商业银行信息科技内部审计初步探讨

　　【摘要】中国银监会不断细化深入信息科技风险监管工作，信息科技内部审计作为商业银行重要的信息科技风险审计手段，应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。本文分析了当前商业银行在信息科技内部审计方面存在的困难，并提出了相应的应对措施与建议。

　　【关键词】信息科技 内部审计 信息化

　　2000年以来，继四大行成功完成数据大集中后，各股份制商业银行纷纷加入数据大集中的行列，“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识，电子银行渠道持续拓展，商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显，另一方面也使得商业银行的信息科技风险进一步放大。

　　继2006年中国银监会发布《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后，2009年银监会又正式发布《商业银行信息科技风险管理指引》（下文简称《指引》），进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范，信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视，客观上提高了商业银行信息科技风险管理工作的重视程度。

　　一、信息科技内部审计范围

　　《指引》提出了商业银行IT风险管理的“三道防线”，即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求，银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员，并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面：

　　（一）专项审计

　　专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。

　　（二）全面审计

　　应定期实施全行范围内的IT内部审计，应充分考虑业务性质、规模及复杂度，区分总行信息部门（数据中心）、分行、支行等各个层级，制定全覆盖的IT内部审计计划。

　　（三）重要项目审计

　　在进行大规模系统开发时，内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析，项目开发，项目正式上线后的业务及运维。实际操作中，可以根据项目情况，对各项目里程碑展开相应的审计工作。

　　可以看出，IT内部审计既有全面审计，也有专项审计，还包括重大项目审计，涵盖了银行IT的方方面面。

　　二、信息科技内部审计面临的困难

　　内部审计部门应当从上述三个方面入手，检查评估商业银行信息科技系统和内控机制的充分性和有效性，提出整改意见并检查整改意见的落实情况。近年来，商业银行根据《指引》做了大量工作，但是在信息科技内部审计方面仍然存在诸多困难。

　　（一）缺乏IT审计人才

　　银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱，极大地影响了IT内部审计的成效，甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。

　　（二）缺乏IT审计方法及规范

　　缺少规范的IT审计方法论，缺乏对整个银行信息系统的全局认识，在IT内部审计中会存在不知道审什么、不知道怎么审，不容易把握IT内部审计的重点，无法触及部分风险隐患。

　　（三）缺乏IT审计方向

　　现阶段银行的IT内部审计都是为了满足监管要求，没有站在业务驱动的角度，缺少为“科技引领”提供保驾护航的力度。

　　三、商业银行如何加强IT内部审计

　　面对上述困难与挑战，银行应当充分认识IT内部审计对银行的重要作用，内部审计部门主动加强与信息科技部门的共同协作，加强IT审计专业队伍的建设。

　　1.管理层及信息科技部应当认识到，IT内部审计作为IT风险审计的重要一环，是IT风险管理的重要组成部分，应当重视内部IT审计部门及岗位的建立，充分发挥其积极作用。对IT内部审计的有效管理，可及时评价IT整体风险管理的水平，可对开发项目进行事中控制，分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到，IT内部审计不是故意“挑错找茬”，它可以积极发现IT潜在的管理疏漏，有效降低IT风险发生概率，提高IT全员的风险意识和认知。

　　2.内部审计部门应当加强与信息科技部的沟通与协助，可以进行各种形式的、有益的探索与尝试。比如，在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性，甚至以信息科技部的意见为主。在此基础上，内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如，加强与信息科技部的沟通，由其讲解IT最新技术发展、整体架构、变更管理与运行维护等，提高自身的专业技术水平及对本行IT工作的了解。比如，加强与信息科技部的沟通，从审计及监管的角度向管理层反映IT发展中亟待解决的难题，解决信息科技的实际困难。

　　3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗，有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧，还要积极学习相关的信息技术，专业的IT审计人才应当掌握较为全面的信息技术，对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。

　　展望未来，银行信息科技内部审计不能局限于应对监管需求，而应立足于银行战略与业务需求，立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环，建立完善的信息科技内部审计管理体系，并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用，有意识地引导与加强信息科技部门与内部审计部门的合作共赢，加强信息科技审计专业队伍建设，确保信息科技内部审计真正实现价值，为信息科技的发展提供保障，为银行的发展保驾护航。

　　参考文献

　　[1]徐秀丽.商业银行内部审计对策探讨[J].现代商贸工业，2009（18）.

　　李 强（昆仑银行股份有限公司，北京 101101）

　　（编辑：陈岑）

关注读览天下微信， 100万篇深度好文， 等你来看……