張　震　張云志

2007年10月，某商業(yè)銀行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進行，此事故持續(xù)了兩個小時，在證券交易收盤后才恢復正常。事實上，交通銀行、工商銀行、建設銀行和招商銀行去年都曾發(fā)生因IT風險導致的系統(tǒng)故障問題，充分暴露出我國銀行業(yè)信息系統(tǒng)的脆弱性，如上現(xiàn)象的出現(xiàn)令人擔憂。

按照國際慣例，核心業(yè)務系統(tǒng)主機容量使用率超過60％就需要擴大系統(tǒng)容量，國內(nèi)很多銀行都已超過了這個指標。5家大型銀行核心業(yè)務系統(tǒng)主機容量平均使用率為67％。個別銀行核心業(yè)務系統(tǒng)主機容量峰值使用率甚至達到了90％。在這種負載飽和的情況下。哪怕是再增加很少的業(yè)務量，也可能成為壓跨駱駝的最后一根稻草。

分析現(xiàn)在銀行業(yè)的信息系統(tǒng)建設和信息技術發(fā)展，從最初的柜面單機到聯(lián)機實時處理，再到今天的全國數(shù)據(jù)集中，信息技術逐步集中管理是一個必然的發(fā)展趨勢。銀行業(yè)均已擁有各自的IT系統(tǒng)，IT系統(tǒng)的建設和穩(wěn)定運行逐漸成為保障業(yè)務持續(xù)運行的關鍵，此時內(nèi)部審計的重點也應隨之傾向于對信息系統(tǒng)的審計(以下簡稱“IT審計”)。由于IT審計在當今國內(nèi)仍屬新興的審計領域，其專業(yè)性較強。沒有一套完整的標準或準則可循，加之與國際銀行業(yè)存在一定的管理理念差距，無法直接引人國際化的IT審計準則?；谌粘５墓ぷ鲗嵺`，筆者結合軟件工程和項目管理的一些觀點及方法，提出幾點建議和設想供參考。

1IT審計項目的組織形式

現(xiàn)在信息系統(tǒng)的項目多采用項目經(jīng)理制，筆者參考信息技術項目的管理模型，將項目組織形式分為：

(1)職能型的項目組織形式

在職能型項目組織中，項目經(jīng)理只是項目管理團隊中的一員，沒有正式的管理授權，他僅僅起告知團隊其他成員要完成工作的作用：項目實施組織界限不是十分明確，其成員完成項目中需本職能完成的任務，同時沒有脫離原來的職能部門，而項目實施的工作多屬于兼職的性質。

(2)單列式的項目組織形式

在單列式的項目組織中，項目經(jīng)理有正式的授權負責該項目。項目團隊通常有專門的工作場地與其正常的辦公場地相分離，項目組之間保持相對獨立。人員相對固定。

(3)矩陣式項目組織形式

在矩陣項目組織中，項目經(jīng)理和部門領導都有管理職權。項目經(jīng)理在項目內(nèi)容和時間方面對職能部門行使權力，而各職能部門決定如何支持。項目經(jīng)理要直接向最高管理層負責。并由最高管理層授權。職能部門對各種資源做出合理的分配和有效的控制調(diào)度。職能部門的負責人既要向他們的直接上司負責，也要對項目經(jīng)理負責。

筆者認為單列式的項目組織和矩陣式項目組織方式比較適合現(xiàn)階段的銀行業(yè)IT審計。IT審計需要成立并且人員相對固定的審計項目組。實施項目經(jīng)理各級負責制。在項目組內(nèi)部根據(jù)審計目標和審計內(nèi)容劃分各專業(yè)審計小組，制定規(guī)范詳細的具體實施方案，明確相關人員的任務和職責，共同完成審計任務。

2IT審計項目目標確立和IT審計體系建設

與其他類型的審計一樣，IT審計項目目標制定的前提是得到管理層的認可和批準，其最終目標也是最大限度地實現(xiàn)企業(yè)價值最大化。

IT審計的審計目標非常靈活，控制目標范圍較大，不易劃分和確定，因此必須建立成熟的IT審計規(guī)范體系，將要控制的內(nèi)容或目標區(qū)域化，每個區(qū)域制定具體的查證方法和測試步驟。在IT審計目標制定時，必須得到高級管理層的支持，必須能夠及時反饋管理層關心的問題，密切結合信息技術發(fā)展趨勢和銀行業(yè)實際應用情況，保證風險較大的區(qū)域或環(huán)節(jié)予以關注。

同時審計目標的確立，可以借鑒和參考信息科學的項目管理觀點，目標必須是確定的、可度量的、可完成的、中肯的和符合既定時限的(即SMART原則)。

IT審計規(guī)范體系建設可以參考國際一些成熟的IT審計體系。筆者建議以COBIT(信息和相關技術的控制目標)作為基礎框架。COBIT是建立于全球范圍內(nèi)IT專家的專業(yè)實踐經(jīng)驗上，在國際上被廣泛接受的一個基于風險的IT控制標準，基本上對IT方面所有的流程實現(xiàn)了覆蓋并進行了區(qū)域化。

對信息技術項目管理審計，筆者適合采用的是CMMI(綜合能力成熟度模型)框架。CMMI是一套為業(yè)界公認的流程改進模型，其關注軟件開發(fā)流程的績效、生產(chǎn)率、成本和相關方滿意度等方面的問題，其所關注的效益問題是銀行業(yè)關心的重點之一。

3IT審計發(fā)展的幾點建議和設想

今后的IT審計發(fā)展，筆者認為首先要建立層次分明的IT審計組織架構，分工和職責明確，協(xié)同配合；其次建立基于風險為導向的審計體系和審計流程，關注IT流程的一般性控制和應用控制，力爭覆蓋IT管理的各個環(huán)節(jié)，全面防范IT風險，并對存在風險較大的環(huán)節(jié)予以關注，合理地分配審計資源；三是在IT審計方面采用了大量先進IT審計工具，建立了詳細的測試知識庫和問題庫，密切結合了以往審計發(fā)現(xiàn)，兼顧信息系統(tǒng)和IT管理流程的審計覆蓋程度(采用矩陣管理方式)，與負責的IT條線管理部門進行積極溝通，統(tǒng)籌安排IT審計項目；四是通過合理調(diào)配人員解決了IT審計人員的技術水平差距問題，提高全體人員整體的IT審計水平。向咨詢性和建設性高級審計階段發(fā)展，保證內(nèi)部審計為銀行業(yè)發(fā)展保駕護航的積極作用。