申亞君 華夏銀行股份有限公司

前言

改革開放以來，我國社會主義現(xiàn)代化市場經濟發(fā)展越來越好，各行各業(yè)都取得了較為豐碩的成果，改革開放不僅推動了我國現(xiàn)代化建設的發(fā)展，更是直接促進了我國金融業(yè)的提升，信息技術的出現(xiàn)以及提升為當前的商業(yè)銀行經營和發(fā)展帶來了一定的改革和創(chuàng)新，同時也成為商業(yè)銀行未來長遠發(fā)展必須考慮的重要因素。信息科學技術在為中小商業(yè)銀行發(fā)展帶來機遇的同時也帶來了一定的困難，越來越多的商業(yè)銀行對于現(xiàn)代化信息系統(tǒng)依賴性越來越強，現(xiàn)代化的科技信息技術既能夠為商業(yè)銀行的發(fā)展帶來一定的便利和滿足，同時也存在著各種各樣的風險和隱患。

一、當前我國中小商業(yè)銀行風險控制發(fā)展現(xiàn)狀

近些年來我國社會主義現(xiàn)代化市場經濟發(fā)展越來越好，各個商業(yè)銀行也取得了快為較為迅速的成果，然而近年來不少商業(yè)銀行信息科技安全事故卻此起彼發(fā)，比如2014年6月24日某農商銀行機房內發(fā)生了電路故障，導致了嚴重的火災，機房內的大部分設備都受到了損壞，2015年5月8日某城市的商業(yè)核心數(shù)據(jù)庫發(fā)生了故障，造成該銀行柜面以及渠道業(yè)務長時間中斷。

以上的幾起案件都充分暴露出當前我國社會主義現(xiàn)代化發(fā)展過程中部分商業(yè)銀行信息科技管理存在的諸多隱患以及風險，對于現(xiàn)代化商業(yè)銀行來說，信息系統(tǒng)的安全性和科學性具有非常重要的影響，一旦系統(tǒng)發(fā)生故障錯誤或者喪失功能的時候，將會對銀行的日常業(yè)務進行造成一定的損失和后果，繼而引發(fā)一系列的重大問題。

基于種種事件的發(fā)生，因此我國開始借鑒發(fā)達國家先進的IT審計理念，通過系統(tǒng)訪問控制審計和系統(tǒng)運行控制神器等各種現(xiàn)代化技術方法，及早發(fā)現(xiàn)銀行內控制度漏洞以及管理過程中存在的薄弱環(huán)節(jié)。在發(fā)現(xiàn)問題的同時，現(xiàn)代化IT審計能夠及時的提出合理的解決措施，有效地識別和規(guī)避風險，對所依賴的信息以及信息系統(tǒng)進行安全科學的合理，這樣保證中小型商業(yè)銀行的系統(tǒng)運行安全穩(wěn)定。同時通過現(xiàn)代化IT審計，可以有目的的加強對銀行內部的控制和監(jiān)管，不斷提高銀行企業(yè)自身的信息服務質量。

二、It審計風險以及重要性

It審計風險的定義我們可以理解為在審計過程中并沒有發(fā)現(xiàn)信息錯漏以及可能存在的重大錯誤所產生的風險。It審計風險主要包括檢查風險，整體審計風險，控制風險固有風險等等。

1.固有風險

顧名思義，固有風險就是指it活動在缺乏固執(zhí)的情況下產生錯誤的操作，從而引發(fā)出一系列重大錯誤的風險。

固有風險的范圍非常廣泛，具體可以分為制度建設不合理帶來的風險、缺乏現(xiàn)代化獎懲措施帶來的風險、沒有制定與監(jiān)管要求相適應的管理方法和規(guī)章制度所帶來的風險、不重視信息科學技術帶來的風險信息科學技術理念不充足帶來的風險。同時在開發(fā)測試運營存檔以及員工自律行為方面，也有可能產生不同程度的控制風險。

此外在日常運營過程中，如果缺乏監(jiān)察力度也會造成不同程度的風險，在發(fā)現(xiàn)員工存在違規(guī)行為時，如果并沒有及時采取有效的懲罰產生政策作用，也會產生一定的審計風險，此外，員工的技能必須要與商業(yè)銀行的義務發(fā)展相匹配，否則也會帶來不必要的風險。

2.控制風險

控制風險是指IT活動相關的內部控制系統(tǒng)并不能及時有效地預測出存在的故障以及錯誤從而所產生的風險。

常見的控制風險包括系統(tǒng)數(shù)據(jù)帶來的風險以及網絡環(huán)境帶來的風險和系統(tǒng)控制風險。在進行數(shù)據(jù)輸入的時候一定要進行嚴格的控制，否則會造成相關的數(shù)據(jù)錯誤。系統(tǒng)環(huán)境風險包括硬件環(huán)境風險以及軟件環(huán)境風險兩種，一方面是因為計算機系統(tǒng)本身的復雜性以及信息系統(tǒng)的網絡化所帶來的風險，另一方面是由于計算機設備的多樣化帶來的風險。

3.檢查風險

檢查風險的含義是指通過預定的審計系統(tǒng)未能發(fā)現(xiàn)其中存在的錯誤所帶來的風險。常見的檢查風險主要分為審計管理、風險審計技術風險以及人員操作過程中出現(xiàn)的風險。

三、中小商業(yè)銀行信息科技內部審計面臨的問題

1.審計人員不足

當前在中小型商業(yè)銀行審計工作進行過程中，普遍存在著IT審計崗位編制不足、審計人員專業(yè)能力不夠、專業(yè)技術理念不強的現(xiàn)象。在以往的工作進行過程中，大多是針對業(yè)務的審計，并沒有對信息科技方面進行重視，也缺乏兩者之間的相互結合，而信息科技內部審計力量的薄弱極大地制約了信息科技內部審計的有效性和科學性。

2.缺乏規(guī)范的IT審計辦法

大多數(shù)中小型商業(yè)銀行在進行it審查時只是對目標檢查，并沒有制定出科學合理的現(xiàn)代化審計方法，對銀行信息科技風險管理姓鄭的認識和經驗不足，在進行IT審計過程中并不知道從哪里開展工作，也無法把握到IT審計工作的重點，從而很難發(fā)現(xiàn)其中存在的問題和缺陷。

3.It審計手段落后

當前大部分審計部門并沒有專門的審計平臺以及專業(yè)工具，因此對于某些重要的業(yè)務系統(tǒng)沒有辦法進行及時準確的審計，某些情況下也會過分的依賴科技部門，導致審計工作的效率降低。

三、如何采取行之有效的風險控制審計技能辦法

1.善于從業(yè)務部門以及it事件推動內部控制體系建設工作

It風險防控不能僅僅依靠科技部門，而是要銀行內部所有部門的共同參與和密切配合，審計對象也不僅僅只局限于科技部門，必須要通過對業(yè)務部門的訪談和了解，共同分析科技部門是否按照業(yè)務部門的需求進行相關的開發(fā)，開發(fā)工作是否落到實處。在重要業(yè)務系統(tǒng)使用以及日常安全管理方面，我們要善于發(fā)現(xiàn)工作過程中的漏洞以及缺陷，比如在客戶敏感信息的保護方面需要進行重點的關注和審計，不斷增強銀行內部的IT風險防范意識。對于科技部門，我們要善于將it突發(fā)事件作為實際工作開展的入口，既要關注事件的處理過程以及結果，更要對事件進行總結，獲取相關的經驗。

2.抓住審計重點，強化應急管理

對于中小型商業(yè)銀行來說，進行IT審計必須要果斷抓住審計重點，梳理銀行過程中的風險關鍵點，通過風險點揭示，以此來找出技術和管理層面上的問題和不足。此外必須要加強應急管理，強化在審計過程中制定出應急的預案，關注It突發(fā)事件之后的應急響應和處理。

3.協(xié)同工作形成合力

審計部門的It審計崗位與科技部門的內控崗必須要相互交流和協(xié)作，根據(jù)銀行實際發(fā)展現(xiàn)狀，創(chuàng)建出一套科學合理的現(xiàn)代化審計框架以及控制目標。在IT控制點與風險庫的建立方面，應該不斷發(fā)揮主觀能動性，找準每個控制點以及相應的風險敞口。

四、結束語

中小型商業(yè)銀行要想不斷控制IT審計的風險、取得更好的發(fā)展，必須要不斷重視其審計方法、審計理念以及審計制度的創(chuàng)新和整理，不斷降低風險，促進行業(yè)發(fā)展。