張　震　張?jiān)浦?/p>

2007年10月，某商業(yè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進(jìn)行，此事故持續(xù)了兩個(gè)小時(shí)，在證券交易收盤后才恢復(fù)正常。事實(shí)上，交通銀行、工商銀行、建設(shè)銀行和招商銀行去年都曾發(fā)生因IT風(fēng)險(xiǎn)導(dǎo)致的系統(tǒng)故障問題，充分暴露出我國(guó)銀行業(yè)信息系統(tǒng)的脆弱性，如上現(xiàn)象的出現(xiàn)令人擔(dān)憂。

按照國(guó)際慣例，核心業(yè)務(wù)系統(tǒng)主機(jī)容量使用率超過60％就需要擴(kuò)大系統(tǒng)容量，國(guó)內(nèi)很多銀行都已超過了這個(gè)指標(biāo)。5家大型銀行核心業(yè)務(wù)系統(tǒng)主機(jī)容量平均使用率為67％。個(gè)別銀行核心業(yè)務(wù)系統(tǒng)主機(jī)容量峰值使用率甚至達(dá)到了90％。在這種負(fù)載飽和的情況下。哪怕是再增加很少的業(yè)務(wù)量，也可能成為壓跨駱駝的最后一根稻草。

分析現(xiàn)在銀行業(yè)的信息系統(tǒng)建設(shè)和信息技術(shù)發(fā)展，從最初的柜面單機(jī)到聯(lián)機(jī)實(shí)時(shí)處理，再到今天的全國(guó)數(shù)據(jù)集中，信息技術(shù)逐步集中管理是一個(gè)必然的發(fā)展趨勢(shì)。銀行業(yè)均已擁有各自的IT系統(tǒng)，IT系統(tǒng)的建設(shè)和穩(wěn)定運(yùn)行逐漸成為保障業(yè)務(wù)持續(xù)運(yùn)行的關(guān)鍵，此時(shí)內(nèi)部審計(jì)的重點(diǎn)也應(yīng)隨之傾向于對(duì)信息系統(tǒng)的審計(jì)(以下簡(jiǎn)稱“IT審計(jì)”)。由于IT審計(jì)在當(dāng)今國(guó)內(nèi)仍屬新興的審計(jì)領(lǐng)域，其專業(yè)性較強(qiáng)。沒有一套完整的標(biāo)準(zhǔn)或準(zhǔn)則可循，加之與國(guó)際銀行業(yè)存在一定的管理理念差距，無法直接引人國(guó)際化的IT審計(jì)準(zhǔn)則?；谌粘５墓ぷ鲗?shí)踐，筆者結(jié)合軟件工程和項(xiàng)目管理的一些觀點(diǎn)及方法，提出幾點(diǎn)建議和設(shè)想供參考。

1IT審計(jì)項(xiàng)目的組織形式

現(xiàn)在信息系統(tǒng)的項(xiàng)目多采用項(xiàng)目經(jīng)理制，筆者參考信息技術(shù)項(xiàng)目的管理模型，將項(xiàng)目組織形式分為：

(1)職能型的項(xiàng)目組織形式

在職能型項(xiàng)目組織中，項(xiàng)目經(jīng)理只是項(xiàng)目管理團(tuán)隊(duì)中的一員，沒有正式的管理授權(quán)，他僅僅起告知團(tuán)隊(duì)其他成員要完成工作的作用：項(xiàng)目實(shí)施組織界限不是十分明確，其成員完成項(xiàng)目中需本職能完成的任務(wù)，同時(shí)沒有脫離原來的職能部門，而項(xiàng)目實(shí)施的工作多屬于兼職的性質(zhì)。

(2)單列式的項(xiàng)目組織形式

在單列式的項(xiàng)目組織中，項(xiàng)目經(jīng)理有正式的授權(quán)負(fù)責(zé)該項(xiàng)目。項(xiàng)目團(tuán)隊(duì)通常有專門的工作場(chǎng)地與其正常的辦公場(chǎng)地相分離，項(xiàng)目組之間保持相對(duì)獨(dú)立。人員相對(duì)固定。

(3)矩陣式項(xiàng)目組織形式

在矩陣項(xiàng)目組織中，項(xiàng)目經(jīng)理和部門領(lǐng)導(dǎo)都有管理職權(quán)。項(xiàng)目經(jīng)理在項(xiàng)目?jī)?nèi)容和時(shí)間方面對(duì)職能部門行使權(quán)力，而各職能部門決定如何支持。項(xiàng)目經(jīng)理要直接向最高管理層負(fù)責(zé)。并由最高管理層授權(quán)。職能部門對(duì)各種資源做出合理的分配和有效的控制調(diào)度。職能部門的負(fù)責(zé)人既要向他們的直接上司負(fù)責(zé)，也要對(duì)項(xiàng)目經(jīng)理負(fù)責(zé)。

筆者認(rèn)為單列式的項(xiàng)目組織和矩陣式項(xiàng)目組織方式比較適合現(xiàn)階段的銀行業(yè)IT審計(jì)。IT審計(jì)需要成立并且人員相對(duì)固定的審計(jì)項(xiàng)目組。實(shí)施項(xiàng)目經(jīng)理各級(jí)負(fù)責(zé)制。在項(xiàng)目組內(nèi)部根據(jù)審計(jì)目標(biāo)和審計(jì)內(nèi)容劃分各專業(yè)審計(jì)小組，制定規(guī)范詳細(xì)的具體實(shí)施方案，明確相關(guān)人員的任務(wù)和職責(zé)，共同完成審計(jì)任務(wù)。

2IT審計(jì)項(xiàng)目目標(biāo)確立和IT審計(jì)體系建設(shè)

與其他類型的審計(jì)一樣，IT審計(jì)項(xiàng)目目標(biāo)制定的前提是得到管理層的認(rèn)可和批準(zhǔn)，其最終目標(biāo)也是最大限度地實(shí)現(xiàn)企業(yè)價(jià)值最大化。

IT審計(jì)的審計(jì)目標(biāo)非常靈活，控制目標(biāo)范圍較大，不易劃分和確定，因此必須建立成熟的IT審計(jì)規(guī)范體系，將要控制的內(nèi)容或目標(biāo)區(qū)域化，每個(gè)區(qū)域制定具體的查證方法和測(cè)試步驟。在IT審計(jì)目標(biāo)制定時(shí)，必須得到高級(jí)管理層的支持，必須能夠及時(shí)反饋管理層關(guān)心的問題，密切結(jié)合信息技術(shù)發(fā)展趨勢(shì)和銀行業(yè)實(shí)際應(yīng)用情況，保證風(fēng)險(xiǎn)較大的區(qū)域或環(huán)節(jié)予以關(guān)注。

同時(shí)審計(jì)目標(biāo)的確立，可以借鑒和參考信息科學(xué)的項(xiàng)目管理觀點(diǎn)，目標(biāo)必須是確定的、可度量的、可完成的、中肯的和符合既定時(shí)限的(即SMART原則)。

IT審計(jì)規(guī)范體系建設(shè)可以參考國(guó)際一些成熟的IT審計(jì)體系。筆者建議以COBIT(信息和相關(guān)技術(shù)的控制目標(biāo))作為基礎(chǔ)框架。COBIT是建立于全球范圍內(nèi)IT專家的專業(yè)實(shí)踐經(jīng)驗(yàn)上，在國(guó)際上被廣泛接受的一個(gè)基于風(fēng)險(xiǎn)的IT控制標(biāo)準(zhǔn)，基本上對(duì)IT方面所有的流程實(shí)現(xiàn)了覆蓋并進(jìn)行了區(qū)域化。

對(duì)信息技術(shù)項(xiàng)目管理審計(jì)，筆者適合采用的是CMMI(綜合能力成熟度模型)框架。CMMI是一套為業(yè)界公認(rèn)的流程改進(jìn)模型，其關(guān)注軟件開發(fā)流程的績(jī)效、生產(chǎn)率、成本和相關(guān)方滿意度等方面的問題，其所關(guān)注的效益問題是銀行業(yè)關(guān)心的重點(diǎn)之一。

3IT審計(jì)發(fā)展的幾點(diǎn)建議和設(shè)想

今后的IT審計(jì)發(fā)展，筆者認(rèn)為首先要建立層次分明的IT審計(jì)組織架構(gòu)，分工和職責(zé)明確，協(xié)同配合；其次建立基于風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)體系和審計(jì)流程，關(guān)注IT流程的一般性控制和應(yīng)用控制，力爭(zhēng)覆蓋IT管理的各個(gè)環(huán)節(jié)，全面防范IT風(fēng)險(xiǎn)，并對(duì)存在風(fēng)險(xiǎn)較大的環(huán)節(jié)予以關(guān)注，合理地分配審計(jì)資源；三是在IT審計(jì)方面采用了大量先進(jìn)IT審計(jì)工具，建立了詳細(xì)的測(cè)試知識(shí)庫(kù)和問題庫(kù)，密切結(jié)合了以往審計(jì)發(fā)現(xiàn)，兼顧信息系統(tǒng)和IT管理流程的審計(jì)覆蓋程度(采用矩陣管理方式)，與負(fù)責(zé)的IT條線管理部門進(jìn)行積極溝通，統(tǒng)籌安排IT審計(jì)項(xiàng)目；四是通過合理調(diào)配人員解決了IT審計(jì)人員的技術(shù)水平差距問題，提高全體人員整體的IT審計(jì)水平。向咨詢性和建設(shè)性高級(jí)審計(jì)階段發(fā)展，保證內(nèi)部審計(jì)為銀行業(yè)發(fā)展保駕護(hù)航的積極作用。