馮一娜

摘要：長期以來，由于專業(yè)人才匱乏、資源投入不足等諸多原因，中小銀行在信息科技審計(jì)體系建設(shè)上效果并不理想，存在實(shí)質(zhì)性審查和控制措施落地的不少短板。本文結(jié)合某區(qū)域性中小銀行信息科技風(fēng)險(xiǎn)“三道防線”中的信息科技審計(jì)實(shí)務(wù)，探討信息科技審計(jì)體系建設(shè)，為致力于加強(qiáng)該項(xiàng)工作的中小銀行提供參考。

關(guān)鍵詞：信息科技審計(jì);信息科技風(fēng)險(xiǎn);“三道防線”

一、IT治理架構(gòu)中的信息科技審計(jì)

按照中國銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引》（簡稱《審計(jì)指引》）、《風(fēng)險(xiǎn)管理指引》要求，商業(yè)銀行IT治理架構(gòu)應(yīng)在董事會(huì)下設(shè)審計(jì)委員會(huì)，建立單獨(dú)的內(nèi)部審計(jì)部門并在該部門行下設(shè)信息科技風(fēng)險(xiǎn)審計(jì)崗位“負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)”。

對于區(qū)域性中小銀行，除建立審計(jì)委員會(huì)以外，通常在內(nèi)部審計(jì)部門設(shè)置信息科技審計(jì)科室。信息科技審計(jì)科室工作不應(yīng)受到阻礙，內(nèi)部審計(jì)部門各業(yè)務(wù)科室和銀行業(yè)務(wù)部門、分支機(jī)構(gòu)應(yīng)為信息科技審計(jì)管理工作提供支持，必要時(shí)該科室可通過內(nèi)部審計(jì)部門向?qū)徲?jì)委員會(huì)申請，在銀行領(lǐng)導(dǎo)的授權(quán)下調(diào)動(dòng)全行人力、物力、財(cái)力資源，對全行分配相關(guān)工作任務(wù)并跟蹤、匯報(bào)工作進(jìn)展。

二、信息科技審計(jì)管理機(jī)制

（一）縱向機(jī)制。主要包括合規(guī)管理、信息安全保障和連續(xù)性管理三大機(jī)制：合規(guī)管理機(jī)制對信息科技工作符合相關(guān)法律、法規(guī)和監(jiān)管指引、規(guī)范要求等進(jìn)行審計(jì);信息安全保障機(jī)制對信息系統(tǒng)的整個(gè)生命周期的各個(gè)關(guān)鍵環(huán)節(jié)進(jìn)行審計(jì);業(yè)務(wù)連續(xù)性管理機(jī)制：對業(yè)務(wù)連續(xù)性關(guān)鍵指標(biāo)分析、業(yè)務(wù)連續(xù)性計(jì)劃和實(shí)施指導(dǎo)等進(jìn)行審計(jì)。

（二）橫向機(jī)制。橫向方面，信息科技審計(jì)科室與監(jiān)管單位、行內(nèi)相關(guān)部門、部門內(nèi)各業(yè)務(wù)科室有密切的聯(lián)系，主要機(jī)制包括對監(jiān)管單位的報(bào)告機(jī)制;與行內(nèi)相關(guān)部門的定期溝通機(jī)制、協(xié)同機(jī)制;對內(nèi)部審計(jì)部門各業(yè)務(wù)科室的風(fēng)險(xiǎn)監(jiān)控、咨詢、協(xié)同機(jī)制和對部門領(lǐng)導(dǎo)的報(bào)告機(jī)制;與合作單位的溝通機(jī)制。

（三）對外機(jī)制。對外方面，信息科技審計(jì)管理機(jī)制包括對監(jiān)管單位、政府部門的溝通、報(bào)告機(jī)制;與合作單位的溝通機(jī)制。

（四）對內(nèi)機(jī)制。對內(nèi)方面，信息科技審計(jì)管理機(jī)制包括科室內(nèi)部報(bào)告考核機(jī)制、考核和激勵(lì)機(jī)制;對內(nèi)部審計(jì)部門領(lǐng)導(dǎo)的報(bào)告機(jī)制;與科技信息部門、風(fēng)險(xiǎn)管理部門、合規(guī)管理部門的定期溝通機(jī)制、協(xié)同機(jī)制;對內(nèi)部審計(jì)部門各業(yè)務(wù)科室的內(nèi)部控制、風(fēng)險(xiǎn)監(jiān)控、咨詢、協(xié)同機(jī)制等。

以某區(qū)域性中小銀行為例，該行信息科技審計(jì)科室重點(diǎn)審計(jì)信息科技合規(guī)、業(yè)務(wù)連續(xù)性、信息安全保障，直接向內(nèi)部審計(jì)部門負(fù)責(zé)人匯報(bào)工作，通過內(nèi)部審計(jì)部門向行內(nèi)董事會(huì)下設(shè)的審計(jì)委員會(huì)報(bào)告工作;對外通過內(nèi)部審計(jì)部門與屬地銀監(jiān)部門的審計(jì)處室、信息科技監(jiān)管處室、人民銀行屬地分行信息科技處室建立了報(bào)告機(jī)制;對行內(nèi)信息科技部門信息安全科室、風(fēng)險(xiǎn)管理部門信息科技風(fēng)險(xiǎn)管理科室建立了直接溝通機(jī)制，定期參加信息科技風(fēng)險(xiǎn)“三道防線”工作會(huì)議;對行內(nèi)運(yùn)營管理部門、會(huì)計(jì)結(jié)算部門、電子銀行部門、互金業(yè)務(wù)部門、個(gè)金業(yè)務(wù)部門、公司業(yè)務(wù)部門、投資銀行部門、金融市場部門等主要業(yè)務(wù)部門通過內(nèi)部審計(jì)部門建立了橫向溝通機(jī)制。

三、信息科技審計(jì)的主要領(lǐng)域

（一）IT治理。包括對IT與業(yè)務(wù)融合（IT滿足業(yè)務(wù)需求、引領(lǐng)業(yè)務(wù)發(fā)展的實(shí)際情況開展）的審計(jì)，對IT投資管理（IT投資符合企業(yè)的投資回報(bào)預(yù)期）的審計(jì)，對IT決策機(jī)制（IT決策流程、參與決策的各角色、決策執(zhí)行過程）的審計(jì)，對IT規(guī)劃與架構(gòu)（IT規(guī)劃與架構(gòu)的設(shè)計(jì)能否滿足業(yè)務(wù)發(fā)展需要和IT治理需要）的審計(jì)，對IT組織架構(gòu)與職責(zé)分離的審計(jì);

（二）信息科技風(fēng)險(xiǎn)管理。審計(jì)要點(diǎn)包括信息科技風(fēng)險(xiǎn)識(shí)別與評估范圍、風(fēng)險(xiǎn)量化模型、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)處置策略、風(fēng)險(xiǎn)監(jiān)測體系、風(fēng)險(xiǎn)信息溝通機(jī)制;

（三）IT基礎(chǔ)架構(gòu)。包括對機(jī)房、主機(jī)、網(wǎng)絡(luò)設(shè)備、終端設(shè)備、數(shù)據(jù)庫、中間件、云計(jì)算環(huán)境等基礎(chǔ)設(shè)施及架構(gòu)的審計(jì)。機(jī)房審計(jì)要點(diǎn)包括供電、供水、防水、防火、防雷、制冷、承重等方面是否符合機(jī)房相關(guān)規(guī)范要求，網(wǎng)絡(luò)設(shè)備審計(jì)要點(diǎn)包括網(wǎng)路拓?fù)?、地址分配?guī)則、網(wǎng)絡(luò)分級分層、網(wǎng)絡(luò)分區(qū)、防火墻和物理隔離策略是否符合全行業(yè)務(wù)和安全策略，主機(jī)、終端、數(shù)據(jù)庫審計(jì)要點(diǎn)包括密碼策略、日志保護(hù)、開放的端口和服務(wù)、安全漏洞等，云計(jì)算環(huán)境審計(jì)要點(diǎn)包括用戶隔離措施、賬戶與權(quán)限管理、數(shù)據(jù)丟失與泄露、發(fā)布管理流程、公有云的跨境法律要求、退出流程等;

（四）信息安全。審計(jì)要點(diǎn)包括組織架構(gòu)、制度、流程、體系，邏輯訪問審計(jì)要點(diǎn)包括系統(tǒng)安全配置、網(wǎng)絡(luò)安全設(shè)置、特權(quán)用戶權(quán)限、訪問控制等，網(wǎng)絡(luò)安全審計(jì)要點(diǎn)包括內(nèi)網(wǎng)安全、外網(wǎng)接入、網(wǎng)絡(luò)隔離等方面，數(shù)據(jù)泄露審計(jì)要點(diǎn)包括靜態(tài)數(shù)據(jù)、移動(dòng)中的數(shù)據(jù)、使用中的數(shù)據(jù)、工作流管理、備份與還原等;

（五）應(yīng)用系統(tǒng)開發(fā)投產(chǎn)。審計(jì)要點(diǎn)包括對應(yīng)用系統(tǒng)開發(fā)方法、開發(fā)流程、開發(fā)過程、項(xiàng)目管理的審計(jì)，對應(yīng)用系統(tǒng)開發(fā)項(xiàng)目的開發(fā)、測試、項(xiàng)目管理文檔的齊備性、規(guī)范性進(jìn)行審計(jì)，對應(yīng)用系統(tǒng)開發(fā)項(xiàng)目的設(shè)計(jì)安全、編碼安全、數(shù)據(jù)安全、應(yīng)用安全進(jìn)行審計(jì)等;

四、結(jié)語

銀行業(yè)數(shù)字化轉(zhuǎn)型帶來的挑戰(zhàn)與機(jī)遇并存，隨著以云計(jì)算、大數(shù)據(jù)、人工智能為代表的新興信息技術(shù)在金融行業(yè)的普及應(yīng)用，中小銀行面臨的風(fēng)險(xiǎn)日益復(fù)雜。在信息科技審計(jì)資源配置上中小銀行與大型金融機(jī)構(gòu)相比存在天然短板，既要在體系構(gòu)建上全面覆蓋，又要在重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域多方突破、有所創(chuàng)新，同時(shí)降低審計(jì)工作本身引入的風(fēng)險(xiǎn)，有效整合內(nèi)外部審計(jì)資源，以全新的思維理念、靈活的機(jī)制、先進(jìn)的方法提升工作能效，快速識(shí)別和有效應(yīng)對的各種新型信息科技風(fēng)險(xiǎn)，才能充分體現(xiàn)出審計(jì)在中小銀行信息科技風(fēng)險(xiǎn)防控中的價(jià)值和作用。

參考文獻(xiàn)：

[1]孫曉，馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風(fēng)險(xiǎn)管理研究——基于審計(jì)視角的分析[J].金融會(huì)計(jì)，2011（12）：30-32.

[2]闞京華.信息技術(shù)環(huán)境下連續(xù)審計(jì)技術(shù)實(shí)現(xiàn)模型分析比較[J].科技管理研究，2009（10）：285-287.