以“八個堅持”推動商業銀行IT審計發展

李艷東

[摘要]本文以習近平總書記“八個堅持”重要論述為切入點，以某商業銀行信息科技（IT）專項審計為例，系統闡述了“八個堅持”推動商業銀行內部審計發展的路徑，為相關工作的開展提供參考借鑒。

[關鍵詞]商業銀行 ? ?信息科技 ? ?審計

《習近平新時代中國特色社會主義思想三十講》第二十九講“努力掌握馬克思主義思想方法和工作方法”涵蓋了實事求是、戰略定力、問題導向、全面協調、底線思維、調查研究、抓鐵有痕、歷史擔當等“八個堅持”，不僅為黨政機關開展工作引領了道路，也為商業銀行內部審計工作指明了方向。

一、堅持實事求是，尋求審計真相

實事求是，是馬克思主義的根本觀點，是中國共產黨人認識世界、改造世界的根本要求，是黨的基本思想方法、工作方法、領導方法。在商業銀行內部審計中堅持實事求是，基礎是查清楚“實事”，即掌握審計證據、確認審計事實;關鍵是弄明白“求是”，即分析背后的成因，并尋求解決方案。

審計人員通過分析業務提交日期到系統上線日期的時間差，發現個別系統上線周期太長，難以滿足業務快速發展的需要，這是“是什么”，屬于實事的范疇。審計組進一步開展成因分析，發現背后存在需求文檔質量低、審批流程環節多、特殊技術人員儲備不足，這是“為什么”，屬于求是的范疇。在此基礎上，審計給出優化開發流程、進行敏捷部署、優化人員梯次等建議，這是“怎么辦”。在審計過程中，必須牢記“是什么”“為什么”“怎么辦”，將實事求是理念踐行到審計查證中，才能從本質上推動內控缺陷的修復，從源頭上推動問題的解決。

二、堅持戰略定力，踐行審計監督

在當今機遇和挑戰并存的社會中，對于立足成為“百年老店”的商業銀行，在戰略方面必須擁有強大定力，并進行精準的預判、科學的決策、高效的落實、及時的糾偏。

審計人員通過分析全行的戰略規劃、任務分解、階段落實情況，發現多個與信息技術相關的核心戰略任務滯后，個別任務無法預測完成時間，存在影響戰略收官的風險。信息技術已經成為商業銀行數字化轉型的發動機，對業務發展由過去的支撐作用轉變為現在的驅動甚至引領作用，管理層對信息科技的重視也達到前所未有的高度。審計人員通過指出戰略落地存在的問題，逐條分析成因，為管理層掌控全局情況、調整資源分布、規劃未來藍圖、調整業務結構、定位精準客群提供了參考和建議。

三、堅持問題導向，挖掘審計價值

內部審計作為商業銀行的“謀士”，必須堅持發現問題、剖析問題、解決問題、化解風險、防患未然，善于對表象問題進行下鉆，探究問題的真相，才能實現審計價值，獲得審計尊嚴。

業務審計人員發現，某業務系統對部分客戶缺乏剛性控制，但并不清楚問題到底出在哪里。IT審計人員帶著疑問在信息科技審計中進行了深挖。通過分析歷次業務需求和查看信息系統的源代碼，最終在數據和代碼層面發現了問題的根源。隨著數字化、智能化時代的到來，商業銀行業務和技術的融合越來越緊密。內部審計過去關注管理是否制度化，現在更多關注流程是否系統化，關注是否可以通過信息系統的硬性控制來規范業務的開展。這需要審計人員既要懂業務又要懂系統，不僅了解系統現在是怎么控制的，還要分析存在哪些改進之處。

四、堅持全面協調，推進審計統籌

全面協調是以習近平同志為核心的黨中央治國理政的鮮明特征，反映了唯物辯證法的根本要求。內部審計作為商業銀行的衛士，必須具備頂層視野、系統思維、統一兩點論與重點論，從全行發展的大局審時度勢處理審計事項。

內部審計經常面對內控設計層面的問題，一方面部門職責存在重疊，另一方面管理存在真空。商業銀行審計部門必須樹立大局觀念，從法人層級思考問題，從全局角度把握風險，搜集各方陳列事實，客觀描述來龍去脈，中立判斷權利責任，深入解讀監管要求，鮮活剖析同業案例，合理提出審計建議，觸發管理層的反思和總結。只要管理層拍板決策，各部門就會高度重視，修復內控缺陷，重新界定責任，開展協同工作，統籌推動審計發現問題后續整改。

五、堅持底線思維，防范審計風險

內部審計作為商業銀行風險管理的“第三道防線”，需要利用專業能力分析判斷發現問題的風險是否在容忍范圍之內，對于監管紅線必須做到零容忍。

為降低因信息系統服務異常導致的重要業務運營中斷風險，快速恢復被中斷業務，保障客戶權益，商業銀行會針對重要信息系統在同城主用機房、災備機房和異地災備部署冗余設備和線路，實現“兩地三中心”高可用的災備體系架構。并且，商業銀行每年都會針對重要場景進行切換演練，驗證災備體系的可用性和完備性。審計人員通過調閱切換演練記錄、分析操作日志、訪談關鍵人員，發現個別系統切換演練不到位，無法真實反映災備中心的實際接管能力。

六、堅持調查研究，尋求審計線索

習近平總書記指出，沒有調查，就沒有發言權。商業銀行內部審計，同樣需要通過調查研究摸清事實真相，把握問題本質，找到解決途徑。

為了獲取某已下線的系統客戶體驗較差的審計證據，審計人員進行了多方面嘗試，包括查閱系統歷史日志記錄，訪談系統開發人員，均沒有取得突破。但是審計人員沒有氣餒，仔細分析各種材料，最終在開發部門的一份工作總結中找到新系統與舊系統的參數對比和客戶體驗差別分析。用彼之矛，攻彼之盾。最終，審計人員確認該系統確實存在客戶體驗差的問題。審計人員之所以報告已經修復的問題是希望組織能夠引以為鑒，避免重蹈覆轍。在充分獲得開發人員的理解后，開發人員向審計人員坦誠交流了此前管理中存在的問題，并與審計人員一起探索審計建議。

七、堅持抓鐵有痕，做實審計積累

空談誤國，實干興邦。商業銀行內部審計必須發揚釘釘子的精神，鍥而不舍，一步一個腳印堅持下去，才能切實做出成效。

為了確認某更新的制度在部分條款上較以往制度有所弱化，審計人員從多方面進行挖掘和探索，包括對事件清單、變更記錄、測試記錄、業務驗收報告等進行關聯分析，將該制度與同業制度進行橫向對比，將該制度與歷史制度進行縱向對比，結合監管的檢查案例進行實證分析，最終取得了令被檢查對象心服口服的審計證據。作為內部審計人員，必須膽大心細，不輕易放過每個細節，并在平時做好點滴線索的積累，才能在現場溝通和確認時做到有理有據、使人信服。

八、堅持歷史擔當，提升審計前瞻

歷史是最好的教科書。商業銀行內部審計同樣需要知古鑒今，借鑒銀行內外部歷史經驗教訓，為行內決策敲醒警鐘，避免管理盲區，防止重蹈覆轍。

根據管理層要求，某行信息技術人員數量將在近年內實現指數式、爆炸性增長。從合規角度看，這并沒什么不妥。但是人員急速擴充，對一個組織而言，必須提前考慮布局各項事宜，才能實現1+1>2的戰斗合力。審計組有必要對技術部門進行提醒。因此，審計組在審計報告中建議，技術部門充分評估和應對團隊擴充后面臨的挑戰，并制定適應銀行現狀的培養機制、崗位結構、梯級建設、激勵約束、員工職業規劃等，穩妥、有序推進銀行信息科技人才戰略的落地實施。唯有善于面向未來、未雨綢繆，內部審計才能做好企業的“謀士”，為組織提供更有建設性的建議，促進提升組織競爭力和市場影響力。

（作者單位：中國財政科學研究院，郵政編碼：100142，電子郵箱：leeyandong@aliyun.com）

主要參考文獻

李巖.針對商業銀行業務部門的IT審計[J].中國內部審計， 2018（11）：43-45

王遠偉，劉永生，任程澤.商業銀行內部IT審計的數理邏輯與審計實踐分析[J].審計研究， 2019（5）：59-67