关于商业银行IT审计的思考

吕思杭

摘要：随着信息技术的迅猛发展和成熟，商业银行传统的管理和服务模式发生了深刻的变化，手工模式已经基本被取代，信息技术已经渗透到了商业银行经营管理的各个层面，开展独立的IT审计已成为发展趋势。本文就审计和IT治理的目的，提出改进的初步建议。

关键词：IT审计；IT标准；风险控制

一、IT审计的发展历史

（一） IT审计的历史和发展

IT审计起源于上世纪六十年代，IT审计的雏形初步形成。八十年代，IT审计得到社会重视。九十年代，对信息技术和IT审计的深度思考，IT审计得到了前所未有的重视和空前发展，并日趋成熟。

（二）IT审计的对象、范围

IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方，采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。IT审计的审计对象涵盖整个信息系统所有活动和中间产物，并包括信息系统实施相关的外部环境。

（三）IT审计的标准

目前，IT审计方面的国际标准主要有COBIT（信息及相关技术控制目标）、COSO（内部控制整体框架）、ITIL（基础架构服务管理最佳实践标准）等几种；其中最为IT审计界广为接受的标准是COBIT（信息及相关技术控制目标），它是当前国际上公认最先进、最成熟的IT控制和审计高层框架。COBIT将IT工作分解为一系列细化的过程和目标，为IT审计的实施提供了一个细化的系统化框架，使得IT审计易于操作实施。

二、我国商业银行IT审计现状和存在的主要问题

（一）国内商业银行IT审计现状

1.从无到有发展完善中。近年来，数据大集中以后，信息科技人员在科技管理和安全控制上都做了大量的工作，取得了很好效果。在从粗放型控制转为精细型控制的进程中，学习国外先进经验，逐步引用国际标准，各项控制措施不断完善和加强。

2.金融法规逐步完善。随着大数据时代的来临，商业银行信息系统的建设规模不断扩大，为识别化解系统失效风险，完善控制措施，银监会对银行科技风险进行监管的一系列制度和措施日趋完善。

3.IT审计与业务紧密结合。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动，包含了各种技术平台和软件开发，项目投产，系统迁移、切换、运行维护等全过程。由于IT已经渗透到银行业务的各个领域，因此IT审计与业务审计紧密结合，利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计，都是IT审计的重要内容。

4.IT审计以风险为基础。

IT审计以风险为基础，与公司治理形成了良性互动关系。商业银行IT审计已从传统的后台支持转变为业务竞争的筹码，IT审计功能是否健全是监管当局决定对金融企业监管关注程度的重要因素。

（三）商业银行IT审计存在的问题

1.信息系统审计控制措施存在问题。现有的信息系统控制措施在连续性、一致性上存在欠缺，控制良好的生产运行部门可能因上游开发部门的控制不完善而不能产生预期的控制效果，控制措施落实程度不够，主动性和积极性的发挥有待于进一步加强。

2.IT审计标准流程规范有待完善。多数商业银行还未参照国际上标准制定适合本行的IT审计标准，在实施IT审计时依赖内审人员个人水平发挥，缺乏系统性、规范性。

3.审计软件的实用性和通用性较弱。国外审计软件件具有强大的数据存取、访问和报告功能。而国内审计软件功能比较简单，数据分析功能则较差，通用性还很不理想，软件的实用性不强。

4.IT审计专业人才匮乏。由于IT审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才，专业性人才人数远远不能满足信息系统审计业务的需求。

三、商业银行IT审计的提升

（一）以商业银行经营需求为导向，完善IT治理架构

随着信息技术在商业银行普遍、深人的应用，其信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一。IT审计在这场变革中，要把握方向，形成IT审计框架，促進IT治理，推动公司治理。

（二）借助审计平台，提升IT审计水平。

根据各商业银行自己的信息系统技术体系及IT审计资源，构建合适的IT审计平台。一是引入专业审计软件提高IT审计效能和质量。银行内部的信息系统越来多，也越来越复杂，通过引入适用的审计工具软件提高IT审计的效率。利用计算机辅助审计技术处理信息系统的配置检查、日志检查及安全测试，高效地筛选出IT审计所需的可疑风险点已是IT审计的发展趋势。二是建设一个高起点的审计管理信息系统。充分使用现有审计手段和信息系统，构建通用的管理信息系统工作平台，为IT审计及业务审计提供强有力的数据挖掘、预警提示及信息管理职能，为非现场和现场审计提供一体化支持。

（三）推行风险管理，开展以风险为导向的IT审计。

现阶段，在复杂的信息系统技术和管理环境下的IT审计无疑是有一定审计风险的。因此，IT审计更要重视风险管理，规避审计风险，在注重重要性的同时，要讲究效益性，这也是在今后相当长的时间里要充分重视的。采用以风险为导向的审计方法，其前提是建立风险评估程序，即参照国际和国内的业界标准或自身经验，使用标准的方法对信息技术每个领域的风险重要程度进行评估分级，根据分级结果来确定审计频率和深度。以风险为导向的IT审计使审计人员能够在对风险全面监控的基础上集中审计资源于高风险领域，确保了审计对风险的控制质量。

（四）IT审计与非现场审计相结合，互相促进。

在IT审计执行过程中，通过采用灵活的、可配置的审计模型、风险指标及数据分析工具，对银行的信息科技风险进行持续监测和预警，形成科学有效的风险分析、监测和评价体系。及时纠正和制止危及银行健康发展的风险因素，保障信息系统安全、稳健运行。设计的审计指标要同时具有量化和可比性特征，能够真实反映银行信息科技现状和风险水平。需要强调的是，在利用信息化手段开展IT审计、提高效率的同时，还需要保持与现场审计相结合，将获得的客观数据同主管判断相结合，利用不同审计模式下获得的成果，进行互补，以求获得最大的审计效益。

（五）加快IT人才的选拔和培养

拥有一批IT专业人才是做好IT审计的基础，也是提升我行IT审计水平的保证。从现有审计人员中把具有IT工作经验和IT技术知识的人员挑选出来，积极推动审计部门与业务部门的人员流动，吸引更多的IT专业人才进入审计部门，充实IT审计队伍。加强IT审计培训，提高审计人员风险识别、IT审计技巧等方面的内容，增强IT审计能力。

五、结论

随着商业银行电子化进程的飞速发展，IT技术在银行业务发展中的重要性不断增大，IT审计的发展及管理己成为广泛的共识。IT审计必须围绕经营需求，以风险为导向，借鉴先进的国际IT审计标准，建立国际标准框架下的具有各国有商业银行特色的IT标准和规范体系，为商业银行信息系统健康运行保驾护航，最终降低经营风险。

参考文献：

[1]胡克瑾.IT审计[M].北京：电子工业出版社，2002.

[2]徐亚非.IT审计金融行业趋势[J].软件世界，2009，（11）.

[3]中国工商银行内部审计局课题组.关于商业银行IT审计的研究[J].金融论坛，2005，（11）.