中國郵政儲蓄銀行開展信息系統審計面臨的問題和對策

[摘要] 中國郵政儲蓄銀行信息化程度越來越高，面臨著嚴峻的信息科技風險，全面開展信息系統審計勢在必行。本文全面分析了郵儲銀行開展信息系統審計工作面臨的困難，有針對性地提出推進信息系統審計的對策和建議。

[關鍵詞] 郵政儲蓄銀行；信息系統審計；對策；建議

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2012）21- 0030- 02

1 中國郵政儲蓄銀行信息系統審計現狀

自2007年3月中國郵政儲蓄銀行（以下簡稱郵儲銀行）成立以來，企業的信息化程度不斷提高。信息科技已經成為郵儲銀行穩健運營和發展的重要支柱。但是，郵儲銀行對信息系統的依賴性也越來越強。信息系統在帶來效益、效率的同時，也帶來了巨大的風險，局部的故障極易引發銀行業務交易失敗甚至整個系統的癱瘓。目前郵儲銀行業務運營的特色就是數據大集中、業務大集中、信息科技風險大集中。因此，積極開展信息系統審計，有效防范信息科技風險已成為郵儲內審工作的現實需要。

盡管郵儲銀行內審部門積極配合信息科技部門在科技管理和安全控制方面做了大量工作，各項控制措施不斷得以完善和加強。但是，郵儲銀行的信息系統建設還存在一些薄弱環節，如重硬件投資建設，輕軟件設計應用；重網絡安全，輕信息安全；重被動防御，輕主動防御等，安全與應用結合薄弱，難以滿足發展需求。郵儲銀行的信息系統審計工作起步較晚，信息系統審計在具體的實施過程中存在諸多問題。

2 中國郵政儲蓄銀行信息系統審計實踐中面臨的困難

2.1 信息系統審計的制度尚不完善

從國家層面來看，信息化條件下的審計方法、審計對象和審計技術都發生了很大變化，現行審計制度已不能滿足金融機構信息技術發展的需求。從郵儲銀行自身來看，信息系統審計尚處在探索起步階段，沒有建立統一的行業標準和實務操作指南。這一切都影響了郵儲銀行信息系統審計工作的開展以及信息系統審計的效果。郵儲銀行審計人員也缺乏對信息系統審計方面的理論研究和實踐探索。

2.2 信息系統審計控制措施有待提高

一方面，郵儲銀行信息系統審計的控制措施落實程度不夠，信息技術人員的主動性和積極性有待進一步加強，預防性控制措施所占的比重較小，糾正性控制和檢查性控制所占的比重較大；另一方面，郵儲銀行現行的信息系統控制措施在連續性和一致性方面存在缺陷，業務運行部門的良好控制措施可能會因為信息系統開發部門的控制措施不完善而不能起到預期的控制效果，反之亦然。

2.3 信息系統審計技術比較落后

信息技術的高速發展和廣泛應用，使得企業的交易事項大部分由計算機系統自動完成，人工操作痕跡比較少，傳統的審計線索蕩然無存，充分適當的審計證據很難搜集。這就要求郵儲銀行的信息系統審計必須參與和融入信息系統建設整個生命周期的所有活動中去，包括信息系統的開發、設計、運行和維護等。但是在實際工作中，由于現有審計技術的局限性，審計人員完全處于被動地位。雖然郵儲銀行的審計人員也在逐步使用一些計算機輔助審計技術，但只停留在對被審計部門的電子數據進行處理階段。從性質上來講，仍然屬于對事后工作成果檢查性的控制和審查，沒有充分發揮信息系統審計的真正作用。

2.4 信息系統審計專業人才匱乏

信息系統審計對審計人員素質要求比較高。從新加坡發展銀行和美國大通銀行的信息系統審計組織框架和人員配備上看，信息系統審計由于涵蓋了軟件開發、項目投產、運行維護的全過程，包含了信息系統生命周期的所有階段，因此信息系統審計機構設置基本采用在總審計師領導下，與業務審計兩條線并列的模式，人員專業化分工明確，技術水平要求也較高，懂信息技術人員的比例一般占審計人員的30%～50%。而郵儲銀行內審人員大多從原來的業務稽查崗位劃轉而來，在信息化技術的使用上還存在著欠缺；新招聘的人員，雖然具備財會和計算機等專業知識，但對銀行業務卻不甚了解，造成目前審計人員欠缺計算機專業知識，計算機人才欠缺審計知識的“兩難”局面。郵儲銀行內審人員在數量和質量上與國內外同業相比，均有不小的差距，成為制約郵儲銀行推進信息系統審計的瓶頸問題。

3 郵儲銀行推進信息系統審計工作的對策建議

3.1 建立國際標準框架下的信息系統審計標準與規范體系

從國際同行的經驗來看，大多數國際商業銀行都在自己的信息系統審計體系下，遵循著一套行之有效的國際標準或規范。如COBIT、BS7799、COSO、ITIL等。郵儲銀行也要按照國際通常做法，結合本行實際，確立自己的信息系統審計標準與規范；同時，進一步明確信息系統審計的技術角色，強化信息系統審計的技術特色，結合本行的審計資源，把信息系統審計技術角色分為應用、系統、網絡與硬件、管理4個大類。不同的技術角色分別負責信息系統生命周期中不同階段的不同領域的控制、分析和評價，確立風險控制的重點，建立相應的風險評估指標，切實提高郵儲銀行信息系統審計的專業化水準。

3.2 建立全方位的信息系統審計管理體系

目前，郵儲銀行在對信息系統進行安全評價時，主要側重反病毒、防火墻、系統備份等技術方面，而對信息系統審計在信息系統控制、風險管理以及公司治理中的作用沒有給予足夠的重視。因此，郵儲銀行要努力落實銀監會頒布的《商業銀行信息科技風險管理指引》具體要求，一方面，做好基礎設施建設，科學設計和切實落實安全防護措施；另一方面，要重視信息系統內部審計的作用，抓緊完善公司治理機制，建立信息系統風險控制委員會，定期對信息系統風險管理情況進行研究，推進信息系統審計工作中故障發現、風險評估和風險防范措施的落實，督促指導信息系統審計人員的工作。從信息系統審計的對象來看，信息系統審計既包括軟硬件系統，也包括對銀行的業務持續性審計，以及信息系統項目的組織、策劃、服務管理等諸多方面，因此郵儲銀行應借鑒其他商業銀行開展信息系統審計的經驗，其信息系統審計團隊要由信息系統專家、銀行業務專家、咨詢專家等多方面的人員組成，主要的審計人員應具備信息系統審計師資格，以保證郵儲銀行信息系統審計工作高效運行。

3.3 推廣先進的審計技術，建立科學的信息系統審計模式

從國際銀行業界開展信息系統審計的模式來看，借助先進技術進行非現場審計已是大勢所趨。郵儲銀行現階段開展信息系統審計，應根據本行信息系統發展現狀，將現場審計和非現場審計有效結合，合理配備審計資源，采用靈活的、可配置的審計模型及數據分析探測工具，構建科學、有效的風險識別、監測和評估體系；具體實施時，應從接近傳統審計模式的制度審計、內部控制審計入手，逐步向系統內部深入；同時也要注意加強風險管理，規避信息系統審計風險；在關注重要性的同時，力求效益性，防止因審計不當，導致新的風險產生。

3.4 培養信息系統審計專業人才

信息系統審計專業人才培養是信息系統審計發展的前提和基礎，也是一項長期的、系統性的工作。在具體實施時，可以考慮以下4個方面的內容。

一是專業人才的引進。從信息系統審計實踐看，具有信息科技背景的人員和業務精通的人員是現實工作最需要的。因此，在人才引進方面應該兼顧兩個方面的需求。

二是信息系統審計職業認證培訓。職業認證培訓相對成熟，可使審計人員獲得全面、系統的知識，在組織內形成基礎的知識共同體，以達成共同的認知和充分的溝通。郵儲銀行可以分批組織審計人員參與CISA（信息系統審計師）認證培訓，提高專業素質。

三是信息科技專業培訓。在認證培訓的基礎上，還應利用內部資源，在信息科技專業方面進行培訓，如網絡、操作系統、信息安全、應用系統等方面，以確保審計人員對本行信息科技充分了解。

四是專業化分工。由于銀行信息科技的日趨復雜，信息系統審計內部的專業化分工是必然的選擇。專業化分工可使郵儲銀行內審人員專注于某個領域，提高專業深度，有效地提高其信息系統審計的履職能力。

3.5 構建信息系統審計知識共享平臺

鑒于信息科技自身發展迅速，郵儲銀行內審部門需要構建信息系統審計知識共享平臺。該平臺應該包括信息系統審計的審計標準、流程、測試點、審計案例等內容，并由專門人員進行維護，在全行審計條線內進行共享。這樣做可以幫助審計人員更好掌握審計理念、技術和方法，為審計人員提供良好的溝通協作平臺，保證了流程的規范性；同時也為審計人員提供了方便安全的證據查閱機制，為審計報告提供了量化參考，方便了內部審計和管理。

主要參考文獻

[1]田佳林.信息系統審計簡述[J].中國鄉鎮企業會計，2012（5）.

[2]羅鋒，時文綺.城商行IT審計發展研究[J].金融電子化，2011（10）.

[3]熊晏鋒.關于信息系統審計的思考[J].電腦知識與技術，2011（26）.