在线客服

咨询热线

商业银行IT审计的国际经验及借鉴

作者: 张 辉 冀慎华

  当前,信息技术已经渗透到商业银行经营的各个层面,其在为业务提供技术支撑和保障的同时,相关风险也在急剧加大。近年来,随着越来越多的金融舞弊与犯罪案件发生在IT相关领域,国内各商业银行逐步认识到IT审计的重要性,并开始加强IT审计力度;但相对于传统审计和国外情况,目前我国商业银行的IT审计仍处于初级阶段,本文通过介绍国外IT审计的先进经验,对国内商业银行的IT审计提出改进的初步建议。
  国际IT审计已有公认标准
  商业银行是IT应用最广泛和深入的行业,鉴于信息系统对业务及运营管理的支撑作用,发达国家的商业银行非常重视IT审计,多数在内审部门设立专门的IT审计机构,其工作量约占内审工作的1/3。在审计内容安排上,其范围基本覆盖了信息系统生命周期中的所有IT活动,包括基础设施和应用软件的开发、上线、运行、维护等过程;将IT审计与业务审计结合起来开展综合审计;一些大型银行还针对系统特殊事件开展专项审计,评价IT项目风险。
  目前,国际上最为IT审计界广为接受的标准是“信息及相关技术控制目标”(COBIT),它是美国信息系统审计与控制协会(ISACA)发布的IT治理及审计标准。COBIT从体系化、标准化的高度,构建了关于信息系统投资、建设、控制、评价、审计的知识体系和方法论,在业务风险、控制需求和技术问题之间架起了一座桥梁,以满足管理的多方面需要。COBIT是当前国际上公认最先进、最成熟的IT控制和审计高层框架,已在100多个国家的重要组织与企业中得到应用。
  COBIT的主要目标是面向业务,其框架设计基于以下原理:提供实现业务目标所需的企业信息,企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源,提供服务以交付所需的企业信息。管理并控制信息是COBIT框架的核心,这有助于确保IT与业务需求保持一致。COBIT将IT流程、IT资源和业务需求(信息标准)联系起来,构成一个三维体系结构。其中,“信息标准”维集中反映了企业的战略目标,包括信息及信息系统的质量、安全性和可用(信)性;“IT资源”维主要包括人、应用系统、技术、设施及数据在内的信息相关资源,这是IT治理过程的主要对象;“IT流程”维则是对信息及相关资源进行运作的一系列IT活动,涵盖了信息技术规划与组织、获取与实施、交付与支持、监控4个领域、34个过程、318个活动及其控制目标。该标准之所以广受认可是基于如下四个特点:
  ―COBIT为美国信息系统控制与审计协会(ISACA协会,下同)所推出,而ISACA本身就是一个审计师和控制师的组织,其主要目的和动机就是评估IT控制和实施IT审计。依托COBIT实施审计,有其先天的合理性。
  ―COBIT实现了组织的总体战略与IT战略之间的互动,依据COBIT实施审计,有利于IT审计工作保持与组织战略目标的高度一致而不至于发生审计目标的偏离。
  ―COBIT可以帮助审计部门与管理层、IT部门达成共识,并提供了彼此之间有效沟通的共同语言。
  ―COBIT将IT工作分解为一系列细化的过程和目标,使得IT管理工作简易并量化,减轻对信息系统管理工作的复杂性,同时,也为IT审计的实施提供了一个细化的系统化框架,使得IT审计易于操作实施。另外,还可以利用COBIT提供的责任矩阵分解框架,做到基于角色的IT审计。
  我国商业银行IT审计任重道远
  相较于以上公认的IT审计国际标准,当前国内多数商业银行的IT审计尚有较大差距,尤其是在以下几个方面还存在明显不足。
  专业人力资源匮乏。各银行虽然近年来引入了一些IT人员。但受多年以来惯性和存量的影响,内审人员绝大多数都是财会、经济专业出身,IT技术专业出身的审计人员数量很少,一般占比在4%以下,与需要承担的IT审计工作量和工作难度相比,数量和专业能力缺口很大。
  经验不足。多年来我们对财会、信贷等传统业务审计已积累了丰富经验,基本有成例可循,而IT审计刚刚起步,处处都需要研究、探索。而且,作为被审计对象的财会、信贷等传统业务本身已经相对成熟稳定,而IT技术进步日新月异,新产品层出不穷,银行应用系统更迭频繁,即便是已有的审计经验也往往不过两年就会过时。
  工作负荷和工作难度大。大型商业银行在用系统往往达近百个,且新系统上线不断,加之银行应用系统规模庞大、技术架构复杂,IT专业分工又日趋细致,要对其实施全面、深入、定期的审计困难极大。
  审计规范体系有待建立。虽然个别银行制定了IT审计规程、IT审计方案,但是或者比较粗略,或者尚不够全面,完备、细致的IT审计规范体系有待建立。
  审计内容有待深化和扩充。目前国内银行内审部门所实施的IT审计一般都局限于系统开发、系统运行的操作控制和流程控制层面,而缺少从IT治理高度针对银行IT组织架构、运行机制的高层次的审计,缺少对信息系统绩效的审计,缺乏更复杂、更为专业的信息系统应用控制审计等。
  我国IT审计改进要点
  对照上述国际IT审计标准,目前国内商业银行IT审计工作的重点应当是围绕业务这个中心,制订一套开放的IT审计规范体系,明确审计领域及目标,确定业务、IT和审计人员共同接受的审计标准,并遵从一致的方法和程序组织实施。建议主要采用以下步骤来实现。
  以业务为中心规划IT审计领域
  商业银行的IT因业务而存在,离开业务需求IT也就失去了在商业银行的存在价值。IT技术能力在使用IT资源的同时也创造了新的IT资源,作为一个资源整体为运营能力提供支持,通过提高业务能力实现业务收益。业务对IT的需求是自上而下的,始于增加银行收益的业务目标,终于技术能力的实现;反之,IT价值的实现则是自下而上的。因此,IT审计的首要目标是确保IT能合理保证业务目标的实现,以业务为中心,以风险为导向规划IT审计领域,确定IT审计内容。主要包括规划与组织、获取与实施、交付与支持、监督与评价是IT审计的四大领域。
  以流程为组件确定IT审计范围
  审计领域为IT审计指明了方向,确立了以业务为中心的总体审计目标,在具体实施中,还应进一步细分,以识别相对独立的IT流程,归纳出4个领域的33个流程,主要包括:在规划与组织领域分为战略规划、信息架构、技术方针、组织架构、财务管理、管理目标贯彻、人力资源管理、质量管理、风险评估与管理和项目管理等流程。在获取与实施领域分为可行性研究和需求分析、应用系统开发与维护、基础设施、运营知识保障、IT资源采购、变更管理、系统测试与发布等流程。在交付与支持领域分为服务水平管理、供应商管理、容量和性能管理、业务持续性计划、信息安全管理、IT成本确认与分摊、用户培训、服务台管理、配置管理、问题管理、数据管理、物理环境管理和运营管理等流程。在监督与评价领域分为IT业绩评价、内部控制评价和IT合规性等环节。
  在不同审计项目中,可根据流程相关性及风险评估结果选择关键IT流程作为具体审计内容;每个流程又细分为若干项活动,对应于IT流程内的工作阶段或子流程,每项活动在流程内按顺序编号,审计人员可据此确定详细的审计范围及审计程序。
  以控制为基础设计IT审计程序
  控制是指为合理保证IT目标的实现,预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。一旦设定了流程的控制目标,内部控制系统应持续检查流程结果等控制信息,并在出现偏差时及时采取纠正措施。控制目标为IT流程提供了一系列完整的高层需求,在用于管理层对流程进行有效控制的同时,也可用于审计人员检查流程的运行效果及效率。商业银行的内部控制系统在以下三个层次上影响IT:首先,高级管理层设定银行业务目标、制定政策,对如何部署和管理资源做出战略决策。IT控制环境受控于这些高层目标和政策。其次,业务流程层控制具体的业务活动。许多业务流程与IT应用系统进行了整合,这些流程中的控制也多数嵌入到业务应用系统中,称为应用控制,如:信息完整性、准确性、有效性、授权、职责分离等。虽然应用控制需要IT职能予以支持进行设计和开发,但其建立和管理都是业务部门的职责。再次,为支持业务流程,IT通常采用共享服务的方式为多个业务流程提供IT服务。这些嵌入IT流程、应用于所有IT服务的控制措施称为一般控制,如:系统开发、变更管理、信息安全、计算机运行等。一般控制的可靠运行是应用控制可靠性的必备条件。
  以风险为导向组织IT审计实施
  以风险为导向的审计方法,就是把风险意识贯穿到审计的全过程,该方法同样适用于IT审计。采用这种方法实施审计,依赖于审计师对风险的认识和对IT内部控制的分析,有助于审计师把对控制所做的成本效益分析与已知风险相结合,做出最佳判断。换句话说,审计中不能只考虑固有风险、控制风险和检查风险的大小,还要看这些风险是否对业务有真正影响,而且要考虑控制成本是否低于风险危害可能造成的损失,并通过审计程序把审计风险降低到可接受水平。
  (作者单位:中国建设银行审计部中国建设银行山东总审计室)

论文来源:《银行家》 2010年第8期
转载注明来源:https://www.xzbu.com/3/view-757612.htm