀行業的IT審計，有著更大的作用和待挖掘的潛力。
　　計算機輔助審計包含兩個層次的內容：第一個層次是指在審計業務中利用電子表格、數據庫、字處理常規軟件中的一些功能，或審計人員自編的一些小程序，幫助審計人員計算、復算、復核、分析審計數據，主要目的是節約審計時間、提高效率、增加準確性、減輕勞動量。這一層次，當前的銀行業審計工作基本都已經實現。
　　第二個層次是指利用專門的輔助審計軟件進行項目審計。這個層次也有兩種類型：一是主要用于審計情況匯總。在開展行業審計時，根據審計工作方案，編制專門的審計匯總軟件，自下而上，從審計底稿開始，對審計情況進行逐級匯總。好處在于能全面、準確匯總反映審計情況，防止錯漏和人為調整上報情況，便于統一定性、統一處理。二是主要用于協助審計人員對專門項目，用專門的審計方法進行比較全面、系統的審計。這主要需要通過編制審計程序或軟件來進行，并通過程序或軟件使一個持續的審計證據收集和審計活動成為可能。對于銀行業來說，實施成熟、適用的審計輔助軟件，也成為IT審計的一個發展方向。
　　數據分析（DA）將支持銀行的持續監控與審計
　　數據分析指的是一整套技術、流程與應用工具，運用于持續探索與深入了解以往業務表現，以獲取信息并推進業務發展。其目的是通過廣泛地使用數據、統計與定量分析、解釋與預測模型，并通過基于事實的管理，推動整體決策。目前在制造業、通訊業和零售業等行業中被廣泛運用于分析和決策支持。
　　數據分析在IT審計中的應用，可以理解為計算機輔助審計的一個深層次應用，同時，它也為銀行業IT審計工作帶來了新的發展空間。
　　可以想象，基于數據分析，銀行針對如下風險實施持續監控將成為可能：
　　存貸款利率設置不合理的情況
　　正常情況下計息結息計算錯誤的情況
　　利率或者利息稅調整時計息結息錯誤的情況
　　異常計結息，比如手工計結息的情況
　　長期不動戶違規處理
　　貸款未按規定進行組合撥備和個別撥備
　　存貸款分戶賬與總賬不平的情況
　　金融資產估值錯誤
　　攤余成本計算錯誤
　　票據貼現轉貼現會計核算錯誤
　　涉嫌洗錢的大額交易
　　投資交易違規
　　
　　因此，在IT審計工作中廣泛納入數據分析有助于銀行建立完善的信息化監管體系，并可以幫助銀行準確定位那些在傳統IT審計工作中無法深入剖析的風險區域。
　　筆者對銀行業IT審計框架未來發展的展望如圖5。一方面，從內控角度，一個基于風險的IT審計方法將覆蓋銀行管理層面IT控制、應用控制和計算機整體控制；另一方面，從數據角度，數據分析（DA）將成為未來支持銀行的持續監控與審計的有力工具。
　　（作者系德勤華永會計師事務所合伙