近年來，因銀行業(yè)務(wù)流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風(fēng)險隨著系統(tǒng)的復(fù)雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴(yán)峻的考驗(yàn)。因此，作為商業(yè)銀行信息科技風(fēng)險管理的第三道防線——信息系統(tǒng)審計（簡稱“IT審計”）在銀行內(nèi)部控制建設(shè)過程中扮演了更為重要的角色。
　　銀行IT審計意義
　　目前，信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風(fēng)險也愈發(fā)突出和集中，信息科技風(fēng)險控制已成為銀行業(yè)風(fēng)險管理的重要內(nèi)容，而IT審計作為銀行業(yè)風(fēng)險管理體系的重要組成部分，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。同時，國家相關(guān)部門對信息系統(tǒng)的管控也越來越重視，自2006年8月發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》開始，銀監(jiān)會正式對銀行科技風(fēng)險進(jìn)行監(jiān)管，近年來推出一系列制度和措施（見表1），監(jiān)管工作逐步走向規(guī)范化。通過IT審計來保證和監(jiān)控全行的信息科技管控對各級監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)實(shí)施IT審計的重要目的之一。
　　因此，銀行業(yè)加強(qiáng)和規(guī)范IT審計，既是自身發(fā)展和獲取競爭優(yōu)勢的內(nèi)在需要，也是監(jiān)管當(dāng)局的外部要求。
　　銀行IT審計標(biāo)準(zhǔn)
　　準(zhǔn)確地運(yùn)用標(biāo)準(zhǔn)和參照，成為順利開展IT審計工作的重要前提之一。
　　COBIT
　　COBIT(Control Objectives for Information and related Technology) 是由信息系統(tǒng)審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，也是目前國際上通用的信息系統(tǒng)審計的標(biāo)準(zhǔn)之一。COBIT是一個基于控制的IT治理模型，其制定的宗旨是跨越業(yè)務(wù)控制和IT控制之間的鴻溝，從而建立一個面向業(yè)務(wù)目標(biāo)的IT控制框架。
　　COBIT本身并非針對IT審計的專門論述，其面向的使用者可以是企業(yè)中想通過改善IT過程實(shí)現(xiàn)經(jīng)營目標(biāo)的管理者，也可以是業(yè)務(wù)過程的所有者，即用戶，也可以為IT審計師。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經(jīng)被稱作“一個治理和管理企業(yè)IT的業(yè)務(wù)框架”。
　　COBIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用，它包括了實(shí)施簡介、實(shí)施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計指南等一系列文檔（見圖1）。管理指南為每個過程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績效指標(biāo)等，并根據(jù)這些指標(biāo)對每個過程進(jìn)行了成熟度模型的劃分；而審計指南，則就審計的控制目標(biāo)、調(diào)查對象、需要掌握的證據(jù)及如何進(jìn)行測試和評估做出了詳細(xì)的說明。
　　COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動進(jìn)行了劃分，主要包括34個流程，分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風(fēng)險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應(yīng)用上的弱點(diǎn)和難點(diǎn)，即COBIT中對相關(guān)流程和控制目標(biāo)的描述過于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實(shí)際情況和專業(yè)經(jīng)驗(yàn)進(jìn)行較大的定制化方可實(shí)施。
　　因此，COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略和目標(biāo)聯(lián)系了起來，保障了企業(yè)的IT戰(zhàn)略目標(biāo)和其業(yè)務(wù)發(fā)展目標(biāo)的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計師之間搭建了橋梁。
　　《商業(yè)銀行信息科技風(fēng)險管理指引》
　　近年來，隨著銀監(jiān)會信用風(fēng)險、商業(yè)風(fēng)險和操作風(fēng)險管理指引的發(fā)布，以及“巴塞爾協(xié)議II”在銀行業(yè)內(nèi)的逐步實(shí)施，推動了銀行內(nèi)部風(fēng)險管理機(jī)制的建立和健全。但是，在全面風(fēng)險管理的框架下，目前銀行的信息科技風(fēng)險管理機(jī)制滯后于業(yè)務(wù)風(fēng)險管理體系的發(fā)展，并未建立體系化的風(fēng)險管控機(jī)制，成為了銀行風(fēng)險管理體系中的短板。這主要體現(xiàn)在，信息科技風(fēng)險治理組織不健全、風(fēng)險管理制度不完善、風(fēng)險處理過程規(guī)劃依據(jù)不充分以及風(fēng)險監(jiān)控指標(biāo)不明確等方面。
　　2009年發(fā)布的《商業(yè)銀行信息科技風(fēng)險管理指引》(以下簡稱《指引》)，定義了商業(yè)銀行信息科技風(fēng)險的總體框架，即在當(dāng)前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風(fēng)險的范圍，使商業(yè)銀行的風(fēng)險管理過程，能夠集中精力在相關(guān)領(lǐng)域中。
　　《指引》確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風(fēng)險管理；信息安全；信息系統(tǒng)開發(fā)、測試和維護(hù)；信息科技運(yùn)行；業(yè)務(wù)連續(xù)性管理；外包；內(nèi)部審計；外部審計。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動，這些活動中存在的風(fēng)險，可能會對業(yè)務(wù)產(chǎn)生重大影響，因此對這些領(lǐng)域的風(fēng)險識別和管理，應(yīng)當(dāng)在信息科技風(fēng)險管理中優(yōu)先對待。
　　在這九大領(lǐng)域中，IT審計占兩個，分別是內(nèi)部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標(biāo)準(zhǔn)，銀行可以參考這個標(biāo)準(zhǔn)，開展IT審計工作。
　　IT審計標(biāo)準(zhǔn)選擇
　　實(shí)踐中使用的標(biāo)準(zhǔn)遠(yuǎn)不止上述兩個，而且，這兩個標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如，COBIT制定時參照的標(biāo)準(zhǔn)就有ISO系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計行為準(zhǔn)則等等；《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國際標(biāo)準(zhǔn)ISO27001。
　　另外，由于信息科技的細(xì)分領(lǐng)域眾多，在進(jìn)行某些細(xì)分領(lǐng)域的專項審計或單領(lǐng)域?qū)徲嫊r，可以考慮單獨(dú)使用某些國際或國內(nèi)標(biāo)準(zhǔn)作為審計標(biāo)準(zhǔn)，從而達(dá)到更深入和專業(yè)的目的。比如，在進(jìn)行信息安全方面的審計時，可參考ISO27001等國際標(biāo)準(zhǔn)或國內(nèi)標(biāo)準(zhǔn)SSE-CMM；在審計IT運(yùn)維、IT服務(wù)的交付和支持相關(guān)領(lǐng)域時，可以考慮采用ITIL作為審計標(biāo)準(zhǔn)；在審計IT內(nèi)部控制建設(shè)相關(guān)領(lǐng)域時，還可以采用COSO模型中的描述來比照評估。
　　銀行應(yīng)當(dāng)依據(jù)自身特點(diǎn)，結(jié)合本行信息科技工作的特點(diǎn)以及每次IT審計的目的和范圍，有選擇地采用審計標(biāo)準(zhǔn)，同時，根據(jù)本行信息科技工作的水平分階段地來實(shí)施標(biāo)準(zhǔn)中的要求。
　　銀行IT審計方法
　　為了提升IT審計工作的效率和效能，實(shí)現(xiàn)有效的風(fēng)險管理，筆者認(rèn)為商業(yè)銀行應(yīng)當(dāng)切實(shí)開展基于風(fēng)險的IT審計工作。下面，筆者將介紹一個基于風(fēng)險的銀行IT審計的典型工作方法。
　　一個基于風(fēng)險的銀行IT審計工作可以分為六個步驟進(jìn)行，包括制定審計目標(biāo)、確定風(fēng)險領(lǐng)域、制定審計計劃、設(shè)計審計程序、執(zhí)行審計計劃以及出具審計結(jié)果和管理建議（見圖2）。其中，“確定風(fēng)險領(lǐng)域”和“設(shè)計審計程序”是最為關(guān)鍵的環(huán)節(jié)。
　　制定審計目標(biāo)。銀行IT審計委員會確定項目所采用的方法論、框架體系和審計目標(biāo)，并對審計范圍和資源配置進(jìn)行說明，同時擬定最終的報告內(nèi)容范圍。
　　確定風(fēng)險領(lǐng)域。IT審計人員根據(jù)銀行的信息系統(tǒng)現(xiàn)狀，結(jié)合銀行的戰(zhàn)略和業(yè)務(wù)目標(biāo)，制定出適合的風(fēng)險框架，包括風(fēng)險等級的劃分標(biāo)準(zhǔn)以及風(fēng)險評估模型等。審計人員從信息系統(tǒng)本身的脆弱性和其對業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的影響兩個維度出發(fā)，分析評估銀行各信息系統(tǒng)的風(fēng)險現(xiàn)狀，從而篩選高風(fēng)險的信息系統(tǒng)。篩選參考的分析因素和方法可參考圖3進(jìn)行。
　　制定審計計劃?；谇耙浑A段的風(fēng)險評估結(jié)果和IT審計的關(guān)注領(lǐng)域，擬定以風(fēng)險為導(dǎo)向的內(nèi)部審計計劃；內(nèi)部審計計劃在得到銀行管理層最終批準(zhǔn)之后，確定各項審計任務(wù)所需的資源和具體執(zhí)行時間。
　　設(shè)計審計程序。對計劃進(jìn)行IT審計的信息系統(tǒng)和其支持的業(yè)務(wù)流程進(jìn)行詳細(xì)了解和記錄，編制風(fēng)險和控制矩陣，并針對選定的信息系統(tǒng)和其支持的業(yè)務(wù)流程分別制定不同層面的審計程序。
　　目前銀行業(yè)IT審計比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應(yīng)用控制和面向計算機(jī)環(huán)境整體控制三層。具體各層面的審計內(nèi)容為：
　　銀行管理層面IT控制審計（ELC）：關(guān)注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃。
　　應(yīng)用控制審計（AC）：關(guān)注業(yè)務(wù)流程中內(nèi)嵌的信息系統(tǒng)相關(guān)控制，以保證信息處理的完整性、準(zhǔn)確性、有效性和訪問控制。應(yīng)用系統(tǒng)控制包括數(shù)據(jù)控制、業(yè)務(wù)流程控制、接口控制、系統(tǒng)外控制。
　　計算機(jī)環(huán)境整體控制（ITGC）：關(guān)注與IT相關(guān)的管理控制，包括IT運(yùn)營、基礎(chǔ)設(shè)施和流程、信息安全、業(yè)務(wù)持續(xù)性管理和災(zāi)難恢復(fù)、IT基礎(chǔ)設(shè)施等方面。
　　這三個層次的劃分將有助于審計人員從多個角度審視銀行的信息科技風(fēng)險管理工作。
　　執(zhí)行審計計劃。IT審計人員將根據(jù)擬定的審計程序執(zhí)行現(xiàn)場審計工作，記錄測試結(jié)果，對測試結(jié)果進(jìn)行復(fù)核和評估，并與相關(guān)人員溝通測試發(fā)現(xiàn)。在執(zhí)行過程中，審計人員可以通過佐證性詢問、現(xiàn)場觀察、文件檢查、重新執(zhí)行和計算機(jī)輔助審計技術(shù)等五種測試方法的一種或幾種對某項控制活動的運(yùn)行有效性進(jìn)行測試。
　　出具審計結(jié)果和管理建議。向銀行管理層匯報各項審計發(fā)現(xiàn)和風(fēng)險分析結(jié)果，出具最終的內(nèi)部審計報告，并根據(jù)各項審計發(fā)現(xiàn)，提出合理的管理建議。
　　銀行業(yè)IT審計展望
　　以風(fēng)險為導(dǎo)向的IT審計
　　在《指引》中，多次提到應(yīng)基于風(fēng)險評估結(jié)果指導(dǎo)IT審計活動。這反映了銀行業(yè)IT審計的發(fā)展導(dǎo)向：從原本以合規(guī)審計為主，逐步轉(zhuǎn)變?yōu)橐燥L(fēng)險導(dǎo)向的審計方法；銀行IT審計職能和角色也在過去這些年發(fā)生了不少變化，從以合規(guī)審計為主的工作，逐漸變成了活躍的內(nèi)部或外部業(yè)務(wù)顧問。如前文所述，基于風(fēng)險的銀行IT審計工作將成為銀行IT審計的主流工作方法。
　　計算機(jī)輔助審計技術(shù)（CAATs）的廣泛應(yīng)用
　　計算機(jī)輔助審計技術(shù)是指審計人員在審計過程和審計管理活動中，以計算機(jī)為工具，來執(zhí)行和完成某些審計程序和任務(wù)。它本身并非IT審計師的專利，但筆者認(rèn)為，它的深層次運(yùn)用，對于IT審計，尤其是對于海量數(shù)據(jù)集中管控的銀行業(yè)的IT審計，有著更大的作用和待挖掘的潛力。
　　計算機(jī)輔助審計包含兩個層次的內(nèi)容：第一個層次是指在審計業(yè)務(wù)中利用電子表格、數(shù)據(jù)庫、字處理常規(guī)軟件中的一些功能，或?qū)徲嬋藛T自編的一些小程序，幫助審計人員計算、復(fù)算、復(fù)核、分析審計數(shù)據(jù)，主要目的是節(jié)約審計時間、提高效率、增加準(zhǔn)確性、減輕勞動量。這一層次，當(dāng)前的銀行業(yè)審計工作基本都已經(jīng)實(shí)現(xiàn)。
　　第二個層次是指利用專門的輔助審計軟件進(jìn)行項目審計。這個層次也有兩種類型：一是主要用于審計情況匯總。在開展行業(yè)審計時，根據(jù)審計工作方案，編制專門的審計匯總軟件，自下而上，從審計底稿開始，對審計情況進(jìn)行逐級匯總。好處在于能全面、準(zhǔn)確匯總反映審計情況，防止錯漏和人為調(diào)整上報情況，便于統(tǒng)一定性、統(tǒng)一處理。二是主要用于協(xié)助審計人員對專門項目，用專門的審計方法進(jìn)行比較全面、系統(tǒng)的審計。這主要需要通過編制審計程序或軟件來進(jìn)行，并通過程序或軟件使一個持續(xù)的審計證據(jù)收集和審計活動成為可能。對于銀行業(yè)來說，實(shí)施成熟、適用的審計輔助軟件，也成為IT審計的一個發(fā)展方向。
　　數(shù)據(jù)分析（DA）將支持銀行的持續(xù)監(jiān)控與審計
　　數(shù)據(jù)分析指的是一整套技術(shù)、流程與應(yīng)用工具，運(yùn)用于持續(xù)探索與深入了解以往業(yè)務(wù)表現(xiàn)，以獲取信息并推進(jìn)業(yè)務(wù)發(fā)展。其目的是通過廣泛地使用數(shù)據(jù)、統(tǒng)計與定量分析、解釋與預(yù)測模型，并通過基于事實(shí)的管理，推動整體決策。目前在制造業(yè)、通訊業(yè)和零售業(yè)等行業(yè)中被廣泛運(yùn)用于分析和決策支持。
　　數(shù)據(jù)分析在IT審計中的應(yīng)用，可以理解為計算機(jī)輔助審計的一個深層次應(yīng)用，同時，它也為銀行業(yè)IT審計工作帶來了新的發(fā)展空間。
　　可以想象，基于數(shù)據(jù)分析，銀行針對如下風(fēng)險實(shí)施持續(xù)監(jiān)控將成為可能：
　　存貸款利率設(shè)置不合理的情況
　　正常情況下計息結(jié)息計算錯誤的情況
　　利率或者利息稅調(diào)整時計息結(jié)息錯誤的情況
　　異常計結(jié)息，比如手工計結(jié)息的情況
　　長期不動戶違規(guī)處理
　　貸款未按規(guī)定進(jìn)行組合撥備和個別撥備
　　存貸款分戶賬與總賬不平的情況
　　金融資產(chǎn)估值錯誤
　　攤余成本計算錯誤
　　票據(jù)貼現(xiàn)轉(zhuǎn)貼現(xiàn)會計核算錯誤
　　涉嫌洗錢的大額交易
　　投資交易違規(guī)
　　
　　因此，在IT審計工作中廣泛納入數(shù)據(jù)分析有助于銀行建立完善的信息化監(jiān)管體系，并可以幫助銀行準(zhǔn)確定位那些在傳統(tǒng)IT審計工作中無法深入剖析的風(fēng)險區(qū)域。
　　筆者對銀行業(yè)IT審計框架未來發(fā)展的展望如圖5。一方面，從內(nèi)控角度，一個基于風(fēng)險的IT審計方法將覆蓋銀行管理層面IT控制、應(yīng)用控制和計算機(jī)整體控制；另一方面，從數(shù)據(jù)角度，數(shù)據(jù)分析（DA）將成為未來支持銀行的持續(xù)監(jiān)控與審計的有力工具。
　?。ㄗ髡呦档虑谌A永會計師事務(wù)所合伙