關于商業銀行IT審計的思考

呂思杭

摘要：隨著信息技術的迅猛發展和成熟，商業銀行傳統的管理和服務模式發生了深刻的變化，手工模式已經基本被取代，信息技術已經滲透到了商業銀行經營管理的各個層面，開展獨立的IT審計已成為發展趨勢。本文就審計和IT治理的目的，提出改進的初步建議。

關鍵詞：IT審計；IT標準；風險控制

一、IT審計的發展歷史

（一） IT審計的歷史和發展

IT審計起源于上世紀六十年代，IT審計的雛形初步形成。八十年代，IT審計得到社會重視。九十年代，對信息技術和IT審計的深度思考，IT審計得到了前所未有的重視和空前發展，并日趨成熟。

（二）IT審計的對象、范圍

IT審計是獨立于信息系統本身、信息系統相關開發、使用人員的第三方，采用客觀的標準對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。IT審計的審計對象涵蓋整個信息系統所有活動和中間產物，并包括信息系統實施相關的外部環境。

（三）IT審計的標準

目前，IT審計方面的國際標準主要有COBIT（信息及相關技術控制目標）、COSO（內部控制整體框架）、ITIL（基礎架構服務管理最佳實踐標準）等幾種；其中最為IT審計界廣為接受的標準是COBIT（信息及相關技術控制目標），它是當前國際上公認最先進、最成熟的IT控制和審計高層框架。COBIT將IT工作分解為一系列細化的過程和目標，為IT審計的實施提供了一個細化的系統化框架，使得IT審計易于操作實施。

二、我國商業銀行IT審計現狀和存在的主要問題

（一）國內商業銀行IT審計現狀

1.從無到有發展完善中。近年來，數據大集中以后，信息科技人員在科技管理和安全控制上都做了大量的工作，取得了很好效果。在從粗放型控制轉為精細型控制的進程中，學習國外先進經驗，逐步引用國際標準，各項控制措施不斷完善和加強。

2.金融法規逐步完善。隨著大數據時代的來臨，商業銀行信息系統的建設規模不斷擴大，為識別化解系統失效風險，完善控制措施，銀監會對銀行科技風險進行監管的一系列制度和措施日趨完善。

3.IT審計與業務緊密結合。IT審計的范圍基本覆蓋了信息系統建設生命周期中的所有IT活動，包含了各種技術平臺和軟件開發，項目投產，系統遷移、切換、運行維護等全過程。由于IT已經滲透到銀行業務的各個領域，因此IT審計與業務審計緊密結合，利用IT技術輔助進行業務審計以及將IT與業務緊密結合在一起進行綜合審計，都是IT審計的重要內容。

4.IT審計以風險為基礎。

IT審計以風險為基礎，與公司治理形成了良性互動關系。商業銀行IT審計已從傳統的后臺支持轉變為業務競爭的籌碼，IT審計功能是否健全是監管當局決定對金融企業監管關注程度的重要因素。

（三）商業銀行IT審計存在的問題

1.信息系統審計控制措施存在問題。現有的信息系統控制措施在連續性、一致性上存在欠缺，控制良好的生產運行部門可能因上游開發部門的控制不完善而不能產生預期的控制效果，控制措施落實程度不夠，主動性和積極性的發揮有待于進一步加強。

2.IT審計標準流程規范有待完善。多數商業銀行還未參照國際上標準制定適合本行的IT審計標準，在實施IT審計時依賴內審人員個人水平發揮，缺乏系統性、規范性。

3.審計軟件的實用性和通用性較弱。國外審計軟件件具有強大的數據存取、訪問和報告功能。而國內審計軟件功能比較簡單，數據分析功能則較差，通用性還很不理想，軟件的實用性不強。

4.IT審計專業人才匱乏。由于IT審計固有的復雜性，這項工作需要具備會計、審計、組織管理和計算機、網絡技術等綜合知識的復合型人才，專業性人才人數遠遠不能滿足信息系統審計業務的需求。

三、商業銀行IT審計的提升

（一）以商業銀行經營需求為導向，完善IT治理架構

隨著信息技術在商業銀行普遍、深人的應用，其信息系統的正常運行已經成為銀行業務正常運營的最基本的條件之一。IT審計在這場變革中，要把握方向，形成IT審計框架，促進IT治理，推動公司治理。

（二）借助審計平臺，提升IT審計水平。

根據各商業銀行自己的信息系統技術體系及IT審計資源，構建合適的IT審計平臺。一是引入專業審計軟件提高IT審計效能和質量。銀行內部的信息系統越來多，也越來越復雜，通過引入適用的審計工具軟件提高IT審計的效率。利用計算機輔助審計技術處理信息系統的配置檢查、日志檢查及安全測試，高效地篩選出IT審計所需的可疑風險點已是IT審計的發展趨勢。二是建設一個高起點的審計管理信息系統。充分使用現有審計手段和信息系統，構建通用的管理信息系統工作平臺，為IT審計及業務審計提供強有力的數據挖掘、預警提示及信息管理職能，為非現場和現場審計提供一體化支持。

（三）推行風險管理，開展以風險為導向的IT審計。

現階段，在復雜的信息系統技術和管理環境下的IT審計無疑是有一定審計風險的。因此，IT審計更要重視風險管理，規避審計風險，在注重重要性的同時，要講究效益性，這也是在今后相當長的時間里要充分重視的。采用以風險為導向的審計方法，其前提是建立風險評估程序，即參照國際和國內的業界標準或自身經驗，使用標準的方法對信息技術每個領域的風險重要程度進行評估分級，根據分級結果來確定審計頻率和深度。以風險為導向的IT審計使審計人員能夠在對風險全面監控的基礎上集中審計資源于高風險領域，確保了審計對風險的控制質量。

（四）IT審計與非現場審計相結合，互相促進。

在IT審計執行過程中，通過采用靈活的、可配置的審計模型、風險指標及數據分析工具，對銀行的信息科技風險進行持續監測和預警，形成科學有效的風險分析、監測和評價體系。及時糾正和制止危及銀行健康發展的風險因素，保障信息系統安全、穩健運行。設計的審計指標要同時具有量化和可比性特征，能夠真實反映銀行信息科技現狀和風險水平。需要強調的是，在利用信息化手段開展IT審計、提高效率的同時，還需要保持與現場審計相結合，將獲得的客觀數據同主管判斷相結合，利用不同審計模式下獲得的成果，進行互補，以求獲得最大的審計效益。

（五）加快IT人才的選拔和培養

擁有一批IT專業人才是做好IT審計的基礎，也是提升我行IT審計水平的保證。從現有審計人員中把具有IT工作經驗和IT技術知識的人員挑選出來，積極推動審計部門與業務部門的人員流動，吸引更多的IT專業人才進入審計部門，充實IT審計隊伍。加強IT審計培訓，提高審計人員風險識別、IT審計技巧等方面的內容，增強IT審計能力。

五、結論

隨著商業銀行電子化進程的飛速發展，IT技術在銀行業務發展中的重要性不斷增大，IT審計的發展及管理己成為廣泛的共識。IT審計必須圍繞經營需求，以風險為導向，借鑒先進的國際IT審計標準，建立國際標準框架下的具有各國有商業銀行特色的IT標準和規范體系，為商業銀行信息系統健康運行保駕護航，最終降低經營風險。

參考文獻：

[1]胡克瑾.IT審計[M].北京：電子工業出版社，2002.

[2]徐亞非.IT審計金融行業趨勢[J].軟件世界，2009，（11）.

[3]中國工商銀行內部審計局課題組.關于商業銀行IT審計的研究[J].金融論壇，2005，（11）.