韓華溢

[摘? ? 要] 隨著信息科技的蓬勃發(fā)展以及交易數(shù)據(jù)大集中的實現(xiàn)，農(nóng)商行對信息系統(tǒng)的依賴性越來越強，面臨的IT風(fēng)險也越來越大，而農(nóng)商行IT審計發(fā)展則相對滯后。本文總結(jié)了省級聯(lián)社管理模式下農(nóng)商行IT審計的現(xiàn)狀，全面分析了當(dāng)前農(nóng)商行IT審計面臨的困難與瓶頸，在此基礎(chǔ)上從理念、體系、隊伍、平臺以及模式等方面提出了未來發(fā)展路徑，以期推動農(nóng)商行IT審計更加有序開展。

[關(guān)鍵詞] IT審計;農(nóng)商行;內(nèi)部審計

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 17. 013

[中圖分類號] F239.45? ? [文獻標(biāo)識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）17- 0030- 03

1? ? ? 引? ? 言

近年來，隨著信息技術(shù)的快速發(fā)展，尤其是大數(shù)據(jù)、云技術(shù)、移動互聯(lián)等新技術(shù)在農(nóng)商行的廣泛應(yīng)用，極大地拓展了業(yè)務(wù)空間和服務(wù)手段，為農(nóng)商行的經(jīng)營發(fā)展提供了強大動力，帶來了巨大經(jīng)濟效益。但與此同時，伴隨新技術(shù)應(yīng)用而來的IT風(fēng)險卻更加多樣化、復(fù)雜化和難以管控，其可能造成的損失和影響也更加巨大。

早在2009年，原銀監(jiān)會就頒布了《商業(yè)銀行信息科技風(fēng)險管理指引》，提出要構(gòu)建信息科技風(fēng)險管理的“三道防線”，并要求審計貫穿信息科技的整個生命周期和重大事件，反映了IT審計在信息科技風(fēng)險管理中的重要地位。2018年6月中國銀保監(jiān)會通報多起利用銀行系統(tǒng)漏洞或安全機制缺陷盜取資金的案件，情節(jié)令人震驚。在此背景下，農(nóng)商行內(nèi)部審計工作必須切實履行信息科技風(fēng)險管控的“第三道防線”職責(zé)，主動應(yīng)對挑戰(zhàn)，有效開展IT審計項目，發(fā)揮自身價值，服務(wù)農(nóng)商行高質(zhì)量發(fā)展。

2? ? ? 農(nóng)商行IT審計在實踐當(dāng)中的做法

當(dāng)前，絕大多數(shù)省份在對農(nóng)商行（包含農(nóng)合行）的管理上，采取了省級聯(lián)社和農(nóng)商行兩級法人的管理模式。省級聯(lián)社承擔(dān)了管理、指導(dǎo)、協(xié)調(diào)和服務(wù)的職能。與其他銀行相比，省級聯(lián)社管理模式下的農(nóng)商行在科技建設(shè)方面有著更為獨特的模式，一般都采用了“大平臺、小法人”的科技管理模式，省級聯(lián)社層面均設(shè)置科技相關(guān)部門，大部分市縣農(nóng)商行由于受到資金、人員等條件限制，科技研發(fā)基本依托于省級聯(lián)社統(tǒng)一的、集約化的系統(tǒng)建設(shè)，自身只負(fù)責(zé)簡單的軟硬件管理和維護，也有部分省份賦予農(nóng)商行自主研發(fā)非核心軟件系統(tǒng)的權(quán)限。

對信息科技風(fēng)險開展獨立有效的評價是農(nóng)商行內(nèi)部審計的主要職責(zé)之一?？萍冀ㄔO(shè)的“二元管理模式”決定了農(nóng)商行的IT審計具有其不同于其他銀行的獨特性。筆者通過查閱大量資料并實地走訪，總結(jié)出當(dāng)前省級聯(lián)社管理模式下農(nóng)商行IT審計實踐可概況為以下幾點：

（1）從治理結(jié)構(gòu)上看，按照監(jiān)管部門要求，目前各農(nóng)商行內(nèi)審部門基本都直接向董事會報告。部分農(nóng)商行能夠在部門內(nèi)設(shè)立專職IT審計崗，專門負(fù)責(zé)全行IT審計，少數(shù)有條件的農(nóng)商行還單獨成立了IT審計中心，獨立于IT部門，體現(xiàn)了管理層對IT風(fēng)險控制的高度重視。

（2）從團隊建設(shè)上看，農(nóng)商行一方面通過內(nèi)部選拔機制從科技部門調(diào)入具有IT從業(yè)背景、熟知銀行相關(guān)業(yè)務(wù)的專業(yè)人才，組建IT審計團隊;另一方面加強專業(yè)培訓(xùn)，聘請外部專家開展商業(yè)銀行IT審計入門培訓(xùn)、在專項審計時采取跟班培訓(xùn)、以老帶新等方式提高IT審計團隊整體素質(zhì)，達(dá)到IT審計資源儲備的目的，以應(yīng)對越來越高的IT審計需求。

（3）從項目實施上看，農(nóng)村商業(yè)銀行IT審計起步較晚，總體水平并不是很高。能開展監(jiān)管部門要求的所有信息科技相關(guān)類別審計項目的農(nóng)商行占比極低，僅有少部分農(nóng)商行開展過針對信息科技風(fēng)險的全面審計，一些在省聯(lián)社層面獨立開展了部分信息科技的專項審計項目。

（4）從系統(tǒng)建設(shè)上看，農(nóng)商行能夠在實踐中積極推進內(nèi)部審計的信息化建設(shè)，絕大部分省級聯(lián)社統(tǒng)一開發(fā)上線了審計系統(tǒng)，實現(xiàn)了對全部交易數(shù)據(jù)的存儲、查詢、分析和管理，通過創(chuàng)建開發(fā)一系列審計模型，及時發(fā)現(xiàn)審計線索，鎖定審計重點，為提高現(xiàn)場審計效率和質(zhì)量提供了有力支撐，促進了審計模式的轉(zhuǎn)變。

3? ? ? 農(nóng)商行IT審計面臨的瓶頸與困境

當(dāng)前，大多數(shù)農(nóng)商行管理層能夠認(rèn)識到，IT審計對于促進信息科技風(fēng)險防范責(zé)任重大，必須在多方面有所突破、有所創(chuàng)新、有所提升，但要進一步推進，卻面臨著諸多的困難，如對IT治理沒有明晰的認(rèn)識，缺少IT審計方法與規(guī)范，審計力量薄弱，上下聯(lián)動不夠等等，這些問題嚴(yán)重阻礙了IT審計工作的進一步推進，也導(dǎo)致出現(xiàn)了“第三道防線”的履職瓶頸。

3.1? ?對IT審計的定位認(rèn)識模糊

業(yè)內(nèi)對IT審計的認(rèn)識，經(jīng)過了技術(shù)導(dǎo)向、控制導(dǎo)向、風(fēng)險導(dǎo)向三個階段，先后產(chǎn)生了BS7799、SP800、ISO27005、COBIT等代表性框架。目前普遍認(rèn)為信息科技風(fēng)險應(yīng)融入企業(yè)全面風(fēng)險管理中，成為整個企業(yè)治理框架的重要組成部分，其代表性框架為ISACA（國際信息系統(tǒng)審計協(xié)會）發(fā)布的Risk IT。

但是目前農(nóng)商行對IT審計的認(rèn)識不足，大部分僅限于應(yīng)付監(jiān)管部門要求，有的認(rèn)為IT審計必須完全依賴于專業(yè)技術(shù)人員，有的認(rèn)為IT風(fēng)險的第三道防線根本就是空談，有的僅關(guān)注科技管理或業(yè)務(wù)連續(xù)性，只有少數(shù)單位意識到系統(tǒng)控制應(yīng)與業(yè)務(wù)風(fēng)險防范相結(jié)合。認(rèn)識上的不足，導(dǎo)致大多數(shù)農(nóng)商行目前投入的人力物力，與快速發(fā)展的業(yè)務(wù)相比存在不小的差距，制約了IT審計的工作質(zhì)量。

3.2? ?審計的廣度和頻率不夠

按照人民銀行及銀保監(jiān)會相關(guān)要求，農(nóng)商行審計部門必須開展的信息科技審計至少包括信息科技全面審計、業(yè)務(wù)連續(xù)性專項審計等9項，并規(guī)定了開展審計的最低頻率，見表1。

與監(jiān)管要求相比，絕大部分農(nóng)商行不能滿足監(jiān)管要求，距離監(jiān)管要求有很大差距。從信息科技監(jiān)管評級方面看，大多數(shù)農(nóng)商行都存在信息科技審計未開展、審計覆蓋面不足等問題，影響了農(nóng)商行信息科技評價總體評分。

3.3? ?缺乏足夠的IT審計專業(yè)人才

IT審計專業(yè)性強、技術(shù)門檻高，充分履行“第三道防線”職責(zé)需要既懂得信息技術(shù)、了解銀行業(yè)務(wù)又具備一定審計經(jīng)驗的專門人才。一方面，內(nèi)審部門具有IT背景的審計人員少之又少，相當(dāng)一部分農(nóng)商行尚未配備具備信息科技背景的審計人員，缺少獨立開展IT審計的必要條件。同時，獨立開展農(nóng)商行IT審計，特別是全面審計對IT審計人員配備的要求很高，而單家農(nóng)商行由于審計隊伍總?cè)藬?shù)限制、IT審計人員專業(yè)較為單一、培養(yǎng)成本高等因素，造成不具備招募維持大量IT審計人員的條件，導(dǎo)致專業(yè)人才緊缺成為制約審計部門履行IT審計相關(guān)職責(zé)的瓶頸。另一方面，大部分農(nóng)商行開展IT審計的時間較短，IT審計人員多來自科技部門，雖然有較豐富的信息系統(tǒng)開發(fā)或運維經(jīng)驗，但審計技能還有待提高，也影響了內(nèi)部審計的成效。

3.4? ?缺少規(guī)范的IT審計技術(shù)方法

當(dāng)前，農(nóng)商行IT審計工作缺乏基本的系統(tǒng)性和規(guī)范性，各農(nóng)商行對于信息科技的審計缺少規(guī)范有效的方法、措施和數(shù)據(jù)模型，大多尚停留在制度的完整性遵循性檢查層面，發(fā)現(xiàn)的也通常是表面合規(guī)問題，不知道審什么、怎么審，難以把握IT內(nèi)部審計的重點，很少觸及深層次業(yè)務(wù)風(fēng)險和IT技術(shù)問題，無法揭示信息系統(tǒng)開發(fā)、運行中存在的重大風(fēng)險或缺陷，審計工作的效果大打折扣。

與之相應(yīng)的是日益龐大的銀行信息系統(tǒng)、日趨復(fù)雜的運行環(huán)境及互聯(lián)網(wǎng)金融等新的應(yīng)用大規(guī)模上線，銀行系統(tǒng)架構(gòu)發(fā)生深刻變化，新的信息安全風(fēng)險不斷產(chǎn)生。例如，一些農(nóng)商行自主開發(fā)的軟件系統(tǒng)，越來越多地采用迭代式敏捷開發(fā)模型，以快速響應(yīng)滿足業(yè)務(wù)部門需求，導(dǎo)致傳統(tǒng)基于瀑布開發(fā)模型的安全控制機制難以奏效，系統(tǒng)漏洞難以被及時發(fā)現(xiàn)，形成隱患。

3.5? ?整體性和聯(lián)動性還不強

當(dāng)前，省級聯(lián)社與農(nóng)商行信息科技系統(tǒng)是一個整體，但在實際工作中，省級聯(lián)社與各農(nóng)商行對信息科技的審計存在相互割裂，各自為戰(zhàn)的現(xiàn)象，比如業(yè)務(wù)連續(xù)性等一些審計過程尚不能涵蓋系統(tǒng)的所有環(huán)節(jié)，難以全面反映信息科技存在的重要風(fēng)險，省級聯(lián)社行業(yè)審計與內(nèi)部審計的聯(lián)動效應(yīng)發(fā)揮不夠。

4? ? ? 加強農(nóng)商行IT審計的幾點建議

展望未來，農(nóng)商行在實施IT審計項目時，需要立足實際情況，緊密聯(lián)系信息科技與業(yè)務(wù)發(fā)展的新形式、新特點，遵循先進的審計標(biāo)準(zhǔn)，突出技術(shù)優(yōu)勢和風(fēng)險導(dǎo)向，找準(zhǔn)IT審計在農(nóng)商行的準(zhǔn)確定位，促進IT審計更健康有序地開展。

4.1? ?明確方向，堅持一種理念

理念決定思路，思路決定出路。做好IT審計工作，首先要解決審計方向的問題。農(nóng)商行審計部門從原本以合規(guī)審計、制度遵循性檢查為主，逐步轉(zhuǎn)為“以風(fēng)險為導(dǎo)向”組織開展IT審計項目。在此前提下，需要明確“以業(yè)務(wù)為核心，業(yè)務(wù)與技術(shù)相結(jié)合”的IT審計思路，即從系統(tǒng)到業(yè)務(wù)審計、從業(yè)務(wù)再到系統(tǒng)審計、再從系統(tǒng)到系統(tǒng)審計。同時結(jié)合當(dāng)前農(nóng)商行的實際情況，在以業(yè)務(wù)為核心的指導(dǎo)思想下，將有限的審計資源重點投入到應(yīng)用控制審計中。

4.2? ?制度先行，建設(shè)一套體系

一是建立規(guī)范的IT審計工作規(guī)范。建議在省級聯(lián)社層面根據(jù)監(jiān)管法規(guī)和實際情況，制定IT審計規(guī)范、指引等制度辦法，并指導(dǎo)各農(nóng)商行制定實施細(xì)則，明確IT審計的職能定位、審計內(nèi)容、工作流程、運作模式以及相關(guān)的管理要求，逐步形成一套貫穿審計全周期的質(zhì)量控制體系。二是建立實用的IT審計技術(shù)方法。遵循標(biāo)準(zhǔn)化、專業(yè)化的原則，適時啟動研究編寫農(nóng)商行IT審計操作指南，制定穿行測試、代碼審查等專門工具方法，逐步構(gòu)建IT審計實務(wù)標(biāo)準(zhǔn)。此外，還要定期總結(jié)IT審計項目經(jīng)驗，收集先進銀行相關(guān)審計案例，建立IT審計知識庫。

4.3? ?人才為本，打造一支隊伍

擁有一支高素質(zhì)、專業(yè)化的人才隊伍，是IT審計工作順利開展的重要前提。一是多渠道、多層次、多結(jié)構(gòu)地引進、選拔人才，逐步充實、壯大IT審計力量，抓緊組建一支以核心人才為引領(lǐng)、骨干人才為支撐、應(yīng)用人員為基礎(chǔ)的人才隊伍體系。二是強化持續(xù)教育，通過每年組織集中專題培訓(xùn)、鼓勵參加CISA認(rèn)證學(xué)習(xí)等，促進及時更新理論與知識，掌握先進技術(shù)和方法，持續(xù)提升綜合素質(zhì)和專業(yè)能力。三是注重審計項目中的實戰(zhàn)鍛煉，省級聯(lián)社可以通過IT審計人才的一體化管理，輪流抽調(diào)全行業(yè)IT審計人員參與省聯(lián)社統(tǒng)一組織的IT審計項目，以老帶新、以干代培、共享經(jīng)驗，不斷升級IT審計能力。

4.4? ?科技支撐，搭建一個平臺

在大數(shù)據(jù)時代，充分依托省級聯(lián)社層面的科技優(yōu)勢，構(gòu)建支持IT審計活動信息化、自動化、綜合化的審計信息系統(tǒng)平臺，能夠極大地促進提升IT審計工作效率和效果。一方面，利用現(xiàn)有的審計系統(tǒng)，實現(xiàn)對全行業(yè)IT審計計劃、項目實施、資源配置以及質(zhì)量控制的科學(xué)管理，也可以消除地域割裂的制約，使IT審計工作更加規(guī)范、高效。另一方面，要大力開展“數(shù)據(jù)式”審計，獲取信息系統(tǒng)開發(fā)、運行相關(guān)數(shù)據(jù)，包括重要操作系統(tǒng)、數(shù)據(jù)庫和核心網(wǎng)絡(luò)設(shè)備的日志、安全參數(shù)文件等等，自主研發(fā)關(guān)鍵指標(biāo)和審計模型，對全量數(shù)據(jù)開展深度挖掘，監(jiān)測系統(tǒng)的運行管理、信息安全和生產(chǎn)事件，及時提示、預(yù)防IT風(fēng)險。

4.5? ?統(tǒng)籌規(guī)劃，創(chuàng)新一套模式

當(dāng)前，針對農(nóng)商行IT審計人才儲備不足、審計經(jīng)驗缺乏以及系統(tǒng)架構(gòu)特點，有必要因地制宜創(chuàng)新變革審計模式，建立一套“分級實施、上下聯(lián)動”的IT審計組織管理模式。根據(jù)監(jiān)管要求和業(yè)務(wù)需要，在省級聯(lián)社層面可每年確定1至2個專題，按照全系統(tǒng)集中組織、統(tǒng)一方案、同步實施、匯總報告的組織方式，由省級聯(lián)社審計部門統(tǒng)一組織審計省級聯(lián)社“大平臺”建設(shè)、管理、維護等情況，各相關(guān)農(nóng)商行負(fù)責(zé)審計前端應(yīng)用、本行自建系統(tǒng)和相關(guān)業(yè)務(wù)領(lǐng)域。通過上下聯(lián)動，分工協(xié)作，實現(xiàn)省級聯(lián)社行業(yè)審計與農(nóng)商行內(nèi)部審計的彈性互動，促進提升IT審計項目質(zhì)量，有利于充分發(fā)揮整體合力，同時對解決農(nóng)商行自行審計“無從下手”、重要問題“無法追溯”的難題具有現(xiàn)實意義。

主要參考文獻

[1]審計署審計科研所.信息系統(tǒng)審計內(nèi)容與方法[M].北京：中國時代經(jīng)濟出版社，2009.

[2]吳桂英.信息系統(tǒng)審計理論與實務(wù)[M].北京：清華大學(xué)出版社，2012.

[3]俞文平，周平.IT審計之道 [M].北京：清華大學(xué)出版社，2016.

[4]高卓，吳婷.建設(shè)銀行IT審計發(fā)展策略[J].金融電子化，2011（10）.

[5]陳偉，SMIELIAUSKAS，Wally.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計：機遇、挑戰(zhàn)與方法[J].計算機科學(xué)，2016，43（1）：8-13.

[6]王小山.基于COBIT 5.0的商業(yè)銀行信息系統(tǒng)審計研究——以A銀行為例[D].杭州：浙江工商大學(xué)，2017.