銀行開展信息技術審計的現狀、難點及策略思考

摘 要：銀行信息技術審計是由其相對獨立的內審部門，通過對信息系統及信息科技內部控制和流程的審查，揭示信息科技管理和操作中存在的問題，并評價信息科技管理目標實現情況，從而判斷信息系統能否保證組織的資產安全、數據完整、支撐業務發展且風險可控，進而采取措施促進信息科技符合組織戰略目標。從目前已開展的信息技術審計項目實施情況看，其中存在一系列制約信息技術審計有效實施的難點和問題，因此，需要在實踐中不斷提升應對策略以對其進行改進和完善。本文在分析銀行信息技術審計實踐的現狀和難點的基礎上，對有助于提升審計質量的信息技術審計策略做了較為深入細致的探討。

關鍵詞：信息技術風險管理；信息技術審計；審計策略

中圖分類號：F239.1 文獻標識碼：A 文章編號：2096-4706（2019）02-0194-03

Abstract：Information technology audit of banks is a relatively independent internal audit department. Through reviewing the internal control and process of information system and information technology，it reveals the problems existing in the management and operation of information technology，and evaluates the achievement of information technology management objectives，so as to judge whether information system can guarantee the safety and number of assets of an organization. According to the integrity，support business development and risk control，and then take measures to promote information technology in line with organizational strategic objectives. From the current implementation of information technology audit projects，there are a series of difficulties and problems that restrict the effective implementation of information technology audit. Therefore，we need to constantly improve the response strategies in practice to improve and perfect them. Based on the analysis of the current situation and difficulties of bank information technology audit practice，this paper makes a thorough and detailed discussion on the information technology audit strategy which can help to improve the audit quality.

Keywords：information technology risk management；information technology audit；audit strategy

1 審計現狀

隨著互聯網金融時代的到來，近年來，銀行重要業務運行及管理均納入信息系統的管控之下。為保證這種管控符合組織目標，各銀行內部都組織開展了信息技術審計，其主要圍繞領域、機構、系統三個維度，穩步開展信息技術一般控制審計、信息技術應用控制審計以及信息安全審計等項目，其審計對象和范圍主要涉及以下幾個方面。

1.1 從管理維度看

信息技術審計主要關注信息科技治理、風險管理、信息安全、信息系統開發測試、信息系統運行維護、業務連續性、信息技術外包等七個領域，并基本履蓋系統整個生命周期。

1.2 從機構維度看

信息技術審計主要關注信息科技風險管理的第一道防線和第二道防線，包括總行級科技管理部門、軟件開發中心、數據中心、風險管理部、內控與法律合規部以及各一級分行等。

1.3 從系統維度看

信息技術審計主要關注會計核算系統、信貸管理系統、報表系統等基礎系統。近年來，各銀行根據業務發展和國家政策導向，對大數據平臺、互聯網金融、信用卡等業務系統也逐步開展了專項審計。

在上述審計中，銀行內審部門以風險為導向，圍繞“審什么”和“怎么審”，制定了審計操作模板，覆蓋審計控制域與控制點兩個層面，明確審計內容、審計方法和審計依據，可以實現審計過程的標準化和規范化；在審計實踐中，銀行能夠根據業務反饋的風險點，初步判斷應用系統控制效果，并通過訪問測試和系統輸入輸出驗證權限控制的合理性、數據處理的準確性。與此同時，銀行信息技術審計在專業能力、審計視角、日常監測及整改落實等方面仍存在嚴重不足，這在一定程度上限制了信息技術審計工作質量的提升和審計成果的價值實現。銀行信息技術審計的不足主要體現在以下方面：一是專業能力不足導致重點審計域專項審計缺失。近年來開展的信息科技審計工作尚未觸及互聯網金融、零售及中間業務等新型業務領域的管理盲區，同時，由于審計能力不足，信息科技審計對上述業務領域的信息系統的代碼質量、壓力測試、投產變更、開源軟件、影子信息技術等控制點也未涉足。二是信息科技審計僅局限于技術細節而缺乏管理視角。其對重要信息系統，管理體系層面，第一、二道防線的履職關注不夠，溝通不足，缺乏管理視角和全行視角，僅局限于技術細節，“就事論事”，未能將具體風險事項與信息技術管理活動結合來揭示戰略規劃落實、體制機制、制度流程等背后的深層次問題和風險。三是日常風險監測及后續整改措施落實不到位。信息系統風險監測團隊配備不足，系統風險日常監測缺位。受知識水平限制，銀行內審團隊與審計對象信息科技部門和風險管理部門缺乏溝通，對信息科技自評估報告和風險監測報告利用不足，無法及時獲取被查行系統風險及相應的風險應對措施。對信息科技審計項目后續整改跟蹤機制落實不足，未有效開展后續整改與跟蹤工作。

2 審計難點

2.1 項目規劃方面

系統失效是銀行風險的重要組成部分。相關統計數據表明，銀行信息系統失效風險占銀行總風險的10%-20%，并且這個數字還會隨著銀行信息化的深入而逐步增大。但目前，銀行內部審計人員普遍沒有掌握信息系統風險評估技術，風險有多大、影響有多深、預估損失有多大，都無法從客觀上估量，其評估存在主觀取舍的成份。在制定審計規劃、計劃及方案時缺乏科學依據，對重點審計域、風險控制點無法準確界定。

2.2 數據獲取方面

除信息技術服務臺外，現有信息技術管理系統較少，且服務臺數據結構化不強，無法導入內部審計系統，致使審前分析無數據可用。在現場審計中，審計人員往往只能根據被審計單位提供的統計數據、書面文件或會計核算資料等進行查證。這種審前及審中數據分析的缺失，一方面無法保證審計數據的真實性和準確性，致使審計人員陷入了反復核實數據正確性的困境，另一方面又使得內審人員始終無法跳出會計核算的局限，無法在信息技術審計更高的層次和更深的領域發揮作用。

2.3 技術手段方面

信息技術自動化監控工具、系統測試工具、源代碼掃描工具等專業性較強，現有審計人員相關知識水平尚不能達到熟練應用的程度，更無法從中獲取信息進行分析查證。信息系統知識的儲備嚴重不足，技術手段的掌握嚴重滯后，使得審計人員對信息技術風險的存在及影響范圍界定不夠準確，因而不能從整體和全局層面揭示風險。

2.4 問題整改方面

開展信息系統審計的基本目標是揭示信息科技管理和操作中存在的問題，評價信息科技管理目標實現情況，督促被審方采取強有力的審計整改措施和手段來提升信息科技管理水平。但相對于財務、信貸等大型業務審計項目，被審計單位對信息技術審計的整改不夠重視，往往將審計查出的問題歸咎于技術處理不當，沒有真正理解“現象在下面，根子在上面”的信息技術特點，沒有將技術問題與背后的管理活動相結合，導致問題整改治標不治本，屢查屢犯，信息科技管理始終停留在低水平層面，從根本上違背了開展信息系統審計的初衷和目的。

3 應對策略

3.1 緊抓信息技術審計數據建設，逐漸形成完備的審計方法體系

針對目前銀行內部信息技術審計缺乏相關數據的問題，筆者建議將科技本身的管理系統信息如信息技術服務臺的監測數據進行結構化處理后完整納入到內部審計系統，通過全量數據分析發現審計線索。同時，突出問題導向，持續開發信息技術審計方法查勘型，成熟一個推廣一個，螺旋上升，逐漸形成信息技術審計方法體系。在信貸、財務等業務非現場審計中發現的數據異常問題，可以作為線索移交給信息技術審計部門，以進一步確定是系統架構、業務邏輯問題，還是運維操作問題。

3.2 追溯應用系統規劃、實現，從源頭防范和化解風險

在“就事論事”的基礎上，追溯上游規劃和開發，不僅可以促進信息技術風險的標本兼治，還可以使信息科技資源得到充分利用，實現風險與績效同行。信息技術活動的主體是信息系統，除系統、網絡等固有風險外，下游運維階段的數據安全、人工干預、控制薄弱等問題也源于上游的系統架構。因此，追溯應用系統規劃、實現，從源頭防范和化解風險，十分必要。而普遍存在的科技人員不足問題可以通過信息系統的整合、優化得以有效緩解。

3.3 完善信息技術審計技術手段

完善信息技術審計技術手段主要是完善系統穿透測試工具、源代碼掃描工具、信息技術審計鉤等專用審計工具的操作使用模板。信息技術審計技術手段是信息技術審計中獨有的技術手段，包括源代碼審計、日志審查、滲透測試及測試數據等，而大多數審計人員的相關知識儲備都遠遠不足，迫切需要完備的、專業的、簡明易懂的操作手冊來指導信息技術審計實踐。通過依托上述專業化工具，對系統日志、安全性日志、應用程序日志、數據庫日志等進行專業分析，可以發現審計線索，追溯信息技術風險事件及事故產生原因，最終查實系統控制缺陷，從而占領信息系統風險控制的制高點。

3.4 做實與科技部門、風險部門第一道和二道防線的溝通

銀行可采取定時或不定時方式，例如會議、材料以及科技管理監控系統交流等，與科技部門、風險部門第一道和二道防線進行溝通，從而了解情況，監測風險。從業務驅動到系統開發、運行維護、災備管理等整個系統生命周期來理解信息系統，科學制定審計計劃和方案，防范管理盲區，著力提高審計質量；同時與被審計對象一道，落實整改督導和跟蹤措施，完善整改后的評估機制，促成審計成果的價值實現。

4 結 論

信息技術審計作為風險管理體系的第三道防線，在銀行全面風險管控中發揮著越來越重要的作用。對信息技術審計現狀、問題以及策略進行分析，進一步規范和加強信息技術審計，既是銀行自身為保障全行信息科技水平符合業務發展目標的需要，也是內外部監管當局對銀行各項信息科技活動合規性的要求。

參考文獻：

[1] 吳晶.等級保護“安全審計”應用實現 [J].信息網絡安全，2013（8）：6.

[2] 林樂宇，劉磊，王石，等.MUIS：一種新型的多領域信息共享聯盟系統及其應用 [J].計算機研究與發展，2008（4）：684-694.

[3] 陶星，李衛華，汪中飛.基于知網的可拓領域信息元庫的構建方法 [J].智能系統學報，2015，10（5）：790-796.

[4] 李勇.跨領域信息共享實施過程管理分析 [J].電子技術與軟件工程，2015（4）：13.

[5] 師新宇.開展信息系統審計的思路及應用 [J].現代工業經濟和信息化，2015，5（12）：82-84.

作者簡介：王翎艷（1970.09-），女，重慶人，高級會計師，研究生，研究方向：IT。