淺議中小商業銀行基于風險控制的IT審計

申亞君 華夏銀行股份有限公司

前言

改革開放以來，我國社會主義現代化市場經濟發展越來越好，各行各業都取得了較為豐碩的成果，改革開放不僅推動了我國現代化建設的發展，更是直接促進了我國金融業的提升，信息技術的出現以及提升為當前的商業銀行經營和發展帶來了一定的改革和創新，同時也成為商業銀行未來長遠發展必須考慮的重要因素。信息科學技術在為中小商業銀行發展帶來機遇的同時也帶來了一定的困難，越來越多的商業銀行對于現代化信息系統依賴性越來越強，現代化的科技信息技術既能夠為商業銀行的發展帶來一定的便利和滿足，同時也存在著各種各樣的風險和隱患。

一、當前我國中小商業銀行風險控制發展現狀

近些年來我國社會主義現代化市場經濟發展越來越好，各個商業銀行也取得了快為較為迅速的成果，然而近年來不少商業銀行信息科技安全事故卻此起彼發，比如2014年6月24日某農商銀行機房內發生了電路故障，導致了嚴重的火災，機房內的大部分設備都受到了損壞，2015年5月8日某城市的商業核心數據庫發生了故障，造成該銀行柜面以及渠道業務長時間中斷。

以上的幾起案件都充分暴露出當前我國社會主義現代化發展過程中部分商業銀行信息科技管理存在的諸多隱患以及風險，對于現代化商業銀行來說，信息系統的安全性和科學性具有非常重要的影響，一旦系統發生故障錯誤或者喪失功能的時候，將會對銀行的日常業務進行造成一定的損失和后果，繼而引發一系列的重大問題。

基于種種事件的發生，因此我國開始借鑒發達國家先進的IT審計理念，通過系統訪問控制審計和系統運行控制神器等各種現代化技術方法，及早發現銀行內控制度漏洞以及管理過程中存在的薄弱環節。在發現問題的同時，現代化IT審計能夠及時的提出合理的解決措施，有效地識別和規避風險，對所依賴的信息以及信息系統進行安全科學的合理，這樣保證中小型商業銀行的系統運行安全穩定。同時通過現代化IT審計，可以有目的的加強對銀行內部的控制和監管，不斷提高銀行企業自身的信息服務質量。

二、It審計風險以及重要性

It審計風險的定義我們可以理解為在審計過程中并沒有發現信息錯漏以及可能存在的重大錯誤所產生的風險。It審計風險主要包括檢查風險，整體審計風險，控制風險固有風險等等。

1.固有風險

顧名思義，固有風險就是指it活動在缺乏固執的情況下產生錯誤的操作，從而引發出一系列重大錯誤的風險。

固有風險的范圍非常廣泛，具體可以分為制度建設不合理帶來的風險、缺乏現代化獎懲措施帶來的風險、沒有制定與監管要求相適應的管理方法和規章制度所帶來的風險、不重視信息科學技術帶來的風險信息科學技術理念不充足帶來的風險。同時在開發測試運營存檔以及員工自律行為方面，也有可能產生不同程度的控制風險。

此外在日常運營過程中，如果缺乏監察力度也會造成不同程度的風險，在發現員工存在違規行為時，如果并沒有及時采取有效的懲罰產生政策作用，也會產生一定的審計風險，此外，員工的技能必須要與商業銀行的義務發展相匹配，否則也會帶來不必要的風險。

2.控制風險

控制風險是指IT活動相關的內部控制系統并不能及時有效地預測出存在的故障以及錯誤從而所產生的風險。

常見的控制風險包括系統數據帶來的風險以及網絡環境帶來的風險和系統控制風險。在進行數據輸入的時候一定要進行嚴格的控制，否則會造成相關的數據錯誤。系統環境風險包括硬件環境風險以及軟件環境風險兩種，一方面是因為計算機系統本身的復雜性以及信息系統的網絡化所帶來的風險，另一方面是由于計算機設備的多樣化帶來的風險。

3.檢查風險

檢查風險的含義是指通過預定的審計系統未能發現其中存在的錯誤所帶來的風險。常見的檢查風險主要分為審計管理、風險審計技術風險以及人員操作過程中出現的風險。

三、中小商業銀行信息科技內部審計面臨的問題

1.審計人員不足

當前在中小型商業銀行審計工作進行過程中，普遍存在著IT審計崗位編制不足、審計人員專業能力不夠、專業技術理念不強的現象。在以往的工作進行過程中，大多是針對業務的審計，并沒有對信息科技方面進行重視，也缺乏兩者之間的相互結合，而信息科技內部審計力量的薄弱極大地制約了信息科技內部審計的有效性和科學性。

2.缺乏規范的IT審計辦法

大多數中小型商業銀行在進行it審查時只是對目標檢查，并沒有制定出科學合理的現代化審計方法，對銀行信息科技風險管理姓鄭的認識和經驗不足，在進行IT審計過程中并不知道從哪里開展工作，也無法把握到IT審計工作的重點，從而很難發現其中存在的問題和缺陷。

3.It審計手段落后

當前大部分審計部門并沒有專門的審計平臺以及專業工具，因此對于某些重要的業務系統沒有辦法進行及時準確的審計，某些情況下也會過分的依賴科技部門，導致審計工作的效率降低。

三、如何采取行之有效的風險控制審計技能辦法

1.善于從業務部門以及it事件推動內部控制體系建設工作

It風險防控不能僅僅依靠科技部門，而是要銀行內部所有部門的共同參與和密切配合，審計對象也不僅僅只局限于科技部門，必須要通過對業務部門的訪談和了解，共同分析科技部門是否按照業務部門的需求進行相關的開發，開發工作是否落到實處。在重要業務系統使用以及日常安全管理方面，我們要善于發現工作過程中的漏洞以及缺陷，比如在客戶敏感信息的保護方面需要進行重點的關注和審計，不斷增強銀行內部的IT風險防范意識。對于科技部門，我們要善于將it突發事件作為實際工作開展的入口，既要關注事件的處理過程以及結果，更要對事件進行總結，獲取相關的經驗。

2.抓住審計重點，強化應急管理

對于中小型商業銀行來說，進行IT審計必須要果斷抓住審計重點，梳理銀行過程中的風險關鍵點，通過風險點揭示，以此來找出技術和管理層面上的問題和不足。此外必須要加強應急管理，強化在審計過程中制定出應急的預案，關注It突發事件之后的應急響應和處理。

3.協同工作形成合力

審計部門的It審計崗位與科技部門的內控崗必須要相互交流和協作，根據銀行實際發展現狀，創建出一套科學合理的現代化審計框架以及控制目標。在IT控制點與風險庫的建立方面，應該不斷發揮主觀能動性，找準每個控制點以及相應的風險敞口。

四、結束語

中小型商業銀行要想不斷控制IT審計的風險、取得更好的發展，必須要不斷重視其審計方法、審計理念以及審計制度的創新和整理，不斷降低風險，促進行業發展。