1、1商业银行信息科技内部审计初步探讨【摘要】中国银监会不断细化深入信息科技风险监管工作,信息科技内部审计作为商业银行重要的信息科技风险审计手段,应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。本文分析了当前商业银行在信息科技内部审计方面存在的困难,并提出了相应的应对措施与建议。 【关键词】信息科技 内部审计 信息化 2000 年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列, “科技兴行” 、 “科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商
2、业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。 继 2006 年中国银监会发布银行业金融机构信息系统风险管理指引将信息科技风险纳入商业银行风险管理范畴后,2009 年银监会又正式发布商业银行信息科技风险管理指引 (下文简称指引 ) ,进一步加强商业银行信息科技风险管理。2012 年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。 2一、信息科技内部审计范围 指引提出了商业银行 IT 风险管理的“三道防线” ,即 IT 管理、
3、IT 风险管理和 IT 风险审计。IT 风险审计作为第三道防线分为内部审计、外部审计两方面。按照指引要求,银行内部审计部门应当设立足够资源与具有专业能力的 IT 内部审计人员,并独立于银行的日常活动。商业银行 IT 内部审计应该包括以下三方面: (一)专项审计 专项审计是指对 IT 安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开 IT 专项审计。 (二)全面审计 应定期实施全行范围内的 IT 内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心) 、分行、支行等各个层级,制定全覆盖的 IT 内部审计计划。 (三)重要项目审计
4、 在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。 可以看出,IT 内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行 IT 的方方面面。 二、信息科技内部审计面临的困难 3内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据指引做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。 (一)缺乏 IT 审计人才 银行普遍
5、存在着 IT 审计岗位编制不足、IT 审计人员招聘培养困难、IT 审计人员专业技术能力不强等情况。IT 审计力量的薄弱,极大地影响了 IT 内部审计的成效,甚至会出现 IT 内部审计过分依赖信息科技部门的尴尬局面。 (二)缺乏 IT 审计方法及规范 缺少规范的 IT 审计方法论,缺乏对整个银行信息系统的全局认识,在 IT 内部审计中会存在不知道审什么、不知道怎么审,不容易把握 IT内部审计的重点,无法触及部分风险隐患。 (三)缺乏 IT 审计方向 现阶段银行的 IT 内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。 三、商业银行如何加强 IT 内部审
6、计 面对上述困难与挑战,银行应当充分认识 IT 内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强 IT 审计专业队伍的建设。 1.管理层及信息科技部应当认识到,IT 内部审计作为 IT 风险审计的重要一环,是 IT 风险管理的重要组成部分,应当重视内部 IT 审计部门4及岗位的建立,充分发挥其积极作用。对 IT 内部审计的有效管理,可及时评价 IT 整体风险管理的水平,可对开发项目进行事中控制,分析 IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT 内部审计不是故意“挑错找茬” ,它可以积极发现 IT 潜在的管理疏漏,有效降低 IT 风险发生概率,提
7、高 IT 全员的风险意识和认知。 2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在 IT 风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类 IT 事件的分析、IT 专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解 IT 最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行 IT 工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映 IT 发展中亟待解决的难题,解决信息科技的实际困难。 3.银行应当加强 IT 审计
8、队伍的建设。在内部审计部内设专门的 IT审计岗,有条件的银行可以设立独立的 IT 审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的 IT 审计人才应当掌握较为全面的信息技术,对银行 IT 的各方面都要有所涉猎。加强IT 审计人才的培养和储备。 展望未来,银行信息科技内部审计不能局限于应对监管需求,而应立足于银行战略与业务需求,立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环,建立完善5的信息科技内部审计管理体系,并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用,有意识地引导与加强信息科技部门与内部审计部门的合作共赢,加强信息科技审计专业队伍建设,确保信息科技内部审计真正实现价值,为信息科技的发展提供保障,为银行的发展保驾护航。 参考文献 1徐秀丽.商业银行内部审计对策探讨J.现代商贸工业,2009(18). (编辑:陈岑)
