郭 烈

（江陰農(nóng)商銀行，江蘇 江陰 214400）

一、引言

改革開放推動了中國金融業(yè)的快速發(fā)展，信息技術(shù)被廣泛應(yīng)用于商業(yè)銀行經(jīng)營的各個方面，并成為商業(yè)銀行經(jīng)營戰(zhàn)略必須考慮的重要因素，伴隨而來的是商業(yè)銀行對信息系統(tǒng)依賴性的不斷增強。作為科技應(yīng)用型人員，發(fā)現(xiàn)信息系統(tǒng)在為商業(yè)銀行提供便利、滿足各種功能和服務(wù)需求、帶來效益的同時，相關(guān)風(fēng)險和安全隱患也在不斷增加。

近年來，銀行業(yè)信息科技安全事件頻發(fā)。例如2011年4月12日，某銀行由于網(wǎng)絡(luò)癱瘓，導(dǎo)致無法辦理現(xiàn)金業(yè)務(wù)；2014年6月24日，某農(nóng)商行機房發(fā)生線路電氣故障，導(dǎo)致火災(zāi)，機房內(nèi)部分設(shè)備受損；2015年5月8日，某城商行核心數(shù)據(jù)庫宕機，造成該行柜面和渠道業(yè)務(wù)長時間中斷。

以上案件充分暴露出我國一些商業(yè)銀行信息科技管理方面存在的諸多問題以及信息系統(tǒng)本身的脆弱性，信息系統(tǒng)的安全穩(wěn)定運行對商業(yè)銀行至關(guān)重要。當(dāng)系統(tǒng)發(fā)生故障、錯誤而喪失其有效功能時，銀行日常的業(yè)務(wù)必定會受到重大影響，進而引發(fā)一系列重大問題或風(fēng)險，如銀行的財產(chǎn)損失、客戶的經(jīng)濟損失以及不良聲譽風(fēng)險等。

因此，有必要引進發(fā)達國家已經(jīng)比較成熟的理念——IT審計,通過系統(tǒng)訪問控制審計和系統(tǒng)運行控制審計等技術(shù)方法,及早發(fā)現(xiàn)商業(yè)銀行內(nèi)控制度漏洞和管理存在的薄弱環(huán)節(jié),完善控制措施，有效地識別和規(guī)避風(fēng)險,有效地對所依賴的信息和信息系統(tǒng)進行安全管理,保障信息系統(tǒng)的安全穩(wěn)定運行。同時，通過審計可有目的性地加強對銀行內(nèi)控制度的監(jiān)管,從而提高信息技術(shù)服務(wù)支持的質(zhì)量。本文結(jié)合中小商業(yè)銀行目前信息科技審計的現(xiàn)狀，以IT風(fēng)險控制目標(biāo)為核心，提出了實施風(fēng)險控制審計的理念和步驟，構(gòu)建適用于江陰農(nóng)商銀行（以下簡稱我行）的IT審計框架及控制目標(biāo)。

二、IT審計風(fēng)險和重要性

審計風(fēng)險可定義為：審計過程中未發(fā)現(xiàn)信息可能存在的重大錯誤的風(fēng)險。如果可行，IT審計師也應(yīng)當(dāng)考慮組織相關(guān)的其他因素：客戶數(shù)據(jù)、隱私、所提供服務(wù)的可用性，企業(yè)和公眾形象。IT審計風(fēng)險主要包含固有風(fēng)險、控制風(fēng)險、檢查風(fēng)險和整體審計風(fēng)險[1]。

（一）固有風(fēng)險

1.固有風(fēng)險的含義。固有風(fēng)險是指IT活動在缺乏控制的情況下從而導(dǎo)致重大錯誤的風(fēng)險。

2.常見的固有風(fēng)險。

制度建設(shè)不足或缺失，未制定與監(jiān)管要求相適應(yīng)的管理辦法約束信息科技實施中的各種風(fēng)險，比如：開發(fā)、測試、投產(chǎn)、運維、存檔等，甚至靠員工的自律行為控制風(fēng)險；

對所有業(yè)務(wù)是否通過系統(tǒng)進行剛性控制，比如，操作權(quán)限設(shè)置、登錄密碼長度及強度限制、秘鑰使用管理、涉密人員管理等等；

監(jiān)督檢查頻次不夠，對員工的違規(guī)行為未能產(chǎn)生震懾作用，甚至處于審計的盲區(qū)；

員工技能與業(yè)務(wù)發(fā)展不匹配，后期培訓(xùn)不足，知識更新不夠；IT管理人員的管理水平或IT人員的技術(shù)水平達不到要求，易出現(xiàn)管理和技術(shù)方面的錯誤；

計算機硬件故障或軟件程序錯誤，造成信息損壞或丟失，導(dǎo)致數(shù)據(jù)在處理過程中發(fā)生偶發(fā)錯誤；

信息系統(tǒng)的高度集成，導(dǎo)致系統(tǒng)的復(fù)雜性、依賴性和脆弱性，并引發(fā)各種風(fēng)險，如數(shù)據(jù)容易被修改和盜取，用磁介質(zhì)存儲數(shù)據(jù)，其穩(wěn)定性和安全性較差；

計算機病毒的侵害容易造成數(shù)據(jù)丟失。

（二）控制風(fēng)險

1.控制風(fēng)險的含義?？刂骑L(fēng)險是指與IT活動相關(guān)的內(nèi)部控制體系不能及時預(yù)防或檢測出存在的重大錯誤的風(fēng)險。

2.常見的控制風(fēng)險。

系統(tǒng)數(shù)據(jù)風(fēng)險。數(shù)據(jù)在輸入時缺乏嚴(yán)格的控制，造成數(shù)據(jù)錯誤；數(shù)據(jù)存儲高度集中，缺乏嚴(yán)格的分級瀏覽控制；人工檢查計算機日志風(fēng)險很高，大量的日志信息導(dǎo)致人工檢查容易出錯。

系統(tǒng)環(huán)境風(fēng)險。包括軟件環(huán)境風(fēng)險和硬件環(huán)境風(fēng)險。一方面是因為計算機信息系統(tǒng)的復(fù)雜性以及信息系統(tǒng)的網(wǎng)絡(luò)化，另一方面是因為計算機設(shè)備的多樣化，從而導(dǎo)致系統(tǒng)環(huán)境風(fēng)險增大。

系統(tǒng)控制風(fēng)險。是由于信息系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險，如審批設(shè)置不合理、不相容崗位權(quán)限互通、特權(quán)用戶擅用權(quán)限等。

（三）檢查風(fēng)險

1.檢查風(fēng)險的含義。檢查風(fēng)險是指通過預(yù)定的審計程序未能發(fā)現(xiàn)重大、單個或與其他錯誤相結(jié)合的風(fēng)險。

2.常見的檢查風(fēng)險。

審計管理風(fēng)險。由于IT審計管理制度不健全、不完善而導(dǎo)致的風(fēng)險，主要包括缺乏相關(guān)的IT審計操作規(guī)范，導(dǎo)致審計人員各行其是。審計目標(biāo)、內(nèi)容和手段各不相同，審計管理風(fēng)險增大。

審計技術(shù)風(fēng)險。指由于審計軟件本身缺陷造成的風(fēng)險，主要包括計算機審計技術(shù)的開發(fā)和推廣落后于信息技術(shù)的發(fā)展，并且技術(shù)含量偏低；開發(fā)人員對審計業(yè)務(wù)不熟悉；沒有經(jīng)過相關(guān)部門鑒定，導(dǎo)致審計軟件運行有風(fēng)險；審計軟件與信息系統(tǒng)軟件的接口不匹配，導(dǎo)致數(shù)據(jù)不能導(dǎo)出等。

人員操作風(fēng)險。指審計人員在對信息科技方面進行審計時，由于知識不夠或業(yè)務(wù)不熟，不能有效識別其內(nèi)部程序控制從而引發(fā)高風(fēng)險。

（四）總體審計風(fēng)險

總體審計風(fēng)險是指針對單個控制目標(biāo)所產(chǎn)生的各類審計風(fēng)險總和。良好的審計計劃應(yīng)盡可能評估和控制審計風(fēng)險，減少或控制所檢查領(lǐng)域的審計風(fēng)險，例如采取宜適的審計工具，在完成審計時把總體審計風(fēng)險控制在相對低的水平之內(nèi)，以達到預(yù)期的水平。

“重要性”當(dāng)與任何上述風(fēng)險相結(jié)合時，是指在問題程度上可被組織視為嚴(yán)重的錯誤。在規(guī)劃被審計領(lǐng)域和審計任務(wù)中所需執(zhí)行的具體測試時，必須結(jié)合對審計風(fēng)險的了解來考慮重要性。

對IT審計師而言，確定重要性是比較困難的。例如：邏輯訪問安全參數(shù)的設(shè)置允許程序員未經(jīng)審批即可訪問所有程序的源代碼，由于它對數(shù)據(jù)完整性和準(zhǔn)確性潛在的普遍影響，可以看作是重大錯誤；如果這種訪問權(quán)限僅限于少數(shù)不重要的程序，對審計師而言，這種錯誤可以不看作是重大的。也就是說，重要性應(yīng)考慮對組織的整體潛在影響。

三、中小商業(yè)銀行信息科技內(nèi)部審計面臨的困難

從“十二五”到現(xiàn)在的“十三五”時期，中小商業(yè)銀行經(jīng)歷著重大而深刻的變化，在發(fā)展機遇的同時，也面臨著新的挑戰(zhàn)。相對于大型國有銀行，中小銀行的信息科技總體實力和建設(shè)水平還存在較大差距。隨著信息系統(tǒng)規(guī)模和復(fù)雜度日益增加，信息科技審計也面臨著新的挑戰(zhàn)，內(nèi)審部門應(yīng)加大審計力度，評估信息系統(tǒng)和內(nèi)控機制的充分性和有效性，提出整改意見并檢查落實整改情況，但仍存在諸多不利因素，形成一定的困局、急需破解。

（一）IT審計人員不足，獨立性得不到保證

目前，中小商業(yè)銀行三道防線初建，普遍有著IT審計崗位編制不足、IT審計人員專業(yè)技術(shù)能力不強等情況。以往多是針對業(yè)務(wù)的審計，缺少對信息科技的審計，更缺乏二者相結(jié)合的審計。信息科技內(nèi)部審計力量的薄弱極大地制約了信息科技內(nèi)部審計的有效性。

部分商業(yè)銀行將IT審計的職責(zé)交給科技部門，使得科技部門既是運動員，又是裁判員，審計的獨立性得不到保證。

如果能夠吸納一些業(yè)務(wù)型、科技型結(jié)合的“復(fù)合型”人才加盟內(nèi)部審計，無疑將推動中小商業(yè)銀行內(nèi)審體系的建立和完善。同時，各商業(yè)銀行也應(yīng)關(guān)注此方面人才的開發(fā)與培養(yǎng)。

（二）IT審計方法及規(guī)范缺乏

多數(shù)中小商業(yè)銀行在IT審計時只是對標(biāo)檢查，缺少有效可行的審計方法論，對銀行信息科技風(fēng)險管理現(xiàn)狀的認識和見解不足，在IT審計過程中不知如何審、不知道審什么，無法把握審計重點，無法觸及風(fēng)險隱患，從而很難發(fā)現(xiàn)存在的重大問題或缺陷。

（三）IT審計目的不明確

目前大部分中小銀行的IT內(nèi)部審計都是為了滿足監(jiān)管要求，沒有從行內(nèi)業(yè)務(wù)驅(qū)動的角度出發(fā)，缺少為“科技引領(lǐng)”提供保駕護航的認知和力度。

（四）IT審計手段落后

目前大部分審計部門沒有專門的IT審計平臺及工具，對于較為重要的業(yè)務(wù)系統(tǒng)，無法進行有關(guān)技術(shù)環(huán)節(jié)、運行環(huán)境、業(yè)務(wù)處理等方面的測試，更有情況會出現(xiàn)過分依賴科技部門，導(dǎo)致IT審計工作的效率大大降低。

（五）審計整改力度不夠

IT審計的對象基本上是科技部門，其他相關(guān)部門對于審計發(fā)現(xiàn)的問題往往抱著“事不關(guān)己，高高掛起”的態(tài)度。高管層雖然重視，但因為高管層對信息科技理解有限，對專業(yè)性的風(fēng)險認識不足，信息科技風(fēng)險通常依賴于科技部門，造成整改未能落到實處。根據(jù)木桶短板效應(yīng)，一只水桶的容量取決于它最短的那塊木板。在信息科技防范中也是如此，業(yè)務(wù)人員如果不重視信息科技風(fēng)險防范，一個誤操作就可能能讓銀行在整個安全體系建設(shè)方面的努力付之東流。

四、實施風(fēng)險控制的審計理念

（一）擺正位置，明確使命

擺正位置有助于減少阻力，從而可以順利地開展審計工作。IT風(fēng)險控制審計的目的與科技部門的目標(biāo)一致，都是為了全面提升信息科技風(fēng)險管理的水平，保證信息系統(tǒng)安全穩(wěn)定運行。通過揭示內(nèi)部控制的不足，促進內(nèi)部控制水平的提升，并制定基于成本效益原則的解決方案，以改善內(nèi)部控制現(xiàn)狀。僅僅揭示問題沒有什么實質(zhì)性作用，只會讓被審計部門或個人感到難堪，并且引起對審計人員的反感。解決問題才能產(chǎn)生真正的價值，揭示問題只是實現(xiàn)目標(biāo)的手段。最終目標(biāo)是為了改善內(nèi)部控制的現(xiàn)狀。如果僅告訴管理層某方面存在安全漏洞，這可能因揭示他人的不足而提升了自身的形象，但漏洞依然存在，依舊面臨風(fēng)險。只有在安全漏洞被堵住的時候，才真正有價值。因此，IT審計的真正使命是幫助改善內(nèi)部控制的現(xiàn)狀。

（二）“兩級分化”，走出誤區(qū)

“兩級”是指“唯技術(shù)論”和“無技術(shù)論”。IT審計專業(yè)性很強，覆蓋信息科技的多個領(lǐng)域，這就給審計人員提出了很高的要求，需要擁有一定的技術(shù)水平和實操經(jīng)驗?！拔夹g(shù)論”是指某些商業(yè)銀行管理層將IT審計的職能落到科技部，將IT控制審計做成了安全檢查，在注重技術(shù)方面的缺陷時而忽略了管理方面存在的風(fēng)險，這是一種舍本逐末的行為。俗話說，三分靠技術(shù)，七分靠管理。對于風(fēng)險防控來說，管理是基礎(chǔ)，技術(shù)是輔助，切不可本末倒置。

“無技術(shù)論”是指審計部門缺乏IT專業(yè)人員，認為IT審計完全不需要技術(shù)知識，只要有一套詳細、完整的檢查手冊，對標(biāo)就可以完成的。這種觀點也不可取，信息科技涵蓋的范圍太廣，就新系統(tǒng)的建設(shè)而言包括可行性分析、需求分析、項目管理、質(zhì)量管控、測試等，單靠套檢查手冊不可能涵蓋所有檢查細節(jié)。這種檢查僅是停留在文檔“有沒有”的表面合規(guī)的狀態(tài)下，真正做到風(fēng)險控制必須是檢查內(nèi)容“好不好”、達到一定的深度。

五、我行采取的風(fēng)險控制審計的基本方法

（一）善于從業(yè)務(wù)部門和IT事件推動內(nèi)部控制體系建設(shè)工作

IT風(fēng)險防控不能僅依靠科技部門，而是要全行所有部門共同參與。審計對象不能局限于科技部門，也要通過對業(yè)務(wù)部門的訪談和實地檢查，了解科技部門是否按照業(yè)務(wù)部門的需求進行開發(fā)并落到實處。在重要業(yè)務(wù)系統(tǒng)使用和日常安全管理方面，發(fā)現(xiàn)其管理存在的漏洞缺陷。例如，在客戶敏感信息的保護方面需要重點審計，應(yīng)逆向檢查系統(tǒng)對信息安全的管控措施是如何落實的，增強其IT風(fēng)險防范的意識。針對科技部門，要善于將IT突發(fā)事件作為審計的入口，既要關(guān)注突發(fā)事件的處置過程，更要關(guān)注突發(fā)事件處置后的總結(jié)，對事件處理流程進行梳理和更新。

（二）抓住審計重點，揭示主要風(fēng)險，強化應(yīng)急管理

一是抓住審計重點，梳理我行風(fēng)險點，通過風(fēng)險點揭示我行在管理層面和技術(shù)層面上的問題和不足，以達到提升其整體風(fēng)險防控能力的目的。二是強化應(yīng)急管理。在審計過程中要重點關(guān)注應(yīng)急管理，一方面須關(guān)注應(yīng)急預(yù)案的制定、修訂及開展的演練情況；另一方面須關(guān)注發(fā)生IT突發(fā)事件后的應(yīng)急響應(yīng)和處置，以及根據(jù)實際情況對應(yīng)急機制的完善。

（三）協(xié)同工作，形成合力

審計部門的IT審計崗與科技部門的內(nèi)控崗協(xié)同合作，根據(jù)我行實際情況創(chuàng)建一套體系化的審計框架和控制目標(biāo)。在IT控制點與風(fēng)險庫的建立方面充分發(fā)揮主觀能動性，找準(zhǔn)每個控制點以及相應(yīng)的風(fēng)險敞口，下表列舉了我行在變更管理方面的部分風(fēng)險控制矩陣。

?

六、結(jié)束語

加強IT風(fēng)險控制是我行目前面臨的一個重要課題，同時，也是我行在市場競爭中發(fā)展壯大的新機遇，其關(guān)鍵因素是理解內(nèi)部發(fā)展戰(zhàn)略，及時掌握發(fā)展現(xiàn)狀，并以此為基礎(chǔ)，加強IT審計工作，規(guī)范IT相關(guān)活動。除此之外，內(nèi)審人員主動適應(yīng)新環(huán)境和新風(fēng)險，同時學(xué)習(xí)與業(yè)務(wù)風(fēng)險相關(guān)的知識，從而有效地對業(yè)務(wù)及所支持的應(yīng)用進行審計。