商業銀行信息科技風險全面審計研究

何連峰　楊疊疊　蘇麗杰　袁美芬

【摘? 要】近年來，商業銀行的業務和規模迅速擴大，信息系統應用不斷深化，而對信息科技的持續投入，又引發對信息科技風險的關注。為進一步推動商業銀行信息科技高質量發展，提升信息科技風險的管理和控制能力，深入有效防范信息科技領域風險，實現商業銀行信息科技的穩定、可靠、可持續發展，依據國內外信息科技風險管理最佳實踐和行業標準，《商業銀行信息科技風險管理指引》和《銀行業金融機構外部審計監管指引》等現有的規范、指引，論文提出必須積極開展商業銀行信息科技風險全面審計，并就發現的問題提示被審計銀行管理層加以整改，以提高我國商業銀行應對信息科技風險的能力。

【關鍵詞】商業銀行；信息科技風險；全面審計

【中圖分類號】F239.4；F832.33? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2023）06-0082-03

1 商業銀行信息科技審計的研究與應用現狀

信息科技審計，是以信息科技風險為導向，通過綜合運用系統化、規范化的方法，檢查評價并改善信息科技風險管理、內部控制和數據治理的效果，促進組織穩健發展和戰略目標的順利實現。

早在1992年美國COSO委員會發布《COSO內部控制整合框架》，該框架已在全球獲得廣泛的認可和應用，其中就通過“信息與溝通”的維度，來保證企業和組織內部控制的有效性。我國對信息系統審計也非常重視，1999年2月，中注協發布了《中國注冊會計師獨立審計具體準則第20號——計算機信息系統環境下的審計》，該準則指出：對于像銀行等信息化程度高、對信息系統依賴大的行業，信息系統審計尤為重要。2009年6月1日，銀監會發布《商業銀行信息科技風險管理指引》提出了商業銀行信息科技風險管理的“三道防線”——信息科技管理、信息科技風險管理、信息科技風險審計。2017年4月，銀監會發布的《關于銀行業風險防控工作的指導意見》（銀監發〔2017〕6號）指出：“加強信息科技風險防控。”綜上所述，在以金融科技為引領的大背景下，商業銀行信息科技風險全面審計重要性變得日益突出。如何高效合理地進行審計，也成為當下商業銀行審計人員的工作重點。

2 商業銀行信息科技風險全面審計的依據

近年來商業銀行外包資源的持續投入，引發了對信息科技外包風險的關注。同時，在以金融科技為引領的大背景下，業務連續性、突發事件風險防范、銀行卡支付敏感信息安全、客戶信息保護仍是銀行業持續關注的重點。此外，隨著數據質量對商業銀行管理價值的不斷提升，數據治理工作在金融科技領域的重要性也不斷提高。中國銀行及銀監會對商業銀行的要求不斷提高，信息科技風險管理相關文件如表1所示。

3 商業銀行信息科技風險全面審計的流程

信息科技審計程序應包括：審計準備、審計實施、審計報告、后續審計等4個階段。

3.1 審計準備

審計準備階段的主要目標是理解農商行信息科技環境和風險偏好，獲取充分的信息以便為其他階段的審計工作做好準備。首先，要了解基本信息，組織結構、業務規劃、信息科技戰略、匯報路徑、信息科技主管部門及職責、信息技術風險管理架構等。其次，明確審計目標與范圍，基于了解基本情況下，進一步優化審計目標和審計范圍。再次，確定審計重點。在確定項目的范圍和目標后，基于基本信息的了解，確定審計重點。最后，編制項目方案，根據工作范圍、審計重點，制定項目實施方案。

3.2 審計實施

審閱審計抽樣樣本，依據恰當的審計標準，通過合理的審計方式，全面識別信息科技管控過程中存在的風險隱患，并提出恰當的改進意見。信息科技風險全面審計工作流程如圖1所示。

審計過程中往往會采用不同的方法應對問題，審計方法主要有人員訪談、資料審查、系統檢查、工具檢測等。

3.2.1 工作內容

①識別控制活動：通過訪談及制度分析，識別各領域中各模塊的控制目標、控制活動，如變更管理包括變更申請、風險評估、變更執行、變更回顧等。②測試控制活動：選擇恰當的抽樣樣本，審閱審計抽樣樣本，依據恰當的審計標準，通過詢問、觀察、查看文檔記錄以及進行穿行測試方法評估控制的有效性，將測試結果記錄在審計底稿中。③問題發現確認：根據審計底稿，分領域按事實、標準、依據、影響、原因、建議等編寫確認書，并進行排序。④溝通審計發現：與被審計人員就審計確認書中事實的真實性、建議的有效性與當事人進行溝通確認，并形成審計報告管理層建議書提交給被審單位管理層。

3.2.2 工作方法

信息科技審計實施過程中，審計人員將在了解和熟悉現有信息科技情況的基礎上，通過與信息科技部門、業務部門的充分溝通并進行綜合分析，找到每個領域的切入點和實施路線圖，通過文檔分析、人工訪談等審計程序發現審計線索，通過場景式測試、流程圖法、案例法等方法進行控制測試，確認證據，提出審計發現和管理建議。

①編制底稿。通過基礎情況的了解，結合監管要求，明確具體審計內容，編寫審計底稿，并與客戶進行確認。

②線索獲取。對所收集的材料進行統計分析，獲取關鍵信息或審計線索。線索獲取及審計要點如表2所示。

③識別控制。從控制角度看，信息科技審計的對象為該行所設計的IT控制，IT控制一般分管理控制、技術控制、物理控制3種，具體如下：管理控制：與監督、報告、程序和流程操作相關的控制，包括政策、程序、人員管理等。技術控制：通過使用技術、設備或裝置來提供的邏輯控制，如防火墻、防病毒、密碼等。物理控制：物理控制包括門鎖、圍墻、閉路電視以及為了以物理方式限制某個設施或硬件而安裝的裝置。通過對制度的分析和關鍵崗位人員的訪談，確定信息科技各個領域的控制措施，具體控制措施如表3所示。

④審計抽樣。審計抽樣是實施控制測試的重要環節，一般分為以下4步進行：首先，確定抽樣測試的目標，即確定要測試哪個控制，測試的目的是什么。其次，確定樣本總體和樣本單位，在確定樣本總體和樣本單位時，要保證樣本總體的相關性和完整性。再次，確定樣本量，依據商業銀行內部情況，對商業銀行信息技術控制環境的初步分析，判斷目前信息科技風險存在較高風險的領域，以確定選取較高風險程度對應的最小樣本量作為抽樣原則。最后，確定抽樣方法，常用的抽樣方法包括隨機選樣、系統選樣和隨意選樣3種。

⑤執行測試。測試過程中，我們將采用場景式審計、數據式審計、案例式審計、流程圖審計、技術檢查等不同審計方法，對控制點的設計及執行有效性進行具體測試，將測試結果記錄在審計底稿中。

⑥獲取證據。通過分析性復核，獲得各類證據。除一般性審計證據外，以電子信息形式存在的審計證據還包括：系統配置，指在信息系統中實現信息系統功能或性能的邏輯或參數配置，如自動計算邏輯和參數表等；系統日志，指信息系統在執行由自動程序或手工觸發的指令或任務時在系統中自動生成的操作記錄；業務數據，指通過信息系統進行業務流程操作時在信息系統中產生的業務交易數據；測試結果，指測試案例選擇及測試收斂情況等。審計證據應當支持審計發現與審計結論。審計證據的時效性在支持審計發現與審計結論時是非常關鍵的因素，審計人員應保證所收集證據的正確性、相關性、時效性及可接受性。

3.3 審計報告

信息科技審計實施后，審計人員針對審計中發現的問題，以充分、可靠的審計證據為依據形成審計意見與建議，通過與當事人及相關負責人就信息科技審計的概況、發現、結論和改進意見進行溝通和交流，最終確定后，正式出具審計報告。

3.4 后續審計

審計人員出具審計報告后，向被審計單位發出管理層建議書，被審計單位要對審計報告提出的問題，認真分析原因，制定整改計劃，落實整改責任，確保在規定的時間內完成整改，并報送整改情況報告。審計人員要根據被審計單位的整改報告情況，適當調整審計重點，進行整改后續審計，跟蹤整改落實情況，確保審計成果充分運用。

4 商業銀行信息科技風險全面審計有效運行的保障措施

4.1 正確認識信息科技風險全面審計

隨著移動互聯網的興起和云計算、大數據等新技術的應用，信息科技已成為推動銀行轉型發展的重要手段。理事會、高級管理層應充分認識新形勢下信息科技所創造的價值和帶來的風險，從戰略高度統一對信息科技的思想認識。增強科技創新意識，逐步改變“信息科技是純技術支撐工具”“信息科技部門的定位即是確保應用系統不間斷運行”的認識，讓科技充分參與決策，真正將其提高到支撐與引領業務戰略、提升核心競爭力的高度。增強科技風險管理意識，把信息科技風險管理工作提高到戰略高度、全局高度，將信息科技風險控制前移，將之前的單純技術防范轉變為主動的信息科技風險管控，從而變被動防范為主動預防。

4.2 推進業務與信息科技的融合

從長遠角度加強頂層設計，明確發展方向、制定發展戰略，適應業務發展對規劃調整速度的需求。構建靈活、穩健、可擴展的企業級應用架構體系，加強應用架構集中管控和設計，以快速適應市場需求和業務需求的變化。推動業務部門與信息科技部門建立良性互動、密切協同的成熟的合作伙伴關系，建立定期、高效的信息科技與業務協同機制，集思廣益、達成共識，提升業務部門滿意度。制定大數據戰略規劃，明確數據管理職責，突破部門壁壘，促進跨部門信息規范共享，提升數據應用能力。

4.3 加大信息科技投入

加強信息科技隊伍建設，持續加大科技人員的配備力度，確保人員數量、技術能力與其建設、維護管理的信息系統規模相適應，健全科技人員的激勵與約束機制，提高科技人員積極性和執行力。重視信息科技自身能力建設，一方面切實加大信息科技培訓力度，提升信息科技人員能力；另一方面可適當引入外部專業機構，協助“練好內功”。加大信息科技基礎設施投資力度，開展IT多活架構轉型升級，實現數據中心多活、應用多活、數據多活，提高重要業務系統和關鍵基礎設施的冗余能力。加大對前瞻性、創新性研究和應用探索的投入，全方位開展科技創新。

4.4 健全信息科技風險管理體系

將風險管理貫穿到信息科技活動全生命周期的各環節，營造全員參與、主動參與的風險文化，全面提升信息科技風險管理合規意識。提高軟件質量，加強開發過程管理，完善測試管理，強化版本管理，從源頭上控制生產風險。針對物理環境、網絡、系統、應用、終端及數據等安全保護對象，層層布防，以應對各種安全威脅。構建網絡安全態勢感知平臺，動態監測分析網絡流量和網絡實體行為，準確把握網絡威脅的規律和趨勢，提升應對重大網絡威脅和突發事件的能力。加強客戶信息保護，將客戶信息保護工作提升到金融消費者保護層面進行統籌考慮，構建覆蓋客戶信息全生命周期的保護體系，保護客戶信息全生命周期的安全。全面管控外包服務風險，以“信息科技管理責任不外包”為原則，通過強化準入管理、外包商選擇、合同管理、人員管理、服務監控等環節加強信息科技外包管理，逐步降低對外包的依賴程度，同時應避免出現長期依賴單一外包商的被動局面。

【參考文獻】

【1】Anagnostopoulos， I. Fintech and regtech： Impact on regulators and banks[J].Journal of Economics and Business，2018（100）：7-25.

【2】Earley C. E. Data analytics in auditing： Opportunities and challenges[J].Business Horizons，2015，58（5）：493-500.

【3】德陽銀行股份有限公司.以風險為導向 以內控為主線全面開展中小商業銀行信息科技審計[J].中國內部審計，2017（07）：40-43.

【4】劉雷，徐如雙.大數據環境下商業銀行內部審計增值功能發揮路徑思考[J].中國內部審計，2022（10）：26-31.

【5】解培.大數據背景下銀行業信息化建設與信息科技風險管理研究——評《銀行大數據應用》[J].中國科技論文，2022，17（08）：949.

【6】陳偉.金融科技風險審計：現狀與展望[J].中國注冊會計師，2020（09）：72-74.

【7】陳偉，李曉鵬，居江寧.基于大數據技術的信息系統用戶及權限管理審計研究[J].中國注冊會計師，2019（02）：74-79.

【8】劉慶鍇.城商行信息科技審計方法探討與實踐[J].國際商務財會，2018（03）：75-76+96.

【9】佚名.健全機制 加強管理 提升銀行信息科技風險防控水平[EB/OL].https：//ishare.iask.sina.com.cn/f/34LHY6GN3zZ.html，2017-09-28/2023-01-18.

【10】卓育強.政務信息系統審計研究[D].廣州：廣東財經大學，2020.

【11】高云祥.信息化建設績效審計初探[J].全國商情（理論研究），2013（06）：39-40.

【基金項目】中國智能財務研究院重點科研課題“智能財務發展的數字化基礎環境研究”（項目編號：2021IFRI05）。

【作者簡介】何連峰（1979-），男，黑龍江雞西人，高級會計師，研究方向：智能財務、財務舞弊。